Feliz 2014

Mañana acaba el año 2013, algunos amigos dicen que por fin acaba este fatídico año, esperando que el siguiente sea mejor, y eso espero, ya que la crisis que ha acaparado el 2013 ha afectado a la mayoría de las empresas y por ende a todo el que me rodea. Sin embargo, antes vamos a hacer un repaso de los sucedido en el 2013 para evaluarlo y así proponer mejoras para el 2014.

Durante este año he tenido la suerte de estar rodeado de gente que me quiere y valora, lo cual es muy gratificante. He aprendido que la parte técnica es importante, pero aún más las relaciones personales, saber escuchar, entender y proponer soluciones que se adapten a los requerimientos y situaciones de cada cliente es lo realmente valioso. Hemos podido ver que las organizaciones “grandes” no son lo que parecen, sino que tienen los mismos problemas que las Pymes, pero multiplicado por 1000, es decir, falta de personal para optimizar y afinar la plataforma TIC, presupuestos muy ajustados para adquirir soluciones profesionales y problemas organizativos e interpersonales. Un ejemplo irónico de una gran organización en caos lo podemos encontrar en el libro La Corporación de Max Barry, extrabajador de Hewlett-Packard.

A nivel formativo he aprobado los tres exámenes que componen la certificación CCNP Routing and Switching, la cual me ha proporcionado conocimientos profundos para administrar redes WAN y redes LAN, además de mostrarme las herramientas y metodologías utilizadas para el troubleshooting. He continuado con el aprendizaje del Inglés en la Escuela Oficial de Idiomas, aprobando el 5º curso y estando actualmente en 6º, además de haber practicado la lengua este verano en Dublín, lo cuál es interesante debido a la gran cantidad de documentos en Inglés que leemos, además de los correos y alguna que otra llamada. Por último, he tenido la oportunidad de asistir a charlas sobre tendencias TIC y eventos como HOMSEC, además de realizar una infinidad de Webinars.

A nivel profesional parece que ha sido el año de los cortafuegos, he instalado parejas de cortafuegos y dado soporte a varias organizaciones, por lo que me ha sido de utilidad los conocimientos adquiridos en la certificación FCNSA. Aunque siempre he intentado trasladar que la seguridad no sólo está en el firewall. También he participado en la instalación y puesta en marcha de Chasis Blades para infraestructura de supercomputación, así como soporte al traslado de un CPD en la región. Por otro lado, he colaborado en el asesoramiento y soporte a la reconfiguración de la RCT de Extremadura, por lo que los conocimientos adquiridos en la certificación CCNP han sido de gran utilidad. Además como cada año, he tenido la oportunidad de realizar auditorías de redes y seguridad a varias organizaciones, y he participado en las labores de mantenimiento de las certificaciones de calidad de servicios y seguridad ISO 20000 e ISO 27001 que dispone Ariadnex.

Como objetivos para el 2014 espero seguir formándome sobre Auditorías de Sistemas de Información, culminando con la obtención de la certificación CISA, continuar perfeccionando el idioma Inglés, y sobre todo participando en proyectos novedosos que me supongan un reto y me permitan seguir creciendo profesionalmente. Tan solo me queda deciros …

Felices Fiestas y Próspero Año Nuevo a todos.

Correlación de eventos

Cada día que pasa tengo más claro que cada vez los antivirus tienen menos eficacia, que instalar un cortafuegos por sí solo sin definir procedimientos y políticas en el Sistema de Gestión es para salir del paso creando una falsa sensación de seguridad, y depositar toda la confianza en empresas punteras de seguridad como RSA no es suficiente para proteger nuestra infraestructura IT. Tan solo hay que ver las últimas filtraciones de Edward Snowden donde se dice que RSA tenía contratos secretos con la NSA para facilitar el acceso a los datos cifrados por los clientes de RSA.

Para tener una visión más verdadera del estado de nuestra infraestructura IT es necesario ayudarse de sistemas de correlación de eventos, pero esto … qué es? Muy sencillo, un evento es cualquier cosa que sucede, la correlación es la interrelación entre los eventos, y el sistema es capaz de generar una respuesta ante un comportamiento anómalo. Por ejemplo, imaginemos que vemos a un chico con un pasamontañas (evento 1), corriendo (evento 2), con una pistola en la mano izquierda (evento 3), con una bolsa de basura negra en la mano derecha (evento 4), a lo lejos un cristal de una joyería roto (evento 5) y una alarma sonando (evento 6), ¿qué habrá pasado? ¿qué hay que hacer? Un sistema de correlación de eventos o SIEM es capaz de procesar millones de eventos de multitud de productos tecnológicos generando alarmas que nos avisen ante comportamientos anómalos.

A continuación vemos un pequeño ejemplo con tan solo dos eventos, en el primer evento el IDS ha detectado un intento de denegación de servicio sobre OpenLDAP y en el segundo evento el monitor de nmap ha detectado la caída del puerto ldap, ¿salida? Pues que el ataque de DoS ha sido satisfactorio, el SIEM enviará un correo electrónico avisando del incidente, ejecutará un script, abrirá una incidencia, etc.

 

Por otro lado, la potencia que ofrece estos productos al integrarse con los principales IDS/IPS es que puedes tener en una base de datos mundial la reputación de cada IP y dominio según los eventos obtenidos por los sistemas de detección de intrusos, de esta manera cuantas más organizaciones utilicen este tipo de productos más sencillo es saber dónde se encuentra los principales focos de infección en Internet, y una vez detectados, bloquear directamente los intentos de conexión desde IP con muy mala reputación.

ISP In The Middle (IITM)

El ataque de hombre en el medio o Man In The Middle (MITM) lo podemos realizar mediante ataques en la capa dos utilizando la técnica de spoofing, mientras que como administrador de redes LAN podemos asegurar la red intentando mitigar los ataques mediante técnicas de inspección dinámica ARP, IP Source Guard o DHCP Snooping. Sin embargo, para conectarnos a la red de redes (Internet) necesitamos unirnos a la red del proveedor de Internet (ISP), pasando todo nuestro tráfico por los routers del proveedor, es en este punto donde la confianza y los acuerdos de confidencialidad con nuestro proveedor juegan un papel importante, esperando a que nuestro proveedor no se ponga a husmear qué pasa por la red y a compartir/vender nuestro datos privados y confidenciales con quien ellos quieran, de ser así estaríamos hablando de un ataque IITM.

Hace algo más de un mes comenté algunos ataques BGP que aprovechan las debilidades del protocolo de enrutamiento dinámico, ya que estaba inmerso en el servicio de asesoramiento y soporte a la reconfiguración de la Red Científico Tecnológica de Extremadura. Todos sabemos que BGP fue desarrollado hace más de dos décadas pensando en que los “malos” nunca utilizarían Internet y por tanto se desarrolló sin pensar en la seguridad del protocolo. Sin embargo un reciente estudio de Renesys indica que cada vez es más común aprovechar las debilidades de BGP realizando ataques IITM, ya que han detectado redirecciones del tráfico de Internet a través de proveedores de Islandia y Bielorrusia.

 

Parece ser que las redes afectadas pertenecían a instituciones financieras, proveedores de VoIP, además de organizaciones gubernamentales. El proveedor encargado de realizar el “ataque” dice que fue involuntariamente debido a un bug en el software, sin embargo esto no es creíble ya que ante fallos como por ejemplo el de Pakistán dejarían las redes afectadas inaccesibles pero no se re-enrutarían hacia el destino correcto. ¿Cuánto tiempo se tardó en detectar el ataque? ¿cuánto se tardó en mitigar el ataque? ¿cuánto tráfico fue capturado? Aunque parte del tráfico fuese cifrado, sabemos que otra gran parte del tráfico va sin cifrar, así que no sabemos si realmente fue un bug o por el contrario iban buscando algo determinado.

Por último, si alguna vez os animáis a realizar un ataque como este desde vuestro Punto de Presencia de Internet, tened cuidado con la cantidad de tráfico capturado ya que puede llegar a saturar la infraestructura al tener que re-enrutar todo el tráfico de nuevo ;-)

Business Continuity and Disaster Recovery

 

El valor de una organización no es el mobiliario, las instalaciones, ni las oficinas, tampoco importan los sistemas de TI, lo realmente importante es la información y el negocio. Ya se que en ciertos entornos las máquinas tienen un valor enorme, sin embargo ante un desastre se puede volver a comprar máquinas, lo que es realmente complicado de obtener son los resultados de las muestras de los laboratorios, recetas, lista de clientes y proveedores, pedidos, etc y no olvidemos la marca y reputación de la organización, todo esto es irrecuperable sin un adecuado Plan de Continuidad del Negocio (BCP).

No debemos confundir Continuidad del Negocio con Recuperación ante Desastres. Éste último es un subconjunto del BCP que trata de recuperar los sistemas de información intentando que el tiempo de no disponibilidad sea el mínimo posible, ya sea restableciendo los sistemas en el mismo CPD o en uno de respaldo. Por otro lado, el objetivo del BCP es preparar a la organización para seguir obteniendo ingresos a pesar de cualquier desastre, incidente o acción como puede ser cambios en el mercado. El BCP puede ser utilizado para mejorar la posición de la organización en el mercado demostrando su fortaleza frente a competidores, sobrevivir a un incremento exponencial del negocio, es decir controlar la entrada masiva de pedidos, en definitiva estar siempre disponible para las necesidades de los clientes.

A continuación comentaré brevemente cada una de las fases del BCP:

1. Elaborar el programa de Continuidad del Negocio: ¿Cuál es el objetivo del BCP? ¿Para qué se hace? Además hay que definir los roles y a un líder que ante un problema ponga la situación bajo control, que siempre mantenga la calma y que intente que los clientes no se vean afectados por la situación.
2. Proceso de Descubrimiento: Se trata de conocer los procesos de negocio de la organización, realizar un análisis de impacto (BIA) y un análisis de riesgos. Es decir, definir los procesos y servicios críticos de la organización, además de su criticidad. También es necesario realizar un inventario de los activos relacionados con los servicios.
   
   
3. Plan de Desarrollo: Analizar si es necesario redundar las comunicaciones, discos, servidores, CPD, oficinas, etc. Definir el RTO y RPO. Definir la política de copias de seguridad. Evaluar tipos de seguros que asuman las pérdidas ante un incidente. Definir los sistemas de incidentes y los medios de comunicación. Definir el equipo de emergencia y respuesta ante incidentes (CSIRT/CERT). Redactar procedimientos y redactar el plan de manera clara para que cuando haya algún incidente no aparezcan dudas.
   
   
4. Implementación del BCP: Además de implementar el BCP hay que preparar al personal para que sepa realizar correctamente sus funciones.
   
   
5. Mantenimiento e Integración: Realizar pruebas y revisar el plan, por lo menos anualmente. Las pruebas no se realizan para ver quién es el inútil que no sabe seguir el procedimiento sino para mejorar en cada iteración.

Hasta la empresa más grande que nos podamos imaginar está expuesta al riesgo de sufrir un desastre. El estándar ISO 22301 les ayuda a planificar, implantar y mantener el BCP, ya que ellos saben que la prioridad principal son los clientes y la comunicación con todos ellos, sin clientes no hay ingresos y sin ingresos la continuidad del negocio sería difícil o imposible. Por tanto, es importante que mantengamos a nuestros clientes contentos y satisfechos con los servicios que les prestamos.

Protección de Activos (III)

Continuando con la serie de Protección de Activos, donde quiero hacer ver que para proteger los activos de una organización es interesante apoyarse en una metodología de protección por capas, comenzando con la Capa Administrativa, siguiendo con la Capa Física y terminando con la Capa Técnica. A continuación veremos algunas tareas técnicas que podemos llevar a cabo para proteger los activos de nuestra organización:

Capa de protección Técnica

• El control de acceso a la red (NAC), sistemas y aplicaciones suele ser una de las principales preocupaciones, para ello se recomienda utilizar el protocolo 802.1X que hace uso del protocolo AAA para la autenticación, autorización y contabilidad de los usuarios, para ello se emplea servicios como Radius. Además se puede hacer uso de mecanismos de Single Sign On (SSO) que junto con Kerberos permite que el usuario tan solo tenga que introducir la contraseña una vez para acceder a todos los recursos de la organización. Es importante no proporcionar más permisos a los usuarios de los estrictamente necesarios para su labor diaria.

• Ya he comentado varias veces que la seguridad no está solo en el cortafuegos, disponer de un cortafuegos crea una falsa sensación de seguridad si los usuarios pueden instalar un módem USB en los equipos o si no se configura y monitoriza correctamente las políticas de firewalling. Con los cortafuegos UTM podemos controlar hasta la capa 7 del modelo OSI, o incluso hasta la mágica capa 8 que nos permite aplicar políticas por usuarios. Si además necesitamos cumplir el ENS deberemos implantar dos barreras de cortafuegos de distinto fabricante.

• Cada vez somos más conscientes de la necesidad del antivirus, sin embargo establecer una doble barrera de distinto fabricante del analizador de virus es una buena práctica, la primera barrera en el el sistema UTM y la segunda en los equipos finales.

• Las redes cada vez están más “abiertas” debido a que mediante conexiones remotas podemos acceder a los recursos internos de la organización. Para ello podemos establecer VPN “site to site” o “dialup to site”, en cualquier caso es recomendable utilizar protocolos seguros como IPSec o SSL. Además, se aconseja utilizar autenticación de doble factor mediante token mobile o token USB.

• Ante la necesidad de implantar redes inalámbricas podemos utilizar el estándar 802.11i configurando WPA2-Enterprise con autenticación Radius.

• Los Sistemas de Prevención y Detección de Intrusos (IPS e IDS respectivamente) son herramientas que nos protegerán y alertarán de ataques. Si además implantamos Host-IDS y Wireless-IDS estaremos mucho mejor protegidos. Existen IDS basados en firmas, comportamiento o ambos.

• Para transportar datos fuera de la organización y realizar comunicaciones seguras utilizando Internet es imprescindible utilizar algoritmos de cifrado. La mayoría de las veces utilizamos criptografía simétrica o de clave privada, sin embargo es una buena práctica utilizar criptografía asimétrica o de clave pública (PKI). Por otro lado existe la criptografía de curva elíptica, aunque no es recomendable, y la criptografía cuántica, aunque aún no existen productos comerciales para este último mecanismo de cifrado robusto.

• Para todo tipo de comunicaciones se sugiere utilizar protocolos seguros como HTTPS, POP3S, IMAPS, SMTPS, SSH, SNMPv3, etc.

• Las contraseñas son únicas, personales e intransferibles por ello es útil utilizar herramientas para almacenar y proteger las credenciales de manera cifrada. Además hay que cambiarlas cada cierto tiempo, exactamente lo que indique la política de seguridad, por lo que se hace aún más necesario utilizar herramientas para almacenarlas, de esta manera no las olvidaremos. Si no utilizamos la misma contraseña para todo, no caeremos en el grave error en el que si el atacante adivina la contraseña podrá acceder a todos los recursos. También se recomienda realizar copia de seguridad del archivo de contraseñas, ya que ante la necesidad de restaurar un sistema necesitaremos las credenciales que tenía el equipo cuando se hizo la copia de seguridad.

• Es recomendable disponer de sistemas de correlación de eventos (SIEM), analizadores de vulnerabilidades, analizadores de puertos, sistemas de monitorización de la red y sistemas de monitorización de la disponibilidad de los servicios.

• La mayoría de los sistemas tienen la posibilidad de habilitar los módulos de auditoría para dejar evidencia de los eventos y accesos al sistema, muy aconsejable habilitarlo para futuros análisis forenses.

• Para que los sistemas estén disponible el mayor tiempo posible es necesario redundar las comunicaciones, configurar cluster de servicios y aplicaciones, implantar mecanismos RAID para la redundancia de discos e incluso evaluar la necesidad de tener instalaciones (CPD y oficinas) redundantes. Todo ello será estudiado en los planes de continuidad del negocio y recuperación ante desastres.

• La telefonía suele ser un servicio crítico y cada vez se utiliza más VoIP mediante centralitas PBX, lo que conlleva que el servicio adquiere todas las amenazas y problemas de cualquier activo de la red de datos, por tanto no olvidemos también asegurar este activo tan importante.

• A nadie nos gusta que un tercero nos diga que no lo estamos haciendo todo lo bien posible, sin embargo es una manera de evaluarnos y mejorar, para ello se recomienda realizar test de penetración (caja blanca y caja negra), además de auditorías externas.

Como vemos, me ha quedado una entrada demasiado larga, debido a la gran cantidad de protocolos, estándares y técnicas disponibles para proteger técnicamente nuestros activos, así que manos a la obra que hay mucho por hacer.

Protección de Activos (II)

En la anterior entrada de protección de activos comenté que para proteger adecuadamente los activos de una organización es necesario tener en cuenta tres capas: Capa administrativa, capa física y capa técnica. En esta nueva entrada profundizaremos en la capa física.

Capa de protección Física

Es la capa más visual y normalmente la primera en implantarse, aunque todos sabemos que la mayoría de ataques y robos se producen por medios electrónicos debido a que el ataque se puede realizar desde cualquier lugar y con mucho menor riesgo para el atacante. En la capa física se tiene en cuenta las siguientes tareas:

• Lo primero es decidir dónde ubicar el CPD, desgraciadamente aún hay arquitectos que no tienen en cuenta el CPD, no diseñando y habilitando zonas dedicadas y preparadas para alojar el DataCenter. Alojar el CPD en el sótano no es una buena decisión si la sala es susceptible de inundación, mientras que tampoco es buena idea alojarlo en plantas altas del edificio si el lugar es susceptible a terremotos, por tanto una buena opción sería alojarlo en la segunda planta con acceso a un montacargas.
  
  
• Posteriormente se puede instalar Circuitos de Televisión (CCTV) para videovigilancia, contratar guardas de seguridad e implantar el control de acceso mediante tarjetas magnéticas o sistemas biométricos para que quede registro de quién ha entrado en la sala.
  
  
• La electricidad es la sangre de los sistemas así que debemos asegurarnos de que no se queden sin electricidad mediante fuentes de alimentación redundantes, SAIs y grupos electrógenos.
  
  
• Es recomendable instalar alarmas y sensores para detectar el agua, el calor, el humo y el fuego, además de sistemas de protección contra incendios. También es necesario instalar sistemas de aire acondicionado, calefacción y ventilación, respetando los pasillos de aire frío y aire caliente en el CPD. Dependiendo de los activos a proteger puede ser útil instalar sensores de vibración, sistemas ultrasónicos para detectar la presencia humana, sistemas subterráneos de detección sísmica y/o tecnologías de infrarrojo y microondas.
  
  
• Por otro lado hay que ser consciente de la importancia de realizar una adecuada instalación de cableado estructurado en el edificio, donde se identifiquen los cables, se determine qué tipo de cable utilizar (cobre, UTP, STP, SFTP, fibra, monomodo, multimodo, etc) además de decidir la ubicación de los switches de planta.
  
  
• Para proteger las cintas de copias de seguridad podemos utilizar armarios ignífugos y/o trasladarlas a un lugar seguro fuera del edificio.
  
  
• Por último, es importante disponer de mecanismos de eliminación de activos como destructoras de papel, plástico y CD/DVD. Mientras que para desechar activos como discos duros podemos formatearlos a bajo nivel o destruirlos.

Las medidas de protección física a aplicar dependerá de las necesidades y criticidad de los activos a proteger, por ejemplo nos podemos encontrar CPD donde puedes entrar como Pedro por su casa y llevarte servidores, y hay otros donde te piden el TC1 y tardas 40 minutos en entrar. Por otro lado, para medir la fiabilidad de los CPD de definieron los Tiers, donde por ejemplo un Tier III nos dice que la infraestructura no fallará más de 1.6 horas al año y no hay interrupciones por mantenimientos planificados aunque puede haber imprevistos que causen interrupciones del servicio.

Para finalizar, os dejo un vídeo del CPD de Vodafone inundado, para que veamos la importancia de ubicarlo adecuadamente. ¡Espero que no nos veamos en una de estas!

Protección de Activos (I)

Todas las organizaciones disponen de activos que hacen posible su funcionamiento, lógicamente no todos los activos tienen la misma importancia para la organización por ello es imprescindible analizar cada uno de ellos para dotarlos de su protección adecuada.

Según Magerit podemos dividir los activos por su naturaleza:

• Servicios, es decir los procesos de negocio de la organización.
• Datos/Información.
• Aplicaciones.
• Equipos informáticos.
• Personal, tanto interno como subcontratado.
• Redes de comunicaciones.
• Soportes de información como CD/DVD, lápiz de memoria, discos duros, etc.
• Equipamiento auxiliar como destructoras de documentación, etc.
• Instalaciones como oficinas, vehículos, etc.
• Intangibles como la imagen y la reputación de la organización.

Muchas veces se tiende a pensar que para proteger cada uno de estos activos tan solo son necesarias medidas técnicas olvidándonos de otras capas de protección como la administrativa y la física. Es decir, una adecuada protección de activos se debe realizar mediante tres capas de protección: Capa Administrativa, Capa Física y Capa Técnica.

Capa de protección Administrativa

Es la primera medida de protección que debemos establecer, donde se definen las políticas, procedimientos y estándares a utilizar. Por tanto es una capa en la que se realizan las siguientes tareas:

• Se elabora mucha documentación ya que se redactan los procedimientos de Gestión de Altas y Bajas de activos, procedimientos de Gestión de Incidentes, Gestión de Problemas, Gestión de la Capacidad, etc.
• Definición de la estructura organizativa (CISO, CPO, ISSM).
• Clasificación de la información (Pública, Sensible, Privada o de uso interno, Confidencial).
• Definir quién es el propietario de los datos, los usuarios y el guardián o protector de los datos.
• Definición de los requerimientos de retención de los datos, ya que dependiendo de la legislación que aplique será necesario mantener los datos durante un periodo de tiempo u otro.
• Es necesario establecer planes de formación para el personal en materia de seguridad para que tengan concienciación sobre los problemas de seguridad a los que se pueden enfrentar diariamente (spam, virus, phishing, etc)
• Gestionar todos los activos físicos, para ello es necesario tenerlo debidamente inventariado y etiquetado, donde sepamos exactamente quién es el propietario de cada elemento, de esta manera ante la terminación del contrato de uno de los empleados sabemos exactamente qué activos hay que retirarle. También es necesario tener inventariado todo el software y licencias que dispone la organización.

En una anterior entrada pregunté ¿la seguridad está en el firewall? debido a que aún muchas organizaciones piensan que con el cortafuegos es suficiente para proteger sus activos, y en esta entrada podemos ver que para proteger los activos se necesita algo más que un cortafuegos. Si tienes dudas de si tu organización está cumpliendo correctamente los controles de seguridad es interesante realizar auditorías para que un tercero independiente de la organización pueda evaluar y comprobar si se están ejecutando correctamente todos los controles y procedimientos.

Para no extenderme más, dejaremos para la siguiente entrada la capa de protección Física y Técnica.

Gestión e Implementación de Sistemas

En la actualidad la mayoría de organizaciones no funcionarían sin ordenadores y teléfonos, si sumamos que cada vez existen más aplicaciones y servicios que ayudan a las empresas en su operativa diaria vemos que es de vital importancia entender cuál es el Ciclo de Vida de los Sistemas de Información. Para que los sistemas funcionen debe existir un ecosistema alrededor que los haga funcionar adecuadamente. A pesar de lo que muchas personas puedan pensar, los sistemas de información NO se mantienen solos, existe un departamento de IT con una estructura definida con sus roles y responsabilidades que se encargan de darle vida, de mantenerlos y solucionar cualquier problema o incidente antes que afecte al usuario final.

Para su implantación y mantenimiento se definen y siguen políticas, estándares y procedimientos IT que permiten tener controlada toda la plataforma de IT. Además, en entornos profesionales donde haya que cumplir un SLA y una parada del servicio cause pérdidas para la organización se realizan análisis de riesgos minuciosos que ponen en conocimiento puntos únicos de fallos y riegos que previamente no se tenían en cuenta. Y como no puede ser de otra manera, todos los servicios se ofrecen a usuarios finales, que también hay que darles soporte ante cualquier duda o problema que tengan.

Para darle forma a todo lo comentado anteriormente podemos basarnos en las mejores prácticas de ITIL, que entre otras cosas nos ayudará a gestionar los problemas, además de gestionar la capacidad, otra tarea que los usuarios finales no son conscientes debido a que están acostumbrados a encender el PC y tener disponible todos los servicios de forma sencilla y rápida.

Otro punto, y no menos importante, que los usuarios finales, y algunos jefes, no entienden es la Gestión de la Seguridad de la Información donde es necesario clasificar la información (pública, sensible, privada, confidencial), definir el propietario y usuarios de los datos, establecer los requerimientos de retención de los datos sobre todo si hay que cumplir alguna norma, además de formar al personal constantemente en materia de seguridad y tecnología, ya que esta es muy cambiante.

Y por último para tener controlada la plataforma IT es estrictamente necesario monitorizarla, para ello se necesita un sistema de monitorización, gestionar los logs de los sistemas, controlar el acceso a los sistemas y a los datos, además de controlar las aplicaciones, virus y ataques. No olvidemos que en la monitorización también se encuentra el control de la temperatura, humedad, ventilación, humos, electricidad, etc.

En definitiva, como todos sabemos trabajamos en la sombra y mientras que todo funcione correctamente parece que no existimos, sin embargo cuando algo sale mal, ya sea por falta de recursos o cualquier otro motivo, “¡qué malos son mis informáticos!”. Así que animo a todos a seguir trabajando lo mejor que podemos y sabemos, además de demostrar cada vez que podamos que para prestar servicios de calidad son necesarias personas que se ocupen de ellos.

Ciclo de vida de los Sistemas de Información

Implantar un nuevo sistema en una organización es un proceso laborioso y costoso. A veces se realiza sin saber exactamente el impacto que tendrá sobre los usuarios finales o sobre los sistemas con los que tendrá que convivir, añadiendo incertidumbre a la implantación. Mientras que otras veces se impone por Dirección pensando que será “bueno” para la organización, sin previamente analizar si el nuevo sistema se alinea con los objetivos del negocio.

En el proceso de implantación podemos encontrar a usuarios que se opongan a aprender a utilizar nuevas herramientas, aunque estas estén diseñadas para automatizar tareas repetitivas y así liberar al personal de realizar dichas tareas para que desarrollen tareas mucho más productivas.

Elegir qué sistema implantar es una labor difícil de tomar, siempre debe ir respaldada, apoyada y validada por Dirección ya que ante una auditoría será necesario aportar evidencias de la decisión tomada, es decir, será imprescindible demostrar que se ha realizado una exhaustiva evaluación de necesidades y se ha escogido el producto que mejor se alinea al negocio. Ante la falta de evidencias, Dirección deberá asumir la responsabilidad si se demuestra que ha habido una mala gestión o se ha utilizado el poder de decisión para favorecer un determinado proveedor o fabricante.

A la hora de elegir qué sistema implantar, es importante valorar el soporte que recibiremos ante cualquier incidencia o problema, además de qué estándar y certificaciones posee la herramienta. Por ejemplo, estoy acostumbrado a ver cómo se escoge un sistema u otro dependiendo del número de CPU, memoria o conexiones por segundo, sin embargo muy pocas personas se fijan si el producto elegido tiene la certificación ISO 15408 que nos indica que ha pasado rigurosas pruebas de seguridad, siendo esta certificación muy valorada por el gobierno americano. Afortunadamente la mayoría de fabricantes con prestigio tienen dicha certificación, como podemos ver en Fortinet, F5, Palo Alto o Radware.

Una vez evaluada la calidad del producto a implantar, y tras realizar pruebas en el entorno de pre-producción, desarrollo o demo, es hora de realizar la Gestión de Cambios, es decir, decidir cómo pasamos a producción. Existen dos formas de pasar a producción, la primera sería implantar el nuevo sistema junto con el anterior añadiendo mayor carga de trabajo al tener que mantener los dos sistemas pero menor riesgo ya que volver al estado anterior se realizaría de manera rápida. La otra forma de pasar a producción sería quitar el antiguo sistema y poner el nuevo, esta forma tiene menor carga de trabajo pero mucho mayor riesgos. En cualquier caso es muy importante tener procedimentado y documentado cómo se pasará a producción.

Por supuesto, los sistemas no se mantienen solos, hay que actualizarlos y mantenerlos. A lo largo de la vida del sistema aparecerán averías hardware, bugs, vulnerabilidades y nuevas funcionalidades, y este mantenimiento tiene un coste. En cuanto el coste del mantenimiento esté por encima de los beneficios obtenidos será necesario evaluar otro sistema y desmantelar el sistema actual. Antes de desecharlo será necesario seguir el procedimiento de baja del activo donde nos aseguremos del destino de este activo.

Apartar un sistema de producción, es decir apagarlo porque ya no se utilice, puede llegar a ser un problema en grandes organizaciones donde existan muchos sistemas y muchos usuarios si no se tiene controlado los acceso a los mismos. Por este motivo a veces se mantienen los sistemas más tiempo de lo necesario consumiendo recursos y por ende aumentando el coste.

¿Tienes algún sistema en tu organización que te da miedo apagar porque no sabes con certeza quién lo está utilizando? Cuéntanos tu historia.

BGP Attack

Realizar un ataque de denegación de servicio distribuido (DDoS) contra los DNS de una organización dejándolo inaccesible o atacar a un proveedor de DNS modificando los registros para redirigir las solicitudes a servidores ilegítimos son desde mi punto de vista dos ataques con un gran impacto. Sin embargo, debido a la antigüedad del protocolo BGP y a su funcionamiento sobre TCP es posible atacar a un sistema autónomo generando también un gran impacto, de hecho ya se dijo que Internet se podría apagar en 30 minutos debido a la fragilidad del protocolo. Vemos algunos de los ataques:

• Realizar una denegación de servicio, es decir, un atacante podría descartar todo el tráfico de un segmento de red, por ejemplo Youtube, de tal manera que los usuarios pertenecientes al sistema autónomo atacado no puedan acceder al segmento descartado (Youtube), como pasó en Pakistan. Esto fue posible por el propio funcionamiento de BGP, ya que BGP siempre publica las rutas más específicas y en este caso Pakistan Telecom publicó una ruta más específica que Youtube, confundiendo a todos los routers de Internet y dejando inaccesible los servicios de Youtube.

• Analizar el tráfico, para ello sería necesario hacerse con el control de uno de los routers del sistema autónomo atacado, o realizar un MITM.
  
  
• Realizar ataques TCP Reset evitando la asociación de vecindad, aunque para ello es necesario conocer la IP y puerto origen de la asociación de vecindad:

hping3 -i eth0 -c 1000 --fast -a IP_vecino_Victima -s 57568 -R IP_Victima -p 179

• Inyectar rutas ilegítimas en los routers BGP. Si no está debidamente protegida la asociación de vecinos en los routers BGP es posible utilizar herramientas como bgp-update-create y tcphijack para crear paquetes de Update y así inyectar las rutas que queramos en los routers BGP, vemos un ejemplo:

Realizamos un MITM:

arpspoof -i eth0 -t 1 IP_Victima IP_vecino_Victima

arpspoof -i eth0 -t IP_vecino_Victima IP_Victima

Construimos el payload, es decir el paquete Update de BGP:

./bgp-update-create --as AS_Atacado --nexthop 192.168.10.1 --destnet 192.168.15.1/24 > evilpacket

Enviamos el paquete Update al router atacado

./tcphijack -c IP_vecino_Victima -s IP_Victima -p 179 -P evilpacket

A continuación podemos ver el paquete Update, capturado con wireshark:

 

Como vemos, BGP no es inmune a los ataques ya que hereda todos los problemas de seguridad de TCP, por este mismo motivo es importante configurar adecuadamente la distribución de rutas y asociación de vecinos autenticando los mensajes, aplicando filtros, etc ya que una configuración errónea o un despiste puede tener repercusiones en toda Internet. Por el momento hay varios proyecto para asegurar las comunicaciones BGP, como el proyecto Secure BGP (S-BGP) que utiliza infraestructura PKI, esperemos que algún día sea una realidad.

El proceso de Auditoría

En la entrada de Auditorías de Sistemas de la Información comentaba brevemente las fases por la que está compuesta una auditoría, en esta nueva entrada voy a profundizar en cada una de las etapas por la que pasa la auditoría:

Definición y aprobación de la auditoría

La junta directiva autoriza la auditoría, se definen las responsabilidades, los objetivos y el alcance de la auditoría.

Preplanificación de la auditoría

Una vez firmado el contrato de auditoría se analiza si el objetivo es el cumplimiento de un determinado estándar o la supervisión de algún control concreto. Además, se especifica el tipo de auditoría, se comprueba si hay restricciones en el alcance y se obtienen todos los requerimientos de manera detallada.

Análisis de riesgos de la auditoría

Una vez identificado los objetivos de la auditoría se valoran los riesgos con el propósito de asegurarnos que es posible obtener suficientes evidencias durante la auditoría, para ello hay que detectar los riesgos y tener en cuenta riesgos tecnológicos, operacionales, etc. Por ejemplo hay que tener alternativas si el auditado no nos puede atender porque se haya producido una interrupción no planificada en su servicio.

¿Es posible realizar la auditoría?

Si tras realizar el análisis de riesgos no se ve la posibilidad de obtener evidencias significativas, la auditoría sería inútil por lo que hay que ponerlo en conocimiento del comité de auditoría. Si por el contrario la auditoría es factible, continuaremos con la ejecución de la auditoría.

Ejecución de la auditoría

En esta fase debemos estar seguros de contar con el personal apropiado para realizar la auditoría, probablemente se necesiten auditores expertos en una determinada materia, al igual que técnicos expertos en una tecnología concreta. También hay que asegurar la calidad de la auditoría, definir el método de comunicación con el auditado, obtener los datos adecuados y revisar los controles existentes.

Obtención de evidencias

Obtener evidencias fiables es importante para aprobar o desaprobar un control interno. La ausencia de evidencias es la ausencia de pruebas. Para conseguir evidencias podemos obtener muestras de mayor o menor tamaño y analizarlas manualmente o mediante alguna herramienta de auditoría informática. Una vez obtenidas las evidencias hay que clasificarlas y siempre cumplir la cadena de custodia de las evidencias para que tengan validez durante todo el proceso de auditoría.

Realizar pruebas con las evidencias

Una vez encontradas evidencias fiables es importante que los resultados de las pruebas realizadas con las evidencias sean siempre los mismos, y que las pruebas puedan ser repetidas por otro auditor obteniendo los mismos resultados. De esta manera la detección de actos ilegales e irregulares como el fraude, robos, crimen organizado o violación de las leyes puede ser probado una y otra vez con las evidencias obtenidas.

Escribir informe

Consiste en redactar el informe de auditoría donde aparecerá el alcance, los objetivos, los métodos utilizados y las evidencias obtenidas. El informe debe ser fácil de leer con gráficas simples, tablas, colores, etc. Podrá ir acompañado de una opinión. Además es importante que el auditor firme el informe alegando que las datos y evidencias obtenidas son verdades y correctas. El informe debe ser aprobado y compartido sólo con el personal auditado.

Realizar seguimientos

Tras la entrega del informe puede haber reuniones de seguimiento para comprobar si la organización auditada a subsanado los problemas encontrados, o por el contrario pueden aparecer nuevas evidencias agravando aún más la situación de la organización.

Ya conocemos los pasos a seguir en una auditoría, ahora tan solo queda adaptarlo a nuestro campo de acción, los sistemas de información.

Gobierno de TI

En la anterior entrada hablamos sobre las Auditorías de Sistemas de la Información e hicimos mención a la importancia de conocer la estructura de la organización a auditar. En esta entrada quiero hacer referencia a lo más alto de la jerarquía organizacional de TI, es decir al Gobierno de TI, cuál es su función, cómo controlan la organización y a alguna de las decisiones que llevan a cabo, como puede ser la externalización.

El Gobierno de TI es el encargado de definir los planes estratégicos de TI alineándolos con los objetivos de negocio fijados por la junta directiva y el CEO de la compañía.

Todas las compañías cambian, evolucionan y tienen que adaptar su misión, estrategia y métricas a los nuevos tiempos, para ello es importante que el Gobierno de TI use el cuadro de mandos utilizado por el CEO donde se define detalladamente los objetivos de negocio, de esta manera el Gobierno de TI podrá alinear las políticas estratégicas de TI con los objetivos de negocio. Además mediante el análisis GAP, el Gobierno de TI puede medir y controlar el estado actual con los objetivos finales para conocer en todo momento el estado de cumplimiento de los objetivos marcados. Todo esto suena muy bonito, pero definir los objetivos y estrategias en un cuadro de mandos en el cual puedan apoyarse los directores de las distintas áreas de la organización es un proceso laborioso y complicado de llevar a cabo que pocas compañías consiguen realizar satisfactoriamente.

A veces se tiende a pensar en la externalización como método de ahorro de costes y mejora de la productividad. Sin embargo antes de externalizar hay que plantearse una serie de preguntas, ya que la principal desventaja de la externalización es la pérdida de control sobre el servicio externalizado, aunque siempre podemos auditar al proveedor mediante un auditor con total independencia del proveedor y de la empresa contratante de la auditoría. Entre las preguntas a realizar antes de externalizar estarían las siguientes ¿es algo que la organización no puede/sabe hacer con los recursos disponibles? ¿hay alguna ventaja al externalizar? ¿actualmente la ejecución del servicio in-house es una ventaja competitiva? En el caso de externalizar, ¿dónde se realizarán las tareas? ¿en el mismo edificio? ¿en otro edificio? ¿en otro país? En definitiva la externalización es un asunto en el que no solo debemos evaluar el coste. Por ejemplo, en EEUU hay muchas empresas dedicadas a la moda y aunque fabricar las prendas de vestir en EEUU les cuesta más dinero que si lo hiciesen en otro país, tienen la principal ventaja que tras hacer el diseño de una prenda, la confeccionan y al día siguiente la tienen puesta en el escaparate a disposición de los clientes.

La externalización de servicios daría para una o varias entradas completas ya que aún no hemos tocado la calidad del servicio externalizado, en quién cae la responsabilidad del servicio, los problemas regulatorios al externalizar, cómo aplicar controles, cómo medir el rendimiento del servicio externalizado, acuerdos de nivel de servicio, etc, etc. Así que me lo apunto para futuras entradas.

¿Has externalizado algún servicio? ¿qué problemas te has encontrado? Cuéntanos tu experiencia.

Auditoría de Sistemas de la Información

Inicialmente las auditorías se realizaban en grandes organizaciones para controlar el dinero que entraba y salía de las compañías, y así intentar evitar fraudes financieros. El auge de las auditorías comenzó con las auditorías financieras en los bancos y cajas para analizar y vigilar las transacciones, cuentas anuales, balances, etc. Sin embargo el creciente uso de las tecnologías de la información ha provocado que no solo haya que auditar los estados financieros sino también los sistemas de la organización, por el mero hecho de que la información está alojada en sistemas informáticos que deben ser auditados para comprobar si cumplen los estándares y las leyes existentes.

Existen dos tipos de auditores, internos y externos. Los auditores internos auditan la organización para la que trabajan por lo que el proceso de auditoría es rápido ya que éste conoce la compañía auditada, sin embargo el auditor interno no puede mantener la independencia, ya que puede haber participado en la elaboración y creación del sistema de información, y por tanto los resultados de la auditoría pueden estar condicionados por su posición en la empresa auditada. Los auditores externos son aquellos que no tienen ningún tipo de contrato laboral con la compañía auditada por lo que se mantiene la independencia en los resultados de la auditoría. Además otro punto a tener en cuenta es que el cliente de la auditoría, es decir el que paga la auditoría, puede ser el propio auditado o un tercero.

Es importante que el auditor conozca las leyes y regulaciones que debe cumplir la organización auditada, así que éste está constantemente en contacto con abogados. Además ante la obtención de alguna evidencia que pueda poner al responsable de la organización en un aprieto, es importante consultar a un abogado para conocer si existe alguna multa o pena.

Una auditoría está compuesta por varias fases. La primera fase es la de planificación, probablemente la más importante, donde hay que priorizar las tareas y tener claro a qué personas es necesario entrevistar durante la auditoría, para ello hay que conocer la estructura de la organización y ser conscientes que las entrevistas con directores deben ser cortas y directas, ya que los directivos disponen de muy poco tiempo para este tipo de trabajos. Tras la obtención y prueba de evidencias hay que redactar el informe final que debe ser claro y no estar abierto a interpretaciones, es decir, cada evidencia encontrada que no cumpla el estándar o ley a auditar debe ser referenciada al apartado o control exacto donde se indica el por qué de la evidencia o no conformidad.

Debido a la importancia que tiene el informe final de la auditoría, ya que éste puede desencadenar acciones desagradable para algún departamento o persona, como puede ser el despido, es importante que el auditor proteja la documentación de la auditoría y mantenga la confidencialidad de la información obtenida.

Así que si quieres demostrar que cumples algún estándar, deja que algún auditor externo audite tu organización y te diga lo bien o mal que lo estás haciendo.

DoS Attack

En esta entrada quiero demostrar cómo detectar e intentar detener un ataque de denegación de servicio (DoS), o por lo menos estar preparados para cuando realicen este tipo de ataques contra la infraestructura que gestionamos. Para ello he utilizado dos productos ampliamente conocidos, como son el SIEM de Alienvault y los cortafuegos de Fortinet.

En una entrada previa comenté la implicación que tiene un ataque de denegación de servicio distribuido (DDoS), donde desde mi punto de vista es un juego de poder entre el atacante y el atacado, es decir, el que tenga más pasta ganará la batalla, ya que consiste en la saturación de recursos. Sin embargo en esta entrada veremos cómo detectar y mitigar pequeños ataques de DoS que podrían degradar la calidad de los servicios que ofrecemos.

La herramienta que he utilizado para realizar el “ataque” ha sido la misma que utiliza Anonymous para reivindicar ciertos comportamientos de nuestros gobernantes. LOIC fue la herramienta utilizada en la operación contra Sony, la Ley Sinde o la Iglesia de la Cienciología.

LOIC

Rápidamente podemos ver cómo el sistema de detección de intrusos (IDS) de Alienvault detecta que alguien está utilizando la herramienta LOIC contra su infraestructura para provocar una denegación de servicio, por lo que desde el SIEM podemos realizar varias acciones como crear políticas de firewalling en el cortafuegos para banear la IP origen, avisar al administrador mediante correo electrónico o SMS o ejecutar un script en la máquina atacada. Todas estas acciones se pueden hacer en modo preventivo antes que el atacante logre su objetivo.

Eventos detectando la herramienta LOIC en el SIEM

 

Por otro lado, también es interesante aplicar políticas UTM IPS y de DoS en el cortafuegos, que nos permitirá bloquear la IP del atacante o banear su IP durante un periodo de tiempo. Para agregar una política de DoS en el cortafuegos será necesario monitorizar el número de conexiones TCP, UDP, ICMP para establecer el umbral a partir del cuál consideramos que se está produciendo el ataque, todo ello dependerá de los servicios ofrecidos. Una de las técnicas utilizadas por los productos Anti-DDoS para detectar IPs legítimas de las no legítimas es descartando el primer paquete SYN de los clientes, de esta manera aquellos clientes que vuelvan a enviar el paquete SYN porque no han recibido el ACK serán clientes legítimos, ya que los atacantes abren tantas sesiones como pueden sin volver a enviar el segundo paquete SYN.

DoS Policy

Tener la infraestructura monitorizada y controlada ante ataques de DoS nos puede evitar más de un disgusto, además nos facilita bastante información cuando la “red va lenta” o vemos picos de sesiones fuera de lo normal.

Un pico de sesiones fuera de lo normal a las 9:00 PM

En definitiva, cada vez es más fácil comprar un ejército de bots para realizar ataques de DDoS y por ello debemos estar preparados. Sin las herramientas y una monitorización adecuada detectaremos el ataque demasiado tarde, una vez que la calidad de los servicios ofrecidos se hayan degradado.

¿Has recibido alguna vez una ataque de DoS? ¿cómo lo mitigaste?

Fases del ataque

Actualmente los ataques son más “silenciosos” que hace unos años, por lo que es más difícil detectarlos y mitigarlos. Para detectar y mitigar los ataques hay que conocer y entender cómo actúan los “malos”, de esta manera sabremos los pasos que sigue un atacante al querer comprometer nuestra infraestructura, así podremos prevenir y minimizar los daños causados por el ataque.

En esta entrada intentaré reflejar las fases que suele seguir un atacante, además de contra-medidas o recomendaciones, para poder detectar el ataque en fases tempranas y así poder mitigarlo de la manera más satisfactoria posible.

Fase de reconocimiento o sondeo

El objetivo de esta fase es la obtención de información (OSINT) sobre la organización a atacar. En esta primera fase se realiza el footprinting, scanning y enumeration. Se obtiene información mediante buscadores como Google o Bing, se analiza la web de la organización en busca de interfaces de autenticación, se realizan escaneo de servicios y puertos mediante herramientas como nmap y shodan, también se realizan análisis de vulnerabilidades mediante analizadores como OpenVas o Nessus, además de utilizar otras herramientas como scapy para la generación de paquetes. La ingeniería social también es utilizada para engañar a los trabajadores y obtener aún más información de la organización.

Como contra-medida es importante disponer de una monitorización continua, redirigir peticiones a honeypot, realizar correlación inteligente de amenazas, además de controlar el tráfico de datos.

Fase de ataque

El objetivo de esta fase es utilizar toda la información obtenida anteriormente para atacar la infraestructura de la organización. Para ello utilizan ingeniería social engañando a los trabajadores para que visiten URLs conformadas donde hay exploits remotos o se aprovechan vulnerabilidades del sistema del usuario, también se suelen realizar ataques SQLi mediante JSON o a formularios encontrados en la web de la organización, además de realizar ataques por fuerza bruta a todas las interfaces de autenticación encontradas en la fase de reconocimiento.

Como contra-medida es importante detectarlo rápido y reaccionar con una respuesta, que puede ser bloqueando el sitio o IP del atacante, crear reglas en el proxy/cortafuegos, enviar a cuarentena los equipos atacados o incluso desinfectar aplicaciones y bases de datos.

Fase de instalación y explotación

Si desgraciadamente no hemos detectado el ataque en las fases previas, el atacante en esta fase realizará cambios en los sistemas atacados, supervisará la actividad de los usuarios, instalará herramientas de administración remota (RAT), realizará cambios en el sistema de ficheros, instalará Bots, manipulará la memoria o incluso instalará puertas traseras para acceder a los sistemas cada vez que lo necesite.

Como contra-medida se debe monitorizar la integridad del sistema de fichero de los equipos, en caso de detectar cambios reconstruir el sistema de nuevo, también se puede crear listas blancas y denegar todas las conexiones no conocidas, además de bloquear las IPs de los atacantes y el acceso a servidores de comando y control (C&C).

Sistema comprometido

En ocasiones el atacante consigue comprometer los sistemas sin que los analistas de seguridad tengan la más mínima sospecha del ataque realizado, en este caso dependerá del objetivo del atacante el uso que haga de la infraestructura comprometida. El atacante podrá controlar los sistemas remotamente, podrá obtener información, manipulará los sistemas y los archivos a su antojo, e incluso podrá utilizar los recursos para atacar a otras organizaciones.

Por tanto los analistas deben monitorizar y reaccionar a los indicadores en cada una de las fases del ciclo del ataque para prevenir los ataques, o por lo menos minimizar el daño.

¿Qué medidas preventivas o reactivas habéis tomado en fases tempranas para evitar un ataque puntual?