ZL SECURITY SENIOR CONSULTANT Tel.: +54 11 4590 2320 Fax.: +54 11 4590 2201 Edificio Laminar Plaza Ing Butty 240, 4 Piso C1001AFB Capital Federal - Argentina www.zacariasleone.com.ar
Delitos Informticos
Delitos Informticos
Concepto
El delito informtico puede comprender tanto aquellas conductas que valindose de medios informticos lesionan intereses protegidos como la intimidad, el patrimonio econmico, la fe pblica, la seguridad, etc., como aquellas que recaen sobre herramientas informticas propiamente dichas tales como programas, computadoras, etc.
Principales Amenazas
Existen cuatro tipos bsicos.
80% Novatos
12% Intermedio 5% Avanzados
3% Profesionales
Configuracin Incorrecta
Ingeniera Social
Seguridad Dbil
Transferencia de datos sin encriptar Software sin parche de seguridad
INTRUSO Estado del ataque 1-Bsqueda de Ingreso 2-Penetracin Ejemplo de Acciones Correr un scanner de puertos Explorar un sistema sin parches de seguridad
3-Elevacin de Privilegios
4-Ataque en si mismo 5-Enmascaramiento
Tcnicas de Ataque
Footprinting
El uso de herramientas y de la informacin para crear un perfil completo de la postura de la seguridad de una organizacin. El atacante usa herramientas y la informacin obtenida para determinar qu sistemas estas vivos y accesibles desde Internet as como qu puertos estn escuchando en el sistema. Uso de herramientas para obtener la informacin detallada (servicios ejecutndose, cuentas de usuario, miembros de un dominio, polticas de cuentas, etc.) sobre un sistema remoto, con el intento de atacar la seguridad de cuentas y servicios en el objetivo
Scanning
Enumeration
Tcnicas de Ataque
Port Redirection
Despus que el atacante tiene identificado y accede al trafico del firewall que puede permitir trfico de entrada de un puerto origen 53, procurar instalar un software Port Redirector en el equipo dentro del firewall. El Port Redirector tomar el trfico entrante destinado para un puerto (53) y lo enviar a otro equipo detrs del firewall en otro puerto (3389). Hay varias herramientas disponibles que pueden permitir a un hacker tomar control de un sistema. Por ejemplo, Samdump y Brutus son crackers de passwords. Samdump se utiliza extraer los passwords de los archivos. Brutus es un cracker de password remoto. Si un hacker consigue el acceso a una copia de una base de datos, el hacker podra utilizar l0phtcrack y extraer los usuarios y passwords exactos.
Gaining Access
Tcnicas de Ataque
Un hacker puede causar la mayora del dao consiguiendo privilegios administrativos en una red. Privilege Escalation Hay varias utilidades que un hacker puede utilizar para ganar privilegio administrativo. Por ejemplo, la utilidad Getadmin.exe es usada para otorgar a usuarios comunes privilegios administrativos agregando a estos usuarios al grupo de administradores. Esta utilidad funciona con todas las cuentas excepto con la cuenta de Guest.
Eso permite que un usuario remoto realice cualquier accin remotamente va un puerto a su eleccin sin un usuario local del sistema que lo habilite. Ejemplo: Sub7 es el ms popular / NT Rootkit es el ms avanzado
En el caso de los .com, .org, .edu (gTLDs- Generic Top Level Domains), la informacin est disponible en los servidores de las distintas entidades registrante. El registro de las IP es mantenido por el servidor ARIN (American Registry of Internet Numbers) para las asignadas a EEUU y Canad; el Servidor LACNIC (Latin America and Caribean Network Information Center) para las de Amrica Latina y el Caribe y el servidor RIPE NCC (Resaux IP Europens Network Cordination Centre) para las europeas.
Domain names in the .com and .net domainscan now be registered with many different competing registars. Go to http://www.internic.net for detailed information. Domain Name: GOOGLE.COM Registrar: ALLDOMAINS.COM INC. Whois Server: whois.alldomains.com Referral URL: http://www.alldomains.com Name Server: NS2.GOOGLE.COM Name Server: NS1.GOOGLE.COM Name Server: NS3.GOOGLE.COM Name Server: NS4.GOOGLE.COM Status: REGISTRAR-LOCK Updated Date: 03-oct-2002 Creation Date: 15-set-1997 Expiration Date: 14-set-2011
>>> Last update of whois database: Sun, 9 Jul 2006 16:16:02 EDT <<< The Registri database contains ONLY .COM, .NET, .EDU domains and Registrars. Connection closed by foreing host.
Otras forma de acceder al servicio whois es mediante la interfaz que brindan sitios en Internet.
Fraudes
Estas conductas consisten en la manipulacin ilcita, a travs de la creacin de datos falsos o la alteracin de datos o procesos contenidos en sistemas informticos, realizada con el objeto de obtener ganancias indebidas. Omitir ingresar datos verdaderos
Fraude Corporativo
Se calcula que las empresas pierden entre el 5% y 6% de sus ingresos brutos a causa de los fraudes corporativos.
Los mayores perjuicios son consecuencia de los delitos cometidos a nivel gerencial.
Fraude Corporativo
En la Argentina las prdidas ascendieron a U$S 2,7 millones en los ltimos dos aos. En Latinoamrica 9 de cada 10 empresas padecen malversacin de fondos.
Siguiendo un orden jerrquico los delitos se agravan a medida que se asciende en la estructura de una corporacin.
Actualmente se recupera menos del 20% de la prdida, mientras que el 40% de las empresas no recupera nada.
Fraude Corporativo
Los fraudes cometidos por ejecutivos causan prdidas 6 veces mayores que los cometidos por supervisores y 14 veces mas altas que las cometidas por otros empleados. El 60% de los casos de fraude proviene de empleados, el 20% de los clientes y el 16% de vendedores o representantes. Mas del 50% de los fraudes se descubren por denuncias annimas. Para prevenirse deben utilizarse procedimientos de anlisis y verificacin no tradicionales ni rutinarios, para evitar que el defraudador, ya prevenido, de los controles pueda borrar las huellas detectables.
Inversiones en Nigeria
En algunos sitios para adultos, se pide el nmero de la tarjeta de crdito con la excusa de comprobar que el usuario es mayor de 18 aos. El verdadero objetivo es obtener los nmeros de tarjeta para realizar otras operaciones.
Espionaje industrial: Tambin se han dado casos de accesos no autorizados a sistemas informticos de grandes compaas, usurpando diseos industriales, frmulas, sistemas de fabricacin y know how estratgico que posteriormente ha sido aprovechado en empresas competidoras o ha sido objeto de una divulgacin no autorizada.
Seguridad de la Informacin
NORMA IRAM-ISO IEC 17799
Seguridad de la Informacin
La informacin es un recurso de valor estratgico para las empresas y como tal debe ser debidamente protegida.
Las polticas de seguridad de la informacin protegen de una amplia gama de amenazas, a fin de garantizar la continuidad de los sistemas de informacin, minimizar los riesgos de dao y asegurar el eficiente cumplimiento de los objetivos. Es importante que los principios de la poltica de seguridad sean parte de la cultura organizacional. Para esto, se debe asegurar un compromiso manifiesto de las mximas autoridades de la compaa para la difusin y consolidacin de las polticas de seguridad.
Seguridad de la Informacin
OBJETIVO Proteger los recursos de informacin y la tecnologa utilizada para su procesamiento, frente a amenazas, internas o externas, deliberadas o accidentales, con el fin de asegurar el cumplimiento de la confidencialidad, integridad, disponibilidad, legalidad y confiabilidad de la informacin.
Asegurar la implementacin de las medidas de seguridad, identificando los recursos, sin que ello implique necesariamente la asignacin de recursos adicionales.
Mantener la Poltica de Seguridad actualizada, a efectos de asegurar su vigencia y nivel de eficacia.
Seguridad de la Informacin
RESPONSABILIDAD Todos el personal, tanto se trate de Directores, Gerentes o personal tcnico, etc. sea cual fuere su nivel jerrquico son responsables de la implementacin de las Poltica de Seguridad de la Informacin dentro de sus reas de responsabilidad, as como del cumplimiento por parte de su equipo de trabajo. La Poltica de Seguridad de la Informacin debe ser de aplicacin obligatoria para todo el personal, cualquiera sea el rea a la cual se encuentre afectado y el nivel de las tareas que desempee.
Seguridad de la Informacin
ASPECTOS GENERALES Organizacin de la Seguridad Orientado a administrar la seguridad
de la informacin y establecer un marco de control
Seguridad de la Informacin
ASPECTOS GENERALES
Responsabilidad
Seguridad del Personal Seguridad Fsica y Ambiental.
Comit de Seguridad de la Informacin
Seguridad en las Comunicaciones y las Operaciones Control de Accesos Seguridad en el Desarrollo y Mantenimiento de Sistemas Planificacin de la Continuidad Operativa
Departamento Legal
Cumplimiento Sanciones
Responsabilidad
Los propietarios de la informacin son los encargados de clasificarla de acuerdo con su grado de sensibilidad y criticidad, de documentar y mantener actualizada la clasificacin efectuada, y de definir las funciones que debern tener permisos de acceso a la informacin.
Objetivo
Reducir los riesgos de error humano, comisin de ilcitos, uso inadecuado de instalaciones y recursos, y manejo no autorizado de la informacin. Garantizar que los usuarios estn al corriente de las amenazas e incumbencias en materia de seguridad de la informacin, y se encuentren capacitados para respaldar la Poltica de Seguridad en el transcurso de sus tareas normales. Establecer Compromisos de Confidencialidad con todo el personal y usuarios externos de las instalaciones de procesamiento de informacin.
Establecer las herramientas y mecanismos necesarios para promover la comunicacin de debilidades existentes, as como de los incidentes ocurridos, con el objeto de minimizar sus efectos y prevenir su reincidencia.
Objetivo
Prevenir e impedir accesos no autorizados, daos e interferencia a las sedes, instalaciones e informacin.
Proteger el equipamiento de procesamiento de informacin crtica ubicndolo en reas protegidas y resguardadas por un permetro de seguridad definido, con medidas de seguridad y controles de acceso apropiados.
Controlar los factores ambientales que podran perjudicar el correcto funcionamiento del equipamiento informtico. Implementar medidas para proteger la informacin manejada por el personal en las oficinas, en el marco normal de sus labores habituales.
Objetivo
Garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la informacin y comunicaciones. Establecer responsabilidades y procedimientos para su gestin y operacin, incluyendo instrucciones operativas, procedimientos para la respuesta a incidentes y separacin de funciones.
Control de Accesos
Para impedir el acceso no autorizado a los sistemas de informacin se deben implementar procedimientos para controlar la asignacin de acceso a los sistemas, bases de datos y servicios de informacin, y estos deben estar claramente documentados, comunicados y controlados.
Objetivo
Impedir el acceso no autorizado a los sistemas y servicios de informacin, implementando medidas de seguridad en los accesos de usuarios por medio de tcnicas de autenticacin y autorizacin. Controlar la seguridad en la conexin entre las redes pblicas o privadas, garantizndola tambin cuando se utiliza computacin mvil e instalaciones de trabajo remoto. Registrar y revisar eventos y actividades crticas llevadas a cabo por los usuarios en los sistemas. Concientizar a los usuarios respecto de su responsabilidad frente a la utilizacin de contraseas y equipos.
Objetivo
Asegurar la inclusin de controles de seguridad y validacin de datos en el desarrollo de los sistemas de informacin. Definir y documentar las normas y procedimientos que se aplicarn durante el ciclo de vida de los aplicativos y en la infraestructura de base en la cual se apoyan. Definir los mtodos de proteccin de la informacin crtica o sensible.
Objetivo
Maximizar la efectividad de las operaciones de contingencia del Organismo con el establecimiento de planes que incluyan al menos las siguientes etapas:
a) Notificacin / Activacin: Consistente en la deteccin y determinacin del dao y la activacin del plan.
b) Reanudacin: Consistente en la restauracin temporal de las operaciones y recuperacin del dao producido al sistema original.
c) Recuperacin: Consistente en la restauracin de las capacidades de proceso del sistema a las condiciones de operacin normales.
Cumplimiento
El diseo, operacin, uso y administracin de los sistemas de informacin estn regulados por disposiciones legales y contractuales y los requisitos normativos y contractuales de cada sistema de informacin deben estar debidamente definidos y documentados.
Garantizar que los sistemas cumplan con la poltica, normas y procedimientos de seguridad. Revisar la seguridad de los sistemas de informacin peridicamente a efectos de garantizar la adecuada aplicacin de la poltica, normas y procedimientos de seguridad, sobre las plataformas tecnolgicas y los sistemas de informacin.
Cumplimiento
Optimizar la eficacia del proceso de auditoria de sistemas y minimizar los problemas que pudiera ocasionar el mismo, o los obstculos que pudieran afectarlo. Garantizar la existencia de controles que protejan los sistemas en produccin y las herramientas de auditoria en el transcurso de las auditorias de sistemas.
Para finalizar... Quin es responsable de la seguridad? El usuario? Las empresas? El Mercosur? La Unin Europea? Los profesionales? El Estado? Estados Unidos? El mundo?
Es responsabilidad de TODOS
ZL SECURITY SENIOR CONSULTANT Tel.: +54 11 4590 2320 Fax.: +54 11 4590 2201 Edificio Laminar Plaza Ing Butty 240, 4 Piso C1001AFB Capital Federal - Argentina www.zacariasleone.com.ar