Controlado desde el
19/10/97 por NedStat
|
Las Reglas de Seguridad más vigentes que nunca
|
|
VSantivirus No. 981 - Año 7 - Sábado 15 de marzo de 2003
Las Reglas de Seguridad más vigentes que nunca
http://www.vsantivirus.com/agr-reglas.htm
Por Alejandro Germán Rodríguez (*)
Peligros_en_la_red-owner@onelist.com
Cuando hablamos de la aparición de un nuevo virus que borra toda la información de la computadora que infecta, o de un programa que se aprovecha de una falla no corregida en un sistema o del robo de números de tarjetas de crédito, todos pensamos en los creadores de virus o en sofisticados ladrones por Internet, pero rara vez nos detenemos a pensar si también existen culpables por parte de los damnificados.
En casos recientes como el gusano Slammer u otros como CodeRed, éstos se aprovechan de fallas de ciertos productos de Microsoft, para las cuales ya existían parches, aunque no instalados por una actitud irresponsable de los encargados de sistemas.
Por otro lado, hemos escuchado sobre SSL (Secure Socket Layer) el protocolo utilizado en la transmisión de información sensible.
Dicho protocolo se utiliza cuando nos contactamos con nuestro banco o cuando efectuamos una compra en la red, pero pocos reparamos que, aunque ese momento de la comunicación se efectúa por un protocolo seguro, la información post-venta se guarda en algún sitio y desconocemos que medidas de seguridad existen allí.
A veces, dichas medidas no son las ideales, y por ello vemos luego las noticias sobre el robo de números de tarjetas de crédito.
Los casos antes mencionados, son solo algunos, donde la falta de cuidado por parte de las "víctimas", ha permitido que dichos actos pudieran efectuarse.
Por estos y otros casos, el Sans Institute, ha publicado recomendaciones genéricas, que usualmente conducen a brechas de seguridad, las que luego pueden ser aprovechadas por atacantes.
Las mismas se refieren tanto a usuarios comunes, como a ejecutivos o administradores de sistemas. Aunque estas recomendaciones son del año 2001, los numerosos incidentes, que vemos a diario, demuestran que aún hoy, las mismas no son tomadas en cuenta.
Errores que conducen a brechas en la seguridad
La no instalación de programas antivirus, la falta de puesta al día de sus definiciones, y no efectuar el control sobre la totalidad de los archivos.
Abrir adjuntos de correo no solicitados, sin verificar la fuente ni haber confirmado su contenido antes, ya sean juegos, protectores de pantallas u otros de fuentes no confiables.
La no instalación de parches de seguridad, especialmente de Microsoft Office, Internet Explorer y Netscape.
No hacer ni comprobar los respaldos (backup) con cierta regularidad.
Utilizar un módem mientras se está conectado mediante una red de área local.
Errores de los ejecutivos
Asignar personal no entrenado para mantener la seguridad y no brindar capacitación ni tiempo para efectuar sus tareas.
No entender la relación entre la seguridad de la información y la problemática de los negocios (se entiende la seguridad física pero no las consecuencias de la pobre seguridad de la información).
Fallar en los aspectos operacionales de la seguridad (se hacen algunos arreglos pero no se toman medidas para que los mismos inconvenientes no resurjan).
Confiar únicamente en un firewall.
No darse cuenta del valor de la información y la reputación de la empresa.
Permitir las soluciones a corto plazo, dando lugar a que luego resurjan los mismos problemas.
Pretender que el problema desaparecerá con solo ignorarlo.
Errores de los encargados de sistemas
Conexión de sistemas a la Internet, sin hacerlos más robustos.
Conectar sistemas a la Internet con password y cuentas por defecto.
No aplicar parches cuando éstos están disponibles.
Utilizar protocolos que no utilizan cifrado (por ejemplo telnet) para administrar sistemas, routers, firewalls y PKI
Dar a los usuarios los passwords por teléfono o cambiar las claves de un usuario por una solicitud telefónica o personal cuando quien la solicita no fue identificado.
No realizar respaldos (backups).
Ejecutar servicios cuando no se necesitan, especialmente ftp, telnet, rpc, correo, etc.
Implementar firewalls con reglas que no detienen el flujo de datos maliciosos desde y hacia Internet.
No instalar y actualizar la protección antivirus.
No educar a los usuarios en lo referente a que buscar o hacer cuando se detecta una falla de seguridad.
Permitir que gente no entrenada este a cargo de la implementación de la seguridad de importantes sistemas.
Los siete pecados capitales
Asimismo, y más recientemente, Computer Associates (CA) desarrolló un trabajo donde establece lo que ha denominado los 7 pecados capitales en seguridad. En ellos se mencionan las actitudes (tanto personales como foráneas) que más comúnmente llevan a serios compromisos de seguridad en un entorno corporativo.
Según CA, las fallas de seguridad se basan en:
1. Suplantación de identidad
Alguien que intenta ser quien no es, a los efectos de obtener información, como en el caso de solicitudes telefónicas para enviar información a terceras partes.
2. Curiosidad
Es el caso de quienes se introducen en sistemas que no deben, no por malicia, sino por mero interés de ver de que se trata.
3. Cortesía
Puede llevar a brechas de seguridad como en el caso de mantener la puerta abierta, (en un sistema de acceso mediante tarjeta) para permitir el ingreso de quien viene detrás. También es el caso de dar la clave a terceros sin cuestionar para que realmente la requieren.
4. Codicia
En el caso de desear obtener ganancias, ya sea económica o intelectualmente mediante el acceso ilegal a un sistema ajeno.
5. Negligencia
Dar lugar a situaciones que permitirán claramente comprometer un sistema, como en el caso de dejar que vean nuestra clave cuando la introducimos en el sistema.
6. Descuido
Siempre debemos tener presente la seguridad, cuando ésta no sea nuestra prioridad, existirá riesgo de compromiso.
7. Apatía
Llevando adelante una actitud de desidia, en situaciones como la destrucción de documentos o en lo referente a temas donde intervienen personas ajenas.
Todos aquellos que trabajemos con computadoras, tanto desde la faz personal, como la corporativa, identificaremos alguno de los postulados del Sans Institute o de Computer Associates, ya sea, por no haber seguido alguno de ellos nosotros mismos o por ser conscientes de que otros no lo han hecho.
Fuentes:
Errores que la gente hace y que pueden
conducir a brechas de seguridad
http://www.sans.org/mistakes.htm
Los siete pecados capitales de la seguridad
http://www.ca.com/offices/uk/press/jan03/uk_threat_guide.pdf
Un cracker accede a los datos de 5 millones
de tarjetas de crédito Visa y Mastercad
http://www.delitosinformaticos.com/protecciondatos
/noticias/104557024676648.shtml
(*) Alejandro Germán Rodriguez mantiene la lista de seguridad "Peligros en la Red", y es un asiduo colaborador de VSAntivirus.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|