viernes, 11 de diciembre de 2009

Reflexiones sobre la seguridad en la informática (Parte II)

 

El ámbito de la seguridad informática es un proceso cambiante y no es descartable que dentro de unos meses las necesidades producidas por nuevos tipos de ataques hacking obliguen al sector de la seguridad a aplicar nuevas técnicas y procesos.

Los procesos de auditoría de seguridad que hay presentes en la actualidad se organizan de diferentes maneras dependiendo del estándar, libro o manual que tomemos como referencia. Una posibilidad es la siguiente, en la que se dividen en cuatro grandes bloques, con un sub-bloque dentro de la Auditoría Interna:

  • Auditoría de aplicaciones web
  • Auditoría Interna
    • Auditoría de caja negra
    • Auditoría de caja blanca
    • Auditoría de caja gris
  • Análisis forense
  • Auditoría de aplicación de la LOPD

 

Auditoría de aplicaciones web

Las auditorías de aplicaciones web consisten en encontrar vulnerabilidades que presentan las aplicaciones que una organización posee con salida a internet. Dichas vulnerabilidades tienen su origen en defectos en el diseño y programación de las aplicaciones, en la pobre implantación de las medidas de control de acceso o en la falta de validación de los datos de entrada.

Son vulnerabilidades conocidas las producidas mediante ataques de inyección de código y exploits, como SQL Inyection [9] o Blind Sql inyection [11], las producidas por XSS (Cross-Site Scripting) [12], o las producidas por Buffer Overflow [13].

 

Auditoría Interna: Caja negra

Una auditoría de caja negra es el proceso en el cual se trata de averiguar si un sistema es vulnerable mediante técnicas hacker sin conocer ninguna información interna del sistema. Al no conocer ninguna información interna es necesario como primer paso en la auditoría buscar toda la información posible del sistema para poder facilitar posteriormente el resto de la auditoría y poder avanzar más rápidamente y con mayor eficiencia. Se realiza desde fuera de la intranet de la organización.

La búsqueda de información se realiza mediante dos técnicas denominadas Footprinting y Fingerprinting. La primera de ellas consiste en la búsqueda de toda la información pública o publicada descuidadamente que puede haber sobre el sistema a auditar, direcciones IP, servidores internos, cuentas de correo de los usuarios, nombres de máquinas, información del registrador del dominio, tipos de servidores, ficheros con cuentas de usuarios etc. La segunda de ellas consiste en averiguar el sistema operativo de los servidores de la organización a la que se está realizando la auditoría. Ambas técnicas son las que utiliza Anubis, que os revelaré en próximos post.

 

Auditoría Interna: caja blanca

Los procesos de auditoría de caja blanca suponen que se conoce información interna de la organización, y simulan los ataques que podría realizar un usuario interno de la misma, bien porque es dueño de las credenciales del sistema o bien porque las ha conseguido de forma ilícita. El objetivo de esta auditoría es conseguir detectar vulnerabilidades por escalado de privilegios.

 

Auditoría Interna: caja gris

Comparte las mismas funciones que la auditoría de caja blanca, exceptuando que se nos proporciona menos información inicial.

 

Análisis forense

El proceso de análisis forense es comúnmente utilizado cuando se tiene la sospecha o la certeza de que un sistema ha sido víctima de una intrusión, un ataque o desde él que se ha realizado alguna acción maliciosa.

Para hacer un forense a una máquina se hacen varias copias del disco duro y se analizan cuidadosamente para modificar el menor número de pruebas posibles. En caso de haberse realizado de una manera poco cuidadosa el análisis forense podría suponer la anulación de la prueba en caso de juicio.

El análisis forense es comúnmente utilizado por las brigadas de investigación informática de los cuerpos de seguridad del estado en los casos que intervienen material informático a los detenidos. También es utilizado por las consultoras de seguridad cuando son subcontratas por los cuerpos del estado o por las propias empresas tras un suceso de los nombrados en el párrafo anterior.

 

Auditoría de aplicación a la LOPD

En este tipo de auditorías se comprueba que una organización trata los datos de sus clientes informáticamente de la manera que indica y aprueba la Ley 15/1999 del 13 de Diciembre de Protección de Datos.

Si os interesa el tema de la LOPD os recomiendo la web de Juan Luis García Rambla, MVP de seguridad de Microsoft y experto en la LOPD:

http://legalidadinformatica.blogspot.com/

Y su libro sobre la implantación de la LOPD:

Aplicación de medidas para la implantación de la L.O.P.D. en las empresas.

ProteccionDatos

8 comentarios:

David S. J. dijo...

Buenas noches y Felices fiestas a tod@s. dejando a un lado el comentario de "anónimo" me gustaría plantear algunas dudas: Soy estudiante universitario ya entrado en años que quiere acabar la carrera de Informática. La auditoría me parece un campo muy adecuado a donde llevar mi labor profesional y dejar poco a poco la labor docente que aplico en escuelas de adultos de informática. La pregunta del millón: ¿Por donde empezar? a) Estudio 3 ó 4 lenguajes de programación a fondo, cuando la programación no es mi punto fuerte? b) Estudio leyes y normativas para asemejarme a un "abogado informático"? c) O empiezo por algunos cursos (la pregunta sería cuales: De microsoft, con lo caro que cuesta, de academias privadas...)
En el fono ando algo perdido, me gusta la idea de auditar empresas desde el apartado informático, ver sus vulnerabilidades para aumentar su seguridad, pero es necesario ser un experto en programación?
Muchs gracias de antemano, por cualquier aclaración y Feliz Año 2010

Juan Antonio Calles dijo...

Buenas @David!, en primer lugar, darte mi enhorabuena por tu decisión, la seguridad es un campo que necesita en la actualidad bastantes trabajadores ya que es relativamente nuevo. Yo aún estoy empezando, pero lo que si te puedo dar de consejo es como empezar. Lo mas importante en seguridad es tener claras las ideas desde el principio, se recomienda normalmente estudio en espiral, primer dominar la programación, luego la etapa de sistemas y despues la de seguridad. Aunque en el trabajo no se suela programar ni una linea de código, viene bien para saber que hacen ciertos programas que se utilizan.

Yo comencé en informatica64, donde me ofrecieron formación interna con la que empecé mis primeros pasos, y cuando aprendi cosas minimas, me hice un curso de seguridad de 100 horas, y despues el Máster que ofrece la misma empresa de 6 meses de Seguridad, el FTSAI.

Asi que lo que te aconsejo es cogerte un libro para comenzar estas fiestas, por ejemplo el siguiente que yo utilicé para empezar: "Destripa la Red, Hacking Practico" de Anaya. Después me haría algún curso donde enseñen desde abajo, por ejemplo, en enero si eres de la comunidad de Madrid van a salir cursos de hacking por el INEM, solo tienes que estar apuntado al paro, es una manera barata de empezar a recibir algo de formación, pero algún curso o master es inevitable hacer, porque aunque los seres humanos somos buenos autodidactas, la seguridad es muy compleja y siempre son buenos los consejos de gente experimentada.

Una vez que ya tengas los conceptos minimos, será inevitable que te empapes con los estándares y guias de seguridad mas conocidos, luego cuando venga de trabajar si quieres te las cuelgo en mi web que las tengo en PDF, son la ICO27001, la OWASP y la OSSTMM.

Tras tener ya unas bases sentadas yo decidiría finalmente a que campo de la seguridad me dedicaría, y empezaría a expecializarme en el: analisis forense (informatica64 vende por 20€ un libro cojonudo), auditoria web o auditoria interna. Y si te gustan las leyes y tal la auditoría de la LOPD, te recomiendo seguir el blog de Juan Luis Rambla (legalidadinformatica.blogspot.com), que tambien tiene un libro sobre la LOPD.

Espero te sirvan mis conesejos, todo esto lo debes complementar con visitas regularmente a paginas como elladodelmal.com, elhacker.net y su foro, suscribiendote en alguna lista de correo, milworm, etc.

Mucho ánimo!

Juan Antonio Calles dijo...

Por cierto, se me olvidó comentarte el tema de la programación, yo personalmente conozco a grandes personajes del sector que no saben programar apenas, asi que no es una faceta necesaria, la programación donde si es una faceta necesaria es en el apartado de auditoría web, ya que te toca estudiar códigos de páginas y tal, y te será util a la hora de lanzar inyecciones y exploits. Pero como te dije, una vez que te especialices no solo tienes el subsector de la auditoría web, tambien puedes dedicarte a la auditoría interna donde no necesitaras nada de programación, análisis forense donde necesitarás conocer sistemas operativos y LOPD.

P.D. Fe de erratas, puse ICO27001, evidentemente es ISO27001, se me fue el dedo :P

saludos! felices fiestas!

Juan Antonio Calles dijo...

@David ya he publicado en la web los estándares en PDF que te comenté esta mañana, los puedes encontrar en el siguiente link:

http://elblogdecalles.es/estandares.html

un saludo!

David S. J. dijo...

Feliz Año y muchisimas gracias por toda las explicaciones dadas. Un detalle, el enlace del CMMI no funciona hoy.
Particularmente me ha llamado más la auditoría Interna y la de aplicación de LOPD (ya hice un curso de FPO en Huelva de esto).
Voy a apuntarme a un curso de informatica64 para el día 23 de nero, a ver si hay suerte.
No puedo apuntarme a casi ningún curso oficial como el que propones, porque estoy trabajando como empleado laboral en la administración pública (proyecto Guadalinfo).
Pienso ponerme a leer un libro que tengo por aquí "Auditoría de tecnologías de sistemas de información" de Mario Piattini, no tiene mala pinta.
Estaré atento a los blog recomendados y el tuyo evidentemente :-)
Seguiré centrándome en mi carrera (aunque tengo claro que Bolonia me pilla en la Uned el año próximo) y espero poder entrar en cursos online de informatica64 para especializarme poco a poco. Por cierto escribí correos a isaca de Madrid, Barcelona y Valencia a finales de noviembre, planteando la misma duda y ninguna se ha dignado a responder por eso: Muchas gracias de nuevo por tu tiempo y saludos desde Huelva

Juan Antonio Calles dijo...

Feliz año @David, gracias a ti, el placer es mio :). Ya funciona el link de la Guia CMMI, gracias por decirmelo.

Si te interesa el tema de ISACA y tal, mi tutor del proyecto del máster que estoy haciendo ha dado charlas y tal en la ISACA y es experto en certificaciones y auditorías, te dejo su blog, puede resultarte interesante también, aunque el no trata temas de seguridad:

www.javiergarzas.com

un saludo!

Rubén dijo...

Hola, soy un ingeniero informático que desea especializarse en seguridad informática. Tengo pensado realizar un master de seguridad el proximo año y buscando info he topado con tu blog. Me gustaría saber tu opinión y si conoces algún master oficial interesante sobre el tema (lo de oficial por el tema becas y demas) ya que los únicos que he encontrado son el de la uem y uax (y los temarios parecen bastante pobres en comparación con otros no oficiales). La verdad que estoy muy indeciso. Agradecería tus consejos. Muchas gracias y un saludo!

Juan Antonio Calles dijo...

Hola @Ruben, en primer lugar gracias por el comentario, con respecto al máster, te recomendaría uno no oficial, el FTSAI que imparten mis compañeros de Informática 64, donde aprenderás practicamente lo mas destacable en seguridad, ese máster fue mi trampolin en este campo tan complejo. Si deseas un máster oficial, te recomiendo uno en el que imparte Chema (el maligno) una de las clases, que es en la universidad Europea de Madrid, lo único que es una universidad privada, te dejo el link:

http://www.uem.es/postgrado/master-oficial-en-seguridad-de-las-tecnologias-de-la-informacion-y-las-comunicaciones

un saludo!!