Seguridad básica para empresas

Son muchas las empresas expuestas a la pérdida o robo de datos sensibles. La recuperación de los mismos implica grandes quebraderos de cabeza y, en el peor de los casos, grandes pérdidas económicas.
Hace un tiempo Microsoft elaboró una guía interesante sobre seguridad básica para empresas. El contenido del documento se resume en los siguientes puntos:
1. Establecer políticas de seguridad.
    1.1. Elección de responsables y creación de directivas.
    1.2. Concienciar a empleados.

2. Proteger equipos.
    2.1. Adquirir antivirus y software anti-espía.
    2.2. Instalar actualizaciones del sistema operativo y resto programas.
    2.3. Configurar el firewall.
    2.4. Evitar spam.
    2.5. Utilizar software legal.
    2.6. Navegar de manera segura.

3. Proteger la red.
    3.1. Mantener política de contraseñas seguras.
    3.2. Proteger red WiFi.
    3.3. Configurar firewall de red.

4. Proteger los servidores.
    4.1. Cifrar conexiones mediante certificados.
    4.2. Mantener en lugares seguros.
    4.3. Crear usuarios con privilegios limitados.
    4.4. Conocer las opciones de seguridad.

5. Mantener los datos a salvo.
    5.1. Realizar copias de seguridad.
    5.2. Establecer permisos.
    5.3. Cifrar datos confidenciales.
    5.4. Utilizar Sistemas de Alimentación Ininterrumpida (SAIs).

6. Proteger aplicaciones y recursos.
    6.1. Instalar Directorio Activo.
    6.2. Instalar aplicaciones a traves del Directorio Activo.
    6.3. Prestar atención a las bases de datos.
    6.4. Cortafuegos de aplicaciones web.
    6.5. Auditorías técnicas.

7. Gestión de actualizaciones.
    7.1. Centralizar actualizaciones.
    7.2. Capar servicios al usuario.
    7.3. Supervisar errores y/o eventos.

8. Proteger los dispositivos móviles.

9. Protección de datos de carácter personal.
    9.1. Registro de ficheros.
    9.2. Cesión de datos a terceros.

El anterior resumen es el de una guía muy extensa sobre seguridad informática para empresas si bien existen ciertos premisas que todo negocio debería seguir independientemente de su tamaño:

1. Es de vital importancia realizar copias de seguridad automatizadas de nuestros datos, para ello existe una gran variedad de programas, algunos de ellos de Código Libre (Open Source).
2. Evitar la corrupción de nuestros datos por un repentino apagón o cualquier variación de corriente eléctrica mediante un SAI, sistema compuesto por una o mas baterías.
3. Evitar en la medida de lo posible versiones gratuitas de antivirus conocidos y descartar antivirus ‘parcheados’ o posibles cracks (un software parcheado o un crack de un programa puede esconder riesgos como troyanizar nuestro equipo).
4. Uno de los puntos mas importantes a tratar es actualizar al máximo cualquier tipo de software instalado en nuestro ordenador, evitando vulnerabilidades recientes. El uso de cracks puede infectar nuestro equipo por lo que recomiendo software legal. Una alternativa gratuita al software pirata es el Open Source (la mayoría de programas instalados en distribuciones linux son de este tipo, muchos de ellos disponibles en otras plataformas como Windows).
5. Evitar el uso habitual de una cuenta con privilegios de administrador. Lo ideal es usar una cuenta limitada para el uso diario.
6. Resulta indispensable disponer de un cortafuegos (firewall) y que esté activado y correctamente configurado. Los sistemas operativos implementan programas de este tipo, si bien existen programas mas robustos para tal fin e incluso la mayoría de software antivirus incorpora esta opción en su catálogo.
7. Realizar tareas de mantenimiento periódico en nuestros ordenadores de manera que lo mantengamos ‘en forma’, tareas tales como:
– Eliminar archivos innecesarios (temporales, cookies, etc).
– Reparar errores del registro de Windows.
– Ejecutar checkdisk.
– Defragmentar nuestro disco duro.
– Analizar posibles virus.
– Analizar posible malware/spyware.
– Limpieza del equipo.
– Mantenimiento del lugar (limpieza, temperatura, humedad, etc).

Recomiendo la lectura del blog Security In A Box. En la web explican paso a paso métodos y herramientas para mantener seguros nuestros equipos.

Anuncios

BackTrack Linux

BackTrack (basada en la actualidad en Ubuntu 10.04, Lucid Lynx) es una distribución GNU/Linux pensada para realizar auditorías de seguridad informática y en especial para la realización de Pentests.

Desde la web podemos descargar el LiveCD disponible en versiones de 32 y 64 bits, además podremos elegir que nuestra descarga incluya los escritores GNOME o KDE. Posteriormente, y una vez ejecutado, podemos optar por la instalación en nuestro equipo.

Descargar BackTrack Linux desde la web

Hay mucha información en la red acerca de BackTrack pero voy a hacer una mención especial a los fabulosos cursos de Héctor López, fundador de la Organización Mexicana de Hackers Éticos. En ellos se muestra paso a paso las diferentes funciones de BackTrack 5 con ejemplos de aplicación reales.

Cursos BackTrack 5 de la OMHE

Clasificaciones de Hacking Ético

 

Tipos de Hacking

Externo

En esencia, es un hackeo realizado desde Internet. Este tipo de hacking lo realizaremos sobre la infraestructura externa del cliente, es decir sobre los equipos del cliente expuestos a Internet (routers, firewalls, servidores externos, etc).

Interno

Este tipo de hackeo se realizará dentro de la red interna del cliente. Es aquí donde suelen flaquear los sistemas además, la mayor concentración de fuga de datos es culpa de ataques dentro de la propia red, en su mayoría empleados.

Modalidades Hacking

A la hora de realizar un test de penetración, ya sea interna o externamente,  con o sin objetivo, se distinguen 3 tipos según la forma de acceso a la red objetivo.

Test de Caja Negra / Black Hat Hacking
Este test es aplicable a pruebas de intrusión externas donde el cliente facilitaría al consultor 
 

El auditor no dispone de información alguna sobre el objetivo a auditar. Ha de recopilar tanta información como sea posible para comprometer el sistema. Simula un ataque real pero para el cliente puede suponer un aumento considerable en las horas a facturar por el consultor.

Test de Caja Gris / Grey Hat Hacking
En este tipo de test se simulan ataques reales pero conociendo de antemano gran parte de la información técnica.

Usualmente se trata de un test de intrusión interno si bien puede ocurrir que el cliente facilite determinada información sobre los equipos a auditar de manera externa. En el caso de realizarse de manera interna, el cliente proporcionaría al consultor un puesto en la red con información muy limitada (IP, Gateway, DNS, etc) ocultando siempre información sensible.

 
Test de Caja Blanca / White Hat Hacking
Aplicable únicamente a pruebas de intrusión internas. Se audita la red como un hacker de sombrero gris pero conociendo de antemano gran parte de la información (equipos, IPs, subredes, etc.), datos que nos permiten evitar la fase inicial de recogida de información y un considerable ahorra en horas empleadas.
 

Fases del Test de Penetración

En esencia, un test de intrusión o  Pentest se compone principalmente de 4 fases, si bien es cierto que las fases pueden tener modificaciones en cuanto al orden y contenido dependiendo del método utilizado. Las fases básicas del Pentest son:

1. Recopilación de información.
2. Busqueda de vulnerabilidades.
3. Explotación de vulnerabilidades.
4. Generación de informes y/o parcheo de los sistemas.

Metodologías de Hackeo Ético

Basándose en esas premisas, el proceso de hackeo ético ha de realizarse aplicando una metodología de trabajo para que el estudio se haga de manera lógica y ordenada. Se conocen varias técnicas siendo las siguientes Open Source las mas adoptadas:

– OSSTMM (Manual de Metodología Abierta de Evaluación de Seguridad).

– ISSAF (Marco de Evaluación de Seguridad de Sistemas de Información).
– OWASP (Proyecto de Seguridad de Aplicaciones Web Abiertas).

Existe un estándar muy interesante (actualmente en versión Beta) que recoge una serie de procedimientos para la realización de un Pentest denominado PTES (Penetration Testing Execution Standard).

Penetration Testing Execution Standard