OJOS QUE ACECHAN
Diciembre
2001
Si no dejamos de alertar sobre el peligro que supone de una infección viral ahora, debemos añadir una nueva amenaza informática que cada vez está más en alza: las intrusiones, llevadas a cabo por hackers convertidos en auténticos maestros del espionaje. A este respecto, nuestro asiduo colaborador, el Doctor Jeimy Cano, nos da su opinión sobre este tema como experto en materia de seguridad informática.
Mucho se habla sobre el
intrusismo en redes corporativas pero en el caso de equipos domésticos se
suele tener menos noticias de este tipo de amenazas. ¿Se debe a que no
son víctimas frecuentes de piratas informáticos?
Si se entiende equipos domésticos como equipos internos, las intrusiones
o incidentes internos en las organizaciones suelen ser más comunes de lo
que parecen. Generalmente se tratan internamente, sin darle mayor
trascendencia al mismo. Algunas organizaciones cuentan con estadísticas y
estudios que muestran que existen personas "inquietas" dentro de
las organizaciones que prueban con frecuencia las características de
seguridad, generando importantes eventos que alertan a los encargados del
área de
seguridad.
En este sentido, estadísticas
de estudios de seguridad informática como los del CSI-Computer Security
Institute corroboran esta tendencia, que nos llama a enfilar esfuerzos
hacia el desarrollo de una cultura corporativa de seguridad informática.
Si bien esta cultura no es fácil de crear, es importante adelantar
gestiones para desarrollar un proyecto coherente en este sentido.
Si un intruso accede a un equipo en el que su usuario está trabajando
en ese momento ¿hay alguna forma de percatarse de este acceso?
Si la persona no cuenta con mecanismos preventivos o monitoreo permanente
de su conexión a Internet, es poco probable que descubra una intrusión
en su máquina. Recuerden, que siempre que usted se conecta a Internet,
generalmente su ISP le asigna una dirección válida en Internet. Esto es,
que se convierte en otro host disponible en la red, el cual puede estar
sujeto a ataques o fallas como cualquier servidor corporativo. Por tanto,
contar con herramientas como firewalls personales, sistemas de detección
de intrusos libres como snort, LIDS, entre otros pueden ser de gran
utilidad en su gestión de monitoreo personal.
Estas intrusiones como nos comentaba en una entrevista anterior, suelen
dejar siempre rastros pero ¿cabe la posibilidad de que no sea así?
Generalmente si una intrusión se presenta en un sistema que no genere el
monitoreo mínimo requerido para efectuar un rastreo de la situación,
podría no generar un seguimiento adecuado para establecer los patrones y
evidencias suficientes para identificar el intruso. En este sentido, se
requiere una preparación forense de las redes, lo cual implica contar con
los requerimientos mínimos de monitoreo y control que generen las
evidencias mínimas para detallar la intrusión. Actualmente desarrollamos
una investigación en la Universidad de los Andes-COLOMBIA en este
sentido, donde exploramos los conceptos de Honeypots y Honeynets, los
cuales sugieren elementos que nos pueden ayudar a detallar esta característica.
¿Podría generar el intruso algún tipo de e-mail genérico (como ???@yahoo,
etc.) desde el equipo de la víctima (por lo tanto con su dirección IP)
para su uso malicioso sin constancia para el usuario?
Si se ha comprometido la máquina y tiene privilegios de administrador o
control total, el intruso podrá tener acceso a los recursos disponibles
en el host. Luego, acciones como envío de requerimientos http, smtp, icmp
o udp reportarán como origen la dirección de la máquina comprometida.
Recuerde, que si no cuenta con características mínimas de seguridad en
su máquina, la posibilidad de seguir el intruso son menores.
¿Y utilizar el equipo a modo de almacén de datos o archivos?
Generalmente dentro de la metodología de los intrusos, está establecer
puertas traseras (backdoors) que permitan el ingreso posterior a la máquina
y contar con recursos adicionales para continuar con sus acciones.
Particularmente, utilizar la máquina comprometida como repositorio de
archivos. Recuerde, que el intruso puede instalar aplicaciones como
ROOTkits, las cuales generan sistemas de archivos paralelos no
perceptibles en la máquina que permiten efectuar acciones sobre el
servidor y sus procesos, con los permisos de super-usuario.
Con las herramientas habituales que suele tener el usuario en su equipo
¿cómo puede comprobar rápidamente si ha sido víctima de una intrusión?
Detectar una intrusión, como comenté anteriormente requiere contar con
elementos mínimos de monitoreo que sugieran cambios o alteraciones de
archivos, configuraciones o desempeño de la máquina. En este sentido,
establecer una lista de chequeo para identificar una intrusión no sería
muy acertado, dado que se pueden manejar múltiples variables tanto por
sistema operacional, características de funcionamiento del servidor, políticas
de seguridad entre otras que dificultan la labor de identificación. Sin
embargo, existen lista de chequeo en UNIX, NT y otros sistemas disponibles
en Internet que pueden ayudar a identificar posibles intrusiones.
En caso de tener posibles pistas de una intrusión ¿cómo debería
proceder a nivel técnico o a quién debería recurrir?¿Sería
denunciable?
En primer lugar antes de adelantar una investigación, es importante
determinar las características de monitoreo que se tienen en el sistema
comprometido y los registros o logs de auditoria disponibles, los cuales
deben ser recogidos siguiendo las características sugeridas en una
entrevista anterior sobre metodologías forenses:
Básicamente los investigadores forenses en informática, independiente de
las plataforma o sistema operacional donde estén efectuando sus
actividades, deben procurar cumplir tres requisitos con la información o
evidencia identificada o recolectada:
Se deben utilizar medios forenses estériles (para las copias de la
información).
- Mantener la integridad del medio original.
- Etiquetar, controlar y transmitir adecuadamente las copias de los datos,
impresiones y resultado de la investigación.
Las metodologías utilizadas pueden ser diversas, pero lo importante es
asegurar estos tres requisitos, dado que si no se aseguran, la evidencia
puede ser rebatida y descartada como medio probatorio."
La denuncia del hecho, requiere que en el país donde se pretende
adelantar la diligencia legal sobre el mismo, cuente con disposiciones que
reconozcan la evidencia digital como elemento probatorio y por otro lado,
el sistema judicial del país, es decir sus fiscales y jueces posean el
conocimiento
necesario para conceptuar sobre hechos que técnicamente es posible
demostrar y verificar, claramente fundados sobre procedimientos forenses
formales y técnicos que pueden ser probados científicamente.
Para finalizar, ¿que recomendaciones o utilidades aconsejaría a los
usuarios para su protección?
Como mencioné anteriormente, recuerde que cuando usted se conecta a Internet,
su computador se le asigna una válida para la red. Por tanto, contar con
medidas mínimas de protección como firewalls personales, sistemas de
detección de intrusos libres, control de integridad de archivos
(tripwire), buenas práctica de respaldos o backups, discos de recuperación,
entre otros pueden ser medidas importantes que pueden ayudarlo en el caso
de una "mala" pasada en Internet.
Lecturas aconsejadas: Informática Forense, liderando las investigaciones y Credenciales para investigadores forenses en informática.
D. Jeimy J. Cano
jcano@uniandes.edu.co
Ingeniero de Sistemas y Computación
Universidad de los Andes
COLOMBIA
El Doctor Cano es profesor de la Universidad de los Andes en la Facultad de Derecho y el Departamento de Sistemas y Computación, donde imparte cátedras relacionadas con delitos informáticos y computación forense. Es miembro investigador de la Red Iberoamericana de Criptología y Seguridad de la Información - CRIPTORED (http://www.criptored.upm.es) de la Universidad Politécnica de Madrid, moderador de la lista de seguridad informática de la ACIS - Asociación Colombiana de Ingenieros de Sistemas (http://www.acis.org.co) y conferencista nacional e internacional en temas relacionados con seguridad informática, delitos informáticos y computación forense.
