Casos INTRUCCIONES: Analice cada uno de los escenarios desde una perspectiva integrada de seguridad. Considere en su análisis los diferentes componentes del Plan de Seguridad: seguridad física, seguridad operacional, seguridad tecnológica y seguridad de la información. Provea recomendaciones para mitigar el impacto, evitar el riesgo, educar a los usuarios y afectados, tanto a corto plazo, como a largo plazo. Considere el análisis de costo/impacto respecto a las medidas que recomiende. Incluya, además, recomendaciones para activar el CERT y sus funciones, al igual que la posibilidad de transferir el riesgo y sus implicaciones. 1. Los usuarios de computadoras en los diferentes recintos de la Universidad de Puerto Rico comienzan a recibir una notificación de actualización del sistema antivirus vía correo electrónico. La notificación aparenta ser un re-envío ( forward ) por personal del departamento central de sistemas de una notificación oficial del servidor de Antivirus (Norton). Cuando siguen las instrucciones del enlace y encienden nuevamente la máquina comienzan a tener problemas: el teclado no funciona correctamente, el ratón se pierde, programas no funcionan correctamente y pierden datos. Eventualmente la red se pone lenta y hasta colapsa. Resulta que el correo es un gusano que al conectarse al enlace para actualizar el programa ( parchar ) activa el gusano. También, puede infectar la máquina con un virus que dependiendo la hora en que se accede el enlace borra archivos de los discos C, E o F y limpia completamente el disco D(usualmente es el de restaturar el sistema operativo. Ambos virus y gusano pueden detectarse fácilmente y se evitan si los usuarios mantienen sus equipos actualizados, tanto en la versión del sistema operativo, como en la de antivirus. Sin embargo, cualquier usuario que se contagia puede a su vez propagarlos, con las consecuencias antes indicadas. a. Quién debe ser el responsable de lo ocurrido? Los usuarios que perdieron sus archivos, son responsables?, qué pueden hacer? Los que solamente están preocupados, pero aún no han abierto sus correos, qué pueden hacer? b. Qué pueden hacer las agencias para evitar el impacto de este tipo de código malicioso en la operación diaria y/o productividad de su personal? Provea sugerencias de medidas mitigantes no técnicas y técnicas. c. Si se propone como solución prohibir el que los usuarios abran los anejos, qué impacto tendría? d. Si resulta que todo el incidente está asociado al descontento con la Administración universitaria y el envío fue de empleados haciéndose pasar por personal de IT, cambiarían sus comentarios si fueron estudiantes?
e. Hay alguna posibilidad de que se trate de un problema de ingeniería social? Qué medidas aplicaría de ser así? 2. ABC contrata servicios de sede virtual en el WEB con un proveedor (WWW-Host). En la sede virtual de ABC se mantienen documentos propietarios y documentos confidenciales, al igual que un segmento se utiliza para depositar copias de resguardo de archivos de transacciones electrónicas. Además, en la sede virtual de ABC hay enlaces a servidores donde se manejan transacciones electrónicas de las operaciones diarias. WWW-Host recibe ataques de hackers y hya constacia de adultaración y de posible robo de archivos propietarios de otros clientes, tales como listas de clientes y mecanismos para generar y retener clientes, campañas de promoción y otros. ABC no tiene certeza de si fueron afectados sus archivos de resguardo, aunque la sede virtual si sufrió interrupciones en acceso, pérdida de imágenes y adulteración de marcas. Como consecuencia de ese ataque algunos clientes demandan reclamando daños debido al impacto significativo en sus operaciones y algunos cancelaron el contrato de servicios. Los abogados de ABC le solicitan que inicie una investigación interna para determinar el impacto del incidente antes de decidir si demandan o no a WWW- Host. Por su parte WWW-Host está investigando también porque entiende que su proveedor de internet (ISP) es el responsable de que el ataque ocurriera. a. Qué tipo de controles o calidad de servicio debería requerirse de WWW-Host y del ISP para evitar este tipo de incidente? b. Qué medidas de mitigación y estándares de cuidado debió tomar WWW- Host para evitar este incidente o reducir su impacto? Cuáles debía tener ABC y cuáles le recomienda implantar prospectivamente? c. Hay alguna responsabilidad por daños de WWW-Host frente a ABC? Cómo pudo haber minimizado esa responsabilidad? El personal gerencial y el personal técnico de WWW-Host podrían ser responsables personalmente de algo? El personal de ABC, son responsables también? d. Qué tipo de evidencia debe producir IT en este escenario para sustentar la reclamación de ABC? Se recopila regularmente o fue acopiada como resultado de este caso? Establece alguna diferencia? e. Cuáles defensas puede presentar WWW-Host y cuáles su ISP? Cuán válidas las considera, desde la perspectiva de mitigación de daños? f. Si resulta que el causante de los ataques es un empleado de otra compañía de servicios que le hace la competencia a WWW-Host, cambia su posición?
3. El Departamento de Estado ha sido impactada por un grupo de hackers que efectuaron un ataque de modificación de su sede virtual ( Web Defacement ). Lo que hicieron fue adulterar los enlaces principales con la descripción del proceso para solicitar el nuevo certificado de nacimiento y crear una página alterna donde recogen la información del solicitante. Este proceso ocurre seis (6) semanas despues que comienza la vigencia del nuevo certificado y la sede virtual provee una alternativa para no tener que hacer las largas filas. Esta vulnerabilidad destaca la importancia de la administración de los procesos de seguridad de los sistemas y a la vez mina la confianza de los ciudadanos al exponerles a expediciones de pesca (phishing), al igual que revela la vulnerabilidad del sistema. Una investigación del auditor interno al revisar la literatura en el Web sobre este tema refleja que el 90% de los ataques de esta naturaleza se deben a pobre configuración y pobre administración de los recursos informáticos ya que se implantan con prisa, sin estándares de calidad y no se actualizan con la regularidad requerida los sistemas. Frecuentemente se encuentra equipos que aún contienen vulnerabilidades que se popularizaron hace más de dos años y no han sido corregidas, tanto en servidores como en estaciones de usuarios. Otra fuente primaria de riesgo es el pobre manejo de cuentas de acceso, passwords y permisos de uso de sistemas, o sea la sobre confianza en que sus sistemas son seguros. a. Por qué cuando ocurre un incidente o evento de esta naturaleza apuntamos primero a los administradores y personal de IT si consideramos la seguridad como un problema de gerencia? b. Si los gerentes de IT están concientes de la importancia de asegurar los recursos informáticos y la gran mayoría de las vulnerabilidades que dan base a los ataques son conocidas en el entorno de seguridad, por qué los administradores de sistemas las desconocen, no les dan importancia o no les prestan la atención requerida? c. Dado que a diario surjen múltiples nuevas vulnerabilidades, los gerentes de IT cuentan con los recursos necesarios para asegurar los sistemas a tiempo, deben invertir el esfuerzo, qué prioridades deben establecer, cuáles riesgos pueden asumir? d. La integración de consultores técnicos, aporta recursos necesarios para atender este problema, a cuáles áreas se le debe asignar prioridad: redacción de políticas, educación de usuarios, redacción de plan CERT y un BCP, configuración de routers, firewalls y switchs? e. Si la sede Web está en un proveedor, qué tipo de controles o calidad de servicio debería requerirsele para evitar este tipo de incidente? f. Qué medidas de mitigación y estándares de cuidado debió tomar el Dpto. de Estado para evitar este incidente o reducir su impacto? Cuáles debe adoptar prospectivamente? g. Qué tipo de evidencia debe producir IT en este escenario? Se recopila regularmente o fue acopiada como resultado del incidente? Establece alguna diferencia?
4. Está efectuando una auditoría de seguridad para una firma que se dedica a la administración de hospitales y servicios de salud. La organización depende de la tecnología informática para la prestación de sus servicios, administración y para el manejo de los expedientes de los pacientes y proveedores. De la auditoría resulta el siguiente hallazgo significativo: No hay un Plan de Continuidad de Operaciones Integrado y el Plan de Recuperación de Desastres data de 2005. Al mencionarlo a la alta gerencia ésta reacciona indicando que esa es una responsabilidad directa del CIO. Usted recuerda que el CIO había indicado en una de las entrevistas que: a. Carece del personal técnico y gerencial para actualizar el DRP y,además, está en proceso de implantación de un nuevo sistema de apoyo a las funciones gerenciales que cumple con los requerimientos de SOX, por lo cual entiende que no vale la pena actualizar el DRP hasta que el proyecto esté implantado operacionalemente. b. El nuevo sistema integra todas las aplicaciones anteriores y respalda casi el 90% de las funciones críticas y más del 75% de las restantes funciones de la organización. Tan pronto se adiestre a los usuarios, éstos pueden generar la documentación necesaria para el DRP y el BCP. c. La inversión efectuada integra equipos blade /virtual servers por lo cual no se requiere mucho esfuerzo de DRP/BCP. Además, él se está convirtiendo en experto en el nuevo sistema y podrá apoyar a los usuarios en caso de un evento o incidente estraordinario. d. Su comité de CERT está integrado por el analista del nuevo sistema, el programador de sistemas operativos y el técnico de redes. a. Por qué cuando pensamos en eventos que implican activar el CERT apuntamos primordialmente a los administradores y personal de IT si consideramos la seguridad como un problema de gerencia? b. Si los gerentes de IT están concientes de la importancia de asegurar los recursos informáticos por qué no le dan importancia o no le prestan la atención requerida a la planificación para evitar o reaccionar articuladamente frente a desastres? Por qué se empeñan en asumir el control y responsabilidad sobre el particular en vez de integrar el resto de las unidades y gerencia crítica? c. Cuentan los gerentes de IT con los recursos necesarios para asegurar los sistemas a tiempo, para restaurarlos rápidamente de acuerdo con las prioridades organizacionales? Han efectuado pruebas ( drills ) de posibles escenarios? d. Qué medidas de mitigación y estándares de cuidado debe integrar esta planificación para responder a los incidentes de mayor riesgo y reducir su impacto al lograr una pronta recuperación? e. Cuenta la organización con suficiente personal y conocimiento de las operaciones para restaurar efectivamente los procesos primarios? Ese
conocimiento está centralizado o distribuido? Hay una determinación adecuada de prioridades en el proceso de restauración? f. Qué tipo de servidores y servicios considera críticos para este escenario? Explique. g. Hay puntos de dependencia ( single point of failure )? De ser afirmativa su determinación, describa como reducir el posible riesgo, cómo lo evitaría? h. Provea recomendaciones sobre el DRP, Qué tal acerca del BCP? Procedería en la misma forma o en forma diferente? 5. Un experto en seguridad con intereses de ethical hacking se precia de mantener una colección de software que ha adquirido ( pirateado ) de los deiferentes proveedores de programas para hacer análisis de vulnerabilidad. Su interés es analizar los programas y asegurarse qué fallas o situaciones dejan pasar al hacer el análisis de vulnerabilidades. Para ello se introduce en los servidores de los diferentes proveedores y adquiere una copia ilícita del código original. Los mecanismos que emplea son: o Port Scan de los Web Servers de la compañía por meses en forma esporádica y poco agresiva para no generar sospechas o Identifica si están disponibles los puertos de: Terminal services, MS SQL server, MS Virtual Private Network, NetBIOS, mail server (SMTP), etc. o Intenta conseguir bitácoras ( logs ) con códigos de usuarios, de FTP, archivos y conexiones activadas o activas, archivos de DB servers, y otros o Lograr acceso al servidor de correo o al de DB, examinar archivos del sistema operativo que mantienen información de acceso como: Local Security Authority (LSA), Remote Access Services (RAS) para cuentas dial-up y el área donde se almacenan los passwords o Utilizando programas de descifrar passwords logró descifrar muchos de los que encontró y comenzó el proceso de descubrir la relación entre usuariopassword y máquinas para identificar máquinas de usuarios críticos o importantes. Este proceso duró semanas hasta que pudo identificar el equipo del Presidente. o Efectuó un Port Scan de la máquina por varios días sin éxito, hasta que consiguió acceso al equipo durante horas de la mañana y al servidor de MS SQL. Con paciencia logró parear el IP del equipo con el usuario y el password e intentó depositar en la máquina su conjunto de programas de hacking. o Cuando activa la máquina del CEO le aparece una pantalla solicitando autorización para conectarse al Internet y hacer la instalación o Inmediantamente interrumpe el proceso y recesa los intentos por varias semanas. Al volver a entrar inactiva a Tiny e intenta copiar archivos de la máquina en un servidor externo, pero, el CEO estaba utilizando el equipo y al notar que Tiny no estaba activo decide hacer un reboot del equipo. Se percataría de que estaban entrando a su equipo?
o Luego de más de un año haciendo intentos consigue conocer la red y los equipos, probablemente mejor que los administradores, y logra copiar archivos de la máquina del CEO. Sin embargo, lo que busca está almacenado en formato ZIP, Podrá descifrarlos archivos del programa? a. Qué podemos aprender de este caso? b. Habrá medidas que la organización tomó que fueron efectivas? c. Provea reacciones desde la perspectiva de: 1) Firewalls 2) Servidores 3) Port Scanning 4) Manejo de passwords 5) Archivos de resguardo 6) Acceso, auditoría de seguridad, manejo de cambios y respuesta incidentes de seguridad 7) Protección de: servicios, servidores, archivos, copias de resguardo 8) VPN d. A cuál conclusión puede llegar? 6. Cuatro consultores en tecnología visitaron Las Vegas para una convención y la esposa de uno les retó a ganarle a las máquinas electrónicas de juego que utilizan computadoras. Luego de varios días de investigación encontraron incidentes en que habían reeemplazado los ROM s para asegurar el control externo, remoto o incrementar la probabilidad de ganar. Sin embargo, todos los esquemas requerían cómplices. Se enfocaron en utilizar teoría de probabilidad para predecir el resultado, siguiendo los esfuerzos de científicos de MIT que lograron acertar con bastante éxito en los 80 s. Procedieron a: o Adquirir una máquina similar a las que usan en los casinos y le sacaron el Chip ROM para examinar la programación y traducirla o Lograron descifrarlo, modificarlo y reescribirlo en el ROM, insertarlo en la máquina y registar el comportamiento de cómo genera las cartas (barajas). Consiguieron descifrar el algoritmo que genera los números aleatorios y escribir código que les permite predecir lo que el ROM va generar en cada ciclo de cartas y cargarlo en una computadora portátil para que prediga las próximas cartas a generar o Con su equipo y tecnología sofisticada de comunicaciones regresaron a Las Vegas a jugar cartas en las máquinas y ganar sin ser detectados. o Para probar el piloto y evitar ser detectados seleccionaron máquinas con apuestas menores y lograron predecir siempre cuando conseguirían la mano más alta ( Royal Flush ). Luego modificaron el programa para predecir otras manos y reducir el riesgo de que les detectaran. o Al aplicar las técnicas programadas lograron en una noche ganar sobre $35K. Pero, para lograr jugar tenían que mantenerse en contacto teléfonico con la computadora y era muy riesgoso. Por lo que diseñaron mecanismos para conectar un reloj con alarma que vibra ( timer ) o un perseguidor
( beeper ) a la computadora remota y transmitir y recibir las señales que les permitían determinar cuando apostar más. o Mientras ganaban en un casino cifras considerables, se movían a otro casino para reducir el riesgo de llamar la atención. Se mantuvieron en la rutina de jugar en los casinos por unos tres años, siguiendo como regla el limitar la cantidad de ganancia en cada casino, limitar el tiemo que estaban jugando y los días que jugaban para reducir el riesgo de ser advertidos. o Cuando uno de los cuatro decide ir sólo a jugar y se excede al no cumplir con las reglas acordadas lo detectan en un casino, le interrogan, toman su foto, se niegan a entregarle las ganancias y le prohíben regresar al casino. o Cuando el incidente ocurre, todos acuerdan cesar el experimento, pero ya han logrado ganar cerca de $500K cada uno. a. Qué podemos aprender de este caso? b. Habrá medidas que tomó el Casino que fueron efectivas? c. Cómo pudieron evitar los casinos que les reconocieran el algoritmo de juego? Pudieron seguir pasando desapercibidos los hackers? d. A cuál conclusión puede llegar?