AUDITORIA A SISTEMAS EN AMBIENTES INTERNET
Introducción Junto con la popularidad de Internet y la explosión de usuarios en todo el mundo, ha venido una creciente amenaza de ataques hacia los sistemas y la información de las organizaciones públicas y privadas.
Es importante tener en cuenta algunas características que presenta los sistemas de información actuales:
Gran Importancia de la Información Mayor conocimiento de los usuarios sobre estos sistemas Gran avance de los sistemas de comunicación y redes Internet como medio global de intercambio de información y plataforma de negocios. Cuando se realizan negocios por Internet (Comercio electrónico) se tienen cuatro piedras angulares: Impedir transacciones de datos no autorizados. Impedir alteración de Mensajes después de envío Capacidad determinar si transmisión es desde fuente auténtica o suplantada Manera de impedir a un emisor, que se está haciendo pasar por otro Internet crea todas las posibilidades para hacer frágil la seguridad en el sistema: Tiempo de exposición, protocolos conocidos, usuarios "expertos" y la mezcla e igualdad de sistemas.
Componentes en Ambientes Internet Navegador o Browser. Servidor Web Servidor de Servicios Internet (ISP) Enrutadores Puntos de Acceso a la Red Enlace Usuario - ISP Protocolo HTTP Protocolos TCP/IP HTML Código Móvil: ASP, Servlets, Applets, CGI... Protocolos seguros: http-S, SSL. Riesgos asociados a estos ambientes Gran parte de los problemas asociados a Internet están relacionados por un lado, con la seguridad misma de los protocolos que lo conforman y por el otro por la disponibilidad del sistema en tiempo y espacio para que sea examinado y eventualmente atacado. En general estos riesgos los podemos resumir en:
Acceso no Autorizado al Sistema Divulgación de información confidencial Robo o alterar información de la empresa. Denegación de Servicio Espionaje o alteración de mensajes Transacciones fraudulentas. Modificación o sabotaje de Sitios Web, generando pérdida de la imagen corporativa. Pérdida de recursos Uso del sistema vulnerado para realizar ataques a otros sistemas Virus, gusanos y troyanos. Instalación y uso de código malicioso
Vulnerabilidades de Seguridad en Internet más criticas
La mayor parte de los ataques en Internet, se realizan sobre un pequeño número de vulnerabilidades en los sistemas y aprovechando que las organizaciones pasan por alto las revisiones constantes de lo s problemas detectados en las versiones de sus productos y por lo tanto no hacen las correcciones del caso. El Instituto Sans emite un informe sobre las mas criticas de estas vulnerabilidades (SAN00). - Debilidades en los servidores de Nombres de Dominio (DNS), en particular BIND. Soluciones: Desactivarlo en caso de no ser necesario. Descargar y actualizar a las ultimas versiones - Debilidades asociadas con programas CGI en los servidores, generalmente por uso de CGIs desconocidos Soluciones: Uso de programas conocidos Deshabilitar el soporte CGI, para aquellos servidores que no lo necesiten - Problemas con llamadas a procedimientos remotos RPC Solución: Deshabilitar en los casos que sea posible servicios que usen RPC en sistemas expuestos a Internet. - Agujeros de seguridad en Servidores W eb (Especialmente IIS) Solución: Actualizar desde sitio del fabricante y configurar según procedimiento recomendado. - Debilidad en desbordamiento de Buffer en SendMail
Solución: No usar la modalidad deamon en sistemas que no sean servidores de correo. Actualización a última versión parcheada. - Problemas con compartición de archivos (NetBios, NFS) Soluciones: Verificar que solo se comparten los directorios requeridos En lo posible compartir solo con direcciones IP especificas Usar contraseñas para definir nivel de acceso Bloquear las conexiones entrantes al servicio de sesión NetBios - Contraseñas inapropiadas Solución: Crear una política de contraseñas exigente - Configuraciones inapropiadas de Protocolos de correo Soluciones: Deshabilitar estos en aquellas maquinas que no son servidores de correo. Utilizar versiones actualizadas. Usar canales encriptados como SSH y SSL - Nombres de comunidad por defecto en SNMP (Public, private) Soluciones: Si no se usa SNMP deshabilitarlo Si se usa, usar políticas de seguridad fuertes Usar solo los elementos requeridos y con las configuraciones necesarias. Posibles Infractores Crackers Hackers Vándalos Empleados Algunas definiciones que vale la pena traer son: Hacking. Entrar en forma ilegal y sin el consentimiento del propietario en su sistema informático. No conlleva la destrucción de datos ni la instalación de virus. También se puede definir como cualquier acción encaminada a conseguir la intrusión en un sistema (ingeniería social, caballos de troya, etc.) Cracker. Un individuo que se dedica a eliminar las protecciones lógicas y físicas del software. Normalmente muy ligado al pirata informático puede ser un hacker criminal o un hacker que daña el sistema en el que intenta penetrar. Crackeador o crack: Son programas que se utilizan para desproteger o sacar los passwords de programas comerciales. Pudiendo utilizarse éstos como si se hubiera comprado la licencia. Quienes los distribuyen son altamente perseguido por las entidades que protegen los productores de software. Entre las variantes de crackers malicio sos están los que realizan Carding (Tarjeteo, uso ilegal de tarjetas de crédito), Trashing (Basureo, obtención de información en cubos de basura, tal como números de tarjetas de crédito, contraseñas, directorios o recibos) y Phreaking o Foning (uso ilegal de las redes telefónicas). Ataques - Ataques a Contraseñas. - Consecución de direcciones IP - Scaneo de puertos - Código Dañino - Captura y análisis de trafico. - Denegación del Servicio (DOS). - IP Spoofing (Modificación del campo de dirección origen de los paquetes IP, por la que se desea suplantar) Herramientas Usadas Aprovechar Huecos de Seguridad en Sistemas o perativos y/o Servicios: Defectos en el software, que permiten la intrusión o generan fallas graves en el funcionamiento. Scaneo de Puertos: Siendo una herramienta que apoya la seguridad puede ser utilizada en contra de ella. Permite conocer el estado de los puertos asociados con los servicios disponibles en la instalación. Sniffer: Es un programa que intercepta la información que transita por una red. Sniffing es espiar y obtener la información que circula por la red. Coloca la interfaz
en modo promiscuo y captura el tráfico. Su misión para los ataques es fisgonear la red en busca de claves o puertos abiertos. Troyanos: Programas que simulan ser otros para así atacar el sistema. Ataque de Fuerza bruta sobre claves. Forma poco sutil de entrar en un sistema que consiste en probar distintas contraseñas hasta encontrar la adecuada. Ingeniería Social: Es una técnica por la cual se convence a alguien, por diversos medios, de que proporcione información útil para hackear o para beneficiarnos. Requiere grandes dosis de psicología. Explota la tendencia de l a gente a confiar en sus semejantes. Basureo o Trashing: Recoger basura. Se trata de buscar en la basura (física o informática) información que pueda ser útil para hackear. Ping: Ubicar equipos conectados. Traceroute: Ver la ruta de paquetes y enrutadores en la red Spams: No es un código dañino, pero si bastante molesto. Es un programa que ejecuta una orden repetidas veces. Ampliamente utilizado po r empresas de marketing usando el correo electrónico para enviar sus mensajes en forma exagerada.
Evaluación de Seguridad El auditor debe verificar que se tengan presenten y se implementen medidas que a partir de los riesgos planteados y dada la importancia del sistema para la organización minimicen las amenazas. Medidas de Control - Conocimiento de los riesgos a que esta expuesta la instalación en particular. - Conocimiento y corrección o "parcheo" de los problemas detectados y/o reportados en versiones de - Sistemas Operativos y Servicios implementados. Este mecanismo parte de la instalación inicial. - Concientización de los usuarios de los riesgos a que esta expuesta la instalación y el papel de cada uno en la protección. El 99% de los ataques se realizan apoyándose en fallas al interior de la organización. - Implementación de políticas de seguridad en sistemas o perativos. - Auditoria y monitoreo a trafico, accesos y cambios en el sistema. - Uso de sniffer y scanner para conocer el estado del sistema. - Montaje de Firewall (Muro de Protección): Software y hardware de seguridad encargado de chequear y bloquear el tráfico de la red hacia y/o desde un sistema determinado. Se ubica entre la red privada e Internet. Pueden ser enrutadores de filtración de paquetes o gateways de aplicaciones basados en proxy. Utilización de herramientas para Detección de Intrusos (IDS) Uso de protocolos seguros como SSL y HTTP-S Requerimientos de certificados de autenticación en los casos de operaciones de alta importancia. A nivel de la empresa en lo posible, tener los datos de importancia en zonas protegidas o fuera del acceso desde Internet. Encriptación de los datos sensitivos. Evaluar que los usuarios usan solo los servicios requeridos para su labor y que no exponen la seguridad con el uso de IRC, P2P, etc. Se debe considerar la posibilidad de apoyarse en Hacking Etico para evaluar la seguridad del sistema.
