ZAPATERO A TUS ZAPATOS!!!!

Con este “dicho” criollo y famoso, quiero empezar algunos comentarios y recomendaciones relacionados a una amenaza actual que afrontan las empresas, principalmente las Entidades Financieras, donde la zona de ataque y los medios a afrontarlos son en medios informáticos. Me refiero a los fraudes relacionados con la clonación de tarjetas de debito a través de los ATMs, los accesos no autorizados y la manipulación de la información con beneficios que generan impactos importantes a nivel financiero, de imagen, de credibilidad y otros.

ANTECEDENTES:

A raíz de estos hechos mencionados, la ASFI (autoridad fiscalizadora del sistema financiero) ha emitido una carta circular No. 3272 en fecha 14 de julio del 2011, referenciado con el trámite No. T-523636, respecto a la seguridad informática que deben asumir, señalando en el punto 2, que textualmente señala: “Al final de cada semestre deberán probar la seguridad de los sistemas de información mediante procedimientos de “HACKING ETICO”, atendiendo de manera inmediata las vulnerabilidades y debilidades detectadas como resultado de este proceso”, teniendo un plazo para su cumplimiento en esta gestión hasta el 15 de noviembre.

JUSTIFICACION:

La seguridad de una organización es un aspecto cambiante. Una empresa puede alcanzar un nivel de protección óptimo en un momento determinado y ser totalmente sensible poco después, tras cambios en la configuración de un servidor o tras la instalación de nuevos dispositivos de red. Al mismo tiempo, continuamente aparecen nuevos fallos de seguridad en softwares existentes, que previamente se creían seguros.

Una política de realización de pruebas de penetración periódicas mitiga, en gran medida, el riesgo asociado a un entorno en constante cambio, tal como lo representan los sistemas informáticos de cualquier compañía.

A la fecha vemos con mucha preocupación que algunas entidades no han asimilado la circular referida, como debería corresponder. Por otro lado, valoramos la importante iniciativa de control que ha emitido la ASFI, situación que por nuestra experiencia en el ramo del control de los sistemas de información en entorno informático, nos lleva a emitir algunos conceptos puntuales, que esperamos les pueda dar “mayores luces en este tema”.

PROCEDIMIENTOS DE HACKING ETICO:

Es importante definir en forma clara, cuales son considerados “Procedimientos de Hacking Ético”, considerando que su tratamiento es parte de una especialidad especifica y puntual.

Estos procedimientos están establecidos en metodologías y estándares especificas como son por ejemplo:

  1. OSSTMM (Open Source Security Testing Methodology Manual), es el estándar más completo para auditar la seguridad de los sistemas desde internet, estableciendo un marco de trabajo por fases, que incluye testeos de las aplicaciones en internet, seguridad de las comunicaciones, etc. Representa un estándar de referencia imprescindible, para todo aquel que quiera llevar a cabo un testeo de seguridad en forma ordenada y con calidad profesional.
  2. OWASP (Open Web Application Security Project)- Proyecto de seguridad de aplicaciones web abiertas, es un marco de trabajo documental para la realización de auditorías sobre aplicaciones Web.
  3. ISSAF.- Constituye un framework detallado respecto de las prácticas y conceptos relacionados con todas y cada una de las tareas a realizar al conducir un testeo de seguridad. La información contenida dentro de ISSAF, se encuentra organizada alrededor de lo que se ha dado en llamar “Criterios de Evaluación”, cada uno de los cuales ha sido escrito y/o revisado por expertos en cada una de las áreas de aplicación.

TIPOS DE TESTs:

Considerando los objetivos, el alcance de las pruebas y los servicios que brinda la Entidad Financiera, a continuación describimos algunos de ellos:

  • Tests de intrusión ciega: se utiliza únicamente la información pública disponible sobre la empresa. Esta prueba de penetración trata de simular los ataques de un ente externo a la empresa.
  • Tests de intrusión informada: se utiliza información privada, otorgada por la empresa, sobre sus sistemas informáticos. Esta prueba de penetración trata de simular ataques hechos por un ente interno a la empresa y con cierto grado de información privilegiada.
  • Tests de intrusión externa: se realiza de manera externa a las instalaciones de la empresa. La motivación de esta prueba es evaluar los mecanismos perimetrales de seguridad informática de la empresa.
  • Tests de intrusión interna: es realizada dentro de las instalaciones de la empresa con el motivo de probar las políticas y los mecanismos internos de seguridad de la empresa.

El resultado de estos servicio (que se recomienda considerarlos todos ellos), le brinda a la Entidad Financiera, un INFORME TECNICO, con una lista detallada de las vulnerabilidades encontradas y certificadas (eliminación de falsos positivos). Adicionalmente este INFORME provee una lista de recomendaciones a aplicar, sobre la cual los responsables de seguridad de la organización pueden apoyar su PLAN DE ACCION.

IMPORTANCIA DE LA PRUEBA DE SEGURIDAD INFORMATICA

Una prueba de test de intrusión, realizada por profesionales competentes en la especialidad, que generalmente son certificados en CEH (Certified Ethical Hacking) y/o CSSH (Certified System Security Hacker), u otros relacionados al tema, avalados por empresas legalmente constituidas en nuestro medio que por las características de los servicios, la ASFI no exige que estén autorizadas y registradas, como las establecidas para las empresas de Auditorías Externas (Pe. empresas registradas con personería jurídica, con registro en Fundempresa, NIT, etc.), le otorgan a la empresa contratante, los siguientes beneficios:

  • Proporcionar un conocimiento del grado de vulnerabilidad de los sistemas de información, imprescindible para aplicar medidas correctivas.
  • Descubrir fallas de seguridad tras cambios de configuración.
  • Determinar sistemas en peligros debido a su desactualización.
  • Identificar configuraciones erróneas que pudieran desembocar en fallos de seguridad en dispositivos de red (switches, routers, firewalls, etc.).
  • Reducir la probabilidad de materialización de aquellos riesgos que pueden representar grandes pérdidas de IMPACTO FINOL.

PARADIGMAS

  • Ethical Hacking, NO es un “servicio similar al de una Auditoria de Sistemas”, ya que los objetivos son totalmente diferentes, Audisis, evalúa los controles existentes para medir el grado de cumplimiento, siguiendo metodologías específicas como las establecidas por ISACA. Ethical Hacking busca vulnerabilidades o debilidades, simulando un ataque externo o interno a los medios informáticos, hasta lograr su objetivo, siguiendo también metodologías especificas como las que mencionamos anteriormente.
  • Un Auditor de Sistemas de información Certificado, no es el profesional idóneo para realizar un servicio de Test de Intrusión, si no cuenta adicionalmente o específicamente, con certificaciones relacionadas a hacking como ser CEH, CSSH, u otros.
  • La mayoría de los ataques realizados por los Hackers, son a nivel de CODIGO!, por tanto las medidas tomadas en las empresas a nivel de REDES, resultan insuficientes, lo que nos permite concluir que el ataque debe ser afrontado por un equipo que minimice los riesgos en dicho nivel.
  • Los profesionales y certificados en REDES (Pe. Cisco y sus demás certificaciones), tienen una función importante en el negocio, administrando y configurando la RED y los Dispositivos, pero su función no es específicamente velar por la seguridad informática. Los casos ocurridos, nos demuestran esta afirmación.
  • Las Técnicas y Herramientas utilizadas por los HACKERS, en su mayoría son desarrolladas por ellos mismos, afrontarlos significa: pensar como ellos, actuar como ellos y utilizar similares técnicas y herramientas.

CONCLUSIONES

El resultado de la violación de los sistemas y redes informáticas en todo el mundo ha provocado la pérdida o modificación de los datos sensibles a las organizaciones, representando daños que se traducen en miles de dólares.

Esta situación se presenta gracias a los esquemas ineficientes de seguridad con los que cuentan la mayoría de las empresas en nuestro medio y porque no existe conocimiento relacionado con la planeación de un esquema preventivo-detectivo de seguridad eficiente que proteja los recursos informáticos de las actuales amenazas combinadas.

Podemos afirmar entonces que una alternativa viable, en aras de alcanzar una seguridad informática “razonable” para cualquier red o sistema (aunque para la mayoría de los expertos el “concepto de seguridad” en la informática es utópico porque no existe un sistema 100% seguro) lo representa, sin duda alguna, las empresas que INVIERTEN en estos procesos de control.

En este trabajo, luego de realizar una introducción previa al tema, se abordó de manera resumida el enfoque al que están dirigidos los servicios de ethical hacking. Se profundizó en los llamados test de intrusión, una de las principales técnicas utilizadas por los ethical hacking, abordando los diferentes tipos que existen, su definición, la importancia y los beneficios que pueden aportar. Finalmente se analizaron las principales metodologías que existen en la actualidad para desarrollar estas tareas, capaces de garantizar una correcta ejecución y elevados niveles de calidad. Se proporcionó una breve descripción de cada una de ellas.

Consideramos que estos COMENTARIOS Y RECOMENDACIONES, permita a los colegas y empresas tomar mejores decisiones en beneficio de su seguridad informática que administra sus sistemas de información.

 

Escrito por Hugo Rosales Uriona – Gerente de COSIM TI SRL

www.cosimti.com