Está en la página 1de 84

hakin9

hakin9 de abril

En abril, como cada mes desde enero del año 2007, hakin9 os trae una serie de artículos nuevos, interesantes y prácti- cos, que os ayudarán en vuestras actividades profesionales

y que os dejarán conocer mejor algunas parcelas en el

mundo de la seguridad informática hasta este momento desconocidas Uno de los artículos que seguro vale la pena leer es:

Registro de Windows, que os enseñará cómo implementar seguridad sobre el registro de Windows y también como

prevenir unos posibles ataques al Editor de Registro de Win- dows. El autor de texto es un profesional certificado por Intel Inside y también miembro de la comunidad de codigo seguro de Microsoft – quién mejor para contarnos sobre este tema. Seguro os resultará muy útil e interesante. Otro artículo que vale la pena conocer es Bluetooth – La Amenza Azul . Los problemas que puede traernos el uso de Bluetooth son cada vez más populares, por lo tanto vale la pena conocerlo mas a fondo. Y para los que ya conocen el tema siempre es conveniente repetir la información. En nuestra sección de herramientas encontrarán la des- cripción de Virus Sort 2000. Esta herramienta os ayudará

a

formar vuestra propia base de virus para coleccionarlos

e

intercambiar con otros aficionados al tema. Al ser Sha-

reware todos podéis probarla. En el CD de hakin9 encontraréis nuestro habitual hakin9live – cada vez mas actual y más útil. Tambien encon- traréis aplicaciones profesionales – totalmente gratis solo para los Lectores de hakin9.

Aprovechando esta oportunidad quiero invitaros otra vez más a participar de forma activa en la revista. Los articulos en la mayoria de las revistas están preparados por la redac- ción sin consultar los temas con los Lectores. En hakin9 puedes ser tú quien decida sobre el contenido final de la revista. Haciéndote nuestro Betatester recibirás articulos para leerlos mucho antes que los demas Lectores. Y serás

tú quién nos diga si vale la pena publicarlos. Esta ayuda es

voluntaria – participas cuando tienes tiempo y ganas. Me gustaría también una vez más invitaros a compartir con los lectores de hakin9 vuestras experiencias con herra- mientas de seguridad informática y participar en nuestros tests. También es una buena oportunidad para recordaros la posiblidad de ser miembro de nuestro Club .PRO. Si tienes una empresa relacionada con seguridad IT este Club es para

tí. Por un coste de suscripcion anual tienes la publicidad de

tu empresa en forma de tarjeta de visita, en los 12 números

correspondientes a la suscripción anual. Esto te ayudará

a dar a conocer a tu empresa con el coste muy bajo. Si tenéis alguna duda, opinión o comenterio acerca de la

revista y su calidad no dudéis en poneros en contacto con nostros. Todas las opiniones son muy valiosas para nuestra redacción. Espero que disfrutéis de la compañía de hakin9, ¡buena

lectura!

Katarzyna Chauca

En breve 06 Resaltamos las noticias más importantes del mundo de la seguridad de sistemas
En breve
06
Resaltamos las noticias más importantes del mundo
de la seguridad de sistemas informáticos.
Contenido de CD
hakin9.live
10
Comentamos el contenido y el funcionamiento de
nuestra distribución hakin9.live.
Herramientas
Virus Sort 2000
12
The BlooD
Se trata de una herramienta indispensable para todo
aquel coleccionista de virus que desee llevar al día su
colección y poder intercambiar virus con otros colec-
cionistas. VS2000 nos permite crear una base de
datos de nuestros virus, organizar nuestra colección,
ver estadísticas, comparar logs, permite eliminar
posibles fakes de nuestra colección, archivos de 0
bites, entre otras muchas cosas.
Ataque
Registro de Windows
16
Víctor López Juárez
En este artículo aprenderás qué es el Registro de Win-
dows y su editor, cómo implementar seguridad sobre el
Registro y cómo atacar el Editor del Registro.
Bluetooth – La Amenaza Azul
24
Ezequiel Martín Sallis
En este artículo aprenderás qué es Bluetooth, cómo
funciona, cuáles son los ataques mas comunes, etc.
Defensa
Web Services Security
30
José Carlos Cortizo Pérez, Diego Expósito, Diego Peces
En este artículo leerás cómo protegerse de los pro-
blemas básicos de seguridad relacionados con los
servicios web y lo que deberías tener en cuenta a la
hora de desarrollar tu propio servicio.
Administrando la Inseguridad Informática 36 Jeimy J. Cano En este artículo aprenderás diseñar y construir
Administrando la
Inseguridad Informática
36
Jeimy J. Cano
En este artículo aprenderás diseñar y construir sis-
temas menos inseguros, animar un apostura vigilante
y proactiva en la gestión de la seguridad informática.
Programas malignos
44
Carlos Javier Fornes Cabrera
En este artículo aprenderás qué es un Virus, Gusano
y Caballo de Troya.
Ofuscación de Código en Java
56
Javier Alcubierre
En este artículo leerás sobre proteger tu código de
miradas indiscretas, los puntos fuertes y débiles de
los distintos métodos de ofuscación y sobre imple-
mentar tus propios métodos de ofuscación.
Para principiantes
Protege gratis tu Windows
64
ANELKAOS
Existen antivirus gratuitos que no tienen mucho que
envidiar a los comerciales, Un soft de protección
desactualizado puede ser el medio para vulnerar tu
sistema
Test de consumidores
72
Presentamos las opiniones de nuestros Lectores
sobre los programas antivirus.
Entrevista
76
Anna Marcinkiewicz
Hablamos con Fernando Bahamonde, Presidente de
ISSA-España, nos cuenta sobre hacking y ajedrez,
sobre el mito de ser hacker que no pierde su actuali-
dad y muchas cosas más
Próximo número
82
Avance de los artículos que se encontrarán en la
siguiente edición de nuestra revista.

hakin9

está editado por Software-Wydawnictwo Sp. z o.o. Dirección: Software-Wydawnictwo Sp. z o.o. ul. Bokserska 1, 02-682 Varsovia, Polonia Tfno: +48 22 887 10 10, Fax: +48 22 887 10 11

www.hakin9.org/es

Producción: Marta Kurpiewska marta.kurpiewska@software.com.pl Distribución: Monika Godlewska monikag@software.com.pl Redactor jefe: Anna Marcinkiewicz anna.marcinkiewicz@software.com.pl Redactora adjunta: Katarzyna Świnarska katarzyna.swinarska@software.com.pl Preparación del CD: Rafał Kwaśny Composición: Artur Wieczorek artur.wieczorek@software.com.pl Traducción: Osiris Pimentel Cobas, Mariusz Muszak, Raúl Nanclares, Paulina Stosik Corrección: Jesús Alvárez Rodrígez, Jorge Barrio Alfonso Betatesters: Juan Pérez Moya, Jose M. García Alias, Luis Peralta Nieto, Jose Luis Herrera, Paco Galán

Publicidad: adv@software.com.pl Suscripción: suscripcion@software.com.pl Diseño portada: Agnieszka Marchocka

Las personas interesadas en cooperación rogamos se contacten: cooperation@software.com.pl

Si estás interesado en comprar la licencia para editar nuestras revistas contáctanos:

Monika Godlewska e-mail: monikag@software.com.pl tel.: +48 22 887 12 66 fax: +48 22 887 10 11

tel.: +48 22 887 12 66 fax: +48 22 887 10 11 Imprenta: 101 Studio, Firma

Imprenta: 101 Studio, Firma Tęgi

Distribuye: coedis, s.l. Avd. Barcelona, 225 08750 Molins de Rei (Barcelona), España

La Redacción se ha esforzado para que el material publicado en la revista y en el CD que la acompaña funcione correctamente. Sin embargo, no se responsabiliza de los posibles problemas que puedan surgir. Todas las marcas comerciales mencionadas en la revista son propiedad de las empresas correspondientes y han sido usadas únicamente con fines informativos.

¡Advertencia! Queda prohibida la reproducción total o parcial de esta publicación periódica, por cualquier medio o procedimiento, sin para ello contar con la autorización previa, expresa y por escrito del editor.

La Redacción usa el sistema de composición automática Los diagramas han sido elaborados con el programa de la empresa El CD incluido en la revista ha sido comprobado con el programa AntiVirenKit, producto de la empresa G Data Software Sp. z o.o.

producto de la empresa G Data Software Sp. z o.o. La revista hakin9 es editada en
producto de la empresa G Data Software Sp. z o.o. La revista hakin9 es editada en
producto de la empresa G Data Software Sp. z o.o. La revista hakin9 es editada en
producto de la empresa G Data Software Sp. z o.o. La revista hakin9 es editada en

La revista hakin9 es editada en 7 idiomas:

ES

PLES CZ EN

ES PL CZ EN

CZ

ES PL CZ EN

EN

IT

FRIT DE

IT FR DE

DE

IT FR DE
en 7 idiomas: ES PL CZ EN IT FR DE Advertencia ¡Las técnicas presentadas en los

Advertencia

¡Las técnicas presentadas en los artículos se pueden usar SÓLO para realizar los tests de sus propias redes de ordenadores! La Redacción no responde del uso inadecuado de las técnicas descritas. ¡El uso de las técnicas presentadas puede provocar la pérdida de datos!

Breves Videos y fotos de la ejecución de Saddam que contienen virus informáticos y spyware

Breves

Videos y fotos de la ejecución de Saddam que contienen virus informáticos y spyware

Los crackers han evolucionado en sus métodos malévolos y están atacando con campañas masivas de spam con videos y fotos de la ejecución de Saddam Hussein que esconden en su interior virus infor- máticos y spyware. Un virus ha sido identificado como Banload y contiene el archivo Saddam morto.scr, el otro sería el Delf.acc que contiene al archivo saddam.exe. Estos virus tienen el ob- jetivo de lucrarse mediante el robo de identidades y claves bancarias para después limpiar las cuentas de sus propietarios.

40 años de cárcel

por

un Spyware

La profesora Julie Amero, de Windham, situado en el estado de Connecticut, estaba impartiendo su clase de inglés a los alumnos de 12 años, cuando de la pantalla de su ordenador salieron imágenes pornográficas. Estos hechos ocu- rrieron en el 2004, y ahora ha sido declarada culpable de riesgo de daños a menores por lo que podría ser condenada a cuarenta años de cárcel. Las imágenes pop-ups que salie- ron en el ordenador de la profesora eran fruto de un Spyware instalado en el ordenador de la profesora. Las imágenes salían de varias páginas webs, como meetlovers.com y fe- malesexual.com, entre otras. Para la acusación tales imágenes solo salían por que la profesora fre- cuentaba esas páginas, mientras que la defensa argumentó, a través del informático W. Herbert Horner, el ordenador estaba infectado por culpa de una inocente web de peinados y no por visitar páginas pornos. Además el programa anti- virus del colegio estaba caducado, por lo que la profesora no pudo limpiar su ordenador. Los abogados de la defensa, en primera instancia pidieron la anulación del juicio, alegando que el jurado comenzó a discutir el caso en un almuerzo en un bar, pero esta instancia fue rechazada. Ahora pretenden apelar la decisión para mostrar la inocencia de su cliente.

Descubren software malicioso para Skype

E l descubrimiento de un Troyano que infecta Skype, la aplicación

de telefonía VoIP, podría indicar que

los ataques dirigidos están avan- zando junto con la creciente popula- ridad de la VoIP. Recientemente se descubrió un gusano que ataca a los usuarios de la popular aplicación de telefonía VoIP Skype en la región de Asia Pacífico, especialmente en Corea. De acuerdo con Websense, el gusano utiliza Skype Chat para descargar y eje- cutar un archivo llamado sp.exe. Al parecer, el archivo deposita un Tro- yano que roba contraseñas con un gusano integrado que utiliza NTKrnl Secure Suite, una compresión rara pero no desconocida. La buena noticia es que aún no se ha reportado una amplia propa- gación, señaló Jesús Vega, Director General de Trend Micro en España y Portugal. Aunque eso no significa que los usuarios de Skype deban despreocuparse y entrar en los enla- ces que reciben mientras conversan. Ya que el software espía no parece explotar algún defecto de Skype, se requiere de la intervención

del usuario para enviar el enlace a los contactos disponibles de un cliente infectado de Skype. Se le notifica al usuario infectado que un programa está tratando de tener acceso y que tiene que aceptarlo. Por lo tanto, los usuarios no deben permitir que pro- gramas sospechosos tengan acceso

a Skype y deben evitar también

entrar en los enlaces que provengan

de fuentes inesperadas.

Actualmente, Trend Micro iden- tifica el componente que roba con- traseñas como TSPY_SKPE, que no es el primer código malicioso o software espía que utiliza Skype: en octubre pasado se detectó WORM_ SKYPERISE.A. La diferencia es que este spyware ya emplea una rutina más maliciosa (robo de información), en compara- ción con el gusano reportado en octu- bre que sólo propagaba copias de sí mismo a otros usuarios, afirmó Vega.

A pesar del hecho de que la téc- nica de propagación de este gusano es común, obviamente VoIP se está convirtiendo en un buen campo de batalla que los autores de códigos maliciosos pueden aprovechar. Ade- más, la rutina para el robo de con- traseñas, la compresión polimórfica para evitar la detección, y un país de origen específico indican que es un ataque localizado/dirigido con fines de lucro. Trend Micro ya detecta este spyware usando el archivo de patro- nes más recientes. De acuerdo con las instrucciones manuales para eli- minarlo, los usuarios afectados sim- plemente pueden eliminar el archivo detectado y quitar el registro que la entrada crea. El spyware troyano está hos- pedado en un sitio Web malicioso. A través de la función de Chat se envía un enlace de dicho sitio a los contactos de Skype, urgiendo a los usuarios a entrar en él. De hecho, puede utilizar una forma de inge- niería social al hacerse pasar por un programa interesante. Al momento de desarrollar este boletín, el sitio ya no estaba disponible. El análisis inicial de la muestra que recibió Trend Labs revela que este software espía es un keylogger típico; roba la secuencia de teclas del usuario y guarda los datos recopila- dos en un archivo de texto. Esta rutina puede dar a los usuarios maliciosos,

incluidos hackers remotos, acceso no autorizado a la cuenta Skype de un usuario infectado, posiblemente cuentas bancarias en línea y más. Probablemente veremos amena- zas adicionales para VoIP en el futuro. Después de todo, el Vishing (phis- hing sobre VoIP) ya está rondando por Internet. Y Wikipedia incluye una entrada (http://en.wikipedia.org/ wiki/VoIP_spam) para un problema aún no existente de spam vía VoIP, llamado SPIT (Spam over Internet Telephony). Esperemos amenazas para VoIP similares, si no es que más sofisticadas, en el futuro.

Principales consejos para estar protegido frente al phishing

E l phishing se basa en mensajes de correo electrónico que con-

ducen a sitios Web maliciosos dise-

ñados para robar datos bancarios de usuarios – PandaLabs confirma que esta amenaza continuará siendo pro- tagonista durante este nuevo año. PandaLabs, el laboratorio anti- malware de Panda Software, con- firma que el robo de datos privados

y confidenciales por Internet, phis-

hing, es una de las principales ame- nazas de cara al nuevo año. La gran cantidad de transacciones económi- cas realizadas en las fechas navide- ñas provoca un aumento de fraudes

online de este tipo. Por ello, Panda- Labs ofrece una cómoda guía de con- sejos para salvaguardar la integridad económica de los usuarios. Lo primero a tener en cuenta es que su entidad bancaria nunca se va

a poner en contacto con usted por

medio del correo electrónico para pedirle ningún tipo de contraseña. Los mensajes de correo electrónico que reciba solicitándole datos o con un enlace que le lleve a una pági- na donde le sean pedidos, bórrelos directamente, ya que es muy probable que se traten de mensajes fraudulen- tos.

Asegúrese también de que la página Web que está visitando es realmente la de la entidad bancaria que desea. Hay que observar el domi-

nio de la página para comprobar que no hay ningún tipo de variación con el correspondiente al dominio real de la entidad. Además, cerciórese de que está realizando una conexión

segura. Para ello, debe observar que se encuentra en pantalla el dibujo del candado cerrado que nos indica

la seguridad de la conexión y que la

URL comienza con las letras https.

También, en caso de duda, se puede comprobar que la certificación de la Web sea válida, haciendo doble clic en el candado.

Otra forma de asegurar la co- nexión en el sitio Web real de la com- pañía es escribiendo directamente en el navegador la dirección de la en- tidad a la que deseamos acceder, no

a través de hipervínculos que pue-

dan estar dirigidos a sitios Web frau- dulentos que permitan el robo de

datos. Además, la revisión periódica del extracto de las cuentas bancarias sirve para cerciorarse de que no han existido movimientos irregulares de activos en su cuenta, que podrían haber sido provocados por un ataque de phishing. Si observa operaciones desconocidas e irregulares en su extracto, la mejor solución es contac- tar con la entidad bancaria con la que se han realizado las transacciones, de modo que se pueda detallar en qué han consistido las mismas.

La industria informática alcanza acuerdo en la definición de Spyware

L a Anti–Spyware Coalition, for- mada por Microsoft, Symantec,

Computer Associates, AOL, Yahoo!

y McAfee, publicó en su sitio Web el

primer documento en el que se define conjuntamente el termino Spyware. En el documento se hace una clasificación de este tipo de códigos (que se instalan en el ordenador para espiar la actividad de los usua- rios) basado en el riesgo que supo- nen. Entre los códigos de alto riesgo

se encuentran todos aquellos que se expanden masivamente por correo electrónico, virus y worms (gusanos). Códigos instalados sin autoriza- ción ni conocimiento de los usuarios, a través de un bug de seguridad, son también considerados de alto riesgo, así como aquellos que interceptan emails o modifican los niveles de seguridad del ordenador. El documento ha levantado cierta polémica en el sector informático.

News

Internet Explorer 6: 284 días inseguro

Un experto en seguridad del Was- hington Post, publicó un informe para nada alentador para el nave- gador de Microsoft. Según una investigación hecha por el prestigioso diario Washing- ton Post, haber utilizado la versión 6 del popular navegador de Micro- soft, Internet Explorer, fue inseguro durante 284 días, más de un tercio del año. El informe revela que, aún aque- llos usuarios que parchearon su equipo tan pronto como Microsoft publicó los parches también estu- vieron expuestos a cualquier clase de exploits. Para agravar más la situación, hubo 98 días (el año pasado) en los cuales no hubo ningún tipo de parche disponible para fallas que habían sido detectadas y utilizadas por los hackers para robar datos personales. En comparación, los usuarios del Mozilla Firefox solo estuvieron nueve días expuestos de manera crítica a la merced de cualquier ciber–delincuente que quisiera aprovecharse de ellos. Si bien la versión 7 del Explorer promete más seguridad y menos fallas, su tardío lanzamiento (no- viembre del año pasado) no al- canzó para que el panorama con respecto a las vulnerabilidades no fuera tan sombrío.

Bug crítico en Adobe Reader y Acrobat 7.0.8

Resulta que los programas de Adobe también pueden ser afec- tados. Un polaco Piotr Bania ha descubierto una vulnerabilidad ca- talogada como crítica en Adobe Reader y Acrobat. Este bug puede ser explotado por atacantes para hacerse con un control total del

sistema afectado. El fallo se da por un error de corrupción de memoria cuando se procesan datos malfor- mados lo que lleva bajo determina- das circunstancias a la ejecución arbitraria de comandos por ejemplo abriendo un documento especial- mente manipulado. Afecta Adobe Reader 7.0.8 y anteriores, Acrobat Standard, Profesional, Elements

y 3D versiones 7.0.8 y anteriores. La solución pasa por actualizar

a las versiones 7.0.9 – 8.0.0.

Breves Un internauta condenado a dos meses de prisión y a una multa por descargar

Breves

Un internauta condenado

a

dos meses de prisión

y

a una multa por descargar

películas

Un internauta francés que des- cargaba películas por el sistema

de intercambio directo de ficheros (peer-to-peer) ha sido condenado

a dos meses de cárcel y a una

multa, según la sentencia dada a co-

nocer por un tribunal de Nantes. No obstante, esta persona no ten- drá que ingresar en prisión.

El ordenador de este usuario había llegado a acumular alrededor

de 400 películas, por las que tendrá

que pagar ahora 10 euros por cada una a las asociaciones de edición

de obras cinematográficas que se habían personado como parte civil en este proceso. La sentencia tiene en cuenta que

el internauta descargaba películas

para su propio disfrute, sin interés lucrativo. Por este motivo se le han aplicado sanciones reducidas. El Parlamento francés aprobó definitivamente una ley en junio de 2006 que regula las descargas de obras a través de Internet y con- templa en algunos supuestos pe- nas de cárcel y multas. Además, la ley francesa establece sanciones graduales que pueden llegar a los tres años de cárcel y fuertes mul- tas para el que comercialice pro- gramas destinados a fomentar la piratería.

Encuentran una denega- ción de servicio en Snort

En los últimos días se ha encon- trado una vulnerabilidad en Snort 1.x y 2.x que puede ser aprove- chada por atacantes sobre todo para provocar una denegación de

servicio en el detector de intrusos. El problema se basa en que el algoritmo de reconocimiento de patrones en Snort puede ser abu- sado para que consuma todos los recursos y provocar que el ratio de detección baje hasta ser nulo a través de paquetes especialmen-

te manipulados.

La vulnerabilidad se ha confir- mado en la versión 2.4.3 pero otras podrían verse afectadas. Para evitar este problema, se recomienda ac- tualizar a las últimas versiones, o sea, descargarlas desde la página Web www.snort.org.

Telefónica pone a disposición de Pymes,

Negocios y Profesionales una herramienta

de software diseñada por ECIJA

T elefónica de España continúa avanzando en su objetivo de

facilitar la gestión de los negocios y las pequeñas y las medianas empre- sas y para ello lanza al mercado la Solución Ayuda LOPD. Esta solución on-line permite cumplir con las obli- gaciones impuestas por la normativa de protección de datos personales de una forma sencilla y económica. Para ello, ha trabajado con Ecija, firma de Abogados y Consultoría IT especializada en Protección de Datos y en la labor de apoyo y ges-

tión a las empresas. Solución Ayuda LOPD se basa en una aplicación web (en modo ASP) que analiza la importancia y el grado de confidencialidad de los datos personales que tratan las pymes, negocios y profesionales y ofrece las soluciones necesarias para el cum- plimiento tanto de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD) como del Real Decreto 994/1999, Reglamento de Medidas de Seguridad (RMS). Además, el servicio proporciona los formularios oficiales de inscripción de ficheros ante la Agencia Española de Protección de Datos, permite generar y mantener siempre actuali- zado, y de forma dinámica, el Docu-

mento de Seguridad de la empresa, incluye la Documentación Jurídica necesaria para la adecuación (con- tratos, cláusulas, avisos legales, etc). El uso de esta solución garantiza la adecuación a la ley de forma rápida y eficaz a bajo coste, evitando cuan- tiosas sanciones por parte de la Agencia Española de Protección de Datos y velando por la profesionali- dad y la calidad de servicio. Las principales ventajas de esta solución on-line son la facilidad de uso puesto que no se requieren conocimientos técnicos ni jurídicos para su utilización debido a la auto- matización de la mayoría de los procesos y los servicios de soporte gratuito. Su implantación supone un ahorro de costes y garantiza la actualización continua, estando cu- bierta la adaptación a la normativa ante posibles cambios legislativos, así como la fiabilidad, ya que la solu- ción está desarrollada por un equipo de consultores, técnicos y abogados especialistas en la protección de datos personales. La Solución Ayuda LOPD puede contratarse a través de la Red de Ventas de Telefónica de España, los distribuidores autorizados y en www.telefonicaonline.com.

España , los distribuidores autorizados y en www.telefonicaonline.com . Proyecto Telefónica On-line 8 www.hakin9.org

Proyecto Telefónica On-line

Encuentran múltiples vulnerabilidades en lectores de archivos PDF

D iferentes lectores de archivos PDF son propensos a múltiples

vulnerabilidades del tipo desbor- damiento de búfer. La situación se produce debido a que por diseño, éstas aplicaciones no comprueban los límites de la información propor- cionada por estos archivos, antes de manipular la misma y copiarla a un búfer con insuficiente tamaño para recibirla. Un atacante puede explotar estas debilidades para ejecutar código de forma arbitraria, aunque esto depende del contexto y del lector en concreto. La prueba de concepto existente, solo ocasiona una dene- gación de servicio (la aplicación involucrada se congela y deja de responder). Otros ataques podrían ser implementados a partir de esta situación, y ser empleados para el robo de información, o la ejecución de algún código malicioso. El problema se origina al aplicar las especificaciones para los docu- mentos en formato PDF (que es una abreviación de Adobe Portable Document Format). La especifica- ción 1.3 de Adobe, define una serie de objetos en forma de árbol con jerarquías (es decir, cada objeto se organiza en diferentes ramas, cada una dependiente de la anterior hasta llegar a la raíz), formando un diccionario en forma de catálogo. El catálogo contiene las referencias necesarias a objetos y datos que componen el contenido del docu- mento y sus atributos. También, contiene directivas para definir la forma en que el documento debe ser mostrado al usuario por la apli- cación. Por un error de diseño, no se contempla en estas especificacio- nes el uso de nodos o ramas con

referencias u objetos inválidos. De ese modo, cuando el documento incorpora un nodo inválido, la conducta de la aplicación es ines- perada. Las consecuencias (entre otras), pueden ser la corrupción de

la memoria, acceso no autorizado a zonas de la memoria y denegación de servicio. La corrupción de la memoria con la consecuente escritura de datos en áreas no previstas para ello, pueden llevar a la ejecución arbitraria de código. Hasta ahora se ha comprobado el problema en los siguientes lecto- res de archivos PDF:

• Adobe Acrobat Reader 7.0.x,

• Adobe Acrobat Reader 6.0.x,

• Adobe Acrobat Reader 5.1,

• Adobe Acrobat Reader 5.0.x,

• Adobe Acrobat Reader 4.0.x,

• Adobe Acrobat Reader 3.0,

• Apple Mac OS X Preview.app 3.0.8 (409),

• Xpdf 3.0.1 (Patch 2).

Sin embargo, siempre hay que tener en cuenta que otras aplicaciones también podrían ser afectadas, ya que no se debe a un problema de las aplicaciones en si mismas, sino a un error de diseño de las especificacio- nes para leer estos archivos. No es afectada la versión 8.0 de Acrobat Reader. Debido a su naturaleza (o sea, error de diseño), desgraciadamente no existe una solución concreta para este problema. Las consecuencias de su explotación, dependerán de la aplicación y la plataforma utilizada. Para protegerse mejor antes de los ataques de virus, se recomienda, como una forma de disminuir los riesgos, no abrir documentos PDF que no han sido solicitados, o que vienen de fuentes no comprobadas, una cosa muy importante es también mantener actualizado su antivirus. Una solución temporal también podría ser utilizar únicamente Acro- bat Reader 8.0.0 como lector, pero ello no asegura al usuario no ser afectado por otras consecuencias de este problema.

News

Spyware de Nueva

Generación que Elude

a los Antivirus

Los hackers y cibercriminales uti- lizan troyanos y keyloggers para traspasar la seguridad de los anti- virus y antispywares. Esto ha oca- sionado que el 89% de los PCs par- ticulares estén infectados con un promedio de 30 virus informáticos o spywares cada uno. Según se analiza en el informe de Webroot, empresa de seguridad informática creadora del producto antispyware Spy Sweeper.

Una variante troyana del virus informático

Código Rojo ataca redes informáticas británicas

y estadounidenses

Expertos en seguridad en Internet informan que están vigilantes ante la aparición de una variante de tipo troyana del gusano informático Código Rojo que detectaron tras los ataques cometidos en miles de terminales repartidas entre Estados Unidos y Reino Unido. La variante del Código Rojo fue identificada como Código Rojo C. por la empresa privada de seguri- dad en Internet, Symantec AntiVi- rus Research Center, y no tardó en causar alarma mundial. El UNIRAS, una sección del cen- tro del Gobierno británico para coor- dinar esfuerzos en la defensa de la infraestructura informática británica contra ataques electrónicos, así como la compañía de software anti- virus Network Associates se confe- saron víctimas del nuevo invasor en Internet. Código Rojo C tiene poco que ver con su padre virtual ya que esta nueva versión no desactiva páginas Web como hacía el Código Ro- jo, sino que otorga al pirata informá- tico control remoto sobre las com- putadoras que infecta por medio de un caballo de Troya que introduce en el sistema. Su capacidad de dispersión es hasta seis veces más rápida, y sus posibles efectos sobre Internet se desconocen, siendo más difícil de detectar y más complicado de eli- minar que su predecesor. Esta nueva amenaza es más peli- grosa que las versiones anteriores del Código Rojo, a pesar de que es improbable que afecte toda la infra- estructura de Internet a corto plazo, según el UNIRAS.

hakin9.live Contenido de CD E el disco que acompaña a la revista se en- n

hakin9.live

Contenido de CD

E

el disco que acompaña a la revista se en-

n

cuentra hakin9.live (h9l) en la versión 3.2.1

aur – distribución bootable de Aurox que

incluye útiles herramientas, documentación, tutoriales

y material adicional de los artículos. Para empezar el

trabajo con hakin9.live, es suficiente ejecutar el orde- nador desde el CD. Después de ejecutar el sistema podemos registrarnos como usuario hakin9 sin intro- ducir contraseña. El material adicional se encuentra en los siguientes

directorios:

docs – documentación en formato HTML,

art – material complementario a los artículos: scripts, aplicaciones, programas necesarios,

tut – tutoriales, tutoriales tipo SWF.

Los materiales antiguos se encuentran en los subdi- rectorios_arch, en cambio, los nuevos – en los direc- torios principales según la estructura mencionada. En caso de explorar el disco desde el nivel de arranque de hakin9.live, esta estructura está accesible desde el subdirectorio /mnt/cdrom. Construimos la versión 3.2.1 – aur h9l en base a la distribución de Aurox 12.0 y de los scripts de generación automatica (www.aurox.org/pl/live). Las herramientas no accesibles desde el CD se instalan desde el reposi- torio de Aurox con el programa yum. En h9l encontraremos un programa de instalación (Aurox Live Instaler). Después de instalar en el disco se puede emplear el comando yum para instalar progra- mas adicionales.

Tutoriales y documentación

La documentación está compuesta de, entre otros, tuto- riales preparados por la redacción que incluyen ejerci- cios prácticos de los artículos Suponemos que el usuario emplea hakin9.live. Gracias a ello evitaremos los problemas relacionados con las diferentes versiones de los compiladores, la

diferente localización de los archivos de configuración

u opciones necesarias para ejecutar la aplicación en el entorno dado. Especialmente para nuestros Lectores CD1 contie- ne aplicaciones comerciales:

Comodo Firewall Pro

Comodo es una empresa especialista líder en seguri- dad de Internet y provee la nueva generación de Solu- ciones de Seguridad para E-commerce. Casi todos los firewalls desgraciadamente tienen algunos agujeros,

por eso el Comodo Firewall tenía que pasar muchos tests de seguridad para asegurarse de que tiene una poder suficiente para averiguar todos los datos que entran en tu ordenador. Es capaz de clasificar hasta 10 000 aplicaciones según su nivel de seguridad: SAFE, SPYWARE y ADWARE. Pasó el Comodo's Patent In- jection Leak Test que simula la técnica que usan los hackers durante los ataques de Troyanos. No necesita ningún cambio de configuración para trabajar con su máxima fuerza.

Enigma Lite Desktop Edition

Enigma Lite Desktop Edition (versión trial de 90 días) es un programa que sirve para almacenar y transferir do- cumentos; lo usan tanto los usuarios individuales para proteger sus ordenadores de mesa o portátiles, como las grandes empresas. Asegura la protección y la priva- cidad de archivos, correos electrónicos, bases de datos y de todos los documentos. Enigma ofrece una solución diseñada también para sistemas operativos Microsoft; sus componentes están integrados con el Windows. Nuestros lectores reciben el descuento de 50% para la versión completa del programa.

Net Conceal AntiHistory

Net Conceal AntiHistory (versión completa) es un pro- grama que borra perfectamente historial de tu actividad. Es capaz de borrar las cookies, Temporary Files, infor- mación recién escrita, historial de búsqueda, etc. Se lo puede usar con programas Internet Explorer, Windows, MS Office, MSN Messenger, programas de archivo (WinZip y WinRAR), programas de P2P (Kazaa, eMu- le), Google Toolbar y Google Desktop.

NetConceal Anonymizer

NetConceal Anonymizer (versión trial) es un software que esconde tu IP cuando navegas por la red o durante cualquiera actividad tuya en Internet. Se lo puede usar con el Internet Explorer, programas de P2P, o con el e – mail – nadie verá tu autentica dirección de IP. ¡Es- conde tu IP y siéntete seguro!

eScan Internet Security

Es una solución de seguridad diseñada para proteger los ordenadores personales de los virus, spyware, tro- yan, adware, malware, keyloggers, hackers, spammers, etc. Contiene el escanner de los emails y páginas Web, spam blocker para prohibir los emails peligrosos, ges- tión de privacidad, filtro de Pop-ups, etc. Versiones en inglés, español, francés, alemán, polaco, chino, islan- dés, portugués, italiano y finlandés. l

En caso de cualquier problema con CD rogamos escribid a: cd@software.com.pl Si no puedes leer

En caso de cualquier problema con CD rogamos escribid a:

cd@software.com.pl

Si no puedes leer el contenido del CD y no es culpa de un daño mecánico, contrólalo en por lo menos dos impulsiones de CD.

Herramientas Virus Sort 2000 Sistema operativo: Windows Licencia: Shareware Destino: Catalogador de colecciones de

Herramientas

Virus Sort 2000

Sistema operativo: Windows Licencia: Shareware Destino: Catalogador de colecciones de virus Página de inicio: http://www.infonegocio.com/vbuster/

Como el propio programa dice, Virus Sort 2000 es everything VX Collector Needs. Se trata de una herramienta indispensable para todo aquel coleccionista de virus que desee llevar al día su colección y poder intercambiar virus con otros coleccionistas.

VS2000 nos permite crear una base de datos de nues- tros virus, organizar nuestra colección, ver estadísticas, comparar logs, permite eliminar posibles fakes de nues- tra colección, archivos de 0 bites, entre otras muchas cosas. VS2000 posee una licencia Shareware, pero el único pago que hay que efectuar es ceder una cantidad de virus, la que sea, a su autor, para poder conseguir las nuevas versiones, aunque en la Web del autor existe una versión algo más antigua.

Virus Databases

Como es lógico empezaremos por el principio, y el prin- cipio es la pestaña de Virus Databases. En esta pestaña esta todo lo relacionado con nuestras bases de datos de virus. VS2000 transforma un archivo log en una ba- se de datos, la cual nosotros podemos modificar, con- sultar, etc.

Build Database: Desde aquí se hace una base de datos a partir de un archivo log. Es necesa- rio recordar que VS2000 nos hace una base de datos distinta por cada log que tengamos. VS2000 reconoce los tipos más usuales de log dependien- do del antivirus, por lo tanto nos realizará una base de datos para KAV (Kaspersky), otra para NOD, … Las bases de datos se guardan con la ex- tensión *.DAT dentro de una carpeta llamada vir- data.

Compare Log: Compara nuestra base de datos con otro archivo log. Si queremos comparar un archivo de KAV con nuestra base de datos, VS2000 lo comparará con la base de datos de KAV, no con las demás bases de datos, si es un log de NOD, pues con la base de datos de NOD. Esto es por la sen- cilla razón de que todos los antivirus no nombran a los virus de igual forma. Cuando se hace una comparación se crea un archivo log con los virus que faltan en tu base de datos y que si están en el otro log.

Add new virii to DAT: Añade nuevos virus desde un log a nuestra base de datos. Esto es muy útil puesto que si conseguimos nuevos virus no necesitamos

hacer de nuevo un log con toda la colección para actualizar nuestra base de datos, bastará con hacer un log de los nuevos virus, y añadirlos a nuestra base de datos.

Compare two logs: Compara dos los entre ellos mismos, NO los compara con la base de datos. Crea dos archivos logs, en los cuales están los virus que

faltan en el otro log, es decir, si comparamos los logs:

blood.log y avp.log nos creará dos archivos: uno que contenga los virus que faltan en el log blood.log y que se encuentran en avp.log, y otro log de forma vice- versa.

Search: Busca virus dentro de nuestra base de datos. Realmente útil para buscar virus concretos.

Generate Reports: Dentro de esta opción nos encon- tramos con muchas más opciones:

Generate virii lists: Nos crea una lista con todos nuestros virus.

Generate report: Nos crea un archivo log, igual que el creado con el antivirus, de cada una de nuestras bases de datos.

Generate statistics: Crea un informe con los tipos de virus que poseemos, el número de virus de cada tipo, y el porcentaje. Esta opción también es realmente útil.

Generate browse list from DATs: Genera una lista en 2 o 3 columnas en las que aparece el nombre que AVP le da a un virus, el nombre que le da F- Prot y el fichero que tienes en tu colección corres- pondiente a ese virus.

Prot y el fichero que tienes en tu colección corres- pondiente a ese virus. Figura 1.

Figura 1. Virus Database

Herramientas

Generate browse list from 2 logs: Al igual que la opción anterior pero con dos logs externos a la dase de datos.

Generate virii count report: Genera un archivo con el número de virus únicos y totales por cada base de datos que tengamos.

Generate graphical statistics: Realiza estadísticas gráficas a partir de un archivo generado con la opción Generate virii count report antes comen- tada y permite guardarlas como *.bmp. El único inconveniente es que actualmente solo esta dis- ponible para KAV y F-Prot.

Optimize DATs: Ordena los datos de los archivos *.DAT, de tal forma que realiza las comparaciones de forma mucho más rápida.

Process with logs: Con esto podremos hacer muchí- simas cosas relacionadas con los logs. Las más importantes son: crear un log con los fakes de nues- tro log, crear una lista de virus duplicados,…

• Process with strings: Desde aquí se podrá modificar el log a nuestro gusto, podremos remplazar una

linea, palabra, etc. por cualquier otro texto, borrar líneas que contengan ciertas palabras, etc.

Extra Options: Permite añadir identificaciones

a logs desconocidos, para que VS2000 los pue-

da comparar, etc. También permite optimizar los DATs inmediatamente después de añadir nuevos virus.

Manage Files

Desde esta pestaña se podrán realizar todas las opcio- nes relacionadas con los archivos de nuestra colección. A continuación vamos a comentar todas las opciones de esta pestaña:

Manage Files: En esta opción encontraremos algu- nas posibilidades, desde mover archivos, definir un directorio de destino o desactivar la extracción de ficheros comprimidos.

Delete Files: Permite borrar archivos a partir de un log. Una gran utilidad de eso es la posibilidad de borrar nuestros virus duplicados mediante el log rea- lizado con la aplicación comentada en Process with logs.

Real Duplicate Remover: Realiza una compara- ción entre un log de F-Prot y AVP (Kaspersky) para comprobar cuales están realmente duplica- dos.

Pack Request: Nos hace un archivo zip con los virus que otro trader nos ha pedido, lógicamente nos lo rea- liza mediante el log que el otro trader nos envíe con el pedido de virus que el nos realice.

Extensión Renamer: Nos renombra las extensiones

a sus extensiones reales, por ej. si tenemos un

archivo *.XXX y su extensión real es *.EXE, VS2000 detecta eso y nos pone la extensión real, las extensio- nes desconocidas pasarán a ser *.VIR, una extensión

neutra. A la vez dispone de la posibilidad de hacer un

archivo BAT para que nos haga esa tarea, en lugar de que VS2000 nos la haga.

List of extensions: Pues como se indica, no crea una lista de todas las extensiones de los archivos que hay en cierto directorio, pero eso si, todas distintas, si encuentra una extensión que ya esta en la lista, no la vuelve a poner.

Find 0 bytes files: Busca archivos de 0 bytes, archivos que aparentemente son normales, pero que no con- tienen nada.

Delete empty directories: Nos busca directorios va- cíos y los elimina.

Weed Files

Se trata de algo parecido a la pestaña Virus Databases pero en lugar de utilizar archivos logs, utiliza archivos crc32 o md5. CRC32 en español seria Código de Redundancia Cíclica y se utiliza principalmente para detectar y co- rregir errores en archivos. CRC32 realiza un cálculo de los archivos mediante cierto algoritmo, y le da un nombre, por lo tanto, no existen dos archivos iguales con distinto nombre de CRC32. El caso de MD5 sería similar. Esto es de gran utilidad para evitar tener virus duplicados. Como podréis ver, dentro de VS2000 exis- ten muchísimas aplicaciones para conseguir tener una colección lo más depurada posible. Las opciones que podemos encontrar en esta pes- taña son: Create database, Add files hot database, Check for duplicated files y Create log with new files. En este apartado no nos pararemos mucho, puesto que las opciones son similares a las comentadas anteriormente,

las opciones son similares a las comentadas anteriormente, Figura 2 Manage Files Figura 3. Weed Files

Figura 2 Manage Files

opciones son similares a las comentadas anteriormente, Figura 2 Manage Files Figura 3. Weed Files www.hakin9.org

Figura 3. Weed Files

Herramientas

solo cambia el modo de operar, que puede ser desde

un log, o como en ese caso, desde un archivo CRC32

Fake/Goat Scanner

Como va siendo normal, otra aplicación para depurar

nuestra colección. Es muy importante mantener nuestra

colección libre de fakes o basura y para ello esta herra-

mienta es la apropiada. Además, su autor va actualizando la base de datos de fakes, para así no tener problemas

a la hora de eliminarlos. Entre las opciones que encontraremos están la de escasear fakes en archivos, desde un log, escasear basura desde archivos o desde un log al igual que con los fakes. En este apartado tampoco nos detendremos mucho puesto que es sumamente sencillo.

Virus Organizer

Sin duda una de las herramientas mas importantes, ¿Qué sería de una colección desorganizada? Desde aquí podemos organizar nuestra colección a partir de un log. Podemos elegir entre 5 tipos distintos de organización, además de tener la posibilidad de comprimir los archivos, mover archivos, o en su defecto copiarlos. Los tipos de organización son los siguientes:

o MD5.

Herramientas

Bulk Style: C:\VIRUS\0\04\04ABC903.EXE: Usa CRC32 o MD5 para nombrar los archivos.

: Usa CRC32 o MD5 para nombrar los archivos. Figura 4. Estadísticas de la colección Figura

Figura 4. Estadísticas de la colección

los archivos. Figura 4. Estadísticas de la colección Figura 5. Página oficial de Virus Trading Center

Figura 5. Página oficial de Virus Trading Center

Collection Maker Style: C:\VIRUS\J\ Jerusalem.1808.a\A456725F.COM: Se basa en KAV para nombrar y organizar los archivos.

Create Directories: C:\VIRUS\AVP\J\Jerusalem\ 1808\a\0456ADEF.COM: Muy parecido al anterior, pero de una forma mucho mas esquematizada.

Virus Name: C:\VIRUS\J\Jerusalem.1808.a.COM:

Basado en el nombre de los virus y ordenado en car- petas del 0-1 y A-Z.

Virus Types: C:\VIRUS\Win32\2FA67211.EXE: Se basa en el tipo de virus para realizar la organización.

Virus Explorer

Nos muestra una lista con el nombre, según KAV y F- Prot, de todos los virus de nuestra colección y al lado

la dirección donde se encuentran. Realmente solo hace

eso, así que pasemos a la siguiente pestaña.

Stats

Desde aquí (Figura 4) podremos observar, de forma grá- fica y para cada una de las bases de datos de cada logs, las estadísticas de nuestra colección. Podremos saber

el número de virus totales y únicos que poseemos así

como el porcentaje de virus y de warning, generics, que

poseemos.

Vamos a hacer algunas aclaraciones sobre esto.

A lo de virus únicos y totales, veréis, hay veces en las

que un archivo contiene un único virus, pero en otras ocasiones un solo archivo, puede contener varios virus, un ej. puede ser un archivo *.txt donde poseamos los códigos fuente de varios virus, otro puede ser un archivo *.exe resultado de unir dos virus mediante un

joinner, por lo tanto, virus totales serían el total, y virus únicos serían aquellos en los cuales un solo archivo contiene un único virus. A lo de warning o generics veréis, normalmente KAV detecta los virus como Infected:, pero en otras ocasio- nes hace una llamada a un virus mediante Warnings

o advertencias, eso quiere decir que probablemente

ese archivo sea el virus X, pero no con exactitud.

Al igual RAV, NOD o F-Prot tienen sus peculiaridades

a la hora de detectar virus, y son recogidas de forma

gráfica en esta pestaña. Bueno, pues aquí acaba la explicación de esta magni- fica herramienta, aunque VS2000 esconde muchas más utilidades, como puede ser la de un servidor FTP, es un scan de puertos, contiene una librería donde encontrar información sobre todas las e-zines de información vírica, información sobre Constructor kits o laboratorios de virus e información sobre otras utilidades víricas, per- mite tener nuestra propia base de datos sobre traders, y un sin fin de utilidades más.

The BlooD theblood@gmail.com

Registro de Windows

Registro de Windows Ataque Víctor López Juárez Grado de dificultad Albert Einstein una vez dijo: La

Ataque

Víctor López Juárez

Registro de Windows Ataque Víctor López Juárez Grado de dificultad Albert Einstein una vez dijo: La
Grado de dificultad
Grado de dificultad

Albert Einstein una vez dijo: La formulación de un problema es más importante que su solución. Un administrador de equipo como fundamento de seguridad prefiere denegar el acceso al Editor del Registro a todo usuario que no forme parte de su grupo.

S in embargo haciendo uso de ésta res- tricción de acceso brindada por Win- dows no considera las consecuencias

prácticas que puede llegar a obtener un ata- cante si elude dicha restricción. Primero explicaremos qué es el Registro de Windows: el registro está conformado por una serie de archivos, anteriormente en las versio- nes de Windows 3.x el registro se guardaba en archivos con extensión .ini, más tarde en las ediciones Windows 9x el registro de Windows se denominaba User.dat y System.dat mientras que en Windows Me estaba conformado por Classes.dat, User.dat y System.dat. En Windows XP para localizar los archivos que conforman el Registro debemos acceder a la siguiente ruta dentro del disco local, en que fue instalado el sistema, comúnmente en C:

\Windows\System32\Config, dentro de ésta car- peta encontraremos varios archivos que corres- ponden a nuestro registro, también llamados Hives No todos los archivos que componen el registro de Windows están ubicados dentro de esta carpeta, también existen Hives o claves

que contienen subclaves y valores ubicados en las carpetas de cada usuario las cuales guardan

las configuraciones personales de cada cuenta, como por ejemplo el archivo ntuser.dat que co- rresponde a la clave HKey_Current_User.

Abriendo el Registro

Intentaremos abrir el registro de Windows, en esta ocasión lo haremos ingresando a la clave HKEY_LOCAL_MACHINE\Software desde su ubicación en C:\Windows\System32\Config\ Software. Podemos percatarnos que el archivo Software no tiene extensión, lo que nos indica

En este artículo aprenderás

• Qué es el Registro de Windows y su editor,

• Cómo implementar seguridad sobre el registro de Windows,

• Cómo atacar el Editor del Registro de Windo- ws.

Lo que deberías saber

• Bases de programación en lenguaje ensambla- dor,

• Poseer conocimientos básicos sobre adminis- tración de sistemas Windows.

Registro de Windows

que carece de un programa asociado por medio del cual se pueda ejecu- tar, para solucionarlo hacemos doble click sobre el archivo, escogemos la opción Seleccionar el programa de una lista y por ultimo optamos por WordPad, como resultado veremos lo siguiente (Figura 1). Es evidente que la aplicación WordPad no es la adecuada para

manipular el registro, para ello Win- dows creó el Editor del Registro (Regedit.exe) mediante el cual es posible acceder al registro y mo- dificarlo bajo un entorno dinámico

y jerárquico muy parecido al propio

Explorador de Windows. Aunque el Editor del Registro permite inspec- cionar y modificar el Registro, nor- malmente no necesitaremos hacerlo. Microsoft no garantiza solucionar los problemas resultantes por el uso in- correcto del Editor del Registro, así que utilizaremos esta herramienta bajo nuestra responsabilidad.

El Editor del Registro (Regedit.exe)

Los administradores del sistema pue- den modificar el Registro a través

del Editor del Registro (Regedit.exe

o Regedt32.exe), directivas de grupo,

directivas del sistema, archivos de Re- gistro (.reg) o mediante la ejecución de secuencias de comandos (por ejem- plo, archivos de comandos de Visual Basic o archivo de lotes .bat). El Editor del Registro esta ubi- cado en el directorio del sistema C:

\Windows\Regedit.exe, al abrirlo encontraremos un área de explora- ción organizada en carpetas, cada carpeta representa una clave prede- terminada del equipo local, cuando

Tabla 1. Claves de configuración personal

Sección del Registro

Archivos en C:\Windows\System32\ Config

HKEY_LOCAL_MACHINE\SAM

Sam, Sam.log, Sam.sav

HKEY_LOCAL_MACHINE\

Security, Security.log, Security.sav

Security

HKEY_LOCAL_MACHINE\

Software, Software.log, Software.sav

Software

HKEY_LOCAL_MACHINE\

System, System.alt, System.log, System.sav

System

HKEY_CURRENT_CONFIG

System, System.alt, System.log, System.sav, Ntuser.dat, Ntuser.dat.log

HKEY_USERS\DEFAULT

Default, Default.log, Default.sav

se obtiene acceso al Registro de un equipo remoto, sólo aparecen dos claves predefinidas: HKey _Users y HKey _Local_Machine. A continua- ción veremos las claves predefinidas utilizadas por el sistema (Tabla 2). Estas claves o también llamadas Hives se inician juntamente con el sistema operativo, el cual utiliza constantemente el registro de Windo- ws, esto parece ser lógico tomando en cuenta que éste debe mantenerse actualizado por los cambios dinámi- cos que pueden surgir al momento

de utilizar el sistema, por ejemplo si deseamos renombrar el icono lla- mado Mi PC por Hakin9, basta por renombrarlo una vez y en los próxi- mos inicios de sesión el icono ya apa- recerá renombrado sin necesidad de guardar los cambios en el sistema, pues el registro lo hace por nosotros. Tomando en cuenta el grado de importancia que adquiere el registro de Windows para el sistema operati- vo puede ser blanco de ataques o de backups enteros sin autorización, el

usuario que logre acceder al editor del registro puede llevarse consigo bas- tante información relevante sobre las características de nuestro sistema. La idea de que si accedemos

a otro sistema y copiamos el Editor del Registro de Windows ubicado en C:

\Windows y lo trasladamos al nuestro obtenemos el contenido del Registro de Windows, es equivocada. Cuando ejecutemos el Regedit.exe que traji- mos del otro sistema accederemos inmediatamente a nuestro Registro. Debemos recordar que el Editor del Registro es simplemente una herra- mienta que permite realizar modifi- caciones en el Registro de Windows, llevando el Editor (Regedit.exe) de un ordenador a otro únicamente estare- mos trasladando dicha herramienta

y no el contenido del registro de Win- dows de cada sistema, como podría pensarse. Ahora bien si entramos en un sis- tema como usuario restringido y con- seguimos acceder al Editor del Re-

gistro (aquí lo aprenderás incluso si el administrador del equipo es precavido

y previamente denegó el acceso al Edi-

tor) fácilmente podremos exportar todo el contenido del registro de Windows

y llevarlo a nuestro sistema para exa-

minarlo detenidamente. Para lograrlo, simplemente debemos estar dentro del Editor, dirigirnos al menú Archivo > Ex- portar. Luego en el recuadro llamado Intervalo de Exportación en lugar de seleccionar la opción predeterminada escogemos Todos, finalmente asignar- le un nombre al archivo y guardarlo.

¿Qué es el Registro de Windows?

El Registro de Windows conforme el Microsoft Computer Dictionary es definido de la siguiente manera:

Una base de datos jerárquica central utilizada en Microsoft Windows 9x, Ce y NT con el fin de almacenar información necesaria para configurar el sistema para uno o varios usuarios, aplicaciones y dispositivos de hardware. El Registro contiene información que Windows utiliza como referencia continua- mente, por ejemplo los perfiles de los usuarios, las aplicaciones instaladas en el equi- po y los tipos de documentos que cada aplicación puede crear, las configuraciones de las hojas de propiedades para carpetas y los iconos de aplicaciones, los elementos de hardware que hay en el sistema y los puertos que se están utilizando.

Ataque Tabla 2. Las claves utilizadas por el sistema Carpeta o clave predefinida Descripción HKEY_CU-

Ataque

Tabla 2. Las claves utilizadas por el sistema

Carpeta o clave predefinida

Descripción

HKEY_CU-

Contiene la raíz de la información de configuración del usuario que ha iniciado la sesión. Aquí se almace- nan las carpetas de usuario, los colores de pantalla y la configuración del Panel de control. Esta informa- ción se conoce como perfil de usuario.

RRENT_USER

HKEY_USERS

Contiene la raíz de todos los perfiles de usuario del equipo. HKEY_CURRENT_USER es una subclave de HKEY_USERS.

HKEY_LOCAL_

Contiene información de configuración específica del equipo (para cualquier usuario).

MACHINE

HKEY_CLAS-

Es una subclave de HKEY_LOCAL_MACHINE\ Software. Aquí se almacena la información que asegura que se abre el programa correcto al abrir un archivo con el Explorador de Windows.

SES_ROOT

HKEY_CU-

Contiene información acerca del perfil de hardware que utiliza el equipo local al iniciar el sistema.

RRENT_CONFIG

Restringiendo el acceso y escritura sobre el registro de Windows

Una de las características de segu- ridad importantes en la serie Win- dows NT permite que el administra- dor del sistema pueda conceder – o no – el acceso a las claves del re- gistro a través del editor del registro (Regedit.exe). Los permisos de escritura sobre el registro comprometen al sistema operativo de tal manera que en mu- chas ocasiones son imprescindibles estos permisos para realizar ataques contra el sistema. Por ello es impor- tante también conocer prácticas de seguridades fáciles y eficaces, capa- ces de implementar en nuestros sis- temas. Dentro del editor del Registro la administración de seguridad sobre las claves y subclaves es relativa- mente sencilla, solo basta con elegir

la clave que deseamos configurar, click derecho y seleccionar la opción Permisos. (Figura 2 y 3). De esta manera cualquier admi- nistrador del sistema puede otorgar permisos de escritura, agregar usuarios o grupos a la lista de permi- sos, asignar permisos a una clave, conceder control total a una clave, asignar accesos especiales, auditar la actividad de una clave, agregar usuarios o grupos a la lista de audi- toría, tomar posesión de una clave, establecer controles de lectura, etc.

¡Nadie me toca el registro!

Como una opción de seguridad más, el administrador puede restringir el acceso al editor del registro a los usuarios que no forman parte del grupo de administradores del equi- po, con la finalidad de impedir que cualquier usuario altere el sistema

finalidad de impedir que cualquier usuario altere el sistema Figura 1. Word Pad no es una

Figura 1. Word Pad no es una buena aplicación para abrir un registro

Word Pad no es una buena aplicación para abrir un registro Figura 2. Cómo obtener un

Figura 2. Cómo obtener un permiso de escritura, parte 2

Figura 2. Cómo obtener un permiso de escritura, parte 2 Figura 3. Cómo obtener un permiso

Figura 3. Cómo obtener un permiso de escritura, parte 1

ya sea con buenas o malas inten- ciones. Para lograrlo debemos localizar la siguiente clave desde el editor del registro HKEY_CURRENT_USER/ Software/Microsoft/ Windows / CurrentVersion/Policies/System en la ventana de la derecha creamos un nuevo valor DWord llamado Di- sableRegistryTools, damos doble click sobre él y le colocamos el valor 1. De esta manera la modifica- ción del registro de Windows que- dará deshabilitada para el usuario actual. Al intentar abrir el editor del registro veremos lo que aparece en la Figura 4. Esta es una manera de bloquear el acceso al registro, aunque no es la única, otra forma de lograrlo es

eliminando el propio Editor del Regis- tro (Regedit.exe) de la carpeta de su ubicación C:\Windows, así el usuario que acceda al sistema y carezca de privilegios difícilmente podrá editar el registro al no encontrar la herramien- ta destinada para ello. Aunque pueda parecer lo contrario, la eliminación del regedit.exe no llevará al colapso del sistema, ya que no se elimina el registro de Windows (el cual está ma- yormente constituido por los archivos ubicados en C:\Windows\system32\ config) sino que únicamente pres- cindimos de la herramienta que lo edita. Aun si deliberadamente intenta- mos borrar los archivos que constitu- yen el registro de Windows ubicados en C:\Windows\system32\config, el sistema operativo lo impediría dada la importancia de los mismos.

Consecuencias de la escritura sobre el registro

La escritura sobre el registro de Windows permite gestionar y perso- nalizar el sistema operativo sin nin- gún problema, de hecho es una posi- bilidad exclusiva dada a los adminis- tradores del sistema, la cual puede ser también otorgada a los usuarios invitados. Otra posibilidad simple que gene- ra la escritura sobre el registro, es la capacidad para instalar programas. Cualquier programa al instalarse usualmente crea, modifica o elimina claves y subclaves dentro del registro de Windows, durante ese proceso de instalación también comprueba ciertos valores en el registro (ese es el punto débil que atacaremos más adelante) dependiendo de esos valores y ciertas

Ejemplo Práctico

En este ejemplo colocaremos la palabra Hakin9 en el menú contextual de los archivos con extensión txt, de tal manera que si escogemos la opción Hakin9 se abrirá el archi- vo en el programa Notepad.exe tal y como sucede comúnmente. Para lograrlo, dentro del editor del registro localizamos la siguiente clave Hkey_ Local_Machine\Software\Classes\textfile\shell\open. En la ventana de la derecha ya existe un valor alfanumérico llamado Predeterminado, hacemos doble click sobre él y lo nombramos Hakin9 Ahora cuando hagamos click derecho sobre los archivos *.txt en lugar de ver la opción convencional llamada Abrir veremos Hakin9 (Figura 5). Este es un claro ejemplo de cómo es posible personalizar la configuración de usuario, a través de la escritura sobre el registro de Windows.

a través de la escritura sobre el registro de Windows. Figura 4. El acceso al registro

Figura 4. El acceso al registro bloqueado

de Windows. Figura 4. El acceso al registro bloqueado Figura 5. Cómo personalizar las configuraciones del

Figura 5. Cómo personalizar las configuraciones del usuario

Registro de Windows

características de seguridad el aplica- tivo podrá ser instalado. El usuario que carece de privilegios no podrá instalar correctamente aplicaciones. De modo que a través de las con- secuencias prácticas que consegui- mos al editar el registro de Windows mediante el regedit.exe obtenemos mayores logros que si nos limitára- mos a personalizar el sistema ope- rativo a través de las pocas opciones que éste nos brinda. Sin embargo, siempre es recomendable conocer el área del registro que deseamos modificar, porque los cambios inco- rrectos pueden dañar el sistema. Desde el punto de vista de un ata- cante, poseer permisos de escritura sobre el registro le otorgan ciertas ventajas, como por ejemplo instalar troyanos o servidores maliciosos y de- jarlos a la escucha de cualquier puer- to o ejecutarlos en segundo plano cada vez que arranque el sistema, inclusive si el administrador inicia el sistema en modo a prueba de fallos un troyano dependiendo de la clave del registro en la que fue asociado, se ejecutará de modo invisible. Si poseemos permisos de escri- tura sobre el registro de Windows podemos realizar un sin número de acciones que terminarán alterando el sistema operativo, estás acciones dentro del registro pueden ser desde las más básicas hasta las más peli- grosas capaces de poner en peligro la seguridad del sistema.

Crackeando el registro como usuario sin privilegios

Las restricciones de seguridad del registro de Windows son escasa- mente eficientes. El punto débil que nos permite explotar la siguiente vulnerabilidad y acceder al editor del registro, es el propio sistema de protección utilizado por los desarro- lladores de Windows, en particular la opción a través de la cual es desha- bilitado el acceso al editor del regis- tro (Figura 4) es una práctica poco recomendada por los desarrollado- res de software comercial, dada su relativa facilidad para ser vulnerada por los atacantes.

Ataque Cuando se accede a un sistema como usuario invitado de manera predeterminada carecemos de

Ataque

Cuando se accede a un sistema como usuario invitado de manera predeterminada carecemos de per- misos para escribir sobre el registro, a menos que el administrador haya de- cidido lo contrario. Las causas princi- pales por las que un administrador de equipo decide deshabilitar el acceso al editor del registro y consecuente- mente la escritura sobre éste, son impulsadas mayormente por razones de seguridad, las cuales le brindan una ventaja al propio sistema, ya que se adquiere un mayor grado de con- fianza en relación a su uso. Es por ello que para explotar la vulnerabilidad a la que puede estar expuesto el editor del registro a través de la restricción de acceso, debemos ingresar a un sistema Windows XP en calidad de usuario restringido, es de- cir sin permisos de acceso y escritura en el registro de Windows. Antes de empezar debemos verifi- car que el acceso al editor del registro ha sido deshabilitado por el adminis- trador (Figura 4). Ahora debemos crear una carpeta en el directorio C:\ llamada Hakin9, luego copiamos el regedit.exe de la carpeta del sistema (C:\Windows) y lo pegamos en la si- guiente ubicación C:\hakin9. Esta copia que recién acabamos de crear nos brinda seguridad, debe- mos tomar en cuenta que siempre es recomendable trabajar sobre una copia del programa y no sobre el ori- ginal, dadas las equivocaciones en

que podríamos incurrir al momento

de modificar el código del programa.

Atacando el Registro de Windows ¡Vamos a la Práctica!

Cuando un programador decide

crear cualquier aplicación tiene la opción de hacerlo a través de dife- rentes lenguajes de programación,

ya sea alto, mediano o bajo nivel, la

categoría del nivel de programación depende de los recursos del sistema

que utiliza el lenguaje y el programa- dor para realizar la aplicación. Cuando finaliza el proceso de creación de una aplicación, se com- pila (convierte a unos y ceros) y se genera un archivo ejecutable de extensión .exe, los cuales a su vez pueden ser traducidos a un lenguaje

de programación de bajo nivel, como

por ejemplo lenguaje ensamblador, independientemente del lenguaje de programación original con que hayan sido creados. Sin embargo, existen aplicaciones que son empaquetadas (como sistema de protección) con el

motivo de evitar que sean traducidas

a lenguaje ensamblador, en otros

casos la conversión al lenguaje en- samblador de un programa del cual

no somos propietarios es ilegal.

Si abrimos alguna aplicación exitosamente para debugearla en lenguaje ensamblador y manejamos conocimientos de este lenguaje, podremos modificar el código del

de este lenguaje, podremos modificar el código del Figura 6. La Ventana List Of String Data

Figura 6. La Ventana List Of String Data Items

programa a nuestro favor, en este

caso abriremos el editor del registro

y eliminaremos la protección que nos

impide su acceso, de esa manera tendremos a nuestra disposición el registro de Windows. Una utilidad que nos permite abrir un programa y explorar su código en lenguaje ensamblador es W32dasm, este programa no necesita instala-

ción así que como usuario restringi- do no tendremos ningún problema en abrirlo, dentro de W32Dasm nos dirigimos al menú Disassembler

y seleccionamos la opción Open File

to Disassemble y abrimos nuestra copia del Editor del Registro desde C:\hakin9\regedit.exe, W32Dasm co- menzará a desensamblarlo y al ter- minar veremos el código en lenguaje ensamblador. De esta manera podemos per- catarnos como aún con el bloqueo

Acceder como un usuario restringido

Si prefieres acceder como usuario restringido desde tu ordenador lo pue- des hacer ingresando desde la cuenta de Invitado. Para activarla debes ir a Inicio>Panel de Control> Cuentas de Usuario> Invitado> Activar la cuenta de Invitado.

Registros del

procesador

El procesador necesita de ayuda al momento de realizar sus tareas, como por ejemplo ejecutar programas, los re- gistros lo ayudan precisamente en eso. Cuando el procesador necesita sumar posiciones de memoria las dirige a un registro para realizar operaciones, és- tos a su vez varían dependiendo de las funciones específicas que fueron destinados a realizar.

OFFSET

Un offset sirve para designar inequí- vocamente una dirección de memoria conjuntamente con un segmento en algunas arquitecturas de microproce- sadores.

Registro de Windows

de acceso al regedit.exe es posible desensamblarlo sin inconvenientes. Una vez abierto el editor del registro en W32Dasm podemos observar tres columnas diferenciadas, la primera representa la dirección de memoria en la que está la instrucción, la segunda columna contiene el código de la ins- trucción en sistema numérico hexade- cimal, cuya base es 16, mientras que la tercera columna contiene el código en lenguaje ensamblador, el que mo- dificaremos para evadir la protección. Ahora nos disponemos a bus- car la cadena de texto que aparece dentro del mensaje que nos advierte sobre la restricción: El administrador ha deshabilitado la modificación del registro (Figura 4). Mediante W32- Dasm podemos observar las cade- nas de texto de un programa y las referencias a dichas cadenas. Si el editor del registro necesita hacer uso de una cadena de texto, no es necesario crear la cadena todas las veces que la vaya usar, sino que sim- plemente se hace referencia a la direc- ción de memoria donde se encuentra.

referencia a la direc- ción de memoria donde se encuentra. Figura 7. Los datos de Offset

Figura 7. Los datos de Offset necesarios

Es por ello que la cadena de texto que buscamos puede estar referenciada varias veces dentro del regedit.exe. Una vez identifiquemos la cadena de texto a buscar El administrador ha deshabilitado la modificación del re- gistro, averiguaremos sus referencias. Para ello, teniendo abierto el Editor del Registro desde W32Dasm

nos dirigimos al menú Refs, luego seleccionamos la opción String Data Referentes, para encontrar las cade- nas de texto. Al borde inferior de la ventana List of String Data Items vemos la cadena de texto que estábamos bus- cando (Figura 6). Damos doble click una sola vez sobre la cadena de texto (en algu- nos casos deberíamos dar más de un doble click sobre esta cadena, hasta encontrar el salto condicional correcto), presionamos el botón Clo- se y W32Dasm nos llevará a la esta dirección de memoria 01008AB4. Si continuamos haciendo doble click sobre la cadena de texto el progra-

ma nos llevará hacia otras direccio- nes de memoria, tantas veces como existan referencias a la cadena. Si nos dirigimos cuatro líneas arriba de la dirección 01008AB4 veremos dos instrucciones impor- tantes marcadas de color azul, la primera test eax, eax, realiza una comprobación de estos registros,

y emite un resultado booleano, es

decir verdadero o falso, dependien- do de la comprobación resultante de los registros. Seguidamente vemos

la instrucción je 01008ACA (Jump if

is Equal) es un salto condicional que comprueba el resultado del test, si el resultado del test es igual, je salta hacia 01008ACA, de lo contrario el programa continua con el resto del código inferior a je. Lo que haremos

Ejemplo Práctico

Una ejemplo simple orientado al hakin9 (haking) que podemos realizar fácilmente basados en lo aprendido en esta práctica, es abrir puertos cada vez que arranca el

sistema sin que el administrador del equipo se de por enterado. Para lograrlo abrimos

el editor del registro y localizamos la siguiente clave

HKey_Current_User\Software\Microsoft\Windows\CurrentVersion\Run

En la ventana de la derecha creamos un nuevo valor Alfanumérico llamado Server (o como prefieras), damos un doble click sobre él y escribimos la ruta de la aplicación- servidor que deseamos dejar a la escucha. De esa manera cada vez que el usuario inicie sesión lo hará también esa aplicación, más tarde podrás ejecutar el programa- cliente desde cualquier ubicación para establecer conexión.

¿Problemas?

En caso de que no puedas acceder correctamente al editor del registro de Windows, deberás revisar los pasos nuevamente, los errores que probablemente te impidan realizar esta práctica pudieron surgir por diversos motivos relativamente simples, probablemente la versión del registro de Windows que utilices sea diferente, (en este caso usamos la de Windows Xp Profesional) o equivocaste el salto condicional o no encuentras el offset correcto. En esos casos debes abrir la copia del regedit.exe desde W32Dasm ir al menú Refs,

y el la ventana donde aparece la cadena de texto El administrador ha deshabilitado la

modificación del registro, dar doble click mas de una vez sobre ésta y repetir el proceso

desde ese punto en adelante hasta encontrar el salto condicional correcto, posterior- mente es probable que tengas un offset distinto al de nuestra practica, pero en el editor hexadecimal solo debes verificar que el offset te dirija al 74 para modificarlo por EB.

Ataque Figura 8. Una pantalla de Win Hex – usuario restringido para evadir la protección

Ataque

Ataque Figura 8. Una pantalla de Win Hex – usuario restringido para evadir la protección que

Figura 8. Una pantalla de Win Hex – usuario restringido

para evadir la protección que nos restringe el acceso al editor del registro es cambiar ese salto condi- cional JE por un salto incondicional JMP, de esta manera el regedit.exe al llegar a esa parte del código com- para los registros y salta en todas las ocasiones, independientemente del resultado del test de los registros. Nos dirigimos hacia el salto con- dicional y hacemos doble click sobre él, vemos como se pinta una línea de color verde, seguidamente to- mamos nota del offset que aparece abajo en la barra de estado @offset 00007EAEh in File: regedit.exe, la h al final indica que dicha cantidad esta representada en sistema hexa- decimal. Por último anotamos por aparte el Offset ya que lo necesita- remos más adelante. Dentro de W32Dasm no es po- sible modificar de manera directa el código, desde cierto de punto de vista es ventajoso porque nos impi- de cometer errores al momento de alterarlo, por ejemplo si deseamos cambiar un salto incondicional de 2 bytes no debemos hacerlo por uno de 5 bytes por la instrucción CALL por ejemplo, sino por otro de la mis- ma longitud. En este caso cambiare- mos el je por jmp, es decir el 741A (la dirección que vemos en la segunda columna (Figura 7) por EB1A. Debemos acudir a otra herra- mienta para realizar las modifica- ciones necesarias en el código del regedit.exe. Un editor Hexadecimal, en este caso usaremos el WinHex,

este editor no precisa de instalación por lo que como usuario restringido no tendremos ningún problema en abrirlo. Seguidamente nos dirigimos al menú File > Open > C:\hakin9\ regedit.exe (Figura 8). Ahora tenemos a nuestra dispo-

sición el código del editor del registro de Windows en formato numérico hexadecimal. Una vez abierto, desde la posición inicial nos dirigimos al menú Position > Go to Offset… y en la opción New position colocamos el offset que obtuvimos en W32Dasm 00007EAE, finalmente presionamos OK. El editor hexadecimal nos dirigirá

al offset que buscábamos, el cual con-

tiene el salto condicional, (debemos estar seguros de aparecer en 74 1A), media vez hayamos encontrado el off- set correcto colocamos el puntero en el 7 y lo modificamos tecleando EB, luego veremos como cambia a color azul. Finalmente solo resta guardar los cambios dirigiéndonos al menú File > Save > Yes. Y eso es todo amigos.

¡Misión Completa!

Solo basta comprobar que es posi- ble acceder al registro de Windows ejecutando el regedit.exe desde C:

\hakin9. Si ejecutamos el regedit.exe ubicado en C:\Windows aún veremos la restricción que nos impide acceder

a él, la restricción continua porque las

modificaciones únicamente han sido hechas a nuestra copia ubicada en C:

\hakin9\regedit.exe, la que podremos trasladar a cualquier sistema operati-

vo Windows Xp que tenga habilitada

la restricción de acceso al editor del registro y evadirla simplemente eje- cutando nuestra querida copia. Las consecuencias prácticas que obtenemos derivadas del acceso al editor del registro de Windows a través de esta práctica nos permiten tener la habilidad para modificar ciertos aspec- tos del sistema operativo, tales como la apariencia, accesibilidad, los colores, temas, el escritorio, teclado, mouse, sonido, protector de pantalla, configu- ración de la shell del sistema, informa- ción sobre el usuario actual, programas instalados, archivos temporales, infor- mación de la sesión de usuario, manejo sobre las aplicaciones que se inician al cargar el sistema, etc, etc.

Contramedidas

Implementar software específico que audite el registro de Windows de ma- nera permanente evitando cualquier tipo de modificación sobre éste, de manera que deniegue los cambios realizados por cualquier usuario. Si establecemos este tipo de seguridad dentro del sistema y prevenimos su correcta funcionalidad, no será ne- cesario hacer cambios en el registro de Windows de manera no prevista. Espero haberlos alertado sobre la relativa facilidad que puede tener

un atacante para evadir la restricción de acceso al registro de Windows, cuando el administrador de equipo hace uso de las medidas de seguri- dad predeterminadas que nos ofrece Windows. l

Sobre el Autor

Víctor López Juárez es estudiante de la Universidad Rafael Landivar de Guate- mala. Está interesado en los diversos temas sobre seguridad informática, actualmente es miembro de la Comu- nidad de Desarrolladores de código seguro de Microsoft, profesional cer- tificado por parte de la empresa Intel Inside en temas como Web Services, Software Libre y Seguridad, y ex-inte- grante de la Academia Latinoamerica- na de Seguridad Informática. Durante sus tiempos libres participa en foros y comunidades de hackers, también desarrolla y diseña sitios Web.

¿Quieres recibir tu revista regularmente?

¿Quieres pagar menos?

¡Pide suscripción!

regularmente? ¿Quieres pagar menos? ¡Pide suscripción! www.hakin9.org/es por suscripción es más barata: 69 €
regularmente? ¿Quieres pagar menos? ¡Pide suscripción! www.hakin9.org/es por suscripción es más barata: 69 €
regularmente? ¿Quieres pagar menos? ¡Pide suscripción! www.hakin9.org/es por suscripción es más barata: 69 €
regularmente? ¿Quieres pagar menos? ¡Pide suscripción! www.hakin9.org/es por suscripción es más barata: 69 €

www.hakin9.org/es

pagar menos? ¡Pide suscripción! www.hakin9.org/es por suscripción es más barata: 69 € www.buyitpress.com
pagar menos? ¡Pide suscripción! www.hakin9.org/es por suscripción es más barata: 69 € www.buyitpress.com
pagar menos? ¡Pide suscripción! www.hakin9.org/es por suscripción es más barata: 69 € www.buyitpress.com
pagar menos? ¡Pide suscripción! www.hakin9.org/es por suscripción es más barata: 69 € www.buyitpress.com

por suscripción es más

barata:

69 €

www.buyitpress.com

por suscripción es más barata: 69 € www.buyitpress.com Pedido Por favor, rellena este cupón y mándalo

Pedido

Por favor, rellena este cupón y mándalo por fax: 0048 22 887 10 11 o por correo: Software-Wydawnictwo Sp. z o. o., Bokserska 1, 02-682 Varsovia, Polonia; e-mail: suscripcion@software.com.pl Para conocer todos los productos de Software-Wydawnictwo Sp. z o. o. visita www.buyitpress.com

Nombre(s)

Apellido(s)

Dirección

C.

Población, provincia

Teléfono

Fax

E-mail

Suscripción a partir del N°

Absender-Daten

Precio de suscripción anual de hakin9: 69 €

Realizo el pago con:

tarjeta de crédito (EuroCard/MasterCard/Visa/American Express) n O Válida hasta

transferencia bancaria a BANCO SANTANDER CENTRAL HISPANO Número de la cuenta bancaria: 0049-1555-11-221-0160876 IBAN: ES33 0049 1555 1122 1016 0876

0049-1555-11-221-0160876 IBAN: ES33 0049 1555 1122 1016 0876 CVC Code código SWIFT del banco (BIC): BSCHESMM

CVC Code

IBAN: ES33 0049 1555 1122 1016 0876 CVC Code código SWIFT del banco (BIC): BSCHESMM Fecha
IBAN: ES33 0049 1555 1122 1016 0876 CVC Code código SWIFT del banco (BIC): BSCHESMM Fecha
IBAN: ES33 0049 1555 1122 1016 0876 CVC Code código SWIFT del banco (BIC): BSCHESMM Fecha

código SWIFT del banco (BIC): BSCHESMM

Fecha y firma obligatorias:

Ataque Bluetooth – La Amenaza Azul Ezequiel Martín Sallis Grado de dificultad El Estándar Bluetooth,

Ataque

Bluetooth – La Amenaza Azul

Ezequiel Martín Sallis

Ataque Bluetooth – La Amenaza Azul Ezequiel Martín Sallis Grado de dificultad El Estándar Bluetooth, nacido
Grado de dificultad
Grado de dificultad

El Estándar Bluetooth, nacido en 1994 y formalizado en 1998 por el Bluetooth-SIG (Special Interest Group). La tecnología Bluetooth permite la comunicación inalámbrica, entre diferentes dispositivos que la incorporen sin necesidad de línea de vista y son el reemplazo esperado de la tecnología infrarroja.

Estándar Bluetooth, nacido en 1994

formalizado en 1998 por el Bluetoo-

th-SIG (Special Interest Group), es

una tecnología inalámbrica de bajo coste, que opera en la banda no licenciada de 2.4Ghz de frecuencia (la misma banda que utilizan algunos estándares de la tecnología 802.11). Básicamente posee cuatro canales, tres cana- les sincrónicos de voz (64 Kbps por canal) y un canal de datos asincrónicos. La velocidad de transmisión de los canales asincrónicos es de 723,2 Kbps mientras que la del canal asincró-

nico es de 433,9 Kbps. Existen hoy en día tres versiones de Blue- tooth:

E l

y

• Bluetooth Protocolo V1.1 No provee compa- tibilidad para coexistir con 802.11,

• Bluetooth Protocolo V1.2 (2003) Data Rate

1Mbps,

• Bluetooth Protocolo V2.0 +EDR (Enhanced Data Rate) (2004) Data Rate 3Mbps.

Uno de los hechos que hacen que esta tecno- logía sea de bajo coste, es la potencia nece- saria para funcionar, tan sólo 0,1 vatios, que sin duda alguna reduce considerablemente el

consumo de los equipos y que además permite ser incorporada en los teléfonos móviles y las PDA sin que afecte en exceso al consumo de sus baterías. La tecnología Bluetooth permite la comu- nicación inalámbrica, entre diferentes disposi- tivos que la incorporen sin necesidad de línea de vista y son el reemplazo esperado de la tec- nología infrarroja. Sin embargo, la frecuencia en la que opera (2.4 Ghz banda no licenciada),

En este artículo aprenderás

• Qué es Bluetooth,

• Cómo funciona esta Tecnología,

• Cuáles son sus aplicaciones más habituales,

• Cuáles son los riesgos,

• Cuáles son los ataques mas comunes,

• Algunas herramientas disponibles.

Lo que deberías saber

• Nociones Básicas de Comunicaciones Inalám- bricas,

• Nociones Básicas sobre la tecnología Blue- tooth.

debió enfrentarse al temor elemen- tal de cualquier comunicación ina- lámbrica, la interferencia, y a fin de superarla se implementaron las si- guientes características:

• Frequency Hoping: Patrón de saltos predefinido,

• Saltos de 1 Mhz sobre 79 fre- cuencias diferentes entre 2.402 GHz y 2.480 Ghhz,

• Saltos entre frecuencias más rápidos que en otras tecnologías inalámbricas (1600 Saltos por segundo).

Este punto a su vez incorpora, una medida importante desde el punto de vista de la seguridad, ya que para poder monitorear el tráfico de una comunicación, debemos formar necesariamente parte de la misma, de lo contrario la única alternativa viable es la de adquirir costosos equipos que puedan monitorear trá- fico, sin la necesidad de ser parte de la conexión, algo viable solo para unos pocos adinerados.

Bluetooth STACK

La pila del protocolo Bluetooth está conformada de la siguiente manera (Tabla 1).

Redes

Cuando se conectan más de un dis- positivo BT compartiendo un mismo canal de comunicación forman una red denominada Piconet. Dichas redes están compuestas por un dispositivo Master quien impone la frecuencia de saltos para la Piconet, y todos los demás dispositivos son los denominados Slaves (esclavos). Las Piconet solo pueden aceptar hasta 7 dispositivos Slaves conec- tados al mismo tiempo, sin embar-

En la Red

www.bluetooth.org,

www.trifinite.org,

www.nruns.com,

http://gospel.endorasoft.es,

http://student.vub.ac.be/~sijansse/

2e%20lic/BT/Tools/Tools.pdf.

go, soportan hasta 200 dispositivos pasivos. Los dispositivos esclavos pueden a su vez estar interconectados a di- ferentes Piconet, formando lo que se denomina una Scatternet, pero esta

característica no se aplica al dispo- sitivo Master ya que el mismo solo

puede estar en una Piconet.

Seguridad

Los dispositivos con Bluetooth tie- nen básicamente dos estados o mo- dos posibles:

• Modo Descubrimiento,

• Modo No Descubrimiento.

Cabe mencionar que si algún dis- positivo se encuentra en modo No Descubrimiento, igualmente puede ser mapeado siempre y cuando el

Bluetooth – La Amenaza Azul

atacante conozca la Mac Address (BD_ADDR). Básicamente los modelos de Seguridad de los dispositivos Blue- tooth se clasifican en tres modos primarios:

Modo 1: Sin seguridad (Modo Default)

Esencialmente, los mecanismos de autentificación y cifrado están des- habilitados.

Modo 2: Aplicación/ Nivel Servicio

Ocurre en la capa L2CAP, nivel

de servicios. Primero se establece un canal entre el nivel LM y el de L2CAP, inicializando los parámetros de seguridad. Como característica, el acceso a servicios y dispositivos es controlado por un Gestor de

Tabla 1. La pila del protocolo Bluetooth está conformada de la siguiente manera:

Radio Layer

Es la capa mas baja, define las característi- cas de la transmisión, cada dispositivo esta clasificado en tres clases diferentes:

• Clase 1 100 Metros Aproximadamente

• Clase 2 10 Metros Aproximadamente

• Clase 3 1 Metro Aproximadamente

Baseband Layer

Es la capa física, provee corrección de erro- res y características de seguridad, a través de la encriptación de datos, también admi- nistra los saltos de frecuencia y los datos contenidos en la cabecera del paquete

Link Manager Protocol (LMP)

Es el contenedor de aproximadamente 20 PDU Protocol Data Units, estas unidades son enviadas desde un dispositivo al otro, algunas de las más utilizadas son:

• Power Control

• Autentificación

• Calidad de Servicio (QOS)

Host Controller Interface

Envía comandos a las dos capas inferiores, permitiendo una vía para la utilización, de las bondades de Bluetooth

The Logical Link Control and Adaptation Protocol

Controla el link entre dos dispositivos, y además es la encargada de proveer los servicios a los mismos

(L2CAP)

Cable Replacement Pro- tocol (RFCOMM)

Es el protocolo de transporte, envía la señal montada sobre L2CAP

Service Discovery Proto- col (SDP)

Busca otros dispositivos Bluetooth disponi- bles y le provee la capacidad de establecer una conexión con los mismos, se comunica directamente con la capa de L2CAP

Ataque Seguridad, por lo cual variando las políticas de seguridad y los niveles de confianza

Ataque

Seguridad, por lo cual variando las políticas de seguridad y los niveles de confianza se pueden gestionar los accesos de aplicaciones con diferentes requerimientos de seguri- dad que operen en paralelo. Otra ca- racterística importante de este modo es que no hay ninguna codificación adicional de PIN o claves.

Modo 3: Autentificación vía PIN/ Seguridad a nivel MAC/ Encriptación

Ocurre a nivel de Link y todas las rutinas se corren internamente en

el chip BlueTooth por lo que nada se transmite en texto plano. A diferen- cia del Modo 2, los procedimientos de seguridad se inician antes de establecer algún canal y el cifrado se basa en la autentificación PIN

yseguridadMAC.Básicamente,com-

parte una clave de enlace (clave de link) secreta entre dos dispositivos. Para generar esta clave, se usa un procedimiento de paring cuando los dos dispositivos se comunican por primera vez:

Proceso de Paring

Para comprender el proceso de Paring o Emparejamiento, debemos aclarar que por defecto, la comuni- cación Bluetooth no se valida, de manera tal que cualquier dispositivo puede o podría hablar con cualquier otro. Un dispositivo Bluetooth se autentifica con otro si se requiere utilizar un determinado servicio (por ejemplo para el servicio de marca- ción por modem). Como ya mencio- namos, la forma de autentificarse es mediante códigos PIN (cadena ASCII de hasta 16 caracteres de longitud). Tanto el usuario del dis- positivo cliente como así también el proveedor del servicio, debe in- troducir el código PIN, obviamente, en ambos dispositivos el código ingresado debe ser exactamente el mismo. Al finalizar este proceso correctamente, ambos dispositivos generan una clave de enlace la cual se puede almacenar en el propio dispositivo o en un dispositivo de al- macenamiento externo. Dicha clave será utilizada la siguiente vez que

se comuniquen ambos dispositivos sin la necesidad de la intervención de los usuarios para que coloquen nuevamente sus contraseñas. Si alguno de los dos dispositivos pier- de la clave, se debe a realizar todo el proceso nuevamente. Todo este proceso es conocido como empare- jamiento o Paring.

Riesgos y Ataques en la tecnología Bluetooth

Es muy común encontrarse en los archivos almacenados de las PDA

y en los móviles, los usuarios y las

contraseñas de los PC y hasta de los servidores que para no dejarlos anotados en un papel lo anotan en sus dispositivos móviles. Los lugares de mayor riesgo

o donde es fácilmente posible obte- ner información como la mencionada anteriormente, son lugares públicos como por ejemplo:

• En el cine,

• En una plaza con mucha gente,

• En una biblioteca,

• En un centro comercial o en un bar,

• En un campo de fútbol,

• En alguna tienda de telefonía,

• En el tren – autobús.

Según estadísticas los usuarios

sueles utilizar los dispositivos como pda o teléfonos móviles para lo si-

guiente:

• 85% Utilizan estos dispositivos para almacenar el día a día del negocio,

• 85% Los utiliza para almacenar contactos y direcciones relacio- nadas con el negocio,

• 33% Los utiliza para almacenar PINs y Passwords,

• 32% Para recibir y enviar correo,

• 25% Para llevar el detalle de sus cuentas bancarias,

• 25% Para almacenar información corporativa,

• Fuente: Pointsec Mobile Techno- logies.

Como podemos ver la información comprometida, puede o no ser de

carácter corporativo, pero puede brindar al atacante a obtener datos que permitan desarrollar luego una estrategia de ataque más efectiva. Desde principios de 2003, co- menzaron a hacerse publicas, algu- nas debilidades y vulnerabilidades que afectaban directamente a esta tecnología. La primera de ellas, fue descu- bierta por la gente de Atstake, y fue denominada War Nibling, y permite descubrir todos los dispositivos que estén en el alcance del atacante

estando estos o no en modo descu- brimiento. Después y de la mano de Adam Laurie y la gente del grupo Trifinite, fueron descubiertas las siguientes técnicas:

Algunas Herramientas

Btbrowser (http://www.benhui.net/ bluetooth/btbrowser.html):

• Permite descubrir dispositivos BT,

• Permite conocer las especificacio- nes técnicas de los mismos,

• Permite ver los servicios disponi- bles por este,

• Aplicación en Java soportada por varios teléfonos móviles.

Bthdisc (www.trifinite.org):

• Permite descubrir dispositivos BT,

• Informa Clase y Dirección Mac Address.

Bt_Audit: Scanner con dos funcionalida- des (http://www.betaversion.net/btdsd/):

• Scanner para L2CAP

• Scanner RFCOMM

Plataforma Operativa:

Linux

Sniffing Local:

• Hcidump

Piconet Sniffing:

• Hardware o firmware especial.

Air Sniffing:

• Frontline (http://www.fte.com/),

BluePrinting

Es una técnica de Fingerprinting pe- ro de dispositivos Bluetooth, permite saber

• Fabricante del dispositivo,

• Modelo del dispositivo (solo algu- nas veces).

Se basa en la dirección Mac Address del dispositivo, está compuesta por 6 bytes, los primeros 3 indican el fabri- cante y los restantes el modelo Las herramientas para estos ata- ques buscan dispositivos que se en- cuentren en Modo Descubrimien- to, toma las direcciones Mac, y la

compara contra la base de firmas que poseen determinando así el Fa- bricante del dispositivo y su modelo. Para el caso de los dispositivos que no se encuentren en Modo Des-

cubrimiento, existen herramientas

que se basan en ataques de Brute Force.

BlueBug

Es una vulnerabilidad que fue en- contrada en varios teléfonos móviles con interfaz Bluetooth Permite enviar comandos AT al móvil, a través de un canal encubier- to de la tecnología Bluetooth, per- mitiendo al atacante:

Algunas Herramientas

Herramienta de auditoría para teléfonos móviles – BLOOVER:

• Actualmente por la versión 2, es un aplicación realizada en java, que permite reali- zar, el ataque de Bluesnarf, directamente desde un móvil, con tecnología Bluetooth

y soporte para aplicaciones Java J2ME MIDP 2.0 VM y JSR-Bluetooth API (Down- load: http://trifinite.org/trifinite_downloads.html).

Funcionalidades:

• Permite modificar y leer entradas en la agenda telefónica,

• Permite leer los mensajes de texto, almacenados en el teléfono,

• Permite introducir en el móvil comprometido, un numero telefónico para el redirec- cionamiento de llamadas,

• Ejecutar el Hello Moto Attack,

• Ejecutar Bluejacking,

• Enviar Objetos malformados a través de OBEX.

BTCrack (www.enruns.com):

• Herramienta recientemente presentada el Hack.Lu 2006,

• Permite romper Claves y Llaves de enlace (PIN y Link Key),

• Previamente requiere como entrada, los datos sniffeados durante el proceso de paring.

Algunas Debilidades Generales:

• El usuario suele relacionar el concepto de PIN con una cadena de caracteres corta (4), la tecnología lo permite

• Los ataques de ingeniería social, pueden preceder a los ataques antes descritos

y facilitar aun mas la tarea del atacante

Ej: Nombre del Dispositivo Para continuar ingrese 1234:

• El algoritmo utilizado para brindar seguridad es Simétrico (misma clave para encrip- tar que para desencriptar) y no existe un canal seguro de transmisión, el problema se potenciaría en implementaciones grandes de BT.

• NO existe autentificación de Usuarios,

• NO existen limites para el reintento de ingreso de claves,

• SIN paring previo algunos servicios e información son visibles,

• Covert Channels,

• Errores de Programación e Implementación.

Bluetooth – La Amenaza Azul

• Extraer del móvil la agenda tele- fónica y calendario entre otros,

• Modificar o Borrar entradas en

el calendario, o en los contactos

telefónicos,

• Enviar un mensaje SMS desde el móvil comprometido,

• Provocar que el móvil comprome-

tido, realice llamadas telefónicas

a los números que el atacante desee.

BlueSnarfing y Long Distance Snarf

Este es el ataque que se aprovecha del bluebug, y básicamente permite, extraer información de un móvil, en vez de colocarla, varios equipos son vulnerables a este ataque (Nokia 6310,6310i entre otros). En agosto de 2004, lograron llegar más allá de los limites de al- cance de un dispositivo clase uno, logrando extraer y modificar la agen- da telefónica y el calendario de un teléfono móvil a una distancia de 1,78 Km. Utilizando una Portatil bajo Linux (Con todas las librerías de Bluetooth), con un adaptador USB Bluetooth modificado (Clase 1) y una antena direccional cuyo objetivo era un Móvil Nokia 6310 Dispositivo (Clase 2).

BlueSmack

Es un ataque de Denegación de ser- vicio que aprovecha las debilidades en la implementación de Bluetooth, mas puntualmente en L2CAP. Per- mite mal formar un requerimiento causando que el dispositivo se cuel- gue o se reinicie sin necesidad de establecer un conexión previa. Es similar al conocido ping de la muerte, l2ping es una funcionalidad que está presente en las librerías Bluez, de Linux, y permiten a un ata- cante especificar el tamaño del pa- quete a enviar.

BlueBump

Su fin es robar la link-key del telé- fono de la víctima, para establecer posteriores conexiones, sin que este lo note y aparentando ser un dispo- sitivo confiable. Este tipo de ataque incorpora técnicas de Ingeniería so-

Ataque cial pero fundamentalmente se basa en el beneficio de poder regenerar la link-key mientras

Ataque

cial pero fundamentalmente se basa en el beneficio de poder regenerar la link-key mientras la conexión esta establecida (Ver mas en Cracking BT PIN y la reciente herramienta BTCrack).

Hello Moto

Es una debilidad en exclusiva de al- gunos dispositivos Motorola. La debilidad radica en una mala implementación de la relación de con- fianza que se establece en el proce- so de paring. Permite establecer la relación de confianza, entre el dispositivo del atacante y la víctima, si este primero intenta establecer una conexión al OPP (Obex Push Profile) y luego la cancela, el dispositivo del atacante será agregado a la lista de dispositi- vos confiable de la víctima. Todo esto sucede sin que medie ninguna interacción por parte de la víctima.

BlueSpam

Es un ataque basado en la búsque- da de dispositivos en Modo Des- cubrimiento, a los cuales luego les enviará mensajes arbitrarios crea- dos por el atacante. Este tipo de ataques no requiere la interacción por parte de la víctima para recibir el spam.

BlueJacking

Es el ataque quizás más inofensivo pero desde el cual se han sentado muchas bases para nuevos ata- ques. Consiste en conectarse a un dispositivo Bluetooth y colocarle imágenes, mensajes o contactos al dueño del dispositivo. También es utilizado para realizar ingeniería so- cial y utilizarla en complemento con otro tipo de ataques que requie- ran que los equipos estén apareja- dos.

Cracking BT PIN y la reciente herramienta BTCrack (www.enruns.com)

Tal cual sucedió, con WEP en 802.11, la implementación de los al- goritmos de encriptación y seguridad

sobre Bluetooth, poseen importantes debilidades. En el caso de Bluetooth, este contiene varios elementos, como el manejo de llaves de encriptación y autentificación basada en un PIN, los cuales son utilizados en el proce- so de Paring y la utilización de estos reside en la decisión del usuario. El algoritmo que brinda seguri- dad a estas tecnologías es Safer+, este es un algoritmo simétrico de en- criptación por bloque, que permite la utilización de llaves de 128, 192 y 256,

para el caso el algoritmo utilizado es Safer+ de 128bits. Haciendo un poco de historia acerca de las investigaciones lleva- das a cabo sobre este aspecto, en el 2003 Ollie Whitehouse comenzó

a hablar de algunas debilidades en

el proceso de paring que podrían permitir romper el PIN, mas ade- lante algunos investigadores, hi-

cieron mejoras sobre esta técnica

y encontraron la manera de forzar

a un dispositivo a que reinicie el

proceso de paring, por ultimo en el

a que reinicie el proceso de paring, por ultimo en el Figura 1. Página oficial de

Figura 1. Página oficial de Nruns

paring, por ultimo en el Figura 1. Página oficial de Nruns Figura 2. Página oficial de

Figura 2. Página oficial de Bluetooth

Bluetooth – La Amenaza Azul

2006 Thierry Zoller llevo a cabo la implementación de una herramien-

ta para Win32 que llevaría todo lo

anterior a la practica (BTCrack)

y además realizo otra propuesta

diferente a la de Shaked y Wool, para forzar el proceso de re-empa- rejamiento. Para poner esto en palabras simp- les, alguna de las cosas que podrían suceder seria la siguiente:

Escenario

Dos dispositivos, Un Master y un Sla- ve, realizar exitosamente el proceso de emparejamiento, autenticando esto mediante un PIN.

de emparejamiento, autenticando esto mediante un PIN. Figura 3. Página oficial de Trifinite Cuarto Paso Tomar

Figura 3. Página oficial de Trifinite

Cuarto Paso

Tomar el output de la información capturada, durante el proceso de em- parejamiento y dárselo como input al BTCrack, debido a las debilidades arriba mencionadas, la herramienta

se encargara rápidamente de infor- marle al atacante cual es el PIN. En base a los estudio realizados por Thierry Zoller en un equipo Dual- Core P4 de 2Ghz, el tiempo que le llevaría a la herramienta romper el PIN es:

• PIN de 4 Digitos: 0.035 Segun- dos,

• PIN de 5 Digitos: 0.108 Segun- dos,

• PIN de 6 Digitos 4.321 Segun- dos,

• PIN de 9 Digitos 1318 Segundos.

Es por esto que entre otras recomen- daciones el SIG recomienda realizar el proceso de emparejamiento en un lugar seguro.

Conclusión

Las nuevas tecnologías, traen aso- ciadas cientos de riesgos y amena-

zas para las que muchas veces las empresas no están preparadas, y lo que es peor, a veces ni siquiera es- tán informadas sobre estos peli- gros. Muchas corporaciones, dan a sus directivos estos dispositivos, sin tener en cuenta los riesgos aso- ciados a los que se expone la in- formación contenida en ellos, es por esto que hay que crear la con- ciencia necesaria y tomar medidas que permitan mitigar los riesgos asociados. La creatividad, es una de las he- rramientas de ataque, contra la que muy pocos desarrollan contramedi- das l

Primer Paso

El atacante debería en primer lugar

conocer las direcciones MAC de ambos dispositivos, esto no seria un problema para el atacante ya que como se menciono más arriba existen técnicas y herramientas dis- ponibles.

Segundo Paso

El atacante debería modificar la di-

rección MAC de su dispositivo por la del dispositivo Slave.

Tercer Paso

El atacante ahora debería intentar iniciar con el Master el proceso de paring, al mismo tiempo este debería estar monitoreando y capturando la información transmitida.

Sobre el Autor

Ezequiel Martín Sallis CISSP/CEH/CCNA/NSP. Desarrollo su carrera en INFO- SEC, con base en el aprendizaje y actualización continua, ha trabajado durante largo tiempo en las consultoras mas prestigiosas, prestando servicios para empresas del ámbito Gubernamental, Publico y Privado tanto a nivel nacional como internacional. Actualmente es Emprendedor y Director de ROOT-SECURE SRL, una Consultora especializada en Seguridad de la Información con bases en la Argentina, y con amplia experiencia en este campo. Ha trabajado fuertemente, en tareas relacionadas con INFOSEC, entre las que se pueden mencionar, Penetration Test, Vulnerability Assesment, Hardening de Pla- taformas, Asesoramiento con la Norma ISO 17799:2005, Management de Proyectos

y otros. Es instructor de gran cantidad de capacitaciones tanto a nivel nacional, como a nivel internacional, entre las que se pueden mencionar CISSP, Ethical Hacking

y otras. Ha participado como Orador en gran cantidad de seminarios y eventos inter- nacionales.

Web Services Security

Web Services Security Defensa José Carlos Cortizo Pérez, Diego Expósito, Diego Peces Grado de dificultad El

Defensa

José Carlos Cortizo Pérez, Diego Expósito, Diego Peces

Grado de dificultad
Grado de dificultad
Pérez, Diego Expósito, Diego Peces Grado de dificultad El gran crecimiento del comercio electrónico y del

El gran crecimiento del comercio electrónico y del B2B (Business to Business) ha originado la necesidad de nuevas tecnologías que permitan el intercambio de información y la reutilización de servicios en distintos sistemas.

T ecnologías como RPC, RMI, CORBA,

etc. fueron surgiendo para cubrir estas

carencias pero presentaban tantas li-

Los servicios Web proporcionan ciertas ventajas para el diseño y posterior desarrollo de aplicaciones:

mitaciones como ventajas. Los servicios Web proporcionan un modelo distinto en el desa-

Ofrecen transparencia de uso, ya que se

rrollo de aplicaciones distribuidas ya que ofre-

basan en protocolos muy aceptados (XML)

cen la capacidad de acceder a información

y

dan la posibilidad de intercomunicar

y funciones heterogéneas de forma estándar

sistemas basados en arquitecturas y pro-

a través de una red, como pueda ser Internet.

gramados en lenguajes completamente he-

El surgimiento de los servicios web ha sido posible en gran medida gracias al surgimiento

terogéneos. Esto es: independencia de la máquina y del lenguaje de programación.

y

aceptación del XML como metaformato para

Al

tener como base el protocolo HTTP, la

el intercambio de información. Gracias a XML

comunicación se da sin ningún tipo de pro-

se han podido desarrollar una serie de pro-

tocolos y estándares que forman la base de los servicios web: SOAP/XML-RPC para el

intercambio de datos entre aplicaciones, WS-

DL como lenguaje de descripción de servicios

y UDDI como registro basado en XML para

la descripción, descubrimiento e integración. Todos estos protocolos se aglutinan dentro de SOA (Arquitectura Orientada a Servicios), que permite que varias aplicaciones puedan inter- cambiar información y funcionalidad a pesar de estar en ubicaciones diferentes, estar en má-

quinas de diversas arquitecturas y programa- das en diferentes lenguajes de programación.

En este artículo aprenderás

• Cómo protegerse de los problemas básicos de seguridad relacionados con los servicios web,

• Lo que deberías tener en cuenta a la hora de desarrollar tu propio servicio.

Lo que deberías saber

• Ciertos conocimientos de servicios web (al me- nos saber lo que es un servicio web y lo que es la arquitectura SOA).

blemas ya que los firewall suelen tener el puerto http habilitado. Con otras tecnologías anteriores (rpc, corba) había que tener cui- dado con las configuraciones de los firewalls. • Ofrecen la potencia de poder disponer de funcionalidades e in- formación que ofrecen los distin- tos servicios Web que estén físi- camente ubicados en diferentes lugares geográficos. Con esto se obtiene como resultado un sistema global que aúna las ca- pacidades de todos lo servicios Web que invoca.

Todas estas ventajas se pueden re- sumir en pocas palabras: Los servi- cios Web nos ofrecen transparencia,

sencillez y compatibilidad y dotan al nuevo sistema de funcionalidades correctas de forma rápida y simple. Para tratar de comprender de forma definitiva todo lo comentado ante- riormente vamos a ver un ejemplo típico de uso de servicios Web en el ámbito comercial o de negocio (Figura 1). Imaginemos una típica agen- cia de viaje. Entre sus ofertas se ofrecen paquetes de vacaciones personalizables. Dentro de cada paquete de viaje se distingue un destino, el o los hoteles en los que hospedarse, los vuelos de avión

y demás particularidades del viaje.

Al ser personalizables, en cada uno de estos paquetes se puede elegir ciertos detalles como pueden ser el hotel, los vuelos, el destino, la duración, etc. Manejar toda esta in- formación y gestionar los cientos de combinaciones posibles, así como asegurar al cliente la oficialidad de sus reservas en hoteles y vuelos para las fechas exactas se torna en una tarea demasiado compleja, por no decir imposible, para la agencia de viajes. Para coordinar todos estos eventos la agencia de viajes deberá

ponerse en contacto con cada com- pañía de vuelo para averiguar si es posible y quedan plazas para volar el día elegido al destino de vacaciones. Tendrá que ponerse en contacto con

la administración de los hoteles y re-

servar si hubiera plaza para el perio- do determinado. Realizar esta tarea manualmente tiene un alto coste en tiempo y en recursos, ya que obliga

a la agencia a tener un empleado

realizando todas las gestiones ma-

nualmente. Además las posibilidades de que alguna reserva sea negativa

y sea necesario replanificar todo el

viaje son muy grandes, con lo cual el tiempo necesario para organizar to-

do el viaje y la estancia puede crecer aun más. Está claro que el cliente ni puede, ni quiere, esperar tanto para recibir una contestación afirmativa o negativa sobre la disponibilidad de

su viaje. ¿Cómo obtener una solución

automatizada para realizar todo es-

te proceso? Las compañías aéreas

ofertan desde hace tiempo servicios de consulta y reserva online para su acceso desde operadores turísticos (AMADEUS). Por lo tanto, para con-

sultar la disponibilidad de vuelos ba- staría con acceder a los servicios web de las compañías aéreas ofre- ciéndonos información para los vue- los que nos interesen. Para el tema de los hoteles pasa algo parecido. Así pues, automatizar el proceso global no parece ya una tarea tan complicada ya que bastaría con realizar un programa para satisfacer las restricciones marcadas por el usuario que hiciera uso de los servi-

cios web de consulta y reservas que nos ofertan las distintas compañías implicadas en el proceso. Además

el utilizar servicios web en lugar de

otras tecnologías nos asegura la co- rrecta interoperabilidad a la hora de acceder a los servicios e información remota de los hoteles y compañías aéreas.

Interoperabilidad y SOA

Hemos dado mucha importancia en

el apartado anterior al concepto de

Heterogeneidad que se permite en- tre los sistemas participantes de una

transacción gracias a los Servicios Web. SOA (Arquitectura Orientada

a Servicios) es la arquitectura que

hace eso posible. En este apartado nos introduciremos en esta arqui-

tectura.

Web Services Security

La arquitectura SOA se com- pone de nodos. Los nodos de una red ofecen a otros nodos o usuarios de la red sus recursos en forma de

servicios independientes, a los que se accederá de forma estándar. Es decir, la idea radica en crear servi- cios independientes que cada nodo

ofrece al resto de la red, de modo que cualquier nodo con los permisos adecuados podrá usar uno o varios

servicios con la finalidad de dar solu- ción a un problema mayor. Después de todo lo visto es fácil ver la arquitectura SOA como un nivel de abstracción superior

a la orientación a objetos pues en

lugar de objetos que proporcionan un cierto comportamiento, tenemos

servicios. Pero ya hemos descu- bierto como SOA es realmente una

arquitectura distribuida gracias a pro- tocolos como SOAP y WSDL. Otra forma de acceder remotamente a fun- cionalidad remota (anterior a SOA) son los RPC (llamada a procedimien- tos remotos). Este protocolo posi- bilita ejecutar servicios o código de un programa en otra máquina de forma remota, siendo para la pri- mera transparente la comunicación entre ambos nodos, ya que las RPC encapsulan y ocultan parte del pro- ceso. Básicamente, en los RPC es el cliente el que inicia el proceso, dicho nodo solicita al servidor que ejecute cierta funcionalidad. Éste, cuando ha terminado su proceso, le envía el resultado de dicho servicio

al cliente.

Los servicios web surgen como mejora del RPC al estandarizar el protocolo interno de comunicación. De todas formas los servicios web han ido evolucionando desde sus inicios, sufriendo una serie de me- joras y de actualizaciones que se traducen en tres generaciones de

servicios web. La primera generación de ser- vicios web se basaba en la comu-

nicación nodo a nodo. Un flujo de acciones podría ser el siguiente:

Se lanza una petición de un servicio

a un servidor SOAP. Dicho servidor

SOAP se encarga de invocar el ob- jeto o el proceso determinado que le

Defensa ofrece dicho servicio. Se realiza el proceso interno necesario (acceso a bases de datos,

Defensa

ofrece dicho servicio. Se realiza el proceso interno necesario (acceso a bases de datos, lectura de fiche- ros, etc.) para la consecución del servicio. El servidor SOAP detecta el fin del proceso y devuelve la respuesta obtenida al Nodo que rea- lizó la petición (a través de http). Un proceso, como se puede observar, bastante simple. En la segunda generación se da la situación de que el Nodo que realiza la petición no se la realiza directamente al servidor SOAP que mantiene el servicio. Realiza la petición a un tercer servidor SOAP que será el que realice la verda- dera petición al servicio oportuno. Este nodo intermedio concentra todas las peticiones de los distintos clientes y concentra en él todas las tareas necesarias de comunicación con el nodo del servicio. En esta generación se encapsulan compor- tamientos comunes de los clientes en un nuevo nodo que se encarga de distribuir posteriormente las partes no comunes a los distintos nodos de servicio. El problema de la 2a generación surge de los procesos demasiado complejos que se pueden generar al realizar diversas peticiones. En nuestro ejemplo del operador de viajes, para satisfacer los deseos de nuestro cliente deberíamos realizar

multitud de peticiones a distintos servicios web. Sin embargo puede suceder que uno de los servicios Web nos devuelva una respuesta negativa, es decir, que nuestro hotel no ha podido ser reservado por falta de habitaciones libres (por ejemplo). En este caso sería nece- sario deshacer todas las reservas de vuelos, vehículos de alquiler, etc. La tercera generación de servicios web soluciona esto de modo que se agrupan todas las peticiones en una transacción. Esta transacción será positiva en caso de que logren satisfacer todas las restricciones necesarias (por ejemplo todas las reservas necesarias para un cliente determinado) y será negativa en ca- so contrario, ya que una transacción solo tiene sentido si se cumple en su totalidad (si no tengo el billete de avión hasta mi destino, el que tenga hoteles libres me da absolutamente lo mismo). Hasta que no se consiga satisfacer todas las peticiones el resto, aunque estén satisfechas, se mantendrán en espera hasta que todas tengan éxito.

¿Es SOA inseguro?

Uno de los puntos fuertes de SOA en cuánto a interoperabilidad es su habilidad de atravesar firewalls, ya que la comunicación se realiza a tra- vés del puerto 80 que habitualmente

Agencia Viajes Hotel 1 Hotel 2 Cliente 1 Compańías Aéreas Cliente 2
Agencia Viajes
Hotel 1
Hotel 2
Cliente 1
Compańías
Aéreas
Cliente 2

Figura 1. Un ejemplo de uso de los servicios Web en el ámbio comercial

no está protegido. Sin embargo este punto fuerte para la interoperabi- lidad es visto como un punto muy débil en cuánto a seguridad por al- gunos gurús de la seguridad, ya que permite a SOA saltarse los firewalls (y en gran medida la seguridad). Otro punto oscuro es el tema de la autentificación, autorización y con- trol de acceso a servicios web en función que SOA en sus primeras definiciones del estándar no ofrecía de por si.

Ataques típicos

Ante todo hay que tener en cuenta que, cuando estamos creando servi- cios web, lo que estamos haciendo es brindar puertas de acceso desde el exterior a nuestros programas (sistema), por lo que hay que tener muy en cuenta quiénes van a poder acceder a cada funcionalidad y el que no existan agujeros de seguri- dad en el código desarrollado. De todas formas los ataques más típi- cos son:

• Ataque de denegación de servi- cio: Un ataque de DOS a un ser- vicio web es idealmente simple. Lo que se trata es de atacar al servidor de aplicaciones o al par- seador XML, no a la lógica del programa, lo cuál sería más com- plicado. Estos ataques tratan de consumir mucho tiempo de CPU, consumir mucha memoria y/o colapsar el acceso a la base de datos. Para el tema del consumo de mucha cpu basta con tener en cuenta que parsear un XML correctamente no es una tarea trivial, y menos cuándo se tienen estructuras muy profundas y re- ferencias a otros documentos que hacen que se produzcan es- peras debido a la latencia de la red durante el parseo. En cuánto a consumir mucha memoria hay que tener en cuenta que a pesar que consumir toda la memoria de un sistema en producción sea una tarea prácticamente impo- sible, la gestión de la memoria (sobre todo en aquellos servicios web implementados en lengua-

jes que, como Java, utilizan recolector de basura) puede hacer que el sistema se vuelva sumamente lento. Para colapsar las conexiones a Bases de Da- tos nos centramos en el hecho que mayoría de las aplicaciones utilizan colas de conexiones de tamaño fijo, por lo que si se ge-

neran tantas peticiones a la base de datos como para llenar la cola se puede llevar a la aplicación

a su muerte. Para esto haría fal-

ta encontrar una petición SOAP que no requiera autorización pe- ro que resulte en una petición fuerte a la base de datos (ejem- plo: autenticación inicial de un usuario).

• Interceptación y manipulación de mensajes: Al ser mensajes en XML resulta bastante fácil descifrar y manipular cualquier mensaje (ataques de reescritura de XML).

• Peticiones de cliente falsificadas.

• Respuestas del servidor falsifica- das.

que nuestro servicio web funcione correctamente. Algo menos dañino que esto puede ser el acceder a la funcionalidad de un servicio web sin ser usuario autorizado, para ello (utilizando el mismo ejemplo) si se pasa como parámetro de nombre de usuario el texto “t’ OR ‘a’==’a’) esto podría derivar en un acceso no auto- rizado si solo se tiene en cuenta que la consulta sea verdadera (devuelva algo) ya que ‘a’ == ‘a’ se cumple

siempre. Algunos de estos ataques típicos (y algunos otros) se deben a las de- bilidades derivadas de utilizar XML en las peticiones

• Documentos XML excesivamen-

te largos/profundos (relacionado

con los ataques DOS).

<etiqueta><etiqueta><etiqueta>

</etiqueta></etiqueta></etiqueta>

• Ataques de Expansión de Enti- dades: Si la cabecera del docu- mento XML declara entidades

Web Services Security

de por sí autenticar al invocador pero, hoy por hoy, existen algunas alternativas para poder hacerlo:

• La nueva especificación de se- guridad (WS-Security) para ser- vicios web permite autenticar los invocadores.

• Validar a nivel de capa de trans- porte utilizando HTTPS.

• Utilizar diferentes servidores SOAP para cada nivel de acce- so.

• Hacer que el firewall inspeccione los mensajes SOAP e identifique roles de usuario, niveles de priva- cidad, etc.

De todas formas todas estas alter-

nativas para autenticar al invocador están fuera del alcance de este artículo por considerarse un tanto avanzadas. Cada una de ellas tiene el suficiente peso como para desa- rrollarse en un único artículo.

Haciendo seguros tus Servicios Web

• Intentos de leer/escribir datos en

recursivas y el fichero las refiere,

Una vez tenemos claros los ataques

el servidor (sistema de ficheros/

el

sistema puede verse afectado

más comunes, podemos proceder a

base de datos): Por lo general

(dependiendo del servidor de

intentar asegurar nuestros servicios

vienen de la mano de ataques

aplicaciones podría llegar a ser

web. En este punto se expone una

por parámetros y SQL-injection,

un

ataque Dos).

guía de pasos básicos a verificar

que permite que se realicen consultas o modificaciones (no previstas) en la base de datos debido al sustituir un parámetro

• Entidades que refieren al sistema de ficheros: Si se declara una entidad refiriéndose a un archivo local, se puede estar preguntan-

cada vez que se desarrolle un ser- vicio web. Algunos de estos puntos pueden obviarse cuándo se utilizan algunos aspectos de seguridad más

de entrada por ese parámetro

do

por la existencia de un fichero

avanzados, relacionados con los ser-

y

alguna otra instrucción sql que

e

incluso conseguir una copia

vicios web como WS-Security pero,

permita obtener el resultado re- querido. Valga como ejemplo un

$consulta = “SELECT * FROM usuarios

del mismo en el mensaje de res- puesta.

como bien hemos dicho anterior- mente, estos temas están fuera del

típico método de validación de usuario. Este método recibe co- mo parámetro en nombre de usu-

Autenticando al invocador

alcance de este artículo introducto- rio.

ario y para construir la consulta

Poder autenticar al invocador de

Asegurarnos de haber esta-

ejecuta el siguiente código:

WHERE nombre=’” . nombreUsuario;

un servicio web es algo realmente necesario para poder establecer distintas funcionalidades a distintos perfiles de usuario. Además, poder

blecido la profundidad máxima para el parseador XML, de forma que cuándo tenga que parsear documentos XML ideados para

A este método si le pasamos un nombre de usuario del tipo pepe; DROP TABLE usuarios; lo que hará es buscar primero el usuario pepe y a continuación eliminará la tabla que contiene la información de los usuarios lo cuál impedirá

autenticar al invocador nos protege, en cierta manera, contra otro tipo de ataques, ya que para poder realizar muchos de ellos sería necesario au- tenticarse y, para ello, tener acceso al sistema como usuario, lo cuál no es usual en el caso de un atacante. SOA en sus comienzos no permitía

un ataque Dos, el sistema sea capaz de pararse antes de llegar a su muerte. Este punto no solo tiene que ver con los servicios web, si no con cualquier apli- cación en la que necesitemos parsear un XML que viene del exterior.

Defensa • Detectar aquellas funcionalidades que hacen uso más intensivo de bases de datos. Buscar

Defensa

• Detectar aquellas funcionalidades que hacen uso más intensivo de bases de datos. Buscar alterna- tivas al desbordamiento de las colas de conexiones a la base de datos. De hecho, es mejor que un determinado método devuelva un error cuándo ve que no va a poder ejecutar la consulta a una base de datos en un determinado tiempo, en lugar de encolar su petición ya que si se desborda la cola de peticiones a la base de datos, el servicio web puede morir.

• En todos los sitios dónde alguna funcionalidad realice consultas a base de datos a partir de pará- metros introducidos por el usua- rio, hay que asegurarse que no haya forma de inyectar otras consultas sql. Para esto, lo mejor es utilizar consultas preparadas. Por ejemplo:

$consulta = $sql->prepare(“SELECT * FROM usuarios WHERE nombre = ?”); $consulta->execute($usuario);

De esta forma nos aseguramos que lo que nos mande el usuario sea tomado como el valor del campo en la consulta impidiendo de cual- quier forma inyectar cualquier otra consulta.

• Seguimiento de las sesiones.

A pesar de que se utilicen iden-

tificadores de sesión, cualquiera que esté escuchando los men-

sajes XML intercambiados puede interceptar uno y robar la sesión. Para esto es bueno hacer un seguimiento más exhaustivo del usuario, almacenando la ip de origen para contrastarla con la sesión. Esto es aplicable también

al cliente que invoca al servicio

web, ya que dentro de los ataques típicos encontrábamos tanto la manipulación de respuestas co- mo las respuestas enviadas des- de un falso servidor. Si desde el cliente se contrasta la información del origen de las respuestas del servidor, nos estaremos asegu- rando de la correcta identidad del servidor.

Si

es posible, recompilar el ser-

vidor de aplicaciones con las opciones mínimas necesarias

para el funcionamiento del mis-

mo,

esto hará que disminuya el

número de riesgos potenciales,

ya

que muchos posibles ataques

dependen de posibles bugs

carencias del servidor de apli- caciones. También resulta de

o

vital importancia establecer los permisos adecuados al servidor

de

aplicaciones desde el sistema

operativo y utilizar al máximo

todas las facilidades, en cuánto

seguridad, que nos de la pla- taforma que estemos usando

a

(por ejemplo los servidores de aplicaciones basados en Java pueden hacer uso de su sistema

de

seguridad).

Ocultar toda la información po-

sible de la arquitectura, servidor

de

aplicaciones, etc. que se pue-

de

mandar en las cabeceras.

A

pesar de que ofuscar de por

si

no sea una buena estrategia,

cuántas menos facilidades se le

den

a los atacantes, menos posi-

bilidades de sufrir un ataque. En este sentido también es conve- niente personalizar al máximo el servidor de aplicaciones, desde cosas tan básicas y evidentes como los posibles usuarios

y

claves por defecto a directorios,

etc. Esto nos hace algo inmunes

a

que esquemas generales de

ataque funcionen sobre nuestro servicio web.

No

permitir la autogeneración

del

WSDL y/o no tener ningún

WSDL de nuestro servicio web. Existen muchos medios (mail,

por

ejemplo) de ofrecer el WS-

DL

describiendo las funcionali-

dades de nuestro servicio web

a

usuarios que realmente quera-

mos que puedan acceder a las funcionalidades y de esta forma evitamos dar información valiosa

aquellos que quieran atacar nuestro sistema.

a

Utilizar logs y monitores de car-

ga

para poder auditar y trazar

los

ataques. Esto resulta muy

importante ya no solo para poder

descubrir quién ha tirado nuestro sistema, si no también para pre- venir los ataques exitosos ya que analizando los logs podemos detectar intentos de ataques, pa- trones de comportamiento y ex- traer conocimiento acerca de cómo protegernos ante estos

ataques. Para esto, resulta muy interesante conocer técnicas de gestión de datos aplicada a logs.

Conclusión

SOA ofrece un marco de desarro-

llo bastante interesante al permitir gran interoperabilidad. De todas formas SOA es un arquitectura re- lativamente reciente y el aspecto de seguridad ha estado un tanto des-

cuidado hasta hace poco tiempo.

En este artículo se ha introducido la arquitectura SOA y se han visto

los puntos débiles de la misma,

estableciendo una guía de puntos

relacionados con la seguridad a la

hora de desarrollar nuestro propio servicio web. A la hora de hacer seguro nuestro servicio web nos tenemos que centrar ante todo en ofrecer la menor cantidad posible de información susceptible a ser utilizada en un ataque (definición de la funcionalidad, información de la arquitectura y servidor de

aplicaciones, etc.), en asegurarnos que nuestro sistema es robusto

ante ataques por XML, impedir la inyección de consultas SQL y, como es lógico, asegurarnos la robustez

de la lógica de negocio del servicio

web a desarrollar. l

Sobre los Autores

Los tres autores son miembros funda- dores y trabajadores de AINetSolutio- ns, empresa dedicada a consultoría en el mundo de las redes, seguridad y gestión de datos. Así mismo, tanto

José Carlos Cortizo como Diego Ex- pósito son profesores asociados en la Universidad Europea de Madrid y Die-

go Peces es consultor de seguridad en

Axpe Consulting.

Defensa Administrando la Inseguridad Informática Jeimy J. Cano Grado de dificultad Este documento busca repensar

Defensa

Administrando la Inseguridad Informática

Jeimy J. Cano

Administrando la Inseguridad Informática Jeimy J. Cano Grado de dificultad Este documento busca repensar la
Grado de dificultad
Grado de dificultad

Este documento busca repensar la seguridad de la información desde el concepto de la inseguridad, para que, tratando de aprender de la mente del atacante, se descubra cómo diseñar y construir sistemas menos inseguros, como una estrategia para destruir la falsa sensación de seguridad y animar una postura vigilante y proactiva en la gestión de la seguridad de la información.

L a única constante en el mundo de la se- guridad de la información, es la inseguri- dad. En este sentido, las organizaciones

luchan día a día para tratar de eliminar o mitigar las posibles vulnerabilidades que se presentan en sus infraestructuras tecnológicas o en sus procedimientos que apoyan el negocio. Revisando los recientes artículos e informes de vulnerabilidades (WILLIAMS, M. 2006, MI- MOSO, M. y SAVAGE, M. 2006, BEAVER, K. 2006, ROITER, N. 2006), se hace evidente que

la inseguridad informática es un elemento pro-

pio de la dinámica de las organizaciones en ca- da uno de sus procesos. Mientras las empresas buscan alcanzar un nivel superior de seguridad, más se encuentran con la problemática de la inseguridad, pues los procesos en sí mismos, al ser redes de comunicaciones y acuerdos entre personas, tecnologías y normas, establecen relaciones y distinciones que generalmente no son distinguibles, haciendo de la labor de aseguramiento de la información más que una función tecnológica, acciones humanas y pro- cesos administrativos y estratégicos. Durante el 2006, los robos de información

y la exposición de datos (http://attrition.org/ dataloss/), fueron las manifestaciones más

sobresalientes de la inseguridad. Si miramos con detalle estas dos consideraciones, no responden necesariamente a un problema de seguridad tecnológico, sino procedimental y de concientización. Los intrusos saben y com- prenden que detrás de las infraestructuras de seguridad de la información está ese elemento que las organizaciones hoy por hoy se resisten a entrenar, a formar, a hacer parte formal de su modelo de seguridad, los usuarios. (BEA- VER, K. 2006). Esta realidad, se manifiesta en importantes incrementos de robo de identidad y fraudes bancarios a través de Internet que re- quieren una revisión profunda de nuestra com-

En este artículo aprenderás

• Cómo diseñar y construir sistemas menos inse- guros,

• Cómo animar un apostura vigilante y proactiva en la gestión de la seguridad informática.

Lo que deberías saber

• Concepto de la inversión y las vulnerabilidades en la seguridad informática.

prensión de la seguridad, más allá

de las fallas y las vulnerabilidades. En este sentido, repensar el discurso de administración de la seguridad exige de los profesionales

y directivos de seguridad aprender a

comprender el dual que combaten: la inseguridad informática. Compren- der el lado oscuro implica reconocer que tenemos que desaprender, que nuestras actuales estrategias se

limitan a mantener y utilizar más tec- nologías, y no a comprender en pro- fundidad las relaciones complejas que exhibe la organización y cómo allí se hace presente o se materiali-

za la inseguridad. (THE HONEYNET

PROJECT 2004, TAYLOR, R., CAE- TI, T., KALL LOPER, D., FRITSCH, E. y LIEDERBACH, J. 2006). En consecuencia, las organiza- ciones deben reconocer que parte del secreto para incrementar los niveles de seguridad, está en la

administración de la inseguridad in- formática. Expresado de otra for- ma, que tan seguros pueden llegar

• La habilidad como la capacidad de hacer, desarrollar y actuar en consecuencia con ese conoci- miento.

• La actitud, como la disposición del individuo frente a los retos que propone el área de conoci- miento y su manera de enfrentar y motivar el desarrollo de habili- dades complementarias para ir más allá de lo que su entorno le propone.

En ese contexto, desarrollar el hábito de la Administración de la Inseguridad Informática – ADINSI – implica hacer de ésta una pasión, una disciplina individual que permita a las organi- zaciones mantener una posición pro- activa frente a posibles e inesperados eventos, para los cuales puede no estar preparadas, pero conscientes sobre cómo aprender de ellos. Basado en lo anterior, se presen- ta este documento que examina los conceptos actuales de la seguridad de la información, algunas conside-

Inseguridad Informática

dustria, en teoría la seguridad es per-

fecta, en la práctica no, esta expresión nos sugiere que si bien, las especifi- caciones matemáticas utilizadas para

darle claridad a las relaciones que se establecen entre usuarios y objetos son verificables en un escenario ideal, la realidad de las organizaciones y el desarrollo de software desbordan di- chas expectativas. La seguridad ha estado basada todo el tiempo en la comprensión de tres elementos fundamentales

y cómo alcanzarlos en cada una de las implementaciones de modelos

de seguridad: confidencialidad, inte-

gridad y disponibilidad – CID. Con- secuente con lo anterior, cualquier

intento para vulnerar alguno de éstos elementos, se considerará un intento

o ataque al activo fundamental que

es la información.

Siguiendo la revisión anterior, se tiene que los ataques se presentan

dado que existen escenarios y prác- ticas que no aseguran el cumpli- miento del CID para la información

a

ser, reconociendo siempre que la

raciones de inversión en temas de

a

proteger, característica que en

inseguridad de la información estará

seguridad, los cuales serán insumo

el

mundo de la auditoría se deno-

presente para desafiarlas una y otra vez.

para proponer un modelo base para la administración de la inseguridad y

mina riesgo. Un riesgo, de manera general, es todo aquello que no me

Las implicaciones de esta pro- puesta exigen desarrollar un hábito

así ver, bajo la mirada de los intrusos, tendencias emergentes y estrategias

permite el logro de los objetivos; en particular, en temas de seguridad de

que busque confrontar la inseguri- dad de la información y no solamen-

consecuentes con este modelo.

la

me permite cumplir con CID.

información, todo aquello que no

te

su control o mitigación. En razón

Concepto tradicional

Generalmente al adelantar un pro-

lo anterior, desarrollar un hábito requiere según Covey (2005 pág.

a

de la seguridad de la información

ceso de administración de la seguri- dad de la información, se establece

51) tres elementos: el conocimiento,

La seguridad de la información desde

lo

que se denomina un conjunto de

la habilidad y la actitud.

• El conocimiento, como la capa- cidad de comprender en detalle los aspectos conceptuales rela- cionados con el área de trabajo donde se ejerce.

los años 60 se ha desarrollado como una distinción formal, basada gene-

ralmente en teorías matemáticas, las cuales terminaron materializadas en implementaciones de software, hard- ware y productos intermedios. Como bien comentaba una persona de la in-

Tabla 1. Características de la Seguridad y de la Inseguridad (Tomado de:

CANO, J. 2006)

Seguridad

Inseguridad

Subjetiva

Objetiva

No tiene cota superior

Es posible establecerle cota superior

Intangible

Tangible

Es una propiedad emergente

Es una propiedad inherente

Se require modelarla

No se require modelarla

procesos a revisar y la información asociada con el mismo. Este proce-

so se basa por lo general en un pro-

grama de protección de activos de la organización (KOVACICH, G. y HA- LIBOZEK, E. 2006) que considera

las políticas, los procedimientos, los procesos, los proyectos, los planes

y las responsabilidades de cada uno de los actores de la organización

frente a los activos. A través de es-

te programa se operacionalizan las

medidas requeridas para mitigar los

riesgos a los cuales esta expuesta la información. La valoración de qué tan efectivo

ha sido el proceso de administración

de la seguridad generalmente se

Defensa mide según el número de incidentes que se han presentado en la dinámi- ca

Defensa

mide según el número de incidentes que se han presentado en la dinámi- ca de la organización y su negocio. Para ello, ejercicios como las prue- bas de vulnerabilidades, las evalua- ciones de seguridad y las auditorías de seguridad (CANO 1997) son refe-

rentes útiles para establecer el grado

en que las vulnerabilidades se hacen

presentes tanto en la infraestructura como en los procesos de negocio. Si revisamos las prácticas actua- les de las organizaciones alrededor de una administración de la seguri- dad de la información, identificamos una fuerte tendencia al uso de tec- nologías y utilización de estándares

o buenas prácticas internacionales

(KUPER, P. 2005), como una es - trategia para avanzar en su lucha contra la inseguridad, pero pocos elementos que procuren entender esta última. En consecuencia con lo anterior,

el concepto de seguridad, como el

proceso formal y riguroso para man- tener un sistema de gestión orienta-

do a la protección de la información, sustentado en las estrategias y di- námica de negocio, entra en crisis

al saber que la inseguridad presente

dentro del sistema atenta contra su propio objetivo. La pregunta que sur- ge es: ¿qué hacer frente a la inse- guridad o riesgos inherentes a la realidad de las organizaciones? La

respuesta a este interrogante será desarrollada posteriormente.

Algunas consideraciones sobre la inversión y las vulnerabilidades en seguridad informática

Las organizaciones que reconocen en la información un activo funda- mental para desarrollar negocios

y sobrevivir en un mundo global, por

lo general establecen presupuestos

que consideran inversiones (general- mente de un dígito) en los temas de aseguramiento o protección de dicho

activo. Dichas inversiones fueron re-

visadas por un estudio realizado por

la firma Stanley Morgan durante el

2005 (KUPER, P. 2005), cuyos resul -

tados se detallan a continuación. La firma Stanley Morgan encontró que las mayores inversiones en se- guridad se efectúan en temas de se-

guridad perimetral, es decir, cajas de protección de seguridad anti-spam, anti-virus, anti-spyware, las cuales generalmente viene preconfiguradas

e instaladas, haciendo mucho más

fácil su uso y puesta en producción.

Dichas cajas generalmente poseen una interfase de administración que permite a los responsables de segu- ridad mirar la efectividad del control de las amenazas para las cuales han sido adquiridas.

MAYOR INVERSIÓN

Perimiter Network Applications Data
Perimiter
Network
Applications
Data
MAYOR INVERSIÓN Perimiter Network Applications Data ANTI-BOX AntiSPAM/AntiVIRUS/AntiSPYWARE/ ¿ A n t i H A C

ANTI-BOX

AntiSPAM/AntiVIRUS/AntiSPYWARE/

¿ A n t i H A C K I N G

?

¿ A n t i H A C K I N G ? Estrategia AAA Autenticación/Autorización/Auditoría

Estrategia AAA Autenticación/Autorización/Auditoría /Monitoreo

AAA Autenticación/Autorización/Auditoría /Monitoreo Mejores prácticas Aseguramiento/Pruebas de Vulnerabilidades

Mejores prácticas Aseguramiento/Pruebas de Vulnerabilidades

Mejores prácticas Aseguramiento/Pruebas de Vulnerabilidades Clasficación de la Información/Estándares

Clasficación de la Información/Estándares Usuarios/Technologías/Procedimientos

MENOR INVERSIÓN

Figura. 1 Análisis de la inversión en Seguridad Informática. [Adaptado de:

KUPER, P. 2005]

En un segundo lugar se encuen- tran las inversiones en tecnologías de

autenticación, autorización, auditoría

y monitoreo, las cuales de manera

estratégica soportan y registran los eventos y el acceso a la información dentro de la infraestructura de tecno- logías de información de la organi- zación. En tercer lugar, se identifica las inversiones en el tema de ase- guramiento de aplicaciones, fortale- cimiento de sistemas operacionales,

valoración de la seguridad, las cuales establecen buenas prácticas que per-

miten afianzar la distinción de gestión de la seguridad de la información Finalmente, las inversiones sobre revisión y análisis de los datos que

están residentes en la infraestructu-

ra de computación de la empresa, la

clasificación de la información y las relaciones entre aplicaciones, proce- dimientos de operación y control de datos, uso de estándares internacio- nales, entre otras. Al revisar estos resultados, es extraño ver que la menor inversión se concentra en la esencia misma

de la seguridad informática, los da- tos, la información, y que la mayor se orienta a la adquisición de tec-

nologías para controlar en el exterior

la aparición de amenazas contra el

activo información. Consecuente con este análisis, se adelantó una revisión paralela, siguiendo la misma estrategia del estudio de Stanley Morgan, para ver cómo evolucionan las vulnerabilida- des, los resultados obtenidos esta- blecen reflexiones que presentan en

los siguientes párrafos. Las mayores vulnerabilidades se presentan a nivel de los datos, de la información, generalmente asociadas con la falta de cultura de seguridad, la inadecuada disposición de medios de información, inadecuadas prácticas de seguridad asociadas con vulne- rabilidades donde el factor humano y el incumplimiento de procedimientos

se hacen presentes. Esta realidad se evidencia en todas las organizacio- nes en mayor o menor grado, según los esfuerzos de entrenamiento, infor- mación, capacitación y formación del personal de las áreas de negocio.

En segundo lugar tenemos las vulnerabilidades propias a las apli- caciones, las cuales frecuentemente están enraizadas en problemas con las herramientas y prácticas de pro- gramación, lo cual exige comprender que una aplicación está hecha tanto para cumplir con la especificación con la cual fue diseñada como para fallar ante un evento no esperado. En tercer lugar, tenemos las fallas

a nivel de comunicaciones. Los proto-

colos utilizados en las transmisiones de información tienen vulnerabili- dades inherentes, las cuales con el tiempo se han venido detectando

y corrigiendo, cuando es posible, o li- mitando la aparición de las mismas con tecnologías de seguridad que blo- quean tráficos que puedan ser cata- logados como sospechosos. Finalmente, tenemos las vulnera- bilidades propias de los proveedores

y sus productos, los cuales constan-

temente están trabajando para pro- ducir los parches y actualizaciones requeridas para mitigar el riesgo que pueda comprometer la seguridad de la organización frente a las amenazas que cubre dicho software o hardware. Como podemos observar al comparar los dos resultados, el de inversión y el de vulnerabilidades, se invierte donde existen menos vulne- rabilidades. Por tanto, la seguridad, aunque reconocemos que es un pro- ceso y no un producto, está siendo ad- ministrada en función de los recursos tecnológicos y las posibilidades que estos ofrecen. La pregunta es: ¿qué hacer para remediar esta situación?

Repensando la seguridad de la información

Basado en lo revisado hasta el momento, la seguridad de la infor-

Agradecimientos

El autor agradece al Dr. Jorge Ramió Aguirre, a la Maestra Gabriela María Saucedo Meza y al Ingeniero Andrés Ricardo Almanza Junco por su tiempo y valiosos comentarios que permitieron afinar y ajustar las ideas expuestas en este artículo.

Inseguridad Informática

MENORES VULNERABILIDADES

Perimiter Network Applications Data
Perimiter
Network
Applications
Data
VULNERABILIDADES Perimiter Network Applications Data FALLAS DE LOS PROVEEDORES Paraches/Actualizaciones FALLAS A

FALLAS DE LOS PROVEEDORES Paraches/Actualizaciones

Data FALLAS DE LOS PROVEEDORES Paraches/Actualizaciones FALLAS A NIVEL DE PROTOCOLOS

FALLAS A NIVEL DE PROTOCOLOS Confidencialidad/Integridad/Disponibilidad

DE PROTOCOLOS Confidencialidad/Integridad/Disponibilidad APLICACIONES INSEGURAS Prácticas de progranación

APLICACIONES INSEGURAS Prácticas de progranación

APLICACIONES INSEGURAS Prácticas de progranación MALWARE/CULTURA DE SEGURIDAD Virus/ Robos de

MALWARE/CULTURA DE SEGURIDAD Virus/ Robos de portátiles/Inadecuada disposición de medios de almacenamiento

MAYORES VULNERABILIDADES

Figura 2. Análisis de la evolución de las vulnerabilidades

mación es una disciplina que, sus- tentada en la formalidad original de los años 60’s, se ha fortalecido como

un mundo tecnológico y normativo, donde cualquier anormalidad que se presente es una falla o vulnera- bilidad que debe ser controlada o mi- tigada. Esta manera de razonar, ha permitido avances importantes en las tecnologías de protección, que de manera sistemática y asidua ha logrado importantes desarrollos y pro- puestas para enfrentar el lado oscu- ro de la fuerza, la inseguridad. Si analizamos estos últimos 40 años de evolución de la seguridad informática, podemos ver que las investigaciones se han concentrado en revisar las limitaciones de los productos y teorías alrededor de la seguridad, es decir, hemos estado estudiando la inseguridad infor- mática como factor base para los nuevos desarrollos (HUTCHINSON, B. y WARREN, M. 2001 Cap.4). Si esto es así, no podemos hablar de seguridad de la información, sin re- conocer su dual, la inseguridad (CA- NO 2004). En consecuencia, estudiar la inseguridad como estrategia para comprender la seguridad sugiere contextualizar en un escenario real la incertidumbre inherente del siste- ma o realidad a modelar, para revisar entre otros aspectos (SCHNEIER 2003, pag. 51):

• ¿Cómo funciona el sistema?

• ¿Cómo no funciona el sistema?

• ¿Cómo reacciona ante una falla o situación inesperada?

• ¿Cómo hacerlo fallar?

De acuerdo con una reciente investi- gación (CANO 2006) y considerando los elementos anteriormente presen- tados (Figura 1 y 2), se establecen cinco características que identifican tanto a la seguridad como a la inse- guridad, las cuales serán analizadas

y detalladas a continuación. La seguridad es una realidad subjetiva, es decir propia del sujeto. Cada una de las personas tiene una manera de comprender y entender la seguridad. Es tan válida la defini- ción de un ciudadano común, como la de un especialista en temas de seguridad, pues cada uno de ellos comprende la realidad de la seguri- dad según su exposición a la misma. Mientras que la inseguridad es obje- tiva, es decir, propia al objeto, una realidad perceptible, observable y ve- rificable en el objeto. En este senti- do, la inseguridad valida la esencia misma del análisis de riesgos, pues sólo a través de hechos cumplidos, verificables y comprobables pode- mos medir el nivel de exposición que tenemos y cómo podemos advertir mejores medidas de control para mitigarlo, atomizarlo, minimizarlo

o transferirlo.

Defensa La seguridad no tiene cota su- perior, en otras palabras, siempre es posible encontrar

Defensa

La seguridad no tiene cota su- perior, en otras palabras, siempre es posible encontrar una medida que sea más efectiva y/o eficiente que la an-

terior. Esto es fruto normal de la evo- lución de las medidas de protección, que entendiendo ¿cómo no funciona el sistema? es posible plantear es- trategias que mejoren lo actualmente disponible. Si la inseguridad no tuvie- se cota superior como la seguridad, los seguros no existirían ni se podrían pagar. Es tal nuestra necesidad de mantener un nivel de protección, que debemos tratar de cuantificar el nivel de inseguridad que podemos admi- nistrar, siguiendo paradójicamente un nivel base de prácticas de seguridad

y la dinámica de los procesos de ne-

gocio. En este sentido, podemos esta-

blecer un límite superior de exposición

o riesgo que queremos asegurar, con

las condiciones y precauciones que el asegurador establezca como mínimas para poder validar y pagar los daños como fruto de la materialización del riesgo, más allá de nuestro debido cuidado y diligencia para mantenerlo en los niveles establecidos. La seguridad es intangible, no está en los mecanismos de seguri- dad, no está en los procedimientos, no está en las personas o en los cargos. La seguridad, complemen- taría al tema de la subjetividad previamente analizado, es la mani- festación de que estamos ante un bien cuyo manejo no es evidente ni certero gracias a su volatilidad, fruto de la percepción de terceros. Por ejemplo, si nos detenemos a ob- servar la variabilidad de los merca- dos financieros ante incertidumbres geopolíticas, nos percataremos de cómo se destruye la sensación de seguridad de los inversionistas oca- sionando efectos devastadores en los movimientos financieros. En con- secuencia y complementario con lo anterior, la inseguridad es tangible, es posible advertir el robo, la estafa,

el accidente, la catástrofe, es una propiedad que es evidenciable y ve- rificable, esa que se puede valorar con hechos y cifras, soportando un análisis real de los daños y efectos que ésta ha tenido.

Al ser la seguridad un intangible, necesariamente responde a una pro- piedad emergente de un sistema. Una propiedad emergente, es aque-

lla que tienen los sistemas, fruto de

la relación entre sus elementos y no

particular a un objeto que lo confor- ma, en otras palabras, la seguridad

es fruto de la relación existente en- tre la tecnología, los procesos y los individuos, como un todo coherente

y alineado que comprende que no

es posible alcanzar mayores niveles de seguridad sin un entendimiento

o comprensión de las interrelacio-

nes, muchas veces invisibles, que la seguridad sugiere cuando de protec- ción de activos se trata.

De otra parte, la inseguridad es una propiedad inherente a los objetos, una realidad que deber ser evidencia-

da y explorada para ser comprendida,

lo cual nos lleva necesariamente a la

aparición de la administración de ries- gos. Cuando entendemos que en el mundo donde nos movemos estamos expuestos a ellos, hacemos evidente que la inseguridad está presente en nuestro vivir y por tanto, es preciso advertir una serie de acciones que nos permitan mitigarlos. Es darle res- puesta a la pregunta ¿Qué hacer si el sistema falla? Cuando se habla de modelar

o diseñar algo, buscamos que ese

algo tenga las características que perseguimos. Si queremos que los activos gocen de seguridad, nos enfocamos en primer lugar a com-

prender los riesgos a los cuales está

expuesto, para desarrollar las estra- tegias de seguridad requeridas y así lograr un nivel de exposición menor de dichos activos. Por otro lado, la inseguridad no requiere de modelos

o diseños específicos o detallados,

ella sabe que todos los objetos la con- tienen y sus manifestaciones se pue- den manifestar en diferentes grados

o impactos. En este sentido la inse-

guridad es una propiedad inherente

a los objetos que advierte la manera

de cómo establecer los mecanismos mínimos para limitar la materializa- ción de la misma en un escenario con unos actores y variables. Basado en esta exploración de

los conceptos de seguridad e inse- guridad es posible sugerir que es arriesgado afirmar que podría ad- ministrarse la seguridad cuando la inseguridad propia de los objetos nos muestra elementos reales y tan- gibles que ofrecen características de gestión que pueden llegar a ser ana- lizados y cuantificados de tal forma, que se planteen métricas de insegu- ridad que basadas en buenas prácti- cas de seguridad y control, puedan

alcanzar niveles mínimos permitidos

En la Red:

• BEAVER, K. (2006) Don't Spring a Leak. Information Security Magazine. Enero. Dis- ponible en: http://informationsecurity.techtarget.com/magItem/0,291266,sid42_

gci1154838,00.html,

• CANO, J. (1997) Auditorías de Seguridad, Evaluaciones de Seguridad y Pruebas de penetración: tres paradigmas en la seguridad informática. Disponible en: http://

www.derechotecnologico.com/estrado/estrado003.html,

• CANO, J. (2004) Inseguridad Informática. Un concepto dual en seguridad informá- tica. http://www.virusprot.com/art47.html,

• WILLIAMS, M. (2006) Security threat changing, says Symantec CEO. Disponible en: http://www.networkworld.com/news/2006/110306-security-threat-changing- says-symantec.html,

• MIMOSO, M. y SAVAGE, M. (2006) Today's Attackers Can Find the Needle. Infor- mation Security Magazine. Junio. Disponible en: http://informationsecurity.techtar

get.com/magItem/0,291266,sid42_gci1191313,00.html,

• ROITER, N. (2006) That Sinking Feeling. Information Security Magazine. Octubre. Disponible en: http://informationsecurity.techtarget.com/magItem/0,291266,sid42_

gci1219723,00.html,

• SAVAGE, M. (2006) Protect What's Precious. Information Security Magazine. Diciembre. Disponible en: http://informationsecurity.techtarget.com/magItem/

0,291266,sid42_gci1232273,00.html.

y así mantener asegurados los bie-

nes o activos que se tengan bajo observación y custodia. Si la reflexión anterior es correc-

ta se requiere repensar la adminis- tración de la seguridad, por una de inseguridad donde, haciendo eviden-

te cada una de las características de

esta última, podamos desaprender las prácticas actuales de administra- ción del riesgo focalizadas en obje- tos, para reconocer en las relaciones que generan las expectativas de la gerencia (COHEN, F. 2005), los pro - cesos de negocio y la infraestructura de computación, una fuente comple- mentaria para el entendimiento de las vulnerabilidades en los sistemas.

Hacia un modelo de Administración de Inseguridad Informática

Los modelos actuales de adminis- tración de seguridad, generalmente buscan descubrir y corregir las fallas, pero no generan estrategias forma- les para entender la inseguridad; se concentran en establecer las correc- ciones y los controles requeridos pa- ra mejorar la efectividad y eficiencia

de la gestión del modelo de seguri- dad (SCHOU, C. y SHOEMAKER, D. 2007). Si bien este razonamiento es útil por la manera sistemática de aprender del sistema y sus fallas, presenta limitaciones para desapren- der de sus prácticas aprendidas,

cuando se enfrenta a situaciones inesperadas o no contempladas en el modelo. Para lograr materializar las ideas presentadas previamente y darle una posible respuesta a la pregunta planteada: ¿qué hacer frente a la in- seguridad o riesgos inherentes a la realidad de las organizaciones?, se propone un modelo de administración de inseguridad informática basado en dos ideas principales: descubrir la in- seguridad y entender la inseguridad. El descubrir la inseguridad es utilizar el enfoque tradicional (siste- mático) de administración de riesgos que se viene utilizando, donde los ejercicios de valoración de seguri- dad requieren un conocimiento es- pecializado, fundado generalmente en herramientas y estrategias prácti- cas para identificar vulnerabilidades, orientado a resultados prácticos y con-

Librería

• CANO, J. (2006) Information Insecurity: A dual concept of information security. Pro- ceeding of 2nd Internacional Conference on E-Global Security. Londres, UK. Abril.

• COHEN, F. (2005) Security Governance: Business Operations, security governan - ce, risk management and enterprise security architecture. ASP Press.

• COVEY, S. (2005) El octavo hábito. De la efectividad a la grandeza. Editorial Pai- dos.

• HUTCHINSON, B. y WARREN, M. (2001) Information warfare. Corporate attack and defense in a digital world. Butterworth Heinemann.

• KIELY, L y BENZEL, T (2006) Systemic security management. IEEE Security & Privacy. Noviembre/Diciembre.

• KOVACICH, G. y HALIBOZEK, E. (2006) Security metrics management. How to manage the cost of an assets protection program. Butterworth Heinemann.

• KUPER, P. (2005) The state of security. IEEE Security & Privacy. Septiembre/ Octubre

• SCHNEIER, B. (2003) Beyond Fear. Thinking Sensibly about security in an uncer- tain world. Copernicus Books.

• SCHOU, C. y SHOEMAKER, D. (2007) Information Assurance for the enterprise. A roadmap to information security. McGraw Hill.

• SCHWANINGER, M. (2006) Intelligent organizations. Powerful models for syste- mic management. Springer Verlag.

• TAYLOR, R., CAETI, T., KALL LOPER, D., FRITSCH, E. y LIEDERBACH, J. (2006) Digital crime and digital terrorism. Pearson Prentice Hall.

• THE HONEYNET PROJECT (2004) Know your enemy. Learning about security threats. Addison Wesley.

Inseguridad Informática

cretos en cada uno de los elementos de evaluación y que exige personal especializado en el conocimiento de los objetos evaluados. Como re- sultado de este ejercicio tenemos la evidencia de los riesgos y controles requeridos para mitigar la presencia de la inseguridad. (KOVACICH, G.

y HALIBOZEK, E. 2006) Entender la inseguridad significa comprender las relaciones de los ele- mentos que son objeto de evaluación. Esto implica revisar de manera sisté- mica e inteligente (SCHWANINGER, M. 2006, cap. 1 y 2) los resultados de la evaluación considerando, como mínimo, los aspectos de la tecnolo-

gía, los individuos y los procesos, no para analizar lo que ocurre, sino para comprender porqué ocurre y efectuar un diagnóstico de la situación. En po- cas palabras en términos sistémicos, administrar la variedad y complejidad que exhibe el sistema. Cuando se aplican las conside- raciones sistemáticas y sistémicas

al mismo tiempo, se comprenden de

manera complementaria los ejerci- cios tradicionales de seguridad y se posibilita un diagnóstico real de una situación anormal. Este diagnóstico puede llevarnos a desaprender lo conocido y a establecer nuevas dis-

tinciones en cualquiera de los niveles

de análisis (estratégico, táctico y ope-

racional), generando conocimiento que alimente el desarrollo de mejores estrategias de negocio, la aplicación de estándares y buenas prácticas, así como una asertiva ejecución los procedimientos de operación. El modelo presentado (Figura 3) pretende, que la organización de ma- nera dinámica, comprenda que cada nivel afecta a su nivel superior, esto

es, lo que se evidencie en el análisis

y diagnóstico del nivel operacional

afecta al nivel táctico y así sucesiva- mente, evitando la fragmentación de

la visión de seguridad y promovien-

do una postura proactiva y global de

la organización, que reconoce en la

seguridad la propiedad emergente fruto del reconocimiento y enten-

dimiento de los riesgos inherentes

a cada uno de los objetos que la conforman.

Defensa Descubriendo la inseguridad Nivel Estratégico Análisis Diagnóstico Expectativas Objectivos Corporativas

Defensa

Descubriendo la inseguridad Nivel Estratégico Análisis Diagnóstico Expectativas Objectivos Corporativas de
Descubriendo la inseguridad
Nivel Estratégico
Análisis
Diagnóstico
Expectativas
Objectivos
Corporativas
de Negocio
Arquitectura
Cultura
Estándares y
de Seguridad
de Seguridad
Buenas prácticas
Entendiendo la inseguridad
Infraestructura
Prácticas
Procedimientos
de Seguridad
de Seguridad
de Operación
Informática
Nivel Operacional
Configuración
y Adecuación

Figura 3. Modelo de Administración de la Inseguridad Informática

Si esto es así, la organización destruirá estructuralmente la falsa sensación de seguridad y la re- emplazará por una estrategia de aprendizaje permanente sobre los incidentes que se presenten, como la norma misma de la gestión de

éstos. Esto es, tomará ventaja de lo que aprende de la inseguridad de la información, para construir mejores propuestas de protección, basado en aquello que ven los intrusos

y las ventajas que ofrecen las tec- nologías.

Conclusión

La realidad del creciente número de vulnerabilidades reportadas, in-

cidentes ocurridos y fallas identifica- das nos invita a reflexionar sobre la forma de cómo hemos venido afron- tando los riesgos que éstas generan

y los impactos de las mismas. En

este sentido, el paradigma actual de la seguridad de la información ha entrado en crisis, por lo que se requiere estudiar en profundidad la mente de los intrusos y sus reflexio-

nes para comprender mejor lo que ocurre ante una falla. Por tanto, no

es suficiente descubrir la falla puntal

y analizar cómo se materializó, sino

que se requiere una revisión relacio-

nal de lo que ocurrió para entender

de manera estructural el porqué de ésta. Por tanto, se hace necesario complementar el modelo de riesgos

y controles actual, con uno basado

en las técnicas de hacking, que más allá de estar concentrado en los activos a proteger y sus vulnerabi- lidades, reconoce las relaciones de los diferentes componentes del sis- tema para responder las preguntas planteadas anteriormente (sección

repensando la seguridad de la infor- mación). El modelo de Administración de

la Inseguridad Informática (Figura 3)

presentado vincula los dos paradig- mas, el de riesgos y controles y el del hacking, como una manera efec- tiva de procurar una administración de la protección de la información,

cuya dinámica de aplicación debe

llevar a una distinción organizacional sobre la gestión de la inseguridad de la información que se denomi-

na en la teoría information assuran- ce (SCHOU, C. y SHOEMAKER, D. 2007) o aseguramiento de la infor- mación. Finalmente, el modelo de ADINSI propuesto (Figura 3) es una manera alterna para comprender que exis- ten tensiones entre las personas, los procesos y la tecnología (KIELY, L y BENZEL, T 2006) que deben ser objeto de revisión permanente y así

evaluar el impacto de las mismas en temas como las expectativas de la alta gerencia, la arquitectura de se- guridad informática y las prácticas de seguridad de las organizaciones.

l

Sobre el Autor

Jeimy J. Cano, Ph.D, CFE. Miembro investigador del Grupo de Estudios en Comer- cio Electrónico, Telecomunicaciones e Informática (GECTI). Facultad de Derecho. Universidad de los Andes. Colombia. Miembro Investigador de ALFA-REDI (Red Latinoamericana de Especialistas en Derecho Informático). Ingeniero de Sistemas y Computación, Universidad de los Andes. Magíster en Ingeniería de Sistemas y Computación, Universidad de los Andes. Ph.D in Business Administration, Newport University. Profesional certificado en Computer Forensic Analysis (CFA) del World Institute for Security Enhacement, USA. Profesional certificado como Certified Fraud Examiner (CFE) por la Association of Certified Fraud Examiners. Contacto:

jjcano@yahoo.com.

Programas malignos

Programas malignos Defensa Carlos Javier Fornés Cabrera Grado de dificultad Todo ordenador o sistema informático está

Defensa