Lunes 21 May 2012
Servicios
Soluciones
Imprimir

Servicio de alertas sobre incidentes de seguridad informática

Escrito por Administrator. Posted in Seguridad y Privacidad

AddThis Social Bookmark Button

Publicado en el congreso INTERCON 2002 en la ciudad de Lima, Perú. Agosto 2002

Por Helios Mier Castillo

Abstract


Cada día se descubren vulnerabilidades y amenazas que pueden dañar los sistemas conectados a la Internet. Existen centros de investigación que se dedican a detectar las nuevas amenazas y a preparar estrategias para prevenir un incidente o solucionarlo.

Estos centros emiten boletines con la información de la amenaza, pero, estos boletines no llegan o no son conocidos a tiempo por la mayoría de los usuarios de Internet, los cuales se convierten fácilmente en víctimas, en algunos casos la información que reciben proviene de una fuente poco confiable.

Para eso, se propone la creación de un servicio para recopilar la información de los diferentes centros y distribuirla de forma rápida y confiable, los encargados del sistema vigilarán la aparición de nuevas amenazas, estudiarán la información, clasificarán el riesgo que presentan , redactarán un boletín, y lo distribuirán al público.

El boletín emitido, deberá contener la descripción de la amenaza, y las medidas para prevenir, detectar y solucionar el incidente.

Además, el boletín deberá distribuirse según los diferentes tipos de usuarios de computadoras que puede haber en una corporación, y que ellos puedan entender y usar la información del boletín.

Este servicio ayuda a la prevención de los incidentes de seguridad más comunes: los virus informáticos.

 

1. Introducción


El 2 de Noviembre de 1988, cerca de las seis treinta de la tarde, los administradores de cerca de seis mil servidores de la entonces joven Internet, luchaban con todos sus conocimientos y habilidades para recuperar sus sistemas de un "programa" que consumía todos los recursos disponibles y que además parecía comunicarse con computadoras de la red buscando equipos con determinados sistemas operativos; y al encontrar uno, fácilmente obtenía el acceso al sistema saltándose todas las medidas de seguridad, para después copiarse al nuevo huésped e iniciar la misma rutina.

Fueron afectados sistemas de todos los tipos y de todas las instituciones, sistemas educativos, militares, económicos, administrativos, de investigación, corporativos, médicos, etc. Sin distinción, el "Gusano de Internet", invadía los equipos, multiplicándose en diferentes procesos, intentando encontrar otros equipos que infectar, impidiendo la ejecución de programas válidos, y al final, provocar la caída del sistema por sobrecarga de trabajo.

Para las dos de la mañana del día siguiente, el "Centro Nacional de Seguridad Informática" (National Computer Security Center, NCSC), había comisionado a los científicos de la universidad de Berkeley para que guiaran la investigación de lo que podía hacer este "gusano" y descubrir cómo detenerlo. Su tarea no era fácil, tenían que analizar las entrañas del programa para descubrir cómo se propagaba en la red y determinar cuál era verdadero daño que podía hacer, pues hasta ese momento solo sabían que el gusano se multiplicaba dentro de la computadora infectada hasta consumir los recursos y provocar la caída del sistema.

Hacía las ocho de la mañana, los científicos de Berkeley ya conocían la forma en que se reproducía el gusano, lo hacía explotando una serie de vulnerabilidades de algunos servicios del sistema operativo, esto es, errores en la codificación de los programas que permitían diferentes acciones como por ejemplo, evitar las medidas de seguridad, por eso el gusano podía acceder fácilmente al equipo víctima. Estos errores habían pasado desapercibidos a los creadores de los sistemas operativos, estaban escondidos en la complejidad del programa.

Al terminar el análisis del código maligno, los científicos determinaron la manera de detener la infección y proteger los sistemas, y se aseguraron de que esta información fuera conocida por los laboratorios de todo el mundo. Los expertos se quedaron sorprendidos por la complejidad del código, la perfección de las acciones y la evidente capacidad del creador para encontrar errores en los sistemas que ellos habían creado. Por último, la sorpresa final, el gusano estaba diseñado para detenerse a sí mismo y no contenía alguna carga dañina para los sistemas, esto significaba que el autor en realidad no quería que el gusano se propagará durante largo tiempo ni que hiciera gran daño, había solo un error de diseño que provocó que se reprodujera sin control.

Los científicos y autoridades se preguntaban qué mente brillante había creado semejante obra y con qué intenciones.

Este fue el primer incidente grave que ha sucedido a escala mundial por causa de un código maligno. Debido a la gran importancia del incidente, en todo el mundo comenzaron a aparecer nuevos virus creados por personas de la misma o mayor capacidad, quienes lo hacían por diversión, por intereses personales o de un grupo político, o solo llamar la atención. Como consecuencia, surgió la necesidad de que grupos de científicos y administradores se dedicaran a la labor de estar vigilando constantemente los sistemas para descubrir la presencia de nuevas amenazas; una vez identificados los problemas, analizan el virus o vulnerabilidad, preparando la forma de proteger los sistemas y reparar los daños; para después, por espíritu de ayuda, intercambian la información con otros administradores de red y con las compañías desarrolladoras de software.

En los tiempos modernos, la tecnología existente de cómputo es demasiado compleja y se agrega el factor de que se encuentra presente en todos los aspectos de nuestra vida. Siguen existiendo personas que se dedican a crear códigos malignos que explotan vulnerabilidades para hacer algún daño a los sistemas. Estos virus cada vez son más complejos y dañinos. Para afectar gravemente un sistema de cómputo, es suficiente que el atacante encuentre un punto débil, esto es un error en el sistema o un descuido humano que permita el acceso a los mismos.

De igual forma, siguen existiendo investigadores que se dedican a detectar la aparición de nuevas amenaza y a estudiarlas para poder hacerles frente, pero en esta ocasión, han creado redes de apoyo entre diferentes centros de investigación para coordinar la vigilancia a escala mundial e intercambiar información. De esta forma, pueden informar a los usuarios de Internet sobre los nuevos peligros que surgen en el ciberespacio; su trabajo se realiza con exactitud y rapidez, sin embargo, existen algunos problemas.


2. El problema

Un sistema de cómputo contiene una cantidad importante de software y hardware, cada una de esas partes puede contener uno o más errores de diseño, con uno de esos errores que presenten alguna falla importante de seguridad, todo el sistema queda vulnerable a un ataque.

  • Cuando algún centro de investigación genera una alerta de seguridad respecto al descubrimiento de una nueva vulnerabilidad o virus, la información no es correctamente aplicada debido a los siguientes factores:
  • Los boletines emitidos no son conocidos por la gran mayoría de usuarios de computadoras, especialmente los que poseen un conocimiento superficial de la informática. Muchas de las personas ni siquiera conocen el concepto de actualización de software.
  • Cuando alguno de los boletines llega a un usuario, la mayoría de las veces es ya demasiado tarde.
  • La mayoría de los boletines que se emiten, contienen información técnica que no es entendida por la gran mayoría de los usuarios afectados.
  • En nuestro país se agrega el factor del idioma, pues la información de los boletines generalmente está en inglés.
  • Muchos mensajes que reciben los usuarios provienen de una fuente poco confiable, que en la mayoría de los casos también son parte del ataque de un virus o de una persona con malas intenciones; y en el mejor de los casos, se trata de una falsa alarma.
  • Algunos usuarios no pueden determinar si son víctimas potenciales de una amenaza.
  • Las personas generalmente ignoran las advertencias hasta que ya han sido víctimas de un incidente.
  • Los servicios de soporte técnico de una corporación no siempre son suficientes para mantener los equipos protegidos a tiempo, o no saben cómo controlar un incidente.


El descubrimiento constante de fallas de seguridad en los productos de software, más la aparición diaria de nuevos virus informáticos, hace que los sistemas sean vulnerables a un ataque muy poco tiempo después de que han sido actualizados o protegidos.

Según la encuesta de Tendencias de Seguridad 2002 del FBI y el Computer Security Institute, y también la de años anteriores, los incidentes de seguridad más frecuentes son los relacionados con virus y son de los que reportan mayores pérdidas financieras.


3. Propuesta

Para combatir el problema, se propone la creación de un servicio para una corporación que brinde a los usuarios de Internet:

  • NOTIFICACIÓN anticipada a los usuarios sobre las nuevas alertas de seguridad que se generan en Internet, PARA QUE pueda proteger sus sistemas a tiempo y se reduzca el número de incidentes de seguridad informática.
  • GENERACIÓN de boletines de alerta sobre la nueva amenaza PARA ENVIARLOS POR CORREO ELECTRÓNICO. Estos boletines deberán establecer el nivel de riesgo que presenta la amenaza para los usuarios y contendrán toda la información necesaria para protegerse, detectar y solucionar el posible daño además de manejar la información de forma amigable y entendible para los diferentes tipos de usuarios de Internet. ÉSTA SERÁ LA PARTE CENTRAL DEL SISTEMA QUE SE PROPONE.
  • Una base de datos de conocimientos sobre la protección, detección y solución de vulnerabilidades de seguridad, que ayude a los administradores de red, departamentos de soporte técnico y a otros encargados de seguridad, a encontrar la información necesaria para enfrentar algún incidente.
  • Capacitación de los usuarios en aspectos básicos de seguridad informática y el uso seguro de Internet.
    Los centros que investigan amenazas informáticas mantienen listas de envío de correos para notificar a los usuarios suscritos sobre los recientes descubrimientos y otras noticias relevantes.

Se mantendrá una cuenta de correo electrónico que será suscrita a los diferentes servicios de forma que la información recibida se concentre en un solo destino. El CERT/CC por ejemplo, envía la información exclusivamente sobre amenazas críticas para la mayoría de la infraestructura de Internet, existen otros centros que también son importantes como Microsoft, pero que solo envía boletines acerca de los aspectos de seguridad descubiertos en sus productos.

Existen listas de correo que sirven como medio común para que las diferentes compañías e investigadores hagan llegar la información de sus descubrimientos a la mayor cantidad de gente posible, una de estas listas es BugTraq, que tiene la ventaja de que concentra boletines de una gran variedad de productos y de varios niveles de riesgo.

De igual forma, las compañías desarrolladoras de productos antivirus mantienen sus listas de distribución de correos, pero exclusivamente envían las advertencias que presentan una grave amenaza. Los principales centros de investigación contra virus son Symantec y Trend Micro, Entre ambas se tiene el conocimiento y protección de más de 65,000 programas malignos.

En varias ocasiones se ha visto que los boletines que advierten sobre amenazas de alto riesgo, son enviados por correo tiempo después de que la amenaza fue descubierta, cuando ya ha se ha hecho daño importante y es demostrado por estadísticas, pero, la información recién estudiada sobre las amenazas es publicada en los sitios WWW de cada centro, ahí se puede encontrar las que presentan un bajo riesgo para los usuarios junto con los que tienen un alto riesgo.

Se tendrá que mantener una vigilancia constante sobre la información publicada en sitios WWW antes de que se envíen por correo electrónico las advertencias oficiales; cruzando la información obtenida y analizándola, el servicio de alertas propuesto podrá llegar a emitir boletines de seguridad mas precisos y con mayor prontitud que los que emiten otros centros, esto ayudará a proteger los sistemas antes que la amenaza se convierta en un verdadero peligro.

Una vez recopilada la información, se compara con la obtenida de diferentes fuentes, descartando información dudosa, ambigua e incoherente; también se descartarán aquellos boletines que no se pueda identificar su origen, provengan de fuentes de dudosa categoría o que no hayan pasado las pruebas de integridad de contenido (firma digital).


4. El boletín de seguridad

Los boletines recibidos y los que se emitirán, tienen la siguiente clasificación según el tipo de amenaza que reportan:

  • Advertencias de seguridad: Boletines que describen una amenaza de seguridad ocasionada por el descubrimiento de una falla en productos de software que hacen el sistema vulnerable a un ataque. Contienen la información sobre los sistemas afectados, las medidas como pueden protegerse o reducir el impacto, y las indicaciones para solucionar el hueco de seguridad y las referencias donde pueden encontrar más información y/o parches para el software.
  • Alerta de seguridad: Boletines emitidos para advertir sobre el descubrimiento de nuevos códigos malignos (virus, gusanos, troyanos, etc.) que tienen la capacidad de distribuirse por las redes y el Internet, debido a que la mayoría de los virus son introducidos por los mismos usuarios al no poder identificarlos y a la falta de actualización de los programas antivirus.
  • Recomendación de seguridad: Una clasificación de boletines que difunden información acerca de buenas prácticas, recomendaciones, aspectos relevantes, artículos y aclaraciones en materia de seguridad.
    La redacción del nuevo boletín estará orientada para que el usuario común pueda entenderlo fácilmente y pueda hacer un uso efectivo de él, los usuarios avanzados encontrarán una guía rápida sobre las acciones que deben de tomar.

El boletín tendrá el siguiente formato:

  • Encabezado: Los datos de la institución que lo emite.
  • Identificación: Un número de serie del boletín que lo identifique, el titulo de la amenaza, los aliases que puede tener, un indicador del riesgo y tipo de la advertencia, y la fecha de emisión.
  • Descripción: Introducción, comentarios sobre el tipo de amenaza y los sistemas afectados.
  • Daño causado: La descripción de los daños que la amenaza puede hacer.
  • Medidas de prevención: Indicaciones para evitar que el sistema se vea afectado identificación del ataque.
  • Medidas de detección: Indicaciones para conocer si el sistema ha sido afectado.
  • Medidas de solución: Indicaciones para reparar el sistema y evitar que vuelva a ocurrir el mismo incidente.
  • Comentarios: Notas en particular sobre la advertencia y comentarios educativos obre aspectos de seguridad.
  • Referencias: Titulo y URL's de los documentos y fuentes para elaborar la advertencia. En la mayoría de los documentos citados también se encuentra la información acerca de archivos que pueda descargar desde Internet.
  • Contacto: Información de contacto del emisor del boletín así como las indicaciones para agregar o eliminar usuarios al servicio.
  • Firma digital: Se usará algún sistema de Firmas Digitales para asegurar la integridad y autenticidad del mensaje. En el caso de nuestro servicio se utiliza PGPfreeware versión 7.
    Toda la información de cada boletín deberá almacenada en una base de datos, donde otras personas puedan consultar la información para enfrentar determinada amenaza. Es ideal que esta base de datos cuente con acceso desde el WWW.


5. Los usuarios del servicio

Debido a que de antemano se sabe que se emiten una gran cantidad de boletines desde diferentes centros, poniéndonos en el lugar de un usuario común de Internet sin mucho conocimiento sobre las computadoras, nos sentiríamos agobiados por tanta cantidad de correos electrónicos que recibiríamos y sobre todo sin poder determinar cuales de ellos son los que nos afectan directamente.

Para solucionar esto, proponemos la clasificación de los usuarios suscritos al servicio en tres categorías de forma que, primero no reciban tanta cantidad de correos y segundo, tengan la información adecuada para los sistemas que usan diariamente:

Nivel 1 - Usuario Normal:

Queremos describir en esta categoría a una persona que no tiene un nivel avanzado de conocimientos técnicos sobre informática y utiliza una computadora para desempeñar su trabajo sin preocuparse sobre su funcionamiento interno, o sólo se trata de una persona que la utiliza para conectarse a Internet desde su casa u oficina para navegar en el WWW ya sea para realizar sus tareas o solo por entretenimiento.

Las alertas de seguridad que recibirán este grupo de personas, serán aquellas que presenten una amenaza grave y que será necesaria su intervención directa e inmediata sobre la computadora para evitar que sus sistemas se vean gravemente afectados. En muchas ocasiones, las amenazas de bajo riesgo son cubiertas al aplicar las medidas para una amenaza de alto riesgo.

También se buscará que el usuario aprenda un poco de cultura de seguridad informática. Se estima que recibirán entre un 10 y 20% del total de alertas emitidas.

Nivel 2 - Usuario Avanzado:

Consideramos en esta categoría a aquellos que han incorporado completamente el uso de sistemas informáticos en su ambiente de trabajo, utilizan además redes de computadoras para comunicaciones, y conocen como usar mejor una computadora e Internet. También utilizan una gama más amplia de productos.

Recibirán una cantidad mayor de alertas además de las alertas destinadas a los usuarios normales por ser las mas graves. La acción directa e inmediata de estos usuarios sobre los sistemas de su ambiente ayudará a mantener su infraestructura y cooperará con los servicios de soporte técnico.

Se estima que los usuarios de este nivel recibirán entre un 40% y 70% de las alertas que se emitan.

Nivel 3 - Usuario Experto:

Esta categoría esta dirigida a administradores de redes y responsables de sistemas, así como a otros encargados de seguridad en las corporaciones. Con la intención de que estén actualizados y al pendientes de todo tipo de riesgos, los usuarios suscritos en esta categoría recibirán el 100% de las alertas, además, ellos mismos determinarán cuales de la variedad de amenazas notificadas afecta directamente a sus sistemas.

El medio de comunicación con los usuarios será el correo electrónico, los nuevos usuarios harán su solicitud para ser incluidos o removidos de la lista y cualquier otro movimiento como cambiar su nivel de usuario.

6. Ventajas y desventajas

Este servicio ayuda a los administradores de sistemas a mantener los equipos en optimas condiciones, también los capacita en materia de seguridad, un poco es mejor que nada; los usuarios normales de computadora ayudan a los departamentos de mantenimiento y soporte técnico a mantener protegidos los sistemas y se puede reducir el número de incidentes de seguridad principalmente los relacionados con virus.

A los responsables de seguridad y a los encargados del servicio de alertas les ayuda a conocer las amenazas de seguridad y preparar acciones a tiempo.

Como desventaja, el mantenimiento del servicio de boletines requiere de la inversión de mucho tiempo, debido a que se generan diariamente varias alertas que pueden procesarse más las investigaciones que se realizan sobre las que no se publican; además de que una amenaza puede ser descubierta a cualquier hora del día y en cualquier día de la semana.

Se requiere además de un gran esfuerzo para hacer llegar los boletines emitidos a la mayor cantidad de usuarios posibles y luego convencerlos de seguir las indicaciones descritas, muchos reaccionan hasta que son víctima de una de las amenazas advertidas.

7. Conclusiones

El área de seguridad informática involucra una gran cantidad de actividades para mantener los sistemas protegidos contra amenazas y ataques; las amenazas más comunes y ataques frecuentes son los relacionados con la aparición de códigos malignos y vulnerabilidades de software, a la vez, son las más fáciles de enfrentar puesto que se requiere principalmente aplicar las medidas preventivas inmediatamente al descubrimiento de la amenaza o falla, en estos casos, la cooperación del usuario facilita la labor de los encargados de mantenimiento.

Como responsable del servicio, permite conocer más a fondo las tendencias de las amenazas y mantiene actualizado sobre los tipos de ataques, herramientas y prácticas de seguridad, pues al investigar los boletines de las nuevas amenazas, se encuentra uno con información muy variada sobre otros aspectos de seguridad.


8. Referencias:

Bugtraq FAQ, Security Focus, San Mateo, CA, USA ; http://online.securityfocus.com/popups/forums/bugtraq/faq.shtml

Denning, D. (1999) Information Warfare and Security: Chapter 10 Cyberplagues; ACM Press, Addison Wesley; indianápolis, IN, USA.

Hafner, K. & Markoff, J.(1991) Cyberpunk, Part 3: RTM; Touchstone, New York, NY, USA.

Schwartau, W. (1994,1996) Information Warfare, Chapter 5: Influenza, malicious software and oops!; Thunder´s Mouth Press, New York, NY, USA.

Schwartau, W. (2000) Cybershock, Virus, hoaxes, and other animals; Thunder´s Mouth Press, New York, NY, USA.

Servicio de Análisis, Notificación y Alertas; Hispasec Sistemas, España; http://www.hispasec.com

Symantec Security Response; Symantec Corp, Cupertico, CA, USA ; http://securityresponse.symantec.com

Investigación

Soporte

Productos

Copyright © 2012 GREX Tecnologias de Informacion.
Designed by joomla2you