"Una idea puede transformarse en polvo o en magia, dependiendo del talento con que la frotes"

[ William Bernbach - Publicista estadounidense - 1911-1982 ]

Boletín 139 - Auditoria de Sistemas de Información (COSO y COBIT) - 18/07/2009

La última semana ha sido particularmente ocupada para Segu-Info debido a que un error (falso positivo) en uno de los principales sitios de seguridad mundial, ha logrado que nuestro sitio permanezca durante 48 hs marcado como peligroso y dañino.

El excelente trabajo que lleva adelante ISC es reconocido por todo el mundo relacionado a la Seguridad de la Información y muchos otros sitios del medio, entre los que se cuentan OpenDNS, MalwareDomains, Web of Trust (WoT) y algunos antivirus, se hacen eco de la información publicada, generalmente de alto interés y confiabilidad.

En este caso un análisis incorrecto de nuestro Blog, permitió que se publicara el mismo en una lista de sitios peligrosos, que infectaban al usuario a través de la explotación de un fallo 0-day en productos de Microsoft.

A través de la denuncia de nuestros lectores y de nuestro reclamo pertinente a todos los involucrados, el falso positivo fue reconocido y solventado en lo inmediato posible.

Esto demuestra que la reputación de nuestro sitio y nuestro Blog sigue siendo intachable y que nunca pondríamos en peligro a nuestros usuarios.

Si deseas puedes seguir ayudándonos y catalogarnos como sitio confiable votándonos.

La historia completa en:
http://blog.segu-info.com.ar/2009/07/opendns-bloqueo-el-blog-de-segu-info.html
http://blog.segu-info.com.ar/2009/07/disculpas-de-opendns-y-isc.html

IMPORTANTE: Actualiza tu Windows y tu Firefox!

1. Auditoria de Sistemas de Información (COSO y COBIT)
2. Análisis de la anatomía de un ataque a un sistema informático
3. Vulnerabilidades 0-Day y la propagación de malware
4. Publicada la Guía de Pruebas de OWASP 3.0 en español
5. Segu-Info busca autores
6. Apoya a Segu-Kids, Juntos en la Red
7. Desafío de la semana

1. Robo de datos por Internet ¿cómo protegerse?

El presente documento ha sido desarrollado por Gerardo Cosachov, quien desarrolla sus actividades en una importante empresa internacional.

El documento abarca los principales aspectos a tener a cuenta al momento de iniciar una auditoria de sistemas y posteriormente se enfoca en la metodología a emplear con los dos estándares generales que guían la actividad de auditoria de sistemas: COSO y COBIT.

El documento "Auditoria de Sistemas de Información" puede ser descargado de nuestra sección de Terceros.

¡Gracias Gerardo!

2. Análisis de la anatomía de un ataque a un sistema informático

Daniel Monroy López (aka Rooter) de la Universidad Nacional Autónoma de México nos ha hecho llega su Tesis de Grado para obtener el Título de Ingeniero en Computación.

La misma se titula "Análisis inicial de la anatomía de un ataque a un sistema informático" y se "refiere a las primeras fases en la anatomía de un ataque, es decir, cómo un atacante logra tener acceso no autorizado a un sistema informático" y "se pretende dar una introducción sobre la seguridad informática y los sistemas GNU/Linux, además de mostrar cuál es la metodología utilizada por los atacantes en el campo real al momento de penetrar en un sistema."

El documentos puede ser descargados desde nuestra sección de Tesis.

¡Gracias Daniel!

3. Vulnerabilidades 0-Day y la propagación de malware

Un exploit 0-Day significa que existe una vulnerabilidad en una aplicación, la cual generalmente la mayoría de la comunidad desconoce y para la cual no existe un parche o actualización disponible por parte del desarrollador (vendor) de dicha aplicación. Al no conocerse, este desarrollador no ha tenido la oportunidad de analizar dicha vulnerabilidad y, en todo caso, no existe una actualización pública y disponible para la misma.

Lo antes dicho es en líneas generales lo que aplica en la mayoría de los casos pero puede haber excepciones como que por ejemplo que el vendor conozca la vulnerabilidad y decida no actualizar su aplicación debido a que no la considera crítica o peligrosa en ese momento. Este es el caso de las "últimas" vulnerabilidades 0-Day descubiertas en componentes ActiveX de productos de Microsoft. En realidad dos de estas vulnerabilidades (CVE-2008-0015 y CVE-2008-0020) ya habían sido informadas en 2008 a la empresa por personal de IBM ISS X-Force.

El motivo por el cual Microsoft no atendió antes estos errores pueden ser muchos pero lo cierto es que los mismos se hicieron públicos y actualmente están siendo aprovechados para propagar malware a través de la inserción de script dañinos en sitios web vulnerables [1]. Por ahora sólo se puede mitigar el problema a través de la activación de los Kill Bits de los archivos vulnerables (esto implica la modificación de algunas claves de registro).

Otro 0-Day fue encontrado y publicado en la última semana en la nueva versión de Firefox 3.5. El resultado también fue la utilización de un exploit para propagar malware pero en esta ocasión la Fundación Mozilla respondió con una actualización crítica para el producto [2].

Lo interesante de los exploits 0-Day para propagar malware es que los mismos, al ser utilizados a través de JavaScript y VisualScript, son fácilmente insertados en miles de sitios [3] con el objetivo de que el usuario ingrese y, sin saberlo, se descargue un malware a su sistema (sí, simplemente ingresando al sitio y sin hacer nada más).

Pero, ¿cómo se hace esto?

En realidad es bastante sencillo. Tomemos por ejemplo el exploit activo que se hizo público en el caso de Firefox 3.5. El mismo ejecuta una calculadora en el sistema del usuario pero, puede ser descargado y modificado a voluntad por cualquier persona con malas intenciones y, puede hacerse que ejecute un troyano en el equipo.

Luego, se alojará dicho script (lenguaje JavaScript en este caso) en algún servidor del atacante o al cual el mismo tenga acceso en cualquier lugar del mundo.

Posteriormente, se procederá a invocar con una línea de código dicho script en miles de sitios y, cuanto más populares sean los mismos, mayor serán las posibilidades de éxito del atacante. Para llevar a cabo esta acción, el delincuente modifica las páginas web en dichos sitios, para lo cual estos deberán haber sido encontrados como vulnerables [3]. Por supuesto, esta acción de búsqueda puede ser automatizada y se encontrarán miles de sitios "disponibles" para la modificación.

Por último la víctima, sin saber que el sitio fue modificado, ingresa al mismo, se invoca el script dañino, en trasfondo y sin nada visible que alerte sobre dicha acción, descargando el malware, ejecutándolo e infectando al usuario.

En este circuito desde el descubrimiento de la vulnerabilidad, el parcheo, la utilización del exploit y la infección todos los eslabones somos un poco responsables:

• El descubridor de la vulnerabilidad debería alertar a la empresa e intentar no publicar la misma en lo inmediato [4]. Esto se dió en el caso de Microsoft e IBM pero no en el caso de Firefox, en donde su descubridor se apresuró a publicar el 0-Day
• La empresa debería parchear a la brevedad y en los márgenes posibles y manejables la actualización para el error encontrado. Esto se dió en el caso de Mozilla, pero no en el caso de Microsoft.
• El atacante es un delincuente y vive de eso. Simplemente debemos no intentar facilitarle su tarea.
• El usuario debe informarse y actualizar sus aplicaciones cuando las mismas existan y hacer un uso seguro de sus herramientas informáticas.

[1] Las tres vulnerabilidades 0-Day de Microsoft y sus Workaround
http://blog.segu-info.com.ar/2009/07/las-tres-vulnerabilidades-0-day-de.html

[2] Mozilla lanza Firefox 3.5.1 para corregir fallo crítico
http://blog.segu-info.com.ar/2009/07/mozilla-lanza-firefox-351-para-corregir.html

[3] Modificación de sitios web (Defacing) con objetivos económicos
http://www.segu-info.com.ar/articulos/96-defacing-objetivos-economicos.htm

[4] Informar vulnerabilidades como parte de la responsabilidad social
http://www.segu-info.com.ar/articulos/88-informar-vulnerabilidades-responsabilidad-social.htm

4. Publicada la Guía de Pruebas de OWASP 3.0 en español

OWASP (Open Web Application Security Project) es una comunidad abierta de colaboración entre profesionales y expertos en la seguridad de aplicaciones Web. Entre sus muchos proyectos se incluye una Guía de Pruebas, un manual de referencia con vulnerabilidades, contramedidas y una completa metodología para la revisión y evaluación del estado de seguridad de aplicaciones.

La guía está orientada a desarrolladores y testers de software y a especialistas de seguridad y abarca todos los controles de seguridad que los desarrolladores de software deben utilizar. Tal y como dice la guía, "aunque hay miles de tipos de vulnerabilidades en software, pueden ser evitadas con un conveniente conjunto de controles de seguridad fuertes".

Esta guía puede ser vista más adecuadamente como un conjunto de técnicas que puedes utilizar para encontrar diferentes tipos de agujeros de seguridad y puede ser descargada desde el sitio oficial o desde nuestra sección de Políticas.

5. Segu-Info busca autores

Segu-Info siempre está abierto a la publicación de documentos de interés desarrollados por la comunidad por lo que;

• si te interesan la Seguridad de la Información,
• si conoces de Legislación en Seguridad,
• o, si la Seguridad de la Información es uno de tus temas de lectura/búsqueda preferidos...

Esta propuesta es para tí.

Segu-Info busca autores/escritores/redactores independientes que deseen compartir sus escritos/pensamientos/experiencias con la comunidad.

Para que Segu-Info siga siendo un lugar en donde la información es de todos y para todos, te invitamos a que seas parte. Si quieres compartir tus creaciones, contáctate con nosotros.

6. Apoya a Segu-Kids, Juntos en la Red

Segu-Kids, pone a disposición de todos información en forma libre y gratuita y, es el primer sitio pensado con el objetivo de apoyar y acompañar a la familia y a los educadores.

El nacimiento de Segu-Kids se debe a la gran cantidad de riesgos existentes en Internet y a la necesidad de crear concientización y educación sobre las formas de prevención y protección, haciendo uso responsable de las tecnologías existentes.

Segu-Kids busca la colaboración de todas las organizaciones a quienes les importa los menores y la seguridad en línea. Por eso, si formas parte de una de estas organizaciones o conoces a alguien vinculado, no dudes en ponerte en contacto con nosotros.

Te invitamos a conocer Segu-Kids y a dejarnos tus experiencias, para que sigamos creciendo juntos en la red.

5. Desafío de la semana

Solución al desafío del Boletín anterior:

El desafío proponía encontrar números como 167.834 pero no uno como 167.833, donde los últimos dos se repiten.

Si tenemos "m" elementos y queremos formar grupos de "n" elementos siempre diferente y sin que 2 elementos iguales se repitan, podemos calcular la cantidad de grupos como la combinatoria de 6 tomada de a 4 que es:

C = 10! / 4! (factorial de 10 / factorial de 4)
10!= 10 x 9 x 8 x 7 x 6 x 5 x 4 x 3 x 2 x 1
10!= 3.628.800
4!= 4 x 3 x 2 x 1
4!= 24
C = 3.628.800 / 24 = 151.200 posibles números

Respondieron correctamente:
info@riskinformation, kronoxx@

Desafío de esta semana:

En la columna de la derecha hay una palabra intrusa y que no respeta el criterio de las demás ¿Cuál es y por qué?

• Represa - Rejas
• Balanza - Parlante
• Pendiente - Torno
• Vencimiento - Edificio
• Filamento - Lágrimas
• Ultraje - Corbata