Embed Size (px)
DESCRIPTION
Empowering Business Continuity
Citation preview
EMPOWERING BUSINESS CONTINUITYEnero-febrero 2010 · 60 · www.bsecure.com.mx
Tener el valor para romper con el estereotipo que la sociedad mexicana asume de los funcionares públicos y las autoridades judiciales y colocar a México al día en materia de investigación forense digital y combate al cibercrimen son dos de los principales atributos de este policía cibernético
b:Secure Award 2010Oscar Lira Arteaga
(DGCSP de la PGR)
MODERNIZACIÓN E INVESTIGACIÓN
EN LA PGR
ACTAMitos, realidades e
impactos de un Tratado Internacional rodeado de
misterio y polémica pág. 26
[+]
$80.
00 M
.N.
4 - 7 de marzo 2010Grand Velas All Suites & Spa Resort Riviera Maya
www.ciosummit.com.mx INFORMES:
Tel. 2629 - 7260, lada sin costo 01800 670 6040 Opción 4.
El encuentro de las mentesmás brillantes en IT
GuillermoAguirre
CassioDreyfuss
Carlos ElizondoMayer-Serra
RicardoRendón
¿Tienen los CIO un rol más estratégico?Muy pocas organizaciones pueden prosperar sin un énfasis estratégico en IT. Las soluciones de negocios no pueden estar separadas de las tecnológicas. Aún así, no todos los líderes IT asumen el rol clave en la planeación a largo plazo que los altos ejecutivos quisieran ver. El nuevo CIO participa en las de�niciones con respecto a los incrementos en ventas, en calidad y en reconocimiento de marca. Por fortuna también los nuevos líderes empresariales así lo entienden. Examina-remos de qué madera están hechos los CIO y qué se espera de ellos.
The Coming of Age of Web-Based Technologies - The CIO’s Guide to the CloudInternet es una realidad en los negocios desde hace varios años. Actualmente no existe una sola empresa que no cuente con un proceso de negocio basado en Web. Los servicios del cómputo en la nube han comenzado a madurar y deman-dan un cambio radical en la operación de las empresas, enfocado en la arquitec-tura centrada en las aplicaciones Web. Los CIO deben estar preparados para alinear sus operaciones con las del negocio y liberar el potencial que ofrecen estos nuevos servicios y tecnologías.
La verdad desnuda de nuestro mediocre crecimiento En el pasado hemos podido crecer. Fuimos tan exitosos en presentar una imagen de una sociedad que estaba convergiendo hacia los niveles de bienestar de los países desarrollados que en 1968 México fue sede de los juegos olímpicos, 40 años antes de los juegos olímpicos de Beijing en 2008. ¿Por qué el llamado milagro mexicano no se ha repetido? ¿Quién atora nuestro crecimiento? ¿Cómo hacerle para crecer?
Taller: La Agenda del CIO 2010A través de una sesión altamente interactiva, Ricardo Rendón dividirá a los asistentes en grupos de cinco personas liderados por un CIO de alto nivel. El objetivo será de�nir, compartir y discutir las tareas y retos de los CIO del siglo XXI en los aspectos operativos, tácticos y estratégicos de las organizaciones. El taller será el camino ideal para que los participantes no sólo debatan las temáticas, sino que también aporten sugerencias y recomendaciones que se traduzcan en mejores prácticas a compartir por la comunidad IT.
KEYNOTE SPEAKERS
Producido por
Producido por
Un evento de
4 - 7 de marzo 2010Grand Velas All Suites & Spa Resort Riviera Maya
www.ciosummit.com.mx INFORMES:
Tel. 2629 - 7260, lada sin costo 01800 670 6040 Opción 4.
El encuentro de las mentesmás brillantes en IT
GuillermoAguirre
CassioDreyfuss
Carlos ElizondoMayer-Serra
RicardoRendón
¿Tienen los CIO un rol más estratégico?Muy pocas organizaciones pueden prosperar sin un énfasis estratégico en IT. Las soluciones de negocios no pueden estar separadas de las tecnológicas. Aún así, no todos los líderes IT asumen el rol clave en la planeación a largo plazo que los altos ejecutivos quisieran ver. El nuevo CIO participa en las de�niciones con respecto a los incrementos en ventas, en calidad y en reconocimiento de marca. Por fortuna también los nuevos líderes empresariales así lo entienden. Examina-remos de qué madera están hechos los CIO y qué se espera de ellos.
The Coming of Age of Web-Based Technologies - The CIO’s Guide to the CloudInternet es una realidad en los negocios desde hace varios años. Actualmente no existe una sola empresa que no cuente con un proceso de negocio basado en Web. Los servicios del cómputo en la nube han comenzado a madurar y deman-dan un cambio radical en la operación de las empresas, enfocado en la arquitec-tura centrada en las aplicaciones Web. Los CIO deben estar preparados para alinear sus operaciones con las del negocio y liberar el potencial que ofrecen estos nuevos servicios y tecnologías.
La verdad desnuda de nuestro mediocre crecimiento En el pasado hemos podido crecer. Fuimos tan exitosos en presentar una imagen de una sociedad que estaba convergiendo hacia los niveles de bienestar de los países desarrollados que en 1968 México fue sede de los juegos olímpicos, 40 años antes de los juegos olímpicos de Beijing en 2008. ¿Por qué el llamado milagro mexicano no se ha repetido? ¿Quién atora nuestro crecimiento? ¿Cómo hacerle para crecer?
Taller: La Agenda del CIO 2010A través de una sesión altamente interactiva, Ricardo Rendón dividirá a los asistentes en grupos de cinco personas liderados por un CIO de alto nivel. El objetivo será de�nir, compartir y discutir las tareas y retos de los CIO del siglo XXI en los aspectos operativos, tácticos y estratégicos de las organizaciones. El taller será el camino ideal para que los participantes no sólo debatan las temáticas, sino que también aporten sugerencias y recomendaciones que se traduzcan en mejores prácticas a compartir por la comunidad IT.
KEYNOTE SPEAKERS
Producido por
Producido por
Un evento de
2 B:SECURE Enero-Febrero, 2010
ENLÍNEACLINTON PIDE APOYO MUNDIAL POR CIBERATAQUESLos ciberataques originados en China que tuvieron como objetivo infraestructuras corporativas de empresas estadunidenses, entre ellas Google, no deben ser condenados solo por el país norteamericano, sino por todos, asceveró el gobierno de Esta-dos Unidos.
La Secretaria de Estado de EU, Hillary Clinton, llamó a los países de todo el mundo y especialmente en donde resintieron los ciberataques a unirse en un frente de rechazo internacional a estos hechos.
En un discurso dado en la capital estadunidense, Clinton pidió a las naciones involucradas en los ciberataques, por los que Google ha estado al borde del rompimiento con China, que se unan y condenen tales incidentes.“En un mundo interconectado, el ataque a las redes de una nación puede significar el ataque a todas”, argumentó en su mensaje.
Es el primer llamado público de esta naturaleza que Clinton hace con respecto a la intrusión informática a compañías estadu-nidenses, cuyo resultado fue el robo de secretos industriales y propiedad intelectual.
PUBLICAN LISTA DE CONTRASEÑAS MÁS COMUNESEs cierto, aún hay personas que dejan la llave de la entrada de su casa abajo del tapete de la puerta principal esperando que
nadie la descubra, pero generalmente el resultado no será lo que esperan.La firma de seguridad Imperva dio a conocer los resultados de un estudio que analizó 32 millones de contraseñas que fueron
superadas por intrusos en la brecha que afectó al sitio Rockyou.com. Los resultados demostraron que 50% de los usuarios usa-ron nombres, palabras slang y series de números consecutivos como contraseñas.
El ejemplo de la brecha de Rockyou.com es reflejo de la importancia que le dan los usuarios a la seguridad de su información en Internet, asegura el reporte.
El documento publicó la lista de las diez contraseñas más comunes que fueron violadas para dar acceso a los intrusos a infor-mación confidencial de los usuarios, entre las más comunes se encuentran “iloveyou”, “abc123” o “password”. Este listado es di-fundido para que los usuarios eviten usar tales contraseñas, comunicó la empresa.
“Todos necesitan entender que significa tener contraseñas pobres en un mundo de ciberataques automatizados donde, con apenas un esfuerzo mínimo, un hacker puede ganar acceso a una nueva cuenta cada segundo o a 1,000 cuentas cada 17 minu-tos”, explicó Amichai Shulman, CTO de Imperva.
Uno de los principales hallazgos del reporte es que una contraseña corta o simple es suceptible de ceder ante un ataque de fuerza bruta o de ruptura de candados.
Mónica Mistretta DIRECTORA GENERAL
Elba de MoránDIRECTORA COMERCIAL
Gabriela Pérez SabatéDIRECTORA DE
PROYECTOS ESPECIALES
Alejandro CárdenasDIRECTOR DE ARTE
Iaacov ContrerasCIRCULACIÓN Y SISTEMAS
Gabriela BernalDIRECTORA
ADMINISTRATIVA
José Luis CaballeroASESORÍA LEGAL
EDITORCarlos Fernández de Lara
CONSEJO EDITORIALRafael García, Joel Gómez,
Roberto Gómez, Luis Guadarrama, Ricardo Lira,
Ivonne Muñoz, Jorge Navarro, Adrián Palma, Luis Javier Pérez, Alejandro Pisanty, Salomón Rico, Ernesto
Rosales, Rubén Sáinz, Héctor Méndez, Jorge Varela, Andrés
Velázquez, Gilberto Vicente, Carlos
Zamora
COLUMNISTASAdrián PalmaJoel Gómez,
Roberto Gómez, Ricardo Morales, Adrián Palma, Mario Ureña,
Andrés Velázquez,
EDITOR ON LINEEfraín Ocampo
WEB MASTERAlejandra Palancares
DISEÑOPablo Rozenberg
ASISTENTES DEREDACCIÓN
Gabriela Rivera, César Nieto, Oscar Nieto
VENTAS Y PUBLICIDADMorayma Alvarado, Carmen Fernández, Cristina Escobar
SUSCRIPCIONESSonco-Sua Castellanos, Diana
Zdeinert
b:Secure es una publicación mensual de Netmedia, S.A. de C.V. Se distribuye gratuitamente con circulación controlada y calificada.©2007. Todos los derechos reservados. Prohibida la reproducción total o parcial por cualquier medio, incluso los electrónicos sin autorización previa y por escrito de los editores. El contenido de los artículos es responsabilidad exclusiva de sus autores. La información ha sido obtenida de fuentes que se consideran fidedignas, pero en ningún caso deberá considerarse como sugerencia o recomendación para adquirir o utilizar bienes o servicios. Aunque los editores investigan sobre la veracidad de los anuncios publicados, declinan toda responsabilidad sobre su contenido y sobre las declaraciones, ofertas y promociones contenidas en ellos.Los artículos reproducidos de otras publicaciones están sujetas a edición. Reserva de derechos ante la Dirección General de Derechos de autor: 04-2003-052614050400-102.Autorización como publicación periódica por Sepomex, PP09-1119. Certificados de licitud de título (12580) y contenido (10153) por la
Comisión Calificadora de Publicaciones y Revistas Ilustradas de la Secretaría de Gobernación. Editora responsable: Mónica Mistretta ([email protected]).Impresa en Impresiones Modernas S.A. de C.V., Sevilla 702-B, Col. Portales, México D.F. 03300. Netmedia, S.A. de C. V., Sócrates 128, 4° piso, Col. Polanco, México, D.F. 11560, teléfono 2629-7260 Fax: 2629-7289. www.netmedia.info
CARTAS AL EDITORDirija su correspondencia a b:Secure, Cartas al editor, Sócrates 128, 4° piso, Col. Polanco, México, D. F. 11560, Fax: 2629-7289 y correo electrónico: [email protected] efectos de identificación incluya nombre, cargo, compañía, dirección, teléfono y correo electrónicol. El editor se reserva el derecho de condensar las cartas por motivos de espacio, así como el de incluirlas indistintamente en las versiones impresas y electrónicas de sus publicaciones.
SUSCRIPCIONESPara solicitar una suscripción gratuita visite el sitio: www.netmedia.info/forma/ Todas las solicitudes serán sometidas a calificación antes de ser autorizadas. Sólo se considerarán lectores domiciliados en México. Dirija su correspondencia a: [email protected]
PUBLICIDADPara contactar a los ejecutivos de ventas o solicitar información sobre tarifas y espacios publicitarios, comuníquese al teléfono 2629-7260 o escriba a: [email protected]
En Estados Unidos y Canadá: Emily Ospenson-Crume, CMP Worldwide Media Networks, Teléfono: (650) 513-4374
[LOS EDITORES DE NETMEDIA HABLAN SOBRE LOS TEMAS DE MÁS ACTUALIDAD DE LA INDUSTRIA]
FABUOLUS BLOG Fabiola González, editora de InformationWeek México, analiza las tecnologías y los protagonistas que están cambiando la forma de hacer negocios.
TEMA LIBREEfraín Ocampo, editor online, retoma los sucesos más importantes de la semana para exponerlos de manera crítica y amena.
AUNQUE ME CORRANCarlos Fernández de Lara, editor de b:Secure, comenta, reseña y critica los temas más relevantes y escalofriantes de la seguridad IT.
BLOGUEROS INVITADOS: Mónica Mistretta (Netmedia), Miguel de Icaza (Novell), y Fausto Cepeda (Banco de México).
Estos y otros artículos en www.bsecure.com.mx
BSECURE.COM.MX
ENE-FEB2010ACCESO
8 ROMPE 2009 RÉCORD EN EJEMPLARES DE MALWARE.El 2010 arranca con aires y promesas de mayor estabilidad económica. Una realidad que sin duda será de mucho provecho para los cibercriminales
10 7 MILLONES DE DÓLARES: EL COSTO DE LAS BRECHAS DE SEGURIDAD En promedio cada dato que las organizaciones pierden o les roban tiene un costo superior a los 214 dólares.
B:SECURE FOR BUSINESS PEOPLE
12 TIPS PARA IDENTIFICAR EL NIVEL DE MADUREZ DE SEGURIDAD EN UNA ORGANIZACIÓN A través de un modelo de madurez las organizaciones pueden obtener una idea clara y estandarizada, para determinar el estado de la seguridad de la información. Aquí una guía práctica.
ÁREA RESTRINGIDA
20 VULNERABILIDAD EN EL PROTOCOLO SSLCon el crecimiento de los teléfonos inteligentes en todo el mundo era cuestión de tiempo para que alguien encontrara vulnerabilidades en dichas plataformas. El primer turno le tocó al iPhone de Apple.
OPINIÓN
18 RISK IT: LA NUEVA PROPUESTA DE ISACA PARA LA GESTIÓN DE RIESGOSCada vez más organizaciones en nuestro país toman en serio la Gestión de Riesgos de IT. Sin embargo, con tantas ofertas de modelos de gestión de riesgos cómo encontrar las más adecuada.
21 QUE MIS EMPLEADOS ESTÁN TWITEANDO ¿QUÉ?Las redes sociales han permitido que grupos de personas colaboren, incluso existen varias personas del área de seguridad de la información que ya están en Twitter y Facebook
AUDITORIA EXTREMA
25 SOFTWARE PARA INGENUOS.La desconfianza que la gente tiene hacia los vendedores, personas y ofertas en el mundo físico podrían servir de mecanismo de protección en las barreras de las realidades virtuales.
08B:SECURE AWARD ES PARA…
Oscar Lira Arteaga, jefe del departamento de Informática y Telecomunicaciones de la Dirección
General de Coordinación de Servicios Periciales (DGCSP) de la PGR quien presume a México como un país líder en materia de investigación forense digital y
combate al cibercrimen.
04 LOGIN 28 SINNÚMERO
LOGINLa revisión de computadoras portátiles y dispositivos móviles tales como teléfonos celulares en las aduanas estadunidenses no dejan la po-lémica y el debate a poco más de nueve meses de que entrara en ope-ración la medida.
El jueves pasado la agencia de Protección Fronteriza y Aduana (CBP, por sus siglas en inglés) de los Estados Unidos liberó los documentos con in-formación concerniente a nueve meses de revisiones efectuadas a laptops y celulares en aduanas de aquél país.
La medida adoptada en la administración de George W. Bush daba la autoridad a los agentes fronterizos y de aduanas de requerir la revisión de
un dispositivo móvil sin justificación alguna. El argumento consistió en que, de esta manera, se incrementaban las medidas contra el crimen y el terrorismo.
El gobierno de Barack Obama continuó con las revisiones y hace casi un año la Suprema Corte determinó que las computadoras portátiles son como maletines, los cuales están sujetos a revisión en aeropuertos y demás cruces fronterizos.
La jurisprudencia fue impugnada por una variedad de grupos sociales que reclamaron que la información almacenada en las laptop no fuera tra-tada con distintas medidas de seguridad.
Durante nueves meses fueron revisados más de 1,500 dis-positivos, entre ellos 560 teléfonos celulares y 360 computa-doras portátiles, de acuerdo con la documentación de la CBP.
Uno de los principales cuestionamientos de los cuales ha sido objeto la agencia es que sus agentes copian documen-tos extraídos de los dispositivos revisados para canalizarlos a otras agencias de gobierno, cuyos nombres no fueron es-pecificados.
Los documentos liberados incluyen cartas emitidas por ciudadanos, en las que externan dudas sobre la posibilidad de negarse a proporcionar contraseñas a los agentes fronteri-zos o preocupaciones relacionadas con la entrega de sus equi-pajes con cámaras o dispositivos que no les pertenecían.
EVALÚAN RESULTADOS DE REVISIÓN DE LAPTOPS EN ADUANAS
LOGIN
4 B:SECURE Enero-Febrero, 2010
Co-sourcing es como denomina la firma de análisis Forrester a la nueva colaboración que tendrán los departamentos IT de las organizaciones con proveedores de servicios de seguridad.
Sin embargo, aunque no es un concepto muy distinto al de tercerización u outsourcing, en la firma creen que debería ser repensado, para integrar la idea de la colaboración entre las áreas IT y los proveedores.
Ya muchas organizaciones tercerizan sus procesos de seguridad, so-bre todo, para que sea otra compañía la que lleve a cabo el cum-plimiento de regulaciones que podrían significarles una pesada carga operativa y administrativa.
El reporte de Forrester, sin embargo, aclara que la organización que terce-riza aún es responsable de la protec-ción de la información que es manejada por un proveedor de servicios. Esto ocu-rre, indica el documento, porque las orga-nizaciones esperan ‘lavarse las manos’ cuando surja un problema, esperando que el proveedor lo arregle.
En la investigación titulada “Doce recomendaciones para su estrate-gia de seguridad de la información 2010” el analista Khalid Kark asegu-ra que, si la organización tiene un desastre en su ambiente, no existirá un incentivo para arreglarlo y que incluir a un tercero en ello solo empeora-ría las cosas.
No obstante, Forrester sugiere que las empresas que contraten outsour-cing de seguridad deben hacerlo con una compañía que esté dispuesta a compartir la responsabilidad en caso de que ocurra una brecha de infor-mación.
Compartir información con un tercero es el área de mayor riesgo que las compañías tendrán que manejar en 2010, según el reporte.
Cada empresa deberá replantearse la noción de perímetro de se-guridad a la hora de diseñar sus arquitecturas de seguridad.
Cada empresa debe reconsiderar la noción de ‘riesgo para el socio de negocios’ cuando se trata de tercerización
de servicios de seguridad, ya que el ries-go es similar que con otros socios.Los profesionales de la seguri-
dad deben dejar de asumir que cons-truirán un fuerte perímetro para tener control sobre la infraestructura y el flu-
jo de información.Hay que tener muy claro qué funcio-
nes de seguridad pueden ser tercerizadas, en torno a qué es conveniente en términos de costo y de si este modelo ayudará a tener mejor calidad en los controles de seguridad.
Entender los retos de propiedad qué significa tercerizar y que la protec-ción de la propiedad intelectual de la empresa no puede descansar única-mente en la tecnología.
5 RECOMENDACIONES EN OUTSOURCING DE SEGURIDAD
El planeta entero estará sumergido este año en la fie-bre futbolera generada por la Copa del Mundo 2010 de la FIFA y ya se prevé que todo lo relacionado con el tema esté entre los engaños preferidos de los ciber-criminales.
La empresa de seguridad Symantec pronostica que la acitividad maliciosa en Internet aumente como ha ocurrido en el marco de eventos deportivos de carac-ter global.
“Nuestra investigación ha demostrado que eventos deportivos como los Juegos Olímpicos y la Copa Mun-dial de fútbol desencadenan fraude en línea, sitios Web falsificados, suplantación de identidad y ataques de spam, además de hackeo”, dijo Gordon Love, di-rector regional de Symantec en África.
Sudáfrica ha crecido su infra-estructura de banda ancha, in-troduciendo dos nuevos cables submarinos de fibra óptica. De esta manera, el país sede delpróxi-
mo Mundial de Fútbol podría responder mejor a la demanda de acceso a Internet y velocidad que los asis-tentes demandarán. Sin embargo, lo anterior también representaría nuevos retos.
“A través de los años, Symantec ha visto un incre-mento en la actividad maliciosa principalmente en países que introducen una banda ancha más rápida, barata y accesible”, añadió Love.
En el 2008, Egipto alcanzó el sitio número uno de actividad maliciosa por suscriptor de banda ancha en la región de Europa, Medio Oriente y África (EMEA) des-
pués de que la conectividad se volviera prioridad para el gobierno del país y
el número de suscriptores de ban-da ancha aumentara. Listado en
el que no figuraba en el 2007.Symantec actualmente
instala sensores de red adi-cionales en Sudáfrica para op-timizar el monitoreo de las
amenazas en Internet.
MUNDIAL DE FÚTBOL Y CIBERCRIMEN
A menos de 72 horas del terremoto que devastó la isla de Haití, los cibercriminales ya han comenzado a to-mar ventaja del suceso a través de correos y sitios web apócrifos o vulnerados con códigos maliciosos para ejecutar robo de datos o fraudes en Internet.
Como sucedió con el huracán Katrina, la victoria de Barack Obama y la muerte de Micheal Jackson los ci-
bercriminales ya co-menzaron a tomar ventaja de la catástro-fe en la isla de Haití, luego de que esta fuera golpeada por un terre-moto de 7.0 grados en la escala de Richter.
Horas después del suceso, el FBI libe-ró un comunicado en su sitio web, en don-de alertaba a todos los internautas a que “usaran un ojo críti-co” en todos los men-sajes electrónicos que recibieran de organi-
zaciones no lucrativas solicitando donativos para los damnificados en Haití.
“En el pasado las tragedias y los desastres naturales han fomentado que individuos con intenciones crimi-nales soliciten contribuciones o donativos en nombre de una buena causa o de ayuda humanitaria”, cita el texto de la autoridad estadunidense.
La misma institución desarrolló una serie de suge-rencias para los internautas con intenciones de do-nar o entregar dinero a los haitianos. La cuales van desde no responder ni dar clic en mensajes elec-trónicos de supuestas organizaciones no lucrativas o con información sobre el terremoto en la isla, hasta ignorar correos de supuestas víctimas o sobrevivien-tes de Haití, que solicitan dinero, víveres o cualquier tipo de información.
“Si están interesados en hacer contribuciones hágan-las directamente a las organizaciones y no dependan o realicen este tipo de donaciones a través de un terce-ro”, comentó el FBI.
Miembros del instituto de Sistemas de Adminis-tración, Auditorías, Redes y Seguridad (Sans, por sus siglas en inglés) comentaron, en diversos medios de comunicación, que la catástrofe en Haití, sin duda será el pretexto perfecto de los criminales en Internet para realizar envíos masivos de spam, infectar usuarios o robar de información confidencial.
Algo, que de hecho ya ha comenzado a suceder, un día después del evento, la firma de seguridad Websen-se descubrió que diversos sitios en Internet con datos e imágenes del terremoto en la isla contenían códigos maliciosos.
“La gente alrededor del mundo está buscando en la red información reciente sobre este acontecimiento, para saber cómo hacer donaciones, tratar de descubrir la magnitud de esta catástrofe a través de fotos o videos. Por desgracia, los criminales utilizan las crisis y eventos importantes como éste para propagar código malicioso”, afirmó la compañía en su blog.
Enero-Febrero, 2010 B:SECURE 5
APROVECHAN CIBERCRIMINALES CATÁSTROFE EN HAITÍ
McAfee anunció una nueva iniciativa para combatir el cibercrimen a través de una serie de webcast diseñados para educar a los internautas de todo el orbe. Los programas de la firma muestran a los usuarios paso a paso algunas de las técnicas que los delincuentes informáticos utilizan para el robo de información.
Websense desarrolló Defensio 2.0, una aplicación diseñada exclusivamente para proteger a los usuarios contra las amenazas en internet en sitios del fenómeno de la web 2.0, como redes sociales, blogs o páginas con contenidos generados por los usuarios. La herramienta promete entregar protección en tiempo real contra ligas o vínculos con contenido malicioso.
Apple liberó un parche de seguridad para cubrir 12 vulnerabilidades de su sistema operativo Mac OS X. La actualización corrige siete fallas en un plug-in del reproductor Flash Player, los cuales podría permitir la ejecución de códigos maliciosos. Además la firma corrigió fallas en CoreAudio, CUPS, ImageIO, Image RAW y Open SSL.
BREVES
THE CLOUD RELOADED: SEGURIDAD EN LA NUBE
THE NET, SOCIALMENTE PELIGROSAS
YO EMPLEADO: MÁS MÓVIL Y MÁS INSEGURO
INFILTRADOS: EN MI EMPRESA
¿Y DÓNDE ESTÁ MI PROVEEDOR 2?
LA GRAN CIBERESTAFA
DURO DE HACKEAR 7.0
EL ABOGADO DEL HACKER: LA LEY Y MARCO JURÍDICO ¿ARMAS REALES CONTRA EL CIBERCRIMEN?
COLLATERAL DATA LOSS PREVENTION
88 MINUTOS…PARA CERTIFICAR
Porque es el principal foro en México para elaborar un red de colaboración entre empresas, proveedores líderes y profesionales de la Seguridad IT
Producido por
Un evento de
Porque es la cita anual obligada de los profesionales de Seguri-dad IT en México
Porque podrá anticipar las ten-dencias, retos y preocupaciones que CIO y CISO enfrentan para mantener la continuidad de su negocio, en voz de reconocidos expertos
Porque tendrá la oportunidad de conocer a los editores de la mejor revista de seguridad informática y, con suerte, aparecer en sus páginas
Porque podrá divertirse al tiempo que aprende en el único foro que combina creatividad con infor-mación, y el show de Platanito
1
3
4
52
5 PRINCIPALES RAZONES PARA ASISTIR AL B:SECURE CONFERENCE 2010
INFORMES:Tel. 2629 - 7260, lada sin costo 01800 670 6040 Opción 4.
THE CLOUD RELOADED: SEGURIDAD EN LA NUBE
THE NET, SOCIALMENTE PELIGROSAS
YO EMPLEADO: MÁS MÓVIL Y MÁS INSEGURO
INFILTRADOS: EN MI EMPRESA
¿Y DÓNDE ESTÁ MI PROVEEDOR 2?
LA GRAN CIBERESTAFA
DURO DE HACKEAR 7.0
EL ABOGADO DEL HACKER: LA LEY Y MARCO JURÍDICO ¿ARMAS REALES CONTRA EL CIBERCRIMEN?
COLLATERAL DATA LOSS PREVENTION
88 MINUTOS…PARA CERTIFICAR
Porque es el principal foro en México para elaborar un red de colaboración entre empresas, proveedores líderes y profesionales de la Seguridad IT
Producido por
Un evento de
Porque es la cita anual obligada de los profesionales de Seguri-dad IT en México
Porque podrá anticipar las ten-dencias, retos y preocupaciones que CIO y CISO enfrentan para mantener la continuidad de su negocio, en voz de reconocidos expertos
Porque tendrá la oportunidad de conocer a los editores de la mejor revista de seguridad informática y, con suerte, aparecer en sus páginas
Porque podrá divertirse al tiempo que aprende en el único foro que combina creatividad con infor-mación, y el show de Platanito
1
3
4
52
5 PRINCIPALES RAZONES PARA ASISTIR AL B:SECURE CONFERENCE 2010
INFORMES:Tel. 2629 - 7260, lada sin costo 01800 670 6040 Opción 4.
8 B:SECURE Enero-Febrero, 2010
Crisis económica, Influenza Humana H1N1, aumento de impues-tos… sin duda olvidar el 2009 será complicado para la mayoría de las personas. Sin embargo, para el cibercrimen los últimos 12 me-
ses se colocan como el mejor año desde que se inicio esta actividad ilegal, hace más de dos décadas.
De acuerdo con su reporte Informe Anual liberado por la firma españo-la de seguridad IT Panda Security, durante 2009 fueron detectados más de 40 millones de ejemplares de malware, con una media de más de 55,000 muestras nuevas todos los días.
“Sólo en 2009 han aparecido más ejemplares de malware que en toda la historia desde la creación del primer virus. De hecho, sólo du-rante este año, hemos detectado más códigos maliciosos que en los 19 años anteriores que tiene la compañía de existir”, cita el estudio de Pan-da Security.
La principal razón de este crecimiento exponencial en los códigos mali-ciosos y amenazas informáticas es reflejo de que el cibercrimen ha dejado de ser un actividad clandestina de baja rentabilidad para convertirse en un negocio multimillonario.
En los últimos doces meses, los hackers y organizaciones criminales en la Web han robado o generado más dinero que en los últimos 20 años desde la aparición de los primeros virus informáticos.
“Es difícil determinar la cantidad o monto exacto defraudado, pero se es-tima que la cifra de pérdidas como consecuencia de infecciones y ataques de hackers rebasa los miles de millones de dólares”, según el reporte.
Ya anteriormente empresas como Symantec determinaron que durante 2008 el cibercrimen y el robo y venta de información confidencial genera-ron ganancias por $266 millones de dólares, pero alberga un valor potencial por arriba de los $6,000 millones de dólares.
Incluso actividades de recién ingreso al mundo del cibercrimen como el rogueware o scareware, programas fraudulentos que fingen ser soluciones de seguridad, pero que en realidad contienen malware, representan una ac-tividad que en 2009 redituó en más de $400 millones de dólares para los delincuentes en línea.
De modo que el dinero y los beneficios detrás del robo de datos persona-les o la infección de computadores se mantiene como el principal pretexto o incentivo para los cibercriminales.
Una teoría que tiene respaldo en el número de troyanos, pues de acuerdo con Panda Security de los más de 40 millones de ejemplares de malware, 66% está representado por este tipo de códigos maliciosos.
Así, los troyanos bancarios o de robo de información observaron un cre-cimiento exponencial durante 2009, mismo que seguramente se manten-drá en 2010, debido a la facilidad con la que se consiguen o desarrollan estos programas.
“Es importante destacar que es relativamente sencillo conseguir nuevos ejemplares de este malware, pues existe todo un negocio de venta online de troyanos a la carta y herramientas de desarrollo que se pueden encontrar en Internet, y que con una serie de clics te permiten tener listo un troyano para su distribución”, afirman los expertos de Panda Security en el reporte.
Detrás de los troyanos, el adware y los virus se colocan como el tipo de códigos malicioso más prevalentes en la red con 17.62% y 6.61%, respec-tivamente. Mientras que el software espía (spyware) y los gusanos cerraron con un porcentaje de presencia de 5.70 y 3.42%.
Taiwán, Rusia y Polonia terminaron como las tres naciones con el mayor rango de infección de todo el orbe, con porcentajes de con un 62.2, 56.7 y 55.4%, respectivamente. México, por su parte terminó en la posición 16 con un nivel de infección cercano al 42%, es decir de cada diez equipos de cóm-puto que habitan en el país cuatro albergan uno o más códigos maliciosos.
DE POLICÍAS Y LADRONESEl análisis de Panda Security también resume algunos de los robos o atracos cibernéticos más notorios del 2009 como el ataque a varios hospitales de Sheffield, un condado del Reino Unido, en el cual, un código malicioso fue capaz de infectar 800 computadoras y inhabilitar la comunicación de tres instalaciones de salubridad.
También figura el robo de información de más de 130 millones de nú-meros de tarjetas de crédito instrumentado por Albert González, un hacker que fue aprendido por las autoridades estadunidenses a finales de agosto y sentenciado a más de 20 años en prisión.
“Pero no todo son malas noticias”, subraya el texto de la firma, pues afir-ma que los avances en materia de seguridad IT y colaboración entre autori-dades internacionales y sector privado llevaron a la aprensión de alrededor de 30 ciberdelincuentes culpados de cometer delitos como robo de infor-mación, fraude, espionaje o extorsión por Internet.
Panda Security augura que el crecimiento en los códigos maliciosos, el robo de información, los ataques a sistemas Windows 7, Mac OS o dispo-sitivos móviles se mantendrán durante 2010. Así como un crecimiento ex-ponencial para los usuarios Web derivado de la expansión de fenómenos como las redes sociales y el cómputo en la nube. ●
ACCESO
ROMPE 2009 RÉCORD EN
EJEMPLARES DE MALWARE
EL 2010 ARRANCA CON AIRES Y PROMESAS DE MAYOR ESTABILIDAD ECONÓMICA EN TODO EL MUNDO Y, LA CUAL SIN DUDA SERÁ DE MUCHO PROVECHO PARA LOS CIBERCRIMINALES.
Enero-Febrero, 2010 B:SECURE 9
Por esa razón, la confiabilidad y la integridad de la información se ha vuelto un valor que la seguridad ayuda a mantener y 2010 será un año, anticipan las firmas especializadas, en el que habrá retos muy
importantes en esta materia.Las organizaciones deberán realizar inversiones para hacer frente a los
nuevos retos que la seguridad enfrenta, lo cual coadyuvará a mantener las cada vez más exigentes labores preventivas.
1 El spam y los engaños en las redes sociales. Ya se volvió común re-cibir mensajes privados o públicos de contactos de redes sociales
en los cuales nos invitan a ir a una página Web, comprar un producto o a darle clic a un vínculo, de acuerdo con expertos de Symantec, Websense y de X-Force, unidad de seguridad Web de IBM.
Si las redes sociales se habían incorporado a la vida de muchas empre-sas, como Facebook, LinkedIn o Twitter, los profesionales IT ahora se verán obligados a proteger sus redes y seguir utilizándolas o prohibir su uso.
2 Nubes maliciosas. Por si no fuera poco proteger la infraestructura con las amenazas existentes, la nube podría ser un nuevo riesgo.
Firmas de seguridad como X-Force y RSA han detectado actividad de ciber-criminales en servicios proporcionados desde la nube, ya que pretenden usarlas para dirigir y ejecutar ataques.
3 Llegó la hora de Mac OS. Grandes cantidades de malware dirigido al SO Mac a través del navegador Safari es lo que proyecta para este
año Websense. Las compañías de seguridad han soñado con este momento, por el gran mercado que representa, sobre todo, con el pasar de los años. Los usuarios de Mac, es sabido, no usan antivirus y quizá no estén muy dis-puestos a pagar por uno, pero Symantec apuesta a que esto cambiará.
4 Sitios legítimos secuestrados. Todas las firmas de seguridad tienen mucho que decir al respecto, pronostican que los ataques de inyec-
ción SQL se intensificarán para infectar las PC de más usuarios y, sin duda, ha sido una táctica probadamente exitosa para ellos.
5 Seguridad móvil a la carta. No sólo ha crecido la fuerza de tra-bajo móvil, sino que la cantidad de aplicaciones empresariales
disponibles en versiones móviles se ha diversificado. Esto significa que las ventanas de acceso a información confidencial hacia las redes em-presariales se han multiplicado, por lo que por sí mismo representa un vector de ataque atractivo.
Los smartphones se han convertido en micro computadoras de bolsillo y los desarrolladores crean aplicaciones empresariales que corran sobre el iPhone, Android y Blackberry. Afortunadamente ya existen o están desarro-llando soluciones de seguridad para móviles.
6 Clic aquí, clic allá: publicidad y búsquedas maliciosas. Otra forma de explotar los canales que aún mantienen la confianza de los
usuarios de Internet son las búsquedas maliciosas, encubriendo en los resul-tados malware o ligas hacia sitios Web donde el usuario descargará en su PC, sin saberlo, todo tipo de software malicioso.
Para abatir también las amenazas que representa el malvertising o la pu-blicidad maliciosa, Websense y AVG desarrollan tecnologías para detectar-los y mostrar advertecias en tiempo real al usuario para evitar que dé clic en ella.
7 Redes bot, nunca pasarán de moda. Segun Symantec, las conoci-das botnet son la columna vertebral del cibercrimen y su economía
ilegal. Afortunadamente, la comunidad de la seguridad ha mejorado su co-municación para hacerles frente.
Uno de los fenómenos que las firmas de seguridad avizoran, es el de los ataques bot vs bot entre pandillas de cibercriminales para to-mar control sobre las de la ‘competencia’ y crecer sus recursos expo-nencialmente. ●
ACCESO
7 RETOS DE SEGURIDAD
PARA 2010 EN LA MEDIDA EN QUE LAS APLICACIONES
EMPRESARIALES CORREN MÁS Y MÁS DESDE LA NUBE Y LOS SERVICIOS MÓVILES CRECEN
SUS CAPACIDADES Y DISPONIBILIDAD, LA INFORMACIÓN ALBERGADA EN ESTAS TAMBIÉN REPRESENTA RIESGOS PARA LA
SEGURIDAD DE LAS COMPAÑÍAS.
Por: Efraín Ocampo
10 B:SECURE Enero-Febrero, 2010
Las fugas de información y las brechas en la seguridad de las compañías se mantienen como uno de los eventos más costosos y riesgosos para la operación y permanencia de las organizaciones en todo el mundo,
de acuerdo a un estudio liberado por el Instituto Ponemon.El reporte titulado El costo de la brechas o fuga de datos, analizó más de
45 compañías basadas en Estados Unidos que sufrieron la pérdida o robo de información de entre 5,000 y más de 100,000 registros en 15 industrias o sectores diferentes.
“La fuga de datos en las empresas sigue siendo uno de los eventos más costosos para las organizaciones toda vez que el costo promedio por resol-ver las brechas en seguridad paso de 6.65 millones de dólares a más de 6.75 millones de dólares para 2009”, cita el reporte del Ponemon Institute.
De hecho, el reporte explica que de las brechas analizadas la más costo-sa rebasó los 31 millones de dólares para resolverse, mientras que la menos costosa no bajo de los 750,000 dólares, es decir casi diez millones de pesos mexicanos para solucionarla.
En otras palabras, durante 2009 por cada archivo perdido o robado, las compañías deben pagar un promedio de 214 dólares, contra los 202 dóla-res que tenían que desembolsar en 2008.
El análisis cita que, del total de brechas o fugas de datos 42% correspon-de a fallas o errores en los sistemas de terceros o socios de negocios, 36% involucran la pérdida de una computadora portátil o teléfono inteligente y 24% son derivados de ataques cibernéticos y códigos maliciosos.
Sin embargo, en este último punto las fugas o robo de datos causados por cibercriminales y ataques maliciosos le cuestan a las empresas entre 30 y 40% más, que los generados por negligencia humana, es decir 215 dóla-res por malware contra los 156 dólares que las organizaciones deben pagar por cada archivo cuando sus empleados pierden datos accidental o inten-cionalmente.
El Instituto Ponemon también señala en el estudio que el promedio de archivos perdidos también se incrementó durante 2009, pues en 82% de los casos las empresas reconocieron haber perdido más de 1,000 registros con datos personales de sus clientes, empleados o proveedores.
GASTAR EN PROCESOS NO EN SOLUCIONES MÁGICASSi bien, se cree que las plataformas tecnológicas deben ser el primero paso
para resolver la fuga o robo de información 67% de los encuestados men-cionaron a las campañas de concientización como la herramienta más efec-tiva para reducir las brechas de seguridad.
Educación seguida de mejoras en los procesos de control y acceso (58%), aumento en el uso de tecnología de encripción (57%), soluciones de iden-tificación y administración de acceso (49%) y tecnología de DLP (42%), de acuerdo a los datos publicados.
PENSAR ANTES DE INFORMAR Contrario a lo que se podría pensar sobre la velocidad o tiempo que las empresas deben tomar antes de notificar a sus clientes y usuarios sobre la pérdida o robo de sus datos, el reporte del Instituto Ponemon, afirma que es más barato tomarse su tiempo antes de avisar sobre la brecha de seguridad.
“Moverse muy rápido en la notificación de una brecha de seguridad pue-de aumentar los costos en el proceso, sobre todo ante la omisión de tareas forenses durante una etapa temprana de detección”, cita el análisis.
Así, las empresas que analizan y notifican con más detenimiento sus bre-chas de seguridad pueden ahorrarse hasta 12 por ciento del costo promedio por registro perdido, es decir, 196 dólares contra 219 dólares.
CISO MÁS QUE UN SIMPLE PUESTO El reporte del Ponemon Institute también afirma el peso que tiene para la organización la figura del CISO al momento de sufrir una brecha de seguri-dad o robo de información.
“En algunos casos las empresas que afirmaron contar con responsable de seguridad como CISO o cargo similar, pueden disminuir las brechas en su infraestructura hasta 50%, contra las que únicamente manejan al CIO como responsable de toda el área de IT”, cita el estudio.
Así, las empresas que contaban con un CISO alcanzaron un promedio de costo por archivo perdido de 157 dólares, contra los 236 dólares en pro-medio que pagaron quienes solamente contaban con un gerente o direc-tos de sistemas.
Esto, según el estudio, se debe a que los CISO manejan un estrategia úni-camente enfocada en torno a la seguridad de la compañía lo que les permite responder a los incidentes mucho más rápido. ●
ACCESO
7 MILLONES DE DÓLARES: EL COSTO DE LAS BRECHAS DE SEGURIDAD EN 2009
EL ROBO O FUGA DE INFORMACIÓN SE MANTIENE COMO UNO DE LOS
PRINCIPALES DOLORES DE CABEZA PARA LAS ORGANIZACIONES, PUES EN PROMEDIO CADA DATO PERDIDO LES
CUESTA MÁS DE 214 DÓLARES.
Por Carlos Fernández de Lara
12 B:SECURE Enero-Febrero, 2010
Por Adrián Palma
BUSINESS PEOPLEfor
Segunda de 2 partes
El modelo CMMI (Capability Maturity Model Integration) ha tenido gran difusión y uso a nivel de las organizaciones del sector de Tecnologías de Información y Telecomunicaciones, principalmente. Por esta razón hacer una adaptación de este modelo para que incluya los temas de seguridad d la información hace mas fácil la elaboración y comprensión de la propuesta de un Modelo Madurez para la seguridad de la información en una organización. Al proponer un modelo de madurez, se busca establecer una valoración estandarizada, con la cual se pueda determinar el estado de la seguridad de la información.
Una manera sencilla de evaluar este grado de madurez es la matriz presentada a continuación, la cual permite muy rápidamente mediante indicadores saber en que nivel de madurez esta la organización en materia de seguridad de la información. Cabe la pena señalar que son indicadores totalmente prácticos y basados en la experiencia adquirida a través de varios proyectos.
ETAPAS de Madurez
Actitud y Entendimiento de la Alta Dirección Estado Actual de la Organización en Seguridad Manejo de Incidentes Inversión en Seguridad Acciones de Mejora Respecto a la Seguridad Perspectiva de la Organización desde su Postura Actual de Seguridad
Etapa 1Inicio o Incertidumbre
No es entendida y comprendida la función de seguridad.Se entiende que otros factores (como el diseño del sistema o poca confiabilidad de los equipos) son los causantes de los “problemas de seguridad”
No existen funciones asociadas al mantenimiento de seguridad.Estructuras de seguridad rudimentarias definidas por administradores de sistemas, redes o soporte técnico
Los incidentes de seguridad son atendidos una vez que se presentan de manera totalmente reactiva y correctiva.La estrategia es de corrección y recuperación y no de prevención.Los procedimientos de corrección o recuperación son débiles o inexistentes.
Mínima o nula inversión.Las perdidas debido a incidentes de seguridad no son conocidas.
No existen actividades organizadas de mejora sobre seguridad.La organización no entiende sobre tópicos de seguridad ni actividades de reducción de riesgos.No hay planeación asociada a actividades de mejora.La compañía funciona de manera reactiva a incidentes de seguridad.
“No sabemos por qué continuamente tenemos problemas de seguridad de la información.”
Etapa 2Repetible o Aprendizaje
Reconoce que la seguridad sobre la información puede ser de gran valor, pero no desea invertir tiempo, dinero y esfuerzo alguno para que esta función se concretice.Confianza en la seguridad provista exclusivamente por los productos y servicios instalados.
Se crea o designa la figura del encargado de seguridad (pero no reporta directamente a la alta dirección).Se enfatiza la colección centralizada de reportes sobre incidentes de seguridad y acciones detonadas de estos hechos.
Punto centralizado de contacto disponible para reportar incidentes de seguridad.Los incidentes de seguridad son atendidos una vez que se presentan (correctivo vs. preventivo).Estadísticas rudimentarias sobre incidentes de seguridad. Sólo los mayores incidentes son identificados.
Prevención: Fondos mínimos aunado al desperdicio de ellos, invertidos en soluciones de seguridad incompletas provistas por vendedores que anuncian los dispositivos de seguridad “built-in” de sus productos.
El encargado de seguridad trata con proveedores y firmas consultoras de seguridad para conocer servicios y soluciones de seguridad.Algunas políticas y procedimientos de seguridad a nivel organizacional son generadas para resolver aquellas situaciones más comunes.Los usuarios finales tienen una percepción de “obstrucciones innecesarias” respecto a controles de seguridad.
“¿Siempre tendremos problemas de seguridad de la información*?”
Etapa 3Definido o Iluminación
La alta dirección toma conciencia que una infraestructura de seguridad de la información es requerida para toda la organización.Son soportadas las tareas de entrenamiento para un security awareness.La gerencia entiende la necesidad de aplicar el programa de seguridad con un esquema top-down.Son soportadas las funciones de seguridad pero con recursos limitados.
El encargado de seguridad reporta directamente a la alta dirección (pero no necesariamente es un CISO por el nivel de Dirección).Son generadas políticas de seguridad de la información al nivel organizacional, y se implanta un programa de entrenamiento sobre seguridad de la información.El encargado de seguridad realiza revisiones de seguridad, y realiza análisis de riesgos y ayuda a reducir la exposición de dichos riesgos con la administración de los mismos.
Debido al desarrollo de un procedimiento de reporte formal, los reportes de incidentes contienen información relevante que facilita el diagnóstico oportuno de dichos incidentes.Se utilizan herramientas de monitoreo y correlación de eventos.Mejoramiento en las estadísticas de incidentes clarifican los problemas existentes.
Prevención: La estrategia de seguridad está basada en la información sobre incidentes y los análisis de riesgos realizados. Inicialmente se presentan gastos administrados y justificados, aunque los presupuestos pueden verse limitados por el tiempo requerido para el cumplimiento de proyectos.
Gracias a los esfuerzos de programas de awareness los usuarios finales son más cuidadosos y tienden a generar mayores reportes de incidentes.Los usuarios finales identifican controles de seguridad como “necesarias”.Las actividades de la función de seguridad de la información incluyen: programas de awareness, análisis de riesgos, e iniciativas de reducción de riesgos principalmente.
“A través de comités de administración y mejoras a la seguridad de información, estamos identificando, priorizando y protegiendo nuestros activos ”, o “Estamos actualmente buscando soluciones para nuestros problemas de seguridad”
Etapa 4Administrado o Entendimiento
Participación activa de la alta dirección.Proceso de entendimiento de la seguridad de la información.La alta dirección impulsa los elementos organizacionales para adecuar y optimizar la seguridad de la información basada en sus necesidades específicas.
El encargado de seguridad tiene una función de seguridad establecida.Los productos de seguridad son periódicamente actualizados.
Pruebas de penetración y auditorías son realizadas.Se generan alianzas estratégicas con otras organizaciones (socios de negocio, proveedores etc.).
La ocurrencia de eventos de seguridad es revisada periódicamente.Acciones legales son definidas para cada tipo de incidente que se presente.
La inversión es administrada y continuamente justificada debido a la reducción de pérdidas derivadas de las continuas revisiones de seguridad.La inversión es administrada a través de los continuos esfuerzos realizados costo/beneficio (análisis de riegos, e impactos al negocio).
Los riesgos son adecuadamente evaluados y administrados.Las funciones de seguridad incluyen actividades de investigación de tendencias y buenas prácticas, iniciadas para adaptarse al cambiante ambiente relacionado con la seguridad.El programa de security awareness se expande a un programa continuo, técnico y detallado de entrenamiento de seguridad.
“Sabemos qué proteger, de qué debemos protegerlo y qué es lo más importante para nosotros.”
Etapa 5Optimizado o Tolerancia
La Alta Dirección considera la función de seguridad como parte esencial de la Organización. La Alta Dirección provee recursos adecuados y soporte total para el programa de seguridad de la información.
El CISO regularmente tiene juntas periódicas con la alta dirección. La prevención es la mayor preocupación.La participación en foros públicos mejora la imagen pública de la organización.
Las causas son determinadas y las acciones correctivas necesarias son generadas y monitoreadas.La información sobre incidentes es retroalimentada en el proceso de administración de riesgos.
La inversión es justificada, totalmente.
La inversión en seguridad contribuye al marketing de la organización.
Actividades sobre ingeniería de seguridad (análisis de riesgos, auditorías, investigación, etc.) son comúnmente realizadas.Propuestas sobre mejoras de seguridad son generadas por usuarios, dueños de la información y custodios de la información.
“Conocemos y entendemos nuestros requerimientos de seguridad y vivimos y operamos con un nivel de riesgo aceptable.”
TIPS PARA IDENTIFICAR EL
NIVEL DE MADUREZ DE SEGURIDAD
Adrián Palma es licenciado en Informática cuenta con mas de 22 años de experiencia en Seguridad Informática y TI, actualmente es Director General de Integridata , tiene las certificaciones CISSP,CISA,CISM,BSA, conferencista a nivel internacional y catedrático del diplomado de Seguridad en el ITESM así como de la maestría de seguridad de la información del CESNAV y la UPIICSA, Ex presidente de la ALAPSI Internacional y actualmente director de educación de la misma. [email protected]
Enero-Febrero, 2010 B:SECURE 13
ETAPAS de Madurez
Actitud y Entendimiento de la Alta Dirección Estado Actual de la Organización en Seguridad Manejo de Incidentes Inversión en Seguridad Acciones de Mejora Respecto a la Seguridad Perspectiva de la Organización desde su Postura Actual de Seguridad
Etapa 1Inicio o Incertidumbre
No es entendida y comprendida la función de seguridad.Se entiende que otros factores (como el diseño del sistema o poca confiabilidad de los equipos) son los causantes de los “problemas de seguridad”
No existen funciones asociadas al mantenimiento de seguridad.Estructuras de seguridad rudimentarias definidas por administradores de sistemas, redes o soporte técnico
Los incidentes de seguridad son atendidos una vez que se presentan de manera totalmente reactiva y correctiva.La estrategia es de corrección y recuperación y no de prevención.Los procedimientos de corrección o recuperación son débiles o inexistentes.
Mínima o nula inversión.Las perdidas debido a incidentes de seguridad no son conocidas.
No existen actividades organizadas de mejora sobre seguridad.La organización no entiende sobre tópicos de seguridad ni actividades de reducción de riesgos.No hay planeación asociada a actividades de mejora.La compañía funciona de manera reactiva a incidentes de seguridad.
“No sabemos por qué continuamente tenemos problemas de seguridad de la información.”
Etapa 2Repetible o Aprendizaje
Reconoce que la seguridad sobre la información puede ser de gran valor, pero no desea invertir tiempo, dinero y esfuerzo alguno para que esta función se concretice.Confianza en la seguridad provista exclusivamente por los productos y servicios instalados.
Se crea o designa la figura del encargado de seguridad (pero no reporta directamente a la alta dirección).Se enfatiza la colección centralizada de reportes sobre incidentes de seguridad y acciones detonadas de estos hechos.
Punto centralizado de contacto disponible para reportar incidentes de seguridad.Los incidentes de seguridad son atendidos una vez que se presentan (correctivo vs. preventivo).Estadísticas rudimentarias sobre incidentes de seguridad. Sólo los mayores incidentes son identificados.
Prevención: Fondos mínimos aunado al desperdicio de ellos, invertidos en soluciones de seguridad incompletas provistas por vendedores que anuncian los dispositivos de seguridad “built-in” de sus productos.
El encargado de seguridad trata con proveedores y firmas consultoras de seguridad para conocer servicios y soluciones de seguridad.Algunas políticas y procedimientos de seguridad a nivel organizacional son generadas para resolver aquellas situaciones más comunes.Los usuarios finales tienen una percepción de “obstrucciones innecesarias” respecto a controles de seguridad.
“¿Siempre tendremos problemas de seguridad de la información*?”
Etapa 3Definido o Iluminación
La alta dirección toma conciencia que una infraestructura de seguridad de la información es requerida para toda la organización.Son soportadas las tareas de entrenamiento para un security awareness.La gerencia entiende la necesidad de aplicar el programa de seguridad con un esquema top-down.Son soportadas las funciones de seguridad pero con recursos limitados.
El encargado de seguridad reporta directamente a la alta dirección (pero no necesariamente es un CISO por el nivel de Dirección).Son generadas políticas de seguridad de la información al nivel organizacional, y se implanta un programa de entrenamiento sobre seguridad de la información.El encargado de seguridad realiza revisiones de seguridad, y realiza análisis de riesgos y ayuda a reducir la exposición de dichos riesgos con la administración de los mismos.
Debido al desarrollo de un procedimiento de reporte formal, los reportes de incidentes contienen información relevante que facilita el diagnóstico oportuno de dichos incidentes.Se utilizan herramientas de monitoreo y correlación de eventos.Mejoramiento en las estadísticas de incidentes clarifican los problemas existentes.
Prevención: La estrategia de seguridad está basada en la información sobre incidentes y los análisis de riesgos realizados. Inicialmente se presentan gastos administrados y justificados, aunque los presupuestos pueden verse limitados por el tiempo requerido para el cumplimiento de proyectos.
Gracias a los esfuerzos de programas de awareness los usuarios finales son más cuidadosos y tienden a generar mayores reportes de incidentes.Los usuarios finales identifican controles de seguridad como “necesarias”.Las actividades de la función de seguridad de la información incluyen: programas de awareness, análisis de riesgos, e iniciativas de reducción de riesgos principalmente.
“A través de comités de administración y mejoras a la seguridad de información, estamos identificando, priorizando y protegiendo nuestros activos ”, o “Estamos actualmente buscando soluciones para nuestros problemas de seguridad”
Etapa 4Administrado o Entendimiento
Participación activa de la alta dirección.Proceso de entendimiento de la seguridad de la información.La alta dirección impulsa los elementos organizacionales para adecuar y optimizar la seguridad de la información basada en sus necesidades específicas.
El encargado de seguridad tiene una función de seguridad establecida.Los productos de seguridad son periódicamente actualizados.
Pruebas de penetración y auditorías son realizadas.Se generan alianzas estratégicas con otras organizaciones (socios de negocio, proveedores etc.).
La ocurrencia de eventos de seguridad es revisada periódicamente.Acciones legales son definidas para cada tipo de incidente que se presente.
La inversión es administrada y continuamente justificada debido a la reducción de pérdidas derivadas de las continuas revisiones de seguridad.La inversión es administrada a través de los continuos esfuerzos realizados costo/beneficio (análisis de riegos, e impactos al negocio).
Los riesgos son adecuadamente evaluados y administrados.Las funciones de seguridad incluyen actividades de investigación de tendencias y buenas prácticas, iniciadas para adaptarse al cambiante ambiente relacionado con la seguridad.El programa de security awareness se expande a un programa continuo, técnico y detallado de entrenamiento de seguridad.
“Sabemos qué proteger, de qué debemos protegerlo y qué es lo más importante para nosotros.”
Etapa 5Optimizado o Tolerancia
La Alta Dirección considera la función de seguridad como parte esencial de la Organización. La Alta Dirección provee recursos adecuados y soporte total para el programa de seguridad de la información.
El CISO regularmente tiene juntas periódicas con la alta dirección. La prevención es la mayor preocupación.La participación en foros públicos mejora la imagen pública de la organización.
Las causas son determinadas y las acciones correctivas necesarias son generadas y monitoreadas.La información sobre incidentes es retroalimentada en el proceso de administración de riesgos.
La inversión es justificada, totalmente.
La inversión en seguridad contribuye al marketing de la organización.
Actividades sobre ingeniería de seguridad (análisis de riesgos, auditorías, investigación, etc.) son comúnmente realizadas.Propuestas sobre mejoras de seguridad son generadas por usuarios, dueños de la información y custodios de la información.
“Conocemos y entendemos nuestros requerimientos de seguridad y vivimos y operamos con un nivel de riesgo aceptable.”
EN UNA ORGANIZACIÓNNIVEL DE MADUREZ DE SEGURIDAD
Por Carlos Fernández de Lara [email protected]
14 B:SECURE Enero-Febrero, 2010
MODERNIZACIÓN E INVESTIGACIÓN
Tener el valor para romper con el estereotipo que la sociedad mexicana
asume de los funcionares públicos y las autoridades judiciales y colocar a México al día en materia de investigación forense digital y combate al cibercrimen son dos
de los principales atributos de este policía cibernético
b:Secure Award es para…
EN LA PGR
Oscar Lira Arteaga, jefe del departamento de Informática y Telecomunicaciones
de la Dirección General de Coordinación de Servicios Periciales (DGCSP) de la PGR
Enero-Febrero, 2010 B:SECURE 15
MODERNIZACIÓN E INVESTIGACIÓN
EN LA PGR
Oscar Lira Arteaga, jefe del departamento de Informática y Telecomunicaciones
de la Dirección General de Coordinación de Servicios Periciales (DGCSP) de la PGR
16 B:SECURE Enero-Febrero, 2010
Son casi las once de la mañana. Las nubes aún no despe-jan y, como muchos otros días en la capital del País, se pronostica un clima “raro” (frío con posible lluvia por la mañana y cielo despejado después del mediodía).
Bajo ese escenario el edificio de la Dirección General de Co-ordinación de Servicios Periciales (DGCSP) de la Procuraduría General de la República (PGR), luce como cualquier otra infraes-tructura de gobierno, sería y con colores fríos, un tanto desgasta-da por fuera y con vigilancia, dos policías, en la entrada.
Luego de pasar los controles de registro: entrega de credencial de identificación, toma de fotografía e impresión de pase digital, Oscar Lira Arteaga recibe a b:Secure para la entrevista. De traje negro y corbata roja a rayas, Lira luce más como un alto funcio-nario de gobierno o empresario que como lo que realmente es, un investigador digital y policía cibernético.
“Te costó trabajo llegar”, pregunta y agrega “no muchos cono-cen este edificio de la PGR”. Tras subir un par de pisos, Lira me guía hasta el Departamento de Informática y Telecomunicacio-nes, un espacio, donde diversos servidores, computadoras y ca-bles forman parte de su decoración, con cerca de medio centenar de personas “los chicos”, les llama él, quienes trabajan frente a sus equipos de cómputo.
Uno se pregunta al verlos qué clase de delito informático están investigando: robo, fraude, pornografía infantil en la red o qué tipo de criminal persiguen. Después de todo en Internet los úni-cos rostros “reales” que conocemos son secuencias de nùmeros, mejor conocidas como direcciones IP
Oscar Lira ya sabe que ha sido acreedor al b:Secure Award, una distinción que la revista entrega, desde su formación hace más de un lustro, a los profesionales de seguridad de la informa-ción por su labor y aportación en la materia en beneficio de su organización, el gobierno o la sociedad
Nacido en la Ciudad de México, Lira Arteaga es egresado de la carrera de Ingeniería en Comunicaciones y Electrónica en la Universidad Tecnológica de México y maestro en Tecnologías de la Información por la Universidad la Salle.
Como muchos otros profesionales y especialistas de seguridad IT, Lira comenzó en el mundo de la consultoría en la parte de soporte y desarrollo de políticas de seguridad, campo que even-tualmente lo llevó al sector público, más específicos a la PGR.
“Hace ocho años nos invitan a formar el departamento de In-formática y Telecomunicaciones de la Dirección General de Co-ordinación de Servicios Periciales de la PGR. En ese sentido tuvimos la fortuna y el honor de crear el área”, dice.
Y si bien, confiesa que, en un principio se discutía sobre si el nuevo departamento de IT sería de servicios o de investigación. Hoy, agrega que lo comenzó como un área con tres personas cre-ció a una división con más de “50 almas” trabajando en materia
de informática en sistemas y comunicaciones y electrónica.Como jefe del departamento Lira y su gente se vieron en la
necesidad de desarrollar con éxito, dice, una metodología de investigación en delitos cometidos a través de tecnologías de la información y comunicaciones, la cual, apunta, sigue es-tándares y procedimiento internacionales adaptados a la rea-lidad mexicana.
“En estos ocho años nos hemos dedicado a trabajar con meto-dología internacional y personal altamente capacitado. Te puedo decir que 50% de los miembros del departamento tienen estu-dios de maestría y el resto está por concluirlos. En otras partes del mundo miembros del FBI y el Servicio Secreto están adiestra-dos únicamente en una herramienta o proceso”, comparte Lira.
Así, ante el cambiante escenario de los delitos, el robo y frau-des por Internet Lira Arteaga afirma que la PGR y su división de especialistas tienen la capacidad para resolver 95% de los delitos cometidos a través de tecnologías de la información.
De modo que desde su punto de vista sería un error tratar de legislar o tipificar conductas y actos como el phishing o el phar-ming, pues el día de mañana podría tener otro nombre y por lo tanto la legislación quedaría obsoleta.
Aun así confiesa, que sí se requieren marco regulatorios sobre los proveedores de Internet (ISP, por su siglas en inglés) para fa-cilitar la investigación de los delitos informáticos, leyes que ya han comenzado a avanzar con las recientes modificaciones que el gobierno hizo a la Ley Federal de Telecomunicaciones.
“Con los cambios que se dieron el año pasado en la Ley Fede-ral de Telecomunicaciones, por primera vez, los proveedores de servicios de telefonía móvil tienen la obligación de proveer a la PGR identificación geoestacional de un dispositivo en una plazo no mayor a las 72 horas de conexión”, apunta Lira.
Caso contrario con los ISP, que si bien reconoce Lira, casi siempre están dispuestos a colaborar no hay nada en nuestra le-gislación que les obligue a guardar la información de conexión por determinado tiempo.
“En Francia, por ejemplo, los ISP tienen la obligación de al-macenar la información de conexión de sus clientes hasta por un año, en Alemania la tienen que guardar durante 6 meses, en México no hay ley. Y, aunque los ISP del país quieran cooperar si no tienen los datos cómo nos ayudan”, explica.
Hasta ahora, como Jefe del departamento de Informática y Te-lecomunicaciones de la DGCS de la PGR Lira ha logrado acuer-dos con los ISP del país a través de la Asociación Mexicana de Internet (Amipci).
En el área legislativa, el experto también ha actuado como consultor en la generación de nuevas propuestas de ley para el combate de delitos cometidos mediante el uso de tecnologías de la información y comunicaciones en la Cámara de Diputados.
Enero-Febrero, 2010 B:SECURE 17
NO ESTAMOS EN PAÑALES NI DESARMADOSPero a pesar de la falta de trabajo en el área legislativa Lira Arte-aga menciona, que el robo, el fraude, la pornografía, la trata de persona e incluso el acceso ilegal a sistema informáticos sí están tipificados en el Código Penal Federal. La diferencia para encau-sar y castigar dichos delitos en mundo web está en los procesos y tiempos que las víctimas toman para denunciarlos.
“Nosotros trabajamos con base en la leyes que tenemos en nuestro Código Penal y, es muy triste escuchar a la sociedad de-cir que no existen leyes para combatir este tipo de delitos. Yo les preguntaría qué fue primero los delincuentes o las Tecnolo-gías de la Información. Los crímenes no han cambiado, lo que se transformó es el medio por el cual ejecutan el crimen”, explica.
Una realidad que pocos ciudadanos conocen, pues la descon-fianza de la sociedad sobre las autoridades y policías y, el estereo-tipo de corruptos e ineficaces de todos los funcionarios públicos complican la denuncia de los delitos informáticos y, por consi-guiente su investigación.
“Las leyes dicen que el Ministerio Público es el único respon-sable de encausar una investigación. Es este, quien tiene que determinar si será la PGR o la Policía quien intervenga en la in-vestigación de delito”, menciona.
El problema dice, Lira Arteaga, es que cuando la sociedad piensa en PGR o en autoridades imagina funcionarios corruptos, flojos e incapaces de ayudar al ciudadano. Esta falta de confianza genera una ausencia de la denuncia en el país.
“Los más complejo de nuestra esta tarea es el convencimiento. La gente debe de saber que puede confiar en nosotros, muchas veces nosotros tenemos una imagen negativa de que no estamos preparados, que somos unos gorilas prepotentes, cuando uno dice PGR la gente piensa en nube negra”, comparte Lira
Para borrar esa realidad, Lira comparte que su metodología de trabajo la han comenzado a “convidar” hacia otros Estados de manera exitosa. Al tiempo que imparten cursos de cómo se de-ben formar y entrenar a los policías cibernéticos.
“Puede parecer que no, pero yo siempre he encontrado una mano extendida de mis superiores. Cuando empezamos con este departamento se sabía poco de la materia e, incluso yo pensaba que era difícil crear un cambio desde el gobierno. Poco a poco estamos logrando la credibilidad de la gente”, dice.
TAN SÓLO UN LADO DE LA MONEDAPero las herramientas tecnológicas, la constante capacitación y la metodología con las que, Oscar Lira y su equipo del Depar-tamento de Informática y Telecomunicaciones cuentan, son tan sólo una parte en el desarrollo y avance para la resolución y com-bate de los delitos informáticos.
Pero por más avanzada que sea la investigación forense digital
en México, sin la confianza de la gente y su interés por denunciar los delitos detener a los cibercriminales será imposible.
“Este es un trabajo de todos, no sólo de la PGR si la gente no tiene el valor de denunciar no se puede hacer una investigación. Yo sé que es difícil y se requiere de mucho estomago ir ante un MP, pero debemos tomar confianza en las autoridades. La ley nos impide, como funcionares, desatender a los ciudadanos, es mu-cho más difícil demostrar quién cometió un delito, que demos-trar y castigar a un funcionario corrupto”, asegura.
Quizá fue esta desconfianza de los ciudadanos o desconoci-miento sobre la realidad de los delitos informáticos en el país, lo que motivo a Lira a desarrollar uno de los primeros libros en materia de investigación forense digital; Ciberiminalidad, fun-damentos de investigación en México, obra que verá la luz en el primer trimestre de 2010, menciona.
“En los próximos meses saldrá la publicación y nuestro obje-tivo con esta, es decirle a la gente qué es lo que hacemos como departamento de investigación y cómo combatimos este fenóme-no de acuerdo a la legislación del país”, explica.
UNA REALIDAD DE TODOSPero los problemas, trabas y retos de México en materia de ciber-seguridad no son exclusivos de la nación, pues países latinoame-ricanos como Chile y Colombia o incluso naciones desarrolladas como Estados Unidos enfrentan realidades muy similares.
“He tenido la oportunidad de asistir y formar parte en congre-sos y foros de ciberseguridad nacionales e internacionales y es un alivio encontrarse que los mismos problemas que enfrentan los chilenos o los estadunidenses en esta materia, no son tan distin-tos a los que tenemos en México”, apunta.
Así, con acuerdos de cooperación entre autoridades y asocia-ciones, nacionales e internacionales, una metodología de primer nivel, que ya han comenzado a replicar en otros Estados de la Re-pública Mexicana, y profesionales altamente capacitados, Lira y su equipo de trabajo afirman estar listos para dar respuesta y so-lución al creciente número de actividades ilícitas que se cometen mediante el uso de tecnología.
Ahora el turno es de la sociedad que tiene la posibilidad de demostrar la eficacia del sistema político y judicial en el comba-te al cibercrimen a través de la única arma que como ciudadanos tenemos para reclamar por la violación de nuestros derechos y propiedades, la denuncia.
“No inventamos el hilo negro en investigación digital, sino que adaptamos, lo que se trabaja en todo el mundo, a las necesida-des de México. Pero de nada servirá este trabajo si la población no juega su papel. Si la gente no denuncia, no hay estadística, no hay impacto y sin impacto no hay manera de tratar de legislar o avanzar en el tema de los delitos informáticos” subraya. ●
18 B:SECURE Enero-Febrero, 2010
Son cada vez más las organizaciones en nuestro país que toman en serio la Gestión de Riesgos de IT y la han convertido en parte importante de la agenda. Sin embargo, con tantas ofertas de mo-
delos de gestión de riesgos que se pueden encontrar en el mercado la pregunta es: ¿Cuál de ellas utilizar?.
En la actualidad, las organizaciones han adoptado modelos de ges-tión de riesgos muy especializados tales como el ISO27005, el cual ha sido bien recibido gracias al incremento en las implementaciones de Sistemas de Gestión de Seguridad de la Información basados en el es-tándar ISO27001, o bien, aquellas organizaciones ubicadas en seg-mentos muy concretos como el financiero, las cuales adoptan modelos como Basilea II.
Para poner un poco de orden en este sentido, se ha desarrollado el es-tándar ISO31000 que pretende ser la guía para la implementación de la gestión de riesgos desde un enfoque de mejora continua. Sin embargo desde el punto de vista de gestión de riesgos de IT las organizaciones han encontrado que los modelos actuales o tienden a ser muy genera-les (ej. ISO 31000) o muy específicos (ej. ISO27005) y es aquí donde en-tra en escena la nueva propuesta de ISACA con el marco de referencia de “Risk IT”.
Risk IT pretende ser una herramienta práctica para la gestión de ries-gos basado en los conceptos de valor y beneficios que la organización obtiene a través de sus iniciativas de IT. Al igual que sus hermanitos CobIT y Val IT, Risk IT se concentra en el cumplimiento de los objetivos de la organización.
Mientras CobIT se concentra en la gestión de procesos de IT a través de la implementación, mantenimiento y monitoreo de controles y Val IT se concentra en la gestión del portafolio de iniciativas de IT para gene-rar valor a la organización, Risk IT tiene como fin gestionar los riesgos relacionados con la no obtención de ese valor / beneficios, así como los riesgos de no aprovechar las oportunidades y beneficios que una inicia-tiva de IT podría proporcionar a la organización. Es decir, el riesgo de no tomar ventaja de IT.
Esta última descripción separa al Risk IT de otros modelos de riesgos, ya que mientras la mayoría de ellos busca eliminar los riesgos, Risk IT también considera la posibilidad de tomar e ir en la búsqueda de ries-gos que podrían beneficiar a la organización, siempre y cuando se en-cuentre el balance adecuado entre Riesgo / Valor.
En muchas ocasiones que he tenido la oportunidad de desarrollar proyectos relacionados con la gestión de riesgos, es común que los re-presentantes de áreas no informáticas de una organización me soliciten que como resultado del proyecto, les indique ¿Cuál es el nivel de ries-go que deben tomar para poder maximizar sus beneficios? La respues-ta a este tipo de cuestionamientos se puede obtener adoptando Risk IT como modelo de gestión de riesgos.
Risk IT no se limita a la seguridad de la información, también considera:
Los principios de Risk IT contemplan:
riesgos de toda la organización
-fine y refuerza la responsabilidad del personal para operar en nive-les de tolerancia aceptables y bien definidos
parte de las actividades diariasRisk IT se encuentra dividido en tres grandes dominios que incluyen:
Gobierno de Riesgos, Evaluación de Riesgos y Respuesta al Riesgo y será presentado y discutido en la próxima conferencia internacional de ISACA que se llevará a cabo en Cancún (por primera vez en Latinoame-rica) el próximo mes de Junio.
LA NUEVA CERTIFICACIÓN DE ISACA - CRISCComo parte de los esfuerzos que la asociación ha emprendido en rela-ción con el tema de gestión de riesgos se ha confirmado la emisión de la certificación CRISC (Certified in Risk and Information Systems Control) que en conjunto con las certificaciones CISA, CISM y CGEIT promete ser una de las más solicitadas por los profesionales de IT.
Esta certificación contempla dentro de su base de conocimiento:
-mación
El esquema para poder obtener ésta certificación, como en otros ca-sos requiere la aprobación de un examen de conocimiento, demostra-ción de experiencia y adherencia al código de ética. Sin embargo, se
-tificación a través de la opción de “grand fathering”.
Esperemos ver la aceptación de los profesionales de IT y Seguridad de la Información tanto para ésta nueva certificación CRISC (See Risk), como para Risk IT. ●
RISK IT: LA NUEVA PROPUESTA DE ISACA PARA LA GESTIÓN DE RIESGOS
OPINIÓN´ Por Mario Ureña Cuate
Mario Ureña Cuate es director general de SecureInformationTechnologies y cuenta con las certificaciones CISSP, CISA, CISM, CGEIT, Auditor Líder BS25999 e ISO27001. Participa como Miembro del CISA QAT de ISACA Internacional, Director de Estándares y Normatividad de ALAPSI y es miembro del Programa de Formadores de Opinión del British Standards Institution (BSI). www.mariourenacuate.com
Todos los días se encuentran nuevas vulnerabilidades y se llevan a cabo ataques a sistemas de información. En el mes de noviembre se dio a conocer un ataque sobre los telefonos inteligentes iPhone
desbloqueados (Jailbreaking, como se le conoce), y se presentó una vul-nerab ilidad sobre su protocolo SSL.
El protocolo SSL (Secure Socket Layer) permite establecer un inter-cambio de información seguro entre dos entidades. El protocolo tiene por objetivo el garantizar la confidencialidad, integridad y autenticidad de los datos intercambiados entre las dos entidades participantes. La mayor parte del tiempo se asocia al protocolo con servidores Web y el protocolo HTTP. Sin embargo, el protocolo SSL puede ser usado para proteger el protocolo POP3, IMAP, etc.
Cuando uno habla de HTTPS se refiere al uso de HTTP sobre SSL, es decir dada una conexión SSL establecida se envía informa-ción HTTP dentro del canal. Por otro lado existe el protocolo S-HTTP que fue creado para ser usado exclusivamente en comu-nicaciones HTTP. La propuesta de S-HTTP implica una extensión del protocolo HTTP para permitir cifrado y autenticación dentro de este protocolo.
El protocolo SSL fue desarrollado por la gente de Netscape. Aunque no era un protocolo propietario su uso era libre y se conocía su funcionamiento, este no se en-contraba definido en ningún estándar. La IETF (Internet Engenieering Tasking For-ce) creó el estándar TLS (Transport Layer Security) basándose en las especificaciones de SSL. La última versión del estándar se puede encontrar en el RFC 5246.
El protocolo SSL funciona de la siguiente forma. El cliente contacta al servidor enviando un mensaje Client Hello y le indica que desea es-tablecer una comunicación segura, así como los algoritmos de cifrado que maneja. El servidor responde con un mensaje Server Hello y la se-lección del algoritmo, así como un certificado para que el cliente pue-da garantizar la autenticidad del servidor. El cliente define una llave de cifrado temporal, extrae la llave pública del servidor de su certificado y la usa para enviarle la llave temporal de forma segura. A partir de este momento las dos entidades cuentan con una llave de cifrado y pueden intercambiar información de forma segura. En la especificación del pro-tocolo se indica que el cliente opcionalmente puede presentar un cer-tificado al servidor.
En noviembre del 2009 se dio a conocer una vulnerabilidad en el pro-tocolo SSL que permite llevar a cabo un ataque de hombre en medio. La vulnerabilidad fue descubierta por Marsh Ray y Steve Dispensa de
PhoneFactor, y es resultado de una debilidad en el protocolo en sí no de una implementación de este, por lo que su impacto afecta a varios sis-temas.
La vulnerabilidad aprovecha la facultad de renegociación de SSL. Esta facultad permite al cliente o servidor renegociar los parámetros de seguridad en cualquier momento. Como ejemplo cualquiera de las dos entidades puede refrescar las llaves criptográficas, incrementar el nivel de autenticación, incrementar la fortaleza del algoritmo de cifrado, o lle-var a cabo cualquier otro tipo de acción similar. Para llevar a cabo la re-negociación el cliente debe enviar un mensaje Client Hello. El servidor responde con un mensaje Server Hello y el resto de la negociación se lle-va a cabo como arriba se describe. La renegociación se lleva a cabo so-
bre la conexión SSL ya establecida.La vulnerabilidad permite implementar un
ataque de hombre en medio, permitiendo al atacante ejecutar comandos entre el clien-te y el servidor. Es necesario que el atacan-te pueda ver todos los paquetes que el cliente y el servidor se intercambian, por lo que el ataque sólo se puede llevar a cabo a nivel lo-cal. Cuando el atacante se da cuenta que el cliente se desea conectar con el servidor in-tercepta la petición y la detiene. El atacante se conecta al servidor, pudiendo llevar a cabo una serie de peticiones/respuestas con él. Es en este momento que el servidor solicita una renegociación al servidor SSL. Una vez que la renegociación inicia, el atacante deja pasar la
petición de conexión del cliente al servidor. Este último, al creer que am-bas peticiones de negociación provienen del mismo, las junta, teniendo como consecuencia que al cliente le llega la sesión del atacante.
Cualquier protocolo corriendo bajo SSL es susceptible a un ataque. Uno de los protocolos más utilizados bajo SSL es HTTP. El investigador Anil Kurmus, demostró cómo se puede usar esta vulnerabilidad para lanzar un ataque sobre Twitter. Se montó un ataque que permitió robar información de acceso al servidor de Twitter. El servicio Twitter ya ac-tualizó su servidor y este ataque ya no es posible.
Por otro lado Marlinspike, creador de la herramienta SSL StripTool, declaró que es necesario que el atacante lleve a cabo una autenticación del cliente, un escenario poco general cuando se usa SSL. De acuerdo a personal de IBM-ISS se considera el ataque como una variante de un ataque CSFR, al que se supone que cualquier banco y/o organización seria, obligada a cumplir la directriz PCI, no debe ser vulnerable.
La vulnerabilidad aún existe y se ha convocando a una reunión para tomar decisiones. Aunque el riesgo es mínimo se recomienda actuali-zar los servidores SSL que se estén usando. ●
20 B:SECURE Enero-Febrero, 2010
VULNERABILIDAD EN EL PROTOCOLO SSLPor Roberto Gómez Cárdenas
ÁREARESTRINGIDA
Enero-Febrero, 2010 B:SECURE 21
Las redes sociales han permitido que grupos de perso-nas colaboren, incluso existen varios miembros del área de seguridad de la información de empresas y organizacio-
nes que ya están en Twitter y Facebook.No es un secreto que la tecnología avanza a pasos agigantados y es
difícil alcanzarla. Un ejemplo de ello, es que como especialistas de segu-ridad de la información le huimos a las redes sociales.
Las redes sociales fueron creadas como una plataforma de colabora-ción, se han perdido entre la fina línea de un chismógrafo de escuela y en algunos casos en una nueva forma de buscar proyectos y trabajo.
Facebook por ejemplo, se ha inundado de aplicaciones que sólo ha-cen que alguien dentro de la organización pueda perder una gran can-tidad de tiempo. Sin embargo, nuestros empleados lo usan para postear fotografías de sus últimas hazañas tanto dentro como fuera de la orga-nización.
Twitter es una historia diferente; es la red social que parece más in-ofensiva. Con sólo 140 caracteres, el usuario debe usar poderes ini-maginables para poder convertir una idea o conjunto de ellas en una pequeña frase que pueda ser relevante para los demás.
En Twitter no hay muchos permisos que administrar. O dejas que todo el mundo te vea o simplemente tú eliges a quién dejar ver tu “time-line” (lo que estás posteando). Éstas personas que te siguen, se convier-ten en tus followers; una mezcla entre amigos-fans que estarán leyendo lo que compartes –en 140 caracteres- a cada rato.
Por otro lado, tú te conviertes en follower de otros, usuarios que vas conociendo a partir del tiempo de leer de otras personas.
También existen las cuentas de Twitter de empresas; donde es po-sible seguir de cerca nuevos lanzamientos, vulnerabilidades, etc., que publican las principales compañías del mundo. Por ejemplo, la de ISC2 (@ISC2) o Cisco Systems (@CiscoSystems). Es como tener un boletín pequeño de lo que pasa en el medio.
Es en Twitter donde últimamente se han puesto mejor los debates de que, si no fuera por esta plataforma, no nos enteraríamos de lo que acontece en el mundo. Negociaciones de un Convenio de Anti-Pirate-ria (ACTA), el impuesto al Internet (#internetnecesario) y muchos even-tos de los cuales no tendríamos noticia alguna.
Dos preguntas claras evidencian a un escéptico cuando platico acer-ca de Twitter:
¿Y para qué tener una cuenta de Twitter?Porque permite, en un tiempo muy corto, aprender, conocer y com-
partir información con otras personas del gremio o de los mismos inte-reses. Por ejemplo, hace un par de días, fue gracias a un twit (nombre
dado a cada mensaje vía Tweeter), pude conocer de un lanzamiento de una nueva versión de un producto que
tengo en mi infraestructura; también pude saber y compartir puntos de
vista con abogados y gente del medio de seguridad informática sobre el ataque de Google.Pero yo no tengo nada que de-
cir, ¿para qué tengo una cuenta de Twitter?
Todos tenemos algo que compartir (hay que saber hasta dónde y cuándo). Pero permite generar un grupo de opinión en algo en lo que somos expertos.
Pero no todo es color de rosa. El problema central al que me he en-frentado se da cuando alguien dentro de la organización tiene una cuenta en alguna red social y se la pasa hablando de los proyectos, in-cidentes y problemáticas en los cuales se encuentra trabajando. Siendo así que muchas veces comparte información confidencial que puede afectar a la compañia.
¿Pero cómo vamos a saber cómo educar si no tenemos una cuenta?Por ejemplo, Facebook puede ser una excelente herramienta para el
área de recursos humanos; donde pueden validar el tipo de información que sus empleados o seleccionados comparten con los demás; sus há-bitos después de la oficina y las posibles balconeadas que hizo en su empleo anterior o en su actual. Lo mismo se puede hacer en Twitter.
Yo les recomiendo que inicien aprendiendo de la plataforma, verán que si tienen interés en algo en particular, encontrarán a otro usuario que les compartirá información a partir de sus vivencias que pueden ser enriquecedoras para ustedes.
Para que inicien con su lista de a quién seguir en twitter, pueden agregar a Mónica Mistretta (@monicami), Carlos Fernández de Lara –editor de b:Secure- (@cfernandezdlara) y algunos columnistas de esta revista: Joel Gómez (@joelgomexmx) y Roberto Gómez (@cryptomex).
Mucho de esto y más, estaremos hablando en el b:Secure Conferen-ce de este año. Particularmente en la conferencia: “The Net, socialmen-te peligrosas”; donde mostraré algunos ejemplos prácticos.
QUE MIS EMPLEADOS ESTÁN TWITEANDO ¿QUÉ?
OPINIÓN´
Por Andrés Velázquez
Andrés Velázquez es un mexicano especialista en delitos informá-ticos, profesor de la facultad de seguridad en redes de la University of Advancing Technology (UAT) en Phoenix, Arizona; y cuenta con las certifi-caciones CISSP, GCFA, ACE, IAM, IEM y BS7799. [email protected] Síguelo en Twitter: http://twitter.com/cibercrimen
22 B:SECURE Enero-Febrero, 2010
Los usuarios, los gerentes, y los profesionales desarrolladores de computadoras todos están de acuerdo en que necesitamos pro-gramas y sistemas informáticos que sean “más seguros”. Tales
esfuerzos tendrán que contar con el apoyo que brindan tanto las comu-nidades de educación como las de capacitación técnica, para mejorar el aseguramiento de los programas informáticos – sobre todo para es-cribir códigos seguros.
Las conversaciones sobre lo que hay que enseñar al fin y al cabo re-montan a quien enseña, a quien aprende, y a lo que es la última finalidad de lo enseñado. Existen diferencias importantes entre los planes acadé-micos dedicados a mejorar el conjunto de habilidades del estudiante (la capacidad específica para escribir un código seguro, por ejemplo) y los planes académicos dedicados a mejorar los conocimientos del estudian-te (los principios que fundamentan la escritura de códigos seguros). Los dos tipos son imprescindibles para realizar mejoras duraderas en el es-tado de los productos modernos de programas informáticos. Si desarro-llamos y revisamos solamente los programas académicos dedicados a mejorar el conjunto de las destrezas específicas, el ritmo rápido del cam-bio tecnológico pronto hará que las destrezas sean obsoletas y las perso-nas que acaban de adquirirlas tendrán que someterse a la capacitación continua. Si solamente desarrollamos conocimientos, habrá muchas per-sonas que conocen bien los principios que tienen que aplicarse, pero que no podrán producir un buen código seguro.
¿QUÉ ES EL ASEGURAMIENTO?“El aseguramiento” tiene tantos significados como los que quieren ex-plicarlo. En este artículo, consideramos que se define como una medi-da de confianza que alguna entidad – tal vez un programa informático – puede cumplir sus criterios. De forma paralela, “el aseguramiento de seguridad” para un puente abarcaría las medidas demostrables que au-mentaría nuestra confianza que el puente es seguro para el uso dentro del medioambiente indicado. “El aseguramiento de seguridad” llama la atención a los criterios relacionados con la seguridad. Un profesional en el campo que “escribe un código que es claramente seguro” demuestra una destreza que merece mayor confianza que el sistema que está usan-do ese código será seguro. Igual que el puente, esta perspectiva hacia el aseguramiento de la seguridad está enlazada con el entendimiento del medioambiente de uso, con los usos esperados a que se dedicará el sis-tema o el código resultante, y alguna definición de lo que constituyen los medios “seguros” (o asegurados) dentro de este contexto. La divergencia de estas expectativas lleva al sistema fuera del ámbito de lo conocido y podría resultar en el fracaso, igual que el manejo de un camión con peso excesivo sobre un puente podría resultar en el derrumbe.
Con respecto a los estudios superiores, la meta principal de enseñar el aseguramiento no es enseñar a los estudiantes a evitar el desbordamien-to de la memoria intermedia temporal en un lenguaje de programación
particular, sino enseñarlos sobre los principios que se debe usar para de-terminar cuáles son las prácticas de programación que habrá que seguir para evitar que surja el problema del desbordamiento de la memoria in-termedia temporal. La diferencia entre estas dos perspectivas es la dife-rencia entre los estudios teóricos superiores y la formación técnica.
DISEÑAR LA SEGURIDAD COMO COMPONENTE BÁSICO YA INTEGRADOEl enfoque de los estudios superiores recae sobre el diseño de seguridad desde un principio, en vez de meterlo después como componente agre-gado. Incorporar los mecanismos de seguridad a un sistema ya existen-te, o reparar las vulnerabilidades presentes en éste, puede generar varios problemas, y es posible que ni corrija el problema original que fue objeto de la reparación. El nuevo mecanismo debe ser diseñado para funcionar debidamente con todos los aspectos del sistema existente.
Los parches de seguridad pueden introducir nuevas vulnerabilida-des de seguridad, como se dio cuenta un proveedor cuando corrigió un defecto de seguridad que se dio a conocer ampliamente en la prensa, el cual dejó a los atacantes leer los correos electrónicos de los usuarios: el parche introdujo un defecto nuevo que tenía el mismo efecto que el ori-ginal – y que fue más fácil de explotar.
El mecanismo agregado también de por sí puede generar problemas de seguridad. Por ejemplo, considere el programa “Windows XP Service Pack 2”, que fortalece bastante la seguridad de Windows XP. Desafor-tunadamente, también estorbó ciertos programas existentes e impe-día que algunos funcionaran – la denegación de servicio. El paquete de servicio fortaleció los sistemas de usuarios que no usaban esos pro-gramas, pero, al contrario, generaron un nuevo problema de seguridad para los que sí los usaban.
IMPORTANCIA DE LO GENERALAl evitar un enfoque sobre ciertas vulnerabilidades de seguridad parti-culares, podemos enseñar a nuestros estudiantes a identificar proble-mas que pueden plantearse en el futuro, recurriendo al análisis de los medios que se usaban para poner los sistemas y los programas infor-máticos en práctica. En vez de concentrarnos sobre las matrices que desbordan, por ejemplo, un estudiante aprendería que las variables im-plícitamente impone restricciones sobre el tamaño – un número entero, por ejemplo, tiene que ser entre 2,147,483,647 y 2,147,483,648, inclusi-ve. La pregunta que corresponde hacer es qué pasará si no se respe-ta este supuesto. Si consideramos que los tipos de matrices también incluyen su tamaño – por ejemplo, una matriz de 100 caracteres – co-rresponde el mismo principio, y el problema del desbordamiento de la memoria temporal viene siendo un aspecto de un problema más gene-ral y omnipresente. Aprender a enfrentarse con los desbordamientos de memoria intermedia no ayudará al programador a resolver desborda-
ENSEÑANZA DE LA PROGRAMACIÓN SEGURA
OPINIÓN´
Por Matt Bishop y Deborah Frincke, Instituto de Ingenieros Eléctricos y Electrónicos
Enero-Febrero, 2010 B:SECURE 23
mientos numéricos, pero si el programador aprende a enfrentarse con los desbordamientos en términos generales, sabrá cómo enfrentarse con los dos tipos de desbordamiento. El acercamiento más generaliza-do es la marca distintiva de los estudios superiores.
Este enfoque sobre lo general deja a los estudiantes aplicar los concep-tos y principios a todo lenguaje de programación y a todo medioambien-te. Considere, por ejemplo, los lenguajes de programación. La enseñanza de los aspectos concretos de la programación con la seguridad aumen-tada para cierto conjunto de lenguajes solamente ayuda cuando el estu-diante está trabajando con esos lenguajes particulares. Si los estudiantes entienden problemas en sus aspectos más generales, pueden especiali-zarse con la programación de ciertos lenguajes particulares.
ACERCAMIENTO A BASE DE LOS PRINCIPIOSA fines de la década de los 60, los científicos empezaron a preocuparse por las consecuencias de almacenar la información en las computado-ras. Aunque sólo hablaban de esas consecuencias dentro del contexto de la información privilegiada, los problemas que reconocieron incluían la confidencialidad, la integridad, y la disponibilidad.
Dentro del medioambiente académico, estos principios son funda-mentales para la enseñanza del aseguramiento. Considere el concepto del mecanismo de validación de referencias encarnado en un módulo de control de acceso, el cual es un componente de sistema que permi-te acceder a cierto recurso. El módulo de control de acceso tiene que cumplir tres criterios:
-mente modificado.
Ahora aplique este concepto a un servidor sencillo del Web que ha sido diseñado para transmitir archivos (páginas Web) a los clientes. No se debe permitir a todos los otros servidores en la red tener acceso a es-tos archivos. Ésta es una cuestión de configuración que exige que abor-demos algunas consideraciones sobre la programación (tales como la comprobación de permisos) y decisiones administrativas (en donde se debe colocar los archivos). El criterio de la sencillez quiere decir que el servidor debe ser tan pequeño como sea posible, provisto de la funcio-nalidad para servir solamente esas páginas Web. No debe ejecutar, por ejemplo, un subproceso para leer los archivos. Y, por fin, el criterio del programa tiene que ser a prueba de manipulación quiere decir que el servidor debe impedir que se altere el código ejecutable. Esto requie-re que se eviten desbordamientos de la memoria intermedia temporal (los cuales típicamente inyectan un código ejecutable en el proceso). Mientras vamos agregando criterios al servidor Web – por ejemplo, la capacidad para ejecutar cierto conjunto de programas de interfaz de entrada común (conocidos en inglés por sus siglas “CGI”) – la aplica-ción de esos principios cambia (el criterio de ser a prueba de manipula-ción ahora abarca los programas de interfaz de entrada común que se ejecutan a favor de los servidores del Web). Sin embargo, los principios siguen siendo los mismos.
Esto explica por qué es importante estudiar la historia del asegura-miento. Los estudios tempranos presentan obras seminales que toda-vía son vigentes hoy en día, aunque dentro de contextos diferentes. La
máxima de Santayana sin duda cabe aquí: quien no conoce la historia está condenado a repetirla (o redescubrirla).
¿QUÉ PAPEL HACEN LAS LISTAS DE CONTROL?Las listas de control sobre la seguridad dan la voz de alarma (porque pueden reemplazar el razonamiento con el conformismo con las normas que no atañan al caso), así como inspiran entusiasmo (porque sirven de guía para confirmar que se tuvieron en cuenta debidamente las consi-deraciones sobre la seguridad).
Las listas de control hacen un papel en el aseguramiento. Piense en la formación de estudiantes para la carrera de piloto. Utilizan listas de control a lo largo del proceso de su formación – todo aspecto des-de el prevuelo (el aseguramiento que el avión está listo para el despe-gue) hasta las maniobras durante el vuelo (el aseguramiento que todo va bien antes de iniciar las maniobras para ladear o aterrizar el avión). Los pilotos profesionales también usan y respetan las listas de control para asegurar que ni la familiaridad en exceso ni la prisa les lleva a sal-tar por encima de elementos claves de seguridad. Puede haber listas de control propias de aviones específicos – el tablero de control en un avión de Cessna 172 es bastante diferente del de un Boeing 747 – pero el estu-diante piloto debe tener suficiente conocimiento de los principios que se usaron para elaborar estas listas de control, para que sea capaz de formular respuestas generalizadas en casos de urgencia.
Esto establece el papel que hacen las listas de control con respecto a la programación segura. Pueden brindar enumeraciones muy útiles sobre los actos específicos necesarios para la seguridad y el asegura-miento. Primero, deben derivarse de principios sólidos sobre el asegura-miento, para después adaptarse al medioambiente y a las necesidades de protección concretos. No son sustitutos del estudio de los princi-pios que impulsaron su formulación, ni debemos considerarlas sustitu-tos del buen juicio.
Mientras la disciplina de la ciencia informática va madurando, la capacidad para escribir códigos seguros debe considerarse tan fun-damental para el estudiante universitario de grado en la ciencia infor-mática como el alfabetismo básico.
Los estudiantes de grado en la ciencia informática (y los que van a contratarlos) normalmente esperan terminar la carrera dotados de las destrezas básicas que necesitan para conseguir y ocupar un puesto de trabajo, así como del conocimiento de conceptos, principios y los méto-dos de pensar que los dejarán actuar con un alto nivel de competencia.
Hay una preocupación creciente dentro de la comunidad académi-ca que la necesidad de la seguridad mejorada para los programas in-formáticos pondrán mayor presión para enseñar destrezas de enfoque estrecho sobre los lenguajes específicos y sistemas operativos a expen-sas de la enseñanza de estudiantes en los conceptos fundamentales del aseguramiento. El deber del mundo académico no es enseñar simple-mente técnicas de programación, sino impartir conceptos, principios, y métodos de razonamiento que los estudiantes pueden aplicar a las situaciones nuevas. Por su parte, los ya titulados y a los empleadores, deben apoyar el compromiso hacia la formación profesional continua, para que los empleados puedan perfeccionar las destrezas necesarias para llevar esos conceptos y esos principios a la práctica dentro del con-texto de sus trabajos. ●
Matt Bishop es miembro del Instituto de Ingenieros Eléctricos y Electrónicos [IEEE] y profesor de ciencia informática en la Universidad de California, Davis. Para comunicarse con él, diríjase al [email protected] A. Frincke es miembro del Instituto de Ingenieros Eléctricos y Electrónicos [IEEE] y científica principal del Grupo de Seguridad Cibernética del Labo-ratorio Nacional del Pacífico del Noroeste. Para comunicarse con ella, diríjase al [email protected] informarse en mayor detalle sobre el Instituto de Ingenieros Eléctricos y Electrónicos, favor de visitar al www.ieee.org
24 B:SECURE Enero-Febrero, 2010
Para los que están relacionados de alguna manera con el análisis forense digital probablemente el término COFEE les resulte fami-liar. Para aquellos que no lo están tanto, COFEE es el acrónimo de
Computer Online Forensic Evidence Extractor, una colección de herra-mientas que desde Junio de 2007, Microsoft puso a disposición de dis-tintas agencias especializadas en el combate de delitos cibernéticos alrededor del mundo.
Esta suite se compone de aproximadamente 150 comandos y está orientada al análisis en vivo de sistemas Windows recabando informa-ción de procesos ejecutados en memoria, aplicaciones, conexiones de red, etcétera: minimizando la perdida de datos (evidencia volátil) de una manera automatizada mediante la inserción de un dispositivo USB en el equipo que se desea analizar.
COFEE además de recolectar información del sistema también es capaz de decriptar passwords, recolectar la información relacionada con las preferencias de navegación del usuario, entre otras; pero sin duda lo que más sobresale de la herramienta es que toda la extracción de datos del sistema la realiza de manera automatizada y almacena los resultados en el mismo llavero que se utiliza para el análisis sin que se requiera un entrenamiento especial para el usuario.
Como puede suponerse esta aportación de Microsoft contra el ciber-crimen disgustó a la comunidad hacker quien, en respuesta a COFEE creó DECAF (Detect and Eliminate Computer Assisted Forensics), una herramienta que inhibe el uso de la suite COFEE. Las acciones que toma DECAF van desde eliminar de manera inmediata todos los ar-chivos temporales (entre los que COFEE escudriña) hasta bloquear por completo el equipo.
Afortunadamente DECAF solo está orientado (momentáneamente) a contrarrestar el uso de COFEE, por lo que no bloquea el uso de otras herramientas dedicadas a la automatización de recolección de infor-mación y análisis de sistemas en vivo tales como Helix Live Response, herramienta similar que hace uso de la portabilidad y auto-ejecución mediante un dispositivo USB.
Helix Live Response a diferencia de COFEE se puede adquirir sin pertenecer a una agencia especializada en delitos informáticos y tiene un costo de aproximadamente 500 USD. Posee diversas funcionalida-des como búsquedas de patrones, (hashes) estado de los drives (dispo-sitivos de almacenamiento) que se encuentren encriptados entre otras funcionalidades y puede ser adquirido desde su propio sitio web (e-fen-se) sin las restricciones aplicables a COFEE (Microsoft)
Evidentemente la tendencia dentro del mundo del análisis forense digital es contar con herramientas automatizadas y esto desde mi pun-to de vista es el resultado de 2 factores críticos cuando en un supuesto delito se encuentra involucrada evidencia digital:
Los graves errores humanos cometidos durante el proceso de reco-lección de evidencia digital
La falta de profesionales en materia de cómputo forense para enfren-tar una investigación.
¿Cuántas veces no nos hemos topado con un incidente de seguridad de la información o un posible caso de fraude y no sabemos qué hacer y sufrimos de una parálisis total, sobre todo si no se tiene bien definido un proceso de respuesta a incidentes dentro de la organización?
Desconocemos si el incidente hay que notificarlo al área de redes, so-porte técnico, seguridad informática y para colmo una vez que fue no-tificado, cada área en cuestión tiene diferentes puntos de vista de cómo abordar el incidente. Quizá el departamento de redes decida bloquear las reglas de algún firewall o de plano desconectarla de la red, el área de soporte prefiera formatear el equipo, haciendo alusión al dicho de muer-to el perro se acaba la rabia, y por último el departamento de seguridad informática quizá pida el resguardo del equipo para poder realizar una revisión detallada, cuando muy probablemente ya no hay ningún dato de valor en el equipo para la investigación.
Todo esto nos lleva a reflexionar acerca del valor de estas nuevas he-rramientas. Si responder a un incidente fuera tan fácil como conectar un llavero USB a un equipo y recabar de manera automatizada la evi-dencia volátil minimizando la perdida de datos al mismo tiempo que se recaban elementos suficientes para realizar una reconstrucción de lo ocurrido en un análisis detallado que pudiera llegar a utilizarse dentro de un proceso legal. ¿Qué pensaría?
En conclusión estos novedosos dispositivos pueden ser un aliado im-portante para responder oportunamente a un incidente e incluso apo-yar en las tareas de detección de vulnerabilidades de manera oportuna. Sin embargo, mal utilizados pueden ser un arma peligrosa que nos pue-de jugar en contra sobre todo por la simplicidad de su uso (Plug & Play), pues pueden ser fácilmente utilizada para fines ilícitos tales como el es-pionaje o la recolección de usuarios y contraseñas guardadas en el sis-tema si el consentimiento del usuario.
Afortunadamente para los que tiene la mayoría de sus servidores en sistemas tipo Unix estas herramientas (COFEE & APERIO) por el mo-mento solo están diseñadas para ejecutarse bajo las plataformas de Mi-crosoft. No obstante la inmensa mayoría de los usuarios finales utilizan la plataforma de Microsoft Windows para realizar sus labores diarias.
¿Se imagina qué pasaría si una de las estaciones de trabajo que uti-liza su personal de administración de infraestructura utilizara la opción de Windows de recordar contraseñas y fuera utilizado COFEE o Helix Live Response en ese equipo?
El único camino o contramedida que nos queda es el de siempre for-talecer los procesos y las políticas de seguridad de la compañía evitando o controlando todos aquellos dispositivos que puedan ser reconocidos como una unidad de almacenamiento extraíble; y tal y como sucede con la mayoría de los virus actuales, eliminar la funcionalidad de repro-ducción automática de todas las unidades. ●
¿CAFÉ PURO O DESCAFEINADO?
EL INVITADO Por Elihú B. Hernández
Elihú B. Hernández, GCFA ([email protected]) es responsable de la función de análisis forense e integrante del grupo de respues-ta a incidentes de seguridad de la información en Produban México (Grupo Santander)
Enero-Febrero, 2010 B:SECURE 25
Si en la calle, alguien a quien no conocemos, ofrece vendernos un iPhone increíblemente barato, seguramente no lo compraríamos; sin duda pensaríamos: “algo anda mal, probablemente es robado
o es un fraude”. Y es que ya hemos aprendido a tener este tipo de sus-picacias y a evitar riesgos de la vida diaria.
La pregunta es, ¿por qué en Internet no aplicamos la misma regla?, ¿Por qué sí creemos que on-line regalan cosas?, cuando lo cierto es que cuidando algunos comportamientos en el uso de Internet reduciríamos considerablemente los riesgos a los que estamos expuestos, y muchos de los descuidos contra los cuales no hay herramientas ni dispositivos de seguridad que nos ayuden.
Un ejemplo de la ingenuidad que manifiestan los cibernautas es la descarga, en sus equipos, de programas de seguridad fraudulentos, cuyo costo ronda los $ 0.52 centavos de dólar. Por supuesto, este pre-cio deslumbra a muchas personas, quienes los adquieren sin pensar en las consecuencias.
La razón por la cual los internautas compran estos productos, ade-más del precio, es el temor a tener en su máquina algún tipo de ma-lware, puesto que el gancho para atraparlos es un aviso en un website pup-ups o mensajes con alertas falsas que le indican al usuario que su equipo está infectado. Después, en el sitio invitan a la víctima a hacer click en una liga donde hay un programa para remediar su riesgo de seguridad, y como este software es sumamente barato, pues ya está hecho. Esto es más fácil que vender lápices en el colegio en un día de examen.
Para probar lo anterior, basta decir que, de acuerdo a un estudio de Symantec, se detectaron alrededor de 250 programas de seguridad fraudulentos circulando en la red, y un amplio porcentaje de estos fue-ron descargados voluntariamente por los usuarios.
Pero ojo, estos programas no sólo no resuelven los problemas de se-guridad que, probablemente, no existían en una máquina, sino que, además, contienen código malicioso que se instala en la computadora de la persona para tomar control de ésta, conocer información confiden-cial del propietario o realizar otros fraudes.
Aunque muchas veces los sitios web de donde se descargan estos programas de seguridad apócrifos son parte del mismo fraude, en oca-
siones los website legítimos son susceptibles de publicitar a estos pro-gramas falsos sin saberlo.
Las pérdidas por este fraude tal vez no son muy importantes para el usuario por los bajos costos del software, sin embargo el hecho de que la seguridad de la computadora quede realmente comprometida es invaluable. Por otro lado, lo que puedan hacer los defraudadores con la información de la tarjeta de crédito con la que se realizó la compra sí puede tener impactos importantes para el internauta.
Otros datos que arrojó el estudio de Symantec, es que de los 50 prin-cipales programas de seguridad fraudulenta, 61% de los ataques se rea-lizaron en América del norte, 31% se presentó en Europa, Medio oriente y África, 6% en Asía pacífico y 2% en América Latina. El precio que tie-nen estos programas depende mucho de la región. El 93% de éstos se publicita en sitios web que fueron creados especialmente para realizar este tipo de actividades fraudulentas, mientras que 52% es publicitado a través de publicidad Web.
Se ha generado también un nuevo modelo de negocio para conse-guir más víctimas. Los cibercriminales pagan una comisión a los sca-mmers que logren convencer a los usuarios de instalar software de seguridad falso.
Además de las recomendaciones tradicionales para reducir los ries-gos cuando navegamos en Internet, hay que evitar descargar progra-mas de seguridad de los cuales no tenemos referencias y confiar más en aquellos que son conocidos, que ya tienen un prestigio. Estos progra-mas se venden, principalmente, en establecimientos serios o con pro-veedores conocidos, aunque cuestan más, claro.
Y es que mientras no exista una herramienta de seguridad que nos limite a los usuarios a tomar decisiones y acciones que implican ries-gos, vale la pena tener en cuenta las recomendaciones que nos dicen los expertos y, sobre todo, aplicar el sentido común; bueno, eso pienso yo, pero ¿usted qué cree? ●
AUDITORÍA EXTREMA´
Por Mario Velázquez
Mario Velázquez trabaja actualmente como gerente de auditoría de IT en Comex; cuenta con la certificación CISA.
SOFTWARE PARA INGENUOSCONTRA USUARIOS INGENUOS NO HAY HERRAMIENTAS DE SEGURIDAD
En el número anterior les prometí platicar sobre otro tema, pero en vista de sucesos recientes en México prefiero dejar dicho tó-pico para una futura ocasión. El pasado 20 de enero se celebró
una consulta en la Secretaría de Economía que causó polémica, inclu-sive desde antes de que iniciara. La consulta versó sobre ACTA (An-ti-Counterfeiting Trade Agreement). Veamos a continuación algunos hechos, mitos y realidades sobre este tratado.
¿Qué es el ACTA? En español, existen dos posibles traducciones de este acrónimo: Tratado Comercial Anti-Piratería o Tratado Comercial An-ti-Falsificación. En estricta teoría, la traducción más literal sería la segun-da. Se trata de un tratado comercial multilateral que, de acuerdo a sus promotores, nace en respuesta al incremento del comercio global de bie-nes falsificados y obras protegidas bajo derechos de autor “piratas”.
¿Qué países están negociando el ACTA? Los “creadores ori-ginales” de este tratado son Estados Unidos y Japón, quienes comen-zaron a discutir ideas sobre el mismo en 2006. En octubre de 2007, Estados Unidos, la Unión Europea (y sus 27 estados miembros), Suiza y Japón anunciaron que negociarían el ACTA. En Junio de 2008 ini-ciaron formalmente las negociaciones del ACTA, teniendo un grupo de 37 países participantes: Australia, Canadá, la Unión Europea, Ja-pón, México, Marruecos, Nueva Zelanda, República de Corea, Singa-pur, Suiza y Estados Unidos.
¿Cuál es el objetivo del ACTA? El ACTA pretende establecer estándares internacionales para la observancia y ejecución de dere-chos de propiedad intelectual para poder pelear más eficientemente contra el creciente problema de la falsificación y piratería. El enfoque es sobre actividades de falsificación y contrabando que, significativa-mente afectan intereses comerciales, más que en actividades de ciu-dadanos ordinarios.
ACTA no tiene intención de interferir con la habilidad de un signa-tario para respetar los derechos fundamentales y libertades civiles de sus ciudadanos, y será consistente con el Acuerdo sobre los Aspectos de los Derechos de Propiedad Intelectual relacionados con el Comercio (TRIPs por sus siglas en inglés) de la Organización Mundial del Comer-cio (OMC). Es importante enfatizar que ACTA no es un “Tratado de Internet”, pero parte de su contenido pudiere tener un impacto impor-tante en el entorno digital relacionado con la propiedad intelectual.
¿Cuál es la estructura y contenido del ACTA? Aunque a la fecha no se ha circulado una versión oficial del texto de este tratado, varios documentos que circulan en Internet proveen un índice de sus capítulos y describen brevemente sus contenidos.
Capítulo 1: Disposiciones preliminares y definiciones.Capítulo 2: Marco legal para la observancia de derechos de pro-piedad intelectual.
Sección 1: Observancia en materia civil.Sección 2: Medidas en frontera.Sección 3: Observancia en materia penal.Sección 4: Observancia de derechos de propiedad in-telectual en el entorno digital.
Capítulo 3: Cooperación internacional.Capítulo 4: Prácticas de observancia.Capítulo 5: Asuntos institucionalesCapítulo 6: Disposiciones finales.
Siendo la Sección 4 del Capítulo 2 la que pudiere ser más relevante para quienes nos desarrollamos en el entorno informático, vale la pena profundizar un poco más en ella. El documento oficial en español deno-minado “El Acuerdo Comercial Anti-Falsificación – Resumen de Ele-mentos Clave que están en Discusión”, que el Instituto Mexicano de la Propiedad Industrial (IMPI) puso a disposición del público en su página web dice, en lo que respecta a este punto, lo siguiente:
“Esta sección del acuerdo pretende tratar algunos retos especiales que las nuevas tecnologías presentan a la observancia de los derechos de propiedad intelectual, tales como el posible rol y responsabilidades de los prestadores de servicio de Internet en la disuasión de la piratería de derechos de autor y derechos conexos en la Internet. Aún no se ha desarrollado un proyecto al respecto toda vez que las discusiones es-tán siendo enfocadas en la compilación de información sobre los dife-rentes regimenes (sic) nacionales a fin de desarrollar un entendimiento común que trate de la mejor manera estos asuntos.”
Sin embargo, el documento equivalente en inglés disponible en Inter-net también, en lo particular a esta sección difiere un poco, siendo más amplia la explicación sobre el tema en concreto (traducción del autor):
“Esta sección del acuerdo pretende tratar algunos retos especiales que las nuevas tecnologías presentan a la observancia de los derechos de propiedad intelectual. Elementos en discusión en esta sección in-cluye la disponibilidad de recursos:
En casos de responsabilidad de terceros, sin perjuicio de la disponi-bilidad de excepciones y limitaciones;
-nes en la aplicación de dichos recursos a proveedores de servicios en línea:
-cas de protección, incluyendo la disponibilidad de excepcio-nes y limitaciones;
-ción de derechos de autor, incluyendo la disponibilidad de excep-ciones y limitaciones.”
Hasta aquí se ha manejado información “oficial” que ha sido libera-
LALEYYELDESORDEN 2.0ACTA 1ª PARTEUN TRATADO INTERNACIONAL RODEADO DE MISTERIO Y POLÉMICA; CIBERNAUTAS TEMEN PERDER PRIVACIDAD Y SER CRIMINALIZADOS.
Por Joel A. Gómez Treviño
UNIDAD DE VÍCTIMAS DEL CIBERCRIMEN
26 B:SECURE Enero-Febrero, 2010
Enero-Febrero, 2010 B:SECURE 27
Joel Gómez ([email protected]) es Abogado egresado del ITESM, con Maestría en Derecho Comercial Internacional de la Universidad de Arizona. Especialista en Derecho Informático y Propiedad Intelectual desde 1996. Profesor de Derecho Informático en La Salle, la Universidad Panamericana Campus Gua-dalajara y el INACIPE.
da, comunicada o revelada por diversos gobiernos que han participado en las negociaciones del ACTA.
¿Por qué ha generado tanta polémica, confrontación y polarización este tratado? Básicamente, las razones son de forma y de fondo. Tratemos primero las razones de forma. (1) Desde 2006 a la fecha (enero de 2010), ningún gobierno ha compartido públicamente la versión oficial del texto del ACTA, a pesar de que muchas organiza-ciones civiles, no gubernamentales, ciudadanos y la misma industria lo han solicitado vigorosa y reiteradamente. Además, (2) se rumora que algunos gobiernos (particularmente Estados Unidos y Japón) han dado acceso a representantes de la industria al documento oficial del ACTA, previa firma de un acuerdo de confidencialidad, negando la misma po-sibilidad a organizaciones civiles e internautas. Por último, (3) cuando han existido “consultas públicas”, gobiernos como el de México, han permitido acceso a cualquier interesado a las mismas, previa firma de un acuerdo de confidencialidad y prohibiendo el acceso con teléfonos celulares, ni aparatos de localización al recinto (esa era la intención al menos, pero me referiré a este punto más tarde). En resumen, las ra-zones de forma se traducen en la tremenda secrecía, falta de transpa-rencia y ánimo excluyente o discriminatorio con el que se han llevado a cabo las negociaciones del tratado. Salvo el punto 2, las razones 1 y 3 son reales y objetivas, ausentes de presunciones.
En un segundo bloque de ideas, vienen las razones de fondo que han generado polémica y confrontación en lo relativo, no a la negociación, sino a los contenidos de este tratado. El problema con los siguientes ar-gumentos o razonamientos, es que están basados meramente en ru-mores y en documentos supuestamente “infiltrados” de negociaciones previas del ACTA. Como las autoridades que negocian este tratado si-guen sin compartir su contenido oficial, estos rumores no solo crecen (incluyendo las molestias derivados de los mismos), sino que mucha gente ya los da por hechos ciertos. Veamos algunas de las razones de fondo más importantes.
(4) Responsabilidad de intermediarios en Internet. La Ley de Dere-chos de Autor de los Estados Unidos contiene cuatro “puertos seguros” (safe harbors), limitando la responsabilidad de intermediarios en Inter-net por infracciones secundarias en materia de derechos de autor deri-vadas de actividades rutinarias tales como: actuar como un conducto de comunicaciones vía Internet, almacenar información en memoria caché, hospedar contenido creado por usuarios y proveer herramien-tas de información y búsqueda.
Tal como lo ha afirmado la Electronic Frontier Foundation (EFF), no existe una armonización internacional del concepto “responsabilidad secundaria por infracciones en materia de derechos de autor”. Sin em-bargo, este régimen ha sido “exportado” al marco legal de socios de negocios de los Estados Unidos a través de Capítulos de Ejecución y Observancia de todos los acuerdos bilaterales y multilaterales de libre comercio firmados desde 2002, como parte de la implementación espe-cífica del artículo 41 del TRIPs.
Contrario a la creencia popular, el inciso (m) de la Sección 512 del Título 17 del Código de los Estados Unidos específicamente establece que los Proveedores de Servicios de Internet (ISP´s) y los Proveedores de Servicios En Línea no están obligados a monitorear ni buscar acti-vamente evidencia de infracciones potenciales en sus redes.
De manera similar, la Directiva 2000/31/CE del Parlamento Europeo y del Consejo sobre el Comercio Electrónico, en su artículo 15 (1) estable-
ce la “inexistencia de obligación general de supervisión”: Los Estados miembros no impondrán a los prestadores de servicios una obligación general de supervisar los datos que transmitan o almacenen, ni una obligación general de realizar búsquedas activas de hechos o circuns-tancias que indiquen actividades ilícitas […] Los artículos 12, 13 y 14, establecen limitaciones de responsabilidad semejantes, aplicables a la mera transmisión, la memoria tampón (caching) y el alojamiento de da-tos, a favor de los prestadores de servicios intermediarios.
Sin embargo, la industria de titulares y propietarios de derechos de autor ha intentado en reiteradas ocasiones romper el balance del régi-men de “puerto seguro” de los derechos de autor de los Estados Uni-dos y su equivalente en la Unión Europea, en un esfuerzo por detener las aparentemente amplias infracciones a derechos de autor en el en-torno digital, perpetradas por usuarios de Internet. Como ejemplos, po-demos citar los siguientes:
En julio de 2002, en Estados Unidos un Senador de California propu-so al Congreso la entonces llamada “Ley para la Prevención de Pira-tería en Redes P2P”, que tenía por principal característica el legalizar que cualquier titular de un derecho de autor pudiera hackear (des-habilitar, interferir, bloquear, desviar o menoscabar) sitios web P2P conocidos por cometer infracciones en materia derechos de autor;En noviembre de 2007, la Federación Internacional de Industrias Fo-nográficas solicitó al Parlamento Europeo que ordenara a los ISP’s el bloqueo de comunicaciones que usaran determinado protocolo de Internet, la instalación de filtros a nivel red, y bloquear el acceso a si-tios web que facilitaran infracciones a derechos de autor; A petición de un importante grupo de la industria de la música, Francia y el Reino Unido han propuesto una legislación en pro de una “respuesta gradual” que requiera a los ISP’s enviar una noticia de advertencia a presuntos suscriptores infractores [primer strike], para suspender el acceso a dichos clientes en una segunda adver-tencia [segundo strike], y a terminar el acceso a Internet de clientes con base a una tercera denuncia [tercer strike] de un titular de de-rechos de una infracción de derechos de autor, independientemen-te de cualquier revisión judicial, también conocida como “la regla de los 3 strikes”. Por si fuera poco, la propuesta Francesa también re-quiere que los ISP’s creen e intercambien “listas negras” de usuarios de Internet a quienes no se les debe proveer servicio de Internet.Sobre este punto de sospecha, la Electronic Frontier Foundation re-
comienda que el tratado propuesto debe respetar los regímenes legales nacionales y no buscar imponer “responsabilidad secundaria” a ISP’s e intermediarios de Internet. Dicho acuerdo debe incorporar recursos para titulares de derechos que sean proporcionales al daño sufrido de un incidente de infracción de derechos de autor, y no debe obligar a in-termediarios de Internet a que terminen las cuentas de acceso de sus suscriptores, a menos que sea ordenado por un juez competente, des-pués de seguir el correspondiente proceso judicial.
Cuando empecé a planear y escribir este artículo pensé que me costa-ría trabajo llenar el espacio destinado a mi columna. Para bien o para mal, lo que me costó trabajo fue ¡ceñirme al mismo! Todavía falta mucho que platicar sobre ACTA. En la segunda parte de este artículo trataré el resto de las razones de fondo que han polarizado el ambiente en relación con este tratado, así como una interesante reseña de lo que (verdaderamente) sucedió en la Consulta que el pasado 20 de enero realizó el IMPI sobre el ACTA en el auditorio de la Secretaría de Economía. ●
Enero-Febrero, 2010 B:SECURE 28
SINNÚMERO
Apple ha logrado, a través de su campaña de mercadotecnia convencer a los usuarios que
sus productos Mac son inmunes a los códigos maliciosos y cualquier otro tipo de malware,
en comparación con su competencia Windows cuya plataforma está expuesta diariamente a
millones de peligros.
Sin embargo, Intego, una firma dedicada al desarrollo de software para las plataformas
de Apple demostró en su reporte “The Year in Mac Security”, que contrario a ser inmune la
tecnología de la firma con la manzana y, sobre todo su base instalada de usuarios apenas
comienzan a llamar la atención de los cibercriminales.
Aunque los riesgos en los productos y programas de Apple aún están muy lejos de alcanzar
los riesgos que enfrentan los usuarios y empresas corriendo Windows, de ninguna manera
están exentos de fallas o peligros potencialmente aprovechables por los ciberdelincuentes.
Intego detectó un troyano en la versión ilegal del iWork 2009 tras su lanzamiento, el cual logró infectar a más de
20,000 usuarios en todo el mundo.
En los últimos 12 meses Apple liberó más de 39 actualizaciones de seguridad para su sistema
operativo Mac OS X.
El año pasado la firma con el símbolo de la manzana detectó y corrigió más de 60 fallas o vulnerabilidades en su
navegador web, Safari.
El iPhone tampoco fue inmune, pues la compañía liberó casi 50 parches de seguridad para el iPhone OS.
Desbloquear (Jailbreaking) un iPhone remueve más del 80% de los niveles de seguridad incluidos en el sistema
operativo.
Intego detectó más de 5 amenazas para el iPhone que proveen la capacidad de comprometer, robar información o
convertir al equipo en parte de una botnet.
AUMENTAN RIESGOS Y VULNERABILIDADES PARA LAS PLATAFORMAS DE APPLE
eMedia Redes Sociales Webcast Podcast Blogs Revistas Digitales eNewsletter
eMedia Redes Sociales Webcast Podcast Blogs Revistas Digitales eNewsletter
Líder enCustom New eMedia
SI DESEA INCORPORAR SOCIAL MEDIA EN SU ESTRATEGIA, CONTÁCTENOSwww.netmedia.info
t. 2629 7260 ext. 1125
![Bienvenida Fundamentos G E Ene Jun 2010[1]](https://img.pdfslide.tips/doc/110x75/557b7cdbd8b42afc0c8b513d/bienvenida-fundamentos-g-e-ene-jun-20101.jpg)
