Argueta Cortes Jairo I. UNAM Facultad de Ingeniería Administración de Redes Mendoza Gaytan José T. Jueves 20 de Mayo de 2010

Transcripción

1 ArguetaCortesJairoI.UNAM FacultaddeIngenieríaAdministracióndeRedes MendozaGaytanJoséT.Jueves20deMayode2010 Listadecontroldeacceso UnaListadeControldeAccesooACL(delinglés,AccessControlList)esunconceptodeseguridad informática usado para fomentar la separación de privilegios. Es una forma de determinar los permisos de acceso apropiados a un determinado objeto, dependiendo de ciertos aspectos del procesoquehaceelpedido. Las ACLs permiten controlar el flujo del tráfico en equipos de redes, tales como enrutadores y conmutadores.suprincipalobjetivoesfiltrartráfico,permitiendoodenegandoeltráficoderedde acuerdo a alguna condición. Sin embargo, también tienen usos adicionales, como por ejemplo, distinguir"tráficointeresante"(tráficosuficientementeimportantecomoparaactivaromantener unaconexión)enrdsi. ACLsenredesinformáticas En redes informáticas,acl se refiere a una lista de reglas que detallan puertos de servicio o nombresdedominios(deredes)queestándisponiblesenunterminaluotrodispositivodecapa dered,cadaunodeellosconunalistadeterminalesy/oredesquetienenpermisoparausarel servicio.tantoservidoresindividualescomoenrutadorespuedenteneraclsderedes.laslistasde controldeaccesopuedenconfigurarsegeneralmenteparacontrolartráficoentranteysalientey enestecontextosonsimilaresauncortafuegos. ExistendostiposdeACLs: ACLestándar,dondesolotenemosqueespecificarunadireccióndeorigen; ACL extendida, en cuya sintaxis aparece el protocolo y una dirección de origen y de destino. Auditoría La auditoría nace como un órgano de control de algunas instituciones estatales y privadas. Su funcióninicialesestrictamenteeconómico financiera,yloscasosinmediatosseencuentranenlas peritacionesjudicialesylascontratacionesdecontablesexpertosporpartedebancosoficiales. La función auditora debe ser absolutamente independiente; no tiene carácter ejecutivo, ni son vinculantes sus conclusiones. Queda a cargo de la empresa tomar las decisiones pertinentes. La auditoría contiene elementos de análisis, de verificación y de exposición de debilidades y disfunciones. Aunque pueden aparecer sugerencias y planes de acción para eliminar las disfuncionesydebilidadesantedichas;estassugerenciasplasmadasenelinformefinalrecibenel nombrederecomendaciones. Las funciones de análisis y revisión que el auditor informático realiza, puede chocar con la psicología del auditado, ya que es un informático y tiene la necesidad de realizar sus tareas con racionalidadyeficiencia.lareticenciadelauditadoescomprensibley,enocasiones,fundada.el niveltécnicodelauditoresavecesinsuficiente,dadalagrancomplejidaddelossistemas,unidosa losplazosdemasiadobrevesdelosquesuelendisponerpararealizarsutarea. AdemásdelchequeodelosSistemas,elauditorsometealauditadoaunaseriedecuestionario. Dichoscuestionarios,llamadosCheckList,songuardadoscelosamenteporlasempresasauditoras, yaquesonactivosimportantesdesuactividad.laschecklisttienenquesercomprendidasporel auditoralpiedelaletra,yaquesisonmalaplicadasymalrecitadassepuedenllegaraobtener resultadosdistintosalosesperadosporlaempresaauditora.lachecklistpuedellegaraexplicar cómo ocurren los hechos pero no por qué ocurren. El cuestionario debe estar subordinado a la regla,alanorma,almétodo.sólounametodologíaprecisapuededesentrañarlascausasporlas cualesserealizanactividadesteóricamenteinadecuadasoseomitenotrascorrectas.

2 ArguetaCortesJairoI.UNAM FacultaddeIngenieríaAdministracióndeRedes MendozaGaytanJoséT.Jueves20deMayode2010 El auditor sólo puede emitir un juicio global o parcial basado en hechos y situaciones incontrovertibles,careciendodepoderparamodificarlasituaciónanalizadaporélmismo. AlcancedelaAuditoríaInformática: Elalcancehadedefinirconprecisiónelentornoyloslímitesenquevaadesarrollarselaauditoría informática,secomplementaconlosobjetivosdeésta.elalcancehadefigurarexpresamenteen elinformefinal,demodoquequedeperfectamentedeterminadonosolamentehastaquepuntos se ha llegado, sino cuales materias fronterizas han sido omitidas. Ejemplo: Se someterán los registrosgrabadosauncontroldeintegridadexhaustivo*? Secomprobaráqueloscontrolesde validacióndeerroressonadecuadosysuficientes*?laindefinicióndelosalcancesdelaauditoría comprometeeléxitodelamisma. *Controldeintegridadderegistros: Hay Aplicaciones que comparten registros, son registros comunes. Si una Aplicación no tiene integrado un registro común, cuando lo necesite utilizar no lo va encontrar y, por lo tanto, la aplicaciónnofuncionaríacomodebería. *Controldevalidacióndeerrores: Secorroboraqueelsistemaqueseaplicaparadetectarycorregirerroresseaeficiente. CaracterísticasdelaAuditoríaInformática: La información de la empresa y para la empresa, siempre importante, se ha convertido en un ActivoRealdelamisma,comosusStocksomateriasprimassilashay.Porende,handerealizarse inversionesinformáticas,materiadelaqueseocupalaauditoríadeinversióninformática. Delmismomodo,losSistemasInformáticoshandeprotegersedemodoglobalyparticular:aello se debe la existencia de la Auditoría de Seguridad Informática en general, o a la auditoría de Seguridaddealgunadesusáreas,comopudieranserDesarrollooTécnicadeSistemas. Cuando se producen cambios estructurales en la Informática, se reorganiza de alguna forma su función:seestáenelcampodelaauditoríadeorganizacióninformática. Estostrestiposdeauditoríasenglobanalasactividadesauditorasqueserealizanenunaauditoría parcial.deotramanera:cuandoserealizaunaauditoriadeláreadedesarrollodeproyectosdela Informática de una empresa, es porque en ese Desarrollo existen, además de ineficiencias, debilidadesdeorganización,odeinversiones,odeseguridad,oalgunamezcladeellas. SíntomasdeNecesidaddeunaAuditoríaInformática: Las empresas acuden a las auditorías externas cuando existen síntomas bien perceptibles de debilidad.estossíntomaspuedenagruparseenclases: Síntomasdedescoordinacionydesorganización: NocoincidenlosobjetivosdelaInformáticadelaCompañíaydelapropiaCompañía. Los estándares de productividad se desvían sensiblemente de los promedios conseguidos habitualmente. [Puedeocurrirconalgúncambiomasivodepersonal,oenunareestructuraciónfallidadealguna áreaoenlamodificacióndealgunanormaimportante] Síntomasdemalaimageneinsatisfaccióndelosusuarios: Noseatiendenlaspeticionesdecambiosdelosusuarios.Ejemplos:cambiosdeSoftwareenlos terminales de usuario, resfrecamiento de paneles, variación de los ficheros que deben ponerse diariamenteasudisposición,etc. No se reparan las averías de Hardware ni se resuelven incidencias en plazos razonables. El usuariopercibequeestáabandonadoydesatendidopermanentemente.

3 ArguetaCortesJairoI.UNAM FacultaddeIngenieríaAdministracióndeRedes MendozaGaytanJoséT.Jueves20deMayode2010 No se cumplen en todos los casos los plazos de entrega de resultados periódicos. Pequeñas desviacionespuedencausarimportantesdesajustesenlaactividaddelusuario,enespecialenlos resultadosdeaplicacionescríticasysensibles. Síntomasdedebilidadeseconómico financiero: Incrementodesmesuradodecostes. Necesidad de justificación de Inversiones Informáticas (la empresa no está absolutamente convencidadetalnecesidadydecidecontrastaropiniones). DesviacionesPresupuestariassignificativas. Costes y plazos de nuevos proyectos (deben auditarse simultáneamente a Desarrollo de Proyectosyalórganoquerealizólapetición). SíntomasdeInseguridad:Evaluacióndenivelderiesgos SeguridadLógica SeguridadFísica Confidencialidad [Losdatossonpropiedadinicialmentedelaorganizaciónquelosgenera.Losdatosdepersonalson especialmenteconfidenciales] Continuidad del Servicio. Es un concepto aún más importante que la Seguridad. Establece las estrategiasdecontinuidadentrefallosmedianteplanesdecontingencia*totalesylocales. Centro de Proceso de Datos fuera de control. Si tal situación llegara a percibirse, sería prácticamente inútil la auditoría. Esa es la razón por la cual, en este caso, el síntoma debe ser sustituidoporelmínimoindicio. *PlanesdeContingencia: Porejemplo,laempresasufreuncortetotaldeenergíaoexplota, Cómosigooperandoenotro lugar?loquegeneralmentesepideesquesehaganbackupsdelainformacióndiariamenteyque aparte,seadoble,paratenerunbackupenlaempresayotroafueradeésta.unaempresapuede tenerunasoficinasparalelasqueposeanserviciosbásicos(luz,teléfono,agua)distintosdelosde laempresaprincipal,esdecir,sialaempresaprincipalleproveíateléfonotelecom,alasoficinas paralelas, Telefónica. En este caso, si se produce la inoperancia de Sistemas en la empresa principal, se utilizaría el Backup para seguir operando en las oficinas paralelas. Los Backups se pueden acumular durante dos meses, o el tiempo que estipule la empresa, y después se van reciclando. Objetivofundamentaldelaauditoríainformática:Operatividad La operatividad es una función de mínimos consistente en que la organización y las maquinas funcionen, siquiera mínimamente. No es admisible detener la maquinaria informática para descubrir sus fallos y comenzar de nuevo. La auditoría debe iniciar su actividad cuando los Sistemasestánoperativos,eselprincipalobjetivoeldemantenertalsituación.Talobjetivodebe conseguirsetantoanivelglobalcomoparcial. La operatividad de los Sistemas ha de constituir entonces la principal preocupación del auditor informático. Para conseguirla hay que acudir a la realización de Controles Técnicos Generales de Operatividad y Controles Técnicos Específicos de Operatividad, previos a cualquier actividad de aquel. Los Controles Técnicos Generales son los que se realizan para verificar la compatibilidad defuncionamientosimultaneodelsistemaoperativoyelsoftwaredebasecontodoslos subsistemas existentes, así como la compatibilidad del Hardware y del Software instalados. Estos controles son importantes en las instalaciones que cuentan con varios competidores,debidoaquelaprofusióndeentornosdetrabajomuydiferenciadosobliga alacontratacióndediversosproductosdesoftwarebásico,conelconsiguienteriesgode

4 ArguetaCortesJairoI.UNAM FacultaddeIngenieríaAdministracióndeRedes MendozaGaytanJoséT.Jueves20deMayode2010 abonarmásdeunavezelmismoproductoodesaprovecharpartedelsoftwareabonado. PuedeocurrirtambiénconlosproductosdeSoftwarebásicodesarrolla dosporelpersonal desistemasinterno,sobretodocuandolosdiversosequiposestánubicadosencentrosde Proceso de Datos geográficamente alejados. Lo negativo de esta situación es que puede producir la inoperatividad del conjunto. Cada Centro de Proceso de Datos tal vez sea operativo trabajando independientemente, pero no será posible la interconexión e intercomunicación de todos los Centros de Proceso de Datos si no existen productos comunesycompatibles. Los Controles Técnicos Específicos, de modo menos acusado, son igualmente necesarios paralograrlaoperatividaddelossistemas.unejemplodeloquesepuedeencontrarmal sonparámetrosdeasignaciónautomáticadeespacioendisco*quedificultenoimpidansu utilizaciónposteriorporunaseccióndistintadelaquelogeneró.también,losperiodosde retencióndeficheroscomunesavariasaplicacionespuedenestardefinidoscondistintos plazos en cada una de ellas, de modo que la pérdida de información es un hecho que podrá producirse con facilidad, quedando inoperativa la explotación de alguna de las Aplicacionesmencionadas. *Parámetrosdeasignaciónautomáticadeespacioendisco: Todas las Aplicaciones que se desarrollan son super parametrizadas, es decir, que tienen un montóndeparámetrosquepermitenconfigurarcualvaaserelcomportamientodelsistema.una Aplicaciónvaausarparatalytalcosaciertacantidaddeespacioendisco.Siunonoanalizócuales la operatoria y el tiempo que le va a llevar ocupar el espacio asignado, y se pone un valor muy chico, puede ocurrir que un día la Aplicación reviente, se caiga. Si esto sucede en medio de la operatoriaylaaplicaciónsecae,elvolveralevantarla,conlanuevaasignacióndeespacio,sihay que hacer reconversiones o lo que sea, puede llegar a demandar muchísimo tiempo, lo que significaunriesgoenorme. MetodologíadeTrabajodeAuditoríaInformática Elmétododetrabajodelauditorpasaporlassiguientesetapas: AlcanceyObjetivosdelaAuditoríaInformática. Estudioinicialdelentornoauditable. Determinacióndelosrecursosnecesariospararealizarlaauditoría. ElaboracióndelplanydelosProgramasdeTrabajo. Actividadespropiamentedichasdelaauditoría. ConfecciónyredaccióndelInformeFinal. RedaccióndelaCartadeIntroducciónoCartadePresentacióndelInformefinal. TiposdeAuditoríainformática Dentrodelaauditoríainformáticadestacanlossiguientestipos(entreotros): Auditoría de la gestión: Referido a la contratación de bienes y servicios, documentación delosprogramas,etc. Auditoría legal del Reglamento de Protección de Datos: Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgánica de ProteccióndeDatos. Auditoríadelosdatos:Clasificacióndelosdatos,estudiodelasaplicacionesyanálisisde losflujogramas. Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y calidaddelosdatos.

5 ArguetaCortesJairoI.UNAM FacultaddeIngenieríaAdministracióndeRedes MendozaGaytanJoséT.Jueves20deMayode2010 Auditoría de la seguridad: Referidos a datos e información verificando disponibilidad, integridad,confidencialidad,autenticaciónynorepudio. Auditoría de la seguridad física: Referido a la ubicación de la organización, evitando ubicacionesderiesgo,yenalgunoscasosnorevelandolasituaciónfísicadeesta.también está referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y proteccionesdelentorno. Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los sistemasdeinformación. Auditoríadelascomunicaciones.Serefierealaauditoriadelosprocesosdeautenticación enlossistemasdecomunicación. Auditoríadelaseguridadenproducción:Frenteaerrores,accidentesyfraudes. Análisisforense. Elcómputoforense,tambiénllamadoinformáticaforense,computaciónforense,análisisforense digital o examinación forense digital es la aplicación de técnicas científicas y analíticas especializadas a infraestructura tecnológica que permiten identificar, preservar, analizar y presentardatosqueseanválidosdentrodeunprocesolegal. Dichas técnicas incluyen reconstruir el bien informático, examinar datos residuales, autenticar datosyexplicarlascaracterísticastécnicasdelusoaplicadoalosdatosybienesinformáticos. Comoladefiniciónanteriorloindica,estadisciplinahaceusonosolodetecnologíadepuntapara podermantenerlaintegridaddelosdatosydelprocesamientodelosmismos;sinoquetambién requieredeunaespecializaciónyconocimientosavanzadosenmateriadeinformáticaysistemas parapoderdetectardentrodecualquierdispositivoelectrónicoloquehasucedido. La importancia de éstos y el poder mantener su integridad se basa en que la evidencia digital o electrónica es sumamente frágil. El simple hecho de darle doble clic a un archivo modificaría la últimafechadeaccesodelmismo. Adicionalmente, un examinador forense digital, dentro del proceso del cómputo forense puede llegararecuperarinformaciónquehayasidoborradadesdeelsistemaoperativo. Pasosdelcómputoforense Identificación Esmuyimportanteconocerlosantecedentes,situaciónactualyelprocesoquesequiereseguir parapodertomarlamejordecisiónconrespectoalasbúsquedasylaestrategiadeinvestigación. Incluyemuchasveceslaidentificacióndelbieninformático,suusodentrodelared,eliniciodela cadenadecustodia(procesoqueverificalaintegridadymanejoadecuadodelaevidencia),la revisióndelentornolegalqueprotegeelbienydelapoyoparalatomadedecisiónconrespectoal siguientepasounavezrevisadoslosresultados. Preservación Estepasoincluyelarevisiónygeneracióndelasimágenesforensesdelaevidenciaparapoder realizarelanálisis.dichaduplicaciónserealizautilizandotecnologíadepuntaparapoder mantenerlaintegridaddelaevidenciaylacadenadecustodiaqueserequiere.alrealizaruna

6 ArguetaCortesJairoI.UNAM FacultaddeIngenieríaAdministracióndeRedes MendozaGaytanJoséT.Jueves20deMayode2010 imagenforense,nosreferimosalprocesoqueserequiereparagenerarunacopia bit a bit de todoeldisco,elcualpermitirárecuperarenelsiguientepaso,todalainformaciónconteniday borradadeldiscoduro.paraevitarlacontaminacióndeldiscoduro,normalmenteseocupan bloqueadoresdeescrituradehardware,loscualesevitanelcontactodelecturaconeldisco,lo queprovocaríaunaalteraciónnodeseadaenlosmedios. Análisis Procesodeaplicartécnicascientíficasyanalíticasalosmediosduplicadospormediodelproceso forenseparapoderencontrarpruebasdeciertasconductas.sepuedenrealizarbúsquedasde cadenasdecaracteres,accionesespecíficasdelodelosusuariosdelamáquinacomosonelusode dispositivosdeusb(marca,modelo),búsquedadearchivosespecíficos,recuperacióne identificacióndecorreoselectrónicos,recuperacióndelosúltimossitiosvisitados,recuperación delcachédelnavegadordeinternet,etc. Presentación Eselrecopilartodalainformaciónqueseobtuvoapartirdelanálisispararealizarelreporteyla presentaciónalosabogados,lageneración(sieselcaso)deunapericialydesucorrecta interpretaciónsinhacerusodetecnicismos. Procesojudicialenelanálisisforenseinformático.

7 ArguetaCortesJairoI.UNAM FacultaddeIngenieríaAdministracióndeRedes MendozaGaytanJoséT.Jueves20deMayode2010 Objetivos. Facilitarreconstruccióndeeventosdelictivosenunmodolegalmenteaceptable. Anticipar acciones no autorizadas que puedan perturbar el curso normal de las operaciones. Etapasdeunainvestigación. Tiposdeevidencia. Volátil. Es extremadamente importante; es necesario el uso de herramientas adecuadas; elprocedimientoesmuy artesanal. Novolátil.Recuperaciónamáslargoplazo,clonacióndemedios. OVAL(OpenVulnerabilityAssessmentLanguage)esunacoleccióndeesquemasXMLpara representar información de sistemas; expresando estados de máquinas específicos y reportandoresultadosdeevaluación. Ovaldi. Intérprete de código abierto utilizado como implementación de referencia en la evaluacióndedefinicionesoval. Mesografía. barrere.pdf dc.uba.ar/materias/crip/docs/ardita01.pdf