lunes, 28 de abril de 2008

Seguridad en Linux para las empresas con Ossim

La verdad que si echamos una mirada al pasado, podemos ver y comprobar cómo ha ido evolucionando el campo de la seguridad informática en Linux, desde los primeros cortafuegos pasando por los más avanzados IDS (Sistemas de Detección de Intrusos). De todo ello ha surgido una visión común de necesidad para asegurar nuestros sistemas y proteger nuestros datos.


Poco a poco, pero de manera eficiente, la capa tecnológica ha ido ocupando un espacio importante en las empresas y eso ha hecho que la tecnología evolucione de manera rápida y eficiente. 


Es aquí cuando tiene cabida un proyecto como OSSIM, una consola de seguridad central para Linux con 22 herramientas open source, sin ningún coste para las empresas.


Sin duda alguna en el mercado actual podemos encontrar todo tipo de cortafuegos, IDS, detectores de vulnerabilidades, programas de monitorización, detectores de anomalías, y un gran surtido de programas.


No obstante esto es una granja que ninguna empresa puede soportar, porque no sólo requiere un gasto económico en cada dispositivo tecnológico, sino que además se necesita afrontar un gasto humano en personal especializado para poder afrontar tal cantidad de eventos (avisos de seguridad), de manera individual.


Esto nos lleva a una cuestión que la tecnología no ha tenido en cuenta en su avance, resumido en este axioma: "La capa tecnológica ha llegado a su nivel más alto; es decir un firewall es un firewall y ya no puede ser más que eso". Lo mismo pasa con otros dispositivos como IDS, detectores de anomalías, y otros.
Las empresas que se deciden por proteger sus redes, adquieren numerosos dispositivos y optan a pagar licencias con un coste muy elevado. Pero éste no es sólo el único problema, el problema real es que el personal técnico va a tener miles de alertas de seguridad, la mayoría con falsos positivos y todo esto multiplicado por cada dispositivo que posean; lo que hace inviable la gestión de seguridad empresarial, ya que no sabemos a qué alerta hacer caso y a cuál no. A este nivel se le conoce como "métrica de seguridad".


¿Qué es OSSIM?
 
Estas necesidades fueron las causantes del proyecto OSSIM. Este consiste en una consola de seguridad central, que nos permite gestionar y saber el nivel de seguridad (métrica) que tiene nuestra empresa. Se trata de un proyecto Open Source, con lo que todo el mundo puede disfrutar de él sin ningún coste, además de poder colaborar en su código para formar parte de su evolución.


OSSIM engloba más de 22 herramientas de seguridad, entre ellas: IDS (Snort), detector de vulnerabilidades (Nessus), firewall (Iptables), detector de sistema operativo (Pof), monitorización en tiempo real y estadísticas (Ntop), detector de anomalías (Rrd), escaneadores (Nmap), y otros.


Todas estas utilidades son las más usadas en su categoría y todas ellas son Open Source, con lo que contamos con un gran número de personas mejorando y actualizando cada una de ellas. Pero además OSSIM no sólo consigue englobar estas herramientas, sino que la fuerza real de OSSIM reside en su motor de correlación, gracias al cual podemos tener una red o varias con millones de alertas de diferentes dispositivos y mediante su potente motor disponer de alarmas reales, sin falsos positivos y de manera centralizada.


Con esto conseguimos que una empresa pueda, no sólo tener un gran número de dispositivos tecnológicos, sino que además sepa en cada momento el nivel de seguridad que tiene y el que desea tener. 


Gracias al motor de correlación de OSSIM conseguimos detectar entre otras cosas, virus antes incluso que los propios fabricantes de antivirus, ya que al trabajar de manera centralizada con muchas herramientas, es capaz de detectar anomalías en el funcionamiento de las máquinas, detectando nuevos virus que aún no han sido identificados por nadie: 


Ejemplo de detección del gusano Sasser

Tenemos muchas anomalías; esto pasa por la colección de todos los eventos, después en función su comportamiento se valora la prioridad, después pasa por la correlación para contrastar con otras fuentes y al final tenemos una única alarma. 


Ejemplo de correlación del motor de OSSIM

1.- Hay un intento de conexión
2.- Hay una respuesta a la conexión
3.- Tenemos persistencia en la misma (aumenta la prioridad)
4.- El comportamiento es anómalo
5.- Se produce la alarma 

Con OSSIM ganamos dinero (ahorro en licencias y hardware), y sobre todo ganamos en gestión de la seguridad.  OSSIM actualmente es conocido como una de las mejores plataformas de seguridad. Entre las organizaciones que lo han descargado se encuentran gobiernos, militares e incluso la propia NASA. El proyecto fue creado y desarrollado por un grupo de especialista en seguridad informática de la empresa Ipsoluciones. Entre sus miembros principales se encuentran: Julio Casal, Dominque Kang, David Gil, Fabio Ospitia, y un largo número de analistas de seguridad dedicados a OSSIM. Actualmente Ipsoluciones ha sido adquirida por It-Deusto, desde donde el grupo de seguridad realiza instalaciones, configuraciones y explotación de OSSIM en empresas de toda España, tanto privadas como importantes instituciones publicas.

Por qué es menor aprender a usar Linux que quedar a trapado eternamente en Windows

Según un estudio, existen cerca de 60,000 virus conocidos para windows, 40 para macintosh, 5 para los unix comerciales y 40 para Linux, como pueden ser más o menos. Muchos de ellos no son potencialmente peligrosos. Además existen versiones de Avast, Avira, Bitdefender, Sophos, McAfee, Kaspersky y Panda para Linux. Así que, ¿linux sin virus? Lo dudo.



Siempre llevamos la contraria en todo lo que tiene que ver con Linux, toda la gente se queja de microsoft, pero probablemente no exista una persona que una vez en su vida no haya usado uno de sus productos. Tan es así que en muchos foros, hay mucha gente que busca claves y formas de hacer "original" windows XP o Vista aun a sabiendas que Windows da muchos problemas.


Toda la gente se queja de Windows, sin embargo no hacen nada por cambiar, y como dice la mayoria "Yo no se nada de Linux, eso es muy complicado” y 50 millones de usarios lo desconoce también que Linux existe simplemente porque usan Windows y no quieren aprender a usar Linux. ¿A qué se debe esta pereza por pasarse a Linux? Simplemente, a que linux es mas tecnico en ciertos aspectos y es necesario prestar mas atencion, y a que hay trabajar de otra forma, que requiere conocimiento y aprendizaje que en windows apenas existe por que lo maneja hasta un niño de 6 años. Y como todo tiene sus fallos, nada es perfecto, Windows esta lleno de Bug y brechas, pero nadie quiere pasarse a linux porque tienen que aprender. 


Todo depende de cómo manejemos la informatica, y que sistema operativo usemos para entrar en internet. Para seros sincero, tengo 10 años de experiencia usando Ordenadores, y sin exagerar, solo dos veces he tenido problemas por un virus gracias a que uso un Proxy en Linux. La primera vez fue con el Sasser, por el parche del Windows no se habia instalado y la segunda fue con un Dialer que se instaló en mi PC por no tener un antivirus con la característica de antidialer. Pero, eso es porque como digo he usado un PC Proxy para conectar windows, y navego con un con Server Linux que tiene un potente cortafuegos y un antivirus en el Proxy.


Tal vez penseis que la mejor forma de estar a salvo de estos problemas es no entrar mucho en Internet, y no es así. Yo navego por páginas de todo tipo, páginas del tipo de astalavista, crackspider, serials, páginas con dialers, pornos, de warez, armas, terrosrismo, prank, revenge, FakeID, etc. Pero es obvio que si en una de esas páginas me sale un aviso (cuadrado) con caracteres en chino, la unica opción posible es darle click a un botón, mejor le doy ctrl alt supr, y cancelo el proceso del Mozilla y listo, me ahorro dolores de cabeza, como dicen: la curiosidad mató al gato.


Por último, en todos estos años he llegado a la conclusión de que la mayoría de los usuarios de windows tienen problemas por la simple razón de que casi todos no quieren aprender informatica, no quieren ver el otro lado del sofwere libre como lo es Linux. Y muchos de esos problemas vienen porque tienen una copia pirata de Windows XP, por lo que nunca se han preocupado de enterarse de algo sobre linux, ni mucho menos leer un manual de algun Linux, es más muchos ni siquiera saben para que sirve Linux que ni se toman la molestia de aprender. 


Si cada usuario se preocupara por leer las ventajas que tiene Linux, y como se puede hacer el mismo trabajo en Linux que en Windows porque tiene de todo, os aseguro que la mayoría de errores o problemas con windows se acabarían ya que la gente dejaria Windows de pago y se pasaria a Linux que es gratis.


Este es mi comentario, se que la mayoría estará en desacuerdo ya que Windows tiene muchos adeptos, pero en fin, yo sigo usando xp sp2, porque como informatico si quieres estar en un nivel interesante hay que conocer los dos sistemas, y porque lo que da de comer al informatico es el Windows, ya que el Linux al no ser comercial no tiene mercado de usuario como lo tiene windows.

Descubierto un nuevo archivo troyano que ataca a los usuarios de apple macintosh con la intención de estafarles dinero

Sophos, compañía de seguridad en tecnologías de la información y control de contenidos, alertó hoy del descubrimiento de un nuevo troyano para la plataforma Macintosh, que ataca a sus usuarios con la intención de estafarles dinero. Según explicó la compañía en un comunicado, 'Troj/MacSwp-B', también conocido como 'Imunizator', trata de estafar a los usuarios del sistema de Apple para que compren un software innecesario asustándoles con el argumento de que su intimidad ha sido descubierta en su ordenadorTal y como confirmó el consultor senior de tecnología, Graham Cluley, este tipo de alertas "son raras para Mac". No obstante, matizó que el cibercrimen contra la plataforma de Apple "está creciendo". Por ello, a juicio de Cluley, los usuarios de Mac "necesitan aprender de los errores cometidos en el pasado por los usuarios de Windows y asegurarse de que tienen la protección necesaria y sus parches actualizados".


Asimismo, Los expertos de Sophos advirtieron que el nuevo troyano está muy relacionado con otra parte de un programa malicioso para Mac, 'MacSweeper', que fue difundido en un ataque a través de anuncios online en itv.com y a través del sitio de Radio Times durante el pasado mes de febrero.


En este sentido, Cluley afirma que "no es insólito" que los 'hackers' reutilicen su 'malware' (software que tiene como objetivo inflitarse o dañar un ordenador sin el conocimiento del dueño) disfrazándolo de diversas maneras para "intentar burlar el software 'anti-malware' de los sistemas".


A principios de año, Sophos publicó su Informe anual sobre los ataques de seguridad, en el que describía cómo los 'hackers', por motivos económicos, habían hecho blanco de sus ataques a usuarios de Apple Macintosh desde el pasado 2007.

Panda Antivirus alerta sobre un ataque masivo Hacker

Una vulnerabilidad en servidores Internet Information Server permite a los delincuentes de Internet inyectar código SQL para manipular páginas web legitimas.
Según informa PandaLabs, una vulnerabilidad de los servidores Internet Information Server está posibilitando un ataque hacker masivo que ya ha afectado al menos a 282.000 páginas web, y que puede seguir afectando a muchas más.


A través de dicho problema de seguridad, los hackers pueden inyectar código SQL en todas las páginas que se encuentren alojadas en un servidor web. Dicho código está diseñado para redirigir a todos los visitantes de las páginas manipuladas a un sitio web malicioso, desde el que intentarán analizar el sistema en busca de otras vulnerabilidades que permiten descargar todo tipo de amenazas.


La situación se agrava por el hecho de que la mayor parte de las páginas afectadas no resultan sospechosas en absoluto y tienen, además, un elevado tráfico web.


Panda Security aconseja a los webmasters que tengan sus páginas alojadas en servidores Internet Information Server comprobar, lo antes posible, si sus páginas web han podido verse afectadas. El procedimiento es sencillo, ya que se trata de buscar una cadena de código específica en el código fuente de las páginas, asociada a una etiqueta IFRAME.

sábado, 12 de abril de 2008

Antivirus que no detienen viruas y el spyware

El 72% de las compañías y el 23% de los ordenadores de usuarios particulares están infectados con 'malware' (programas nocivos), a pesar de contar con un sistema de seguridad activo y actualizado, según concluye un estudio llevado a cabo por la empresa de seguridad informática Panda Security.

El estudio, llevado a cabo tras analizar 1,5 millones de ordenadores en 80 países de todo el mundo, concluye que sólo en un 37% de los casos éstos se encuentran bien protegidos, pero incluso si lo están, parte del 'malware' no es detectado por los sistemas de seguridad, sea cual sea el que utilicen.


Esta situación se debe a que los sistemas tradicionales de protección "ya no funcionan", según explicó el responsable de Marketing de Producto de Panda, Pedro Bustamante, que añadió que el modelo de infección también ha cambiado, puesto que ahora un programa nocivo infecta a menos ordenadores pero "muta más rápidamente", lo que dificulta su detección.


Para Bustamante, los creadores de estos 'malware' usan técnicas cada vez más automatizadas y sacan provecho del desconocimiento que existe entre empresas y usuarios particulares sobre la necesidad de cambiar el tradicional sistema de defensa contra estas aplicaciones.


"El perímetro que protegía a las empresas no existe", insistió el responsable de Marketing de Producto, y recalcó que hay cada vez más puntos de infección. Así, si hace dos años la compañía detectaba 300.000 'malware', ahora el número ha crecido hasta los 11 millones de estos programas nocivos y la tendencia es al alza.


NUEVAS FORMAS DE COMBATIR LOS VIRUS.

Ante esta situación, el director técnico de los laboratorios de Panda, Luís Corrons, apostó por una nueva forma de combatir esta amenaza, de modo que sean los propios ordenadores los que envíen información al laboratorio para ir recopilando las distintas tipologías de 'malware' y poder frenar su efecto nocivo.
Este sistema, al que la empresa ha denominado 'Collective Intelligence' (Inteligencia Colectiva), dará una visión completa y no parcial como hasta ahora de los 'malware' que afectan a los diferentes usuarios creando una "comunidad de conocimiento" en la que todos los usuarios podrán aportar sus problemas y encontrar la solución.


El modelo de Inteligencia Colectiva "permitirá lo que hasta ahora no podíamos hacer, ver qué está pasando en cada ordenador", recordó Corrons, e insistió en que los mismos virus ya no afectan a gran número de personas.


Actualmente, los laboratorios de Panda cuentan con un conocimiento de 11 millones de ejemplares de 'malware' y 100 millones de programas analizados. En 2007, el sistema creado por la compañía fue la fuente para conocer el 94% de las nuevas amenazas recibidas.


Para concienciar sobre esta tendencia creciente Panda ha creado una nueva campaña que, bajo el lema 'Infected or Not' (Infectado o No), permitirá a empresas y particulares analizar sus ordenadores y redes corporativas 'on line' de forma gratuita para ver si tienen o no 'malware' en su sistema a través de la web 'www.infectedornot.com'.


EL SERIAL DE ORO

LinkWithin

Related Posts Plugin for WordPress, Blogger...