Seguridad Informatica

CUH e zine 2

-

ª

edicion

Seguridad informática

Seguridad informática

Como muchos saben la seguridad es un concepto que debe ir plenamente ligado a cualquier tipo de sistema informático, al desarrollar algún tipo de sistema de información, debemos tener siempre en cuenta, aquellos aspectos, en cuanto a la seguridad de los datos y del sistema mismo se refieren, por que siempre habrá alguien dispuesto a quebrantar o estará en constante búsqueda para encontrar la forma de vulnerar aquello en lo cual nosotros nos hemos esforzado en salvaguardar y que va implícito a el perfecto funcionamiento de el sistema como tal, y que si tenemos en cuenta también, que nosotros cobramos por eso o vivimos de ello, entonces nos veremos afectados a un grado profundo, pudiendo incluso poner en duda el concepto que los demás tengan de nuestros conocimientos, experiencias, y del buen nombre, que muchos tratamos de cuidar, al ejecutar o enfrentar cualquier tipo de desarrollo desarrollo de un sistema informático; ante nuestros actuales clientes o ante ante los que potencialmente podrían podrían estar interesados en nuestro trabajo, llevándonos de esta manera al fracaso intelectual y económico, dando paso, a una inminente desaparición desaparición de esa idea (o ilusión) que con tanto ahínco hemos enfrentado (incluso ondeándola como nuestra mayor bandera, si se trata del desarrollo de aplicaciones o programas) derrumbando hasta nuestra propia fe en ello. Sin embargo todo ello, es algo, que de por si, viene implícito al desarrollo de aplicaciones y de sistemas informáticos, ya que la experiencia ha demostrado que en cuanto informática ( Y en la vida misma, los hechos así lo demuestran) se refiere la inseguridad siempre existirá (nada es 100% seguro) y ese será en el futuro uno de los ítems que mas atención captará por parte de la comunidad desarrolladora de sistemas informáticos (incluso los no orientados a la seguridad) ; con esta introducción empezamos este temilla tan espinoso como es la seguridad informática y otro concepto relativamente nuevo como es la informática antiforense.

By Alesteir 

En internet existen sitios que publican vulnerabilidades y fallas que a diario se encuentran en aplicaciones y en sitios, por parte de personas que dedican su vida a ello, algunos lo hacen por obtener fama o dinero; y es algo que nos hace reflexionar y reconocer que la inseguridad es una fea e insistente compañera de viaje para todos aquellos que son responsables de la seguridad informática en todo tipo de empresas y organizaciones, bien sea en cuanto a desarrollo de aplicaciones o en cuanto a seguridad de los datos críticos, bien sea de entidades publicas o privadas, que dependen netamente de ellos (siendo incluso su mayor activo y por ende el tesoro que mas deben, y se esfuerzan por cuidar), es ahí donde nace la necesidad de crear sistemas que posean los mecanismos y maneras efectivas para intentar prevenir al máximo, las intrusiones y las formas de que alguien (ajeno a la administración y al manejo eficiente y seguro de dichos datos, e incluso en el peor de los casos, protegiendo protegiendo dicha información, hasta de una posible amenaza interna, por parte de algún administrador o de alguien que tenga acceso físico a esas personas) pudiera llegar a vulnerar o a tumbar el sistema que para ello se haya tratado de implementar.

CUH e zine 2

-

ª

edicion

Debemos también saber, que esta incesante guerra que se lleva lleva cabo en contra de “el lado oscuro” oscuro” no es algo nuevo, y es es que la inseguridad misma quien arenga y excita constantemente a todos aquellos que de alguna manera trabajamos o dependemos al 100 % de la seguridad de sistemas informáticos, bien sea aplicada a proveedores, tanto como a usuarios. Es por eso que debemos tratar de descubrir e identificar todas esas interrelaciones (muchas veces ocultas) que tienen que ver con alguna falla o vulnerabilidad que tarde o temprano será la causa de algún tipo de incidente (en la mayoría de los casos: desastroso). Es por ello que debemos tener en cuenta varios elementos palpables y muy reales sobre la seguridad de la información, como concepto plenamente intangible, y que requiere de de la inseguridad para tener un sentido como tal, asegurando que de esta forma se puedan desarrollar estrategias eficientes y prácticas que sean eficaces para aumentar al máximo posible los niveles de seguridad. Teniendo en cuentas los anteriores factores la seguridad total nunca será 100 % posible, ya que no existe ningún elemento que no esté expuesto a situaciones inesperadas e imprevistas, que alteren el correcto ejercicio del sistema, bien sea de manera positiva o negativa. En base a esto, es como se deben solventar políticas en cuanto a la administración de la seguridad, y para ello suele recurrirse a el análisis y administración de riesgos , el cual esta basado: en los procesos que reconocen la presencia de situaciones no previstas y que deben prever de esta forma, poder tomar medidas y controles, que mitiguen estas posibles situaciones. En la actualidad las prácticas de auditoría, encuentran en la seguridad de la información un ítem imprescindible, que ofrece a todos aquellos que tienen la responsabilidad de implementar la seguridad, una herramienta para enfrentar y contrarrestar la inseguridad propia de los componentes del sistema que gestiona dicha seguridad. Se hace por ello necesario que la gestión de seguridad de la información, sea constantemente revisada y complementada, no solamente para descubrir las posibles fallas de seguridad, sino también, para comprender de manera estructural y sistemática las posibles posibles tensiones existentes entre los distintos elementos que la conforman. En este aspecto, las tendencias tendencias de la internacionalización y la realidad de un sistema de información global, hacen que la seguridad de la información se convierta convierta en un elemento activo, estratégico estratégico y vital vital para la gran mayoría de las empresas modernas (y de las no tan nuevas también). Es aquí donde la inseguridad nos plantea retos interesantes, al tener que investigar todos los incidentes que se llegasen a presentar, presentar, y el responder a preguntas como: qué fue?, quién fue?,

Seguridad informática

porqué fue ?, dónde fue?, cuándo fue? y cómo fue?. Y a través de diferentes estrategias, metodologías, técnicas y evidencias, que nos ayuden a encontrar las respuestas a estos interrogantes; no obstante la terrible audacia audacia y habilidad de los intrusos a veces puede llegar a desconcertarnos, al ver que de una u otra forma, intentan alterar o desafiar el funcionamiento de el sistema de seguridad implementado, haciendo mas difícil la tarea de indagación para resolver el caso en cuestión. Este hecho nos lleva a plantearnos, el hecho de que la inseguridad de la información, radica muchas veces en habilidades y practicas anti-forenses (digital anti-forensics ), ), las cuales buscan manosear, enredar o destruir los rastros o evidencias relacionadas con el incidente en cuestión, con el fin confundir los hallazgos y los resultados de las investigaciones que para ello se adelanten. Entonces, tanto los investigadores, como los responsables de la seguridad, debemos asumir y confrontar, si las metodologías usadas, realmente son las mas adecuadas, llegando incluso a replantear nuestro propio concepto mismo de seguridad y por ende obligándonos también a reestructurar nuestros mapas mentales y de esta forma comprender las fallas que estamos cometiendo, convirtiéndose en el fondo, en características y consecuencias propias de un sistema, que en la mayoría de los casos pueden ser muchas mas, de las que en realidad podemos administrar. Esta es la idea principal de este artículo, donde se plantean dos conceptos paralelos, pero intrínsecamente ligados: seguridad informática e informática anti-forense, teniendo como lugar de origen y como radio de acción, la actualidad de las organizaciones y sus respectivos procesos, también debemos afrontar esas imprescindibles cuestiones: como nuevos retos; al tener que confrontar las distintas técnicas y tácticas de que se valen los “quebradores de sistemas”, y darle de esta manera un sentido mas enfático, mucho mas preciso, y mejor orientado o dirigido, especialmente a las estructuras y métodos, que aplicaremos a la seguridad de los sistemas informáticos, que qu e tratemos de desarrollar. desarrollar.

La seguridad es un elemento subjetivo, es decir individual a cada sujeto. Cada uno de nosotros tiene una manera distinta de analizar y comprender la seguridad, también poseemos la facultad de analizar

CUH e zine 2

-

ª

edicion

y por ende el concepto que se tiene de la seguridad depende de factores independientes. Por lo tanto es tan valedera, la definición que cualquier persona de a pie o del común pueda tener, como la de un especialista en cuestiones técnicas de seguridad, pues cada uno ve una realidad distinta, desde su propio punto de vista o análisis del sistema. Al contrario de ello, la seguridad informática es un elemento objetivo, ya que hace referencia al objeto, que en cualquier caso es una realidad evidente, sensible y verificable. Es en este aspecto, en que la inseguridad da valor a la esencia misma del análisis de riesgos, ya que solo, es por medio de acciones que comprueben y verifiquen dicha validez, donde obtendremos las medidas de los niveles de exposición a posibles riesgos, y así llegar a estructurar los controles, para poder tomar las decisiones acertadas, para minimizar, y en algunas veces hasta transferir las fallas; reduciendo el impacto que podrían llegar l legar a causar.

Nunca existe un nivel superior relativo a la seguridad, ya que siempre es posible encontrar alguna medida mejor que la anterior, y todo ello es el fruto del análisis de las medidas de protección, que deben estar siendo constantemente evaluadas para así comprender, el por que: ¿de ¿ de que forma no  funciona el sistema?, partiendo de ello es posible replantear o implementar nuevas estrategias, que estén constantemente mejorando nuestro actual sistema de seguridad. Al contario, la inseguridad si tiene un máximo nivel, por ejemplo: en un seguro de vida, lo máximo en este caso es la muerte, y en cada caso se pacta en un valor definido por el comprador, definiendo de esta manera los ítems que rigen dicho seguro, es por ello que nace la necesidad de mantener un nivel de protección, ya que siempre debemos tratar de cuantificar el nivel de inseguridad que podemos administrar, administrar, siguiendo los niveles que se basan en las prácticas de seguridad y la dinámica de los procesos de un determinado tipo de negocio. Podríamos llegar a establecer un máximo nivel de exposición o riesgo que quisiéramos asegurar, con las normas y precauciones que el asegurador establezca como mínimas, para poder aprobar y pagar los perjuicios, como fruto de la materialización del riesgo, más allá de nuestro debido cuidado y diligencia para mantenerlo en los

Seguridad informática

niveles establecidos. La seguridad es impalpable, ya que no radica en los dispositivos de seguridad que se tomen, tampoco en los procedimientos efectuados, ni mucho menos en las personas o en los cargos o puestos que ellas ejercen. En si, la seguridad es la afirmación, de que estamos ante un activo cuyo manejo no es evidente, ni certero, debido a su volatibilidad, y se basa en la percepción externa que se pueda tener del mismo. Con solo detenernos a observar los mercados financieros, que dependen muchas veces de incertidumbres geopolíticas y que pueden llegar a destruir la sensación de seguridad de los inversionistas, conllevando a efectos devastadores en los movimientos monetarios y financieros. En contraposición a lo anterior pero complementario, podemos afirmar que la inseguridad es algo muy tangible, podemos detectar el robo, la estafa, los accidentes, las catástrofes, son propiedades evidenciables evidenciables y demostrables, de manera que sabremos a ciencia cierta determinar la cantidad de los daños ocasionados, bien sea en cifras o en hechos. Podemos afirmar también que ello responde a una propiedad emergente  de un sistema (propiedad que nace de la relación entre los elementos de un sistema y no en particular a un elemento que lo conforma). Es así, que la seguridad esta intrínsecamente relacionada con la tecnología, los procesos y los individuos, convirtiéndose en un todo coherente y ordenado que depende de el entendimiento o comprensión de las interrelaciones existentes, la mayoría de las veces invisibles, en cuanto a protección de activos se trata. Cabe añadir que la inseguridad es totalmente inherente a los objetos, una realidad que deber ser descubierta y analizada para ser enteramente entendida, llevándonos inevitablemente de esta manera, hacia la propia administración de los riesgos. Al tener plena conciencia de nuestra existencia, también asumimos que estamos expuestos a muchos riesgos, de ello se deduce que la inseguridad es inherente a nuestro diario vivir y por tanto, es preciso tomar una serias de medidas que nos permitan amortiguar los impactos causados.

CUH e zine 2

-

ª

edicion

Cuando se trata de moldear o diseñar cualquier tipo de objeto o estructura, buscamos que ese algo tenga las características que perseguimos y que se adapten a las necesidades que tengamos. De igual forma cuando deseamos que los activos gocen de seguridad, debemos primero comprender los riesgos a los cuales está expuesto, para planificar las distintas estrategias de seguridad para para el caso y así  lograr un nivel inferior de exposición de dichos activos. La inseguridad como tal, no requiere de esquemas o diseños específicos, se sabe que todos los objetos en sí mismos la contienen y se puede manifestar indistintamente, de igual forma se materializará en el objeto que se examina, aseverándonos que la inseguridad es una propiedad  inherente a inherente a los elementos y advirtiéndonos la manera de cómo establecer los mínimos ítems de seguridad para limitar la materialización de la misma en un escenario con distintos actores y variables. variables.

En conclusión a todo lo planteado hasta acá, se hace latente en repensar la administración de la seguridad, por una administración de inseguridad, donde evidenciando evidenciando cada una de las características de ésta última, podamos cambiar las prácticas actuales de seguridad informática, focalizada a objetos, para reconocer una nueva política basada en las relaciones que generan las perspectivas perspectivas gerenciales, los procesos económicos y la actual infraestructura computacional, como una rica fuente que complementa el entendimiento y la comprensión de las vulnerabilidades en los sistemas. Informática anti anti-- forense

La mente de algunos “inquietos” muchas veces llega a esferas de lo que el software software o hardware hardware puedan establecer. Estos personajes creativos y desafiantes ponen a prueba, la representación relativa y enfocada de los encargados de la seguridad. Se dice en la industria informática que estos “inquietos”  tienen mucho tiempo al estar en su mayoría de las

Seguridad informática

veces “desocupados” y que no procuran soluciones o alternativas para la seguridad, sino que al contrario ocasionan mas daños y problemas de lo que se cree, recordando a cada uno de los protagonistas, que se deben reconocer que cada sistema de gestión, tiene una propiedad inherente que se llama inseguridad, de la cual no se puede prescindir, al contrario debe ser el objeto de un mayor análisis, para evidenciar y entender las posibles fallas..Esto no se logra de la noche a la mañana, por lo tanto debe recurrir a estrategias que puedan variar variar las rutinas del día a día para la gestión de la seguridad y de esta forma detectar eso que solo los llamados “inquietos”  pueden ven, entonces se hace necesario poder administrar la variedad y conocer la complejidad relativa a la dinámica de la seguridad de cada entidad u organización, sin embargo tarde o temprano las organizaciones serán objeto de errores o incidentes de seguridad, que de acuerdo con las políticas de la empresa, desembocará en investigaciones y análisis para determinar y reconstruir los hechos, así también como identificar a los posibles responsables y los móviles que los impulsan. Es en estos casos donde la informática forense tiene su razón de ser, y también es allí donde la inseguridad materializada se evidencia y los hechos pueden ser de igual forma muy variados: exclusión de información, modificaciones de datos, inadecuadas prácticas de disposición de medios, entre otras. La computación forense permite a las organizaciones adelantar los exámenes requeridos por y con los medios tecnológicos, para valorar lo sucedido, y de manera técnica o científica, explicar lo que pudo suceder, siempre basado en hechos reales y en evidencia plenamente verificable. De ahí  que las habilidades de los inquietos también prevé la forma de distorsionar la realidad para “conducir la investigación” hacia donde ellos lo han planificado y no hacia la verdad de lo acaecido. Este hecho profundiza en el cómo funcionan las herramientas forenses, sus alcances y limitaciones sobre las mismas, y de esta forma detallar alternativas que eviten posibles fallas y dudas sobre su adecuado funcionamiento y uso. Een este escenario es donde los investigadores forenses en informática entran en desventaja, pues cualquier hallazgo que se obtenga con dichas herramientas, bien sea computacionales o físicas, ya que serán refutadas como objeto de duda por parte de la defensa del acusado. Es por eso que la computación anti-forense es un reto constante para la seguridad de la información y su posterior desarrollo. desarrol lo. Ya que al estudiar las pruebas y ataques ataque s que adelantan las mentes inquietas, se producen y establecen nuevas políticas y propuestas que permiten a los desarrolladores, afinar sus futuras aplicaciones y fortalecer sus aplicaciones vigentes. Se puede afirmar que la fortaleza de una herramienta forense, se mide en las constantes dudas y fallas que tiene que resolver para confrontar las observaciones y ataques llevado a cabo por las

CUH e zine 2

-

ª

edicion

llamadas mentes inquietas. Y la computación anti-forense nos invita a “ver con otros ojos” lo que la realidad nos dice, enrutandonos y orientándonos en como debemos actuar, y sobra decir que es una compañera estratégica y fundamental que nos obliga a repensar la seguridad de la información, pero mal utilizada, es una amenaza permanente que nos exige estar alerta en todo momento para tratar de deducir y bloquear los movimientos movimientos de los intrusos. i ntrusos. La informática anti-forense nos conlleva a proyectos como Metasploit Project  http://www.metasploit.com igual forma también las revistas Phrack  http://www.phrack.org , insecurity magazine  http://www.insecuremag.com y muchos mas esfuerzos internacionales, que llevan como bandera: establecer un referente real y preciso sobre la seguridad de la información.

Después de efectuar de un ejercicio de valoración de seguridad, ya sea por medio de ataques controlados o por la puesta a prueba de vulnerabilidades contra la infraestructura de las entidades y organizaciones (Publicas o privadas), siempre queda un mal sentir en el ambiente, ya que se contraponen, por un lado los esfuerzos y gestiones efectuados por el encargado de la seguridad, que ve como sus esfuerzos no son suficientes para contrarrestar los ataques o fallos y también ve como se refuerzan los mecanismos al ver que su sistema se doblegan ante la propia inseguridad del sistema. Por otro lado también queda un aire de satisfacción, por parte de los consultores, al haber descubierto las fallas y evidenciar las falencias en la aplicación de los procedimientos y acciones en cuanto al área de seguridad se refieren. Respecto a este contraste, nunca se debe tratar de esconder la primera y resaltar la segunda, seria un autoengaño hacerlo; es por eso que la mayoría de las organizaciones reconocen en las vulnerabilidades y en la mayoría de los casos también que recurren (Contratan) a aquellas mentes inquietas como una de sus fuentes de aprendizaje, ya que al estar de parte, de quienes por regla, tratan de romper los sistemas, logrando a corto y mediano plazo encontrar las formas de

Seguridad informática

prevenir ataques y solventar e implementar mejores sistemas de seguridad informática, la vulnerabilidad en estos casos no es tomada como una debilidad o carencia de control, es simplemente se hace preciso reconocer que aun no hemos acabado de comprender la variedad que puede alcanzar el sistema que hemos creado, también se debe recalcar, que estas medidas deben ser continuas y flexibles, para poder entender y moldear el sistema y llevarlo a la toma de decisiones eficientes en cuanto a las posibles situaciones de fallo y no a una posición inflexible, que solo se rige a cierto tipo de incidente únicamente. En otras palabras se debe tener la mente abierta, ante el ramillete de posibilidades que se pudieran presentar, además de una insistencia constante, para así, poder enfrentar nuevas propuestas y estrategias creativas, que conlleven a mejorar la gestión de la seguridad informática. Ignorar Ignorar o renunciar renunciar al aprendizaje aprendizaje de la inseguridad, es cortar el correcto flujo de la seguridad y por ende cercenar su futuro, de igual forma es negar la dinámica misma del desarrollo y las nuevas facetas para afrontar las nuevas formas de protección, que no pasan de ser el entendimiento mismo de la inseguridad materializadas, en una técnicas, una herramientas o el desarrollo de un sistema de información como tal.

By Alesteir