En dos palabras: IM-PRESIONANTE. Esa fue la reacción que tuve al leer la noticia de que un estudio de Symantec habia clasificado a Windows como el sistema operativo más seguro.
Habitualmente se nos apunta con el dedo respecto de la seguridad de nuestros productos, esto debido más que nada a una razón histórica; es decir, comparaciones de productos antiguos y más que nada porque el paradigma en aquella época no era ls seguridad precisamente.
Los resultados de la encuesta que publica Symantec (ver aquí) está basado en la cantidad de vulnerabilidades que son detectadas por los fabricantes y/o la comunidad, la criticidad de las mismas y cuantos días le toma a la compañía el liberar el parche desde que son encontradas.
Ahora porqué importa esto? Simple, mientras más días le toma a una compañía arreglar sus vulnerabilidades se abre una ventana de vulnerabilidad para los usuarios, esa ventana es la que aprovechan quienes quieren vulnerar un sistema.
Veamos ahora las estadísticas obtenidas en los últimos 6 meses del 2006:
Lo que hay que entender es que está haciendo cada compañia al respecto.
¿Qué pasa con Microsoft respecto de la seguridad?
La pregunta es porqué está ocurriendo esto ahora. La respuesta es simple, es el resultado empírico de la iniciativa de Computación Confiable que partió en Microsoft hace 5 años y que tiene como misión velar por la seguridad de las soluciones basada en 4 pilares fundamentales:
Seguridad
En medio de los ataques a redes cada vez más frecuentes y sofisticados, los usuarios esperan que sus sistemas resistan y que se mantenga la confidencialidad, integridad y disponibilidad de los datos y del sistema.
Privacidad
La gente utiliza cada vez más equipos informáticos para administrar información que es importante en su vida diaria. Esperan y demandan control del acceso y el uso de su información personal.
Confiabilidad
Conforme crece la importancia de los equipos informáticos en el modo en que la gente trabaja y vive, se hace cada vez más necesario que rindan como se espera. Los usuarios buscan una experiencia informática coherente sin problemas.
Integridad empresarial
La visión que tiene la gente de la tecnología refleja su percepción del sector tecnológico. La confianza en la tecnología es más fuerte cuando la industria responde, es responsable y respetuosa.
Adicionalmente, a esto se creo una metodología de desarrollo segura basada en esta iniciativa llamada Ciclo de desarrollo seguro, SDLC. Donde se desarrollaron metodologías como Modelamiento de Amenazas, Defensa en profundidad y otras.
Esto dió como resultado metodologías que se usan de forma mandatoria en el desarrollo de todos los producto y se han publicado algunos libros. Para quienes desarrollan, les recomiendo Writing Secure Code y Threat Modeling. Además de todos los asociados a seguridad, revisenlos aquí.
Otro ejemplo que me gusta usar es respecto de la metodología conocida como SD3+C: Secure by Design, Secure by Default, Secure by Deployment + Comunicaciones. Donde se diseña el sistema de manera segura, por defecto no trae habilitado nada que pueda exponer la seguridad del sistema y se entregan las guías de implementación para realizarla de manera correcta. Todo esto unido a una clara comunicación de alertas de seguridad que se realiza el segundo martes de cada mes.
Un último ejemplo práctico de esto, es que a más de 1 año de su lanzamiento (7/11/2005) SQL Server 2005 no ha reportado ninguna vulnerabilidad crítica.
Por lo tanto una buena práctica es actualizar tu equipo con las actualizaciones de seguridad:
Bueno, nada más que reportar por ahora. :) Segurito!
Saludos, Christian.-
A pedido del público les comparto algunas otras herramientas de uso de análisis y gratuitas obviamente:
NMAP: utilitario de escáner de puertos gratuito, muy útil para saber que puertos están abiertos. Ojo con el tráfico a generar si escanean una red completa. Lo bueno es que detecta los puertos y para la mayor parte de los servicios conocidos los reconoce a través de los headers de respuesta :)
NetCat: utilitario que lee o escribe datos a través de la red. Esto permite hacer pruebas sobre comportamientos y debugging. Adicionalmente, permite crear conexiones y dejar puertos en listening.
Las anteriores muy conocidas en el mundo Open Source, ahora algunas de Sysinternals :)
ProcessMonitor v1.1: herramienta de monitoreo avanzado de procesos. Muestra en tiemp
o real información del sistema de archivos, registro y, obviamente, procesos y threads. Es la combinación de los antiguos: FileMon y RegMon.
AccessCheck v3.0: utilitario de seguridad que muestra los accesos permitidos de los usuarios y/o grupos a archivos, directorios, claves del registro y servicios.
PsExec v1.82: utilitario reemplazo de Telnet que permite ejecutar procesos en otros sistemas (servidores o clientes) con completa interactividad de consola y sin tener que instalar manualmente software cliente.
Espero que les sean de utilidad, cuenten como les va.
Espero sus comentarios.
Después de la sesión con Kai Axford, surgieron algunas preguntas de que herramientas de administración para simplicar la "vida" del IT y como encontrar la información valiosa.
Aqui hay algunas sugerencias:
EventCombMT: herramienta multi-thread (MT :) que permite realizar análisis de logs basados en criterios de búsqueda sobre los servidores o estaciones en un dominio. Excelente para verificar accesos inválidos o no autorizados.
Se baja desde aquí, ya que es parte de "Account Lockout and Management Tools". La instalación es muy simple y las intrucciones también :)
Detalles de como usarla en: http://support.microsoft.com/kb/824209
Process Explorer: parte de las herramientas de Sysinternals, que ahora es parte de Technet. Permite analizar en detalle los procesos que están corriendo, como por ejemplo, ver que archivos abre un proceso o las DLL's. Aqui está! incluso corriendo en Windows Vista:
Además pueden ver el detalle de cada proceso e incluso buscar online sobre econfigura l mismo:
AutoRuns: revisa que programas están configurados para iniciarse automáticamente cuando el sistema se inicia e inician sesión. Además, pueden ver todos los lugares del Registro donde esto se configura y otras ubicaciones donde se realiza.
También pueden ver los programas por categoría, por ejemplo Logon:
Finalmente, les recomiendo bajar las Resource Kit Tools para Windows 2003 desde aqui.
Espero las bajen y les ayuden. Se esperan comentarios al respecto.
La conferencia será:
Te hackearon, aprende como reaccionar
Respondiendo a Ataques Computaciones: ¡¿Cómo va a pasarme a mí?! Has asistido a todas las sesiones de entrenamiento. Has leído todas las guías de seguridad. No es posible que el titular del diario de esta mañana sea correcto. Te empieza a doler el estómago: "Mi red fue hackeada. Mi jefe quiere respuestas. ¿Qué voy a hacer ahora?" Asiste a esta informativa y entretenida sesión donde Kai Axford realizará demos de cómo y porqué ocurren estos ataques. Él mostrará las herramientas que necesitas para identificar correctamente un ataque y cómo recolectar la información necesaria como evidencia forense. Aprenderás cómo detectar y rastrear intrusiones de red y verás algunas de las herramientas forenses más populares que te ayudarán a encontrar información valiosa respecto del ataque.Es una invitación VIP, una oportunidad especial La conferencia será 100% en inglés, con traducción simultánea.Orador: Kai Axford
Inscríbete en:
http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032331335&Culture=es-CL (los cupos son limitados por lo tanto se priorizará inscripción y puntualidad)
Dirección: Microsoft Chile, Mariano Sánchez Fontecilla 310 piso 6, Las Condes, Santiago.
Biografía de Kai Axford
Kai Axford (CISSP, MCSE-Security) is a Senior Security Strategist in the Trustworthy Computing Group and has been with Microsoft for 7 years. He started as Windows Server Support Engineer and then joined Microsoft Sales to work with the IT Pro community as a TechNet Events presenter. In 2003, Kai took the role of TechNet Security Lead and presented with Microsoft CEO, Steve Ballmer, at the Security Summit in Toronto. He is a frequent speaker at security conferences, executive meetings and college campuses around the world.
Kai is pursuing a Masters Degree in Information Assurance and is a member of the Information Systems Security Association (ISSA) and the North Texas Electronic Crimes Task Force. He was the recipient of the 2006 “Rising Star” award from the Information Security Executive council. He is interested in security management and incident response.
Prior to Microsoft, Kai served as a leader with the U.S. Army's elite 75th Ranger Regiment. Originally from Wisconsin, Kai is a huge NFL Green Bay Packers fan. Kai is a goaltender for the Microsoft Texas hockey team and he is based in Dallas, Texas (where he finds the heat overwhelming).
Aquí les paso un video de Windows Server "Longhorn" que está disponible en MSN SoapBox. En él pueden ver las siguientes características de la nueva versión:
Ahora sólo les resta verlo.
Para aquellos que estén migrando a Windows Vista y no sepan donde buscar los drivers para esa tarjeta de red wireless, tarjeta de video. Les recomiendo el siguiente sitio:
RadarSync, donde encontraran de todo y gratis para bajarlo.
Comentarios y sugerencias bienvenidas.