- Martes, 10 Noviembre 2009
Según el Ponemon Institute el impacto de la pérdida-robo de datos es significativo del orden de 6,3M de dólares por brecha. Seis diferentes tipos de exploits utilizados en los ataques sofisticados son: la inyección SQL, la inyección JavaScript, el phishing, las vulnerabilidades del sistema operativo, el malware y la comunicación de canal encubierto. Una amenaza es un evento que puede comprometer la seguridad de un sistema, las amenazas intencionales las planean y ejecutan los agentes de amenazas. Tres amenazas especialmente relevantes para la privacidad son: el malware (lo obtienen los empleados y sin saberlo comprometen los sistemas internos de su empresa), las amenazas de los de dentro (son brechas a la seguridad maliciosas o accidentales a la privacidad de los datos) y los atacantes-externos-hackers (comprometen las aplicaciones basadas en Web para acceder a bases de datos). Una vulnerabilidad es una debilidad en un sistema o en los controles de seguridad que permite que se realice una amenaza. La exposición es la extensión a la que la información puede ser expuesta debido a la existencia de amenazas y vulnerabilidades asociadas. Las contramedidas son controles que reducen la exposición, contrarrestando las vulnerabilidades o amenazas, es decir reducen el riesgo. El riesgo neto o residual es el riesgo aceptable económicamente que queda después de implantar las contramedidas factibles. La seguridad de la información puede definirse como la prevención del acceso y/o manipulación no autorizada. Un sistema se considera seguro si puede protegerse contra intrusiones. Los principales métodos para medir la seguridad son:
(1) Análisis de riesgos. Estima la probabilidad de intrusiones específicas y sus consecuencias-impactos y costos. Se establece un compromiso entre costo y nivel de protección. Una metodología básica de análisis de riesgos consta de las siguientes seis fases: (i) Identificar los activos. (ii) Determinar las vulnerabilidades. (iii) Estimar la probabilidad de la explotación. (iv) Calcular la pérdida anual esperada debida a las intrusiones, que tiene que ver con el impacto. (v) Resumir los métodos de protección aplicables y sus costos. (vi) Proyectar los ahorros anuales realizando un compromiso entre el costo y nivel de protección obtenido y la inseguridad resultante.
(2) Evaluación/Certificación. Es la clasificación del sistema en clases en base a las características y mecanismos de seguridad diseñados. El mejor diseño es el sistema más seguro. Existen tres métodos fundamentalmente diferentes de certificación: (i) Análisis de penetración. Un Tiger Team es decir un equipo o grupo de especialistas en seguridad intenta romper el sistema y encontrar todas las vulnerabilidades. (ii) Validación informal. El test y comprobación del sistema, incluye por ejemplo: (a) La comprobación de requisitos. (b) La revisión del diseño y código. (c) El test del sistema y módulo software. (iii Verificación formal. El sistema operativo se reduce a un teorema matemático que se demuestra y prueba.
La evaluación consiste en valorar si un producto-sistema posee las propiedades de seguridad especificadas. La certificación consiste en la valoración formal del resultado de la evaluación. La acreditación consiste en decidir que un producto-sistema certificado puede utilizarse para una aplicación dada. La certificación se realiza utilizando estándares establecidos como CC (Common Criteria) evolución de ITSEC y TCSEC (Trusted Computer Security Evaluation Criteria). El objetivo de la certificación es: (i) Valorar la confianza en la corrección del sistema (¿Cómo de seguro es?). (ii) Valorar la calidad de la evaluación (¿Cómo de bien lo hemos hecho?). (iii) Documentarlo convenientemente.
(3) Métricas operacionales basadas en el proceso de intrusión. Una métrica estadística de seguridad del sistema basada en el esfuerzo necesario para realizar una intrusión. Cuanto mayor sea la dificultad para realizar una intrusión mas seguro será el sistema.
'
Tipos de vulnerabilidades.
Modo de buscar vulnerabilidades técnicas
Las vulnerabilidades pueden clasificarse atendiendo a muy diversos criterios: (1) Vulnerabilidades relacionadas con la gestión. Están relacionadas con la política organizacional, los procedimientos, los estándares y la educación y concienciación. Son por ejemplo: (i) La carencia de una política primordial de seguridad organizacional. (ii) El fallo para incorporar los requisitos de seguridad en el proceso de implantación del sistema. (iii) La carencia de procedimientos documentados. (iv) La carencia de estándares de seguridad documentados. (v) Un control de cambios deficiente. (vi) La carencia de controles internos. (vii) El fallo para separar funciones incompatibles. (viii) El fallo a la hora de proporcionar formación y concienciación en seguridad. (2) Vulnerabilidades de índole técnico. Están relacionadas con la configuración, la gestión de autorizaciones y permisos y con la integridad de los componentes de seguridad críticos. Son por ejemplo: (i) Una autenticación deficiente. Por ejemplo el uso de contraseñas muy cortas o fáciles de craquear o una autenticación no mútua entre cliente y servidor. (ii) Un control de acceso inapropiado o débil. (iii) El fallo a la hora de monitorizar o registrar de eventos de seguridad. (iv) Los mecanismos de seguridad rotos o con fallos. (v) Características de seguridad no diseñadas para el entorno deseado. (vi) Protocolos de seguridad con fallos como por ejemplo todos los protocolos de la arquitectura TCP/IP, así los fallos en el protocolo DNS permiten el envenenamiento DNS que conduce al pharming mas peligroso que el phishing. (vii) Utilización deficiente de la criptografía. (viii) Unas inapropiadas suposiciones de confiabilidad.
Algunas fuentes donde se pueden encontrar nuevas vulnerabilidades-amenazas actuales son: (1) CERT y otros equipos de respuesta a incidentes. (2) Bugtraq. Publica vulnerabilidades incluso aunque no exista parche del fabricante. En 1999 se hizo parte de SecurityFocus y Symantec adquirió SecurityFocus en el 2002: http://
www.securityfocus.com/vulnerabilities. BugTraq permite buscar por CVE o por fabricante, producto y versión. Proporciona descripción y análisis de la vulnerabilidad, código del exploit si esta disponible y es relevante, contramedidas como parches, etc. (3) Milw0rm.
Es una gran lista de exploits: http://www.milw0rm.com/. (4) Fabricantes que informan a sus clientes de vulnerabilidades, por ejemplo Microsoft (http://www.microsoft.com/technet/security/current.aspx), Cisco (http://www.cisco.com/en/US/products/products_security_advisories_listing.html), Oracle, etc. (5) Fabricantes de seguridad y otras organizaciones con servicio de suscripción no gratuito.
Listados de vulnerabilidades
Algunas vulnerabilidades han existido durante años: (1) Errores de configuración: (i) No eliminar programas demo/test de productos. (ii) Establecer un cifrado no existente (Wi-Fi sin cifrado) o deficiente (Wi-Fi con protocolo WEP craqueable), por ejemplo con una gestión de claves inadecuada. (iii) Permisos al sistema de ficheros deficiente. (2) Contraseñas por defecto no cambiadas. (3) Servicios con exposiciones de seguridad inherentes, por ejemplo en el protocolo de aplicación finger. Otras vulnerabilidades representan nuevos fallos, defectos y debilidades descubiertas en productos hardware y software: (1) MITRE Corporation soporta CVE (Common Vulnerabilities and Exposures) es un listado de nombres de vulnerabilidades, es un diccionario no una base de datos. Es un punto de referencia común para valorar lo que se encuentra y referencias cruzadas a otros listados. Cada vulnerabilidad se denota como por ejemplo CVE-2009-0224 donde 2009 es el año de aparición y 0224 es el identificador que especifica la vulnerabilidad. Esta disponible para descarga gratuita ver: http://cve.mitre.
org/cve/. (2) US-CERT (US-Computer Emergency Response Team). Publica alertas y vulnerabilidades (http://www.kb.cert.org/vuls/ para vulnerabilidades y http://www.us-cert.gov/cas/alerts/ para alertas). Originalmente el CERT arrancó en la Universidad Carnegie Mellon, empezó en 1988 en respuesta al gusano de Morris. Publica vulnerabilidades conocidas sólo después de que los fabricantes lo lancen. Actualmente, US-CERT es parte del Departamento de Homeland Security. Las vulnerabilidades US-CERT se basan en los nombres CVE y se organizan de acuerdo a su severidad determinada por el estándar CVSS (Common Vulnerabilities Scoring System). La división de la severidad se hace en alto, medio y bajo corresponde al siguiente criterio: alto (vulnerabilidades con valor de 7 a 10), medio (vulnerabilidades de 4 a 6,9) y bajo (vulnerabilidades de 0 a 3,9), por ejemplo CVE-2009-3068 publicado en 4-9-09 posee un CVSS store de valor 10, es decir alto.
Consideraciones finales
Nuestro grupo de investigación lleva trabajado más de dos decenios en el área de la evaluación, identificación, análisis, seguimiento, descubrimiento, generación y evolución de las vulnerabilidades y sus aspectos de seguridad relacionados como riesgos y contramedidas adaptativas a medida.
Este artículo se enmarca en las actividades desarrolladas dentro del proyecto LEFIS-APTICE (financiado por Socrates. European Commission).
Bibliografía
- Areitio, J. “Seguridad de la Información: Redes, Informática y Sistemas de Información”. Cengage Learning-Paraninfo. 2009.
- Areitio, J. “Análisis en torno al spam”. Revista Conectrónica. Nº 104. Febrero 2007.
- Areitio, J. “Análisis en torno a las tecnologías para el encubrimiento de información”. Revista Conectrónica. Nº 109. Julio-Agosto 2007.
- Areitio, J. “Análisis en torno a la seguridad forense, técnicas antiforenses, respuesta a incidentes y gestión de evidencias digitales”. Revista Conectrónica. Nº 125. Marzo 2009.
- Schryen, G. “Anti Spam Measures: Analysis and Design”. Springer. 2007.
- Lee, W., Wang, C. and Dagon, D. “Botnet Detection: Countering the Largest Security Threat”. Springer. 2007.
- Howard, R. “Cyber Fraud”. Auerbach Publishers, Inc. 2009.
- Flegel, U. “Privacy Respecting Intrusion Detection”. Springer. 2007.
- Aycock, J. “Computer Viruses and Malware”. Springer. 2006
Autor:
Prof. Dr. Javier Areitio Bertolín – E.Mail: Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.
Catedrático de la Facultad de Ingeniería. ESIDE.
Director del Grupo de Investigación Redes y Sistemas. Universidad de Deusto .
Cursos Técnicos y Seminarios
Fibra GPON asimétrica. Solución Plug&Play para edificios
Keynet Systems organiza esta charla técnica en la que se tratará de cómo se diseña e instala una ...
Proyecto europeo “Ingenieros del Futuro” con formaciones online gratuitas para jóvenes y docentes ...
El Clúster GAIA ha participado en el proyecto europeo "Engineers of the Future”, cofinanciado por ...
Curso básico de Radiocomunicaciones gratuito
Este curso realizado por el Dr. Francisco Ramos Pascual abordará todos aquellos aspectos ...
Libro electrónico sobre conectividad inalámbrica
Mouser Electronics, Inc presenta un nuevo libro electrónico en colaboración con STMicroelectronics ...
Centro de recursos técnicos sobre retos de la ciberseguridad
En el mundo interconectado de hoy en día, la necesidad de integrar la seguridad en el nivel ...
Suscríbase a la revista CONECtrónica
Precio suscripción anual:
PDF: 60,00.- € (IVA incluido.)
PAPEL: 180,00.- € (IVA incluido.)
Recibirá las 7 ediciones que se publican al año.