Publicación Oficial de la APACSI ISACA Capítulo Asunción Año 4. Número 3 Edición Mayo 2009

Transcripción

1 Publicación Oficial de la APACSI ISACA Capítulo Asunción Año 4. Número 3 Edición Mayo CONSEJOS DE CÓMO MEJORAR LA SEGURIDAD DE PYMES EN TIEMPOS DE RECESION APACSI FUNDADA EL 16 DE ENERO DE 2003 ISACA CAPÍTULO ASUNCIÓN RECONOCIDA EL 05 DE MARZO DE

2 Presidente Vice - Presidente Secretaria Tesorero Director de Membresia Coordinador CISA Coordinador CISM Coordinador CGEIT Área Educativa Publicación Oficial de la APACSI ISACA Capítulo Asunción Año 4. Número 3 - Edición Mayo 2009 Coordinador de Estándares Coordinador GRA Director Jefe de Redacción Directorio período Emilio A. Samudio D., CISA Claudia Gulino, CGEIT, CISA Rosa Flor Ramírez Vicente Clemote, CISA Ana Maria Delgado, CGEIT Carmen Martinez, CISA Alfredo Zucotti, CISM Ana Maria Delgado, CGEIT Nancy Riveros Olga Arguello, CISA Vicente Clemotte, CISA Comité de Redacción AudITor ité Emilio A. Samudio D., CISA Ángel David Benítez Palma Comité de Redacción Emilio A. Samudio D., CISA Ana Maria Delgado, CGEIT (*) GRA - Governamenal and Regulatory Agencies 2

3 En este número de AudITor ité Temas 10 Consejos de como los pequeños y medianos negocios pueden mejorar la seguridad en tiempos de recesión (nota en portada) Página 4 Humor Digital... 6 Ataques de malware basado en Web (Primera entrega) 7 SEGURIDAD EN COMERCIO ELECTRÓNICO (Segunda Entrega) Por Matías D. Adés DESTACADOS DEL MES(*) 11 * Phishing de gripe porcina * Un PC infectado puede enviar s de SPAM por día * Un comando militar protegerá las redes del Pentágono de los hackers Ataques informáticos, debilidades y contramedidas (Tercera Entrega) Por Jorge Mieres CLASIFICADOS Y BOLSA DE TRABAJO 15 EVENTOS NACIONALES E INTERNACIONALES 16 CERTIFICACIONES Asociación Paraguaya de Auditoría y Control de Sistemas de Información (APACSI) Isaca Capítulo Asunción Premiado con el K. Wayne Snipes Award 2007 como el Mejor Capitulo Pequeño de Latinoamérica 3

4 10 Consejos de como los pequeños y medianos negocios pueden mejorar la seguridad en tiempos de recesión A pesar de que muchas compañías están haciendo recortes debido al actual clima financiero, la seguridad de TI es una área en la cual no deben hacerlo. La protección de la red y datos de una compañía es una parte clave para hacer negocios hoy en día. La seguridad es un costo de hacer negocios y no un elemento más de una lista la cual se puede quitar o remover. El reto para muchos Pequeños y medianos negocios es encontrar un balance entre la seguridad y los gastos. Como un administrador de TI justifica la inversión en una herramienta de seguridad cuando el negocio esta en modalidad de cortar gastos?. El error humano es todavía probablemente la vulnerabilidad mas critica de seguridad de cara a los ambientes de almacenamiento. Con el cibercrimen y el robo de identidad que se espera incremente en el 2009, las PYMES necesitaran estar mas vigilantes en sus defensas contra los ataques dirigidos a la vulnerabilidad humana para caer engañados por el phishing y los ataques de ingeniería social. Las PYMES no pueden darse el lujo de ignorar la seguridad. Aun si los presupuestos están apretados, el costo en general de un ataque de seguridad, perdida de datos y el tiempo que se pierde sobre pasa el costo que una PYME necesita para asegurar sus datos y redes. O sea que la ganancia a corto plazo puede traducirse en perdidas a largo plazo si la seguridad de un negocio pasa a ser victima de la recesión. La implementación adecuada de seguridad puede ser alcanzada usando una mezcla de tecnología y mejores practicas de seguridad y los siguientes 10 pasos pueden ayudar a una PYME en el largo plazo para enfrentar los retos de seguridad en clima financiero difícil. 1. Determine su vulnerabilidad Haga una extensa auditoria de todas las medidas de seguridad en su local, todo el equipo de hardware, programas y otros dispositivos y los privilegios y los permisos que se le dan a todos los empleados en la organización. De manera activa pruebe la seguridad de todos los ambientes de almacenamiento y chequee los logs de la red y almacenaje y de los controles de seguridad tales como los cortafuegos, IDs y logs de acceso para ver si algo es descubierto y resaltado como un posible evento de seguridad. Los logs de los eventos son una importante fuente de seguridad de la información. Los análisis de los logs va mas allá de todo eso 2. Monitoree actividad Monitoree la actividad del usuario 24 x 7 x 365. Para un solo administrador, monitorear los log de los eventos y llevar a cabo auditorias es mucho trabajo pero es mas realista monitorear los logs en los ambientes de almacenamiento que la red completa. Los logs han probado ser una fuente de gran valor si un ataque de seguridad ocurre y se realiza una investigación. Los análisis de los logs van mas allá de lo antes dicho y no solo son una herramienta que se usa solo después de 4

5 un evento sino que permiten entender la forma en que sus recursos son usados para poder mejorar el manejo de los mismos. 3. Controle el acceso El acceso a los datos solo debe ser dado a aquellos que lo necesitan aun si esa persona sea su primo o el hijo del jefe. 4. Resguarde sus informaciones Resguarde toda la información del negocio. El uso incontrolado de los dispositivos portables, tales como pendrives y DVDs, ponen volúmenes considerables de datos en riesgo. Estos dispositivos son fáciles de perderse y pueden ser robados fácilmente y dejados extraviados. En muchos casos, los datos que están en esos dispositivos frecuentemente no están protegidos usando encriptación. 5. Necesita conocer y necesita usar Habilite barreras tecnológicas que permitan un uso de dispositivos de acuerdo a una clara y bien definida política. Estudios recientes muestran que la perdida de datos por parte de empleados aumenta cuando las personas pierden su trabajo. Los dispositivos portables tales como pendrives o PDAs pueden llevar un largo volumen de datos. Monitorear y controlar su uso en la red es clave para reducir l riesgo de perdida de datos o actividad maliciosa por empleados enfadados. El uso de tales dispositivos debe ser restringido a aquellos que realmente los necesiten. 6. Políticas de manejo de datos Implemente políticas de seguridad restrictivas relacionadas a como los datos son accesados, manejados y transferidos. La tecnología por si sola no protegerá las informaciones de su compañía. Fuertes políticas de seguridad también como la concientizacion de los empleados y la parte administrativa de los problemas de seguridad va a incrementar la seguridad dentro de una organización. 7. Comunicación sencilla con los empleados Explique el significado de cada política en un leguaje sencillo y claro de como cada una es implementada a traves de la organización. 8. Educación del empleado A los empleados debe recordárseles que no deben dejar sus contraseñas escritas en un papelito en su monitor. Necesitan entender que compartir sus contraseñas es el equivalente de compartir sus llaves de sus casas. Necesita decirles que no deben divulgar ninguna información a terceros sin autenticar el pedido. Ellos necesitan tener un entendimiento básico de la seguridad y de las amenazas mas comunes, tales como phising e ingeniería social. Adicionalmente, se les debe recordar que sus acciones están siendo monitoreadas. 9. Haga copias de seguridad de todo. Haga copia de respaldo de todas la comunicaciones desde y hacia el negocio. 5

6 Chequee sus copias de seguridad con regularidad para asegurarse de que si la red de la empresa esta abajo, usted pueda conseguir todo de nuevo en un corto tiempo. Usted no quiere estar en una posición donde sus copias están corruptas. 10. Manejo de las personas La seguridad de la información es mas que proteger los datos usando tecnología o guardándolos bajo llave, es también un ejercicio de manejo de personas. Las personas que usan y crean los datos son el mayor riesgo y el eslabón mas débil. Aun cuando se espera que el gasto en general en seguridad aumente, hacer mas con menos será el mantra para el Siguiendo estos consejos sencillos, los PYMES pueden atravesar este retador clima económico sin tener que comprometer su seguridad. Fuente: ( ) Tecnoseguridad HUMOR DIGITAL... 6

7 Ataques de malware basado en Web (Primera entrega) Por Jorge Mieres Disclaimer: las URL que figuran en este artículo son dañinas. Por favor no ingrese a las mismas o hágalo bajo su propia responsabilidad. Introducción Internet se ha transformado en una aliada plataforma de ataque para los creadores de malware, quienes a través del empleo de diferentes técnicas tales como Drive-by-Download, Drive-by-Updte, scripting, exploit, entre otros, y la combinación de ellos, buscan reclutar todo un ejército de computadoras que respondan sólo a sus instrucciones maliciosas. Estos ataques, empleando Internet como base para ejecutar cargas dañina de manera directa sobre el sistema víctima, de forma paralela, casi instantánea y transparente a la vista de los usuarios menos experimentado, se ha convertido en un latente y peligroso riesgo de infección por el simple acto de acceder a un sitio web. En el siguiente documento se expone un ejemplo concreto que recurre a las acciones antes mencionadas para explotar e infectar un sistema víctima, describiendo también varias características extras que potencian el daño del malware. El proceso de ataque La situación podría ser la siguiente: como habitualmente lo hace, un usuario accede a su casilla de correo electrónico para chequear sus mensaje; entre ellos, encuentra uno de bajo un atractivo asunto lo insita a abrirlo. El usuario abre el correo en cuestión, y encuentra en el cuerpo del mensaje un enlace incrustado. El usuario, hace clic sobre dicho enlace para acceder al sitio que se especifica en el cuerpo del mensaje. Cuando el navegador web accede al dominio en cuestión, el usuario sólo visualiza una página en blanco que únicamente contiene dos líneas ; en consecuencia, cierra el navegador suponiendo que el contenido de la página ya no se encuentra disponible. Sin embargo, lejos de suceder lo que el usuario supone, en segundo plano se llevan a cabo actividades totalmente transparentes. La página posee componentes maliciosos que intentaran explotar en el equipo de la víctima. 7

8 Al acceder a la página maliciosa, un script ejecuta de manera transparente varias etiquetas iframes que posibilita la apertura en segundo plano de otros sitios web, esta técnica es conocida como Driveby- Download; y un exploit diseñado para aprovechar una vulnerabilidad en el servicio de servidor de plataformas Windows que no trata correctamente una petición RPC especialmente creada. Dicha vulnerabilidad es explicada en el boletín MS08-067, y un dato interesante radica en que, actualmente, la vulnerabilidad mencionada es activamente explotada por el gusano Downadup/Conficker con una tasa de infección muy alta. En el script, se encuentra embebida la referencia hacia un archivo lamado sina.css. Este archivo no es lo que parecería ser, una hoja de stilo encascada según su extensión, sino que se trata de un archivo ejecutable que es el encargado de activar el exploit para la vulnerabilidad mencionada. Inmediatamente después de encontrar la vulnerabilidad en el sistema víctima, el malware inyecta código dañino en los procesos winlogon.exe, explorer.exe y services.exe, y realiza una copia de si mismo en C:\DOCUME~1\user\LOCALS~1\Temp\ bajo el nombre svchost.exe creando su proceso asociado. Además, también crea el archivo Beep.sys en C:\WINDOWS\system32\drivers\ ejecutándolo como servicio del sistema, y ocultándose con las capacidades propias de rootkit. Al mismo tiempo, manipula el registro del sistema para evitar la ejecución de las siguientes procesos correspondientes a herramientas de seguridad Fuente: Segu-Info. / 8

9 SEGURIDAD EN COMERCIO ELECTRÓNICO (Segunda Entrega) Por Matías D. Adés Seguridad Electrónica Muchas personas perciben que comprar por Internet es inseguro, pero en realidad es lo suficientemente seguro si se toman las medidas adecuadas de seguridad. Muchos de los casos de fraude en Internet se deben a que los que números de las tarjetas son robados fuera de Internet. Ya que el proceso de comprar en línea no exige firmas (todavía), es relativamente fácil hacer compras con tarjetas robadas, pero no tanto robar los números en la Internet.9. De cualquier manera, las entidades bancarias están tomando medidas de seguridad en lo que respecta a los hábitos de compra de los consumidores que poseen tarjetas de crédito. Así, por ejemplo, si un individuo obtiene el número de tarjeta, junto con otros datos necesarios de la víctima, y utiliza toda esta información para comprar por Internet por un monto X, el banco puede determinar la existencia de fraude analizando y comparando los flujos normales de dinero de su cliente; al encontrarse valores aberrantes, se procedería al congelamiento de la tarjeta y a una posterior investigación. Pero atención, se quiere dejar en claro que nada es completamente seguro, ninguno de los métodos que se presentan aquí ni ninguno en su existencia; más bien se mejora la seguridad o se disminuye, pero no se evita nunca en un 100%. Bien sabemos, o al menos nos damos una idea, que toda transacción comercial está compuesta por cuatro partes: el portal, el vendedor, la comunicación y el cliente, (figura 1) y no es una excepción para el caso del Comercio Electrónico. Propongo esta clasificación para abordar a continuación el tema de la seguridad. 9

10 Seguridad En Relación Al Portal En un portal B2C o B2B es muy probable que el mismo prestador del servicio sea el dueño del portal, y será quien a su vez proporcione la seguridad del mismo. Es decir, la seguridad de un sitio Web es responsabilidad del proveedor del hospedaje (hosting) y los encargados de diseñar y mantener el sitio, así que es importante que se mantenga actualizado y tenga conocimiento y experiencia en el tema. Bien se debe saber que un sitio Web NO debe enviar los números de tarjeta de crédito por , ni debe guardarlos en alguna base de datos para uso posterior. La manera correcta es enviando esta información por canales seguros a la institución financiera que procesa las tarjetas. Si el cliente vuelve a comprar en la tienda virtual, probablemente no tenga que escribir su información nuevamente, pero sí tendrá que escribir el número de tarjeta cada vez.10 Esto está más relacionado al tema seguridad con respecto al canal de comunicación, que se presentará posteriormente con mayor detalle. Nunca sabemos si el portal es lo suficientemente seguro, no sabemos qué recaudos se tienen en cuenta por parte del hosting...qué políticas, etc. Por ello, lo más recomendable es comprar en sitios reconocidos y seguros, con certificados de seguridad. Cómo nos damos cuenta qué sitio es reconocido o no? Por la publicidad que se haga en los distintos medios, no solo en Internet, sino la radio, el periódico o la televisión; además, por la experiencia que otros amigos hayan tenido; estando al tanto de las noticias acerca del Comercio Electrónico podemos tener una idea de la seguridad en los sitios de venta online; en caso de ser un sitio nuevo, buscando si tiene identidad, denominación legal y datos de ubicación física tales como su dirección, teléfono y fax. También es importante el nombre o marca de comercialización de la empresa y sus productos; si se cuenta con políticas de privacidad, sobre todo cuando la transacción implica que se den a conocer algunos datos de carácter privado como números de tu tarjeta de crédito; Algunos sitios reconocidos donde se puede comprar en Argentina son: mercadolibre.com.ar (C2C), deremate.com (C2C), masoportunidades.com.ar (C2C); internacionales: ebay.com (C2C), amazon.com (B2C). Por supuesto existen muchos más, pero es tarea del lector investigar siguiendo las pautas que se han dejado. 10

11 Seguridad En Relación Al Vendedor Aquí se darán las pautas generales sobre qué tener en cuenta para elegir un vendedor confiable para el caso de la modalidad de comercio C2C. En la modalidad B2C, desde el momento que se ingresa a la página se tendrá una imagen anterior del vendedor si es que ya se lo conoce (ej. Dell, IBM, etc.); si no fuese así, quizás se necesite investigar más acerca de él. Cabe aclarar que es bastante difícil distinguir entre la seguridad en relación al vendedor y al portal cuando se trata de B2C. Muchos son los usuarios que no saben utilizar las ventajas que brindan los sitios de Comercio Electrónico y salen defraudados por vendedores dedicados a encontrar la forma de estafar a aquellos que no pueden distinguir entre un buen vendedor y un defraudador. Existen ciertas variables que nos permiten identificar y nos alertan, en mayor o menor medida, acerca de la calidad de prestador de servicio que tiene un vendedor. Fuente: DESTACADOS DEL MES Phishing de gripe porcina Si antes lo decíamos, no ha tardado en ocurrir. El US- CERT ha informado sobre la circulación de correos fraudulentos que usan la gripe porcina como nuevo cebo de ingeniería social para realizar ataques de phishing. Los ataques llegan vía , y contienen en el subject un mensaje relacionado con la gripe junto a un enlace o archivo adjunto. El usuario al hacer clic en el mensaje o al abrir el fichero es redireccionado a un sitio de phishing o expuesto a código malicioso. Desde Symantec nos informan que el pdf típico adjunto suele ser un cuestionario de preguntas frecuentes sobre la gripe, pero en realidad es "Bloodhound.Exploit.6" que introduce código malicioso InfoStealer en el ordenador de la víctima. También informan de un con un título que dice 'el recuento de sospechochos con gripe porcina llega a 81' que incluye titulares de noticias legítimas y pide información de personas que conozcas que crean puedan estar afectadas. Desde ahí se les pide ir a un sitio web para rellenar un formulario con sus datos. 11

12 Desde McAfee también nos informan sobre otro tipo de correos en los que se comenta que la fiebre ha atacado a artistas de Hollywood, con subjects de este tipo: "Salma Hayek caught swine flu!" o "Madonna caught swine flu!" Según CISCO IronPort el spam relacionado con la gripe porcina ya representa un 4% del total. Desde el US-CERT nos dan una serie de recomendaciones: no acceder a links ni documentos desde correos sobre gripe porcina, mantener actualizado el antivirus, consultar 'como reconocer y evitar ataques por fraude electrónico' y 'como prevenir ataques de phishing e ingeniería social'. Yo recomiendo enviar a la papelera cualquier con título 'swine flu' o 'gripe porcina', que ya bastante informados estamos por los periódicos o la televisión. Fuente: 12

13 Un PC infectado puede enviar s de SPAM por día capacidad de mandar SPAM de cada infección. Un estudio llevado a cabo por la compañía californiana Marshal8e6 en sus dependencias de investigación, TRACElabs, ha estudiado el comportamiento de un PC infectado de forma correlativa por los 9 bots que han creado las botnets más grandes del mundo. El estudio ha tenido en cuenta el comportamiento del PC así como la Tal y como ha aclarado el analista senior de amenazas en TRACElabs, Phil Hay, uno de sus objetivos es ver el papel que tienen las redes botnet en el mundo del spam. El estudio ha concluido que Rustock y Xarvester, son los más prolíficos en cuanto a SPAM, pudiendo enviar hasta s por hora, lo que acaba con s por día y 4,2 millones por semana. Según TRACElabs, Rustock fue el responsable del 26 % de todo el SPAM generado en el primer trimestre de 2009, Mega-D y Pushdo le siguen con un 22 % y 18% respectivamente, dejando el cuarto lugar para el también prolífico y mencionado anteriormente Xarvester con un 8 % del SPAM generado globalmente desde enero hasta finales de marzo. El año pasado, antes de la desarticulación de los servidores de McColo, desde donde trabajaban numerosos bots, Stewart de SecureWorks afirmó que Srizbi y toda su red eran capaces de enviar millones de s de SPAM por día. Fuente: The Inquirer Un comando militar protegerá las redes del Pentágono de los hackers El Gobierno estadounidense estudiar crear un nuevo comando militar centrado en la protección de las redes informáticas del Pentágono y en combatir los ataques de hackers en Estados Unidos, especialmente aquellos provenientes de países como China o Rusia, según fuentes conocedoras del plan consultadas por el diario norteamericano The Wall Street Journal. Fuentes del Pentágono anticiparon que este nuevo equipo de cibermilitares podría ser confirmado en 13

14 las próximas semanas y, al menos en un primer momento, formaría parte del Comando Estratégico del Pentágono. El presidente Barack Obama previsiblemente anunciará un plan para mejorar la seguridad en internet este mismo mes, tras varias reuniones en la Casa Blanca, mientras que el secretario de Defensa, Robert Gates, sería el encargado de publicar la creación del ciber comando. The Wall Street Journal denunció que son frecuentes las brechas en la seguridad del programa armamentístico del Pentágono, valorado en millones de dólares. La identidad de los atacantes y los costes de estos asaltos cibernéticos podría no conocerse nunca, apuntó el rotativo, si bien al menos en su mayor parte procederían de China por la facilidad con la que se pueden ocultar las identidades en internet desde este país asiático. Fuente: Tecnoseguridad. Ataques informáticos, debilidades y contramedidas (Tercera Entrega) Por Jorge Mieres (jamieres@gmail.com) Factor Insiders Cuando se habla sobre las personas que se dedican a atacar sistemas informáticos, se asume que se trata de alguien desconocido que realiza el ataque y maneja todo desde un lugar remoto llevándolo a cabo a altas horas de la noche. Aunque en algunos casos puede ser cierto, varios estudios han demostrado que la mayoría de las violaciones de seguridad son cometidos por el Factor Insiders, es decir, por los mismos empleados desde dentro de la Institución u Organización. Ver Segu-Info Insiders Una de las formas más eficaces que posee un atacante para romper los esquemas de seguridad, es como empleado. Por ejemplo, el atacante podría conseguir un empleo en la organización que desea atacar y obtener el suficiente nivel de confianza en la organización para luego explotar los puntos de acceso. Del mismo modo, cualquier integrante puede convertirse en un empleado disgustado y decidir robar información y/o causar daños como una forma de venganza. En cualquiera de los casos, muchas de las herramientas y medidas de seguridad que se implementen en el entorno informático no serán eficaces. Bajo esta perspectiva, es necesario acudir 14

15 a estrategias de defensa internas y específicas para el control de posibles ataques ocasionados por el personal de la organización. Estas estrategias defensivas funcionarán como contramedidas. Una de las mejores soluciones es realizar auditorias continuas que incluyan monitoreos a través de programas keyloggers que pueden ser por hardware o por software, mecanismos que impidan la instalación de programas por parte del personal, estricta configuración del principio de privilegios mínimos, deshabilitación de puertos USB y prohibición del uso de dispositivos de almacenamiento extraíbles para evitar la fuga de información y entrada de otras amenazas como malware, si las computadoras forman parte de un dominio es necesario establecer políticas rigurosas en el Active Directory, entre otras....si piensas que la tecnología puede resolver todos los problemas de seguridad, entonces no entiendes el problema y no entiendes la tecnología Fuente: Segu-Info. / CLASIFICADOS ESTE ES TU ESPACIO!!! PARA PUBLICAR TUS AVISOS, COMUNICATE CON NOSOTROS A: apacsi.isacapy@gmail.com 15

16 EVENTOS NACIONALES E INTERNACIONALES INFOSECURITY ASUNCION 16

17 CERTIFICACIONES CISA; Auditor Certificado de Sistemas de Información, es la principal certificación de ISACA. Desde 1978 el examen CISA ha medido la excelencia en el área de la auditoria de sistemas de información. CISA es actualmente una certificación reconocida en forma global y adoptada por todo el mundo como símbolo de excelencia. La certificación CISA ha sido obtenida por más de 50,000 profesionales en todo el mundo. CISM; Administrador Certificado en Seguridad de sistemas de Información, es la certificación de ISACA dirigida específicamente a profesionales experimentados en la seguridad de la información. CISM esta orientada a la gerencia de riesgos y seguridad de la información, así como el diseño y manejo de aspectos técnicos de la seguridad de la información a un nivel conceptual. Los profesionales con experiencia en temas de seguridad de información encontraron en esta certificación NEW Una herramienta de gran valor para las empresas. Certified in the Governance of Enterprise IT (CGEIT ) Exam Registration The CGEIT/CISA/CISM Exam final registration deadline has been extended to Friday, 10 April :00pm Central Time (Chicago, Illinois, USA). After the June exam date, 12 December 2009 will be the next opportunity to sit for an exam. PLEASE NOTE: Full payment must be received before admission tickets are issued and entrance to the exam permitted. Rates are based on the registrant's ISACA member status as of the date of registration. Exam Registration Fees Online* M ail/fax ISACA member US $395 US $445 Nonmember US $525 US $575 * Save US$50.00 when registering online! Please note: CGEIT exam pricing is based on the Online rate even though registration is possible by mail and fax only. 17