num19_seguridad.pdf
TRANSCRIPT
Donde colocarSeguridad
No.1 9 / agosto-septiembre 201 3 ISSN: 1 251 478,
Explotación Kali Seguridad ybioinformación
Criptografíacuántica SCADAWPA y WPA2
19
Técnicas para quebrantar y protegerlos activos de información
Vulnerabilidadesde hoy
Contenido
Sistemas SCADA, algunas recomendaciones deseguridad – Parte II
< 04 >
Universidad Nacional Autónoma de México. Dirección General de Cómputo y Tecnologías de Información y Comunicación. Subdirección deSeguridad de la Información/UNAM-CERT. Revista .Seguridad Cultura de prevención para TI M.R., revista especial izada en temas de seguridaddel UNAM-CERT. Se autoriza la reproducción total o parcial de este artículo con fines de difusión y divulgación de los conocimientos aquíexpuestos, siempre y cuando se cite completa la fuente y dirección electrónica y se le de crédito correspondiente al autor.
< 08 >
< 1 6 >
< 20 >
< 24 >
< 31 >
Implicaciones jurídicas y de ciberseguridad parala protección de bioinformación humana ensu regulación legal, almacenamiento y uso –Parte I
¿Dónde colocamos al área de seguridadde la información?
Criptografía cuántica – Parte II
Pruebas de penetración para principiantes:explotando una vulnerabilidad conMetasploit Framework
Redes inalámbricas WPA/WPA2¿La protección ya no es suficiente?
Vulnerabilidades de hoyTécnicas para quebrantar y protegerlos activos de información
Desde el inicio de nuestro caminar sobre la tierranos hemos visto propicios a sufrir todo tipo deataques, parte de nuestra naturaleza es serdébiles: vulnerables… ¿Cómo hemos logrado,entonces, l legar al punto actual de desarrollocomo especie y como sociedad?
Una de las formas que mejor nos ha funcionadoes la capacidad de aprender de los peligros,reaccionando ante ellos, enfrentándolos,evadiéndolos y resistiéndolos. A tal punto quelas pestes de la Edad Media son solo recuerdospara la sociedad de la información actual.
Sin embargo, hoy nos enfrentamos a nuevospeligros, muy distintos a los de civi l izacionesanteriores. Un claro ejemplo es el riesgo quesignifica el mal manejo de nuestra información,tanto a nivel personal, como ser víctima de algúnfraude; a nivel de comunidad, como espionajescorporativos; y a nivel de humanidad, conresultados que no queremos imaginar.
En esta edición te invitamos a que conozcasalgunas de las técnicas actuales uti l izadas paraquebrantar la protección de nuestra información,de la mano de algunos escritos sobre cómoaminorar esta realidad. Esperamos que losartículos que estás por leer te sean úti les, tegeneren inquietudes y compartas tus opinionescon nosotros. Deseamos que la lectura de laediciónnúmero 1 9 de .Seguridad Cultura deprevención para TI te sea de gran ayuda en elarduocaminodehaceranuestrasociedadmenosvulnerable.
L.C.S Jazmín López SánchezEditoraSubdirección de Seguridad de la Información
.Seguridad Cultura de prevención TI M.R. / Número 1 9 /agosto - septiembre 201 3 / ISSN No. 1 251 478, 1 251 477 /Revista Bimestral, Registro de Marca 1 29829
DIRECCIÓN GENERAL DE CÓMPUTO Y DETECNOLOGÍAS DE INFORMACIÓN YCOMUNICACIÓN
DIRECTOR GENERALDr. Felipe Bracho Carpizo
DIRECTOR DE SISTEMAS Y SERVICIOS
INSTITUCIONALES
Act. José Fabián Romo Zamudio
SUBDIRECTOR DE SEGURIDAD DE LAINFORMACIÓN/ UNAM-CERTIng. Rubén Aquino Luna
DIRECCIÓN EDITORIALL.A. Célica Martínez Aponte
EDITORAL.C.S. Jazmín López Sánchez
CORRECCIÓN DE ESTILONora Cozaya Reyes
ARTE Y DISEÑOL.D.C.V. Abraham Ávila González
REVISIÓN DE CONTENIDORubén Aquino LunaFélix Hernández FuentesJesús Tonatihu Sánchez NeriAbraham Cueto MolinaÉrika Rodíguez PérezJosé Roberto Sánchez SoledadPablo Antonio LorenzanaSantra Atonal Jiménez
COLABORADORES EN ESTE NÚMEROJeffrey Steve Borbón SanabriaPaulo Santiago de Jesús Contreras FloresFernando CatoiraEduardo Carozco BlumszteinRandall Barnett VillalobosErika Gladys de León Guerrero
Editorial
UNAMCER
T
La asignación de recursos para crear un nuevocargo o área que sea responsable de la gestiónde la seguridad de la información es un reto queimplica demostrar que la seguridad no es ungasto, por el contrario, es una inversión quegenera valor al negocio, controla y previenediversos tipos de riesgos. También se requiereuti l izar otros argumentos convincentes quepermitan lograr el apoyo y compromiso de ladirección. Sin embargo, la historia no terminaahí, uno de los temas que la mayor parte de lasempresas pasan de forma desapercibida esdefinir dónde estará ubicado este nuevo cargoo área dentro del organigrama o estructura dela organización.
Una visión estratégica
A partir de experiencias propias y vivencias dealgunos colegas, la imagen y percepción delpersonal del área de seguridad, o en general
del área, puede impactar directamente la labora realizar. Esto se debe a diversos factores: elmás significativo de ellos es la visión como unárea técnica enfocada a temas de tecnología, lacual, con el paso de los años, se ha ido cambiandopara buscar un rol más estratégico y de apoyoen la toma de decisiones, por encima de ladefinición de reglas de firewall y gestión deantivirus, entre otras actividades.
Obtener este rol estratégico toma tiempo,además se basa en la generación de indicadoreso métricas (relacionados con la gestión) queapalanquen las actividades del negocio, unejemplo de esto puede ser la aparición yseguimiento de proyectos o actividades deseguridad de la información en el Balanced
Scorecard (Cuadro de Mando Integral) o dentrode la planeación estratégica de la organización,deestamanerase logra trascenderaquel estigmadel área que da permisos, autoriza, detieneproyectos, etc. , cambiando esa imagen
¿Dónde colocamos al área de seguridadde la información?Jeffrey Steve Borbón Sanabria
04
UNAMCER
T
y permitiendo ser un actor importante en la tomade decisiones en la organización, con ese rolde consejero o asesor que se mencionó al inicio.
Los esquemas tradicionales
Ahora bien, retomando la idea inicial, conrespecto a la ubicación del área de seguridad dela información o del personal dedicado a estasfunciones, hay varias opciones que acontinuación se analizan de manera detalladacon sus pros y contras.
Al interior de tecnología
Esta posición es una de las más usuales y, enrealidad, una de las más complejas de tratar.Aunque se trabaja de la mano con el personalresponsable de las tecnologías de informaciónde laorganización, pasadirectamente aserpartede este equipo de trabajo, de tal manera que escomún enfrentarse a situaciones en las que sepresentan confl ictos de intereses, un ejemplo deesto puede ser cuando se realiza un análisis devulnerabil idades o pruebas de intrusión a lainfraestructura tecnológica y los resultadosobtenidos no son favorables para la imagen delárea, por lo que será necesario ocultarinformación o presentarla de otra forma a ladirección, restándole importanciaa los hallazgosidentificados.Obviamente, esta situación sesoluciona al buscar cómo proteger la imagen dela función del personal del área ante la dirección,esta situación resulta en ocasiones común.
Sin embargo, un punto a favor de esta ubicaciónes el conocimiento y participación activa dentrode las actividades que realiza el área, pudiendoasí implementar controles y estrategias deseguridad de la información desde la fuente, loque puede reducir las debil idades o fallos de laseguridad de tecnologías y, a final de cuentasllevar a entornos productivos. Un punto final yque resulta decisivo, consiste en que, bajo estaposición dentro de la organización, la percepciónde la seguridad de la información se orienta a lotécnico y se presenta la situación mencionadahace algunos párrafos, donde no se ve la laborcomo se requiere que sea percibida.
Al interior de auditoría
Un segundo caso o situación, es la existenciadel área de seguridad de la informacióno ubicación del personal responsable de éstaal interior del área de auditoría. Bajo esteesquema se cuenta con una percepciónorientada al cumplimiento, en algunos casos,también policiva, lo cual es bueno en la medidaen que se propongan y entran en vigor políticas,procedimientos y otras medidas necesarias, sinembargo, también hay confl ictos de intereses enjuego, dado que esta área usualmente es laresponsable de validar que el resto de laorganización cumpla con las reglas y normativasestablecidas como marco interno decomportamiento o lineamientos.Por consiguiente, desde esta posiciónno sería posible esperar que el área de seguridadimplemente proyectos e iniciativas, dado quecae en el rol de juez y parte, contra uno de losprincipios de la auditoría y del control interno.
Al interior de la unidad de riesgos
Las organizaciones que cuentan con un áreaestablecida para la gestión de riesgos yel manejodel ciclo de vida de estos, tienen la posibi l idadde estructurar proyectos e iniciativas en posde la mitigación y con la responsabil idad delmanejo de riesgos de seguridad de lainformación. Desafortunadamente, hay unaposición a la que se puede enfrentar el área, verlacomo un obstáculo para el negocio. Lo anteriorsuele ocurrir cuando, desde el área de riesgos,se actúa de forma reactiva y se detieneniniciativas, proyectos o labores, al tratar deidentificar riesgos que pueden tener un altoimpacto y consecuencias adversas para laorganización. Es decir, se puede terminarobservando a la seguridad de la informacióncomo un obstáculo y se entraría en contra de unade las expectativas de la labor a desarrollar:Ser vistos como generadores de valor parael negocio.
¿Y entonces dónde?
Luego de visualizar cada escenario, podríaconcluirse que ningún espacio sirve, pero estoes falso, ya que hay una posición que
05
UNAMCER
T
estratégicamente es la más óptima y, al mismotiempo, la más compleja de lograr: dependerdirectamente de la dirección, es decir, organiza_cionalmente sería un área independiente deotras y reportaría a los altos mandos.
Esta idea no es utópica, se conocenorganizaciones que arduamente han logradosalir de roles técnicos y llegado a una posiciónde aporte y consejería para el negocio, que hacetangible la posición de un área consejera, deacompañamiento, estratégica e importante parael negocio. Bajo este esquema se evitanintermediarios y se alcanza una posición en laque acercarse a la dirección es más simple y setiene más peso dentro de la organización.
¿Y el presupuesto?
Decir que la implementación de seguridad dela información se puede hacer sin presupuestoes una idea errónea, por más que se cuentencon recursos de acceso abierto a nivel tecno_lógico, existen factores como la pedagogía ylaconcienciación, pornombraralgunos, que im_plican contar con recursos para ejecución decampañas y generación de material. Por su_puesto, es necesario contar con un músculoeconómico para inversión en soluciones, acti_vidades y otros factores igual de relevantes.
La recomendación es responsabil izar a cadaárea transversal del negocio de contarcon presupuesto para seguridad
de la información, esto se basa en una primeraidea que es simple, el área de seguridadno cuenta con fondos abundantes, por elcontrario, es un área que en muchos casos, pormás que genere valor, aún es percibida comoun gasto y no se dispondrá a manos llenas depresupuesto. Una segunda razón radica en quelos servicios se prestan para el negocio, si ésteaportará valor o brindará mejoras para unosprocesos o actividades de un área, entonces elárea correspondiente es la que lo debe costear,es decir, el usuario del mismo. Esto ayudará acambiar la percepción de que el área deseguridad compite con la de tecnología por serquien logra gastar másrecursos económicos,recursos humanos y por supuesto, físicos.Resumiendo, el área debe contar conpresupuesto propio, pero no es quien debecostear los proyectos de seguridad asociados alas áreas del negocio, sino por el contrario, lasmismas áreas deben aportar para estasinversiones, lo cual quiere decir que se debenhacer labores de planeación estratégica paradeterminaroportunamente quéproyectos tendráel negocio y qué se requerirá en términos deseguridad y que así sean asignados recursospor la dirección y las áreas responsables.
Una última idea que apalanca lo anteriormentepresentado es una frase coloquial que tienemucho sentido: “Si no le duele a las áreasla inversión en seguridad, no la valorarán igual”,el principio es simple, si todo lo carga el áreade seguridad, entonces a las demás no lesimplicará un esfuerzo técnico, físico, de recursohumano y, principalmente, económico, por loque probablemente no valoren la inversióncomo debería ser.
En la actualidad, en mi labor como Oficial deSeguridad de la Información, trabajo en un áreadiferente a las anteriormente mencionadas,pero he percibido una estrategia provechosa yconsiste en descentralizar la responsabil idadde la seguridad de la información en unaestructura de roles que, a través de varias áreasdel negocio, permitan hacer esos roles tácticos,operativos, de control, legales a lo largo de laempresa, contando con responsables endiferentes unidades organizacionales.Esta visión ha permitido apalancar proyectos
06
UNAMCER
T
de una manera más óptima, ayudando tambiéna reducir tanta labor de lobby consiguiendo“patrocinio” área por área, que aunque es unalabor necesaria, por momentos llega a serdesgastante. Al final, independientementedel lugaren el quesecoloqueel área oel personal,lo primero y más importante es contar con eseapoyo de la alta gerencia para contratar y dedicarrecursos. Además, desde el principio esimportante mostrar que “no somos un gasto,somosunainversiónquegeneravalor” y no sólocon palabras, sino con hechos.
Jeffrey Steve Borbón Sanabria
Ingeniero de sistemas con estudios de másteren seguridad Informática y especial ización enGestión de Riesgos. Ha desarrollado roles entorno a la gestión de TI y de la seguridad de lainformación en diversos mercados tales comoEnergía, Educación, Financiero, entre otros.Actualmente se desempeña como oficial deseguridad de la información de un grupo em_presarial del mercado energético. Cuenta conalgunas certificaciones y estudios complemen_tarios.
07
UNAMCER
T
Implementación del algoritmo de Shor
Recordando el ejemplo de la aplicación teóricadel algoritmo de Shor descrito en la anteriorentrega de este artículo, el intruso Eve calculólos factores primos p = 5 y q = 3 para el productode ellos n = 1 5 y de esta forma obtuvo la l laveprivada del remitente Bob y descifró el mensajesiguiendo el algoritmo RSA. Siete años despuésde que Peter Shor publicara su algoritmo1 , en2001 , científicos del Centro de InvestigaciónAlmaden de IBM, en San José California, EstadosUnidos, consiguieronejecutarel algoritmodeShoren una computadora cuántica basada enResonancia Nuclear Electromagnética,calculando correctamente los factores primos delproducto n = 1 5, uti l izando 1 08 moléculas, cadauna de ellas de 7 átomos2. A continuación seexplicará cómo es que con una computadoracuántica se pudo lograr este desarrollo.
Los bits
La electrónica digital es la base de lascomputadoras actuales y a través de ésta, elprocesamiento de la información se realiza sobrela unidad básica de información, el bit (binary digito dígito binario), el cual almacena solamente dosposibles valores por unidad de tiempo,comúnmente interpretados como “0” o “1 ”, nuncalos dos valores al mismo tiempo.A estos dosvalores lógicos, dependiendo del contexto en quese trabaje, se les otorga una interpretación, porejemplo, si se trabaja en un ambiente geofísico,el “1 ” podría interpretarse como el registro de unsismo detectado de ondas p, y el “0” como unregistro de un sismo detectado de ondas s.Es posible uti l izar varios bits al mismo tiempopara así formar valores de mayor tamaño, porejemplo, la siguiente tabla muestra larepresentación en bits de los números decimales3 y 5:
Criptografía cuántica – Parte IIPaulo Santiago de Jesús Contreras Flores
08
UNAMCER
T
Las operaciones en una computadora estándadas por el uso de las proposiciones lógicas,por ejemplo la negación (not), la disyunción (or)o la conjunción (and)3. Si se quiere hacer elproducto de 3 y 5, se hará uso de la proposiciónlógica conjunción.
La computadora toma los valores en binariode ambos números, ejecuta sobre ellosla operación y obtiene el resultado.Los procesadores solamente pueden ejecutaruna operación a la vez por unidad de tiempo.Tomando el ejemplo anterior, supongamos queahora queremos obtener el valor q de la ecuación3*q = 1 5, con una computadora actual habría queencontrar los posibles valores de q probandocada valor posible a través de una operaciónlógica a la vez, en la siguiente tabla podemosobservar los resultados para los posibles valoresde q:
Se realizarían 6 operaciones, una por cada ciclodel procesador, para encontrar el resultadocorrecto; otra opción sería contar con unprocesador para cada operación, por lo quese deberá considerar tener al menos 6procesadores trabajando simultáneamentepara obtener el resultado correcto en un solociclo del procesador. Es por eso que el cálculode los factores planteados en el artículo anteriorcon uno o varios procesadores actuales tomaríaun tiempo considerablemente grande.
Los qubits
El término qubit proviene de quantum bit obit cuántico. La alta velocidad de procesamientode las computadoras cuánticas en comparacióncon las computadoras actuales, se debe al usode propiedades descubiertas en partículassubatómicas que permiten tener a la vez,por ejemplo, todos los valores posibles paraun cómputo dado.
Como los bits, un qubit puede tener dosposibles estados, 0 ó 1 , para diferenciarlosde los bits clásicos (que se usan en la electrónicadigital) se uti l iza la notación de Dirac (usada pararepresentar el estado físico de un sistemacuántico4 ), quedando de la forma |0> o |1>(en alguna literatura relacionada se les suelenombrar como ket uno y ket cero); pero un qubitpuedeencontrarseen un estadode superposiciónarbitraria (combinación de sus dos posiblesestados), es decir, el qubit puede almacenar tanto|0> o |1> al mismo tiempo durante el cómputoy antes de que se mida su valor5, esto permitiríarealizar múltiples operaciones simultáneamente,pero una vez medido el estado del qubit,éste permanecerá en ese estado.
El estado de superposición del qubit se puederepresentar por la función:
Ψ= a|0> + b|1>
En donde los coeficientes a y b son númeroscomplejos.
La probabil idad de que se encuentre con un valor|0> o |1> está dada por la norma al cuadrado,es decir:
|a|2+|b|2 = 1Mientras no se mida el estado del qubit,éste puede permanecer en el estado desuperposición, cuando el valor sea medido,el qubit saldrá del estado de superposición,entonces, se tendrá una cierta probabil idadde que se encuentre con un valor |0> o conun valor |1>. Esto se debe a que todo sistemacuántico posee como propiedad fundamentalun carácter probabilístico6.
09
UNAMCER
T
De lamisma forma que los bits clásicos, los qubitspueden formar arreglos para representar lainformación, si tomamos el ejemplo de labúsqueda del valor q para la ecuación3*q = 1 5 de los bits clásicos anteriores, podemostener en un solo procesador cuántico todos losposibles valores de q al mismo tiempo consolamente 3 qubits:
Ψ= x0|000> + x1|001> + … + x5|101>+ x6|110> + x7|111>
En donde la función Ψ representa el estado delqubit, los coeficientes xn son números complejosy la norma de xn corresponde a la probabil idadde que la computadora se encuentre en eseestado, es decir:
•la probabil idad de que la computadorase encuentre en el estado |000> es de |x0|2•la probabil idad de que la computadorase encuentre en el estado |001 > es de |x1 |2•…•la probabil idad de que la computadorase encuentre en el estado | 1 01 > es de |x5|2•…
Una vez que se realice la medición del resultadocorrecto y descartando las opciones erróneas7,los qubits quedarán como:
Ψ=|101>
Y se romperá el estado de superposición,quedando el valor |101> definido. A esteconcepto se le conoce como paralel ismocuántico, en general la idea de paralel ismocuántico es recorrer al mismo tiempo todoslosposibles valoresquepodría tomarun cómputo,en este caso un cálculo de una operaciónde multipl icación8.La superposición cuántica dala posibi l idad de que con un arreglo de n qubitsse puedan representar 2n valores simultáneos .Porejemplo, un cómputosobre300qubits lograríael mismo efecto que 2300 cómputos simultáneossobre bits clásicos1 0.
Con esta capacidad de cómputo de lascomputadoras cuánticas se podrá aplicar coneficiencia el algoritmo de Shor para encontraren un tiempo razonablemente corto loscoeficientes p y q necesarios para calcular lasllaves de cifrado y descifrado del algoritmo RSA,el cual es el soporte para protocolos y esquemasde comunicación y cifrado comoSSL o PKI.
El espín
Una propiedad del mundo físico que puede seruti l izada para representar al qubit es el espín(del inglésspin, girar), esunapropiedad intrínsecadel electrón (tal como lo es la masa y la cargaeléctrica). Es común encontrar en la l iteratura
1 0
UNAMCER
T
relacionada la analogía entre la rotación de unobjeto del mundo macroscópico, por ejemplo, untrompo o el movimiento de rotación de la tierra eimaginar al espín como una cantidad (momentomagnético) del campo magnético que genera elelectrón que gira sobre su propio eje; aunqueesta propiedad debe considerarse como unconcepto cuántico, sin una analogía detallada dela mecánica clásica.
Dependiendo de la orientación del campomagnético es como se representa el espín,siempre con una cantidad de este campo biendefinida. Por ejemplo, el valor del espín delelectrón es de ½, y dentro del átomo, si estáalineado con el espín del núcleo, se dice que elespín tiene orientación hacia arriba , y si estáalineado en la dirección contraria tiene espínhacia abajo . Esta propiedad del electrón sepuede usar para representar el valor de un qubit,el valor de |0> puede ser orientación hacia arribao si tiene orientación hacia abajo se dice que tieneel valor |1>. Se puede representar de lasiguiente forma:
a| > + b| >a|0> + b|1>
Fortalecimientoenladistribucióndeclaves,el protocolo BB84
Hasta el momento se ha hablado del tema,solamente desde el punto de vista de la resoluciónpor medio de una computadora cuántica de unalgoritmo de cifrado actual, como lo es RSA,pero con los descubrimientos sobre elcomportamiento de las partículas, también se hanplanteado el uso de sus propiedades cuánticaspara fortalecer las comunicaciones. Un ejemplode esto es en el envío de claves a travésdel protocolo BB84, creado en 1 984 por CharlesBennet y Gil les Brassard1 1 .
Una forma de implementación de los qubits es através de fotones, con ellos se pueden obtenercuatro posibles polarizaciones horizontal,vertical, diagonal derecha o diagonal izquierda,es en esta partícula de luz en que se basa elplanteamiento del protocolo BB84.
Consideremos de nuevo a tres actores, Alice, Bobyel intruso Eve. En el ejemplo del artículo anterior,Eve interceptaba ilegítimamente la conversaciónsin que Alice o Bob lo advirtieran.Para este ejemplo, Alice envía a través de uncanal cuántico a Bob un bit al que le aplicó unabase, la cual es un estado de polarización de unfotón (polarización horizontal, vertical, diagonalderecha o diagonal izquierda) y es usada comoun fi ltro; entonces Alice envía a Bob |1>,un bit 1 con una polarización “–“ (polarizaciónhorizontal, 0o sobre un plano), Bob aplicará unabase elegida de forma previa y aleatoria al bitrecibido de Alice, si Bob eligió una base conpolarización horizontal, el resultado de aplicarlaa lo recibido por Alice será un 1, que es el bitenviado por Alice. En cambio, si aplica una basecon polarización vertical, el resultado será 0, queno corresponde al bit enviado por Alice, es decirse produjo un error, en cualquier caso Bobconservará su resultado en secreto.
Una vez que ha finalizado la transmisión de losdatos por este canal cuántico, Alice y Bobcomparan sus bases públicamente, es decir, porun canal clásico, se quedarán solamente con lainformación que obtuvieron cuando ambosmidieron sobre la misma base, es decir, cuandono hubo errores, este dato será la clave entreambos1 2.
La siguiente tabla i lustrará mejor el concepto,fue tomada del trabajo realizado por GustavoRigolin y Andrés Anibal Rieznik. Las primerascinco líneas corresponden a una transmisión através de un canal cuántico, las siguientes cincolíneas corresponden a una transmisión por uncanal clásico. Y la última es la clave compartidaque usarán durante su comunicación. El ejemploconsideralapérdidadebitsdurantelatransmisión.
La base A corresponde a una polarizaciónhorizontal, es decir que el fotón tiene unapolarización de 0o respecto al plano y la base Bcorrespondeaunapolarización diagonal derecha,es decir que el fotón tiene una polarización de45o respecto al plano.
Lasmediciones de Bob hubieran salido erróneas,a pesar de haber elegido la misma base de Alice,si Eve hubiera interceptado los datos al uti l izareste protocolo. Alice y Bob eligen unos datos
1 1
UNAMCER
T
Se han estudiado y probado diversas técnicaspara la creación de una computadora cuántica.Pero, aunque exista esta diversidad deposibi l idades de sistemas cuánticos, lascomputadoras cuánticas deberán cumplir conciertas características para ser consideradascomo tales. En el año 2000, David P. DiVincenzo,investigador de IBM, propuso cinco criteriosprincipales para considerar un sistema cuánticocomo computadora cuántica1 5.
1 .Tener caracterizada la noción de qubit ypoder ensamblar varios de ellos.2.Contar con un conjunto de compuertascuánticas primitivas que permitan realizar
cualquier algoritmo.3.Poder iniciar una lista de qubits enestados puros determinados.4.Poder ejecutar la operación de tomade mediciones.5.Que los tiempos de coherencia excedanlos de aplicación de las compuertascuánticas primitivas 1 6.
A partir del cumplimiento de estos criterioses que se han creado diversas propuestas.A continuación se enlistan algunas1 7.•Resonancia Nuclear Electromagnética
al azar, que anuncian públicamente, con el fin decalcular el porcentaje de error (razón de los datosque no coincidieron), si el error está por encimadel 1 0%, eliminan sus datos y podrían volver arealizar el protocolo1 3. Con esto se tiene certezasobre la privacidad de su clave secreta alpercatarse si es que hubo un intruso durantela comunicación.
Con este planteamiento, se podrá resolver unode los principales objetivos de la criptografía,la distribución segura de claves criptográficasentre dos partes que inicialmente no compartenninguna información secreta1 4.
Las computadoras cuánticas
En la investigación científica con frecuenciaexiste una brecha entre el planteamiento de losestudios, los resultados teóricos y su recreaciónen el mundo real, porque cuando se trata de crearlo propuesto en la teoría, se encuentrancomplicaciones de tipo técnico. Y la búsquedadel desarrollo de una computadora cuántica noes la excepción.
1 2
UNAMCER
T
•Cavidad electrodinámica cuántica•Trampas de iones•Átomos neutros•Técnicas ópticas•Superconductividad•Técnicas de estado sólido
Como se mencionó al principio, el desarrollo dela computadora cuántica en 2001 , por científicosdel Centro de Investigación Almaden de IBM, sebasóen laResonanciaNuclearElectromagnética.Este dispositivo está formado por moléculas quese encuentran en una solución líquida atemperatura ambiente, almacena los qubits en elespín de los átomos de cada molécula y lasmanipula a través de radiación electromagnética.Los núcleos de estas moléculas tienen espín ½ ytienenorientacioneshacia“arriba”ohacia“abajo”.
La factorización de 1 5 como el producto de 3 por5 se logró con un conjunto de moléculas, sieteespines en cada molécula actuando como sietequbits, sin embargo, el modelo no podríaextenderse a más de 1 0 qubits 1 8.
Otramotivación parael estudio de la computacióncuántica se debe a la creación de componenteselectrónicos cada vez más pequeños, l legará elmomento en que, por el tamaño de éstos,empezarán a aparecer fenómenos de lamecánica cuántica en esos desarrollos.
La computación cuántica es un área que irá encrecimiento, probablemente las primerascomputadoras comerciales serán unacombinación de la tecnología de la electrónicadigital y de la computación cuántica. Con eldesarrollo de esta área se abre un mundo deposibi l idades, porque las implementacionesno se limitan a una sola técnica.
De la misma forma como avanzan lasimplementaciones de las primeras computadorascuánticas, será necesario que la criptografíacuántica avance ypruebe los desarrollos actualespara que pueda ofrecer la confidencial idad y laintegridad a este nuevo cómputo.
Por último, enlisto tres enlaces referentes ainvestigaciones de IBM con el cómputo cuántico.
IBM Says Practical Quantum Computersare Close
IBM Paves The Way Towards ScalableQuantum Computing
IBM Research Advances Device Performancefor Quantum Computing
Quiero agradecer a Tonatiuh Sánchez Neri y aFélix Hernández Fuentes por sus acertadoscomentarios y observaciones a este trabajo,
1 3
UNAMCER
T
a la editora de la revista Jazmín López Sánchezy al diseñador Abraham Ávila por su apoyo ypaciencia para la publicación del mismo;también a la profesora M. en C. Ma. JaquelinaLópez Barrientos quien motivó durante miformación académica mi interés por este tema.
1El desarrollo del algoritmo de Shor se encuentra
disponible en http://arxiv.org/pdf/quant-ph/9508027v2
(ago-2013)2IBM's Test-Tube Quantum Computer Makes History.
IBM, 2001. Disponible en http://www-
03.ibm.com/press/us/en/pressrelease/965.wss (ago-
2013)3TRELLES, ROSALES. Introducción a la lógica. Pontificia
Universidad Católica del Perú. 2ª ed. 2002.4LÉVY, ÉLIE. Diccionario Akal de física, Akal, España,
2008.5ARREOLA, Verónica. Computación Cuántica, México,
Universidad Nacional Autónoma de México, Facultad de
Ciencias, 2004.6KLIMOV, Andrei B. “Información cuántica: ideas y
perspectivas”, en Revista Cinvestav , México, IPN, v27,
n1 enero-marzo, 2008.7El descartar las opciones erróneas se logra con el
concepto de interferencia, que es un caso particular de
la superposición, se dejará al lector la tarea de
profundizar con apoyo de las referencias.8ARREOLA, Verónica. Computación Cuántica, México,
Universidad Nacional Autónoma de México, Facultad de
Ciencias, 2004.9VARGAS, BRANCH. Quantum computing's state of the
art. Revista Avances en Sistemas e Informática, Vol 6
Num 2. Colombia. 2009.10ARREOLA, Verónica. Computación Cuántica. México,
Universidad Nacional Autónoma de México, Facultad de
Ciencias, 2004.11El documento original puede consultarse en
http://researcher.watson.ibm.com/researcher/files/us-
bennetc/BB84highest.pdf (ago-2013)12LÓPEZ, Barrientos Ma. Jaquelina. Criptografía,
México, Universidad Nacional Autónoma de México,
Facultad de Ingeniería, 2009.13ARREOLA, Verónica. Computación Cuántica. México,
Universidad Nacional Autónoma de México, Facultad de
Ciencias, 2004.14RIGOLIN, RDIEZNIK. Introdução à criptografia
quântica. Revista Brasileira de Ensino de Física, v. 27, n.
4, Brasil. 2005. Disponible en
http://www.scielo.br/pdf/rbef/v27n4/a04v27n4.pdf
(ago-2013)
15DIVINCENZO, David P. The Physical Implementation of
Quantum Computation. IBM, 2008. Disponible en
http://arxiv.org/pdf/quant-ph/0002077v3 (ago-2013)16MORALES-LUNA, Guillermo. “Computación cuántica:
un esbozo de sus métodos y desarrollo”. IPN, Revista
Cinvestav. v26. 2007.17Ibid.18Ibid.
Paulo Santiago de Jesús Contreras Flores
Egresado de la carrera de Ingeniería enComputación de la Facultad de Ingeniería de laUNAM, cursando el módulo de especial izaciónde redes y seguridad. Formó parte de la cuartageneración del Plan de becarios de seguridaden cómputo impartido por la Subdirección deSeguridad de la Información/UNAM-CERT através de la DGTIC de la UNAM.
Actualmente colabora en laSSI/UNAM-CERTenel área de Detección de Intrusos y TecnologíasHoneypot, realizando pruebas en tecnologíashoneypot y aplicaciones de detección de tráficomalicioso.
Cuenta con las certificaciones Certified EthicalHacking (CEH) y Computer Hacking ForensicInvestigator (CHFI) del ECCouncil .
1 4
UNAMCER
T
Porotro lado, la combinación de estos protocolosen conjunto con WPS ( Wi-Fi Protected Setup),no da el resultado esperado, sino que se exponeinformación debido a que existen vulnera_bil idades que eliminan la protección brindadapor la fortaleza de estos protocolos.
De lo anterior se deriva la herramienta Reaver,muy popular en los últimos meses, la cualaprovecha la divulgación para vulnerar redesinalámbricas del tipo de cifrado WPA/WPA2.Finalmente, la fortaleza per se que uti l izaWPA/WPA2 está dada por el nivel de robustezde la contraseña, por lo que las contraseñassin la fortaleza suficiente o configuradas por
Se tiene la idea de que las redes inalámbricas802.1 1 cuentan con un nivel de protección altocuando se encuentran configuradas medianteun cifrado WPA/WPA2, sin embargo, esimportante hacer tres observaciones conrespecto a este tema.
La primera se relaciona con la protecciónestablecida por estos protocolos, debido a queprincipalmente se refieren a la autenticación, porlo que otros elementos básicos de seguridad,como la disponibi l idad, no son cubiertos por elcontrol, lo que implica la implementación de unconjunto de medidas adicionales paraproporcionar un nivel de seguridad aceptable.
Redes inalámbricas WPA/WPA2¿La protección ya no es suficiente?Erika Gladys De León Guerrero
1 5
UNAMCER
T
Método PBC
Mediante el método PBC es posible aplicarcifrado de datos al presionar un botón físicoo lógico situado en el Access Point y el cl iente.
El uso de WPS simplifica algunas tareasrequeridas al momento de configurar una redinalámbrica, por ejemplo, la generación deSSID y contraseña. Además, permite al usuarioproteger la red automáticamente mediantelos dos métodos mencionados previamente.Otro tipo deproteccionesqueofreceeste sistemaconsiste en revisar la configuración de la claveWPA2 y el SSID. Tiene una función tiempo deesperaparacancelarel procesodeconfiguraciónsi el intercambio de credenciales no se establecedemaneraoportuna. Paramejorar lacomplej idadde la contraseña, el sistema genera contraseñasrobustas evitando que el usuario configurecontraseñas fáciles de adivinar.
¿Cómo funciona WPS?
WPS proporciona un procedimiento simpley consistente para agregar nuevos dispositivosa redes Wi-Fi, este procedimiento está basadoen un protocolo de detección homogéneo porparte de los fabricantes. El procedimiento uti l izaautomáticamente un elemento para expedircredenciales a los dispositivos que estánasociados en la red. Todos los Access Point
defecto por los fabricantes, son vulnerablesa ataques de fuerza bruta. A lo largo del artículose expondrá principalmente el segundo punto,debido a que los otros son más triviales.
¿Qué es WPS?
Wi-Fi Protected Setup™ es un programaopcional de certificación que proporciona laWi-Fi All iance1 , diseñado para facil i tar la ins_talación y configuración de seguridad en redesinalámbricasdeárealocal 802.1 1 . Esteprogramafue presentado por la Wi-Fi Alliance a principiosde 2007, proporciona un conjunto de solucionesde configuración de red parahogaresypequeñasoficinas. Permite administrar y configurar demanera segura los elementos de una redinalámbrica pequeña sin necesidad de tenerconocimientos avanzados en el tema2.
En WPS existen dos opciones principales deconfiguración de seguridad, PersonalIdentification Number (PIN) y Push ButtonConfiguration (PBC), los Access Point debenofrecer ambas opciones y los clientes deben ofrecer, al menos, la opción de seguridad PIN.
Método PIN
En este método se proporciona un PIN a losdistintos dispositivos que se quieren integrara la red con la finalidad de garantizar que dichodispositivo es válido, previniendo la conexiónaccidental o maliciosa de dispositivos nodeseados. El PIN suele estar impreso en elAccess Point, como se muestra en la figura 2,y lo proporciona el proveedor de servicio deInternet. Este código debe ser ingresado por elusuario mediante una interfaz gráfica o unaaplicación proporcionada por el Access Point.
Imagen 1 . . Logo WPS
Imagen 2. PIN impreso en AP
1 6
UNAMCER
T
certificados con WPS poseen capacidad deregistro de nuevos dispositivos. Además, elelemento que registra puede residir en cualquierdispositivo de la red. Un elemento de registro quereside en elAccessPointse conoce como InternalRegistrar o elemento de registro interno. Unelemento de registro que reside en otro dispo_sitivo de la red se conoce comoExternal Registraro elemento de registro externo. WPS puedeadmitir varios elementos de registro en unasola red3.
El proceso para la configuración de un nuevodispositivo en la WLAN comienza con una accióniniciada por el asistente de configuración eintroduce el PIN o presiona el botón PBC. Éstaes la etapa donde el usuario pretende acceder ala red. WPS inicia el intercambio de informaciónentre el dispositivo y el elemento de registro. Esteúltimo expide las credenciales de red (SSID yclave de seguridad) que autorizan al cl iente aunirse a ésta. Una vez otorgado el acceso, elnuevo dispositivo puede comunicarse de formasegura transmitiendo datos a través de la red yevitando accesosno autorizados. Una vez queWPS ha finalizado y concede el acceso, laconfiguración es guardada, por lo que el usuariono tiene que realizar el procedimiento cada vezque quiera acceder. El dispositivo, una vez
encendido, realizará una búsqueda automáticapara asociarse a la red.
WPS puede cifrar los datos y autenticar cadadispositivo, también puede ser uti l izado en unared abierta, sin cifrado. El intercambio decredenciales de red e información inalámbricasse realiza mediante el protocolo de autenticaciónextensible (EAP-WSC), uno de los protocolos deautenticación uti l izados en WPA. Se estableceun handshake en el que los dispositivos seautentican mutuamente y de ese modo un clienteesaceptadoen la red, puesel elementode registrocomunica el SSID y la clave WPA2 previamentecompartida (PSK). El uso de un PSK al azarmejora la seguridad al el iminar el uso decontraseñas que pueden ser previsibles y fácilesde obtener. Por otro lado, en el método deinstalación tradicional, el usuario debe configurarmanualmente el Access Point para soportar eltipo de cifrado con PSK y, a continuación, debeintroducir manualmente el SSID y PSK tanto enel AP como en el cl iente. Este enfoque está sujetoaerroresdel usuarioa travésdeunamalaescriturade PSK y SSID. Con WPS, el proceso deintercambio de credenciales requiere pocaintervención del usuario, solo hasta que se hacompletado la primera acción de configuración(introducir el PIN o presionar el botón PBC),
1 7
UNAMCER
T
ya que la red emite el nombre y PSK. La mayoríade los fabricantes, incluyendo Cisco/Linksys,Netgear, D-Link, Belkin, Buffalo, ZyXEL yTechnicolor tienen dispositivos certificados enWPS, otros proveedores como TP-Link no estáncertificados pero cuentan con soporte paraWPS.
PIN Internal Registrar
Como se comentó anteriormente, el usuario debeingresar el PIN en el adaptador de Wi-Fi dentrode una interfaz web del Access Point. El PINpuede estar impreso en el dispositivo (AccessPoint).
PIN External Registrar
El usuario tiene que ingresar el PIN en eldispositivo del cl iente, por ejemplo, en unacomputadora.
Una vez que se ha explicado teóricamente elfuncionamiento de los dos métodos empleadosporWPS, se explicarán las vulnerabil idades a lascuales está expuesto.
Problema de seguridaden PIN External Registrar
Debido a que el método de PIN External Registrarno requiere ningún tipo de autenticación,independiente al acto de proporcionar el PIN,es potencialmente vulnerable a ataques defuerza bruta.
El investigador Stefan Viehböck ha detectadouna vulnerabil idad en el proceso de autenticaciónque permite a un atacante reducir el númerode intentos y comprobaciones en un ataquede fuerza bruta para descubrir el PIN de acceso
1 8
UNAMCER
T
a la red que usa el AP en el protocolo WPS4. Elataque es posible, debido a que el protocolo WPSno implementa la posibi l idad de limitar el númerode intentos posibles. Además, la vulnerabil idaddetectada reduce el tiempo necesario pararealizar este tipo de ataque a un intervalo detiempo de 4 a 1 0 horas.
La vulnerabil idad ha sido detectada en losmensajes EAP-NACKque envía el Registrar (AP)al cl iente y/o dispositivo con la primera y segundamitad del PIN, al iniciar una autenticación externamediante códigoPIN. Esta formade autenticaciónreduce drásticamente el número de intentosnecesarios paraaveriguarel PIN, disminuyéndolode 1 0^8 (1 00.000.000) a ~ 20.000.
Un atacante puede obtener información acercade la exactitud de los elementos del PIN basadaen las respuestas del Access Point:• Si se recibe un mensaje EAP-NACK despuésde enviar M4, se sabe que la primera mitad delPIN es incorrecta.• Si se recibe un mensaje EAP-NACK despuésde enviar M6, sabe que la segunda mitad delPIN es incorrecta.
Así los intentos sufren un decremento de1 08=1 00 000 000 a 1 04 + 1 04 =20 000.Como el último dígito pertenece al checksumdel PIN, los intentos se reducen a1 04 + 1 03 =1 1 000.
La vulnerabil idad se puede resumir como lasusceptibi l idad aataquesde fuerzabrutadeWPS,específicamente PINWPS, esta vulnerabil idad esdada debido a que la implementación permiteindicarcuándo laprimeramitad del PIN escorrectalo que reduce considerablemente la cantidadde intentos al ejecutar un ataque de fuerza bruta.Para disminuir el grado de dificultad para laobtención del PIN mediante combinacionesreiteradas, el último dígito es conocido debidoa que este dígito representa el checksum o sumade verificación del PIN. Estos dos factores dancomo resultado un total de 1 0^8 a 1 0^4 + 1 0^3lo que significa 1 1 ,000 intentos en total.
La siguiente tabla permite visualizar mejorlo explicado anteriormente:
Esta vulnerabil idad está referenciada bajoel identificador CVE-201 1 -50535, donde esposible ver los productos afectados ydetalles extra.
Para casos más prácticos, existen herramientascomo Reaver, las cuales son capacesde identificar la clave WPA/WPA2-PSKde cualquier Access Point que tenga activadoWPS. Otra opción es el código6 escrito deStefan Viehböck, el cual está incluidoen su artículo.
El resultado de la herramienta Reaver puedeobservarse en la siguiente imagen:
Mitigación o solución
Se recomienda la desactivación de WPS paraeliminar esta vulnerabil idad, algunosproveedores han desarrollado guías especialespara su desactivación, sin embargo, existendispositivos que no lo permiten.
1 http://www.wi-fi.org/
2 https://www.wi-fi.org/knowledge-center/white-
papers/wi-fi-certified-wi-fi-protected-setup%E2%84%A2-
easing-user-experience-home-a-0
3 https://www.wi-
fi.org/download.php?file=/home/webs/wifi/public_html/sit
1 9
UNAMCER
T
es/default/files/downloads-registered/wp_20101216_Wi-
Fi_Protected_Setup.pdf
4 http://www.seguridadparatodos.es/2012/01/
vulnerabilidad-en-el-protocolo-wifi.html
5 http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-
2011-5053
6 http://sviehb.files.wordpress.com/2011/12/
viehboeck_wps.pdf
Referencias
http://www.seguridadparatodos.es/2012/01/vulnerabilida
d-en-el-protocolo- Wi-Fi.html
http://sviehb.wordpress.com/2011/12/27/wi-fi-protected-
setup-pin-brute-force-vulnerability/
http://www.kb.cert.org/vuls/id/723755
https://www.wi-fi.org/knowledge-center/white-papers/wi-
fi-certified-wi-fi-protected-setup%E2%84%A2-easing-
user-experience-home-a-0
https://code.google.com/p/reaver-wps/
http://www.tacnetsol.com/news/2011/12/28/cracking- Wi-
Fi-protected-setup-with-reaver.html
https://www.wi-fi.org/download.php?file=/home/webs/ Wi-
Fi/public_html/sites/default/files/downloads-
registered/wp_20101216_Wi-Fi_Protected_Setup.pdf
Erika Gladys De León Guerrero
Recibió el título de Ingeniera en Computación enla Universidad Nacional Autónoma de México(UNAM). Más de 8 años de experiencia enSeguridad de la Información, participando comoconsultora, ponente, instructora y académica,implementando y ejecutando proyectos de granimportancia a nivel nacional. Cuenta conexperienciaen PruebasdePenetración (Pentest),Análisis forense, Análisis de Vulnerabil idades,Sistemas de Gestión de Seguridad de laInformación (SGSI), Auditoría e Investigaciónsobre nuevas tecnologías de seguridad. Haimpartido cursos y talleres junto a expertosinternacionales. Ha impartido conferencias ycursos anivel nacional. Haasistido aconferenciasinternacionales como BlackHat (Briefings) y
Defcon, además de recibir capacitacióninternacional en 201 2 y 201 3 en BlackHatTraining con los cursosSQL Injection yAdvancedWindows Explotation (AWE).
Pasante de la Maestría en Ingeniería enSeguridad y Tecnologías de la Información(ESIME-IPN). Ex colaboradora de laSubdirección de Seguridad de la Información(SSI/UNAM-CERT). Auditor interno y líder.Académica en lamaestría de redes en el InstitutoTecnológico Superior de Sinaloa.
20
UNAMCER
T
Pruebas de penetración para principiantes:explotando una vulnerabilidad conMetasploit FrameworkLockpicking
La versión gratuita y limitada de Metasploitframework Community es una herramienta quepermite ejecutar y desarrollar exploits contrasistemas objetivos. Actualmente se encuentraintegrado con Kali Linux, una distribución deLinux con diversas herramientas orientadas a laseguridad y es ampliamente uti l izado pararealizar pruebas de penetración. En la revistaanterior mencionamos algunas de lasherramientas más importantes para adentrarseen el mundo de las pruebas de penetración.Ahora, uti l izaremos Metasploit para mostrarpaso a paso la explotación de un servidorvulnerable.
¿Qué etapas se contemplan durante unaprueba de penetración?
Para realizar una prueba de penetración esnecesario considerar diferentes etapas. Laprimeradeellasconsiste en recopilar informaciónsobre el sistema objetivo y comúnmente se leconoce como etapa de reconocimiento. A partirde los datosobtenidos, se tomarán las decisionesacordes y los pasos a seguir en etapasposteriores. Una vez que los datos han sidorecopilados y analizados, se procede a lainstancia donde se realizará la explotación sobreel sistema objetivo.
Fernando Catoira
UNAMCER
T
La selección de los exploits que se uti l izarándependerá exclusivamente de la informaciónobtenida en la etapa anterior. Finalmente, unavez realizado el ataque, se analiza el impacto,posiblemente, se realizarán nuevas acciones apartir de este último. La documentación y lageneración de reportes concluyen las pruebasde penetración y suelen reflejar el trabajocompleto por parte del pentester (persona quelleva a cabo la prueba de penetración).
Existen diferentes metodologías que puedenimplementarse para realizar pruebas depenetración, donde cada una de las variantesdifiere principalmente en las técnicas y métodospara llevaracabo las respectivas tareas. Algunasmetodologías son del tipo blackbox, dondebásicamente no se conoce ningún tipo deinformación sobre el sistema objetivo. Encontraposición, están las de whitebox, donde setiene información sobre el sistemaobjetivo, comopuede ser código fuente de aplicaciones,configuraciones, entre otras alternativas. A suvez, existen diferentes etapas de acuerdo a lametodología uti l izada.
En este caso, sin realizar distinción de lametodología, haremos foco sobre la etapa dereconocimiento. Dentro de ésta existen dosformas de recopilar la información, ya seade forma activa o pasiva. En el primer caso lainformación se obtiene directamente del sistemaobjetivo y en el segundo de forma indirecta.Finalmente ejecutaremos la etapa deexplotación, ya que nos permitirá obtener unpanorama general de lo que realmente involucrauna prueba de penetración. Asimismo, unanálisis completo involucra otras etapas, talescomo la de enumeración, acceso, entre otras.
¿Cómo comenzar?
Para que los lectores puedan hacer el ataquepaso a paso deberían instalar dos máquinasvirtuales conectadas entre sí. Paraello es posibleuti l izar VMWare o en su defecto VirtualBox, enrealidad existen otras alternativas, aunque estasdos son las más populares. Las dos máquinasvirtualesquedeben instalarseson lassiguientes:
• Linux: como mencionábamos en el númeroanterior de la revista, es la distribución parapruebas de penetración por excelencia bajola l icencia GPL, se puede descargar desde:http://www.kali .org/• Metasploitable 2: es una máquina creadacon fines académicos, que ya posee variasvulnerabil idades que permiten que seasencil lo realizar pruebas sobre la misma, sepuede descargar desde:http://sourceforge.net/projects/metasploitable/fi les/Metasploitable2/
Para continuar, es importante verificar queambas máquinas tengan visibi l idad entre sí (esdecir, que puedan comunicarse). Esto puedecorroborarse con un simple ping entre las dos.Después, desde la máquina en Kali Linux (todoel ejercicio se desarrolla en esta máquina, lasegunda solo oficia como objetivo del ataque,pero no se realizarán acciones en ésta más alláde prenderla para “atacarla”) uti l izaremos laconsola deMetasploit(msfconsole)de dondese lanzarán todos los comandoscorrespondientes sobre el servidor en el que sedesea realizar la prueba de penetración. Paraabrir la consola, solo hace falta el comando:
> msfconsole
Information gathering
Para recopilar información es posible uti l izarNmap desde la propia consola de Metasploit.Para ello, basta con solo invocar el comando“db_nmap”. Los parámetros que puedenuti l izarse son los mismos que acepta Nmap.De esta manera, los resultados seránalmacenados en la base de datos de Metasploit.Paraobtener unaobservación rápidadel sistemaobjetivo, se ingresa el siguiente comando:
> db_nmap {dirección ip} p 165535
La dirección IP de la máquina objetivo es posibleaveriguarla mediante el comando ifconfig(este comando se uti l iza en las distribucionesde Linux para conocer las direcciones IP delas diferentes interfaces de red).
22
UNAMCER
T
Con el comando anterior se realiza un escaneosobre todos los puertos del sistema objetivo.De esta manera, tal como se especificóanteriormente, los resultados seránalmacenados en la base de datos.Para consultarlos, es necesario ingresaralguno de los siguientes comandos:
• Hosts: Imprime por pantalla información detodos los sistemas que fueron analizados.• Services: Imprime por pantalla todos lospuertos y servicios asociados que fuerondescubiertos durante el análisis con Nmap.• Vulns: Describe las vulnerabil idades quefueron descubiertas durante el análisis.
Sin embargo, en esta instancia es posible queno se cuente con demasiada información sobrelos servicios descubiertos en el sistema objetivo.De estamanera, uti l izando lamismaherramienta(Nmap) es posible determinar, por ejemplo, laversión específica de un servicio. Esto se puedelograr mediante el siguiente comando:
> db_nmap –sV {dirección ip} –p{puerto de interés}
El parámetro “sV” indica que examine la versiónespecífica del servicio. A modo de ejemplo,ejecutamos el siguiente comando para averiguar
laversión sobreel servicio queseestáejecutandoen el puerto 21 , uti l izado comúnmente por elservicio FTP.
> db_nmap –sV 172.16.1.119 –p 21
Si ahora se ejecuta el comando “services”,nuevamente, se obtendrá información específicadel servicio analizado.
Explotación
Suponiendo que se ha encontrado informaciónde un servicio en especial, es posible determinara partir de ésta, si el mismo es vulnerable.Uti l izando la consola, se realiza una búsquedade un exploit en particular para ese servicio yluego se llevará a cabo la explotación del mismo.Para realizar la búsqueda se ingresa el siguientecomando:
> search {cadena}(para buscar una cadena específicaque corresponda a un exploit en particular)
> search cve:{código CVE}(para buscar un exploit en particular a partirdel identificador CVE)
Asimismo, si se desea conocer todos los posible
23
UNAMCER
T
parámetros de búsqueda, es posible accedera la ayuda mediante el siguiente comando:
> help search
Tal como se muestra en el comando anterior,si se conociera el identificador OSVDB de unavulnerabil idad, entonces será posible buscar elexploit para dicho identificador. Esto tambiénpuede llevarse a cabo uti l izando otros
identificadores, como por ejemplo, el CVE.Para seleccionar el exploit se introduce elcomando “use” seguido de la ruta del exploitseleccionado. En este caso el comando seríael siguiente:
> use exploit/unix/ftp/vsftpd_234_backdoor
Una vez seleccionado el exploit que se vaa uti l izar, se deben configurar aquellosparámetros necesarios a través de la consola.Para ver las opciones, se debe ingresar elcomando “show options”, el cual enumera todoslos parámetros indicando si son opcionalesu obligatorios mediante el campo “required”.
En esta instancia, ya es posible configurar losparámetros. Para realizar esta tarea se debeuti l izar el comando “set” seguido del parámetroy el valor que se desea establecer. Para esteejemplo, el comando es el siguiente:
> set RHOST 172.16.1.119
Payload
Básicamente, el payload es la secuencia deinstrucciones que se ejecutarán una vez que sehaya explotado con éxito la vulnerabil idad.Metasploit Framework posee diversos payloadscon diferentes funcionalidades para cada tipo dearquitectura. Mediante el comando “showpayloads” se pueden visualizar cuáles soncompatibles. De esta forma, se uti l iza el siguientecomando para establecer el payload:
En este caso hemos elegido el payloadcmd/unix/interact. Sin embargo, para conocertodos los payloads que son compatibles conel exploit que se va a uti l izar, existe un comandopara realizar el l istado correspondiente:
> show payloads
De lamismamanera, si se desea conocer cuálesson los parámetros configurables del payloadseleccionado, es posible ejecutar el comando:
> show options
Luego de que todos los parámetros ya han sidoconfigurados, será posible l levar a cabo laexplotación. Para ello, basta con ejecutar elcomando “exploit” y esperar que Metasploithaga su trabajo.En esta instancia, si todo ha resultado bien,se obtiene una shell de comandos sobre elsistema que ha sido atacado, permitiendoejecutar cualquier comando en dicho sistema.
Por ejemplo, a continuación se puede observarun comando de listado de directorios:
24
UNAMCER
T
En este caso se obtuvo acceso a un servidor através de un servicio FTP vulnerable. Mediantela identificación de la versión del servicio se pudoencontrar el exploit adecuado. De la mismamanera, se inyectó un payload capaz dedisponer una shell de comandos a merceddel atacante.
Si bien este es un ejemplo específico, dondeel acceso se logró a través de una vulnerabil idadconocida por una versión antigua del softwareVsftpd, también es posible que esto ocurraen un escenario real. Asimismo, los ataquesreales pueden sermáscomplejos o combinados.Sin embargo, esto es un buen comienzo paratener noción sobre cómo se realizan ataquescon Metasploit.
Finalmente, vale la pena destacar que noexiste una herramienta capaz de ejecutarautomáticamente una prueba de penetraciónde calidad. El auditor, es decir, quien realizalas pruebas de penetración (pentester),siempre debe recurrir al uso de su imaginacióny conocimiento, cualidades que pondrán a sudisposición una gama de herramientas quele permitirán ejecutar una prueba precisay contundente sobre el sistema para obtener
Fernando Catoira
Se desempeña actualmente como Analista de
Seguridad en la empresa ESET Latinoamérica,dedicada al desarrollo, investigación ycomercial ización de soluciones de protecciónantivirus y seguridad informática.
Catoira trabajó de manera independiente comodesarrollador de sistemas de información paradistintas organizaciones. Por otra parte, poseeconocimientos en los siguientes lenguajes deprogramación: Java, JavaScript, JSP, PHP,Python y cuenta con manejo de los sistemasoperativos Windows y Linux.
25
UNAMCER
T
Hoy en día, la Ciberseguridad adquiere un papelpreponderante respecto a laBioinformática, peroal decantar más allá del tópico citado, sevislumbra otro punto importante: ¿Existe unaregulación legal apropiada para la adquisición,almacenamiento, organización, gestión ydistribución de ingentes cantidades de datos einformación de carácter biológico? Ecuya red deconocimiento integral se basa en ciencias comola Bioestadística, Medicina, Electrónica,Informática, Química o Matemática, entre otras.
Como se puede notar, es fundamental que todoese conglomerado de conocimiento estédebidamente asegurado ante posiblesamenazas más allá del robo o el acceso noautorizado, es decir, que sea uti l izado con finesbélicos, como la creación de armas biológicasgenéticamente modificadas para poblacionesparticulares o bien, vigi lancia intrusiva sobrenúcleos poblacionales vulnerables a ciertasenfermedades. Parece que la barrera de loinverosímil cada vez se hace más difusa ante un
Implicaciones jurídicas y de ciberseguridadpara la protección de bioinformaciónhumana en su regulación legal,almacenamiento y uso – Parte IRandall Barnett Villalobos
26
UNAMCER
T
Casos como México, Uruguay o Costa Ricacuentan con leyes que regulan el uso de los datospúblicos y privados, sin embargo, son pocos lospaíses que cuentan con una ley específica parala reglamentación del Banco Nacional de DatosGenéticos3, ejemplo de ello, Argentina.
El análisis de ADN para indagaciones judicialeso científicas que permiten identificar a laspersonas a partir de variados rastros escomúnmente uti l izado, pero para que estapoderosa herramienta rinda todo su potencial alservicio de la justicia o de la ciencia, se requieredisponer de bases de datos en las que figurenlos perfi les genéticos de posibles estrel las deldeporte, posibles científicos bri l lantes, soldadosresistentes y, por qué no, perfi les genéticosde delincuentes.
¿Estamos en franca desventaja como personas,ante una recolección de datos biológicos enmedios informáticos privados y estatales?Pese a los congresos internacionales como elCongresoLatinoamericanodeGenéticaHumanao locales como el Congreso Mexicano deGenética Humana, donde se promulga laimportancia y uso de los datos biológicos en lagenética clínica, tamizaje neonatal,enfermedades complejas, entre otros temas derelevancia, la respuesta es: sí.
Piensa por un momento en las grandestransnacionales que invierten mil lonarioscapitales para alimentar a la l lamada “Guerra dePatentes”, que a su vez, se alimenta de ese caldode agujeros legales que tanto dañan nuestraLatinoamérica. Medita esta prerrogativa: sihipotéticamente sufrieras de una enfermedadparticular, cuya investigación solo se puederealizar en decenas de humanos a nivel mundial,¿seríaalgopor lo cual unacompañíapodríapagargrandes cantidades de dinero, con tal de obtenerel mapa genético de la enfermedad y asípatentizar una cura?
Almacenamiento masivode datos genéticos
Toda estrategia para el manejo de datosdebe aplicar una gestión adecuada para laconservación y cuidado de éstos. Veamos:
mundo que no conoce límites y, que si bienmuchos gobiernos realizan gestas parasalvaguardar los datos privados a nivel legal,existen otros que saben que la información es elnuevo “petróleo” por el cual vale saltarsecualquier código moral o legal.
Basado en las proyecciones realizadas por EMCCorporation [NYSE:EMC]1 , para el año 2020la información digital manejada en el mundoentero alcanzará los 40 zetabytes. En términosde volumen, estos 40 ZB de datos sonequivalentes a 5,247 GB de informaciónelaborada y administrada por persona a nivelmundial. Haciendo una comparación másgráfica, esta cantidad de datos sería equivalentea 57 veces la cantidad de granos de arena quehay en todas las playas del mundo. Además,NYSE:EMC estimó que para ese mismo año, un62% de este Universo Digital2 será producidoen los mercados emergentes, tal como lastecnologías móviles.
Ante este escenario, nuestra Latinoamérica haoptado por la creación y puesta en marcha deleyes de protección de los datos personales.
27
UNAMCER
T
1 . Lo primero que deberíamos considerar esque sea un lugar seguro. Es decir, de accesorestringido, con respaldo redundante enconectividad, en fin, que este Centro de Datoscumpla con un TIER IV4 para reducir casi acero sus vulnerabil idades.
2. Sería necesario implementaruna tecnologíaque permita administrar automáticamentedatos de múltiples fuentes, así sea desde elámbito de la nube, tecnología móvil u otrocentro de datos.
3. Debido a que existirían múltiples fuentes dedatos posibles, también sería idóneo disponerde un medio para indexar el contenido de todosestos datos. Esto con el fin de que cualquiertipo de información sea localizable a travésde una sola interfaz.
4. Otropunto importante sería laadministracióncentralizada de los datos, que debería recaeren personal altamente capacitado, con valoreséticos y con probidad comprobable. Además,el organismo que resguarda estos datos
—¿debería ser estatal?— Puesto que lasinstituciones autónomas, en general, son másreguladas que las privadas, seríalo más lógico.
5. No dejemos de lado la parte legal, que al finy al cabo, es la que certificaría que toda lainformación suministrada o sustraída cumplacon un debido proceso, que a su vez tengauna regulación legal aprobada por cada país yexista difusión clara por medios decomunicación adecuados.
Lo anterior parece una descripción básica yrepetitiva de cualquier centro de datosde cualquier lugar del mundo —¿Cuál deberíaser el factor diferenciador que constituye a uncentro de datos genéticos, que no constituye aotro tipo de banco de información?—
Para darles una pista veamos dos casos.El primero, Brasil . Para el 1 2 de marzo del 201 3,se instituye por el decreto N° 7950 el BancoNacional de Perfi lesGenéticos y laRed Integradade Bancos de Perfi les Genéticos de la República
28
UNAMCER
T
de Brasil4.Dicho banco tiene por objetivoprincipal, recolectar información de personascondenadas por asesinatos, homicidios y otrosdelitos de sangre a fin de reforzar el trabajo dela Policía Científica. El presidente de laAsociación Nacional de Peritos Criminales de laPolicía Federal Brasileña, Hélio Buchm ller,consideró que ese banco de datos será unaherramienta “fundamental” para reducir losíndices de violencia y limitar la reincidencia enlos crímenes de sangre.
El segundocasoesArgentina. El BancoNacionalde Datos Genéticos creado por la ley N° 26548del 26 de noviembre del 20095, en su artículo N°2, cita que el banco fue creado para: “garantizarla obtención, almacenamiento y análisis de lainformación genética que sea necesaria comoprueba para el esclarecimiento de delitos de lesahumanidad…”. Esta ley garantiza que lainformación genética que allí estuviere solopodrá ser suministrada por solicitud judicial, conel fin exclusivo de respaldar el debido procesode dictámenes periciales. Esto se debió a unclamor político, ya que en tiempos convulsos dela República Argentina se dio el l lamado“Terrorismo de Estado” y con esos rastrosgenéticos centralizados sería posible identificara posibles víctimas.
Si ya les cruzó la idea por la cabeza, la respuestasería: Derechos Humanos. Hoy en día, con lorevolucionado de las telecomunicaciones, estara miles de kilómetros de un lugar y tener laposibi l idad de saber quién fue tu madre, buscara un hermano muerto durante un crimen en otropaís o conocer las causas de una enfermedadparticular, debería reducirse al hecho de quecomo personas, tenemos derechos inalienablesy que ciencias como la Bioinformática yCiberseguridad, son un puente amplio y segurocon el cual contar.
1 EMC Corporation (NYSE: EMC) es una empresa que
integra la American Fortune 500 y S&P 500 fabricante
de software y almacenamiento de información.
http://bit.ly/13rg9Dj
2 Universo Digital es un servicio de información en
línea gratuito fundado en 2006 por Joe Firmage, CEO
de ManyOne.
3 El Banco Nacional de Datos Genéticos es un
organismo autónomo y autárquico dentro de la órbita
del Ministerio de Ciencia de Argentina. Ley:
http://bit.ly/16QXcXJ
4 Existe un estándar llamado ANSI/TIA-942
Telecommunications Infrastructure Standard for Data
Centers.
5 Documento resumen de legislación extranjera sobre
Bancos de Datos Genéticos: http://bit.ly/17w7gFA
6 Ley de Regulación del Banco Nacional de Datos
Genéticos de Argentina: http://bit.ly/1bExCrZ
Referencias
Durán Díaz, Edmundo, "Criminología y bioética. La
manipulación genética", Revista Anual de la Asociación
de Derecho de la Pontificia Universidad Católica del
Ecuador, Quito, año XLV, núm. 37, t. I, Ecuador, 1994, pp.
46 y 47.
Matozzo de Romualdi, Liliana, "La biotecnología y el
derecho a la identidad", Cuadernos de Bioética, Santiago,
España, vol. VII, núm. 25, 1996, p.14 y 11.
Rabdall Barnett Vil lalobos
Master en Informática y Computación de laUniversidad de Costa Rica. Desarrollador yanalista de bases de datos del InstitutoCostarricense de Electricidad. Seis años deexperiencia en desarrollo de software antifraudeen telecomunicaciones y exprofesor deinformática. Twitter: @elbartocr
29
UNAMCER
T
Sistemas SCADA,algunas recomendaciones de seguridad –Parte IIEduardo Carozo Blumsztein,Leonardo Vidal
En el número anterior describimos los problemasque enfrentan las implementaciones deseguridad que se aplican a las redes industriales(ICS: IndustrialControlSystem) . Históricamente,estos sistemas nacieron en una situacióndiferente a la que operan hoy en día: eranimplementados en recintos cerrados,controlando dispositivos físicos cercanos(frecuentemente bajo línea de vista del operador)y bajo estrictos controles de acceso físico en elinterior de la instalación industrial que debíanmedir o controlar. La seguridad se controlaba porobscuridad, dejando la red desconectada de suentorno y dando acceso a un número limitado deempleados especial izados. Es frecuenteencontrarse con estos sistemas operando sininterrupciones ni actualizaciones desde hacevarios años.
Por esta forma de gestión, en el pasado lossistemas SCADA eran relativamente inmunes alas intrusiones y ataques que sufrieron las redesen el exterior, no por ser más resistentes,sino porque estaban desconectados y eraninaccesibles desde las redes administrativaso Internet.
Es importante aclarar que los operadores deestos sistemas de control industrial, siguenpercibiendo y trabajando con estos sistemascomo si fueran aislados e implícitamenteseguros, aún cuando en la misma consolaen la que gestionan las instalaciones,eventualmente puedan tener un cliente de correoelectrónico corporativo o miren las noticias en unnavegador con acceso a Internet.
UNAMCER
T
Por otra parte, en los países con mayor cantidadde implementaciones de control industrial ydesarrollo tecnológico, los referentes deseguridad han identificado este tema comoun aspecto central a proteger, por ejemplo,citemos a Janet Napolitano del Departamentode Seguridad Interna de Estados Unidos: “Un9/11 cibernético, que podría paralizar lasinfraestructuras críticas, como lastelecomunicaciones, el agua, la electricidad y elgas, pueden ser inminentes (sic). No debemosesperar hasta que haya un 9/11 en el mundocibernético. Hay cosas que podemos y debe_mos estar haciendo en este momento que,aunque no pueda evitarlo, puede atenuar lamagnitud del daño…”.
Además, la cantidad de vulnerabil idadesidentificadas en infraestructuras críticas como lared de energía, instalaciones de suministro deagua, sistemas de telecomunicaciones y detransporte, se han disparado un 600% desde201 0, según los datos reportados en elVulnerabilityThreatReport de NSS Labs, en eltrabajo de DELL Security Works. En la figurasiguiente se muestra una comparación de lacantidad de vulnerabil idades identificadas en losnavegadores más populares, en “flash” y en“java”, respecto de las vulnerabil idadesidentificadas en sistemas SCADA de ampliadifusión.
Entendamos al enemigo:“Advanced Persistent Threat (APT)”,¿qué son?
Existen múltiples grupos de técnicos que a nivelglobal ofrecen la capacidad e intención firme delograr intrusiones a objetivos específicos, con laintención de, por ejemplo: robar secretosindustriales, detener procesos críticos denaciones, empresas u organizaciones,extorsionar con base a liberar informaciónconfidencial o destruir información esencial, etc.Los incentivos económicos para la realizaciónde estas actividades suelen ser muy altos yestán financiando la instalación silenciosa demuchas herramientas de software malicioso entodo sistema de control industrial al que setenga acceso.
Una vez que se accede a unos cuantos de estossistemas, lo habitual sería analizar qué tipo dedominio se puede ejercer sobre los mismos y seofrecen dichos activos como objetivos, a actoresinteresados en financiar el ataque a laorganización en el momento oportuno.
Entonces es necesario desarrollar las APT paraque sean indetectables, duraderas, adaptablesyprovoquen ataques tenacesa la infraestructura,pensando focalmente en una infraestructuracrítica objetivo.
El primer APT ampliamente reconocido ha sidoStuxnet, un malware tipificado como gusano,desarrollado en 201 0, que se dispersa enprogramas SCADA (WinCC) desarrollados porSiemens. Él mismo pudo ingresar a su objetivo(que era un sistema con un altísimo grado deaislamiento físico y lógico) presumiblementea través de una memoria USB infectada.
Imagen1 . Navegador web(izq) – Sistemas de control SCADA (der)
31
UNAMCER
T
Usted se preguntará: —¿cómo llega unamemoriaUSB con malware, a una computadoradentro de una instalación aislada?—
Una forma podría ser ésta: en Internet buscae imprime el logo de la empresa u organizaciónobjetivo, ve a una tienda de regalosempresariales y compra 1 0 memorias USB debaja calidad que llevarán en el lomo el logoimpreso que se obtuvo; luego incorpora a lamemoria información aparentementecorporativa (un Excel o Word con datosinventados) y el malware que se necesitaintroducir a la red de la organización objetivo.A la mañana siguiente ve al estacionamientode la organización víctima, estaciónate en unextremo alejado y cada 60 metros deja caer
de auna, lasmemorias al suelo. Cuando lleguenlos empleados de la organización a su jornadalaboral harán el resto del trabajo que falta(conectando la memoria USB a su equipo deoficina) para brindarte un acceso remoto adiferentes equipos de la organización. Conmenos de 30 dólares ya ingresaste a la redcorporativa.
En el caso de Stuxnet, además de laorganización de Irán que fue objetivo del ataque,se infectaron más de cien mil ordenadores de
organizaciones (como Chevron) que usabansistemas similares, generando una diversidad dedañoscolaterales, queaúncontinúanocurriendo.Esta situación muestra que un actor en elciberespacio puede causar graves dañosa poblaciones enteras, atacando un objetivoespecífico sin medir consecuencias en otrasinfraestructuras que tengan componentessimilares.
Duqu, Flame y Gauss, son otros ejemplos demalware catalogado como APT y que hanprovocado grandes daños físicos, inclusive hansido señalados como la causa de muerte devarias personas en explosiones provocadas enbases mil itares.Con este panorama, —¿cómo sabemos si
nuestro ICS está infectado?—Lamentablemente, lo más probable es que estésconviviendo con tu enemigo todos los díaspuestoque Internet está en todos lados, ya sea en tuequipo o en un pequeño Smart-meter que mideun tanque a distancia usando la red de datoscelular, a través de un equipo de consulta en unaremota instalación o por un estacionamiento“sembrado” con memorias USB queseguramente tengan alguna versión de estosgusanos instalada (si correscon suerte, lo más normal es que el mismo
32
UNAMCER
T
se encuentre inactivo y posiblementedisfuncional por desconocer la topología de sured, o descansando hasta encontrar el momentoadecuado para despertar).
Finalmente, para ilustrar el ciclo de vida de lasAPT, compartimos una imagen de DELLSecureWorks:
Como se puede observar, el trabajo realizadosobrecadaobjetivo implicaenfoqueydedicación,por lo que de momento solo están siendoatacadas algunas organizaciones con altaexposición por razones específicas,generalmente económicas o políticas. Pero nodebemos olvidar el daño colateral sufrido porotras organizaciones, sobre todo porque sonactores pasivos y sin defensa frente a un ataquecomo los descritos, es decir, ataques con un altogrado de sofisticación.
Temas urgentes a tratar para mejorarla seguridad de nuestro Sistema deControl Industrial
Lasconsideracionesanterioresestánmostrandoque la aparente tranquil idad de la que sedisfrutó hasta el momento en la gestión delos ICS está por terminar. Para ello sugerimosalgunas líneas de trabajo:
33
UNAMCER
T
1 . Lanecesidad de realizarun inventario detalladode todos los elementos que constituyen el ICSque tenemos que asegurar, conociendo estadosde actualización, variables críticas y dispositivosclaves para la continuidad.
2. Identificar roles de las personas y aclararlosexplícitamentea todos losoperadoresdel sistemaICS, dichos roles deben reflejarse en losprivi legios de las personas para conel sistema.
3. La necesidad de describir detalladamente laspolíticas y procedimientos de uso de los sistemasy computadores asociados al ICS, sobre todo alas personas encargadas de diseño y desplieguede los dispositivos del sistema, así como delpersonal de reciente ingreso a la organización.
4. Disponer de un proceso sistemático de revisiónde riesgo físico y tecnológico, basado envulnerabil idades derivadas de alertasrealizadas por:
a. Los proveedores de los equipos.b. Centros de alertas especial izados(ICS-CERT:http://ics-cert.us-cert.gov/,www.securityincidents.net).c. Revisiones físicas completas delequipamiento del ICS, según un programa derevisión periódico diseñado con la gerencia deriesgo e ingeniería.
5. Proveer de entrenamiento y capacitación sobreconductas ydetección de incidentes de seguridaden los sistemas de control industrial.
6. Diseñar la red basados en (IS-99), bajo lasegmentación en “zonas” y “conductos”, de formaque promuevan la defensa en profundidad.
7. Implantar controles exigentes de acceso físicoy lógico a los elementos críticos del ICS.
8. Establecer un exhaustivo hardening de loscomponentes principales del sistema (muchos delos ataques son mitigados por esta actividad).
9. Uti l izarcomponentes industriales robustos, contasas de MTBF (Mean Time Between Failures,tiempo transcurrido entre una falla y otra) altas.
1 0. Diseñar la red que los soportacon redundancia.
1 1 . Uti l izar firewalls específicos para sistemasSCADA.
1 2. Establecer algún sistema deDeepPacketInspection (inspección profundade paquetes), que genere alarmas por paquetesinusuales en la red.
1 3. Establecer una política de gestión de vulne_rabil idades que incluya el concepto deworkarounds (configuración que no corrige lavulnerabil idad, pero ayuda a bloquearel ataque mientras se puede realizar el cam_bio/parche definitivo).
Referencias
Lifecycle of an Advanced Persistent Threat – DELL
Secure Works
http://www.secureworks.com/assets/pdf-
store/articles/Lifecycle_of_an_APT_G.pdf
Barack Obama Executive Order -- Improving Critical
Infrastructure Cybersecurity
http://www.whitehouse.gov/the-press-
office/2013/02/12/executive-order-improving-critical-
infrastructure-cybersecurity
Guide to Industrial Control Systems (ICS) Security
http://csrc.nist.gov/publications/nistpubs/800-82/SP800-
82-final.pdf
Recommendations of the National Instituteof Standards
and Technology - NIST Special Publication 800-82 -
June 2011
http://csrc.nist.gov/publications/nistpubs/800-82/SP800-
82-final.pdf
Using ANSI/ISA-99 Standards to Improve Control System
Security - Tofino Security, May 2012
http://web.tofinosecurity.com/download-the-white-paper-
using-ansi-/-isa-99-standards-to-improve-control-system-
security/
ANSI/ISA-99 Standards: Security for Industrial
Automation and Control Systems
34
UNAMCER
T
https://www.isa.org/Template.cfm?Section=Standards2&t
emplate=/Ecommerce/ProductDisplay.cfm&ProductID=1
0243
SCADA and CIP Security in a Post-Stuxnet World
http://www.tofinosecurity.com/professional/scada-and-
cip-security-post-stuxnet-world
The Future of Critical Infrastructure SecurityEric Byres -
Byres Security Inc – Tofino Security
http://www.tofinosecurity.com/professional/scada-and-
cip-security-post-stuxnet-world
VulnerabilityThreatTrends,StefanFrei-NSSLabs,Feb2013
https://www.nsslabs.com/system/files/public-
report/files/Vulnerability%20Threat%20Trends.pdf
The Industrial Control Systems Cyber Emergency
Response Team (ICS-CERT)
http://ics-cert.us-cert.gov/
https://ics-cert.us-cert.gov/ics-archive
Repository of Industrial Security Incidents - RiSi
http://www.securityincidents.net/
Eduardo Carozo Blumsztein
Gerente de Comercial ización de ITC SADirector Equipo de Seguridad de la InformaciónMiembro del Comité Asesor del ProyectoAMPARO de LACNICProfesor de Posgrado en Seguridad de laInformación en la Facultad de Ingeniería de laUniversidad de la República, dependiente de suInstituto de Computación (INCO)
35
UNAMCER
T
Revista .Seguridad Cultura de prevención para TI
No.1 9 / agosto-septiembre 201 3 ISSN: 1 251 478, 1 251 477