Documente Academic
Documente Profesional
Documente Cultură
La percepción de los ejecutivos es que los virus representan el mayor riesgo, aunque la realidad indica
que el fraude es la práctica más peligrosa. Aparece el spam en escena
Aunque la industria tecnológica aumenta los esfuerzos para evangelizar en materia de seguridad
informática, los máximos responsables de las compañías no toman conciencia sobre el asunto. Y para
el 80% de los CEOs, el tema no es prioritario.
Los datos surgieron de la encuesta anual sobre seguridad informática que realiza Ernst & Young (E&Y)
en todo el mundo. La postal tomada de la situación en el planeta se replica en forma idéntica en la
Argentina.
Sin reacciones
El ejecutivo explicó que la costumbre en las empresas es que siguen sin actuar después de que haya
habido un problema. “Las inversiones en seguridad informática aparecen después que hubo un
problema”, explicó.
Además de la aparición de nuevos virus, una inadecuada utilización de los sistemas y la pérdida de
confidencialidad, entre otros aspectos, este año apareció por primera vez en el sondeo de percepción
el spam. El envío masivo de e-mails no solicitados produce la denegación de servicio, situación que
puede poner en riesgo la evolución de un negocio.
Cifras preocupantes
En El 67% de las empresas consultadas considera muy importante a las políticas de seguridad
informática. Pero sólo el 15% reporta a los directorios de las empresas el estado de seguridad o
incidentes informáticos sucedidos cada mes. Un 16% lo hace cada cuatro meses, un 8% cada seis
meses, un 11% nunca y el 10% sólo una vez por año.
Al ser consultadas sobre los obstáculos que encuentran para implementar un plan efectivo en la
materia, destacan que hay falta de conciencia en los usuarios finales, limitaciones de presupuesto,
disponibilidad de personal especializado, dificultad para probar el valor de la seguridad informática (el
retorno de la inversión) y el ritmo acelerado de los cambios tecnológicos.
El nivel de concientización entre los empleados de una organización crece en la medida en que el CEO
lo establece como política prioritaria.
En este sentido, las políticas de seguridad informática surgen como una herramienta
organizacional para concientizar a los colaboradores de la organización sobre la
importancia y sensibilidad de la información y servicios críticos que permiten a la empresa
crecer y mantenerse competitiva. Ante esta situación, el proponer o identificar una política
de seguridad requiere un alto compromiso con la organización, agudeza técnica para
establecer fallas y debilidades, y constancia para renovar y actualizar dicha política en
función del dinámico ambiente que rodea las organizaciones modernas.
Una política de seguridad informática es una forma de comunicarse con los usuarios, ya que
las mismas establecen un canal formal de actuación del personal, en relación con los
recursos y servicios informáticos de la organización.
No se puede considerar que una política de seguridad informática es una descripción
técnica de mecanismos, ni una expresión legal que involucre sanciones a conductas de los
empleados, es más bien una descripción de los que deseamos proteger y él por qué de ello,
pues cada política de seguridad es una invitación a cada uno de sus miembros a reconocer
la información como uno de sus principales activos así como, un motor de intercambio y
desarrollo en el ámbito de sus negocios. Por tal razón, las políticas de seguridad deben
concluir en una posición consciente y vigilante del personal por el uso y limitaciones de los
recursos y servicios informáticos.
Como una política de seguridad debe orientar las decisiones que se toman en relación con la
seguridad, se requiere la disposición de todos los miembros de la empresa para lograr una
visión conjunta de lo que se considera importante.
Otro punto importante, es que las políticas de seguridad deben redactarse en un lenguaje
sencillo y entendible, libre de tecnicismos y términos ambiguos que impidan una
comprensión clara de las mismas, claro está sin sacrificar su precisión.
Por último, y no menos importante, el que las políticas de seguridad, deben seguir un
proceso de actualización periódica sujeto a los cambios organizacionales relevantes, como
son: el aumento de personal, cambios en la infraestructura computacional, alta rotación de
personal, desarrollo de nuevos servicios, regionalización de la empresa, cambio o
diversificación del área de negocios, etc.
• Efectuar un análisis de riesgos informáticos, para valorar los activos y así adecuar
las políticas a la realidad de la empresa.
• Reunirse con los departamentos dueños de los recursos, ya que ellos poseen la
experiencia y son la principal fuente para establecer el alcance y definir las
violaciones a las políticas.
• Comunicar a todo el personal involucrado sobre el desarrollo de las políticas,
incluyendo los beneficios y riesgos relacionados con los recursos y bienes, y sus
elementos de seguridad.
• Identificar quién tiene la autoridad para tomar decisiones en cada departamento,
pues son ellos los interesados en salvaguardar los activos críticos su área.
• Monitorear periódicamente los procedimientos y operaciones de la empresa, de
forma tal, que ante cambios las políticas puedan actualizarse oportunamente.
• Detallar explícita y concretamente el alcance de las políticas con el propósito de
evitar situaciones de tensión al momento de establecer los mecanismos de seguridad
que respondan a las políticas trazadas.
A pesar de que un gran número de organizaciones canalizan sus esfuerzos para definir
directrices de seguridad y concretarlas en documentos que orienten las acciones de las
mismas, muy pocas alcanzan el éxito, ya que la primera barrera que se enfrenta es
convencer a los altos ejecutivos de la necesidad y beneficios de buenas políticas de
seguridad informática.
Esta situación ha llevado a que muchas empresas con activos muy importantes, se
encuentren expuestas a graves problemas de seguridad y riesgos innecesarios, que en
muchos casos comprometen información sensitiva y por ende su imagen corporativa. Ante
esta situación, los encargados de la seguridad deben confirmar que las personas entienden
los asuntos importantes de la seguridad, conocen sus alcances y están de acuerdo con las
decisiones tomadas en relación con esos asuntos.
Si se quiere que las políticas de seguridad sean aceptadas, deben integrarse a las
estrategias del negocio, a su misión y visión, con el propósito de que los que toman las
decisiones reconozcan su importancia e incidencias en las proyecciones y utilidades de la
compañía.
Finalmente, es importante señalar que las políticas por sí solas no constituyen una garantía
para la seguridad de la organización, ellas deben responder a intereses y necesidades
organizacionales basadas en la visión de negocio, que lleven a un esfuerzo conjunto de sus
actores por administrar sus recursos, y a reconocer en los mecanismos de seguridad
informática factores que facilitan la formalización y materialización de los compromisos
adquiridos con la organización.
Dsniff nos demuestra lo inseguras que son nuestras redes, sobretodo si nos empenamos en
enviar contrasenas en formato texto plano. Con este sniffer, nos daremos cuenta de los
realmente importante que puede llegar a ser la utilizacion de la encriptacion en nuestras
comunicaciones diarias...
Tal y como dice el autor del programa Dug Song, el desarrollo esta potentisima aplicacion
para auditar sus propias redes y para demostrar la necesidad de usar encriptacion de un
modo habitual. "Please do not abuse this software"
Gracias a dsniff, tenemos un motivo mas para usar diariamente herramientas como ssh (la
version 2, porque la 1 tiene algunos problemas de seguridad y es vulnerable) y gpg (Gnu
pgp)
Para haceros una idea de las posibilidades del dsniff, conectaros a Internet como lo haceis
habitualmente, en otra sesion como root teclear: (sigue)
# dsniff -i ppp0
Ahora bajaros el correo, entrad en algun servidor/servicio que os pida contrasena y vereis
como por arte de magia vais capturando los pares usuario:contrasena.
Entrad ahora usando ssh y vereis como en este caso nuestro sniffer no captura la
contrasena. ;-)
* dsniff: simple password sniffer. (Yo realmente no lo consideria nada simple) * arpspoof:
redirect packets from a target host (or all hosts) on the LAN intended for another host on
the LAN by forging ARP replies.
* dnsspoof: forge replies to arbitrary DNS address / pointer queries on the LAN.
* filesnarf: saves selected files sniffed from NFS traffic in the current working directory.
* mailsnarf: a fast and easy way to violate the Electronic Communications Privacy Act of
1986 (18 USC 2701-2711), be careful.
* msgsnarf: record selected messages from sniffed AOL Instant Messenger, ICQ 2000, IRC,
and Yahoo! Messenger chat sessions.
* tcpnice: slow down specified TCP connections via "active" traffic shaping. (Se puede usar
para evitar virus/gusanos tipo NIMDA). Os recomiendo que os paseis por:
* webspy: sends URLs sniffed from a client to your local Netscape browser for display, a fun
party trick
http://www.monkey.org/~dugsong/dsniff/beta/dsniff-2.4b1.tar.gz
Mas informacion:
ftp://www6.software.ibm.com/software/developer/library/s-sniff.pdf
ftp://www6.software.ibm.com/software/developer/library/s-sniff2.pdf
Simplemente I M P R E S I O N A N T E .
- http://bulmalug.net/body.phtml?nIdNoticia=928
Un sniffer es un programa que captura todo el trafico que pasa por la red,de forma que
ejecutado en una red local, permiten obtener pares (usuario:contrasena) rapidamente.
Suele funcionar de forma pasiva, siendo muy dificiles de detectar, aunque existen algunas
tecnicas que nos permitiran averiguar si tenemos espias en nuestra red ...
Existen multitud de sniffer's en Linux, cada cual con sus peculiaridades y caracteristicas,
pero uno de los mas potentes y que mas me gusta, es dsniff, os recomiendo la lectura del
articulo:Maxima seguridad con dsniff. El sniffer total.
_________________________________________________________________
_________________________________________________________________
En el primer caso lo que tendremos que hacer es mirar el estado de las diferentes interfaces
de redes que tengamos en dicho equipo. La forma mas habitual e utilizar el comando
ifconfig (paquete net-tools), aunque podemos usar otros como ifstatus o cpm (check for
network interfaces in promiscuous mode).
Aqui os muestro como el resultado del comando ifconfig antes y despues de ejecutar el
sniffer en una maquina FreeBSD:
Estando el sniffer en ejecucion, podemos ver en la primera linea la palabra "PROMISC", que
nos revela el estado de la tarjeta de red:
# cat /var/log/messages .
* Controlar las conexiones al exterior, por ejemplo, el envio sospechoso de e-mail a cuentas
extranas.
* Utilizar la herramienta lsof (LiSt Open Files), de forma que tengamos monitorizados los
programas que acceden al dispositivo de red.
En caso de que no podamos acceder y consultar el estado de las interfaces de red, puesto
que el sniffer no esta en nuestra maquina sino que se encuentra en alguna otra maquina de
la red. Lo que tendremos que hacer, es utilizar algun defecto en la implementacion concreta
del protocolo TCP/IP por algun programa/comando (tal y como hace el programa neped
respecto a el arp) o ingeniarnoslas para averiguar de alguna forma si tenemos algun sniffer
corriendo en la red:
"Una de las posibles tecnicas, consiste en enviar paquetes a una maquina inexistente y cuya
direccion no esta dada de alta en el servidor de nombres. Sabremos que tenemos un sniffer
en nuestra red si posteriormente detectamos cualquier intento de acceso a la maquina
ficticia".
Antisniff, del que tenemos incluso el codigo fuentes en la version Unix, es una de las
mejores herramientas de deteccion de sniffer de forma remota, aunque quizas este un
poquitin obsoleto, sobretodo porque no contempla la nueva generacion de sniffers.
AntiSniff is a new class of proactive security monitoring tool.It has the ability to scan a
network and detect whether or not any computers are in promiscuous mode This is often a
sign that a computer has been compromised. With AntiSniff, administrators and security
teams can finally get a handle on who is watching network traffic at their site. Antisniff was
designed to detect compromized machines with IP stacks that a remote attacker could
utilize to sniff network traffic. It was not designed to detect hardware based network
probes or special purpose network analyzers which an attacker would need physical access
to install.
Por ultimo comentar la existencia de una curiosa herramienta: AntiAntiSniffer Sniffer, cuyo
objetivo es detectar la ejecucion en la red del Antisniff, evitando ser detectado por el
mismo.
Conclusion: Recordar (una vez mas) la necesidad de usar encriptacion a diario en TODAS
nuestras comunicaciones: S/key, gpg, SSH, SSL, Firewall, VPNs, etc...
Enlaces:
* dsniff:
http://www.monkey.org/~dugsong/dsniff/
* sniffit:
http://reptile.rug.ac.be/~coder/sniffit/sniffit.html
* net-tools:http://www.tazenda.demon.co.uk/phil/net-tools/
*
neped.c:http://www.securityfocus.com/data/tools/neped.c
* Ifstatus:
http://www.ja.net/CERT/Software/ifstatus/ifstatus2.2.tar.gz
* cpm, ifsolstat:
http://www.ja.net/CERT/Software/sniffdetect/
* 7a69ezine: http://www.7a69ezine.org/
* lsof:
http://freshmeat.net/redir/lsof/6029/url_changelog/
* Antisniff: http://www.l0pht.com/antisniff/
http://www.securityfocus.com/data/tools/anti_sniff_researchv1-1-2.tar.gz
* Sentinel:
http://www.packetfactory.net/Projects/sentinel/
* libnet:
http://www.packetfactory.net/Projects/libnet
* libpcap: http://www.tcpdump.org
* Anti Antisniff:
http://www.securityfocus.com/data/tools/aass.c
* sniffing-faq:
http://www.robertgraham.com/pubs/sniffing-faq.html
* Sniffing (network wiretap, sniffer) FAQ:
http://cs.baylor.edu/~donahoo/tools/sniffer/sniffingFAQ.htm