Protegiendo a sus clientes, Protegiendo sus datos Protegiendo a

Anuncio
SAFE Consulting Group Publicaciones presenta:
Canaudit Perspective
P
ntteess,,
uss cclliieen
o aa ssu
do
nd
giieen
otteeg
Prro
P
oss
daatto
uss d
o ssu
do
nd
giieen
otteeg
Prro
Protegiendo a sus clientes, protegiendo sus datos.
(Traducido al Castellano por: SAFE Consulting Group, www.safecg.com )
Por Gordon Smith - Presidente, Canaudit Inc.
El Robo de Identidad es un negocio creciente y en expansión con muchos clientes dispuestos a
pagar para convertirse en alguna otra persona. Recientemente hemos visto muchas nuevas historias
de hackers penetrando en sistemas y obteniendo información personal. Esta información puede
utilizarse para obtener préstamos y tarjetas de crédito, y también para hacerse pasar por otra
persona. Una persona con antecedentes penales o un inmigrante ilegal puede querer una nueva
identidad para lograr un trabajo decente. Un terrorista puede querer un pasaporte para ingresar a un
país. Un pariente puede querer una identidad nueva para evitar pagar alimentos o gastos, de la
misma forma deudores pueden querer evitar cumplir con sus obligaciones. Cualquiera sea la razón
para obtener una nueva identidad, existe un gran mercado esperando ser satisfecho. Con este tipo de
demanda, no hay que maravillarse de que los hackers estén poniendo a prueba constantemente las
redes en busca de debilidades. Cuando encuentran sistemas débiles, los explotarán con la esperanza
de penetrar las defensas y lograr su objetivo: la información personal de sus clientes, empleados y
socios de negocios.
Un error de concepto habitual es que los datos se roban desde Internet, haciendo que mucha gente
tenga temor a utilizar la red. De hecho la mayoría de los robos electrónicos de identidad o robos de
información financiera no son realizados a través de Internet. En lugar de ello estos son
habitualmente tomados desde servidores dentro de la red donde están almacenados a menudo en
forma no encriptada. Una vez en el servidor, los hackers o sus propios empleados en busca de
ingresos extras podrán manejar los datos a voluntad y por lo general sin ser detectados.
En artículos anteriores, hemos enfatizado la necesidad de sólidos firewalls y controles sobre la
Extranet. En este artículo, quiero partir de el hecho de asumir que la red puede ser penetrada en
algún momento. Cuando esto ocurra (no si esto ocurre), serán necesarias múltiples defensas para
proteger sus datos y archivos de programas.
www.safecg.com
SAFE Consulting Group
Puntos de acceso a la red. El primer punto de acceso, y el más comprendido es desde Internet.
Aquí el control es una sólida defensa consistente en múltiples firewalls, software de detección de
intrusiones y buenos señuelos (Honey pots) para atraer y distraer a los hackers exitosos. Esto
incrementará la posibilidad de detección temprana. Otra forma popular de penetrar en una red es a
traves de los puntos de acceso inalámbricos. Aquí el control es utilizar tecnología CISCO y RADIUS
para crear un túnel seguro y encriptado para sus datos. También asegúrese de probar los puntos
vulnerables con cierta frecuencia. Estos ítems han sido cubiertos en artículos anteriores, por lo tanto
no me explayaré sobre ellos. En este artículo quisiera construir las defensas desde adentro hacia
fuera, en lugar de la tradicional metodología desde afuera hacia adentro.
Comencemos este proceso con el ítem más crítico que usted quisiera proteger, sus datos
confidenciales. Sus datos deberían estar clasificados para establecer si son públicos, confidenciales
o privados. Defino que los datos son públicos a todos aquellos que pueden imprimirse en la portada
del Wall Street Journal, sin que el CEO se ponga molesto. Los datos confidenciales son aquellos que
deben protegerse de distribución generalizada. Esto puede incluir información de clientes, registros
médicos, datos de producción, o listas de precios. Las leyes Federales y Estatales tales como la
HIPAA, obligan a la protección de los datos personales. La primera forma de protegerlos es
encriptarlos cuando se transmiten y cuando se almacenan. La mayoría de nuestros clientes
comprende la necesidad de encripción durante la transmisión, sin embargo la mayoría piensa que
encriptar el dato almacenado va demasiado lejos. También el costo de encriptar datos es mas alto
que el de no encriptarlos. Creo que en no mas de una década, la encripción de datos será algo muy
común. Mientras tanto, puede que usted no quiera iniciar la batalla por la encripción en su
organización.
Entonces, ¿qué podemos hacer si la encripción no es una opción?. Bueno, lo primero es
asegurarse de que todas las bases de datos y archivos están protegidos. Los permisos de acceso
están disponibles generalmente en sus servidores. Estos permisos se dividen de una forma u otra en
tres grupos básicos: el primero es el del propietario de los datos, que por lo general puede leer,
escribir, modificar, borrar o ejecutar los archivos. Los usuarios a menudo se colocan en grupos y
pueden ver la información disponible para ese grupo. Este acceso normalmente debería estar
restringido a la posibilidad de leer datos o ejecutar programas. En algunos casos el grupo puede
requerir escribir, modificar o borrar los datos o registros dentro de los datos. El tercer conjunto de
usuarios es lo que “cualquiera” o “world” (el mundo) pueden hacer. Estos son gente con usuarios
normales o cuentas de invitados al sistema que no pueden tener acceso como propietarios o gerentes
del grupo. Cualquiera que tenga acceso al sistema sólo debería poder leer datos públicos. No
deberían poder modificar, borrar o escribir sobre los datos. Si los datos están protegidos
correctamente, cuando el servidor se encuentra comprometido con una cuenta de un usuario normal,
el daño está limitado al acceso que este usuario tiene. Asegurandonos de que las bases de datos nopúblicas no pueden ser leídas por todo el mundo (World), estamos venciendo al hacker o al
empleado, o proveedor que desee robar fácilmente información.
Ahora mismo, sospecho que usted se está preguntando como determinar si los datos están
debidamente protegidos. Esto depende del sistema operativo, el cual en muchos casos está basado
en UNIX. En el mundo UNIX, ejecutamos un simple comando desde el directorio raíz (ls -albRF
>/tmp/salida.txt). Este comando produce un listado de todos los permisos de archivos. Cargamos
esto en una base de datos y luego ejecutamos algunos queries sobre esta. Podremos obtener una
lista de los archivos con acceso de lectura y escritura al mundo (world), así como la cantidad de
archivos en estas condiciones. Estos son archivos que pueden ser manipulados por un hacker o
empleados no autorizados, o en el caso de los archivos con acceso de escritura al mundo, pueden
ser alterados o modificados utilizando una cuenta normal.
Con otro query podemos buscar los archivos de bases de datos y los backups (generalmente
llamados exports). En la mayoría de los casos los exports son de lectura permitida al mundo (world
www.safecg.com
SAFE Consulting Group
readable). Dado que conocemos la ubicación de este archivo, podemos copiarlo fácilmente como un
hacker lo haría. Todo lo que debemos hacer ahora es importar la base de datos exportada en nuestra
propia base de datos, y sus datos, incluyendo la información de identidad relacionada, se convertirán
en nuestros datos.
Hay dos cosas muy sencillas que podemos hacer para evitar que los hackers roben las bases de
datos de esta forma. La primera es asegurar que solo el propietario o el grupo de administradores de
bases de datos pueden acceder las bases de datos export. No deben tener de ninguna manera
acceso de lectura al mundo (world access). Esto protegerá el export. Para reducir la cantidad de
archivos con acceso de lectura al mundo, configure el umask (un parámetro que define los permisos
por defecto cuando se crea un archivo) en 027. Ahora cuando los archivos se crean, estarán mejor
protegidos.
Continúa en la parte 2 – del Canaudit Perspective Newsletter
Los temas incluyen:
• Las 16 prioridades de Gordon para proteger el Sistema Operativo UNIX
Si usted considera interesante este artículo por favor reenvíelo a sus colegas o asociados
profesionales. Por favor por cualquier comentario envíenos un mail a publicaciones@safecg.com
Importante: Las opiniones expresadas representan los puntos de vista del autor de las mismas.-
© Canaudit Inc. Printed with permission
Por información adicional no dude en contactarnos en: info@safecg.com
www.safecg.com
SAFE Consulting Group
AMÉRICA: ARGENTINA, BRASIL, CHILE, MEXICO, PARAGUAY, URUGUAY
EUROPA: ESPAÑA
www.safecg.com
Descargar