LECTURA DEL CAPÍTULO 6 AUDITORIAS DE SEGURIDAD - Mauricio axel 20 (3)

Vista previa del material en texto

TECNOLÓGICO NACIONAL DE MÉXICO. 
INSTITUTO TECNOLÓGICO DE ACAPULCO. 
 
Ingeniería en sistemas computacionales. 
Materia: Seguridad en TIC’S. 
Actividad: RESUMEN “LECTURA DEL CAPÍTULO 6 “LA SABIDURÍA Y LA 
LOCURA DE LAS AUDITORÍAS DE SEGURIDAD”. 
Profesor: Dr. Eduardo De La Cruz Gámez 
Alumno: López Anselmo Mauricio Axel 
 
 
No. de control: 18320904 
 
Horario: 13:00pm – 14:00pm 
 
Ciclo escolar: Agosto – diciembre 2021 
 
 
 
 
 
SEGURIDAD EN TIC’S Lopez Anselmo Mauricio Axel 
“LECTURA DEL CAPÍTULO 6 “LA SABIDURÍA Y LA LOCURA DE LAS AUDITORÍAS DE SEGURIDAD” Fecha de entrega: 26-10-21 
Se le denomina auditorias de seguridad una firma de seguridad que compruebe si su sitio Web y 
sus redes informáticas son infranqueables. Para ello se contratan hackers que busquen los medios 
para acceder a información confidencial, penetrar en zonas restringidas de las zonas de oficina o 
encontrar agujeros en la seguridad que pudieran suponer un riesgo a la compañía. Cualquier 
compañía que pida una prueba de penetraciones y espere que los resultados confirmen que su 
seguridad está intacta y perfecta, con toda probabilidad tropezará con una amarga sorpresa. Los 
profesionales del sector de las evaluaciones de seguridad hallan con frecuencia los mismos errores 
de siempre; las empresas no ejercen la diligencia suficiente para proteger su información de 
propietario y sus sistemas informáticos. La razón por la que las empresas y los organismos 
gubernamentales realizan evaluaciones de seguridad es identificar su postura en el contexto de la 
seguridad en un momento concreto en el tiempo. Además, podrían valorar el progreso después de 
remediar cualquier vulnerabilidad identificada. 
A principios de la década de 1990, Mudge y un socio reunieron una serie de personas de ideas 
afines para trabajar juntos en un pequeño espacio en un almacén de Boston, el grupo se 
convertiría en un equipo de seguridad informática muy respetado bajo el nombre de lOpht o lOpht 
Industrias Pesadas. Como la operación fue acumulando éxitos y se extendió su fama, a Mudge lo 
invitaban a compartir sus conocimientos. Ha dado conferencias en lugares como la escuela de 
estrategia del ejército de Estados Unidos en Monterey sobre la "protección de la información" 
(cómo penetrar en los ordenadores del enemigo y deteriorar los servicios sin ser detectados, 
además de las técnicas de destrucción de datos, entre otros temas). Una de las herramientas más 
comunes para los hackers informáticos (y, a veces, también para los responsables de seguridad) es 
el paquete de software llamado lOphtCrack. Para los que lo utilizan es evidente que la magia que 
se consigue con este programa, aunque, sospecho que es profundamente odiado por otra mucha 
gente. El grupo lOpht atrajo la atención de los medios de comunicación porque escribieron una 
herramienta (llamada lOphtCrack) que craqueaba rápidamente marañas de contraseñas. Mudge 
fue coautor de lOphtCrack y cofundador del sitio online que puso el programa a disposición de los 
hackers'y de cualquiera que estuviera interesado, en un principio gratuitamente, y después como 
una operación lucrativa. 
La llamada que recibió lOpht de la firma de consultoría llegó poco después de que la firma 
decidiera expandir los servicios que ofrecían a sus clientes añadiendo la posibilidad de realizar 
auditorías de seguridad. En lugar de contratar personal nuevo y construir un departamento 
gradualmente, buscarían una empresa existente que pudieran comprar y situar dentro de su 
empresa. Al comienzo de la reunión, alguien de la compañía puso la idea sobre la mesa: 
"Queremos compraros y que forméis parte de nuestra compañía". Desde el punto de vista de 
Mudge, eran ignorantes porque iban a autorizar al equipo de lOpht a penetrar en sus archivos y 
correspondencia al mismo tiempo que negociaban un trato para comprar su compañía. Mudge 
esperaba poder espiar por encima de sus hombros. 
Los consultores de seguridad que realizan pruebas de penetraciones. No hay riesgo de acabar en la 
cárcel. El consultor de seguridad contratado para poner a prueba la defensa de una compañía 
quiere disponer de esa misma protección. En lugar de una placa, cada miembro del equipo de 
prueba recibe una carta firmada por un directivo de la compañía confirmado que, efectivamente, 
"este hombre ha sido contratado para llevar a cabo un proyecto para nosotros y no pasa nada si lo 
pescas haciendo algo que parezca incorrecto. Ningún problema. Déjalo que continúe con su 
SEGURIDAD EN TIC’S Lopez Anselmo Mauricio Axel 
“LECTURA DEL CAPÍTULO 6 “LA SABIDURÍA Y LA LOCURA DE LAS AUDITORÍAS DE SEGURIDAD” Fecha de entrega: 26-10-21 
trabajo y envíame un mensaje”. Con frecuencia, la empresa sólo quiere una prueba limitada. Un 
miembro del equipo de lOpht, Carlos, considera esta decisión poco realista, señalando que "los 
hackers no trabajan así". Él defiende un planteamiento más agresivo, sin contemplaciones ni 
restricciones. Este tipo de pruebas no es sólo más revelador y valioso para el cliente, sino también 
más gratificante para los expertos que llevan a cabo el proyecto. 
La seguridad se basa principalmente en la confianza. La empresa contratante debe confiar en la 
empresa de seguridad a la que encomienda la evaluación. Además, la mayoría de las empresas y 
los organismos gubernamentales exigen una cláusula de confidencialidad para proteger 
legalmente la información encontrada de modo que no se pueda publicar sin autorización. 
Generalmente, los expertos en seguridad firman esta cláusula porque pueden encontrarse con 
información confidencial. Con frecuencia, también se pide a los expertos que firmen una cláusula 
adicional en la que acuerdan que harán todo lo posible para no alterar las operaciones diarias de la 
compañía. 
Transcurrían los días, los equipos iban registrando información valiosa, pero a Mudge todavía no 
se le había ocurrido una buena idea para provocar que se reiniciara el sistema Apache y poder, así, 
acceder a la red. Entonces ocurrió una desgracia que para el equipo supuso una oportunidad, 
Estaba viendo las noticias y escucho que había sucedido un apagón en la ciudad donde estaba 
situada la empresa. Eso significaría que el servidor se apagaría y que cuando se restaurara el 
suministro en la ciudad, el sistema se reiniciaría. El equipo desarrolló un código para que 
difícilmente pudieran echarlos del sistema. Los cortafuegos de empresas rara vez están 
configurados para bloquear el tráfico saliente, y el pequeño programa de Mudge que instalaron en 
uno de los servidores de Newton, hacía una conexión de salida cada pocos minutos a un 
ordenador que el equipo controlaba. Esta conexión proporcionaba una interfaz de línea de 
comandos como la "shell de línea de comandos" familiar para los usuarios de Unix, Linux y DOS, un 
sistema operativo muy antiguo. En otras palabras, la máquina de Newton proporcionaba 
frecuentemente al equipo de Mudge la oportunidad de introducir comandos que sortearan el 
cortafuegos de la empresa. Para evitar que lo detectaran, Mudge eligió un nombre para el script 
que se confundiera entre el lenguaje secundario del sistema. Si alguien viera el archivo supondría 
que era parte del entorno normal de trabajo. Carlos se disponía a buscar en las bases de datos de 
Oracle con la esperanza de encontrar datos de las nóminas de los empleados. "Si puedes enseñar 
al director de información su salario y cuántas bonificaciones le han pagado, por lo general, 
transmite el mensaje de que lo tienes todo". Mudge instaló un espía {sniffer) en el correo entrante 
y saliente de la compañía. Siempre que un empleado de Newton cruzaba el cortafuegos para 
realizar un trabajo de mantenimiento, lOpht recibía el dato. Se sorprendieronal ver que se 
utilizaba texto plano para registrarse en el cortafuegos. 
Cuando concluyó el periodo concedido para las pruebas, Mudge y el equipo escribieron su informe 
y se prepararon para presentarlo en una reunión a la que asistirían todos los directivos de Newton. 
La gente de Newton no tenía la menor idea de qué se encontrarían, la plantilla de lOpht sabía que 
sería una reunión incendiaria, En la reunión, los chicos de lOpht reprodujeron algunos de los 
mensajes de voz capturados mientras los directivos estaban sentados escuchando las vergonzosas 
palabras que ellos mismos habían pronunciado. Pero lo mejor estaba por llegar. Mudge había 
programado una última sesión de negociaciones sobre la adquisición para que tuviera lugar a la 
vez que la reunión del informe. 
SEGURIDAD EN TIC’S Lopez Anselmo Mauricio Axel 
“LECTURA DEL CAPÍTULO 6 “LA SABIDURÍA Y LA LOCURA DE LAS AUDITORÍAS DE SEGURIDAD” Fecha de entrega: 26-10-21 
La contraofensiva consiste en revisar cuidadosamente todas las reglas de los cortafuegos para 
garantizar que cumplen la política de seguridad de la empresa. Durante ese proceso, recuerde que 
cualquiera puede suplantar fácilmente un puerto de origen. Por tanto, cuando se escribe una regla 
basada en el puerto de origen se debe configurar el cortafuegos para permitir la conexión sólo con 
determinados servicios. 
Muchas organizaciones tendrán normas relacionadas con las contraseñas u otros métodos de 
autentificación para acceder a los sistemas informáticos, pero todos son insuficientes en los 
sistemas PBX o de contestador automático. Aquí, el equipo de lOpht craqueó con facilidad las 
contraseñas de varios buzones de mensajes de voz pertenecientes a directores de la empresa 
objetivo, los cuales utilizaban las contraseñas predeterminadas, del tipo 1111, 1234 o el número 
de la extensión telefónica. La contramedida obvia es exigir la creación de contraseñas 
razonablemente seguras en el sistema de contestador automático. (Anime a los empleados a no 
utilizar tampoco el pin que utiliza en el cajero automático.) 
Una forma de evitar que los intrusos entren en el edificio detrás de los empleados es modificar lo 
que los psicólogos sociales llaman la norma de educación. Mediante una formación adecuada, el 
personal de la empresa debe superar la tensión que muchos sentimos al dar el alto a otra persona, 
como ocurre con frecuencia al entrar en un edificio o área de trabajo a través de una entrada 
vigilada. Un empleado bien entrenado sabrá cómo pedir amablemente la identificación a otra 
persona que parezca querer colarse con él en el edificio. La regla básica debería ser la siguiente: 
pedir la tarjeta de identificación y si la persona no la tiene, remitirle al puesto de vigilancia o de 
recepción, pero nunca dejar que un extraño entre con nosotros por una puerta de acceso 
restringido.