Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
TECNOLÓGICO NACIONAL DE MÉXICO. INSTITUTO TECNOLÓGICO DE ACAPULCO. Ingeniería en sistemas computacionales. Materia: Seguridad en TIC’S. Actividad: RESUMEN “LECTURA DEL CAPÍTULO 6 “LA SABIDURÍA Y LA LOCURA DE LAS AUDITORÍAS DE SEGURIDAD”. Profesor: Dr. Eduardo De La Cruz Gámez Alumno: López Anselmo Mauricio Axel No. de control: 18320904 Horario: 13:00pm – 14:00pm Ciclo escolar: Agosto – diciembre 2021 SEGURIDAD EN TIC’S Lopez Anselmo Mauricio Axel “LECTURA DEL CAPÍTULO 6 “LA SABIDURÍA Y LA LOCURA DE LAS AUDITORÍAS DE SEGURIDAD” Fecha de entrega: 26-10-21 Se le denomina auditorias de seguridad una firma de seguridad que compruebe si su sitio Web y sus redes informáticas son infranqueables. Para ello se contratan hackers que busquen los medios para acceder a información confidencial, penetrar en zonas restringidas de las zonas de oficina o encontrar agujeros en la seguridad que pudieran suponer un riesgo a la compañía. Cualquier compañía que pida una prueba de penetraciones y espere que los resultados confirmen que su seguridad está intacta y perfecta, con toda probabilidad tropezará con una amarga sorpresa. Los profesionales del sector de las evaluaciones de seguridad hallan con frecuencia los mismos errores de siempre; las empresas no ejercen la diligencia suficiente para proteger su información de propietario y sus sistemas informáticos. La razón por la que las empresas y los organismos gubernamentales realizan evaluaciones de seguridad es identificar su postura en el contexto de la seguridad en un momento concreto en el tiempo. Además, podrían valorar el progreso después de remediar cualquier vulnerabilidad identificada. A principios de la década de 1990, Mudge y un socio reunieron una serie de personas de ideas afines para trabajar juntos en un pequeño espacio en un almacén de Boston, el grupo se convertiría en un equipo de seguridad informática muy respetado bajo el nombre de lOpht o lOpht Industrias Pesadas. Como la operación fue acumulando éxitos y se extendió su fama, a Mudge lo invitaban a compartir sus conocimientos. Ha dado conferencias en lugares como la escuela de estrategia del ejército de Estados Unidos en Monterey sobre la "protección de la información" (cómo penetrar en los ordenadores del enemigo y deteriorar los servicios sin ser detectados, además de las técnicas de destrucción de datos, entre otros temas). Una de las herramientas más comunes para los hackers informáticos (y, a veces, también para los responsables de seguridad) es el paquete de software llamado lOphtCrack. Para los que lo utilizan es evidente que la magia que se consigue con este programa, aunque, sospecho que es profundamente odiado por otra mucha gente. El grupo lOpht atrajo la atención de los medios de comunicación porque escribieron una herramienta (llamada lOphtCrack) que craqueaba rápidamente marañas de contraseñas. Mudge fue coautor de lOphtCrack y cofundador del sitio online que puso el programa a disposición de los hackers'y de cualquiera que estuviera interesado, en un principio gratuitamente, y después como una operación lucrativa. La llamada que recibió lOpht de la firma de consultoría llegó poco después de que la firma decidiera expandir los servicios que ofrecían a sus clientes añadiendo la posibilidad de realizar auditorías de seguridad. En lugar de contratar personal nuevo y construir un departamento gradualmente, buscarían una empresa existente que pudieran comprar y situar dentro de su empresa. Al comienzo de la reunión, alguien de la compañía puso la idea sobre la mesa: "Queremos compraros y que forméis parte de nuestra compañía". Desde el punto de vista de Mudge, eran ignorantes porque iban a autorizar al equipo de lOpht a penetrar en sus archivos y correspondencia al mismo tiempo que negociaban un trato para comprar su compañía. Mudge esperaba poder espiar por encima de sus hombros. Los consultores de seguridad que realizan pruebas de penetraciones. No hay riesgo de acabar en la cárcel. El consultor de seguridad contratado para poner a prueba la defensa de una compañía quiere disponer de esa misma protección. En lugar de una placa, cada miembro del equipo de prueba recibe una carta firmada por un directivo de la compañía confirmado que, efectivamente, "este hombre ha sido contratado para llevar a cabo un proyecto para nosotros y no pasa nada si lo pescas haciendo algo que parezca incorrecto. Ningún problema. Déjalo que continúe con su SEGURIDAD EN TIC’S Lopez Anselmo Mauricio Axel “LECTURA DEL CAPÍTULO 6 “LA SABIDURÍA Y LA LOCURA DE LAS AUDITORÍAS DE SEGURIDAD” Fecha de entrega: 26-10-21 trabajo y envíame un mensaje”. Con frecuencia, la empresa sólo quiere una prueba limitada. Un miembro del equipo de lOpht, Carlos, considera esta decisión poco realista, señalando que "los hackers no trabajan así". Él defiende un planteamiento más agresivo, sin contemplaciones ni restricciones. Este tipo de pruebas no es sólo más revelador y valioso para el cliente, sino también más gratificante para los expertos que llevan a cabo el proyecto. La seguridad se basa principalmente en la confianza. La empresa contratante debe confiar en la empresa de seguridad a la que encomienda la evaluación. Además, la mayoría de las empresas y los organismos gubernamentales exigen una cláusula de confidencialidad para proteger legalmente la información encontrada de modo que no se pueda publicar sin autorización. Generalmente, los expertos en seguridad firman esta cláusula porque pueden encontrarse con información confidencial. Con frecuencia, también se pide a los expertos que firmen una cláusula adicional en la que acuerdan que harán todo lo posible para no alterar las operaciones diarias de la compañía. Transcurrían los días, los equipos iban registrando información valiosa, pero a Mudge todavía no se le había ocurrido una buena idea para provocar que se reiniciara el sistema Apache y poder, así, acceder a la red. Entonces ocurrió una desgracia que para el equipo supuso una oportunidad, Estaba viendo las noticias y escucho que había sucedido un apagón en la ciudad donde estaba situada la empresa. Eso significaría que el servidor se apagaría y que cuando se restaurara el suministro en la ciudad, el sistema se reiniciaría. El equipo desarrolló un código para que difícilmente pudieran echarlos del sistema. Los cortafuegos de empresas rara vez están configurados para bloquear el tráfico saliente, y el pequeño programa de Mudge que instalaron en uno de los servidores de Newton, hacía una conexión de salida cada pocos minutos a un ordenador que el equipo controlaba. Esta conexión proporcionaba una interfaz de línea de comandos como la "shell de línea de comandos" familiar para los usuarios de Unix, Linux y DOS, un sistema operativo muy antiguo. En otras palabras, la máquina de Newton proporcionaba frecuentemente al equipo de Mudge la oportunidad de introducir comandos que sortearan el cortafuegos de la empresa. Para evitar que lo detectaran, Mudge eligió un nombre para el script que se confundiera entre el lenguaje secundario del sistema. Si alguien viera el archivo supondría que era parte del entorno normal de trabajo. Carlos se disponía a buscar en las bases de datos de Oracle con la esperanza de encontrar datos de las nóminas de los empleados. "Si puedes enseñar al director de información su salario y cuántas bonificaciones le han pagado, por lo general, transmite el mensaje de que lo tienes todo". Mudge instaló un espía {sniffer) en el correo entrante y saliente de la compañía. Siempre que un empleado de Newton cruzaba el cortafuegos para realizar un trabajo de mantenimiento, lOpht recibía el dato. Se sorprendieronal ver que se utilizaba texto plano para registrarse en el cortafuegos. Cuando concluyó el periodo concedido para las pruebas, Mudge y el equipo escribieron su informe y se prepararon para presentarlo en una reunión a la que asistirían todos los directivos de Newton. La gente de Newton no tenía la menor idea de qué se encontrarían, la plantilla de lOpht sabía que sería una reunión incendiaria, En la reunión, los chicos de lOpht reprodujeron algunos de los mensajes de voz capturados mientras los directivos estaban sentados escuchando las vergonzosas palabras que ellos mismos habían pronunciado. Pero lo mejor estaba por llegar. Mudge había programado una última sesión de negociaciones sobre la adquisición para que tuviera lugar a la vez que la reunión del informe. SEGURIDAD EN TIC’S Lopez Anselmo Mauricio Axel “LECTURA DEL CAPÍTULO 6 “LA SABIDURÍA Y LA LOCURA DE LAS AUDITORÍAS DE SEGURIDAD” Fecha de entrega: 26-10-21 La contraofensiva consiste en revisar cuidadosamente todas las reglas de los cortafuegos para garantizar que cumplen la política de seguridad de la empresa. Durante ese proceso, recuerde que cualquiera puede suplantar fácilmente un puerto de origen. Por tanto, cuando se escribe una regla basada en el puerto de origen se debe configurar el cortafuegos para permitir la conexión sólo con determinados servicios. Muchas organizaciones tendrán normas relacionadas con las contraseñas u otros métodos de autentificación para acceder a los sistemas informáticos, pero todos son insuficientes en los sistemas PBX o de contestador automático. Aquí, el equipo de lOpht craqueó con facilidad las contraseñas de varios buzones de mensajes de voz pertenecientes a directores de la empresa objetivo, los cuales utilizaban las contraseñas predeterminadas, del tipo 1111, 1234 o el número de la extensión telefónica. La contramedida obvia es exigir la creación de contraseñas razonablemente seguras en el sistema de contestador automático. (Anime a los empleados a no utilizar tampoco el pin que utiliza en el cajero automático.) Una forma de evitar que los intrusos entren en el edificio detrás de los empleados es modificar lo que los psicólogos sociales llaman la norma de educación. Mediante una formación adecuada, el personal de la empresa debe superar la tensión que muchos sentimos al dar el alto a otra persona, como ocurre con frecuencia al entrar en un edificio o área de trabajo a través de una entrada vigilada. Un empleado bien entrenado sabrá cómo pedir amablemente la identificación a otra persona que parezca querer colarse con él en el edificio. La regla básica debería ser la siguiente: pedir la tarjeta de identificación y si la persona no la tiene, remitirle al puesto de vigilancia o de recepción, pero nunca dejar que un extraño entre con nosotros por una puerta de acceso restringido.
Compartir