Hackers 3 en Windows Secretos y Soluciones de Seguridad en Windows

resulte valioso. Hay pocos lugares donde se puede echar un vistazo completo al paisaje de la seguridad en que vive Windows. Joel y sus colaboradores han hecho un extraordinario trabajo para documentar los avan-ces más recientes en amenazas, incluidos desbordamientos de búfer, rootkits y creación de secuencias de comandos de sitio cruzado, además de tecnologías defensivas, como no ejecutables, control de cuentas de usuario de Vista y aleatorización en el diseño del espacio de direcciones. Si la comprensión de seguridad en Windows se encuentra en algún lugar de su descripción de trabajo, le recomiendo que lea este libro y que lo mantenga como referencia para su batalla constante”.

—Mark Russinovich, colaborador técnico, Microsoft Corporation “Los autores y colaboradores de Hackers en Windows han tomado una vez más sus experiencias únicas y han dado forma a una lectura obligatoria para los profesionales de seguridad y para aventureros de tecnología por igual. De principio a fin, Hackers en Windows, tercera edición, elimina la ambigüedad al describir herra-mientas y técnicas del moderno ciberbribón, dando armas al lector al eliminar este misterio. Los autores pa-san a entregar el “platillo secreto” en la receta de la ciberseguridad y son especialistas en Infosecretos”.

—Greg Wood, CISO, Washington Mutual “El paisaje de las amenazas a la seguridad ha experimentado cambios revolucionarios desde la primera edi-ción de Hackers en Windows. La tecnología para explotar sistemas ha evolucionado de manera considerable porque ahora se ha vuelto más disponible, lo que intensifica el riesgo de compromiso en este mundo que cada vez se encuentra más en línea. Hackers en Windows sigue siendo la autoridad en el tema, al proporcionar los conocimientos y la guía práctica que administradores de sistemas Windows y profesionales de seguridad necesitan para estar bien equipados ahora y para el viaje que han emprendido”.

—Peter Boden, administrador general, Seguridad de servicios en línea, Microsoft “El amigo venerable de Microsoft Windows cubre millones de líneas de código compiladas en un sistema complejo, a menudo responsable de entregar servicios vitales a sus clientes. A pesar de las mejores intencio-nes de sus creadores, todas las versiointencio-nes de Windows seguirán siendo vulnerables a ataques en la capa de aplicaciones, en el kernel, desde la red, y todo lo que queda en medio. Joel Scambray y sus colaboradores proporcionan un catálogo muy completo de amenazas y contramedidas para Windows en una guía inmen-samente legible. Si Windows es el vehículo de cómputo que debe asegurar, Hackers en Windows es su licencia de manejo.”

—Jim Reavis, anterior director ejecutivo, Information Systems Security Association “La seguridad en la computación está cambiando con Windows Vista y los hackers se han visto obligados a aprender nuevos métodos de ataque. Por fortuna, usted tiene este libro”.

—Brad Albretch, administrador de programas de seguridad, Microsoft “A medida que Microsoft sigue mejorando sus sistemas operativos, Hackers en Windows, tercera edición sigue estando a la cabeza de la industria, ayudando a lectores a comprender amenazas reales al entorno de Win-dows y enseñando cómo defenderse de esas amenazas. Cualquier persona que quiera ejecutar WinWin-dows de manera segura, necesita una copia de este libro al lado de su PC.”

xxvi

_{Hackers en Windows}

Otras ayudas visuales

También usamos un uso prolífico de los iconos mejorados visualmente

Para destacar aquellos pequeños detalles que suelen pasarse por alto.

RECURSOS Y HERRAMIENTAS EN LÍNEA

La seguridad en Windows es una disciplina que está cambiando rápidamente y reconocemos que la palabra impresa a menudo no es el medio más adecuado para mantenerse al día con todos los nuevos acontecimientos en esta área de investigación.

Por tanto, hemos implementado un sitio en la Red (en inglés) que da seguimiento a nueva información relevante sobre temas analizados en este libro, junto con erratas y una compilación de las herramientas de dominio público, secuencias de comandos y diccionarios que hemos cu-bierto en todo el libro. La dirección de ese sitio es:

http://www.winhackingexposed.com

También proporciona un foro para hablar directamente con el principal autor mediante co-rreo electrónico:

[email protected]

Esperamos que visite el sitio con frecuencia mientras recorre los capítulos para ver cualquier material actualizado, obtener fácil acceso a las herramientas que mencionamos y mantenerse ac-tualizado en el siempre cambiante rostro de la seguridad en Windows. De otra manera, nunca sabrá cuáles nuevos desarrollos pueden poner en peligro su red antes de que se pueda defender de ellos.

UNA PALABRA FINAL A NUESTROS LECTORES

Hay mucho trabajo hecho por las noches y muchos teclados desgastados en este libro, sincera-mente esperamos que toda nuestra investigación y nuestros textos se traduzcan en una importan-te ahorro de tiempo para quienes son responsables de la seguridad en Windows. Consideramos que hemos tomado una decisión valiente y que nos hemos anticipado para desplegar el sistema operativo insignia de Microsoft (pero como descubrirá en estas páginas, su trabajo sólo empieza en el momento en que rompe la envoltura). No se alarme: empiece a recorrer las páginas y sién-tase seguro de que cuando la siguiente calamidad en la seguridad de Windows llegue a las pri-meras planas, usted ni siquiera parpadeará.

–Joel

Sugerencia

NOTA

HACKERS

EN WINDOWS

JOEL SCAMBRAY

STUART McCLURE

TERCERA EDICIÓN

MÉXICO • BOGOTÁ • BUENOS AIRES • CARACAS • GUATEMALA • LISBOA MADRID • NUEVA YORK • SAN JUAN • SANTIAGO

AUCKLAND • LONDRES • MILÁN • MONTREAL • NUEVA DELHI SAN FRANCISCO • SINGAPUR • ST.LOUIS • SYDNEY • TORONTO

SECRETOS Y SOLUCIONES

DE SEGURIDAD EN WINDOWS

Traducción:

Eloy Píneda Rojas

Supervisora de producción: Jacqueline Brieño Álvarez Formación: Braulio Morales Sánchez

Hackers en Windows. Secretos y soluciones de seguridad en Windows Tercera edición

Prohibida la reproducción total o parcial de esta obra, por cualquier medio, sin la autorización escrita del editor.

DERECHOS RESERVADOS © 2009 respecto a la primera edición en español por McGRAW-HILL INTERAMERICANA EDITORES, S.A. DE C.V.

A Subsidiary of The McGraw-Hill Companies, Inc. Corporativo Punta Santa Fe

Prolongación Paseo de la Reforma 1015 Torre A Piso 17, Colonia Desarrollo Santa Fe,

Delegación Álvaro Obregón C.P. 01376, México, D. F.

Miembro de la Cámara Nacional de la Industria Editorial Mexicana, Reg. Núm. 736

ISBN 13: 978-970-10-6755-0 ISBN 10: 970-10-6755-X

Translated from the 3th English edition of

Hacking Exposed Windows: MS Windows Security Secrets & Solutions By: Joel Scambray and Stuart McClure

Copyright © 2008 by The McGraw-Hill Companies Inc.. All rights reserved. ISBN: 978-0-07-149426-7

3456789012 8765432109

ACERCA DE LOS AUTORES

Joel Scambray

Joel Scambray es director de Estrategia en Leviathan Security Group, empresa de asesoría en se-guridad de la información ubicada en Seattle y Denver. Como miembro del consejo de adminis-tración y del equipo de ejecutivos de Leviathan, Joel guía la evolución y ejecución del negocio y la estrategia técnica de Leviathan.

Antes de Leviathan, Joel fue director en Microsoft Corporation, donde dirigió los esfuerzos de seguridad de los servicios en línea de Microsoft durante tres años, antes de unirse a la divi-sión de la plataforma y los servicios de Windows, para concentrarse en la arquitectura de la tec-nología de la seguridad fue cofundador de la firma de software y servicios de seguridad Foundstone Inc. y ayudó a llevarla a su adquisición por parte de McAfee por 86 millones de dó-lares. Antes tuvo puestos como gerente para Ernst & Young, columnista de seguridad en Micro-soft TechNet, editor de InfoWorld Magazine y director de tecnología de la información de una importante firma comercial de bienes raíces.

Los escritos de Joel se basan principalmente en su experiencia en el desarrollo de tecnología de seguridad, la seguridad de operaciones de tecnología de la información y la consultoría. Es autor de Hackers 4 de McGraw-Hill Educación. Ha trabajado con algunas de las empresas más grandes del mundo hasta pequeñas empresas que apenas inician. Ha dictado conferencias sobre seguridad de la información en foros que incluyen Black Hat, I-4 y The Asia Europe Meeting (ASEM), además de organizaciones que incluyen CERT, The Computer Security Institute (CSI) ISSA, ISACA, SANS, corporaciones privadas y agencias gubernamentales, como la Korean In-formation Security Agency (KISA), FBI y RCMP.

Joel tiene una licenciatura en ciencias de la Universidad de California en Davis, una maestría por la UCLA y es profesional certificado de seguridad de sistemas de información (CISSP, Certi-fied Information Systems Security Professional).

Stuart McClure

Stuart McClure es consultor independiente de seguridad computacional del sur de California. Antes de regresar a dirigir su propia empresa consultora, Stuart fue vicepresidente de seguridad de Amenazas e investigación mundial para McAfee, donde dirigió a un equipo de élite de segu-ridad mundial que combatió los más peligrosos ciberataques jamás vistos. McAfee compró Foundstone (empresa líder global en administración de riesgo empresarial) en 2004, de la cual Stuart fue fundador, presidente y director de Tecnología. Foundstone dio servicio a empresas grandes, incluidas agencias del gobierno de Estados Unidos y clientes de las 500 empresas más importantes, de acuerdo con la revista Fortune, para administrar y mitigar de manera continua y medible riesgos para proteger sus activos digitales más importantes y la información privada de los clientes ante amenazas críticas.

Ampliamente reconocido por su extenso y profundo conocimiento de productos de seguri-dad, Stuart es considerado una de las autoridades líderes de la industria en seguridad de la in-formación. Visionario reconocido de la seguridad, Stuart llevó casi 20 años de tecnología y liderazgo ejecutivo a Foundstone con profunda experiencia técnica, operativa y financiera.

20 idiomas y ha sido clasificado como el cuarto libro más vendido sobre computación, colocán-dolo como uno de los libros sobre seguridad y computación mejor vendidos en la historia. Stuart es coautor de Hackers 4 de McGraw-Hill Educación.

Antes de Foundstone, Stuart tuvo muchos puestos administrativos en seguridad y tecnolo-gía de la información, incluidos puestos en el equipo de perfilado de seguridad nacional de Ernst & Young, el InfoWorld Test Center, el gobierno estatal de California y otras administracio-nes locales, consultoría en tecnología de la información y con la Universidad de Colorado, Boul-der, de donde Stuart tiene una licenciatura en psicología y filosofía, con énfasis en aplicaciones en las ciencias computacionales. Ha obtenido numerosos certificados, incluidos CISSP de ISC2, CNE de Novell y CCSE de CheckPoint.

ACERCA DE LOS COLABORADORES

Chip Andrews (CISSP, MCDBA) es la cabeza de Research and Development for Special Ops Se-curity. Chip es fundador del sitio Web SQLSeSe-curity.com, que se concentra en temas y problemas de seguridad de Microsoft SQL Server. Tiene más de 16 años de experiencia en el desarrollo de software seguro, ayudando a clientes a diseñar, desarrollar, desplegar y mantener software con-fiable y seguro. Chip ha sido autor y colaborador de varios libros, incluidos SQL Server Security

y Hacking Exposed: Windows Server 2003. También es autor de artículos que se concentran en

pro-blemas de seguridad y desarrollo de software en SQL Server para revistas como Microsoft

Certi-fied Professional Magazine, SQL Server Magazine y Dr. Dobb’s Journal. Es un orador importante en

conferencias de seguridad como Black Hat Briefings.

Blake Frantz tiene más de diez años de experiencia profesional en seguridad de la información, con amplios antecedentes que van de investigación de seguridad en software a desarrollo de po-líticas empresariales. Actualmente es consultor importante para el Leviathan Security Group, donde se especializa en pruebas de penetración y revisiones de código fuente. Antes de Le-viathan, Blake era ingeniero de seguridad dentro de los equipos de seguridad de la infraestruc-tura y aseguramiento de la seguridad de Washington Mutual, donde ha sido responsable de conducir evaluación de vulnerabilidades de sistemas financieros críticos.

Robert Hensing, veterano de nueve años en Microsoft, es ingeniero en seguridad del software del equipo de la iniciativa de Windows seguro. Robert trabaja de cerca con el Centro de Respues-ta de Seguridad de Microsoft, con la misión de identificar mitigaciones y rodeos para vulnerabi-lidades de productos que pueden documentarse en advertencias y boletines para ayudar a pro-teger a los clientes de Microsoft. Antes de unirse al equipo de la iniciativa de Windows seguro, Robert fue miembro experimentado del equipo de seguridad de servicios de soporte a produc-tos, donde ayudó a los clientes en investigaciones relacionadas con respuestas a incidentes.

El Toolcrypt Group (www.toolcrypt.org) es una asociación de consultores profesionales en se-guridad reconocidos internacionalmente y que tienen gran cantidad de contratos en Europa y Estados Unidos. Su trabajo ha ayudado a mejorar la seguridad de agencias gubernamentales, multinacionales, instituciones financieras, plantas nucleares y proveedores de servicios de todos los tamaños en muchos países diferentes. Son oradores invitados en gran cantidad de conferen-cias y foros de la industria, incluida BlueHat de Microsoft y T2 en Finlandia. Investigación continua y desarrollo de herramientas de Toolcrypt sigue ayudando a los profesionales respon-sables de la seguridad a mejorar mundialmente la seguridad de redes y equipos.

Dave Wong dirige el Centro de Seguridad Avanzada de Ernst & Young, en Nueva York, donde encabeza un equipo de profesionales de prueba de ataques dirigidos y penetración. Dave tiene más de diez años de experiencia en esta área y ha dirigido y realizado cientos de evaluaciones para servicios financieros, gobierno y clientes de empresas que se encuentran entre las 500 más importantes, de acuerdo con la revista Fortune. Antes de unirse a Ernst & Young, obtuvo una amplia serie de experiencias relacionadas con la seguridad de la información y antes trabajó en Lucent’s Bell Laboratories, Foundstone y Morgan Stanley. Dave ha dictado varios cursos de hac-keo y código seguro para el público y clientes corporativos. Ha dado cursos en las conferencias de seguridad de Black Hat en Estados Unidos y Asia, y ha hablado en las reuniones OWASP. Dave también es profesional certificado de seguridad de sistemas de información (CISSP, Certi-fied Information Systems Security Professional).

ACERCA DE LOS REVISORES TÉCNICOS

Aaron Turner es estratega de ciberseguridad para el Idaho National Laboratory (INL). En este papel, aplica su experiencia en seguridad de la información para colaborar con expertos en sis-temas de control, ingenieros de la industria, oficiales de seguridad nacional para desarrollar so-luciones ante las ciberamenazas que está enfrentando en la actualidad la infraestructura crítica. Antes de unirse a INL, trabajó en varias divisiones de seguridad de Microsoft durante siete años (como estratega de seguridad experimentado dentro de la Unidad de Tecnología de la Seguri-dad, además de gerente de Respuesta rápida de seguridad en el grupo de ventas, mercadotecnia y servicios de Microsoft donde dirigió el desarrollo del curso de seguridad de la información en Microsoft para más de 22 000 empleados de campo de Microsoft). Antes de concentrarse en el desafío de la respuesta rápida de seguridad global de Microsoft, manejó la respuesta de los ser-vicios de Microsoft para las necesidades empresariales durante las secuelas del gusano Blaster. Ha practicado la seguridad de la información desde 1994, diseñando soluciones de seguridad y respondiendo a incidentes en más de 20 países de todo el mundo.

Lee Yan (CISSP, PhD) es ingeniero en escalamiento de seguridad en el grupo de seguridad PSS de Microsoft, que proporciona respuesta de seguridad, productos de seguridad y soporte de tec-nología en todo el mundo para clientes de Microsoft. Ha estado con Microsoft durante más de diez años. Antes de unirse al equipo de seguridad hace unos cinco años, era ingeniero de esca-lamiento en soporte al desarrollador para Visual Studio. Es autor de algunas de las respuestas a incidentes y de herramientas de detección de rootkits para su equipo. Es doctor en Explotación pesquera por la Universidad de Washington y descubrió por accidente que disfruta el trabajo con los equipos de cómputo.

ix

CONTENIDO BREVE

▼ 1 Fundamentos de seguridad relacionada con información ... 1

▼ 2 La arquitectura de seguridad de Windows desde la perspectiva del hacker ... 15

▼ 3 Recolección de información y rastreo ... 53

▼ 4 Enumeración... 73

▼ 5 Hackeo de servicios específicos de Windows ... 115

▼ 6 Descubrimiento y explotación de vulnerabilidades de Windows ... 165

▼ 7 Saqueo después de la explotación ... 185

▼ 8 Cómo pasar inadvertido y mantener presencia ... 225

▼ 9 Hackeo de SQL server ... 273

▼ 10 Hackeo de aplicaciones cliente de microsoft ... 317

▼ 11 Ataques físicos ... 345

▼ 12 Características y herramientas de seguridad de Windows ... 367

▼ A Lista de verificación de la seguridad de Windows ... 405

▼ B Acerca del sitio web del libro en inglés ... 421

xi

CONTENIDO

Prólogo ...xvii

Agradecimientos ... xix

Introducción ... xxi

▼ 1 Fundamentos de seguridad relacionada con información ... 1

Un marco conceptual para la seguridad de las operaciones ... 2

Plan ... 3

Prevención ... 8

Detección ... 8

Respuesta ... 9

Pulimento y repetición... 9

Principios básicos de seguridad ... 10

Resumen ... 13

Referencias y lecturas adicionales ... 14

▼ 2 La arquitectura de seguridad de Windows desde la perspectiva del hacker ...15

Introducción ... 16

Ataque al kernel ... 17

Ataque del modo de usuario ... 18

Revisión general del control de acceso ... 19

Directivas de seguridad ... 19

SID ... 20

¿Por qué no puede iniciar en todos lados una sesión como administrador? ... 20

Usuarios ... 22

Grupos... 25

Equipos (cuentas de máquina) ... 28

Derechos de usuario ... 30

Integración de todas las piezas: control de acceso ... 31

La ficha ... 32

Autentificación de red ... 36

SAM y Active Directory ... 39

Bosques, árboles y dominios ... 41

Alcance: local, global y universal ... 42

Confianzas ... 43

Auditoría ... 46

Criptografía ... 47

El .NET framework ... 48

Resumen ... 50

Referencias y lecturas adicionales ... 51

▼ 3 Recolección de información y rastreo ...53

Recolección de información ... 54

Rastreo ... 60

Palabras finales sobre recopilación de información y rastreo ... 69

Resumen ... 70

Referencias y lecturas adicionales ... 70

▼ 4 Enumeración ...73

Preludio: revisión de los resultados del rastreo ... 74

Nombres de NetBIOS en comparación con direcciones IP ... 74

Enumeración del servicio de nombres de NetBIOS ... 77

Enumeración de RPC ... 82

Enumeración de SMB ... 84

Enumeración de DNS de Windows ... 101

Enumeración de SNMP ... 103

Enumeración de Active Directory... 107

Herramientas de enumeración todo en uno ...111

Resumen ...112

Referencias y lecturas adicionales ...113

▼ 5 Hackeo de servicios específicos de Windows ... 115

Adivinación de contraseñas ...117

Cierre para el destino de sesiones SMB existentes ...117

Revisión de resultados de enumeración ...118

Evite bloqueos de cuentas ...119

La importancia de las cuentas Administrador y de servicios ... 121

Espionaje sobre la autentificación de Windows ... 137

Subversión de la autentificación de Windows ... 148

Explotación de servicios exclusivos de Windows ... 156

Resumen ... 161

Referencias y lecturas adicionales ... 162

▼ 6 Descubrimiento y explotación de vulnerabilidades de Windows ... 165

Vulnerabilidades de seguridad ... 166

Búsqueda de vulnerabilidades de seguridad ... 166

Trabajo de preparación ... 167

Explotación de ANI ... 181

Resumen ... 184

Contenido

xiii

▼ 7 Saqueo después de la explotación ... 185

Transferencia del kit de herramientasdel atacante para mayor dominio ... 186

Control interactivo remoto ... 191

Extracción de contraseñas ... 201

Introducción al uso de credenciales de aplicación y la DPAPI ... 205

Descubrimiento de contraseñas ... 210

Descubrimiento de hashes de LM ... 210

Descubrimiento de hashes de NT ... 214

Enjuagar y volver a hacerlo ... 220

Resumen ... 220

Referencias y lecturas adicionales ... 221

▼ 8 Cómo pasar inadvertido y mantener presencia ... 225

El surgimiento de los rootkits ... 226

Rootkits de Windows ... 227

El entorno cambiante de la amenaza ... 229

Cómo pasar inadvertido: técnicas modernas ... 235

Funcionamiento interno de Windows ... 235

DKOM ... 240

Shadow Walker ... 245

Software antivirus en oposición a rootkits ... 246

Windows vista en oposición a los rootkits ... 247

Protección de parche de kernel (KPP): Patchguard ... 247

Control de cuentas de usuario: está a punto de ser atacado, ¿cancelar o permitir? ... 248

Inicio seguro ... 250

Otras mejoras de seguridad ... 251

Resumen de Vista en oposición a los rootkits ... 251

Herramientas y técnicas de detección de rootkits ... 252

El ascenso de las herramientas de detección de rootkits ... 252

Detección de rootkits basada en vista cruzada ... 253

Tecnologías de detección de rootkits ad hoc ... 254

El futuro de los rootkits ... 262

¿Los rootkits son siquiera necesarios? ... 262

Resumen ... 268

Referencias y lecturas adicionales ... 269

▼ 9 Hackeo de sql server ... 273

Estudio de caso: penetración de un SQL server... 274

Conceptos de seguridad de SQL server ... 277

Bibliotecas de red ... 277 Modos de seguridad ... 278 Inicios de sesión ... 278 Usuarios ... 279 Funciones ... 279 Registro ... 279 Cambios en SQL server 2005 ... 280

Hackeo de SQL server ... 281

Recopilación de información en SQL server ... 282

Herramientas y técnicas de hackeo en SQL server ... 286

Utilerías básicas de consulta SQL ... 286

Herramientas avanzadas para hackear SQL ... 287

Estrategias defensivas fundamentales ... 306

Mejores prácticas adicionales para la seguridad de SQL server ... 309

Resumen ... 315

Referencias y lecturas adicionales ... 316

▼ 10 Hackeo de aplicaciones cliente de microsoft ... 317

Explotaciones ... 319

Trucos ... 328

Contramedidas generales... 335

Zonas de seguridad de IE ... 335

Exploración con bajos privilegios ... 339

Resumen ... 340

Referencias y lecturas adicionales ... 340

▼ 11 Ataques físicos ... 345

Ataques fuera de línea ... 346

Implicaciones para EFS ... 349

Ataques en línea ... 354

Ataques a dispositivos / medios / conexiones de red ... 359

Resumen ... 363

Referencias y lecturas adicionales ... 364

▼ 12 Características y herramientas de seguridad de Windows ... 367

Cifrado de unidad BitLocker ... 368

Configuraciones de BitLocker ... 369

Bitlocker con TPM ... 370

Control de integridad de Windows ... 372

Administración de niveles de integridad ... 374

Control de cuentas de usuario ... 375

Fichas y procesos ... 375

Eliminación de privilegios administrativos ... 376

Endurecimiento de los servicios de Windows ... 377

Aislamiento de los recursos del servicio ... 377

Servicios con la menor cantidad de privilegios ... 380

Refactorización del servicio ... 385

Acceso restringido a red ... 386

Aislamiento de la sesión 0 ... 386

Su compilador puede salvarlo ... 387

Revisión general de los sobreflujos ... 387

Cookies de GS ... 388

Contenido

xv

Explotaciones de sobreescritura de SEH ... 393

Aleatorización del diseño del espacio de direcciones ... 398

Protección de recursos de windows ... 399

Resumen ... 402

Referencias y lecturas adicionales ... 402

▼ A Lista de verificación de la seguridad de Windows ... 405

Advertencia de suspensión: funciones y responsabilidades ... 406

Consideraciones de preinstalación ... 406

Endurecimiento básico de Windows ... 407

Recomendaciones para los casos en que no se usan plantillas ... 407

Recomendaciones relacionadas con plantillas de seguridad ... 409

Firewall de Windows e IPSsec ...411

Directiva de grupo ... 412

Configuraciones diversas ... 412

SNMP ... 413

Consideraciones de seguridad de aplicaciones web ... 413

Consideraciones relacionadas con la seguridad de SQL server ... 414

Consideraciones relacionadas con la seguridad de terminal server ... 416

Consideraciones relacionadas con la negación del servicio ... 417

Seguridad del cliente de internet ... 418

Audítese usted mismo ... 420

▼ B Acerca del sitio web del libro en inglés ... 421

xvii

PRÓLOGO

L

a seguridad es un tema amplio y crece a medida que nos volvemos más dependientes de

los equipos de cómputo para todo lo que hacemos, desde el trabajo en casa hasta los ratos de ocio; y nuestros equipos se interconectan cada vez más. La mayor parte de nuestras experiencias en computación ahora necesitan conexiones de Internet, o son enriquecidas por éste, lo que significa que nuestros sistemas están constantemente expuestos a datos externos de integridad desconocida o incierta. Cuando hace clic en vínculos de búsqueda, descarga aplica-ciones o configura servidores que dan a Internet, cada línea de código a través de la que fluyen datos está sujeta a una tormenta de prueba en busca de configuraciones vulnerables, lógica falli-da de programación e implementaciones erróneas (aún dentro de los confines de una red corpo-rativa). Sus datos y recursos de cómputo valen dinero en la economía Web 2.0, y donde hay di-nero, hay gente que lo quiere robar.

A medida que la Web ha evolucionado, también hemos visto evolucionar a los delincuentes. Hace diez años, la amenaza era un virus de macro insertado en correo electrónico que eliminaba sus datos. Hace cinco años, era la propagación automática de gusanos que usaban sobreflujos de búfer para incluir equipos en redes de ataque distribuidas de negación de servicio. Hace tres años, la amenaza prevalente se volvió el malware que se extiende a su equipo cuando visita si-tios Web infectados y que subsecuentemente envía ventanas emergentes y le propone anti-malware falso. Recientemente, el anti-malware usa todas estas técnicas de propagación para dispersar en una red distribuida “elementos de arranque” de propósito general que sirven sus datos, rea-lizan negación de servicio o distribuyen correo basura. El futuro es de malware orientado que deliberadamente es de bajo volumen y está personalizado para clases de usuarios, corporacio-nes específicas o incluso un solo individuo.

También hemos visto evolucionar la seguridad de los equipos de cómputo. Los antivirus es-tán por todos lados, desde los enrutadores en los extremos hasta los servidores, los clientes y, pronto, los dispositivos móviles. Las firewalls son igualmente ubicuas y bloquean la entrada no usada y las vías de salida. Los sistemas operativos y las aplicaciones están escritas con la seguri-dad presente y están endurecidos con medidas de defensa a profundiseguri-dad como no ejecución y aleatorización de diseño de direcciones. Los usuarios no pueden acceder a redes corporativas sin pasar evaluaciones de salud.

Una cosa es clara: no hay declaración de victoria posible en esta batalla. Es una lucha cons-tante donde ganan los medios que mantienen a los delincuentes a la espera otro día. Y tampoco hay una clara estrategia para el éxito. La seguridad en la práctica requiere evaluación de riesgo y la evaluación exitosa de riesgo requiere una comprensión profunda de las amenazas y las tec-nologías defensivas.

Es esta capacidad de ayudar a realizar evaluación acertada de riesgo lo que hace valioso a

Hackers en Windows. Hay pocos lugares donde puede echar una sola mirada al panorama de la

seguridad en que vive Windows. Joel y sus colaboradores han hecho un extraordinario trabajo de documentar los últimos avances en amenazas, incluidas sobreflujos de búfer, rootkits y crea-ción de secuencias de comandos de sitio cruzado, además de tecnologías defensivas como no ejecutables, el Control de cuentas de usuario de Vista y la aleatorización del diseño del espacio de direcciones. Si se comprende que la seguridad de Windows está en cualquier lugar de su tra-bajo, le recomiendo que lea este libro de principio a fin y lo mantenga como una referencia para su batalla constante.

–Mark Russinovich Colaborador técnico, Microsoft Corporation

xix

A

ntes que nada, muchas gracias a todos nuestros familiares por apoyarnos una vez más a

través de más meses de investigación y escritura exigentes. Su comprensión y apoyo fue crucial para completar este libro. Esperamos que podamos compensar el tiempo que les quitamos para completar este proyecto.

En segundo lugar, nos gustaría dar las gracias a todos nuestros colegas que contribuyeron directamente con este libro, incluidos Jussi Jaakonaho y todos en Toolcrypt por sus siempre in-novadoras actualizaciones a los capítulos sobre hackeo remoto de Windows y saqueo posterior a la explotación. A Robert Hensing de Microsoft por su capítulo muy completo sobre rootkits de Windows y técnicas para pasar inadvertidos; a Blake Frantz de Leviathan por su aguda explora-ción técnica del descubrimiento y la explotaexplora-ción de vulnerabilidades en Windows, además de las nuevas características de seguridad y herramientas en Vista y Windows Server 2008; a Chip Andrews, cuya contribución de la información sobre lo último y mejor en seguridad de SQL fue simplemente estelar, como siempre; a David Wong por su ayuda con la seguridad del cliente; y, por supuesto, a Mark Russinovich, cuyo prólogo y los muchos años de contribuciones a la in-dustria vía herramientas, investigación y escritura son apreciados más allá de las palabras.

Como siempre, nos inclinamos profundamente ante todos los individuos que investigan y escriben de manera incansable las innumerables herramientas el código de prueba de concepto que documentamos en este libro, además de todas las personas que siguen contribuyendo anó-nimamente con la base colectiva de código de seguridad de manera cotidiana.

Por supuesto, debemos dar las gracias a los incansables editores y al equipo de producción de McGraw-Hill que trabajaron en el libro, incluidos nuestra infatigable editora de adquisicio-nes Jane Brownlow, la editora de adquisicioadquisicio-nes Megg Morin quien proporcionó una estupenda guía mientras Jane estuvo ausente, la editora del salón de la fama de Hacking Exposed LeeAnn Pickrell, el gurú de producción Jim Kussow y la asistente editorial Jenni Housh, quien mantuvo las cosas en el camino por un largo periodo, durante la escritura y la edición.

Y, por último, un enorme “Gracias” a todos los lectores de las ediciones previas de este libro y todos los libros en la serie Hackers, cuyo soporte continuo hace que todo el duro trabajo valga la pena.

xxi

INTRODUCCIÓN

SEGURIDAD EN WINDOWS: UN VIAJE, NO UN DESTINO

Si va a creerle al gobierno de Estados Unidos, Microsoft Corporation controla un monopolio del mercado de los sistemas operativos para computadoras y posiblemente también muchos otros mercados de software relacionados (exploradores Web, software de productividad de oficina, etcétera). Y a pesar de los continuos esfuerzos de sus adversarios en los medios y el mercado, Microsoft se las ingenia para mantener su “monopolio” año tras año, volando en el frente de una historia prolongada de esfuerzos inútiles en tecnología de la información enterrados bajo la car-nicería inmisericorde del cambio y la creciente volatilidad del consumidor digital. Los ame, los odie, o ambas cosas, Microsoft sigue produciendo parte del software más ampliamente popular en el planeta, hoy en día.

Y más aún, en paralelo con esta continua popularidad, muchos medios y muchas autori- dades en seguridad siguen retratando al software de Microsoft como una fatalidad llena de erro-res desde una perspectiva de la seguridad. Si los productos de Bill Gates son tan inseguros, ¿por qué siguen siendo tan populares?

La brecha de seguridad de Windows

La respuesta es en realidad muy simple. Los productos de Microsoft están diseñados para maxi-mizar la facilidad de uso, lo que justifica su gran popularidad. Lo que muchos no entienden es que la seguridad es un juego de suma cero: cuanto más fácil sea usar algo, más tiempo y esfuer-zo debe dedicarse a asegurarlo. Considere que la seguridad es como una línea continua entre los polos de 100% de seguridad por un lado y 100% de facilidad de uso por el otro. Donde hay un 100% de seguridad hay un 0% de facilidad de uso, y viceversa.

Con el tiempo, Microsoft ha aprendido a encontrar un equilibrio más saludable en esta línea continua. Algunas cosas simplemente se usan de acuerdo con las configuraciones predetermina-das (IIS en Windows Server 2003 viene a la mente). Otras las han rediseñado desde cero dando prioridad a la seguridad (el cambio de arquitectura de IIS para que escuche subprocesos en modo de kernel y trabaje en modo de usuario también es ejemplar aquí). Más recientemente, Microsoft ha incluido tecnologías e interfaces de usuario “profilácticas” alrededor de funciona-lidad existente para dificultar las cosas a los desarrolladores de explotaciones (pensamos en ASLR, DEP, MIC y Control de cuentas de usuario en Vista). Y, por supuesto, se ha hecho una gran cantidad de trabajo en las bases: parchar vulnerabilidades en el nivel de código de manera regular (“el parche del martes” ahora es parte del léxico del administrador de sistema Win-dows), mejorar la visibilidad y el control (el Centro de seguridad de Windows ahora está

firmemente incluido en la Charola del sistema/Área de notificación de cada instalación moder-na de Windows), agregar nueva funciomoder-nalidad de seguridad (el antispyware Windows Defen-der) y hacer firmes mejoras (lo atestigua el avance de la Firewall de Windows desde el casi independiente filtro IP a su competidor en el mercado integrado, orientado a directivas, bidirec-cional, consciente del usuario y la aplicación).

¿Ha funcionado? Sí, Windows Vista es más difícil de comprometer en la instalación estándar que Windows NT 4. ¿Es perfecto? Por supuesto que no: en la práctica, la seguridad nunca lo es (recuerde esa línea continua). Y como un globo lleno de agua, cuanto más ha oprimido Microsoft cierto tipo de vulnerabilidad, han surgido más para amenazar a usuarios que no están conscien-tes de ellas. Analizaremos algunos de los nuevos métodos de ataque en este libro, incluidas las vulnerabilidades de controladores de dispositivos que dejan al sistema abierto a compromiso por sólo usar cierto rango de tecnología de red inalámbrica y la tecnología insidiosa para pasar inadvertido depositada por exploradores Web, sólo por mencionar dos.

Como presidente de Microsoft, Bill Gates dijo en su memorando “Computación confiable” de enero de 2002 (http://www.microsoft.com/mscorp/execmail/2002/07-18twc.mspx), “[la seguridad]… realmente es un viaje más que un destino”. Microsoft ha hecho avances en el cami-no. Pero el viaje está lejos de terminar.

Hackers en Windows: su guía para el resto del camino

Hackers en Windows es su guía para el largo camino que aún queda por recorrer. Adopta el

méto-do de méto-dos pinzas popularizaméto-do en el popular libro Hacking Exposed, que ahora se encuentra en su quinta edición.

En primer lugar, catalogamos las mayores amenazas que enfrentará su despliegue de Win-dows, y explicaremos con gran detalle cómo funcionan. ¿Cómo sabemos que son las mayores amenazas? Porque hemos sido contratados por las empresas más grandes del mundo para entrar en sus redes, servidores, productos y servicios de Windows, y usamos las mismas herramientas y técnicas a diario en nuestro trabajo. Y lo hemos hecho durante casi una década, investigando los ataques más recientemente publicados, desarrollando nuestras propias herramientas y téc-nicas y combinándolas en lo que consideramos la metodología más efectiva de penetración de la seguridad de Windows en existencia.

Una vez que hemos llamado su atención al mostrarle el daño que puede hacerse, le indica-mos cómo prevenir cada uno de los ataques. Ejecutar Windows sin comprender la información de este libro es equivalente a conducir un auto sin cinturón de seguridad (por un camino resba-ladizo, sobre un monstruoso abismo, sin frenos y con el acelerador a fondo).

Adopte y extienda el método de la serie

Por todas sus similitudes, Hackers en Windows también es distinto, en varias maneras, de la serie original de la que se desprende. Obviamente, está concentrado en una plataforma, en oposición al método multidisciplinario de la serie. Mientras que en la serie se hace una revisión panorámica de la seguridad en Windows, en este libro se revisan algunas capas para explorar el funciona-miento en el nivel de bits de los ataques y las contramedidas relacionados con la seguridad en Windows, revelando pormenores que harán voltear hasta a los administradores de sistemas Win-dows más avezados. Se trata de un análisis a profundidad que se aparta de la serie original, donde la carga de explorar muchas otras plataformas computacionales obliga al tratamiento su-perficial de algunos temas.

En todo este libro, usamos la palabra Windows para referirnos al sistema basado en la plataforma “Nueva Tecnología” (NT) de Windows, incluidos NT 3.x-4.x, Windows 2000, Windows XP, Windows Server 2003, Vista y Windows Server 2008. En contraste, aludiremos al linaje de Microsoft DOS/ Windows 1.x/3.x/9x/Me como la “familia DOS”.

En este libro, no encontrará aspecto alguno de la seguridad de Windows tratado superficial-mente. No sólo abarca toda la información y las características importantes de la serie original, sino que la extiende de manera importante. Aquí encontrará todo el conocimiento secreto nece-sario para cerrar la brecha de la seguridad de Windows para bien, desde la arquitectura básica del sistema hasta las claves no documentadas del Registro que las aplican.

CÓMO ESTÁ ORGANIZADO ESTE LIBRO

Este libro es la suma de sus partes, las que se describen abajo desde el nivel organizacional más amplio al más detallado.

Capítulos: la metodología de la serie

Los capítulos de este libro siguen un plan de ataque definido. Ese plan es la metodología del hacker malicioso, adaptada de la serie original:

• Recolección de información • Rastreo • Enumeración • Explotación • Saqueo • Sigilo

Esta estructura forma la columna vertebral de este libro, porque sin una metodología, esto no sería más que un montón de información sin contexto ni significado.

Hemos envuelto este esquema básico con los siguientes componentes adicionales: • Revisión de la arquitectura de seguridad de Windows

• Ataque a SQL Server • Ataque a clientes de Internet • Ataques físicos

• Características y herramientas de seguridad de Windows

Modularidad, organización y accesibilidad

Evidentemente, este libro pude leerse de principio a fin para lograr un retrato completo de las pruebas de penetración de Windows. Sin embargo, como toda la serie, hemos tratado de que cada sección de cada capítulo destaque por sí sola, de modo que el libro puede digerirse en par-tes modulares, adecuadas para los calendarios frenéticos de nuestra audiencia.

Más aún, nos hemos adherido estrictamente al estilo de escritura claro, legible y conciso al que los lectores respondieron de manera abrumadora en el libro original de la serie, Hackers.

Introducción

xxiii

Sabemos que está ocupado y que necesita ir al grano sin andarse por las ramas o usar termino-logía innecesaria. Como alguna vez comentó un lector de la serie: “¡Se lee como si fuera una fic-ción, y en verdad aterra!”.

Consideramos que estará tan satisfecho leyendo de principio a fin como haciéndolo parte por parte, pero está construido para resistir cualquier tratamiento.

Resúmenes y referencias y lecturas adicionales de capítulo

En un esfuerzo por mejorar la organización de este libro, hemos incluido las características es-tándar de las ediciones anteriores al final de cada capítulo: un “Resumen” y la sección “Referen-cias y lecturas adicionales”.

El “Resumen” es exactamente lo que debe ser, una breve sinopsis de los principales concep-tos cubierconcep-tos en el capítulo, con énfasis en las contramedidas. Esperaríamos que al leer el “Resu-men” de cada capítulo, sabrá cómo endurecer un sistema Windows ante casi cualquier forma de ataque.

Las “Referencias y lecturas adicionales” incluyen URL, información de publicaciones y cual-quier otro detalle necesario para localizar todos y cada uno de los elementos a los que se hace referencia en el capítulo, incluidos los boletines de seguridad de Microsoft, los paquetes de ser-vicio, las correcciones, los artículos de la base de datos de conocimientos, las advertencias de terceros, las herramientas comerciales y de freeware, los incidentes de hackeo de Windows en las noticias y las lecturas generales que amplían o expanden la información presentada en el ca-pítulo. Por tanto, pocos URL se encontrarán dentro del texto de los propios capítulos (si necesita encontrar algo, vaya al final del capítulo y estará allí). Esperamos que esta consolidación de re-ferencias externas en un contenedor mejore la manera general en que disfruta el libro.

Apéndice A: La lista de verificación para el endurecimiento de Windows

Tomamos todas las contramedidas analizadas en el libro, las llevamos a su esencia, las ordena-mos de manera apropiada para construir un sistema desde cero y las pusiordena-mos todas bajo un te-cho en el apéndice A. Sí, hay por allí una gran cantidad de listas de seguridad de Windows, pero consideramos que la nuestra representa el conjunto de recomendaciones más realista, terrenal pero sólido, que encontrará.

LOS BLOQUES DE CONSTRUCCIÓN BÁSICOS:

ATAQUES Y CONTRAMEDIDAS

Al igual que con toda la serie, los bloques de construcción básicos de este libro son los ataques y las contramedidas analizadas en cada capítulo.

Los ataques se resaltan aquí, como se hace en toda la serie.

Éste es un icono de ataque

Al resaltar así los ataques se facilita la identificación de las herramientas y metodologías de pe-netración específicas y le lleva directo a la información que necesita para convencer a la admi-nistración que financie su nueva iniciativa de seguridad.

Cada ataque también está acompañado de una clasificación de riesgo, calificada exactamen-te como en la serie:

Las contramedidas, a su vez, reciben sus propios adornos visuales:

Éste es un icono de contramedida

Estas secciones suelen seguir a la descripción de cada “ataque” y en ellas se analizan los contro-les preventivos, de detección y reactivos que puede aplicar para mitigar la explotación recién descrita. Muchas veces haremos referencia al boletín de seguridad de Microsoft que resulta re-levante para el ataque. Los boletines de seguridad de Microsoft incluyen información técnica relacionada con el problema, soluciones recomendadas, parches de software, o una combinación de éstos. El número del boletín puede usarse para encontrar el propio boletín en Web:

http://www.microsoft.com/technet/security/bulletin/MS##-###.asp

donde MS##-### representa el número real del boletín. Por ejemplo, MS07-039 sería el bole-tín 39 de 2007.

En ocasiones usaremos también el ID de Bugtraq, o BID, que alude al número de seguimien-to dado a cada vulnerabilidad por la famosa lista de correos y base de daseguimien-tos de vulnerabilidades de Securityfocus.com. Esto permite que se busque la lista de Bugtraq directamente mediante el siguiente URL:

http://www.securityfocus.com/bid/####

donde #### representa el BID (por ejemplo, 1578).

También utilizamos la notación de Vulnerabilidades y exposiciones comunes (CVE, Com-mon Vulnerabilities and Exposures, http://cve.mitre.org), para hacer referencia a vulnerabilida-des. La notación CVE es similar a la CVE-####-$$$$ de Microsoft, donde el primer conjunto de cuatro dígitos es el año y el segundo es el identificador numérico de la vulnerabilidad. Por ejem-plo, CVE-2007-3826 es la vulnerabilidad 3 286 catalogada por CVE en el año 2007.

En todo este libro, también usamos un sistema común para hacer referencia a los artículos de la base de datos de conocimientos de Microsoft (KB, Knowledge Base): http://support.microsoft.com/ ?kbid=123456, donde 123456 representa el ID de seis dígitos del artículo.

Popularidad: La frecuencia de uso en su estado natural contra objetivos reales. 1 indica que se usa en raras ocasiones y 10 que su uso es amplio.

Simplicidad: El grado de habilidad necesario para ejecutar el ataque; 10 es poco o nula habilidad y 1 representa al programador de seguridad con más experiencia.

Impacto: El posible daño causado por la ejecución exitosa del ataque; 1 representa la revelación de información trivial acerca del destino y 10 el compromiso de la cuenta de superusuario o equivalente.

Clasificación de riesgo: Los tres valores anteriores se promedian para dar la clasificación general de riesgo y se redondea al número entero superior.

Sugerencia

1

CAPÍTULO 1

FUNDAMENT

OS

DE SEGURIDAD

RELACIONADA

CON INFORMACIÓN

2

_{Hackers en Windows}

Figura 1-1

Marco conceptual para seguridad operacional

E

s difícil hablar de cualquier sistema en el vacío, sobre todo de un sistema que está des- plegado de manera tan amplia y que juega tantos roles como Windows, en todas sus va-riedades. En este capítulo se presenta una introducción a algunas posturas defensivas de seguridad en los sistemas de información para que comprenda los elementos específicos de Windows y esté mejor informado.

UN MARCO CONCEPTUAL PARA

LA SEGURIDAD DE LAS OPERACIONES

Debido a su completa ubicuidad, es probable que muchas personas, procesos y otras tecnologías entren en contacto con el sistema de operación de Windows durante el curso de su ciclo de tra-bajo. Por tanto, cualquier análisis sobre la seguridad en Windows estaría incompleto si no se em-pieza con un reconocimiento de que sólo es una em-pieza de un rompecabezas mucho más amplio. Por supuesto, aquí es donde surgen los desafíos. En este libro se cubren los pormenores de la seguridad en Windows, un universo finito de medidas que pueden tomarse para evitar que pa-sen cosas malas. Sin embargo, como lo sabe cualquier profesional experimentado de la tecnología de la información, se necesita ir mucho más allá de los pormenores para tener una buena postu-ra de seguridad. ¿Cuáles son algunas de las considepostu-raciones no técnicas relacionadas con la se-guridad? Aquí tal vez necesite escribirse otro libro, pero trataremos de delinear algunas de las piezas más importantes en el análisis siguiente para reducir al mínimo la confusión, de modo que usted se pueda concentrar en lo sustancial en todo el resto del libro: la seguridad en Windows.

En la figura 1-1 se ilustra un marco conceptual para la seguridad de las operaciones dentro de una organización típica. A primera vista, lo más importante que hay que notar en este marco es que es cíclico. Acomoda el modelo a la noción de seguridad como un viaje, no como un desti-no. Todo el tiempo están brotando nuevas amenazas a la seguridad (simplemente revise cual-quiera de las populares listas de correo relacionadas con el tema, como Bugtraq, para verlo) y, por tanto, cualquier plan para atender esas amenazas debe ser progresivo, o cíclico.

Los cuatro elementos de la “rueda de la seguridad” que se muestran en la figura 1-1 son Plan, Prevención, Detección y Respuesta. Aunque suele criticarse a estos marcos conceptuales porque su filosofía “aplicable a todo” no se acomoda a las estructuras o culturas de organizacio-nes establecidas, hemos encontrado que estos cuatro simples bloques de construcción son los que tienen más resonancia con clientes a los que se brinda asesoría y que tienen “tiendas” de tecnología de la información de todos los tamaños, además de que suelen abarcar todos los com-ponentes de sus esfuerzos de seguridad. Hablaremos de cada uno de ellos en su momento.

Plan

Prevención

Detección Respuesta

Plan

La seguridad es un concepto desafiante, sobre todo cuando se relaciona con la tecnología. Cuan-do piense en la manera de proporcionar seguridad, es necesario que empiece por plantearse las siguientes preguntas:

• ¿Cuál activo estoy tratando de asegurar?

• ¿Cuáles son los requisitos de seguridad del activo?

• ¿Cuáles son los riesgos singulares relacionados con esos requisitos de seguridad del activo?

• ¿Cómo asigno prioridades y atiendo de manera más eficiente esos riesgos (sobre todo los que tienen alto impacto, como los requisitos para cumplir con la industria y el marco regulatorio)?

Estas preguntas describen un concepto de seguridad basado en riesgos, popularizado por muchos practicantes modernos. Entre las metodologías bien conocidas de seguridad basadas en riesgo se incluye el método de evaluación de amenazas, activos y vulnerabilidades operacional-mente críticos (OCTAVE, Operationally Critical Threat, Asset, and Vulnerability Evaluation) de CERT. Microsoft también promueve su propio método para administración de riesgos en esce-narios de desarrollo de software, a los que denominan modelado de amenazas. Aquí articularemos una adaptación muy simplificada de las mejores prácticas de administración de riesgos comu-nes y recomendamos a los lectores interesados en conocer más detalles que consulten la sección “Referencias y lecturas adicionales”, al final de este capítulo.

Empecemos con la determinación de los activos. Este ejercicio no es tan sencillo como podría pensarse (los activos pueden ser el hardware del servidor, la información en una base de datos o incluso algunas prácticas de fabricación con propietario). En realidad, a menudo resulta sor-prendente que los clientes de asesoría no logren, en ocasiones, proporcionar una respuesta cohe-rente a la simple pregunta “¿Cuáles son sus activos más importantes?”. Para empezar, por lo general resulta útil hacer más estrecho el alcance de esta pregunta, tal vez limitándolo a los acti-vos de información digital que se consideran valiosos para la organización. Por supuesto, los vehículos físicos en que viajan los activos digitales (sean servidores de computadora, unidades USB, monitores de kiosco o impresos en papel) también tienen una importancia fundamental para la seguridad, pero es más fácil tomar en consideración esas relaciones más adelante, en el proceso de evaluación de riesgos. También recomendamos posponer el análisis de los activos menos tangibles, como la reputación, hasta que se haya adquirido primero alguna práctica en el juego de la administración del riesgo.

Entre las categorías de activos de información digital que se deben tomar en cuenta se inclu-yen credenciales (como contraseñas y claves criptográficas privadas), información para identifi-cación personal (recuerde que la confidencialidad depende de que se otorgue consentimiento para usos específicos), información o instrumentos financieros líquidos (como datos de tarjetas de crédito), información de propietario (incluidos resultados financieros no informados o me-todologías de trabajo) y la disponibilidad de capacidad productiva (incluido el acceso a sistemas de operación, electricidad, etcétera).

Una vez que haya determinado cuáles activos está tratando de asegurar, su siguiente paso con-siste en identificar los requisitos de seguridad de cada activo, si los hay. Al igual que con los acti-vos, es muy útil clasificar los requisitos de seguridad en sus categorías más genéricas. Casi todas las definiciones modernas de seguridad de los sistemas de información se centran alrededor de la protección de la confidencialidad, la integridad y la disponibilidad (CIA, Confidenciality, Integrity and Availability) de los activos importantes, de modo que esto es lo que se recomienda. Podría

4

_{Hackers en Windows}

considerarse otra A, para la Accountability (la responsabilidad o rendición de cuentas), con el fin de capturar la noción de que el sistema también debe registrar la actividad de manera confiable para que pueda examinarse o auditarse posteriormente (por ejemplo, mediante un registro de auditoría).

En este punto, podría considerar el agrupamiento de activos en clases con base en la confidencialidad percibida por la organización. Esto puede arrojar un sistema de directivas y controles de apoyo para cada tipo de activo. Por ejemplo, los activos de Alta Confidencialidad, como la información de tarjetas de crédito, tal vez requieran cifrado cuando se almacenan o transmiten, mientras que los activos de Baja Confidencialidad no lo requieran. Aquí, una vez más, deben tomarse en consideración los requisitos de cumplimiento, como en el caso de los datos de tarjetas de crédito, que probablemente caen bajo un estándar de seguridad de datos de la industria del pago con tarjeta o PCI DSS (Payment Card Industry Data Security Standard).

Una vez establecidos los activos y los requisitos de seguridad, es hora de tomar en cuenta los riesgos que enfrenta cada activo. A este proceso suele denominársele evaluación de riesgos. Exis-ten varios métodos para la evaluación de riesgos, pero uno que recomendamos es el menos for-mal: elaborar un diagrama lógico del sistema en cuestión, descomponerlo en las partes que lo integran, prestar atención a los límites y las interfaces entre cada componente, además de los ac-tivos clave, y hacer una lluvia de ideas sobre las posibles amenazas a la CIAA.

Entre algunos métodos más sistemáticos (pero no necesariamente superiores) para conceptualizar amenazas se incluyen los árboles de ataques y la metodología de modelado de amenazas de Microsoft. Consulte la sección “Referencias y lecturas adicionales”.

Cuantificación de riesgos

Una vez que haya obtenido una lista de amenazas, debe asignarles prioridades de manera sis- temática de modo que puedan atenderse con eficiencia. Comprometer recursos excesivos pa- ra mitigar amenazas de bajo riesgo puede ser tan dañino para una organización como mitigar con lentitud las amenazas de alto riesgo, de modo que es importante dar este paso de manera correcta.

Pueden usarse numerosos sistemas para cuantificar y clasificar los riesgos de seguridad. Un método clásico y sencillo para la cuantificación de riesgos se ilustra con la siguiente fórmula:

Riesgo = Impacto × Probabilidad

Se trata de un sistema fácil de comprender, que incluso permite una mayor colaboración en-tre intereses de trabajo y de seguridad dentro de la organización. Por ejemplo, la cuantificación del impacto en los negocios podría delegarse a la oficina del director de finanzas y la estima- ción de la probabilidad podría asignarse al director de seguridad, o sus equivalentes. Esto pro-duce una división inteligente del trabajo y la responsabilidad cuando se trata de la administración de riesgo para una organización en general.

En este sistema, el impacto suele expresarse en términos monetarios y la probabilidad como un porcentaje entre 0 y 100%. Por ejemplo, una vulnerabilidad con un impacto de 100 000 dólares y una probabilidad de 30% tiene una clasificación de riesgo de 30 000 dólares (100 000 dólares por 0.30). Los estimados económicos como éste suelen llamar la atención de la administración y constituyen una manera más práctica de cuantificar el riesgo. La ecuación puede incluir aún más componentes, al dividir Impacto en (Activos × Amenazas) y Probabilidad en (Vulnerabilidades × Mitigación).

Sugerencia

Hemos visto modelos de riesgo que factorizan aún más los componentes. Por ejemplo, si el com-ponente A del sistema tiene 3 vulnerabilidades de alto riesgo, pero el comcom-ponente A está conectado a otro sistema en una configuración completamente confiable que tiene 12 vulnerabilidades, podría calcular una superficie de vulnerabilidad total de (3 + 12)2_{, o el cuadrado de la suma de las}

vulnerabilidades.

Otros métodos populares de cuantificación de riesgos incluyen el sistema DREAD (Damage potential, Reproducibility, Exploitability, Affected users, and Discoverability: daño posible, ca-pacidad de reproducción y de explotación, usuarios afectados y posibilidad de descubrirlo) de Microsoft, además del sistema simplificado que usa el centro de respuesta de seguridad de Mi-crosoft en sus clasificaciones de gravedad del boletín de seguridad. El sistema de clasificación de vulnerabilidades comunes (CVSS, Common Vulnerability Scoring System) es, en cierta manera, más complejo pero tiene la posibilidad de ser una representación más exacta de los riesgos de vulnerabilidad de software comunes. (A nosotros en realidad nos gusta el método de división entre componentes que produce una clasificación base de riesgo de seguridad con factores tem-porales y ambientales únicos para la aplicación). Al final de este capítulo, en la sección “Referen-cias y lecturas adicionales”, se encontrarán vínculos con mayor información acerca de todos estos sistemas.

Le recomendamos que considere cada uno de estos métodos y determine cuál es el adecuado para usted y su organización. Tal vez incluso haya desarrollado sus propios métodos, basados en conceptos obtenidos de cada uno de éstos, o tal vez haya construido uno desde cero. La cuantifi-cación de riesgos puede ser muy subjetiva y es improbable que alguna vez se encuentre un siste-ma que dé como resultado un consenso, aún entre pocas personas. Sólo recuerde algo que es importante: aplique cualquier sistema elegido de manera consistente, de modo que esa clasifica-ción relativa de amenazas sea consistente. Después de todo, ése es el objetivo: decidir cuáles ame-nazas se atenderán con mayor prioridad. También se ha encontrado que es muy útil establecer un nivel de umbral de riesgo, o “barra de riesgos”, sobre el cual debe mitigarse una amenaza deter-minada. Debe haber un acuerdo más amplio sobre dónde cae este umbral antes de que se comple-te el proceso de clasificación. Esto crea consiscomple-tencia entre evaluaciones y hace más difícil jugar con el sistema al simplemente mover el umbral. (También tiende a ahuyentar a las personas que de manera deliberada establecen clasificaciones bajas para ubicarse debajo de la barra de riesgos).

Directiva

Evidentemente, las medidas óptimas que hay que tomar en relación con los riesgos que están documentados durante el proceso de evaluación son mitigarlos o eliminarlos (aunque existen otras opciones, incluida la transferencia del riesgo mediante la compra de seguros, o su acepta-ción tal como están). La determinaacepta-ción del plan de mitigaacepta-ción para estos riesgos es el meollo de la fase de planeación: el desarrollo de una directiva.

La directiva es central para la seguridad; sin ella, la seguridad es imposible. ¿Cómo puede considerarse algo como una violación de seguridad sin una directiva para definirla? La directiva define la manera en que se mitigan de manera continua los riesgos a los activos. Por tanto, debe basarse firmemente en el proceso de evaluación de riesgos.

Una vez dicho esto, una directiva de seguridad organizacional fuerte empieza con una buena plantilla. Recomendamos el marco conceptual de la directiva ISO 17799, que se ha vuelto muy popular como marco para directiva de seguridad, desde que se convirtió en un estándar

6

_{Hackers en Windows}

internacional. ISO 17799 se ha incorporado en los nuevos estándares de la serie ISO 27000, que abarca un rango de estándares y prácticas de administración de seguridad de la información (de manera similar a la serie ISO 9000 de estándares de aseguramiento de calidad, que tienen un uso extendido). ISO 27001 incluye un marco conceptual de controles para la implementación y me-dición del cumplimiento con los estándares de la directiva. Entre otros marcos conceptuales po-pulares de control se incluyen CobiT, COSO e ITIL. (Consulte la sección “Referencias y lecturas adicionales” para conocer vínculos con información sobre estos estándares).

Otro gran dividendo que surge del hecho de basar su directiva en estándares ampliamente aceptados como ISO 17799 es la agilidad mejorada para satisfacer regímenes impositivos en evo-lución como éstos:

• Acta Sarbanes-Oxley de 2002 (SOX), que obliga a las empresas de Estados Unidos de manera pública a implementar, evaluar y reportar controles internos sobre sus informes, operaciones y activos financieros.

• Basel II: la convergencia internacional de medidas de capital y estándares de capital: un

marco conceptual revisado que analiza estándares internacionales para medición de la

adecuación del capital de un banco con base en el riesgo medido (incluido el riesgo operacional, como seguridad del sistema de información).

• Estándar de seguridad de datos de la industria del pago con tarjeta (PCI DSS, Payment Card Industry Data Security Standard) para cualquier entidad que procesa, almacena o transmite información de tarjetas de crédito de emisores importantes, como Visa, MasterCard y American Express.

• Acta de Portabilidad y responsabilidad de seguros médicos de 1996 (HIPAA, Health Insurance Portability and Accountability Act), que especifica una serie de procedimientos administrativos, técnicos y físicos de seguridad que deben usar las entidades cubiertas para que aseguren la confidencialidad de la información protegida electrónica relacionada con la salud.

• Acta Gramm-Leach-Bliley de 1999 (GLBA) que regula la información financiera personal de los consumidores de Estados Unidos mantenida por instituciones financieras.

• Leyes de notificación de violaciones de seguridad que evolucionan en muchos estados de la Unión Americana hoy (como la SB 1386 de California).

Aunque la organización a la que pertenezca no esté cubierta por una de estas regulaciones (¡y le apostamos a que lo está de alguna manera!), tal vez sólo sea cuestión de tiempo antes de que necesite cumplir con sus estatutos, de una forma u otra. Aunque considere que la organiza-ción debe satisfacer alguna especie de requisitos impositivos obligatorios, nunca se pondrá el énfasis suficiente en la eficiencia que se obtendrá al volver a usar un marco conceptual de pro-grama de seguridad para cumplir con la sopa de letras en evolución de los requisitos impositi-vos que enfrentan las empresas modernas de hoy en día. Y tenemos la experiencia para probarlo, porque hemos diseñado e implementado personalmente una directiva de seguridad basada en ISO 17799 que pasó con éxito las auditorías de cumplimiento para SOX, GLBA, PCI y otras ac-ciones de imposición regulatoria de una vez del gobierno de Estados Unidos.

Aunque nunca está de más destacar la importancia de satisfacer los requisitos en evolución, tal vez a las organizaciones más pequeñas, con alcances más estrechos, les resulte pesado pla-near e implementar los estándares ISO y los marcos conceptuales de soporte. En el caso de orga-nizaciones de todos tamaños, una colección buena (pero costosa) de directivas de seguridad

preescritas es la Information Security Policies Made Easy, de Charles Cresson Woods (Information Shield, 2005). También se recomienda la lectura de las RFC 2196 y 2504, “Site Security Hand-book” y “User HandHand-book”, respectivamente, para obtener buenas ideas sobre directivas.

Una búsqueda simple en Internet de “directivas de seguridad de información” también pro-porcionará buenos ejemplos, como las de muchas instituciones educativas que publican sus di-rectivas en línea. Un análisis del desarrollo y el mantenimiento de didi-rectivas de seguridad para organizaciones está fuera del alcance de este libro. Sin embargo, he aquí algunas sugerencias:

Comprensión del negocio Los practicantes de la seguridad deben comprender primero el negocio que pretenden ayudar a proteger; la comprensión de las operaciones de trabajo crea el vocabu-lario para permitir una conversación constructiva y lleva a ser percibido como una persona que permite que pasen las cosas, en lugar de ser un estorbo. De acuerdo con nuestra experiencia, los practicantes de la seguridad necesitan, por lo general, madurar más en este departamento, a fin de presentar los riesgos en la seguridad de la información en los términos apropiados del nego-cio. Sabemos por experiencia que concentrarse en los métodos de colaboración para medir el riesgo e implementar controles medibles es siempre una manera más inteligente de obtener re-cursos de los líderes de los negocios.

Convencimiento cultural Convenza a la administración de que lea y apoye por completo la direc-tiva. La administración es la que la impone finalmente, y si los directivos no creen que es correc-ta, pasará momentos extraordinariamente difíciles logrando que cualquier persona de la organi-zación la siga. Considere la creación de un cuerpo de gobierno que incluya accionistas clave de la organización, con responsabilidades definidas, para que la directiva evolucione y se imponga a largo plazo.

Al mismo tiempo, reconozca que el convencimiento de los ejecutivos sólo es útil si a éstos los escucha el personal de la compañía, lo que no siempre es el caso, de acuerdo con nuestra expe-riencia. En cualquier medida, siempre es necesario algún nivel de trabajo de convencimiento entre los trabajadores de base, sin importar cuán firmemente respalde la administración la direc-tiva. De otra manera, no será adoptada en la extensión que se requiere para hacer cambios importantes a la seguridad. Debe asegurarse de predicar el programa de seguridad en todos los niveles de la organización y aplicar un programa piloto para asegurar el convencimiento am-plio, además de que será percibido como un mecanismo razonable y práctico a fin de mejorar la postura de seguridad de la organización (y por tanto, las ganancias). Esto mejorará en gran medida las posibilidades de convertirse en parte de la cultura en lugar de ser sólo un proceso molesto del que todos se burlan (piense en los reportes de TPS en la película Office Space).

Método de varios niveles Elabore un borrador de la directiva real como una declaración de alto nivel de principios guía e intenciones, y luego cree estándares de implementación y procedi-mientos de operación detallados que apoyen los mandatos de la directiva. Este método de varios niveles, jerárquico, crea una modularidad que facilita el mantenimiento de la directiva a largo plazo, al proporcionar flexibilidad para cambiar los detalles de la implementación sin necesidad de un ciclo completo de revisión y cambio de la directiva.

Proceso para excepciones, cambios La única constante es el cambio y eso también es válido para las directivas de seguridad. Espere que la organización haga solicitudes de excepciones a la di-rectiva y quiera cambiar ésta a intervalos regulares. Usted necesitará crear un proceso para que sea posible esto. Recomendamos al menos revisiones anuales y también un proceso especial para excepciones y cambios urgentes.

8

_{Hackers en Windows}

Conciencia Hablaremos acerca de la capacitación y la educación en la siguiente sección de este capítulo, cuando abordemos la fase de Prevención de la rueda de la seguridad, pero es funda-mental asegurarse de que todos los integrantes de una organización estén conscientes de la di-rectiva y comprendan sus tesis básicas. También hemos encontrado que cuando se realizan se-siones regulares de capacitación para tomar conciencia e interviene en ellas todo el personal suelen generarse estupendas retroalimentaciones prácticas, lo que lleva a un programa de se- guridad más fuerte a largo plazo.

Una vez definida e implementada una directiva, podemos dar vuelta a la rueda de la segu-ridad, ilustrada en la figura 1-1.

Prevención

La necesidad de establecer varios controles preventivos probablemente se volverá obvia du- rante el proceso de evaluación de riesgos y desarrollo de la directiva. En este libro se describi- rán contramedidas técnicas específicas para todos los ataques que analizaremos pero, ¿qué tipo de medidas proactivas más amplias deben aplicarse para mitigar los riesgos, imponer la directi-va de seguridad, disuadir a los atacantes y promover una buena higiene de seguridad? Deben tomarse en consideración los siguientes elementos:

• Educación y capacitación • Comunicaciones

• Operaciones de seguridad • Arquitectura de seguridad

La educación y la capacitación son las maneras más obvias de escalar un esfuerzo de seguri-dad en toda una organización. Las comunicaciones pueden apoyar este esfuerzo al programar actualizaciones regulares para el personal de línea y la administración superior, además de ha-cer que la información fluya entre el resto de la organización y el grupo de seguridad. (Recuerde que no existe la seguridad en el vacío).

Entre las operaciones de seguridad se incluyen las tareas generales de seguridad, como administración de parches de seguridad, protección contra el malware, control de acceso (tanto físico como lógico), control de ingresos y egresos en la red, monitoreo y respuesta de se-guridad y administración de cuentas y grupos de sese-guridad. En este libro se tratarán las mejores prácticas en todas estas áreas.

Por último, y tal vez lo que es más importante, cierta parte de la organización de seguridad necesita adoptar una perspectiva proactiva, que mire hacia delante. El trabajo de un arquitecto de seguridad es particularmente relevante para el desarrollo de aplicaciones, que debe seguir estándares y directrices estrictos con el fin de evitar la perpetuación de los muchos errores que ocurren en forma inevitable en el proceso de desarrollo de software. Además, este arquitec- to puede realizar evaluaciones regulares de la arquitectura de seguridad del software, la red y la plataforma, midiéndolos y comparándolos contra estándares y tecnologías en evolución para asegurarse que la organización mantiene el paso de los avances más recientes en seguridad.

Detección

Un documento con la directiva es estupendo pero, ¿qué tan buena será la directiva si no se pue-de saber si alguien la está siguiendo? Mucho pue-del material pue-de este libro se concentra en la parte