En la actualidad cuando se habla de “Administración de vulnerabilidades” casi siempre se asocia a una herramienta tecnológica que ejecuta pruebas de vulnerabilidades a nuestra infra estructura tecnológica. Este podría ser un buen primer acercamiento, sin embargo es una visión incompleta, como lo dices John P. Pironti en el articulo Elements of an information Security Program la administración de incidentes y vulnerabilidades debe contener los elementos tanto reactivos como proactivos para entender que vulnerabilidades existen así como el riesgo de las mismas

Para poder cumplir con una administración completa se deben tener en cuentas al menos los rubros que se muestran la siguiente figura:

Administración de activos: Este rubro se relaciona en tener identificados y clasificados los activos tecnológicos de la organización. No se basa en tener un inventario simplemente, es llegar a tener el valor de pérdida o nos disponibilidad del activo (BIA).

• Conocer y tener definido que activo representa más valor para la organización basado en criticidad y sensibilidad. Con esto se le da un peso mayor al momento de proteger el activo.
• También se relaciona con el hecho darle la preferencia a un activo sobre otros al momento de remediar una vulnerabilidad.· 
• Análisis de vulnerabilidades a nivel de red: Este procedimiento debe bridar el descubrimiento de las vulnerabilidades de la infra estructura a nivel de red de datos y voz.
• Análisis de vulnerabilidades de nivel de equipo: Este procedimiento debe brindar el descubrimiento de las vulnerabilidades y configuraciones por defecto en nivel de dispositivo.
• Análisis de configuraciones: Debe permitirnos evaluar la configuración y optimización de nuestra infra estructura.
• Pruebas de penetración: Este procedimiento nos permite probar la robustez de nuestros controles de seguridad ya que no solamente descubre vulnerabilidad, también las explota para obtener la mayor penetración en un sistema.
• Análisis de código: Estudios de análisis de código nos permiten evaluar y conocer vulnerabilidades en aplicaciones hechas en casa, antes de que estén en producción.
• Alertas de fabricantes y sitios de seguridad: El mantenernos informados respecto a nuevos ataques y vulnerabilidades que pudieran afectar a nuestra infra estructura debe ser un punto crucial.
• Determina el nivel de protección requerido para los sistemas de información y está muy relacionada con el priorización.
• Determina el impacto de una vulnerabilidad descubierta en nuestra organización. Este es importante recalcar que no es lo mismo que para un fabricante una vulnerabilidad es de nivel Medio, cuando esta permitirá que la CIA de la información pueda ser comprometida y esta vulnerabilidad exista en el 95% de la nuestra infra estructura tecnológica; el trato que se le deba dar a esta vulnerabilidad debería ser de carácter crítico y no medio. Este procedimiento deberá permitirnos conocer el riesgo de la vulnerabilidad aplicado a la organización, con esto es posible definir la estrategia de remediación.

El poder contar con un programa integral de administración de vulnerabilidades involucra varias dentro y fuera de la organización. Algunos de los procesos incluso deben ser realizados por un tercero para lograr una verdadera imparcialidad de las cosas.

Como último punto es importante recalcar que la información es y sirve a la organización y que la seguridad informática es una herramienta más para cumplir los objetivos del negocio y esta debe alinearse a estos objetivos sin perder la visión de los mismos.

Darkslaker

El termino Security 2.0 lleva casi 10 años que se dio a conocer y está relacionado con orientar la seguridad informática a servicios integrales de seguridad. Esto nos permite tener métricas y mediciones con respecto a la seguridad en las organizaciones.

Para Symantec el Security 2.0 no es una aplicación o un servicio nuevo. Es la integración de software, servicios y alianzas que permiten proteger nuestro activo más preciado, la información, así como nuestras interacciones.

Según Thompson de Symantec, lograr esta confianza supone un nuevo enfoque, como el que presenta Security 2.0:
“En el corazón de este nuevo producto se encuentra el concepto de que el campo de batalla de la seguridad ya no está formado solamente por el dispositivo (como era el caso en Security 1.0), sino que ahora lo forman la información y las interacciones,”

Pete Herzog también comparte su punto de vista respecto: Security 2.0 tiene que ver con el cumplimiento (compliance) y la auditoría. Son las diferentes maneras de estar seguros de que algo es seguro, pero los medios en su mayoría son pobres. Gran parte del cumplimiento (compliance) se centra en la aplicación de la Seguridad 1.0.

En la actualidad el poder cumplir con los estándares y mejores prácticas, que leyes o instituciones marcan y rigen se ha convertido en la fuerza motriz que mueve la seguridad en el mundo. Cuando hablamos de ser ITIL Compliance, SOX Compliance, PCI Compliance o el estar certificados en algunos de los dominios del ISO 27001, etc, nos referimos a una manera de medir la seguridad 2.0. Esto es muy ambiguo y peligroso, si la preocupación por la seguridad se basa en pasar una auditoria y/o certificación estamos perdiendo el espíritu mismo de la seguridad y por lo tanto de la seguridad 2.0.

La seguridad 2.0 se basa en llevar el aseguramiento de la información no solo en tecnología como pueden ser firewalls, IDP/IPS, antivirus etc, si no verlo en tres grandes aspectos:

• Procesos y Procedimientos
• Gente(Personas)
• Tecnología

Procesos: Son grupos de actividades repetitivas e interrelacionadas encaminadas a producir mediante una o más transformaciones, una salida de mayor valor que las entradas.

Tecnología: Todo dispositivo de hardware, software que se implementa como controles para salvaguardar la confidencialidad, disponibilidad e integridad de la información.

Gente: Se refiere al personal que opera la tecnología basada en los procesos de la organización.

Para explicar este concepto usare un ejemplo real. Un servidor es comprometido por falta de un parche de seguridad ¿De quién es responsabilidad?, de la tecnología, si vemos este problema desde el punto de vista de seguridad 1.0, la tecnología fallo, esa visión es un poco limitada

Con la visión de la seguridad 2.0 se trataría de resolver las siguientes preguntas:

Procesos: ¿existe un proceso de administración de parches de seguridad?
Tecnología: ¿Existe un servidor de administración y distribución de parches de seguridad?
Gente: Se llevo a cabo el proceso de administración de parches de seguridad.

La seguridad informática, debe verse en los tres rubros anteriores.

La seguridad 2.0 trata de enseñar que la seguridad no es simplemente tecnología, es también educar a los administradores y los usuarios de la misma, todo esto mediante procesos y procedimientos marcados por las mejores prácticas y/o leyes, estándares etc.

Seguridad 2.0 no es un término nuevo y posiblemente no sea el mejor ya que con lleva muchos paradigmas como son seguridad en profundidad o manejo de identidades. Sin embargo los proveedores de servicios de seguridad informática actualmente manejan este concepto muy bien, y cuando ofrecen sus servicios, tienen una gama de productos integrales, que permiten abarcar gradualmente los aspectos antes mencionados. Se ofrecen servicios, de análisis y reingeniería de procesos y procedimientos, proyectos de difusión de seguridad, análisis de brechas, proyectos de certificación de cumplimiento de estándares. Todos ellos basados en las mejores prácticas, niveles de servicio y muchas otras cosas.

Para algunas personas como Pete Herzog Seguridad 2.0 debe morir ya, y recobrar fuerza Seguridad 3.0 y surgir seguridad 4.0, si esto es posible solo el tiempo lo dirá.

Referencias:
Security 2.0
http://www.symantec.com/es/mx/business/library/article.jsp?aid=security_20

Pete Herzog A Year-End Commentary

Seguridad 2.0
http://www.informationweek.com.mx/articulos.php?id_sec=46&id_art=4473&num_page=17959

Del security 1.0 al 2.0
http://www.redusers.com/noticias/del-security-10-al-security-20

http://www.schneier.com/blog/archives/2007/05/is_penetration.html

http://www.ranum.com/security/computer_security/editorials/point-counterpoint/pentesting.html

Miren mi opinión es esta.

Primero hacer el ROI para un PT es muy complicado. Aun que Securityfocus tiene un artículo por ahí interesante, aun así es difícil.

Muchas personas creen que un PT es buena idea para ver una radiografía de cómo están las cosas. Los análisis de brechas y la auditoria de dominios del BS o el ISO una de sus entradas son los famosos PT y los AV. Estándares como SoX dicen que se deben hacer PT dos veces por años pero he aquí algunas implicaciones.

Miren mi opinión es esta.

Primero hacer el ROI para un PT es muy complicado. Aun que Securityfocus tiene un artículo por ahí interesante, aun así es difícil.

Muchas personas creen que un PT es buena idea para ver una radiografía de cómo están las cosas. Los análisis de brechas y la auditoria de dominios del BS o el ISO una de sus entradas son los famosos PT y los AV. Estándares como SoX dicen que se deben hacer PT dos veces por años pero he aquí algunas implicaciones.

1) A quien contrato. Un black Hat, un ISS que cobra miles y miles de dólares, o alguna otra empresa que cobra bien tiene buen personal.

Si yo llegara a contratar a cualquiera de los tres cuál de ellos me daría más. Después de unas semanas de trabajo recibo su reporte y resulta que todos ingresaron a mis sistemas pero cada uno por un camino diferente que pasó aquí.

Es importante recordar que un PT o un Hackeo Ético, no te da todas las brechas ni caminos posibles para ingresar al sistema y que existen muchos aspectos importantes para que esto se logre.

Aun que tengas personal capacitado y certificado en lo que quieras, mucho de esto tiene que ver con el feeling y experiencia del equipo involucrado en el proyecto.

2) Que busca un PT huecos de seguridad vulnerabilidades? NO.

Un PT busca por cualquier medio ingresar a un sistema y no siempre es por vulnerabilidades, muchas veces son debilidades (ojo y es muy diferente a una vulnerabilidad), o descuidos. Pero no busca encontrar todos los caminos posibles, más bien busca ingresar a un sistema. Si lo que buscas es mas todos los caminos creo que un AV y un análisis de brechas te acerca más a eso.

3) Ya mucho se ha dicho, un PT es como parchar una llanta, a veces ya se requiere una cámara o incluso cambiar la llanta completa. El modelo de encuentra y parchar es más cara, a tira lo que hay y ponlo seguro desde un principio.

PD. Seguimos explotando vulnerabilidades del siglo paso que triste NO.

Darkslaker

1.- Como cuanto te quieres gastar para saber que tan vulnerable eres!? Porque si me das 2 pesos eso es lo que vas a obtener en el resultado, pero si quieres una prueba donde los alcances lleguen a la definición de los 6 ámbitos de la seguridad según la OSSTMM, pues te va a costar más! Y continuando con la misma metodología dice que se basa en la experiencia y feeling del tester. Entonces por consiguiente no te vas con una empresa patito, para que puedas desmitificar los resultados de tu PT, te informas antes con un experto. Y de acuerdo a tus necesidades decides si lo haces o no! O mejor aún, si estás obligado a ser compliance con SOX , ISO, GWAN , que se yo, es tu perro tu lo bañas!.

2.- Es una pérdida de tiempo, claro si los entregables son ilegibles y no sabes por dónde comenzar atacar el problema, sino eres técnico y solo sabes de números bonitos de finanzas pues requieres al menos de dos reportes por separado.

Si al contrario sabes que tienes bien definidos y difundidos tus procesos y procedimientos, planes de recuperación de desastres, planes de contingencia y de administración de parches, ya tienes al menos un poco menos de que preocuparte. Porque tan solo hablar de actualización de parches es muy tedioso y en estos momentos no sabemos si esta liberándose uno nuevo.

La seguridad física, controles y políticas son ya muy conocidas y enriquecidas con el usuario final, perfecto tienes todavía menos de que preocuparte. Solo que el nuevo elemento de la policía empresarial que te da servicio es muy amigable o mejor aún muy confiado y peor, no conoce como seguir el procedimiento. ¿Qué vas a hacer para remediarlo?

3.- Si en México no se ha registrado un incidente de seguridad grave, es porque los que lo han sufrido no quieren que se sepa, y ya contrataron los servicios outsourcing de expertos.

Falta malicia o decisión en la gente para llevar a cabo un ataque cyber-terrorista, pero de que se puede se puede.

Al menos se de más de uno.

No bastan los dispositivos de seguridad perimetral (IDS; firewall, etc, etc), no basta con dormir sabiendo que hoy no te paso nada. No sabes si despertaras mañana solicitando un Forense para tu sitio web.

Tienes a los mejores administradores de redes y telecomunicaciones, pero no sabes que están descontentos con el mísero sueldo y planean mandarte a la chin..a e irse con la competencia, ahhh y al menos darle unos cuantos de tus secretos o metodologías.

Jajaja, no sabes cuándo va a cambiar tu contraseña! Y no tendrás acceso a tu disco duro cifrado.

Mmm, piensalo. Es necesario un PT? Contratame!

Saludos.

Byte byte

P4r4n01ds.

En general, hacer ROI para seguridad es un terreno pantanoso, ¿Cómo puedes comprobar costos si estamos partiendo de riesgos y no fenómenos determinanticos?, creo que en este sentido la industria de la seguridad de información se parece más a la de las aseguradoras, sin embargo hay diferencias fundamentales que no viene al caso discutir ahora, eso es un tema que se cuece aparte.

Existe un “método” para hacer pen test que me gusta porque sirve para dar un panorama más amplio en cuanto a las vulnerabilidades (y debilidades por qué no?), se denomina “Attack tree” y en él vas construyendo tu vector de ataque PERO también documentas las otras ramas que pudiste haber tomado y se quedaron sin desarrollar por las restricciones de la tarea; a lo mejor un mapa así podría ser de mayor utilidad para un cliente *con idea*.

Me detengo un poco en el asunto del cliente *con idea* porque hay que aceptar la realidad de nuestro mercado -inclusive debemos sacar ventaja de ello, sin dejar de apuntalar el cómo vamos a tratar a un cliente que tenga mucha mayor idea, quizá un cliente extranjero-; en México no se ha evolucionado lo suficiente como para distinguir si un PT sirve o no, es la moda y hay que hacerlos, o es la única manera en que les puedes abrir los ojos en cuanto a qué tan patética es su seguridad – no que realmente vayan a hacer algo al respecto, pero ya tendrán a quién señalar y echar culpas-; en ese sentido los PT’s están que ni mandados a hacer en el contexto particular en el que estamos ahora, México 2007.

David Guitierrez

2) Que busca un PT huecos de seguridad vulnerabilidades? NO.
Tal vez lo que debo buscar es más que tipo de vulnerabilidades, debilidades, o descuidos tengo.

Entiendo que hay más de una forma de entrar a un servicio.
Pero si a todos los servicios entro por que faltan parches.
Me dice que como compañía debo concentrarme más en actualizar mis sistemas.

Si muchos de mis servicios son comprometidos por descuidos. Me dice que debo mejorar mi control de Calidad.

Si muchos son por Ingeniería Social, tal vez debería concentrarme más en capacitación.

Y me da un norte, de por donde se necesita invertir más respecto a la seguridad de la compañía.

Eso también se puede hacer con auditoría de procesos?
Si, pero ahí estas en operación normal.

En un Pen-Test, estas estresando al sistema.
Estresando al sistema salen más detalles que, en la operación normal, parecían correctos o normales.

Ahora que, si en el PT, solo damos un diagnostico de: “apestas ó tal vez apestas” pues como comenta el documento, no te sirve de mucho.

Lo que para mí es claro es, que es sólo una herramienta más de diagnostico, junto con la consultoría y auditoría. Después del diagnosticó debería de haber un plan de mejoría y remediación.

Extrapolando a medicina:
Puedes tener un check up normal (entrevistas),
Puedes hacer una prueba de esfuerzo para estresar el sistema (pen-test) para que salga algo que a simple vista no vez.
Te dice que andas mal necesitas dieta, hacer ejercicio y tomarte una pastillas carísimas. (Diagnostico y plan de mejoría/remediación)
Y te vale ma…s o menos un cacahuate y no haces nada. (No sigues los
quickhits)

Entonces sale la duda: ¿para que Jingados te hiciste el Buto checkup con “Pen-Testing” y todo?

Mhh.. Creo que lo que podemos hacer, es ver como cerrar el vendiendo la remediación.

O como hacer un plan de mejoría remediación.

Fernando Cajeme

En no pocas ocasiones se ha escrito y escuchado hablar en medios que no pertenecen a la corriente principal (mainstream como FOX, CNN, entre otros) de casos en los que han existido ataques de “ciber-secuestros”, en los cuales cierta información de organizaciones importantes es secuestrada -ocultada mediante cifrado con una llave que sólo los atacantes conocen o bien movida de sus repositorios originales hacia equipos controlados por los atacantes- negándole el acceso al personal legítimamente autorizado para usarla; para después exigir sumas importantes de dinero para entregar la llave que descifra los datos o para regresarla de alguna manera a los dueños de dicha información.

Para corroborar la veracidad de las historias, enfrentamos una gran desventaja: frecuentemente los incidentes no son reportados y los medios “tradicionales” filtran demasiado la información que nos llega; no obstante, si nos manejamos en el terreno de lo que es técnica y físicamente posible, éste tipo de ataques bien pueden ser -y así lo parece- la evolución en motivos y modos de operación de aquellos que sólo se conformaban con hacer “defaces” de páginas web famosas, potenciados por el involucramiento de mafias bien establecidas en el crimen “tradicional” que están viendo nuevas oportunidades en el ciberespacio.

Las condiciones para que un ataque sea considerado terrorismo son básicamente dos cuestiones, una es que los motivos son políticos -a diferencia de los ciber-secuestros-, y la otra que deben infundir terror en los entes sujetos del ataque. Tomando en cuenta lo anterior, y el hecho indiscutible de que cada vez más infraestructura, negocios, economía, y otros rubros que sustentan la civilización -como la conocemos- dependen directamente de sistemas informáticos, parece una línea muy delgada entre lo que se está filtrando en materia de la actividad del ciber-crimen y la posibilidad de un ataque similar pero con características de terrorismo se materialice.

En mi opinión, será cuestión de que alguien suficientemente financiado y suficientemente motivado, decida hacerlo.

Saludos!

David Gutierrez

Mi opinón, mmh?
Dime tu, tu accediste a la Red XXXXX. … je je je ..

Creo que el problema es que, muchos confían en que no suceda por que no han visto que haya sucedido ¡Aún!

Creo que como lo menciona “John Arquilla”, un punto es como un terrorista confiaría en un Hacker, y si a un Hacker realmente se interesaría en eso.

Mi punto es que si confía en otros reclutas, ¿por que no reclutar también a un hacker?

Mi sensación es que muchos cibercriminales empezaron queriendo romper las reglas y terminaron por dinero. Pero pensar en matar es algo muy diferente.
Sobre todo en una persona, que normalmente esta en un mundo cibernético, en donde, mas que un daño físico, se esta acostumbrado a daño económico, moral y/o emocional.
Aunque también es posible, que al estar en un mundo cibernético, en donde no existe un concepto de daño físico tan bien definido, le valga un comino matar a alguien.
(Ejemplo: estudiantes de secundarias en E.E.U.U que han matado a sus compañeros de clase)

Ahora por otro lado.
Apoco en Iraq no hay hackers?
Apoco en Iran no hay hackers?
Apoco en Israel no hay hackers?
Mhh … perdóname ya se me olvido, mhh ¿de donde es CheckPoint?
Ahh …. de Israel!
Pero Israel son “amigos” de E.E.U.U. no hay bronca,
¿Que Irán no fue “amigo” también? Hasta que a E.E.U.U. le convino mejor apañarse su Petróleo.

Para terminar, me quede pensando una película ya vieja, “4 de Dias de Septiembre”, es algo así como “la otra cara de Rojo Amanecer”. Aquí a los estudiantes activistas son de Brasil (no de México), y se les ocurre asaltar un banco y financiar el secuestro de un embajador (el de E.E.U.U., por cierto), que para liberar presos políticos.
El punto es, si lo trasladas de “Estudiante Rojo y Activista”, a “Hacker Activista, en busca de venganza”. ¿Hasta dónde se puede llegar?

Cuando vez reportajes, “no censurados” de la guerra, y del odio y la incertidumbre de las víctimas civiles en dicha guerra, hacia países aliados. Te quedas pensando si un Hacker víctima no buscara como vengarse al respecto.

Todo es cuestión de tiempo, y si Cisco, el FBI, y otros no le dan prioridad, pues mejor para ellos ¿no crees?

Nota final. Es interesante la apreciación del Admirante “Timothy J.
Keating” sobre los terroristas: “are evil incarnated”. ¿Como puedes pedirle que haga la paz con ellos?.

Yo realmente Patrick, creo que la guerra no resuelve nada. Solo genera mas personas en busca de venganza, que entrarán en el mismo calificativo… “Ev…Inc…”

Si tienes retro, seria bueno escucharla señor …

Sin más por el momento me despido,
Saludos,

Fernando Cajeme

Antes que nada y como dicen en el vídeo hay que saber que es Terrorismo, dice la definición de Wikipedia:

Terrorism is a term used to describe violence or other harmful acts committed (or threatened) against civilians by groups or persons for political or ideological goals (fear in latin). Most definitions of terrorism include only those acts which are intended to create fear or “terror”, are perpetrated for an ideological goal (as opposed to a “madman” attack), and deliberately target “non-combatants”.

Bueno, eso como que no sirvió de mucho porque, porque no se especifica en que momento es un activo realmente “violento”, también está el problema de que todos lo que pelean lo hacen porque creen en algo ya sea político o ideológico o NO?, así mismo que el enemigo le tema a uno es una base de todo conflicto o pelea (entre grupos o entre individuos), pero lo peor de todo es que no nos permite discriminar cuando alguien es un revolucionario o cuando lo que sigue es correcto.

Como sea pasando entonces al Ciberterrorismo, creo que eso es medio exagerado, ciertamente es posible usar el internet y en general las computadoras para dañar e incluso matar a alguien, pero eso mismo aplica a una llave de tuercas o un palo de escoba, claro en manos de alguien entrenado o con mucha voluntad o simplemente sin nada que perder las manos mismas pueden ser un arma de destrucción masiva.

Terrorismo actualmente es como vemos las acciones de otros que afectan y de alguna manera intenta destruir nuestro modus vivendi, claro que ahora como tenemos Derechos Humanos y todas esas cosas pues juzgamos con términos más rimbombante las acciones de los que no conocemos.

Finalmente si llamamos ciberterrorismo a actual para difundir o financiar una idea a pesar de otros (si llegar a matar), eso ya existe desde hace mucho, pero si incluimos el matar que para mi es parte importante de un verdadero terrorista, entonces esta mas difícil porque afortunadamente para las cosas que son vitales aun hay modo manual, pero si es posible, solo que nadie tiene tan vacía la cabeza como para empezar el fin del mundo.

Ahora, eso me recuerda un poco a los bárbaros en los tiempos del imperio Romano, los Romanos referían como bárbaros a todos los enemigos

“Por encontra la pregunta a la respuesta y entender la respuesta a la pregunta”

Neko+14

Wikipedia dice lo siguiente:

El Ciberterrorismo o Terrorismo electrónico es el uso de medios de tecnologías de información, comunicación, informática, electrónica o similar con el propósito de generar terror o miedo generalizado en una población o clase dirigente o gobierno, causando con ello una violencia a la libre voluntad de las personas. Los fines pueden ser Económicos, Políticos, Religiosos, o simplemente de odios o prejuicios.

Que no hayan sucedido la cosas no quiere decir que no sean posibles.
Cuando se habla de ciberterrorismo y solamente pensamos en grupos radiales, que están en contra de los gobierno, de la globalización etc. ¿Por qué? no se piensa en gobiernos vs gobiernos, como podemos leer es este link, países como Corea de Norte preparando a hacker especializados para atacar otros gobierno.
Ejemplos de ataques como el que recibieron los servidores raíz de DNS el pasado Febrero, no hace pensar y volver a reflexionar que este mundo es hostil, en este mundo están girando miles de intereses.
Algunas vez te haz puesto a monitorear el trafico que llega a ti desde Internet, cuánto tiempo crees que pase antes de que coloques un Servidor sin parches de seguridad antes de ser comprometido, gusanos como Slammer sigue corriendo por la Internet, buscando a quien dañar. Esto no es ciberterrorismo?.
Siempre me ha gustado como un amigo, m e dice cuando alguien ya no tiene nada que perder en ese momento se vuelve muy peligroso, por qué en ese momento ya no mide las consecuencias de sus actos. Que pasara cuando un experto en seguridad se vuelva loco y no tenga nada que perder. En el pasado se ha podido ver como grandes gobiernes, grandes universidades, he incluso instituciones han sido atacadas por medios cibernéticos y todos han caído, por favor no me digan que no existe el ciberterrorismo, claro que hay pero considero que no estamos consientes de ello.

Darkslaker

http://www.voipsa.org/Resources/tools.php

Esta lista fue desarrollada para mitigar la falta actual de recursos para realizar pruebas de seguridad a la VoIP, tanto para los fabricantes como para los usuarios de VoIP. Se separa en las siguientes siete categorías:

- Herramientas de sniffers de VoIP
- Herramientas de escaneo y enumeración de VoIP
- Herramientas de creación e inundación de paquetes de VoIP
- Herramientas de fuzzing para VoIP
- Herramientas de manipulación de la señalización de VoIP
- Herramientas de manipulación del medio de VoIP
- Herramientas misceláneas

Los principales objetivos de esta lista son:

1. Proporcionar enlaces a las herramientas para ayudar a probar la eficacia de las mejores prácticas en VoIP definidas por ‘VIPSA’s Best Practices Project’.
2. Facilitar la discusión de información de las herramientas de seguridad de VoIP para ayudar a los usuarios a auditar y defender sus dispositivos y desarrollos de VoIP.
3. Proporcionar a los fabricantes la información necesaria para que realicen pruebas de forma pro activa a sus dispositivos de VoIP y valoren su habilidad para funcionar y soportar ataques del mundo real.

Para mayor información de esta lista, es posible escuchar el podcast de Dan York y Jonathan Zar en el Blue Box Podcast #54, y también en el Blue Box Special Edition #16 con Shawn Merdinger disponibles en:

http://www.blueboxpodcast.com.

Google ha puesto a la disposición un nuevo servicio llamado ‘Click to Call’ que conectará automáticamente a los usuarios con las listas de teléfonos de negocios que se encuentren mediante los resultados de búsquedas en Google.

Google está realizando las primeras pruebas para implementar en su programa publicitario AdWords el sistema ‘Click-To-Call’. Con él, algunos anuncios incluyen un icono de un teléfono verde, que si lo pulsamos nos pedirá que introduzcamos nuestro número de teléfono. Tras escribirlo y pulsar el botón ‘Connect For Free’, Google llama a ese número. Cuando descolgamos, se produce una comunicación entre nosotros y el anunciante, con el cual podemos hablar sobre cualquier duda de manera completamente gratuita.

Servicio ‘Click to Call’ de Google

Google no proporcionará en ningún momento nuestro teléfono al anunciante, e incluso aseguran que borrarán el dato de sus servidores “tras un corto periodo de tiempo”. El usuario, sin embargo, sí que podrá saber el número de teléfono del anunciante.

Este sistema, conocido también como ‘Pay-per-Call’, está implementándose con fuerza en la publicidad online, y permite a los anunciantes, por un poco más de dinero, que sus posibles clientes aclaren vía telefónica cualquier duda sobre el producto. El desarrollo de la tecnología VoIP (voz sobre Internet) podría popularizar aún más esta nueva funcionalidad.

Para que este servicio pueda funcionar, el usuario debe proporcionar su número de teléfono para que Google pueda hacer un bridge de la llamada gratuita entre el negocio y el usuario (incluyendo llamadas de larga distancia).

Un problema con este tipo de servicio es que no hay manera de validar el número de teléfono que el usuario proporciona. Google menciona que tienen mecanismos para evitar llamadas de broma repetidas, pero existe un gran potencial para hacer un mal uso de este servicio.

Otra preocupación es que Google menciona que manipulará el valor del ‘Caller-ID’ en las llamadas hechas al número que proporcionó el usuario, para que despliegue que la llamada proviene del negocio con quien se quiere hacer la llamada. Esto es un grave problema, ya que puede ser utilizado para convencer a una víctima de que esta siendo llamada directamente desde el negocio en cuestión, y el negocio verdadero puede ser objeto de reclamaciones acerca de llamadas que nunca realizó.

La explicación de Google para esta manipulación en el ‘Caller-ID’ es que es útil tener el número del negocio registrado para poder realizar llamadas posteriores. Esto es cierto, sin embargo, el riesgo del abuso que se puede hacer utilizando esta característica es demasiado alto. La mejor práctica es que el campo del ‘Caller-ID’ NUNCA debe ser falsificado.

Una posible solución para este problema, sería que el campo del ‘Caller-ID’ anunciara a ambas partes (usuario y negocio) que la llamada proviene de Google. Se podría hacer incluso que el campo del ‘Caller-Id’ despliegue un número gratuito de contacto hacia Google. Al marcar a dicho número pudiera existir una grabación que explique que la llamada se originó del servicio de Google ‘Click to Call’ e incluso dar opciones (página web, dirección de correo, otro número de teléfono, etc.) para reportar abusos que se estén realizando con este sistema. Esta opción seria benéfica para todas las partes; Google podría identificar y detener a los usuarios que estén realizando abusos del sistema y el servicio sería más amigable para los usuarios y negocios.

Ligas:

http://www.google.com/help/faq_clicktocall.html
http://www.webpronews.com/insiderreports/searchinsider/wpn-49-20061120GooglesClickToCallRipeForAbuse.html

Índice:

1. ¿Qué tan seguro es tu teléfono IP
2. La tríada de Seguridad en VoIP
3. Aspectos de Seguridad a considerar en VoIP
4. Las mejores prácticas para la seguridad en VoIP
5. Estado Actual de Estándares en VoIP
6. Conclusiones
7. Referencias

¿Qué tan seguro es tu teléfono IP?

Las implicaciones de seguridad en el mundo de la telefonía IP son claras: asegurar la privacidad y el acceso a la información, maximizar la disponibilidad de los servicios, reducir costos y tener la confianza de extender los servicios a un grupo amplio de usuarios (locales, remotos, móviles). Por todo lo anterior las cuestiones de seguridad en este ámbito son estratégicas.

Recientemente se ha puesto de moda el término de ‘VoIP Security’ y han aparecido múltiples artículos al respecto. Existen varias organizaciones que emiten consejos de seguridad para esta área tecnológica. Como ejemplo podemos mencionar: compañías que fabrican este tipo de hardware/software, firmas investigadoras de seguridad y agencias gubernamentales (CERT, US-CERT, NISCC, AUS-CERT).

El reto que presenta la seguridad en la telefonía IP es verdaderamente complejo. Existe una gran diversidad de fabricantes y aplicaciones, la competencia entre fabricantes y las prioridades internas de cada organización dificultan la estandarización de esta tecnología. Además se debe de considerar que las responsabilidades de la administración de la telefonía IP en una organización se reparten en distintas áreas internas, lo que dificulta aún más las consideraciones de seguridad en este rubro.



La pregunta obligada es, ¿qué está haciendo la industria para ayudar? Uno de los primeros intentos de los fabricantes para formar una organización colaborativa y neutral en asuntos de seguridad informática para VoIP es VOIPSA, VoIP Security Alliance, (http://www.voipsa.org/) cuya misión es promover el estado actual de las investigaciones de seguridad en VoIP, brindar educación y concientización de los usuarios y proporcionar herramientas y metodologías gratuitas para pruebas en VoIP. Entre sus miembros se encuentran compañías como Avaya, Nortel, Siemens, Alcatel, Mitel, Extreme Networks, etc. Los proyectos que se encuentran desarrollando actualmente incluyen: taxonomía de las amenazas, requisitos de seguridad, mejores prácticas en seguridad para VoIP.

La triada de Seguridad en VoIP

Para conocer las amenazas de seguridad que afectan a VoIP es importante tener en mente la ‘tríada de seguridad’ :



Confidencialidad:

La privacidad es una gran preocupación para las corporaciones que implementan VoIP. La privacidad de la señalización y las llamadas es extremadamente importante. Una señalización expuesta puede proporcionar información a espías sobre los patrones de las llamadas: cuando se realizan, quien participa en la llamada, longitud de tiempo que permaneció activa, etc. Dependiendo de las circunstancias, el simple conocimiento de la existencia de una llamada puede proporcionar información a un extraño que desemboque en consecuencias negativas. Por otra parte, los paquetes de las conversaciones de voz no encriptadas, pueden ser capturados y posteriormente reensamblados en archivos audibles de tipo ‘.wav’ utilizando herramientas disponibles gratuitamente en Internet.

Voz

1. Amenazas: espionajes, ataques de ‘man in the middle’, ARP cache poisoning, ARP flooding.
2. Consecuencias: se rompe la brecha de seguridad en la llamada, esta brecha puede ser utilizada para usos personales o de la compañía.

Control de Llamadas

1. Amenazas: exposición de información sobre usuarios, sistemas, patrones, utilización de passwords default, vulnerabilidades en Web Servers de Administración.
2. Consecuencias: irrupción de la seguridad, utilización para fines maliciosos.

Estrategias de Defensa:

1. Protección física a los cuartos donde se encuentren los equipos de VoIP.
2. Utilización de una red con ‘ethernet switching’ y no medio compartido.
3. Utilización de VLAN’s y VPN’s en donde pueda aplicar (al igual que en la red de datos)
4. Encriptar las conversaciones y el control de llamadas. Asegurar el flujo de información (Secure RTP)
5. Asegurarse de que las tablas de ruteo, instrucciones y cuentas de acceso de los dispositivos de telefonía IP están bien mantenidas y protegidas por passwords seguros.

Integridad:

Algunos servicios como búsquedas de directorio o buzón de voz son ejemplo de componentes de telefonía tradicional que ahora residen en redes IP. Estos elementos no solo se encuentran expuestos a ataques que los pueden dejar inoperables, si no que también deben ser capaces de comunicarse con otros equipos para acceder a servicios críticos de soporte (e-mail o DNS). La integridad de los datos que proporcionan estos servicios debe permanecer intacta o puede ocurrir una interrupción grave de los servicios.

Voz

1. Amenazas: suplantación de personalidad, inyección de audio.
2. Consecuencias: ilimitadas.

Control de llamadas

1. Amenazas: uso fraudulento de recursos de telefonía: fraude económico, suplantación de personalidad, uso de servidores falsos de DHCP y TCP dentro de la red.
2. Consecuencias: costos incrementados y uso malicioso.

Passwords:

1. Amenazas: Descubrimiento de un usuario y de passwords de sistema o aplicación.
2. Consecuencias: ilimitadas, dependiendo del rol y de la función del password descubierto.

Estrategias de defensa:

1. Utilizar encripción para comunicaciones seguras.
2. Cambiar los passwords por default, definir una longitud mínima y cambios periódicos de passwords.
3. Nunca intercambiar los passwords en texto plano.
4. Mantenimiento de passwords, borrar cuentas de ex empleados, utilizar códigos de seguridad.

Disponibilidad:

La disponibilidad es uno de los requerimientos más críticos para los servicios de voz. En el caso de la telefonía sobre IP esto adquiere una importancia aún más significativa. En primer lugar, las redes IP son vulnerables a grandes cargas de tráfico o paquetes malformados, estos ataques pueden saturar las conexiones o causar que elementos de red u otros dispositivos conectados a la misma dejen de responder. La dependencia de la telefonía IP en las redes de IP implica que los ataques en cualquier punto de la red pueden tener un impacto negativo en la disponibilidad de los servicios de voz.

Los teléfonos IP, como su nombre lo indica, también funcionan sobre redes de IP. Si este tipo de dispositivos se dejan sin protección los atacantes pueden intentar interrumpir su servicio utilizando paquetes malformados o grandes cantidades de tráfico. Los teléfonos de IP a su vez dependen de varios otros servicios clave para sus funcionalidades básicas, por ejemplo: DNS, TFTP y DHCP. La falta de un servidor de DNS o DHCP puede dejar los servicios de telefonía inoperables durante la duración de la falla. La presencia de servidores falsos de DHCP o TFTP en la red representa una herramienta poderosa que puede ser utilizada por un atacante para alterar el flujo de la información. Esta situación normalmente se puede asociar a una recolección no autorizada de información pero también puede ocasionar interrupciones del servicio.

Universalmente la telefonía IP debe ser implementada en una infraestructura que cuente con ‘Quality of Service’ (QoS). El propósito de QoS es asegurar un tratamiento preferencial a ciertos protocolos o nodos dentro de la red. Los teléfonos IP tienen la capacidad de marcar los paquetes con indicadores de capa 2 y 3 que les servirán a otros dispositivos en la red para dar un tratamiento preferencial a los paquetes especialmente marcados. Se deben tomar consideraciones especiales para asegurar que no se presenten paquetes con indicadores de QoS falsos que engañen a la red, proporcionando un mejor rendimiento a información no esencial.

Negación de Servicios

1. Amenazas: Teardrop, SMURF, Ping of Death, bloqueo de cuentas, consumo de recursos de CPU, ataques de buffer overflow y manejo inapropiado de paquetes.
2. Consecuencias: Pérdida total o parcial de de los servicios de telefonía.

Estrategias de Defensa:

1. Políticas rigurosas de actualización de antivirus y parches de sistemas operativos.
2. Utilizar sistemas de detección de intrusos (IDS)
3. Proteger el acceso de fuentes externas. Esto se puede lograr utilizando un firewall con políticas de acceso bien definidas.
4. Limitar el acceso de fuentes internas, utilizando un firewall.
5. Utilización del protocolo 802.1 p/q (VLAN) para aislar y proteger el ancho de banda del dominio de voz de inundaciones de negación de servicios que provengan del dominio de datos.


Seguridad de VoIp en Capas

Aspectos de Seguridad a considerar en la voz sobre IP

En el ámbito de la voz sobre IP es necesario considerar los aspectos de seguridad relativos a los elementos que conforman el núcleo sobre el cual funciona dicha tecnología: media, control de llamadas, administración, red TCP/IP y PSTN (Public Switched Telephony Network). Es importante tener en consideración la seguridad de la ruta que toman los paquetes relativos a cada una de las áreas mencionadas anteriormente.

Aspectos de Seguridad a considerar en la telefonía IP

Media:

Amenazas

1. Espionaje: Particularmente si es sobre una red wireless o Internet (sniffing)
2. Degradación en la calidad de voz por un ataque de negación de servicios (DoS).

Estrategias de Defensa:

1. Encripción del camino por el que circulan los datos de voz.
2. Utilizar los protocolos WPA, WPA2 para redes wireless.
3. Utilizar VLAN’s.
4. Filtrado de paquetes.


Camino que siguen los paquetes de RTP (Real Time Packets)

Control de llamadas, Señalamiento (SIP, H.323 y otros):

Amenazas

1. Negación de servicios
2. Suplantación de identidad
3. Fraude Económico
4. Robo de códigos de cuentas

Estrategias de Defensa

1. Encripción del camino de señalamiento.
2. Descarga de firmware encriptado.
3. Programación de sistemas adecuada.


Camino que siguen los paquetes de señalamiento (SIP, H.323 y otros)

Administración:

Amenazas:

1. Robo de passwords
2. Negación de servicios
3. Suplantación de aplicaciones (man in the middle)
4. Monitoreo de patrones de las llamadas

Estrategias de Defensa:

1. Defensas contra ataques de DoS en la infraestructura de la red.
2. Cambio de los passwords default en todos los dispositivos administrados.
3. Asegurar la seguridad física.
4. Asegurar el acceso a los puertos mediante tecnologías de autenticación.
5. Utilizar SSL (Secure Socket Layer).


Aplicaciones utilizadas para administrar la infraestructura de VoIP: Telnet, HTTP, FTP, SNMP, XML, TAPI

PSTN y dispositivos Legacy

Amenazas:

1. Fraudes económicos a través de ataques a la red pública
2. Suplantación de personalidad

Estrategias de defensa:

1. Utilizar Class of Restriction (COR). Característica que provee la habilidad de negar ciertos intentos de llamadas basadas en los COR’s de entrada y salida definidos en los dial-peers. Por ejemplo bloquear llamadas a números 900.
2. Utilizar Class of Service (COS). Se refiere a la diferenciación del tráfico o la habilidad de tratar los paquetes de forma diferente basados en la importancia del paquete.
3. Utilizar Códigos de cuentas
4. Restricciones de trunk
5. Restricciones de interconexión


Líneas Analógicas, ISDN, Q.SIG, DPNSS

Red TCP/IP, IEE 802.1X:

Como administrador de la red es importante cuestionarse si realmente los usuarios adecuados son quienes se están conectando a los nodos de la red. Cualquier atacante con intenciones maliciosas que tenga acceso físico a un nodo de la red, que no este protegido, puede tener éxito en sus ataques posteriores. Por esta razón es importante considerar que los dispositivos en la red deben autenticarse antes de que se abra el puerto del switch para brindarles comunicación.

Lo anterior se logra utilizando el protocolo IEEE 802.1X. Esto incluye la utilización de EAP (Extensible Authentication Protocol), que es un mecanismo de autenticación utilizado frecuentemente en redes wireless y conexiones punto a punto (PPoE). Algunos de los métodos de EAP que se pueden utilizar incluyen: EAP-MD5, Protected EAP (PEAP), EAP-TTLS (Tunneled TLS), EAP-TLS, EAP-FAST, Lightweight EAP (LEAP). Estos métodos se complementan con un servidor RADIUS o similar. Los nombres de usuario y passwords son inyectados utilizando la interfaz del teléfono o el certificado incluido.

SPIT (SPAM over Internet Telephony):

Para este tipo de ataques se utilizan herramientas como ‘Fear’ que itera a través de direcciones SIP (111@sip.company.com), (112@sip.company.com), (113@sip.company.com) y abre un archivo de audio cuando una llamada es contestada ya sea por una persona o por un buzón de voz.

Actualmente este tipo de conexiones directas no son permitidas en la mayoría de los sistemas de voz. Sin embargo, conforme las compañías hagan un mayor uso de SIP trunking o de sistemas de conexión directa IP-PBX a la Internet (permitiendo llamadas entrantes de otro IP endpoint) este tipo de spam puede incrementarse.

Mientras tanto, la PSTN provee un firewall para este tipo de llamadas, ya que las compañías de telemarketing tienen que iniciar llamadas no solicitadas a través de su red.

Las mejores prácticas para la seguridad en VoIP

Es muy importante considerar la necesidad de la encripción de la señalización de las llamadas y las llamadas en sí mismas en telefonía IP, por los beneficios relativos a la privacidad que proporciona a la organización el empleo de este método. Todos los streams de voz y la señalización de las llamadas deberá permanecer encriptada, preferentemente de punta a punta. Para la encripción de voz se puede utilizar Secure RTP (SRTP) con 128-bit AES. La señalización deberá utilizar SSL/TLS siempre que sea posible. Una solución alternativa es utilizar IPSec para encriptar todo el tráfico.

Se debe evaluar la infraestructura de la red para verificar que este lista para transportar tráfico de voz sobre IP antes de implementar esta tecnología. Es necesario utilizar VLAN’s para segmentar la red de datos y de voz. El NIST (National Institute of Standard and Technology) recomienda que se separen los segmentos de datos de los segmentos de voz. Esta separación facilita la aplicación de filtros y reglas de seguridad en equipos de telefonía IP para grupos específicos. Lo anterior facilita a su vez, la configuración y aplicación de políticas de QoS, seguridad e IDS (Intrusion Detection Systems). Por otra parte, la separación de los segmentos pone a los teléfonos IP en una posición en donde ya no están expuestos a ataques directos de las PC’s adyacentes. En un diseño plano, los teléfonos de IP pueden ser atacados desde las PC’s vecinas que fueron comprometidas o infectadas. Los atacantes pueden utilizar las redes sin segmentación para capturar paquetes de voz desde una PC que ya ha sido comprometida. Si se mantienen las redes de voz y datos separadas lógicamente, es mucho más difícil que un atacante pueda comprometer la red de voz.

El NIST recomienda también la implementación de firewalls y filtros entre los segmentos de voz y datos. Los firewalls proporcionan un solo punto de concentración para la aplicación de políticas de seguridad. Estas políticas definirán que recursos tienen acceso a que otros recursos y además proporcionan un registro de las actividades realizadas. Los firewalls pueden ser dispositivos ‘stand-alone’ o pueden estar incorporados dentro de routers, dispositivos de VPN o IDS.

Las redes deben estar siendo monitoreadas continuamente para buscar actividad sospechosa. El NIST recomienda la utilización de IDS en segmentos de telefonía IP para alertar a los administradores de la red en caso de que se presente actividad anómala o sospechosa.

La administración remota de los dispositivos de red deberá ser realizada sobre conexiones encriptadas. Es indispensable manejar una política de passwords adecuada, que incluya el no utilizar passwords por default y tener una rotación de passwords cada cierto periodo de tiempo. Las acciones tomadas en lo sistemas se deben loguear de tal manera que sea posible realizar auditorias posteriores. Únicamente se deben permitir conexiones seguras para el acceso vía web (SSL, HTTPS).

En cuantos a los servidores utilizados en la infraestructura para proveer servicios de voz sobre IP; éstos deberán ser incorporados a sistemas de ‘patch management’ y manejo de antivirus. Todo el equipo de telefonía debe estar localizado en un ambiente con la seguridad física adecuada. Se debe considerar el tener suficiente energía de respaldo para mantener la operación de los dispositivos de telefonía y de red en caso de una falla de energía eléctrica. Todos los dispositivos wireless deberían ser implementados utilizando WPA y/o WPA2 en lugar de WEP.

Para contrarrestar las amenazas que provienen de la red pública PSTN, se deben tomar medidas como el COS (Class of Restriction) que ayuda a prevenir fraudes económicos. En los puntos de mayor criticidad, es necesario habilitar códigos de cuentas para permitir un mejor rastreo de las llamadas. Se deben habilitar los logs de SMDR (Station Message Detail Recording) para monitorear el uso de las llamadas en la red.

Por último es recomendable llevar un seguimiento de las aplicaciones de VoIP como el buzón de voz. Se debe poner atención en aquellas cuentas en las que se presente un rápido incremento en el tamaño del buzón utilizado.

Estado Actual de Estándares en VoIP

La gran mayoría de los desarrollos en VoIP utilizan protocolos propietarios. Sin embargo el futuro de la industria apunta a SIP (Session Initialization Protocol) y SRTP (Secure RTP).

La gran mayoría de los estándares de VoIP se encuentran bajo la IETF (Internet Engineering Task Force). Algunos de sus grupos de trabajo son: SIP, SIPPING, SIMPLE, NMUSIC, BEHAVE, ECRIT, SPEER.

Algunos de los problemas más grandes de seguridad en los que esta trabajando la IETF incluyen:

1. ¿Cómo intercambiar las llaves de SRTP entre distintos fabricantes?
2. ¿Cómo conocer la identidad de quien realiza una llamada? (para combatir el SPIT)
3. ¿Cómo manejar las llamadas de emergencia 911?
4. ¿Cómo encontrar otro número en Internet sin utilizar el PSTN? (ENUM)
5. ¿Cómo mejorar el ‘NAT/firewall traversal’?
6. ¿Cómo se autentican las conexiones entre los ‘peers’? (por ejemplo SIP trunking para bypass de PSTN)

Conclusiones:

La paradoja de VoIP es que la gran mayoría de los administradores de las redes de voz pueden pensar que este tipo de tecnología es mucho más segura de lo que nunca fue el PSTN, pero la realidad es que por la misma complejidad y diversidad de los componentes de VoIP se incorporan muchos más huecos de seguridad que pueden ser explotados por atacantes con intenciones maliciosas.

Es fundamental el permanecer siempre alerta y vigilante en las redes de voz, poniendo especial atención y procurando seguir, cuando es posible, las mejores prácticas de seguridad dictadas por instituciones especializadas en la materia.

Referencias:

http://www.blueboxpodcast.com/2006/05/blue_box_podcas.html
Blue Box Podcast SE009: VoIP Security Presentation to IP Telephony for Government Conference – April 18, 2006. Dan York.

http://csrc.nist.gov/publications/nistpubs/800-58/SP800-58-final.pdf
Security Considerations for Voice over IP systems – recommendations of the National Institute Standards and Technology

http://j.b5z.net/i/u/2155188/h/mank_qouvia.pdf
QOVIA, Securing VoIP, Stephen P Mank.