c·o·n·e·x·i·o·n·e·s
Transcripción
c·o·n·e·x·i·o·n·e·s
Escanea este código con tu teléfono móvil o smartphone www.magazcitum.com.mx 9 contenido AÑO 3, NÚMERO 3, 2012 Dirección General Ulises Castillo Hernández Editor en jefe Héctor Acevedo Juárez 4 » editorial 4 Editorial Héctor Acevedo Juárez Editores Gerardo Fernández Miranda David Gutiérrez Jiménez Consejo Editorial Ulises Castillo Hernández Priscila Balcázar Hernández Héctor Acevedo Juárez Gerardo Fernández Miranda Elia Fernández Torres Colaboradores 6 Héctor Acevedo Juárez Omar Alcalá Ruiz Ulises Castillo Hernández David Gutiérrez Jiménez Gastón Olguín Ortega Marcos Polanco Velasco Ricardo Javier Ramírez Díaz Eduardo Patricio Sánchez Díaz Esteban San Román Canseco » opinión 6 Denegación de servicio ¿Qué aprendimos? Omar Alcalá Ruiz 10 Buffer overflow (segunda parte) Gastón Olguín Ortega 14 El arte de incorporar la seguridad a los controles de acceso (segunda parte) Esteban San Román Canseco 32 Cobit 5 Ricardo Javier Ramírez Díaz Marketing y Producción Karla Trejo Cerrillo Correctora de estilo Adriana Gómez López Diseño Silverio Ortega Reyes Magazcitum, revista trimestral de Scitum S.A. de C.V. Año 3, número 3, 2012. Editor responsable: Héctor Acevedo Juárez. Número de Certificado de Reserva otorgado por el Instituto de Derechos de Autor: 04-2010-071512010500-102. Número de certificado de Licitud de Título y Contenido: 14900, Exp.: CCPRI/3/TC/10/18827. Domicilio de la Publicación: Av. Paseo de la Reforma 373 piso 7, Col. Cuauhtémoc, delegación Cuauhtémoc, México DF 06500. Impreso en : Rouge & 21 S.A. de C.V. Av. Rómulo O’Farril # 520 int 5 Col. Olivar de los Padres México DF. Distribuida por Editorial Mexicana de Impresos y Revistas S.A. de C.V: Oaxaca 86-402 Col. Roma México DF. Magazcitum, revista especializada en temas de seguridad de la información para los profesionales del medio. Circula de manera controlada y gratuita entre los profesionales de la seguridad de la información. Tiene un tiraje de 5,000 ejemplares trimestrales. El diseño gráfico y el contenido propietario de Magazcitum son derechos reservados por Scitum S.A. de C.V. y queda prohibida la reproducción total o parcial por cualquier medio, sin la autorización por escrito de Scitum S.A. de C.V. Fotografías e ilustraciones son propiedad de Photos.com, bajo licencia, salvo donde esté indicado. Marcas registradas, logotipos y servicios mencionados son propiedad de sus respectivos dueños. La opinión de los columnistas, colaboradores y articulistas, no necesariamente refleja el punto de vista de los editores. Para cualquier asunto relacionado con esta publicación, favor de dirigirse a [email protected] 18 » misión: crítica 18 La seguridad y nuestros elefantes (primera parte) Ulises Castillo Hernández 24 » conexiones 24 Desde la trinchera Protección de dispositivos móviles Marcos Polanco Velasco 26 Departamento de defensa PCI DSS: siguen apareciendo grietas David Gutiérrez Jiménez 28 En el pensar de... Ciberarmas Eduardo Patricio Sánchez Díaz 2012 3 editorial Segundo semestre de 2012: pronóstico reservado Héctor Acevedo Juárez CISSP, CISA, CGEIT, ITIL y MCSE [email protected] Tal como esperábamos, los analistas mantienen el pronóstico de que el cierre de 2012 no será fácil. Edgar Fierro, presidente de IDC México, comentó hace poco que el crecimiento del mercado de TI en nuestro país será solo del 9.5%, en comparación con un 16% del año pasado. Para nadie fue una sorpresa cuando dijo que “esto es debido a que hubo un factor fundamental que es el sector público, que llegó a pesar 20 por ciento del gasto total de TI y, como sabemos, los proyectos de buen tamaño que hacen que la industria crezca no suceden muchas veces ni en el primer ni en el último año de gobierno, generalmente, suceden en los cuatro años del medio". Sin embargo, las cosas no son del todo malas para el sector de TI, que sigue creciendo a tasas bastante mayores que el resto de la economía y tiene un panorama menos complicado que otras industrias. En palabras del mismo Fierro, "vemos el crecimiento sostenido de 2011 hasta 2015, de las tres categorías en las que dividimos la industria de TI (hardware, software y servicios), las tres tienen un crecimiento anual compuesto en ese periodo por arriba de 8 por ciento". En el ámbito de la seguridad también hay oportunidades: aunque los presupuestos de esta área son de los primeros en recortarse, el vendaval podría sentirse menos puesto que cada día es más importante proteger la seguridad de la información contra las amenazas, que crecen constantemente y cada día se difunden más en los medios de comunicación masiva. En línea con ello, en Magazcitum seguirán encontrando una mezcla de artículos que van desde cuestiones de marcos de referencia, protección de dispositivos móviles hasta el tema de moda: denegación de servicios. Esperamos sean de su agrado. Antes de despedir esta editorial, y cambiando de tema, quisiera compartir con ustedes algunas estadísticas interesantes de nuestro sitio web, que se mantiene vivo gracias a la preferencia de nuestros lectores: »» »» »» »» »» Período de análisis: del 1 de enero de 2010 al 31 de agosto de 2012. 42,178 visitas. 80,423 páginas vistas. 24% de los visitantes regresan. Los 10 países con más visitantes: oMéxico. oColombia. oEspaña. oPerú. oEcuador. oArgentina. oChile. oVenezuela. o Costa Rica. o Estados Unidos. »» Nos han visitado de 75 países. Nuevamente agradezco sus visitas y comentarios en el sitio Web de la revista (www.magazcitum.com.mx), siempre es un placer saber qué opinan de los temas tratados por nuestros colaboradores. Como siempre, muchas gracias por su atenta lectura. Héctor Acevedo Juárez 4 Ilustraciones: Silverio Ortega Reyes 2012 5 opinión Denegación de servicio ¿Qué aprendimos? Omar Alcalá Ruiz CISSP, ISO-27001 y CCNA [email protected] Estos últimos tres meses realmente estuvieron ajetreados a causa de un proyecto que tuvo un final feliz: por primera vez desde que se publican los datos, las páginas Web del IFE siempre estuvieron disponibles durante las elecciones. Definitivamente no fue sencillo, hubo mucha gente involucrada y costó días de mal dormir, medio comer, estrés y sufrir con las lluvias, pero valió la pena el esfuerzo. Sin compartir detalles, puedo mencionar que sí se recibieron ataques de autores desconocidos (por lo general no se sabe quien perpetra este tipo de ataques), algunos de una magnitud que superó nuestras expectativas de acuerdo con las tendencias dictadas para Latinoamérica, en términos de volumen o persistencia. Me gustaría compartir con el lector algunas de las lecciones y experiencias vividas en esta jornada: »» Primero que nada, es importante conocer qué se quiere cuidar cuando de protección contra denegación de servicio (DoS/DDoS) se trata. No puedes cuidar lo que no conoces y, en este servicio en particular, resulta determinante conocer lo que se está protegiendo para evitar ser parte involuntaria del ataque al tirar tráfico válido. »» Hay que entender la arquitectura en la que se implementará la solución de protección. Un mal diseño de la protección puede no ser eficaz a la hora de brindar protección; se requiere comprender bien las interacciones de la gente y los equipos de red, aplicaciones y gestión (balanceadores, modeladores, etcétera). »» Es muy difícil determinar qué información es veraz y qué información no lo es. La desinformación está a la orden del día, lo que nos mantuvo alerta para siempre poder reaccionar y estar en un formato “cero errores”. 6 Ilustración: Silverio Ortega Reyes »» La protección contra ataques DoS/DDoS ofrece retos muy interesantes en cuanto a la gestión y reacción ante algún incidente. Hay ataques que pueden durar dos minutos y cesar, por lo que la protección debe ser inmediata y contundente. »» Es muy complicado determinar cuando un tráfico válido sí lo es, de aquí la importancia de conocer los alcances, capacidades y activos que se están protegiendo. El análisis de lo que sucede en el entorno es vital y debe ser exacto para evitar cualquiera de estos dos escenarios: oQue parte del tráfico indeseado pase, impactando negativamente al servicio (ataque DoS/DDoS consumado). oQue se tire tráfico legítimo, impactando negativamente al servicio (ataque DoS/DDoS consumado por la propia mitigación). »» Si una organización no cuenta con protección para contener ataques de denegación de servicio, no tendrá capacidad de reacción cuando suceda un ataque que siempre está latente ya que proviene del salvaje Internet (comúnmente llamado en inglés “traffic in the wild”). »» Considero que uno de los mayores retos es replantear los niveles de servicio. La indisponibilidad ante cualquier evento es binaria: estás disponible o no lo estás. Ante una indisponibilidad, determinar si es producto de un ataque o un tema de capacidad incrementa la complejidad de la gestión y provisión del servicio, por lo que los SLA (Service Level Agreement) deben ser muy bien estudiados. 2012 7 »» Muchas herramientas “dicen” ser capaces de contener o prevenir ataques de denegación de servicio, pero la realidad es que hoy solo conozco una que realiza esta función de manera integral. Y no digo que las otras herramientas no sirvan. Simplemente es segregar que unas herramientas cubren disponibilidad, otras se enfocan a la confidencialidad o la integridad pero solo una desde la nube puede prevenir que el enlace a Internet sea saturado. »» No importa cuánto se invierta en tecnologías especializadas, sin un equipo de trabajo capacitado, responsable y comprometido, proyectos como estos no salen adelante. La mejor de las recompensas es cuando volteas hacia atrás y piensas en todo lo que se planeó para setenta y dos horas intensas. Ahora que el reto ha pasado no hemos bajado la guardia ni la bajaremos. Al contrario, lo que sigue es fortalecernos con el conocimiento adquirido para poder replicar este caso de éxito, conscientes de que esta protección puede efectivamente ser replicada (y que ya ha sido probado) en otros frentes. 8 Poderosamente Simple Seguridad de la Información y la Gestión de Eventos NetIQ® Sentinel™ 7 • Búsqueda dinámica y reportes con un solo clic • Enriquecimiento de identidades y eventos • Creador gráfico de reglas de correlación • Detección de anomalías avanzada • Empaquetado de dispositivos virtuales Para obtener más información sobre Soluciones de Gestión de la Seguridad de NetIQ, visite www.netiq.com. NetIQ, el logo NetIQ y Sentinel son nombres o marcas registradas de NetIQ Corporation, en los Estados Unidos. Todas las otras marcas, nombres comerciales o nombres de compañías son propiedad de sus respectivos dueños. © 2012 NetIQ Corporation y sus afiliados. Todos los derechos reservados. opinión Buffer overflow (segunda parte) Gastón Olguín Ortega [email protected] Antes de continuar con esta serie, quisiera comenzar con una nota del editor y mía en cuanto a fe de erratas. En el artículo anterior recibí varios comentarios que nos obligaron a revisar el contenido, y efectivamente, encontramos algunos errores que, afortunadamente y gracias a su aportación, tenemos oportunidad de corregir. Los errores tanto de conceptos como de redacción pueden resultar en algunas ideas malinterpretadas. A partir de esto es necesario hacer la siguiente aclaración: en el artículo anterior usamos de manera laxa “desbordamiento de pila” como traducción a buffer overflow y hay una razón para ello, no hay una palabra en español que sea traducción literal de buffer, ya que buffer (en computación) es dejar un espacio apartado en memoria para el almacenamiento de datos, el cual frecuentemente se encuentra dentro de una pila (stack) de memoria. No obstante que los buffers están dentro de pilas de memoria, es erróneo decir que realizamos un “desbordamiento de pila” cuando nos referimos a un buffer overflow. Hecha la aclaración y fe de erratas, no me queda más que decir que me siento realmente apenado por la situación y pido una disculpa sobre todo a aquellos que pensaron hallar una excelente guía en el entendimiento y aprendizaje sobre el desbordamiento de buffer, y un sincero agradecimiento a las personas que me hicieron las observaciones. Memoria alta, memoria baja La memoria de una computadora necesita un identificador con el cual, valga la redundancia, identificar un puesto en la memoria, a este identificador se le conoce como dirección de memoria, que es simplemente un número que va de 0 al 4,294,967,295, o lo que es lo mismo un número de 32 bits. Lo más usual es que este número sea expresado en hexadecimal por lo que su representación en este tipo de numeración seria 0x0000000 al 0xFFFFFFFF. Cuando se dice memoria alta se refiere a la memoria que tiene un número de dirección de memoria alto, el ejemplo por excelencia es 0xFFFFFFFF; por otro lado, cuando se dice memoria baja es obviamente lo contrario, la memoria con un número de dirección bajo, 0x0000000 por ejemplo. Es decir, a partir de un punto de la memoria, el que sea, la memoria que tenga un número de dirección de memoria menor será memoria baja, y la que tenga un número de dirección de memoria mayor será memoria alta1. La memoria Usualmente intentar hacerse una imagen o idea de la memoria puede resultar un tanto confuso debido a que en ocasiones alguien trata de ejemplificarla en una imagen con un rectángulo vertical en donde las direcciones de memoria alta están en la parte superior del rectángulo, pero luego alguien más viene y pone las direcciones de memoria alta en la parte inferior del rectángulo, o representa la memoria de manera horizontal poniendo las direcciones de memoria baja del lado izquierdo u otras veces del lado derecho, en fin, un verdadero relajo. En lo personal me gusta pensar en la memoria como un gran edificio porque así puedo hacer la comparación de las direcciones de memoria con la numeración de los pisos, donde la numeración es ascendente, así los pisos de abajo son los de direcciones bajas y los pisos más altos serán, obviamente, los de direcciones altas. 10 La manera en cómo se gestiona la memoria (o pisos del edificio) depende del sistema operativo, por ejemplo, en Windows la sección de memoria del Heap crece hacia memoria baja, mientras que en Linux la sección Heap crece hacia memoria alta. Podríamos decir que el dueño del edificio es el sistema operativo y por lo tanto ocupará los pisos más altos, o lo que es lo mismo las direcciones altas. Los pisos restantes son para los inquilinos transitorios, o sea, los procesos que realizará la computadora. Cada vez que se crea un proceso, el sistema operativo le otorga un espacio del edificio donde pondrá las instrucciones del proceso así como datos que sean requeridos, el espacio que pertenece al proceso lo dividirá en cinco segmentos donde cada uno cumple una función específica. Un proceso en partes Una vez que el sistema operativo otorga un pedazo de memoria al proceso, lo siguiente será cargar ese proceso en la memoria, la cual dividirá en cinco partes: La primera se denomina “.text”2 (o también conocido como segmento de código); en esta parte se encuentra el código del programa, o si se prefiere ver de esta manera, las instrucciones de ejecución del proceso. Si el código cuenta con variables globales que han sido inicializadas desde el momento en que el programa fue escrito (que en mi experiencia es lo más seguro), una vez que se convierte en un proceso, estas serán puestas en el segmento “.data”2. Por ejemplo, si en el código existe una variable global como “int a = 1” esta será puesta en el segmento “.data”. Sin embargo puede ser que existan variables globales que hayan sido inicializadas como cero (p.ej. “int a = 0”) o que no hayan sido inicializadas en el código del programa y que por lo tanto obtendrán algún valor en cualquier momento después de que el programa haya sido ejecutado, o lo que es lo mismo, “en tiempo de ejecución”. Estas variables estarán en el segmento conocido como “.bss”2. Una vez que se crearon los tres segmentos anteriores, es el turno de los segmentos Heap y Stack. Empezaré por el segmento Heap2 ya que en memoria se posiciona después del segmento “.bss” (en un sistema Linux). La verdad es que no es difícil: el segmento heap es una estructura de datos donde se almacenarán las variables que son consideradas dinámicas. Cada vez que se escribe en este segmento se empezará a tomar memoria con dirección alta y se irá escribiendo hacia direcciones de memoria baja. Finalmente el segmento Stack2 es creado: una estructura de datos donde estarán las variables que son locales (las variables que pertenecen a una función). Como ya hemos visto, utiliza el concepto de LIFO (último en entrar, primero en salir) y no importa si las variables han sido inicializadas o no ya que como son variables locales estas se encontrarán en el segmento Stack, donde también estarán los argumentos de la función y datos de control que ayudarán a continuar con el flujo del programa. Cada vez que se introducen datos estos se irán metiendo en direcciones de memoria alta hacia direcciones de memoria baja. 2012 11 De esta segmentación hay todavía un par de cosas que comentar: que es posicionada en direcciones de memoria baja, es decir, en la zona de la memoria que es designada para los procesos; y que entre el segmento Heap y Stack hay un hueco de memoria para los datos que serán puestos ahí. Un diagrama de esta segmentación en sistemas operativos Linux sería el siguiente: Argumentos Stack (los datos serán escritos hacia memoria baja) Espacio vacío Heap (los datos serán escritos hacia memoria alta) .bss .data .text Memoria alta (0xFFFFFFFF) Memoria baja (0x0000000) PUSH y POP Existen dos instrucciones que se utilizan para trabajar en el Stack, una es Push que es la forma de agregar elementos al Stack, y la otra es Pop, que es la forma de quitar o sacar elementos del Stack. Para entender cómo es que operan tanto Push como Pop debemos retomar a SP (Stack Pointer) y tener muy presente que siempre apunta a la dirección de memoria que pertenece a la cima o tope del Stack. En la siguiente entrega uniremos en un ejemplo de desbordamiento de buffer todos estos conceptos que hemos visto y lo iremos analizando paso a paso. 12 1 Jonathan Corbet, Greg KroahHartman, Alessandro Rubini, "Memory Management in Linux" en Linux Device Drivers, 3rd Ed., O´Reilly, 2005. 2 Chris Anley, John Heasman, Feliz "FX" Lindner, Gerardo Richarte, "Before you begin" en The shellcoder´s handbook: discovering and exploiting security holes, 2nd ed., Wiley Publishing, Inc. Indianapolis, 2007, p. 5. Reyes opinión Ilustración: Sil verio Ortega El arte de incorporar la seguridad a los controles de acceso (segunda parte) Esteban San Román Canseco CISSP, CISA, CEH, ITIL y CRISC [email protected] En el número anterior de Magazcitum presenté el contexto de la compleja situación a la que nos lleva la necesidad de acceso a múltiples sistemas y la administración de esos accesos. También se abordaron los conceptos relacionados con los mecanismos de identificación, autenticación, autorización y rendición de cuentas para controlar y llevar un recuento de la actividad en los sistemas, y finalmente referí algunas de las tecnologías de apoyo como la biometría, la federación de identidades y el acceso de una sola vez. En esta segunda parte reseñaré otras tecnologías y estándares de apoyo para consolidar una infraestructura robusta de control de acceso. Administración de identidades y acceso. Uno de los problemas más graves que enfrenta la industria sigue siendo el robo de identidad, esto se deriva en buena parte --como expuse en el artículo anterior-- de la cantidad de claves de acceso que una misma persona llega a manejar y de los hábitos que, en la mayoría de los casos, propician el éxito de esta actividad fraudulenta. La creciente necesidad de proteger la información es uno de los motivadores de iniciativas como la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP). En Magazcitum puede encontrar un interesante artículo dedicado a este tema en el siguiente enlace: http://www.magazcitum.com.mx/?p=1169 La tecnología de administración de identidades y acceso (IAM) busca asegurar que las personas (entidades) adecuadas tengan acceso a los servicios (recursos) correctos. En el pasado esto solo se podía lograr implementando las políticas de acceso sistema por sistema y, al añadir uno nuevo, se tenía que agregar toda la infraestructura de control de identidad asociada con el mismo. La complejidad sobreviene cuando es necesario atender un problema de seguridad a lo largo de esta infraestructura distribuida. La respuesta a este paradigma radica en utilizar una misma solución para todas las aplicaciones. De acuerdo a la figura 1, si se integran los datos de la porción izquierda y los sistemas/servicios de la porción derecha dentro de la infraestructura, representada como una nube en el medio, todas las políticas y procedimientos se pueden aplicar a esta, simplificando de manera sustancial la administración. 14 En una solución IAM, el manejo de identidades se realiza a través del aprovisionamiento de una cuenta de usuario o la eliminación de esta, además de la sincronización de los sistemas donde existirá la misma. La gestión del acceso se efectúa a través de la autenticación y la autorización. Políticas y gobierno Establecer identidad Determinar políticas Cuentas Personas Reflejar y unir RH Sistemas y servicios Manejo de identidad Datos Organizaciones Finanzas Autenticar autorizar proveer federar Grupos Sistemas de negocio Servicios en red Privilegios Aliados federados Invitados, otros Enriquecer identidad Manejo de grupos Aplicar políticas Manejo de privilegios Figura 1. Modelo de administración de identidades y acceso Bóvedas de contraseñas Existen herramientas que brindan apoyo para generar y almacenar contraseñas complejas en un repositorio central. Con estas utilerías se pueden agilizar los accesos a cualquier sitio Web o a un programa de manera automática. Al almacenar los nombres de usuario, las contraseñas respectivas y otra información de la cuenta de forma segura en su propia computadora --dentro de un solo archivo protegido por un cifrado fuerte pero de fácil acceso y reforzados con una contraseña maestra-- se promueve un mejor nivel de seguridad de la información. Las funcionalidades adicionales que se pueden encontrar en estos programas incluyen la inicialización de accesos a sitios Web o aplicativos, comandos de teclado para escribir de forma automática secuencias personalizadas de acceso, tiempo de espera con bloqueo automático, la generación de contraseñas al azar, sincronización segura de accesos entre equipos, tecnología anti-keylogger o versiones portátiles que se ejecutan desde una unidad USB, entre otras tantas características que varían de un fabricante a otro. Por ejemplo, el programa S10 Password Vault (http://www.s10soft.com/passwordvault.htm) está firmado digitalmente, es compacto (menos de 1 MB), fácil de usar y gratuito para uso personal. Al ser utilizado en un ambiente empresarial, los beneficios extra abarcan un control central sobre las opciones de configuración, verificación configurable de la fortaleza de la contraseña maestra, plantilla personalizable para el archivo de bóveda para los nuevos usuarios, y también un respaldo automático de las bóvedas de contraseñas de los empleados. 2012 15 OpenID OpenID es una iniciativa creada por varias compañías para que en una sola cuenta de usuario se tenga posibilidad de acceder a múltiples sitios Web, sin la necesidad de crear nuevas contraseñas. El usuario permite la asociación de cierta información como el nombre o una dirección de correo con los sitios que visita, de manera que la contraseña solamente la tendrá el proveedor de la identidad y este a su vez se encargará de confirmar esa identidad en los sitios Web que visita el usuario. Algunas organizaciones que aceptan o emiten OpenID son Google, Facebook, Yahoo!, Microsoft, AOL, MySpace, y Sun. La secuencia de acceso para aprovechar este estándar es la siguiente: a)Ingrese su OpenID en el sitio que soporte este estándar dentro de la interfaz que se tiene para tal propósito, por ejemplo, juanperez.myopenid.com. b)Después de mandar la forma en el sitio que está visitando, el navegador se redirecciona al sitio del proveedor de OpenID. c)Se proporcionan el nombre de usuario y contraseña al proveedor de OpenID; siendo con este el proceso de autenticación. d)Una vez confirmada su identidad, indique a su proveedor que quiere ingresar al sitio original utilizando esta identidad. e)En ese momento se le enviará de vuelta al sitio original. Control de acceso en la nube Sobre cómputo en la nube hemos escrito varios artículos que les sugerimos visiten: “Servicios de seguridad en la nube” (http://www.magazcitum.com.mx/?p=1784), “La seguridad en la nube no es opcional” (http://www.magazcitum. com.mx/?p=1069) y “Servicios de Seguridad Administrada ¿Son servicios en la nube por naturaleza?” (http://www. magazcitum.com.mx/?p=1074) Con la proliferación del cómputo en la nube, ha comenzado a tomar fuerza la identidad en la nube como servicio (IDaaS), que se vuelve la piedra angular del manejo de identidades fuera de las aplicaciones que las utilizan. Este servicio se concibe como un ofrecimiento de terceros, encargados de la identidad y las funciones de control de acceso, incluyendo el acceso de una sola vez (SSO) y el ciclo de vida por el que pasa toda cuenta de usuario: creación, modificación y eliminación, tal como se muestra en la siguiente figura: Creación Modificación Eliminación Figura 2. Ciclo de vida de una identidad El término IDaaS es muy amplio y abarca los servicios a nivel SPI (software, plataforma e infraestructura) que aplica tanto para nubes públicas como privadas. Las soluciones híbridas son también posibles: las identidades pueden manejarse internamente dentro de una organización, mientras que otros componentes como la autenticación se pueden exteriorizar a través de arquitectura basada en software (SOA). Esto crea efectivamente una capa de plataforma como servicio (PaaS) para facilitar una solución de administración de identidades y acceso basada en la nube. 16 Ilustración: Silverio Ortega Reyes «Con la proliferación del cómputo en la nube, ha comenzado a tomar fuerza la identidad en la nube como servicio (IDaaS), que se vuelve la piedra angular del manejo de identidades fuera de las aplicaciones que las utilizan» Conclusiones La seguridad de la información está basada en gran medida en una adecuada estrategia de control de accesos. Si estos se hacen de manera eficiente, se puede reducir drásticamente la posibilidad de un error que desemboque en la materialización de un incidente dentro de la organización. En una buena planeación, el administrador suele realizar una “matriz de control de acceso”, identificando en las filas los “sujetos” que tendrán algún privilegio sobre los “objetos” que se relacionan en las columnas y, en las intersecciones entre renglón y columna, el tipo de permiso o acción (lectura, lectura/escritura, ejecución, creación, borrado, autenticar, etcétera): Objeto 1 Objeto 2 Objeto 3 …… Objeto “n” Usuario 1 rw ---- rwx R Usuario 2 --- r ---- Rw x rw rwx X …….. Usuario “n” Figura 3. Matriz de control de acceso Con base en esos permisos, el administrador puede definir con qué recurso hará cumplir el control de acceso. Dicho control puede ser administrativo (p.ej. una política), técnico (p.ej. una regla implantada en un firewall) o físico (p.ej. un control biométrico). Como en cualquier ámbito de la vida, todo comienza por la planeación. Dicho lo anterior se puede inferir que si de origen el diseño de la seguridad contempla las posibles combinaciones de acceso a los recursos, el control será mucho más efectivo y las eventuales afectaciones (de imagen, competitivas, financieras, etcétera) más controladas. 2012 17 misión:crítica La seguridad y nu (primera parte) Ulises Castillo Hernández MSIA, CISSP, CISM, CISA [email protected] Chanchis, la encargada de seguridad informática de Acme, está cansada de los pocos frutos del programa de concientización en seguridad que ha implementado en la empresa. Durante los últimos dos años ha hecho diversos esfuerzos: pláticas, cursos, trípticos, pósters, juntas con gerentes y empleados, actualización constante de las políticas de seguridad, y otras tareas más, pero poco ha mejorado la conciencia en seguridad. Por otro lado, tampoco con los altos ejecutivos le ha ido muy bien, ya que pocas veces se muestran interesados en saber qué está pasando con la seguridad de la información de la empresa, incluyendo la información de clientes y proveedores. Con ese sentimiento de frustración llega a tomarse un café con su amigo Cuco quién, por mera casualidad, acaba de leer un libro muy interesante sobre cómo lograr cambios difíciles, tanto en el trabajo como en la vida personal: “Switch: How to Change Things When Change Is Hard” (“Switch: cómo cambiar las cosas cuando el cambio es difícil”, de los hermanos Dan y Chip Heath). Conforme va escuchando las amargas experiencias de Chanchis, Cuco se va acordando de varias historias del libro que pudieran servir para resolver su problema. Hagamos un recuento de las principales ideas que Cuco compartió con Chanchis, preguntándonos si nos servirían para mejorar la conciencia de seguridad de usuarios y ejecutivos y, de pasada, justifiquemos el título de este breve artículo. Los autores del libro toman prestada una analogía de otro libro para explicar, de manera muy simple, la diferencia entre la parte racional de nuestra mente, generalmente llamada el cerebro racional, y la parte emocional, también denominada cerebro emocional. El cerebro emocional es como un elefante al que queremos dirigir: es caprichoso, le gusta hacer lo que le plazca y tiene mucha fuerza física. El cerebro racional, en cambio, es el jinete que va montado sobre el elefante: QUIERE dirigir al elefante, pero solo lo logra a veces, cuando ambos están SINCRONIZADOS. Aunque hoy en día es mucho más conocido el hecho de que tenemos una parte emocional y otra racional, es común que lo olvidemos. Por ejemplo ¿Tiene usted un amigo que fuma o come mucho? ¿Se ha preguntado por qué sigue haciéndolo a pesar de que “eso” le hace daño? ¿Es que su amigo no está actualizado respecto a los riesgos de comer o fumar en exceso? Lo más seguro es que su amigo sí esté al tanto de todos los riesgos pero casi todo los mensajes que recibe van dirigidos a su jinete (el cerebro racional), no a su elefantito (el cerebro emocional). En otras palabras, probablemente él sí quiere dejar de comer o fumar, pero cuando se encuentra con la tentación no tiene los elementos (técnicas) para evitar caer en ella. Nota: Esta no es disculpa para los pecadores, pero las técnicas que aquí veremos pueden ayudar casi en cualquier situación. ¿Ya cachó el título del artículo? ¡Sí! De lo que hablaremos, entre otras cosas, es de cómo comunicarnos con nuestros cerebros emocionales, nuestros elefantes, para que encaminen sus pasos hacia donde queremos. En este caso, hacia una organización con usuarios y ejecutivos más conscientes y preocupados por la seguridad informática. 18 La metodología que los hermanos Heath exponen consta de tres pasos muy fáciles. Bueno, fáciles de enunciar: 1.Da instrucciones u OBJETIVOS CLAROS al jinete. 2.MOTIVA al elefante. 3.PAVIMENTA el camino por el que quieres que se vaya el elefante (y el jinete que lleva arriba, claro). La figura siguiente ilustra los tres pasos. misión:crítica uestros elefantes En este primer artículo cubriremos las técnicas de los dos primeros y en el siguiente número revisaremos las técnicas para “pavimentar” el camino y daremos algunas conclusiones. Técnicas dirigidas al jinete a. Seguir los puntos brillantes Esta técnica se basa en que cuando tenemos un reto o problema, nos fijemos en aquellos elementos (personas, casos, proyectos, etcétera) que sí están funcionando bien, los estudiemos y nos preguntemos ¿Qué están haciendo estos elementos para lograr el éxito? La idea es encontrar los mecanismos, ideas, técnicas o prácticas que utilizan, para posteriormente “clonarlos” y repetirlos en el resto del sistema. Ejemplo 1: En una empresa existe una alta rotación de empleados, pero al sacar las estadísticas por área se observa que en dos áreas en particular la rotación es muy baja. ¿Qué está pasando en estas áreas para que ahí tengamos rotaciones tan bajas? ¿Qué están haciendo sus gerentes? ¿Cómo se relacionan con su personal? ¿Cómo los motivan? ¿Qué piensa o siente este personal? Etcétera. Debemos estudiar estos “puntos brillantes” y repetirlos en las demás áreas. Ejemplo 2: Un empleado de la Organización Mundial para la Alimentación fue comisionado a Vietnam para mejorar las condiciones alimenticias de la población. Al encontrarse que prácticamente no tenía acceso a fondos económicos y tenía poco tiempo para demostrar el éxito de su misión, se le ocurrió enfocarse en algunas comunidades marginadas y realizar reuniones con las madres de familia. Ahí les preguntaba cosas como: “¿Conocen en su comunidad alguna madre cuyos hijos, a pesar de tener las mismas condiciones económicas que las demás, estén MEJOR NUTRIDOS?” Y estudiando esos “puntos brillantes” (aquellas madres que bajo las mismas condiciones financieras --muy pobres, por cierto-- lograban nutrir mejor a sus hijos), detectó 3 o 4 acciones críticas, mejores prácticas, que diseminó en todas las comunidades a través de talleres muy simples con las mamás. A los pocos meses se pudieron constatar mejoras notables en nutrición en muchas familias. 2012 19 misión:crítica Después de contarle estos dos ejemplos, Cuco le preguntó a Chanchis: “¿Hay alguna área o persona de tu empresa en donde sí se preocupen por la seguridad? ¿Sabes qué tiene diferente esa área o persona?” De la misma forma podemos extrapolar esas preguntas hacia otras empresas, regiones del país o –incluso- países: ¿Hay programas de concientización que sí cambien radicalmente el comportamiento y motivación de los empleados?, ¿qué están haciendo diferente en estas organizaciones o países? b. Apuntar al destino El cambio es más fácil si sabemos a dónde vamos y por qué queremos llegar ahí, en otras palabras, ¿por qué es valioso ese destino? Ejemplo: hace varios años, las compañías de exploración petrolera perdían mucho dinero en excavar “agujeros secos”, o sea excavar sin poder instalar un pozo. Una de ellas decidió retar el paradigma tradicional de que siempre existiría un cierto porcentaje de agujeros secos y se puso como lema “No más agujeros secos”. A partir de ahí, la empresa modificó muchos procesos (pero, sobre todo, mentalidades) y logró con éxito bajar el índice casi a cero, ahorrando muchos millones de dólares. Aquí Cuco le propuso a Chanchis: --¿Sería viable que en tu empresa establecieras objetivos muy concretos como “no más infecciones de virus” o “cumplimiento total de cierta regulación”? Técnicas para motivar al elefante a. Encuentre el sentimiento Conocer “algo” no es suficiente para causar el cambio, de la misma forma que nuestro amigo que fuma o come en exceso: él sabe que lo daña pero eso no implica una transformación en el comportamiento. Hacer que la gente SIENTA algo puede ser el disparador del cambio. Los hermanos Heath nos proponen que para lograr grandes cambios el orden no es ANALIZARPENSAR-CAMBIAR (visión del jinete), sino más bien: VER-SENTIR-CAMBIAR (visión del elefante). Por ejemplo, un ejecutivo de una fábrica quería demostrar los costos asociados a no tener homologadas y centralizadas las compras de productos, pero todos parecían estar muy apegados a la forma tradicional de comprar en forma regional. Para ilustrar su punto, recogió muestras de más de cincuenta tipos de guantes de trabajo que se compraban, en vez de unificar las compras con un solo proveedor de un solo modelo de guantes, puso los precios de cada uno y los dejó encima de la mesa de juntas de la alta directiva. ¿Qué SINTIERON los ejecutivos al ver la variedad tan amplia de guantes y de precios ante sus ojos? Lo que sintieron fue una sorpresa desagradable por lo ilógico y costoso del proceso actual. A partir de ahí fueron mucho más abiertos al cambio. O el caso de una ejecutiva encargada de diseño en Target, una cadena de tiendas que históricamente había estado orientada solo a precios y a ver cifras, costos y utilidades. A nadie parecía interesarle el diseño, aunque el nuevo lineamiento dictado por el CEO era “Quiero que Target ofrezca diseño a precios accesibles”. Lo que empezó a hacer esta ejecutiva fue exponer a los ejecutivos diversas “cosas” de múltiples colores, para que SINTIERAN lo que era estar a la vanguardia en diseño. Poco a poco se fueron convenciendo de que su modelo de trabajo, tan basado en números, sí podría ser compatible con el diseño pues –bien manejado- podría producir mejores ventas y clientes más contentos. 20 misión:crítica En el caso de nuestras organizaciones, ¿qué podríamos mostrar a los ejecutivos para que SINTIERAN que necesitamos una mejor estrategia en seguridad, y asignar entonces mayor presupuesto a estos proyectos? Nota: Si lo analiza, los resultados de una prueba de penetración, bien manejados, pueden producir este resultado de SENTIR la falta de seguridad y servir como disparador de acciones para mitigar esa situación. b. Comprimir el cambio Esta técnica se basa en que nuestra mente no perciba el cambio como un camino LAAAAARGO, sino como una serie de pequeños cambios fáciles de lograr. Por ejemplo, una técnica para que los deudores “compulsivos” organicen sus finanzas se basa en hacer en Excel una lista de todas las deudas generadas y ponerla en orden ascendente. Primero vienen las deudas más pequeñas y después las mayores. Contrario a lo que aconsejarían muchos financieros (pagar primero la deuda que genera más intereses) la técnica dice: “paga en el orden en que están en la lista”, es decir, primero la deuda más chica ¿Por qué? Dado que las personas que tienen muchas deudas no son muy organizadas, se trata de modificar sus hábitos mentales y para ello es IMPORTANTE QUE SIENTAN que van avanzando en el camino; en ese sentido, conforme tachan de su lista las deudas pagadas, se sienten mejor y tienen más ánimo para seguir. Otro ejemplo: un hombre joven tiene que limpiar su departamento de soltero, pero el solo pensarlo hace que se congele, pues percibe la tarea como larga y tediosa. Una técnica consiste en elegir un área no muy grande, digamos el baño, y ponerse un tiempo límite para limpiarlo, supongamos ocho minutos. Mientras su mente está ocupada limpiando el baño e intentando hacerlo en ese tiempo, se va generando una energía para que terminando de hacerlo se merezca dos reconocimientos: uno por limpiarlo y otro por haberlo hecho en tiempo. Con ese nuevo ritmo y energía puede seguir limpiando cuarto por cuarto, estableciendo –para cada cuarto- un tiempo límite. ¿Cómo podría utilizar esta técnica en su entorno? Por ejemplo, a veces los responsables de seguridad le presentan a la alta dirección planes estratégicos muy completos, pero que involucran resultados a mediano plazo y mucha inversión ¿Por qué no cambiar la técnica y presentar planes, con resultados muy visibles e inversiones más modestas, para los siguientes tres meses? 2012 21 c. Crecer a la gente En esta técnica los hermanos Heath nos proponen dos formas de modificar la ACTITUD (mindset) de la gente. En la primera forma, movemos la identidad de la gente. Por ejemplo, en un experimento para determinar la mentalidad de la gente para “ser buenos ciudadanos”, a varias personas de un vecindario se le pedía autorización para poner un anuncio espectacular en su jardín delantero. El anuncio era un mensaje para manejar con precaución, pero la verdad es que hacía que el jardín no luciera y para ello se les mostraba una foto de ejemplo. A los vecinos se les dividió en dos grupos: con el primero no se hizo ningún esfuerzo previo, de manera que cuando veían el anuncio y percibían lo feo que luciría su jardín, solo una minoría de 19% aceptaba. Sin embargo, en el segundo grupo se trabajó un par de semanas antes para mejorar su identidad como “buenos ciudadanos”. Este fortalecimiento de identidad era tan sencillo como ofrecerles una calcomanía para pegar en su puerta principal, sobre seguridad al manejar. En este grupo, para sorpresa de los investigadores, el índice de aprobación subió al doble. En palabras de los autores: «… la ciencia del estudio del billboard nos dice algo muy importante. Nos muestra que la gente está receptiva a desarrollar nuevas identidades y que esas identidades crecen desde inicios pequeños. Una vez que empiezas a verte a ti mismo como un “ciudadano preocupado”, querrás actuar como tal. Esas son noticias tremendamente buenas para alguien que dirige un esfuerzo de cambio. Significa, por ejemplo, que si usted puede mostrar a la gente por qué vale la pena cuidar el medio ambiente, no tomará años que ellos se vean a sí mismos como “ambientalistas”. Tomó solo pocos días para que los vecinos del ejemplo se percibieran a sí mismos como “ciudadanos preocupados” » Con base en el concepto de “identidad”, ¿se le ocurre alguna forma de modificar o ampliar su plan de concientización y sus conversaciones con la alta dirección? Daré algunas ideas adicionales en la segunda parte del artículo. La otra forma para crecer a la gente es modificar sus paradigmas, en este caso particular los paradigmas asociados con el “sí se puede” (por cierto, nuestros deportistas y atletas requerirían usar más seguido esta técnica). Dado que esta técnica merece una exposición un poco más detallada, la dejaremos para la próxima entrega. Nos vemos en la segunda parte y ojalá que pudieran empezar a usar algunas de estas técnicas y pudieran compartirlas con nosotros. Enhorabuena. Continuará… 22 c · o · n ·e·x ·i·o·n·e·s Desde la trinchera Protección de dispositivos móviles Marcos Polanco Velasco CISSP, CISM y CISA [email protected] La importancia de los dispositivos móviles (smartphones y tablets) para los negocios radica principalmente en que permite tener acceso a las aplicaciones, procesos de negocio y bases de datos corporativas desde cualquier lugar y en cualquier momento. Por otro lado, las capacidades de los dispositivos móviles y sus aplicaciones son cada vez mayores, lo cual hace que las organizaciones se sientan cada vez más atraídas a desplegar soluciones basadas en ambientes móviles con la intención de agilizar sus procesos de negocio. La forma de abordar esta nueva tendencia varía de organización a organización, algunas han optado por dotar a sus empleados de dispositivos móviles y otras han decidido no hacerlo, sin embargo, una constante es que los empleados cuentan con sus propios dispositivos, que normalmente utilizan en sus labores diarias y los conectan a la infraestructura corporativa, con o sin conocimiento de la empresa. Un aparato de estos sin datos no es muy útil, por lo que es indispensable que se incorpore información corporativa para sacarle provecho, lo que lleva a que se tenga una mezcla de datos personales y datos de la organización. Es muy difícil saber a ciencia cierta el propósito de cada quien para contar con equipo móvil, y tanto uno de uso personal puede emplearse para fines laborales (por lo que contendrá datos que deberían ser protegidos), como un dispositivo empresarial puede utilizarse para fines personales (con contenido irrelevante para el negocio y uso improductivo de los recursos de la organización). Es por ello que unos de los retos más importantes -en lo que se refiere a la gestión de la seguridad de los dispositivos móviles- es tener la capacidad de distinguir la información personal de la corporativa y aplicar los controles de seguridad apropiados según el tipo de datos que se ingresen, así como aplicar los controles en función de la ubicación geográfica del dispositivo (por ejemplo: en la oficina, fuera de la oficina, en una oficina remota, etcétera). 24 La estrategia sugerida para las organizaciones es no solo administrar y controlar los dispositivos (mobile device management o administración de dispositivos móviles) utilizando soluciones con funcionalidades como cifrado, protección vía contraseñas, borrado remoto (remote wiping), localización geográfica de los dispositivos, etcétera, sino ir más allá para controlar los datos que entran y salen de ellos, así como sus aplicaciones, distinguiendo los contextos de uso -corporativo y personal- para implementar los controles apropiados (mobile data management o administración de datos móviles). Finalmente, hay que contemplar en la estrategia criterios específicos para cada fase del ciclo de vida de los dispositivos móviles (aprovisionamiento, activación, gestión, desactivación y desecho) considerando tres capas en cada uno de ellos: el dispositivo, las aplicaciones y los datos. «Es muy difícil saber a ciencia cierta el propósito de cada quien para contar con equipo móvil, y tanto uno de uso personal puede emplearse para fines laborales (por lo que contendrá datos que deberían ser protegidos), como un dispositivo empresarial puede utilizarse para fines personales» 2012 25 c · o · n ·e·x ·i·o·n·e·s Departamento de Defensa David Gutiérrez Jiménez CISSP y CISA. [email protected] PCI DSS: siguen apareciendo grietas PCI (Payment Card Industry) lleva ya varios años en práctica desde la versión 1.0 liberada en diciembre de 2004, múltiples organizaciones han obtenido su certificado de cumplimiento y operan gracias a ello. Sin embargo, parece ser que progresivamente va decayendo el nivel de confianza que debería suponer el cumplimiento con el estándar. Los incidentes de seguridad en donde se involucra la sustracción de información confidencial sobre tarjetas bancarias en empresas que cumplen con PCI no han sucedido frecuentemente, pero se han presentado aún después de ajustes al estándar y, a pesar de darse a conocer casos como el de Heartland en 2009 (una empresa procesadora de pagos con tarjeta que sufrió una fuga de información relacionada con cerca de 130 millones de tarjetas), que le costó a la mencionada compañía 140 millones de dólares1; o el de TJX, compañía de ventas al menudeo que experimentó el robo de datos de entre 40 y 100 millones de tarjetas en 2005, con un costo estimado de 250 millones de dólares2. Recientemente se suscitó el caso de Global Payments, una de las más grandes compañías que procesan pagos con tarjetas bancarias. Se calcula que se comprometieron los datos de alrededor de 1.5 millones de usuarios3 debido un incidente de seguridad que derivó en la infiltración de personas no autorizadas en los sistemas de la empresa. Como resultado de este incidente, a Global Payments lo revocaron como proveedor de servicio en cumplimiento de PCI DSS ¿Acaso Global Payments no escarmentó a partir de los escándalos de años anteriores? 26 Tiendo a pensar que aquí pasa igual que en otros ámbitos y que los detalles, huecos y grietas se encuentran en la implementación y verificación del estándar. PCI DSS no es intrínsecamente malo o deficiente, pero al parecer las compañías sujetas a esta normativa con frecuencia están mal aconsejadas al concretar en controles el espíritu del estándar, y esto se agrava ante lo relajadas que pueden ser las verificaciones de cumplimiento. Recordemos que para pequeños establecimientos inclusive es válido como verificación responder un cuestionario de autoanálisis o QSA4 y un escaneo de red trimestral realizado por un ejecutor autorizado, no más. Es necesario tomar en cuenta y entender que PCI DSS no es la panacea de la seguridad y tampoco pretende serlo. Así como las leyes no suprimen el crimen por sí mismas, no es posible esperar que este estándar acabe con el hurto de datos bancarios, sin embargo es un punto de referencia que al menos permite desarrollar un programa de seguridad de información. De hecho es un muy buen comienzo para empresas que no tienen un programa formal aún, no obstante, todas estas situaciones e incidentes deben considerarse muy seriamente para desarrollar la evolución eficaz de PCI DSS. http://www.computerworld.com/s/article/9176507/Heartland_breach_expenses_pegged_at_140M_so_far http://www.computerworld.com/s/article/9057758/One_year_later_Five_takeaways_from_the_TJX_breach 3 http://www.forbes.com/sites/greatspeculations/2012/04/03/global-payments-data-breach-exposes-card-payments-vulnerability 4 https://www.pcisecuritystandards.org/merchants/self_assessment_form.php 1 2 2012 27 c · o · n ·e·x ·i·o·n·e·s En el pensar de... Ciberarmas Eduardo P. Sánchez Díaz CISSP, CISM, GCIH, GWAPT, CEH y CHFI [email protected] Cuando se habla de ciberguerra algunas personas siguen pensando en alguna obra de postcyberpunk1; ojalá fuera así, sin embargo, más que una ficción esto ya es una realidad. Si la ciberguerra existe, ¿entonces las ciberarmas también? Últimamente se ha hablado de ciberarmas y hay tres de ellas que vale la pena revisar, cada una diseñada, aparentemente, con un propósito en particular y un inicio común: Stuxnet a)Nombre: Stuxnet b)Alias: W32/Stuxnet-B, Rkit/Stuxnet.A, W32.Temphid, Backdoor/Win32. Stuxnet, Trojan-Dropper:W32/Stuxnet, RootKit.Win32. c)Objetivo: sabotear los sistemas SCADA (Supervisor Control and Data Acquisition) iraníes de la marca Siemens. d)Métodos de propagación: • Vulnerabilidades tipo día cero a nivel sistema operativo Windows y sistema SCADA. • Dispositivos USB. e)Posible origen: Estados Unidos2 e Israel3. f)Fecha de detección: junio, 2010. g)Fecha de posible inicio de operaciones: marzo o abril, 2010. h)Características especiales: • Stuxnet es el primer código malicioso (malware) destinado para atacar infraestructura de control SCADA. • Desarrollado en diversos lenguajes de programación como C y C++, lo cual es inusual en el desarrollo de malware. • Capacidad de realizar un ataque de hombre en medio (MiM) para evitar que un sistema de control se reinicie, aun en un funcionamiento anómalo4. • Uso de un controlador (driver) firmado digitalmente por dos compañías diferentes: JMicron y Realtek, lo cual le permite instalarse como un rootkit a nivel kernel (kernellmode rootkit)5 Duqu a)Nombre: Duqu. b)Alias: W32.Duqu. c)Objetivo: obtener información de sistemas de control SCADA. d)Métodos de propagación: vulnerabilidades tipo día cero a nivel sistema operativo Windows y paquetería de Office. 28 e)Posible origen: Estados Unidos. f)Fecha de detección: 1º de septiembre de 2011. g)Fecha de posible inicio de operaciones: se sospecha que al menos un año antes de su detección. h)Características especiales: •La estructura de Duqu ha hecho pensar que es una plataforma de ataque para cualquier tipo de sistema, lo cual lleva a la posibilidad de realizar ataques físicos, sistemas con acceso a equipos físicos y no solo lógicos, desde ella. • Se identificó en un caso de infección el uso de un certificado digital válido, firmado por la empresa C-Media6. • Es configurado para ejecutarse por 36 días, después automáticamente se remueve. • Dentro del malware existe una sección de código en la cual no se podía identificar el lenguaje de programación, lo que hizo pensar que fue desarrollado en un nuevo marco de trabajo (framework) diseñado especialmente para esto; sin embargo, tiempo después se identificó que fue desarrollado en Objective C y compilado en Microsoft Visual Studio 20087. Flame a)Nombre: Flame. b)Alias: sKyWiper. c)Objetivo: programa de espionaje que puede capturar tráfico de red, actividad del teclado, llamadas de Skype y descarga de datos vía Bluetooth de los equipos infectados. d)Métodos de propagación: • Vía dispositivos USB. • Actualización de seguridad falsa. • Exploit de vulnerabilidades conocidas. e)Posible origen: Estados Unidos8. f)Fecha de detección: 28 de mayo de 2011. g)Fecha de posible inicio de operaciones: alrededor del año 20079. h)Características especiales: •Se detectó en diversos países como Irán, Sudán, Siria, Líbano, Arabia Saudita y Egipto. •Utiliza cinco métodos de cifrado para guardar la información que obtiene. •Utiliza dos vulnerabilidades que Stuxnet usa para contaminar otros sistemas. • Fue desarrollado para falsificar un certificado de Microsoft, el cual hizo pasar como una licencia válida de Microsoft Terminal Services en sistemas Windows 7 y 2008. Incluso empleó una nueva técnica de colisiones en el algoritmo MD510, con lo cual parecía ser un programa original de Microsoft. •Algunos investigadores han encontrado que podría haber una relación entre los creadores de Stuxnet y Flame11. 2012 29 c · o · n ·e·x ·i·o·n·e·s Aún después de ver algunas de las características de estos códigos maliciosos, podríamos simplemente cerrar los ojos y dejar de ver lo que sucede. Hoy lo que parece ser una realidad es que no solo grupos de aficionados, piratas informáticos o bandas criminales están desarrollando ciberarmas, por ello los gobiernos nacionales no pueden ni deben menospreciar los alcances del ciberespacio. Incluso la manera en que hoy se aborda este tema sigue siendo controversial; un ejemplo es cuando Richar Bejtlich12 dijo que no estaba de acuerdo y que los argumentos, que expongo más adelante, manejados por Chris Soghonian y Mikko Hypponen eran los más tontos que había escuchado. Durante el Personal Democracy Forum 201213 Cris comentó lo siguiente “Debido a que comprometió el canal de actualizaciones de Microsoft, el gusano Flame ha dañado la confianza en las actualizaciones automáticas y eso es algo malo porque ellas han hecho mucho por la seguridad de los consumidores”. Mikko, durante una entrevista para el International Business Times14, comentó que estaba planeando escribir una carta a Barack Obama pidiéndole que su gobierno detuviera el programa de cibersabotaje. Una de las cuestiones interesantes a resaltar es que hoy en día han aparecido estos códigos que literalmente pueden ser considerados armas; estos se aprovechan incluso de vulnerabilidades del tipo día cero (0day, zero day), el cual representa un mercado muy lucrativo, y se cree que el gobierno de los Estados Unidos es el comprador número uno de ellos. Este tema tiene varias aristas y a medida que se observa desde puntos diferentes los aspectos relacionados con la ética comienzan a aparecer, algunos análisis incluso plantean que la ciberguerra no es más que invenciones de algunas pocas personas, sin embargo me gustaría citar a la ENISA15 (European Network and Information Security Agency) respecto a las botnets: “Son redes de computadoras silenciosamente secuestradas por organizaciones criminales. Estas son ciberarmas criminales usadas para ataques serios que amenazan la economía europea y la privacidad de los ciudadanos.” Discutir sobre lo bueno y lo malo de una ciberguerra o ciberarmas es más un ejercicio filosófico y difícilmente se llegará a un consenso general, pero es importante evitar cerrar los ojos y solo dejar que los acontecimientos fluyan, es necesario estar conscientes de nuestra realidad y nuestras limitaciones porque esto nos permitirá estar mejor preparados. Postcyberpunk, Wikipedia, http://en.wikipedia.org/wiki/Postcyberpunk#Postcyberpunk Zetter Kim, Report: Obama Ordered Stuxnet to Continue After Bug Caused It to Spread Wildly, Wired ,Estados Unidos, 1 junio 2012 3 Sanger David, Obama Order Sped Up Wave of Cyberattacks Against Iran, The New York Times, Estados Unidos, 1 junio 2012 4 Steven Cherry ,Sons of Stuxnet, IEEE Spectrum, 14 diciembre 2011, http://spectrum.ieee.org/podcast/telecom/security/sons-of-stuxnet 5 Aleksandr Matrosov, Eugene Rodionov, David Harley, and Juraj Malcho. "Stuxnet Under the Microscope", 24 September 2010, ESET 6 ZetterKim, Son of Stuxnet Found in the Wild on Systems in Europe, 18 de octubre 2011, Wired, http://www.wired.com/threatlevel/2011/10/son-of-stuxnet-in-the-wild/ 7 Soumenkov Igo, The mystery of Duqu Framework solved, http://www.securelist.com/en/blog/677/The_mystery_of_Duqu_Framework_solved 8 Nakashima Ellen, Miller Greg, Tate Julio, U.S., Israel developed Flame computer virus to slow Iranian nuclear efforts, officials say, 19 junio 2012, Washinton Post,Estados Unidos, http://www.washingtonpost.com/world/national-security/us-israel-developed-computer-virus-to-slow-iranian-nuclear-efforts-officials-say/2012/06/19/ gJQA6xBPoV_story.html 9 Sterling Bruce, Flame a cyberweapon that makes Stuxnet look cheap, 28 de mayo 2012, Wired, http://www.wired.com/beyond_the_beyond/2012/05/flame-a-cyberweapon-that-makes-stuxnet-look-cheap 10 Stevens Marc, TECHNICAL BACKGROUND OF THE FLAME COLLISION ATTACK, CWI, 7 de junio 2012, http://www.cwi.nl/news/2012/cwi-cryptanalist-discovers-new-cryptographic-attack-variant-in-flame-spy-malware 11 Aleks, Back to Stuxnet: the missing link, http://www.securelist.com/en/blog?weblogid=208193568 12 Bejtlich Richard, Flame hypocrisy, http://taosecurity.blogspot.mx/2012/06/flame-hypocrisy.html 13 Soghoian Chris, Lessons from the Bin Laden Raid and Cyberwar, http://www.youtube.com/watch?v=pJu0qEha2I0 14 Gilbert David, US Government Behind Flame Virus According to Expert, http://www.ibtimes.co.uk/articles/352232/20120614/flame-government-obama-cyber-espionage.htm 15 ENISA, Policy Statement on Botnets, ENISA, 11 Mayo 2011, http://www.enisa.europa.eu/media/news-items/policy-statement-on-botnets 1 2 30 C M Y CM MY CY CMY K ¿Sabías que es el único Centro de Entrenamiento autorizado en México? Por lo que ahora puedes: 1.- Tomar el Seminario Oficial de CISSP de (ISC)2 del 12 al 16 de noviembre del 2012, en Scitum a un precio de $1,650.00 Dlls. mas IVA. 2.- Presentar el examen de certificación con costo de $599.00 Dlls. a través de uno de los centros autorizados. La sede del seminario es: Torre Telmex, Oficinas de Scitum, Cd. de México. Av. Insurgentes Sur No. 3500, colonia Peña Pobre, C.P. 14060, delegación Tlalpan. Más informes, comuníquense al 9150.7496, lunes a viernes de 9:00 a 18:00 hrs. o bien al correo electrónico: [email protected] La fecha límite de inscripciones es el 24 de octubre de 2012. opinión Cobit 5 Ricardo Javier Ramírez Díaz [email protected] El 10 de abril de 2012 la Information Systems Audit and Control Asociation (ISACA) publicó Cobit 5, que integra Val IT, Risk IT, BMIS (Business Model for Information Security) e ITA (IT Assurance Framework), también desarrollados y publicados por ISACA, además de considerar para sus procesos otros estándares internacionales, mejores prácticas y marcos de referencia como COSO, ISO-9000, ISO-31000, ISO-38500, ITIL, TOGAF y la familia ISO-27000, entre otros. En este artículo explicaré en qué consisten las principales diferencias y su nuevo modelo de procesos. Esta nueva versión de Cobit fue desarrollada para ayudar a organizaciones de todos los tamaños y de cualquier sector a obtener el valor óptimo de las tecnologías de información, tratando de satisfacer las necesidades de los interesados internos y externos mediante la creación de valor para la empresa a través de TI (tecnologías de información), con un enfoque de gestión holística de extremo a extremo, cumpliendo de mejor manera con leyes, regulaciones, políticas, y basándose en buenas prácticas internacionales. Cobit 5 está enfocado en el gobierno empresarial de las tecnologías de información, a diferencia de su antecesor, enfocado principalmente al gobierno de TI. A continuación listo las áreas que presentan los cambios principales, para posteriormente explicar en qué consiste cada uno: 1.Cinco principios. 2.Dominio “Evaluar, dirigir y monitorear”. 3.Modelo de referencia de procesos. 4.Modelo de madurez de procesos. 32 1. Los cinco principios Cobit 5 está basado en cinco principios: • Satisfacer las interesados. necesidades de los •Cubrir la empresa de extremo a extremo. • Aplicar un solo marco integrado. • Habilitar un enfoque holístico. • Separar gobierno administración. de Principio 1 (abarcar las necesidades de los interesados): los indicadores clave de metas y de proceso, (KGI y KPI, por sus siglas en inglés), que finalmente traducen las necesidades de los interesados, internos y externos, se transformaron en una estrategia empresarial llamada “cascada de metas”, que comienza con las metas de la empresa, continúa con las metas relacionadas de TI, que a su vez recaen en lo que Cobit llama “habilitadores”, y finalmente se alcanzan al desarrollar las actividades de las metas. Este esquema de cascada de metas, basado en mapeos y tablas provistas por Cobit 5, proporciona una guía orientadora para establecer un vínculo coherente y consistente que permita traducir las necesidades de todos los interesados del negocio en objetivos específicos de la empresa, que dan origen a objetivos de TI y a objetivos facilitadores. Principio 2 (cubrir la empresa de extremo a extremo): considera todas las funciones y procesos dentro de la organización. Cobit 5 no se centra solo en el gobierno de TI, pues ahora considera la información y las tecnologías relacionadas como activos que deben ser tratados como cualquier otro. ¿Y cómo lo hace? Gestionando TI como si fuera una empresa, tomando en consideración los requerimientos para la estrategia, táctica y operación; integrando de esta forma el gobierno empresarial de TI en el gobierno corporativo. Principio 3 (aplicar un solo marco integrado): para cumplir con este principio, Cobit incorpora los estándares y marcos más relevantes de la industria: • COSO (Committee of Sponsoring Organizations of the Treadway Commission), que ha sido reconocido como un marco apropiado y exhaustivo para el control interno. • ISO/IEC 9000, estándar para el control de calidad en procesos empresariales. • ISO/IEC 31000, estándar de administración de riesgos, principios y directrices, la cual tiene como objetivo ayudar a las organizaciones de todo tipo y tamaño a gestionar los riesgos empresariales con efectividad. • ISO-38500, estándar para el gobierno corporativo de TI. • ITIL, mejores prácticas para servicios de TI con un enfoque de procesos de TI. • The Open Group Architecture Framework (TOGAF), que proporciona un enfoque para el diseño, planificación, implementación y gobierno de una arquitectura empresarial de información. • La familia ISO-27000, enfocada en el tema de seguridad informática con el establecimiento de un sistema de gestión de seguridad de la información (SGSI) y los controles asociados. 2012 33 La idea de contar con todo lo anterior es que las empresas utilicen Cobit como un marco integrador de gobierno y administración de TI. Principio 4 (habilitar un enfoque holístico): en esta nueva versión se introducen los habilitadores, que son factores mínimos a cumplir para que el gobierno y la administración empresarial de TI funcionen de manera correcta al ayudar a optimizar la información, la inversión en tecnología y su uso para el beneficio de todos los interesados. Se habla de un enfoque holístico porque los habilitadores introducidos caen en siete categorías diferentes: 2. Procesos 3. Estructuras Organizacionales 4. Cultura, Ética y Comportamiento 1. Principios, Políticas y Marcos de trabajo 5. Información 6. Servicios, Infraestructura y Aplicaciones 7. Personas, Habilidades y Competencias Recursos Fuente: COBIT® 5, figura 12. © 2012 ISACA® Todos los derechos reservados 1.Principios, políticas y marcos. Son las pautas a seguir para traducir el comportamiento deseado en una guía práctica para la gestión del día a día. 2.Procesos. Describen de forma estructurada y organizada un conjunto de actividades para lograr ciertos objetivos y producir un conjunto de salidas en la búsqueda de las metas de TI. 3.Estructuras organizacionales. Son las entidades clave de toma de decisiones en una organización. 4.Cultura, ética y comportamiento. Tanto de los individuos como de la organización (cuestión a menudo subestimada como factor de éxito en las actividades de gobierno y gestión, principalmente en lo correspondiente a trabajo en equipo, transferencia de conocimiento, valores, etcétera). 5.La información. Se refiere a toda la información producida y utilizada por la empresa. Es necesaria para mantener funcionando la organización y, en el plano operativo, la información es el producto clave de la propia empresa, por lo que habrá que implantar controles para su seguridad. 6.Servicios, infraestructura y aplicaciones. Incluyen la infraestructura, tecnología y aplicaciones que proporcionan a la empresa servicios y procesamiento de la información. 7.Personas, habilidades y competencias. Son necesarios para completar con éxito todas las actividades. En este sentido, Cobit incluye una matriz RACI para todos sus procesos, considerando de manera genérica una base de perfiles de puestos bastante completa. Principio 5 (separar gobierno de administración): Cobit 5 reconoce que estas dos disciplinas incluyen tipos de actividades y estructuras organizacionales diferentes, que sirven para diferentes propósitos. El gobierno es responsabilidad de la junta directiva, mientras que la administración es responsabilidad de la alta administración, bajo el liderazgo del CEO. Por eso se agregó un dominio particular enfocado a gobierno y se actualizaron los cuatro que ya tenía para la administración. 34 2. Dominio “Evaluar, dirigir y monitorear” El pentagrama de gobierno de TI, que era un pilar en Cobit 4.1, se transformó en el nuevo dominio “Evaluar, dirigir y monitorear”, que contiene cinco áreas de enfoque del gobierno de TI: 1.Alineación estratégica se convirtió en el proceso número uno de este nuevo dominio: “definir y mantener el marco de gobierno”, mediante políticas y prácticas de evaluación y dirección de procesos. 2.Entrega de valor quedó como el proceso dos “Garantizar la entrega de beneficios”. 3.Administración de recursos evolucionó en el proceso cuatro (“Garantizar la optimización de los recursos”). 4.Administración de riesgos es ahora el proceso tres correspondiente a “Asegurar la optimización de los niveles de riesgos”. 5.Medición del desempeño, finalmente, corresponde ahora al proceso cinco “Asegurar la transparencia para los interesados”. 3. Modelo de referencia de procesos El nuevo modelo de referencia se basa en cinco dominios, con uno enfocado, como ya lo he mencionado antes, exclusivamente a la gobernabilidad. Los otros cuatro se enfocan a la administración y prácticamente son los mismos de Cobit 4; sin embargo, cambia el número y contenido de sus procesos por lo que también cambia el número de los objetivos de control de alto nivel, los cuales de ser treinta y cuatro ahora se convierten en treinta y siete. Y como dicen que una imagen dice más que mil palabras, a continuación muestro el nuevo modelo: EVALUAR, DIRIGIR Y MONITOREAR (DOMINIO DE GOBIERNO DE TI) EDM1 -Definir y Mantener el marco de Gobierno EDM2 - Garantizar Entrega de beneficios EDM3 - Garantizar Optimización de los Risgos EDM4 - Garantizar Optimización de los Recursos ALINEAR, PLANEAR y ORGANIZAR APO1-Definir el Marco de Gestión de TI APO08-Gestionar Relaciones APO2-Administrar La Estrategia APO3-Gestionar Arquiectura de la Empresa APO4-Gestionar Innovación APO5-Gestionar Portfolio APO6-Gestionar Presupuestos y Costos APO09-Gestionar Acuerdos de Servicio APO10-Gestionar Proveedores APO11-Gestionar Calidad APO12-Gestionar Riesgos APO13-Gestionar Seguridad APO7-Gestionar Recursos Humanos EDM3 - Garantizar Transparencia con los interesados MONITOREAR, EVALUAR y VALORAR MEA1-Monitorear y Evaluar, Desempeño y Conformidad CONSTRUIR, ADQUIRIR e IMPLEMENTAR BAI1-Gestionar Programas y Proyectos BAI2-Definir Requerimientos BAI3-Identificar y Construir Soluciones BAI8-Gestionar el Conocimiento BAI09-Gestionar Activos BAI10-Gestionar Configuración BAI4-Gestionar Disponibilidad y Capacidad BAI5-Facilitar el Cambio Organizacional BAI6-Gestionar Cambios BAI7-Gestionar la Aceptación y transición del cambio ENTREGA, SERVICIO y SOPORTE DSS1-Gestionar Operaciones DSS2-Gestionar Solicitudes de Servicio e Incidentes DSS3-Gestionar Problemas DSS4-Gestionar Continuidad DSS5-Gestionar la DSS6-Gestionar Seguridad de los Controles de Servicios Procesos de Negocio MEA2-Monitorear, evaluar y valorar el Sistema de Control Interno MEA3-Monitorear y Evaluar Cumplimiento con Requerimientos Externos Procesos para la Gestión de la Tecnología de Información Empresarial Fuente: COBIT® 5, figura 16. © 2012 ISACA® Todos los derechos reservados 2012 35 Los cinco dominios del modelo de referencia de procesos son los siguientes: • Evaluar, dirigir y monitorear. • Alinear, planear y organizar. • Construir, adquirir e implementar. • Entregar, servicio y soporte. • Monitorear, evaluar y valorar. Por cuestiones de espacio, dejaré para otra ocasión la explicación de los cambios en cada uno de los cuatro dominios que ya formaban parte de Cobit 4. 4. Modelo de madurez de procesos Otra novedad muy importante es que ahora el modelo de madurez de los procesos se basa en el estándar ISO-15504, proporcionando un nivel de evaluación más acorde a los procesos de TI y aumentando el nivel de exigencia respecto a lo que debe cumplir cada proceso para ascender de nivel, dado que el estándar mencionado plantea que se deben cumplir los nueve atributos definidos para cada proceso como requisito para acreditar dicho grado de madurez. 36 Una evaluación realizada bajo este nuevo modelo no es comparable y no puede ser mezclada con evaluaciones ejecutadas bajo el modelo de COBIT 4, dado que se distorsionarían los resultados por ser distintas las exigencias. En general, aplicando el nuevo modelo de Cobit 5 que es más exigente, deberían esperarse resultados con un menor nivel de madurez. Los niveles de madurez definidos en Cobit 5 son: 0.Proceso incompleto 1.Proceso desarrollado. 2.Proceso administrado. 2.1 Administración del desempeño. 2.2 Administración del producto del trabajo. 3.Proceso establecido 3.1 Definición del proceso. 3.2 Desarrollo del proceso. «el proceso de migración hacia Cobit 5 tiene cierta complejidad para aquellas organizaciones que han implementado oportunamente Cobit 4» 4.Proceso predecible. 4.1 Administración del proceso. 4.2 Control del proceso. 5.Proceso optimizado. 5.1 Proceso de innovación. 5.2 Optimización del proceso. 2012 37 Conclusión Según indica ISACA, Cobit 5 es la mayor evolución estratégica de Cobit y representa el único marco de trabajo globalmente aceptado para el gobierno de TI que brinda a los interesados la guía más completa y actualizada para una mejor administración. Sin embargo, desde mi punto de vista, el proceso de migración hacia Cobit 5 tiene cierta complejidad para aquellas organizaciones que han implementado oportunamente Cobit 4, debido principalmente a que los niveles de madurez en esta nueva versión no corresponden a los anteriores. Por otra parte, aquellas instituciones que pretendan implantar Cobit 5 “desde cero” estarán planteando un proyecto complejo que deberán planear minuciosamente para tener éxito. Ya sea para migrar o implantar Cobit 5 es recomendable establecer un proyecto basado en fases, estableciendo los objetivos empresariales y utilizando los apéndices B, C y D, para mapearlos a los objetivos y procesos de TI. Las fases deben responder a las preguntas ¿Dónde estamos ahora?, ¿dónde queremos estar?, ¿qué necesitamos hacer?, ¿cómo logramos estar donde queremos?, y ¿cómo sabemos que ya lo logramos?, siendo fundamental establecer el nivel de cumplimiento de métricas y un proceso de mejora continua. 38 Check Point 3D seguridad, combina políticas, personas y aplicaciones de protección inmejorables. POLÍTICAS POLÍTICAS que apoyan las necesidades del usuario y la transformación de la seguridad dentro del proceso del negocio. PERSONAS Seguridad que educa y compromete a las PERSONAS en la definición de políticas, concientización y la solución de incidentes. CUMPLIMIENTO Visibilidad y control en todos los niveles de seguridad - red, aplicaciones y datos-. w w w. c h e c k p o i n t . c o m ¿PUEDES VER EN TODAS PARTES A LA VEZ? TU PUEDES. No se puede detener las amenazas si no las puede detectar. Esto es por lo que HP Enterprise Security ofrece soluciones probadas que ofrecen amplia visibilidad en riesgos de seguridad. No hay mejor manera de detectar de forma proactiva problemas de seguridad y manejar conscientemente la situación a través de sus aplicaciones, operación e infraestructura. La Inteligencia de seguridad de HP y la plataforma de gestión de riesgos ofrece correlación integrada, protección de aplicaciones y defensas de la red que pueden dar seguridad moderna en entornos TI con amenazas sofisticadas. Para más información visite: www.hpenterprisesecurity.com. Protección avanzada contra amenazas avanzadas. Copyright © 2011 Hewlett-Packard Development Company, L.P.