Archivo

Posts Tagged ‘bolivia’

Ethical Hacking , Analisis de Vulnerabilidades, pruebas de penetracion?

agosto 2, 2011 Deja un comentario

La tarea más importante como profesionales de seguridad dentro de nuestra organización es proteger y asegurar la información de manera efectiva. Existen muchos factores y tareas específicas pero básicamente la premisa es esa. Una vez que logramos tener un nivel aceptable de seguridad, esto es siguiendo un marco de referencia o estándar internacional, contar con políticas y procesos claros, responsabilidades asignadas e identificadas, entre otros, se debe evaluar el punto de vista de un atacante.

Una prueba de penetración o pentest simula los pasos a seguir para tomar control de los activos críticos de nuestra organización. Esto puede tener diferentes perspectivas, ya que muchas veces, dicho atacante puede ser un trabajador interno, un competidor, un externo con motivaciones sociales y políticas o parte de un grupo del crimen organizado.

De acuerdo con cifras del “2010 Data Breach Investigations Report,” que toma en cuenta más de 900 fugas de información y 900 millones de registros personales comprometidos realizado por Verizon y el Servicio Secreto de Estados Unidos, encontró que 69% de los incidentes estaban ligados a elementos externos, mientras que el resto, 49%, a personal dentro de la organización.

Hace 10 años, los análisis de vulnerabilidades se realizaban de manera mucho más directa. Inicialmente se detectaba un error de configuración o falla en aplicaciones y sistemas operativos. Posteriormente se atacaba con códigos y programas típicamente obtenidos de manera gratuita. Una vez que se lograba el acceso al equipo y de ahí a la red interna, se copiaban archivos y se dejaban algunas pruebas, como evidencia. Este era un proceso eficiente, ya que la mayoría de las ocasiones las herramientas correctas hacían el trabajo.

Las organizaciones en la actualidad tienen tecnología como detectores de intrusos, antivirus, firewalls, encripción y protocolos más seguros, por tanto los criminales han buscado nuevos vectores de ataque que les permiten atacar a grandes organizaciones identificando sus puntos débiles. Es importante desarrollar cualidades y capacidades en las personas encargadas de la administración de redes, programadores y usuarios finales de todos niveles.

A continuación algunos de los puntos clave para realizar una prueba de penetración en nuestra organización:

  • Identificar activos: Listar cada una de los valores del negocio, estos incluyen el capital humano, equipos, aplicaciones, documentación, entre muchos otros activos que se deben conocer y analizar de manera objetiva.
  • Asignar valores: ¿Cómo cumple su misión la organización? La organización debe ser consciente de la importancia de cada una de las piezas y analizar algunos casos extremos donde se deba prescindir de ciertas capacidades.
  • Administrar riesgos: ¿Existe manejo y administración de riesgos?, ¿Se encuentran los controles para mitigar riesgos?, ¿Qué es lo peor que puede pasar? Conocer las amenazas reales del negocio.
  • Entrevistar al personal: ¿Cuentan con capacitación para realizar sus funciones?, ¿Cuál es su nivel de conocimiento acerca de las políticas y reglas de la organización?, ¿Conoce cuáles son los riesgos del negocio? Es importante evaluar su desempeño, actitud hacia el trabajo y objetivos a corto y largo plazo.
  • Mejora continua: Se debe tener un proceso continuo de evaluaciones, donde se tenga un ciclo de planeación, implementación y revisión de resultados que permita ajustar los objetivos de tecnología con los del negocio.

 

Ataca con todo tus propios sistemas!!!!

 

Anuncios

Como reducir los asaltos express y vivir más seguro.

octubre 12, 2010 Deja un comentario

Los asaltos mediante secuestros express al igual que cualquier delito dependen exclusivamente del factor costo – beneficio para el perpetrador , es decir, la percepción de costo (en este caso riesgo) que tiene el asaltante respecto al beneficio que obtiene al cometer el delito.

En Bolivia, por diferentes factores ajenos a nuestro objetivo en la columna, el riesgo de ser apresado y sentenciado es menor comparativamente al “beneficio” (Cantidad de dinero) que se obtiene en un asalto de este tipo.

Si bien la recomendación de la policía de no portar tarjetas de débito reduce la cantidad de dinero que se puede obtener con un asalto, no es de ninguna manera una solución práctica para los clientes pues el uso de cajeros automáticos y puntos de venta se hace cada vez más necesario.

La solución real está en los límites que todo usuario puede poner al retiro máximo por día de un cajero automático. Tú puedes hacerlo, y todos los bancos en Bolivia te brindan la posibilidad de reducir este límite de retiro máximo diario a uno que se adecue a tus necesidades mínimas. De esta manera habrá reducido el factor “beneficio” (el tamaño del botín) de la ecuación y los asaltos de este tipo se verán mermados, y por consiguiente tu propia seguridad mejorará drásticamente.

ACS

(Articulo publicado en el Periodico ZonaSur, 1 Octubre, 2010)

Vishing y Smishing

septiembre 7, 2010 Deja un comentario

Conceptos:

Vishing: Esquema de robo de identidad parecido al phishing, solo que en esta modalidad se utiliza la voz (por ello la V de Voice en la palabra)

Smishing: Esquema de robo de identidad parecido al phishing, solo que en esta modalidad se utilizan los mensajes cortos de texto vía celular SMS.

El modus operandi es el siguiente, el cliente de la entidad financiera (banco, mutual, cooperativa, etc), recibe una llamada (en el caso de vishing) o un mensaje de texto en su celular (en el caso de smishing), pidiendo se contacte a u numero especifico para regularizar los datos que se tienen registrados.

Si el cliente llama o mensajea al numero entregado con intenciones fraudulentas, una maquina contestadora, luego de identificarse como un servicio de voz o SMS,  le pedirá ingrese sus datos de acceso ya sea a banca por internet o banca móvil.

Listo, el delincuente tiene los datos con los que puede realizar transferencias entre cuentas y vaciar la cuenta del cliente.

Tendencias y enfoques de contención de ataques:

Lo complicado en este caso, es que algunos bancos, realmente utilizan contestadores que llaman para promociones, o envían SMS’s instándote a llamar para algún tema (en un intento precisamente de evitar el pishing).

En todo caso, las recomendaciones son las habituales para este tipo de cosas:

  • Desconfía en todo caso si en el correo te piden alguna información, o si el mensaje no es claro.
  • Colgemos y llamemos nosotros. Utilizar siempre números de teléfono de nuestra confianza, los habituales en nuestra relación con la compañía. Si el banco dispone de un teléfono de atención, llamemos nosotros siempre a ese número y confirmemos la llamada recibida. En la web del banco o de la compañía (por supuesto, la web que conocemos, no la que ponga el correo) suele aparecer un número de teléfono de atención al cliente.

En estos casos la educación del cliente sigue siendo el mejor remedio. Sin embargo nuestra responsabilidad como profesionales de seguridad esta en la adecuada protección de las bases de datos de clientes, pues estos ataques son mucho menos efectivos si son genéricos.

Alvaro Cuadros

Certified Information Systems  Security Professional

5 consejos para evitar la clonación de tarjetas (Skimming)

septiembre 3, 2010 Deja un comentario

1. Definir estándares para toda terminal

Incluya siempre estándares visuales en los ATMs y terminales de punto de venta (POS), y mantenga los mismos en todas las sucursales. Tome fotografias del equipo, por dentro y fuera. Muestre a todos los empleados como deben verse los equipos que no han sido violados, de tal manera que cuando se examine un ATM o POS sea para el empleado una tarea muy fácil y rápida el detectar problemas.

2. Use un enfoque de seguridad por capas.

Los bancos deben instalar una serie de capas de seguridad para proteger la información de las tarjetas, si esta debe ser almacenada esta debe estar encriptada, tanto en su almacenamiento como en transito. Una segmentación adecuada de la red también ayuda de manera importante en la reducción del riesgo.

3. Responda RÁPIDAMENTE a incidentes de skimming

El skimming en ATMs es cada vez mas comun en Bolivia, por lo que los bancos deben estar listos para enfrentar este delito. En primer lugar los bancos deben diseñar esquemas de respuesta ante incidentes para reaccionar rapidamente. Estos esquemas deben incluir desde los contactos que deben tomar acciones al respecto, hasta las tareas especificas que deben realizarse. Si se encuentra un dispositivo de skimming TODOS los emplados deben saber que hacer y como reaccionar, Educar a lso empleados de agencias y sucursales es fundamental.

Asegurese que lso empleados monitoreen los ATMs en busca de dispositivos o residuos de estos. Usualmente encontraran al menos la goma que fue utilizada en la boca del tarjetero.

4. Use CCTV

En Bolivia el uso de camaras es un requerimiento de la Autoridad de Supervision (ASFI), sin embargo, la tarea para el personal de seguridad no termina en la instalacion de estos equipos. Debe asegurarse en todo momento la calidad de las imagenes asi como el resguardo adecuado de los respaldos de las imagenes que estas camaras entregan.

5. Asegurese de cumplir con el estandar PCI.

Lea el estandar en detalle, y asegurese que su institución cumpla con el mismo en su totalidad. Ahorrara mas dinero y tiempo del que invierte en lograrlo.

Saludos,

Alvaro Cuadros
Certified Information Security Professional