SAFE Consulting Group Publicaciones presenta: Canaudit Perspective P ntteess,, uss cclliieen o aa ssu do nd giieen otteeg Prro P oss daatto uss d o ssu do nd giieen otteeg Prro Protegiendo a sus clientes, protegiendo sus datos. (Traducido al Castellano por: SAFE Consulting Group, www.safecg.com ) Por Gordon Smith - Presidente, Canaudit Inc. El Robo de Identidad es un negocio creciente y en expansión con muchos clientes dispuestos a pagar para convertirse en alguna otra persona. Recientemente hemos visto muchas nuevas historias de hackers penetrando en sistemas y obteniendo información personal. Esta información puede utilizarse para obtener préstamos y tarjetas de crédito, y también para hacerse pasar por otra persona. Una persona con antecedentes penales o un inmigrante ilegal puede querer una nueva identidad para lograr un trabajo decente. Un terrorista puede querer un pasaporte para ingresar a un país. Un pariente puede querer una identidad nueva para evitar pagar alimentos o gastos, de la misma forma deudores pueden querer evitar cumplir con sus obligaciones. Cualquiera sea la razón para obtener una nueva identidad, existe un gran mercado esperando ser satisfecho. Con este tipo de demanda, no hay que maravillarse de que los hackers estén poniendo a prueba constantemente las redes en busca de debilidades. Cuando encuentran sistemas débiles, los explotarán con la esperanza de penetrar las defensas y lograr su objetivo: la información personal de sus clientes, empleados y socios de negocios. Un error de concepto habitual es que los datos se roban desde Internet, haciendo que mucha gente tenga temor a utilizar la red. De hecho la mayoría de los robos electrónicos de identidad o robos de información financiera no son realizados a través de Internet. En lugar de ello estos son habitualmente tomados desde servidores dentro de la red donde están almacenados a menudo en forma no encriptada. Una vez en el servidor, los hackers o sus propios empleados en busca de ingresos extras podrán manejar los datos a voluntad y por lo general sin ser detectados. En artículos anteriores, hemos enfatizado la necesidad de sólidos firewalls y controles sobre la Extranet. En este artículo, quiero partir de el hecho de asumir que la red puede ser penetrada en algún momento. Cuando esto ocurra (no si esto ocurre), serán necesarias múltiples defensas para proteger sus datos y archivos de programas. www.safecg.com SAFE Consulting Group Puntos de acceso a la red. El primer punto de acceso, y el más comprendido es desde Internet. Aquí el control es una sólida defensa consistente en múltiples firewalls, software de detección de intrusiones y buenos señuelos (Honey pots) para atraer y distraer a los hackers exitosos. Esto incrementará la posibilidad de detección temprana. Otra forma popular de penetrar en una red es a traves de los puntos de acceso inalámbricos. Aquí el control es utilizar tecnología CISCO y RADIUS para crear un túnel seguro y encriptado para sus datos. También asegúrese de probar los puntos vulnerables con cierta frecuencia. Estos ítems han sido cubiertos en artículos anteriores, por lo tanto no me explayaré sobre ellos. En este artículo quisiera construir las defensas desde adentro hacia fuera, en lugar de la tradicional metodología desde afuera hacia adentro. Comencemos este proceso con el ítem más crítico que usted quisiera proteger, sus datos confidenciales. Sus datos deberían estar clasificados para establecer si son públicos, confidenciales o privados. Defino que los datos son públicos a todos aquellos que pueden imprimirse en la portada del Wall Street Journal, sin que el CEO se ponga molesto. Los datos confidenciales son aquellos que deben protegerse de distribución generalizada. Esto puede incluir información de clientes, registros médicos, datos de producción, o listas de precios. Las leyes Federales y Estatales tales como la HIPAA, obligan a la protección de los datos personales. La primera forma de protegerlos es encriptarlos cuando se transmiten y cuando se almacenan. La mayoría de nuestros clientes comprende la necesidad de encripción durante la transmisión, sin embargo la mayoría piensa que encriptar el dato almacenado va demasiado lejos. También el costo de encriptar datos es mas alto que el de no encriptarlos. Creo que en no mas de una década, la encripción de datos será algo muy común. Mientras tanto, puede que usted no quiera iniciar la batalla por la encripción en su organización. Entonces, ¿qué podemos hacer si la encripción no es una opción?. Bueno, lo primero es asegurarse de que todas las bases de datos y archivos están protegidos. Los permisos de acceso están disponibles generalmente en sus servidores. Estos permisos se dividen de una forma u otra en tres grupos básicos: el primero es el del propietario de los datos, que por lo general puede leer, escribir, modificar, borrar o ejecutar los archivos. Los usuarios a menudo se colocan en grupos y pueden ver la información disponible para ese grupo. Este acceso normalmente debería estar restringido a la posibilidad de leer datos o ejecutar programas. En algunos casos el grupo puede requerir escribir, modificar o borrar los datos o registros dentro de los datos. El tercer conjunto de usuarios es lo que “cualquiera” o “world” (el mundo) pueden hacer. Estos son gente con usuarios normales o cuentas de invitados al sistema que no pueden tener acceso como propietarios o gerentes del grupo. Cualquiera que tenga acceso al sistema sólo debería poder leer datos públicos. No deberían poder modificar, borrar o escribir sobre los datos. Si los datos están protegidos correctamente, cuando el servidor se encuentra comprometido con una cuenta de un usuario normal, el daño está limitado al acceso que este usuario tiene. Asegurandonos de que las bases de datos nopúblicas no pueden ser leídas por todo el mundo (World), estamos venciendo al hacker o al empleado, o proveedor que desee robar fácilmente información. Ahora mismo, sospecho que usted se está preguntando como determinar si los datos están debidamente protegidos. Esto depende del sistema operativo, el cual en muchos casos está basado en UNIX. En el mundo UNIX, ejecutamos un simple comando desde el directorio raíz (ls -albRF >/tmp/salida.txt). Este comando produce un listado de todos los permisos de archivos. Cargamos esto en una base de datos y luego ejecutamos algunos queries sobre esta. Podremos obtener una lista de los archivos con acceso de lectura y escritura al mundo (world), así como la cantidad de archivos en estas condiciones. Estos son archivos que pueden ser manipulados por un hacker o empleados no autorizados, o en el caso de los archivos con acceso de escritura al mundo, pueden ser alterados o modificados utilizando una cuenta normal. Con otro query podemos buscar los archivos de bases de datos y los backups (generalmente llamados exports). En la mayoría de los casos los exports son de lectura permitida al mundo (world www.safecg.com SAFE Consulting Group readable). Dado que conocemos la ubicación de este archivo, podemos copiarlo fácilmente como un hacker lo haría. Todo lo que debemos hacer ahora es importar la base de datos exportada en nuestra propia base de datos, y sus datos, incluyendo la información de identidad relacionada, se convertirán en nuestros datos. Hay dos cosas muy sencillas que podemos hacer para evitar que los hackers roben las bases de datos de esta forma. La primera es asegurar que solo el propietario o el grupo de administradores de bases de datos pueden acceder las bases de datos export. No deben tener de ninguna manera acceso de lectura al mundo (world access). Esto protegerá el export. Para reducir la cantidad de archivos con acceso de lectura al mundo, configure el umask (un parámetro que define los permisos por defecto cuando se crea un archivo) en 027. Ahora cuando los archivos se crean, estarán mejor protegidos. Continúa en la parte 2 – del Canaudit Perspective Newsletter Los temas incluyen: • Las 16 prioridades de Gordon para proteger el Sistema Operativo UNIX Si usted considera interesante este artículo por favor reenvíelo a sus colegas o asociados profesionales. Por favor por cualquier comentario envíenos un mail a publicaciones@safecg.com Importante: Las opiniones expresadas representan los puntos de vista del autor de las mismas.- © Canaudit Inc. Printed with permission Por información adicional no dude en contactarnos en: info@safecg.com www.safecg.com SAFE Consulting Group AMÉRICA: ARGENTINA, BRASIL, CHILE, MEXICO, PARAGUAY, URUGUAY EUROPA: ESPAÑA www.safecg.com