Esta es una continuación del artículo anterior “Virus & Spyware: las actuales amenazas, el cual ilustrará los procesos que se generan más allá de los puertos en materia de seguridad informática.
Por: Oswaldo Callegari*
Hay dos tecnologías apasionantes en el rubro de la seguridad informática que me llamaron poderosamente la atención. Una de ellas es el seguimiento de una dirección en Internet y la otra es la detección del origen del correo electrónico.
Para ello, analizamos las siguientes herramientas de diagnóstico, como es el caso de Visual Route 8.0 (VR), una herramienta integrada que permite controlar cuellos de botella en Internet. Este producto ayuda a los administradores y servicio técnico a reducir los costos y mejorar la satisfacción del cliente resolviendo los problemas de conectividad.
Dentro del protocolo de Internet es posible el uso de múltiples protocolos para realizar seguimientos, incluyendo ICMP, UDP y TCO, los cuales proveen muchas posibilidades de reportes de ruteos IP.
Los usuarios pueden validar rápidamente la disponibilidad de un gran número de aplicaciones de servicios IP como es POP3, FTP, SMTP y DNS, agregando a su vez el servicio estándar HTTP. VR le permite a los administradores de redes ver precisamente cómo es y dónde se produce el tráfico de dos puntos sobre Internet. Se integran varias herramientas conocidas, como son traceroute, ping, whois y DNS reverso.
Los resultados se muestran en un mapa mundial y los segmentos de cada proceso con los tiempos respectivos. VR tiene una habilidad única de identificar ubicaciones geográficas de direcciones IP, pasando por los proveedores del mismo en el medio. Provee una información clave para determinar los niveles de amenazas del ataque de un hacker o investigar un elemento sospechoso o un intruso en la red.
Características principales
- Capacidad mejorada de seguimiento: Provee un nuevo seguimiento inteligente utilizando múltiples protocolos como ICMP, UDP y TCP para alcanzar más destinos con mayor precisión.
- Un mapa físico mundial con zoom: Ofrece la posibilidad de visualizar la ruta de un chequeo mediante un mapa con acercamiento y alejamiento de los nodos contenidos.
- Control de los puertos y servicios IP: Permite a los administradores validar fácilmente la disponibilidad de puertos tipo POP3, FTP, SMTP y DNS.
- Base de datos GEO-IP actualizada: Más ubicaciones IP que aseguran más precisión.
- Nuevas opciones de pantalla: Brinda más flexibilidad en la presentación de reportes.
Otra herramienta no menos interesante es Caller IP™. Es muy similar su funcionamiento al conocido Caller ID ™. Permite la detección de intrusos en el computador y trabaja en paralelo con los cortafuegos existentes. Es posible identificar conexiones sospechosas, hacer el seguimiento y detectar su origen.
Realiza un control minucioso sobre los puertos que permanecen abiertos, estos permiten muchas veces el llamado acceso por una puerta trasera o backdoor donde los hackers pueden acceder a la máquina.
Un virus troyano puede de esta manera extraer información confidencial, estos puertos permiten exponer una serie de vulnerabilidades. CallerIP monitorea conexiones en un computador en tiempo real, mostrando el país de origen y el proceso que esta siendo utilizado en ese momento, los cuales generalmente son indicadores de actividad sospechosa.
Se muestra información adicional como por ejemplo el nombre del dominio o el proveedor de Internet. Los sitios comerciales web se pueden ver afectados por troyanos que roban información a los visitantes, posterior a ellos pueden ser robadas las identidades de tarjetas de crédito, datos personales, etc.
En una oportunidad se dio el caso de que un sitio comercial fue hackeado por un troyano que almacenaba la información que era emitida por los teclados y reenviada a un sitio en Rusia, con esta herramienta se pudo detectar el origen y avisar al proveedor local de ese país que tomara las medidas para cancelar a ese usuario que en realidad era un hacker. Cuando se produce una alerta en un service CallerIp muestra en pantalla la actividad ilegal que se está generando.
Seguimiento del origen de un correo electrónico
Es posible que este subtítulo sea el deseo de todo usuario. Saber de dónde proviene un mail que a simple vista tiene un origen desconocido, para ello hacemos el comentario técnico de una herramienta que realiza este singular procedimiento.
EmailTrackerPro: Esta aplicación permite seguir el recorrido de un correo electrónico hasta su lugar de origen. De manera similar a Visual Ware, se puede visualizar en un mapa la posición y el país de origen.
¿Cómo se realiza este proceso? Cuando se recibe un correo electrónico, dentro del encabezado se observa información del origen no del todo legible a simple vista, pero esta herramienta procesa este encabezado y rutea por Internet su inicio.
Próximas amenazas de seguridad para el año 2010
Estas son las diez tendencias más importantes de seguridad del próximo año:
1. Dispositivos móviles: La encriptación en dispositivos móviles va a ser obligatoria en empresas relacionadas con el Gobierno o agencias gubernamentales. Los ejecutivos preocupados de que su información se haga pública van a solicitar que los datos móviles sean encriptados y protegidos.
2.El robo de smartphones/pda crecerá rápidamente, la combinación ideal de su valor de reventa más la información contenida en ellos hacen que aumenten el número de ladrones que se dediquen a esto. Podemos inferir que hay una tendencia obligada a encriptar los datos de manera inicial ante estas amenazas.
3.Acciones de los Gobiernos: Los Gobiernos están acelerando los procesos para penalizar a aquellas empresas que no apliquen seguridad a la información confidencial.
Esto habla a las claras de la necesidad imperiosa que los datos personales estén protegidos. Los Gobiernos empiezan a aplicar estas legislaciones dentro de un contexto avalado por organizaciones como SANS, las cuales permiten la incorporación de técnicas de seguridad a través de la experiencia de laboratorios de ensayos y casos de estudios de la vida real.
4. Blancos de ataques:
a.Van a prevalecer los blancos de ataques, en particular los organismos de Gobierno.
b.En los últimos tres años han demostrado su eficacia, poniendo en evidencia las fallas en las actividades de defensa federales (Caso USA).
c.Otros grupos antagonistas y o terroristas con conocimiento de dichas vulnerabilidades pueden expandir el número de ataques a entidades comerciales o a empresas estratégicas.
5. Los gusanos de celulares:
a.Estos gusanos atacarán al menos 100,000 celulares, saltando de un teléfono a otro sobre las redes de datos inalámbricas.
b.Los teléfonos celulares vienen cada vez con más y mejores sistemas operativos, esto hace un campo fértil para los inoculadores de propagandas por medio de virus ad-ware.
6.Voz sobre IP: Esta tecnología tendrá masivos ataques, dado que en la actualidad no se conoce muy bien las medidas defensivas a aplicar.
Técnicas de ataques:
7. El spyware (ataque mediante propagandas) estará en constante crecimiento: Los desarrolladores de esta técnica harán mucho dinero por las diversas formas de distribución, llamémosle amenazas y su increíble composición de los centros de distribución a nivel mundial.
8. Ningún día sin vulnerabilidades: Este es el panorama en el ámbito mundial de las computadoras que van a ser infectadas. Nos revela un pronóstico incierto.
9. La mayoría de los bots vendrán con rootkits.
a.Los rootkits modifican el sistema operativo para ocultar la presencia del ataque y hacen que su desinstalación sea impracticable sin volver a instalar el sistema operativo desde 0.
Estrategias de defensa:
10. El control de acceso a redes va a ser más común y crece en sofisticación. La defensa de los equipos portátiles aumenta paralelamente a las defensas que establecen las organizaciones en el test de cada equipo móvil y la protección de sus redes internas.
Podemos decir también que la firma digital y o los procesos relacionados con la misma están en un constante crecimiento, con una sola preocupación conocer quien es el que nos envía información o que tipo sitios estamos navegando.
Autenticar o no autenticar
Cuando se trata de autenticar, las empresas que desarrollan productos anexan cada vez más diferentes modelos de seguridad, en lo que respecta al nivel de seguridad, robustez de la contraseña y nuevos gotchas.
El usuario debe autenticarse cada vez que inicia su computador, ahora bien, una vez que la sesión esta iniciada existen vulnerabilidades que pueden usar ese acceso en el tiempo que la persona fue a almorzar y dejó el equipo solo.
Una buena idea que recomiendan los profesionales, es que el sistema cierre el inicio y quede a la espera de un nuevo usuario y contraseña, esto a los fines del operador resulta tedioso, ya que para volver a iniciar el logon el sistema debe cargar varias aplicaciones iniciales, demorando un tiempo considerable en conectarse a la red de la empresa.
En una red local se puede predecir quién está en la misma red, pero utilizando Internet no se sabe si es cierto que el servidor o la computadora del otro lado es válida.
Para ello los navegadores utilizan SSL. Un sistema que proporciona autenticación y privacidad de la información entre extremos sobre Internet mediante el uso de criptografía. Desarrollado por Netscape, SSL versión 3.0 se publicó en 1996
Empresas como Visa, MasterCard, American Express y muchas de las principales instituciones financieras han aprobado SSL para el comercio sobre Internet.
SSL opera de una manera modular: sus autores lo diseñaron extensible, con soporte para compatibilidad hacia delante y hacia atrás, y negociación entre las partes (Usuario a usuario).
El protocolo SSL intercambia registros; opcionalmente, cada registro puede ser comprimido, cifrado y empaquetado con un código de autenticación del mensaje MAC.
Cuando se inicia la conexión, el nivel de registro encapsula otro protocolo, el protocolo handshake. El cliente envía y recibe varias estructuras de este tipo:
- Envía un mensaje ClientHello especificando una lista de conjunto de cifrados, métodos de compresión y la versión del protocolo SSL más alta permitida. Éste también envía bytes aleatorios que serán usados más tarde (llamados Challenge de Cliente o Reto). Además puede incluir el identificador de la sesión.
- Después, recibe un registro ServerHello, en el que el servidor elige los parámetros de conexión a partir de las opciones ofertadas con anterioridad por el cliente.
- Cuando los parámetros de la conexión son conocidos, cliente y servidor intercambian certificados (dependiendo de las claves públicas de cifrado seleccionadas). El servidor puede requerir un certificado al cliente, para que la conexión sea mutuamente autentificada.
- Cliente y servidor negocian una clave secreta (simétrica) comúnmente llamada master secret, posiblemente usando el resultado de un intercambio Diffie-Hellman, o simplemente cifrando una clave secreta con un password público que es descifrado con la contraseña privada de cada uno.
Estas definiciones en Wikipedia aclaran un poco el proceso, en sucesivos artículos vamos a mostrar el intercambio Diffie-Hellman y un caso de estudio con éxito.
*Las empresas y o productos mencionados son marcas y productos registrados de sus respectivas empresas. Si lo desea puede escribirle al autor a [email protected]
Deje su comentario