"Cerebro, ¿Que vamos a hacer esta noche? Lo mismo que hacemos todas las noches Pinky... ¡Tratar de conquistar al mundo!."

[Pinky y Cerebro, Cartoon Network]

Boletín 46 - Buen uso del correo electrónico corporativo - 27/05/2006

Hoy les escribe un interlocutor diferente. Nuestro webmaster ha tenido que ausentarse, pero nosotros seguimos en pie, creando, buscando y publicando información para ustedes. Si bien la gramática puede ser diferente, el espíritu es el mismo: mantenernos actualizados en el ámbito de Seguridad de la Información. En el próximo boletín volveremos a contar con Cristian, como siempre.

Hay DOS NUEVOS SORTEOS de los cuales se puede participar libremente:

1. Artículo del día: Buen uso del correo electrónico corporativo
2. Vulnerabilidades y Exploits de la semana
3. Certificaciones de Seguridad
4. AS400 (el dinosaurio sigue vivo!)- Perfiles de usuario
5. Noticias legales
6. Eventos, seminarios y cursos
7. JA! de la semana

1. Artículo del día: Buen uso del correo electrónico corporativo

Mucho se ha hablado de las mejores prácticas que debemos tener para resguardar nuestra organización con respecto al uso de los recursos informáticos, tales como el correo electrónico. Hay discusiones sobre confidencialidad, propiedad de la información transmitida en los mensajes, códigos de ética y privacidad del correo.

Hemos decidido hacer una pausa en las discusiones, tomarnos unos minutos para analizar, y volver a las fuentes: ¿Cuál es la mejor forma de utilizar el correo electrónico provisto por la empresa (y el personal también, porqué no!)

1. Utilizar el correo electrónico como una herramienta de trabajo, y no como nuestra casilla personal de mensajes a amigos y familiares.
2. No enviar archivos de gran tamaño a compañeros de oficina. ¡Para algo se hicieron los file servers y la red! Consulten con la Gerencia de Seguridad para definir la mejor alternativa.
3. No enviar grandes cadenas de chistes en forma interna... y mucho menos si nos "equivocamos" y ponemos a nuestro jefe en ellas...
4. Si se recibe un correo de origen desconocido, consulten inmediatamente con la Gerencia de Seguridad, o levanten un incidente a través de la mesa de ayuda. Bajo ningún aspecto se debe abrir o ejecutar archivos adjuntos a correos dudosos, ya que podrían contener códigos maliciosos (virus, troyanos, keyloogers, gusanos, etc).
5. Si estamos trabajando con información del tipo confidencial, crítica o sensible, deberemos prever los mecanismos de seguridad necesarios previos al envío. Para ello, consultar siempre con la Gerencia de Seguridad o las normativas internas. Recuerden que toda información tiene un "Dueño" y no nos corresponde a nosotros decidir sobre el destino de la misma.
6. Los correos no deben contener información que pudiera ser interpretados como ámbito de ataque, discriminación o ilegalidad. Todo lo que escribamos bajo el dominio de la organización, es en representación de la misma, y nuestras palabras podrían ser utilizadas de formas no previstas. Por eso, antes de cliquear en "SEND". Releer el correo y corregir de ser necesario, tratando de "suavizar" cualquier frase.
7. Cuando se contesta un correo, evitar poner "Contestar a todos" a no ser que estemos absolutamente seguros que el mensaje puede ser recibido por "todos" los intervinientes. No sería muy práctico "Responder a todos" que "Pep_NN" es un incompetente, y copiar en el mensaje a "Pep_NN"...
8. El acceso a las cuentas personales debe ser mínimo (o ninguno) durante nuestra jornada laboral. Consultar con la Gerencia de Recursos Humanos y la de Seguridad cuales son las restricciones de la empresa respecto de este tipo de accesos.

2. Vulnerabilidades y Exploits de la semana

Escalada de privilegios en SAP R/3

El 18/05/2006 Cybsec detectó una vulnerabilidad a través del comando sapdba en SAP para bases de datos INFORMIX. Esto permitiría que un usuario local pueda escalar privilegios para ejecutar comandos con los permisos de usuario informix.

Para más información:

http://www.cybsec.com/vuln/CYBSEC_Security_Pre-Advisory_Local_Privilege_Escalation_in_SAP_sapdba_Command.pdf

Actualización Nota SAP 944585:

Nuevo acumulativo iSeries i5 (AS400):

V5R3: Se encuentra disponible desde el 22/05/2006 un nuevo paquete acumulativo de PTFs, con el código C6142530. IBM había retirado en forma anticipada el anterior acumulativo C6101530.

El 18/05/2006, PSP de IBM (Preventive Service Planning) recomendó omitir las PTFs MF34311, MF34457, MF38576, SI14190, SI16519, SI16533, SI16952, SI19058, SI19888 y SI22785 (para V5R3M5 la MF38658) durante la instalación del acumulativo C6101530 ya que pueden producirse resultados impredecibles durante la utilización de los mandatos para trabajar con unidades de disco.

V5R4: El nuevo acumulativo de PTFs para V5R4 es el C6115540.

Fuente: http://www.ajut400.com/blog.html

Nuestra recomendación es probar siempre actualizaciones y parches en un entorno controlado de prueba, antes de impactarlo en ambientes productivos, y mantenerse al tanto de los efectos de dichas actualizaciones en otros clientes.

Vulnerabilidad en MS Word.

Tal como publicamos en el boletín anterior, se descubrió una vulnerabilidad en MS Word 2000 en adelante, que permite ejecución de código remoto. Esta vulnerabilidad está siendo explotada por el backdoor Backdoor.Ginwui (y Backdoor.Ginwui.B), accediendo a las computadoras a través del troyano Trojan.Mdropper.H. El virus, entre otras cosas, intenta acceder a través de HTTP a "localhosts.3322.org".

Sumado a las recomendaciones antes sugeridas, recuerden mantener actualizado el software antivirus, y desactivar todos aquellos servicios que no se necesiten (por ejemplo: FTP Server, telnet, o Web Server).

Hasta el momento, se desconoce si el parche oficial será publicado antes del 13/06/2006 por Microsoft.

Para mas información:

http://www.securityfocus.com/bid/18037/

http://isc.sans.org/diary.php?storyid=1346

Otras vulnerabilidades (Fuente: SANS)

• CRITICAL: Novell eDirectory iMonitor Remote Buffer Overflows
• CRITICAL: AWStats Remote Code Execution
• CRITICAL: Cyrus imapd Remote Buffer Overflow
• MODERATE: Sender Policy Framework Library Remote Format String Vulnerability
• MODERATE: Nagios CGI Interface Remote Integer Overflow

http:/www.sans.org

3. Certificaciones de Seguridad

El presente artículo ha sido desarrollado por la Lic. María Solange D'Antuono y ha sido sido Actualizado en Enero de 2007 por el Lic. Cristian F. Borghello

Hemos visto que en nuestra carrera, no hay muchas alternativas de postgrado o master. Por esa razón, todo profesional de seguridad debe recurrir a certificaciones que avalen su conocimiento y experiencia, a nivel nacional e internacional.

Las empresas están empezando a solicitar este aval para sus profesionales de cargos gerenciales. Ya no basta con que sepan diagramar una red o establecer los ACL en un firewall. Un profesional de seguridad que aspire a altos puestos debe estar capacitado para entender las necesidades del negocio, administrar tableros de control y de riesgo, y brindar las mejores alternativas para la continuidad del negocio, protegiendo los activos de la organización.

A continuación detallamos las certificaciones disponibles en el mercado, para que puedan optar por la que mejor se adapte a los conocimientos y necesidades de cada uno:

Generales de Seguridad

• CPP (ASIS)
• PSP (ASIS)

Gestión de Seguridad de TI

• CISM (ISACA)
• CISA (ISACA)

Por proveedores

• MC Security
• Cisco
• Oracle
• Checkpoint F/W
• Symantec

Gestión de la Seguridad de la Infraestructura de TI

• GIAC (SANS)
• CISSP® (ISC)²
• ISSAP (ISC)²
• ISSEP (ISC)²
• ISSMP (ISC)²

Auditoria y control de TI

• CISA (ISACA)

Cabe destacar que en la actualidad, la certificación de mayor renombre es la CISSP, basada en 10 dominios:

• Metodología y sistemas de control de acceso
• Desarrollo de aplicaciones y sistemas
• Planeamiento de continuidad de negocio
• Criptografía
• Leyes, investigación y ética (leyes de Estados Unidos únicamente)
• Seguridad de operaciones
• Seguridad física
• Modelos y arquitectura de seguridad
• Prácticas de administración de seguridad
• Telecomunicaciones, redes y seguridad de Internet

Por consultas de colisteros, estaremos buscando información respecto a carreras de grado a nivel nacional.

4. AS400 (el dinosaurio sigue vivo!) - Perfiles de usuario

En nuestra entrega anterior hicimos un repaso general sobre las características principales del i5, objetos, bibliotecas, archivos, programas y subsistemas.

Continuando con nuestra aproximación a Seguridad en iSeries, hoy toca el turno a la definición de usuarios.

Existen 3 tipos de seguridad a establecer para el iSeries:

• Seguridad física: protección del sistema, dispositivos, salidas, y medios donde la información es resguardada.
• Seguridad de acceso: se define quien tendrá acceso al sistema y que podrá hacer una vez que accedió.
• Seguridad de los recursos: se establece seguridad a nivel de objetos.

Para analizar la Seguridad de acceso, establecemos "perfil de usuario": es un objeto que contiene información acerca de un usuario.

El perfil del usuario contiene:

a) Información del usuario

• Nombre
• Contraseña
• Autorizaciones especiales
• Clase de usuario; Dependiendo de la clase de usuario, se podrán definir diferentes tipos de autorizaciones especiales. Un usuario final debería ser clase *USER y no poseer autorizaciones especiales.
• Nivel de caducidad de contraseña
• Menú o programa de inicio
• Otros

b) Objetos de su propiedad

c) Autorizaciones sobre objetos

Autorizaciones especiales: existen varios niveles de autorizaciones especiales, entre las que vamos a destacar:

• ALLOBJ: el usuario tiene acceso a todos los objetos.
• JOBCTL: el usuario puede detener, ver, retener, liberar, cancelar y limpiar cualquier trabajo que se esté ejecutando en el sistema. También puede iniciar o detener dispositivos o subsistemas.
• SECADM: funciones de creación de perfiles.

Listas y grupos

Las autorizaciones se pueden brindar a través de listas de autorizaciones, o a partir de perfiles de grupo.

Lista de autorización: Contiene una lista de perfiles de usuario con diferentes autorizaciones a objetos.

Grupos: es un tipo especial de perfil de usuarios, que luego será asignado a cada usuario como parte de él. Un usuario puede tener hasta 16 grupos asignados.

Definiciones generales de seguridad en usuarios

A la hora de definir perfiles de usuario, se debe tener en cuenta:

a) Los perfiles de grupo no deben tener contraseña (o sea, no logueables). Los usuarios deben acceder al sistema a través de su perfil y no con el de grupo.

b) Las autorizaciones especiales se deben definir a nivel usuario y no a nivel grupo. Definirlo a nivel de grupo implicaría la herencia a todos los usuarios pertenecientes a dicho grupo, de autorizaciones que posiblemente sólo necesite uno de los integrantes.

c) Los perfiles con autorizaciones especiales potentes (*ALLOBJ, *SERVICE, *SECADM o *SPLCTL) no deben ser utilizados como perfiles de grupo.

d) No se deben utilizar perfiles de usuario Q* (definidos por IBM) como perfil de grupo o como perfil de usuario común, ya que IBM cambia con cierta periodicidad el acceso de los perfiles IBM de usuario en las distintas releases.

e) Los usuarios deben tener definido el período de caducidad de la contraseña

f) El permiso *PUBLIC de los perfiles de usuario debe ser *EXCLUDE.

5. Noticias legales

Vamos a repasar algunas novedades de índole legal:

Confidencialidad de la información

La Cámara Comercial falló en contra del Citibank, en un caso presentado por a través de una acción de amparo de la ONG Unión de Usuarios y Consumidores, ya que el banco suministraba datos de sus clientes para publicidad.

El fallo apeló a la Ley de Protección de Datos Personales (Habeas Data 25326).

http://www.clarin.com/diario/2006/05/24/um/m-01201484.htm

http://www.clarin.com/diario/2006/05/25/sociedad/s-04601.htm

Piratería y derechos de autor

En Octubre del 2005 se inician las demandas de CAPIF (Cámara Argentina de Productores de Fonogramas y Videogramas) contra Speedy por su campaña de bajarse música a través del servicio de banda ancha.

http://www.clarin.com/diario/2005/10/09/elpais/p-01601.htm

http://www.uberbin.net/archivos/opinion/llegaron-los-juicios-a-la-argentina-%C2%BFquien-sigue.php

En noviembre del 2005, se había anunciado que CAPIF había iniciado acciones contra 20 usuarios en Argentina.

http://www.clarin.com/diario/2005/11/15/um/m-01090270.htm

Esta semana se hizo pública la noticia de que varios usuarios serían multados por bajarse música a través de redes P2P.

http://www.lanacion.com.ar/808169

http://www.infobae.com/notas/nota.php?Idx=256127&IdxSeccion=100804

Gran parte de las acciones iniciadas por CAPIF son contra los titulares de los servicios de Internet, mediante solicitud de información a empresas proveedoras ISP.

Confidencialidad en conversaciones telefónicas

El ingeniero Phillip Zimmermann (por si no recuerdan ... PGP) presentó en Estados Unidos un software para proteger conversaciones telefónicas.

http://www.infobae.com/notas/nota.php?Idx=256368&IdxSeccion=100614

Habeas Data

El pasado 30/04/2006 venció el plazo para inscribir las bases de datos en la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES. La Ley 25326 establece en su artículo 21 la obligatoriedad de inscripción, bajo pena de sanciones, las cuales van desde apercibimientos hasta multas (de $1000 en adelante). Adicionalmente, si existe un requerimiento de inscripción de la base, y la misma no se encuentra inscriptas, se considerará como infracción "grave", pudiendo ser plausible de apercibimientos, suspensiones o multas mayores al caso anterior.

6. Eventos, seminarios y cursos

Expocomm

Del 3 al 10 de Octubre se estará realizando en La Rural (Predio ferial de Palermo, Buenos Aires, Argentina) una nueva edición de la exposición para la industria de Telecomunicaciones y Tecnología de la Información.

Para más información: http://www.expocomm.com.ar/

Trabajo IT

El día 31/05/2006 se estará realizando una nueva jornada de expositores para trabajo IT. Si bien está organizado por la Facultad de Ciencias Económicas de la UBA, la entrada es libre y gratuita para todas aquellas personas que estén interesadas.

Pueden inscribirse gratuitamente en: http://www.trabajoeconomicas.com.ar/

Próximos eventos

Los próximos eventos pueden ser visualizados en:

http://www.segu-info.com.ar/eventos/

Si conoces eventos y deseas publicarlos comunicate con nosotros.

NOTA: www.segu-info.com.ar no está relacionado con la organización de los eventos mencionados.

7. JA! de la semana

Seguramente ya lo conocen, pero para aquellos que no lo saben, en Mercado libre se puede encontrar de todo, hasta un condensador de flujo para hacer una maquina del tiempo.

Como en volver al futuro...

http://articulo.mercadolibre.com.ar/MLA-19723687-condensador-de-flujo-_JM

¿Tendrán un prototipo del motor Warp con el cual se impulsa la USS Enterprise de Star Trek?