"Ama llulla: No seas mentiroso
Ama sua: No seas ladrón
Ama quella: No seas ocioso"
[ Código Moral Inca - Siglo XIII - XVI ]


195 - Ciberguerra en Argentina (estado del arte) - 27/10/2013



En este Boletín, publicamos una entrevista sobre Ciberguerra, publicada a raíz de nuestra investigación sobre "Ciberseguridad Nacional Argentina".

Continuamos con la serie de artículos sobre Seguridad en ambientes VMware y publicamos un extenso informe sobre las 20 herramientas de análisis forense que todos debemos conocer.



1. Seguridad en ambientes VMware (III)
2. Ciberguerra en Argentina (estado del arte)
3. Las mejores 20 herramientas de Investigación Forense Digital
4. Segu-Info busca autores
5. Apoya a Segu-Kids, Juntos en la Red
6. Desafío de la semana



1. Ciberseguridad Nacional Argentina

Este artículo ha sido desarrollado por Willy Sehringer, quien está certificado como VMware Professional Partner y puede ser encontrado en su sitio web.

En el Boletín 185 "¿Es segura la virtualización?" se hizo una introducción a entornos virtualizados, se mencionaron sus ventajas y se mencionaron algunas amenazas en el mundo real. En este Boletín se analizan los mismos en entornos VMware.

En el Boletín 193 "Seguridad en ambientes VMware", se analizó el impacto de una estrategia de virtualización corporativa respecto de la seguridad informática.

Una de las preguntas más comunes que recibimos, especialmente si la empresa empieza virtualizando aplicaciones críticas es "¿Es segura la virtualización?".

El primer paso para responder esa pregunta es observar (y obviamente entender) las diferencias entre la infraestructura virtual y la física. Por un lado podemos observar que en una infraestructura virtual se produce un rápido aprovisionamiento de nuevos servidores virtuales y, ante la facilidad de crear un servidor virtual (con solo algunos clicks), estos crecen en forma casi exponencial, por otro lado observamos que muchas configuraciones que tienen que ver con la red ahora se mueven al host, esto es debido que al poder virtualizar la red, las configuraciones que anteriormente realizábamos en los switches físicos se hacen ahora en los switches virtuales. También observamos que tenemos múltiples servidores ejecutándose en un único host físico.

Entender todas estas diferencias lo ayudaran a conocer cómo cambia la administración de la seguridad en el nuevo entorno.

Ahora, analicemos lo observado y preguntémonos por ejemplo ¿por qué el rápido aprovisionamiento de nuevos servidores virtuales puede ser un problema para la seguridad?. Los ambientes virtuales crecen rápidamente sin una planificación suficiente, la forma de desplegar los hosts y clusters en VSphere puede impactar significativamente sobre la seguridad de la infraestructura virtual.

Por otro lado las configuraciones pueden cambiarse más rápida y fácilmente en una infraestructura virtual que en una física. En un entorno físico para cambiar una máquina física a otra red debo cambiar un cable, en un entorno virtual con sólo un par de clicks puedo hacerlo, por todo esto debemos tener una administración de configuraciones y control de cambios apropiados para el manejo de la política de seguridad.

Las redes en la infraestructura virtual es "el" punto de preocupación respecto a la seguridad, es el área con mayor riesgo debido a las configuraciones erróneas, también es el área de mayor discusión cuando se planifica las diferentes zonas de seguridad. En la mayoría de los casos el equipo de redes no maneja la configuración de redes en el host VSphere y eso en algunos casos puede generar "roces" entre el departamento de redes y el de virtualización.

Esta problemática de la propagación de máquinas virtuales en un ambiente, conduce a desorganización, sistemas no actualizados, o tal vez olvidados, las máquinas virtuales hacen que la administración de la configuración sea más desafiante porque las máquinas virtuales "se mueven": antes, en un entorno físico se sabía en qué rack estaba cada servidor, ahora los ambientes son dinámicos, una máquina virtual puede estar un día en un rack, y otro día en otro.

Entonces ¿Porque la consolidación se convierte en un problema de seguridad? El problema son las configuraciones erróneas. Las configuraciones son muy simples de realizar, un checkbox mal seleccionado puede abrir un agujero de seguridad. Mantenga atención sobre la administración de configuraciones y control de cambios.

Otra gran pregunta es ¿El hipervisor es una debilidad en la seguridad?. Esta es una de las consultas más comunes y una de las pesadillas de los departamentos de seguridad, no debería ser así. Hasta el momento no se ha visto un exploit que permita que un guest "salte" de su contenedor, por ende la discusión alrededor de Hipervisor es teórica 100% y el cambio de ESX a ESXi contribuyo a disminuir ese riesgo. Una de las políticas básicas es mantener los parches de seguridad de ESXi al día.

Por otro lado las máquinas virtuales están encapsuladas generalmente en un storage, ¿esto es bueno o malo?. Este encapsulamiento trae beneficios ya que permite tener mayor disponibilidad pero también acarrea riesgos: permite que fácilmente pueda robarse un servidor solo copiando un conjunto de archivos.

Entonces, el encapsulamiento, ¿ayuda o complica? En la mayoría de los casos, el encapsulamiento de una máquina virtual probablemente ayuda con la seguridad del sistema: no permite que una máquina virtual incida en otra y hay menos drivers de hardware para preocuparse y administrar que en un server físico por lo que hay menor superficie de ataque. Día a día se ven más productos de seguridad que pueden unirse (plugins) al Hipervisor, y que son independientes de las máquinas virtuales (no se instalan en en ellas), entonces hay menos chances para que sean atacados (ej. antivirus deshabilitado).

Mientras la virtualización no es una nueva tecnología para muchos profesionales de TI, puede ser intimidante para los otros grupos (networking, storage, seguridad de la información, etc.). Hay muchos mitos al respecto como que cuando se virtualizan los servidores se pierde completamente la visibilidad de los mismos o que existen ataques al Hipervisor. La realidad es otra, VMware tiene una historia sólida de sistemas muy seguros y ofrece guías de diseño para arquitecturas seguras, hay muchas instalaciones con datos sensibles o en posiciones hostiles y sin embargo los fundamentos de la seguridad se mantienen y siguen funcionando.

Los tipos de amenazas son muy similares al mundo físico, como ser : Acceso inapropiado a las redes seguras, especialmente a herramientas de Management, configuraciones incorrectas, sistemas sin parches actualizados, privilegios excesivos, muchos de estas problemáticas son simples de resolver y evitar con una planificación, administración y monitoreo apropiado.

Respecto a la seguridad y virtualización, ¿cuánto es lo mismo y cuánto es realmente diferente? La mayoría de las cosas son las mismas: los sistemas deben protegerse, los sistemas operativos guest deben actualizarse y protegerse de malware, la seguridad perimetral es básicamente la misma, se debe seguir administrando las configuraciones y haciendo control de cambios.

La mayor parte de las diferencias tienen que ver con la infraestructura virtual en sí y cómo se administra: hay nuevos puntos de Management, la administración de la seguridad del vCenter, los canales de comunicación entre vSphere y los hosts -trafico de Managment. el parcheo del Hipervisor, los roles y responsabilidades empiezan a desdibujarse, especialmente con los equipos de redes y almacenamiento.

¿Que esta haciendo VMWare respecto a la seguridad? Tiene un gran foco en la seguridad, ha realizado adquisiciones para cubrir gaps en su oferta, como la adquisición de Blue Lane que se convirtió en vShield, en el desarrollo de sus productos siguen un ciclo de desarrollo de software seguro y evalúan sus productos usando estándares y certificaciones Common Criteria Evaluation & Validation (CCEVS), tiene una política de respuesta muy formalizada si se encuentra un bug o exploit, tiene notificación oficial de temas referentes a la seguridad de Vmware (vulnerabilidades, errores, problemas, etc.) y cada Advisory contiene información completa de como proteger el sistema impactado.

Finalizamos con las tareas que un buen administrador de VM debería realizar:

  1. Usar una gestión de configuración sólida.
  2. Usar procesos de control de cambios. Los cambios pequeños no planificados por lo general tienen grandes consecuencias.
  3. Revisar los archivos de log. Es aburrido, pero es una gran forma de detectar actividad inusual, un servicio que se bajó, etc.
  4. Usar algún sistema para confirmar cumplimiento de las configuraciones. Por ej. host profile.
  5. Revisar los permisos de vCenter y máquinas virtuales específicas para comprobar que tengan permisos apropiados.

¡Gracias Willy!



2. Ciberguerra en Argentina (estado del arte)


El presente reportaje ha sido realizado por Agustina Dergarabedian y Vera Nayar quienes son estudiantes de segundo año de la carrera de periodismo en Taller Escuela Agencia (TEA), en la ciudad de Buenos Aires y han entrevistado a una serie de profesionales del país sobre el estado de la seguridad de las Infraestructuras Criticas y la Ciberguerra en el país.

Las guerras convencionales están dando lugar a un nuevo tipo de conflicto: las guerras cibernéticas. Hoy un país puede quedar paralizado por una nación enemiga sin necesidad de una invasión militar, con sólo controlar la infraestructura electrónica e informática del adversario, como las redes de comunicación, las usinas de energía y los bancos. Aunque la Argentina todavía no ocupa un lugar estratégico en el panorama global, los expertos analizan la situación y creen que este es el momento de alistarse para el futuro.

"En líneas generales, todo lo que es ciberguerra es bastante nuevo en Argentina y en América latina. Es algo que está apareciendo y es claro que los gobiernos están empezando a prepararse y a considerar fortalecer su equipamiento a nivel militar en todo lo que respecta a la tecnología" explica Sebastián Bortnik, especialista en seguridad informática y gerente de educación y servicios de la empresa ESET. "Es un proyecto que protege a la población digital e intenta prevenir nuevos ataques informáticos", señala.

El equipo de investigación de su empresa ya ha ayudado a varios organismos estatales de la región, en materia de seguridad y defensa informática: "Cuando notamos que hay algún sitio del gobierno que está siendo afectado, solemos reportar el accidente y ayudar a reestablecer y limpiar la página". Además sostiene que no ha habido ataques por parte del gobierno, pero sí hacia el gobierno argentino. Puso como ejemplo las campañas hacktivistas en las cuales se produjeron ataques a organismos gubernamentales.

Pero advirtió que no pueden ser identificados como ciberguerra porque no son países los que intervienen, sino que se trata individuos particulares que atacan a organismos del gobierno.

Basándose en el informe "Ciberseguridad Nacional Argentina: Cracking de Servidores de la Administración Pública", creado por Cristian Borghello, especialista en seguridad de la información y Marcelo Temperini, abogado especializado en delitos informáticos, se pueden dilucidar distintos aspectos sobre la seguridad informática en Argentina.

En primer lugar debe tenerse en cuenta el crecimiento de un nuevo tipo de relación entre los ciudadanos y los poderes municipales, provinciales y nacionales, en la cual establecen vínculos a través de Internet. Los sitios web gubernamentales permiten que mediante este medio puedan realizarse tanto trámites, como denuncias y pagos de impuestos. La digitalización de los servicios públicos ha ido incrementándose de manera rápida y desorganizada, careciendo de los controles necesarios y perjudicando asi la seguridad de la información. Esto permite que los delincuentes de todas partes del mundo vean la posibilidad factible de intervenir en la información de los servidores gubernamentales.

Argentina todavía no se ha visto involucrada en ninguna ciberguerra, a diferencia de otros países como Estados Unidos o China. Sin embargo, ha tenido un gran número de casos en los cuales los sitios web de los distintos poderes públicos han sido intervenidos. La vulnerabilidad de estos sitios es aprovechada por los atacantes, ya que perciben la falta de protección para acceder a esa red. Entre los hechos más relevantes se pueden mencionar dos ejemplos. Durante las elecciones legislativas de 2009, un grupo de delincuentes ingresó a la base de datos electrónica del padrón electoral, en el cual agregaron leyendas ofensivas sobre algunas provincias. En 2010 otro grupo de delincuentes logró acceder a la base de datos del sitio web de la Administración Federal de Ingresos Públicos (AFIP), que contenía las huellas digitales, firmas, fotografías y los documentos nacionales de identidad de todos los contribuyentes.

Los conflictos cibernéticos están cobrando cada vez más importancia en el ámbito internacional. En marzo de este año la Organización del Tratado del Atlántico Norte (OTAN) publicó el "Manual de Tallin" que establece las normas a respetar en una ciberguerra. El reglamento destaca que los sistemas informáticos de instituciones sociales de importancia crítica, como por ejemplo los hospitales, deben ser respetados, ya que depende de ellos la vida y salud de las personas. Hace hincapié en la proporcionalidad de los ataques, es decir, que tengan relación equilibrada con la amenaza o el ataque al que se esté respondiendo.

"Lo peor que puede pasar en este contexto son ataques a la infraestructura crítica; proveedores de luz, de gas, cuestiones sanitarias. Puede generar un gran daño, pero no por mucho tiempo, ya que los ingenieros electrónicos son especialistas en solucionarlo.", afirma el especialista en delitos informáticos Ricardo Sáenz, Fiscal General ante la Cámara Nacional de Apelaciones en lo Criminal y Correccional de la Capital Federal.

Del otro lado de la cordillera, en Chile, el gobierno comparte con Estados Unidos la preocupación por los ciberataques y se aliaron en la profundización de su relación bilateral, en la búsqueda de nuevas formas de defensa frente a ataques que tengan por objetivo alterar la paz y la estabilidad de las naciones.

En una entrevista reciente con Página 12, Celso Adiem, Ministro de Defensa de Brasil, declaró: "Nosotros no queremos guerra pero los líderes de las grandes potencias dicen que si hubiera una guerra en el futuro, sería cibernética". Adiem admitió que antes del 2010 había equipos en su país trabajando en defensa cibernética y que después de esa fecha fue creado un Centro de Defensa Cibernética con base en el ejército, pero que sirve también a las otras fuerzas. El ministro brasileño agregó un dato curioso: durante eventos importantes como la cumbre de Río +20, la Copa de Confederaciones y la visita del Papa Francisco, el Centro de Defensa Cibernética debió actuar y detener ataques provenientes de distintos grupos de hackers.

Los expertos locales creen que Argentina es un caso totalmente diferente al de los países limítrofes. Daniel Monastersky es un abogado especialista en delitos informáticos y creador del sitio web "Identidad Robada", que brinda información a la comunidad sobre cómo proteger sus datos personales para que no sean robados. Él sostiene que en este momento Argentina no necesita una fuerza especifica de defensa, ya que no tiene datos de grupos terroristas que estén afincados o reclutados en el país. En cambio, en México y Colombia se conoce la existencia de distintos grupos terroristas y también en Brasil, donde los cibercriminales mueven muchos datos y dinero.

Monastersky insiste en que para tener más influencia en el ámbito internacional, la Argentina debe firmar el convenio contra el Cibercrimen de Budapest. El acuerdo, que entró en vigor en 2004, es el primer tratado internacional creado con el fin de combatir el cibercrimen a nivel global. Sudáfrica, Canada y Japón son algunas de las naciones que firmaron este acuerdo. A pesar de que la ley nacional de servicios informáticos, sancionada en 2009 está basada en parte del convenio, al no formar parte del mismo, nuestro país queda excluido de interiorizarse sobre qué se puede hacer por el combate y la prevención de ciberguerras en zonas extraterritoriales. Los Estados parte del tratado afianzan la protección contra el cibercrimen mediante la armonización de leyes nacionales, la mejora de las técnicas de investigación y el aumento de la cooperación entre las naciones.

"Argentina no está preparada para defenderse frente a ataques de ciberguerra, ya que no se conocen las potenciales agresiones ni las posibles víctimas. Nunca se ha realizado un estudio sobre las infraestructuras críticas y el efecto devastador que podría tener un ataque sobre los ciudadanos del país, al margen de que también podrían utilizarse como intermediario para atacar otros países", explica Cristian Borghello, director de los sitios Segu-Info y Segu-Kids. Ambas páginas son espacios creados para brindar información sobre seguridad en Internet.

Actualmente la industria de la seguridad informática mueve más de 50 mil millones de dólares a nivel global anualmente. En este aspecto, Borghello cree que en Argentina todavía hay mucho por estudiar, analizar, comprender y mejorar. Para lograr estos avances se necesita el apoyo del estado: "Hacen falta más recursos, un programa de capacitación serio y trabajo en equipo para desarrollar leyes acordes a las internacionales. Por otro lado se requiere la capacitación de jueces, abogados, fiscales, y policías, ya que no tienen los medios, los recursos, ni los conocimientos suficientes para enfrentar a los delincuentes actuales y a las amenazas futuras".


¡Gracias Agustina y Vera!



3. Las mejores 20 herramientas de Investigación Forense Digital

Este artículo ha sido originalmente publicado por TalkTechToMe "Top 20 Free Digital Forensic Investigation Tools for SysAdmins" en inglés y ha sido traducido de forma exclusiva para Segu-Info Ing. Mauro D. Gioino y Fernando Raviola, quienes pertenecen al grupo de Investigación SegUTN de la Universidad Tecnológica Nacional FR San Francisco.

Se presentan 20 de las mejores herramientas gratuitas que le ayudarán a conducir una investigación forense digital.

Ya sea para un caso interno de recursos humanos, una investigación sobre acceso sin autorización a un servidor o solo para aprender algo nuevo, estas suites y utilidades le ayudarán a llevar a cabo análisis forenses de memoria, análisis forenses de disco duro, análisis de exploración de imágenes, obtención de imágenes forenses y análisis forenses de dispositivos móviles. Como tales, todas proveen la posibilidad de recuperar información exhaustiva sobre lo que pasa "detrás de las cortinas" de un sistema de información.

Se puede acceder al documento completo en formato PDF desde nuestra sección Artículos de Terceros.


¡Gracias Mauro y Fernando!



4. Segu-Info busca autores


Segu-Info siempre está abierto a la publicación de documentos de interés desarrollados por la comunidad por lo que;

Esta propuesta es para tí.

Segu-Info busca autores/escritores/redactores independientes que deseen compartir sus escritos/pensamientos/experiencias con la comunidad.

Para que Segu-Info siga siendo un lugar en donde la información es de todos y para todos, te invitamos a que seas parte. Si quieres compartir tus creaciones, contáctate con nosotros.



5. Apoya a Segu-Kids, Juntos en la Red


Segu-Kids, pone a disposición de todos información en forma libre y gratuita y, es el primer sitio pensado con el objetivo de apoyar y acompañar a la familia y a los educadores.

El nacimiento de Segu-Kids se debe a la gran cantidad de riesgos existentes en Internet y a la necesidad de crear concientización y educación sobre las formas de prevención y protección, haciendo uso responsable de las tecnologías existentes.

Segu-Kids busca la colaboración de todas las organizaciones a quienes les importa los menores y la seguridad en línea. Por eso, si formas parte de una de estas organizaciones o conoces a alguien vinculado, no dudes en ponerte en contacto con nosotros.

Te invitamos a conocer Segu-Kids y a dejarnos tus experiencias, para que sigamos creciendo juntos en la red.



6. Desafío de la semana


Solución al desafío del Boletín anterior

Se tiene el número "47030773856052047".
La pista decía pensar en dos y siete

Finalmente, el mensaje es "SEGUINFO"


Lamentablemente nadie ha respondido correctamente


Desafío de esta semana:

En dos mazos de cartas ¿cuál es la menor cantidad que se debe tomar para tener "garantizado" al menos un grupo de cuatro cartas con el mismo número?




Actualidad

Virus-Antivirus