seguridad informática
DESCRIPTION
e un documento el cual habla de la seguridad informática como son su importancia y que sean paginas realesTRANSCRIPT
Ing. Aarón Chánez GuzmánConsultor en seguridad informática ASCII S.A. de C.V. En Guadalajara Jalisco MéxicoProduct Manager Antivirus
Seguridad Informática
Introducción a la seguridad de la información
Introducción
Muchas empresas son amenazadas constantemente en sus activos lo que pudiera representar miles o millones de dólares en pérdidas. Las vulnerabilidades en nuestros sistemas de información pueden representar problemas graves, por ello es muy importante comprender los conceptos necesarios para combatirlos y defendernos de posibles ataques a nuestra información.
Ejemplo
Se publicó una noticia sobre un virus diseñado para lanzar ataques masivos y cómo prevenirlo para evitar consecuencias no deseadas. Se trata de un virus de tipo gusano que se propaga con los nombres de LoveSan, Blaster o MSBlaster el cual aprovecha un agujero en la seguridad de Windows® 2000 y Windows® XP, concretamente en el software que permite compartir archivos con otras máquinas. La finalidad de la plaga es recolectar equipos para realizar un ataque hacker contra un sitio de Microsoft.
Este es un claro ejemplo de cómo una vulnerabilidad de Windows es aprovechada por Blaster. La mencionada vulnerabilidad de Windows, denominada RPC DCOM, consiste en un desbordamiento de buffer en la interfaz RPC, y ha sido calificada como "crítica" por la propia compañía Microsoft. Afecta a las versiones NT 4.0, 2000, XP y Windows Server 2003.
Conceptos básicosEn la actualidad la información es el objeto de mayor valor para las empresas.El progreso de la informática y de las redes de comunicación nos presenta un nuevo escenario, donde los objetos del mundo real están representados por bits y bytes, que ocupan lugar en otra dimensión y poseen formas diferentes de las originales, no dejando de tener el mismo valor que sus objetos reales, y, en muchos casos, llegando a tener un valor superior.
Por esto y otros motivos, la seguridad de la información es un asunto tan importante para todos, pues afecta directamente a los negocios de una empresa ode un individuo.
La seguridad de la información tiene como propósito proteger la información registrada, independientemente del lugar en que se localice: impresos en papel, en los discos duros de las computadoras o incluso en la memoria de las personas que las conocen.
Los objetos reales o tangibles (entendiendo por éstos aquellas cosas de valor físico como joyas, pinturas, dinero, etc.) están protegidos por técnicas que los encierran detrás de rejas o dentro de cajas fuertes, bajo la mira de cámaras o guardias de seguridad.
Pero, ¿Y la información que se encuentra dentro de servidores de archivos, qué transitan por las redes de comunicación o que son leídas en una pantalla de computadora? ¿Cómo hacer para protegerla, ya que no es posible usar las mismas técnicas de protección de objetos reales?
Una de las preocupaciones de la seguridad de la información es proteger los elementos que forman parte de la comunicación.Así, para empezar, es necesario identificar los elementos que la seguridad de la información buscaproteger:
- La información- Los equipos que la soportan- Las personas que la utilizan
Activos.
“¿Sabía usted que el 94% de las empresas que pierden sus datosDesaparece?
Un activo es todo aquel elemento que compone el proceso de la comunicación, partiendo desde la información, su emisor, el medio por el cual se transmite, hasta su receptor.
Son tres elementos que conforman lo que denominamos activos:• La información,• Los Equipos que la soportan y,• Las personas que los utilizan.
Información:En este grupo están los elementos que contienen información registrada, en medio electrónico o físico, dentro de los más importantes tenemos:Cualquier tipo de información, sin importar en qué tipo de medio se tengaalmacenada, que sea de importancia para la empresa y sus negocios.
Ejemplos: • informes• libros• manuales• correspondencias• patentes• información de mercado• código de programación• líneas de comando• archivos de configuración• planillas de sueldos de empleados• plan de negocios de una empresa, etc.
Equipos que la soportan:1. Software
Este grupo de activos contiene todos los programas de computadora que se utilizan para la automatización de procesos, es decir, acceso, lectura, tránsito y almacenamiento de la información. Entre ellos citamos:
• las aplicaciones comerciales• programas institucionales• sistemas operativos• otros
La seguridad de la información busca evaluar la forma en que se crean las aplicaciones, cómo están colocadas a disposición y la forma como son utilizadas por los usuarios y por otros sistemas, para detectar y corregir problemas existentes en la comunicación entre ellos.
2. Hardware:
Estos activos representan toda la infraestructura tecnológica que brinda soporte a la información durante su uso, tránsito y almacenamiento.
Los activos que pertenecen a este grupo son: Cualquier equipo en el cual se almacene, procese o transmita la información de la empresa.
Ejemplos:
• las computadoras• los servidores• los equipos portátiles• los mainframes• los medios de almacenamiento• los equipos de conectividad, enrutadores, switchs y cualquier otro elemento de una red de computadoras por donde• transita la información.
3. Organización:
En este grupo se incluyen los aspectos que componen la estructura física y organizativa de las empresas.
Se refiere a la organización lógica y física que tiene el personal dentro de la empresa en cuestión.
Como ejemplos de estructura organizativa, tenemos entre otros:
• la estructura departamental y funcional• el cuadro de asignación de funcionarios• la distribución de funciones y los flujos de información de la empresa
En lo que se refiere al ambiente físico, se consideran entre otros:
• salas y armarios donde están localizados los documentos• Fototeca• sala de servidores de archivos.
Las personas que la utilizanEl grupo usuarios se refiere a los individuos que utilizan la estructura tecnológica y de comunicación de la empresa y que manejan la información.
El enfoque de la seguridad en los usuarios, está orientado hacia la toma de conciencia de formación del hábito de la seguridad para la toma de decisiones y acción por parte de todos los empleados de una empresa, desde su alta dirección hasta los usuarios finales de la información, incluyendo los grupos que mantienen en funcionamiento la estructura tecnológica, como los técnicos, operadores y administradores de ambientes tecnológicos.
Ejemplos:
• Empleados del área de contabilidad.• Directivos de la empresa.
Protección de los activos
Una vez que conocemos los diferentes tipos de activos que podemos encontrar en las empresas, ahora profundizaremos en los principios básicos que nos ayudarán a proteger el activo de más valor en los negocios modernos: la información
Proteger los activos significa mantenerlos seguros contra amenazas que puedan afectar su funcionalidad:Corrompiéndola, accediéndola indebidamente, o incluso eliminándola o hurtándola.
Por lo tanto, entendemos que la seguridad de la información tiene en vista proteger a estos activos de una empresa o individuo, con base en la preservación de tres principios básicos: integridadconfidencialidad y, disponibilidad de la información.
Amenazas y puntos débilesAmenazas
Las amenazas son agentes capaces de explotar los fallos de seguridad, que denominamos puntos débiles y, como consecuencia de ello, causar pérdidas o daños a los activos de una empresa, afectando a sus negocios.
Los activos están constantemente sometidos a amenazas que pueden colocar en riesgo la integridad, confidencialidad y disponibilidad de la información. Estas amenazas siempre existirán y están relacionadas a causas que representan riesgos, las cuales pueden ser:• causas naturales o no naturales• causas internas o externasPor lo tanto, entendemos que uno de los objetivos de la seguridad de la información es impedir que las amenazas exploten puntos débiles y afecten alguno de los principios básicos de la seguridad de la información (integridad, disponibilidad, confidencialidad), causando daños al negocio de las empresas.
Tipos de amenazas
Las amenazas son constantes y pueden ocurrir en cualquier momento. Esta relación defrecuencia-tiempo, se basa en el concepto de riesgo, lo cual representa la probabilidad de que una amenaza se concrete por medio de una vulnerabilidad o punto débil. Las mismas se podrán dividir en tres grandes grupos.
1. Amenazas naturales – condiciones de la naturaleza y la intemperie que podrán causar daños a los activos, tales como fuego, inundación, terremotos,2. Intencionales – son amenazas deliberadas, fraudes, vandalismo, sabotajes, espionaje, invasiones y ataques, robos y hurtos de información, entre otras.3. Involuntarias - son amenazas resultantes de acciones inconscientes de usuarios, por virus electrónicos, muchas veces causadas por la falta de conocimiento en el uso de los activos, tales como errores y accidentes.
EJEMPLO:Entre las principales amenazas, la ocurrencia de virus, la divulgación de contraseñas y la acción de hackers están entre los más frecuentes.
La 6ª Encuesta Nacional sobre Seguridad de la Información realizada por Modulo SecuritySolutions S.A. en Brasil en el año 2000, se revelan los elementos que representan lasprincipales amenazas a la información de las empresas brasileñas.
Puntos débiles
Los puntos débiles son los elementos que, al ser explotados por amenazas, afectan la confidencialidad, disponibilidad e integridad de la información de un individuo o empresa. Uno de los primeros pasos para la implementación de la seguridad es rastrear y eliminar los puntos débiles de un ambiente de tecnología de la información. Al ser identificados los puntos débiles, será posible dimensionar los riesgos a los cuales el ambiente está expuesto y definir las medidas de seguridad apropiadas para su corrección.
Riesgos, medidas y ciclo de seguridad
Riesgos
El riesgo es la probabilidad de que las amenazas exploten los puntos débiles, causando pérdidas o daños a los activos e impactos al negocio, es decir, afectando: La confidencialidad, la integridad y la disponibilidad de la información.
Concluimos que la seguridad es una práctica orientada hacia la eliminación de las vulnerabilidades para evitar o reducir la posibilidad que las potenciales amenazas se concreten en el ambiente que se quiere proteger. El principal objetivo es garantizar el éxito de la comunicación segura, con información disponible, íntegra y confidencial, a través de medidas de seguridad que puedan tornar factible el negocio de un individuo o empresa con el menor riesgo posible.
Medidas de seguridad
Ya que existe una variedad de clases de puntos débiles que afectan la disponibilidad, confidencialidad e integridad de la información, deberán existir medidas de seguridad específicas para el tratamiento de cada caso.
A partir de este conocimiento, se toman las medidas o acciones de seguridad que pueden ser de índole:• Preventivo: buscando evitar el surgimiento de nuevos puntos débiles y amenazas;• Perceptivo: orientado hacia la revelación de actos que pongan en riesgo lainformación o• Correctivo: orientado hacia la corrección de los problemas de seguridadconforme su ocurrencia.
Medidas globales de seguridad
Las medidas de seguridad son un conjunto de prácticas que, al ser integradas, constituyen una solución global y eficaz de la seguridad de la información. Entre las principales medidas se destacan:• Análisis de riesgos• Política de seguridad• Especificación de seguridad• Administración de seguridad
Ciclo de seguridad
El ciclo de seguridad se inicia con la identificación de las amenazas a las cuales están sometidas las empresas.
La identificación de las amenazas permitirá la visualización de los puntos débiles que se podrán explotar, exponiendo los activos a riesgos de seguridad.
Esta exposición lleva a la pérdida de uno o más principios básicos de la seguridad de la información, causando impactos en el negocio de la empresa, aumentando aún más los riesgos a que están expuestas las informaciones.
Para que el impacto de estas amenazas al negocio se pueda reducir, se toman medidas de seguridad para impedir la ocurrencia de puntos débiles.
Concluimos la definición de seguridad de la información desde la ilustración delciclo:
Descanso 10 minutos
Concepto de análisis de riesgosIntroducción
Cada día va en aumento la cantidad de casos de incidentes relacionados con la seguridad de los sistemas de información que comprometen los activos de las empresas.
Lo que antes era ficción,en la actualidad se convierte, en muchos casos, en realidad. Las amenazas siempre han existido, la diferencia es que ahora, el enemigo es más rápido, más difícil de detectar y mucho más atrevido. Es por esto, que toda organización debe estar en alerta y saber implementar sistemas de seguridad basados en un análisis de riesgos para evitar o minimizar las consecuencias no deseadas.
Qué es el análisis de riesgos
Es un paso importante para implementar la seguridad de la información. Como su propio nombre lo indica, es realizado para detectar los riesgos a los cuales están sometidos los activos de una organización, es decir, para saber cuál es la probabilidad de que las amenazas se concreten.
Las amenazas se pueden convertir en realidad a través de fallas de seguridad, que conocemos como vulnerabilidades y que deben ser eliminadas al máximo para que el ambiente que se desea proteger esté libre de riesgos de incidentes de seguridad.Por lo tanto, la relación entre amenaza-incidente-impacto, es la condición principal a tomar en cuenta en el momento de priorizar acciones de seguridad para la corrección de los activos que se desean proteger y deben ser siempre considerados cuando se realiza un análisis de riesgos.
Otro punto importante a considerar en la realización del análisis de riesgos es la relación costo-beneficio. Este cálculo permite que sean evaluadas las medidas de seguridad con relación a su aplicabilidad y el beneficio que se agregará al negocio. Así, esta visión orienta la implementación de las medidas de seguridad sólo en las situaciones en que la relación costo-beneficio se justifique.
Momento y ámbitos del análisis de riesgosMomento de análisis de riesgos
El análisis de riesgos puede ocurrir antes o después de la definición de una política de seguridad. Según la norma internacional BS/ISO/IEC 17799, esta actividad puede ser hecha después de la definición de la política.
El propósito de tomar en cuenta una política de seguridad en el análisis se debe a varias razones:• La política de seguridad delimita el alcance del análisis.• Permite ser selectivo en la verificación de activos que la política establece como vulnerables.• El análisis toma en cuenta la lista de amenazas potenciales que la mismapolítica contempla.
Sin embargo, la realización del análisis de riesgos como primer elemento de la acción de seguridad, es un hecho determinante para procesos críticos en que son analizadas todas las amenazas. De esta manera son considerados y analizados todos los activos de la organización, sea por muestreo o en su totalidad, para que estén libres de vulnerabilidades con el propósito de reducir los riesgos.
Ámbitos del análisis de riesgos
Relevancia de los procesos de negocio y sus activos en el análisis de la seguridadAl hacer un análisis de riesgos, es importante identificar la relevancia que tienen los procesos de la empresa en la organización, para así poder priorizar las acciones de seguridad, es decir, iniciar el trabajo de implementación de seguridad en las áreas más estratégicas que puedan traer un impacto mayor a la organización cuando se presente algún incidente.
La relevancia de cada uno de los procesos de negocio en la empresa, es un punto clave a considerar durante la realización del análisis de riesgos. Dicha relevancia será de gran importancia para identificar el rumbo de las acciones de seguridad a implantar en la organización.
La identificación de la relevancia de los procesos de negocio en la organización, es determinante para que las acciones de seguridad sean dirigidas a las áreas más críticas, o de mayor prioridad. Este trabajo permite dar prioridad a las acciones que son más urgentes, al dirigir también los costos y optimizar los recursos donde realmente sean necesarios.
Definición del equipo involucrado y entrevistas a los usuarios.
Definición del equipo involucrado
La definición del equipo humano es muy Importante, tanto para dimensionar la fuerza de trabajo necesaria para la realización del análisis de riesgos (analistas de seguridad), como para aquellos que se encargaran de entrevistar a las personas involucradas en procesos de negocio (entrevistadores) que proveerán de información vital para el proyecto de análisis de riesgos; y además, serán los responsables por el acceso a los activos para la recolección de información.
Entrevista a los usuarios
Las entrevistas a los usuarios pueden servir como guía de los análisis técnicos, puesto que rastrean a los involucrados con la administración de los activos que serán analizados y considerados con relación a las vulnerabilidades que puedan desencadenar amenazas al proceso de negocio. También en dichas entrevistas pueden ser detectados nuevos elementos humanos o tecnológicos que hacen parte del proceso de negocio y que también necesitan ser analizados.
La entrevista a usuarios de los procesos de negocio permite:• Obtener detalles sobre cómo son gestionados, implementados y utilizados.• Hacer un mapeo de la criticidad de estos procesos frente a las circunstanciasorganizacionales a que está sometido,• Definir el nivel de capacitación necesaria del equipo involucrado en susustentación• Conocer la forma con que se da el flujo de información dentro del proceso,• Conocer la forma de uso y tratamiento de sus productos derivados,entre otras cosas
Análisis técnico de seguridad
El análisis técnico de seguridad es una de las etapas más importantes del análisis de riesgos. A través de éste se hacen las colectas de información sobre la forma en que los activos:
• fueron configurados,• estructurados en la red de comunicación, y• la forma en que son administrados por sus responsables.
El análisis técnico es la forma en que se obtiene la información específica de como son gestionados en general los activos de la empresa. De esta forma, es posible identificar, en las entrelíneas de las configuraciones, la forma en que son utilizados y manipulados, buscando identificar vulnerabilidades de seguridad.
En el proceso de análisis técnico de seguridad, diversos tipos de activos son considerados, según sea el ámbito definido al inicio del proyecto, con el propósito de monitorear las vulnerabilidades presentes a través de errores de configuración o desconocimiento de las posibilidades de ataque por amenazas potenciales. Dentro de los activos tecnológicos analizados técnicamente, podemos listar los siguientes:
Análisis de seguridad física
Nuestro entorno debe estar organizado de tal forma que garantice la continuidad y el buen desempeño de las actividades individuales como la manutención debida de los activos.
Preocupaciones como el exceso de humedad o calor, la disposición de los cables de datos y eléctricos, la existencia de fallas en la organización del entorno, pueden exigir la reestructuración del espacio físico para permitir un área de trabajo que sea segura, y por lo tanto, la información de la organización se encuentre también segura.
Análisis de seguridad física
El análisis de seguridad física se inicia con la visita técnica en los entornos en donde se realizan actividades relacionadas directa o indirectamente con los procesos de negocio que están siendo analizados, a los cuales se deben atribuir soluciones de seguridad. Estos ambientes deben ser observados con relación a lo siguiente:
Disposición organizativa
Se considera la disposición organizativa en especial sobre:• la organización del espacio con relación a cómo están acomodados los muebles y los activos de información.• que las áreas de circulación de personas en lugares de alto transito estén libres de activos valor o importancia.• que los activos de alta importancia se ubiquen en áreas libres de acceso depersonas que no están autorizadas para operarlos.
Sistemas de combate a incendio
Se considera la disposición de los mecanismos de combate a incendio,cuidando que estén en los lugares adecuados:• los detectores de humo,• los aspersores de agua,• los extintores de incendio,entre otras cosas.
Control de acceso
Se ocupa de la disposición de sistemas de detección y autorización de acceso a las de personas, para esto se hace uso de:• cámaras de video,• hombres de seguridad,• trinquete para acceso,• mecanismos de reconocimiento individual,entre otros.
Exposición a clima y medio ambiente
Disposición de las ventanas y puertas de áreas críticas.• Se preocupa que se encuentren ubicadas próximas a activoscríticos, • Si los activos críticos reciben luz solar o posibilidad de amenaza causadas por los fenómenos de la naturaleza, como viento o lluviasfuertes.
Topografía
Se interesa en la localización del centro de procesamiento de datos, de la sala de cómputo o del sitio de servidores, o cualquier área crítica con relación a la topografía del terreno si se encuentran en el subsuelo, al alcance de inundaciones, próximas a áreas de riesgo como proximidad al mar, ríos o arroyos o áreas de retención de agua o con posibilidad de pérdidas de cañerías hidráulicas.
Relevancia de los activos para el análisis de riesgos
En el análisis de riesgo se sugiere la valoración de la relevancia del proceso de negocio. Esta valoración permite tener una idea del impacto que un incidente de seguridad puede causar al proceso de negocio, al llevar en consideración el valor estratégico que posee para la organización como un todo.
Cuanto mayor relevancia tenga un proceso para el negocio, mayor es la importancia crítica de los activos que hacen parte de éste y, como consecuencia, mayor será el riesgo a que está expuesta la organización en el caso de que ocurra un incidente de seguridad en dicho proceso. La consideración de la relevancia también permite que sean dirigidas accionesde corrección de problemas en los activos de mayor prioridad en el momento del análisis, pues son parte de procesos de negocio de alta relevancia.
Los resultados del análisisde riesgos
Una vez que se realiza el análisis de riesgos, la organización tiene en sus manos una poderosa herramienta para el tratamiento de sus vulnerabilidades y un diagnóstico general sobre el estado de la seguridad de su entorno como un todo. A partir de este momento es posible establecer políticas para la corrección de los problemas ya detectados, y la gestión de seguridad de ellos a lo largo del tiempo, para garantizar que las vulnerabilidades encontradas anteriormente no sean más sustentadas o mantenidas, gestionando de esa manera la posibilidad de nuevas vulnerabilidades que puedan surgir a lo largo del tiempo.
Cuando se sabe que las innovaciones tecnológicas son cada vez más frecuentes, aparecen una serie de nuevas oportunidades para que individuos maliciosos se aprovechen de ellas y realicen acciones indebidas en los entornos humanos, tecnológicos, físicos y de procesos.
Una vez que se tienen las recomendaciones, se inician las acciones de distribución de ellas para corregir el entorno y reducir los riesgos a que está sometida la infraestructura humana, tecnológica, de procesos y física que respalda a uno o más procesos de negocio de una organización. De esa manera es posible implementar en los activos analizados, y también en los activos de mismas características que losanalizados, las medidas de corrección y tratamiento de las vulnerabilidades.
El análisis de riesgos tiene como resultado los informes de recomendaciones de seguridad, para que la organización pueda evaluar los riesgos a que está sometida y conocer cuáles son los activos de los procesos de negocio que están más susceptibles a la acción de amenazas a la confidencialidad, integridad y disponibilidad de la información utilizada para alcanzar los objetivos intermedios o finales de la organización.
Una vez que los resultados son rastreados y puntuados con relación a su valor crítico y relevancia, uno de los productos finales del análisis de riesgos, la matriz de valor crítico, indica a través de datos cualitativos y cuantitativos la situación de seguridad en que se encuentran los activos analizados, al listar las vulnerabilidades, amenazas potenciales y respectivas recomendaciones de seguridad para corrección de las vulnerabilidades.
La política de seguridadUna política de seguridad es un conjunto de directrices, normas, procedimientos e instrucciones que guía las actuaciones de trabajo y define los criterios de seguridad para que sean adoptados a nivel local o institucional, con el objetivo de establecer, estandardizar y normalizar la seguridad tanto en el ámbito humano como en el tecnológico. A partir de sus principios, es posible hacer de la seguridad de la información un esfuerzo común, en tanto que todos puedan contar con un arsenal informativo documentado y normalizado, dedicado a la estandardización del método de operación de cada uno de los individuos involucrados en la gestión de la seguridad de la información.
Elaboración de la políticaPara elaborar una política de seguridad de la información, es importante tomar en cuenta las exigencias básicas y las etapas necesarias para su producción
a) Exigencias de la políticab) Etapas de producción
Exigencias de la política
La política es elaborada tomando como base la cultura de la organización y el conocimiento especializado de seguridad de los profesionales involucrados con su aplicación y comprometimiento. Es importante considerar que para la elaboración de una política de seguridad institucional se debe:
• Integrar el Comité de Seguridad responsable de definir la política.• Elaborar el documento final.• Hacer oficial la política una vez que se tenga definida.
Etapas de producción de la política
Elaborar una política es un proceso que exige tiempo e información. Es necesario conocer cómo se estructura la organización y cómo son dirigidos en la actualidad sus procesos. A partir de este reconocimiento, se evalúa el nivel de seguridad existente para poder después detectar los puntos a analizar para que esté en conformidad con los estándares de seguridad. El trabajo de producción se compone por distintas etapas, entre otras:
• Objetivos y ámbito• Entrevista• Investigación y análisis de documentos• Reunión de política• Glosario de la política• Responsabilidades y penalidades
Implantación de la política de seguridad
Una política se encuentra bien implantada cuando:
• Refleja los objetivos del negocio, es decir, está siempre de acuerdo con la operación necesaria para alcanzar las metas establecidas. • Agrega seguridad a los procesos de negocio y garantiza una gestión inteligente de los riesgos.• Está de acuerdo con la cultura organizacional y está sustentada por el compromiso y por el apoyo de la administración.• Permite un buen entendimiento de las exigencias de seguridad y una• evaluación y gestión de los riesgos a los que está sometida la organización.
La implantación de la política de seguridad depende de:
•Una buena estrategia de divulgación entre los usuarios.•Una libre disposición de su contenido a todos los involucrados para aumentar el nivel de seguridad y compromiso de cada uno.•Campañas, entrenamientos, charlas de divulgación, sistemas de aprendizaje.•Otros mecanismos adoptados para hacer de la seguridad un elemento común a todos.
Seguridad LógicaLa seguridad lógica consiste en la “aplicación de barreras y procedimientos
que resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo”
Los objetivos que sea platean serán:
1. Restringir el acceso a los programas y archivos.2. Asegurar que los operadores puedan trabajar sin una supervisión
minuciosa y no puedan modificar los programas ni los archivos que no correspondan.
3. Asegurar que estén utilizados los datos, archivos y programas correctos en y por el procedimiento correcto.
4. Que la información transmitida sea recibida sólo por el destinatario al cual ha sido enviada y no a otro.
5. Que la información recibida sea la misa que ha sido transmitida.6. Que existan sistemas alternativos de emergencia para la transmisión de
información.
Control de accesoEstos controles pueden implementarse en el sistema operativo, sobre los
sistemas de aplicación, en bases de datos, en un paquete especifico de seguridad o en cualquier otro utilitario.
Asimismo, es conveniente tener en cuanta otras consideraciones referidas a la seguridad lógica, como por ejemplo las relacionadas al procedimiento que se lleva a cabo para determinar si corresponde un permiso de acceso. A un determinado recurso.
IDENTIFICACIÓN Y AUTENTIFICACIÓN
Es la primera línea de defensa para la mayoría de los sistemas computarizados, permitiendo prevenir el ingreso de personas no autorizadas. Es la base para la mayor parte de los controles de acceso y para el seguimiento de las actividades de los usuarios.
Se denomina identificación al momento en que el usuario se da a conocer en el sistema; y autentificación a la verificación que realiza el sistema sobre esta identificación.
Existen 4 tipos de técnicas que permiten realizar la autentificación de la identidad del usuario, las cuales pueden ser utilizadas individualmente o combinadas:
1. Algo que solamente el individuo conoce (password, pin, llave, etc.)2. Algo que la persona posee (tarjeta magnética)3. Algo que el individuo es y lo identifica unívocamente (huella, voz, etc.)4. Algo que el individuo es capaz de hacer (patrones de escritura)
RolesEl acceso a la información tambien puede controlarse a través de la función o
rol del usuario que requiere dicho acceso. (administrador, usuario, invitado, etc.)
TransaccionesTambién pueden implementarse controles a través de las transacciones
(solicitar una clave al requerir el procesamiento de una transacción determinada.)
Limitaciones de servicios
Estos controles se refieren a las restricciones que dependen de parámetros propios de la utilización de la aplicación o preestablecidos por el administrador del sistema (utilización simultanea de un determinado producto de software para 5 personas, y no permita uno más.
Modalidad de accesoSe refiere al modo de acceso que se permite al usuario sobre los recursos y a
la información. Esta modalidad puede ser:
Lectura, escritura, ejecución, borrado, y todas las anteriores.
Y otras modalidades de acceso especiales, que generalmente se incluyen en los sistemas de aplicación.
Creación y búsqueda.
Ubicación y HorarioEl acceso a determinados recursos del sistema puede estar basado en la
ubicación física o lógica de los datos o personas. En cuanto horarios, este tipo de controles perite limitar el acceso de los usuarios a determinadas horas del día o a determinados días de la semana. De esta forma se mantiene un control mas restringido de los ususarios y zonas de ingreso.
Control de Acceso internoPalabras claves (passwords)
Generalmente se utilizan para realizar la autenticación del usuario y sirven para proteger los datos y aplicaciones.
Sincronización de passwords
Consiste en permitir que un usuario acceda con el mismo password a diferentes sistemas interrelacionados y, su actualización automatica en todos ellos en caso de ser modificada.
Caducidad y control
Este mecanismo controla cuando pueden y/o deben cambiar sus passwords los ususarios. Se define el período mínimo que debe pasar para que los usuarios puedan cambiar sus passwords, y un período máximo que puede transcurrir para que estas caduquen.
EncriptaciónLa información encriptada solamente puede ser desencriptada por quienes
posean la clave apropiada. La encriptación puede proveer de una potente medida de control de acceso.
Listas de control de accesos
Se refiere a un registro deonde se encuentran los nombres de los usuarios que obtuvieron un permiso de acceso a un determinado recurso del sistema, así como la modalidad de acceso permitido.
Limites sobre la interfaz del usuario
Estos límites, generalmente, son utilizados en conjunto con las listas de control de accesos y restringen a los usuarios a funciones especificas. (menús, vistas, limites fisicos etc.)
Etiquetas de seguridad
Consiste en designaciones otorgadas a los recursosl que pueden utilizarse para varios propósitos como control de accesos, especificacion de medidas de protección etc. Estas etiquetas no son modificables.
Control de acceso externo
Dispositivos de control de puertos
Estos dispositivos autorizan el acceso a un puerto determinado y pueden estar físicamente separados o incluidos en otro dispositivo de comunicaciones. (modem)
Firewalls o Puertas de seguridad
Permiten bloquear o filtrar el acceso entre dos redes, usualmente una privada y otra externa. Los firewalls permiten que los usuarios internos se conecten a la red exterior al mismo tiempo que previenen la intromisión de atacantes o virus a los sistemas de la organización.
Acceso de personal contratado o consultores
Debido a que este tipo de personal en general presta servicios temporarios, se debe ponerse especial consideración en la política y administración de sus perfiles de acceso.
Accesos publicos
Para los sistemas de información consultados por el público en general, o los utilizados para distribuir o recibir información computarizada deben tenerse en cuenta medidas especiales de seguridad ya que se incrementa el riesgo y se dificulta su administración
Debe considerarse para estos casos de sistemas públicos, que un ataque externo o interno pueden acarrear un impacto negativo en la imagen de la organización.
Administración
Una vez establecidos los controles de acceso sobre los sistemas y la aplicación es necesario realizar una eficiente administración de estas medidas de seguridad lógica, lo que involucra la implementación, seguimientos, pruebas y modificaciones sobre los accesos de los usuarios a los sistemas
La politica de seguridad que se desarrolle respecto a la seguridad lógica debe guiar a las decisiones referidas a la determinación del os controles de accesos y especificando las consideraciones necesarias para el establecimiento de perfiles de usuarios.
Niveles de seguridad Informática
El estándar de niveles de seguridad mas utilizado internacionalmente es el TCSEC Orange Book, desarrollado en 1983 de acuerdo a las normas de seguridad en comutadoras del Departamento de defensa de EEUU.
Los niveles describen diferentes tipos de seguridad del Sistema Operativo y se enumeran desde el mínimo grado de seguridad al Máximo.
Estos niveles han sido la base de desarrollo de estándares europeos (ITSEC/ITSEM) y luego internacionales (ISO/IEC).
Cabe aclarar que cada nivel requiere todos los niveles definidos anteriormente: así el subnivel B2 abarca los subniveles B1, C2, C1, y el D.
Nivel D
Este nivel contiene sólo una division y esta reservada para sistemas que han sido evaluados y no cumplen con ninguna especificación de seguridad. Sin sistemas no confiables no hay protección para el hardware, el sistema operativo es inestable y no hay autentificación con respecto a los usuarios y sus derechos en el acceso a la información. Los sistemas operativos que responden a este nivel son MS-DOS y System 7.0 de Macintosh
Nivel C1: Protección Discrecional
Se requiere identificación de usuarios que permite el acceso a distinta información. Cada usuario puede manejar su información privada y se hace la distinción entre los usuarios y el administrador del sistema, quien tiene control total de acceso.
Muchas de las tareas cotidianas de administración del sistema sólo pueden ser realizadas por este “super usuario”; quien tiene gran responsabilidad en la seguridad del mismo.
Nivel C2
Este subnivel fue diseñado para solucionar las debilidades del C1. Cuenta con características adicionales que crean un ambiente de acceso controlado. Se debe llevar una auditoria de accesos e intentos fallidos de acceso a objetos. Tiene la capacidad de restringir aún mas el que los usuarios ejecuten ciertos comandos o tengan acceso a ciertos archivos, permitir o denegar datos a usuarios en concreto, con base no solo en los permisos, sino tambien en los niveles de autorización.
Nivel B1: Seguridad Etiquetada
Este subnivel, es el primero de los tres con que cuenta el nivel B. Soporta seguridad multinivel como la secreta y ultrasecreta. Se establece que el dueño del archivo no puede modificar los permisos de un objeto que esta bajo el control de acceso obligatorio. A cada objeto del sistema (usuario, dato, etc) se le asigna una etiqueta, con un nivel de seguridad jerárquico (alto secreto, secreto, reservado, etc.) y con unas categorías (contabilidad, nóminas, ventas,etc).
Nivel B2: Protección Estructurada
Requiere que se etiquete cada objeto de nivel superior por ser padre de un objeto inferior. La protección estructurada es la primera que empieza a referirse al problema de un objeto a un nivel mas elevado de seguridad en comunicación con otro objeto a un nivel inferior. Así un disco rígido será etiquetado por almacenar archivos que son accedidos por distintos usuarios.
El sistema es capaz de alertar a los usuarios si sus condiciones de accesibilidad y seguridad son modificadas; y el administrador es el encargado de fijar los canales de almacenamiento y ancho de banda a utilizar por los demás usuarios.
Nivel B3: Dominios de Seguridad
Refuerza a los dominios con la instalación de hardware: por ejemplo el hardware de administración de memoria se usa para proteger el dominio de seguridad de acceso no autorizado a la modificación de objetos de diferentes dominios de seguridad. Existe un monitor de referencia que recibe las peticiones de acceso de cada usuario y las permite o las deniega según las politicas de acceso que se hayan definido.
Nivel A: protección verificada
Es el nivel mas elevado, incluye un proceso de diseño, control y verificación, mediante métodos formales (matemáticos) para asegurar todos los procesos que realiza un usuario sobre el sistema.
Para llegar a este nivel de seguridad, todos los componentes de los niveles inferiores deben incluirse. El diseño requiere ser verificado de forma matemática y también se deben realizar análisis de canales encubiertos y de distribución confiable. El software y el hardware son protegidos para evitar infiltraciones ante traslados o movimientos de equipamiento
Delitos informáticos
La información y el Delito
El delito informático implica actividades criminales que los países han tratado de encuadrar en figuras típicas de carácter tradicional, tales como robos, hurtos, fraudes, falsificaciones, perjuicios, estafas, sabotajes. Sin embargo, debe de destacarse que el uso de las técnicas informáticas han creado nuevas posibilidades del uso indebido de las computadoras lo que ha creado la necesidad de regulación por parte del derecho.
Se considera que no existe una definición formal y universal del delito informático pero se han formulado conceptos respondiendo a realidades nacionales concretas: “no es labor fácil dar un concepto sobre delitos informáticos, en razón de que su misma denominación alude a una situación muy especial, ya que para hablar de “delitos” en el sentido de aciones típicas, es decir tipificadas o contempladas en textos jurídicos penales, se requiere que la expresión de “delitos informáticos” este consignada en los códigos penales, lo cual en nuestro país, al igual que en muchos otros no han sido objeto de tipificación aún.
Tipos de delitos Informáticos
La ONU reconocen los siguientes tipos de delitos informáticos:
1. Fraudes cometidos mediante la manipulación de computadoras2. Manipulación de los datos de entrada3. Daños o modificaciones de programas o datos computarizados
Adicionalmente a estos tipos de delitos reconocidos, el XV Congreso Internacional de Derecho ha propuesto todas las formas de conductas lesivas de la que puede ser objeto la información. Ellas son:
Fraude en el campo de la informáticaFalsificación en materia informáticaSabotaje informático y daños a datos computarizados o programas inf.Acceso no autorizadoIntercepción sin autorización.Reproducción no autorizada de un programa informático protegido.Espionaje informáticoUso no autorizado de una computadora.Trafico de claves informáticos obtenidas por medio ilícitoDistribución de virus o programas delictivos.
Delincuente y Victima
Sujeto Activo:
Se llama así a las personas que cometen los delitos informáticos. Son aquellas que poseen ciertas características que no presentan el denominador común de los delincuentes, esto es, los sujetos activos tienen habilidades para el manejo de sistemas informáticos y generalmente por su situación laboral se encuentran en lugares estratégicos donde se maneja información de carácter sensible, o bien son hábiles en el uso de los sistemas , aún cuando, en muchos de los casos no desarrollen actividades laorales que faciliten la comisión de este tipo de delitos.
Sujeto Pasivo:
Este, es la victima del delito, es el ente sobre el cual recae la conducta de acción u omisión que realiza el sujeto activo. Las victimas pueden ser individuos, instituciones crediticias, instituciones militares, gobiernos, etc. Que usan sistemas automatizados de información, generalmente conectados a otros.
Amenazas humanas
Definición de un HackerUn Hacker es una persona que está siempre en una continua búsqueda de información, vive para aprender y todo para él es un reto; no existen barreras, y lucha por la difusión libre de información (Free Information), distribución de software sin costo y la globalización de la comunicación.
Otras definiciones
1. Un verdadero Hacker es curioso y paciente. Si no fuera así terminarían por hartarse en el intento de entrar en el mismo sistema una y otra vez, abandonando el objetivo.
2. Un verdadero Hacker no se mete en el sistema para borrarlo todo o para vender lo que consiga. Quiere aprender y satisfacer su curiosidad. Esa es la única finalidad de introducirse en el sistema. Buscan dentro de un lugar en el que nunca han estado, exploran todos los pequeños rincones de un mundo diferente del que ya conocen y que les aburre. ¿Porqué destruir algo y perderse el placer de decir a los demás que hemos estado en un lugar donde ellos no han estado?.
3. Un Hacker es inconformista, ¿porqué pagar por una conexión que actualmente cuesta mucho dinero, y además es limitada? ¿Porqué pagar por una información que solo van a utilizar una vez?.
4. Un Hacker es discreto, es decir que cuando entra en un sistema es para su propia satisfacción, no van por ahí cantándolo a los cuatro vientos. La mayoría de los casos de Hackers escuchados son en realidad Fantasming. Esto quiere decir, que si un amigo se entera que se ha entrado en cierto sistema; el ruido de los canales de comunicación hará que se termine sabiendo que se ha entrado en un sistema cinco veces mayor, que había destruido miles de ficheros y que había inutilizado el sistema.
5. Un Hacker disfruta con la exploración de los detalles de los sistemas programables y aprovecha sus posibilidades; al contrario de la mayoría de los usuarios, que prefieren aprender sólo lo imprescindible.
6. Un Hacker programa de forma entusiasta (incluso obsesiva), rápido y bien.
7. Un Hacker es experto en un programa en particular, o realiza trabajosfrecuentemente usando cierto programa. Por ejemplo “un Hacker de Unixprogramador en C”.
8. Los Hackers suelen congregarse. Tiende a connotar participación como miembro en la comunidad global definida como “La ReD”.
9. Un Hacker disfruta del reto intelectual de superar o rodear las limitaciones deforma creativa.
10. Antiguamente en esta lista se incluía: Persona maliciosa que intenta descubrir información sensible: contraseñas, acceso a redes, etc. Pero para este caso en particular los verdaderos Hackers han optado por el término Cracker y siempre se espera (quizás inútilmente) que se los diferencie.
CRACKERSLos Crackers, en realidad, son hackers cuyas intenciones van más allá de la investigación. Es una persona que tiene fines maliciosos o de venganza, quiere demostrar sus habilidades pero de la manera equivocada o simplemente personas que hacen daño solo por diversión. Los hackers opinan de ellos que son “... Hackers mediocres, no demasiados brillantes, que buscan violar (literalmente “break”) un sistema”.
PHREAKERSOtro personaje en el Underground es el conocido como Phreaker. El Phreaking, es la actividad por medio de la cual algunas personas con ciertos conocimientos y herramientas de hardware y software, pueden engañar a las compañías telefónicas para que éstas no cobren las llamadas que se hacen.
CARDING - TRASHINGEntre las personas que dedicaban sus esfuerzos a romper la seguridad como reto intelectual hubo un grupo (con no tan buenas intenciones) que trabajaba para conseguir una tarjeta de crédito ajena. Así nació:1. El Carding, es el uso (o generación) ilegitimo de las tarjetas de crédito (o susnúmeros), pertenecientes a otras personas con el fin de obtener los bienes realizando fraude con ellas. Se relaciona mucho con el Hacking y el Cracking, mediante los cuales se consiguen los números de las tarjetas.2. El Trashing, que consiste en rastrear en las papeleras en busca de información, contraseñas o directorios.
OTROS HABITANTES DEL CIBERESPACIOGURÚS
Son considerados los maestros y los encargados de “formar” a los futuros hackers. Generalmente no están activos pero son identificados y reconocidos por la importancia de sus hackeos, de los cuales sólo enseñan las técnicas básicas.
LAMERS O SCRIPT-KIDDERSSon aficionados jactosos. Prueban todos los programas (con el título “como ser un hacker en 21 días”) que llegan a sus manos. Generalmente son los responsables de soltar virus y bombas lógicas en la red sólo con el fin de molestar y que otros se enteren que usa tal o cual programa. Son aprendices que presumen de lo que no son aprovechando los conocimientos del hacker y lo ponen en práctica sin saber.
COPYHACKERS
Literalmente son falsificadores sin escrúpulos que comercializan todo lo copiado (robado).
BUCANEROS
Son comerciantes sucios que venden los productos crackeados por otros. Generalmente comercian con tarjetas de crédito y de acceso y compran a los copyhackers. Son personas sin ningún (o escaso) conocimiento de informática y electrónica.
NEWBIESon los novatos del hacker. Se introducen en sistemas de fácil acceso y fracasan en muchos intentos, sólo con el objetivo de aprender las técnicas que puedan hacer de él, un hacker reconocido.
WANNABEREs aquella persona que desea ser hacker pero estos consideran que su coeficiente no da para tal fin. A pesar de su actitud positiva difícilmente consiga avanzar en sus propósitos.
SAMURAI
Son lo más parecido a una amenaza pura. Sabe lo que busca, donde encontrarlo y cómo lograrlo. Hace su trabajo por encargo y a cambio de dinero. Estos personajes, a diferencia de los anteriores, no tienen conciencia de comunidad y no forman parte de los clanes reconocidos por los hackers. Se basan en el principio de que cualquiera puede ser atacado y saboteado, solo basta que alguien lo desee y tenga el dinero para pagarlo.
PIRATAS INFORMÁTICOSEste personaje (generalmente confundido con el hacker) es el realmente peligroso desde el punto de vista del Copyright, ya que copia soportes audiovisuales (discos compactos, cassettes, DVD, etc.) y los vende ilegalmente.
CREADORES DE VIRUSSi de daños y mala fama se trata estos personajes se llevan todos los premios. Aquí, una vez más, se debe hacer la diferencia entre los creadores: que se consideran a sí mismos desarrolladores de software; y los que infectan los sistemas con los virus creados. Sin embargo es difícil imaginar que cualquier “desarrollador” no se vea complacido al ver que su “creación” ha sido ampliamente “adquirida por el público”.
PERSONAL (INSIDERS)Hasta aquí se ha presentado al personal como víctima de atacantes externos; sin embargo, de los robos, sabotajes o accidentes relacionados con los sistemas informáticos, el 70% son causados por el propio personal de la organización propietaria de dichos sistemas (“Inside Factor”)
El siguiente gráfico detalla los porcentajes de intrusiones clasificando a los atacantes en internos y externos.
PERSONAL INTERNO
Las amenazas a la seguridad de un sistema, provenientes del personal del propio sistema informático, rara vez es tomada en cuenta porque se supone un ámbito de confianza muchas veces inexistente. Generalmente estos ataques son accidentes por desconocimiento o inexistencia de las normas básicas de seguridad; pero también pueden ser del tipo intencional.
Es de destacar que un simple electricista puede ser más dañino que el más peligroso de los piratas informáticos, ya que un corte de energía puede causar un desastre en los datos del sistema. Al evaluar la situación, se verá que aquí el daño no es intencionado pero ello no esta en discusión; el daño existió y esto es lo que compete a la seguridad informática.
EX-EMPLEADO
Este grupo puede estar especialmente interesado en violar la seguridad de nuestra empresa, sobre todo aquellos que han sido despedidos y no han quedado conformes; o bien aquellos que han renunciado para pasar a trabajar en la competencia. Generalmente se trata de personas descontentas con la organización que conocen a la perfección la estructura del sistema y tienen los conocimientos necesarios como para causar cualquier tipo de daño. También han existido casos donde el ex-empleado deja Bombas Lógicas que “explotan” tiempo después de marcharse.
CURIOSOS
Suelen ser los atacantes más habituales del sistema. Son personas que tienen un alto interés en las nuevas tecnologías, pero aún no tienen los conocimientos ni experiencia básicos para considerarlos hackers o crackers (podrían ser Newbies). En la mayoría de los casos son estudiantes intentando penetrar los servidores de su facultad o empleados consiguiendo privilegios para obtener información para él vedada. Generalmente no se trata de ataques de daño pero afectan el entorno de fiabilidad con confiabilidad generado en un sistema.
TERRORISTAS
Bajo esta definición se engloba a cualquier persona que ataca el sistema para causar daño de cualquier índole en él; y no sólo a la persona que coloca bombas o quema automóviles. Son ejemplos concretos de este tipo, ataque de modificación de los datos de clientes entre empresa competidoras, o de servidores que albergan páginas web, bases de datos entre partidos políticos contrarios, etc.
INTRUSOS REMUNERADOS
Este es, sin duda, el grupo de atacantes más peligroso, aunque también el menos habitual. Se trata de crackers o piratas con grandes conocimientos y experiencia, pagados por una tercera parte para robar “secretos” (código fuente de programas, bases de datos de clientes, información confidencial de satélites, diseño de un nuevo producto, etc.) o simplemente para dañar, de alguna manera la imagen de la entidad atacada.
Suele darse, sólo, en grandes multinacionales donde la competencia puede darse el lujo de un gran gasto para realizar este tipo de contratos y contar con los medios necesarios para realizar el ataque.
RECOMENDACIONESUna norma básica, sería verificar cada aspirante a ser nuevo empleado; aunque tampoco debemos olvidar que el hecho de que alguien entre “limpio” a la organización no implica que vaya a seguir así durante el tiempo que trabaje en la misma, y mucho menos cuando abandone su trabajo. Para minimizar el daño que un atacante interno puede causar se pueden seguir estos principios fundamentales:
Necesidad de conocimiento (Need to Know): comúnmente llamado mínimo privilegio. Cada usuario debe tener el mínimo privilegio que necesite para desempeñar correctamente su función, es decir, que sólo se le debe permitir que sepa lo necesario para realizar su trabajo.
Conocimiento parcial (dual control): las actividades más delicadas dentro de la organización deben ser realizadas por dos personas competentes, de forma que si uno comete un error en las políticas de seguridad el otro pueda subsanarlo. Esto también es aplicable al caso de que si uno abandona la organización el otro pueda seguir operando el sistema mientras se realiza el reemplazo de la persona que se retiró.
Rotación de funciones: la mayor amenaza del conocimiento parcial de tareas es la complicidad de dos responsables, de forma tal, que se pueda ocultar sendas violaciones a la seguridad. Para evitar el problema, una norma común es rotar (dentro de ciertos límites) a las personas a lo largo de diferentes responsabilidades, para establecer una vigilancia mutua.
Separación de funciones: es necesario que definan y separen correctamente las funciones de cada persona, de forma que alguien cuya tarea es velar por la seguridad del sistema no posea la capacidad para violarla sin que nadie se percate de ello.
Cancelación inmediata de cuenta: cuando un empleado abandona la organización se debe cancelar inmediatamente el acceso a sus antiguos recursos y cambiar las claves que el usuario conocía. Quizás este último punto sea el más difícil de implementar debido a la gran cantidad de usuarios que se deben informar de los nuevos accesos y de la movilidad de alguno de ellos.
AMENAZAS LÓGICASLa Entropía es una magnitud termodinámica que cuantifica el grado de desorden de un sistema; y según las leyes físicas todo sistema tiende a su máxima entropía. Si extrapolamos este concepto a la Seguridad resultaría que todo sistema tiende a su máxima inseguridad. Este principio supone decir:
• Los protocolos de comunicación utilizados carecen, en su mayoría, de seguridad o esta ha sido implementada, tiempo después de su creación, en forma de “parche”. • Existen agujeros de seguridad en los sistemas operativos.• Existen agujeros de seguridad en las aplicaciones.• Existen errores en las configuraciones de los sistemas.• Los usuarios carecen de información respecto al tema.• Todo sistema es inseguro.
Esta lista podría seguir extendiéndose a medida que se evalúen mayor cantidad de elementos de un Sistema Informático.
ACCESO - USO - AUTORIZACIÓN
La identificación de estas palabras es muy importante ya que el uso de algunas implica un uso desapropiado de las otras.
Específicamente “Acceso” y “Hacer Uso” no son el mismo concepto cuando se estudian desde el punto de vista de un usuario y de un intruso. Por ejemplo:
• Cuando un usuario tiene acceso autorizado, implica que tiene autorizado el uso de un recurso. • Cuando un atacante tiene acceso desautorizado está haciendo uso desautorizado del sistema. • Pero, cuando un atacante hace uso desautorizado de un sistema, esto implica que el acceso fue autorizado (simulación de usuario).
Luego un Ataque será un intento de acceso, o uso desautorizado de un recurso, sea satisfactorio o no. Un Incidente envuelve un conjunto de ataques que pueden ser distinguidos de otro grupo por las características del mismo (grado, similitud, técnicas utilizadas, tiempos, etc.).
DETECCIÓN DE INTRUSOS
A finales de 1996, Dan Farmer (creador de una de las herramientas más útiles en la detección de intrusos: SATAN) realizó un estudio sobre seguridad analizando 2.203 sistemas de sitios en Internet. Los sistemas objeto del estudio fueron Web Sites orientados al comercio y con contenidos específicos, además de un conjunto de sistemas informáticos aleatorios con los que realizar comparaciones.
El estudio se realizó empleando técnicas sencillas y no intrusivas. Se dividieron los problemas potenciales de seguridad en dos grupos: rojos (red) y amarillos (yellow).
Los problemas del grupo rojo son los más serios y suponen que el sistema está abierto a un atacante potencial, es decir, posee problemas de seguridad conocidos en disposición de ser explotados.
Así por ejemplo, un problema de seguridad del grupo rojo es un equipo que tiene el servicio de FTP anónimo mal configurado. Los problemas de seguridad del grupo amarillo son menos serios pero también reseñables. Implican que el problema detectado no compromete inmediatamente al sistema pero puede causarle serios daños o bien, que es necesario realizar tests más intrusivos para determinar si existe o no un problema del grupo rojo.
Aunque los resultados son límites superiores, no dejan de ser... escandalosos.
Como puede observarse, cerca de los dos tercios de los sistemas analizados tenían serios problemas de seguridad y Farmer destaca que casi un tercio de ellos podían ser atacados con un mínimo esfuerzo.
IDENTIFICACIÓN DE LAS AMENAZAS
La identificación de amenazas requiere conocer los tipos de ataques, el tipo de acceso, la forma operacional y los objetivos del atacante.
Las consecuencias de los ataques se podrían clasificar en:
Data Corruption: la información que no contenía defectos pasa a tenerlos.
Denial of Service (DoS): servicios que deberían estar disponibles no lo están.
Leakage: los datos llegan a destinos a los que no deberían llegar.
TIPOS DE ATAQUEINGENIERA SOCIAL
Es la manipulación de las personas para convencerlas de que ejecuten acciones o actos que normalmente no realizan para que revele todo lo necesario para superar las barreras de seguridad. Si el atacante tiene la experiencia suficiente (generalmente es así), puede engañar fácilmente a un usuario (que desconoce las mínimas medidas de seguridad) en beneficio propio. Esta técnica es una de las más usadas y efectivas a la hora de averiguar nombres de usuarios y passwords.
Para evitar situaciones de IS es conveniente tener en cuenta estas recomendaciones:
•Tener servicio técnico propio o de confianza.•Instruir a los usuarios para que no respondan ninguna pregunta sobre cualquier característica del sistema y deriven la inquietud a los responsables que tenga competencia para dar esa información.•Asegurarse que las personas que llaman por teléfono son quien dicen ser. Porejemplo si la persona que llama se identifica como proveedor de Internet lo mejor es cortar y devolver la llamada a forma de confirmación.
INGENIERÍA SOCIAL INVERSA
Consiste en la generación, por parte de los intrusos, de una situación inversa a la originada en Ingeniería Social.
En este caso el intruso publicita de alguna manera que es capaz de brindar ayuda a los usuarios, y estos lo llaman ante algún imprevisto. El intruso aprovechara esta oportunidad para pedir información necesaria para solucionar el problema del usuario y el suyo propio (la forma de acceso al sistema).
La ISI es más difícil de llevara cabo y por lo general se aplica cuando los usuarios están alertados de acerca de las técnicas de IS. Puede usarse en algunas situaciones específicas y después de mucha preparación e investigación por parte del intruso:
1. Generación de una falla en el funcionamiento normal del sistema. Requiere que el intruso tenga un mínimo contacto con el sistema.
2. Comunicación a los usuarios de que la solución es brindada por el intruso (publicidad).
3. Provisión de ayuda por parte del intruso encubierto como servicio técnico.
TRASHING (CARTONEO)
Generalmente, un usuario anota su login y password en un papelito y luego, cuando lo recuerda, lo arroja a la basura. Este procedimiento por más inocente que parezca es el que puede aprovechar un atacante para hacerse de una llave para entrar el sistema...”nada se destruye, todo se transforma”.
El Trashing puede ser físico (como el caso descripto) o lógico, como analizar buffers de impresora y memoria, bloques de discos, etc.
El Trashing físico suele ser común en organizaciones que no disponen de alta confidencialidad, como colegios y universidades.
ATAQUES DE MONITORIZACIÓN
Este tipo de ataque se realiza para observar a la victima y su sistema, con el objetivo de obtener información, establecer sus vulnerabilidades y posibles formas de acceso futuro.
SHOULDER SURFINGDECOY (SEÑUELOS)SCANNING (BÚSQUEDA)TCP Connect ScanningTCP SYN ScanningTCP FIN Scanning - StealthPortScanningFragmentation ScanningEAVESDROPPING - PACKET SNIFFINGSNOOPING - DOWNLOADING
ATAQUES DE AUTENTIFICACIÓNEste tipo de ataque tiene como objetivo engañar al sistema de la víctima para ingresar al mismo. Generalmente este engaño se realiza tomando las sesiones ya establecidas por la víctima u obteniendo su nombre de usuario y password.
SPOOFING – LOOPINGSPOOFINGWEB SPOOFINGIP SPLICING – HIJACKINGUTILIZACIÓN DE BACKDOORSUTILIZACIÓN DE EXPLOITSOBTENCIÓN DE PASSWORDS
DENIAL OF SERVICE (DOS)
Los protocolos existentes actualmente fueron diseñados para ser empleados en una comunidad abierta y con una relación de confianza mutua. La realidad indica que es más fácil desorganizar el funcionamiento de un sistema que acceder al mismo; así los ataques de Negación de Servicio tienen como objetivo saturar los recursos de la víctima de forma tal que se inhabilita los servicios brindados por la misma.
JAMMING O FLOODINGSYN FLOODCONNECTION FLOODNET FLOODLAND ATTACKSMURF O BROADCAST STORMOOB, SUPERNUKE O WINNUKETEARDROP I Y II – NEWTEAR - BONK-BOINKE-Mail Bombing - Spamming
ATAQUES DE MODIFICACIÓN-DAÑO
TAMPERING O DATA DIDDLINGBORRADO DE HUELLASATAQUES MEDIANTE JAVA APPLETSATAQUES CON JAVASCRIPT Y VBSCRIPTATAQUES MEDIANTE ACTIVEXVULNERABILIDADES EN LOS NAVEGADORES
¿CÓMO DEFENDERSE DE ESTOS ATAQUES?
La mayoría de los ataques mencionados se basan en fallos de diseño inherentes a Internet (y sus protocolos) y a los sistemas operativos utilizados, por lo que no son “solucionables” en un plazo breve de tiempo. La solución inmediata en cada caso es mantenerse informado sobre todos los tipos de ataques existentes y las actualizaciones que permanentemente lanzan las empresas desarrolladoras de software, principalmente de sistemas operativos.
Las siguientes son medidas preventivas. Medidas que toda red y administrador deben conocer y desplegar cuanto antes:
1. Mantener las máquinas actualizadas y seguras físicamente2. Mantener personal especializado en cuestiones de seguridad (o subcontratarlo).3. Aunque una máquina no contenga información valiosa, hay que tener en cuentaque puede resultar útil para un atacante, a la hora de ser empleada en un DoScoordinado o para ocultar su verdadera dirección.4. No permitir el tráfico “broadcast” desde fuera de nuestra red. De esta formaevitamos ser empleados como “multiplicadores” durante un ataque Smurf.5. Filtrar el tráfico IP Spoof.6. Auditorias de seguridad y sistemas de detección.7. Mantenerse informado constantemente sobre cada unas de las vulnerabilidadesencontradas y parches lanzados. Para esto es recomendable estar suscripto a listasque brinden este servicio de información.8. Por último, pero quizás lo más importante, la capacitación continua del usuario.