RareGaZz nº19:(rgz_07):27/03/2002 << Back To RareGaZz nº 19
: :.:..:...:....:.....:......:.......:........:.........:..........: : : :::: : : : : RGZ_07 De errores se aprende... Seguridad Fantasma : :.:..:...:....:.....:......:.......:........:.........:..........: : : :::: Mucho se ha hablado en materia de seguridad informatica en estos ultimos a~os, sin embargo lo que pude observar es que la mayoria de los ejemplos son solo practicos. Si bien la practica hace al maestro creo que siempre es necesario que este acompa~ada de una teoria por mas basica que esta sea de esta manera se podra mantener una base para toda la practica. A continuacion les voy a contar una serie de experiencias que tuve hace unos a~os, fueron mis primeros pasos en tratar de encontrar alguna metodologia relacionada con la materia de seguridad informatica. Sin mas que decir como introduccion paso a relatarles mis experiencias y poco a poco los voy a ir introduciendo en una metodologia de analisis y gestion de riesgos, que si bien no es metodologia de seguridad informatica completa, abarca la primera y mas importante etapa de la misma. Hace un par de a~os comence a trabajar en una organizacion de la administracion publica. Dicha organizacion tenia una red compuesta por 6 servidores todos con NT y aproximadamente 120 maquinas con Win 95/98 como sistema operativo. Era una red local que no tenia acceso al exterior. Todos los servidores se hallaban ubicados en una misma sala (sala de sistemas ubicada en el primer piso) y las maquinas con win 95/98 dispersas a lo largo de la red, teniendo acceso el publico solo a 10 maquinas. Lo primero que me llamo la atencion en dicha red era el uso de usuarios genericos por los casi 130 empleados, o sea, los unicos usuarios existentes era el admin., consulta1, consulta2. He aqui la primera observacion "una falta de definicion de politica de usuarios y especificacion de privilegios (vulnerabilidad)" lo que traia aparejado que usuarios poco experimentados o malintencionados (Amenaza perteneciente al grupo de Errores o Amenaza Intencional Presencial en el segundo caso) modificaran o borraran archivos (lo que producia un determinado impacto sobre el activo informacion) y ni que hablar de poder determinar cual fue realmente el usuario que realizo dicha accion (llamada "auditoria" en sentido amplio, ya que esta palabra abarca mucho mas). La "medida" que se tomo fue la definir y crear distintos grupos de usuarios de acuerdo a las necesidades especificas de cada grupo, de esta manera cada usuario solo tendria los privilegios basicos y necesarios para desempe~ar su funcion. Sin embargo esto trajo aparejado un rechazo por parte de los usuarios, cosa comun en las organizaciones de la administracion publica. Esto se debe a que a los usuarios no les gusta sentirse controlados. Otros de los problemas comunes que se presentaban en la organizacion eran los virus (amenaza intencional de origen remoto), al no existir antivirus en ninguna maquina (vulnerabilidad) era frecuente el mal funcionamiento de los programas y la modificacion y /o perdida de informacion como consecuencia directa (impacto sobre la informacion). Este problema pudo solucionarse temporalmente instalando antivirus en las maquinas en cuestion. Decimos temporalmente ya que este problema se volveria a presentar al poco tiempo ya que los antivirus quedaron desactualizados (en el ambiente informatico es comun dar una solucion transitoria y olvidarnos de la solucion definitiva). La solucion al problema anterior hubiera consistido en definir una "politica de actualizacion de los antivirus" (la consigna es "siempre al dia"). Al transcurrir un tiempo nos llego la orden de instalar y mantener un servidor web que permita brindar a usuarios publicos la posibilidad de realizar consultas on-line, (estariamos en Internet con nuestro propio servidor). Sin embargo no todo iba a ser color de rosa, como toda administracion publica tiene un presupuesto limitado nosotros no ibamos a ser la excepcion a la regla. Deberiamos armarlo con los recursos que contaramos, eso queria decir que no ibamos a poder contar ni siquiera con el asesoramiento de nadie en materia de seguridad. Lo primero que se realizo fue el desarrollo del sitio en ASP (creo que no requiere mayor explicacion) configurando el IIS e instalandolo sobre NT. Despues de haber realizado las primeras pruebas de funcionamiento el sitio fue puesto en Internet. Si, aunque no lo crean tal cual se realizo la primera prueba se lo puso con acceso a todo el mundo, cuando digo a todo el mundo es porque realmente estaba para todo el mundo y no solo para realizar consultas on-line. Segunda observacion, se deberia realizar por lo menos "un analisis de riesgos inicial" para cualquier proyecto que se vaya a realizar de manera de llegar a conocer a que nos podemos llegar a enfrentar. Con el paso de los primeros dias tuvimos los primeros indicios de que algo andaba mal, en los logs del servidor aparecian maquinas que no pertenecian a nuestro dominio(ver grupo de trabajo) que llamaron la atencion de nuestro administrador de redes pero no lo suficiente como para realizar un analisis exhaustivo de los mismos o para generar alarma. El error por nuestra parte fue el de no haber definido una "politica de control y revision de los logs" en forma periodica lo cual nos hubiera dado una idea de lo que realmente estaba pasando. Al cabo de unos dias sucedio lo inevitable, al intentar ingresar al sistema este rechazaba la cuenta del administrador (habian levantado la Sam del mismo con lo cual habian obtenido la contrase~a del admin., se habia modificado y dado de baja la cuenta del administrador de redes). Habiamos sido hackeados!!!. Estuvimos fuera de servicio un dia entero tratando de hacer funcionar todo de nuevo ( en el caso nuestro al estar en fase de prueba esto no nos afecto mucho pero lo aconsejable hubiera sido el haber definido una "serie de medidas curativas y restablecedoras que formaran parte de un plan de contingencia"), inclusive perdimos el trabajo de todo un mes en el desarrollo y depuracion del sitio Web. ( Deberiamos haber tenido un backup diario del mismo, si ese backup que uno se olvida de realizar cuando lo necesita, esto sucedio debido a que no se definio una "politica de backups o respaldos"). Tercera observacion, siempre que sucede algun incidente sobre todo de seguridad informatica es vital e importante el "revisar detenida y detalladamente todo lo que ocurrio", es asi que despues de una semana nos dimos cuenta pasando un antivirus que habian dejado una backdoor en uno de los servidores. La odisea continua, despues de los primeros incidentes se decidio implementar un firewall en una maquina con Linux (basados en la poca experiencia que teniamos en esto se contrato a un "especialista"). Pero la tranquilidad nos duro menos de una semana, nos volvieron a hackear!! aprovechando el puerto 80 pasaron por alto el firewall y usando distintas vulnerabilidades del IIS nos modificaron/destruyeron nuevamente el sitio web (obviamente no habiamos cumplido con la consigna de "siempre al dia"). Esta vez demoramos poco menos de unas horas para volver a poner en funcionamiento al sitio web gracias a las copias de seguridad que teniamos (esta leccion si la aprendimos). Pero, siempre hay un pero, revisamos los logs del IIS para ver que vulnerabilidades habian utilizado, las encontramos, investigamos en la web y las corregimos. Sin embargo volvimos a equivocarnos ("no las documentamos!!!", en nuestro ambiente siempre tendemos a pensar que podemos recordar todos los pasos y todas las cosas...). Con el paso de unos meses se decidio realizar una instalacion limpia del servidor ya que tenia unos problemas. Con la instalacion limpia no solo arreglamos esos problemas sino que ademas volvimos a introducir vulnerabilidades que ya habiamos corregido. El servidor estuvo funcionando casi un mes de esa forma, no se si ya estaban aburridos de jugar con nosotros o realmente nos perdonaron pero ese mesa no ocurrio nada. A partir de ese momento nos dimos cuenta de la importancia que tiene una buena "politica de documentacion o en su defecto una buena memoria ;-)". Hasta aqui hemos mencionado las amenazas mas comunes que por lo general son conocidas por la mayoria de las personas del ambiente informatico, sin embargo existen otros tipos de amenazas que de presentarse pueden llegar a tener impactos muchos mas profundos sobre los activos de nuestra organizacion que las anteriores. Entre estas amenazas tenemos las que pertenecen a los accidentes. Cierta vez trabajando en el area sistema dejo de funcionar el aire acondicionado central (Interrupcion de servicios o suministros esenciales) que se encontraba en el piso inferior al area de sistemas, al tener 7 servidores y 10 maquinas en un ambiente cerrado y no haber aire acondicionado la temperatura de la sala subio tanto que se podia andar en pantalon corto y musculosa siendo que el resto del a~o(invierno y verano) nos encontramos a 10 grados C. Todos sabemos que las altas temperaturas pueden ser fatales para los equipos, si bien esto es un incidente chico no debemos restarle importancia. Lo que no sabiamos era que el aire acondicionado habia dejado de funcionar por un cortocircuito que habia generado un peque~o incendio que se apago por no haber materiales combustibles alrededor del mismo. Solo Dios sabe lo que hubiera pasado si el incendio (Accidente de origen industrial) se hubiera extendido a otras partes del edificio, mas alla de que hubiera habido perdida humanas o no , el da~o a la organizacion hubiera sido catastrofico sabiendo lo dificil que hubiera sido evacuar los equipos (estabamos en un primer piso, sabiendo que los backups( que habiamos aprendido a realizar) estaban todos en el armario que, si aunque ustedes no lo crean, estaban en la sala de sistemas ( o sea lo mismo que nada siendo que deberian estar en una caja fuerte ignifuga en otro sitio), sabiendo que los extintores que habian estaban vencidos o no eran del tipo adecuado a fuego electrico. Lo que decidimos hacer fue implementar "una politica de backups mucho mas completa", se "aislo el area de sistemas, se la traslado a un edificio aparte". Todas estas experiencias fueron aprendidas como quien dice a ponchazos o sea "in situ". En resumen, en cuanto a materia de seguridad informatica nuestras organizaciones publicas o privadas dejan mucho que desear y nunca esta dicha la ultima palabra. Lo aconsejable seria definir una politica de seguridad de acuerdo a las necesidades de los activos de la organizacion, esta politica nos va permitir definir una gestion de seguridad de acuerdo a nuestros requerimientos. Este plan debera basarse siempre en un analisis y gestion de riesgos siendo esta una fase muy importante. Todo esto deberia basarse en alguna metodologia ya que si bien no nos garantiza un 100% de seguridad nos va a permitir encaminarnos. Pero en que consiste una Gestion de Seguridad?, es el plan mayor que esta compuesto por varias fases. Siendo la primer fase la determinacion de objetivos, estrategia y politica de seguridad para poder pasar luego a una fase de analisis y gestion de riesgos, ( no esta demas recordar que esto puede ser bidireccional, o sea partir de un analisis y gestion de riesgos para poder determinar objetivos, estrategias y politica de seguridad). Las etapas siguientes a esta son el establecimiento de la planificacion de la seguridad, la implantacion de medidas de seguridad y la monitorizacion, gestion de configuracion y cambios en la seguridad. Por ahora esto es todo ya que por cuestiones de tiempo y trabajo no pude escribir mas. Proximamente seguire explicando la primera parte de la metodologia en la cual voy a preparar mas ejemplos. <<::RareGaZz::>>