SECURITY&tECHNOLOGY

IT PROFESSIONALS MAGAZINE
Año 1 · Número 4 · NOVIEMBRE - DICIEMBRE 2006

cÓmo crear un análisis de brontok, el

password cracker la iso 27001 gusano ganador
pag. 4 pag. 14 pag. 16

EX
PLOI
TING
¿Qué son y cómo funcionan los exploits? ¿Qué
es el manejo de excepción estructurada SEH?
Repasamos definiciones, conceptos básicos de SEH,
estructuras y entendimientos de bugs.
 Security&technology | NOVIEMBRE - DICIEMBRE 06
 Security&technology | NOVIEMBRE - DICIEMBRE 06 

STAFF
Director General
Gustavo Rodolfo Sepulcri
SECURITY&tECHNOLOGY
PROPIETARIOS IT PROFESSIONALS MAGAZINE
SC IT Security Professionals S.R.L.

Coordinación editorial
Juan Manuel Gracia EDITORIAL
REVISIÓN Y CORRECCIÓN Nos duplicamos
Natalia Cerrella Llegamos a diciembre con la certeza de que Security & Technology se consolida
como una publicación de referencia en el área de la seguridad informática y la
Redactores tecnologí[Link] más y mejores contenidos; la respuesta de los lectores fue
Victor Salazar Vera verdaderamente magnífica, de hecho nos sorprendieron tantos comentarios y, por
Ricardo Garcia suerte, tan buenos.
Para este número decidimos compilar los meses de noviembre y diciembre en una
Christian Vidal
sola edición doble. Estamos convencidos de que nuestro trabajo en los últimos
Alejandro Corletti sesenta días han dado sus frutos y hemos producido nuestra mejor edición hasta el
Edson V. Piuzzi momento: mejoramos en materia de contenidos, información, novedades y diseño.
Marcos P. Russo En esta ocasión especial hemos convocado a nuevos writers, nuestros amigos en
Pedro Cacivio todo Iberoamérica a participar de la publicación. Le respuesta fue sorprendente:
Carlos Fulqueris además de nuestros escritores habituales, contamos con la colaboración de destaca-
dos autores de México, Chile, Colombia y España que nos traen interesantísimas notas
Christian Borghello
y nos ayudan a crecer y agrandar cada vez más nuestra creciente comunidad.
Martín Rosenblum En la nota especial de este número revisaremos de forma avanzada los ya cono-
Gabriel Schwartz cidos exploits, de la mano de un especialista como lo es Pedro Cacivio. Además,
Univ. Nac. de Colombia aprenderemos como crear un password cracker de una forma muy sencilla, repasare-
Fernando Acero Martín
[NOVIEMBRE - DICIEMBRE 06]

mos los conceptos más importantes de la ISO 27001 y descubriremos características

principales de OpenVPN, entre otros tantos artículos de variado interés.
Publicidad - suscripciones Realizar nuestra revista significa un enorme esfuerzo por parte de todos nuestros
profesionales; si bien es inusual, seguimos convencidos de que la condición gra-
Román Domínguez tuita sigue siendo la prioridad para llegar a más y más gente en todo el mundo.
suscripcion@[Link]
Pero todo esto no sería lo que es sin el apoyo de nuestros auspiciantes y ustedes,
nuestros lectores, a quienes queremos agradecer una vez más por todo el apoyo
DiSEÑO GRÁFICO brindado. Queremos seguir creciendo y por eso estamos preparando algunas sorpre-
Ariel Glaz sas para los próximos números.
Nos veremos en Febrero, con otra edición doble que compilará los próximos dos
ILUSTRACIÓN y DISEÑO WEB meses.
Alicia Vera Alice Todo el staff de Security & Technology les desea muy felices fiestas.
¡Hasta el año que viene!
Si quiere colaborar con

escribanos un correo electrónico a:

CONTENIDOS
writers@[Link] SEGURIDAD SEGURIDAD
BREVE TUTORIAL DE GENERACIÓN DE FIREWALLS: ¿QUÉ, CÓMO Y PARA QUÉ? [PAG. 24]
SECURITY & TECHNOLOGY PASSWORD CRACKERS [PAG. 4]
EMPRESAS
IT Professionals Magazine EMPRESAS CAMBIO ORGANIZACIONAL EN LA EMPRESA
ESET NOD32: MARKETING Y DESARROLLO [PAG. 27]
CONTACTO [PAG. 6]
REDES DIGITALES
info@[Link] INFORME ESPECIAL ASYNCHRONOUS TRANSFER MODE [PAG. 29]
4

[Link] ANÁLISIS DE LA ISO 27001 [PAG. 8]

VIRUS VAULT
MANAGEMENT BRONTOK, EL GUSANO GANADOR [PAG. 32]
Queda prohibida la reproducción no autorizada total o parcial de los tex-
tos publicados, mapas, ilustraciones y gráficos incluidos en esta edición.
GESTIÓN DE RIESGOS [PAG. 13] LINUX
La Dirección de esta publicación no se hace responsable de las opiniones
OPENVPN GRAVE FALLO DE DISEÑO PKI [PAG. 34]
en los artículos firmados, los mismos son responsabilidad de sus propios
autores. Las notas publicadas en este medio no reemplazan la debida REDES PRIVADAS VIRTUALES [PAG. 14] HARDWARE
instrucción por parte de personas idóneas. La editorial no asume respon- CISCO PIX FIREWALL [PAG. 36]
sabilidad alguna por cualquier consecuencia, derivada de la fabricación, POLÍTICAS DE SEGURIDAD
funcionamiento y/o utilización de los servicios y productos que se de-
scriben, analizan o publicitan.
GUÍA PARA LA ELABORACIÓN DE NORMAS PRIMARY KEYS
DE SEGURIDAD [PAG. 18] OPTIMIZANDO EL ESPACIO EN HD [PAG. 38]

Immunity
Canvas Professional
Immunity Canvas es una herramienta de penetration
testing que ofrece cientos de exploits confiables,
apuntado a Profesionales de la seguridad informática
y Penetration Testers.

-AS )NFORMACI˜N
2ESELLER FOR )MMUNITY #ANVAS INFO SECURITYCCOM
4 Security&technology | NOVIEMBRE - DICIEMBRE 06

PASSWORD CRACKERS
Breve tutorial para crear uno propio
Antiguamente las contraseñas de los sistemas *nix se guardaban encriptadas en el archivo /etc/passwd, y cualquier usuario del
sistema, fuera lícito u “ocasional” podía leer tal archivo, con las consecuencias de seguridad que ello suponía. Por aquellas épocas,
el poder de procesamiento de las computadoras no era para nada como en las de hoy, y “crackear” una contraseña bien escogida
era una tarea muy difícil para el usuario común. EN EL SIGUIENTE ARTÍCULO COMPROBAREMOS QUE LOS TIEMPOS HAN CAMBIADO.

Por Dr. Victor Salazar Vera “asimétrico” (una variante de DES, los más
curiosos pueden leer: [Link]

L
org/wiki/DES).
os tiempos han cambiado, los Lo que la mayoría de los programas usa-
sistemas se han vuelto más se- dos para crackear este tipo de contraseñas
guros, más potentes por lo que hacen es encriptar una palabra, comparar
este método de encriptación de el resultado de la encriptación con la con-
contraseñas se ha vuelto obsoleto, pero traseña que se desea crackear, y... ¡voilá! Es
aún hoy en día existen sistemas que usan lo que se conoce comúnmente como “Ataque
este antiguo método de encriptado, aunque por diccionario”.
se van haciendo cada vez más escasos, y Por lo tanto, primero necesitaremos crear
en sistemas modernos se usan variantes de un “programa” que se encargue de encriptar
MD5, acompañado casi siempre de “shad- alguna palabra que le digamos y nos devuelva
ow” passwords. esa palabra, pero encriptada.
Un ejemplo de un archivo /etc/passwd: Aqui es donde entra Perl, editemos el sigu-
iente fichero, (con cualquier editor de texto
$cat /etc/passwd “plano”, como vi, emacs, pico, etc) y escribi-
root:x0MmCh104WpfI:0:0::/root:/bin/bash mos lo siguiente:
bin:!:1:1:bin:/bin:
#!/usr/bin/perl
adm:!:3:4:adm:/var/log:nobody:x:99:99:no-
# llamaremos a este pedazo de código “mk-
body:/:
pass.
jsmith:7rw6tPeKns[Link]jsmith,,,:/
pl”
home/jsmith:/bin/sh
if (!@ARGV)
hacker:S3eudhPFntlt[Link]hacker,,,:/
{
home/hacker:/bin/tcsh
print “Usage: $0 [salt] [word]”;
louis:l4fALit8qmwxM:1002:100:louis,,,:/
home/louis:/bin/bash exit;
.... }
$ else
{
Tenemos un antiguo archivo de con- $crypted=crypt $ARGV[1],$ARGV[0]; #He
traseñas, donde las contraseñas encripta- aquí el meollo
das se encuentran en el mismo fichero, a
print “$crypted “;
la vista de todos (Es la cadena de 13 carac-
}
teres que está entre los primeros y segun-
dos “:”). Podemos hacer cosas interesantes Le damos permisos de ejecución a nuestro
con ésto. script:
Hay miles de password crackers por to- $ chmod u+x [Link]
das partes en la red... lo cual indica que es
demasiado fácil crear este tipo de progra- Y lo ejecutamos, sin argumentos:
mas... o que hay mucha gente por ahí, sin $./[Link]
mucho que hacer.
Usage: ./[Link] [salt] [word]
Pero, nuestro objetivo es crearnos uno
para nosotros, no queremos usar el que Nos dice que necesitamos pasarle una palabra
creo un tal “C001-B14ckIc3” en no sé que (“word”), que sera la que queremos encriptar,
oscuro rincón del planeta, no... eso no es y un tal “salt”. ¿Qué es esto de “salt”?
para nosotros, nosotros nos podemos crar Pues las contraseñas en *nix se encriptan
nuestro propio password cracker, así que, usando un “salt” (algunos lo traducen como
a ello. “Sal”, otros como “Salto”, nosotros lo dejare-
Para crear nuestro cracker, usaremos el mos como “Salt”, para no confundirnos. Son
lenguaje de programación Perl, por su faci- dos caracteres, generados de manera
lidad, rapidez y porque implementa en sus aleatoria por el sistema al momento de
librerías una que nos servirá para nuestro crear una cuenta de usuario y encriptar la
propósito: crypt(). contraseña correspondiente.
Por otra parte, usaremos Bash Scripting, Como cada “Salt” será diferente y aleatorio
en nuestro *nix, yo me decanto por algún para cada password, TODAS las contraseñas
GNU/Linux (haremos algo sencillo, pero encriptadas serán distintas, aunque en texto
efectivo). plano fueran idénticas. Veamos un ejemplo:
Veamos: Sabemos que una vez encriptada
$./[Link] SS password
la contraseña, NO existe forma de volver
atrás, es decir, de desencriptarla, ya que SSi1glKdQJnsg
se trata de un algoritmo de encriptación $
 Security&technology | NOVIEMBRE - DICIEMBRE 06 

Le pasamos la cadena “SS” como salt y la S3eudhPFntltc #Abrimos un segundo bucle for, con el seg- $
palabra “password” como segundo parámetro l4fALit8qmwxM undo Nos aparece la “ayuda”, lo ejecutamos
y, nos devuelve una cadena de 13 carateres, [ctrl+d] archivo, como nos indica, con los archivos de pass-
que es la contraseña, encriptada igual que #que corresponderá al diccionario de palabras word como primer parámetro, y el diccionario
$
en cualquier sistema *nix (antiguo claro, ya en texto como segundo parámetro:
comentamos que ahora se usa MD5, que es Y tenemos un diccionario, al que llamare-
#claro y lo recorremos con un “cat”, asignando $./[Link] [Link] [Link]
más seguro). mos por ejemplo “[Link]”:
una línea 7rw6tPeKns97A --> ‘secret’
Si observan, los 2 primeros caracteres de $cat [Link] #de dicho archivo a la variable “TEXT” por cada S3eudhPFntltc --> ‘h4x0r’
la cadena devuelta, corresponde al “salt”,
... vuelta del for.
(ahora usamos “SS”, pero puede ser lo que l4fALit8qmwxM --> ‘superman’
nosotros queramos, por el momento). root #Note que debemos “anidar” este segundo
...
Veamos otro ejemplo, con un “Salt” difer- admin “for”, para que se
$
ente: hacker #compruebe una palabra del diccionario por
h4x0r cada password Esto significa que funciona, nos ha “crack-
$./[Link] x8 password
super #existente en el archivo a comprobar... eado” 3 de las 4 contraseñas de nuestro ar-
x8D96j0w3RzYE chivo (claro, dependerá del diccionario que
sex for TEXT in `cat $2`
$ usemos).
love do
En esta ocasión usamos un script “exter-
god KRYPTED=`./[Link] $SALT $TEXT`
Observamos cómo para la misma con- no”, escrito en lenguaje Perl como “motor” de
traseña, nos devuelve una cadena totalmente secret #En esta línea, llamamos al script perl que nuestro script, pero podemos usar cualquier
distinta! Precisamente para eso nos sirve el hicimos antes, [Link] otro lenguaje, por ejemplo con un programa
internet
“salt”. #para que encripte el texto contenido en la escrito en C aumentaríamos la velocidad y el
etc
Ahora, observemos que en el archivo de variable $TEXT con el “Salt” rendimiento de nuestro programa, adaptar-
...
contraseñas que vimos arriba, todas las ca- #de la contraseña contenida en la variable lo a nuestras necesidades o hacerlo de una
denas que corresponden a la contraseña $ $PASS. enorme complejidad, pero dejamos el campo
encriptada son diferentes, y los 2 primeros Ahora, para la automatización de los pa- if [ $KRYPTED = $PASS ] abierto, por si alguien quiere hacerlo... y
caracteres de cada una también son difer- sos de encriptación y comparación, usaremos then sería material para otro mini-tutorial.
entes (x0, 7r, S3, l4). un script Bash, que crearemos con cualquier El código “final” de nuestro script quedaría
echo -e “[+] $PASS --> $TEXT”
más o menos así:
fi
«Para crear un password cracker necesitaremos #Aquí hacemos la comparación de las cade- ****************************
nas: #!/bin/bash
crear un programa que se encargue de encriptar #”si la cadena contenida en la variable $KRYPT- # script para “crackear” passwords de *nix
ED
alguna palabra que le digamos y nos devuelva esa #(que es lo que nosotros encriptamos) es
(DES)
# comparándolos con una lista de palabras
palabra, pero encriptada.» igual que la cadena
#contenida en $PASS (que es la contraseña
# (ataque por diccionario)
que queremos # by $USER 06.06.06
#obtener), entonces escribe en pantalla un if [ -z $1 ] & [ -z $2 ]; then
Tenemos entonces, en el archivo 4 con- editor de texto plano y, que usará al script
traseñas, y 4 “Salts” diferentes. Esta in- [Link] que creamos antes. Debe quedar mensaje que contenga echo -e “$0, by $USER. Sintaxis: $0 “
formación será necesaria para la creación algo como ésto: #la contraseña encriptada y el texto en claro exit
nuestro “password cracker”, ya que debemos al que equivale
else
encriptar las palabras en texto “claro” de **************************** #(obtenido de nuestro diccionario)...”
for PASS in `cat $1`
nuestro diccionario con el “Salt” de la con- #!/bin/bash done
do
traseña que queremos crackear, ya que si no, #Abrimos el archivo de contraseñas encripta- done
SALT=${PASS:0:2}
jamás funcionará. das, #Cerramos el primer y segundo bucles “for”,
Analizando el problema, observamos que: for TEXT in `cat $2`
#y asignamos cada línea de éste a la variable con “done” (hecho).
Tenemos una lista de contraseñas encripta- do
PASS, ****************************
das, en principio todas diferentes, cada una KRYPTED=`./[Link] $SALT $TEXT`
#con un bucle for.
usando el mismo sistema de encriptacion, ¿Algo enredado? No es tan complicado, if [ $KRYPTED = $PASS ]; then
pero con “Salts” diferentes. Por otra parte, #El primer parámetro que el programa recibirá sólo lo analizamos con calma.
($1), echo “$PASS --> ‘$TEXT’”
tenemos una lista de palabras (diccionario) Le podemos agregar más funcionalidades,
#por lo tanto, será el archivo de passwords fi
que usaremos para comprobar cada una de las depende que tan complejo lo queramos hacer,
contraseñas encriptadas (Si no tenemosuno, #encriptados que deseamos comprobar. pero para un uso básico, con lo que tenemos done
lo creamos, o descargamos uno de la web, por for PASS in `cat $1` hasta ahora funcionará bien. done
ejemplo desde: [Link] Lo que podríamos añadirle por lo pron- fi
do
ksaversoft/download/[Link]) to sería unas líneas al inicio para que nos ********************
#Que en cristiano sería algo como: para cada
El planteamiento que debemos hacer, para compruebe los parámetros que le pasamos,
línea que resulte
crear nuestro programa será algo como ésto: nos muestre una ayuda en caso de no pasar Espero que sea de utilidad, ¡hasta la próxi-
“Encripta una palabra en texto claro del #de hacer un `cat $1`, hacer esto... parámetros, y termine de inmediato: ma!
diccionario “X”, usando el “Salt” de la con- #(observar las comillas invertidas, que sig-
traseña que nos interesa crackear, luego nifica if [ -z $1 ] & [ -z $2 ]; then Nota: La presente guía ha sido escrita con fines
educativos únicamente, no pretende fomentar
compara el resultado con una contraseña en- que el comando echo -e “$0, by $USER. Sintaxis: $0 [password_
actividades ilícitas de ningún tipo, y el uso que se
criptada del archivo “Y”. Si son iguales, en- #”cat $1” se ejecutará, y la variable “PASS” file] [dictionary_file]” le dé a la información expuesta es reponsabilidad
tonces informa con un mensaje en pantalla. contendrá una línea exit total de quien la usa.
Luego si hay más contraseñas en el archivo fi
#del resultado en esa “vuelta” del for...)
“Y”, pasa a la siguiente...”.
Obviamente, aquí nos estamos saltando
SALT=${PASS:0:2}
Que quiere decir algo como “Si no pasamos
SOBRE EL AUTOR
algunos pasos importantes, como decirle a #Esta línea asigna un “substring” o subcadena un primer parámetro y un segundo parámet-
nuestro programa que debe leer los respec- de la ro”, entonces muestranos la sintaxis y ter-
Dr. Victor Salazar Vera
tivos archivos, de contraseñas encriptadas y #variable $PASS, que va del caracter número mina dignamente. Distrito Federal, México
el diccionario, pero damos por hecho que se cero al dos, Y ya está, guardamos el archivo con algun
entiende. nombre significativo, (podemos quitar los Médico aficionado a la informática,
#quedando entonces con los primeros 2 cara-
Veamos el procedimiento, paso a paso: cteres comentarios, que inician con un “#”), le da- el software libre, la seguridad in-
Creamos una lista con las contraseñas que del mos permisos de ejecución con chmod, y lo formática y todo lo que tenga que
queremos crackear:
#password encriptado: El “Salt”! lo que nos
probamos: ver con internet. He participado en
$cat > [Link] servirá para festivales de instalación de soft-
$chmod u+x [Link]
x0MmCh104WpfI #encriptar las palabras de nuestro diccion- ware libre, y en algunas revistas de
$./[Link]
7rw6tPeKns97A ario. software libre en México.
[Link] [password_file] [dictionary_file]
  Security&technology | NOVIEMBRE - DICIEMBRE 06

ESET NOD32: marketing y desarrollo

Una mirada sobre ExpoComm 2006

No caben dudas de que Eset NOD32 es hoy por hoy uno de los mejores y más accesibles productos en el terreno de los antivirus
y la seguridad de la información. ¿Cómo opera su departamento de marketing? ¿En qué aporta a las empresas la participación en
Expo Comm? Entrevistamos a Mariano G. Castellani -responsable del área de ZMA NOD32- e hicimos un breve repaso sobre su
gestión de ventas y proyecciones a futuro.
real, contra una amplia variedad de ame- la excelente herramienta al público argentino. de impulsar la educación en códigos malignos,
Por Christian Vidal nazas incluyendo virus, spyware, adware, Su participación en Expo Comm 2006 fue lo que se realizó fue una serie de seminarios

N
phishing, y otros códigos maliciosos que uno de los puntos importantes de la campaña, en diferentes instituciones y universidades
o existe mayor ventaja para un evolucionan. El motor [Link]© ya que a la misma asistieron 24.000 personas tanto nacionales como privadas, donde asisti-
equipo de marketing cuando es un sistema sofisticado de heurística y fue clave en la entrega de material promo- eron personal docente, alumnos y aquellos
el producto es realmente muy avanzada que proactivamente decodifica y cional donde se incluyeron como se menciona que estaban interesados en aprender básica-
bueno”, afirma Mariano G. Cas- analiza código ejecutable para identificar anteriormente, licencias temporales del anti- mente sobre Protección Antivirus. Los mismos
tellani, responsable del área de ZMA NOD32 las características sofisticadas de compor- virus con el objeto que los visitantes prueben fueron disertados por el licenciado Cristian
Argentina, representantes de ventas del tamiento malicioso de las amenazas que su funcionamiento por 3 meses. “Sabemos Borghello e Ignacio Sbampato, actuales Tech-
prestigioso Antivirus Eset NOD32. “Cuando evolucionan hoy en día. Cabe agregar que que el público que asiste a este tipo de exposi- nical & Educational Manager y Vicepresidente
uno tiene total confianza depositada en lo entre otras nuevas funcionalidades, la úl- ciones son entendidos en lo que a conceptos de Eset Latinoamérica, respectivamente. Con
que está promocionando, no es necesario de- tima versión del antivirus ofrece completa técnicos de IT, hardware y software respecta. buena repercusión en instituciones de Capital
sarrollar planeamientos gigantes o políticas compatibilidad con Microsoft Windows Vis- Si ellos prueban el antivirus, estamos logrando Federal e Interior (fundamentalmente en Cór-
de marketing complicadas y rebuscadas. Una ta, además de tecnología de detección de que el conocimiento del mismo sea también doba), seguirá en pie este proyecto durante
de las mejores herramientas es el boca a boca. rootkits. Su rendimiento no sólo es com- por personas altamente capacitadas, que el 2007.
Si el producto es bueno, y si se le facilita el probado día a día por sus usuarios, sino
acceso al mismo a los usuarios, serán ellos
mismos quiénes se conviertan en los mejores
también por Laboratorios de evaluación
independientes, tales como AV-Compara- «Cuando uno tiene total confianza depositada
vendedores que existan”.
Por esta razón, por segundo año consecu-
tives, CheckMark, o VirusBulletin, quién
por ejemplo ya ha otorgado a Eset NOD32
en lo que está promocionando, no es necesario
tivo la empresa Argentina junto a Eset Lati-
noamérica, decidieron estar presente en la
un record de 41 premios debido a su alta
detección y performance.
desarrollar planeamientos gigantes o políticas de
exposición más importante en materia de
actualidad informática y comunicaciones del Un acenso difícil
marketing complicadas y rebuscadas.»
país. ExpoComm 2006 volvió a resultar un “Resulta a veces complicado el competir en un
éxito debido a la alta convocatoria de visi- terreno donde firmas como Symantec, Trend pueden reconocer las grandes diferencias con En el presente, ZMA NOD32 Argentina se en-
tantes y de empresas que participaron de la o McAfee ocupan una importante sección del los demás productos del mercado. El que en cuentra desarrollando y organizando difer-
misma. “Luego de 4 días intensos, podemos mercado, además de gran parte del incon- Estados Unidos o en Europa, Eset NOD32 tenga entes Seminarios Web (Webinar), con el ob-
decir que el haber vuelto a participar tuvo ciente general de los usuarios cuando uno les tanta repercusión significa que es una solución jeto de continuar con la misma política. Este
sus frutos. Mucha gente tuvo la posibilidad pregunta que antivirus conocen.”, explica el con suficiente respaldo y garantía para que su tipo de tecnología permite que el público y/o
de conocer el antivirus gracias a las licen- responsable de Marketing. “Pero a su vez, esto crecimiento sea sólido en el resto del mundo”. usuarios puedan aprender y participar de un
cias temporales sin cargo que entregamos y resulta un desafío más que interesante a la seminario o capacitación sin moverse de su
además, nos permitió conocer las opiniones hora de pensar como seguir creciendo en el Proyecciones 2007 escritorio, desde cualquier parte del mundo.
de aquellos que ya lo están utilizando” agre- mercado nacional, ya que contamos con el me- Desde principios de 2006, luego de haber con- De esta manera, a través de la participación
ga Castellani. jor arma: un antivirus con altísima detección cretado excelentes negocios con Telefónica en ExpoComm por dos años consecutivos
El antivirus Eset NOD32 hace cinco años y con un consumo de recursos imperceptible de Argentina, se comenzó con diferentes ac- (y la asegurada participación en el año en-
que se esta comercializando en Argentina para el sistema”. tividades tanto de Eset como de ZMA- NOD32 trante), los diferentes seminarios y webinar
y su crecimiento ha sido notable gracias a No existen dudas de que ZMA NOD32 Ar- Argentina con el respaldo mutuo que acos- que se están realizando y la amplia difusión
sus propias características. Su actual ver- gentina confía en su producto, y es por eso tumbran a mantener. Principalmente, sigu- que está siendo llevada a cabo, no quedan
sión 2.7 cuenta con un excelente sistema que desde comienzo de año ha iniciado una iendo los lineamientos que pretende la casa dudas que Eset NOD32 seguirá pisando fuerte
integrado que detecta y protege en tiempo política comercial basada en el dar a conocer matriz del antivirus con sede en Eslovaquia y en aumento durante el 2007.
Security&technology | NOVIEMBRE - DICIEMBRE 06
 Security&technology | NOVIEMBRE - DICIEMBRE 06

Este texto trata de presentar

ANÁLISIS DE LA ISO-27001 un análisis de la situación

actual que presenta ISO/IEC

Norma, certificación y valoración para cualquier empresa que

desee planificar e implementar
una política de seguridad
orientada a una futura
Por Alejandro Corletti
certificación dentro de este

I
estándar.
SO (Organización Internacional de
Estándares) e IEC (Comisión Interna-
cional de Electrotécnia) conforman ISO/IEC 27003 ISMS implementation guid-
un especializado sistema especiali- ance (bajo desarrollo)
zado para los estándares mundiales. Organ- ISO/IEC 27004 Information security man-
ismos nacionales que son miembros de ISO agement measurement (bajo desarrollo)
o IEC participan en el desarrollo de Nor- ISO/IEC 27005 Information security risk
mas Internacionales a través de comités management (basado e incorporado a ISO/
técnicos establecidos por la organización IEC 13335 MICTS Part 2) (bajo desarrollo)
respectiva para tratar con los campos par- Actualmente el ISO-27001:2005 es el úni-
ticulares de actividad técnica. Los comités co estándar aceptado internacionalmente
técnicos de ISO e IEC colaboran en los cam- para la administración de la seguridad de la
pos de interés mutuo. Otras organizaciones información y aplica a todo tipo de organ-
internacionales, gubernamentales y no gu- izaciones, tanto por su tamaño como por su
bernamentales, en relación con ISO e IEC, actividad.
también forman parte del trabajo. A los efectos de la certificación, la tran-
En el campo de tecnología de informa- sición entre ambas normas queda propuesta
ción, (o establecida) por el TPS-55 de UKAS (Unit-
ISO e IEC han establecido unir un comité ed Kingdom Acreditation Service):
técnico, ISO/IEC JTC 1 (Join Technical ”Transition Statement Regarding Ar-
Committee Nº1). Los borradores de estas rangements for the Implementation of ISO
Normas Internacionales adoptadas por la 27001:2005”. Establece que las empresas (en
unión de este comité técnico son enviados realidad los auditores, lo cual afecta directa-
a los organismos de las diferentes naciones mente a las empresas) durante los primeros
para su votación. La publicación, ya como seis meses (desde que se firmó el acuerdo
una Norma Internacional, requiere la “MoU: Memorandum of Understanding” en-
aprobación de por lo menos el 75% de tre UKAS y el Departamento de Comercio e
los organismos nacionales que emiten Industria de Reino Unido), pueden elegir
su voto. acerca de qué estándar aplicar, a partir del
El Estándar Internacional ISO/IEC 23 de julio del 2006, la única certificación
17799 fue preparado inicialmente que se deberá aplicar será la ISO/IEC 27001:
por el Instituto de Normas Británico 2005. Ante cualquier no conformidad con la
(como BS 7799) y fue adoptado, aplicación de la misma motivada claramente
bajo la supervisión del grupo de por su transición, se establece un plazo de
trabajo “Tecnologías de la Infor- un año para solucionarla, es decir, hasta el
mación”, del Comité Técnico de 23 de julio de 2007.
esta unión entre ISO/IEC JTC 1,
en paralelo con su aprobación Presentación de este texto
por los organismos nacionales El presente documento es un muy breve re-
de ISO e IEC. sumen de los aspectos más importantes a
El estándar ISO/IEC 27001 es el tener en cuenta para la aplicación del Es-
nuevo estándar oficial, su título completo tándar Internacional ISO-27001:2005. Se
en realidad es: BS 7799- 2:2005 (ISO/IEC debe dejar claro que este es la versión actu-
27001:2005). También fue preparado por al del ISO-17799:2002, y dentro del primero
este JTC 1 y en el subcomité SC 27, IT se detallan claramente todos los aspectos
“Security Techniques”. La versión que se de compatibilidad entre ellos. El verdadero
considerará en este texto es la primera ed- enfoque que se debe encarar para tratar
ición, de fecha 15 de octubre de 2005, si de alcanzar la compatibilidad con este es-
bien en febrero de 2006 acaba de salir la tándar es aplicar la Norma ISO-27001 con
versión cuatro del mismo. todo detalle y a través del seguimiento de
1870 organizaciones en 57 países han todos los aspectos que propone, se estará
reconocido la importancia y los beneficios cumplimentando también con la anterior (lo
de esta nueva norma. A fines de marzo de cual no elude el hecho que se deba conocer
2006, son seis las empresas españolas que también esta predecesora).
poseen esta certificación declarada.
El conjunto de estándares que aportan Consideraciones clave del estándar
información de la familia ISO-2700x que se La propuesta de esta norma, no está orien-
puede tener en cuenta son: tada a despliegues tecnológicos o de infrae-
ISO/IEC 27000 Fundamentals and vocab- structura, sino a aspectos netamente organ-
ulary ISO/IEC 27001 ISMS - Requirements izativos, es decir, la frase que podría definir
(revised BS 7799 Part 2:2005) – Publicado su propósito es “Organizar la seguridad de
el 15 de octubre del 2005 la información”, por ello propone toda una
ISO/IEC 27002 Code of practice for in- secuencia de acciones tendientes al “esta-
formation security management - Actual- blecimiento, implemanetación, operación,
mente monitorización, revisión, mantenimiento y
ISO/IEC 17799:2005, publicado el 15 de mejora del ISMS (Information Security Man-
junio del 2005 agement System)” (como podrán apreciar
 Security&technology | NOVIEMBRE - DICIEMBRE 06 

que se recalcará repetidas veces a lo largo

del mismo). El ISMS, es el punto fuerte de
estructura de la empresa, la dinámica que
implica su aplicación, ocasionará en muchos
«Organizar la seguridad de la información propone
este estándar. casos la escalada del mismo, necesitando la toda una secuencia de acciones tendientes al
Los detalles que conforman el cuerpo misma dinámica para las soluciones.
de esta norma, se podrían agrupar en tres “establecimiento, implemanetación, operación,
grandes líneas: Aproximación (o aprovechamiento) del
· ISMS modelo monitorización, revisión, mantenimiento y mejora
· Valoración de riegos (Risk Assesment)
· Controles
Este estándar internacional adopta un
proceso para establecer, implementar, operar, del ISMS»
El desarrollo de estos puntos y la docu- monitorizar, revisar, mantener y mejorar el
mentación que generan, es lo que se tratará ISMS en una organización.
en este texto. Una organización necesita identificar y procesos ejecutados con relación a la política “ISO/IEC 17799:2005, Information technol-
Los párrafos siguientes son una breve de- administrar cualquier tipo de actividad para del ISMS, evaluar objetivos, experiencias e ogy
scripción de los puntos que se considerarán funcionar eficientemente. Cualquier actividad informar los resultados a la administración — Security techniques — Code of practice
en este texto para poder llegar finalmente y que emplea recursos y es administrada para para su revisión. for information security management”
avalando la importancia de la documentación transformar entradas en salidas, puede ser Act (Mantener y mejorar el ISMS): Re- La siguiente terminología aplica a esta nor-
que es necesaria preparar y mantener. considerada como un “proceso”. A menudo, alizar las acciones preventivas y correctivas, ma:
Se consideró importante el mantener la estas salidas son aprovechadas nuevamente basados en las auditorías internas y revi- · Recurso (Asset): Cualquier cosa que ten-
misma puntuación que emplea el Estándar como entradas, generando una realiment- siones del ISMS o cualquier otra información ga valor para la organización.
Internacional, para que, si fuera necesario, ación de los mismos. relevante para permitir la continua mejora
se pueda acceder directamente al mismo, Este estándar internacional adopta tam- del ISMS. · Disponibilidad (availability): Propiedad
para ampliar cualquier aspecto, por lo tan- bién el modelo “Plan-Do-Check-Act” (PDCA), de ser accesible y usable bajo demanda por
to, la numeración que sigue a continuación, el cual es aplicado a toda la estructura de Aplicación una entidad autorizada.
no respeta la de este texto, pero sí la de la procesos de ISMS, y significa lo siguiente: Los requerimientos de este estándar interna-
norma. Plan (Establecer el ISMS): Implica, esta- cional, son genéricos y aplicables a la totali- · Confidencialidad (confidentiality):
blecer procesos, procedimientos relevantes dad de las organizaciones. La exclusión de los Propiedad que la información no esté dis-
Introducción General para la administración de riesgos y mejoras requerimientos especificados en las cláusulas ponible o pueda ser descubierta por usuari-
Este estándar fue confeccionado para proveer para la seguridad de la información, en- 4, 5, 6, 7 y 8, no son aceptables cuando una os no autorizados, entidades o procesos.
un modelo para el establecimiento, imple- tregando resultados acordes a las políticas y organización solicite su conformidad con
mentación, operación, monitorización, re- objetivos de toda la organización. esta norma. Estas cláusulas son: · Seguridad de la información: Preser-
visión, mantenimiento y mejora del ISMS, Do (Implementar y operar el ISMS): Rep- vación de la confidencialidad, integridad y
la adopción del ISMS debe ser una decisión resenta la forma en que se debe operar e im- 4. ISMS. disponibilidad de la información, en adición
estratégica de la organización, pues el mis- plementar la política, controles, procesos y 5. Responsabilidades de la Administración también de otras propiedades como autenti-
mo está influenciado por las necesidades y procedimientos. 6. Auditoría Interna del ISMS cación, autorización, registro de actividad,
objetivos de la misma, los requerimientos Check (Monitorizar y revisar el ISMS): 7. Administración de las revisiones del ISMS no repudio y confiabilidad pueden ser tam-
de seguridad, los procesos, el tamaño y la Analizar y medir donde sea aplicable, los 8. Mejoras del ISMS. bién consideradas.
(Estas cláusulas realmente conforman el cu-
erpo principal de esta norma) · Eventos de seguridad de la informa-
ción: Ocurrencia de un evento identificado
Cualquier exclusión a los controles detal- sobre un sistema, servicio o red, cuyo es-
ACT PLAN lados por la norma y denominados como
“necesarios” para satisfacer los criterios de
tado indica una posible brecha en la política
de seguridad de la información o fallo en
aceptación de riegos, debe ser justificado y se el almacenamiento de la misma, también
debe poner de manifiesto, o evidenciar clara- cualquier situación previa desconocida que
mente los criterios por los cuales este riesgo pueda ser relevante desde el punto de vista
es asumido y aceptado. En cualquier caso en de la seguridad.
el que un control sea excluido, la conformi-
dad con este estándar internacional, no será · Incidente de seguridad: uno o varios
aceptable, a menos que dicha exclusión no eventos de seguridad de la información,
afecte a la capacidad y/o responsabilidad de no deseados o inesperados que tienen una
proveer seguridad a los requerimientos de cierta probabilidad de comprometer las op-
información que se hayan determinado a eraciones de la empresa y amenazan a la
través de la evaluación de riesgos, y sea a su seguridad de la información.
vez aplicable a las regulaciones y legislación
vigente. · Sistema de administración de la segu-
ridad de la información (ISMS: Informa-
CHECK DO Normativas de referencia tion Security Management System): Parte
Para la aplicación de este documento, es in- de los sistemas de la empresa, basado en el
dispensable tener en cuenta la última ver- análisis de riesgo de negocio, cuya finalidad
sión de: es establecer, implementar, operar, moni-
10 Security&technology | NOVIEMBRE - DICIEMBRE 06

torizar, revisar, mantener y mejorar la segu- La organización, establecerá, implementará,

ridad de la información. operará, monitorizará, revisará, mantendrá
Nota: el ISMS incluye las políticas, planes, y mejorará un documentado ISMS en el con-
actividades, responsabilidades, prácticas, texto de su propia organización para las ac-
procedimientos, procesos y recursos. tividades globales de su negocio y de cara a
los riesgos. Para este propósito esta norma el
· Integridad: Propiedad de salvaguardar la proceso está basado en el modelo PDCA co-
precisión y completitud de los recursos. mentado en el punto 0.2.
Control de documentos: Todos los docu-
· Riesgo residual: El riesgo remanente lue- mentos requeridos por el ISMS serán prote-
go de una amenaza a la seguridad. gidos y controlados. Un procedimiento docu-
mentado deberá establecer las acciones de
· Aceptación de riesgo: Decisión de aceptar administración necesarias para:
un riesgo. · Aprobar documentos y prioridades o clas-
· Análisis de riego: Uso sistemático de la ificación de empleo.
información para identificar fuentes y esti- · Revisiones, actualizaciones y reaproba-
mar riesgos. ciones de documentos.
· Asegurar que los cambios y las revisiones
· Valoración de riesgo: Totalidad de los de documentos sean identificados.
procesos de análisis y evaluación de riesgo. · Asegurar que las últimas versiones de los
documentos aplicables estén disponibles y
· Evaluación de riesgo: Proceso de comparar listas para ser usadas.
los riesgos estimados contra los criterios de · Asegurar que los documentos permanez- · Asegurar que las auditorías internas del A.14 Administración de la continuidad de
riesgo establecidos o dados, para determinar can legibles y fácilmente identificables. ISMS, sean conducidas y a su vez conduzcan negocio
el grado de significativo del riesgo. · Asegurar que los documentos estén dis- a la administración para la revisión del ISMS A.15 Cumplimiento (legales, de estándares,
ponibles para quien los necesite y sean trans- (ver 7.) técnicas y auditorías)
· Aclaración ajena a la norma: En definiti- feridos, guardados y finalmente dispuestos
va la “Evaluación del riesgo”, es el resultado acorde a los procedimientos aplicables a su Formación, preparación y competencia El anexo B, que es informativo, a su vez pro-
final de esta actividad, pero no debe ser pen- clasificación. La organización asegurará que todo el per- porciona una breve guía de los principios de
sada únicamente con relación a “Análisis y · Asegurar que los documentos de origen sonal a quien sean asignadas responsabili- OECD (guía de administración de riesgos de
Valoración”, sino también a los criterios de externo sean identificados. dades definidas en el ISMS sea competente sistemas de información y redes - París, Julio
riesgo que la organización haya definido a lo · Asegurar el control de la distribución de y esté en capacidad de ejecutar las tareas del 2002, “[Link]”) y su correspond-
largo de toda su política empresarial. documentos. requeridas, para ello deberá proveer las her- encia con el modelo PDCA. Por último el An-
· Prevenir el empleo no deseado de docu- ramientas y capacitación necesaria (Docu- exo C, también informativo, resume la corre-
· Administración del riesgo: Actividades mentos obsoletos y aplicar una clara iden- mento: Planificación, guías y programas de spondencia entre esta norma y los estándares
coordinadas para dirigir y controlar las medi- tificación para poder acceder a ellos y que formación y preparación). ISO 9001:2000 y el ISO 14001:2004
das necesarias para la observación del riesgo queden almacenados para cualquier propósi-
dentro de la organización. to. Auditoría interna del ISMS DOCUMENTACIÓN A CONSIDERAR
La organización realizará auditorías inter- A continuación se presenta un listado de los
· Tratamiento del riesgo: Proceso de selec- Responsabilidades de administración nas al ISMS a intervalos planeados para de- documentos que se deben considerar como
ción e implementación de mediciones para La administración proveerá evidencias de sus terminar si los controles, sus objetivos, los mínimo y sobre los cuales el estándar hacer
modificar el riesgo. compromisos para el establecimiento, imple- procesos y procedimientos continúan de con- referencia. Dentro de cada uno de ellos, se es-
Nota: el término “control” en esta norma mentación, operación, monitorización, man- formidad a esta norma y para analizar y plan- pecifica brevemente algunas consideraciones
es empleado como sinónimo de “Medida o tenimiento y mejora del ISMS a través de: ificar acciones de mejora. Ninguna persona y los puntos desde donde son referenciados
medición”. · Establecimiento de la política del ISMS podrá auditar su propio trabajo, ni cualquier en la norma. Estos documentos son:
· Asegurar el establecimiento de los objetivos otro que guarde relación con él. Declaración de Aplicabilidad (3.16)
· Declaración de aplicabilidad: Documento y planes del ISMS. La responsabilidad y requerimientos para Documento ISMS (4.1.)
que describe los objetivos del control, y los · Establecer roles y responsabilidades para la el planeamiento y la conducción de las ac-
controles que son relevantes y aplicables a la seguridad de la información. tividades de auditoría, los informes result- Debe incluir:
organización del ISMS. · Comunicar y concienciar a la organización antes y el mantenimiento de los registros · Ámbito y límites del ISMS en términos de
Nota: Estos controles están basados en los sobre la importancia y apoyo necesario a será definido en un procedimiento (Ver: Pro- características del negocio, la organización,
resultados y conclusiones de la valoración y los objetivos propuestos por la política de cedimiento de Revisión del ISMS - Periódicas ubicaciones, recursos y tecnologías emplead-
los procesos de tratamiento de riesgo, los req- seguridad, sus responsabilidades legales y la y aperiódicas) as y también detalles y justificaciones para
uerimientos y regulaciones legales, las obliga- necesidad de una continua mejora en este cualquier exclusión fuera del mismo, como se
ciones contractuales y los requerimientos de aspecto. Acciones correctivas especifica en 1.2.
negocio para la seguridad de la información · Proveer suficientes recursos para establec- La organización llevará a cabo acciones para
que defina la organización. er, operar, implementar, monitorizar, revisar, eliminar las causas que no estén en confor- Definición de la política de este ISMS, en
mantener y mejorar el ISMS (5.2.1). midad con los requerimientos del ISMS con el los mismos términos anteriores y tenien-
ISMS (Information Security Managemet · Decidir los criterios de aceptación de ries- objetivo de evitar la recurrencia de los mis- do en cuenta:
System). Requerimientos generales gos y los niveles del mismo. mos. Cada una de estas acciones correctivas · Establecimiento del marco y objetivos de
deberá ser documentada (Ver: Documento de la dirección y principales líneas de acción
acciones correctivas) en temas de seguridad de la información.
Administración de las revisiones del ISMS El anexo A de esta norma propone una detal- · Considerar requerimientos legales y de
lada tabla de los controles, los cuales quedan empresa y también obligaciones contrac-
Las revisiones mencionadas en el punto anterior deberán llevarse a cabo agrupados y numerados de la siguiente for- tuales en aspectos relacionados a la segu-
al menos una vez al año para asegurar su vigencia, adecuación y efectivi- ma: ridad.
dad. Estas revisiones incluirán valoración de oportunidades para mejorar o A.5 Política de seguridad · Establecer la alineación con el contexto
cambiar el ISMS incluyendo la política de seguridad de la información y sus A.6 Organización de la información de segu- de la estrategia de administración de ries-
objetivos. Los resultados de estas revisiones, como se mencionó en el punto ridad go de la empresa dentro del cual se esta-
anterior serán claramente documentados y los mismos darán origen a esta A.7 Administración de recursos blecerá y mantendrá el ISMS.
actividad. Esta actividad está constituida por la revisión de entradas (7.2.) A.8 Seguridad de los recursos humanos · Establecer los criterios contra los cuales
y la de salidas (7.3.) y dará como resultado el documento correspondiente A.9 Seguridad física y del entorno se evaluarán loa riesgos y han sido evalu-
(Ver: Documento de administración de las revisiones del ISMS). 8. Mejoras al A.10 Administración de las comunicaciones ados por la dirección. Para los criterios de
ISMS Análisis de ISO-27001:205 Alejandro Corletti Estrada Página 9 de 12 La y operaciones este estándar internacional, la política
A.11 Control de accesos del ISMS puede ser considerada como una
organización deberá mejorar continuamente la eficiencia del ISMS a través
A.12 Adquisición de sistemas de información, parte del documento de “Política de segu-
del empleo de la política de seguridad de la información, sus objetivos, el
desarrollo y mantenimiento ridad” general de la empresa.
resultado de las auditorías, el análisis y monitorización de eventos, las ac-
A.13 Administración de los incidentes de
ciones preventivas y correctivas y las revisiones de administración. seguridad Definición de la Valoración de riesgo de la
 Security&technology | NOVIEMBRE - DICIEMBRE 06 11

organización: de los criterios de riesgo establecidos. · Documento de administración de las revi- Procedimientos de:
· Identificar la metodología de valoración Identificación y evaluación de las opciones siones del ISMS (7.) · Control de documentos (Ver los detalles
de riesgo, la información de seguridad iden- de tratamiento de riesgo. Las posibles acciones Deberá incluir: del mismo en el punto 4.3.2 de este docu-
tificada de la empresa y los requerimientos incluyen: Resultados de la revisión. Realimentación ha- mento).
y regulaciones legales. cia las partes interesadas. · De registro: Debería existir un proced-
· Desarrollar un criterio para la aceptación Aplicación de los controles apropiados. Técnicas, productos o procedimientos que imiento general, y dentro del mismo, algunos
de riesgo y los diferentes niveles de acep- Conocimiento y objetividad para la acep- pueden ser empleados en la organización específicos como son:
tación del mismo. tación de riesgos, proveyendo una clara sat- para mejorar su eficiencia. De actividad (reportes, autorizaciones de ac-
· Descripción de la metodología que se apli- isfacción de ellos con la política y criterios Estado de acciones preventivas y correctivas. ceso, auditorías, cambios, permisos tempo-
ca para la valoración de riesgos de aceptación. Vulnerabilidades o amenazas que no se rales, bajas, etc.) (4.3.3.)
· Identificación de riesgos Evitar riesgos y transferencia de los ries- adecuan a la valoración de riesgo previa. de mejoras y decisiones que afectan al ISMS
· Identificar los recursos que se encuentran gos asociados a otras partes, por ejemplo, Resultado de la eficiencia en las mediciones · Respuesta a incidentes de seguridad.
dentro del ámbito del ISMS y los propietari- proveedores, socios, etc. (o controles). · Detección de eventos de seguridad.
os de los mismos. · Selección de controles objetivos para el Acciones seguidas desde la última revisión. · Recolección y centralización de eventos de
· Identificar las amenazas hacia los mis- tratamiento del riesgo. Estos controles serán Cualquier cambio que pudiera afectar al ISMS seguridad.
mos. seleccionados e implementados de acuerdo a y las recomendaciones de mejora. · Revisión del ISMS (Periódica y
· Identificar las vulnerabilidades que pueden los requerimientos identificados por la valor- Actualización de la valoración de riesgos y aperiódica)(punto 6.).
ser explotados por esas amenazas. ación del riesgo y los procesos de tratamiento plan de tratamiento de riesgo. · Revisión y medición de la efectividad de
· Identificar los impactos que la pérdida de del riesgo. Modificación de procedimientos y/o con- los controles.
confidencialidad, integridad y disponibili- El anexo A de esta norma proporciona una troles que afecten a la seguridad de la in- Todos estos documentos y registros pueden
dad, pueden ocasionar sobre esos recursos. buena base de referencia, no siendo exhaus- formación. realizarse en cualquier formato, tipo o medio.
tivos, por lo tanto se pueden seleccionar más Necesidad de recursos. Como se mencionó en esta norma se especifi-
Análisis y evaluación de riesgos: aún. Mejoras en cuanto a la efectividad con que can (en el Anexo A), una serie de controles (o
Valorar el impacto de negocio hacia la organ- · Obtención de aprobación de la dirección están siendo medidos los controles. mediciones) a considerar y documentar, que
ización que puede resultar desde cualquier para los riesgos residuales propuestos. se pueden considerar uno de los aspectos fun-
fallo de seguridad, teniendo en cuenta la pér- · Obtener autorización de la dirección para Documento de acciones correctivas (8.) damentales del ISMS (junto con la Valoración
dida de confidencialidad, integridad y/o dis- implementar y operar el ISMS. Deberá incluir: de riesgo). Cada uno de ellos se encuentra en
ponibilidad de los recursos. · Preparar una declaración de aplicación, la Identificación de no conformidades. estrecha relación a todo lo que especifica la
Probabilidad real de la ocurrencia de fal- cual debería incluir: Determinación de las causas de las mismas. norma ISO/IEC 17799:2005 en los puntos 5
los de seguridad a la luz de las amenazas, Evaluación de necesidades para acciones que al 15, y tal vez estos sean el máximo detalle
vulnerabilidades e impacto asociado a esos Los objetivos de control, los controles selec- aseguren la no recurrencia de las mismas. de afinidad entre ambos estándares. Se reit-
recursos y los controles actualmente imple- cionados y las razones para su selección. Determinación e implementación de las ac- era una vez más que la evaluación de cada
mentados. Los controles actualmente implementados ciones correctivas necesarias. uno de ellos debe quedar claramente establ-
y la exclusión y justificación de los que fig- Registro de resultados y acciones llevadas a ecida en los documentos que se presentaron
Estimación del nivel de riesgo. uran en el Anexo A cabo. en este texto, y muy especialmente la de los
Determinación si un riesgo es aceptable o · Planificación, guías y programas de forma- Revisión de la actividad correctiva llevada a controles que se consideren excluidos de la
requiere el uso de algún tipo de tratamiento ción y preparación (5.2.2) cabo. documentación.
12 Security&technology | NOVIEMBRE - DICIEMBRE 06
 Security&technology | NOVIEMBRE - DICIEMBRE 06 13

GESTIÓN DE RIESGOS
Detalles de BS7799-3
Si bien es cierto la norma fue desarrollada
Por Edson V. Piuzzi para cualquier tipo de industria, aun queda la

U
sensación de que sería bueno ver algo especifi-
na de las partes de ISO/IEC 27001 co para Riesgos de Información, ya que como se
que me generó más dolores de ca- trata de un intangible debiera tratarse de una
beza es la que dice relación con forma especial. Además, el cálculo de los nive-
esa misteriosa caja negra rotulada les de riesgo es bastante particular y encontrar
“Gestión de Riesgos de Información”. No sólo parámetros satisfactorios para la mayoría tam-
porque se trata de una labor compleja y exten- bién lo es.
uante, sino porque sustenta todo el entramado
del Gobierno de Seguridad de Información en Guidelines for Information Security Risk
términos estratégicos, técnicos, operacionales Management, BS 7799-3:2006
y económicos. De ahí que su correcta ejecución En Mayo del presente año BSI presentó BS
es un requisito fundamental para garantizar el 7799-3:2006 (). La tercera parte de su norma
éxito de emprender una implantación de ISO/ BS 7799, que es el origen de la familia ISO/IEC
IEC 27001. Aunque no conocía muchas normas 27000. En ella describe los aspectos mínimos
al respecto, les presento un breve análisis de que debe considerar un Proceso de Gestión de
dos de ellas. Riesgos de Información. Si bien, esto viene a
aliviar un poco a los Implantadores más pur-
Risk Management, AZ/NZS 4360:2004 istas, no es menos cierto que es una primera
En 1999 australianos y neozelandeses publi- versión y como tal adolece de los males de los
caron en forma conjunta un estándar para la estrenos. Es necesario revisar la estructura, la
caracterización de un proceso de gestión de distribución de los contenidos y la profundidad
riesgos (AS/NZS 4360:1999). A través de una de los ejemplos. Es muy valorable la inclusión
norma reducida en extensión, con diagramas de ejemplos para graficar todos aquellos aspec-
que gradualmente expanden sus niveles a me- tos que podrían generar dudas.
dida que nos adentramos en las definiciones y
apoyada por un generoso manual explicativo, Proceso de Gestión de Riesgos de la
no tardó en ser adoptada por varias empresas Información
de diversas industrias. Tras su primer ciclo de Sin embargo, el nivel de descripción no es com-
revisión, la versión más reciente data de 2004 parable con el par compuesto por AS/NZS 4360
y conforma un “paquete” completo que incluye y HB 436. El oceánico se muestra más como
el manual de apoyo (HB 436:2004). documento. Menos ambiguo, profundiza cuan-
do debe hacerlo y el manual incluye no sólo
Proceso de Gestión de Riesgos referencias sino las imágenes completas de las
En general es lo que uno esperaría por lógica. páginas referenciadas con una explicación sen-
Sin embargo, en la primera etapa de proceso nos cilla y directa del punto abordado. No obstante,
exige establecer el contexto del estudio. Esto es la madurez superior de AS/NZS 4360, BS 7799-
particularmente beneficioso ya que nos sitúa 3 tiene una ventaja en la tabulación de los
frente a la necesidad de definir tempranamente ejemplos del Anexo C del documento.
que tipo de criterios emplearemos durante la Probablemente, la próxima revisión de BS-
“Valorización del Riesgos” (Valorización: Tra- 7799:3 mejorará sustancialmente estos y otros
ducción propia para el concepto “assessment” aspectos. Por lo pronto, a seguir poniendo at-
que contempla el Análisis y la Evaluación de ención al desarrollo de AS/NZS 4360 que está
Riesgos conjuntamente). Es decir, debemos orientada a una línea de Gestión de Riesgos
definir si utilizaremos parámetros Financieros, Globales y nos permite incorporar los Riesgos
Operacionales, Técnicos, Estratégicos, etc. Esto de Seguridad de Información dentro de una
nos permite mantener alejada la tentación de cartera de riesgos que muchas empresas ya
privilegiar ciertos valores para obtener resulta- aceptan de manera natural. Es decir, no es nec-
dos de acuerdo a nuestras expectativas res- esario tratar de peinar hacia la derecha a uno
guardando de esta manera la objetividad. que siempre se peinó para atrás.
14 Security&technology | NOVIEMBRE - DICIEMBRE 06

OPENVPN: Redes privadas virtuales

Usos, instalación y configuración

Servidor VPN
Por Marcos P. Russo táticas, salte hacia delante
eth1 [Link] a la sección construir claves
¿Qué es una VPN? tun0 [Link] – [Link] estáticas PRE-compartidas.
Una Red Virtual Privada, nos permite conec- tun1 [Link] – [Link] Se van a construir certi-
tarnos de una red a otra, simulando un en- Cliente VPN 1 ficados y claves RSA utili-
lace privado dedicado entre ambos extremos zando el comando openssl,
eth1 [Link]
de la VPN, un punto a punto. Que se en- incluido en la distribución
tun0 [Link] – [Link]
cuentra en absolutamente cualquier parte de la biblioteca OpenSSL
del planeta, y a su vez pudiendo utilizar la tun1 X Primero editamos el archivo
infraestructura de una red publica, como lo Cliente VPN 2 /etc/ssl/[Link] o /usr/lib/
es Internet. ssl/[Link] este último Figura 1
eth1 [Link]
tun0 [Link] – [Link] hace un link al primero,
Usos comunes de una VPN siempre como root. con soporte pthread, para habilitar el
tun1 X
Acceso de un usuario remoto sobre Internet. Quizá quiera realizar cambios en el fich- procesamiento en segundo plano de claves
Conexión de redes sobre Internet. ero: RSA. Puede usar claves mayores incluso
Paquetes necesarios : Instalación del programa OpenVPN · Haga un directorio que sirva como espa- sin soporte pthread, pero observará cierta
· openssl Lo primero que vamos hacer es bajar los cio de trabajo para las claves y cambie dir degradación de la latencia en el túnel du-
· openvpn paquetes necesarios para el armado de la para que apunte a él. rante la negociación de las claves SSL/TLS.
· libzo-dev (esto es para la compresión sobre VPN, tanto en el servidor como en los cli- · Considere incrementar default_days para Para consultar un buen artículo sobre qué
el enlace VPN) entes, todo como root. que la VPN no deje de funcionar misteriosa- tamaño de clave RSA escoger, consulte el
· lzop # apt-get install openvpn mente exactamente después de un año. número de abril de 2002 del diario Crypto-
· Establezca certificate y private_key para Gram de Bruce Schneier. [[Link]
Para usuarios de kernel 2.2 o anteriores Una vez terminado esto vemos que inicializa que apunte al certificado maestro de la Au- [Link]/[Link]].
descargar el controlador de TUN/TAP (http:// el demonio de openvpn, por el momento ba- toridad de Certificación y la clave privada
[Link]/tun/). jamos el daemon. que se va a generar ahora. En los ejemplos # cd /etc/ssl
Los usuarios con kernel 2.4.7 o superior # /etc/initd.d/openvpn stop de abajo, se asume que el certificado de # vi [Link]
de debería tener el controlador TUN/TAP ya la Autoridad de Certificación se llama my-
incluido en el kernel. Ahora instalaremos el openssl para crear los [Link] y la clave privada de la Autoridad de ....
Para levantar dicho modulo hacemos lo certificados, todo como root : Certificación se llama [Link]. [ CA_default ]
siguiente como root : # apt-get install openssl · Observe los ficheros [Link] y serial. dir = /etc/openvpn
# apt-get install lzop Inicialice [Link] para que esté vació y se-
# modprobe tun {Programa para compresión rápida} rial para contener un
número de serie ini-
Luego habilitamos el IP forwarding. Construcción de los certificados y cial, como por ejemplo
claves RSA en servidor de VPN (OFICINA el 01.
# echo 1 > /proc/sys/net/ipv4/ip_forward CENTRAL) · Si usted es un para-
OpenVPN tienes dos modos considerados seg- noico en el tamaño de
En la Figura 1 podremos observar un ejem- uros, uno basado en SSL/TLS usando certifi- las claves, incremente
plo de configuración que se armara en dicho cados y claves RSA, el otro basado en claves default_bits a 2048.
documento. estáticas pre-compartidas. Mientras que OpenVPN no tendrá
Por consiguiente, veremos que en este SSL/TLS + claves RSA es indiscutiblemente la problemas en mane-
ejemplo tenemos un servidor de VPN y dos opción más segura, las claves estáticas tienen jar una clave RSA de
clientes, todo bajo GNU/Linux, con dis- la ventaja de la simplicidad. Si desea usar 2048 bits RSA si ha
tribución debian. claves RSA, continué leyendo. Para claves es- compilador OpenVPN
 Security&technology | NOVIEMBRE - DICIEMBRE 06 15

... # Sample OpenVPN configuration file for ente, pasamos a configurar la oficina contra
certificate = $dir/[Link] # office using SSL/TLS mode and RSA certifi- # Descomente ésto para una detección más fi- el cliente 2.

... cates/keys. able cuando el sistema

# # pierde su conexión. Por ejemplo, conexiones # cd /etc/openvpn
private_key = $dir/[Link] # cp [Link] [Link]
# ‘#’ or ‘;’ may be used to delimit comments. telefónicas o portátiles que
... # vi [Link]
# Use a dynamic tun device. # se desplazan a otros sitios.
# 4 años * 365 = 1460 días
# For Linux 2.2 or non-Linux OSes, ; ping 15
# es la cantidad de días que dura el certificado Aplicamos las siguientes modificaciones
# you may want to use an explicit ; ping-restart 45 del archivo.
default_days = 1460
# unit number such as “tun1”. ; ping-timer-rem
...
; persist-tun # [Link] es nuestro extremo local VPN
[ req ] # OpenVPN also supports virtual
(oficina central).
# ethernet “tap” devices. ; persist-key
default_bits = 2048 # [Link] es nuestro extremo remoto VPN
dev tun # Nivel de información.
(cliente 2).
# [Link] es nuestro extremo local VPN # 0 -- callado excepto en errores fatales.
# cd /etc/openvpn ifconfig [Link] [Link]
# touch [Link] (oficina central. # 1 -- casi callado, pero mostrar errores no-fa-
# Script que establecerá las rutas
# [Link] es nuestro extremo remoto VPN tales de red.
# echo “01” > serial # una cuando la VPN esté activa
# mkdir newcerts (cliente 1). # 3 -- información media, para funcionar normal-
mente. up /etc/openvpn/[Link]
ifconfig [Link] [Link]
# 9 -- mucha información, útil para resolución de # OpenVPN utiliza el puerto 1194 UDP por de-
Creamos la Autoridad de Certificación # Script que establecerá las rutas
problemas. fecto.
maestra, un par certificado / clave privada. # una cuando la VPN esté activa
verb 3 # Cada túnel OpenVPN debe usar
Nos pedirá que ingresemos el continente,
up /etc/openvpn/[Link]
provincia, organización, unidad, nombre, e- # un número de puerto diferente.
# En el intercambio de claves SSL/TLS, la Oficina
mail, etc. Todos los certificados los creamos Archivo de configuración [Link] # lport o rport pueden usarse
en el servidor de VPN. # asumirá el rol de Servidor y Cliente
# para denotar diferentes puertos
# Asumirá el rol de cliente. # cd /etc/openvpn # para local y remoto.
# openssl req -nodes -new -x509 -keyout my- tls-server # vi [Link]
; port 1194
[Link] -out [Link] -days 1460 # Parámetros Diffie-Hellman (soló para tls-sev-
port 5001
[Nota: No poner (.) porque sino no toma todo er) #!/bin/bash
el texto.] dh /etc/openvpn/[Link] route add -net [Link] netmask
[Link] gw $5 Por cada conexión de cliente y servidor tienen
# Fichero de la Autoridad de Certificación (CA)
Esto creará una Autoridad de Certificación que ser distintos los port.
ca /etc/openvpn/[Link]
maestra, un par certificado / clave privada, # chmod 500 *.conf
válida por 4 años. # Nuestro certificado / clave pública # chmod 500 *.up # vi [Link]
Ahora creamos la clave privada para los Cli- cert /etc/openvpn/[Link] # chmod 500 *.crt
entes y otro para la Oficina, se tienen que # Nuestra clave privada #!/bin/bash
llenar los mismos datos para la Oficina: key /etc/openvpn/[Link] Ahora levantamos el demonio para que cor- route add -net [Link] netmask
# openssl req -nodes -new -keyout [Link] -out ra, al levantarlo, correrá todos los archivos [Link] gw $5
# OpenVPN utiliza el puerto 1194 UDP por de-
[Link] fecto. conf. que tengamos por cada cliente. Dentro
Vemos que nos pide los mismos datos que del archivo /etc/init.d/openvpn se especifica # /etc/init.d/openvpn stop
# Cada túnel OpenVPN debe usar
completamos anteriormente, y un extra más. el directorio donde busca la configuración. # /etc/init.d/openvpn start
# un número de puerto diferente.
Esta variable es : CONFIG_DIR=/etc/openvpn
# openssl ca -out [Link] -in [Link] # lport o rport pueden usarse Veremos que se crean 2 tun.
# para denotar diferentes puertos # /etc/init.d/openvpn start
Ahora creamos lo mismo pero para los Cli- # para local y remoto. # ifconfig
entes en este caso ponemos los datos del ; port 1194 También podemos ver lo que ejecuta, en vez
cliente: de levantar el demonio de la anterior forma, ...
port 5000
lo hacemos de la siguiente forma :
# Rebajar UID y GID a tun0 Link encap:UNSPEC HWaddr 00-00-00-
# openssl req -nodes -new -keyout [Link] - 00-00-00-00-00-00-00-00-00-00-00-00-00
out [Link] # “nobody” después de la inicialización # openvpn --config /etc/openvpn/oficina-cliente1.
inet addr:[Link] P-t-P:[Link]
# openssl ca -out [Link] -in [Link] # para más seguridad. conf Mask:[Link]
; user nobody UP POINTOPOINT RUNNING NOARP MULTICAST
Cambiamos los permisos de los archivo con ; group nobody Ahora vemos como quedo configurado el MTU:1500 Metric:1
extensión .key. tun0 y la ruta.
# If you built OpenVPN with RX packets:0 errors:0 dropped:0 overruns:0
# LZO compression, uncomment frame:0
# cd /etc/openvpn # ifconfig tun0
# out the following line. TX packets:0 errors:0 dropped:0 overruns:0 car-
# chmod 400 *.key tun0 Link encap:UNSPEC HWaddr 00-00-38- rier:0
# Si compila OpenVPN con 6E-01-40-60-FB-00-00-00-00-00-00-00-00
collisions:0 txqueuelen:100
Establezca los parámetros Diffie Hellman en # compresión LZO, descomente inet addr:[Link] P-t-P:[Link]
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
la Oficina con el siguiente comando: # la siguiente línea. Mask:[Link]
comp-lzo UP POINTOPOINT RUNNING NOARP MULTICAST
# openssl dhparam -out [Link] 2048 MTU:1500 Metric:1 tun1 Link encap:UNSPEC HWaddr 00-00-FF-
# Send a UDP ping to remote once FF-FF-FF-FF-FF-00-00-00-00-00-00-00-00
RX packets:0 errors:0 dropped:0 overruns:0
Incremente el número de bits de 1024 a 2048 # every 15 seconds to keep frame:0 inet addr:[Link] P-t-P:[Link]
si lo incrementó también tiene que estar en # stateful firewall connection Mask:[Link]
TX packets:0 errors:0 dropped:0 overruns:0 car-
[Link]. Esto lleva bastante tiempo. # alive. Uncomment this rier:0 UP POINTOPOINT RUNNING NOARP MULTICAST
MTU:1500 Metric:1
collisions:0 txqueuelen:100
Configuración del servidor VPN con RX packets:0 errors:0 dropped:0 overruns:0
# out if you are using a stateful RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
clave SSL/TLS y RSA frame:0
# firewall. # route -n
El cliente de VPN consta de 2 placas de red TX packets:0 errors:0 dropped:0 overruns:0 car-
una se conecta directamente al ADSL ether- ... rier:0
net (eth0) y la otra placa a la intranet. # Enviar un ping UDP al extremo remoto una vez [Link] [Link] [Link] UH collisions:0 txqueuelen:100
Acá tenemos el archivo de configuración ofic- # cada 15 segundos para mantener 0 0 0 tun0
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
[Link] # el estado la conexión en el firewall [Link] [Link] [Link] UG
# route -n
0 0 0 tun0
# activa. Descomente esto ...
...
# cd /etc/openvpn # si está usando un firewall con [Link] [Link] [Link] UH
# vi [Link] # estado. 0 0 0 tun0
Una vez terminado el primer archivo de
# ; ping 15 configuración de la oficina con el primer cli-
16 Security&technology | NOVIEMBRE - DICIEMBRE 06

[Link] [Link] [Link] UG Donde [Link] es nuestra ip dinámica # Para Cliente1 – Oficina Central, usando route add -net [Link] netmask
0 0 0 tun0 que nos provee nuestro proveedor de Internet. SSL/TLS e [Link] gw $5
[Link] [Link] [Link] UH La ip [Link] es nuestro gateway # RSA. # chmod 700 *.up
0 0 0 tun1 por defecto, donde todas las peticiones que #
[Link] [Link] [Link] UG hagamos saldrán por ese gateway. # Usar como interface o driver tun La IP remota es la ip pública del servidor de
0 0 0 tun1 Para probar verificamos hacemos un ping dev tun VPN (Oficina Central).
... a [Link], para verificar que todo # IP remota
funcione correctamente. remote [Link] Configuración del segundo cliente VPN
Configuración de los clientes VPN # [Link] IP local de la VPN – Cliente 1 Ídem a todo lo anterior, salvo que cambiamos
El cliente de VPN consta de 2 placas de red # ping -c 6 [Link] # [Link] IP local de la VPN – Oficina algunas cosas:
una se conecta directamente al ADSL ethernet PING [Link] ([Link]) Central
(eth0) y la otra placa se conecta a un switch 56(84) bytes of data. ifconfig [Link] [Link] # cd /etc/openvpn
(eth1), donde se conecta los clientes de la red 64 bytes from [Link]: icmp_seq=1 # Directorio donde esta toda la configuración # vi [Link]
interna. Como se muestra en la figura. ttl=236 time=190 ms cd /etc/openvpn
64 bytes from [Link]: icmp_seq=2 # Archivo que levanta la ruta por defecto a # Ejemplo de configuración de OpenVPN
ttl=238 time=194 ms la red # Para Cliente2 – Oficina Central, usando
64 bytes from [Link]: icmp_seq=3 # Quedando así el túnel, ideal para usar como SSL/TLS e
ttl=237 time=188 ms rutas. # RSA.
64 bytes from [Link]: icmp_seq=4 up /etc/openvpn/[Link] # Usar como interface o driver tun
ttl=238 time=194 ms # De la manera SSL/TLS entrar en las pc dev tun
64 bytes from [Link]: icmp_seq=5 # de la Oficina Central # IP remota
ttl=236 time=187 ms tls-client remote [Link]
64 bytes from [Link]: icmp_seq=6 # Certificado de CA # [Link] IP local de la VPN – Cliente 2
ttl=236 time=187 ms ca /etc/openvpn/[Link] # [Link] IP local de la VPN – Oficina
--- [Link] ping statistics --- # Certificado Publico del Cliente1 Central
6 packets transmitted, 6 received, 0% packet cert /etc/openvpn/[Link] ifconfig [Link] [Link]
loss, time 5004ms # Certificado Privado del Cliente1 # Archivo que levanta la ruta por defecto a
En la configuración de la placa eth0 que rtt min/avg/max/mdev = 187.087/190.261/194. key /etc/openvpn/[Link] la red
esta conectado al ADSL, corremos el comando 528/3.093 ms # OpenVPN usa el puerto 5000/UDP para el # Quedando así el túnel, ideal para usar como
pppoeconf para configurar el ADSL la con- estándar rutas.
figuramos de la siguiente forma como root Ahora configuramos la interfaz eth1 que es # Cada túnel de OpenVPN debe utilizar una up /etc/openvpn/[Link]
(súper usuario) : la que se conecta con el switch o hub, para diversa # OpenVPN usa el puerto 5001/UDP para el
repartir la conexión a la intranet esta misma # puerta. estándar
# pppoeconf placa hará de NAT. Para que los pedidos de la port 5000 # Cada túnel de OpenVPN debe utilizar una
INTRANET puedan salir. # Para cambiar UID y GID. diversa
Nos preguntará si queremos que los dns de Para levantar dicho modulo hacemos lo ; user nobody # puerta.
la compañía, se coloquen dentro del archivo siguiente como root : ; group no group port 5001
/etc/[Link]. # Envía un ping vía UDP
Ya con esto terminamos de configurar las # modprobe tun # cada 15 segundos para mantener # vi [Link]
ADSL, estoy hay que hacerlo en cada cliente # la conexión.
de VPN. Luego habilitamos el IP forwarding. ; ping 15 #!/bin/bash
Para ver que haya levantado la interfaz # Para que mantenga la comunicación route add -net [Link] netmask
ppp0 realizamos lo siguiente como root : # echo 1 > /proc/sys/net/ipv4/ip_forward keepalive 10 60 [Link] gw $5
ping-timer-rem
# ifconfig ppp0 Instalamos el servidor de OpenVPN como lo persist-tun # chmod 700 *.up
hicimos en el servidor (Oficina Central). persist-key
ppp0 Link encap:Point-to-Point Protocol Ahora copiamos [Link], [Link] y my- # Nivel de los logs. La IP remota es la ip pública del servidor de
[Link] a la maquina de los Cliented de la VPN, # 0 -- reservado, excepto para los errores fa- VPN (Oficina Central).
inet addr:[Link] P-t-P:[Link]
Mask:[Link] al directorio /ect/openvpn a través de un canal tales. Levantamos las VPN de los clientes.
seguro con scp, aunque actualmente solo los # 1 -- casi silencioso, pero muestra los errores Ahora para probar realizamos lo siguiente:
UP POINTOPOINT RUNNING NOARP MULTICAST
MTU:1492 Metric:1 ficheros .key deben considerarse no-públicos. no fatales de la red.
Ahora volvemos al cliente y vamos a config- # 3 -- medio, ideal para uso día a día. Cliente 1
RX packets:30 errors:0 dropped:0 overruns:0
frame:0 urar el archivo [Link]. # 9 -- ideal para soluciones de problemas. # ping [Link]
verb 3 # ping [Link]
TX packets:16 errors:0 dropped:0 overruns:0 car-
rier:0 # cd /etc/openvpn comp-lzo
# vi [Link] Cliente 2
collisions:0 txqueuelen:3
# vi [Link] # ping [Link]
RX bytes:1380 (1.3 KiB) TX bytes:622 (622.0 b)
# Ejemplo de configuración de OpenVPN #ping [Link]
#!/bin/bash

CONFIGURACIÓN DE LOS CLIENTES VPN, PASO A PASO

1 2 3 4

5 6 7 8
18 Security&technology | NOVIEMBRE - DICIEMBRE 06

GUÍA PARA LA ELABORACIÓN DE POLÍTICAS

DE SEGURIDAD EN LA EMPRESA
Esta metodología es potencialmente útil para el desarrollo, implementación, mantenimiento y eliminación de un conjunto completo
de políticas – tanto de seguridad como en otras áreas. Este documento presenta algunos puntos de que deben tenerse en cuenta al
desarrollar algunA política de seguridad informática.
CEDIMIENTO? Estos son términos utilizados
Por Univ. Nac. de Colombia en seguridad informática todos los días,

E
pero algunas veces son utilizados correcta-
s frecuente que las personas in- mente, otras veces no.
volucradas con seguridad in- Política. Declaración general de prin-
formática tengan una visión estre- cipios que presenta la posición de la admin-
cha de lo que significa desarrollar istración para un área de control definida.
las políticas de seguridad, pues no basta con Las políticas se elaboran con el fin de que
escribirlas y pretender ponerlas en práctica. tengan aplicación a largo plazo y guíen el
En ocasiones se incluye la asignación de desarrollo de reglas y criterios más específi-
responsables, se realizan actividades para cos que aborden situaciones concretas. Las
dar a conocerlas y, quizá, se supervise su políticas son desplegadas y soportadas por
cumplimiento; pero esto tampoco basta. estándares, mejores prácticas, procedimien-
Muchas políticas de seguridad informática tos y guías. Las políticas deben ser pocas
fallan ya que se desconoce lo que implica (es decir, un número pequeño), deben ser
realmente desarrollarlas. apoyadas y aprobadas por las directivas de
Es importante resaltar que una política de la empresa, y deben ofrecer direccionamien-
seguridad tiene un ciclo de vida completo tos a toda la organización o a un conjunto
mientras esta vigente. Este ciclo de vida in- importante de dependencias. Por definición,
cluye un esfuerzo de investigación, la labor las políticas son obligatorias y la incapacidad
de escribirla, lograr que las directivas de la o imposibilidad para cumplir una política
organización la acepten, conseguir que sea exige que se apruebe una excepción.
aprobada, lograr que sea diseminada a través Estándar. Regla que especifica una ac-
de la empresa, concienciar a los usuarios de ción o respuesta que se debe seguir a una
la importancia de la política, conseguir que situación dada. Los estándares son orienta-
la acaten, hacerle seguimiento, garantizar ciones obligatorias que buscan hacer cump- plataformas, aplicaciones o procesos especí- 3. Una MEJOR PRÁCTICA, en este ejemplo,
que esté actualizada y, finalmente, suprim- lir las políticas. Los estándares sirven como ficos. Son utilizados para delinear los pasos podría estar relacionada sobre la manera de
irla cuando haya perdido vigencia. Si no se especificaciones para la implemen tación de que deben ser seguidos por una dependencia configurar el correo sobre un tipo específico
tiene en cuenta este ciclo de vida se corre las políticas: son diseñados para promover para implementar la seguridad relacionada a de sistema (Windows o Linux) con el fin de
el riesgo de desarrollar políticas que sean la implementación de las políticas de alto dicho proceso o sistema específico. garantizar el cumplimiento de la POLÍTICA y
poco tenidas en cuenta, incompletas, re- nivel de la organización antes que crear Generalmente los procedimientos son de- del ESTÁNDAR.
dundantes, sin apoyo pleno por parte de los nuevas políticas. sarrollados, implementados y supervisados 4. Los PROCEDIMIENTOS podrían especi-
usuarios y las directivas, superfluas o irrel- Mejor práctica. Es una regla de seguridad o del sistema. Los procedimientos por el ficar requerimientos para que la POLÍTICA y
evantes. específica a una plataforma que es aceptada dueño del proceso seguirán las políticas de los ESTÁNDARES que la soportan, sean apli-
Este documento presenta algunos puntos a través de la industria al proporcionar el la organización, los estándares, las mejores cados en una dependencia específica, por
de que deben tenerse en cuenta al desarrol- enfoque más efectivo a una implementación prácticas y las guías tan cerca como les sea ejemplo la Oficina de Control Interno.
lar alguna política de seguridad informáti- de seguridad concreta. Las mejores prácti- posible, y a la vez se ajustarán a los req- 5. Finalmente, las GUÍAS podrían incluir
ca. cas son establecidas para asegurar que las uerimientos procedimentales o técnicos es- información sobre técnicas, configuraciones
características de seguridad de sistemas uti- tablecidos dentro de la dependencia donde y secuencias de comandos recomendadas que
¿Por qué tener políticas escritas? lizados con regularidad estén configurados ellos se aplican. deben seguir los usuarios para asegurar la
Existen varias razones por las cuales es y administrados de manera uniforme, garan- El cuadro anterior, además de presentar información confidencial enviada y recibida
recomendable tener políticas escritas en tizando un nivel consistente de seguridad a una definición de los términos utilizados en a través del servicio de correo electrónico.
una organización La siguiente es una lista través de la organización. la enunciación e implementación de políti- Nótese que, en muchas ocasiones, el
de algunas de estas razones. Guía. Una guía es una declaración gen- cas, muestra una jerarquía entre las defini- trémino “política” es utilizado en un sen-
· Para cumplir con regulaciones legales o eral utilizada para recomendar o sugerir un ciones. tido genérico para aplicarlo a cualquiera
técnicas enfoque para implementar políticas, es- Un ejemplo de los requerimientos de seg- de los tipos de requerimientos de seguridad
· Como guía para el comportamiento pro- tándares y buenas prácticas. Las guías son, uridad interrelacionados podría ser: expuestos. En este documento se llamará
fesional y personal esencialmente, recomendaciones que deben 1. En el nivel más alto, se puede elaborar política, de manera genérica, a todos los
· Permite unificar la forma de trabajo de considerarse al implementar la seguridad. una POLÍTICA, para toda la organización, requerimientos de seguridad mencionados
personas en diferentes lugares o momen- Aunque no son obligatorias, serán seguidas que obligue a “garantizar seguridad en el antes y POLÍTICA (en mayúsculas) a las
tos que tengan responsabilidades y tareas políticas propiamente dichas.
similares Hay varias etapas que deben realizarse
· Permiten recoger comentarios y obser- «Muchas políticas de seguridad informática a través de “la vida” de una política. Estas
vaciones que buscan atender situaciones
anormales en el trabajo suelen fallar ya que se desconoce lo que implica etapas pueden ser agrupadas en 4 fases.
1. Fase de desarrollo: durante esta fase la
· Permite encontrar las mejores prácticas
en el trabajo
realmente desarrollarlas.» política es creada, revisada y aprobada.
2. Fase de implementación: en esta fase
· Permiten asociar la filosofía de una or- la política es comunicada y acatada (o no
ganización (lo abstracto) al trabajo (lo a menos que existan argumentos documen- correo electrónico cuyo contenido sea infor- cumplida por alguna excepción).
concreto) tados y aprobados para no hacerlo. mación confidencial”. 3. Fase de mantenimiento: los usuarios
Procedimiento. Los procedimientos de- 2. Esta POLÍTICA podría ser soportada por deben ser concientes de la importancia de la
Definición de política finen específicamente cómo las políticas, varios ESTÁNDARES, incluyendo por ejemp- política, su cumplimiento debe ser monitor-
Es importante aclarar el término política estándares, mejores prácticas y guías serán lo, que los mensajes de este tipo sean envia- eado, se debe garantizar su cumplimiento y
desde el comienzo. ¿Qué queremos dar a implementados en una situación dada. Los dos utilicriptografía zando algún sistema de se le debe dar mantenimiento (actualizarla)
entender cuando decimos POLITICA o ES- procedimientos son dependientes de la tec- aprobado por la empresa y que sean borra- 4. Fase de eliminación: La política se re-
TÁNDAR o MEJOR PRÁCTICA o GUÍA o PRO- nología o de los procesos y se refieren a dos de manera segura después de su envío. tira cuando no se requiera más.
 Security&technology | NOVIEMBRE - DICIEMBRE 06 19

Creación, Planificación, investigación, coordine con dicho funcionario, presente las vas, cursos de entrenamiento, mensajes de
documentación, y coordinación de la recomendaciones emitidas durante la etapa correo, etcétera); y desarrollo y difusión de Algunas prácticas
política de revisión y haga el esfuerzo para que sea material de concienciación (presentaciones, recomendadas para
El primer paso en la fase de desarrollo de aceptada por la administración. Puede ocur- afiches, circulares, etc.). La etapa de con- escribir una política
una política es la planificación, la investi- rir que por incertidumbre de la autoridad cienciación también incluye esfuerzos para
Algunas prácticas recomendadas para es-
gación y la redacción de la política o, to- de aprobación sea necesaria una aprobación integrar el cumplimiento de la política y cribir una política
mado todo junto, la creación. La creación temporal. retroalimentación sobre el control realizado Sin importar que una política se enuncie
de una política implica identificar por qué para su cumplimio. formal o informalmente, esta debe incluir
se necesita la política (por ejemplo, req- Comunicación: Difundir la política 12 tópicos:
uerimientos legales, regulaciones técnicas, Una vez la política ha sido aprobada for- Monitoreo: Seguimiento y reporte del
contractuales u operacionales); determinar malmente, se pasa a la fase de implement- cumplimiento de la política 1. La declaración de la política (cuál es la
posición de la administración o qué es lo
el alcance y la aplicabilidad de la política, ación. La comunicación de la política es la Durante la fase de mantenimiento, la etapa que se desea regular)
los roles y las responsabilidades inherentes primera etapa que se realiza en esta fase. La de monitoreo es realizada para seguir y re- 2. Nombre y cargo de quien autoriza o
a la aplicación de la política y garantizar política debe ser inicialmente difundida a portar la efectividad de lo esfuerzos en el aprueba la política
la factibilidad de su implementación. La los miembros de la comunidad universitaria o cumpilimento de la política. Esta informa- 3. Nombre de la dependencia, del grupo o
creación de una políticatambién incluye la a quienes sean afectados directamente por la ción se obtiene de la observación de los do- de la persona que es el autor o el propo-
investigación para determinar los requerim- política (contratistas, proveedores, usuarios centes, estudiantes, empleados y los cargos nente de la política
ientos organizacionales para desarrollar las de cierto servicio, etc.). Esta etapa implica de supervisión, mediante auditorias for- 4. Debe especificarse quién debe acatar
políticas (es decir, que autoridades deben determinar el alcance y el método inicial de males, evaluaciones, inspecciones, revisiones la política (es decir, a quién está dirigida)
y quién es el responsable de garantizar su
aprobarla, con quién se debe coordinar el distribución de la política (es posible que y análisis de los reportes de contravenciones cumplimiento
desarrollo y estándares del formato de re- deban tenerse en cuenta factores como la y de las actividades realizadas en respuesta a
5. Indicadores para saber si se cumple o
dacción), y la investigación de las mejores ubicación geográfica, el idioma, la cultura los incidentes. no la política
prácticas en la industria para su aplicabili- y línea de mando que será utilizada para Esta etapa incluye actividades continuas 6. Referencias a otras políticas y regula-
dad a las necesidades organizacionales actu- comunicar la política). Debe planificarse esta para monitorear el cumplimiento o no de la ciones en las cuales se soporta o con las
ales. De esta etapa se tendrá como resultado etapa con el fin de deterinmar los recursos política a través de métodos formales e infor- cuales tiene relación
la documentación de la política de acuerdo necesarios y el enfoque que debe ser seguido males y el reporte de las deficiencias encon- 7. Enunciar el proceso para solicitar ex-
con los procedimientos y estándares de la para mejorar la visibilidad de la política. tradas a las autoridades apropiadas. cepciones
empresa, al igual que la coordinación con 8. Describir los pasos para solicitar cam-
bios o actualizaciones a la política
entidades internas y externas que la políti- Cumplimiento: Implementar la política Garantía de cumplimiento: Afrontar las
ca afectará, para obtener información y su La etapa de cumplimiento incluye actividades contravenciones de la política
9. Explicar qué acciones se seguirán en
caso de contravenir la política
aceptación. En general, la creación de una relacionadas con la ejecución de la política. La etapa de garantía de cumplimiento de las
10. Fecha a partir de la cual tiene vigen-
política es la función más fácil de entend- Implica trabajar con otras personas de la em- políticas incluye las respuestas de la adminis- cia la política
er en el ciclo de vida de desarrollo de una presa, vicerrectores, decanos, directores de tración a actos u omisiones que tengan como 11. Fecha cuando se revisará la conven-
política. departamento y los jefes de dependencias (de resultado contravenciones de la política con iencia y la obsolescencia de la política
división o de sección) para interpretar cuál el fin de prevenir que sigan ocurriendo. Esto 12. Incluir la dirección de correo elec-
Revisión: Evaluación independiente de es la mejor manera de implementar la política significa que una vez una contravención sea trónico, la página web y el teléfono de
la política en diversas situaciones y oficinas; aseguran- identificada, la acción correctiva debe ser de- la persona o personas que se pueden
contactar en caso de preguntas o suger-
La revisión de la política es la segunda eta- do que la política es entendida por aquellos terminada y aplicada a los procesos (revisión
encias
pa en la fase de desarrollo del ciclo de vida. que requieren implementarla, monitorearla, del proceso y mejoramiento), a la tecnología
Una vez la documentación de la política hacerle seguimiento, reportar regularmente (actualización) y a las personas (acción dis-
ha sido creada y la coordinación inicial ha su cumplimiento y medir el impacto inme- ciplinaria) involucrados en la contravención tirar una política superflua del inventario de
sido iniciada, esta debe ser remitida a un diato de la política en las actividades operati- con el fin de reducir la probabilidad de que políticas activas para evitar confusión, archi-
grupo (o un individuo) independiente para vas. Dentro de estas actividades está la elab- vuelva a ocurrir. Se recomienda incluir infor- varla para futuras referencias y documentar
su evaluación antes de su aprobación final. oración de informes a la administración del mación sobre las acciones correctivas adelan- la información sobre la decisión de retirar la
Hay varios beneficios de la revisión indepen- estado de la implementación de la política. tadas para garantizar el cumlimpiento en la política (es decir, la justificación, quién au-
diente: una política más viable a través del etapa de concienciación. torizó, la fecha, etcétera).
escrutinio de individuos que tienen una per- Excepciones: Gestionar las situaciones Estas cuatro fases del ciclo de vida reúnen
spectiva diferente o más vasta que la persona donde la implementación no es posible Mantenimiento: Asegurar que la 11 etapas diferentes que deben seguirse du-
que redactó la política; apoyo más amplio Debido a problemas de coordinación, falta de política esté actualizada rante el ciclo de vida de una política especí-
para la política a través de un incremento de personal y otros requerimientos operacional- La etapa de mantenimiento esta relacionada fica. No importa como se agrupen, tampoco
involucrados; auento en el número de credi- es, no todas las políticas pueden ser cumpli- con el proceso de garantizar la vigencia y la importa si estas etapas son abreviadas por
bilidad en la política gracias a la información das de la manera que se pensó al comienzo. integridad de la política. Esto incluye hacer necesidades de inmediatez, pero cada eta-
recibida de diferentes especialistas del grupo Por esto, es probable que se requieran excep- seguimiento a las tendencias de cambios en pa debe ser realizada. Si en la fase de de-
de revisión. Propio de esta etapa es la pre- ciones a la política para permitir a ciertas la tecnología, en los procesos, en las perso- sarrollo la empresa intenta crear una política
sentación de la política a los revisores, ya oficinas o personas el no cumplimiento de la nas, en la organización, en el enfoque del ne- sin una revisión independiente, se tendrán
sea de manera formal o informal, exponiendo política. Debe establecerse un proceso para gocio, etcétera, que puede afectar la política; políticas que no estarán bien concebidas ni
cualquier punto que puede ser importante garantizar que las solicitudes de excepciones recomendando y coordinando modificaciones serán bien recibidas por la comunidad uni-
para la revisión, explicando su objetivo, el son registradas, seguidas, evaluadas, envia- resultado de estos cambios, documentándo- versitaria. En otras circunstancias, y por falta
contexto y los beneficios potenciales de la das para aprobación o desaprobación, docu- los en la política y registrando las actividades de visión, puede desearse omitir la etapa de
política y justificando por qué es necesaria. mentadas y vigiladas a través del periodo de cambio. Esta etapa también garantiza la excepciones de la fase de implementación,
Como parte de esta función, se espera que el de tiempo establecido para la excepción. El disponibilidad continuada de la política para pensando equivocadamente que no existirán
creador de la política recopile los comentar- proceso también debe permitir excepciones todas las partes afectadas por ella, al igual circunstancias para su no cumplimiento.
ios y las recomendaciones para realizar cam- permanentes a la política al igual que la no que el mantenimiento de la integridad de la También se podría descuidar la etapa de
bios en la política y efectuar todos los ajustes aplicación temporal por circunstancias de política a través de un control de versiones mantenimiento, olvidando la importancia
y las revisiones necesarias para obtener una corta duración. efectivo. Cuando se requieran cambios a la de mantener la integridad y la vigencia de
versión final de la política lista para la apro- política, las etapas realizadas antes deben las políticas. Muchas veces se encuentran
bación por las directivas. Concienciación: Garantiza la ser revisitadas, en particular las etapas de re- políticas inoficiosas en los documentos de
concienciación continuada de la política visión, aprobación, comunicación y garantía importantes organizaciones, indicando que
Aprobación: Obtener la aprobación de La etapa de concienciación de la fase de man- de cumplimiento. la etapa de retiro no está siendo realizada.
la política por parte de las directivas tenimiento comprende los esfuerzos contin- No sólo se requiere que las once etapas
El paso final en la fase de desarrollo de la uos realizados para garantizar que las perso- Retiro: Prescindir de la política cuando sean realizadas, algunas de ellas deben ser
política es la aprobación. El objetivo de esta nas están concientes de la política y buscan no se necesite más ejecutadas de manera cíclica, en particular
etapa es obtener el apoyo de la adminis- facilitar su cumplimiento. Esto es hecho al Después que la política ha cumplido con su mantenimiento, concienciación, monitoreo,
tración de la empresa, a través de la firma definir las necesidades de concienciación de finalidad y no es necesaria (por ejemplo, la y garantía de cumplimiento.
de una persona ubicada en una posición de los diversos grupos de audiencia dentro de la empresa cambió la tecnología a la cual apli-
autoridad. organización (directivos, jefes de dependen- caba o se creó una nueva política que la
Texto traducido y adaptado de “The Security Poli-
La aprobación permite iniciar la imple- cias, usuarios, etc.); en relación con la adher- reemplazó) entonces debe ser retirada. La cy Life Cycle: Functions and Responsibilities”, de
mentación de la política. Requiere que el encia a la política, determinar los métodos de etapa de retiro corresponde a la fase de elimi- Patrick D. Howard, Information Security Manage-
proponente de la política haga una selección concienciación más efectivos para cada grupo nación del ciclo de vida de la política, y es la ment Handbook, Edited by Tipton & Krause, CRC
adecuada de la autoridad de aprobación, que de audiencia (es decir, reuniones informati- etapa final del ciclo. Esta función implica re- Press LLC, 2003.
20 Security&technology | NOVIEMBRE - DICIEMBRE 06

EX
PLOI
TING
Exploit y Manejo de excepción
estructurada SEH
 Security&technology | NOVIEMBRE - DICIEMBRE 06 21

EN ESTE TEXTO NOS CENTRAREMOS EN ENTENDER COMO FUNCIONAN LOS ExploitS y EL

Manejo de excepción estructurada SEH, REPASANDO DEFINICIONES, CONCEPTOS
BÁSICOS de seh, estructuras y entendimiento de bugs.

flow (el que veremos aquí, también llamado Registros de la CPU una cierta sección de la memoria. Se suelen
Por Pedro Cacivio buffer overflow, o desbordamiento de buffer, La cpu (microprocesador) contiene una serie usar Registro+Offset para direccionar a una

E
etc.), heap overflow (ya lo veremos en algún de registros, donde almacena variables, datos dirección concreta de memoria. Los mas usa-
xploit -del inglés to exploit, explo- otro texto, se refiere a desbordar una variable o direcciones de las operaciones que esta re- dos son CS, que apunta al segmento actual de
tar, aprovechar- es el nombre con declarada en el heap en vez de en la pila.), alizando en este momento. El lenguaje ASM direcciones que esta ejecutando EIP, SS, que
el que se identifica un programa format string overflow (bugs de formato de se sirve de dichos registros como variables apunta a la pila y DS, que apunta al segmento de
informático malicioso, o parte del las cadenas de texto), integer overflow (de- de los programas y rutinas, haciendo posible datos actual. ES es \”multipropósito\”, para
programa, que trata de forzar alguna defi- bidos a declaraciones de variables con un cualquier programa (de longitudes considera- lo mismo, referenciar direcciones de memo-
ciencia o vulnerabilidad de otro programa espacio mínimo o negativo que proveemos bles, claro). Los registros permiten comuni- ria, y un largo etc.
(llamadas bugs). El fin puede ser la destruc- nosotros), etc. cación directa entre memoria y CPU.
ción o inhabilitación del sistema atacado, La primera ‘e’ que aparece en el nombre de ESP EBP
aunque normalmente se trata de violar las Offset los registros significa “extended” e indica la ESP siempre contiene la dirección del inicio
medidas de seguridad para poder acceder al Un offset es un desplazamiento respecto a evolución entre las viejas arquitecturas de 16 de la pila (la cima) que esta usando el pro-
mismo de forma no autorizada y emplearlo una dirección de memoria. Por ejemplo: bits y las actuales de 32 bits. grama o hilo (thread) en ese momento. Cada
en beneficio propio o como origen de otros Los más interesantes son: programa usara un espacio de la pila distinto,
ataques a terceros. AppName: [Link] AppVer: 7.0.5730.11 y cada hilo del programa también. EBP señala
ModName: [Link]
EIP (Extended Instruction Pointer) la dirección del final de la pila de ese pro-
Definiciones El registro EIP siempre apunta a la grama o hilo.
ModVer: 5.1.2600.2945 Offset: 00012a5b
Pila (Stack) siguiente dirección de memoria que el
Es una estructura de datos de tipo LIFO (del The instruction at “0X74986b37” referenced procesador debe ejecutar. La CPU se basa
memory at “0X00000024”.
inglés Last In First Out) que permite almace- en secuencias de instrucciones, una de- Conceptos básicos de SEH
nar y recuperar datos mediante operaciones trás de la otra, salvo que dicha instruc- SEH puede proporcionar una manera útil
push (apilar) y pop (des-apilar). Estas op- Registros de offset ción requiera un salto, una llamada, al y portátil de localizar de forma precisa el
eraciones se realizan sobre un único extremo Indican un offset relacionado con un registro producirse por ejemplo un \”salto\”, EIP shellcode en la memoria, y también puede
llamado cima o ESP (Extended Stack Pointer). de segmento: apuntara al valor del salto, ejecutando usarse para evadir la protección de la pila de
La instrucción “push value” pone el valor en · EIP (Extended Instruction Pointer): indi- las instrucciones en la dirección que Microsoft teniendo que SO delega el mando a
la cima de la pila. Decrementa ESP en una ca la dirección de la siguiente instrucción especificaba el salto. Si logramos que un negociante de la excepción “en este caso
palabra para obtener la dirección de la sigu- que será ejecutada; EIP contenga la dirección de memoria ficticio”
iente palabra disponible en la pila, y alma- · EBP (Extended Base Pointer): indica el que queramos, podremos controlar la Es el encargado de manejar las excepciones
cena el value dado como un argumento en inicio del ambiente local para una fun- ejecución del programa, si también con- que se den en la ejecución de un programa,
esa palabra; y “pop dest” pone en DEST el ción; trolamos lo que haya en esa dirección. por ejemplo: errores de pagina, intento de
valor contenido en la dirección a la que ESP · ESI (Extended Source Index): contiene el escritura en un sector que no se permite,
apunta e incrementa el registro ESP. Nada es offset los datos fuente en una operación EAX, EBX. ESI, EDI generalmente solucionan el problema sin que
realmente quitado de la pila, para ser pre- que usa un bloque de memoria; Son registros multipropósito para usarlo el usuario se de cuenta pero si no muestra en
ciso. Solo cambia el apuntador a la cima de · EDI (Extended Destination Index) : con- según el programa, se pueden usar de pantalla el siguiente mensaje:
la pila. tiene el offset de los datos destino de da- cualquier forma y para alojar cualquier
Por analogía con objetos cotidianos, una tos en una operación que usa un bloque de dirección, variable o valor, aunque cada
operación ‘push’ equivaldría a colocar un pla- memoria; uno tiene funciones \”especificas\” seg-
to sobre una pila de platos, y un ‘pop’ a retir- · ESP (Extended Stack Pointer) : la cima ún las instrucciones ASM del programa:
arlo. Esto quiere decir que con una operación de la pila;
‘pop’ obtendremos el elemento que se añadió EAX
la última vez en la pila (el que se encuentre Debugger (Depurador) Registro acumulador. Cualquier instruc-
en la parte superior), al mismo tiempo que lo Un debugger es un programa que permite ción de retorno, almacenara dicho valor en Más específicamente, cuando existe algún
elimina de la pila. ir \”paso a paso\”, instrucción a instruc- EAX. También se usa para sumar valores a error, el sistema operativo llama una función
ción a otro programa. Al ir instrucción a otros registros en funciones de suma, etc.. definida por el servicio repetido
Shellcode instrucción, podemos ver completamente Sin importar lo que hace la función del
Es un conjunto de ordenes generalmente pro- que esta pasando, los registros, la memoria, EBX servicio repetido, su acto pasado es volver un
gramadas en lenguaje ensamblador escrito etc, así como muchas mas funciones muy Registro base. Se usa como \”mane- valor que diga a sistema qué hacer después.
en notación hexadecimal que se inyecta en interesantes. Su función principal es la de jador\” o \”handler\” de fich- (Esto no es terminantemente verdad, pero
la pila para conseguir que en la maquina que auditar código, y ver el porque falla (o sim- eros, de direcciones de memoria está bastante cercano para ahora.)
reside se ejecute la operación que se le halla plemente porque no realiza lo que queremos (para luego sumarles un offset) etc. Dado que el sistema está llamando por de-
programado “generalmente permiten ejecutar que haga), es una herramienta imprescind- trás al SEH cuando tu código se hace un lío,
un interprete de comandos”. Por lo general se ible para cualquier programador. Lo que pasa ECX sería interesante saber qué información se
la coloca en programas en lenguaje C. Y se la que también puede servir para otras cosas Registro contador. Se usa, por ejemplo, en está enviando acerca de la avería (error)
utiliza para explotar fallas de seguridad con instrucciones ASM loop como contador, Una función del servicio repetido de la ex-
exploits conocidos. Dissasembler (Desamblador) cuando ECX llega a cero, el loop se acaba. cepción se puede parecer a esto:
Un desamblador es un programa que te
Overflow muestra el código de un programa, una dll, EDX Funcion -->
Un overflow es, básicamente, cuando res- lo que sea que este hecho de código que Registro dirección o puntero. Se usa para
__cdecl _except_handler(
guardamos espacio de memoria insuficiente el desamblador entienda. Normalmente, te referenciar a direcciones de memoria
struct _EXCEPTION_RECORD *ExceptionRecord,
para una variable, y le introducimos más muestra su código en ASM (por ejemplo, un mas el offset, combinado con registros
datos a dicha variable de los que puede programa codeado en C, te muestra la con- de segmento (CS, SS, etc..) void * EstablisherFrame,
soportar. La variable \”desborda\”, y los versión de dichas instrucciones C en ASM), struct _CONTEXT *ContextRecord,
datos que no caben sobrescriben memo- aunque hay desambladores que permiten ESI y EDI void * DispatcherContext );
ria continua a dicha variable. Si declara- ver su código (o parte de el) de progra- Son registros análogos a EDX, se pueden Toma 4 parametros:
mos una variable que solo debe soportar mas hechos en JAVA o VBasic, por ejemplo. usar para guardar direcciones de memo- · ExceptionRecord proporciona un puntero a
8bytes, si le movemos 10bytes, los 2bytes Normalmente, debugger y dissasembler van ria, offsets, etc.. un registro de excepciones
restantes no se pierden, sino que sobre- en el mismo programa, los más usados son · EstablisherFrame es la dirección de la base de
scriben la memoria contigua a dicha variable. el Ollydbg (el que usare aquí), Softice, IDA, CS, SS, ES y DS la asignación del espacio fijo de la pila cor-
Hay distintos tipos de overflow, stack over- Win32dasm. Son registros de segmento, suelen apuntar a respondiente a esta función.
22 Security&technology | NOVIEMBRE - DICIEMBRE 06

· Indicador a una estructura de contexto

(Valores del registro al momento de la ex-
prev dd ?
handler dd ?
«Las variables dinámicas y locales se agrupan en
cepción)
· ExceptionRecord proporciona un puntero a
_EXCEPTION_REGISTRATION ends un área de memoria reservada para la ejecución
un registro de excepciones del programa (user stack frame). Dado que las
Entendimiento del BUG
typedef struct _EXCEPTION_RECORD La idea sería obtener la dirección que hay funciones pueden invocarse recursivamente, no se
en fs:[0] este es el puntero del tratante la
{
DWORD ExceptionCode; numero q el SO
excepción a la estructura de Windows que conoce con anticipación el número de instancias
asigna a la operación
maneja las excepciones
Sobreescribimos poniendo como destino de una variable local.»
DWORD ExceptionFlags;
parte de nuestro código, esto ejecutaría
struct _EXCEPTION_RECORD *ExceptionRecord; nuestro propio tratante. (en este caso un return 0, y empezar la final- dirección de memoria reservada. Las vari-
PVOID ExceptionAddress; Direccion donde Esto lo hacemos por medio de un buffer ización del programa). Pero esta 41414141 ables global/local, static/dynamic pueden
ocurrió la excepción overflow. (AAAA), que es donde se dirigirá EIP. Esta es combinarse sin problemas.
DWORD NumberParameters; Para entender mejor la sobre escritura del la clásica dirección de “ret” o “ret address”,
DWORD ExceptionInformation [EXCEPTION_ tratante veremos: etc, donde tenemos que conseguir que EIP ENTONCES
MAXIMUM_PARAMETERS]; Ejemplo de bufer overflow típico para en- coja un valor que nos interese, y que acabe Según las indicaciones de la ventana de
} tender la vulnerabilidad en nuestra shellcode. los registros de la depuración, del EIP o
EXCEPTION_RECORD; Ahora algunas cuestiones de C a tener en del indicador de instrucción extendido,
#include<stdio.h> cuenta. Por lo que podemos lograr ejecutar
Hasta aquí ya hemos visto como está nuestro Shellcode en el sector de memoria
int main(int argc, char *argv[])
formada una función del manejo de ex- que querramos.
{
cepciones. Usando esta información el SEH Las variables globales son usadas en pro-
tiene que decidir que hacer. char buff[20]; gramas completos, mientras que las variables
¿Pero cómo sabe el SO donde llamar printf(“copying into buffer”); locales son usadas solamente dentro de la
cuando ocurre una avería? strcpy(buff,argv[1]); función donde son declaradas. Las variables
Otra estructura llamada Exception_ return 0; static tienen un tamaño conocido dependien-
Registration que consiste en dos campos, } do del tipo con que son declaradas. Los tipos
los primeros de cuál puedes no hacer caso pueden ser char, int, double, pointers, etc.
para ahora. El segundo campo, tratante, En una máquina tipo PC, un apuntador repre-
contiene un indicador a una función del Si le metemos por argumento AAAAAAAA senta una dirección entera de 32 bits dentro
servicio repetido del tratante del _except_. AAAAAAAAAAAAAAAAAAAAAAA pateará de la memoria. Obviamente, el tamaño del
el programa, con EIP=41414141 (A en área apuntada se desconoce durante la com-
_EXCEPTION_REGISTRATION struc Hexadecimal es 0x41) -recordemos que EIP pilación. Una variable dynamic representa un
apunta a la siguiente dirección de memoria área de memoria explícitamente reservada -
que el procesador debe ejecutar. realmente es un apuntador que apunta a una
SOBRE LA MEMORIA Si logramos que EIP contenga la dirección
de memoria que queramos, podremos con-
En la organización de la memoria el trolar la ejecución del programa, si también
área de data almacena los datos es- controlamos lo que haya en esa dirección.
táticos globales inicializados (el valor El overflow se produce en el strcpy, ya
es proporcionado en el momento de que al copiar en la pila más AAA de la que
la compilación), mientras que el seg- soporta el “buffer”, sobrescribe la dirección
mento bss contiene los datos glo- de retorno de MAIN, que es llamada en la in-
bales no inicializados. Estas áreas se strucción RETN.
reservan en el momento de la com- ESP apunta a 0012FEEC, que es donde de-
bería estar la dirección de retorno de main
pilación dado que su tamaño se de-
fine de acuerdo con los objetos que
contienen. Las variables dinámicas
y locales se agrupan en un área de
memoria reservada para la ejecución
del programa (user stack frame). Dado
que las funciones pueden invocarse
recursivamente, no se conoce con an-
ticipación el número de instancias de
una variable local. Al crearse serán
colocadas en la pila o stack. Esta pila
se encuentra hasta arriba de las direc-
ciones más altas dentro del espacio
de direcciones del usuario, y trabaja
de acuerdo con un modelo LIFO (Last
In, First Out).
El fondo del área del marco del
usuario o user frame se usa para la
colocación de variables dinámicas. A
esta área se le llama heap: contiene
las áreas de memoria diseccionadas
por apuntadores y variables dinámi-
cas. Al declararse, un apuntador es
una variable de 32 bits, ya sea en BSS
o en la pila, y no apunta a alguna di-
rección válida. Cuando un proceso ob-
tiene memoria (i.e. usando malloc) la
dirección del primer byte de esa me-
moria (también un número de 32 bits)
es colocado en el apuntador.
 Security&technology | NOVIEMBRE - DICIEMBRE 06 23

que señala a la instrucción siguiente para Esto demuestra claramente cómo los da- ciertos mecanismos de la protección del pueden lograr explotar distintas fallas de
la ejecución, contiene el `41414141 del tos de entrada se pueden utilizar para so- apilado. los sistemas operativos o de diversos pro-
valor’. el `41’ es una representación hexa- brescribir el indicador de instrucción con Por último, podemos observar en el gramas. Lo expuesto hasta aquí debe ser
decimal para el `A del carácter’ y por lo valores y la ejecución de programa proveí- cuadro debajo como una vez que realiza- tomado como una introducción al tema.
tanto el `AAAA de la secuencia’ traduce a dos por el usuario. Un desbordamiento de mos nuestro exploit podemos compilarlo y Sin más, quiero agradecer a mis alumnos
41414141. apilado puede también permitir sobrescribir ejecutarlo en una shell de Linux o de Win- de seguridad informática, en especial a
Si queremos saber específicamente un de estructuras basadas apilado como SEH dows. Sebastián Sasturain por todos sus aportes,
sector de la memoria podemos poner un (tratante estructurado de la excepción) a la Hemos visto hasta aquí que con algunos sin los cuales este artículo no hubiera sido
Breakpoint y luego coreemos el programa. ejecución del código de control y puentear conocimientos y un poco de práctica se posible.

Compilación y ejecución del exploit en shell de linux, paso a paso

1 2

3 4

5 6
24 Security&technology | NOVIEMBRE - DICIEMBRE 06

FIREWALLS: ¿Qué, CÓMO Y PARA QUÉ?

Conceptos sobre cortafuegos
Un cortafuegos es un elemento de hardware o software utilizado en una red de computadoras para controlar las comunicaciones,
permitiéndolas o prohibiéndolas según las políticas de red que haya definido la organización responsable de la red. En este
artículo desarrollaremos conceptos avanzados sobre el funcionamiento de este elemento.

¿Qué tipo de cortafuegos hay?

Por Gabriel Schwartz Bueno... Hay muchas definiciones formales.

E
Pero puedo daros una orientación informal,
s importante que sepamos que siempre desde mi punto de vista.
la comunicación IP se realiza a Hay tres grandes propiedades que clasi-
través de lo que llamamos “puer- fican los cortafuegos: Filtrado IP, control de
tos” y “direcciones IP”. Cada estado y control de protocolo de aplicación.
envío y recepción de tráfico tiene un par Últimamente se está trabajando mucho en una
“IP/puerto” de origen y un par “IP/puerto” cuarta: Control a nivel de aplicación (no sólo
de [Link] una estandarización en de protocolo de aplicación) para intentar fre-
cuanto a qué puertos se usan para prestar nar, por ejemplo, ataques HTTP (tráfico válido
que servicios. Así, un servidor web, suele a nivel de protocolo de aplicación) intentando
estar accesible en el puerto 80. Eso quiere evitar ataques XSS y/o parar consultas mal
decir que si nosconectamos a él con un formadas o direcciones URL inválidas destina-
navegador, enviaremos peticiones al puerto das al “code injection” o al “SQL injection”...
80 de esta máquina y nos responderá. Pero Pero ese es otro tema.
nosotros no saldremos a través de nuestro El tema de los cortafuegos “personales” es
puerto 80. ligeramente distinto. Estos tratan de establec-
Por convención, y simplificando, er reglas en función, además, del programa
saldremos por lo que se denominan “puer- o aplicación que quiere generar o responder
tos altos” (por encima del 1023)... De esa al tráfico. Su problema es que el concepto es
forma tendríamos, básicamente, dos pares tremendamente limitado y prácticamente ina-
IP/puerto más o menos como sigue: plicable a cortafuegos que deban controlar el
Código: IP/PUERTO (Nosotros) IP/PUER- flujo de una red (y no de un sólo equipo)...
TO Servidor -> [Link]/3345 ---> Por eso se llaman “personales”.
[Link]/80 Centrémonos en las tres primeras. Podríamos
Es decir. Salimos desde un puerto hacer una primera clasificación de cortafuegos
(desconocido a priori) alto con destino al en función de ellas. Tendríamos pues:
puerto 80 remoto. Y nos llega la respuesta
desde un puerto 80 remoto a ese mismo a) Filtrado de Paquetes.
puerto [Link] general, esto es cierto para Es el sistema más básico. Trabaja a nivel de
todos los servicios (SMTP, POP, etc). direcciones IP y puertos. Se permite o deniega
Todo esto viene a que en más de una el tráfico en función de
ocasión he leido que para poder salir a In- · De qué IP viene.
ternet tienes que tener abierto el puerto · De qué Puerto viene.
80. Bien. Es mentira. Quien tiene que tener · A qué IP va.
abierto el puerto 80 es el servidor web al · A qué puerto va.
que te quieres conectar. Los cortafuegos personales están basados
Saber este tipo de cosas es de importan- en una simplificación de este [Link]
cia VITAL para entender cómo funciona un hay inspección de paquetes ni de su conte-
cortafuegos y cómo configurarlo. nido. Las reglas se aplican tan sólo a IP y
Puertos de entrada y salida.
¿Qué es un firewall?
Ya hay demasiadas definiciones por ahí b) Inspección de paquetes stateful
como para tener que daros una más. Elegid Se trata de una ampliación al esquema an-
la que más os convenza, si queréis. Os diré terior. Aquí, y en función de lo bueno que
mejor, en mis palabras, lo que yo entiendo sea el cortafuegos, ya podemos configurar
por un “firewall”. nuestras reglas atendiendo, además, al es-
Un cortafuegos es (desde un punto de tado del paquete e incluso su “payload”. Esto
vista lógico) una barrera que colocamos nos permitirá saber si el paquetes es, por
entre dos zonas (en nuestro caso redes), ejemplo, una respuesta válida a una petición
porque consideramos que existe un gran generada por nosotros (que con el esquema
riesgo si dejamos que ambas se conecten anterior no era posible)... O incluso si se tra-
de forma descontrolada. Lo que buscamos ta de una conexión nueva pero reñacionada
no es tanto “aislarlas” como “controlar” con otra conexión válida. O si se trata de un
el flujo entre ambas. En nuestro caso este paquete mal formado... O si los flags no son
flujo es de información (o tráfico). coherentes...
Para controlar ese tráfico usamos una Obviamente esto mejora sensiblemente
serie de reglas. Las reglas nos permiten nuestra capacidad para filtrar. Nos permite
dimensionar la barrera a nuestro gusto... afinar mucho más y protegernos mejor...
Es decir., nos permiten decirle a nuestro Tambien nos exige conocer un poco más
cortafuegos qué tráfico queremos permitir, acerca de los protocolos. Las reglas tambien
cuál no y en qué casos debe, además, de- son un poco más complicadas.
jarme un registro del mismo (ya haya de-
cidido permitirlo o no). c) Inspección a nivel de protocolo de apli-
 Security&technology | NOVIEMBRE - DICIEMBRE 06 25

cación fico que sale de la máquina en la que está el Hasta ahora hemos visto que existen re- destinado a [Link] desde la IP in-
Esto es básicamente lo que hacen los pro- cortafuegos glas de ENTRADA/SALIDA para cada interfaz. terna [Link]. La IP pública de nuestro
gramas proxy (y/o gateways). Un error muy común consiste en creer que Un cortafuegos “de verdad” tambien permite cortafuegos es la [Link]... Cambiamos
No sólo permiten pasar tráfico con destino las reglas de ENTRADA o INPUT se refieren a crear reglas de “flujo” entre interfaces (tarje- la IP origen del paquete por [Link] (y
hacia una IP y un puerto... Además exigen “lo que entra en mi red desde el exterior (In- tas en este ejemplo). Es decir... Podemos decir mantenemos guardados los datos necesarios
que el protocolo de aplicación sea el espe- ternet)” y las de salida a “lo que sale al exteri- qué paquetes permitimos que viajen desde la para devolver a la [Link] la respuesta
TARJETA1 hacia la TARJETA2 (dentro de la a ese paquete).
misma máquina) y viceversa. DNAT hace todo lo contrario. Nos permite
«En más de una ocasión he leido que para poder Esto nos permite afinar, aún más, el reglaje modificar la IP de destino, con lo que po-

salir a Internet tienes que tener abierto el puerto

de nuestro firewall. Si permitimos, por ejem- dríamos llevar a cabo la acción de encami-
plo, que por la TARJETA1 nos entre tráfico nar hacia una de nuestras máquinas internas

80. ¡Vaya mentira! En realidad, quien tiene que a través del puerto 22 desde la red interna
(para mantenimiento via ssh) podemos decir
todo lo que llegue a un puerto (o a varios,
o a todos) de nuestra IP pública. Esto es lo

tener abierto el puerto 80 es el servidor web al que que dicho tráfico NO SEA permitido hacia la
TARJETA2 (con lo que nadie de la red interna
que muchos conoceis como “mapear puertos
en el router” o “redireccionar puertos hacia
te quieres conectar.» podría hacer ssh al exterior a través del puer-
to 22). Sin embargo SI que podríamos per-
dentro”. El proceso es similar al anterior, pero
lo que modificamos aquí es la IP de destino.
mitir que desde el propio firewall se pudiese A mayores, un buen cortafuegos también te
cificado (HTTP, SMTP, IRC, POP, etc). Por or desde mi red”... Eso es FALSO. No caigáis en acceder a máquinas externas hacia el puerto permite hacer lo que llaman PAT (Port Ad-
ejemplo. Yo podría decir que permito todo el ese error o tendréis problemas para configurar 22 permitiendolo en las reglas de salida de la dress Translation). Es decir... No sólo cam-
tráfico que salga de mi red con destino a los el cortafuegos (y muchos de los problemas que TARJETA2. biamos las IP de origen o destino. Tambien
puertos 80, de forma que sea posible nave- he visto que la gente tiene son precisamente O sea. Permitimos a la red interna acceso a los puertos (podría tener configurado mi cor-
gar. Sin embargo, un simple netcat en una por ésto). la máquina firewall al puerto 22. Permitimos a tafuegos para que escuchase peticiones SSH
máquina interna que salga hacia el puerto 80 Las conexiones que empiezan en mi cortafu- la máquina firewall acceso al puerto 22 de má- en el puerto 523 y las redirigiese mediante
de mi máquina externa, atravesaría cualquier egos y acaban en mi red interna, de haberlas, quinas externas. Pero NO permitimos acceso DNAT a una máquina interna al puerto 22).
cortafuegos de los dos primeros tipos. son conexiones de SALIDA (OUTPUT) para el desde la red interna a máquinas externas al Por supuesto, podemos establecer las reglas
Ahora bien... Un proxy analizaría que el cortafuegos. Las conexiones que comienzan puerto 22... que queramos para cualquier tipo de NAT (no
tráfico que fluye a través de él sea HTTP (por en mi red Interna y llegan a mi cortafuegos Los cortafuegos más evolucionados permiten permitir paquetes inválidos, o aceptar sólo
ejemplo). Ya no nos valdría el netcat. Es decir. son conexiones de ENTRADA (INPUT) para el definir otros conjuntos de reglas para modificar desde determinadas IP).
Complicaría la vida al atacante (que es de lo cortafuegos. el destino de los paquetes y/o su composición. Algunos cortafuegos van incluso más
que se trata). Así pues, en el caso más sencillo, el de un Esto nos permite, por ejemplo, compartir una allá... Sí. Algunos cortafuegos (iptables/Net-
Un proxy, además, esconde las máquinas cortafuegos que proteje sólo la máquina en la misma dirección IP pública entre varias máqui- filter entre ellos) te permitirán modificar
de ambas redes. No existe “comunicación di- que está instalado y que tan sólo tiene una nas internas para salir a Internet. CUALQUIER dato de un paquete entrante o
recta” a través del cortafuegos. Las máquinas interfaz de comunicación con el exterior (por Es decir. tenemos una única puerta de salida saliente. A veces es necesario, prudente o di-
internas se conectan al proxy, el proxy a la ej. una tarjeta de red), el “error” antes men- a Internet con una IP pública (router, módem, vertido hacerlo.
máquina externa, quien le devuelve la re- cionado se cumple. O sea, “lo que viene de in- etc). Varias máquinas de nuestra red interna Hay un curioso e interesante documento
spuesta al proxy y éste, a su vez, se la entrega ternet es de entrada y lo que va hacia internet saldrán a Internet a través de esa puerta de en la Red que habla de cómo engañar a un
al cliente interno. es de salida”. enlace. Y, en Internet, todas se verán como atacante que use Nmap para conocer nuestro
Pero en un cortafuegos corporativo, que da una única máquina (la IP pública del router/ sistema operativo de forma que piense
¿Qué son las reglas? servicio a una red de ordenadores, general- modem). Este esquema se conoce como NAT que somos una ¡Sega Dreamcast! Para ello
Ya sabemos que un cortafuegos, del tipo que mente tendremos (como mínimo) dos inter- (Network Address Translation). reescribe las respuestas colocando las señas
sea, regula el tráfico entre dos zonas (redes en faces (tarjetas de red, p. ej.) para unir ambas Un cortafuegos, como iptables, nos per- de identidad (fingerprints) de dicha máquina
nuestro caso). Tambien sabemos que lo hace redes. mitirá, básicamente, configurar dos tipos (en iptables/Netfilter se usa la tabla “MAN-
en función de unas reglas... ¿Pero que reglas Para el cortafuegos, lo que le llegue desde la de NAT: DNAT (Destination Network Address GLE” para éstas cosas).
son esas? red interna se corresponderá con las reglas de Translation) y SNAT (Source Network Address En resumen. Las reglas no son más que un
Todo cortafuegos tiene, como mínimo, dos ENTRADA de esa interfaz, mientras que lo que Translation). conjunto de ordenes/patrones con los que
conjuntos de reglas: salga hacia la red interna se corresponderá con SNAT nos permite modificar la dirección IP de le indicamos al firewall que tipo de tráfico
Las reglas de ENTRADA regulan todo el trá- las reglas de SALIDA de la interfaz interna. “origen”, con lo que alcanzaremos el objetivo vamos a permitir en cada interfaz y entre
fico que entra en la máquina en la que está el Todo cortafuegos que se precie permite que mencionaba antes de utilizar una misma interfaces. Y si es necesario que modifique
cortafuegos. crear, además, un tercer conjunto de reglas: IP pública entre multiples máquinas con IP pri- cierta información contenida en determina-
Las reglas de SALIDA regulan todo el trá- FORWARD (o de “traspaso” o “atravesar”). vadas. El proceso es simple: Llega un paquete dos paquetes.

353#2)"!3%
$ESCARGE LA REVISTA GRATUITAMENTE DE WWWST MAGAZINECOM
O SUSCRIBASE PARA RECIBIRLA EN FORMATO IMPRESO
Y PARTICIPE DE NUESTROS SORTEOS MENSUALES
3I DESEA RETIRARLA GRATUITAMENTE EN NUESTRAS OFICINAS LLAME AL   

0ARA MÉS INFORMACIØN

WWWST MAGAZINECOM
  
26 Security&technology | NOVIEMBRE - DICIEMBRE 06
 Security&technology | NOVIEMBRE - DICIEMBRE 06 27

CAMBIO ORGANIZACIONAL
Primera Parte: Una visión diferente
El director de proyectos le dijo al gerente de sistemas: “la verdad, no tengo idea por qué fracasó la puesta en marcha del plan de
seguridad… hemos contratado a los mejores para esto y la gente encontró la manera de no cumplir con los estándares”
forma constante, la “estabilidad”, evitando nas insertas dentro de un dominio consensu- Podemos mencionar al menos cuatro aspec-
Por Carlos Fulqueris así el cambio perturbador. Esta singularidad al, estamos influenciados por los estándares tos importantes, sin importar mucho el orden

E
es el estímulo que habilita la “sensación” de de nuestro entorno (ej: la mejor forma de en el cuál los listemos, junto a un breve re-
l director de proyectos le dijo al seguridad que la persistencia de sus acciones hacer las cosas: mejores prácticas”). sumen de cada uno de ellos, a saber:
gerente de sistemas: “…la ver- y su entorno les da. Siguiendo este principio, cada persona,
dad, no tengo idea por qué fracasó Por lo general, estas circunstancias no son al no compartir el dominio consensual y no Aspectos Básicos Interpersonales
la puesta en marcha del plan de observadas por quién dirige un equipo de tra- adaptar sus acciones hacia la compresión del a. Aproximación de las diferentes
seguridad… hemos contratado a los mejores bajo. Esto también es una peculiaridad, lla- otro, se encuentra con grandes dificultades realidades
para esto y la gente encontró la manera de mada en este caso “suposición y aceptación”. al momento de coordinar acciones que tienen Sabiendo que cada persona tiene una ob-
no cumplir con los estándares…” Veamos cuál es el significado de lo que esta- que ver con ambos mundos. servación particular (singular) del mundo y,
¿Le ha pasado que, independientemente de mos diciendo. Este simple y sencillo hecho es el factor por consiguiente, de la realidad creada por
los profesionales que trabajen en un proyec- Las personas que están dentro de una desencadenante y más importante que debe- si mismo, debemos abrirnos a una compren-
to, debido a resistencias por parte de los comunidad de práctica, como por ejem- mos mirar cada vez que debamos planificar sión mayor de las diferencias que existen
usuarios o clientes internos, el plan terminó plo “proyectos de tecnología”, cuentan con algún cambio. Sin importar cuál sea este en como los demás ven las propuestas de
en la basura o apenas logró consolidarlo? varios atributos profesionales, especialmente cambio o cuán difícil será la adaptación a cambio.
Esta es una de las preguntas que, normal- los adquiridos por medio de su formación una nueva realidad compartida, siempre de- b. Comprensión del diálogo
mente, los profesionales de diferentes áreas, académica, tales como: ingenieros de siste- beremos ejecutar las acciones necesarias para Para reducir la brecha de comprensión debe-
se olvidan de colocar dentro de la lista de mas, programadores y desarrolladores, ar- coordinar acciones entre diversos dominios mos aplicar un modelo de comunicación
riesgos. Y a veces sucede, aunque dicho ries- quitectos de soluciones, implementadores de consensuales. cuyo objeto es el de operar, sin disrupciones,
go se encuentra registrado, que su adminis- soluciones, etc. el cambio por parte de los participantes.
tración tiene un especial trasfondo de obvie- Cada una de estas personas se comunica El Factor Humano c. Reglas básicas lingüísticas
dad por parte de la gerencia, asumiendo con con otras dentro de un dominio consensual, La brecha que existe entre estos dominios Como parte fundamental, y base de la com-
ello que no será necesario ningún esfuerzo un espacio que les permite intercambiar opin- puede reducirse fácilmente con la aplicación prensión del diálogo, debemos definir el
adicional a nivel personal. iones sobre la base de un lenguaje común de de algunas reglas básicas que tienen que ver conjunto de interpretaciones de carácter
Muy por el contrario, encontramos que el entendimiento. con aspectos propios de nosotros mismos. lingüístico que sea de simple comprensión
100% de los casos, el usuario (ese tan impor- Cuando alguien dice “estamos en el early No estamos diciendo que los demás factores, para todos los miembros que estén involu-
tante participante de la realidad en la que time del proceso…”, el resto de los profe- como por ejemplo, los técnicos, profesionales crados en un cambio.
vivimos) surge con problemas y consultas sionales comprende sin mayores dificultades o metodológicos, no sean necesarios. Al con- d. Metodología imperante
que a menudo, no son observadas por sus el significado de este mensaje. Esto es partic- trario, sin ellos sería imposible implementar Los aspectos técnicos o duros de un cambio
superiores y son tomados como “molestias ularmente “supuesto y aceptado” por todos un cambio en la realidad compartida de las apoyan los tres aspectos mencionados arriba
pasajeras”. los que integran dicho dominio consensual. personas en una empresa. y establecen los parámetros normativos que
No nos referiremos a las particularidades Puede ocurrir que algún integrante de un También debemos mencionar que esta bre- regularán la ejecución de dicho cambio.
tecnológicas, procesos, procedimientos, me- mismo dominio común de lenguaje no com- cha no es meramente técnica, o de aspecto
todologías, estándares, ni temas relacionados prenda en su totalidad su significado. Pero duro. Durante un largo tiempo nos hemos percatado
con los requisitos técnicos o duros, esenciales sostenemos que, aún en estos casos, dicha Juntar estos dos dominios es una tarea pri- que, siguiendo estas premisas, podemos ar-
para que una implementación pueda ser, en persona tendrá las capacidades necesarias mariamente blanda, de relaciones interperson- ribar a mejores resultados en cuestiones que
estos términos, cumplida en tiempo, forma para resolver sin conflicto sus inquietudes ales, está intrínsecamente unida a la relación tienen que ver con la introducción de mejo-
y calidad. relacionadas con ello. que existe entre la persona, su forma de ver el ras en diversas áreas, tales como: aprendizaje
El objeto principal de este artículo es el de La divergencia acontece cuando el lengua- mundo y el cambio que se avecina. y cambio organizacional, implementación de
vislumbrar los acontecimientos por los que je trasciende el dominio consensual, cuando Con esto queremos decir que las perso- sistemas, introducción de nuevos productos o
un usuario o cliente (interno o externo) debe una persona conversa con otra de diferente nas, sin importar que formación tengan, es- servicios, cambios en políticas y procedimien-
interactuar con una nueva realidad, que llega dominio de lenguaje. Un claro ejemplo de tarán más dispuestas a recibir un cambio (de tos, etc.
sin aviso y con apuro y, por consiguiente, esto es el que deviene de la relación entre cualquier índole), cuándo hayamos cumplido Hasta aquí hemos descrito básicamente los
actúa en forma resistiva oponiéndose al éxito personas de diferentes extracciones, como con todos los aspectos de las relaciones inter- aspectos relativos a las relaciones interperson-
del proyecto, la mayoría de las veces sin de- pasa en nuestro ejemplo, entre técnicos y personales mínimos y necesarios para que el ales. En las próximas notas detallaremos cada
searlo (aunque parezca lo contrario). usuarios (dominios consensuales diferentes). cambio sea exitoso. uno de los puntos mencionados más arriba.
En este sentido, iremos delineando las re- Cuando esto sucede, nos vemos obligados
laciones interpersonales (factores blandos) a reformular nuestras acciones, acomodando
que deben procurarse para alcanzar el éxito el significado de nuestras conversaciones y
buscado, y éste, no se vea empañado por el- adaptándonos a un contexto diferente del
ementos que están fuera de los aspectos téc- que conocemos o nos movemos habitual-
nicos de un proyecto. mente. Sucede algo similar cuando conver-
samos con personas de diferentes sociedades,
Dominios Conversacionales religión, raza, etc.
Como sabemos, las empresas están formadas Sin ahondar en estos extremos, queremos
por personas, las que a su vez, forman redes mencionar que el simple hecho de conver-
conversacionales con los demás integrantes sar con alguien, implica la responsabilidad
de la misma. También somos nosotros quiénes de relativizar la conversación hacia la com-
hacemos posible que algo funcione. presión del otro.
Si aceptamos esto, creemos que no es difícil Parafraseando a Humberto Maturana “un
hacerlo, podemos entonces postular que “no- legítimo otro”.
sotros somos capaces de hacer que las co- Este legítimo alguien (ej: usuario) está in-
sas funcionen”. Filosóficamente, también es merso en su propio dominio consensual de
posible postular que “nosotros somos capaces lenguaje, que comprende y se relaciona con
de hacer que las cosas no funcionen”. los demás dentro de y a través de éste.
Esto tiene que ver con una particularidad Si aceptamos esto, debemos entonces men-
de los seres humanos de estar buscando, en cionar que cada uno de nosotros, como perso-
28 Security&technology | NOVIEMBRE - DICIEMBRE 06

ATM: Asynchronous transfer mode

Asincronía en nuevas redes digitales
Tres letras - ATM - se repiten cada vez más en estos días en los ambientes Informáticos y de Telecomunicaciones. La tecnología
llamada Asynchronous Transfer Mode (ATM) Modo de Transferencia Asíncrona es el corazón de los servicios digitales
integrados que ofrecerán las nuevas redes digitales de servicios integrados de Banda Ancha (B-ISDN).

Por Marcos P. Russo

T
res letras - ATM - se repiten cada
vez más en estos días en los ambi-
entes Informáticos y de Telecomu-
nicaciones. La tecnología llamada
Asynchronous Transfer Mode (ATM) Modo de
Transferencia Asíncrona es el corazón de los
servicios digitales integrados que ofrecerán
las nuevas redes digitales de servicios integra-
dos de Banda Ancha (B-ISDN), para muchos
ya no hay cuestionamientos; el llamado trá-
fico del “Cyber espacio”, con su voluminoso y
tumultuoso crecimiento, impone a los opera-
dores de redes públicas y privadas una voraz
demanda de anchos de banda mayores y flexi-
bles con soluciones robustas. La versatilidad
de la conmutación de paquetes de longitud
fija, denominadas celdas ATM, son las tablas
más calificadas para soportar la cresta de esta
“Ciberola” donde los surfeadores de la banda
ancha navegan.
Algunos críticos establecen una analogía de
la tecnología ATM con la red digital de servi-
cios integrados o ISDN por sus siglas en inglés.
Al respecto se escuchan respuestas de expertos
que desautorizan esta comparación aduciendo
que la ISDN es una gran tecnología que llegó
en una época equivocada, en términos de que
el mercado estaba principalmente en manos
de actores con posiciones monopolísticas. creando “Cuellos de Botella” en la infraestruc- en un circuito virtual (VC). Estas celdas provi- tema no es igual al llamado “bit stuffing”en
Ahora el mercado está cambiando, la ISDN tura. Para copar este problema los fabricantes enen de diferentes fuentes representadas como la multiplexación Asíncrona, ya que aplica a
está encontrando una gran cantidad de apli- no solo han desarrollado sistemas de acceso generadores de bits a tasas de transferencia celdas enteras.
caciones. De toda forma la tecnología ATM se sino aplicaciones para soluciones de fin a fin constantes como la voz y a tasas variables tipo Diferentes categorías de tráfico son conver-
proyecta para diferentes necesidades, a pesar con conmutadores ATM, con solventes sis- ráfagas (bursty traffic) como los datos. Cada tidas en celdas ATM vía la capa de adaptación
de su estrecha relación con ISDN, en términos temas de administración de la red (Network celda compuesta por 53 bytes, de los cuales de ATM (AAL - ATM Adaptation Layer), de ac-
de volúmenes de datos, flexibilidad de con- Management). 48 (opcionalmente 44) son para trasiego de uerdo con el protocolo usado. (Más adelante
mutación y facilidades para el operador. En varios aspectos, ATM es el resultado de información y los restantes para uso de cam- se explica este protocolo).
Los conmutadores ATM aseguran que el trá- una pregunta similar a la de teoría del campo pos de control (cabecera) con información de La tecnología ATM ha sido definida tanto
fico de grandes volúmenes es flexiblemente unificada en física ¿Cómo se puede transpor- “quién soy” y “donde voy”; es identificada por por el ANSI como por el CCITT a través de sus
conmutado al destino correcto. Los usuarios tar un universo diferente de servicio de voz, un “virtual circuit identifier” VCI y un “virtu- respectivos comités ANSI T1, UIT SG XVIII,
aprecian ambas cosas, ya que se cansan de vídeo por un lado y datos por otro de man- al path identifier” VPI dentro de esos campos como la tecnología de transporte para la B-
esperar los datos y las pantallas de llegada a era eficiente usando una simple tecnología de de control, que incluyen tanto el enrutami- ISDN (Broad Band Integrated Services Digital
sus terminales. Estas necesidades cuadran de conmutación y multiplexación? ento de celdas como el tipo de conexión. La Network), la RDSI de banda ancha. En este
maravilla para los proveedores de servicios pú- ATM contesta esta pregunta combinando la organización de la cabecera (header) variará contexto “transporte” se refiere al uso de téc-
blicos de salud, con requerimientos de vide- simplicidad de la multiplexación por división levemente dependiendo de sí la información nicas de conmutación y multiplexación en la
oconferencias médicas, redes financieras in- en el tiempo (Time Division Multiplex TDM) relacionada es para interfaces de red a red o capa de enlace (Capa 2 del modelo OSI) para
terconectadas con los entes de intermediación encontrado en la conmutación de circuitos, de usuario a red. Las celdas son enrutadas in- el trasiego del tráfico del usuario final de la
y validación, o con las exigencias que pronto con la eficiencia de las redes de conmutación dividualmente a través de los conmutadores fuente al destino, dentro de una red. El ATM
serán familiares como vídeo en demanda para de paquetes con multiplexación estadística. basados en estos identificadores, los cuales Forum, grupo de fabricantes y usuarios dedi-
nuestros hogares con alta definición de imá- Por eso es que algunos hacen reminiscen- tienen significado local - ya que pueden ser cado al análisis y avances de ATM, ha aprobado
genes y calidad de sonido de un CD, etc. cias de perspectivas de conmutación de cir- cambiados de interface a interface. cuatro velocidades UNI (User Network Inter-
Para el operador, con la flexibilidad del ATM, cuitos mientras que otros lo hacen a redes de La técnica ATM multiplexa muchas celdas de fases) para ATM: DS3 (44.736 Mbit/s), SON-
una llamada telefónica con tráfico de voz será paquetes orientados a conexión. circuitos virtuales en una ruta (path) virtual ET STS3c (155.52 Mbit/s) y 100 Mbit/s para
tarifado a una tasa diferente a la que estaría colocándolas en particiones (slots), similar a UNI privados y 155 Mbit/s para UNI privadas.
dispuesto a pagar un cirujano asistiendo en MULTIPLEXACION EN ATM la técnica TDM. Sin embargo, ATM llena cada UNI privadas se refieren a la interconexión
tiempo real a una operación al otro lado del Un examen más cercano del protocolo ATM y slot con celdas de un circuito virtual a la pri- de usuarios ATM con un switch ATM privado
mundo. Ese es una de las fortalezas de ATM cómo opera ayudará a explicar cómo los cir- mera oportunidad, similar a la operación de que es manejado como parte de la misma red
usted paga solamente por la carga de celdas cuitos virtuales, las rutas virtuales, los con- una red conmutada de paquetes. La figura corporativa. Aunque la tasa de datos original
que es efectivamente transportada y con- mutadores y los servicios que ellos acarrean se No.2 describe los procesos de conmutación para ATM fue de 45 Mbit/s especificado para
mutada para usted. Además la demanda por afectan entre sí. implícitos los VC switches y los VP switches. redes de operadores (carriers) con redes T3 ex-
acceso a Internet ha tomado a la industria de La figura No.1 muestra un formato básico y Los slots de celda no usados son llenados istentes, velocidades UNI adicionales se han
telecomunicaciones como una tormenta. Hoy la jerarquía de ATM. Una conexión ATM, con- con celdas “idle”, identificadas por un patrón venido evaluando y están ofreciéndose. Tam-
día los accesos conmutados a Internet están siste de “celdas” de información contenidos específico en la cabecera de la celda. Este sis- bién hay un alto interés en interfases, para
 Security&technology | NOVIEMBRE - DICIEMBRE 06 29

velocidades EI (2Mbps) y T1 (1,544 Mbps) para La capa ATM no garantiza una confiabilidad portada dependa o no del tiempo. en el destino. AAL-2 provee recuperación de
accesos ATM de baja velocidad. del el 100 %, pero no requiere un protocolo de [Link] de bit constante/variable. errores e indica la información que no puede
capa de red. A esta también se la asemeja a la [Link] de conexión. recuperarse.
PROTOCOLO ATM capa 3 del X.25. Estas propiedades definen ocho clases posi-
El protocolo ATM consiste de tres niveles o ca- La capa ATM se orienta a conexiones, tanto bles, cuatro se definen como B-ISDN Clases de Capa de convergencia:
pas básicas: en términos del servicio que ofrece como de la servicios. La capa de adaptación de ATM define Esta capa provee para la corrección de errores
manera que opera internamente. El elemento 4 servicios para equiparar las 4 clases defini- y transporta la información del tiempo desde
La primera capa llamada capa física básico de la capa ATM es el circuito virtual. das por B-ISDN: el origen al destino.
(Physical Layer) La capa ATM es inusual para un protocolo · AAL-1
Define los interfases físicos con los medios de orientado a la conexión en el sentido que no · AAL-2 Capa de segmentación y recuperación:
transmisión y el protocolo de trama para la proporciona acuses de recibo. La razón de este · AAL-3 El mensaje es segmentado y se le añade una
red ATM es responsable de la correcta trans- diseño es que se diseño para usarse en redes · AAL-4 cabecera a cada paquete. La cabecera contiene
misión y recepción de los bits en el medio de fibra óptica que son altamente confiables. La capa de adaptación se divide en dos sub- dos campos.
físico apropiado. A diferencia de muchas Frecuentemente las redes ATM se utilizan para capas: · Numero de secuencia que se usa para de-
1) Capa de convergencia (convergence sublay- tectar paquetes introducidas o perdidas.
er (CS)) · El tipo de información es:
«ATM combina la simplicidad de la multiplexación En esta capa se calculan los valores que debe - BOM, comenzando de mensaje
llevar la cabecera y los payloads del mensaje. - COM, continuación de mensaje
por división en el tiempo (Time Division Multiplex La información en la cabecera y en el payload - EOM, fin de mensaje o indica que el

TDM) encontrado en la conmutación de circuitos, depende de la clase de información que va a

ser transportada.
paquete contiene información de tiempo
u otra.

con la eficiencia de las redes de conmutación de 2) Capa de Segmentación y reensamblaje (seg-

El payload también contiene dos de cam-
pos:
paquetes con multiplexación estadística.» mentation and reassembly (SAR))
Esta capa recibe los datos de la capa de
· Indicador de longitud que indica el nu-
mero de bytes validos en un paquete par-
convergencia y los divide en trozos formando cialmente lleno.
tecnologías LAN como Ethernet, que especi- tráfico de tiempo real, como audio y video, la los paquetes de ATM. Agrega la cabecera que · CRC que es para hacer el control de er-
fica ciertos medios de transmisión, (10 base retransmisión de una celda mala es peor que llevara la información necesaria para el reen- rores.
T, 10 base 5, etc.) ATM es independiente del simplemente ignorarla. samblaje en el destino.
transporte físico. Las celdas ATM pueden ser Los comités de estándares han definido dos La figura siguiente aporta una mejor comp- AAL 3
transportadas en redes SONET (Synchronous tipos de cabeceras ATM: rensión de ellas. La subcapa CS es dependiente AAL-3 se diseña para transferir los datos
Optical Network), SDH (Synchronous Digital Los User-to-Network Interface (UNI) y la del servicio y se encarga de recibir y paqueti- con tasa de bits variable que son independi-
Hierarchy), T3/E3, TI/EI o aún en modems de Network to Network Interface (UNI). zar los datos provenientes de varias aplica- entes del tiempo. AAL-3 puede ser dividido en
9600 bps. Hay dos subcapas en la capa física ciones en tramas o paquete de datos longitud dos modos de operación:
que separan el medio físico de transmisión y · La UNI variable. [Link]: En caso de perdida o mala re-
la extracción de los datos: Es un modo nativo de interfaz ATM que define Luego, la sub capa recibe los SAR CS - PDU, cepción de datos estos vuelven a ser enviados.
la interfaz entre el equipo del cliente (Cus- los reparte en porciones del tamaño de la cel- El control de flujo es soportado.
· La subcapa PMD (Physical Medium Depedent) tomer Premises Equipment), tal como hubs o da ATM para su transmisión. También realiza [Link] fiable: La recuperación del error es de-
Tiene que ver con los detalles que se espe- routerss ATM y la red de área ancha ATM (ATM la función inversa (reemsamblado) para las jado para capas mas altas y el control de flujo
cifican para velocidades de transmisión, tipos WAN). unidades de información de orden superior. es opcional.
de conectores físicos, extracción de reloj, etc., Cada porción es ubicada en su propia unidad
Por ejemplo, la tasa de datos SONET que se · La NNI de protocolo de segmentación y reemsable Capa de convergencia:
usa, es parte del PMD. Define la interfase entre los nodos de la redes conocida como (SAR - PDU) SEGMENTATION La capa de convergencia en AAL 3 es parecida
(los switches o conmutadores) o entre redes. AND REASSEMBLER PROTOCOL DATA UNIT, de al ALL 2. Esta subdividida en dos secciones:
· La subcapa TC (Transmission Convergence) La NNI puede usarse como una interfase entre 48 bytes. 1. Parte común de la capa de convergen-
Tiene que ver con la extracción de informa- una red ATM de un usuario privado y la red Finalmente cada SAR - PDU se ubica en el cia. Esto es provisto también por el AAL-2 CS.
ción contenida desde la misma capa física. ATM de un proveedor público (carrier). Especí- caudal de celdas ATM con su header y trailer Añade una cabecera y un payload a la parte
Esto incluye la generación y el chequeo del ficamente, la función principal de ambos tipos respectivos. común
Header Error Corrección (HEC), extrayendo de cabeceras de UNI y la NNI, es identificar las La cabecera contiene 3 campos:
celdas desde el flujo de bits de entrada y el “Virtual paths identifiers” (VPIS) y los “virtual AAL1 · Indicador de la parte común que dice que
procesamiento de celdas “idles” y el recono- circuits” o virtual channels”(VCIS) como iden- AAL-1 se usa para transferir tasas de bits con- el payload forma parte de la parte común.
cimiento del límite de la celda. Otra función tificadores para el ruteo y la conmutación de stantes que dependen del tiempo. Debe enviar · Etiqueta de comienzo que indica el
importante es intercambiar información de las celdas ATM. por lo tanto información que regule el tiempo comienzo de la parte común de la capa de
operación y mantenimiento (OAM) con el con los datos. AAL-1 provee recuperación de convergencia.
plano de administración. La capa de adaptación de ATM errores e indica la información con errores que · Tamaño del buffer que dice al receptor el
La tercer capa es la ATM Adaptation Layer no podrá ser recuperada. espacio necesario para acomodar el men-
La segunda capa es la capa ATM (AAL). La AAL juega un rol clave en el manejo saje.
Ello define la estructura de la celda y cómo las de múltiples tipos de tráfico para usar la red Capa de convergencia: El payload también contiene 3 campos:
celdas fluyen sobre las conexiones lógicas en ATM, y es dependiente del servicio. Especifi- Las funciones provistas a esta capa difieren · Alineación es un byte de relleno usado
una red ATM, esta capa es independiente del camente, su trabajo es adaptar los servicios dependiendo del servicio que se proveyó. para hacer que la cabecera y el payload ten-
servicio. El formato de una celda ATM es muy dados por la capa ATM a aquellos servicios que Provee la corrección de errores. gan la misma longitud.
simple. Consiste de 5 bytes de cabecera y 48 son requeridos por las capas más altas, tales * Fin de etiqueta que indica el fin de la parte
bytes para información. como emulación de circuitos, (circuit emula- Capa de segmentación y reensamblaje: común de la CS(capa de convergencia).
Esta se encarga de mover las celdas del ori- tion), vídeo, audio, frame relay, etc. La AAL En esta capa los datos son segmentados y se * El campo de longitud tiene la longitud de
gen al destino, y en definitiva se relacionan recibe los datos de varias fuentes o aplica- les añade una cabecera. La cabecera contiene la parte común de la CS.
con el algoritmo y enrutamientos de los con- ciones y las convierte en los segmentos de 48 3 campos. 1. Parte especifica del servicio. Las fun-
mutadores ATM. bytes. Cinco tipos de servico AAL están defi- · Número de secuencia usado para detectar ciones proveídas en esta que capa dependen
Las celdas son transmitidas serialmente y nidos actualmente: una inserción o perdida de un paquete. de los servicios pedidos. Generalmente se in-
se propagan en estricta secuencia numérica a La capa de Adaptación de ATM yace entre · Número de secuencia para la protección cluyen funciones para la recuperación y detec-
través de la red. El tamaño de la celda ha sido el ATM layer y las capas más altas que usan el usado para corregir errores que ocurren en ción de errores y puede incluir también fun-
escogido como un compromiso entre una larga servicio ATM. Su propósito principal es resolv- el numero de secuencia. ciones especiales.
celda, que es muy eficiente para transmitir er cualquier disparidad entre un servicio req- · Indicador de capa de convergencia usado
largas tramas de datos y longitudes de celdas uerido por el usuario y atender los servicios para indicar la presencia de la función de la Capa de segmentación y reensamblaje:
cortas que minimizan el retardo de procesami- disponibles del ATM layer. La capa de adap- capa de convergencia. En esta capa los datos son partidos en
ento de extremo a extremo, que son buenas tación introduce la información en paquetes paquetes de ATM. Una cabecera y el payload
para voz, vídeo y protocolos sensibles al re- ATM y controla los errores de la transmisión. ALL 2 que contiene la información necesaria para
tardo. A pesar de que no se diseñó específi- La información transportada por la capa de AAL-2 se usa para transferir datos con tasa la recuperación de errores y reensamblaje se
camente para eso, la longitud de la celda ATM adaptación se divide en cuatro clases según de bits variable que dependen del tiempo. En- añaden al paquete.
acomoda convenientemente dos Fast Packets las propiedades siguientes: vía la información del tiempo conjuntamente La cabecera contiene 3 campos:
IPX de 24 bytes cada uno. [Link] la información que esta siendo trans- con los datos para que esta puede recuperarse 1) Tipo de segmento que indica que parte de
30 Security&technology | NOVIEMBRE - DICIEMBRE 06

un mensaje contiene en payload. Tiene uno de Esta se aplica a la línea de dos conmutadores la esta lista para enviarse, los medios para en- tino. El algoritmo de enrutamiento determina
los siguientes valores: ATM. viarlas pueden ser síncronos o asíncronos. el circuido virtual (VC), y dado que ATM no
- BOM: Comenzando de mensaje En un medio asíncrono, cuando la célula tiene ningún algoritmo de enrutamiento como
- COM: Continuación de mensaje En ambos cosas las celdas consisten en una esta lista para enviarse, se envía sin ninguna especifico, la portadora tiene la libertad de el-
- EOM: Fin de mensaje cabecera de 5 bytes seguidos de una carga restricción; en cambio cuando el medio es egir cualquiera de los algoritmos disponibles.
- SSM: Mensaje único en el segmento útil de 48 bytes, pero las cabeceras son ligera- asíncrono. En otras redes orientadas a la conexión
2) Numero de secuencia usado para detectar mente diferentes. Otra célula que no es de datos es la OAM como X25 se ha demostrado que se puede gas-
una inserción o una perdida de un paquete. El campo GFC solo esta presente en las (operation maintenace, operación y manten- tar una cantidad considerable de computo en
3) Identificador de multiplexación. Este celdas entre host y red, es sobrescrito por el imiento). Estas son usadas por los conmuta- los conmutadores determinado la manera de
campo se usa para distinguir datos de difer- primer conmutador al que llega, po9r lo que dores ATM para intercambiar información de convertir la información del circuito virtual
entes comunicaciones que ha sido multiplexa- no tiene un significado de terminal a terminal control y también son utilizadas para evitar de cada célula a la línea de salida por la que
das en una única conexión de ATM. y no se entrega al destino. inundar a SONET, siendo enviadas como célula tiene que salir en el enrutador. Para evitar esto
El payload contiene dos de campos: Originalmente se pensó que este campo ten- n° 27, con el fin de reducir la tasa de datos, ya cuando se diseño ATM se decidió enrutar en el
1) Indicado de longitud que indica el núme- dria alguna utilidad para el control de flojo o que en el receptor estas células llegan directa- campo VPI pero no en el campo VCI, salvo en
ro de bytes útiles en un paquete parcialmente de paridad entre los hosts y las redes, pero no mente a la capa ATM, y el resto de las células el caso del salto final de cada dirección, donde
lleno. hay valares definidos para él, y la red lo ig- llegan a la subcapa TC. las células se envían entre un enrutador y un
2) CRC es para el control de errores. nora. La mjor manera de pensar en el es como En el caso de la recepción, la tarea del TC host. Entre dos conmutadores se tiene que
una falla del estándar. es totalmente lo contrario, o sea que toma la utilizar la trayectoria virtual.
ALL 4 El campo VPI es un entero pequeño que se- corriente de bits entrantes, detecta los inicio Al usarte solo los VPI entre los enrutadores,
AAL-4 se diseña para transportar datos con lecciona una trayectoria virtual en particu- y fines de las células, verifica los encabezados, se tienen varias ventajas, por ejemplo cuando
tasa de bits variable independientes del tiem- lar. procesa las células OAM y pasa las células de ya se estableció una trayectoria virtual entre
po. Es similar al AAL3 y también puede operar El campo VCI selecciona un circuito virtual datos a la capa ATM. un origen y un destino, cualquier otro circuito
en transmisión fiable y o fiable. AAL-4 provee en particular en la trayectoria virtual selec- La tarea mas difícil es justamente detectar virtual va a poder utilizar esa trayectoria, sin
la capacidad de transferir datos fuera de una cionada. Dado que el campo VPI tiene 8 bits los limites de las células, dentro de esta cor- tener que tazarla nuevamente, es como si hu-
conexión explícita. en la UNI y el campo VCI tiene 16 bits en te- riente de Bits que entran, ya que si nos vamos biera quedado tendido un par de cables físicos
AAL 2, AAL 3/4 y AAL 5 manejan varios ti- oría un host puede tener hasta 256 haces de a nivel de bits una célula es solo una corriente entre los dos puntos., aparte en enrutamiento
pos de servicios de datos sobre la base de tasas VC, conteniendo cada una hasta 65.536 circui- de 53 X 8 = 424 bits. La que ayuda en estos de células individuales es mas facil cuando los
de bits variables tales como Switched Multi- tos virtuales. casos es la capa física (como SONET). Y en el trazado de circuitos de la misma trayectoria
megabit Data Service (SMDS), Frame Relay o El campo PTI define el tipo de carga útil que caso de que la capa física no ayude esto se tienen el mismo haz.
tráfico de redes de área local (LAN). AAL 2 y contiene la celda. soluciona apuntando al HEC, ya que a medida Al bazar todo el enrutamiento en trayecto-
AAL 3 soportan paquetes orientados a conex- El bit CLP puede ser establecido por un host de que entran estas cadenas de bits, la sub- rias virtualesse facilita a la conmutación en un
ión. (Ver figura No.5) para distinguir entre el trafico de alta priori- capa TC tiene un desplazamiento de 40 bits, la grupo completo de circuitos virtuales. Como
(El término orientado a conexión describe dad y el de baja prioridad. Si ocurre un con- subcapa TC entonces inspecciona los 40 bits, se ve en el ejemplo de la siguiente imagen si
la transferencia de datos después del establec- gestionamiento y debe descartar celdas, los si cumple con esto se fija en los primeros 8 ocurre un error en Omaha-Denecer que es el
imiento de un circuito virtual). conmutadores primero intentan descartar los bits, a ver si corresponden con los restantes circuito original entreNY y San Francisco se
que tienen el CLP establecidos en 1 antes de 32 bits, si no cumple se deduce que no hay reenruta la trayectoria virtual por Omaha-De-
Conexiones logicas de ATM descartar cualquiera que lo tenga en 0. una célula válida, entones se deja entrar otro never a Los Angeles y luego a San Francisco.
Un circuito virtual normalmente es una conex- El HEC es una suma de comprobación de la bit y se vuelve a verificar, así hasta tener en
ión de un origen a un destino, aunque también cabecera; no verifica la carga util. Lo controla el buffer un HEC válido. Categorías de Servicio
se permiten conexiones multitransmisión. Los por medio de Hamming. El problema con esto es que el HEC solo La clase CBR (tasa de bits constante) pretende
circuitos virtudes son unidireccionales, pero A continuación de la cabecera vienen 48 tiene 8 bits. Para cualquier registro de despla- simular un alambre de cobre o una fibra óp-
puede crearse un par de circuitos al mismo bytes de carga util. Sin embargo, no todos los zamiento, aún uno que tenga bits aleatorio, tica. Los bits se ponen en un extremo y salen
tiempo. Ambas partes de el par se drieccio- 48 bytes estan disponibles para el usuario, la posibilidad de encontrar un HEC válido es por el otro. No existe la comprobación de er-
nan al mismo identificador, de modo que un pues algunos de los protocolos AAL ponenen de 1 en 256 posibilidades (bits) y esto es muy rores, control de flujo ni ningún otro proceso.
circuito virtual de hecho es duplex integral. sus cabeceras y sus terminaciones dentro de grande. Se lo utiliza para sistema telefónico, tam-
Sin embargo la capacidad del canal y otras la carga. Para mejorar esto se usa la siguiente má- bién se lo puede utilizar para la transmisión
prioridades pueden ser diferentes en las dos quina de estado finito en la que se manejan en tiempo real (audio y video)
direcciones, e inclusive puede ser de cero en Capa de Enlace de datos en ATM tres estados: HUNT, PRESYNCH Y SYNCH. La clase VBR (tasa de bits variable), se divide
una de ellas. En ATM, la capa física cubre términos gen- En el Hunt , en la subcapa TC corre bits de en dos subclases, la de tiempo real (RT-VBR) y
A pesar de su falta de acuse de recibo, la erales a lo que seria la capa física y enlace de a uno buscando un HEC válido. Cuando en- la de tiempo no real (NRT-VBR). La subclase
capa ATM si proporciona una garantía firme: datos en el modelo OSI, Teniendo la subcapa cuentra uno se pasa al estado PRESYNCH, lo (RT-VBR) se la utiliza para las videoconferen-
Las celda que se envían por un circuito vir- de convergencia de transmisión que llamare- que quiere decir es que a encontrado talvez cias ya que son en tiempo real (MPEG). La red
tual nunca llegaran fuera de orden. Se permite mos TC la funcionalidad de enlace de datos., un limite de célula, y entonces deja pasar ATM tolera la perdida de un bit o célula de vez
a la sub red descargar celdas si hay conges- hay especificaciones de lo que es la capa física los siguientes 424 bits (53 bytes) que teóri- en cuando y lo ignora.
tionamiento, pero en ninguna circunstancia en en ATM ya que en su lugar, las células de camente son la parte de datos de la célula. La subclase (NRT-VBR) es para tráfico en la
se le permite reordenar las celdas, enviadas ATM son transportadas por SONET, FDI y otros Si es correcto, el registro de desplazamiento que la entrega es no necesariamente debe ser
por un solo circuito virtual. Sin embargo no sistemas de transmisión. contiene un encabezado Válido y se vuelve a en tiempo real. Por ejemplo, el correo elec-
se dan garantías, si un host envía celdas por Entonces cuando un programa envía un Msj. ejecutar HEC, de lo contrario se regresa al es- trónico multimedia que normalmente se lo
diferentes circuitos virtuales. Viaja a la subcapa TC donde se le colocaran tado HUNT. almacena en el disco rígido local del receptor
A lo largo de cualquier trayectoria de un encabezados y se los dividirá en células. Si el segundo HEC tambien es correcto, se antes de presentarse en pantalla.
origen dado a un destino dado, un grupo de puede suponer que TC encontró algo, por lo La clase ABR (tasa de datos disponible) se
circuitos virtuales puede agruparse en lo que Transmisión de células: que recorre otros 424 bits e intenta de nuevo, utiliza para trabajo en ráfagas cuya gama de
se llama una trayectoria virtual Las células están dividida en 5 byes, los cuales y continua probando encabezados hasta en- ancho de banda se conoce aproximadamente.
Une trayectoria virtual (como se ve en el consisten en 4 bytes de información del cir- contrar X encabezados correctos consecutivos; Con ABR evitamos tener que comprometerse
grafico anterior) es como un haz de pares cuito virtual y control a los que lo siguen 1 momento en el cual se supone que esta sin- con un ancho de banda fijo. Es posible decir
trenzados de cobre: al reenrutarlo todos los byte que es la suma de comprobación, la cual cronizada y pasa al estado SYNCH para operar que la capacidad entre dos puntos siempre
pares (circuitos virtudes) se reenrutan juntos. es solo una comprobación de los siguientes 4 la operación de forma normal. Aparte de la será de 5 Mbps, pero puede llegar a tener pi-
bytes de encabezado y no de la carga útil, esto sincronización al inicio TC tiene que determi- cos de 10 Mbps, el sistema garantizara que
Formato de la celda se hace asi para bajar el riesgo de tener célu- nar cuando se perdió la sincronía, por lo cual tendrá 5 Mbps todo el tiempo y hará lo posi-
En la capa ATM se distinguen dos interfaces: las con errores en los encabezados pero tam- si se ve que de los X HEC que pasaron como ble por proporcionar picos de 10 Mbps cuando
bién porque seria mucho mas engorroso tener correctos después de la sincronización, hay lo considere necesario. Esta clase es la única
La UNI (User-Network Interface, interfaz una comprobación de la carga útil ya que esta Y HEC incorrectos, se pasa otra vez al estado que proporciona tasa de retroalimentación al
usuario red): es mas grande; por eso se la denomina HEC HUNT, ya que se deduce que se ha perdido la transmisor, solicitándole que disminuya la ve-
Esta define el limite entre el host y la red ATM (Header Error Control). sincronía. locidad de transmisión al ocurrir congestion-
(en muchos casos, entre el cliente y el pro- Aparte ATM fue inicialmente para utilizarse amientos. Si el transmisor respeta estas solici-
tocolo). en fibra óptica, el cual es un medio muy se- Enrutamiento y conmutación. tudes la perdida de células en esta categoría
guro, en el cual la mayor cantidad de errores Cuando ya se ha establecido un circuito vir- es baja
La NNI (Network-Network interface, interfaz son de un solo bit. tual el mensaje de establecer sigue su camino La clase UBR (tasa de datos no especificada)
red – red): Cuando ya se ha introducido el HEC, la célu- a través de la red entre el origen y el des- no hace promesas y no realimenta informa-
 Security&technology | NOVIEMBRE - DICIEMBRE 06 31

ción sobre congestionamientos. Se adapta receptor, es negociable. Está mide la fracción blecimiento de la llamada. El descriptor de trá- quema es como determinar los circuitos virtu-
muy bien para el envió de paquetes IP, puesto de las células transmitidas que no se entregan fico indica la tasa de células pico. Si el mensaje ales a los que pertenecen las direcciones de IP
que el IP tampoco hace promesas con respecto en absoluto o que se entregaran demasiado ESTABLECER llega a una línea llena, debe dar (u otras direcciones de capa de red). En una
a la entrega. Se aceptan todas las células UBR tarde. marcha atrás y buscar una trayectoria nueva. LAN 802 este problema se resuelve mediante
y si sobra capacidad también se entregan, si La CTD (retardo de transferencia de células) Control de congestionamiento basado en la el protocolo ARP, en el que un host puede di-
ocurren congestionamientos, se descartan las es el promedio de transito del origen al des- tasa fundir una solicitud de una x dirección IP. El
células UBR sin realimentación al transmisor tino. Es negociable. Con el tráfico CBR y VBR, generalmente no host que usa dirección devuelve entonces una
y sin esperar que el mismo reduzca su veloci- La CDV (variación de retardo de células) es posible que transmisor disminuya su ve- respuesta punto a punto, que se almacena en
dad. mide la uniformidad con que se entregaran las locidad, aun ante un congestionamiento. Con caché para su uso futuro.
Es adecuada para aplicaciones que no tienen células. Es negociable. la UBR a nadie le importa, si hay demasiadas Con una LAN ATM esta solución no funcio-
restricciones de entrega y quieren llevar ellas La CER (razón de errores de células) es la células, las sobrantes se descartan. na, pues las LAN ATM no manejan difusión.
mismas su control de errores y de flujo. Por fracción de las células que se entregan con Sin embargo con el tráfico ABR es posible Este problema se resuelve introduciendo un
ejemplo para la transferencia de archivos, e- uno o más bits equivocado. No negociable. que la red señale a uno o mas transmisores y servidor nuevo, el LES (LAN Emulation Server,
mail, puesto que ninguna tiene necesidad de La SECBR (tasa de bloque de células con er- les solicite disminuir su velocidad temporal- Servidor de Simulación de LAN). Para buscar
tiempo real. rores severos) es la fracción de bloques de N mente hasta que la red se pueda recuperar. una dirección de capa de red (por ejemplo,
células en los que M o mas células contienen El modelo funciona de manera que, tras una dirección IP), un host envía un paquete
Calidad del servicio errores. No negociable. cada K células de datos, cada transmisor envía (por ejemplo, una solicitud ARP) al LES, que
La calidad en el servicio es un asunto impor- La CMR (tasa de mala inserción de células) una célula especial denominada RM (Resource entonces busca la dirección ATM correspondi-
tante para las redes ATM, porque se usan para es la cantidad de células que se entregan al Managment, administración de recursos) Esta ente y la devuelve a la maquina que la solici-
tráfico en tiempo real , como ser el audio y destino equivocado debido a un error no de- célula viaja por la misma trayectoria que la ta. Esta dirección entonces puede usarse para
vídeo. tectado en la cabecera. No negociable. células de datos, pero recibe un tratamiento enviar paquetes encapsulados al destino.
Existe una especie de “contrato ” entre el Conformación y vigilancia del tráfico especial de los conmutadores a los largo de Sin embargo, esta solución solo resuelve el
cliente y la red : Es el mecanismo para usar y hacer cumplir los su trayectoria. Al llegar al destino, la célula problema de localización del host. Algunos pro-
[Link] tráfico que se generará parámetros de calidad de servicio, se basa en se examina, actualiza y envía de regreso al gramas usan la difusión o la multitransmisión
[Link] servicio acordado parte en un algoritmo llamado GCRA (algo- transmisor. Si una célula RM se pierde, será como parte esencial de la aplicación. Para lo-
[Link] requisitos de cumplimiento ritmo genérico de tasa de células). Este algo- notada por el transmisor cuando no regrese en grar esto, se introduce el BUS (Broadcast/Un-
El primero de los items descriptos arriba se ritmo funciona revisando cada célula para ver el intervalo de tiempo esperado. known Server, Servidor de Difusión/ Descono-
refiere a la carga de tráfico que se generara, si se ajusta a los parámetros de su circuito vir- cido), que tiene conexiones a todos los hosts y
el segundo quiere decir la calidad del servi- tual. Los dos parámetros con el que funciona LAN ATM puede simular la difusión enviando un paquete
cio deseada por el cliente y aceptada por la este algoritmo son : PCR y CDVT. Una red ATM puede funcionar como LAN, a todos ellos, uno por uno. Los hosts también
portadora. La portadora es la encargada de tratar a las conectando hosts individuales, o como puente, pueden acelerar la entrega de un paquete a un
ATM define una serie de parámetros referi- células incumplidoras. conectando varias LAN. Ambos conceptos son host desconocido enviando el paquete al BUS
dos a la calidad de los servicios: interesantes pero generan algunos problemas para difundirlo y luego (en paralelo) buscar la
Los primeros tres parámetros especifican la Control de congestionamientos complicados. dirección (para uso futuro) usando el LES.
rapidez a la que quiere transmitir el usuario. Las redes ATM deben manejar tanto el conges- El problema principal que debe resolverse es Un modelo semejante a este ha sido adopta-
La PCR (tasa de células pico) es la rapidez tionamiento a largo plazo, causado por la gen- como proporcionar un servicio de LAN sin con- do por el IETF como la manera oficial en que
máxima con que el transmisor planea enviar eración de más tráfico del que puede manejar exiones a través de una red ATM orientada a Internet usa una red ATM para transportar
células. el sistema, como el congestionamiento a corto conexiones. Una posible solución es introducir paquetes IP. En este modelo, el servidor LES
La SCR (tasa de células sostenida) es la tasa plazo causado por las ráfagas de tráfico. un servidor sin conexiones en la red. Cada se llama servidor ATMARP, pero la funcionali-
esperada de células prometida en un inter- Se usan varias estrategias: host establece una conexión con este servi- dad es esencialmente la misma. La difusión
valo de tiempo grande. Para la categoría CBR [Link] de admisión. dor, y envía a el todos los paquetes para que y multitransmisión no se contemplan en la
la calidad SCR será igual a la PCR, pero para [Link]ón de recursos. los reenvíe. Aunque es sencilla, esta solución propuesta IETF.
as demás categorías será sustancialmente [Link] de congestionamiento basado en no aprovecha todo el ancho de banda de la red Otro uso de las redes ATM es como puentes
menor. tasa. ATM, y el servidor sin conexiones fácilmente para conectar varias LAN existentes (Figura H).
La MCR (tasa de células mínima) es la canti- puede volverse un cuello de botella. En esta configuración, solo una maquina de
dad mínima de células / seg que el cliente Control de admisión Una alternativa a este enfoque, fue prop- cada LAN necesita una conexión ATM. Al igual
considera aceptable. Si la portadora es incapaz Cuando un host quiere un circuito virtual uesto por el foro de ATM, el cual se muestra que todos los puentes transparentes, el puente
de garantizar esta cantidad de ancho de ban- nuevo, debe describir el tráfico que va a gener- en la Figura G. Aquí cada host tiene circui- ATM debe escuchar en modo promiscuo a todas
da, debe rechazar la conexión. Con el servicio ar y el servicio esperado. La red puede entonc- tos virtuales ATM (potenciales) a todos los las LAN a las que esta conectado, reenviando
ABR el ancho de banda real debe estar entre es verificar si es posible manejar esa conexión demás hosts. Estos circuitos virtuales pueden los marcos a donde se necesiten. Dado que los
la MCR y la PCR. sin afectar adversamente a las conexiones ex- establecerse y liberarse dinámicamente según puentes solo usan direcciones de MAC (no de
La CDVT (tolerancia de variación de retardo istentes. Tendrán que examinarse varias rutas se necesite, o pueden ser circuitos virtuales IP), los puentes ATM deben construir un árbol
de células) indica la cantidad de variación que potenciales para encontrar una que pueda ll- permanentes. Para enviar un marco, el host de extensión, al igual que los puentes 802.
habrá en los tiempos de transmisión de célu- evar a cabo la tarea, si no se puede localizar de origen encapsula primero el paquete en el En conclusión, si bien la simulación LAN del
las. La CDVT controla la cantidad de variabili- ninguna ruta, se rechaza la llamada. campo de carga útil de un mensaje AAL ATM, ATM es un concepto interesante, hay cuestion-
dad aceptable usando un algoritmo de cubeta y lo envía al destino, de la misma manera en amientos serios sobre su desempeño y precio,
con goteo. Reservación de recursos que se transmiten marcos a través de Ether- y ciertamente enfrentan una fuerte compe-
La CLR (tasa de perdida de células) describe Reservar el ancho de banda por adelantado, net, Token Ring y otras LAN. tencia de las LAN y los puentes existentes,
las características de la red y se mide en el generalmente se realiza en el momento de esta- El problema principal generado por este es- bien establecidos y optimizados.
32 Security&technology | NOVIEMBRE - DICIEMBRE 06

BRONTOK
El gusano ganador
Durante gran parte del 2006 se ha estado destacando un
gusano descubierto en octubre del 2005. Si bien el mismo
no presenta demasidas características especiales, que lo
puedan hacer parecer distinto a cualquier otro, ha sabido
permanecer vigente a través del tiempo. Esta forma de
diferenciarse, de por sí, lo hace especial y es por eso
que se ha decidido hacer este análisis de la amplia
familia del gusano Brontok.
un correo electrónico con un
Por Lic. Christian Borghello remitente falso, asunto del mensaje
Technical & Educational Manager
vacio y con un archivo adjunto cuyo nom-
Eset Latinoamérica
bre varía según determinadas reglas utili-
zadas por el gusano.
Descripción general El correo que le llega al usuario tiene la
Brontok es una familia de gusano y troyano apariencia que refleja la Imagen 1.
con cientos de variantes e identificados con Si el usuario ejecuta el archivo adjunto,
otros nombres como Rontokbrom¸Pazetus, notará que se abre una ventana con la car-
Naras, Spansky o Robknot según la casa an- peta “mis documentos“. Esto es indicativo
tivirus. que el gusano ya está residente en memo-
Este malware aparentemente fue desarrol- ria y a tomado el control absoluto del sis-
lado en Indonesia por el grupo “HVM31-Jow- tema infectado.
oBot #VM Community“ como puede apreci- Esto que parece una exageración, no lo
arse en diversas partes del código fuente o es. Algunas de las acciones realizadas en
en mensajes emitido por el mismo. estos breves instantes son las siguientes:
El objetivo es crear una red de equipos · Modificación de diversas claves del
zombies infectados (botnets), que puedan registro para asegurar su estadía y ocul-
ser controlados remotamente para los fines tamiento en el sistema.
que el autor desee. Estos suelen involucrar · Control del Modo a Prueba de fallos para
envío de spam, phishing y ataques de DDoS a evitar su detección y eliminación
diversos sitios de Internet. · Reinicios del equipo al intentar abrir Síntomas
La primera versión de Brontok, que apareció ciertas aplicaciones que “pueda atentar Como se mencionó, Brontok realiza gran obtener de los archivos con extensiones: .csv,
en octubre de 2005, fue un gusano desarrol- contra su seguridad“ cantidad de modificaciones en el sistema, lo .doc, .eml, .html, .php, .txt, .wab
lado en Visual Basic 6.0 con un tamaño de 80 · Seguimiento de procesos del sistema y que lo lleva a ser identificable por algunos sín- Para no ser detectado por empresas de
Kb sin empaquetar. Las versiones posteriores de aplicaciones de seguridad que puedan tomas apreciables, tales como: seguridad evita autoenviarse a direcciones de
han sido empaquetadas, con distintos pro- facilitar su detección y/o remoción · Al ejecutarse por primera vez, se abre la correo tales como:
gramas como UPX o MEW, para disminuir su · Diversas técnicas de engaño para lograr carpeta “Mis documentos“ del sistema infecta- LASA, TELKOM, INDO,.[Link], .[Link], .MIL.
tamaño, facilitar su distribución y dificultar que el usuario ejecute el troyano do. En realidad reemplaza el enlace por una ID, .[Link], .[Link], .[Link], .[Link], .WEB.
su detección. · Modificación de archivos del sistema para copia de sí mismo de forma tal que cuando el ID, .[Link], ASTAGA, GAUL, BOLEH,
evitar la actualización de diversas herrami- usuario hace clic sobre “la carpeta“, el gusano EMAILKU, SATU
Método de infección entas de seguridad se ejecuta y luego muestra al usuario el conte- Además, y para lograr un mayor efecto de
Utiliza el envío de correo masivo como prin- · Creación de carpetas y archivos ocultos nido verdadero de dicho directorio. engaño en el usuario, el nombre del adjunto
cipal forma de propagación. Para recolectar para asegurar su permanencia en el sis- · Relentización considerable del sistema cambia en cada envio pudiendo ser: winword.
direcciones de e-mail desde el equipo in- tema infectado. Esto se debe a la gran cantidad exe, [Link], [Link], [Link], un-
fectado y se auto-envía utilizando su propio · Otra forma utilizada para su propagación de verificaciones que realiza el troyano para [Link], [Link], [Link], dibu-
motor SMTP. es la copia de sí mismo a los recursos com- evitar su remoción, además de las conexiones [Link]
Una vez robadas las direcciones de correo partidos de los equipos a los que tiene ac- a equipos remotos y a los correos que envía Nota: las extensiones, dominios y nombres de
y realizado el envio, al usuario le llega ceso. permanentemente. archivos mencionados pueden variar según la
· Ocultamiento de archivos del sistema. El variante de Brontok analizada. Estas cadenas
troyano oculta estos archivos o los reem- están cifradas y son obtenidas del archivo del
plaza por copias de sí mismo. propio gusano, como se verá posteriomente.
· Ocultamiento de ciertas opciones de Win- Con respecto a las alteraciones en el registro
dows que permitirían su detección. de Windows, se puede mencionar las que mod-
· Ocultamiento de las extensiones de los ar- ifica el gusano para asegurar su permanencia
chivos para engañar al usuario y evitar su en el sistema:
rastreo.
· Reinicios inesperados, que pueden llegar HKCU\Software\Microsoft\Windows\CurrentVersion\
a ser frecuentes, cuando se intenta abrir Run
ciertas aplicaciones que pueden facilitar su H K LM \ S OF T WA R E \ Microsof t \ W i ndow s \
detección (como aplicaciones de seguridad CurrentVersion\Run
y antivirus). H K LM \ S OF T WA R E \ Mi cr o s o f t \ W i ndo w s N T \
CurrentVersion\Winlogon
Funcionamiento
Luego de su instalación y la toma de con- Además modifica otras claves del registro
trol del equipo infectado, el gusano con- para deshabilitar ciertas herramientas del sis-
tinúa su propagación envíandose a sí mismo tema operativo, el acceso al registro de Win-
Imagen 1: Correo con Brontok a todas las direcciones de correo que pueda dows y el intérprete de comandos. También
 Security&technology | NOVIEMBRE - DICIEMBRE 06 33

Por lo que se pudo analizar, las distintas

ARCHIVOS INFECTADOS
versiones desde la primera hasta las últimas
Con respecto a los archivos creados y modificados por el gusano, algunos de ellos
no varían su forma de actualización, así como
permanecen constantes en todas las versiones analizadas, pero otros son creados
tampoco los servidores desde donde las reali-
aleatóriamente en cada infección o cambian de acuerdo a la versión.
Algunos de los archivos son los siguientes: zan. Controlar estos servidores y los directo-
<usuario>\Configuración Local\Datos de programa\[Link] (archivo del gusano de 45 kb) rios creados debería convertirse en una priori-
<usuario>\Configuración Local\Datos de programa\[Link] (archivo del gusano de 45 kb) dad para controlar este gusano.
<usuario>\Configuración Local\Datos de programa\[Link] (archivo del gusano de 45 kb) Para finalizar el análisis se verá la forma en
<usuario>\Configuración Local\Datos de programa\[Link] (archivo del gusano de 45 kb) que el gusano cifra los datos en su código de
<usuario>\Configuración Local\Datos de programa\[Link] (archivo del gusano de 45 kb) forma tal de ocultar cierta información útil y
<usuario>\Configuración Local\Datos de programa\[Link] (archivo del gusano de 45 kb)
<inicio>\[Link] (archivo del gusano de 45 kb) que puede facilitar su seguimiento.
<usuario>\Plantillas\ Nombre [Link] (archivo del gusano de 45 kb) Brontok utiliza un metodo de substitución
<Windows>\ShellNew\Nombre [Link] (archivo del gusano de 45 kb) monoalfabético en donde a cada caracter del
<Windows>\ShellNew\[Link] (con la fecha y hora de la primera instalación) alfabeto le corresponde otro. Por ejemplo
puede hacerse la siguiente equivalencia:
p=i, 4=D, J=O, T=C, y=E, f=X, p=i, h=6, n=4, N=a, etc.
HKCU\Software\Microsoft\Windows\CurrentVer- Feedback,Firewall, Foo@, Fuck, Fujitsu, Gateway, sus actualizaciones desde un sitio de hosting
sion\Policies\System DisableCMD = “2” Google, Grisoft, Group, Hack, Hauri, Hidden, Hijack, gratuito (geocities), pero al ser fácilmente de- Posterior a analizar el método utilizado,
HKCU\Software\Microsoft\Windows\CurrentVer- Hp, Ibm, Info, Intel, Killbox, Komputer, Linux, Log Off tectable el/los autor/es del gusano prefirieron puede realizarse un programa que descifre
sion\Policies\System DisableRegistryTools = “1” Windows, Lotus, Macro, Malware, Master, Mcafee, variar esta metodología haciendo que la direc- las cadenas utilizadas por el gusano. En esta
HKCU\Software\Microsoft\Windows\CurrentVer- Micro,Microsoft, Mozilla, Mysql, Netscape, Network, ción sea “aleatoria“ dentro de ciertos parámet- pantalla puede verse en amarillo las cadenas
sion\Policies\Explorer NoFolderOptions = “1” News, Nod32, Nokia, Norman, Norton, Novell, Nvidia, ros. Esta técnica ya fue utilizada previamente cifradas y en blanco las cadenas descifradas,
HKCU\Software\Microsoft\Windows\CurrentVer- Opera, Overture, Panda, Patch, Postgre, Program, con buenos resultados por gusanos anteriores en donde puede apreciarse distintos textos
sion\Explorer\Advanced Hidden = “0” Proland, Prompt, Protect, Proxy, Recipient, Registry, como Sober. analizados en otros segmentos del presente
HKCU\Software\Microsoft\Windows\CurrentVer- Relay, Response, Robot, Scan, Script Host, Search R, En su primera etapa, Brontok intenta conec- informe (claves de registro, procesos, URL,
sion\Explorer\Advanced HideFileExt = “1” Secure, Security, Sekur, Senior, Server, Service, Shut tar a [Link] etc.) (Ver. Imágen 2)
Down, Siemens, Smtp, Soft, Some, Sophos, Source, donde esta última parte de la URL es formada
HKCU\Software\Microsoft\Windows\CurrentVer-
sion\Explorer\Advanced ShowSuperHidden = “0” Spam, Spersky, Sun, Support, Sybari, Symantec, con el algorítmo propio del gusano. Con re- Conclusiones
System Configuration, Task Kill, Taskkill, Test, Trend, specto al servidor 20mbweb ([Link]), Como podemos apreciar este gusano utiliza
puede realizar ataques de DDoS a diferentes Trust, Update, Utility, Vaksin, Virus, W3, Windows se puede decir que es un hosting gratuito ubi- diversas técnicas que le aseguran su repro-
sitios de Internet y agregar tareas programa- Security, Www, Xerox, Xxx, Your, Zdnet, Zend, Zombie cado en [Link]. ducción y una dificil remoción de los sistemas
das para ejecutarse a sí mismo. Nota: estas cadenas pueden variar según la Desde el servidor en ese directorio, des- infectados. Esto le ha asegurado una singular
Algunas de las claves alteradas son las sigu- versión de Brontok analizada, se encuentran carga un archivo cuyo nombre es semejante tasa de infecciones, y le ha permitido llegar y
ientes: cifradas y son obtenidas del archivo del propio a [Link] mantenerse entre las primeras diez posiciones
Por otro lado, el gusano reiniciará el equipo gusano, como se verá posteriomente. [Link] donde 18 puede variar según la ver- del ranking estadístico de malware durante el
infectado cada vez que se abra una ventana sión del gusano analizado. Con este archivo el 2006, y también ha alcanzado la cima a me-
cuyo título contenga cualquiera de las sigu- Brontok dispone de actualizaciones que se gusano obtiene que archivos deben ser elimi- diados del año.
ientes cadenas: realizan a través de Internet en sitios que var- nados antes de la actualización. Si bien puede pensarse que los métodos
Admin, Adobe, Ahnlab, Aladdin, Alert, Alwil, Antigen, ían según su versión y que son cerrados cada Además descarga un archivo cuyo nombre utilizados son originales, esto no es así, y en
Apache, Application, Archieve, Asdf, Associate, Avast, vez que son detectados. Para realizar estas ac- es semajente a [Link] donde los cambio son las técnicas más comunes en caso
Avg, Avira, Billing@, Black, Blah, Bleep, Bleeping, ciones dispone de una rutina de generación últimos 6 caracteres dependen de la hora del de gusanos de amplia expansión. Lo que qui-
Builder, Canon, Center, Cillin, Cisco, Cmd, Cnet, de direcciones web de forma tal de complicar sistema, siguiendo este esquema: zas hace “original“ a Brontok es la forma de
Command, Command Prompt, Contoh, Control, el rastreo por parte de los especialistas y au- LON=0 - UTS=1 – AUD=2 – AGT=3 – TPE=4 – AML=5 combinar todos los métodos mencionados, la
Crack, Dark, Data, Database, Demo, Detik, Develop, toridades. – MNE=6 - HJT=7 – PLD=8 – LBS=9 forma de prevención utilizadas para extraerlo
Domain, Download,Esafe, Esave, Escan, Example, La primera versión de Brontok realizaba (manisfestado por el reinicio continuo del
En este caso “UTSPLD“ corresponde a la equipo) y la perseverancia de sus autores por
hora 18. Desde este archivo obtiene las direc- mantenerlo actualizado desde servidores gra-
ciones de donde debe descargar sus archivos tuitos, lo que le asegura no ser detectado por
de actualización. las herramientas de seguridad.
Este método es uno de los principales fac- Este gusano y su reproducción pone de man-
tores que le permiten a Brontok seguir per- ifiesto una vez más que el mundo informático
maneciendo arriba en las estadísticas. La ya no lidia con adolescentes curiosos, sino con
posibilidad de descargar un gusano actuali- verdaderas bandas de delincuentes que buscan
zado y con nuevas funcionalidades al equipo la mejor manera de perpetuar sus creaciones
infectado, es fundamental para seguir prop- asegurando un máximo beneficio para ellos.
agándose. También nos permite concluir que las her-
Para finalizar, el gusano actualiza un contador ramientas antivirus actuales deben estar en la
de descargas desde otro sitio gratuito e vanguardia de la investigación para combatir
ingresando con el usuario %64%65%6C%62%65% estos especímenes que buscan arraigarse cada
Imagen 2: Descifrado de cadena 6C%62%72%6F (“delbelbro” en hexadecimal). vez mejor en los sistemas infectados.

#%6 #ONSULTING ES UNA EMPRESA .ACIONAL Y DE

PROYECCI˜N 2EGIONAL QUE BRINDA SERVICIOS DE
#ONSULTOR¤A Y 'ESTI˜N EN EL ÖREA DE 2ECURSOS
(UMANOS ESPECIALIZÖNDOSE EN EL ÖREA DE 3ISTEMAS DE
)NFORMACI˜N Y 4ELECOMUNICACIONES .UESTROS CLIENTES
#%6 #/.35,4).' SON LAS GRANDES Y MEDIANAS ORGANIZACIONES QUE
OPERAN EN LOS SECTORES DE LA INDUSTRIA COMERCIO Y
SERVICIOS

#ONTACTO
!V 3ANTA &£ 
0ISO Ž /FICINA h"v
#!!! "UENOS !IRES
WWWCEVCONSULTINGCOMAR
4EL&AX   
34 Security&technology | NOVIEMBRE - DICIEMBRE 06

Hace unos días, un amigo

GRAVE FALLO DE DISEÑO PKI anunciaba que había tenido

acceso a un documento en

Firmas digitales comprometidas el que se demostraba que,

bajo ciertas condiciones, se
podían firmar digitalmente
Por Fernando Acero Martín
MOZILLA_CERTIFICATE_FOLDER, para que chivo | Firmas digitales de OpenOffice. documentos a nombre de
apunte a la carpeta que contiene el perfil que  2) Si no hemos almacenado el archivo,
otras personas usando

E
se desea usar. OpenOffice avisará de que antes de firmarlo
n este tiempo he intentado ponerme En mi Mozilla Suite con Enigmail, tengo es necesario almacenarlo. Para ello, pulsamos certificados X.509, como los
en contacto con responsables de las instalados dos certificados digitales de la el ratón sobre la opción “Sí” del cuadro de
aplicaciones implicadas -como la FNMT, el mío y el de mi señora, que se in- diálogo que nos aparece. expedidos por la Fábrica
Fábrica Nacional de Moneda y Tim- stalaron con la esperanza de poder enviar la  3) Seguidamente escribimos un nombre Nacional de Moneda y Timbre.
bre- y he generado los informes de “bugs” declaración de la renta firmada por los dos, para el archivo (por ejemplo, [Link]) y
correspondientes para la gente de Mozilla, ya que es conjunta y concurrente, ya que no hacemos “clic” con el ratón sobre el botón
Enigmail y OpenOffice. El resultado de estas es posible firmar uno, cambiar a otro usuario Guardar del cuadro de diálogo Guardar como.
gestiones sería largo de explicar, pero la frase y firmar el otro. Es decir, que tal como dice la  4) Ahora nos aparece el cuadro de diál- ¿Ella me ha entregado su contraseña? Pues
que mejor lo resume es “unos por otros y la Agencia Tributaria en su página web, han de ogo Firmas digitales. Todavía no aparecen no, no lo ha hecho, pero ella no sabe que
casa por barrer” y por lo tanto, no entrare- estar ambos certificados presentes, tanto en los certificados disponibles, ya que la base no la necesito, por lo que se cree que está a
mos en detalles. Linux como en Windows. de datos de certificados está cerrada con su salvo de mis maquinaciones.
Antes de empezar, quiero aclarar que Esto es lo que se puede ver en el gestor de contraseña. Para seguir, haremos “clic” con  8) Si una vez guardado el documento,
aunque yo he descubierto el problema usando certificados de Mozilla Suite, que es la apli- el ratón sobre el botón Agregar... de dicho cierro la aplicación y vuelvo a cargar el ar-
Linux (en mi casa no hay ni una licencia de cación que uso normalmente. Como se puede cuadro. chivo, en la parte superior izquierda de la
Windows), este problema es común a todos observar, hay dos certificados, el mío y el 5) Ahora OpenOffice nos pedirá la con- ventana que lo contiene me aparece un men-
los sistemas operativos, ya que se deriva del de mi amada esposa, que ahora queda a mi traseña del almacén de certificados de Mozil- saje indicando que el archivo se encuentra
mismo estándar PKI, y así me han informado merced, como ave desvalida. la Suite, lo que se puede comprobar porque firmado “[Link] (firmado)”, mensaje que
otras personas a las que les he consultado Veamos este curioso fallo de seguridad, en la esquina superior izquierda del cuadro desaparece si modifico el archivo.
el caso, por lo que nadie le eche la culpa a
Linux y sus aplicaciones, que ya estaba vi-
endo la sonrisa de algunos. No obstante, para
el que tenga curiosidad morbosa, aquí va mi
configuración de sistema:
En mi ordenador, la última versión de
OpenOffice (2.0.2), con el paquete de idi-
oma castellano. Ni qué decir, que está fun-
cionando sobre una Linux Mandrake 2006.0,
actualizada al día de la fecha y con todos los
paquetes relacionados con la seguridad, crip-
tografía y firma instalados y configurados.
Aclaremos que OpenOffice (al igual que
otras muchas aplicaciones que funcionan
bajo Linux, como sistemas de mensajería in-
stantánea o todas las derivadas de Mozilla,
como Mozilla Suite, Firefox o Thunderbird),
usa el sistema de firma digital de Mozilla.
Por ello, para poder usar la firma digital con
OpenOffice, es necesaria una instalación de
una versión actualizada de Thunderbird,
Mozilla Suite o Firefox. Estas aplicaciones se
pueden usar de forma compartida con otros
usuarios, o se puede disponer de diversas paso por paso, fallo que algunos califican de de diálogo de contraseñas aparece el texto 9) Si uso de nuevo la secuencia de man-
configuraciones para un mismo usario. Por “comportamiento normal” según el estándar NSS Certificate DB, que puede ser algo críp- datos Archivo | Firmas Digitales, me aparece
ello, si se han creado varios perfiles en Thun- PKI. tico para los no iniciados. un cuadro de diálogo de Firmas digitales que
derbird, Mozilla o Firefox, y se desea que 1) Para firmar el documento que tenemos  6) Hecho esto, nos aparecen los dos certi- me indica que el archivo ha sido firmado
OpenOffice utilice uno de ellos en concreto, en la pantalla del procesador de textos, es ficados que hay disponibles en el contenedor, adecuadamente por mi señora, lo que eviden-
se deberá modificar la variable de entorno necesario usar la secuencia de mandatos Ar- el mío y el de mi amada señora. Selecciono temente no debería ser cierto bajo ningún
con toda mi mala intención el de mi señora concepto.
(que me parece más bonito para firmar un Para evitar este problema, una vez abierto
texto en latín) y del que no conozco la clave el almacén de certificados y seleccionar uno
(es su certificado, no el mio) y pulso el botón de ellos, para poder firmar un documento de-
Aceptar para consumar mi felonía. En este bería ser imprescindible la solicitud de la con-
punto quiero señalar que puedo elegir el traseña asociada al certificado, lo que podría
certificado que quiera, es indiferente; si hu- ser perfectamente posible desde el punto de
biera habido cuarenta, los cuarenta estarían vista técnico. Es decir, no se debería asumir
disponibles para la firma, sin necesidad de la contraseña de la base de datos del certifi-
conocer la contraseña asociada a ninguno cados como la contraseña de todos los certifi-
de ellos. Como diría Bart Simson: ¡Mosquis!, cados que contiene, dejando firmar cualquier
moooola. cosa simplemente seleccionando uno de los
7) A partir de ese momento, el archivo certificados presentes en el contenedor.
queda firmado por arte de magia y con la Pues bien, este grave problema de segu-
firma de mi señora, que de latín no tiene ni ridad también se produce con cualquier
idea. Creo que puede ser el momento más aplicación que use un contenedor de certi-
adecuado para divorciarme y quedarme con ficados, ya sea bajo Linux o bajo Windows.
todos los bienes gananciales en base a la libre ¿Cuáles son los motivos? Sencillo, son dos. El
donación firmada por mi señora ;) Al fin y al primero, dar cosas por sentado, y el segundo,
cabo, la legislación dice que no puede repu- pensar que es mejor la comodidad frente a la
diar lo que haya firmado con su certificado. seguridad.
 Security&technology | NOVIEMBRE - DICIEMBRE 06 35

y sin nuestro consentimiento. Es más, creo usuarios se complicarían la vida y aparecería

que todo el mundo piensa que el certificado un maremagnum de pines y pukes. Es una
sigue protegido por la contraseña, del mis- forma de verlo, pero lo que está claro es que
mo modo que es necesario introducirla para el usuario solamente se debería preocupar de
meterla en el contenedor. no darle a nadie su e-dni con la contraseña
En la página de la Agencia Tributaria y además, ¿para qué tanta historia con los
ocurre casi lo mismo: pin y puk, si luego se deja un agujero de
Cuestión 2: ¿Puedo tener más de un certi- seguridad tan grave como el que se acaba de
ficado instalado en mi navegador? Respues- comentar?. Otro apunte, la mayoría de los
ta: “Si, pero habrá que solicitar y descargar usuarios actuales no serían capaces de saber
un certificado de la FNMT por cada declar- si un documento que les llega ha sido firmado
ante que vaya a presentar la declaración- con un e-dni o con un certificado digital, lo
liquidación por Internet desde dicho nave- que abre la puerta a otra serie de problemas,
gador.” y algunos muy graves.
Es decir, que me obligan a tenerlo insta- Toda la seguridad debe recaer en el sistema,
lado en el mismo contenedor si quiero de- no en las aplicaciones o en los conocimien-
clarar de forma conjunta, y no me dicen que tos técnicos o de seguridad de los usuarios,
es el error más grave que puedo cometer que además pueden ser escasos en el caso
para comprometer mi seguridad. ¿Es que los del españolito medio. Al igual que en el caso
expertos en seguridad de la FNMT y la AEAT que acabamos de comentar, simples errores
Se da por sentado que todos los certifi- firmar nada a nombre de otro. En algunos no se dieron cuenta de este problema al es- de concepto en la definición del estándar,
cados que habrá en un contenedor serán mensajes me han dicho que si tú metes tu tablecer y publicar las operativas de firma?. o situaciones no previstas, pueden provocar
de una misma persona y que se encuentran certificado en un contenedor al que tiene No me lo puedo creer. problemas graves con el e-dni. Un ejemplo
bien protegidos por una única contraseña. Y acceso otra persona es que eres tonto, pero Durante este tiempo, algunos de los con- poco pensado, podrían ser los derivados del
por comodidad del usuario, una vez abierto ¿alguien ha avisado de ello?. Pues no, es más, sultados me comentaron que esto no era cambio de sesión en un sistema multiusuario,
el contenedor decidieron que se pudiera fir- casi te animan a ello, como es el caso de la preocupante y que con el e-dni esto que he con un e-dni insertado y activado en el lec-
mar cualquier documento sin necesidad de FMNT, o te obligan a ello, como es el caso de comentado sería imposible, ya que el e-dni tor. Pero doctores tiene la Iglesia.
contraseña. Al fin y al cabo, la contraseña la Agencia Tributaria. A bote pronto, podem-

«Una firma digital es un conjunto de datos asociados

solamente estaba definida para el trans- os pensar que en este momento, al menos en
porte seguros de certificados X.509, usando los matrimonios que presentan sus declara-
para ello un contenedor criptográfico según
el estándar PKCS.12. Algo increíble, pero
ciones de forma conjunta por Internet ya hay
un montón de certificados comprometidos a un mensaje que permite asegurar la identidad del
cierto.
Éste ha sido un craso error arrastrado por
por esta circunstancia. Lo mismo, ocurre con
los certificados que pueda haber en despa-
firmante y la integridad del mensaje.»
todos los implementadores de sistemas PKI, chos de abogados, notarios, registradores de
que decidieron no asociar el acto de firma de la propiedad, etc, y que sean compartidos en un contenedor de certificados que no per- Me gustaría recordar a los amigos del “mo-
un documento a la introducción obligatoria un mismo ordenador por varios profesionales mite instalar otros certificados adicionales. laware” algo importante. La Ley se ha escrito
de una contraseña asociada al certificado. del despacho. Si logro convencer a alguien de Pero desgraciadamente, yo no comparto esta como si fuera imposible hacer lo que yo he
Que sencillo hubiera sido que esto funcionase que instale su certificado en un ordenador, afirmación de forma tan categórica; es más, demostrado que se puede hacer, y eso deja a
redondo. para ayudarle a mandar la declaración por que no se puedan instalar esos certificados los usuarios ante un serio problema. Si firmo
Como se ha dicho, este problema está en Internet, listo, ya lo tengo a mi merced. Pues habrá que verlo en el futuro, espero que lo que no debo a nombre de mi señora, el
el estándar PKI. Todos los implicados se han vaya seguridad del sistema. nadie piense que es imposible simplemente problema lo tendrá ella, y eso es grave, muy
limitado a implementar los contenedores En la página de las preguntas y respuestas por haber quitado la instrucción correspon- grave.
según ese estándar, con resultados tan de- más frecuentes de la FNMT se dice lo sigu- diente en el sistema operativo de la tarjeta. Con lo sencillo que hubiera sido asociar
sastrosos para la seguridad como el que he- iente: Desgraciadamente, en el e-dni subyace la una firma a una clave y punto, como mani-
mos podido presenciar. Aclaremos también A la pregunta ¿puedo tener más de un cer- misma filosofía de “comodidad frente a segu- festación volitiva e incontestable de la vol-
que aunque para reproducir el problema se tificado instalado en mi navegador? se con-
han usado certificados de la FNMT, éste es un testa: “Si, podrá tener más de uno. El número
problema que afecta a cualquier certificado exacto dependerá de la versión de su nave-
X.509, con independencia de su origen, no gador”.
necesariamente de la FNMT. A la pregunta: ¿Se puede tener el mismo
Pero desde un punto de vista estricto, certificado en varios navegadores? se con-
¿podemos decir que no es cierto lo que de testa: “Si, una vez que se haya descargado
dice en la página de la FNMT en referencia a el certificado, se puede instalar en varios
los certificados y la firma digital, al menos, navegadores utilizando las opciones de ex-
en lo referente a asegurar la identidad del portación e importación de certificados.”
firmante?: A la pregunta: ¿Se puede tener más de un
“Una firma digital es un conjunto de datos certificado por titular emitido por la FNMT
asociados a un mensaje que permite asegurar Clase 2 CA? se contesta: “Las personas físi-
la identidad del firmante y la integridad del cas titulares de un certificado solamente po-
mensaje”. drán tener un certificado en vigor emitido
Pues es evidente que no es cierto, y que a su nombre. Las personas jurídicas podrán
visto lo visto puedo cuestionarme con una tener emitidos y en vigor, tantos certifica-
duda razonable la autoría de una firma dig- dos como representantes legales tengan.”
ital. La conclusión que se obtiene de anali-
Es más, como no conozco el entorno en el zar estas preguntas y respuestas es espe- ridad”, que ha heredado del sistema PKI, y untad de firma de un documento... Más sen-
que se realizó la firma del documento, gra- luznante. Por ejemplo, si en una empresa por ello se han tomado medidas tan peligro- cillo imposible; pues no, decidieron tomar la
cias a este fallo puedo cuestionar, al menos tienen que firmar un documento varios rep- sas para el usuario como la de mantener la calle del medio. No saben bien los que es-
con una duda razonable, si ese documento resentantes legales de forma concurrente y misma contraseña para el certificado de firma tablecieron el estándar PKI en su momento
ha sido firmado realmente por la persona a la simultánea, todos los certificados han de y de autentificación, lo que puede provocar el error que cometieron dando prioridad a la
que pertenece el certificado. Puede que algu- estar en el mismo contenedor, y con ello, que se firme algo cuando se está pensando comodidad frente a la seguridad y dando por
nos no se den cuenta del problema, pero es a merced de cualquiera del que conozca la que simplemente se está autentificando y, sentado cosas que puede que no se cumpli-
más grave de lo que parece, si además, ten- contraseña del mismo. Es más, ¿quién ga- seamos prácticos, aplicaciones maliciosas eran, como de hecho ha ocurrido.
emos en cuenta lo que dice la legislación. rantiza ahora que han firmado todos de y derivados del phishing puede haber mil Molaware para todos... Invito yo, y al que
Como yo lo veo, el usuario solamente se forma voluntaria dicho documento y esta- gracias al e-dni y el desconocimiento de los le toque la china, que se fastidie.
debería preocupar de que no ha entregado a ban presentes en el momento de la firma?. usuarios.
nadie su certificado con su contraseña, o que En ningún sitio se dice que introducir un La excusa para obrar de este modo tan
“Copyleft 2006 Fernando Acero Martín. Se permite
nadie tenga acceso a ello, es decir, que la certificado en un contenedor sea un peli- poco ortodoxo con el e-dni era que, si se la copia literal, la traducción y distribución de este
seguridad del sistema debería garantizar que gro para la seguridad, tan grave como para mantenían una contraseña para el contene- artículo completo en cualquier medio digital, siem-
si no es en esas condiciones nadie pudiera permitir que otro firme a nuestro nombre dor y otras distintas para cada certificado, los pre que se mantenga esta nota.”
36 Security&technology | NOVIEMBRE - DICIEMBRE 06

CISCO PIX FIREWALL

CISCO Pix Firewall es una más de las diferentes soluciones de
seguridad ofrecidas por Cisco Systems. A diferencia de otros
firewalls no necesita una plataforma donde ser instalado, sino
que incluye un sistema operativo empotrado denominado Finesse.
comandos.
Por Martín Rozenblum FIREWALL# ?

C
arp Change or view the arp table,
isco Pix Firewall es una más de las and set the arp timeout
diferentes soluciones de seguridad value
ofrecidas por Cisco Systems. A difer- auth-prompt Customize authentication
encia de otros firewalls no necesita challenge, reject or
una plataforma donde ser instalado, sino que acceptance prompt
incluye un sistema operativo empotrado de- configure Configure from terminal,
nominado Finesse. floppy, or memory, clear
configure
auth-prompt Customize authentication linkpath This command is deprecated.
ASA copy Copy image from TFTP
challenge, reject or See ipsec, isakmp, map, ca
El cortafuegos PIX utiliza un algoritmo de server into flash.
acceptance prompt commands
protección denominado Adaptive Security debug Debug packets or ICMP
aaa-server Define AAA Server group logging Enable logging facility
Algorithm (ASA). Dicho algoritmo se basa tracings through the PIX
Firewall. ca Create and enroll RSA key map Configure IPsec crypto map
en las siguientes definciones: pairs into a PKI (Public Key
Cualquier conexión cuyo origen tiene un disable Exit from privileged mode mtu Specify MTU(Maximum
Infrastructure). Transmission Unit) for an
nivel de seguridad mayor que el destino, es enable Modify enable password
clock Show and set the date and interface
permitida a amenos que se prohíba explíci- flashfs Show or destroy filesystem time of PIX name Associate a name with an
tamente mediante listas de acceso. information
conduit Add conduit access to higher IP address
Cualquier conexión que tiene como origen kill Terminate a telnet session security level network or nameif Assign a name to an
una interfaz red de menor seguridad que su pager Control page length for ICMP interface
destino es denegado, si no se permite ex- pagination crypto Configure IPsec, IKE, and CA names Enable, disable or display IP
plícitamente mediante listas de acceso. passwd Change Telnet console configure Configure from terminal, address to name conversion
access password floppy, or memory, clear nat Associate a network with a
Statefull inspection packets ping Test connectivity from configure pool of global IP addresses
Cuando a una interfaz del cortafuegos lle- specified interface to <ip> copy Copy image from TFTP server outbound Create an outbound access
ga un paquete proveniente de una red de into flash.
quit Disable, end configuration or list
menor nivel de seguridad que su destino, el logout debug Debug packets or ICMP pager Control page length for
firewall aplica ASA con el fin de verificar tracings through the PIX
reload Halt and reload system pagination
que se trata de un paquete válido. Firewall.
session Access an internal passwd Change Telnet console
En caso de que lo sea comprobara si del disable Exit from privileged mode
AccessPro router console access password
host origen se ha establecido una conexión domain-name Change domain name
terminal Set terminal line parameters ping Test connectivity from
con anterioridad; si no había una conexión
who Show active administration dynamic-map Specify a dynamic crypto specified interface to <ip>
previa, el firewall PIX crea una nueva en- map template
sessions on PIX quit Disable, end configuration or
trada en su tabla de estados de conexiones y
write Write config to net, flash, enable Modify enable password logout
traslaciones, identificando la conexión.
floppy, or terminal, or erase established Allow inbound connections radius-server Specify a RADIUS aaa server
flash based on established
La primera sesión con PIX Firewall reload Halt and reload system
FIREWALL# connections
La primera sesión deberá ser siempre por rip Broadcast default route or
failover Enable/disable PIX failover passive RIP
consola. feature to a standby PIX
Una vez dentro del dispositivo nos EL modo privilegiado nos da la posibilidad route Enter a static route for an
aparecerá el siguiente Prompt FIREWALL>, filter Enable, disable, or view URL, interface
de configurar parámetros en el dispositivo,
indicando que hemos entrado en modo no Java, and ActiveX filtering
pero antes debemos entrar en modo configu- session Access an internal
privilegiado. fixup Add or delete PIX service and
ración con el comando configure Terminal. AccessPro router console
Utilizando el comando `?’, nos mostrará feature defaults
la ayuda disponible en el modo no privile- snmp-server Provide SNMP and event
flashfs Show or destroy filesystem information
giado FIREWALL# config t information
FIREWALL(config)# sysopt Set system functional option
ipsec Configure IPSEC policy
FIREWALL> ? FIREWALL(config)# ? static Map a higher security level
isakmp Configure ISAKMP policy host address to global
enable Enter privileged mode or change aaa Enable, disable, or view
privileged mode password global Specify, delete or view global address
TACACS+ or RADIUS user address pools, or designate a
pager Control page length for pagination authentication, tacacs-server Specify a TACACS+ server
PAT address
quit Disable, end configuration or logout authorization and accounting telnet Add telnet access to PIX
hostname Change host name console and set idle timeout
FIREWALL> access-group Bind an access-list to an
interface to filter inbound traffic vpdn Configure VPDN (PPTP) terminal Set terminal line parameters
Policy
access-list Add an access-list tftp-server Specify default TFTP server
Al ejecutar el comando enable, el Firewall interface Identify network interface address and directory
age This command is type, speed duplex, and if
nos solicitará una contraseña, con la cual es-
deprecated. See ipsec, shutdown timeout Set the maximum idle times
taremos ingresando al modo privilegiado. isakmp,map, cacommands
ip Set ip address for specified url-cache Enable URL caching
alias Administer overlapping interface, define a local url-server Specify a URL filter serve
FIREWALL> enable addresses with dual NAT. address pool, or toggle
virtual Set address for
Password: ******************* apply Apply outbound lists to Unicast Reverse Path
authentication virtual
FIREWALL# source or destination IP Forwarding on an interface.
servers
addresses kill Terminate a telnet session
who Show active administration
arp Change or view the arp table, link This command is deprecated. sessions on PIX
A estar en modo privilegiado, el prompt and set the arp timeout See ipsec, isakmp, map, ca
cambia, permitiendo la ejecución de otros value commands
 Security&technology | NOVIEMBRE - DICIEMBRE 06 37

write Write config to net, flash, FIREWALL(config)# access-list ID acción protocolo dirección todos los cambios realizados en la memo-
floppy, or terminal, or erase Acceso entre interfaces origen puerto origen dirección destino ria flash del dispositivo. Con esto conclui-
flash
Para acceder a una interfaz de mayor segu- puerto destino mos nuestro artículo. Nos veremos en una
FIREWALL(config)# ridad a una menor se debe utilizar el co- Permitiendo que cualquier host , se próxima entrega.
mando nat y global , de forma inverse se conecte a través del puerto 21 a la IP
Interfaces del Firewall deberá usar el comando static. [Link] y acceso remoto al web Serv-
Cisco denomina a cada uno de sus inter- er. MÁS INFORMACIÓN
faces hardware de la forma ethernetN. nat (inside) 1 [Link] [Link] FIREWALL(config)# access-list ACLS1 permit Para mayor información sobre Cisco PIX
En modo configuración podemos asig- tcp any host [Link] eq 21 Firewall, la empresa Security Consultants
global (outside) 1 [Link]-
narles nombres y niveles de seguridad. Por [Link] FIREWALL(config)# access-list ACLS1 permit brindará un curso intensivo en el mes de
defecto la interfase eth0 recibe el nombre tcp any host WEB_SERVER eq 3389 Febrero:
netmask [Link]
outside, recibiendo como nivel de seguri-
dad 0. En cambio la interfase eth1 recibirá El comando nat determina que rango ip Con el comando name se puede mapear una CISCO PIX FIREWALL
el nombre inside teniendo el valor más y de que interfaz, será trasladado, y el co- ip con un host Actualización a Versión PIX Security
alto, o sea 100. El resto de las interfaces mando global se encargara de trasladarlo Appliance 7.0
deberá tener un nombre y niveles de segu- en la interfaz seleccionada. name [Link] WEB_SERVER
ridad distintos a los antes mencionados. Carga Horaria: 15 horas
Con el comando nameif , asignamos nom- Una vez realizadas las listas de acceso, es Días: Martes y Jueves
necesario decirle al firewall en que inter- Horario: 19 a 22 hs.
faz las va aplicar, dicha tarea la vamos a Comienzo: Jueves 8 de Febrero
«Cualquier conexión cuyo origen tiene un nivel de realizar con el comando access-group.

seguridad mayor que el destino, es permitida a FIREWALL(config)# access-group ACLS1 in inter-

Contenido del curso:
· Introducción a Firewalls
amenos que se prohíba explícitamente mediante face inside · Comandos básicos de configuración
· NAT y PAT
listas de acceso.» Para volver atrás es tan sencillo como ante-
poner el comando no en la lista de acceso
· Listas de Control de Acceso (ACLs)
· Protocolos avanzados e IDS
a eliminar. · VPN
bre y nivel de seguridad de la interfase. · Management del Sistema
static (inside,outside) [Link] [Link]
· Actualización a versión PIX Security
netmask [Link] FIREWALL(config)# show access-list ACLS1
FIREWALL(config)# nameif eth2 dmz security50 · Appliance 7.0
access-list ACLS1 permit tcp any host
FIREWALL(config)# [Link] eq 21 (hitcnt=0)
El comando static se encarga de mapear Puede obtenerse el temario desarrollado y
una dirección ip de menor nivel de seguri- access-list ACLS1 permit tcp any host WEB_
completo de la web:
SERVER eq 3389 (hitcnt=0)
Verificando la correcta asignacion de dad, con una de mayor. [Link]/[Link]
nombres y niveles de seguridad con el co- FIREWALL(config)# no access-list ACLS1 permit
tcp any host [Link] eq 21
mando show. Listas de control de acceso
Recuerden que el Firewall por default, per- FIREWALL(config)# show access-list ACLS1
Para mayor información, consultas
FIREWALL(config)# show nameif mite el trafico de una interfaz de mayor access-list ACLS1 permit tcp any host WEB_ e inscripciones:
seguridad a una menor. SERVER eq 3389 (hitcnt=0)
nameif ethernet0 outside security0 training@[Link]
Con el fin de permitir o denegar el trafico FIREWALL(config)# +54 11 4829-7032
nameif ethernet1 inside security100
entre interfaces utilizamos el comando ac-
nameif ethernet2 dmz security50 cess-list, cuya sintaxis es la siguiente: Con el comando write mem, grabaremos
38 Security&technology | NOVIEMBRE - DICIEMBRE 06

En estE artículo se mUESTRA

UTILIZANDO PRIMARY KEYS un trozo de código, aplicado

en el proyecto de término de

Optimizando el espacio en HD grado utilizando los siguientes

elementos: Linux Fedora Core
1, Apache, MySQL 3.0 y PHP.
misma reserva de espacio dentro de la BD. //iniciamos el recordset en la primera posición
Por Ricardo García Ahora presento el ejemplo utilizando una $rs = mysql_query($ssql,$conn);

L
tabla en la que solo reservaremos 6 espacios $id=hexdec(mysql_insert_id($connectid)
a mayoría de los motores de Base para el campo ID, y utilizaremos números +dechex(1)); $id=1;
de Datos (BD) en la actualidad consecutivos hexadecimales, por lo tanto } }
soportan un gran número de reg- si tengo 6 espacios el número hexadecimal La consecución de números hexadecimales
Else
istros por tabla, llegando a tener mayor alcanzado será FFFFFF, que es equiv- puede ser sustituida por otra nomenclatura
millones de los mismos, cabe recordar que alente en decimal a 16,777,215. Al llegar al { alfanumérica, logrando alcanzar un número
en la mayor parte de las tablas existe un número máximo de claves en hexadecimal $id=1; de registros aun mayor, utilizando el mismo
campo llamado ID, clave primaria, o super- tendríamos guardados en total 16,777,215 } espacio. Por ejemplo utilizando el abece-
clave. El propósito de este articulo se con- en la tabla. Otra forma que podríamos utilizar sería: dario 1,2,3…999999,1A,2A,3A…99999A…
centrara en la utilizando claves ID hexa- Por lo tanto los registros utilizarán menor 99999Z,1AA,2AA,3AA…9999AA,etc.
decimales, para alcanzar un mayor número espacio en nuestro disco duro y a su vez **************BEGIN CODE PHP************** O utilizando algún sistema, como podría
de registros reservando menos espacio en tendremos un mayor número de registros, $ssql = “SELECT * FROM tabla”; ser el vigesimal.
el campo mencionado. de tal manera que quizá lleguemos a utili- $rs = mysql_query($ssql,$conn);
El ejemplo que manejare será utilizando zar el mismo espacio, pero con un mayor
If (mysql_fetch_array($rs) !=0)
una sola tabla sobre MySQL, primeramente numero de registros. SOBRE EL AUTOR
supongamos que dentro de nuestra base {
//iniciamos el recordset en la primera posición
de datos existe una tabla de materiales, la **************BEGIN CODE PHP**************
Ricardo García
cual contiene un millón de registros, y el $rs = mysql_query($ssql,$conn) Oaxaca, México
ID es un numero consecutivo de tipo inte- $ssql=Consulta enviada al motor de BD. While ($row = mysql_fetch_array($rs))
ger, con una longitud de 7. { · Licenciado en Informática
$rs=recordset que almacena los registros que
El folio o clave primaria máxima que se devuelve la consulta. $id = dechex(hexdec($row[“idprimario”])+de · Miembro del Grupo de Usuarios de
podrá alcanzar será el digito “9999999”, chex(1));
$id=el Id consecutivo en hexadecimal. Software Libre de Oaxaca (GUSLO)
ya que el numero consecutivo seria 10 000
$ssql = “SELECT * FROM tabla” } [Link]
000 (diez millones), que ocupa 8 espacios,
y solo hemos reservado [Link] si utiliza- $rs = mysql_query($ssql,$conn) } · Actualmente estudiando M.C.E,
mos claves ID en formato hexadecimal, ten- If (mysql_fetch_array($rs) !=0) Else con tesis sobre MS-Enciclomedia
dremos un número mayor de claves con la { {

)4 3%#52)49 02/&%33)/.!,3

Anuncia su nueva version del curso de

CEH (CERTIFIED ETHICAL HACKER) V.5
Disponible a partir de Marzo 2007

Course Outline Version 5 Module 11: Hacking Web Servers Module 21: Cryptography
Module 1: Introduction to Ethical Hacking Module 12: Web Application Vulnerabilities Module 22: Penetration Testing
Module 2: Footprinting Module 13: Web-based Password Cracking
Module 3: Scanning Techniques SELF-STUDY MODULES:
Module 4: Enumeration Module 14: SQL Injection Covert Hacking
Module 5: System Hacking Module 15: Hacking Wireless Networks Writing Virus Codes
Module 6: Trojans and Backdoors Module 16: Virus and Worms Assembly Language Tutorial
Module 7: Sniffers Module 17: Physical Security Exploit Writing
Module 8: Denial of Service Module 18: Linux Hacking Smashing the Stack for Fun and Profit
Module 9: Social Engineering Module 19: Evading IDS, Firewalls, and Honeypots Windows Based Buffer Overflow Exploit Writing
Module 10: Session Hijacking Module 20: Buffer Overflows Reverse Engineering
 $IFERENCIATE

#APACITATE CON LOS MEJORES PROFESIONALES DE 3EGURIDAD DE LA )NFORMACIØN

.UESTROS PROFESIONALES CUENTAN CON LAS SIGUIENTES CERTIFICACIONES
#)330 #%( ##30 ##.0 -#3% ).&/3%# ##.! #.! )3%#/- /)33' .30 -#0 ,0)# ENTRE OTRAS

CALENDARIO DE SECURITY TRAINING ENERO / FEBRERO [Link]/straining

SC-00S28 GNU / LINUX. Operador - Administrador SC-00S10 Cisco PIX Firewall

Carga Horaria: 21 horas · Días: Lunes, Miércoles y Viernes · Horario: 19 a 22 hs. Carga Horaria: 15 horas · Días: Martes y Jueves · Horario: 19 a 22 hs.
Comienzo: Lunes 22 de Enero Comienzo: Jueves 8 de Febrero

SC-00S8 Curso Ethical Hacking Workshop Hacking and Defending Oracle Database Server
Carga Horaria: 15 horas · Días: Martes y Jueves · Horario: 19 a 22 hs. Carga horaria: 9 horas. Día: Sábado 16 de Febrero · Horario: 9 a 18 hs.
Comienzo: Martes 23 de Enero
Workshop Configuración, Seguridad y Hacking Wireless
Workshop Ethical Hacking Carga horaria: 9 horas. Día: Sábado 24 de Febrero · Horario: 9 a 18 hs.
Carga Horaria: 9 horas · Día: Sábado 27 de Enero · Horario: 9 a 18 hs.
SC-00S43 Curso Security & Defense
SC-OOS17 Configuración, Seguridad y Hacking Wireless Carga Horaria: 12 horas · Días: Lunes, Miércoles y Viernes · Horario: 19 a 22 hs.
Carga Horaria: 12 horas · Días: Lunes, Miércoles y Viernes · Horario: 19 a 22 hs. Comienzo: Lunes 26 de Febrero
Comienzo: Miércoles 7 de Febrero

Todos los Security Trainings pueden ser dictados a distancia, in company o en

forma personalizada, asimismo en el interior y exterior del país.
Temarios desarrollados en [Link]/straining
)4 3%#52)49 02/&%33)/.!,3 Más información e inscripciones: training@[Link] · +54 11 4829-7032
 En un mundo donde los ataques informáticos
son cada día más sofisticados,

Contar con expertos en Seguridad de la

Información es la única solución.

)4 3%#52)49 02/&%33)/.!,3

Seriedad y respaldo en Seguridad de la Información

Hoy las empresas necesitan proteger sus activos digitales críticos debiendo estar alerta en forma constante.
Asegurar una empresa requiere una actitud proactiva y una vigilancia continua. Quienes realicen dicha tarea
debe ser la gente correcta con el expertise correcto. Sólo aquellos que tengan el conocimiento apropiado
para poder construir las defensas no serán víctimas de las amenazas externas e internas.
En Security Consultants combinamos diferentes aspectos para que las organizaciones puedan incluir
nuestros recursos. Somos líderes en servicios de Consultoría de Seguridad e Inteligencia Informática,
brindamos respuesta a la necesidad de resguardar los activos de información.
Partners
Reseller