Perfilesdeseguridad -...

Seguridadfreno o

facilitador

No.1 8 / mayo-junio 201 3 ISSN: 1 251 478, 1 251 477

Lockpicking Criptografíacuántica

Pentestprincipiantes

SCADA yseguridad

Firewallbase dedatos

18Perfiles de seguridad

6 distintas líneas de acción en la agenda

Contenido

Sistemas SCADA, consideraciones de seguridad

< 04 >

Universidad Nacional Autónoma de México. Dirección General de Cómputo y Tecnologías de Información y Comunicación. Subdirección deSeguridad de la Información/UNAM-CERT. Revista .Seguridad Cultura de prevención para TI M.R., revista especial izada en temas de seguridaddel UNAM-CERT. Se autoriza la reproducción total o parcial de este artículo con fines de difusión y divulgación de los conocimientos aquíexpuestos, siempre y cuando se cite completa la fuente y dirección electrónica y se le de crédito correspondiente al autor.

< 08 >

< 1 6 >

< 20 >

< 24 >

< 31 >

Criptografía cuántica

¿Es la seguridad de la información un freno o unfacilitador de la expansión del negocio?

Pruebas de penetración para principiantes: 5herramientas para empezar

Lockpicking

Firewall de bases de datos

Perfiles de seguridad6 distintas líneas de acción en la agendade TI

El campo de la computación es realmente vasto,sobre todo cuando hablamos de analizar todassus directrices. Una, la que más nos competeen UNAM-CERT, es la línea de la seguridad:Seguridad en cómputo, seguridad informática yseguridad de la información. Términos quepodrían parecer, a simple vista, sinónimos deuna misma causa, pero que al momento deprofundizaren ellos, exponenmundosdistintos.

Si bien discernir sobre un tema conceptual noes nuestro objetivo, tratar de referir hacia todoslos aspectos de la seguridad como un conjuntosí lo es, en .Seguridad Cultura de prevenciónpara TI lo vemos como una de nuestras metas,edición tras edición.

En esta ocasión, decidimos abordar seisaspectos primordiales que se encuentran en laagenda de seguridad de las tecnologías de lainformación y comunicación de nuestros días.Para aventurarnos a ello, contamos conestupendos profesionales, tanto del equipo denuestra prestigiada UNAM, como especial istasde carácter internacional: Sebastián Bortnick,Jesús Torrecil las y Eduardo Carozo.

Los colaboradores de esta edición colocan seistemas sobre la mesa: gestión, hacking, web yescritorio, seguridad física, criptografía ysistemas de control industrial. Una lista, noexcluyente de otros temas, que busca abarcardistintos panoramas de la seguridad de nuestrotiempo, sin embargo tú, querido lector, tieneslos comentarios finales.

L.C.S Jazmín López SánchezEditoraSubdirección de Seguridad de la Información

.Seguridad Cultura de prevención TI M.R. / Número 1 8 /mayo - junio 201 3 / ISSN No. 1 251 478, 1 251 477 /Revista Bimestral, Registro de Marca 1 29829

DIRECCIÓN GENERAL DE CÓMPUTO Y DETECNOLOGÍAS DE INFORMACIÓN YCOMUNICACIÓN

DIRECTOR GENERALDr. Felipe Bracho Carpizo

DIRECTOR DE SISTEMAS Y SERVICIOS

INSTITUCIONALES

Act. José Fabián Romo Zamudio

SUBDIRECTOR DE SEGURIDAD DE LAINFORMACIÓN/ UNAM-CERTIng. Rubén Aquino Luna

DIRECCIÓN EDITORIALL.A. Célica Martínez Aponte

EDITORAL.C.S. Jazmín López Sánchez

ARTE Y DISEÑOL.D.C.V. Abraham Ávila González

DESARROLLO WEBIng. Jesús Mauricio Andrade GuzmánA.V. Iván Santa María

REVISIÓN DE CONTENIDORubén Aquino LunaManuel Ignacio Quintero MartínezAndrés Leonardo Hernández BermúdezPaulo Santiago Contreras Flores

COLABORADORES EN ESTE NÚMEROJesús Nazareno TorrecillasSebastían BortnikAngie Aguilar DomínguezYesenia Carrera FournierPaulo Santiago de Jesús Contreras FloresEduardo Carozo Blumsztein

Editorial

UNAMCER

T

En lamayoría de las organizaciones y empresaspúblicas y privadas, se tiene la idea de que laSeguridad de la Información, más que unafacil i tadora del negocio, es un obstáculo queimpide la agil idad y el dinamismo necesariospara abarcar nuevos retos, evolucionar yexpandir la compañía.

Un error muy extendido es considerar que eldepartamento de Seguridad de la Informacióngarantiza la salvaguarda de los activos críticosde la organización. La realidad es que eldepartamento de Seguridad de la Informaciónfacil i ta la metodología y tecnología necesariaspara procurar que los activos de informaciónestén lo más protegidos posible, y quepermanezcan controlados dentro de un marcode referencia. El departamento de Seguridad dela Información, o ISM, debe trabajar de la manocon el departamento de Seguridad Física de la

empresa u organismo. Si los dos departamentoslaboran sin una cabeza directriz conjunta,l levarán a la empresa a situaciones muycomplicadas y absurdas de “neomanagement. ”

Al no haber una cultura empresarial estableciday bien referenciada, en donde los trabajadores yejecutivos de todos los niveles de la organizaciónentiendan y comprendan las ventajascompetitivas de contar con unas políticas deseguridad de la información, será muycomplicado permear estas ventajas a todos losniveles organizativos. Las políticas deben serclaras e incluir lo necesario para garantizar laclasificación de la información y el manejo quese le debe dar desde su creación, clasificación,almacenamiento y destrucción.

Un gran obstáculo, que los profesionales deseguridad de la información encuentran a diario,

¿Es la seguridad de la información unfreno o un facilitador de la expansióndel negocio?Jesús Nazareno Torrecillas

04

UNAMCER

T

es no saber cómo vender a la alta dirección laseguridad de la información ni su impacto en losresultados globales del negocio. Otro obstáculo,que las grandes empresas encuentran, es lateórica duplicidad de los departamentos deSeguridad de la Información (uno que dependedel área de Seguridad Central y el otro deInformática).

El departamento de Informática, TI o IT, debecontar con sus propios auditores internos paraverificar que los parches estén instalados, elantivirus esté funcionando correctamente, secumplan las políticas dictadas por eldepartamento de Seguridad de la InformaciónCentral, etc. Con el fin de que, cuando se haganauditorías independientesporparte deauditoresexternos, todo esté más o menos en orden. Encuanto al departamento de Seguridad de laInformación Central, éste es el encargado derevisar y auditar de manera totalmenteindependiente que todo en TI se hagacorrectamente y que se cumplan las políticas desecurización de la información, generarpolíticas, etc. Ambos departamentos deben serindependientes. Como en el caso deldepartamento de Control Interno y eldepartamento financiero, si ambos seencontraran juntos y fuesen dependientes,nunca se llegarían a descubrir los fraudesinternos. Por eso insisto que el departamentode Seguridad de la Información Central oCorporativo debe ser completamenteindependiente del equipo de revisión o ISM quepertenezca a TI.

En muchas empresas, se considera que elDepartamento de Seguridad de la Informaciónes un mal necesario, en vez de un factor críticoque ayuda a la continuidad del negocio en casode padecer un incidente. En otrasorganizaciones, se considera al departamentode Seguridad de la Información como un frenoo escollo insalvable que limita los márgenesoperativos y resta agil idad de expansión delnegocio, en vez de considerar a dichodepartamento como un facil i tador de lasdecisiones futuras o frente a incidentes.

La seguridad de la información debeconsiderarse como un factor estratégico, crítico

y necesario para procurar la continuidad delnegocio. Además, tiene que ser vista comofacil i tadora de los planes futuros de expansión delas compañías que se precien de tener un“management” de primer nivel y de altacompetitividad. Incluso hace frente, de manerarápida y ágil , a cualquier incidente que ponga enriesgo la integridad de la información.

Supongamos que la empresa es como un lujosoy costoso auto deportivo de carreras. Este cochepertenece a un fabricante de prestigio (imagen dela marca), tiene unos bonitos colores en sucarrocería (Departamento de Imagen yComunicación), cuenta con unos logotipos sobrelabonitapintura (ConsejodeAccionistas), un buenpiloto (Dirección General) , un favorable equipo demecánicos (Departamentode Ingeniería), un buenequipo de iluminación (Intel igencia Estratégica),un motor poderoso (Departamento deOperaciones), unos excelentes neumáticos(Departamento Comercial) , etc. El sistema defrenos de este vehículo de carreras vendría a sernuestro Departamento de Seguridad de laInformación. La pista de carreras sería el mercadoen donde nuestra compañía tendría que debatirsecon sus competidores por agarrar más cuota demercado en el menor número de tiempo,justificando ante su público (cl ientes) el prestigiode la marca del equipo de carreras (empresa).

Para que nuestro impresionante vehículo decarreras pueda dar el 1 00% de rendimiento eneste circuito, se debe de contar con la más altatecnología en su sistema de frenado, con el fin depoder circular a la máxima velocidad, con laconfianzay tranquil idad de que, cuando se precisehacer frenadas muy apretadas, los frenos no vana fallar y el vehículo no se estrel lará (parada deoperación irreversible). De esa manera se evitaque el accidente sea publicado en toda la prensay que impacte en la imagen estratégica de lacompañía, con la consiguiente pérdida decredibi l idad en el mercado. En cambio, si nuestrosistema de frenado es mediocre y poco fiable,cuando busquemos ir a altas velocidades(cambios estratégicos), pormucho que deseemosir rápido, nuestros frenos serán un condicionantemuy fuerte a la hora de ir a alta velocidad. En casode necesidad, no tendremos la garantía deejecución precisa del frenado y, por tanto, el

05

UNAMCER

T

fantasma del accidente nos perseguirá durantela carrera (miedo al fracaso comercial) .

Para ir a alta velocidad y estar seguros de serlos mejores en la carrera, se deberá contar conla más alta tecnología en el sistema de frenos,lo que nospermitaabordarcambios en el circuito(condiciones de mercado) e imprevistos en lascondiciones del pavimento (cambios en lasestrategias) sin que nuestro vehículo pierda elcontrol de su trayectoria (planes para afrontarcontingencias). Por lo que un buen sistema defrenado (buen departamento de Seguridad dela Información) es básico y fundamental paraafrontar nuevos retos estratégicos del negocio.Queda claro que poseer un excelente sistemade frenosen un vehículo de carreras no significa,en ningún momento, que dicho sistema vaya aserun estorbooun obstáculo, ni que ese sistema

entorpezca la velocidad punta del auto decarreras. Todo lo contrario, un buen sistema defrenado, eficiente y de alta tecnología, permitiráal vehículodesarrollarsumáximavelocidad paraser competitivo durante todo el transcurso de lacarrera, permitiendo al auto, en caso de sernecesario, reducir la marcha de manera muysegura, tanto para el pi loto como para el auto,a fin de adaptar el vehículo a las necesidadeso imprevistosdurantesu evolución en el circuito.

¿Cómo trabaja en el vehículo el sistemade frenado?

Cuando una empresa analiza cómo sercompetitiva frente a un mercado muy agresivo ycambiante, en la mayoría de las ocasiones, pasapor alto casi todo lo relativo al manejo de lainformación de manera segura y eficiente. En lasempresas, los directivos suelen divagar sobreestas cuestiones, sin tener muy claro cómomanejar la información de formasegura. Otro errorde percepción, muy común, es que los directivossuelen pensar que el departamento de Seguridadde la Información va a resolver todos los errorescometidos en el manejo de la información y que,para eso, se precisan costosas cajas negras, cuyaingeniería computacional es eficiente al 1 00% yresuelve todos losproblemashabidosyporhaber.

Volviendo a nuestro ejemplo: Si el pi loto del autode carreras (Dirección General) comete erroresen la trayectoria del circuito (estrategias fall idasdemercado), obviamente, pormuchacomplej idadtecnológicaqueseposea, nohabráningún sistemade frenos que tenga y que pueda corregir estoserrores de manejo de la trayectoria del auto. Losfrenos están para lo que están y no para corregirerrores de pilotaje. El departamento de Seguridadde la Información no está para corregir los errores

06

UNAMCER

T

y estratégica para la organización caiga en malasmanos o sea usada en contra de la propiaempresa, además de prevenir el fraude interno oexterno, uti l izando para ello, metodologíasforenses y preventivas.

Unacita, a laquesuelo recurriren unaconferencia,cuando tengo que explicar la problemática deconfiar la Seguridad de la Información enelectrónicas automáticas, es la siguiente:

Si usted piensa que la tecnología puederesolver sus problemas de seguridad,entonces usted no entiende losproblemas de seguridad y tampocoentiende la tecnología.

Dicha cita es nombrada por el archiconocidoexperto de Seguridad y contemporáneo mío,Bruce Schneier. 1

El departamento de Seguridad de la Información,conjuntamentecon el departamentodeSeguridadFísica, deberá anticiparse muchas veces a lasintenciones corporativas de nuevas decisionesestratégicas de la compañía, con el fin de resolver,

cometidos por la dirección de la empresa.Tampoco el departamento de Seguridad estápara “tapar” los errores e ineficiencias (y hechosdelictivos) que podrían cometer los directivosde alto nivel. Para estos asuntos delicados,contar con una política clara de consecuenciasfrente a cierto tipo de malas actuaciones yprácticas, es más que suficiente para poner enorden las cosas.

Toda la compañía debe tener conciencia decómo manejar su información. Desde lospuestos más modestos hasta los directivos deprimer nivel.

Para ello, el Departamento de Seguridad de laInformación debe haber realizado, entre susmuchos cometidos, un buen programa deformación en prevención de fugade información,el cual deben recibir todos sus trabajadores, sinexcepción. Esto ayudará, entre otrassituaciones críticas, a evitar robos de laptops osmartphones en lugares públicos, a que losdirectivos no hablen de planes estratégicos enlugares públicos de manera que puedan serescuchados por competidores. Ayudará a hacerrespaldos periódicos de la información sensible,a prevenir, en suma, que la información crítica

07

UNAMCER

T

anticipadamente, muchos de los problemas quese pueden plantear en caso de incidentes o deproblemas no previstos por la dirección. Porejemplo, si la empresa desea hacer una fusiónpor adquisición de una empresa hermana en unpaís, supongamos del tercer mundo, dichodepartamento de seguridad tendrá queestablecer alianzas estratégicas conembajadas, consulados, autoridades locales,etc. , deberá contactar con proveedores localesde tecnología, deberá estudiar el país en loreferido a su mapa de riesgos, entro otros.

Con el fin de poder plantear un plan estratégicode salvaguarda de la información, se deberáconfeccionar una matriz de riesgos de ese paíso de ese negocio, para la realización de un plandirector que abarque aspectos tan diversos,como los factores de riesgo (qué tipo deproveedores de servicios existen, proveedoresde telefonía, factores climatológicos, factoressociopolíticos, factores sismológicos, quépolíticas existen en la empresa para prevenir lafuga de información, nivel de riesgo de espionajeindustrial, etc. )

Asípues, paraqueunaempresatengaunarápidaimplantación en un país y pueda ir a la velocidaddeseada, sintiéndose segura de los pasos quedebe dar, el departamento de Seguridad de laInformación debe de ser capaz de actuar enmúltiples frentes simultáneamente, y además,de manera rápida y eficiente. Por ejemplo, paraevitar la fuga de información estratégica, laempresa debe contar con un sistema de controlde acceso físico y lógico eficaz. Hay que saberquién entra, cuándo entra a nivel personal y adónde se firma en la red (qué tipo de accesosasignados debe tener). Se debe contar con unplan de recuperación frente a desastresnaturales, atentados, etc. Por eso es tanimportante disponer de una matriz de riesgosrealizada de manera granular. De esta forma,cuando la empresa necesite “meter el freno”,logre la tranquil idad y la seguridad de que todova a funcionar correctamente y sincontratiempos, según el plan de contingenciapreviamente realizado y documentado. Comoen el caso de un corte de energía eléctrica(intencional o fortuito) se deben tener previstaslas diferentes opciones a seguir para solventaresta eventualidad.

1SCHNEIER, Bruce, “Secrets & lies,” Digital Security in a

networked world, John Wiley & Sons Inc, 2004.

Referencias

http://miliarium.com/Monografias/Rascacielos/Cronologia

Fuego.htm

http://www.wharton.universia.net/index.cfm?fa=viewArticl

e&ID=928

http://firestation.wordpress.com/category/siniestros-

importantes/incendio-del-windsor/

08

http://miliarium.com/Monografias/Rascacielos/CronologiaFuego.html

http://www.wharton.universia.net/index.cfm?fa=viewArticle&ID=928

http://firestation.wordpress.com/category/siniestros-importantes/incendio-del-windsor/

UNAMCER

T

Realizar pruebas de penetración es una tareacompleja, involucra un proceso en donde serealizan distintos tipos de tareas que identifican,en una infraestructura objetivo, lasvulnerabil idades que podrían explotarse y losdaños que podría causar un atacante. En otraspalabras, se realiza un proceso de hacking éticopara identificar qué incidentes podrían ocurrirantes de que sucedan y, posteriormente, repararo mejorar el sistema, de tal forma que se evitenestos ataques.

Para realizar una prueba de penetración de formaprofesional, es necesario sumar a losconocimientos de hacking ético1 , otros aspectos

fundamentales como: programación,metodologías, documentación, entre otros. Noobstante, esos aprendizajes suelen venir una vezque se conocen y se saben uti l izar muchasherramientas que son parte del proceso depenetration testing. El presente artículo es unlistado de las cinco herramientas que debesconocer, instalar y probar para dar tus primerospasos en este “arte”.

Lo que verás a continuación, es una pequeñaguía de “por dónde empezar” para aquellosprincipiantesquedeseen introducirseenelmundodel hacking ético y de las pruebas de penetración.Estas son, ami criterio, las primeras herramientas

Pruebas de penetración paraprincipiantes: 5 herramientaspara empezarSebastían Bortnik

UNAMCER

T

que deberás conocer, no solo para comenzar aprepararte para realizar esta tarea, sino paraempezar a comprenderla.

1. NMAP

En un proceso completo de pruebas depenetración, existen instancias previas a ejecutaresta herramienta pero, para dar los primerospasos, probablemente sea la mejor forma decomenzar. Nmap es una herramienta de escaneode redes que permite identificar qué servicios seestán ejecutando en un dispositivo remoto, asícomo la identificación de equipos activos,sistemas operativos en el equipo remoto,existencia de fi ltros o firewalls, entre otros.

En palabras sencil las, cuando se va a atacar unservidor o dispositivo, el atacante podrá realizardistintas arremetidas en función del servicio: noes lo mismo dañar un servidor web, un servidorde base de datos o un router perimetral. Por lotanto, en cualquier despliegue, el primer pasoserá identificar los servicios en la infraestructura,para decidir cómo avanzar y, considerando queen una prueba de penetración se “imitan” lospasos de un atacante, también se iniciará de lamisma manera.

Nmap es una herramienta de línea de comandos(existen algunas interfaces gráficas pero,personalmente, no las recomiendo, aunque esuna cuestión de gustos) donde se debe indicarcuál seráel o los objetivos y la serie de parámetrosque afectarán la forma en que se ejecuten laspruebas y los resultados que se obtienen. Puedeinstalarse tanto en Linux, Windows, Mac u otrossistemas operativos.

En su forma tradicional, una línea de comandosería la siguiente:

En donde nmap es el comando en sí mismo y172.16.1.1 es el objetivo (que también puedeser indicado con un nombre de dominio). Larespuesta a estos comandos será un listado de

los puertos abiertos o cerradosen dichadirección.La ejecución sin parámetros ejecuta un escaneosencil lo a los 1 000 puertos más comunes (véaseque en la imagen se muestra uno abierto y 999cerrados), realizando anteriormente un ping paraver si el equipo está vivo (si el equipo no respondeal ping, no se realizará el test de los puertos).

Cuando agregas parámetros puedes obtenermejores resultados. Algunos parámetroscomunes para tener en cuenta son:

•[iL] puedes indicar una lista de equipos oredes a escanear.

•[sP] solo escanea con un ping. Es una buenaforma de ver cuántas direcciones IP se puedenchecar. Una vez que se tienen enlistadas, sepodrá ir solo con las que están vivas.

•[P0] es la forma de omitir el ping e ir directoal escaneo de puertos. Muchos sistemas noresponden el ping como método de seguridad,por lo que, escanearlos de todas formas, tambiénpuede ser úti l en entornos más reales (no esnecesario para los entornos de aprendizajeinicial) .

•[p] l ista los puertos que se desean escanear.

•[sV] intenta determinar la versión del servicioen el objetivo.

•[O] informael sistemaoperativo en el objetivo.Una vez ejecutado Nmap, ya se conocen cuálesson los servicios (al menos los identificados) que

IMG1 – Salida tradicional de ejecución de Nmap (nmap.org)

1 0

UNAMCER

T

se están ejecutando en el blanco de la pruebade penetración. Ahora ya se puede pasar a lassiguientes etapas, en donde se uti l izará estainformación para comenzar la búsqueda devulnerabil idades en la infraestructura y en losservicios identificados.

Ficha técnica

• Herramienta: Nmap• Sitio web: http://nmap.org/• Cómoempezar: instalarlo, ejecutarun comandosencil lo hacia una dirección IP y luego probaragregando parámetros (nmap help puedebrindar más información) o ejecutar paramúltiples direcciones IP (que deben serindicadas en un archivo TXT).• Más información: Recomiendo este artículo con30 comandos para ver y analizar las diferenciasen las respuestas. También está el l ibro oficialpara explotar al máximo la funcionalidad deNmap, escrito por su creador, Gordon “Fyodor”Lyon, http://nmap.org/book/.

2. NESSUS

Una vez que se tienen identificados los serviciosque se están ejecutando, se puede comenzar eluso de las herramientas que sirven para identificarvulnerabil idades en los servicios. En este campo,la mejor herramienta para introducirse en estemundo es Nessus, otra aplicación gratuita (solopara uso hogareño, suficiente para los fines de esteartículo; en el caso de fines profesionales esnecesario usar la versión de pago) que, por su basede datos y su facil idad de uso, es la preferida eneste aspecto.

Aunque posee una línea de comandos, consideroque su interfaz gráfica, muy completa e intuitiva,es una forma sencil la de comenzar a probar estaherramienta.

Nessus posee una extensa base de datos devulnerabil idades conocidas en distintos serviciosy, por cada una de éstas, posee plugins que seejecutan para identificar si la vulnerabil idad existe(o no) en determinadoequipoobjetivo. En resumen,al ejecutarse Nessus sin parámetros específicos,seprobaránmilesdevulnerabil idadesyseobtendrácomo resultado un listado de las vulnerabil idadesque fueron identificadas.La lógica de Nessus es similar a Nmap: hay que

1 1

http://nmap.org/

http://www.cyberciti.biz/networking/nmap-command-examples-tutorials/.

http://nmap.org/book/

UNAMCER

T

indicar el objetivo, en este caso la o lasdirecciones IP y los parámetros. Estos permitenlimitar el campo de búsqueda, especialmente sien una etapa anterior se identificaron losservicios: no tiene sentido buscarvulnerabil idades conocidas en Linux en unequipo que tiene instalado Windows.Ficha técnica

• Herramienta: Nessus• Sitio web:http://www.tenable.com/products/nessus/• Cómo empezar: Si tienes Windows, instalarloahí por interfaz gráfica es muy sencil lo, funcionapara conocerlo por primera vez. Recomiendobuscar el l istado de plugins y ejecutar pruebaslimitando solo a determinados servicios.•Más información: Un listadocompletodepluginsestá disponible en el sitio web, la lectura de lasdescripciones es muy úti l para aprender mássobre vulnerabil idades en diversas plataformas(http://www.tenable.com/plugins/index.php?view=all) .

3. Metasploit Framework

Una vez identificados los servicios y susvulnerabil idades, el paso siguiente sería laexplotación de las vulnerabil idades. Es decir,primero se tiene que probar si realmente lasvulnerabil idades identificadas permiten a unatacante causar algún daño. Después se intentaconocer cuál sería ese daño. A pesar de que sehaya identificado una vulnerabil idad en lainstancia anterior, podría ser que, al momentode intentar explotarla, existan otras medidas decontrol que no hayan sido consideradas, otrascapas de seguridad o distintas variables que

podrían hacer más complicada la explotación dela misma. Asimismo, si se logra explotar lavulnerabil idad, podría comprobarse y dimensionarcuál podría ser el daño hacia la organización, enfunción de la información o sistemas queestuvieran “detrás” de dicha vulnerabil idad.

Para este fin, Metasploit es la herramienta idealpara hacer estas pruebas. Mientras Nessus poseeuna base de datos de vulnerabil idades, Metasploitposee una base de exploits que podríanaprovecharlas. En otras palabras, en lugar derevisar si hay una vulnerabil idad en un equiporemoto, directamente se intenta la ejecución deun exploit y se simulan las consecuenciasposteriores, en caso de que éste se ejecutara conéxito.

Al igual que Nessus, su versión de línea decomandos, msfconsole, es la tradicional, inclusorecomendable para la automatización. Sinembargo, su interfaz gráfica es muy convenientepara dar los primeros pasos y tener una mayorcomprensión.

Si quieres probar la línea de comandos puedeshacer las primeras pruebas. En Windows puedesabrirla directamente desde el Menú de inicio como“Metasploit Console”. En Linux, tan solo puedesejecutar un simple comando:Una vez que estás en la consola, verás que cambia

el prompt:

Hay una serie de comandos sencil los para dar losprimeros pasos. Search, use, show, set yexploit son probablemente los mejores.Probaremos explotar una de las vulnerabil idadesmás famosas en Windows, la MS 08-067 (para verel boletín de la vulnerabil idad, cl ic aquí), unavulnerabil idad crítica descubierta en 2008 quepermitía ejecución remota de código.

Si en un paso anterior (con Nessus) encontrasteque el sistema posee dicha vulnerabil idad (con

IMG 2 – Sección de configuraciones generales de exploración deNessus (tenable.com)

1 2

http://www.tenable.com/products/nessus/

http://www.tenable.com/plugins/index.php?view=all

http://technet.microsoft.com/en-us/security/bulletin/ms08-067

UNAMCER

T

Finalmente, solo debes ejecutar “exploit”.

Si pudiste hacer estos pasos correctamente,

podrás ver una consola remota en el equipoWindows y podrás testearla con comandosregulares de consola (ipconfig, dir, etc. ) .

Ficha técnica

• Herramienta: Metasploit• Sitio web: http://www.metasploit.com/• Dónde empezar: una vez instalado, haz la pruebacon alguna vulnerabil idad que permita el uso deuna consola meterpreter remota, son sencil las deprobarsi fueron exitosas. Hayque tenerprecaucióncon las vulnerabil idades de denegación deservicio.

Nmap podrías haber encontrado que estáslidiando con unamáquinaWindows), sería lógicocon search encontrar el exploit a uti l izar.Entre los resultados, lo más importante es que

podrás encontrar la ruta del exploit y luego conuse podrás decidir uti l izarlo (sí, asombroso):El comando showmostrará las alternativas para

ejecutar el exploit.

Luego, se podrá uti l izar el comando set para

configurar el exploit antes de la ejecución. Eneste caso, definiremos el local host (nuestradirección IP), al host remoto (la dirección IP dedestino, donde se supone que ya sabemos existela vulnerabil idad) y el payload (acción a ejecutar,en este caso usaremos reverse_tcp que nosdará una consola remota en el equipo).

1 3

http://www.metasploit.com/

UNAMCER

T

• Más información: Existe un documento oficialcompleto para dar los primeros pasos enMetasploit Framework, muy recomendable,“Metasploit Community Getting Started Guide”.

4. DVL – DVWA

Para probar las tres herramientas anteriores, esnecesario definir un sistema objetivo, un sistemaen el que se harán las pruebas. Una pésimacostumbre de quienes inician en este ámbito esrealizar sus primeros pasos y pruebas ensistemas públicos de Internet, en un entorno real.Esto podría acarrear problemas legales y no esla forma correcta (ni ética) de realizarlo. Paraaprender a usar estas herramientas, se debeuti l izar un entorno de pruebas, es decir, unescenario de investigación en donde uno puedatener acercamientos sin riesgos de afectar algúnentorno en producción.

Para ello, existen dos herramientas excelentes:Damn Vulnerable Linuxy (DVL) y DamnVulnerable Web Application (DVWA). Aunque elprimero está descontinuado, aún se puedeconseguir en Internet para hacer los primerospasos yprimeras pruebas. Se trata de un sistemaoperativo y una aplicación web que poseen todotipo de vulnerabil idades, de tal forma que, lapersonaque losuti l iza, puede intentarexplotarlasy experimentar.

También es posible “construir” nuestro propiosistema de pruebas: tan solo instala cualquiersistema operativo (desactiva las actualizacioneso instalaunaversión antigua) ysobre él comienzaa instalar servicios en versiones anteriores a laúltima. De esta forma, tendrás tu propio sistemavulnerable para hacer pruebas. Este entorno esel correcto para dar tus primeros pasos enPenetration Testing.

Ficha técnica

• Herramienta: Damn Vulnerable WebApplication• Sitio web: http://www.dvwa.co.uk/• Dónde empezar: Instala el programa e intentaencontrar y explotar vulnerabil idades comunescon la herramienta anterior.• Más información: la aplicación posee

información adicional, da clic aquí y encontraráslos aspectos más importantes para instalarlo.https://code.google.com/p/dvwa/wiki/README

5. Kali Linux (Backtrack)

Finalmente, hay una distribución de Linuxdiseñada exclusivamente para PenetrationTesting. Las herramientas antes descritas (Nmap,Nessus, Metasploit) están disponibles y, no soloeso, también hay muchas más herramientas paracontinuar practicando. Por ejemplo, Kali (antesconocida como Backtrack) es una distribución queposee todo tipo de herramientas preinstaladas quesirven para realizar Penetration Testing.

El orden en que se presentaron las herramientasnoesaleatorio, es lo recomendable paracomenzara experimentar. Primero hay que probarlas deforma aislada y luego, abocarse completamentea Kali Linux.

Kali Linux puede ser descargada como imagenISO o directamente para VMWare. Una vez queinicias un sistema Kali Linux, verás un menú muyextenso con más de 300 herramientas parapentesters. Nmap y Metasploit Framework estánincluidos en esta lista, entre otros.

Para una mejor comprensión, las herramientasson presentadas en diferentes categorías, aquíalgunas de las más importantes:

•Information gathering: Herramientas derecolección de datos que ofrecen informaciónsobre los objetivos de los análisis, especialmenteherramientas de DNS, dominios y direcciones IP.Nmap está en esta categoría.

IMG 5 – Menú de Kali Linux (voiceofgreyhat.com)

1 4

https://community.rapid7.com/docs/DOC-1565

http://www.dvwa.co.uk/

https://code.google.com/p/dvwa/wiki/README

https://accounts.google.com/ServiceLogin?service=code&ltmpl=phosting&continue=https%3A%2F%2Fcode.google.com%2Fp%2Fdvwa%2Fwiki%2FREADME

https://code.google.com/p/dvwa/wiki/README

UNAMCER

T

•Aplicaciones web: Herramientas diseñadaspara realizar análisis en sitios web a nivel deservidores. Recomendaciones para estasección: Nikto y w3af para encontrarvulnerabil idades en los sitios.•Ataques a contraseñas: Herramientas parahacer cracking de contraseñas, de forma tal, quese prueban ataques de fuerza bruta o diccionariopara encontrar las contraseñas de accesocorrectas a un formulario o sistema.• Ataques inalámbricos: Cuandoun atacanteestáconectado a una red wireless puede ejecutaralgunos ataques, especialmente cuando intentainterceptar información que está siendotransmitida mediante esa red inalámbrica. Estasherramientas permiten analizar la red ydiagnosticar su seguridad.•Herramientas de explotación: MetasploitFramework es la clave de esta sección, entreotras herramientas que permiten explotarvulnerabil idades.•Sniffing/Spoofing: Wireshark y Ettercap son lasherramientas más recomendables. Con ellas, esposible ver el tráfico de red que podría permitirel acceso a información confidencial, entre otrosataques.•Ingeniería inversa: Ollydbg es uno de losmejores debuggers que podrían ayudar acomprender qué acciones realiza un archivo enel sistema pormedio de un proceso de ingenieríainversa.•Forense: También hay una serie deherramientas para realizar análisis forensessobre un sistema, es decir, se puede analizar elestado de un sistema justo en el momento queocurrió determinado incidente; además seidentifican acciones pasadas o archivos ocultosen el mismo, entre otros.

Ficha técnica

•Herramienta: Kali Linux•Sitio web: http://www.kali .org/•Cómo empezar: primero, probar lasherramientas antes listadas pero desde dentrode Kali Linux y luego, adentrarse en su menú,donde las herramientas están categorizadas, loque permitirá mayor comprensión.• Más información: hay documentos disponiblesen el sitio oficial en varios idiomas, para conocermás en detalle el kit de herramientas.http://docs.kali .org/.

6. La sexta herramienta: nuestro cerebro

Hay una falsa idea de que una prueba depenetración es la ejecución de una serie deherramientas en un orden determinado. Esto noes así, la elección de las herramientas, la ejecuciónde tareas manuales y la uti l ización de unametodología, son tan solo algunas de las variablespara convertirse en un profesional de PenetrationTesting. Sin embargo, un factor común en todo elproceso, es que tenemos que pensar. Hay dostipos de ethical hacker, aquel que solo lee y uti l izalo quedicen lasherramientasyaquel que interpretay pone su intel igencia para ofrecer un informe querealmente brinde valor a su cliente, aquellaempresa u organización que necesita conocercómo mejorar la protección de la información y suinfraestructura.

Los atacantes no solo ejecutan herramientas, sinoque piensan cómo atacar. Al momento de realizarun Pentest es fundamental no perder de vistanuestra herramienta principal: pensar.Independientemente de las herramientas desoftware que uti l icemos, pensar constantementecomounatacante, es laclaveprincipal pararealizarun Penetration Testing de forma exitosa.

¿Qué debes hacer ahora? Solo toma esta guía,descarga las herramientas e intenta uti l izarlas.Probablemente en una primera instancia tengasmás preguntas que respuestas y si así fuera, esaes la mejor manera de comenzar.

1 La utilización de herramientas y habilidades similares a

losatacantesconelánimodehacerunaportea laseguridad

y hacer el bien.

1 5

http://www.kali.org/

http://docs.kali.org/

UNAMCER

T

cuenta bancaria (saldo, movimientos, depósitos,retiros, cancelaciones).

En la mayoría de los casos, toda esta informaciónse almacenaen unabase de datos que es operadapor un Sistema Manejador de Bases de Datos(SMBD). Así, cuando navegamos en el sitio enlínea del banco para consultar nuestro saldo, la

aplicación web envía nuestra petición al SMBD,el cual nos proporciona acceso a la informacióncontenida en la base de datos.

Para entender mejor lo anterior, en la siguienteimagen se ilustra la interacción del usuario con laaplicación web que, a su vez, realiza las peticionesnecesarias a la base de datos:

Importancia de la información

La mayoría de las aplicaciones, tanto web comode escritorio, interactúan con usuarios queproporcionan información para sualmacenamiento y procesamiento.Generalmente, esta información se resguardaen una base de datos y puede ser informaciónpersonal, registros médicos, informaciónfinanciera, entre otros.

Consideremos el ejemplo de un banco que tieneuna página de Internet en donde es posiblerealizar transacciones en línea:

El banco posee información sensible de cadauno de los usuarios que tiene. Los datos puedenser personales (nombre, apell idos, beneficiariosde la cuenta), datos de contacto (dirección,teléfono) y, adicionalmente, los datos de la

Firewall de bases de datosAngie Aguilar Domínguez

1 6

UNAMCER

T

actualmente para proteger la informaciónalmacenada consiste en la implementación de unfirewall de bases de datos.

El firewall de bases de datos es una aplicación desoftware que permite fi ltrar, mediante un conjuntode reglas preestablecidas, las peticiones quellegan al manejador de bases de datos.

Adicionalmente, al instalar una solución orientadaparaproteger labasededatos, no solo sebloqueanlas peticionesmaliciosas, si no que se puede llevara cabo el monitoreo de las actividades, generandobitácoras y explotando la información que sealmacena en ellas.

Este punto es muy importante, ya que permiteidentificar de qué lugar provienen los atacantes(que pueden ser reincidentes, o bien, buscar datosespecíficos), el horario en que se registra mayoractividad y los ataques más frecuentes que sepresentan. De esta manera se pueden generarestadísticas que permitan visualizar el posiblecomportamiento de los atacantes y tomar lasmedidas de seguridad necesarias.

El firewall de bases de datos se coloca entre laaplicación web (que es visible para los usuarios)y el manejador de bases de datos (que interactúacon la base de datos para guardar, modificar uobtener información) como se puede ver en lasiguiente imagen:

Cuando algún usuario malicioso intenta obteneracceso a la información almacenada, se cuentacon una capa adicional de protecciónproporcionada por el firewall de bases de datosque le impedirá poder consultarla. El firewall solopermitirá el paso a los usuarios o a consultas yaccesos autorizados con anterioridad.

A continuación, se mencionan algunas de lassoluciones existentes, así como suscaracterísticas más representativas.

Si las aplicaciones web no cuentan con laseguridad necesaria (la cual comienza aimplementarse desde que se lleva a cabo eldiseño), la información de los usuarios,información de configuraciones, entre otras,podrían quedar expuestas, o bien, algún usuariomalicioso podría intentar extraerla para obteneralgún tipo de beneficio.

Un tipo de consultas provenientes de usuariosmaliciosos hacia un manejador de base de datoses conocida como SQL Injection, que consisteen la “inyección” de consultas SQL al emplearlas entradas proporcionadas por la aplicaciónweb para modificar u obtener información de labase de datos1 .

Por ejemplo, en un formulario de registro deusuarios, si el campo que solicita el nombre noes validado correctamente, entonces no sefi ltrará el conjunto de caracteres recibidos comoentrada. En una situación como esta puedesuceder una inyección de SQL.

Es por ello que, en el ámbito de la seguridadinformática, es necesario contar con lasherramientas adecuadas para combatir a losusuarios maliciosos que buscan tener acceso ala información almacenada en una base dedatos.

Por lo anterior, es conveniente pensar en laseguridad informática como un conjunto detécnicas, conocimientos, hardware y softwarecolocado estratégicamente en capas, paraproteger el elemento más importante: lainformación.

Firewall para filtrar peticionesSQL maliciosas

Una de las diferentes opciones que existen

Imagen 1 . Flujo de comunicación entre el usuario, la aplicación y labase de datos.

Figura 2. Flujo de comunicación entre el usuario, la aplicación, el firewallde bases de datos y la base de datos.

1 7

UNAMCER

T

GreenSQL

Es un software que se instala para fungir comoun firewall de base de datos entre la aplicacióny el SMBD. Puede instalarse en varios sistemasoperativos y configurarse de manerapersonalizada. Adicionalmente, intentaapegarse al Estándar de Seguridad de laIndustria de las Tarjetas de Crédito (PCI DSS).

Algunos de los manejadores de bases de datosque puede proteger son: MySQL, MariaDB,PostgreSQL, Microsoft SQL Server, AmazonRDS y la estructura de las bases de datos deDrupal.

Las funcionalidades con las que cuenta son:

•Instalación en varias modalidades.•Modo de aprendizaje2 .•Separación de tareas.•Funcionamiento como IPS3 /IDS4.•Envío de notificaciones por correo en tiemporeal.•Generación de reportes.•Ayuda a optimizar el funcionamiento delmanejador de bases de datos.

Oracle Database Firewall

Es un firewall que opera sobre bases de datos quese encuentran en Oracle, así como IBM DB2,Sybase, Microsoft SQL Server y MySQL.

Busca apegarse a las siguientes legislaciones:Acta Sarbanes-Oxley (SOX), Estándar deSeguridad de la Industria de lasTarjetas deCrédito(PCI DSS) y al Acta de la Ley de Portabil idad yResponsabil idad del Seguro Médico (HIPAA).

Las funcionalidades con las que cuenta son:

•Auditoría del manejador de bases de datos,sistema operativo, directorios y otros servicios.•Instalación en varias modalidades.•Generación de bitácoras para su posterioranálisis.•Arquitectura escalable.•Personalización de los reportes.•Funcionar en modo bloqueo o monitoreo.•Permite configuraciones paraalta disponibi l idad.

1 8

UNAMCER

T

ModSecurity

Es un módulo del servidor de aplicaciones webApache, cuyo funcionamientoprincipal seorientaa la protección de aplicaciones web mediantesu funcionamiento como firewall5. Sin embargo,también cuenta con una serie de reglas quepueden emplearse para proteger las peticionesrealizadas al manejador de bases de datos.

Adicionalmente, se puede integrar con otrosservidores de aplicaciones web como Nginx, I ISy Java.

Conclusión

Siempre es importante considerar la seguridadde las aplicaciones web. Una forma sencil la dehacerlo es pensar la seguridad en capas.

La implementación de un firewall de bases dedatos permite agregar una capa adicional deseguridad, sin embargo, es importante notar quees una medida adicional de seguridad, la cualdebe iniciar desde el diseño e implementaciónde la base de datos.

Asimismo, antes de implementar un firewall debases de datos, es necesario profundizar un pocomás en el tema y tener presente que habrá unaetapa de adecuación antes del funcionamientoóptimo.

Finalmente, antes de instalar y comenzar aconfigurar, es recomendable hacerlo en un entornode pruebas, para su posterior implementación enun ambiente real. Primero hay que conocer sucomportamiento para ver si es una herramientaque asegura nuestra base de datos.

1 Ver https://www.owasp.org/index.php/SQL_Injection2 Etapa de “calibración” del firewall para evitar bloquear

una petición auténtica por parte de la aplicación.3 IPS. Sistema de Prevención de Intrusos.4 IDS. Sistema de Detección de Intrusos.5 Ver Revista .Seguridad Número 16.

http://revista.seguridad.unam.mx/numero-16/firewall-de-

aplicaci%C3%B3n-web-parte-i

Referencias

Sitio de GreenSQL: http://www.greensql.com

Sitio de Oracle Database Firewall:

http://www.oracle.com/us/products/database/security/au

dit-vault-database-firewall/overview/index.html

Referencia técnica sobre Oracle Database Firewall:

http://www.oracle.com/technetwork/products/database-

firewall/database-firewall-ds-161826.pdf

Sitio de ModSecurity: http://www.modsecurity.org/

1 9

https://www.owasp.org/index.php/SQL_Injection

http://revista.seguridad.unam.mx/numero-16/firewall-de-aplicaci%C3%B3n-web-parte-i

UNAMCER

T

Lockpicking

Cuando hablamos de Lockpicking, es inevitablerelacionarlo con uno de los aspectos másolvidados, la seguridad física. Las empresasdeben considerar que lasmedidas de seguridadperimetral no bastan, ya que los problemas nosólo pueden presentarse por agentes externos.En efecto, la seguridad interna también es muyimportante. La probabil idad de que se presenteun problema dentro de la organización es alta.La causa puede ser un ex empleadodescontento, un descuido u otras formas quejamás se han contemplado.

Adrián Palma (201 1 , p. 1 0), Director General deIntegridata, menciona: “Si la seguridad falla enalgún punto, el impacto puede ser en cascadaa los restantes elementos o componentes(personal, procesos de negocio, aplicaciones,bases de datos, sistemas operativos, red, física)y por consecuencia a la INFORMACIÓN DELNEGOCIO”[1 ].

En la película Los Piratas de Sil icon Valley, elpersonaje de Steve Jobs menciona una de lasfrases más características de la actualidad: “Lainformación es poder”. Hoy en día, no podemosnegar que la información es uno de los activosmás importantes, no solo a nivel organizacional,también a nivel usuario, por lo que se debengarantizar losprincipiosbásicosde laseguridad,es decir, la confidencial idad, integridad ydisponibi l idad de la misma.

Cuando se contemplan medidas de seguridadfísica, el principio de disponibi l idad de lainformación es uno de los más afectados, yaque ésta es expuesta a amenazas naturalescomo terremotos e inundaciones. A estotambién se suman los peligros ocasionados porel hombre, ya sea de manera accidental(incendios o explosiones) o intencional(vandalismo o robo).

Yesenia Carrera Fournier

UNAMCER

T

¿Qué es lockpicking?

Lockpicking se centra en un componente típicode la vida cotidiana, la cerradura. Se dice quela cerradura fue inventada en China hace másde 4,000 años y, tiempo después, fue empleadaen Egipto. Mas es a los romanos a quienes lesdebemos la cerradura y la l lave metálicas. Sepuede decir que el oficio del cerrajero ha sidoimportante a lo largo de la historia. Existieroncerrajeros que establecieron retos (como elcerrajero norteamericano Alfred Hobbs) o quecrearon grandes compañías como Yale y YaleJunior

Para definir lockpicking consideramos aTheodore T. Tool (1 991 , p. 3):

La teoría del lock picking es la de explotar los

defectos mecánicos… casi todo consiste en trucos

para abrir cerraduras con características o defectos

particulares.

La única forma de aprender a reconocer y explotar los

defectos de una cerradura es practicando. Esto

significa tanto practicar muchas veces en la misma

cerradura, como practicar en muchas cerraduras

distintas. Cualquiera puede aprender a abrir la

cerradura de un escritorio o de un archivero, pero la

capacidad de abrir la mayoría de las cerraduras en

menos de treinta segundos es una habilidad que

requiere práctica.

… el lock picking es una forma de abrir cerraduras

causando menos daños que con la fuerza bruta. [2]

El profesional de tecnologías de informacióntiene interés especial en este tema. Esto sedebe a que la información está almacenada enequipos de cómputo tipo servidor, escritorio,portáti les e incluso dispositivos móviles que seencuentran resguardados en cuartos detelecomunicaciones u oficinas, los cualescuentan con cerraduras de puertasconvencionales o, en el mejor de los casos, concerraduras de seguridad. Como mencionaDeviant Ollam [3] en su escrito “Diez cosas quetodos deberían saber sobre lockpicking yseguridad física”, el mecanismo de lascerraduras no es complicado, por el contrario,es sencil lo de aprender. Aún cuando algunosfabricantes han realizado cambios en lascerraduras e incluso han incluido la electricidad,

no deja de ser un problema real en lasinstalaciones.

¿Cómo funciona una cerradura?

Theodore T. Tool (1 991 , p. 3) explica elfuncionamiento básico de una cerradura concámara de pernos (pin tumber locks).

“Los componentes principales en el diseño son una serie

de pequeños pines de longitud variable, los cuales se

dividen hacia arriba en pares: pernos y contrapernos.

Cada par se reclina en un eje que corre a través del

tambor central de la cerradura y en la cubierta alrededor

del cilindro. Los resortes en la tapa de los ejes

mantienen los pines en posición.

Cuando no se inserta ninguna llave, el pin inferior o

contraperno en cada par está totalmente dentro del

tambor y el cilindro, mientras que el pin superior o perno

está en una posición asomando fuera del cilindro. La

posición de estos pines impide que el cilindro de la

vuelta porque los pines lo traban.

Cuando se inserta una llave, la serie de muescas en el

cuerpo de la llave empujan los pines en diferentes

niveles. La llave incorrecta empujará a los pines de

modo que la mayor parte de los pernos todavía estén en

parte en el tambor y en parte en el cilindro, por lo que la

cerradura seguirá cerrada o bloqueada.

La llave correcta empujará cada par de pines lo

suficiente, de tal forma que el punto en donde los dos

pines (pernos y contrapernos) se juntan, se alinee

perfectamente con el espacio en donde el cilindro y el

tambor se juntan (este punto es llamado la línea de corte

o esquileo). Sin ninguno de los pines que bloquean el

21

UNAMCER

T

cilindro, se puede rotar libremente y mover el pasador

hacia adentro y hacia fuera. La cerradura quedará

abierta”. [4]

Técnicas para abrir una cerradura

Picking (Ganzuado)

Para abrir una cerradura, es necesario empujaruna serie de pernos, de forma que estos seempalmen en la línea de corte, dejando libre elci l indro rotor que, al girar, acciona con unapalanca el pesti l lo de la puerta. Por lo tanto, elobjetivo es subir cada uno estos pernos a sualtura correcta. (201 3) [5]

Es necesario uti l izar dos herramientas: “eltensor (torque), unapalancaparaaplicar tensiónen el ci l indro hacia la dirección de la apertura,y la ganzúa (pick), que se usa para ir subiendolos pernos que impiden que gire el ci l indro, yasea uno a uno o varios a la vez, o lo que es lomismo: perno a perno o rastri l lando”. (201 3) [6]

Lifting (Levantar perno a perno)

Consiste en aplicar un poco de tensión en lacerradura hacia el lado de apertura y pasar laganzúa por todos los pernos, buscando que elprimero se quede trabado, con la ganzúa loempujaremos hacia arriba hasta que el pernose alinee con el rotor, en ese momento el rotorcederá hasta quedarse trabado con el siguienteperno, repetiremos la operación hasta queconsigamos abrir la cerradura, cuantos menospernos queden, más fácil será continuar. (201 3)[7]

Raking (Rastril lar)

Esta técnica, también conocida comoScrubbing, “requiere menos práctica en lascerraduras fáciles y es más complicada en

cerraduras avanzadas. Consiste en que, a la vezque se aplica un poco de tensión, se debe irpasando la ganzúa por todos los pernos, de formaque se hundan todos un poco y que los que esténmás trabados no lleguen a bajar del todo, siendomás rápido este método para las cerraduras másfáciles, ya que de una pasada se pueden subirdos o tres pernos.” (201 3)[8]

Bumping

Técnica conocida también con el nombre deRamping, consiste en la apertura de cil indros deforma limpia, sin dañar el mecanismo de cierre.Se trata simplemente de desplazar todos lospernos de manera simultáneamediante el golpeo(bump) de una llave con algún objeto contundente(unmarti l lo o un desarmador), separando así esospernos de los contrapernos y liberando, por lotanto, el giro de la l lave.Se estima que aproximadamente el 90% de lascerraduras mecánicas pueden abrirse medianteesta técnica.

Ganzúas

La ganzúa es una herramienta imprescindiblepara la técnica del lockpicking. Incluso KevinMitnick las uti l iza como tarjeta de presentación[1 0].

Lifting [7]

Raking [8]

Bumping [9]

22

UNAMCER

T

Existen diferentes tipos de ganzúas y el materialdel que están hechas puede ser de acero, aceroinoxidable, titanio u otros metales

A continuación se representa de manera gráficala clasificación realizada por Juan Pablo Quiñe[1 1 ].

Fabricantes de cerraduras

Existen empresas que ofrecen el servicio deseguridad física, en donde especial istasasesoran o recomiendan algún tipo decerradura, la cual haya superado con éxito,numerosas pruebas de resistencia. La siguientel ista de fabricantes de cerraduras es unarecomendación de Deviant Ollam [1 2]:

Referencias:

[1] Palma, Adrián. Exposición en el Módulo 5 “Análisis de

Riesgos”. Diplomado en Seguridad Informática.

Tecnológico de Monterrey Campus Ciudad de México. 26

de Agosto de 2011.

[2][4] TOOL, Theodore T, “MIT Guide to Lock Picking”,

septiembre de 1991. Recuperado el 11 de Mayo, de

Capricorn.org, Traducido al español por Ludibrio en

diciembre de 2006.

http://www.scribd.com/doc/89546199/Guia-MIT-Del-

Lock-Picking-en-Espanol-Por-Ludibrio. Consulta: 7 de

mayo de 2013.

[3] OLLAM, Deviant, “Ten Things Everyone Should Know

About Lockpicking & Physical Security”, Black Hat Europe,

web, marzo 2008. Consulta: 15 Mayo de 2013.

[5] [6] [7] [8] [9] “Manual del ganzuado”. Recuperado el

17 de mayo de 2013 de Bumpicks.com. Consulta: 17 de

mayo de 2013.

[10]

http://www.flickr.com/photos/migd/3700482310/sizes/sq/i

n/photostream/. Consulta: 20 de mayo de 2013.

[11][12] Quiñe, Juan Pablo, “Lockpicking 101”.

Recuperado el 17 de mayo de 2013, de

http://www.limahack.com/archive/2010/Lockpicking_101.

pdf.

http://www.edu.xunta.es/centros/iesblancoamorculleredo

/system/files/cerraduras3.swf. Consulta: 17 de mayo de

2013.

http://cerrajeriaservitec.com.mx/historia.htm. Consulta: 17

de mayo de 2013

23

https://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API

https://phpids.org/

UNAMCER

T

El siguiente artículo tiene como finalidadintroducirte en el tema de la criptografíacuántica, ya sea que tu interés sea general oque después decidas profundizar en él, al finalse listan algunas referenciasque tepodrán servirde apoyo. Este trabajo consta de dos entregas:en la primera se tocan aspectos muy generalessobre criptografía, la evolución del cómputo(desde un punto de vista físico) y un ejemplosencil lo sobre cómo un algoritmo, desarrolladopara su implementación en computadorascuánticas, es aplicado para calcular la l lave dedescifrado del algoritmo RSA. Después, se teexplicarán algunos conceptos sobre cómputocuántico y su aplicación a través de lacriptografía cuántica y;, se mencionaránalgunos de los avances tecnológicosencaminados a crear una computadoracuántica.

A lo largo de la historia, la humanidad ha tenido,por diversas razones, la necesidad de transmitir

mensajes cuyo contenido permanezca oculto. Lacriptografía nació, en principio, como la habil idadpara esconder información a cualquier personaque no le estuviera permitido leerla. A través delos siglos, se desarrollaron distintas técnicas,métodos e instrumentos que permitieron eldesarrollo de este arte; la criptografía clásicaabarca éstas técnicas.

En 1 948, Claude Shannon propuso la Teoría dela Información (la cual establece que lainformación es mesurable). Con la aparición deésta, la criptografía dio un salto importante: dejóde ser un arte para convertirse en una cienciaconsiderada como una rama de las matemáticas.Ahora es llamada Criptografía Moderna1 . Estehecho dio pie al surgimiento de diversosalgoritmos criptográficos que se valen del uso dela computadora para su implementación. Algunosmétodosdecifradodeeste tiposon:DES(aparecióen 1 9762 y fue aceptado como un estándar porel gobierno de Estados Unidos en 1 9773), RSA

Criptografía cuánticaPaulo Santiago de Jesús Contreras Flores

24

UNAMCER

T

computadoras que conocemos actualmente y,finalmente, el cerebro humano, que es elinstrumento primordial. Cada una de estasmáquinas, contrario a lo que se pudiera pensar,tienealgoen común respectoasu funcionamiento.Para hacer su trabajo, se valen de las leyes de lanaturaleza, es decir, obedecen a las leyes de lafísica. Así que la computación es un procesofísico6.

Para diseñar y crear las máquinas mecánicas,primero, el hombre tuvo que estudiar laspropiedades físicas de los fenómenos presentesen la naturaleza para aplicar estos conocimientosal crear una herramienta que le ayudara a resolveralgún problema. Tal es el caso de la Pascalinaque creó Blaise Pascal en 1 642. En estamáquina,los datos se representaban mediante lasposiciones de los engranajes7. Los fundamentosfísicos y matemáticos usados por Pascal, lospodemos explicar ampliamente en la actualidadgracias a las leyes de la mecánica clásicapresentadas por Sir Isaac Newton en 1 687.

Ocurrió lo mismo con el desarrollo de máquinasbasadas en las leyes del electromagnetismo. Elhombre, a través de diversos estudios yexperimentos, entendió estas leyes y desarrollóinstrumentos que le ayudarían a resolverproblemas de la vida diaria. Uno de estosinstrumentos es la computadora; las propiedadeselectromagnéticas de sus componentes(transformadores, transistores, capacitores,diodos, etc. ) son las que permiten que cada unose comporte con ciertas características y que, enconjunto, l leven a cabo el funcionamiento de laherramienta. También, el hombre añadió susconocimientos sobre las leyes de la mecánica aestos nuevos descubrimientos. Un ejemplo, endonde se conjuntan los fundamentos de lamecánica clásica y del electromagnetismo en unacomputadora, es en el diseño de los discos duros.

La ciencia que se encarga del estudio de losfenómenos naturales, su comportamiento ypropiedades, es la física. Fue al cobijo de estaciencia que se descubrieron las leyes de lamecánica clásica y del electromagnetismo.En el siglo XX se desarrolló otra rama de la física,la mecánica cuántica, la cual estudia elcomportamiento de los sistemas en el nivel

(1 977), CCE (1 985), 3DES (1 998) y, finalmente,AES (2002)4.

Tanto la Criptografía Clásica como laCriptografía Moderna tienen como objetivoprincipal el cifrar la información (por medio demétodos matemáticos simples o complejos)para que pueda ser transmitida a un receptor yque solo éste sea capaz de descifrarla.Básicamente, la criptografía es la cienciaencargada de transformar la información de talmanera, que ésta quede encubierta y seaincomprensible para todo aquel que no cuentecon la autorización y los medioscorrespondientes para acceder a ella 5.

El cómputo es el procesamiento de ciertos datos(origen) para obtener otros (resultado) con el finde que estos últimos puedan ser uti l izados conalgún propósito específico (predecir losfenómenos naturales, calcular la nómina de unaempresa, navegar por las redes sociales, etc. ) .Para computar los datos, la humanidad, a travésde los siglos, se ha valido de diversasherramientas, por ejemplo, las máquinasmecánicas como el ábaco, la Pascalina o laEnigma; las máquinas electrónicas como las

25

UNAMCER

T

molecular, atómico y subatómico, es el ámbitoen el cual se manifiestan fenómenos que no sonevidentes en el mundo macroscópico8. Estanueva rama de estudio estuvo auspiciada porcientíficos como M. Planck, A. Einstein, N. Bohr,B. Podolsky, N. Rosen, entre otros. Entonces,similarmente a los ejemplos anteriores,aproximadamente hace 21 años9, secomenzaron a dirigir los estudios sobre lamecánica cuántica hacia el desarrollo deherramientas basadas en estas leyes para elcómputo. A esta nueva ciencia se le l lamócomputación cuántica.

Con la criptografía moderna se han desarrolladodiversos algoritmos de cifrado basados en lasmatemáticas. Estos son implementados en lascomputadoras y, mientras más complejo sea elalgoritmo, más tardado y complejo será poderrealizar un criptoanálisis (estudio del descifradono autorizado de mensajes cifrados)1 0 sobre elmismo. A medida que crece la capacidad decómputo de las máquinas, es posible realizarcriptoanálisis más efectivos, como el caso deDES: en 1 997 el grupo Electronic FrontierFoundation, a través de un ataque de fuerzabruta, tuvo éxito en la obtención de una llave,que fue generada por dicho algoritmo en 56

horas1 1 , esto exige la necesidad, ya sea de crearnuevos algoritmos con mayor complej idad o dedesarrollar otros acordes al uso de los nuevosparadigmas tecnológicos.

Con la computación cuántica, de acuerdo a losestudios y teorías desarrolladas, se podráaumentar de manera exponencial elprocesamiento de los datos respecto a lassupercomputadoras de hoy. Esta gran capacidadde cómputo se podrá usar, por ejemplo, en lasáreas de cómputo gráfico, para reducirsignificativamente el tiempo que se lleva a cabo

en la terminación yproducción (render) deobjetosmodelados , en bases de datos, mejoramientode búsquedas en bases de datos de mil lones deregistros, cómputo científico, aumento deprecisión en los cálculos de modelos para lapredicción de fenómenos físicos, químicos ybiológicos con un costo de tiempomuchomenor.

En la seguridad de la información,específicamente en la criptografía, se veráncambios tanto en la capacidad de dotar de mayorintegridad a la actual (a los datos enviados enuna comunicación), como en la capacidad pararealizar criptoanálisis sobre algoritmos de cifradoactuales, con el impacto que esto conllevaría en

26

UNAMCER

T

campos como la economía, las finanzas y laseguridad mil itar, es por eso la importancia delestudio de la Criptografía Cuántica.

Consideremos el siguiente ejemplo para teneruna idea clara sobre el impacto que tendrán lascomputadoras cuánticas en la seguridad de lainformación. Éste es un ejemplo teórico sobrecómo el algoritmo actual de cifrado RSA podráser resuelto en un tiempo considerablementecorto a través del uso de una computadoracuántica.

Cifrado RSA

Labasedel algoritmodecifradoasimétricoRSA,desarrollado en 1 977 por Rivest, Shamir yAdleman, consiste en uti l izar el producto de dosnúmeros primos (que deben permanecer ensecreto) bastante grandes (de al menos ciendígitos cada uno), cuyos valores no esténdemasiado próximos. A partir de estos dosnúmeros se calculan tanto la l lave pública comola llave privada. La seguridad del algoritmoradica en que, sin conocer estos dos númerosprimos, es necesario hacer el cálculo de lafactorización de su producto, lo cual implica,para un número tan grande, una complej idadexponencial; por lo que, poder hacer éstafactorización con la capacidad de cómputoactual, puede tomar varias décadas1 2. Estealgoritmo es ampliamente usado como soportede seguridad en varios protocolos, por ejemplo,en el protocolo SSL1 3 , en redes virtualesprivadas1 4 (VPN) y en esquemas deinfraestructura de llave pública1 5(PKI).

Para el ejemplo vamos a considerar a tresactores, Alice, Bob y Eve. Alice desea enviarun mensaje secreto a Bob a través de un medioinseguro, como lo es un correo electrónico, esdecir, un medio en el cual cualquier persona noautorizada podría interceptar este mensaje;para enviar este mensaje, Alice uti l iza elconcepto de criptografía asimétrica1 6, por loque uti l iza la l lave pública de Bob para cifrar elmensaje.

Para generar sus llaves de cifrado y descifrado,Bob, previamente, tuvo que escoger ymantener

en secreto dos números primos a partir de loscuales generó su llave pública (que puso adisposición de cualquiera que le quisiera mandarun mensaje cifrado en un servidor de llavespúblicas) y su llave privada, la cual solamentedebe conservar él y que le servirá para descifrarlos mensajes que hayan sido cifrados con su llavepública. Siguiendo el algoritmo RSA; entonces,siendo la l lave públicadeBob laparejade númerosprimos 1 5 y 3 indentificada como Kpub

Kpub(n,e) = Kpub(1 5,3),

El mensaje que enviará Alice será “ALMA”,identificado como Mcla, a cada letra le asignará unnúmero de acuerdo a su posición en el alfabeto,quedando el mensaje

Mcla = A L M A,

Mcla = 01 1 2 1 3 01 ,

Alice procede a realizar el cálculo del mensajesecreto o criptograma a través de la fórmulamatemática

Cripto = Mclae(mod n)

Entonces, Alice envíaaBob porcorreo electrónicoel criptograma 01 030701 , Bob será el único quepodrá descifrar el mensaje con su llave privada.

Algoritmo de Shor

En 1 994, Peter Shor, quien trabajaba en AT&T,publicó su algoritmo de factorización de númerosenteros. Este algoritmo uti l iza las propiedades dela computación cuántica y, con él, es posibleresolver de una manera eficiente el problema defactorización de números enteros grandes en susfactores primos. Algunos algoritmos de cifrado,como RSA, lo usan como base, es decir, seráposible hacer el criptoanálisis de los mensajes

27

UNAMCER

T

cifrados con estos algoritmos tan usados en laactualidad, usando una computadoracuántica1 7.

El algoritmo de Shor uti l iza el concepto delparalel ismocuántico paraencontrar los factoresprimos a partir de un producto dado, es decir,un criptoanalista podrá obtener los datosnecesarios para generar la l lave que descifraráel mensaje.

Siguiendo con el ejemplo, durante el envío delmensaje de Alice a Bob, sin que ellos lo noten,éste es interceptado porun tercero llamadoEve.Bob es el único que cuenta con la l lave (su llaveprivada) para descifrar el mensaje, Eve deseaencontrar el mensaje secreto, para esto podráhacer uso del algoritmo de Shor para elcriptoanálisis.

La llave pública de Bob es Kpub(n,e) = Kpub(1 5,3)disponible para cualquiera, también lo es paraEve. A partir de la l lave pública de Bob y delmensaje secreto enviado por Alice, Eve podráaplicarel criptoanálisisparaobtenerelmensaje.

La siguiente aplicación del algoritmo de Shorfue tomada del desarrollo de la Fís. VerónicaArreola. El número n = 1 5, calculadopreviamente por Bob, es el dato conocido queresulta del producto de dos números primos py q que deben mantenerse en secreto, estenúmero entero positivo n será el número afactorizar por Eve. Para ello, Eve seguirá elsiguiente procedimiento: primero vaaelegir otronúmero entero ‘y’ positivomenora n que cumplacon que el máximo común divisor (mcd) entreellos sea 1 ,

mcd(y,n)=1 ,

y se apoya en el algoritmo de Euclides para elcálculo del mcd.

Eve elige

y = 1 3,

tiene entonces que

mcd(1 3,1 5) = 1 .

Ahora, a partir de estos números, calculará superiodo r de la siguiente forma

1 31 mod 1 5 = 1 31 32 mod 1 5 = 41 33 mod 1 5 = 71 34 mod 1 5 = 11 35 mod 1 5 = 1 31 36 mod 1 5 = 41 37 mod 1 5 = 71 38 mod 1 5 = 11 39 mod 1 5 = 1 3…

Entonces genera la sucesión

1 3, 4, 7, 1 , 1 3, 4, 7, 1 , 1 3,…

Por lo tanto, dirá que,

1 3 tiene periodo r = 4 con respecto a 1 5,pues cada 4 términos la sucesión se repite.

El periodo de la sucesión anteriorr = 4 es de la forma 2*s,

con s número entero distinto de cero (en este casos = 2), es decir, es un número par. Además,

ys ≠ -1 mod (n),

estas últimas condiciones son necesarias parallevar a cabo el algoritmo de Shor. Observemosahora que

y2*s - 1 = (ys - 1 )( ys + 1 ) = 0 mod (n),

es decir, n divide a (ys - 1 )( ys + 1 ), por lo que paraalgún entero k diferente de cero se cumple(ys + 1 )(ys -1 ) = kn.

Bastará entonces que Eve calcule, haciendo usodel algoritmo de Euclides, el mcd(ys ± 1 , n) paraasí obtener factores no triviales de n.

Para el ejemplo,

(ys - 1 ) = 1 32 - 1 =1 68(ys + 1 ) = 1 32 + 1 =1 70,

28

UNAMCER

T

mientras que con una computadora cuánticatomaría solo algunos minutos.

En la próxima entrega se explicará cómo es queuna computadora cuántica podría realizar todosestos cálculos en minutos haciendo uso de laspropiedades descubiertas por la mecánicacuántica.

1http://es.wikipedia.org/wiki/Teoría_de_la_información

(jun-2013)2GALAVIZ J. y MAGIDIN A. Introducción a la Criptografía.

UNAM. México.3http://csrc.nist.gov/publications/PubsFIPSArch.html (jun-

2013).4ORTEGA, LÓPEZ, GARCÍA. Introducción a la criptografía:

historia y actualidad. Universidad de castilla-la mancha.

España. 2006.5M.C. María Jaquelina López Barrientos.6EKERT, Artur. Introduction to Quantum Computation.

Disponible en

http://www.springerlink.com/content/d26n0xw0hj2r1566/fu

lltext.pdf?page=1 (jun-2013)7GALAVIZ CASAS, José. Elogio de la pereza. La ciencia de

la computación en una perspectiva histórica. Facultad de

Ciencias, UNAM. México. 2003.8ARREOLA, Verónica. Computación Cuántica. México,

Universidad Nacional Autónoma de México, Facultad de

Ciencias, 2004.9KLIMOV, Andrei B. Información cuántica: ideas y

perspectivas. IPN, Revista Cinvestav. v27, n1 enero-marzo.

México, D.F. 2008.10GALAVIZ J. y MAGIDIN A. Introducción a la Criptografía.

UNAM. México.11ELECTRONIC FOUNDATION. Cracking DES: Secrets of

Encryption Research, Wiretap Politics, and Chip Design.

O'Reilly Media. 1998.12LÓPEZ, Barrientos Ma. Jaquelina. Criptografía. México,

Universidad Nacional Autónoma de México, Facultad de

Ingeniería, 2009.13OPPLIGER,Rolf.SSLandTLSTheoryandPractice.Artech

House. 2009.14http://www.rsa.com/glossary/?id=1058 (jun-2013)15Pallapa, VENKATARAM y BABU, B. Satish. Wireless and

mobile network security. Mc Graw Hill, 2010.16BERNAL, David Eduardo. La criptografía: El secreto de

las comunicaciones seguras. .Seguridad Cultura de

Prevención para TI, UNAM, México. 2011. Disponible en

http://revista.seguridad.unam.mx/numero-11/la-

calculando los máximos comunes divisores seobtiene

mcd(1 68,1 5) = 3mcd(1 70,1 5) = 5,

en donde 3 y 5 son los factores de n = 1 5.

Estos dos factores

p = 5 y q = 3

obtenidos por Eve, son los números primos apartir de los cuales Bob calculó tanto su llavepública como su llave privada, para poder hacerel criptoanálisis del mensaje secreto, Eve solotendrá que seguir el algoritmo RSApara obtenerel valor de la l lave privada de Bob.

La llave privada de Bob calculada por Eve es

Kpriv(n,d) = Kpriv(1 5,1 1 ),

y descifrando el criptograma obtieneel mensaje:

Se podrá advertir rápidamente que no esnecesario uti l izar una computadora actual paraobtener, a partir de una llave pública calculadacon el algoritmo RSA (aplicando el algoritmo deShor), sus números generadores. Pero en esteejemplo sencil lo (usado solamente paraplantearlos conceptos), se usan los números p y q conun dígito solamente, y el producto n de ellostiene dos dígitos. El algoritmo RSA planteaconsideraciones para elegir a los números p yq, que dictan que cada uno sea un número conal menos 1 00 dígitos (aproximadamente de 500bits) y que dichos números no deban estarrelativamente próximos el uno del otro.Entonces, a partir de estas consideraciones, eltiempo necesario para encontrar los factores den (n de al menos 1 024 bits) l levaría a lascomputadoras actuales algunas décadas(problema computacionalmente intratable),

29

UNAMCER

T

criptografí-el-secreto-de-las-comunicaciones-seguras17MORALES-LUNA, Guillermo. “Computación cuántica:

un esbozo de sus métodos y desarrollo”. IPN, Revista

Cinvestav. v26. 2007.

30

UNAMCER

T

Sistemas SCADA, consideracionesde seguridadEduardo Carozo Blumsztein

Intentaremos exponer las dificultades queencuentran las soluciones de seguridad que seaplican a las redes telemáticas convencionales(ICT: Information and CommunicationsTechnology) cuando se aplican a las redestelemáticas industriales (ICS: Industrial ControlSystem).

Comenzaremos por la descripción de SCADA(Supervisory Control and Data Acquisition), esel nombre del sistema de informaciónespecial izado que se uti l iza informalmente parareferirse a un conjunto de tecnologías,protocolos y plataformas, que componen lo quese denomina la ICS.

Los SCADA habitualmente tienen funciones deautomatización y control en los procesosindustriales y diferentes niveles de interaccióncon los dispositivos remotos, siendo capaces,en su nivel más bajo, de únicamente recabardatos (presión, temperatura, posición). En elnivel intermedio, de dirigir a distanciadispositivos bajo supervisión humana remota

(abrir compuertas, cerrar válvulas). En su nivelmás alto de interacción, tomar decisiones enforma automática (abrir o cerrar válvulas paramantener niveles de tanques, rangos de presiónen líneas de vapor, disparar disyuntoreseléctricos en líneas de alta tensión, etc. ) .

La razón por la que estos sistemas se destacanentre los activos de información críticos, es porsu potencial de impacto en la población en casode una disfunción: Centrales de generacióneléctrica (nucleares, térmicas, etc. ) , control deredes de energía, redes de aguas potables,control de gasoductos, líneas automatizadas deproducción en fábricas, control y gestión deplantas de desti lación de hidrocarburos,petroquímicas, etc. , instalaciones que cuandotienen malos funcionamientos o interrupciones,generalmente afectan a miles de personas.Es importanteprecisar, además, queen lamedidaen que los dispositivos se hacen más precisos yconfiables, más decisiones de control se estándelegando a este tipo de sistemas, dado que sucapacidad de toma de decisiones con frecuencia

21

UNAMCER

T

es más ajustada (de mayor precisión) y másestándar (lo que asegura mejoras de calidad enmuchos procesos) que el control manualhumano.

Históricamente, estos sistemasnacieron en unasituación muy diferente a la que operanactualmente: eran implementados en recintoscerrados, controlando dispositivos físicoscercanos (frecuentemente bajo línea de vistadel operador) y bajo estrictos controles deacceso físico en el interior de la instalaciónindustrial que debían medir o controlar. Lamayoría de las implementaciones se realizabanpara controlar y registrar variables físicas(temperatura, presión, etc. ) y estandarizar elcomportamiento de válvulas de flujo, niveles detanques y generalmente la idea “concepto” erarealizar una instalación inicial y mantenerla enforma inalterada en el tiempo. La seguridad secontrolaba por “obscuridad”, dejando la reddesconectada de su entorno y dando acceso aun número limitado de empleadosespecial izados. Es frecuente encontrarse conestos sistemas operando sin interrupcionesni actualizaciones desde hace cuatro ocinco años.

Por esta forma de ser implementados ygestionados, los sistemas SCADA eran, en elpasado, relativamente inmunes a lasintrusiones y ataques que sufrían las redes enel exterior, no por ser más resistentes, sinoporque estaban desconectados y eraninaccesibles desde las redes administrativas oInternet.

Es esencial entender que este aislamiento hacambiado, ahora es necesario tomar datos delproceso industrial en tiempo real, l levarlos adiversos sistemas de las redes administrativas,interconectar nuestro sistema de control conempresas proveedoras a través de Internet, ocomandar a distancia elementos a través dedatos de la red celular. Para ello, es necesariouti l izar los mismos protocolos y tecnologías queusan las redes de datos en general. Estasituación está provocando una alta exposiciónde estos frágiles sistemas a ataques desde elexterior. Es cada vez es más frecuenteencontrarse con incidentes de seguridad quelos afectan seriamente1 .

Otro aspecto relevante son las prácticas de losoperadores de los sistemas de control industrial,que culturalmente siguen percibiendo ytrabajandocon estos sistemas, comosi estuvieranaislados e implícitamente seguros.

Sistemas de seguridad de lainformación – Dificultades

Existe un profuso desarrollo y múltiplesexperiencias de éxito de sistemas de gestión deseguridad de la información para redes complejasde tecnologías de la información ytelecomunicaciones2.

Lamayoría de las propuestas son implementadasbajo el estándar ISO 27000, lo que implica en lagénesis de los sistemas, que el aseguramientodebe garantizarse sobre tres aspectos:confidencial idad, integridad y disponibi l idad.

El orden en la que se presentan estas trescaracterísticasnoescasual yescausal demuchosde losaspectosquehacen inadecuadounSistemadeGestión de Seguridad de la Información (SGSI)tradicional para una red industrial. Para unaentidad financiera, de gobierno o una empresa,en general los riesgos más importantes estándirigidos por una posible pérdida deconfidencial idad (por ejemplo, debido a razonescompetitivas o pérdida de información privada delos ciudadanos), luego deben ser consideradostemas de integridad y cierra la l ista decaracterísticas la disponibi l idad.

Por supuesto existen industrias en donde losórdenes están invertidos. Por ejemplo, en unsistema de prepago de celulares, la disponibi l idades crucial, al igual que en las ICS. La ventana detiempo aceptable de indisponibi l idad del serviciono supera los 40 segundos. En una entidadbancaria, la integridad de la base de datos decuentas bancarias es lo más importante; sinembargo, en la mayoría de las soluciones, elordenamiento de relevancia de las característicases confidencial idad, integridad y disponibi l idad.

Cuando desarrollamos sistemas de gestiónindustrial, la disponibi l idad del mismo es crucialdebido a que una interrupción de dichos sistemas,

32

UNAMCER

T

provoca inmediatamente falta de control de lossistemas productivos, pérdidas de calidad yestandarización de calidad y, en los sistemascríticos, potencialmente se pone en riesgo lavida de personas. Sigue en prioridad laintegridad de la información para lograr unarápida recuperación al estado de régimendespués de una interrupción y, finalmente, laconfidencial idad.

Esta diferenciación de prioridades provocaimportantes diferencias a la hora de escoger eimplementar herramientas de trabajo yseguridad. Asimismo, torna algunas prácticashabituales del mundo de las Tecnologías de laInformación y Comunicación (TIC ) eninaceptables para los entornos industriales.

Por ejemplo, el reinicio de sistemas es unapráctica habitual en los procesos deactualización y parcheo de software paramejorar el desempeño o la seguridad en elmundo de las tecnologías de la información,pero en el entorno industrial, este tipo deprácticas es, en muchos casos, imposible oexcesivamente oneroso, puesto que implica ladetención del proceso industrial con susconsecuentes costos de parada y reposicióndel estado de régimen. Imaginemos que cada

vez que sea necesario actualizar un sistemaoperativo se detenga la línea de desti lación deuna refinería, con un costo de varios mil lones dedólares. Esto determina como práctica operativahabitual “prohibir” la actualización de los sistemasoperativos de aplicaciones o software de soporteen dichas implementaciones, hasta que se definala detención de la instalación por otros motivos(mantenimiento o incidentes).

Para facil i tar la conectividad yestabil idad de estasplataformas, en la mayoría de los protocolos decomunicación SCADA entre los servidores decontrol, las RTU (Remote Terminal Units), losPLC (Programmable Logic Controlers) y otrosdispositivos; raramente se incorporanconsideraciones de seguridad (entre los más

difundidos: DNP3, Modbus3, ICCP, OPC). Todosestos protocolos tienen reconocidasvulnerabil idades, brindando en casi todos loscasos gran cantidad de información en texto planoque permite obtener datos relevantes de lainfraestructura).

Las aplicaciones SCADA deben sortear arduoscontroles de compatibi l idad para conectarexitosamente los múltiples dispositivosperiféricos que uti l izan, como sensores, PLC,

33

UNAMCER

T

válvulas, etc. , por lo que en general, laactualización de dichas aplicaciones tiene unademora con el estado del arte de la seguridaden software de al menos un año, en la mayoríade los casos. Inclusive debemos tener presenteque, si actualizamos el sistema operativo sinobtener la comunicación de compatibi l idad delfabricante del SCADA, podemos perdergarantías y sufrir interrupciones de la operaciónpor incompatibi l idad.

Por otra parte, la vida úti l de los equipamientosy aplicaciones es otro aspecto en el cual los dosmundos: TIC y ICS difieren absolutamente, lostiempos de Redes de Control Industrial (RCI)son habitualmente muy largos (hemosencontrado implementaciones activas deprincipios de la década de los 90) y con lascuales las organizacionesestánmuyconformescon su desempeño y no desean cambiar. En elmundo TIC, la velocidad de renovación dehardware y software rara vez supera los tresaños de antigüedad. Esto hace que la mayoríadel equipamiento disponible en el mundo RCIsea antiguo, con escasa capacidadcomputacional, imposibi l i tando laimplementación de nuevas funcionalidades deseguridad (como certificar o cifrar lascomunicaciones).

Por último, en los tiempos que corren, lasorganizaciones se encuentran abocadas acentralizar las gestiones de los sistemas de

control e interconectarlos con los sistemasadministrativos, perdiéndose de vista lalocalización y control directo de los operadorescontra los sistemas SCADA y exponiéndolos amúltiples redes, incluso en ocasiones, acomunicaciones a través de Internet.

Así las cosas, es natural encontrarse sistemasoperativos obsoletos, aplicaciones débilmenteimplementadas y en los hechos encontrarnosfrente a una excelente práctica operativa (es decir¡ concluir que nada mejor se puede hacer!) . Es larealidad de construir con desarrollos concebidospara el mundo TIC, aplicaciones para el mundoRCI.

1D.J. Kang, Proposal strategies of key management for

data encryption in SCADA network of electric power

systems.

2SGSI para organizaciones complejas, Eduardo Carozo,

ISACA

3Modbus, Modbus Application Protocol Specification

V1.1b, 2006

34

UNAMCER

T

Revista .Seguridad Cultura de prevención para TI

No.1 8 / mayo-junio 201 3 ISSN: 1 251 478, 1 251 477

control e interconectarlos con los sistemasadministrativos, perdiéndose de vista lalocalización y control directo de los operadorescontra los sistemas SCADA y exponiéndolos amúltiples redes, incluso en ocasiones, acomunicaciones a través de Internet.

Así las cosas, es natural encontrarse sistemasoperativos obsoletos, aplicaciones débilmenteimplementadas y en los hechos encontrarnosfrente a una excelente práctica operativa (es decir¡ concluir que nada mejor se puede hacer!) . Es larealidad de construir con desarrollos concebidospara el mundo TIC, aplicaciones para el mundoRCI.

1D.J. Kang, Proposal strategies of key management for

data encryption in SCADA network of electric power

systems.

2SGSI para organizaciones complejas, Eduardo Carozo,

ISACA

3Modbus, Modbus Application Protocol Specification

V1.1b, 2006

Perfilesdeseguridad -...

Documents

Transcript of Perfilesdeseguridad -...