Forensics in Spanish
RE: Procesos de seguridad informática Feb 02 2006 11:03AM
jalvare7 cajastur es (1 replies)
RE: Procesos de seguridad informática Feb 03 2006 11:07AM
fabian.chiera (at) e-risk.com (dot) ar [email concealed] (fabian chiera e-risk com ar) (1 replies)
RE: Procesos de seguridad informática y algo mas... Feb 03 2006 06:08PM
Anatoy A. Pedemonte Ku (apedemonte gmail com) (2 replies)
RE: Procesos de seguridad informática y algo mas... Feb 06 2006 09:31AM
Fredes Insa/Cybex (finsa cybex es)
RE: Procesos de seguridad informática y algomas... Feb 03 2006 10:21PM
Angel Alberto Briceño Obregón (linux peruviansoft com)
Si se habla de Seguridad Informática, hay dos métodos, Ataque y Defensa.
A lo largo del tiempo tuve la oportunidad de conocer gente dedicada a
Seguridad de Sistemas y Redes LAN/MAN/WAN bajo diversos tipo de
protocolos y Sistemas Operativos y Plataformas. Especialistas en
Defensa: Muchos de ellos dedicados años a la Defensa de la zona que
guarda en su Organización. Especialista en Ataques: Gente con gran
talento para agredir, intromisión y acceso a Sistemas Ajenas a su
entorno local o perímetro.

Dedicados a la Defensa: Gente que se especializo a cubrir sistemas con
parches, metodologías y recomendaciones (buenas practicas de seguridad)
que en algunos casos están normadas por gobiernos y entidades
internacionales. Generalmente. Apuntan a minimizar los riesgos. En esta
especialización hay muchos que utilizan Software Libre, que para muchos
es un gran beneficio, ya que puede ubicar mas fácilmente un Hueco (Error
de programación o Problema de Concepto) y poder arreglar mucho más
rápido el problema. Otros en cambio utilizan Sistemas compilados
privados (Software propietario), confiando que si hay alguna
vulnerabilidad el proveedor del sistema pueda efectuar algún cambio que
minimice el riesgo. Para ambos casos (OpenSource y Software Propietario)
siempre existe lo que se llama peligros derivados, es decir situaciones
y problemas causados por huecos pasados que ya fueron subsanados, estos
derivados dan lugar a encontrar más sistemas con vulnerabilidades
(muchos de ellos comparten libs comunes) , es decir pensar que con un
parche se arregla todo el problema puede ser desastroso.

Dedicados al Ataque: Los profesionales o vistuosos dedicados al ataque
lo ejecutan por N fines, muchos de ellos empezaron descubriendo cosas
que muchos dedicados a la Defensa no lo distinguen por su naturaleza (ya
hablare después sobre esto). Dentro de este grupo de humanos hay quienes
están especializados a una forma de ataque, y sacan toda la ventaja
posible de su técnica, en muchos casos toman técnicas foráneas y lo
adaptan a los fines que persiguen. Algunos con muchos años en técnicas
de sniffing, defacement, spoofing , injection, etc. cada cierto tiempo
realizan escaneos de acuerdo a los nuevos huecos que salen a la luz a
través de las paginas y news de la internet. Otros menos detectados,
utilizan búsquedas de víctimas a través de los buscadores (Google? ) .

Los Dedicados a la Defensa en muchos casos no saben de que se defienden,
no saben de donde viene el golpe, y en muchos casos son burlados sin que
se dé cuenta hasta que el Homicida (Victimario) cometa un error (dejar
huellas, meter la pata con un proceso, etc.). Sé que muchos dedicados a
la Defensa efectuán horas y horas pruebas y test de penetración y
vulnerabilidad. Sin pensar que las nuevas formas de ataque o las nuevas
vulnerabilidades todavía no están en las listas de Test-scanner.

Creo que todo hueco o vulnerabilidad debería estudiarse en forma
detallada y minuciosa, ya que de allí se extenderá a otros sistemas que
también pueden ser comprometidos. Se sabe que cada día hay varios casos,
pero creo que es la única forma de saber a que se enfrentan los
dedicados a la Defensa. Al referirme al estudio minucioso me refiero a
los estudios de Causa / Efecto por cada vulnerabilidad, es decir probar
y/o hacer laboratorio de como actúa el ataque.

Tener el código al lado y revizar creo que es una buena forma de
comprobar que tan seguro puede funcionar ese código dentro de una
organización. Tener solo el ejecutable (compilado) es apoyarse o
depender de terceros sobre la seguridad de su entorno. Entonces cual
resultaría mas beneficioso, ¿ que toda la comunidad sepa de la
vulnerabilidad o que nadie sepa de ella?, si una vulnerabilidad todavía
no ha salido a la luz, es mejor ocultarlo o informar a la comunidad ?.
De aquí se desprende diversos debates.

Saludos,

Angel Alberto Briceño Obregón

El vie, 03-02-2006 a las 13:08 -0500, Anatoy A. Pedemonte Ku escribió:
> Muy buenos comentarios sobre el tema que se ha escapado pero es como si
> hubiera barcado mas y bueno quiero aportar mas sobre este tema y que muy
> poco corre en esta lista temas in
> teresantes en español.
>
> Bueno la seguridad en si se tiene que dar en todo el proceso del negocio,
> asi como tambien en un proyecto, etc,etc.Mucho se habla de mejora continua
> en los negocios y en las organizaciones, pero tambien cabe recalcar que la
> seguridad, no solamente se hace al incio, muy bien pensando, muy bien
> planeado, organizado, minimizando riesgos y amenazas, y bueno en realidad no
> es asi, la seguridad tambien maneja el concepto de mejora continuaa, y es
> directamente proporcional al avance tecnologico y a la vida cotidiana.
>
> Y si analizariamos, la seguridad sin ser accionada desde nuestra misma
> organizacion, nos puede hacer perder una gran cantidad de dinero, y segun el
> CSI/FBI en su Survey del 2004 la perdida ocasionada en el 2004 fue de mas
> 141 millones de dolares, menos que en el 2003 que fue el doble.
>
> No solo debemos de actuar bajo condiciones logicas, tecnicos, fisicos, y
> administrativos, por lo que un factor en estos casos nos puede ocasionar un
> problema, y viendo las ponencias y buenos comentarios sobre el tema esto se
> debe complemntar dentro de un esquema de la gobernabilidad de la seguridad
> de la información, que no solo es en si de la información, por que nuestros
> dispositivos de red, por ejemplo nuestro router de frontera puede ser
> atacado por una gran cantidad de ataques DDoS, e imaginemos mas adelante que
> esto sea mas comun y llegaramos atarcarnos entre nosotros mismos, con solo
> infectarnos por un worm de generacion III o quizas IV activado por uno de
> nuestros empleados(Vean e investiguen Phatbot).
>
> La seguridad en realidad no es un tema de que solamente es el robo o
> boicoteo de información segun los Survey del FBI, el problema fundamental
> esta en nuestras organizaciones, gracias a los virus, utilizando la
> ingenieria social, es que va aumentando. Si vemos es un solo problema, que
> por mas metodologia, estandares, etc,etc. No llegamos a poder solucionar el
> problema, la teoria tiene que ir con la practica, pero la practica y la
> tecnica es lo que nos ayudara a solucionar el problema. De que tener
> conocimientos de los procesos la administración si no sabemos tomar medidas
> a un problema, los sistemas de seguridad propietarios u open source , no son
> la panacea al problema, mas que nada son herramientas. Y es decir cuando una
> amenaza es lanzada a las redes no viene con una firma o una seña que indique
> que es una amenaza, y es mas si cuando quedas comprometido, inclusive no nos
> damos cuenta, hasta que por casos estadisticos recien detectamos el
> problema. Un gran caso de estudio es lo que le sucedio a CD Universe, que
> por mas de seis meses un blackhat robo todas las tarjetas de crédito de los
> clientes, y publicó en internet una porción de la información, hasta ahora
> no se sabe quien es el autor. Y bueno CD-Universe es una empresa, con mas
> negocios de por medio, invirtio mucho en seguridad, utilizo lo ultimo en
> tecnologia, aplico todos los estandares y la metodologia, pero que sucedio
> realmente que le falto. Si cumplieron con casi todo lo discutido en este
> tema, en la lista...
>
> Nos damos cuenta que no solo es estandarEs, metodologia, aplicaciones,
> inversión, ser un experto en seguridad, etc,etc. Todo plan de seguridad en
> las TIC se complementa, y quizas CD-Universe, le falto algo muy primordial,
> dentro del esquema de la seguridad de la informacion que por cierto muy
> difundida muy estandarizada, muy reglamentada, quizas si hubiera tenido en
> cuenta este no tan nuevo paradigma si es mucho decir Defense-in-Depth,ahora
> se preguntaran ire de forma inversa sobre el tema.
>
> ¿Qué exige exactamente Defense-in-Depth? La respuesta simple es el
> perímetro, la red interna, y el factor humano.
>
> ¿Cuáles serían los beneficios con una defensa en profundidad?
> �Reducción del valor de activos a los atacantes
> �Atenuación de Vulnerabilidades específicas
>
> Que es Defense-in-Depth o defensa en profundidad?
>
> Es una arquitectura bien estructurada, sobre la seguridad tratada como una
> cebolla, ya que si vemos después de la capa exterior nos encontramos con
> más debajo de ella y así sucesivamente, por que ningún concepto lleva más
> importancia al discutir la seguridad de redes que defensa en profundidad.
> Que es lo que se quiere decir, que esta defensa protege recursos de la red
> incluso si una de las capas, queda comprometida con problemas de seguridad.
> Después de todo, ningún componente puede garantizar seguridad de cada ataque
> que ocurre y hacerlo frente.
> Operamos en un mundo verdadero de sistemas distintos, bugs de software, de
> empleados descontentos, y de administradores de sistema sobrecargados.
> Por otra parte cualquier necesidad práctica en el diseño de la seguridad,
> para acomodar las necesidades del negocio, pueda ser que abramos un puerto
> del firewall, dejar los servicios adicionales en los servidores, o evitar el
> ultimo parche de seguridad por que rompe un proceso critico del negocio,
> para esto entonces es recomendable tratar componentes de seguridad de
> perímetro como partes de una infraestructura coherente, que permita que las
> despleguemos de una manera que considere las debilidades y las fuerzas de
> cada componente individual.
>
> Ahora el grado del cual usted necesita aplicar capas de seguridad de la red
> depende de las necesidades y de las capacidades del negocio. La defensa en
> profundidad no convive con lo ya normalizado o conocido, esto es mas que
> pura defensa, quizas en algunos elementos se requiere conocimiento muy
> técnico y muy estrategico.
>
> Espero mi comentarios sean del agrado de Uds. Y si en algo hay que
> aclararme, los aceptaré gustosamente. Tengo mucho por comentar sobre el
> tema, pero el timpo no es un buen aliado.
>
> Saludos
>
> -------------------------------
> Anatoly Alexei Pedemonte Ku
> -------------------------------
>
>
>
>
>
>

[ reply ]


 

Privacy Statement
Copyright 2010, SecurityFocus