[HACK] CERTs

merce at grn.es merce at grn.es
Thu Jun 28 00:43:59 CEST 2001 

un  poco de culturilla nunca esta mal, aunque para enterarse del rollo
de los CERTs, mejor leer este otro articulo:
http://www.infowarrior.org/articles/2001-03.html

M&M

-----------------------------------------------------------------------



LOS RESCATADORES


Mercè Molist
¿Qué hacer cuando, un sábado por la tarde, el responsable de la red de
la  empresa  Cualquiera  descubre  a  un  intruso  en sus sistemas? La
solución  más práctica es ponerse en contacto con un servicio gratuito
de  ayuda  en  incidentes informáticos, un Computer Emergency Response
Team (CERT). Hay dos en España y funcionan a toda marcha.

El  2  de  noviembre  de  1988,  un  programa  dañino empezó a comerse
ordenadores  del  sistema  Arpanet,  la  red  militar  estadounidense.
Saltaba   de  uno  a  otro,  de  Arpanet  a  Milnet,  a  la  NASA,  al
Massachusetts   Institute   of   Technology,   a   las  universidades,
aprovechando  varios  errores  en  programas  UNIX.  Miles de máquinas
colapsadas  y  el  pánico  general  fueron el resultado de este gusano
(virus  que  se  "cuela"  sin  ayuda, con la única función de utilizar
espacio  hasta  estropear  el  sistema),  al  que  llamaron "gusano de
Morris"  por  su creador, Robert Morris Jr, hijo de un científico jefe
del National Computer Security Center.

A  pesar del desbarajuste, el "gusano de Morris" tuvo una consecuencia
positiva:  abrir  los  ojos sobre la necesidad de montar algún tipo de
respuesta  a futuros casos como ése. El ataque había cogido en falso a
la  incipiente  comunidad  de  Internet,  formada mayoritariamente por
gente  de  ciencia, que respondió de forma descoordinada y espontánea.
Así  nació  el  primer  CERT,  en  la  Universidad de Carnegie Mellon,
llamado  CERT/CC. Su misión: ser un punto central de ayuda en ataques,
coordinar  y formar para una mejor seguridad informática. A principios
de  los  90  y con la misma filosofía, aparecían los primeros CERTs en
Europa. En 1995, se estrenaban el esCERT de la Universitat Politècnica
de  Catalunya  y  el  IRIS-CERT de Rediris, la red del mundo académico
español.

Mientras  el  esCERT  se  dedica, especialmente, a la seguridad de las
empresas,  el  IRIS-CERT  está  orientado  a  la comunidad científica.
Dentro del FIRST (Forum of Incidence and Response Security Teams), que
reúne  a  CERTs de todo el mundo (54 de sus 90 miembros son europeos),
los  hay  también  de  muchos  tipos: autofinanciados, dependientes de
universidades,  de  empresas,  de  gobiernos.  Sólo tienen en común la
descoordinación  entre  ellos  y  el  poco  capital,  según el estudio
"eEurope  -  Co-operation  amongst  national  CERTs",  de la Comunidad
Europea: "Ninguno de los CERTs europeos está bien equipado, capacitado
e informado como el CERT/CC, que ya se está autofinanciando".

A  pesar  de  los  problemas  económicos,  estos grupos de expertos en
seguridad informática siguen ofreciendo gratuitamente sus servicios de
información    y    respuesta   a   emergencias,   que   han   crecido
exponencialmente.  Aunque la mayoría de ataques nunca son denunciados,
el  esCERT investigó 64 casos el año pasado, mientras que en IRIS-CERT
llegaban  a  los 490, doblando las estadísticas de 1999. Su función en
estas  situaciones es ayudar al responsable de la máquina comprometida
a  encontrar las causas del ataque, formas de defensa, evidencias para
una posible investigación, etc.

Manuel Medina, director del esCERT, explica el procedimiento estándar:
"Primero,  debe  rellenar  el  formulario que tenemos en la web. Se le
pasarán  referencias  de  avisos  de  seguridad  donde se explica cómo
resolver  el  ataque;  por  ejemplo,  que  no toque nada, para recoger
pruebas.  Lo  completamos con preguntas para descubrir qué ha pasado y
se contacta con los responsables de los sitios desde donde se ha hecho
el  ataque, o se filtran mensajes desde donde se está atacando. Ahora,
prácticamente  todo  el  mundo  ataca  desde  usuarios libres, con IPs
(direcciones  Internet  Protocol)  móviles y usuarios ficticios. Saber
quien  lo  ha  hecho  es  prácticamente  imposible  si  no se pone una
denuncia".

Aunque  el  cuerpo  de  policía  y la Guardia Civil cuentan con sendos
departamentos   de   seguridad  informática,  los  equipos  no  suelen
solaparse. Explica Medina: "Ellos gestionan las denuncias y hacen algo
de  investigación,  pero no son autosuficientes. Tampoco resuelven los
problemas, no reparan la puerta, ni apagan fuegos, ni recojen pruebas.
Cuando  alguien  tiene  un  incidente,  debería  pasarnos el informe a
nosotros,  sin  compromiso".  ¿Se comerá la policía del mundo físico a
los  CERTs? "En estos momentos, tienen tanto trabajo que no se dedican
a  buscar  atacantes.  Si  tienen  las  pruebas electrónicas, intentan
descubrir  a  la  persona que está detrás de una identidad informática
pero,  en  el  90%  de los casos en que no hay un proceso judicial, la
policía no interviene", afirma Medina.

Chelo   Malagón,   de   IRIS-CERT,   tampoco   cree  que  las  fuerzas
tradicionales  de  seguridad vayan a sustituirles: "Los incidentes que
manejan  son  diferentes:  pornografía  infantil,  fraude, chantajes..
Nosotros no recibimos denuncias de esta clase, la gente afectada ya va
directamente a la policía". De todas formas, la colaboración entre los
diferentes  grupos  es  "satisfactoria",  según  Malagón, quien añade:
"Somos complementarios".

Tanto  esCERT como IRIS-CERT empezaron con sólo una persona contratada
y hoy son cuatro en cada equipo. El esCERT se autofinancia al 100%. El
IRIS-CERT  depende  del Ministerio de Ciencia y Tecnología, un estatus
común  en  la  mayoría  de  CERTs  europeos,  muy  relacionados con la
universidad (de hecho, el esCERT se encarga también de la seguridad en
las  universidades  catalanas).  Su  servicio  más  importante  es  la
respuesta  a  incidentes.  Después  están  las  listas  de avisos, las
auditorías  y  peritajes, la información en la web, las estructuras de
certificación, la formación o la definición de políticas de seguridad.
Estas  prestaciones  son gratuitas para la comunidad académica y, para
empresas, sólo algunas (ayuda e información).

El  problema  llega  cuando  los ataques se originan o pasan por otros
países.  Es  necesario  tener  allí a una persona de "confianza", para
organizar  la  respuesta  o  seguir las huellas. La coordinación entre
CERTs  europeos  es  un  sueño  que,  por  ser  tan  diferentes      e
independientes,  aún  no se ha hecho realidad. La confianza se basa en
relaciones personales creadas usualmente en reuniones físicas, sin que
exista  una institución que certifique esta fe, necesaria hoy, ante el
aumento  de  trabajadores  y  su movilidad, que hacen fallar el modelo
basado en conocerse personalmente.

Las  conversaciones  para  dibujar  un  mecanismo  de  coordinación  y
confiabilidad  empezaron  en  1992.  En 1997 se puso en marcha el plan
piloto  EuroCERT,  que  no  cuajó.  Según Chelo Malagón, de IRIS-CERT,
quien  participó  en  la experiencia, "no se pudo llegar a un consenso
para   definir   un   servicio  permanente  por  parte  de  las  redes
contribuyentes,  debido  a  la  gran  diversidad  de  tipos de redes y
equipos   de  seguridad  existentes  en  Europa,  cada  uno  con  unas
necesidades y requerimientos específicos".

Desde  mayo  del  2000  y durante dos años, los CERTs están metidos en
otro  intento  de  coordinación  europea, llamado TF-CSIRT (Task Force
Computer  Security  Incident  Response  Team),  que tiene, entre otros
objetivos,   proporcionar   información   en  línea  sobre  los  CERTs
existentes y animar la creación de nuevos, establecer la famosa red de
confianza,  añadir a la base de datos RIPE (registro de direcciones IP
en  Europa)  una  entrada  para  el  responsable  de seguridad de cada
empresa   y   estandarizar  la  clasificación  de  los  incidentes  de
seguridad, para poder intercambiar estadísticas.

Y  es  que,  en algunos campos, la descoordinación es tanta que ni los
dos  CERTs  españoles  se  ponen de acuerdo a la hora de, por ejemplo,
clasificar los incidentes investigados. Herederos de la prehistoria de
la  seguridad cibernética, la mayoría de estos equipos mantienen aquel
carácter  anárquico,  científico,  de  hackers cuando los hackers eran
buenos.  No  se  ponen  de acuerdo para coordinar una red de confianza
pero, al hacer tantas reuniones sobre el tema, son estas citas las que
conforman,  "automágicamente",  la  red  deseada.  Algunos  les llaman
policías  y  otros, bomberos de Internet. Son, en todo caso, un número
de  teléfono  que  tienen,  en  las  mesas  de noche y de trabajo, los
administradores de sistemas.


CERT/CC
http://www.cert.org
IRIS-CERT
http://www.rediris.es/cert
esCERT
http://escert.upc.es

More information about the hacking mailing list