Skip to main content

"Top" riesgos en seguridad de la información (I): Introducción y amenazas

Mientras me documentaba sobre la serie ISO 27000 de cara a mi proyecto de fin de carrera se me ocurrió si habría alguna lista con los riesgos o disconformidades más comunes encontrados en las auditorías, algo similar al OWASP Top 10. Me quedo con éste articulo publicado por la gente del foro ISO27k en colaboración con CISSPForum que, a pesar de ser del 2008, me parece la mejor elección ya que la mayoría de listas de este tipo abordan el tema desde el prisma de la seguridad informática más que desde él de la seguridad de la información y, en este caso, los autores del artículo son auditores con una amplia trayectoria profesional. El objetivo de este artículo es familiarizarme con muchos de los problemas que me voy a encontrar durante una auditoría, intentaré traducirlo añadiendo algunos ejemplos o comentarios que faciliten su comprensión con un vocabulario más accesible a todo el mundo ya que las metodologías suelen utilizar un lenguaje diferente al que estamos acostumbrados.

Introducción
Antes de comenzar es necesario aclarar algunas definiciones de los términos que se van a usar y que según los autores del texto original pueden causar confusión. Se definen en armonía el estándar internacional ISO/IES 27001:
- Activo: Cualquier información o sistema relacionado con el tratamiento de la misma que tenga valor para la organización.
- Amenaza: Cualquier cosa que podría dañar algún activo de la organización.
- Vulnerabilidad: Una debilidad de un activo que puede ser explotada por una amenaza.
- Impacto: Medida del daño sobre el activo derivado de un incidente de seguridad.
- Riesgo: Combinación de un evento y su posible impacto.
- Control: Las políticas, los procedimientos, las prácticas y las estructuras organizativas concebidas para mantener los riesgos de seguridad de la información por debajo del nivel de riesgo asumido.
(Nota: Este glosario puede ser de ayuda con el resto de conceptos.)
Se enumera en listas separadas las amenazas, vulnerabilidades e impactos para, a partir de ellos, elaborar la de riesgos y los controles asociados.

Amenazas
Las amenazas son todo aquello que pueda explotar, deliberada o accidentalmente, alguna vulnerabilidad causando así un incidente de seguridad de la información:
- Imposición de obligaciones legales y reguladoras, lo que puede provocar la violación de las mismas. Por eso es muy importante adecuar los controles a cada organización de forma que se puedan cumplir de una forma razonable.
- Crimen organizado o grupos terroristas que usan identidades robadas y otras formas de compromiso o extorsión para financiar o apoyar actividades criminales. El famoso fallo de DNS permitía engañar al a víctima usando la identidad de una página web de un banco por ejemplo.
- Ciber-criminales, que pueden ser "hackers negros" muy capacitados técnicamente o alguien que pueda permitir pagarles.
- Autores de "malware" como virus, gusanos o troyanos, en particular "key loggers".
- "Phishers", incluyendo los que tienen como objetivo a usuarios individuales creando herramientas específicas para la ocasión.
- "Spammers" que malgastan el ancho de banda y llenan nuestros buzones de basura usando su "malware" y sus "botnets". Tenemos el caso reciente de la red Mariposa que se utilizaba para diferentes fines "por encargo".
- Personal negligente como programadores, arquitectos de software, "testers" y directores de proyectos que pueden causar o hacer fallar la prevención de vulnerabilidades. El 80% de fugas de información confidencial tienen origen en usuarios internos con acceso autorizado a la información.
- Actos intencionados o desastres naturales que pueden interrumpir, dañar o destruir activos y servicios. Engloba desde incendios provocados hasta tornados, inundaciones, etc.
- Estafadores que usan las TI(Tecnologías de la información) para explotar las debilidades en sus controles. Se centran en procesos de negocio activos pudiendo explotar directamente una vulnerabilidad en los sistemas o en otros tipos de información que no reside en sistemas informáticos. Un ejemplo sería un ataque por ingeniería social en el que se consiguen robar algún soporte extraible donde se almacenan las copias de seguridad.
- "Hackers", tanto los negros como los blancos, que aunque su motivación sea la curiosidad también pueden provocar incidentes de seguridad.
- Competencia poco ética(ej. espionaje industrial para robar secretos empresariales, listas de clientes, etc) o potencias extranjeras con objetivos comerciales o secretos de estado y que utilizan el espionaje, ingeniería social, "phishing", "malware" o todo tipo de técnicas de "pen-testing" para lograrlo.
- Empleados no cualificados que provocan que errores humanos de forma inocente, otros descontentos que utilizan mal o desconfiguran los sistemas de seguridad y los que ignoran las políticas de seguridad y las buenas prácticas.
- Boicoteadores que destruyen, o tratan de destruir, activos de información o que prohíben el acceso a los mismos(un tipo de extorsión).
- Acceso no autorizado, modificación o divulgación de activos de información ya sean hardware, software o datos.
- Países altamente cualificados técnicamente en materias de seguridad pueden utilizar la información de la que disponen durante una guerra para atacar las infraestructuras donde reside la información más crítica del oponente.
- Avances tecnológicos. Un ejemplo es la computación atómica, con su llegada es solo cuestión de tiempo que todos los algoritmos de encriptado actuales se queden obsoletos.

En la siguiente entrada sobre este tema seguiré con las vulnerabilidades e impactos.

Nota: Esta entrada tiene licencia
Attribution-Noncommercial-Share Alike 3.0 Unported para respetar la del texto original.


Jesús Pérez

Popular posts from this blog

ISO 27001: Inventario de los activos de información

Uno de los primeros pasos que debe seguir la entidad para adaptarse a la norma ISO 27001 es realizar el inventario de activos que contendrá todos aquellos activos de información que tienen algún valor para la organización y que quedan dentro del alcance del SGSI . En un principio puede parecer un poco abrumador para un principiante(como yo) por la enorme cantidad de activos que se te van ocurriendo por eso decidí empezar por clasificarlos de alguna forma, de entre las múltiples maneras que me encontré elijo la definida por los expertos del foro ISO27k ya que me parece la más completa, mostrando ejemplos de cada tipo y es válida para entidades de muy distinta naturaleza. Éste podría ser un buen punto para comenzar siempre teniendo en cuenta lo que nos aconsejan también en ese foro: "Debido a que los activos son algo cambiante, incluso si pudieras cubrir absolutamente todo lo que hay hoy, mañana la situación sería un poco diferente y más en unas semanas, meses o años. Así que

SIP extension enumeration in Bluebox-ng

There are some well known SIP extension enumeration vulnerabilities in different VoIP servers, specially in Asterisk. This brute-force vector is based on the study of the authentication responses of the target server. Sometimes its replies are different in the case that the client uses a valid extension, so it's easy to discover them. This vector is normally classified as a low security risk. Moreover we're moving towards a federated SIP environment , in which the extension is the public email address of the user. But it's still important in some cases: To guide next steps during a penetration test. In example, you can use the discovered extension to reduce the number of attempts in the phase of SIP extensión brute-force. Some RCE (Remote Code Execution) exploits need a valid extension to work. After a little research, these are the known vulns: CVE-2009-3727 : It's quite old and it's practically not present in real environments. It's still not imple

SIP INVITE attack with Metasploit

Some days ago my friend  @pepeluxx  wrote  another post  about INVITE attacks. He spoke about a  @sinologic   project  which allows to everybody passing some security tests to SIP servers. Furthermore he also published a perl script to do the same task. So I implemented it on Metasploit because I think It could be really useful during a pentesting. It’s interesting because these attacks are really dangerous, normally, attackers try to call to expensive locations. This target numbers often have special charges and they make money with this. Here there are two well known examples: http://blog.sipvicious.org/2010/12/11-million-euro-loss-in-voip-fraud-and.html http://snapvoip.blogspot.com.es/2009/02/calls-to-cuba-and-voip-attacks.html I’m not going to deep in this vector because of being a well known (and old!!) one. Basically the attacker tries to make a call using a misconfigured PBX. This is allowed because  SIP RFC  says that an extension has not to be registered to be abl