ISS y la alternativa en seguridad

Mediante un programa de conferencias, Internet Security Systems (ISS) efectuó su tradicional Día de la Seguridad. De lo ahí expuesto resulta una sola realidad: hay negocio para rato.

Alberto Arango, director general de ISS México, dio la bienvenida a los asistentes y presentó a Scott Paisley, director de Tecnología para las Américas de la misma compañía.
Paisley aprovechó el foro para exponer el panorama de seguridad de TIC en América Latina. Planteó las grandes ventajas de ISS, entre ellas su visión de las soluciones de seguridad (un ejemplo de ella es Virtual Patch, el cual protege contra cualquier exploit), prevención de intrusiones, detección de vulnerabilidades y la supremacía de su equipo de investigación X-Force, que con mucho aventaja a otras empresas en la detección de vulnerabilidades y fallas y de cuyos desarrollos depende la fortaleza tecnológica y estratégica de la compañía de seguridad.
Acto seguido, Ulises Castillo, director general de Scitum, moderó una mesa redonda acerca de la seguridad preventiva, y cuyas conclusiones indican que hay mucho trabajo por realizar para que las empresas mexicanas adopten las mejores prácticas para lidiar con las amenazas contra sus activos e información valiosa.
Por su parte, Marcelo Bezerra, director de Tecnología para Latinoamérica mostró las soluciones de la Plataforma de Seguridad Empresarial de ISS.
Phil Hillhouse, vicepresidente de Servicios Profesionales de Seguridad, y Preston Futrell, director de Desarrollo de Negocios, mostraron los servicios administrados de seguridad de ISS.
Mientras que Jorge Avello, ingeniero de sistemas expuso el panorama de protección para oficinas remotas y sucursales, con ayuda de software de presentación de datos y medio de acceso.
Los temas subsecuentes fueron protección para redes,prevención de spyware y, para cerrar con broche de oro, una capacitación técnica a cargo de David Maynor, experto de X-Force, quien concedió entrevista a eSemanal.
David Maynor trabaja para X-Force, en Atlanta. Esta fuerza es una entidad de 100 personas que investigan, prueban y desarrollan para ISS en el entorno de la seguridad informática.
En detalle, algunas de esas personas hacen auditorías, tanto de programas para clientes como de infraestructura; otros investigan fallas (el caso de Maynor). “La idea es estar un paso adelante sobre la competencia y educar a nuestros clientes”, asentó Maynor.
X-Force, como se aprecia, es esencial para ISS y su estructura es una pirámide invertida, en cuya cúspide trabajan dos personas, Maynor entre ellos.
Su función es vital para la empresa y sus clientes y asociados globales, está dentro de la investigación y el desarrollo y posee conocimientos y habilidades como pocos; pese a lo cual es una persona sencilla y accesible.
“Investigamos posibles fallas en los programas y sistemas operativos; publicamos advertencias de seguridad (advisories) que mandamos a los fabricantes interesados y actualizamos los productos de ISS para proteger esas fallas”.
En seguida explicó por qué una falla de software puede ser un riesgo para un cliente: “Algunas fallas son aprovechadas por gusanos para dañar sistemas o tambien robar información. Y si no son conocidas por el fabricante o sus usuarios, los ataques pasan desapercibidos y no complimos con nuestra mision: proteger a nuestros clientes”.
Es esa la razón por tanto esfuerzo para ser los primeros en encontrar las fallas y vulnerabilidades, porque les permite proteger a todos los clientes, “aun antes de que la falla sea pública y aprovechada por un gusano”, afirmó Maynor.
X-Force tiene el mérito de haber descubierto más de 50% de las fallas publicadas en los últimos meses, “eso nos permite tener actualizados nuestros productos meses antes que los demás”.
Puso como ejemplo a los gusanos que explotan la falla UpnP: “los habiamos descubiertos meses antes (y mandamos la advertencia a Microsoft). Así que cuando llegaron, teníamos productos preparados y nuestros clientes no tuvieron que preocuparse. Mientras varios competidores estaban parchando sus productos yo podía estar viendo una película en mi casa”.
Además, ISS es más seria y preocupada por la seguridad de sus clientes; regresando a la falla UPnP, X-Force descubrió que se podia explotar de cuatro formas diferentes: “bloqueamos todas, pero nuestra competencia solamente bloqueó una”, externó
Investigar les permite tener un mejor conocimiento de lo que puede suceder.
—¿Pueden averiguar lo que se transformará en gusano después de la advertencia pública? –inquirió eSemanal.
—Desafortunadamente, sí. El proceso es el siguiente: descubrimos una falla; averiguamos qué podría hacerse para aprovecharla (control remoto, negación de servicio, etcétera); reportamos la falla al fabricante; preparamos reportes internos para actualizar nuestros productos y bloquear; el fabricante corrige la falla y publica un match; hace la falla pública una vez que tenga disponible el parche –respondió Maynor.
Agregó que si la falla se puede explotar de forma sencilla, sale un gusano un par de días después, lo que sucedió con UpnP. “Sabíamos que una de las cuatro formas era muy fácil de integrar en un gusano”.
En la historia de UPnP, X-Force advirtió con cuatro meses de anticipación a Microsoft, “¡teniamos nuestros productos listos cuatro meses antes”!
—¿Cómo proceden y sobre cuáles plataformas?
—Básicamente, hacemos ingeniería inversa (reverse engineering) de las aplicaciones, que consiste en investigar el código ensamblador de las aplicaciones y encontrar fallas. Trabajamos con cualquier tipo de plataforma como Solaris, Windows, HP-UX y hasta PDA.
Para ello utilizan IDA Pro, que es un desensamblador, transforma un ejecutable (PE, DLL, OCX, ELF, etcétera) en código máquina (ensamblador) que es ejecutado por el procesador.
De igual forma analizan el código fuente de programas open source para encontrar fallas. “Si las encontramos, producimos reportes internos y preparamos los ataques para probar nuestros productos.
—¿Qué tipo de fallas buscan?
—Todo lo que pueda ser peligroso para el programa o el sistema operativo. Lo que buscamos son exploits como buffer overflow, heap overflow, bug de formato de string, off by one.
—Los fabricantes como Microsoft y otros, ¿les dan su código fuente?
—No.
—¿Es legal la ingeniería inversa de aplicaciones comerciales?
—Sí lo es cuando se usa para fines de investigación.
—¿Por qué son sólo dos en su equipo?
—No encontramos a nadie que tenga el perfil adecuado. Nuestro trabajo necesita tener un conocimiento avanzado de lenguajes de programación como C, C++, Perl, Python, Java y ensamblador para varios procesadores, además de conocer las arquitecturas de los sistemas a fondo. Tampoco podemos contratar a personas fichadas como hackers.
—¿Cuándo alguien es fichado como hacker?
—Cuando ha tenido actividades nocivas, como desarrollo de virus o gusanos, defacing de sitios, por ejemplo. ISS no contrata hackers.
—¿Estuviste en el foro de Black Hat este año. ¿No es un evento de hackers?
—LaBlack Hat Conference es un foro donde se comunica sobre seguridad informática. Yo hablé sobre las limitaciones de la protección de los procesadores llamada NX para prevenir buffer overflows.
—¿Michael Lynn, el que presentó las fallas del IOS de Cisco?
—Él era el tercero de mi equipo.
—¿Conocen algunas fallas que no se hayan corregido todavía?
—Sí, tenemos como 40, y ocho de ellas pueden apagar Internet.
—¿Y duermes bien?
—No realmente…
De todo lo anterior se obtienen varias conclusiones, entre ellas la afirmación de que hay negocio en la seguridad, tanto como para mantener relaciones de largo plazo con los clientes. Otras son escalofriantes, pero en los fabricantes como ISS, el canal y los usuarios de tecnología está la respuesta, deben todos y cada uno realizar las acciones necesarias para lograr un entorno seguro para la información y los negocios.