Mostrando entradas con la etiqueta seguridad informática. Mostrar todas las entradas
Mostrando entradas con la etiqueta seguridad informática. Mostrar todas las entradas

miércoles, 27 de mayo de 2015

Seguridad Informática: Análisis Forense de Sistemas



El análisis forense es un área perteneciente al ámbito de la seguridad informática surgida a raíz del incremento de los diferentes incidentes de seguridad. En el análisis forense se realiza un análisis posterior de los incidentes de seguridad, mediante el cual se trata de reconstruir como se ha penetrado o vulnerado en el sistema. Por tanto, cuando se está realizando un análisis forense se intenta responder a las preguntas que ofrecerán las respuestas e información adecuadas para preservar nuestros sistemas de información con riesgos minimizados.

Desgraciadamente, muchos consultores de seguridad se limitan a proporcionar listas detalladas con conclusiones de sus pruebas, sin intentar realizar un el análisis de orden superior para responder a la pregunta "por qué".

¿Quién ha realizado el ataque? ¿Cómo se realizo? ¿Qué vulnerabilidades se han explotado? ¿Qué hizo el intruso una vez que accedió al sistema? Etcétera.

El área de la ciencia forense es la que más ha evolucionado dentro de la seguridad, ya que los incidentes de seguridad han incrementado en los últimos años. Además, los ataques son diferentes y por tanto hay que actualizar las técnicas de análisis en cada momento.




El procedimiento utilizado para llevar a cabo un análisis forense es el siguiente:

• Estudio preliminar. En esta fase se realiza un estudio inicial mediante entrevistas y documentación entregada por el cliente con el objetivo de tener una idea inicial del problema que nos vamos a encontrar.

• Adquisición de datos. Se realiza una obtención de los datos e informaciones esenciales para la investigación. Se duplican o clonan los dispositivos implicados para un posterior análisis. En esta fase habrá que tener mucho cuidado en la adquisición de los datos puesto que cabe la posibilidad de
incumplir los derechos fundamentales del atacante.

• Análisis e investigación. Se realiza un estudio con los datos adquiridos en la fase anterior. En esta fase también habrá que tener mucho cuidado puesto que cabe la posibilidad de incumplir los derechos fundamentales del atacante.

• Realización del informe. En esta fase se elabora el informe que será remitido a la dirección de la organización o empresa. Posteriormente, se podrá usar para acompañar la denuncia que realicemos a la autoridad competente.

Una vez hemos visto cuál ha sido la motivación que produce el análisis forense, nos centraremos y describiremos más detalladamente dicha ciencia.

El análisis forense en un sistema informático es una ciencia moderna que permite reconstruir lo que ha sucedido en un sistema tras un incidente de seguridad. Este análisis puede determinar quién, desde dónde, cómo, cuándo y qué acciones ha llevado a cabo un intruso en los sistemas afectados por un incidente de seguridad.

Un incidente de seguridad es cualquier acción fuera de la ley o no autorizada: ataques de denegación de servicio, extorsión, posesión de pornografía infantil, envío de correos electrónicos ofensivos, fuga de información confidencial dentro de la organización..., en cual está involucrado algún sistema telemático de nuestra organización.

Las fuentes de información que se utilizan para realizar un análisis forense, son diversas: Correos electrónicos, IDS/IPS, Archivos de logs de los cortafuegos, Archivos de logs de los sistemas, Entrevistas con los responsables de seguridad y de los sistema, etcétera.

Los incidentes de seguridad normalmente son muy complejos y su resolución presenta muchos problemas. A continuación se muestran las siguientes fases en la prevención, gestión y detección de incidentes:

1) Preparación y prevención. En esta fase se toman acciones para preparar la organización antes de que ocurra un incidente. Por tanto, se deberá empezar por tratar de analizar qué debe ser protegido y qué medidas técnicas y organizativas tienen que implementarse. Una vez hechos los diversos análisis, la organización ya tiene identificadas las situaciones que pueden provocar un incidente de seguridad y ha seleccionado los controles necesarios para reducirlas.

2) Detección del incidente. La detección de un incidente de seguridad es una de las fases más importante en la securización de los sistemas. Hay que tener en cuenta que la seguridad absoluta es muy difícil y es esta fase la que nos sirve para clasificar y priorizar los incidentes acaecidos en nuestra organización.

Blog de Chema Alonso: “Un informático en el lado del mal”.
http://www.elladodelmal.com/

miércoles, 11 de febrero de 2015

Protección Sitios Web (I): Seguridad igual a confianza, igual a clientes satisfechos

Quizás te ocupas de gestionar el sitio web de una empresa, te dedicas al marketing, o diriges una empresa de base tecnológica. Igual conoces conoces bien los entresijos del comercio electrónico y otras transacciones web... de cualquiera de las formas,¡protege el sitio web!

Figura 1. Portada.

Los estudios y encuestas demuestran diariamente que los clientes insatisfechos se expresan en público de forma más frecuente que los satisfechos. Los clientes que perciben una advertencia de seguridad al visitar tu sitio web, o peor aún, que acaben con el ordenador infectado; se lo dirá a todos sus amigos y compañeros de trabajo. Si además utiliza las redes sociales para manifestar sus quejas, el daño hacia la reputación online de tu empresa, puede ser irreparable.

Figura 2. Estudio Symantec sobre costes estimados del cibercrimen.


Google detecta a diario 10.000 sitios que no son seguros y los identifica como tales, si además acaban en las listas negras de los motores de búsqueda http://www.google.com/intl/es-419/goodtoknow/protection/internet/  las consecuencias pueden ser irreparables. Tu reputación no es lo único que está en juego. Si tienes un sitio web de comercio electrónico mal protegido en el que se muestren avisos de seguridad, se abandonarán muchas cestas de la compra y perderás clientes.

"Según un estudio de consumo de Internet realizado por Symantec, el 56% de los encuestados acabarían comprando en el sitio web de un competidor si les apareciera una advertencia de seguridad, y solo el 11% volvería después al sitio web original".

Qué tienes que perder

Un robo de datos o una infección con código dañino (malware), no solo dañaría tu imagen y disminuiría el volumen de ventas. Si eres víctima de un robo de datos, es posible que te impongan sanciones o que tengas que ofrecer a tus clientes algún tipo de resarcimiento. Si sufres una infección grave, probablemente tengas que contratar especialistas para solucionarlo. Todos estos contratiempos tienen un coste muy elevado, por no hablar del tiempo que pierden los empleados tratando de localizar el malware. 

Figura 3. Enlace al estudio de costes del cibercrimen.


Según el informe, el tiempo medio de recuperación tras un ciberataque fue de 24 días, lo que equivale a una pérdida de 522.704 euros. Es lógico pensar que las empresas afectadas podrían haber dedicado el tiempo y el dinero perdidos a iniciativas de ventas o desarrollo mucho más provechosas.



 Figura 4. Enlace a Web inspector.


Inclusión en las listas negras de los motores de búsqueda

Cuando un motor de búsqueda bloquea un sitio web, el problema puede tardar hasta seis semanas en resolverse. Hasta entonces, nadie podrá encontrar tus productos o servicios, por mucho empeño que hayas puesto en mejorar tu posicionamiento.

Aunque te libres de las listas negras, ten en cuenta que las advertencias de seguridad que aparecen en el navegador afectan al posicionamiento. Alguien que sospeche que el sitio web no es seguro lo abandonará de inmediato, y cuanta más gente haga lo mismo, pero posicionado estarás.

Figura 5. Enlace al análisis de vulnerabilidades de Symantec.

Incumplimiento de las normativas

Proteger un sitio web no siempre es opcional. Hay leyes y normativas que regulan el procesamiento de pagos, las recopilación de datos, su almacenamiento y otros procesos, e incumplirlas puede salirte muy caro.

En España, el incumplimiento de la ley orgánica de protección de datos (LOPD) puede suponer sanciones de hasta 600.00 euros en caso de infracciones graves, y el nuevo reglamento europeo que está ahora en trámite contempla sanciones millonarias.

Figura 6. Información sobre la normativa europea sobre protección de datos.

La directiva europea sobre protección de datos

La directiva europea sobre protección de datos abarca todo el ciclo de vida de los datos, desde que decides recopilarlos hasta que te deshaces de ellos. Por supuesto, esto afecta muy directamente a los propietarios de sitios web, que están obligados a adoptar las medidas técnicas y de organización adecuadas para evitar el tratamiento ilícito o no autorizado de los datos personales, su destrucción o su pérdida accidental y otros daños.



viernes, 6 de febrero de 2015

Apuntes sobre la estadística de ataques a redes de información

El Ministro de Asuntos Exteriores y Cooperación, hizo en el día de ayer unas declaraciones que apuntaban que nuestro país había sufrido durante 2014 más de 70.000 ataques informáticos. Surge la oportunidad, y os cuento algunas cosas relacionadas.



Figura 1. Enlace a la noticia.

Para conocer en profundidad esas estadísticas, las Administraciones Públicas con competencias, emiten informes periódicos que nos ayudan a evaluar vulnerabilidades, riesgos, amenazas, tendencias, etcétera. 

 Figura 2. Enlace al informe CCN-CERT. CNI.


Según este informe, fueron 12.000 los incidentes registrados entre Enero - Octubre de 2014 presentación.

Figura 3: Estadísticas de incidentes detectados.


¿Cómo lo hacen? Pues a través de sondas IDS y los motores de correlación de eventos desplegados entorno al conocimiento de la industria de seguridad.

Figura 4: Esquema monitorización.

Las monitorizaciones se realizan en las redes de las Administraciones Públicas, pero también entorno a las infraestrucuturas críticas. Ambos, conforman el total de los incidentes registrados en los informes.

Figura 4: Enlace CNPIC.

Esos datos son completados por Incibe que entre otros servicios, se encarga de registrar la detección y el reporte de incidentes en cualquier empresa o a cualquier ciudadano.

Figura 5: Enlace a las herramientas de Incibe.

Añadimos, algunas Comunidades Autónomas también cuentan con CERT Regionales.


Figura 6. CERT-Regionales.

Por último, contamos incidentes registrados por el Grupo de Delitos Telemáticos de la Guardia Civil. y la Brigada de Investigación Tecnológica de la Policía. 



Es viernes, puede estar bien... no obstante, en futuros post ampliaremos la información sobre ciberseguridad, con más detalles sobre los tipos de incidentes registrados por cada organismo, el Mando Unificado de Ciberdefensa, el Esquema Nacional de Ciberseguridad y muchos otros contenidos de los que estamos seguros, estáis deseando conocer más. 

jueves, 8 de enero de 2015

Seguridad Informática: Predator, cifrado y llaves USB


Si necesitas configurar tus propias 'llaves USB', o proteger tus equipos, este post puede servirte de Guía. Predator es un software con versiones descargables, que nos pueden ser útiles como punto de partida para incorporar medidas de seguridad a nuestros dispositivos de almacenamiento y sistemas.




Si nunca has utilizado Predator antes, entonces debes seguir el siguiente procedimiento al pie de la letra. Por otra parte, si ya cuentas con la aplicación en tu sistema pero quieres una versión más nueva, es importantísimo que desinstales la versión previa antes de continuar con la instalación. De este modo, te evitarás problemas de estabilidad y compatibilidad.

Instalación y configuración 


Ahora sí, veamos el proceso de instalación. Lo primero que has de hacer, obviamente, es descargar Predator USB. Al hacerlo, te encontrarás con un archivo comprimido con dos ejecutables, de los cuales deberás ejecutar el que tiene el formato EXE.

Figura 1. Descargar 'Predator'.

La instalación discurrirá de manera normal, por lo que no tendrás que ajustar nada. Lo único que tendrás que tener en cuenta en este momento es que, si deseas elegir una carpeta de instalación diferente a la indicada por defecto, no tendrás que escoger una en tu memoria USB. En otras palabras, es obligatorio instalar el programa en el sistema operativo de la PC.

Una vez que Predator se haya instalado (y en caso que no hayas desmarcado la opción correspondiente durante la instalación), el programa se ejecutará automáticamente y te mostrará un cuadro de diálogo en donde se te advertirá que tendrás que crear una contraseña y una clave para comenzar a utilizar la aplicación. Este paso es realmente importante, ya que son estos datos los que te permitirán acceder una vez que el programa esté corriendo. Antes de ello, deberás conectar tu memoria USB y hacer clic en Aceptar.

Figura 2.  Proceso de instalación de 'Predator'.
 
§  Serás llevado al apartado de Preferencias del programa, en donde deberás definir la contraseña en el campo “Nueva contraseña”. La misma es crucial dado que te permitirá desbloquear el OS en caso que pierdas la llave USB. Así, tendrás que seleccionar una contraseña de al menos 6 caracteres, en la que podrás incluir números, símbolos y en la que se tendrán en cuenta las mayúsculas y minúsculas.
Figura 3. Establecer 'Preferencias'.

§  La opción Exigir contraseña que se encuentra debajo del campo ofrece una doble seguridad, ya que hará que tengas que escribir la contraseña para desbloquear el OS aún si has enchufado la memoria USB.


§  Luego de esto, será necesario generar la clave que se almacenará en el dispositivo USB y que se será el dato que permita el bloqueo y desbloqueo en su “conversación” con Predator. Para ello, y luego de haber creado la contraseña, deberás clicar en Crear clave. El programa te mostrará cuando el proceso haya finalizado, tras lo que solo deberás presionar en el botón de OK.

§ Como una medida preventiva, lo mejor es que reinicies el programa para que el monitoreo se realice correctamente. Para ello, ve a la Bandeja de entrada, haz clic en Salir y luego ejecuta Predator de nuevo. Ahora ya estarás listo para usar esta protección.

    Una vez que todo esté configurado, Predator USB monitoreará tu PC en constante búsqueda de la llave USB que tiene la clave. En otras palabras, deberás conectar tal dispositivo y dejarlo enchufado en todo momento para que el programa no te bloquee el acceso al sistema. Aquí tienes dos opciones: o bien haces que Predator arranque junto al OS (lo que hará que debas conectar la llave al inicio) o bien lo arrancas manualmente cuando lo desees.

    Sea cual fuere la opción que elijas, debes asegurarte que el ícono del programa en la Bandeja del sistema parpadee en todo momento, lo que sirve de indicador del correcto funcionamiento del programa. De este modo, cada vez que retires la llave USB con la clave, Predator esperará un tiempo prudencial (definido por ti) y bloqueará el acceso y solo permitirá entrar a quien tenga la llave.

Comenzar a utilizar el monitoreo 

§  Así, si no estás cerca de tu PC y alguien sin la llave quiere ingresar a tu OS, deberá ingresar la contraseña en el cuadro de diálogo que se le mostrará al intentarlo. Tal ventana tiene un contador que reducirá notablemente el tiempo en el que la persona puede ingresar la contraseña. Ello se hace para que los intentos de ingreso se reduzcan al mínimo para aquellas personas que buscan acceder sin tu permiso. Además, esto se combina con una alarma sonora personalizable que se hará escuchar cada vez que la persona en cuestión ingrese una contraseña errónea.
Figura 3. Aviso de protección del equipo.

§ Para reanudar tus tareas una vez que hayas vuelto a tu PC, solo tendrás que conectar la llave USB y continuar trabajando. Eso sí, si has tildado la opción de Exigir contraseña de la que hablamos antes, entonces tendrás que proporcionar esta información también. Lo positivo de utilizar Predator de esta manera es que, si alguien estuvo tratando de acceder a tu cuenta mientras no estabas, el programa te mostrará el registro con los intentos de acceso. De este modo, sabrás que alguien tiene interés en usar tu sistema y podrás extremar las precauciones.
§ Obviamente, el funcionamiento de Predator USB (como el de la mayoría de los programas de seguridad en el mercado) depende casi exclusivamente de las configuraciones y los ajustes que hagas en las opciones. Es por esta razón que ahora repasaremos los menús de opciones y cada una de sus alternativas para ver qué es lo que puedes hacer con esta aplicación. Veamos ahora el menú de opciones principales. 
§ Configuración: desde este apartado es posible ajustar las opciones relativas al monitoreo y su comportamiento tanto para cuando estás en la PC como cuando no. 
 Figura 4. Opciones de configuración.
§ Intervalo de detección: aquí definirás el período (en segundos) en el que Predator verificará si la llave USB está conectada al equipo. Si la misma no está enchufada en alguna de estas verificaciones, entonces el programa no permitirá el uso del teclado ni el mouse y la pantalla se volverá completamente negra. 

§ Intervalo de actualización: este es el período (en segundos) en el que Predator cambia la clave en la llave USB. La razón para ello es evitar que copias de tu llave USB sean utilizadas para desbloquear tu OS. Ten en cuenta que si el ícono de la Bandeja de sistema está en rojo, la actualización se está llevando a cabo y no debes extraer la memoria. 

   
    Detectar disquetes: al activar esta opción, utilizarás un disquete en vez de una llave USB. Útil para quienes tengan computadoras viejas.

Mostrar las notificaciones: al estar activada, Predator muestra notificaciones acerca de la pausa y la reanudación del monitoreo. Útil para cuando desbloqueas el sistema sin la llave (es decir, a través de la contraseña), ya que ello pausa el monitoreo automáticamente. 


Oscuridad de la pantalla: al quitar la llave USB, la pantalla se pone negra. Así, esta opción controla el grado de oscuridad (100=negro; 50=gris; 0=pantalla sin cambios). 


Monitores múltiples: al activar esta opción, todos los monitores adicionales se desactivan al sacar la llave USB. 


Ocultar los íconos del escritorio: al activarla, esconde los iconos al bloquear la sesión. Útil para cuando la pantalla no se pone totalmente negra. 


Minimizar las ventanas: minimiza todas las ventanas abiertas al bloquear el sistema. Su utilidad es la misma que la opción anterior. 


Desactivar Autorun: para evitar caminos alternativos de inicio de sesión forzada, Predator desactiva el autoarranque de unidades extraíbles y discos. 

Cambiar contraseña: además de las alternativas que ya hemos visto más arriba, en esta sección es posible cambiar la contraseña en cualquier momento. Como en cualquier servicio que utiliza esta forma de protección, se debe proveer la contraseña actual para definir una nueva configuración.

Figura 5. Pantalla para cambio de contraseña.
 
Memorias USB: en esta sección gestionarás todo lo relacionado a las llaves USB 


§   Crear clave en memoria: aquí seleccionarás la unidad extraíble que se convertirá en la llave que desbloquee el sistema y le asociarás una clave para realizar tal acción. Para ello, solo tendrás que escoger la letra correspondiente del menú desplegable y luego presionar en Crear clave. Asimismo, es posible nombrar cualquiera de las llaves haciendo clic en el campo correspondiente.
§    Activada: al desmarcar esta opción, la llave USB dejará de desbloquear la PC. Bastará que la actives de nuevo para volver a usarla.
§    Revocar clave: puedes utilizar este comando para indicar a Predator que no quieres que la llave USB seleccionada desbloquee el sistema. No necesitarás conectar la llave para revocar una clave.
§    La segunda de las pestañas de la configuración de Predator te permitirá seleccionar el sonido de alarma que emitirá el programa al fallar un intento de ingreso de contraseña, así como si la aplicación mostrará una ventana de acceso denegado. La parte inferior no está disponible en la versión gratuita, que es la que estamos revisando ahora, por lo que no entraremos en detalle en esta ocasión. 


Opciones de alarma
Figura 6. Establecer Preferencias de Alarma.

La segunda de las pestañas de la configuración de Predator te permitirá seleccionar el sonido de alarma que emitirá el programa al fallar un intento de ingreso de contraseña, así como si la aplicación mostrará una ventana de acceso denegado. La parte inferior no está disponible en la versión gratuita, que es la que estamos revisando ahora, por lo que no entraremos en detalle en esta ocasión.

 Figura 7. Establecer configuración de Alarma.
 
 
Idioma: define el lenguaje en el que se muestra la aplicación.


Inicio con Windows: determina si Predator arranca con Windows o no.


Autorizar pausa: define si la opción Pausar monitoreo está presente en el menú contextual al clicar sobre el ícono de la Bandeja del sistema. Es conveniente que tal opción esté disponible ya que no siempre querrás bloquear tu PC al quitar la llave USB.


Autorizar salida: define si podrás salir del programa o no.


Buscar actualizaciones: permite que el programa busque actualizaciones de la plataforma una vez por semana. Como siempre, es muy recomendable que actives esta opción para disponer siempre de la última versión.


Proteger las preferencias: si está activa, tendrás que ingresar tu contraseña caad vez que quieras acceder a las preferencias.


Pantalla de inicio: al activarla, verás una pantalla de bienvenida al arrancar el programa. Sinceramente, no tiene utilidad.


Autorizar Task Manager: al bloquear el sistema, Predator deshabilita el administrador de tareas de Windows. Así, los potenciales intrusos no podrán finalizar el servicio del programa. No obstante, puede que tengas alguna razón para dejar habilitado este módulo aun cuando el sistema esté bloqueado.

Registro: maneja las opciones del registro de intentos de acceso.Las acciones queden almacenadas en un registro guardado en el sistema.
Figura 8. Opciones de Registro.


Abrir registro después de las alarmas: define si Predator muestra el registro de intentos de acceso al desbloquear el sistema. Útil si quieres saber inmediatamente si alguien intentó ingresar a tu OS mientras tú no estabas.


Twitter: Predator tiene la capacidad de postear un tweet en tu cuenta en el servicio de microblogging para notificarte de alguna acción relevante. Esta sección tiene las opciones necesarias para realizar tal conexión.

Figura 9.  Configuración de notificaciones en Twitter.

Autorizar registro de Twitter: al activar esta opción, darás permiso para que la aplicación postee notificaciones sobre intentos de acceso en tu cuenta en Twitter.

PIN: es el número que garantizará el acceso de Predator a tu cuenta de Twitter. Para obtener tal número, tendrás que clicar en Obtener acceso a Twitter, lo que te llevará al sitio oficial a través de tu navegador. Allí, se te mostrará el dato buscado, que deberás copiar y pegar en el campo correspondiente para luego aplicarlo mediante el botón Confirmar PIN. 

Si todo sale bien, el nombre de tu usuario en Twitter deberá mostrarse en el campo Usuario.

Nivel: aquí definirás qué tipo de eventos se postean en tu Twitter. Información postea todos los eventos, Alerta muestra los eventos críticos y Error los más importantes. Selecciona ninguno si no quieres que se postee nada.

Nivel MD: con esta opción determinarás si quieres que Predator te envíe mensajes directos a tu cuenta de Twitter. Las alternativas son las mismas que en la opción anterior.

Destinatario MD: si quieres que otra cuenta de Twitter reciba las notificaciones a través de los mensajes directos, solo te bastará ingresar su nombre de usuario. Por supuesto, solo podrás utilizar una cuenta que estés siguiendo con la cuenta que hayas definido primero.

Prueba: este botón hace que Predator envíe un mensaje de prueba a las cuentas de Twitter definidas en esta sección.
En próximos post, tratareos con más detalle estas técnicas y ofrereremos más herramientas para realizar estos trabajos.

          -------------------- TO BE CONTINUED --------------------