El proceso de descubrimiento y tratamiento de una vulnerabilidad recorre generalmente caminos similares. Un individuo, por lo general externo a la empresa, descubre algún tipo de falla en un software o sistema determinado. Este puede ser, por ejemplo, en una aplicación web (el portal web de la empresa) o también en algún producto de la misma empresa (por ejemplo alguna aplicación desarrollada por la misma), entre otros.

El proceso continúa mediante un informe por parte del individuo hacia la empresa detallando el tipo de vulnerabilidad y cómo esta puede ser explotada.

De aquí la empresa en cuestión opta por una de las varias alternativas para responder:

• Responde con un mensaje automatizado, como por ejemplo un e-mail, indicando que se va a ocupar de resolverlo.

• Responde de manera fluida y amable, poniéndose a disposición y mostrando interés verdadero en resolver el problema.

• No existe ningún tipo de respuesta. Este es el caso de grandes empresas que fueron alertadas sobre fallos en sus sistemas y éstas hicieron caso omiso a las mismas dando lugar a ataques posteriores con fugas importantes de información y hasta interrupción de sus servicios.

Otro aspecto que también hay que destacar es la conducta de aquella persona que descubre la vulnerabilidad. Muchas veces estos individuos buscan nuevas fallas con el fin de obtener beneficios personales y no de informar a los desarrolladores sobre lo descubierto. En estos casos la vulnerabilidad queda expuesta cuando ya ha obtenido repercusión por el alcance que esta tuvo sobre la red. A modo de ejemplo podemos citar el caso de Mysql.com, el cual tuvo mucha repercusión debido a que el ataque fue mediante inyección SQL.

En cuanto al rol de la empresa, muchas veces las alertas de vulnerabilidades no son rsepondidas de forma eficiente, como por ejemplo cuando no se repara el problema en cuestión. Esto suele deberse a que la organización probablemente no cuenta con un sistema de gestión para actualizar y reparar aplicaciones. Otras veces, simplemente por falta de conocimiento, las personas que reciben el reporte no analizan el alcance de la vulnerabilidad y por lo tanto le dan una jerarquía muy baja dentro de sus prioridades.

Es en estos casos, como ya se mencionó, una mala respuesta puede causar la exposición indebida y reiteradas veces esto ha finalizado en incidentes de seguridad para la organización en cuestión. En ese contexto, aquí algunos consejos que pueden ser de utilidad para las empresas al momento de gestionar el reporte de una vulnerabilidad:

• Responda al correo de aviso amablemente, agradezca por el reporte y manifieste su compromiso en reparar el incidente. Aún si está enojado, una vez consumado el reporte lo más importante debe ser estar al tanto del mismo y priorizar la reparación. La falta de respuesta o un mensaje agresivo puede ser contraproducente para la organización.
• Remita con urgencia el mensaje a quienes puedan reparar la vulnerabilidad. Si no conoce quién podría hacerlo, escale la información lo suficiente hasta averiguarlo. Una vez que una vulnerabilidad es conocida, debe ser prioritario la reparación de la misma.
• Al haber sido el receptor del mensaje, solicite ser informado cuando la vulnerabilidad sea reparada.
• En caso de no obtener respuesta, realice un seguimiento interno y escale de ser necesario para que la vulnerabilidad sea corregida.
• Una vez corregida la vulnerabilidad, envíe un mensaje a quien reportó la misma indicando que esta ha sido reparada.
• Finalmente, realice un resumen de lo ocurrido y reporte a la persona responsable de la Seguridad de la Información (CIO, CSO, CISO, COO o incluso CEO; según la organización).

Finalmente, vale destacar que más allá de quién recibe el reporte, este tipo de incidentes deben ser utilizados para optimizar el proceso (¡o crearlo!) de gestión de riesgos, de forma tal de minimizar la probabilidad de que puedan ocurrir, o mejorar la respuesta en caso de ocurrencia. Para esto, es recomendable realizar periódicamente análisis de la seguridad, como los brindados por ESET Security Services, de forma tal de poder conocer cuáles son las vulnerabilidades o aspectos de mejora en la organización.

Fernando Catoira
Analista de Seguridad

Categories: Gestión, Vulnerabilidades
1 Comment »

Los hechos ocurridos durante la última semana referidos al cierre por parte del FBI del popular sitio de almacenamiento de archivos Megaupload, han generado diversos artículos y opiniones en Internet, tanto por el debate respecto a la propiedad intelectual, como así también por los hechos sucedidos posteriormente por los ataques hacktivistas de Anonymous. Sin embargo, hay un eje que también vale la pena conversar: ¿qué ha ocurrido con la información personal que muchos usuarios han perdido? Más allá de las implicancias legales sobre este tema, siempre es una buena oportnidad para hablar de la importancia de tener siempre un backup de la información.

Ya hemos hablado en varias oportunidades sobre este tema, incluso analizando los aspectos más importantes de los backups. En dicho post, hablabamos sobre la importancia de analizar qué información se desea respaldar, y esta decisión siempre va sopesada (al menos vagamente) con un análisis de riesgos: ¿hay alguna probabilidad de perder dicha información? Lo que pasa en muchos casos, probablemente como el presente de Megaupload, es que los usuarios no hacen backup porque consideran que no hay riesgos de que dicha información no esté disponible, y este tipo de situaciones poco esperadas no suelen ser consideradas.

Para aquellos que tenían información almacenada en linea a través de Megaupload, mala decisión. Lamentablemente este tipo de incidentes pueden ocurrir, y por ello es importante siempre hacer un análisis de qué tipo de backup (al menos alguno que no sea muy costoso) uno puede realizar para estar cubierto ante estos incidentes.

Por otro lado, si alguno utilizaba Megaupload como backup, recuerden que su información ya no está respaldada y que por lo tanto es importante (¡antes de arrepentirse!) buscar otro sitio o medio para almacenar la información ante cualquier incidente.

Una vez más vale la pena recordar la importancia de los backups, y recordar que las soluciones de Cloud Computing pueden tener riesgos tanto como otros medios físicos que, a priori, parecen más vulnerables. No se trata de una competición entre ambas modalidades, sino de la importancia de estar siempre atentos a la posibilidad de perder información que para uno puede ser muy importante, y que muchas veces puede no ser sencillo recuperarla.

Es decir, estamos hablando de un backup. El incidente de Megaupload es solo una excusa, para recordar todo lo mencionado en este post. ¡A cuidar nuestra información!

Sebastián Bortnik
Coordinador de Awareness & Research

Categories: Gestión
No Comments »

Recientemente PCI DSS (Del inglés, Payment Card Industry Data Security Standard), la organización dedicada a certificar la seguridad de la información en empresas que comercializan y realizan transacciones con tarjetas de crédito, ha liberado su informe “2011 PCI Compliance Report”, que incluye información estadística y analítica sobre las empresas que han intentado (y eventualmente logrado) certificar en la norma PCI. Tal como reporta Anton Chuvakin en el blog oficial, 8 de cada 10 empresas que certificaron el último año, no han logrado certificar en el 2011. Este dato, además de alarmante, refleja algo que siempre menciono en contextos de concientización en empresas: la seguridad es un proceso.

Cuando escribí los 10 mandamientos de la seguridad corporativa, ponía en el número nueve:

No terminarás un proyecto en seguridad: se que parece extraña, pero no lo es, porque… ¡tampoco empezarás un proyecto! La seguridad debe ser concebida como un proceso continuo, no termina. Es cierto que pequeñas implementaciones de los controles pueden necesitar de proyectos, pero la protección general de la información no puede ser pensada como un proyecto, sino como una etapa de mejora continúa, como una necesidad permanente del negocio.

Las estadísticas recientemente publicada por PCI DSS hablan justamente de ello: muchas empresas consideraron que sus buenos resultados el último año eran un sinónimo de “seguridad”, y es por ello que evidentemente han descuidado la protección de su información en los últimos 12 meses. Sólo un 21% de las empresas han logrado superar en dos años consecutivos los requerimientos impuestos por la organización.

La seguridad no es un proyecto, es un proceso; y las certificaciones no pueden distraernos en el camino hacia trabajar por una protección continua de la información corporativa. Cualquier prueba o evaluación realizada, no solo hace un año, sino hace unos meses; puede hoy ser insuficiente si no se acompañó el proceso posterior a la evaluación con más medidas de seguridad, y la actualización necesaria según los cambios de la empresa y del propio entorno (y por ende las amenazas).

Para ser más claros: las medidas de seguridad que hoy están implementando en su empresa, pueden dejar de ser eficientes en un año, en diez años, o mañana; pero sin lugar a dudas en algún momento dejarán de serlo, o necesitarán una revisión u otra capa de seguridad. No podemos pensar la seguridad como un cúmulo de tecnologías o medidas aplicadas en un tiempo determinado, sino que es necesaria la revisión y toma de decisiones constante en esta materia.

Esto, por supuesto, hace el trabajo del Oficial de Seguridad de la Información y todas las personas involucradas más complejo, y lamento informarles que así es, y justamente por ello es recomendable someter a la empresa periódicamente al análisis del estado de la seguridad, ya sea desde el punto de vista tecnológico como así también de otros aspectos de gestión de la seguridad y procesos.

Para más información les recomiendo leer el informe completo. Para más protección, ¡manos a la obra!

Sebastián Bortnik
Coordinador de Awareness & Research

Categories: Estadísticas, Gestión
No Comments »

En muchos de los hogares de Latinoamérica es común que encontrarse con una computadora familiar, en ella, todos los integrantes comparten su información, fotografías, el acceso a Internet o la impresora. Sin embargo, en reiteradas ocasiones, estos equipos no cuentan con medidas de seguridad que permitan, entre otras cosas, proteger la información de cada uno de sus usuarios, incluso también proteger a los menores que utilizan el sistema.

¿Qué se puede hacer cuando se comparte un dispositivo informático?

En primer lugar se recomienda contar con usuarios distintos para cada persona que utilice el equipo. De esta manera no solo se aumenta la seguridad del sistema, sino que también las personalizaciones que cada familiar quiera realizar sobre el escritorio, el fondo de pantalla y sus archivos no afectan a las configuraciones del resto. Además, cada uno cuenta con su propia contraseña para iniciar sesión, protegiendo su información.

Dependiendo del sistema operativo, se pueden crear distintos tipos de cuentas, con permisos para cada uno de los usuarios. Esta opción, permite de una manera sencilla, aumentar la seguridad de su información de manera inmediata. En los sistemas Microsoft, como por ejemplo Windows 7, existen por defecto tres tipos de cuentas de usuario: administrador, estándar e invitado.

Al utilizar el sistema por primera vez, siempre se accede a al mismo con el usuario administrador. Sin embargo, una vez que finaliza la instalación de sistema operativo, muchos usuarios continúan utilizando una cuenta con privilegios administrativos cuando en realidad es recomendable utilizar un usuario estándar.

Las ventajas de utilizar una cuenta estándar en lugar de un usuario administrador, evitan la modificación del sistema, no solo para la cuenta usuario, sino también para todos el resto de las cuentas creadas en él. De esta manera se puede proteger el sistema evitando cambios generales para toda las cuentas de usuario.

Para crear una nueva cuenta de usuario, el proceso es bastante sencillo. En primer lugar, hay que dirigirse a Inicio -> Panel de Control. En el listado de opciones seleccionar Cuentas de usuario y protección infantil y desde allí hacer clic en Cuentas de Usuario para iniciar luego con la Administración de cuentas. Microsoft ha puesto ha disposición de los usuarios un video en donde muestra cómo crear una cuenta con permisos estándar en Windows 7.

Al contar con distintas cuentas para cada uno de los integrantes de la familia, le permite a los padres obtener una mayor protección para con sus hijos. Esto se debe principalmente que si se utilizan herramientas de control parental se pueden configurar las cuentas de sus hijos para restringir el acceso a ciertas páginas web y en filtrar el contenido web de otros sitios.

El principal objetivo de utilizar distintas cuentas de usuario en un mismo equipo, permite no solo aumentar el control de la seguridad ante una posible infección de un código malicioso, sino que también les garantiza a los padres una mayor protección para con sus hijos al momento de utilizar los equipos. Para bloquear los cambios realizados sobre el software de control parental el mismo puede ser protegido mediante una contraseña.

Al compartir un equipo entre distintos usuarios es necesario minimizar los riegos de exposición ante las amenazas, y el robo de información contenida en ella, ya que el uso que un adulto le puede dar a un equipo difieren del uso que le dan los menores en lo que respecta a navegación y costumbres en Internet. Minimizando cualquier vector de ataque a través de la implementación de controles se aumenta la protección.

Pablo Ramos
Especialista en Awareness & Research

Categories: Educación, Gestión
1 Comment »

El día de ayer, Perú ha dado un importante paso en lo que a la seguridad de la información se refiere en el ámbito público, al establecer que 50 organismos e instituciones públicas deban implementar el plan de seguridad de la información indicado en la norma ISO 27002, Código de Buenas Prácticas para la Gestión de la Seguridad de la Información, perteneciente a la serie ISO 27000, antes de finalizado el año 2012. Es decir, los organismos disponen de prácticamente un año y medio para planificar, proyectar, e implementar este alineamiento, muy común en el sector privado de países de todo el mundo.

Esto se dio en el contexto de la modernización de la gestión del estado, en concordancia con la tendencia internacional, que ya había creado mediante resolución ministerial el grupo de trabajo permanente denominado “Coordinadora de Respuestas a Emergencias en Redes Teleinformáticas de la Administración Pública del Perú, Pe-CERT” en el ámbito de la Oficina Nacional de Gobierno Electrónico e Informática (ONGEI) de la Presidencia del Consejo de Ministros. Esto permite al gobierno de Perú, según sus propias palabras, establecer un marco de coordinación para afrontar los riesgos y amenazas a los que está expuesta la información que producen los diferentes organismos públicos utilizando tecnologías de la información, evitando la duplicidad de esfuerzos en el establecimiento de acciones.

Entre los organismos que se encuentran en la nómina de los 50 seleccionados, aparecen por ejemplo el congreso de la república, el poder judicial, el banco central, el consejo nacional de la magistratura, varios ministerios como el de trabajo, vivienda, energía, relaciones exteriores y justicia, y varios organismos de servicios públicos como el de agua potable y servicios postales. Cabe destacar que Perú tiene como política de estado el hecho de promover, facilitar e incorporar el uso de las nuevas tecnologías de la información y la comunicación con el fin de facilitar el acceso para su población independientemente de su ubicación geográfica.

Se conoce que en el año 2004 se impuso un período de 18 meses para implementar esto mismo en todas las entidades estatales, lo cual no ha podido ser cumplido en su momento, por lo que el plazo fue extendido en aquel entonces hasta mediados de 2006.

En esta ocasión, un plan mas realista propone como fecha límite el 31 de diciembre del año próximo, y motiva claramente a enfocar los esfuerzos en la mejora de los planes de seguridad en pos de la implementación de un SGSI, que podría llevar a Perú a estar emparejado con los más altos estándares internacionales, y elevar el nivel general de Latinoamérica en cuanto a aplicación de políticas de estado que promuevan mejoras en el campo de la seguridad.

Federico Pacheco
Education & Research Manager

Categories: Gestión
1 Comment »