SD RUS aU gS NEY ae HACKING LAS TECNICAS DE LOS HACKERS) AL SERVICIO DE LA el a a a ee eae RELEVAMIENTO, ACCESO Y Ca UES aa ay (HL 2 Pea See TU 9 ‘ He ea!) 03 es EC se Oe wee ce i HERRAMIENTAS PARA WINDOWS Y GNU/L Tae nr a We Wa OZ ay Peee- Ue (ell ae ahCONECTESE CON LOS MI q DE COMPUTACION = usershop.redusers.comEn nuestro sitio puede obtener, en forma gratuita, un capitulo de cada uno de los libros: € redusers.com guias visuales, explicaciones paso a paso, recuadros complementarios, ij0s de tectado y todos los elementos necesarios para asegurar un apren- inectado con el mundo de la tecnologi CTs CEMA UTM ISI) ths > ARGENTINA ® (O11) 4110.8700 | CHILE © (2) 810.7400 | ESPANA ® (93) 635.4120 Pa TEN NOCH M HHT TS, BRU mH TTTTLC) Er) nt eC Cees COLECCION: DEO} CL) Deere) CCC 320 Cee eee Coe eT ley 11728, Todos los derechos reservados. No se permite la eproduccin parcial oto- tal el amacenamient, el lauilr, a transmision ole trensformacion de este libro, en Cree en ee eats Se eae ie a Cece ee? Deen eC to youliizacion de os servicios y productos que se describen yo analizan. Todaslas marcas mencionadas en este libro son propiedad exclusiva de sus respectivos due- See ee eee er fon Sevegraf-Longseller, Costa Rica 5226, Grand Bourg, Malvinas Argentinas, oe eee ERE ec Peres eerr eo Ce ee ee PC eee Tee) oe are}ae HACKING LAS TECNICAS DE LOS HACKERS, AL SERVICIO DE LA SEGURIDAD ‘ - |PRELIMINARES FEDERICO PACHECO Es estudiante de Ingenieria Electronica y especialista en Seguri- dad Informatica, con amplia experiencia profesional en el Area. Es integrante de la catedra de Seguridad Informatica de la ca- rrera de Ingenieria en Sistemas de la Universidad Tecnolégica Nacional (UTN) y ha dictado cursos y seminarios en diversas instituciones educativas y organizaciones del sector piblico y privado, en los que ha desarrollado los contenidos y el material académico. También ha impartido diversas charlas, seminarios y conferencias sobre temas relacionados con el software libre, sis- temas Linux y la seguridad informatica, y escribe sobre los mismos tépicos en re- vistas nacionales e internacionales. Ademas de la tecnologfa, es un gran aficiona- do por la danza, la muisica y el deporte. Agradecimientos A mis seres queridos, por estar siempre presentes. A mis maestros y mentores, por transmitirme con paciencia y humildad la pasién por la docencia y la educacién. A todos aquellos que me otorgaron su confianza y me brindaron oportunidades en el Ambito profesional.Sobre los autores. HECTOR JARA Es estudiante avanzado de la carrera de Ingenieria en Telecomuni- rsidad Argentina de la Empresa (UADE). Cuenta con amplia experiencia en el érea de tecnologia y en part cular en seguridad informética, También es docente en diversas ins- tituciones educativas y regularmente escribe para distintas publica- ciones internacionales sobre Linux y seguridad informatica. ‘Ademés dela tecnologia le apasiona la lectura y disfruta de la préc- tica de deportes y de la vida al aire libre. caciones de la Unive Agradecimientos A mi familia, por toda su paciencia y comprensién, que me acompafé varias noches sin dormir y, en especial, a mis hermanos por darme énimo cada vez. que fue necesa- rio. A mis amigos, que siempre estén aunque no nos veamos tanto como quisiéramos ya Luli, por haber tenido tanta paciencia conmigo en los tiltimos meses, incluso a la distancia. A todos aquellos profesores y mentores que confiaron en mi, me ayudaron y guiaron con sus consejos y ejemplos, y que todavia lo siguen haciendo.PRELIMINARES: PROLOGO Escribir actualmente un libro sobre tecnologia informatica en general y sobre segu- ridad, en particular, es algo que parece carecer de sentido. La inmediatez con que se puede conseguir gran cantidad de informacién actualizada en Internet llevé a los li bros técnicos casi hasta la obsolescencia. Y quien lo dice es una persona que hace mis de diez afios no publica un volumen en papel, en parte convencido de esta si- tuacién y en parte llevado por las pocas ganas de hacer el enorme esfuerzo que sig- nifica concretar una obra de alto nivel de contenido. Pero las estructuras, reales 0 virtuales, existen para ser cambiadas 0 al menos modificadas. Y esto es lo que han hecho mis amigos Federico Pacheco y Héctor Jara. Cuando me dieron el honor de escribir este prélogo, desconté que se iba a tratar so- bre una obra brillante, pues seria el producto de su capacidad y setiedad profesional. Y cuando lei los primeros capitulos me encontré con otro factor importante: la pasion. por una actividad profesional, que no es s6lo lo que determina la eleccién de una es- pecialidad, sino que es lo que a uno lo impulsa a seguir en las noches sin dormir por estudiar o trabajar, y lo que hace que los resultados sean completos y tigurosos. Ademas del grado de conocimiento y profesionalismo, ¢s ese apasionamiento por el tema lo que llevé a Federico y a Héctor a lograr un libro, justamente, completo y riguroso para las necesidades actuales del que necesita saber de seguridad. Esto es muy dificil y hasta raro de lograr, aun en los libros escritos hace més de diez afios cuando todo era mucho mis facil. ‘Comencé por leer con entusiasmo un extenso capitulo referido a Ethical hacking, donde se presentan todos los conceptos con total precisién, y luego continué con el de Infraestructura de redes, que me resulté muy esclarecedor pese a las dificultades que plantea el tema, Este impulso me provocé leer el resto del libro en una mafiana. Retomo un concepto de dos parrafos anteriores: este es un libro para el que necesi ta saber de seguridad, independientemente de cual sea su posicién profesional 0 aca- démica al respecto. En este volumen estan desarrollados los conceptos basicos con los que se trabaja en seguridad informdtica a fines de la primera década del siglo XXI, algo muy dificil de lograr. Agradezco a Federico y a Héctor por haberme pedido que escribiera este prélo- 0, por agregar una obra a mis libros de consulta y por haberme recordado que Ia pasién profesional existe. Gustavo Aldegani Consultor independiente en Seguridad Informatica 6JEVA DIMENSION @ReauseRs MATERIAL ADICIONAL Ejemplos,cédigo fuente, Planillas y otros elementos para descargar. Mejoran su experiencia de lecturay le ‘ahorran tiempo de tipeado. GuUiA ‘Una completa guia con sitios web, para acceder a més informacién y recursos tiles (que le permitirén profundizar sus conocimientos SOFTWARE Las mejores aplicaciones, relacionadas con el contenido el libro, comentadas y listas, para bjar. eu nePRELIMINARES EL LIBRO DE UN VISTAZO Este libro plantea de forma clara y amena los fundamentos de la seguridad informatica orientados al ethical hacking. No pretende ser un conjunto de tutoriales con pasos predefinidos, como si se tratara de una receta de cocina para utilizar determinada aplicacién, sino que se propone profundizar en conceptos y detalles que no suelen ser tratados en Publicaciones en espafiol de esta naturaleza. Todo esto sin perder de vista la didactica y claridad en los temas tratados. Capitulo 1 GENESIS DE UN NUEVO ARTE Nos introduciremos en el mundo de la seguridad informatica y en algunas tematicas relacionadas. Explicaremos los términos més utilizados, las mejores practicas y la necesidad de mantenernos actualizados. También veremos otros temas importantes como las bases de la informatica forense y el espionaje corporativo. Capitulo 2 ETHICAL HACKING En este capitulo sentaremos los fundamentos del ethical hacking, su terminologia y los conceptos asociados, para luego centrarnos en las caracteristicas de un ethical hacker, los tipos de ataque y los testeos de seguridad. Finalmente presentaremos algunas organizaciones internacionales relacionadas con tecnologia y seguridad Capitulo 3 ANATOMIA DE UN ATAQUE: ETAPA DE RELEVAMIENTO ‘Aqui nos enfocaremos fundamentalmente en cémo organizar un ataque. Veremos los distintos factores que influyen en la etapa de relevamiento de la informacién, asi como también las técnicas y metodologias mas modernas para llevar adelante cada fase que la compone, que son el reconocimiento, el escaneo y la enumeracién. Capitulo 4 ANATOMIA DE UN ATAQUI ETAPA DE ACCESO En este capitulo pasaremos a la segunda etapa de un modelo de ataque, subdividida a su vez en la fase de ingreso, que se relaciona con la explotacién de vulnerabilidades para tomar control sobre un sistema, y la fase de mantenimiento, que tiene en cuenta los métodos para asegurar la continuidad del control. Capitulo 5 EL UNIVERSO WEB En este capitulo plantearemos el escenario de este fantastico universo junto con sus ‘componentes mas importantes y algunas realidades desagradables, como los ataques a sitios web. Ademés, haremos un recorrido a través de los peligros de los servidores web mas conocidos y nos adentraremos en el mundo de las aplicaciones web y sus amenazas més importantes. Como los ataques de SQL Injection, cookies, etcétera. aaaEl libro de un vistazo Capitulo 6 INFRAESTRUCTURA DE REDES En este capitulo daremos un panorama de las redes de comunicaciones, analizando las diferentes técnicas que, combinadas, dan lugar a los ataques mas complejos; las tecnologias y dispositivos utilizados como proteccién y final mente tas comunicaciones inalambricas, haciendo foco en su impacto respecto a la seguridad Capitulo 7 ENFRENTAR EL CONTROL DE ACCESOS Explicaremnos los conceptos y reglas del control de accesos y sus aplicaciones en el marco de la tecnologia en general y la seguridad informatica en particular, analizando especialmente el tema de las contrasefias. También haremos especial foco en los tipos de identificadores dando ejemplos sencillos de su uso tipico. Capitulo 8 ATAQUES SIN TECNOLOGIA En este iiltimo capitulo nos centraremos en otros modos de atacar, relacionados con el comportamiento humano y la psicologia. De esta manera, veremos el phishing y el robo de identidad como ataque y las principales fuentes de riesgo como son las redes sociales y los programas de mensajeria instantanea. METODOLOGIAS DE ANALISIS En este apartado veremos las tres principales referencias metodolégicas utilizadas para el andlisis de la seguridad informatica, Apéndice B MARCO LEGAL Aqui analizaremes el panorama juridico relacionado con la seguridad de la informacién. Servicios al lector En esta seccién incluimos una guia de sitios web recomendados y un listado de programas tiles, que nos permitiran ampliar nuestros conocimientos. Ademas, encontraremos un indice tematico de palabras utilizadas en el libro y dos tablas, una con equivalencias de términos en espaol e inglés y otra de abreviaturas comunes. PEW srormacion coMPLEMENTARIA Alo largo de este manual encontrar una serie de recuadros que le brindarén informacién complementaria: curiosidades, trucos, ideas y consejos sobre los temas tratados. Cada recuadro esta identificado con uno de los siguientes iconos: oO CURIOSIDADES & ATENCION E IDEAS Eas DATOS UTILES Y NOVEDADES Gg ‘siTiOs WEBPRELIMINARES CONTENIDO Sobre los autores 4 Copias de seguridad 2 Prétogo 6 Espionaje corporativo 30 El libro de un vistazo 8 — Motivaciones 30 Informacién complementaria 9 Espias industriales 31 Introduccién 14 Impacto en los negocios 3 Sistema sin parches: Cen problema asegurado 3% GENESIS DE UN NUEVO ARTE Parches y hotfixes 36 Conceptos de seguridad informatica 16 + Service packs 35 Seguridad de la informacién 16 Sistemas automatizados Defensa en profundidad 17 deactuatizacién 35 Los protagonistas 18 El dia después: informatica forense 36 El conocimiento es poder 20 _Delitos informaticos 36 Mantenerse informado 20 Laevidencia digital 37 Necesidad de actualizacién 21 Respuesta a incidentes 39 Fuentes confiables 22 Teoria antiforense 40 Material especializado 24 —_ Reportes de investigacién 40 Las buenas practicas 25 Metodologia de investigacién 4a La administracién segura 25 Resumen Menor privilegio 26 Actividades bb Cer ETHICAL HACKING Fundamentos 46 ana cate Cee nena i do Pesan oon de tant ap epee Control de cambios 2% cmveucesuns | [iene os Control de integridad 27 wa ne Politicas de cuentas 27 Registros y logs 27 10Contenido Perfil de conocimientos 46 {Qué no es? 48 Etica y legalidad 48 Cédigos de ética “9 La escala de grises 50 Chere Sertdor 8 094 tay Tipos de ataque 52 ‘Ataques al sistema operativo 52 Ataques a las aplicaciones 53 Errores en configuraciones 54 Errores en protocolos 56 La evaluacién de seguridad 56 Vulnerability Assessment 57 Penetration Test 58 Autotesteo y contratacién 60 Clasificaciones 60 El informe de trabajo 63 Informe técnico 64 Informe ejecutivo 65 Presentacién de resultados 65 El Penetration Test y los negocios 66 Lacleccién del servicio de PenTest 66 Acuerdos de nivel de servicio 67 Impacto en el negocio 67 Evaluacién de riesgos 68 Certificaciones profesionales 69 Resumen n Actividades nR ANATOMIA DE UN ATAQUE: ETAPA DE RELEVAMIENTO Fase de reconocimiento % Conceptos generates % Necesidades y objetivos 5 Metodologias 5 Fuentes de datos e informacién 8 Fase de escaneo 87 Definicién y objetivos 87 Tipos de escaneo 88 Metodologias de escaneo 89 Herramientas de software 5 Fase de enumeracién de un sistema 100 Informacién para relevar 100 Sistemas Windows 102 Sistemas UNIX/Linux 104 Resumen 105 Actividades 106 5 Aplicacién } ater } 3p x] [v 2 Enlace de datos } 1 Fisica riers ANATOMiA DE UN ATAQUI ETAPA DE ACCESO Fase de ingreso al sistema 108 Explotacién de vulnerabilidades 108 Sistemas de explotacién 112 Acciones desde el interior 116 La intervencién del usuario 118 atPRELIMINARES Fase de mantenimiento del acceso 119 SQL Injection 164 Infecci6n mediante virus 134 Command injection 165 Minimizacién de huellas 138 Cookie/Session Poisoning 165 Resumen 147 Parameter/Form Tampering 166 Actividades: 148 Directory Traversal 167 Secuestro de credenciales de autenticacién 167 =i HTML Scripting 168 ==}—| HTML tags, 169 ‘cet Cross Site Scripting 170 i Inyeccién de cédigo a ne Resumen 175 Actividades: 176 ees riers EL UNIVERSO WEB INFRAESTRUCTURA DE REDES La Web como campo de batalla 150 Introduccién 178 Componentes y protocolos asociados 151 Técnicas de ataque 178 ‘Ataques a sitios y defacement 183 _Escucha de protocolos: sniffing 179 Peligro en los servidores web 156 Impersonalizacién: spoofing 184 Apache 157 Envenenamiento de la red: poisoning 185 Microsoft IIS 159 ‘Seguridad en aplicaciones web 161 demallcncn! Mecanismos de autenticacién 163 Amenazas de las aplicaciones web 164 ‘Naques de HTML Scripting ‘Nagues de Goss ite Robo de sesiones: hijacking 186 ‘seipting (88) Consumo masivo de recursos: Reflected Goss St Serting flooding y DoS 187 ee Dispositivos y tecnologias de seguridad 190 Firewalls 190 Persisted Crosse Sariting 7 Paiste) Sistemas de deteccién de intrusos 194 Honeypots 198 Redes virtuales 201 Redes inalambricas 207Historia de las redes inalémbricas Estandar IEEE 802.11 Seguridad asociada a las redes inalambricas Resumen Actividades Crier Actividades ENFRENTAR EL CONTROL DE ACCESOS Introduecién Reglas basicas Clasificacién de los controles Momento del acceso Recursos utilizados Single Sign-On Conceptos fundamentales Identificacién Autenticacién Autorizacién Identificadores Algo que uno sabe Programas Process Algo que uno tiene {tokens} Algo que uno es [biometri Las personas y sus contrasefias Seleccién de contrasefias ‘Administracién de contrasefias Ataques a las contrasefias Fuerza bruta oa 208 m 212 217 218 220 220 221 221 222 223 224 225 225 226 227 227 228 231 233 236 235 238 238 Contenido Diccionario 261 Métodos hibridos 262 Hash precalculado 262 Adivinacién 262 Sniffing 263 Ingenieria social 263 Resumen 243 bb Capitulo 8 ATAQUES SIN TECNOLOGIA Ingenieria social 266 La psicologia del ser humano 247 Mensajeria instanténea Robo de identidad 261 Redes sociales y comunidades Resumen 269 METODOLOGIAS DE ANALISIS OSSTMM 272 MARCO LEGAL Introduccién 280 Un poco de historia internacional 281 El panorama argentino 283 Peer cs Sitios web recomendados 288 Programas itiles 296 {ndice tematico 304 Equivalencia de términos 307 Abreviaturas cominmente utilizadas 309PRELIMINARES: INTRODUCCION Lejos de definiciones formales, la seguridad informédtica propone un modo distinto de ver la realidad, una perspectiva diferente, casi una filosofia de vida. Es una dis- ciplina en la que resulta imposible adentrarse sin recurrir al sentido de la curiosidad y la creatividad, Desde ese misterioso lugar es que, capitulo tras capitulo, hemos in- tentado transmitir una parte de nuestra experiencia, la llave de una puerta que una vex atravesada nunca podré ignorarse, el mapa de un camino que sélo habré de re- correrse con pasién y determinacién. De ningtin modo hemos pretendido escribir un texto biblico ni un conjunto de in- formacién novedosa, sino més bien un manual de consulta y de referencia, setio y de calidad, con recursos bibliogréficos navegables pot la web y con contenidos ame- nos y atractivos que fomenten su facil lectura, tanto para quienes recién se inician en el tema como para aquellos que ya conocen algo de A lo largo de los capitulos, hemos intentado cubrir los puntos fundamentales que hacen a la seguridad informédtica orientada al ethical hacking: comenzamos por la mas elemental introduccién a los conceptos necesarios, pasamos por la explicacién de las distintas fases de un ataque (subdividida en etapas més simples) y por el mun- do de Internet y las tecnologias web hasta que llegamos a temas mas especificos, co- mo el control de accesos, 0 més amplios y complejos, como las infraestructuras de red. También abordamos aspectos menos técnicos, pero no menos importantes, en un capitulo especialmente dedicado a los ataques sin tecnologia. Somos conscientes de que existe una gran cantidad de temas que han tenido que quedar fuera de esta obra y esa seleccidn ha sido uno de los desafios més complica- dos que tuvimos que enfrentar, por lo que incluso nosotros somos los primeros que nos hemos quedado con ganas de més. Sin mis predmbulos, les damos la bienvenida al vasto universo de la seguridad in- formitica y esperamos que este libro sea de su agrado. Federico Pacheco y Héctor Jara 14Ethical Hacking Génesis de un nuevo arte En este capitulo nos introduciremos en el mundo de la seguridad informatica desde distintos Angulos y atravesando diferentes tematicas, algunas de indole més tecnolégica y otras con menor contenido técnico. Entre otras cosas veremos la nomenclatura y términos més utilizados y presentaremos algunos conceptos relacionados que nos permitiran encarar el resto de los capitulos de forma amena. SERVICIO DE ATENCION AL LecroR: lectores@redusers.com Conceptos de seguridad informatica Segutdad de a infrmacién Defensa en profundidad Los protagoistas 1 conocimiento es poder Mantenerse informado Necesidad de actualizacién Fuentes confiables Materia especializado Las buenas practicas La adiinistracidn segura Menor privilegio Control de cambios Control de integridad Polfticas de cuentas Registosy logs Copias de seguridad Espionaje corporativo Notivacones Espias industrales Impacto en os negocios Sistema sin parches: problema asegurado Parches y htfnes Seve packs Sistemas automatizados de atualizacin El aia después: informatica forense Delite informaticos Laevidenca digital Respuesta ainidentes Teoria antifrense Reports de investigacién Netodoogia de investigacin Resumen Actividades 16 16 v7 8 0 20 a 2 a B B 6 6 a a a 2B 30 30 31 B Ey 34 5 Ey 36 36 37 39 40 40 41 8 a12, GENESIS DE UN NUEVO ARTE “Nunca subestimes a tu enemigo.” (Sun Tzu, El arte de la guerra. Siglo V a. C.) CONCEPTOS DE SEGURIDAD INFORMATICA Para comenzar a tratar temas relacionados a la seguridad informatica, en primer lugar nos sera de suma utilidad saber precisamente a qué nos estamos tefiriendo cuando mencionamos este concepto. Claro que en este respecto, existen decenas de definiciones, que no entraremos a discutir para el caso. Desde hace poco més de dos décadas, muchas personas han creado sus propias significaciones, intentando ser lo mas acertados posible, para explicar la idea del tema. Asi, nos hemos encontrado con relaciones absurdas entre los conceptos de seguridad en si mismo (en sus definiciones legales, militares y demés) y el de in- formatica en si mismo (en sus definiciones de ingenieria y sistemas), que han cambiado con el contexto histérico a través del tiempo. Por supuesto, no nos re- feriamos a la misma informatica en la década del 70 que en la década del 90 0 que en esta primera década del siglo XI. Tal vee una de las formas més elegantes de expresar la idea de seguridad infor- mitica sea la siguiente: un conjunto de medidas de prevencién, deteccién y correccién orientadas a proteger la confidencialidad, integridad y disponi bilidad de los recursos informaticos. Destacamos la elegancia de la definicién, dada la gran cantidad de conceptos que incluye y la amplitud del espectro de co- nocimientos que pretende abarcar. Seguridad de la informacion En Jos tiltimos afios, la vigencia de los temas referidos a seguridad informatica co- menz6 a extenderse a otras reas, tal es asi que trascendié las fronteras de la inform: tica propiamente dicha, elevando de alguna manera su horizonte de responsabilidad y constituyendo el nuevo concepto de seguridad de la informacién, Este hecho se basa en que la informacién va mucho més all de la netamente procesada por equipos informaticos y sistemas, es decir, también abarca aquello que pensamos, aquello que esté escrito en un papel, aquello que decimos, etcétera. De esta manera, podemos determinar que este concepto incluye al anterior como caso particular, por el hecho de agregar otras éreas de dominio. Algunos temas no relacionados directamente con la informatica, pero si con la informacién son, por cjemplo, los que tienen que ver con planes de contingencia y continuidad de ne- gocios, valuacién de activos, leyes y normas, politicas y procedimientos, etcétera. 16Conceptos de seguridad informatica En este libro, elegiremos un enfoque especifico sobre los temas técnicos que si es- tin estrictamente relacionados con la informatica, por lo que no incluiremos més que comentarios 0 anexos sobre otros tépicos. Defensa en profundidad En el 4rea militar (lamentablemente la base histérica de la tecnologia para su creci- miento y desarrollo) se utiliza el término defensa en profundidad para denorar el uso de varias lineas de defensa consecutivas, en lugar de una Gnica barrera muy fuer- te. Las ideas de su implementacién teérica se basan en que un potencial enemigo perderd fuerzas al superar cada barrera y ademés dispersard sus recursos y potencia, debilitandose. Asi, quien se defiende puede centrar sus esfurerzos en la reorganiza- cién y accién estratégica. En nuestra drea, tomamos prestado este concepto para aplicarlo a los sistemas informaticos. A fin de ampliar estos términos, recomendamos fuertemente la lectura de un do- cumento, que ha sido traducido al espafiol, creado por la Direccién Central de la Seguridad de los Sistemas de Informacién del Gobierno Francés (SGDN/DCS- SI), cuyo sitio web es www.ssi.gov.fr. Un extracto de dicho documento enunci “La defensa en profundidad del sistema de informacién es una defensa global y di- ndmica, que coordina varias Iineas de defensa que cubren toda la profundidad del sistema, El término profundidad debe entenderse en su sentido mas amplio, es de- cir, en la organizacién del SI, en su implementacién y, por tiltimo, en las tecnolo- gfas utilizadas. Se trata, por lo tanto, de permitir acciones de neutralizacién de los atentados contra la seguridad, al menor costo, mediante la gestién de los riesgos, un sistema de informes, la planificacién de las reacciones y el enriquecimiento perma- nente gracias a la experiencia adquirida”. Para aplicarlo a los sistemas nos podemos basar en el modelo definido por Microsoft y difundido a través de sus multiples canales de entrenamiento. Elegimos este esque- ma por ser muy didéctico y clarificador. Este se extiende a lo largo de varios niveles. Modelo de defensa en profundidad propuesto por Microso! * Politicas, procedimientos y concientizacién. * Seguridad fisica. * Seguridad del perimetro. * Seguridad de la red. * Seguridad del equipo. * Seguridad de las aplicaciones. * Seguridad de los datos. En conclusién, el uso de las técnicas de defensa en profundidad puede ayudar a im- plementar la seguridad de manera efectiva. Eas a712, GENESIS DE UN NUEVO ARTE Los protagonistas Algunas palabras han sido muy mencionadas en los tiltimos tiempos. Detrés de los términos existe mucho marketing, que hace que la sociedad toda reconozca lo que Jos medios de comunicacién le transmiten, desafortunadamente. Intentaremos arto- jar luz sobre algunos conceptos, de una manera lo mas objetiva posible. Hackers La palabra hacker es un neologismo, que en informatica se utiliza para referirse a un gran experto en algtin area de dominio. Si bien lo relacionamos més con los co- nocimientos técnicos e informaticos, es posible extender el concepto hacia otras disciplinas. De esta manera, definimos a cualquier persona a la que le apasiona el conocimiento, el descubrimiento, el aprendizaje y el funcionamiento de las cosas. Ahora bien, en el mundo profesional de la seguridad informatica, el término hac- ker se considera pricticamente un titulo de honor, que sélo es otorgado por la pro- pia comunidad a personajes que contribuyeron de manera notable a su desarrollo. Cualquier persona que, fuera de estas dos acepciones, se autodenomine hacker, sélo lograré asombrar a quienes no comprendan de qué se trata y, a la vez, demostraré abiertamente su ignorancia a quienes pertenecen al ambiente de la seguridad. Este comportamiento es muy comin, por lo que vale la pena la aclaracién. Hay quienes dicen que el término surgié de los programadores del Instituto Tec- nolégico de Massachussett (MIT) en los afios 60. Estos utilizaban los denomina- dos hacks, que eran mejoras y trucos en programas, y de alli el nombre. Otros dicen que deriva de la palabra inglesa hack (hachar), utilizada para describir Ja forma en que algunos técnicos arreglaban equipos electrénicos: un golpe seco. E electrénica se le suele llamar en broma el teorema del golpe. Es bueno mencionar que los hackers no son piratas informaticos, ni cometen deli- tos, a pesar de lo que contrariamente se cree a veces. En un sentido més filosdfico, el hacker tiende a promover una conciencia colectiva de la libertad de conocimien- to y justicia social, por lo que muchas veces se lo encuentra en situaciones de acti- vismo (llamado en este caso hacktivismo) en pos de dicha ideologta. En octubre de 2003, Eric S. Raymond, un reconocido hacker perteneciente a la ca- tegoria de histéricos especialistas y autor de algunos textos famosos (;Cémo llegar a [Ee inrormaciOn INTERESANTE Los siguientes libros son recursos stiles para conocer el marco histérico de los hackers: Hacker Crackdown (Bruce Sterling, 1992) www.mit.edu/hacker/hacker.html; Hackers. Heroes of The Computer Revolution (Steven Levy, 1996] www.gutenberg.org/dirs/etext96/hckrs10.txt y La his toria de Kevin Mitnick: www.takedown.com.Conceptos de seguridad informatica ser hacker? y La catedral y el bazar), propuso el emblema hacker, alegando necesidad de una unificacién y un simbolo reconocible para la percepcién de la cultura hacker, y definié el planeador (glider), una formacién del Juego de la vida de John Conway. Figura 41. Segiin el creador del emblema hacker, su uso expresa la solidaridad con los objetivos y valores de un hacker. Tal vez el hacker més conocido de la historia sea Kevin Mitnick, arrestado en 1995 tras ser acusado de entrar en algunos de los servidores mds seguros de Estados Uni- dos, aunque ya habia sido procesado judicialmente en 1981, 1983 y 1987 por di- versos delitos electrénicos. El caso de Mitnick alcanzé una gran popularidad entre los medios por las estrictas condiciones de encarcelamiento a las que estaba someti- do, aislado del resto de los presos y bajo la prohibicién de realizar llamadas teleféni- cas por su supuesta peligrosidad. Finalmente fue puesto en libertad en el afio 2002. La lista de nombres histéricos merecerfa un apartado especial, dado que se hace im- posible evitar la mencién de los muchos precursores que hubo, pero, para los més curiosos, es posible encontrar mucha informacién en Internet. Figura 2. La historia de Kevin Mitnick fue Mevada al cine en la pelicula Takedown, aunque relata los hechos de manera tendenciosa. Baa 1911, GENESIS DE UN NUEVO ARTE Crackers El término cracker proviene del vocablo inglés crack (romper). Referido a la in- formatica, podemos decir que es alguien que viola la seguridad de un sistema de forma similar a un hacker, sélo que ilegalmente y con diferentes fines. También se aplica especificamente al software, denotando a aquellas personas que utilizan la ingenieria inversa sobre éste, con el objetivo de desprotegerlo, modificar su com- portamiento o ampliar sus funcionalidades originales. Otros personajes Entre los protagonistas de esta pelicula, también encontramos otros actores, cuyos nom- bres se len en el ciberespacio. Podemos hallar algunos términos como: newbie, que significa principiante; lammer, persona que presume tener conocimientos que real- mente no posee; phreaker, hacker orientado a los sistemas teleftnicos, y script kiddie, quien utiliza programas creados por terceros sin conocer su funcionamiento. EL CONOCIMIENTO ES PODER La frase popularizada por Sir Francis Bacon: Knowledge is power, que significa el conocimiento es poder y que deriva, a su vez, del latin Scientia potentia est, se refiere al hecho de que a partir del conocimiento podemos mejorar nuestras ha- bilidades o adquirir otras nuevas. Si contextualizamos esta maxima y todo lo que conlleva al ambito de la tecnologia, coincidiremos en que es indispensable contar con el saber adecuado en el momento oportuno. La velocidad con la que avanza el mundo no da tregua para atrasarse, por lo cual se hace indispensable disponer de los medios para estar actualizado y con fuentes de informacién de confianza Mantenerse informado Como mencionamos anteriormente, estar informado es una necesidad imperiosa. No podemos darnos el lujo de desconocer las iiltimas noticias 0 novedades relacionadas Ty recursos en ESPANOL | ‘Segu-Info (www.segu-info.com.ar] es un blog argentino con noticias de actualidad, eventos, des- cargas y foros. Cuenta con una gran cantidad de profesionales y colaboradores. HispaSec (www-hispasec.com] es responsable de a lista de correo unaral-dia, a través de la cual los sus criptores reciben diariamente un e-mail con una noticia sobre seguridad. 20El conocimiento es poder con el mundo de la tecnologia en general y de la seguridad de la informacién en par- ticular, Serfa un poco inverosimil si nuestros conocidos, que saben que nos manejamos en el ambiente de la seguridad, nos preguntasen sobre alguna noticia tema de actua- lidad y nosottos no supiéramos de qué nos estan hablando. Y esto es extensible a todos los ambitos en los que nos manejemos. Por otro lado, al momento de informamnos, es bueno sentimos identificados con la fuente de la cual comamos la informacién. La fuen- te puede ser muy buena, pero si no nos llega el contenido, si no logramos afinidad con la forma en que esté expresado y planteado, es bastante probable que no tengamos con- tinuidad e incluso que nos sintamos un poco desilusionados. Para hacerlo més grafico, podemos hacer algunas analogias con cosas cotidianas, Imaginemos que vamos con- sultar a un médico que se gradué con honores de la mejor facultad de medicina, que realiz6 innumerables seminarios y cursos de especializacién y que es reconocido en su ambiente. Sin embargo, al momento de ir a la consulta, no es lo que esperabamo: No vamos a dudar de su idoneidad, pero si no nos sentimos cémodos, no obten- dremos los mejores resultados. Algo similar sucede cuando queremos aprender al- giin instrumento musical. Puede ser el mejor pianista, guitarrista, etcétera, pero si no tenemos afinidad con su estilo, su forma de transmitir el conocimiento o su me- todologia, no vamos a obtener los resultados esperados. Por eso es recomendable que en un principio leamos todo lo que podamos de todas las fuentes de informa- cién confiable que encontremos. Sélo asi serd posible elegir con cual de ellas nos sentimos més cmodos y cul nos resulta més amena. Ouro punto a tener en cuenta es que mucha informacién actualizada esté en inglés. Si bien es facil de comprender y no presenta dificultades asociadas al idioma, debe- mos mejorar nuestro nivel de conocimiento de cara a comprender cada vez més y mejor las fuentes de informacién en este idioma. Necesidad de actualizacion La necesidad de actualizacién esté intimamente relacionada con el hecho de man- tenernos informados. Como bien dijimos, la tecnologia y la seguridad informati ca avanzan tan rapido, que es indispensable no sélo estar informado, sino también [Tey recursos en ESPANOL 1 CriptoRed (www.criptored.upm.es} es (a Red Tematica Iberoamericana de Criptografia y Se- guridad de la Informacién de la Universidad Politécnica de Madrid. Contiene presentaciones, whitepapers y aplicaciones. Su eminente cerebro es el Dr. Jorge Ramié Aguirre.11, GENESIS DE UN NUEVO ARTE actualizado. Y aqui debemos establecer una solucién de compromiso. Evidente- mente, no es posible estar 100% actualizado en todo, por lo que surge la neces dad de elegir, de poner prioridades sobre lo que vamos a mantenernos actualiza- dos y dejar para cuando dispongamos de tiempo aquello mas tangencial. Respecto a las fuentes necesarias, en principio son las mismas que las que nos per- miten estar informado, pero hay que agregar también otras més especificas. Desde el punto de vista técnico, es fundamental leer regularmente bibliografia relaciona- da y publicaciones (de nuevo, la mayoria en inglés). Es importante tomarnos el proceso de aprendizaje constante con humildad, sabiendo que hay mucho por aprender, y que lo que podemos conocer es s6lo la punta del iceberg de una di plina mucho mas compleja y apasionante. Por otro lado, una buena prictica para estar actualizado es conectarnos con asocia- ciones relacionadas con la seguridad de la informacién, grupos o foros de Internet (siempre teniendo especial cuidado del origen de dichos grupos), y todo punto de contacto con personas relacionadas a esta disciplina. El intercambio con colegas es fundamental, ahi es donde podemos obtener la experiencia de campo, conocer nue- vas metodologias, formas alrernativas de resolver los mismos problemas, etcétera. Fuentes confiables De la misma manera que es indispensable estar informado y actualizado, también es fundamental contar con fuentes que sean confiables. Gracias a Internet, el conoci- miento esté al alcance de mucha més gente. Es relativamente sencillo encontrar da- tos sobre casi cualquier tema, solamente a partir de Internet y de Google (0 nuestro buscador favorito). De ahi la frase: “si no lo sabe Google, no lo sabe nadie”. Co- mo contrapartida, con tanta disponibilidad, no solamente hay informacién util, sino que muchas veces lo que encontramos no es fiable. Una buena aproximacién de esto seria la Biblioteca de Babel, descripta en un cuento de Jorge Luis Borges donde, debido a cémo esta construida y la informacién que alberga, es mas com- plicado encontrar informacién titil que informacién espuria. [Ey Recursos en ESPANOL I Kriptépolis (www.kriptopolis.org) es un histérico sitio y blog en espanol dedicado a la cripto- gratia y a la seguridad, con grandes profesionales que colaboran. También dispone de un foro donde se tratan diversas tematicas como ser: migracién a sistemas operativos libres, seguridad, criptografia, cortafuegos, proyectos colaborativos abiertos y otros temas de debate. 22El conocimiento es poder Bae Actualidad Lo ultimo en el Blog Lo ultimo en el Foro Figura 3. EI sitio web de Segu-info es uno de los mas completos portales en espaiiol sobre seguridad informatica. Respecto a la confiabilidad de las fuentes de informacién, tenemos algunas maneras de ver cuales son seguras y cuales no. Entre otras cosas: el periodo de actualizacién, los comentarios de los demés profesionales, las opiniones de otros sitios, el ranking de los buscadores y el posicionamiento en los sitios de bookmarks. KalPTOPOLIS Novedades Figura 4. Kript6polis es un sitio espariol que funciona desde 1996 aportando valiosa informacién a la comunidad. En estas paginas hemos descripto algunas fuentes confiables, tanto en inglés co- mo en espanol, de las que nos podemos nuttir asiduamente. Como comentamos al principio de esta seccién, seria bueno conocerlas a todas ¢ intentar sentir con cual hay més afinidad y comodidad. aaa 231, GENESIS DE UN NUEVO ARTE © SecurityFocus = ‘Symantec Trestcan en abies itso Toi i Figura 5. SecurityFocus es uno de los sitios mas respetados y cuenta con decenas de listas de distribucién. Material especializado Al momento de querer profundizar en temas especificos, muchas veces lo que te- nemos disponible en Internet en una primera instancia de busqueda deja de ser su- ficiente, Aqui es donde entra en juego lo que es el material especializado. En este punto, los distintos materiales que suelen ser titiles para quien est investigando son los whitepapers desarrollados por otros colegas, investigaciones realizadas por uni- versidades y asociaciones sin fines de lucro, por empresas, etcétera. Lo mejor en estos casos es recurrir al lugar de origen, a los mismos sitios de las uni- versidades y organizaciones reconocidas, etcétera. Con la ayuda de un buscador, un poco de pericia en la navegacién por Internet y armados de mucha paciencia, daremos con la informacién precisa. Algunos ejemplos de esto son los Request For Comments (REC) de la IETE, los whitepapers de la TEE, las investigaciones de universidades como el MIT, la Uni- versidad Politécnica de Madrid, la UNAM de México y muchas otras. Esto nos permitiré conocer por ejemplo los detalles de los protocolos e implementaciones. [Ey Recursos en inctés | SlashDot (http://stashdot.org] es un sitio con noticias de actualidad sobre tecnologia, separadas en diferentes categorias como Askslashdot, Backslash, Books, Interviews, IT y Linux entre otras. SecurityFocus {www.securityfocus.com] es uno de los sitios de mayor prestigio del ambiente. El nivel de los temas que se tratan es alto y mas complejo para los recién iniciados. 24Las buenas précticas LAS BUENAS PRACTICAS Es sabido que seguir metodologias y buenas pricticas respecto a la seguridad da bue- nos resultados. Sin embargo, también es una realidad que éstas no siempre se cum- plen en las organizaciones. A continuacién daremos un vistazo a vuelo de péjaro por algunas de las buenas précticas que ofrecen como valor agregado la posibilidad de reducir naturalmente la “superficie de ataque” en los sistemas. La administracion segura Quizis ésta sea una de las buenas pricticas més dificiles de implementar por los ad- ministradores. Algunos de los ftems que tiene en cuenta la administracién segura los comentaremos en el transcurso de los siguientes parrafos. Uno de los puntos princi- pales es utilizar solamente el usuario administrador cuando sea estrictamente necesa- tio. Muchos administradores, por comodidad, tienen la costumbre de usar para todo dicho usuario, Esto trae asociados muchos riesgos, ya que si algtin proceso se ve comprometido, si esta ejecutado por el administrador, quien haya accionado dicho proceso poser los privilegios de aquél. Otro punto importante de la admi- nistracién segura es la correcta gestién de actualizaciones, parches y hotfixes, que trataremos posteriormente, Las buenas pricticas recomiendan un estadio donde se pruebe el impacto de estas actualizaciones, parches y demés. Desde una perspecti va mis técnica, también debemos tener en cuenta el hardening de los servidores de la organizacién. El proceso de hardening consiste en configurar las caracteristicas propias de un sistema de forma tal que se aumente su nivel de seguridad. Algunos de los ajustes que suelen realizarse son deshabilitar servicios y funciones que no se utilicen y reemplazar algunas aplicaciones por versiones mas seguras. HEELE Figura 6. Es recomendable configurar los servicios de Windows al instalar el sistema operativo.11, GENESIS DE UN NUEVO ARTE Menor privilegio Este principio nos dice que para poder realizar sus tareas, un usuario solamente debe tener los privilegios minimos necesarios para llevarlas a cabo sin problemas, y el acceso a los recursos indispensables, no m4s que eso. Esto trae una serie de ventajas muy interesante: mplo, el hecho de tener menos aplicaciones y servicios corriendo en su computadora disminuye en forma considerable la pro- babilidad de que se pueda explotar un error que comprometa al sistema. Por otro lado, y saliendo un poco del punto de vista de la seguridad, con esta practica so- Jemos apreciar un incremento en el rendimiento de los sistemas y equipos, ya que se reduce la carga del procesador y la memoria, lo cual no deja de ser interesante. Otra ventaja es que, incluso al momento de detectarse alguna falla, realizar la de- puracién del sistema es mas sencillo y rapido. Por ej Control de cambios El proceso de control de cambios busca resguardar el modelo de seguridad de una organizacién de la implementacién de determinadas modificaciones que puedan co- rromperlo. Comtinmente, un usuario pide un cambio en algiin sistema que genera una posible brecha de seguridad, Puede ser la instalaci6n de un software especial, el reemplazo de determinado hardware, la modificacién de reglas en un firewall y un largo etcétera, En términos generales, los usuarios no son conscientes de las impli- cancias que las modificaciones pueden tener para la seguridad de la organizacién. Por eso, es la persona responsable de seguridad de la informacién quien debe ana- lizar el impacto de dichos cambios antes de Ilevarlos a cabo. La efectividad en los controles de cambios permite, entre otras cosas, determinar problemas como viola- ciones de politicas internas, fallas de hardware ¢ infecciones por malware. Respecto a las aplicaciones y al sistema operativo, el control de cambios se pue- de implementar en las actualizaciones (upgrades), service packs, parches, re- glas de firewall o proxy y muchos clementos més. En cuanto a los dispositivos de hardware, fundamentalmente puede aplicarse a discos y periféricos, drivers, BIOS y firmwares, entre otros. [Ey Recursos en incés 11 ‘Security Tube (www.securitytube.net) es un sitio similar a YouTube, pero con videos relaciona- dos a la seguridad de la informacién. Contiene material interesante, como por ejemplo: Cripto- grafia sobre llaves piblicas, Wi-fi seguro sobre IEEE 802.11W en routers Cisco MFP Il y también algunos videos graciosos, como ser: Instalar Vista en tan sélo 2 minutos. 26Las buenas précticas Control de integridad Otra de las buenas practicas ¢s realizar controles de integridad sobre los archi vos criticos. Esto implica obtener una pequefia firma o resumen de cada archivo, que lo represente univocamente. Una buena implementacién de un control de in- tegridad permite identificar modificaciones indeseables en archivos criticos, que pueden ser realizadas por algun atacante, por la infeccién del sistema por malwa- re, etcétera. Mas adelante veremos en detalle la forma técnica de efectuar dichas verificaciones y sus vulnerabilidades. Politicas de cuentas La definicién y posterior implementacién de las politicas de cuentas son otras de las mejores pricticas en lo que a seguridad de la informacién respecta. Estas contemplan la correcta configuracién de los usuarios, los recursos a los que tendran acceso y ade- més una politica de contrasefias acorde a los tiempos que corren. Por ejemplo, seria ridiculo exigirle a un usuario que coloque una contrasefia de 14 caracteres, combi nando letras en maytiscula y mintiscula, ntimeros y caracteres especiales, que tenga que cambiar cada una semana y no pueda repetirse por doce periodos. De este modo, lo tinico que conseguirfamos es que la persona la anote en un papel para recordarla, y la medida que pretendfa aumentar la seguridad termine por ser contraproducente, Registros y logs Los registros y logs de auditorfa son una parte fundamental de todo esquema de seguridad. Lo que nos permite obtener un sistema de logs es un rastro de ciertos eventos que se dieron en un momento determinado. Una caracteristica de estos sis- temas es que la grabacién se realiza en un medio de ingreso secuencial, los datos se van almacenando sucesivamente en el drea seleccionada. Actualmente, la generacién de logs no es una dificultad, casi cualquier dispositi- vo 0 aplicacién tiene su propio sistema. El problema asociado a esto es que una vez originada, toda esta informacién tiene que ser interpretada. Para ello se utili zan diversos programas que se encargan de analizar todos los registros generados, [Ey Recursos en INcLEs SecuriTeam (www.securiteam.com} es un sitio dedicado a la divulgacién de noticias, alertas de seguridad, exploits y herramientas, tanto del mundo Linux como del universo Windows. También es posible suscribirse para recibir informacién por e-mail. El sitio se declara: libre, preciso e independiente, pero lamentablemente esta en inglés. Baa a11, GENESIS DE UN NUEVO ARTE correlacionar datos y asi producir nueva informacién, més valiosa que la anterior y en mucha menor cantidad. (Otro punto a tener en cuenta con los sistemas de logs es su gestién. Esto compren- de la seleccidn de los eventos que se van a registrar (por ejemplo, intentos de login fallidos), los ciclos de rotacién, la compresién, la verificacién de su integridad y la proteccidn de los datos mediante cifrado. es Sasi scocoenes ie = —— i Fox — Tere Etre Game Uedeomtee = rae =e rae = ss a a = = aa = ges cases Bornes = — Figura 7. El Visor de sucesos de Windows registra todos los eventos que ocurren en el sistema. Copias de seguridad En forma andloga a los sistemas de registros, el sistema para realizar las copias de seguridad también debe estar determinado. Para que este proceso de backup sea efectivo, los contenidos deben haber sido clasificados en un proceso anterior. Algu- nos ejemplos tipicos de estos son planillas de célculo, inventarios, informacién de clientes, secretos comerciales, planes de investigacién y desarrollo, etcétera. Otra consideracién importante es que los datos suelen cambiar ms frecuentemente que el software y el hardware, por lo que los esquemas de backup deben estar acordes [DD sistiocraria y REFERENCIAS Gran parte de la informacién de esta seccién fue obtenida de los siguientes sitios web, que cuen- tan con abundante contenido orientado a evitar que se incumplan las buenas précticas, y por eso recomendamos su lectura: Laboratorio ESET (http://blogs.eset-la.com/laboratorio] IBM In- ternet Security Systems (www.iss.netl 28Las buenas précticas a dichas modificaciones. Si un dato se modifica una ver al mes, no se recomienda rea- lizar un backup diario, ya que de otra manera se estarian desperdiciando recursos. Como parte de la estrategia de backups, deberdn existir normas claras que permi tan regular, entre ottos, la informacién a resguardar, su frecuencia de operacién, las personas responsables de su ejecucién, la periodicidad con la que se comprobara la efectividad del sistema implementado y el lugar fisico donde se almacenarin las co- pias gencradas. Teniendo en cuenta las distintas modalidades de operacién, tene- mos las tres mas conocidas y utilizadas: * La modalidad full normal: en este tipo de backup se copian todos los archivos seleccionados, hayan sido modificados 0 no, y se reestablece el atributo del archi- vo modificado a cero. * La modalidad incremental: en este caso se copian solamente los archivos creados © modificados desde la tiltima copia, sea ésta full o incremental. En esta modal dad, se marcan los archivos como copiados, cambiando el atributo del archivo mo- dificado a cero. * La modalidad diferencial: aqui se copian los archivos creados 0 modificados desde la tiltima copia de seguridad full o incremental, pero en este caso no se marca el atributo del archivo como copiado, es decir, no se reestablece a cero. Lamentablemente una copia de seguridad diferencial no es tan répida como una incremental, pero es més veloz que una completa; requiere més espacio que una incremental, pero menos que una completa. A modo de resumen, la modalidad fll representa el proceso de backup y recuperacién de datos més simple, pero insume muchos recursos. Si bien los backups incrementales y diferenciales son mis complejos, requieren menos tiempo y recursos. Para ejemplificar, imaginemos los siguientes escenarios: si realizamos una copia de se- guridad completa un dia domingo y una diferencial cada noche, y hay un problema el dia miércoles, s6lo es necesario restaurar la copia del domingo y la diferencial del martes. Pero si efectuamos una copia completa el domingo y copias incrementales ca- da noche, si hay un problema el miércoles, habré que restaurar la copia completa del domingo y las copias incrementales de lunes y martes. [DT recursos acapemicos Algunas universidades tienen en su sitio web excelentes recursos e informacién disponible para ser descargada: Universidad Politécnica de Madrid (www.upm.es), Universidad Politécnica de Va- lencie (www.upv.es), Universidad Politécnica de Catalunya (www.upc.es] y Universidad Auténo- ma de México [www.unam.edu.mx}. Ea 2911. GENESIS DE UN NUEVO ARTE ESPIONAJE CORPORATIVO El espionaje corporativo existe como tal pricticamente desde la revolucién indus- trial, donde los secretos de produccién de las fabricas comenzaban a set la clave de los negocios. Con el correr del tiempo, estos secretos fueron tomande la forma de fér- mulas quimicas, procesos productivos, materiales especiales, proyectos de investiga cién y desarrollo, campafias publicitarias, que las empresas guardaban celosamente. En este contexto las compafiias buscaban obtener ventajas competitivas haciéndose con esa valiosa informacién de diversas maneras, De este modo, las empresas alcan- zaban una considerable superioridad respecto a sus competidores que no contaban con ella. Asi nacen los espfas industriales, quienes conseguian esa informacién, obviamente, utilizando métodos poco éticos y legales. Contrariamente a lo que sucede con los bienes tangibles, para los cuales es sencillo darse cuenta si han sido robados, puede darse el caso de que por muchos afios se le haya quitado a una empresa su propiedad intelectual o su ventaja competitiva y que nadie se diera cuenta de ello, La comperencia podria lograr beneficios en el mercado constantemente, por ejemplo haciendo una mejor oferta en una licitacién 0 desa- rrollando mejoras a productos més econémicas o més ripidamente. Esto demuestra que los secretos corporativos en manos de la competencia implican un conoci- miento que puede volverse en contra. Debemos tener en cuenta que el espionaje corporativo no sélo se limira a las grandes compafiias y a las enormes inversiones. Es posible que los espias profesionales obtengan cl perfil de una pequefia empresa a partir de sus conversaciones privadas, documentos desechados, proyectos y restos de materiales de viajes. Con los avances y la masificacién de Internet y de las tec- nologfas relacionadas, es cuando esta actividad encuentra un nuevo vector, Motivaciones Como mencionamos anteriormente, todo lo que pueda generarle benefi compaiifa y ponerla en una posicién de ventaja sobre la competencia es blanco na- tural del espionaje corporativo o industrial. También vimos que eso podia variar entre el cédigo fuente de un programa, un software pronto a lanzarse, los planes Dace El Institute of Electrical and Electronics Engineers (IEEE) tiene su sitio web en www.ieee.org. Es una asociacién técnico-profesional mundial dedicada a la estandarizacién de normas tecnolégi as. Constituye la mayor asociacién internacional sin fines de lucro, formada por profesionales de tecnologia y una autoridad lider y de maximo prestigio en las areas técnicas derivadas, 30Espionaje corporativo de marketing, secretos corporativos, documentacién de investigaciones, etcétera. Si seguimos dejando volar nuestra imaginacién, otro ejemplo practico seria frente a una licitacién puiblica. Esta suele representar grandes beneficios para la empresa que la gana, pensemos por un momento qué pasarfa si la competencia obtiene la oferta final antes de que sea publicada. Sin dudas serfa una gran pérdida de dinero. Pero no s6lo nos vamos a centrar tinicamente en las empresas. Por ejemplo, con- templemos por un momento una puja entre medios de comunicacién, no serfa des- cabellado, dado el contexto actual, que existan espias que busquen obtener detalles de las campafias, sueldos de las figuras més importantes, etcétera. Oura motivacién, también fuera del Ambito corporativo, puede ser la de obtener in- formacién privada de personas de perfil publico que pueda comprometerlas. Ape- lando a un viejo recurso de la retérica, muchas veces se pretende probar que una de las partes tiene razén, demostrando que la otra esté equivocada. Extendiendo un po- co més este concepto, si se evidencia que el rival de una disputa no ¢s una persona confiable 0 no posee valores éticos, la otra de las partes corre con ventaja. De ahi que muchas veces se busca hurgar en el pasado de celebridades, politicos y figuras de renombre con tal de encontrar algin dato que pueda comprometer su imagen. Como conclusidn, cualquier informacién confidencial para una organizacién e inclu- so para algunos particulares es una motivacién para realizar espionaje corporativo. Espias industriales Podriamos decir que los espfas existen desde que hay conflictos entre bandos. En Elarte de la guerra, Sun Tau destacaba su importancia de la siguiente manera: “[...] permiren al soberano sabio y al buen general golpear y conquistar mediante el co- nocimiento preciso de las actividades desarrolladas por el enemigo”. Probablemente mientras estamos hablando de espias, lo primero que se nos viene a la mente son personajes de la talla de James Bond, Jason Bourne y, por qué no, Maxwell Smart. Pero, en realidad, en el ambito corporativo, suele suceder que el es- pia no sea otro que un trabajador, y no necesariamente lo haga en forma intencional. Dear EL Internet Engineering Task Force (IETF] tiene su sitio web en www.ietf.org y es una organizacién internaci nal abierta de normalizacién, cuyo objetivo principal es contribuir a la ingenieria de In- ternet. También es a mayor autoridad para establecer modificaciones técnicas en la red y es la encargada de publicar los RFC. Eas at1, GENESIS DE UN NUEVO ARTE Un concepto clave que vamos a utilizar asiduamente en seguridad de la informa- cién ¢s la analogfa con una cadena y sus eslabones. Esta siempre se romper por el eslabn més débil, aquel que presente alguna falla estructural. En este caso, el esla- bon més debil respecto a la proteccién de los datos de una organizacién no es otro que el mismo trabajador. Se pueden agregar infinidad de medidas técnicas asocia- das a la seguridad, pero si no esta contemplado que gran parte de la seguridad de- pende del usuario, estas medidas no serin del todo efectivas. Como dijimos, con la masificacién de Internet aparecieron nuevos vectores para llevar a cabo el espionaje corporativo. El hecho de que cada ver. més las compu- tadoras estén conectadas a Internet constantemente junto a que los usuarios no son conscientes del peligro que conlleva que no se tomen los recaudos minimos de seguridad facilita que otras personas con malas intenciones tengan acceso a infor- macién privada. Aqui es donde cobra relevancia el malware o software malicioso. Posteriormente hablaremos en detalle de este tema, pero por ahora vamos a definir como malware a todos aquellos programas que tengan fines perjudiciales para el duefio del sistema que se est4 infectando, Ejemplos de esto son los virus, troyanos, spyware, adware y muchos otros especimenes. @{DELITOS: 4 “ie ‘ia ints [S| SS PRE Responsabilidades empresariates en la —_ Leyte Tinformnsticos de a Figura 8. E1 portal www.delitosinformaticos.com contiene noticias y leyes que ayudan a abordar la tematica legal. En lo que se reficre a espionaje industrial, quizas los mds perjudiciales por el impacto directo que tienen sean los troyanos y spywares. Los troyanos, a grandes rasgos, dejan disponible al atacante una entrada al sistema, con lo cual potencialmente tiene el con- tol sobre el equipo y sobre la informacién que éste aloja. Los spywares, en cambio, son pequefios programas que recopilan informacién de nuestro sistema y la envian a distintos servidores para que sca analizada. Penscmos por un breve instante lo que podria suceder si la computadora de un gerente o un directivo estuviese infectada por 32Espionaje corporativo algunos de estos programas. Potencialmente toda la informacién que se encuentre dentro de ese equipo estaria al alcance del pérfido atacante. Volviendo al espionaje corporativo en términos generales y segiin datos de un cél- culo estimado, aproximadamente dos tercios del total del espionaje corporativo en Estados Unidos ¢s llevado a cabo por los propios trabajadores. En algunas ocasione los empleados venden secretos corporativos con fines de lucro, pero en otros ¢asos pueden hacerlo sélo por venganza. Un empleado disconforme es capaz de enviar sus secretos corporativos directamente a la competencia. Pero como también mencionamos anteriormente, puede ser que la accién no sea intencional. Por ejemplo, las entrevistas de trabajo constituyen una fuente de e: pionaje mas discreta para las compaiias. Algunas preguntas hechas de la forma y el modo correcto, tales como ;cusles fueron tus tareas? 0 cudl es el préximo paso de su organizacién?, son formuladas con el fin de conocer ciertas metodologias o secretos internos de la competencia. Impacto en los negocios Sin dudas, el espionaje industrial tiene un impacto negativo en las organizaciones y las pérdidas que trae aparejadas son millonarias. El informe anual de seguridad FBI/CSI 2008 (FBI/CSI Computer Crime & Security Survey 2008, www.gocsi.com) refleja esta realidad con estadisticas interesantes sobre las seguridad en las empresas. Si tenemos en cuenta que el total de organizaciones encuestadas fue de 494, in- cluyendo empresas, entidades gubernamentales, asociaciones, etcétera, y que el monto de pérdidas ascendia en promedio a los US$ 350.000 por compaiifa, las cifras obligan a estar atentos a estas practicas. Por otro lado, segtin un estudio de ESET y de IBM Internet Security Systems de fines de 2007, los malware més utilizados por los atacantes son los troyanos con el 28%, seguidos por los gusanos con el 14,8%. Todos los ataques descriptos atentan contra la informacién confidencial de las orga- nizaciones, pudiéndose utilizar los datos por quien los obtuvo para realizar acciones de espionaje corporativo, entre otros fines maliciosos. Como también se puede ver en las estadisticas, las pérdidas asociadas son muy elevadas. oO DATOS DEL INFORME DEL FBI/CSI 2008 + Porcentaje de pérdidas asociadas al malware: 52% + Pérdidas por gusanos, troyanos y spyware: US$ 8.392,00. + 37% sutrié pérdidas dentro de sus organizaciones mayores al 20% a través de atacantes internos. + Las acciones de los insiders crecieron de 42% a un 59% y el robo de notebooks de 47% a 50%. Ea 331, GENESIS DE UN NUEVO ARTE SISTEMA SIN PARCHES: PROBLEMA ASEGURADO Es normal escuchar casi a diario sobre las nuevas actualizaciones de las aplica- ciones, tanto en materia de seguridad como de funcionalidad. En este dinamico universo de idas y venidas de software por Internet es que nos encontramos fren- te ala necesidad de comprender qué es lo realmente necesario para mantenernos seguros. No debemos olvidar que un atacante serd el primero en tener que con- tar con un sistema seguro de trabajo. Parches y hotfixes Algunos términos como patches (parches) 0 hotfixes (interpretado como revisién) son los que encontramos en el folclore de la industria del software. En pocas pa- labras, podemos decir que un hotfix es un componente disefiado para reparar problemas que ocurren en un ntimero de equipos de trabajo relativamente peque- fio. Este tipo de programas suele ser creado por el proveedor de sofeware cuando surgen ciertas dificultades de compatibilidad o funcionalidad con un producto de un fabricante utilizado en una plataforma de hardware especifica. Los hotfixes, por lo general, no son sometidos a pruebas tan rigurosas (como los antivirus) antes de set publicados, pues su idea es solucionar répidamente problemas criticos, por lo tanto, de no ser necesarios, no se deberian instalar. Un aracante podria, conocien- do esta recomendacidn, saber que no siempre esta todo reparado en los equipos de su objetivo. Por supuesto que su instalacién puede ser manual 0 automitica, dependiendo del sistema operativo. Notas sobre actualizaciones Figura 9. En el sitio oficial de Ubuntu en espaiiol encontraremos notas sobre actualizaciones criticas para dicha distribucién de Linux. 34 EaSistema sin parches: problema asegurado En el caso de los parches, se trata mds bien de una actualizacién para solucionar pro- blemas o mejorar la usabilidad de cierta aplicacién. Los podemos aplicar a un binario ejecutable o al cédigo fuente de un programa. En el caso del binario, es posible mo- dificarlo realizandole cambios a nivel de bits 0 bien reemplazindolo por completo. Microsoft tiene una herramienta llamada Network Security Hotfix Checker, que sirve para realizar verificaciones de parches instalados y podemos descargarla desde www.microsoft.com/technet/Security/tools/hfnetchk.mspx. Service packs Otro concepto de la atmésfera del software, cuyo nombre popularizé Microsoft, es el de service pack, que no es mas que un conjunto de parches que se utiliza para actualizar, corregir y mejorar aplicaciones y sistemas operativos. Pueden ser incrementales (no contienen las actualizaciones anteriores) o acumulativos (cada uno contiene el anterior). Un atacante siempre intentaré descubrir si su sistema objetivo tiene instalado un service pack, ya que esto le dird en buena medida a qué es vulne- rable. En el caso de sistemas Windows, el recurso mds titi es el del propio sitio web de soporte de Microsoft: http://support.microsoft.com/sp. Sistemas automatizados de actualizacion Muchos creadores de software disefiaron sistemas automaticos para la instalacién de parches, a fin de resolver los posibles problemas derivados de la gran cantidad de aplicaciones existentes para ser administrado y mantenido. El ejemplo més conoci- do de un sistema de aplicacién de parches es el Windows Server Update Services (WSUS) de Microsoft, aunque también los hay en otras plataformas. A los fines de un atacante, todo esto puede ser utilizado mediante una té pecial que implique una descarga automitica de parches o actualizaciones falsas. Con esto en mente, el investigador argentino Francisco Amato de Infobyte (www.infobyte.com.ar) desarrollé un conjunto de herramientas de explotacién Ila- mado Evilgrade, que utiliza técnicas de man-in-the-middle(en DNS, ARP, DHCP, etcétera) para tomar el control de un sistema remoto que realiza la tarea de manera ica es- TBD apache. c Nomare DEL PARCHE Cuenta la leyenda digital que el servidor web mas utilizado evolucioné como un conjunto de par- ches del servidor NCSA (National Center for Supercomputing Applications) para afadir funciona lidades. Adem4s, su nombre deriva del hecho de ser un conjunto de parches (en inglés, a patchy server o un servidor parcheado) de donde surgiria original mente la fonética. Ea 3511, GENESIS DE UN NUEVO ARTE no segura. El sitio Windows Security presenta diversas aplicaciones de gestién de parches para plataformas Microsoft. La lista y explicacién de cada herramienta pue- de accederse desde: www.windowsecurity.com/software/patch-management. EL DiA DESPUES: INFORMATICA FORENSE Segiin las estadisticas, en la iltima década hubo més de 20.000 ataques exitosos a sitios web solamente en la Argentina y a nivel mundial los néimeros son escalo- friantes, Estos casos se transforman en el escenario de la informatica forense. Una excelente definicién de este término la encontramos en un texto de origen austra- liano: “Es la técnica de capturar, procesar ¢ investigar informacién procedente de sistemas informaticos usando una metodologfa con el fin de que pueda ser utilizada cn la justicia” (Rodney McKennish, 1998). Segiin la Oficina Federal de Investigacién de Estados Unidos (FBD), la informédtica forense es: “La ciencia de adquirir, preservar, obtener y presentar datos que han si- do procesados electrénicamente y guardados en un medio informético”. En cuanto a los incidentes informaticos, estos pueden ser de distinta naturaleza, como ser el robo de propiedad intelectual, fraude, distribucién de virus, dene- gacién de servicio, extorsién, estafa, acceso no autorizado, robo de servicios 0 abuso de privilegios, entre otros. Delitos informaticos Este término est4 muy presente en Ia actualidad, dadas las leyes que se promulga- ron al respecto en los tiltimos afios. Podemos afirmar que son simplemente los ac- tos criminales en los cuales se encuentran involucradas las computadoras. Pueden ser cometidos directamente contra éstas, puede que éstas sean las que contienen la evidencia, o bien ser utilizadas para cometer delitos. Debido a que nadie desea ser acusado de delincuente informédtico, y mucho menos terminar en la carcel ni pagar multas, es importante saber que, asi como los Estados més avanzados del mundo, ID suc huntine Se habla de bug hunting como el hecho de rarlos para conseguir mejores productos de software y evitar que ocurran en adelante. Las fa- llas encontradas pueden ser reportadas al responsable o puede continuar la investigacién has- ta encontrarse un exploit que demuestre el alcance y consecuencias de ésta. azar errores” de software, con el objetivo de repa-El dia después: informatica forense varios pafses de Latinoamérica poscen leyes sobre el tema. Las contravenciones pe- nadas por estas normas abarcan acciones como ser la distribucién de pornografia infantil; la interrupcién, obstruccién 0 desvio de una comunicacién; el acceso in- debido a bases de datos privadas; la alteracién del normal funcionamiento de un sistema; la modificacién o destruccién de documentos y programas o la venta y discribucién de programas destinados a hacer dafo en un sistema informatico PTS ULC DLeL cece Error informatio + detancion + 3 requisa no genera exclusion de prueba com Figura 10. En el blog del abogado argentino Pablo Palazzi (www.delitosinformaticos.com.ar/blog) podemos obtener informacién interesante y muy actualizada sobre delitos informaticos. La evidencia digital En los sucesos de la vida real, la evidencia lo es todo respecto a la demostracién, ya que se utiliza para establecer los hechos y permite relacionar diferentes eventos. La evidencia digital, especificamente, es un tipo de prueba fisica, menos tangible que otras formas de evidencia (como la prueba de ADN, las huellas digitales, com- ponentes de computadoras, papeles). Tiene algunas ventajas sobre su contraparte no digital ya que, por ejemplo, puede ser duplicada de manera exacta, es posible [I wna oisciptina sin esTANDARES La informatica forense es una ciencia relativamente nueva, que carece de estandares formales, aunque hay algunos proyectos en desarrollo, como el Cédigo de Practicas para Digital Forensics (C4PDF) de Roger Carhuatocto, el Open Source Computer Forensics Manual de Matias Bevi- lacqua Trabado y Training Standards and Knowledge Skills and Abilities de [2 1OCE. 3711, GENESIS DE UN NUEVO ARTE detectar si ha sido alterada y, aun si es borrada, a veces recuperarla, Esto se resu- me en: repetible, recuperable, redundante e integra. Un atacante intentaré siempre destruir la evidencia, por lo que desear4 conocer to- dos los sitios donde permanecen las copias. También trataré de generar problemas sobre la posible evidencia, alterdndola, haciendo que el sistema mismo la elimine (sobreescritura de datos en disco y memoria) o simplemente teniendo medios més sofisticados que los investigadores. Existe una regla muy importante en la informatica forense, que asegura que no siempre vale la pena investigar. Vedmoslo de la siguiente forma: 1. Se produce un incidente. 2, Se analizan las pruebas. 3. Se generan hipétesis. 4, Se presume una respuesta. Pero, aun analizando minuciosamente los hechos... zhay acaso absoluta certeza de lo que se cree que ocurrié? La respuesta en general es: no. Esto ocurre debido al mi mo problema que siempre tenemos en la seguridad, los “buenos” corren detras de los “malos” y por lo tanto estos tiltimos llevan ventaja. Pero desde un punto de vista més practico, investigar implica un consumo de tiempo, esfuerzo, dinero y recursos humanos, puestos a disposicién del caso, ¢ incluso muchas veces se produce la inutilizacién del material para analizar, lo que en ocasiones puede reducir la productividad de los damnificados. Por ejemplo, si un atacante accede a un servidor de una empresa y toma control de éste, tal vex el investigador necesite sacar de produccién dicho equipo para investigarlo en detalle, lo cual dejarfa a la empresa sin ese servidor. Aqui la decisién seré mas bien gerencial: sperder productividad a fin de intentar detectar al atacante?, ;tie- ne la empresa una politica ante incidentes?, ;se debe continuar investigando o no? Un buen investigador sabré por experiencia cudndo ya no es conveniente se- guir avanzando. Segiin especialistas del FBI, un incidente de 1 hora de duracién puede insumir en promedio unas veinte horas de andlisi Doce La International Organization On Computer Evidence (1OCE) es un organismo internacional que fun- ciona desde 1995 y est compuesto por agencias gubernamentales. Su propésito es realizar un foro internacional para intercambiar informacién sobre investigaciones de evidencia digital y te- mas de computacién forense. Su sitio web es: www.ioce.org 38El dia después: informatica forense Un atacante entonces sabré muy bien que los investigadores tienen un limite y ac- tuard con la consideracién de que, Ilegado el caso, ya nadie intentaré continuar si- guiendo sus rastros. En ese punto, sin ser el crimen perfecto, habré ganado. Respuesta a incidentes Para hacer frente a los incidentes de manera inmediata, se sucle contar con el apoyo de los Computer Security Incident Response Teams (CSIRT) o Equipos de Respuesta a Incidentes de Seguridad que son, en palabras de la gente de ArCERT, el CSIRT de Argentina: “Organizaciones responsables de recibir, revisar y responder a informes y actividad sobre incidentes de seguridad”. Sus servicios son general- mente prestados para un drea de cobertura definida que podria ser una entidad re- lacionada u organizacién de la cual depende, una corporacién, una organizacién de gobierno o educativa, una regién o pais, una red de investigacién o un servicio pago para un cliente. Un ataque tendrd consecuencias mas graves en caso de que la organizacién no cuente con un plan de respuesta ante incidentes. iP cessrassoewes D 2x20, s2000 SCS Novedades de ArCERT rea {hs ecm DALE VALOR ATU HORTACION ene ete Se novembre yl" de atembre 2008. Sitsegeta ge Teco de Gestan, » Vanes dels ONT y ACERT ee ie bets cover genres ey eens Figura 14. ArCERT fue creado en 1999 y se encarga de difundir Informacién con el fin de neutralizar incidentes en forma preventiva o correctiva. [Ey Recursos dé CERT ONLINE Cada pais suele tener su propio CERT o equipos de respuesta a incidentes. Algunos de ellos son: CERT® (www.cert.org), ArCERT (www.arcert.gov.ar], US-CERT (www.us-cert.gov), UNAM CERT (www-certorg.mx), CERT Chile (www.cleert.cll, Open Source CERT (http//ocert.org), CERT India {www.cert-in.org.in], CERT Australia (www.auscert.org.aul. Eas 3911, GENESIS DE UN NUEVO ARTE Teoria antiforense Asi como existen técnicas que sirven para determinar la reconstruccién de he- chos y la elaboracién de teorfas sobre ataques ¢ incidentes, también hay practi cas que tienen como objetivo dificultar dicho proceso. Estas técnicas, denomi- nadas antiforenses, suponen el conocimiento absoluto de la manera en que un investigador aplicard sus conocimientos en busca de informacién y confeccién de tcorias. De esta forma, sabiendo qué es lo que se hard para descubrir un rastro, se puede tener en cuenta una forma especial de ocultarlo para que no salga a la Juz en un andlisis. En un nivel més profundo de estudio, las técnicas antiforen- ses pueden ser derrotadas con medidas antiantiforenses, es decir, conociendo el accionar y las técnicas antiforenses, tomar medidas tales que puedan servir para cumplir los objetivos del andlisis inicial. Reportes de investigacion Un gran trabajo de investigacién podrfa fallar en su momento ciilmine, y los inves- tigadores tienen muy en cuenta esto al finalizar su tarea. En pocas palabras, no sélo es importante descubrir qué ocurrié, sino también que los demas lo comprendan. Esta realidad determina al menos dos niveles de discurso, uno més bien técnico y otro mas bien gerencial. Esto es més importante aun cuando se trata de un proceso legal, ya que los peritajes deben cumplir con determinadas normas que no se habrin de evitar. Normalmente la presentacidn de los resultados se hara a una empresa, a los abogados, a la corte, 0 bien al individuo que lo solicite. La aceptacién de ésta, en cualquier caso, dependerd de diversos factores, como ser la forma de presentacién, los antecedentes y calificaciones de la persona que realiz6 el andlisis y la credibilidad del proceso que fue utilizado para la preservacién y andl Informe ejecutivo Un informe ejecutivo contiene mayormente las conclusiones del caso, sin incor- porar detalles técnicos, dado que las personas que lo reciben finalmente no son por lo general especialistas. Puede estar acompafiado por imagenes aclaratorias, diagra- mas de flujo, lineas de tiempo, etcétera. Muchas veces incluye un andlisis de costos [I uenas PRAcTIcAs Y VULNERABILIDADES Entre las buenas practicas y la ética del mundo de la seguridad informatica, se considera que, antes de realizar un aviso pUblico de una vulnerabilidad, el investigador debe informar a la empresa afectada, proporciondndole los detalles sobre ella y, en la medida de lo posible, ayu- dar con su resolucién.El dia después: informatica forense y el valor de las pérdidas suftidas por el incidente. Por supuesto, también contiene las posibles hipétesis sobre el caso. Informe técnico Para el caso del informe técnico, el detalle a nivel informédtico ¢s mucho mayor, ya que reflejard la metodologfa utilizada y, en gran parte, las habilidades del investiga- dor. En estos informes podemos encontrar resultados de pruebas sobre software y los datos, capturas de protocolos, etcétera. Cada reporte indicara técnicamente por qué la conclusién a la que arriba el investigador es tal y no otra. Metodologia de investigacion Las metodologias nos aseguran que los procesos llevados a cabo puedan ser repet bles de manera sistematica, Es decir, nos permiten contar con ciertas précticas pro- gramadas. En este caso, el proceso se realiza sobre la evidencia digital de una forma legalmente aceptable y siguiendo determinados pasos: + Identificacién: es el primer paso en el proceso. Sabiendo qué evidencia esta pre- sente, dénde y cémo se guarda, determinamos los procesos para su recuperacion. La evidencia puede extenderse a cualquier dispositivo electrénico capaz de alma- cenar informacién. Debemos poder identificar el tipo de informacién y el forma- to en que se guarda para usar la tecnologia apropiada para extraerlo. * Preservacié es indispensable que cualquier examen de los datos se lleve a cabo de la manera menos intrusiva posible. Hay circunstancias donde los cambios de datos son inevitables, pero debemos hacerlo en la menor medida posible. La alte- racién de todo lo que tenga valor de evidencia debe ser registrada y justificada. * Analisis: comprende la extraccién, procesamiento ¢ interpretacién de los datos di- gitales. Una vez obtenida la evidencia, requiere de un proceso de estudio antes de que pueda ser comprendida. * Presentacién: incluye la manera formal de la presentacién, la especializacién y ca- lificaciones del perito. Contempla la credibilidad de los procesos empleados para producir la evidencia que se esta presentando ante quien juzga. [BD cutstiones TEcnicas Y LEGALES Para realizar un adecuado anilisis informatico forense se requiere un equipo multidisciplinario oy expertos técnicos en metodo- logfa forense. Esto es asi porque se trata de garantizar el cumplimiento tanto de los requeri- mientos juridicos como de los requerimientos técnicos derivados de las metodologias. que incluya profesionales especializados en derecho tecnolé Ea aL12, GENESIS DE UN NUEVO ARTE Durante todo el proceso sera fundamental conservar lo que se denomina cadena de custodia, es decir, todas las manos por las que pasa la evidencia y qué procesos sigue mientras se trabaja con ella. Un atacante que pueda alterar la cadena de custodia, po- dria obtener acceso a la implantacién de falsas pruebas y modificar la evidencia. E] atacante y el investigador estardn enfrentados en lo referido a la informatica fo rense, por lo que el que posca mayor conocimientos sobre determinados temas ten- dré mejores posibilidades de cumplir con su objetivo. Ambos deberan conocer en profundidad, por ejemplo, cémo la evidencia es creada y cémo se puede falsificar. Medios digitales de almacenamiento Todo medio utilizado para transportar informacién digital sera susceptible de conte- ner evidencia. Entre estos, se encuentran discos duros (ain algunos disquetes), CDs/ DVDs, tape backups, dispositivos USB y tarjetas de memoria (SD, XD, etcétera) Una de las mejores habilidades de un atacante ser tener conocimiento sobre la for- ma en que se almacena la informacién en los distintos medios, los sistemas de ar- chivos asociados y sus formatos, y estar familiarizado con los estandares existentes. De esta forma, conocer el formato ISO 9660, el UDF o los distintos sistemas de ar- chivo, como ext3, NTFS, FAT32, ofrecerd ventajas a la hora de atacar un objetivo dererminado con caracteristicas propias. También ayudaré el hecho de tener conoci- mientos sobre clectrénica y hardware y, por qué no, algo de fisica y matemitica. Recopilaci6n de la informacion Las ubicaciones posibles de los datos que hay que analizar podrin ser tan diversas ‘como la informatica en si misma. Por ejemplo, la PC origen del intruso seguramente contendrd informacién valiosa, asi como también el sistema de acceso (conexién) a las redes internas, la PC de la victima y eventualmente la PC que se utilizé para lan- zar el ataque, que no necesariamente ser la misma desde donde se origina. Para el caso de los dispositivos electrdnicos, se requiere una comprensién completa de la estructura fisica y del funcionamiento de los medios de almacenamiento, asi Bay Las cuatro recLas ‘Amodo de resumen de conceptos, citaremos cuatro reglas elementales mencionadas en el tex- to denominado A las puertas de una nueva especializacién referido a informatica forense: 1} mi- nimizar el manejo det original; 2] documentar los cambios, 3} cumplir con las reglas de la evi- dencia y 4) no exceder el conocimiento propio.como la forma y la estructura légica del modo de archivar los datos alli. La com- plejidad se simplifica aplicando herra- mientas de recuperacién adecuadas, ya que mucho del conocimiento exigido es- td integrado en el software de releva- miento y recuperacién de datos. También nos referimos a cualquier dis positivo capaz de guardar informacién que posca tanto valor como evidencia: celulares, PDA, routers, etcétera. En es- te caso, la estandarizacién de dispositivos ha permitido que la extraccién de datos sea mas facil y que se pueda realizar la re- cuperacién en dispositivos especificos. El dia después: informatica forense Figura 12. Un error de seguridad comin es encontrar un pendrive perdido y conectarlo al propio equipo para ver su contenido. Muchas veces los atacantes cuentan con mayor nivel tecnolégico que los propios in- vestigadores, por lo que es posible que estos no puedan recuperar los datos o anali- zar las evidencias que dejé un incidence. ww RESUMEN En este capitulo nos hemos introducido en el apasionante mundo de la seguridad informatica. Hemos isto sus conceptos fundamentales, las buenas practicas a tener en cuenta y la terminologia para comprenderla. También hemos analizado ta necesidad de contar con fuentes confiables de informacién, la importancia de las actualizaciones de software y la realidad del espionaje corporativo. Finalmente, hemos explicado los aspectos mas importantes de la informatica forense, una ciencia en pleno desarrollo. aaa 43