· web viewlinux para system z es el término colectivo para el sistema operativo linux compilado...
TRANSCRIPT
UNIVERSIDAD PERUANA DE CIENCIAS APLICADAS
FACULTAD DE INGENIERÍA
DIVISIÓN DE ESTUDIOS PROFESIONALES PARA EJECUTIVOS
CARRERA DE INGENIERÍA DE SISTEMAS
MECANISMOS DE SEGURIDAD SEGÚN PLATAFORMAS
INTEGRANTES:
U201419444 – CONCEPCIÓN TIZA, MIGUEL ANGEL
U201316403 – OCAMPO, ALEXANDER
U201300221 – TABOADA CASAS, PAÚL CARLOS
U201624697 – FRANCO CUADROS ROSAZZA
U201400458 – RUIZ ANDIA, RONNY JAIR
U201418929 – RODRIGUEZ CARREÑO, MARIO
PROFESOR:
HERNANDEZ, YOLFER
Lima, agosto de 2017
CUADRO DE DIVISIÓN DEL TRABAJO
Alumno Subtema seleccionado
Concepción Tiza, Miguel Angel Windows server 2016, Windows Desktop 10
Rodríguez Carreño, Mario Computación cuántica
Ocampo Hidalgo, Alexander Dispositivos móviles: Android, iOS, Windows 10 Mobile
Taboada Casas, Paúl Carlos Mainframe: OS390, Z10, AS400
Franco Cuadros Rosazza Unix, Linux, Aix
Ruiz Andia, Ronny Jair Cloud Computing (PaaS, IaaS, SaaS), Web 2.0, 3.0
RESUMEN
El presente proyecto está centrado en la investigación de mecanismos de seguridad según ciertas
plataformas tecnológicas: Windows server 2016, Windows Desktop 10, Computación cuántica,
Dispositivos móviles: Android, iOS, Windows 10 Mobile, MAINFRAME: OS390, Z10, AS400, Unix,
Linux, Aix y Cloud Computing (PaaS, IaaS, SaaS), Web 2.0, 3.0
ÍNDICE
INTRODUCCIÓN 10
CAPÍTULO 1: WINDOWS SERVER 2016, WINDOWS DESKTOP 10 11
1. WINDOWS SERVER 2016 11
1.1. Novedades en seguridad 11
1.2. Máquinas Virtuales Blindadas 11
1.3. Protección de credenciales de administrador 12
1.4. Device Guard 12
1.5. Características avanzadas de auditoría 12
1.6. Contenedores de Hyper-V 12
2. WINDOWS DESKTOP 10 13
2.1. Dispositivos protegidos 13
2.2. Integridad de los dispositivos 13
2.3. Procesamiento criptográfico 14
2.4. Virtualización 14
2.5. Sensores biométricos 14
2.6. Protección de la identidad 15
2.7. Microsoft Passport 15
2.8. Windows Hello 16
2.9. Credential Guard 16
2.10. Protección de la información 17
2.11. BitLocker y Protección de datos de empresa 17
2.12. Rights Management Services 18
2.13. Resistencia frente a amenazas 18
2.14. SmartScreen 18
2.15. Microsoft Edge e Internet Explorer 19
2.16. Device Guard 19
2.17. Windows Defender 20
2.18. Protección contra amenazas avanzada de Windows Defender 21
2.19. Arranque seguro 21
2.20. Atestación del estado del dispositivo y acceso condicional 22
CAPÍTULO 2: COMPUTACIÓN CUÁNTICA 23
3. Introducción 23
4. Computación Cuántica 23
5. Unidad de información: Qubit 25
6. Mecanismos de seguridad 25
7. Conclusiones 25
CAPÍTULO 3: DISPOSITIVOS MÓVILES 26
8. ANDROID 26
8.1. Arquitectura 27
8.2. Mecanismos de seguridad específicos 28
8.3. Permisos de aplicación 28
8.4. Encapsulación de componentes 30
8.5. Firma de aplicaciones 30
8.6. Root (Rooteo) 30
8.7. Google Play Store 31
9. IOS 32
9.1. Arquitectura 33
9.2. Mecanismos de seguridad 34
9.3. Seguridad del sistema 35
9.4. Cadena de arranque seguro 35
9.5. Autorización del software del sistema 35
9.6. Secure Enclave 36
9.7. Touch ID 36
9.8. Encriptación y protección de datos 37
9.9. Funciones de seguridad de hardware 37
9.10. Protección de datos de archivo 37
9.11. Clases de protección de datos 37
9.12. Complete Protection (NSFileProtectionComplete): 37
9.13. Protected Unless Open (NSFileProtectionCompleteUnlessOpen): 38
9.14. Protected Until First User Authentication 38
9.15. No Protection (NSFileProtectionNone): 38
9.16. Protección de datos de llavero 38
9.17. Certificaciones de seguridad y programas 39
9.18. Validación cifrada (FIPS 140-2) 39
9.19. Certificación de Criterios Comunes (ISO 15408) 39
9.20. APPLE ID 40
9.21. Autenticación doble factor 40
9.22. Verificación en dos pasos 41
9.23. Mobile Device Management (MDM) 41
9.24. Modo Perdido 41
9.25. Jailbreak 42
10. APP STORE 42
CAPÍTULO 4: MAINFRAME OS390, Z10, AS400 44
1. INTRODUCCIÓN 44
2. MAINFRAME 44
3. Industrias que usan Mainframes 45
4. Supercomputadoras vs Mainframes 45
5. Caracteristicas de los Sistemas Mainframe 46
5.1. RAS (Confiabilidad, Disponibilidad, Servicio) 46
5.1.1. Confiabilidad 46
5.1.2. Disponibilidad 46
5.1.3. Servicio 46
5.2. Seguridad. 46
5.3. Escalabilidad. 46
5.4. Control Centralizado. 47
5.5. Manejo de Cargas de Trabajo. 47
5.5.1. Procesamiento por lotes Batch: 47
5.5.2. Procesamiento de transacciones Online: 48
5.6. Particionado/Virtualización. 49
5.7. Compatibilidad Continua. 49
5.8. Arquitectura Evolutiva. 49
6. Roles en el mundo Mainframe 50
6.1. Programador de Sistema 50
6.2. Administrador de Sistema 50
6.3. Desarrollador de Aplicacion 50
6.4. Analista de Control de Producción. 50
6.5. Operador de Sistema 50
7. Sistemas Operativos para Macrocomputadoras 51
7.1. IBM i 51
7.2. Linux para System z 51
7.3. Unix 51
7.4. z/OS 51
7.5. z/TPF 51
7.6. z/VM 51
7.7. z/VSE 52
8. Evolución arquitecturas IBM 52
9. zSeries 53
9.1. Z/Architecture 53
9.2. z/10 53
10. OS/390 53
10.1. Hechos Históricos 54
10.2. Características Principales 54
11. z/OS 54
11.1. Sistemas soportados por z/OS 55
11.2. Seguridad en z/OS 55
12. AS/400 56
12.1. Cualidades 56
12.2. Arquitectura AS/400 56
12.3. OS/400 56
13. Servicios de Seguridad e Infraestructura 57
14. RACF 58
15. Tivoli zSecure Manager for RACF z/VM 59
15.1. Cifrado de discos 60
15.2. Cifrado de cintas 60
15.3. Servidor Secure Sockets Layer (SSL) 60
15.4. Aceleración criptográfica 61
15.5. Certificación según la norma de criterios comunes 61
15.6. Interconexión con z/VM 61
15.6.1. LANs huésped 61
15.6.2. VSWITCH 62
15.7. Virtualización de redes z/VM 63
16. RESUMEN 64
CAPÍTULO 5: UNIX, LINUX, AIX 65
5.1 Introducción 65
5.2 Marco Teórico 66
5.2.1 UNIX 66
5.2.2 Linux 68
5.2.3 AIX 70
5.4 Seguridad en UNIX 70
5.5 Sistema de archivos 71
5.6 Permisos en UNIX 72
5.7 Encriptación de archivos 73
5.8 Perfil de superusuario. 73
5.9 Malware en Linux 75
5.10 Conclusiones 76
CAPÍTULO 6: CLOUD COMPUTING 77
6 Características 77
7 Modelo de Servicio SaaS (Software como un Servicio) 78
8 Modelo de servicio IaaS (Infraestructura como Servicio) 78
9 Modelo de servicio PaaS (Plataforma como Servicio) 79
10 CONCLUSIÓN 80
BIBLIOGRAFÍA 85
INTRODUCCIÓN
Existen muchas definiciones del término seguridad. Simplificando, se puede definir la seguridad como la "Característica que indica que un sistema está libre de todo peligro, daño o riesgo." Villalón (2007).
En toda actividad se hace necesario, no solo planear y ejecutar las actividades, sino efectuar procedimientos de control que vayan encaminados a asegurar que dichas actividades han sido ejecutadas de acuerdo a los parámetros que se habían establecido con anterioridad.
Es por ello, que para Evaluar la seguridad de los sistemas de información se requiere que en las diferentes fases del ciclo de vida de los sistemas de información, se planteen protocolos claros que permitan lograr un buen nivel de calidad en el software.
Para el diseño de estos mecanismos de seguridad y control, debe ir de la mano la seguridad informática, es por ello que en este tema conoceremos varias plataformas de tecnologías y conceptos claves de seguridad, para manejar correctamente el entorno donde se lleva a cabo la manipulación de la información y para evitar caer en la “inseguridad informática”.
CAPÍTULO 1: WINDOWS SERVER 2016, WINDOWS DESKTOP 10
1. MARCO TEÓRICO
2. WINDOWS SERVER 2016
En el nuevo Windows Server 2016 han añadido varias medidas de seguridad de las cuales nos
vamos a quedar con estas cinco por ser las más interesantes:
2.1. Novedades en seguridad
● Máquinas virtuales blindadas
● Protección de credenciales de administrador
● Device Guard
● Características Avanzadas de Auditoría
● Contenedores
2.2. Máquinas Virtuales Blindadas
Hasta ahora en los sistemas operativos de Microsoft era muy simple para un administrador de
sistemas acceder a los datos de las máquinas virtuales de Hyper-V o incluso exportarlas y poder
llevarse el servidor completo para montarlo en otro sistema con Hyper-V. En Windows Server 2016
han añadido dos características que evitan la posible fuga de información en caso de que exista un
administrador malicioso. Son las siguientes:
- Ejecución de la VM en la infraestructura designada
- Protección de VMs frente a administradores
Esto nos ofrece varias ventajas, ya que el cifrado del disco y del estado de la VM no va a permitir el
acceso por parte del administrador, además con el nuevo servicio de host guardian no se puede
ejecutar una VM en un host que no cumpla los requisitos establecidos para ello.
2.3. Protección de credenciales de administrador
Con esta nueva protección vamos a evitar el uso de las credenciales de administrador en ataques de
escala de privilegios en los que el atacante utilice algún malware como Mimikatz ya que si tenemos la
protección activa las credenciales utilizadas en el sistema operativo se almacenarán encriptadas y no
podrán ser utilizadas por el atacante.
Esta protección también es útil para los accesos por terminal server a nuestros equipos, ya que
también se protegen dichas conexiones.
2.4. Device Guard
Con el nuevo sistema de Device Guard podemos proteger el sistema de la ejecución de aplicaciones
que no estén permitas según la política definida en el sistema. Se puede configurar de modo que solo
genere avisos en el visor de eventos cuando se ejecute una aplicación no registrada o incluso para
que las bloquee y no permita la ejecución de las aplicaciones.
Es bastante simple de configurar con varios comandos de PowerShell, aunque la herramienta
perfecta para gestionarlo es el Operations Manager de la Suite de System Center con la que de
forma mucho más visual podemos revisar las aplicaciones permitidas en cada sistema.
2.5. Características avanzadas de auditoría
En combinación con la Suite de Operations Manager, Windows Server 2016 nos permite centralizar
todos los logs del visor de eventos de nuestros sistemas a modo de servidor de Syslog centralizado y
tener así una visión en tiempo real de lo que está ocurriendo en nuestros servidores.
La ventaja que nos ofrece es que al contrario que otras soluciones está completamente integrado con
el sistema y es muy visual y configurable.
2.6. Contenedores de Hyper-V
En esta nueva versión del sistema operativo de servidores de Microsoft no solo nos ofrecen el uso y
configuración de contenedores (dockers) que ya habíamos visto en otras plataformas, sino que
además nos ofrece la capa de aislamiento adicional previamente reservado a máquinas físicas o
virtuales completamente dedicadas con Hyper-V.
3. WINDOWS DESKTOP 10
Windows 10, ha hechos cambios estructurales importantes en su plataforma, muchos de los cuales
abordan las tácticas usadas en los ataques informáticos. Estos cambios no son solo medidas
defensivas que presentan muros más altos a los atacantes; son mejoras que arruinan las tácticas
críticas usadas en los ataques, en algunos casos completamente. Para lograr este objetivo, Windows
10 aprovecha al máximo las innovadoras tecnologías de hardware con el fin de proteger las
identidades de los usuarios, la información y los dispositivos frente a la piratería y las amenazas de
malware.
3.1. Dispositivos protegidos
Windows 7 emprendió medidas importantes para ayudar a sus clientes a estar mejor protegidos, pero
la realidad es que en algunos casos solo pudieron dificultar el paso a los atacantes. Para abordar de
una vez por todos los desafíos de seguridad a los que se enfrenta, Windows necesitaba aprovechar
las nuevas tecnologías de hardware que acaban de incorporarse en los dispositivos modernos.
Gracias a estas tecnologías más persuasivas, Microsoft ha tenido la oportunidad en Windows 10 de
hacer cambios estructurales importantes en la plataforma.
3.2. Integridad de los dispositivos
La lucha contra el malware y la piratería requiere la capacidad de mantener la integridad del proceso
de arranque del hardware y del sistema operativo. Hasta Windows 8, esto resultó ser un gran
desafío. El malware de arranque y los rootkit podían infectar el dispositivo antes de que alguna de las
defensas del sistema pudiera iniciarse, lo que hacía inservibles estas defensas. Los dispositivos más
recientes o certificados para Windows 8 incluyen un nuevo componente de hardware denominado
Arranque seguro UEFI, que ayuda a mantener la integridad del firmware del sistema y del sistema
operativo desde que se enciende hasta que se apaga.
3.3. Procesamiento criptográfico
En un mundo en el que tenemos que asumir que es muy probable que se produzca una filtración de
datos, necesitamos hardware que nos ayude a proporcionar el mayor grado de seguridad cuando se
trata de proteger información altamente confidencial como las claves de cifrado y las identidades de
los usuarios. Windows usa la tecnología basada en los estándares en un Módulo de plataforma
segura (TPM) para generar este tipo de información. Realiza las operaciones en un entorno basado
en hardware que está aislado del sistema operativo. Windows 10 también puede usar un TPM como
un medio de verificar que las funciones de integridad y seguridad de los dispositivos, como UEFI y
Arranque seguro, entre otras, se encuentran en el estado deseado y no han sido manipuladas. Esto
convierte al TPM de Windows 10 en una herramienta útil para la atestación remota del estado y para
escenarios de acceso condicional. Este módulo está cada vez más extendido en los dispositivos
comerciales y para particulares, y se ha convertido en un estándar internacional que se puede usar
en países como China y Rusia, en los que anteriormente existían restricciones sobre su uso.
3.4. Virtualización
La seguridad y el aislamiento basados en hardware son esenciales en nuestra estrategia de
seguridad de la plataforma. Con Windows 10, usamos tecnologías de virtualización que
anteriormente solo se empleaban en escenarios de servidor Windows. Su uso en el cliente
proporciona un nivel de protección sin precedentes. Gracias a la seguridad basada en la
virtualización (VBS) con tecnología de hipervisor, podemos mover algunos de los procesos Windows
más delicados a un entorno de ejecución seguro para ayudar a impedir la manipulación y cuando
está en peligro la seguridad del kernel de Windows. En Windows 10, VBS incorpora características
como Device Guard y Credential Guard, que tienen un alto efecto disuasorio sobre el malware, las
herramientas de piratería y las filtraciones de datos.
3.5. Sensores biométricos
La biometría ha estado disponible en la plataforma y dispositivos Windows durante generaciones,
pero hasta Windows 10 era simplemente una característica que ofrecía comodidad. Su uso de un
nombre de usuario y contraseña en la trastienda proporcionaba simplemente a los usuarios una
forma más personal de iniciar sesión, y nunca se alcanzó el potencial de autenticación que podía
ofrecer la biometría. Todo eso ha cambiado con Windows 10 y la distribución de Microsoft Passport y
Windows Hello. Estas tecnologías de clase empresarial proporcionan capacidades robustas de
autenticación multifactor similares a las de las tarjetas inteligentes, pero son más flexibles a la hora
de aprovechar las tecnologías de biometría basadas en el reconocimiento de la huella dactilar, facial
y del iris.
Los dispositivos Windows existentes con sensores biométricos de la huella dactilar y faciales como
Intel® RealSense™ Technology pueden aprovechar ya mismo todas las ventajas que ofrecen
Microsoft Passport y Windows Hello. Una línea completa de nuevos dispositivos de los OEM tanto
para particulares como para usuarios de empresa generalizará el uso de la biometría en Windows.
3.6. Protección de la identidad
Cuando hablamos de filtraciones en la red, el robo de las credenciales y el malware —y muchas
veces una combinación de ambos— son a menudo esenciales para el éxito de los hackers. Si no
ataja las vías de ataque en ambas áreas, a los atacantes les resultará cada vez más sencillo
aprovecharse de sus vulnerabilidades.
Cuando se trata de proteger la identidad, lo primero que debe hacer es cambiar sus técnicas de
acreditación de usuarios de opciones de un solo factor como las contraseñas a soluciones
multifactor. En segundo lugar, las credenciales derivadas que usará para el inicio de sesión único
deben estar protegidas con soluciones basadas en hardware, que hasta Windows 10 no han estado
disponibles en el mercado.
Windows 10 proporciona soluciones de protección de la identidad que son fáciles de usar,
implementar y administrar. Es muy raro que las soluciones de seguridad decisivas incorporen estos
atributos, pero con Microsoft Passport, Windows Hello y Credential Guard puede disfrutar de todos
ellos.
3.7. Microsoft Passport
No es un secreto que la autenticación de un solo factor ya no sirve, y que las contraseñas son
inaceptables porque ahora pueden ser objeto de phishing, adivinarse y robarse fácilmente. De hecho,
una organización delictiva se jactó en 2014 de haber tenido acceso a 1.200 millones de
combinaciones de nombres de usuario y contraseñas robados. Piense en ello teniendo en cuenta la
cantidad de personas del mundo que tiene conexión a Internet.
La solución a este problema es una solución de autenticación multifactor como una tarjeta inteligente,
pero dicha solución suele ser muy cara de implementar, difícil de usar y cada vez más incompatible
con los dispositivos modernos que queremos usar (por ejemplo, dispositivos ultramóviles o
teléfonos). Otro problema es la dependencia con una infraestructura de clave pública (PKI), que
añade una tremenda complejidad a la solución integral.
En Windows 10, abordamos los principales desafíos de las soluciones de identidad multifactor de hoy
en día con Microsoft Passport, que comparte con las tarjetas inteligentes todos los mejores atributos,
pero sin los inconvenientes. Por ejemplo, con Microsoft Passport puede usar los dispositivos que ya
tiene, como su PC o Windows Phone, como uno de los dos factores de la autenticación. No necesita
dispositivos adicionales como tokens, tarjetas o lectores. Microsoft Passport se puede usar con una
PKI, pero también sin ella, lo que lo convierte en una solución ideal para los particulares, las
pequeñas y medianas empresas e incluso las grandes corporaciones que desean simplificar los
requisitos de infraestructura para las identidades de los usuarios.
3.8. Windows Hello
Microsoft Passport es su nueva solución de autenticación de doble factor, pero las credenciales que
usa solo representan uno de los dos factores que va a necesitar. El otro factor puede ser un PIN o,
en dispositivos modernos con sensores biométricos, puede usar la huella dactilar, la cara o incluso el
iris como segundo factor. Esta experiencia basada en la biometría se llama Windows Hello.
Windows Hello es una forma más personal de iniciar sesión en sus dispositivos Windows 10,
aplicaciones y servicios online. Con solo la mirada o el tacto, los usuarios se pueden autenticar y
acceder a todo lo que necesitan. A diferencia de muchas soluciones biométricas del pasado,
Windows Hello ofrece seguridad de clase empresarial y capacidades antisuplantación para proteger
los datos biométricos y la privacidad de los usuarios. Los dispositivos existentes con sensores de
huella dactilar pueden funcionar con Windows Hello, y ya hay disponibles en el mercado nuevos
dispositivos con tecnología de reconocimiento facial y del iris (como las cámaras de infrarrojos). Todo
está listo para que Windows Hello y la autenticación biométrica se generalicen en los dispositivos
Windows.
3.9. Credential Guard
Mover a los usuarios a una solución de autenticación multifactor como Microsoft es una primera
medida esencial para proteger sus identidades. Igualmente importante es proteger las credenciales
derivadas de los usuarios, que se usan para el inicio de sesión único. Esta información confidencial
puede ser robada y usada para suplantar a una persona sin que se conozca el nombre de usuario y
la contraseña de esa persona ni se tenga acceso al dispositivo multifactor del usuario (por ejemplo,
una tarjeta inteligente y un PIN). Todo lo que un atacante necesita es obtener acceso administrativo a
un dispositivo, posiblemente aprovechando una vulnerabilidad o usando malware, para iniciar un
ataque denominado a menudo "Pass the Hash or Ticket".
Antes de Windows 10, se publicaron una serie de funcionalidades que ayudaban a impedir dicho
ataque, pero ninguna de ellas era decisiva. Windows 10 cambia todo eso al introducir Credential
Guard, que usa la seguridad basada en virtualización (VBS) para aislar las credenciales derivadas
del usuario de forma que estén separadas del sistema operativo Windows. De este modo, aunque la
seguridad del propio sistema operativo esté en peligro, la información confidencial permanecerá a
salvo con el entorno VBS.
3.10. Protección de la información
Cuando se trata de la seguridad, todo gira en torno a proteger la información. Sin embargo, incluso
una buena solución puede sortearse si no se adopta un enfoque integral. Esto significa que debe
tener en cuenta las capacidades de protección de identidad y resistencia frente a las amenazas
cuando diseñe su estrategia de protección de la información. Windows 10 incluye nuevas
capacidades de gran impacto en cada una de estas áreas. Y cuando llegue el momento de proteger
la información, descubrirá que Windows 10 proporciona ahora capacidades que anteriormente tenía
que buscar en otros proveedores.
Windows lleva mucho tiempo distribuyendo capacidades de protección de la información, y cuando
estas se combinan con los servicios de Office 365 como Rights Management Services, los clientes
disponen de un amplio conjunto de capacidades. Pero, por supuesto, el término “amplio” en este
contexto no es suficiente para el mundo de hoy en día. Por ese motivo, con Windows 10 hemos
añadido nuevas características de protección que le ofrecerán las medidas de protección exhaustivas
que necesita para hacer frente al complejo panorama de hoy en día, con programas BYOD, la nube y
muchas otras tendencias.
3.11. BitLocker y Protección de datos de empresa
BitLocker es una excelente solución para proteger los datos cuando se pierde o se roba un
dispositivo, pero ¿cómo proteger los datos de los usuarios que podrían filtrarse accidentalmente? Ahí
es donde una funcionalidad totalmente nueva diseñada para la protección de datos de empresa
(EDP) resulta útil, ya que proporciona a las organizaciones separación de datos en el nivel de
archivo, contención, control de aplicaciones y protección frente a las filtraciones.
A diferencia de muchas soluciones de prevención de pérdida de datos, especialmente las soluciones
basadas en contenedor de los dispositivos móviles, EDP ayuda a proteger los datos empresariales
dondequiera que se encuentre el dispositivo y sin interrumpir la experiencia del usuario. Las
capacidades de EDP están totalmente integradas en la experiencia Windows que los usuarios ya
conocen. Les permite seguir usando las aplicaciones que les gusta utilizar en lugar de tener que
pasar de un modo a otro o usar aplicaciones solamente para proteger los datos de la empresa. A los
usuarios les gustará saber que EDP funciona casi en su totalidad entre bastidores y aun así
proporciona pistas visuales sencillas que les ayudan a diferenciar los datos y aplicaciones personales
de los de la empresa. También tendrán la seguridad de que EDP les ayudará a evitar que se filtre
información confidencial de los documentos y sitios web corporativos cuando se copia y pega por
error información en lugares no autorizados como documentos personales o incluso sitios web
públicos.
3.12. Rights Management Services
La protección de datos de empresa (EDP) proporciona una base sólida para algunas de las funciones
principales de prevención de pérdida de datos que las organizaciones necesitan. Por sí sola,
proporciona grandes ventajas; sin embargo, sus capacidades se pueden ampliar con Right
Management Services (RMS), incluido en Office 365. Mediante el uso de EDP y RMS, las
organizaciones pueden reforzar la protección frente a filtraciones combinando el control de
aplicaciones de EDP y su protección contra accidentes básicos de "copia y pega" con los controles
de RMS, como la capacidad de impedir que se impriman y reenvíen documentos sin autorización.
Asimismo, con Office 365, las organizaciones pueden permitir que los usuarios restrinjan el acceso al
correo electrónico y los documentos, y decidir qué personas de la organización, o de fuera de ella,
tendrán acceso. Juntas, las capacidades de EDP y de administración de derechos de Office 365
pueden proporcionarle la prevención de pérdida de datos integral que estaba buscando. Y con la
interoperabilidad de Windows 10 y Office 365, la implementación de estas capacidades no podría ser
más sencilla.
3.13. Resistencia frente a amenazas
Esta semana seguramente se haya enterado de que se han filtrado datos de otra empresa Fortune
500 u organismo gubernamental, así que nunca ha estado tan claro que la batalla contra el malware
y las amenazas de los hackers sigue siendo un gran desafío. Estas grandes organizaciones tienen un
presupuesto enorme en seguridad, algunos de los mejores talentos y las últimas y mejores
tecnologías, y sin embargo siguen produciéndose filtraciones a menudo. La realidad es que la
mayoría de las organizaciones luchan esta batalla con una estrategia que no puede triunfar: un
enfoque basado únicamente en identificar a "los malos" y mantenerlos a distancia. Este tipo de
modelo no se corresponde con un mundo en el que cientos de miles de instancias de malware salen
a la luz cada día y en el que el malware polimórfico y "just-in-time" es la nueva norma.
Windows 10 se ha diseñado para impedir el acceso a la industria del malware y la piratería moviendo
el campo de batalla a uno completamente nuevo donde el malware y los hackers son más fáciles de
derrotar.
3.14. SmartScreen
La seguridad comienza protegiendo el perímetro exterior, y cuando se conecta a Internet a través de
un navegador, cliente de correo u otra aplicación, ese perímetro se pone a prueba a gran escala. Uno
de los héroes olvidados de Windows 10 es su tecnología SmartScreen, que se ha diseñado para
mantener las amenazas alejadas de los dispositivos en lugar de tener que borrar sus datos o
ponerlos en cuarentena. Eso es exactamente lo que quiere: que las amenazas ni siquiera tengan la
oportunidad de acercarse al dispositivo. SmartScreen protege a los usuarios de Edge e Internet
Explorer mediante su inteligencia basada en la nube para determinar si un sitio web es seguro antes
de proporcionar acceso a los usuarios. Los sitios web malintencionados o sospechosos e incluso las
descargas de aplicaciones pueden bloquearse. La misma inteligencia basada en la nube empleada
por SmartScreen se usa para la Protección contra amenazas avanzada (ATP) de Office 365, que
ayuda a impedir que mensajes de correo electrónico con vínculos y binarios malintencionados
lleguen a las bandejas de entrada de los usuarios.
3.15. Microsoft Edge e Internet Explorer
La inmensa mayoría de los ataques dirigidos a puntos de enlace usan un navegador (el que sea)
para ejecutar el ataque. Los usuarios pueden ser dirigidos de distintas formas a sitios web
malintencionados con la intención de aprovechar las vulnerabilidades o engañarles para que instalen
aplicaciones malintencionadas. Cuando usan Microsoft Edge o Internet Explorer, la tecnología
SmartScreen puede ayudar a bloquear la mayoría de las amenazas, pero no todas. Por este motivo,
Microsoft Edge e Internet Explorer están equipados con un amplio conjunto de tecnologías para
defenderse de las amenazas que podrían sufrir los dispositivos. Algunas de las funcionalidades de
seguridad con mayor impacto de Edge e Internet Explorer son la tecnología AppContainer, que aísla
al navegador del resto del sistema operativo, y técnicas de administración de memoria, que ayudan a
evitar la explotación de las vulnerabilidades detectadas. Microsoft Edge también ataja una de las vías
de explotación más usadas por los atacantes en el pasado proporcionando un modelo de extensión
del navegador más seguro y suprimiendo la compatibilidad con VML, VBScript, barras de
herramientas, objetos auxiliares del navegador (BHO) y ActiveX, todos ellos reemplazados por las
capacidades de HTML5 y la Web moderna.
3.16. Device Guard
Con el sistema operativo Windows 7, las amenazas se abordaban principalmente mediante software
antivirus y otros sistemas basados en la detección. Pero cuando hay cientos de miles de nuevas
amenazas cada día, no hay forma de que la comunidad antivirus se mantenga al tanto de las últimas
amenazas. Siempre habrá un paciente cero y muchos otros usuarios afectados hasta que alguna
persona de la comunidad se dé cuenta y publique una actualización para bloquear la amenaza.
También hay amenazas avanzadas persistentes (APT), es decir, ataques en los que las aplicaciones
malintencionadas se diseñan a medida para una tarea específica, lo que significa que la comunidad
antivirus podría no saber nunca de su existencia. En algunos casos, un ataque se puede realizar sin
usar ninguna aplicación malintencionada.
La solución a este desafío es rediseñar la estrategia de resistencia frente a las amenazas de manera
que se centre en la mitigación de las vulnerabilidades y en el control de las aplicaciones, en lugar de
en mecanismos basados en la detección, como defensa principal. La característica Device Guard de
Windows 10 se ha diseñado teniendo en cuenta esta estrategia. Proporciona las capacidades más
avanzadas de protección frente a amenazas del día cero y control de aplicaciones que ha ofrecido
Windows hasta la fecha. Para proteger el núcleo del sistema (modo kernel), Device Guard usa la
seguridad basada en virtualización (VSB) y hardware que ayuda a mitigar de forma contundente la
explotación de vulnerabilidades en el núcleo del sistema. Device Guard usa después los controles
basados en directivas para impedir que el software no autorizado se puede ejecutar en el dispositivo.
Aunque Device Guard representa uno de los planes estratégicos más importantes para abordar las
amenazas de malware, no sustituye en su totalidad a las soluciones antimalware tradicionales como
Windows Defender. Windows Defender añade protección al cubrir amenazas que Device Guard no
puede, como los ataques en memoria. Juntas, estas características ayudan a las organizaciones a
elevar enormemente el listón de la protección frente a la piratería y el software malintencionado.
3.17. Windows Defender
Windows Defender es una solución antivirus y antimalware robusta de clase empresarial que se ha
mejorado sustancialmente en Windows 10. Entre sus características tenemos:
Uso de los servicios en la nube de Windows, el aprendizaje automático y un equipo de
investigación de primera clase.
Uso actualizado de la base de datos de incidencias de seguridad recolectado por el Windows
Malicious Software Removal Tool a nivel mundial.
Poco consumo de memoria RAM.
Detección de Aplicaciones potencialmente no deseadas (PUA) en el momento de su
descarga e instalación.
Instalado por defecto en Windows 10.
El análisis del sistema de archivos con Windows Defender cuenta con tres opciones:
Rápido: buscará malware en los lugares de infección más comunes en el disco duro C:.
Completo: escaneará en busca de virus todo el sistema de archivos y los discos duros que
haya en nuestra máquina.
Personalizado: nos permitirá elegir la unidad o unidades que queramos analizar, así como
también en carpetas concretas.
3.18. Protección contra amenazas avanzada de Windows Defender
Windows 10 es la plataforma empresarial más segura en la actualidad, pero los ciberataques son
cada vez más sofisticados al usar ingeniería social, vulnerabilidades de día cero o incluso una
configuración incorrecta para abrirse paso por las redes corporativas. Solamente en 2015 se
registraron miles de estos ataques.
A partir de las defensas de seguridad previas al ataque existentes incorporadas en Windows 10,
hemos lanzado un nuevo servicio, Protección contra amenazas avanzada (ATP) de Windows
Defender, que proporciona una capa de protección posterior al ataque.
Protección contra amenazas avanzada (ATP) de Windows Defender permite a los clientes de
Windows Enterprise detectar, investigar y remediar las amenazas persistentes avanzadas y las
filtraciones de datos en sus redes. ATP de Windows Defender combina sensores de comportamiento
de punto de acceso de Windows de nueva generación con la inteligencia de amenazas basada en la
nube de Microsoft, análisis de Machine Learning y personas expertas en detectar amenazas
persistentes con medidas de detección y correctivas procesables de los ataques. ATP de Windows
Defender, que se ejecuta junto con cualquier solución antivirus, se actualiza continuamente y puede
ayudar a reducir los costes.
3.19. Arranque seguro
Cuando hablamos de malware, el objetivo de los atacantes es incrustar malware en el nivel más bajo
posible del sistema, porque cuanto más profundamente se implemente, mayores privilegios se
obtendrán y más probabilidades habrán de eludir la detección. Por este motivo, es esencial mantener
la integridad del sistema, especialmente en el núcleo del sistema (por ejemplo, en el proceso de
arranque, kernel, controladores y servicios de la plataforma). Windows 10 usa tecnologías basadas
en hardware como Arranque seguro UEFI que venían de serie en los dispositivos certificados para
Windows 8 para ayudar a proporcionar la raíz de confianza necesaria que ayude a Windows a
mantener su integridad e impedir que los bootkits y rootkits pongan en peligro el sistema. La
tecnología Arranque seguro UEFI ayudará a garantizar que los componentes basados en firmware de
un dispositivo estén protegidos y que el sistema operativo preferido sea lo primero que se inicie en el
dispositivo, y no el malware. Una vez que Windows se haya iniciado de forma segura, la función
Arranque seguro de Windows ayudará a garantizar que el núcleo del sistema Windows se inicie con
integridad, y en el caso de que se detecten anomalías, esta función se recompondrá y restaurará su
integridad. Aunque posiblemente no sea la característica más interesante de las medidas de
resistencia frente a amenazas, sí es una de las más importantes para la confianza del usuario. La
capacidad de que todas las características de seguridad que se ejecutan en Windows realicen su
trabajo depende de la integridad del núcleo del sistema, y Arranque seguro UEFI y Arranque seguro
de Windows pueden ayudar a garantizarlo.
3.20. Atestación del estado del dispositivo y acceso condicional
Windows 10 se ha diseñado para ser el sistema operativo más seguro que hemos lanzado al
mercado hasta la fecha, pero la realidad es que mientras existan atacantes tenaces merodeando
tendremos que asumir que nuestras defensas del sistema se pondrán a prueba y en algún momento
serán atacadas. Bajo ese supuesto, también tenemos que aceptar el hecho de que el estado de
salud declarado por un dispositivo ya no tiene validez si este ha sido atacado. O dicho de otro modo:
el hecho de que el último análisis de virus no haya detectado nada o de que el firewall parezca que
está funcionando no significa que todo vaya bien. Puede ser justo lo contrario.
En esta era de amenazas modernas y sumamente evasivas, no podemos confiar en los informes del
dispositivo sobre su propio estado de salud, por lo que necesita añadir la validación remota a su
estrategia. Con Windows 10, la integridad del dispositivo se puede validar de forma remota mediante
una combinación de servicios en la nube de Windows y un sistema de administración para evaluar
los resultados. En 2015, los sistemas de administración de dispositivos móviles (MDM) como Intune
incluían esta funcionalidad, que está disponible para que cualquier sistema de administración la
implemente. Esta capacidad se usa también para ejecutar servicios de acceso condicional con el fin
de que solo los dispositivos en buen estado puedan acceder a los recursos como la VPN corporativa,
el correo electrónico y SharePoint.
4. RESUMEN
5. REFERENCIAS BIBLIOGRÁFICAS
https://www.genbeta.com/a-fondo/le-he-dado-una-oportunidad-a-windows-defender-y-me-he-
encontrado-con-un-buen-antivirus
CAPÍTULO 2: COMPUTACIÓN CUÁNTICA
6. Introducción
En este capítulo se explicarán los fundamentos básicos sobre la Computación Cuántica, con la
finalidad de comprender los mecanismos de seguridad que plantea este paradigma. Además, se
detallará cómo funciona la cuántica en un ordenador que soporte la computación cuántica. Por
último, se concluirá con los aspectos fundamentales de este contenido.
7. Computación Cuántica
La computación cuántica es un paradigma de computación que se basa en la implementación de las
leyes cuánticas para realizar los cálculos de la computación clásica en menor tiempo. Utiliza los
qubits (semejantes a los bits) con los cuales se pueden abrir nuevas puertas lógicas haciendo posible
nuevos algoritmos. De esta forma es que se da apertura a la ejecución de procesos, operaciones
lógicas y cálculos que eran imposibles en la computación tradicional.
Las computadoras tradicionales codifican la información en bits, los cuales pueden tomar los valores
1 o 0. Por su parte, las computadoras cuánticas, están basadas en qubits (unidad mínima de
información en este paradigma) los cuales trabajan bajo los siguientes dos principios de la física
cuántica: superposición y enredo.
La “superposición” indica que un qubit puede tomar representar los valores de 1 y 0 al mismo tiempo.
El “enredo” quiere decir que un qubit con una superposición puede estar correlacionado con otro, lo
cual indica que el estado de un qubit puede depender del estado de otro.
El uso de estos principios permite que las computadoras cuánticas resuelvan los problemas más
difíciles, los cuales son intratables en la computación actual.
8. Unidad de información: Qubit
Un qubit o cubit es la unidad mínima de información cuántica, el cual entrega valores binarios
utilizando como base las leyes cuánticas facilitando el procesamiento de los datos. Si se realiza la
comparación con el bit tradicional de la computación se puede observar que mientras el bit devuelve
1 ó 0, el qubit es capaz de brindar 1, 0 y ambos al mismo tiempo.
9. Mecanismos de seguridad
Teorema de No Clonación
El teorema de no clonación prohíbe la copia (perfecta) del estado (las propiedades) de un sistema
cuántico (fotones, electrones, etc.). La única manera de evadirlo es usar el protocolo de
teletransporte cuántico, propuesto en 1993 y demostrado en 1997 para la polarización de un fotón.
No se teletransportan objetos, se transfieren estados cuánticos. Además, la transferencia de estado
no es instantánea.
El teletransporte requiere realizar medidas cuánticas y transferir los resultados de dichas medidas
mediante un canal de comunicación clásico (cuya velocidad de transferencia está limitada por la
velocidad de la luz en el vacío).
Criptografía Cuántica
La ventaja de la computación cuántica es que se puede procesar información en menos tiempo
debido al uso de las leyes de la cuántica, permitiendo que cualquier encriptación preparada bajo la
computación tradicional sea descifrada en corto tiempo.
Otro beneficio del uso de la computación cuántica es mejorar la seguridad haciéndola infranqueable.
10.Conclusiones
● La computación cuántica permite procesar información en menos tiempo debido al uso de las
leyes de la cuántica, permitiendo que cualquier encriptación preparada bajo la computación
tradicional sea descifrada en corto tiempo.
● Otro beneficio del uso de la computación cuántica es mejorar la seguridad haciéndola
infranqueable.
CAPÍTULO 3: DISPOSITIVOS MÓVILES
No solamente se puede hablar de seguridad para las pcs de escritorios sino también para los
dispositivos móviles y a continuación se listan algunas principales amenazas encontradas (aplicable
también para otros equipos):
Pérdida de datos
Un empleado o hacker teniendo acceso a información sensible desde un dispositivo o red. Esto
puede ser involuntario o malicioso y es considerado la mayor amenaza a dispositivos móviles.
Ataques
Usando ingeniería social Un cyber criminal intenta engañar a los usuarios para que revelen
información sensible o para que permitan la instalación de malware. Métodos incluyen suplantación
de identidad (phishing), suplantación de identidad usando mensajes de texto (SMishing) y ataques específicos.
Malware
Software malicioso que incluyen virus tradicionales, gusanos informáticos y troyanos (Trojan horse
programs). Ejemplos específicos incluyen el gusano informático Ikee, ataques a dispositivos basados
en iOS; y Pjapps malware que pueden registrarse en dispositivos Android infectados en una
colección de hacker controlados “zombie” dispositivos conocidos como “botnet.”
Amenazas a la Integridad de datos
Intentos de corromper y modificar datos con el objetivo de interrumpir las operaciones de un pequeño
Negocio, Gran Amenaza negocio para tener ganancias financieras. Esto puede ocurrir también
involuntariamente.
Abuso de Recursos Intentos de mal uso de las redes, dispositivos o recursos de identidad. Ejemplos
incluyen envío de correo no deseado desde dispositivos comprometidos o negación de los ataques
de servicios usando recursos informáticos desde dispositivos comprometidos.
Ataques basados en la web y las redes Lanzados por páginas web maliciosas o sitios
comprometidos, estos atacan al navegador en un dispositivo e intentan instalar malware o robar
datos confidenciales que fluyen a través del navegador.
11.ANDROID
Android es un sistema operativo basado en el núcleo Linux. Fue diseñado principalmente para
dispositivos móviles con pantalla táctil, como teléfonos inteligentes, tabletas y también para relojes
inteligentes, televisores y automóviles. Inicialmente fue desarrollado por Android Inc., empresa que
Google respaldó económicamente y más tarde, en 2005, compró.
Android fue presentado en 2007 junto la fundación del Open Handset Alliance (un consorcio de
compañías de hardware, software y telecomunicaciones) para avanzar en los estándares abiertos de
los dispositivos móviles.
11.1. Arquitectura
Aplicaciones: las aplicaciones base incluyen un cliente de correo electrónico, programa de SMS,
calendario, mapas, navegador, contactos y otros. Todas las aplicaciones están escritas en lenguaje
de programación Java.
Marco de trabajo de aplicaciones: los desarrolladores tienen acceso completo a los mismas API del
entorno de trabajo usados por las aplicaciones base. La arquitectura está diseñada para simplificar la
reutilización de componentes; cualquier aplicación puede publicar sus capacidades y cualquier otra
aplicación puede luego hacer uso de esas capacidades (sujeto a reglas de seguridad del framework).
Este mismo mecanismo permite que los componentes sean reemplazados por el usuario.
Bibliotecas: Android incluye un conjunto de bibliotecas de C/C++ usadas por varios componentes del
sistema. Estas características se exponen a los desarrolladores a través del marco de trabajo de
aplicaciones de Android. Algunas son: System C library (implementación biblioteca C estándar),
bibliotecas de medios, bibliotecas de gráficos, 3D y SQLite, entre otras.
Runtime de Android: Android incluye un set de bibliotecas base que proporcionan la mayor parte de
las funciones disponibles en las bibliotecas base del lenguaje Java. Cada aplicación Android corre su
propio proceso, con su propia instancia de la máquina virtual Dalvik. Dalvik ha sido escrito de forma
que un dispositivo puede correr múltiples máquinas virtuales de forma eficiente. Dalvik ejecutaba
hasta la versión 5.0 archivos en el formato de ejecutable Dalvik (.dex), el cual está optimizado para
memoria mínima. La Máquina Virtual está basada en registros y corre clases compiladas por el
compilador de Java que han sido transformadas al formato.dex por la herramienta incluida dx. Desde
la versión 5.0 utiliza el ART, que compila totalmente al momento de instalación de la aplicación.
Núcleo Linux: Android depende de Linux para los servicios base del sistema como seguridad, gestión
de memoria, gestión de procesos, pila de red y modelo de controladores. El núcleo también actúa
como una capa de abstracción entre el hardware y el resto de la pila de software
11.2. Mecanismos de seguridad específicos
11.3. Permisos de aplicación
El corazón de la seguridad en el nivel de aplicación es el sistema de permisos, el cual hace cumplir
las restricciones necesarias en cada operación que la aplicación puede realizar. El Package Manager
se encarga de otorgar permisos a las aplicaciones en la instalación mientras que el framework de la
aplicación se encarga de cumplir los permisos del sistema en la ejecución.
Existen alrededor de 100 permisos en Android, los cuales controlan operaciones como: el marcado
del teléfono, hacer fotografías, usar Internet, escribir SMS, etc.
Cualquier aplicación Android puede declarar permisos adicionales. Para obtener estos permisos, la
aplicación debe solicitarlo explícitamente en su manifiesto.
Los permisos llevan niveles de protección asociados:
1. Normal. Permisos que no son especialmente peligrosos si se obtienen.
2. Peligrosos (Dangerous). Permisos más peligrosos que los de tipo 1 o normalmente no
solicitados por las aplicaciones. Estos permisos necesitan la confirmación por parte del
usuario.
3. Firma (Signature). Permisos que solo pueden ser otorgados a otros paquetes que se han
firmado con la misma firma que la declarada en el permiso.
4. SignatureOrSystem. Permisos de firma que también se conceden a los paquetes instalados
en la imagen del sistema.
La asignación del nivel de protección se deja a la voluntad de los desarrolladores. No obstante, las
siguientes directrices son útiles a la hora de decidir el nivel de protección de una aplicación. Los
permisos “Normal” deben implicar un riesgo menor y servir únicamente como una llamada de
atención al usuario para que se dé cuente que la aplicación requiere acceso a una funcionalidad
concreta. Los permisos “Dangerous” deben ser usados para operaciones que implican un riesgo
mayor. Un equilibrio balanceado debe mantener la diferencia entre estas dos categorías para evitar
desclasificar operaciones de riesgo como normales, lo que provocaría la concesión equivocada de
privilegios. Mientras que si optamos por declarar todos los permisos como “Dangerous”, es igual de
peligroso ya que puede hacer que el usuario ignore la importancia del nivel de protección debido a la
falta de contraste.
Los permisos de “Signature” están destinados únicamente a las aplicaciones firmadas por el mismo
desarrollador.
El proceso que siguen los permisos es el siguiente. En la instalación, los permisos requeridos por la
aplicación son concedidos basándose en comprobaciones con la firma de las aplicaciones que
declaran esos permisos y la interacción con el usuario. Una vez la aplicación se ha instalado y sus
permisos han sido concedidos, no se pueden solicitar más permisos. Una operación que no tenga
permisos fallará en el momento de su ejecución. Por lo tanto, a la hora de instalar una aplicación,
existen dos opciones, confiar en el desarrollador o no confiar en él. En caso de no confiar en él se
recomienda no instalar la aplicación ya que no funcionará de forma correcta.
Además de proteger las APIs, el mecanismo de permisos debe garantizar la seguridad de varios
componentes en una aplicación que son: Activity, Service, Content Provider y Broadcast Receivers.
Esto se consigue asociando permisos con el componente relevante en su declaración y en el
manifiesto.
Una Activity (cualquier pantalla con la que el usuario pueda interactuar) puede especificar una serie
de permisos requeridos para cualquier aplicación que desea lanzarla. De forma similar, un Service
(estructura de fondo de la aplicación) puede controlar qué aplicaciones están permitidas a enlazarse
con él. El Content Provider (encargado de almacenar y compartir datos) define permisos para regular
quién tiene autorización para escribir o leer información. Como los permisos de lectura y escritura
están definidos de forma individual y no están interconectados, se puede tener buen control sobre el
Content Provider.
Los permisos sobre los Broadcast Receivers (ejecutados por el sistema en reacción a los Intents)
hacen posible controlar qué componentes se pueden recibir. La implicación de estos permisos es tal
que cualquier intento de espiar los Intents que están siendo enviados es evitado y cualquier esfuerzo
para enviar componentes no autorizados fallará.
11.4. Encapsulación de componentes
La habilidad de encapsular componentes en una aplicación evita cualquier acceso a ella desde otra
aplicación (asumiendo que tiene un ID de usuario distinto).
Esto se consigue fundamentalmente definiendo el atributo “exported” del componente. Si este
atributo está marcado como false, el componente sólo puede ser accedido por el propietario de la
aplicación y por otras aplicaciones que compartan el id de usuario con el atributo “share user-ID”. Si
está marcado como true, puede ser invocado por otras aplicaciones externas.
Sin embargo, las aplicaciones invocadoras todavía pueden ser controladas con el mecanismo de
permisos explicado anteriormente. No obstante, se recomienda marcar este atributo manualmente y
no confiar en el comportamiento por defecto del sistema.
11.5. Firma de aplicaciones
Cada aplicación en Android está empaquetada en un archivo .apk. Este fichero es similar al estándar
Java (.jar). A su vez, el .apk también incluye todos los recursos necesarios como las imágenes.
Android requiere que todas las aplicaciones sean firmadas digitalmente. La validez de la firma es
correcta mientras que su certificado sea válido y la clave pública adjunta verifique dicha firma.
La firma sirve para verificar que dos o más aplicaciones son del mismo propietario. Esta
característica es usada por el mecanismo “sharedUserId” y por el mecanismo de permisos (Signature
y SignatureOrSystem).
11.6. Root (Rooteo)
Precisamente el rooteo no es un mecanismo de seguridad, en todo caso sería una invitación para
las vulnerabilidades, pero es importante mencionarlo para conocer las ventajas y desventajas del
mismo proceso
Rootear es el proceso de permitir a los usuarios de Smartphone, tablets y otros dispositivos que
ejecutan el sistema operativo móvil Android, alcanzar el control privilegiado (conocido como acceso
de root) en varios subsistemas Android. Como Android utiliza el núcleo Linux, el Rootear un
dispositivo Android da acceso similar a los de administración (Supeusuario) como en Linux o
cualquier otro sistema operativo tipo Unix como FreeBSD u OS X.
Este proceso no es el 100% fiable (o recomendable) debido a que muchas de las aplicaciones que
permite realizar este proceso son creadas por desarrolladores terceros que no sabemos las
intenciones que tuvieron al realizar estos aplicativos o mejor dicho no sabemos que es todo lo que
instala.
Al rootear se adquieren nuevas mejoras en rendimiento del equipo utilizado, funcionalidades que
antes estaban “encerradas”. Además, con el nuevo rol “Superusuario” se tiene el control absoluto del
dispositivo por lo que se podrán realizar acciones que antes no se permite al usuario normal o regular
como: desinstalar aplicaciones que vienen instaladas como predeterminadas por el fabricantes y que
en mucho de los casos no son utilizadas, se pueden instalar aplicaciones nuevas que solamente
funcionan en dispositivos rooteadas, personalización de mods, administración óptima de la batería,
entre otros.
Pero, no todo es bueno al rootear tu dispositivo porque al abrir este nuevo mundo también se pierden
las actualizaciones de seguridad que se realizan con cierta periodicidad, razón por la cual tu terminal
sería más vulnerable a sufrir ataques de seguridad, pérdida de información o simplemente que al
finalizar tu equipo no se vuelva a encender.
El problema del root además, de los mencionados anteriormente es que al realizar modificaciones de
este tipo sobre el dispositivo se pierde la garantia del fabricante porque se descubren ciertos
patrones que indican modificaciones como es el caso de Samsung: se dispone de un contador de
flasheos el cual indica si el equipo está intacto o no, salido de fábrica este contador esta en 0 y que
este contador sea mayor a 0 indica claramente que ha sido modificado de alguna forma.
11.7. Google Play Store
Google Play Store (anteriormente Android Market) es una plataforma de distribución digital de
aplicaciones móviles para los dispositivos con sistema operativo Android, así como una tienda en
línea desarrollada y operada por Google. Esta plataforma permite a los usuarios navegar y descargar
aplicaciones (desarrolladas mediante Android SDK), juegos, música, libros, revistas y películas.
También se pueden adquirir dispositivos móviles como ordenadores Chromebook, teléfonos
inteligentes Nexus, Google Chromecast, entre otros.
Las aplicaciones se encuentran disponibles de forma gratuita, así como también con costo. Pueden
ser descargadas directamente desde un dispositivo con Android a través de la aplicación móvil Play
Store. Es posible también instalar estas aplicaciones directamente y sin necesidad de una
computadora, en dispositivos con sistema operativo BlackBerry 10.
Google reportó que en 2015 procedió a escanear 6.000 millones de aplicaciones cada día en busca
de elementos potencialmente dañinos (Potential Harmful Apps) detectando 0,15 % de aplicaciones
en esta categoría, las cuales fueron desincorporadas de la tienda de aplicaciones. El porcentaje
aumenta a 0.5 % cuando se incluyen aplicaciones no instaladas a través de Google Play.
Debido a que en años anteriores se han detectado muchos malwares tanto en los aplicativos gratis
como de pago es que este año Google presentó En el pasado Google I/O el proyecto Google Play
Protect, una nueva herramienta para proteger a las aplicaciones Android del cada vez más común
malware que infecta a millones de móviles en todo el mundo todos los meses.
Google Play Protect es una especie de antivirus creado por Google que mantendrá siempre nuestras
aplicaciones limpias de software malicioso y que además nos alertará de potenciales amenazas en el
día a día del móvil. Vamos a conocer lo sencillo que es activar esta nueva función, que ya tenemos
instalada en la mayoría de los móviles Android.
Esta característica ha sido insertada automáticamente a la tienda por lo que no estará disponible
para su descarga.
12. IOS
iOS es un sistema operativo móvil creado por Apple.inc inicialmente desarrollado para el iPhone y
posteriormente usado en dispositivos como el iPod Touch, iPad y el Apple TV, todos productos
originales de Apple.
Este sistema operativo gestiona el hardware del dispositivo en el que se encuentra instalado para
implementar aplicaciones nativas. El sistema viene con aplicaciones de aplicaciones como teléfono,
correo y navegador Safari que prestan servicios estándar del sistema para el usuario.
Entre las características del iOS se encuentran:
IOS se deriva del sistema operativo de Mac OS X, que está basado en Darwin BSD, un sistema
operativo Unix.
Todo en sistema se encuentra en la partición “/root” y ocupa menos de 500MB.
La interfaz de usuario de iOS está orientado a:
1. Proveer una interfaz amigable que incluya:
La manipulación directa, es decir, al uso de gestos multitáctiles controlados por elementos como
deslizadores, interruptores y botones.
La interacción con el sistema operativo incluyendo gestos como deslices, toques, pellizcos que el
usuario realiza sobre la pantalla para que active una acción. Tienen definiciones diferentes
dependiendo del contexto de la interfaz.
2. El tiempo de respuesta inmediata a las órdenes del usuario.
3.Dar soporte de acelerómetros internos y giroscopio que funcionan en respuesta ante un movimiento
o un gesto para hacer que algunas aplicaciones respondan a sacudir el dispositivo, por ejemplo rotar
en tres dimensiones que es un resultado común de cambiar de modo vertical al apaisado o
horizontal.
12.1. Arquitectura
1. Cocoa Touch
La capa Cocoa Touch o capa táctil de Cocoa es la interfaz de los dispositivos para con el usuario.
Esta capa es una exclusiva interfaz con un diseño único que está constituida con aplicaciones
probadas que comparten muchos patrones que se encuentran en la PC Mac, pero se reconstruyeron
con un enfoque especial en el tacto y las interfaces basadas en optimización. La mayoría de estas
aplicaciones están basadas en Objetive C.
2. Capa Media
Conocida también como capa de “medios de comunicaciones”. Es una interfaz basada en una
mezcla de lenguaje C y Objetive C que permite la ejecución de tareas o gestión de ficheros
multimedia.
Esta capa contiene las tecnologías de gráficos, audio y video orientadas a crear la mejor experiencia
de multimedia disponible en un dispositivo móvil. Las tecnologías están diseñadas para hacer que las
aplicaciones se vean y suenan excelente. Las características de las tecnologías son:
Media player: ofrece un fácil acceso a la biblioteca de iTunes del usuario y soporte para reproducción
de pistas y listas de reproducción.
El framework AV: proporciona un conjunto de fácil de usar interfaz de Objetive-C para el manejo y
reproducción de contenido audio visual.
El OpenAl: proporciona un conjunto de fácil de usar interfaz de Objetive-C para el manejo de la
reproducción de audio y grabación.
El Core audio: ofrece dos interfaces simple y sofisticados para reproducir y grabar contenidos de
audio, se utilizan para reproducir sonidos de alerta del sistema, provoca la capacidad de hacer vibrar
al dispositivo y la gestión de almacenamiento temporal y la reproducción de multi canales locales y
contenido de audio streaming.
El framework AV: proporciona un conjunto de interfaces de Objective-C para el manejo de la captura
y reproducción de películas.
Core Media: proporciona interfaces de bajo nivel para la manipulación de los medios de
comunicación.
3. Core Services
La capa Core Services contiene los servicios fundamentales del sistema para las aplicaciones. La
llave entre estos servicios son el fundamento y la Fundación marcos básicos que definen los tipos
básicos que todas las aplicaciones utilizan. Esta capa también contiene tecnologías individuales para
admitir características como la ubicación, iCloud, medios de comunicación social, y la creación de
redes.
Ejemplo:
● Servicios Peer-to-Peer
● Almacenamiento iCloud
● Objetos de bloque
● Proteccion de datos
● Archivos compartido.
● Grand Central Dispatch
● SQLite
● XML Support
12.2. Mecanismos de seguridad
12.3. Seguridad del sistema
La seguridad del sistema se ha diseñado de modo que tanto el software como el hardware estén
protegidos en todos los componentes centrales de los dispositivos iOS. Esto incluye el proceso de
arranque, las actualizaciones de software y el coprocesador Secure Enclave. Esta arquitectura es
fundamental para la seguridad de iOS y en ningún caso interfiere en la utilización del dispositivo. La
estrecha integración del hardware y el software en los dispositivos iOS garantiza que todos los
componentes del sistema son de confianza y valida el sistema en su conjunto. Se analizan y
aprueban todos los pasos —desde el arranque inicial hasta las actualizaciones del software iOS para
apps de terceros— con el fin de garantizar que el hardware y el software funcionan juntos a la
perfección y utilizan los recursos correctamente.
12.4. Cadena de arranque seguro
Cuando se enciende un dispositivo iOS, el procesador de aplicaciones ejecuta inmediatamente
código de la memoria de solo lectura (o ROM de arranque). Este código inmutable, que también se
conoce como raíz de confianza de hardware, se establece durante la fabricación del chip y es de
confianza implícitamente. El código de la ROM de arranque contiene la clave pública de la entidad
emisora de certificados (CA) raíz de Apple, que se utiliza para verificar que el cargador de arranque
de bajo nivel (LLB) tiene la firma de Apple antes de permitir que se cargue. Este es el primer paso de
la cadena de confianza, en la que cada paso garantiza que el siguiente está firmado por Apple.
Cuando el LLB termina sus tareas, verifica y ejecuta el cargador de arranque de la siguiente fase
(iBoot), que a su vez verifica y ejecuta el kernel de iOS.
12.5. Autorización del software del sistema
El proceso de arranque descrito anteriormente garantiza que en un dispositivo solo se pueda instalar
código firmado por Apple. Para evitar la instalación de versiones anteriores que no cuentan con las
actualizaciones de seguridad más recientes, iOS utiliza un proceso conocido como autorización del
software del sistema. Si fuera posible volver a una versión anterior, un atacante que se hiciera con un
dispositivo podría instalar una versión más antigua de iOS para aprovechar una vulnerabilidad
corregida en versiones más recientes.
En los dispositivos con un procesador A7 o uno posterior de la serie A, el coprocesador Secure
Enclave también utiliza el proceso de autorización del software del sistema para garantizar la
integridad de su software y evitar la instalación de versiones anteriores. Consulte la sección “Secure
Enclave” más abajo.
El servidor de autorización coteja la lista de medidas presentada con las versiones cuya instalación
se permite y, si encuentra una coincidencia, añade el ECID a la medida y firma el resultado. Como
parte del proceso de actualización, el servidor envía un conjunto completo de datos firmados al
dispositivo. La adición del ECID “personaliza” la autorización para el dispositivo que realiza la
solicitud. El servidor solo autoriza y firma las medidas conocidas, de modo que se garantiza que la
actualización se lleve a cabo de acuerdo con las especificaciones de Apple. En la evaluación de la
cadena de confianza durante el arranque, se verifica que la firma procede de Apple y que la medida
del ítem cargado desde el disco —combinada con el ECID del dispositivo— coincide con el contenido
de lo firmado.
12.6. Secure Enclave
El Secure Enclave es un coprocesador incorporado en el procesador A7 o uno posterior de la serie A
de Apple. Utiliza memoria encriptada e incluye un generador hardware de números aleatorios.
Proporciona todas las operaciones cifradas para la gestión de claves de protección de datos y
mantiene la integridad de la protección de datos, aunque el kernel haya sido comprometido. La
comunicación entre el Secure Enclave y el procesador de aplicaciones está aislada en un buzón
basado en interrupciones y en memorias intermedias de datos de la memoria compartida. El Secure
Enclave ejecuta una versión personalizada por Apple de la familia de microkernels L4, lleva a cabo su
propio arranque seguro y se puede actualizar con un proceso de actualización de software
personalizado independiente del procesador de aplicaciones.
Durante el proceso de fabricación, se proporciona a cada Secure Enclave un identificador único (UID)
propio que Apple no conoce y al que otras partes del sistema no tienen acceso. Cuando el dispositivo
se enciende, se crea una clave efímera —vinculada a su UID—, que se utiliza para encriptar la parte
que ocupa el Secure Enclave en el espacio de la memoria del dispositivo. Además, los datos que el
Secure Enclave guarda en el sistema de archivos se encriptan con una clave vinculada al UID y un
contador antirreproducciones
El coprocesador Secure Enclave es el responsable de procesar los datos de huella digital del sensor
Touch ID y determinar si coinciden con alguna de las huellas registradas, en cuyo caso permitirá el
acceso o las compras en nombre del usuario. La comunicación entre el procesador y el sensor Touch
ID tiene lugar a través de un bus de interfaz de periféricos serie. El procesador envía los datos al
Secure Enclave, pero no puede leerlos, puesto que están encriptados y se autentican mediante una
clave de sesión que se negocia con la clave compartida del dispositivo proporcionada para el sensor
Touch ID y el Secure Enclave. En el intercambio de claves de sesión, se utiliza la encapsulación de
claves AES y ambas partes proporcionan una clave aleatoria que establece la clave de sesión y que
utiliza la encriptación de transporte AES-CCM.
12.7. Touch ID
Touch ID es el sistema de detección de huellas digitales que hace posible un acceso seguro, más
rápido y sencillo al dispositivo. Esta tecnología lee los datos de huella digital desde cualquier ángulo y
almacena continuamente más información sobre la huella del usuario, ya que el sensor amplía el
mapa de huella digital en cada uso al identificar nuevos nodos superpuestos.
12.8. Encriptación y protección de datos
La cadena de arranque seguro, la firma de código y la seguridad del proceso de ejecución garantizan
que, en un dispositivo, solo se puedan ejecutar apps y código que sean de confianza. iOS dispone de
otras funciones de encriptación y de protección de datos para proteger los datos del usuario, incluso
cuando otras partes de la infraestructura de seguridad están en peligro (por ejemplo, en un
dispositivo con modificaciones no autorizadas). Esto ofrece grandes ventajas tanto a los usuarios
como a los administradores de TI, puesto que la información personal y corporativa está protegida en
todo momento y se proporcionan métodos para un borrado remoto, inmediato y completo, en caso de
robo o pérdida del dispositivo.
12.9. Funciones de seguridad de hardware
En dispositivos móviles, la velocidad y la eficiencia energética son factores fundamentales. Las
operaciones cifradas son complejas y pueden provocar problemas de rendimiento o duración de la
batería si no se han tenido en cuenta estas prioridades en las fases de diseño e implementación.
Todos los dispositivos iOS tienen un motor de cifrado AES de 256 bits integrado en la ruta de DMA,
entre el almacenamiento flash y la memoria del sistema principal. Esto permite conseguir una
encriptación de archivos muy eficiente.
12.10. Protección de datos de archivo
La protección de datos se implementa mediante la creación y gestión de una jerarquía de claves, y se
basa en las tecnologías de encriptación de hardware integradas en cada dispositivo iOS. La
protección de datos se controla por archivo, asignando cada archivo a una clase. La accesibilidad se
determina en función de si las claves de clase se han desbloqueado o no.
12.11. Clases de protección de datos
12.12. Complete Protection (NSFileProtectionComplete):
La clave de clase está protegida con una clave creada a partir del código de usuario y el UID del
dispositivo. Poco después de que el usuario bloquee un dispositivo (10 segundos, si el ajuste
“Solicitar contraseña” está en “De inmediato”), la clave de clase desencriptada se descarta, de
manera que se deja de poder acceder a todos los datos de esta clase hasta que el usuario vuelva a
introducir el código o desbloquee el dispositivo con Touch ID.
12.13. Protected Unless Open (NSFileProtectionCompleteUnlessOpen):
Puede que sea necesario escribir algunos archivos mientras el dispositivo está bloqueado. Por
ejemplo, al descargar un archivo adjunto de correo en segundo plano. Este comportamiento se
consigue con la criptografía de curva elíptica asimétrica (ECDH sobre Curve25519). Las claves por
archivo normales están protegidas con una clave obtenida según el acuerdo de claves de Diffie-
Hellman de un paso, tal como se describe en la publicación SP 800-56A del NIST.
12.14. Protected Until First User Authentication
(NSFileProtectionCompleteUntilFirstUserAuthentication): Esta clase se comporta del mismo modo
que Complete Protection, con la diferencia de que la clave de clase desencriptada no se elimina de la
memoria al bloquear el dispositivo. La protección de esta clase tiene propiedades similares a la
encriptación de volumen completo de escritorio y protege los datos frente a ataques que impliquen un
reinicio. Esta es la clase por omisión para todos los datos de apps de terceros que no tengan una
clase de protección de datos asignada por otra vía.
12.15. No Protection (NSFileProtectionNone):
Esta clave de clase solo está protegida con el UID y se guarda en Effaceable Storage. Dado que
todas las claves necesarias para desencriptar los archivos de esta clase se almacenan en el
dispositivo, la encriptación solo añade la ventaja del borrado remoto rápido. Aunque un archivo no
tenga asignada una clase de protección de datos, se almacena en formato encriptado (igual que
todos los datos de un dispositivo iOS).
12.16. Protección de datos de llavero
El llavero se implementa como una base de datos SQLite almacenada en el sistema de archivos.
Solo hay una base de datos; el daemon securityd determina a qué ítems del llavero puede acceder
cada proceso o app. Las API de Acceso a Llaveros generan llamadas al daemon, que envía una
consulta a las autorizaciones “keychain-access-groups”, “application-identifier” y “application-group”
de la app. En lugar de limitar el acceso a un solo proceso, los grupos de acceso permiten que los
ítems del llavero se compartan entre apps.
Los ítems del llavero solo se pueden compartir entre las apps de un mismo desarrollador. Esto se
gestiona solicitando a las apps de terceros que utilicen grupos de acceso con un prefijo asignado a
través del programa para desarrolladores de Apple (Apple Developer Program) mediante grupos de
aplicaciones. El requisito de prefijo y la exclusividad del grupo de aplicaciones se aplican mediante la
firma de código, perfiles de datos y el programa para desarrolladores de Apple.
12.17. Certificaciones de seguridad y programas
12.18. Validación cifrada (FIPS 140-2)
Los módulos cifrados de iOS han sido validados para garantizar su conformidad con las normas del
Estándar federal de procesamiento de información de Estados Unidos (FIPS) 140-2 de nivel 1
después de cada lanzamiento desde iOS 6. Los módulos cifrados de iOS 9 son idénticos a los de iOS
8, pero, como con cada lanzamiento, Apple envía los módulos para su revalidación. Este programa
valida la integridad de las operaciones cifradas para apps de Apple y de terceros que utilicen
correctamente los servicios cifrados de iOS.
12.19. Certificación de Criterios Comunes (ISO 15408)
Apple ya ha iniciado la ampliación de la certificación de iOS según el programa de Certificación de
Criterios Comunes (CCC). Las dos primeras certificaciones completadas son VID10695 para iOS 9
relativa al perfil de protección fundamental de dispositivos móviles 2.0 (MDFPP2) y VID10714 relativa
al perfil de protección de clientes de VPN IPSecPP1.4 (VPNIPSecPP1.4). Próximamente se
completará una certificación activa del protocolo MDM integrado para el perfil de protección EP 2.0
de agentes MDM (MDMAgentEP2). Apple ha asumido una función activa en la Comunidad Técnica
Internacional (ITC) para el desarrollo de perfiles de protección (PP) no disponibles actualmente,
centrados en la evaluación de tecnología de seguridad móvil clave. Apple continúa evaluando y
ampliando certificaciones para versiones nuevas y actualizadas de perfiles de protección disponibles
actualmente.
12.20. APPLE ID
El ID de Apple está constituido por el nombre y la contraseña del usuario necesarios para iniciar
sesión en servicios de Apple tales como iCloud, iMessage, FaceTime, iTunes Store, iBooks Store y
App Store entre otros. Es importante que el usuario proteja su ID de Apple para evitar que se
produzca un acceso no autorizado a sus cuentas. Con el fin de ayudarle a conseguirlo, Apple exige el
uso de contraseñas seguras compuestas, al menos, de ocho caracteres que combinen números y
letras, que no contengan el mismo carácter repetido más de tres veces de forma consecutiva y que
no sean de uso común. Se recomienda a los usuarios que aumenten el grado de protección indicado
añadiendo más caracteres o signos de puntuación para que sus contraseñas resultan aún más
seguras. Apple también requiere a los usuarios que configuren tres preguntas de seguridad que se
puedan utilizar para ayudar a comprobar la identidad del propietario a la hora de realizar cambios en
la información de su cuenta o de restablecer una contraseña olvidada. Apple también envía mensajes
de correo electrónico y notificaciones push a los usuarios cuando se producen cambios importantes
en sus cuentas. Por ejemplo, si se ha modificado una contraseña o la información de facturación, o
bien si el ID de Apple se ha utilizado para iniciar sesión en un dispositivo nuevo. Si los usuarios
detectan algo que no les resulta familiar, deben cambiar la contraseña de su ID de Apple
inmediatamente. Además, Apple utiliza diversas políticas y procedimientos diseñados para proteger
las cuentas de los usuarios. Entre ellos, se incluyen la limitación del número de veces que se puede
intentar iniciar sesión y restablecer la contraseña, la supervisión activa de fraudes para ayudar a
identificar los ataques mientras se están produciendo, y las revisiones periódicas de las políticas que
permiten adaptarnos a cualquier información nueva que pueda afectar a la seguridad del cliente.
12.21. Autenticación doble factor
Para ayudar a los usuarios a proteger más sus cuentas, Apple ofrece la autenticación de doble factor.
Este sistema de autenticación es una capa adicional de seguridad para los ID de Apple. Está
diseñado para garantizar que solo el propietario de la cuenta pueda acceder a ella, aunque otra
persona conozca la contraseña. Gracias a la autenticación de doble factor, solo se puede acceder a
la cuenta de un usuario en dispositivos de confianza, como el iPhone, iPad o Mac del usuario. Para
iniciar sesión por primera vez en un dispositivo nuevo, se necesita la contraseña del ID de Apple y un
código de verificación de seis dígitos que se muestra en los dispositivos de confianza del usuario o
que se envía a un número de teléfono de confianza automáticamente
12.22. Verificación en dos pasos
Desde 2013, Apple también ofrece un método de seguridad parecido denominado “verificación en
dos pasos”. Con este método activado, la identidad del usuario se debe comprobar mediante un
código temporal que se envía a uno de los dispositivos de confianza del usuario antes de permitir que
se modifique la información de la cuenta de su ID de Apple; antes de iniciar sesión en iCloud,
iMessage, FaceTime y Game Center; o antes de realizar compras en iTunes Store, iBooks Store o
App Store desde un dispositivo nuevo. Los usuarios también reciben una clave de recuperación de
14 caracteres que deben guardar en un lugar seguro para usarla en caso de olvidar su contraseña o
perder el acceso a los dispositivos de confianza. Si desea obtener más información sobre la
verificación en dos pasos del ID de Apple.
12.23. Mobile Device Management (MDM)
La compatibilidad de iOS con MDM permite que las empresas puedan configurar y gestionar de
forma segura la implementación gradual de iPhone y iPad en sus organizaciones. Los recursos MDM
se integran en las tecnologías iOS existentes, como los perfiles de configuración, la inscripción
remota y el servicio de notificaciones push de Apple (APNs). Por ejemplo, el APNs se utiliza para
activar el dispositivo de manera que pueda comunicarse directamente con el servidor MDM a través
de una conexión segura. No se transmite información confidencial ni privada a través del APNs. Con
ayuda de MDM, los departamentos de TI pueden inscribir dispositivos iOS en un entorno empresarial,
configurar los ajustes y actualizarlos mediante una red inalámbrica, supervisar el cumplimiento de
políticas corporativas e incluso borrar o bloquear de forma remota los dispositivos gestionados. Si
desea obtener más información sobre la gestión de dispositivos móviles.
12.24. Modo Perdido
Si se pierde un dispositivo o alguien lo roba, un administrador de MDM puede activar el modo
Perdido de forma remota en un dispositivo supervisado con iOS 9.3 o posterior. Cuando se activa
este modo, se cierra la sesión del usuario activo en ese momento y el dispositivo no se puede
desbloquear. En la pantalla, se muestra un mensaje que puede personalizar el administrador, como
un número de teléfono al que llamar si alguien encuentra el dispositivo. Cuando se activa el modo
Perdido en el dispositivo, el administrador puede solicitar al propio dispositivo que envíe su ubicación
en ese momento. Cuando un administrador desactiva el modo Perdido, que es la única forma de salir
de este modo, se informa al usuario mediante un mensaje en la pantalla bloqueada y un aviso en la
pantalla de inicio.
12.25. Jailbreak
Precisamente el jailbreak no es un mecanismo de seguridad, en todo caso sería una invitación para
las vulnerabilidades, pero es importante mencionarlo para conocer las ventajas y desventajas del
mismo proceso.
Es el proceso de suprimir algunas de las limitaciones impuestas por Apple en dispositivos que utilicen
el sistema operativo iOS mediante el uso de kernels modificados. Tales dispositivos incluyen el
iPhone, iPod Touch, iPad y la Apple TV de segunda generación. El jailbreak permite a los usuarios
acceder por completo al sistema operativo, permitiendo al usuario descargar aplicaciones,
extensiones y temas que no están disponibles a través de la App Store oficial. Un dispositivo con
jailbreak todavía puede usar la App Store, iTunes y todas las demás funciones, como hacer llamadas
telefónicas. El jailbreak es una forma de escalado de privilegios, y el término se ha usado también
con otros sistemas computacionales.
A diferencia del proceso de rootear un dispositivo Android, el jailbreak es necesario si el usuario
quiere correr software no autorizado por Apple. Un jailbreak "atado" (tethered, en inglés) requiere que
el dispositivo esté conectado a un ordenador cada vez que inicie; un jailbreak "sin ataduras"
(untethered, su equivalente en inglés) permite al dispositivo encender sin la asistencia de un
ordenador. Bajo el Digital Millennium Copyright Act, el proceso de hacer jailbreak es legal en los
Estados Unidos, aunque Apple anunció que la práctica puede violar la garantía.
El jailbreak no afecta a otras limitaciones impuestas como son la descarga de más de 50/100
megabytes de la Appstore sin conexión WiFi, la imposibilidad de sincronizar más de 5 dispositivos
iOS, o no poder compartir una dirección por iMessage. Simplemente lo que consigues con el jailbreak
es quitar ciertas limitaciones, como por ejemplo instalar temas en el dispositivo, o modificar la interfaz
del mismo.
13.APP STORE
App Store o Mac App Store es un servicio para el iPhone, el iPod Touch, el iPad y Mac OS X Snow
Leopard o posterior, creado por Apple Inc, que permite a los usuarios buscar y descargar
aplicaciones informáticas de iTunes Store o Mac App Store en el caso de Mac OS X, desarrolladas
con el iPhone SDK y publicadas por Apple. Estas aplicaciones están disponibles para ser compradas
o bien gratuitas, dependiendo de cada una. Las aplicaciones pueden ser descargadas directamente
al iPhone o al iPod Touch por medio de una aplicación del mismo nombre, aunque App Store también
está disponible en el interior del programa informático iTunes.
Así como para Android se tienen mecanismos de seguridad sobre las aplicaciones mediante el
Google Protect, iOS no es la excepción ya que ellos cuentan con la entidad verify.ly, la cual se
encarga de escanear las aplicaciones de la App Store y encontrar (si es que existen como en este
caso) vulnerabilidades.
A pesar de esto, no se garantiza que las apps sean 100% seguras o que no se encuentren brechas
de seguridad en el sistema operativo iOS. Después de liberar una nueva versión suelen realizar
updates menores que corrigen estas deficiencias encontradas por los atacantes y esto con la
finalidad de evitar pérdidas de información, entre otros.
Conclusiones
● Definitivamente ninguno de los dos sistemas operativos es mejor que el otro.
● Cada cierto tiempo se realizan mejoras en ambos sistemas operativos para corregir ciertas vulnerabilidades encontradas o en el peor de los casos amenazas que impactan a algún sector de la población mundial.
● En el caso de iOS se utilizan dispositivos externos para verificar la autenticación exitosa del usuario: como el Id Apple, iCloud, tokens para pagos, etc.
Ambas compañías que desarrollaron estos sistemas operativos están poniendo cada día
mayor esfuerzo, tiempo y dedicación en la protección de los datos y equipos en general.
CAPÍTULO 4: MAINFRAME OS390, Z10, AS400
1. INTRODUCCIÓN
También conocido como computador central. Computadoras grandes potentes y caras usadas
principalmente por grandes compañías para el procesamiento de grandes cantidades de datos, por
ejemplo, el procesamiento de transacciones bancarias.
Término apareció a principios de los setenta con la introducción de ordenadores más pequeños como
la serie DEC PDP, que fueron conocidos como miniordenadores, por lo que los usuarios acuñaron el
término ordenador central para describir a los tipos de ordenadores más grandes y antiguos.
En los días de gloria eran conocidos como IBM y los siete enanitos: Burroughs, Control Data, General
Electric, Honeywell, NCR, RCA y Univac.
Luego se produjeron los siguientes acontecimientos:
● RCA fue comprado por Univac
● GE también abandonó.
● Honeywell fue comprado por Bull,
● Univac se unió a Sperry para formar Sperry/Univac, que más tarde se unió con Burroughs
para formar Unisys Corporation
● En 1991, AT&T poseyó durante un breve tiempo NCR.
2. MAINFRAME
Un Mainframe o Macrocomputador es un sistema de computación utilizado en negocios para
almacenar bases de datos comerciales, servidores de transacciones y aplicaciones, que requieren un
alto grado de seguridad y disponibilidad que normalmente no se encuentra en máquinas de menor
escala. El poder de un mainframe provee velocidad y capacidad de computación, permitiéndole
desarrollar grandes volúmenes de procesamiento. Un mainframe puede procesar grandes cantidades
de tareas de diferentes tipos y en distintas zonas horarias. Se debe tener en cuenta que la mayoría
de las compañías de Fortune 1000 usan mainframes, y que el 60% de la información disponible en
Internet está almacenada en computadoras mainframe.
¿Por qué usar mainframes?
● Procesamiento de transacciones a gran escala, por ejemplo miles de transacciones por
segundo.
● Soporta miles de usuarios y aplicaciones.
● Acceso simultáneo a los recursos.
● Terabytes de información en bases de datos.
● Comunicaciones de grandes anchos de banda.
3. Industrias que usan Mainframes
● Mercados financieros
● Bancos
● Aeroespacial y defensa
● Automotriz
● Ciencias de la vida y salud
● Seguros
● Medios digitales (digital media)
● Medios y entretenimiento
● Telecomunicaciones
● Química y petróleo
● Productos comestibles (consumer products)
● Educación
● Electrónica
● Energía y utilidades
● Viajes y transportes
● Inalámbrico
● Ingeniería
● Retail
● Gobierno
4. Supercomputadoras vs Mainframes
Las supercomputadoras se centran en los problemas limitados por la velocidad de cálculo mientras
que los ordenadores centrales se centran en problemas limitados por los dispositivos de E/S y la
fiabilidad.
En consecuencia:
● Los superordenadores suelen explotar paralelismos masivos, a menudo con miles de
procesadores, mientras que los ordenadores centrales tienen un solo o un pequeño número
de procesadores (como mucho varias docenas).
● Debido al paralelismo visible al programador, los superordenadores son muy complicados de
programar; en los ordenadores centrales, el limitado paralelismo (si existe) está normalmente
escondido del programador.
● Los superordenadores son optimizados para cálculos complicados que tienen lugar sobre
todo en la memoria, mientras que los ordenadores centrales son optimizados para cálculos
simples que implican grandes cantidades de datos externos a los que se accede desde
bases de datos.
Los superordenadores suelen dedicarse a la ciencia mientras que los ordenadores centrales suelen
dedicarse a las empresas y aplicaciones administrativas del gobierno.
5. Caracteristicas de los Sistemas Mainframe
5.1. RAS (Confiabilidad, Disponibilidad, Servicio)
En un Mainframe, los componentes de hardware y software son de alta calidad y tienen la capacidad
de auto-diagnóstico y auto-reparación. Aunque alguno de sus componentes falle, un mainframe está
el 99,9999% del tiempo disponible.
5.1.1. Confiabilidad
Se llevan a cabo extensivos auto-diagnósticos y se cuenta con capacidades de auto-recuperación.
5.1.2. Disponibilidad
El sistema se puede recuperar de la caída de uno de sus módulos sin impactar al resto del sistema
que se está ejecutando (99,99999%)
5.1.3. Servicio
El sistema puede determinar porque ocurrió una falla. Esto permite el reemplazo de elementos del
hardware y software sin afectar la operación del sistema.
5.2. Seguridad.
Como sabemos uno de los recursos más valiosos de una empresa son sus datos. Estos datos
críticos deben ser administrados de forma segura y controlada, y que simultáneamente estén a
disposición de usuarios autorizados. El mainframe proporciona un sistema muy seguro para el
procesamiento de un gran número de aplicaciones heterogéneas en el acceso de datos críticos.
5.3. Escalabilidad.
Los Mainframes exhiben características de escalabilidad de hardware y software, con la capacidad
de ejecutar múltiples copias del software del sistema operativo como una entidad única, a esto se le
conoce como Sysplex.
5.4. Control Centralizado.
5.5. Manejo de Cargas de Trabajo.
5.5.1. Procesamiento por lotes Batch:
Son trabajos planificados, que se ejecutan sin la interacción del usuario.
Pueden consistir en la ejecución de cientos o miles de Jobs encadenados, siguiendo una secuencia
preestablecida. El tiempo de respuesta no es importante (pueden tardar horas en finalizar), ya que
son tareas muy pesadas. Se suelen ejecutar por la noche, cuando la CPU está más libre de trabajo.
Tienen grandes cantidades de datos (terabytes) tanto de entrada, como de salida para procesar o
almacenar información. Ejemplos: copias de seguridad, balances de contabilidad, cierre de cuentas…
etc.
5.5.2. Procesamiento de transacciones Online:
El OLPT (Online Transaction Processing), ocurre con la interacción del usuario. El tiempo de
respuesta es muy importante, normalmente, es de menos de un segundo. Estas operaciones mueven
pequeñas cantidades de datos, tanto de entrada como de salida. Las aplicaciones críticas de una
empresa funcionan de este modo, por tanto, la interfaz transaccional para el usuario, debe de estar
permanentemente disponible. Ejemplos: sacar dinero de un cajero, reservar un billete de avión,
comprar con la tarjeta de crédito… etc.
5.6. Particionado/Virtualización.
5.7. Compatibilidad Continua.
5.8. Arquitectura Evolutiva.
6. Roles en el mundo Mainframe
6.1. Programador de Sistema
System Programmer. Instalar, adecuar y mantener el sistema operativo.
6.2. Administrador de Sistema
System administrator. Mantiene la información crítica del negocio que reside en el mainframe.
6.3. Desarrollador de Aplicacion
Application developer.
6.4. Analista de Control de Producción.
Production Control Analyst. Cargas de trabajo corren hasta completarse sin error o retardo.
6.5. Operador de Sistema
System Operator. Controla la operación del hardware y software del mainframe.
7. Sistemas Operativos para Macrocomputadoras
En los últimos años, la empresa IBM ha sido la que ha llevado la batuta en venta de equipos Mainframe, y sus respectivos Sistemas Operativos. Los Mainframes más usados son los de la familia de System z de IBM. Entre los más usados hoy en día se pueden encontrar:
7.1. IBM i
Es un Sistema Operativo basado en EBCDIC que corre en IBM Systems Power y en IBM PureSystems. Es la actual versión del sistema operativo anteriormente denominado i5/OS y originalmente OS/400 cuando se introdujo en los computadores AS/400 en 1988.
7.2. Linux para System z
Linux para System z es el término colectivo para el sistema operativo Linux compilado para correr en Mainframes de IBM, especialmente en máquinas de la familia de System z. Otras denominaciones incluyen Linux en zEntreprise 196, Linux en System z9, Linux en System z10, z/Linux, zLinux, etc.
7.3. Unix
Unix (registrado oficialmente como UNIX®) es un sistema operativo portable, multitarea y multiusuario; desarrollado, en principio, en 1969, por un grupo de empleados de los laboratorios Bell de AT&T, entre los que figuran Ken Thompson, Dennis Ritchie y Douglas McIlroy. El sistema, junto con todos los derechos fueron vendidos por AT&T a Novell, Inc. Esta vendió posteriormente el software a Santa Cruz Operation en 1995, y esta, a su vez, lo revendió a Caldera Software en 2001, empresa que después se convirtió en el grupo SCO. En 2010, y tras una larga batalla legal, ésta ha pasado nuevamente a ser propiedad de Novell.
7.4. z/OS
z/OS es el sistema operativo actual de las computadoras centrales de IBM. Del sistema MVT (de
1967) se pasó al MVS en 1974 añadiéndole múltiples espacios de memoria virtual, agregándole a
éste compatibilidad UNIX se pasó al OS/390 en 1995, y ampliando a éste el direccionamiento de 64
bits se pasó a z/OS en el año 2000.
7.5. z/TPF
z/TPF es un sistema operativo en tiempo real, de la empresa IBM para equipos mainframe, para las familias System z9 y zSeries. TPF deriva de “Transaction Processing Facility” (Lugar para procesar transacciones). z/TPF tiene un procesamiento rápido y de alto volumen, para manejar grandes cantidades de transacciones a través de redes distribuidas. El sistema TPF más avanzado puede procesar 10.000 transacciones por segundo.
7.6. z/VM
z/VM es la actual versión de la familia de Sistemas Operativos de máquinas virtuales. z/VM fue lanzado al público en octubre 2000 y permanece en uso activo y desarrollo hasta la fecha (diciembre
2013). Está basado en la tecnología y conceptos de los años 1960’s, de los sistemas operativos CP/CMS de IBM, sobre el System/360-67. x/VM corre sobre la familia de computadores System z de IBM[i].
● Es un sistema operativo orientado a la virtualización.● Tiene dos componentes básicos: un programa de control (PC), que es el encargado de crear
las máquinas virtuales utilizando recursos reales del sistema. Y El segundo componente es el CMS (Conversational Monitor System), que proporciona la interfaz al usuario.
7.7. z/VSE
z/VSE (Virtual Storage Extended – Almacenamiento Virtual extendido) es un sistema operativo para los mainframes IBM, derivado del DOS/360. Es menos usado que el z/OS, y casi siempre en equipos más pequeños.
Es utilizado para mainframes más pequeños. Algunos de estos clientes eventualmente migran a z / OS cuando crecen más allá de la capacidad de z / VSE.
● Es similar a z/OS, pero más pequeño y menos complejo.● Está dirigido a todos los clientes que utilizan VSE/ESA.● Es un sistema operativo centrado en la interoperatividad (intercambio de procesos y datos
entre sistemas heterogéneos).
8. Evolución arquitecturas IBM
9. zSeries
● Nombre de marca de IBM designado para todos los mainframes IBM en el 2000.
● Vienen a reemplazar a los IBM S/390.
● Término usado para los nuevos mainframes de 64 bits de IBM zSeries 900, o z900,
● La z9000 introduce la arquitectura de 64 bits al mundo de los mainframes a través de
z/Architecture.
● Servidores proporcionan más del doble del desempeño de sus antecesores.
9.1. Z/Architecture
Formalmente conocida como ESAME (Enterprise Systems Architecture Modal Extensions).
Introducida por IBM en el 2000 es el modelo 900 de Introducida por IBM en el 2000 es el modelo 900
de sus zSeries.
Arquitectura de 64 bits que:
● reemplaza la arquitectura anterior ESA/390 de 31 bits de direccionamiento y 32 bits de datos,
no perdiendo compatibilidad.
● también compatible con la arquitectura de 24 bits de direccionamiento y de 32 bits de datos
de la arquitectura System/360.
Los sistemas operativos soportados varían de acuerdo en la forma en que aprovechan el diseño de
64 bits.
9.2. z/10
Lanzados en 2005
● z10 Enterprise Class (2097 series), introducida el 26 Febrero 2008
● z10 Business Class (2098 series), introducida el 21 Octubre 2008
10. OS/390
Es un sistema operativo de International Business Machines (IBM) para los mainframes IBM
System/370 y System/390. Es básicamente una versión renombrada de MVS que añade los Servicios
de sistema UNIX.
10.1. Hechos Históricos
● Data desde las tarjetas perforadas y la entrada por lotes.
● Sus antecesores fueron diseñados para soportar dos clases de mainframes empresariales:
las computadoras 360 y 370.
● Se convirtió en estándar para la industria.
● Abarcó desde 1964 hasta 1969.
● Debido a la exigencia del mundo comercial tuvo que ser creado un sistema operativo que
tuviera mayor complejidad, que manejara el tiempo compartido y utilizara varios CPU para
acelerar el procesamiento.
● En 1990 el OS/390 fue creado usando el MVS/ESA (Sistema de Almacenamiento Virtual con
Sistema de Arquitectura empresarial)
● Fue creado para sustituir el System/370 XA por su tecnología de red y controladores de
caché.
10.2. Características Principales
● Fue elaborado para el procesamiento por lotes.
● Está orientado para entornos de cómputo comercial de multiprogramación.
● Confiabilidad, seguridad y potencia de procesamiento.
● Soportaba nuevo hardware.
● Era más tolerante a fallas.
● Soportaba la conexión de mainframe a mainframe mediante fibra óptica de alta velocidad con
la actualización de Sysplex Parallel de IBM.
11. z/OS
El sistema operativo más actualizado para mainframes de IBM. Sistema operativo de 64 bits. Sucesor
del sistema operativo OS/390 (combinación servicios MVS y UNIX). Mantiene funciones e interfaces
de los 70’s y 60’s, pero también ofrece algunos atributos y elementos de los llamados sistemas
abiertos. Soporta CICS, IMS, RACF, SNA también corre Java, soporta UNIX, APIs y aplicaciones, y
se comunica fácilmente con TCP/IP y Web
● Es el SO más utilizado
● El uso de espacios de direcciones en z / OS tiene muchas ventajas: Aislamiento de las áreas
privadas en espacios de direcciones diferentes, proporcionadas para la seguridad del
sistema, sin embargo, cada espacio de direcciones también proporciona un espacio común
que es accesible a cada espacio de direcciones.
● El sistema está diseñado para preservar la integridad de los datos, independientemente de
cuán grande es la población de usuarios podría ser. z / OS impide a los usuarios de acceder
o modificar cualquier objeto en el sistema, incluyendo los datos del usuario
● El sistema está diseñado para administrar un gran número de trabajos por lotes
concurrentes, sin necesidad de que el cliente gestione externamente el balance de la carga o
la integridad problemas que de otro modo podrían producirse por el uso simultáneo y en
conflicto de un determinado conjunto de datos.
● El diseño de seguridad se extiende a las funciones del sistema, así como archivos simples.
La seguridad puede ser incorporada en las aplicaciones, recursos y perfiles de usuario.
● El sistema permite múltiples subsistemas de comunicaciones al mismo tiempo, permitiendo
una flexibilidad inusual en el funcionamiento de diferentes aplicaciones de comunicaciones
orientadas al mismo tiempo.
● El sistema proporciona amplios niveles de recuperación de software. Las interfaces del
sistema permiten a los programas de aplicación proporcionar sus propias capas de la
recuperación.
● El sistema está diseñado para manejar cargas de trabajo de forma rutinaria muy dispares,
con equilibrio automático de los recursos para satisfacer las necesidades de producción
establecidas por el administrador del sistema.
11.1. Sistemas soportados por z/OS
● CICS (Customer Information Control System): Servidor transaccional para actividades en
batch y en línea.
● IMS (Information Management System): Base jerárquica y administra información que posee
capacidades de procesamiento transaccional.
● RACF (Resource Access Control Facility).
● SNA (Systems Network Architecture): Arquitectura red de IBM (1974).
11.2. Seguridad en z/OS
● Criptografía
● RACF y LDAP
● Funciones de seguridad para comunicaciones
● WAS - Conexión a internet
● Rol de productos Tivoli
● Rol de productos Vanguard, incluyen:
o Detección de intrusos.
o User Reset o passwords olvidados.
o Single Password Enterprise Sign
o Todo en una interfaz gráfica para RACF
12. AS/400
● Equipo de IBM de gama media y alta, para todo tipo de empresas y grandes departamentos.
● Sistema multiusuario.
● Interfaz controlada mediante menús y comandos CL (Control Language).
● Sistema operativo basado en objetos y bibliotecas, denominado OS/400
● Un punto fuerte del OS/400 es su integración con la base de datos DB2/400, siendo los
objetos del sistema miembros de la citada base de datos.
● Da soporte para los datos de las aplicaciones.
● Soporta GNU/Linux, AIX o incluso Windows en una placa Intel integrada.
12.1. Cualidades
● Lenguajes de programación RPG, PHP, C, Java, COBOL, SQL, BASIC y REXX.
● Implementa funciones como seguridad, base de datos y comunicaciones en micro código,
además de que proveen un SO de una sola pieza que tiene como resultado, una mayor
eficiencia, consistencia y simplicidad.
● OS/400 tiene una base de datos relacional DB2 integrada en el KERNEL, la cual no puede
ser sustituida además de ser la única que acepta este sistema.
o Toda la configuración y sistema de seguridad se apoyan en esta base de datos,
confirmando aún más su condición de exclusivo para los equipos iSerie.
● La Base de Datos del SO OS/400 puede ser utilizada en otras plataformas.
● Tiene una disponibilidad de un 99.97 % de un equipo.
12.2. Arquitectura AS/400
La arquitectura de AS/400 es extremadamente adaptable y puede incorporar fácilmente nuevas
tecnologías.
El AS/400 se diseña para separar el software y el hardware.
Esto se logra a través del interfaz de la máquina (MI) que es un interfaz de la programación.
12.3. OS/400
El sistema operativo para el AS/400 se llama OS/400.El OS/400 reside sobre el MI (Interfaz
Maquina), esto permite que el sistema operativo sea independiente del hardware.
La mayoría de los componentes del sistema operativo manejan funciones tales como memoria,
proceso, programa, y gerencia de I/O.
13. Servicios de Seguridad e Infraestructura
Los servicios de seguridad y de la capa de infraestructura contienen los componentes de nivel
superior, que puede ser directamente asignado al marco de seguridad de IBM. Cada Administración
de la Seguridad Fundacional componente representa controles de negocio, en lugar de la tecnología.
Las propias subcapas constan de servicios individuales y relacionados entre sí:
● La seguridad de la información y la infraestructura de gestión de eventos proporcionan la
infraestructura para automatizar el registro de la agregación, correlación y análisis. También
permite a una organización reconocer, investigar y responder a incidentes de forma
automática, y agilizar los incidentes, el seguimiento y la manipulación, con el objetivo de
mejorar las operaciones de seguridad y riesgos de la información de gestión.
● La infraestructura de identidad, el acceso y el derecho proporciona servicios para la gestión
de usuarios, contraseñas de aprovisionamiento, inicio de sesión único, control de acceso, y la
sincronización de usuarios de información a través de directorios.
● La infraestructura de la política de seguridad proporciona servicios para gestionar el
desarrollo aplicación de políticas de seguridad de una manera coherente y automatizar el
despliegue de esas políticas a los sistemas informáticos.
14. RACF
El Security Server o el tradicionalmente llamado RACF (Resource Access Control Facility).
Aunque pueda parecer que todos los sistemas de seguridad al final se basen en lo mismo, en el caso
del mainframe es un caso aparte, ya que el sistema de seguridad de un mainframe se desarrolló
junto con el desarrollo del sistema operativo y por tanto, es intrínseco y está fuertemente acoplado al
mismo.
En cambio, en otros sistemas tipo Unix y demás, la seguridad fue un desarrollo posterior y por tanto,
sigue otras directrices.
RACF es un compendio de reglas de seguridad que se crean en base a unas clases. Una clase es un
grupo de objetos los cuales queremos otorgarle un determinado acceso, por lo que todo objeto
perteneciente a la misma clase tendrá el mismo nivel de seguridad. Por objeto se entiende desde un
fichero, hasta un slot de proceso o abstracción funcional de software, por llamarlo de alguna manera.
Existen dos tipos de clases:
● Las denominadas “normales”: es decir, clases de acceso, facilitys, logging y demás.
● Las clases “especiales”, que son dos: Estas clases se denominan especiales porque pueden
ser gobernadas por clases “normales” que les concederán un cierto acceso, estas clases
pueden ser regidas por otras clases.
● Las clases Usuario: es muy importante porque se hace cargo de la seguridad
referente al tipo de usuario, tipo de acceso a los elementos mainframe y que
facilidades tiene otorgado para realizar su trabajo.
● Las clases Dataset: es una clase especial que sirve para tener el control total sobre
todo elemento susceptible de grabarse en disco o cinta.
Por tanto, se podría decir que RACF controla TODO el sistema internamente (procesos,
subprocesos, schedulers, dispatchers, el núcleo, etcétera), controla los usuarios, el acceso de los
usuarios a los datos, el acceso de los mecanismos de acceso a los datos, la interacción de los
mecanismos de acceso con los procesos.
15. Tivoli zSecure Manager for RACF z/VM
IBM Tivoli zSecure Manager for RACF z/VM ha sido diseñado para proporcionar a los
administradores herramientas que les ayudarán a liberar el potencial de su sistema de mainframe,
haciendo posible una administración eficaz y efectiva del RACF, a la vez que ayuda a reducir el uso
de recursos.
Al automatizar muchas de las funciones de administración de sistemas recurrentes, Tivoli zSecure
Manager for RACF z/VM le puede ayudar a maximizar los recursos de TI, reducir errores, mejorar la
QoS y demostrar conformidad.
Sus capacidades son, las siguientes:
● Automatizar tareas de gestión de la seguridad de z/VM complejas y que requieren mucho
tiempo con acciones simples de un solo paso que pueden llevarse a cabo sin un
conocimiento detallado de los comandos del RACF.
● Identificar rápidamente y evitar problemas en el RACF antes de que se conviertan en una
amenaza para la seguridad y la conformidad.
● Ayudar a reducir la carga de la consolidación de las bases de datos.
● Crear controles exhaustivos de auditoría sin un esfuerzo manual importante.
● Generar y visualizar informes de auditoría personalizados con calendarios flexibles y
secciones de eventos.
15.1. Cifrado de discos
Para ayudar a garantizar que sus datos almacenados están seguros, z/VM soporta el uso de las
funciones de cifrado IBM Full Disc Encryption del sistema IBM DS8000. Para utilizar estas funciones
de cifrado no es necesario realizar ningún cambio en la configuración del sistema z/VM. El estado de
cifrado de un volumen se determina fácilmente utilizando un simple comando z/VM.
15.2. Cifrado de cintas
z/VM ayuda a proteger los datos almacenados en cinta de una forma rentable ofreciendo soporte
para el cifrado de datos basado en unidades utilizando las soluciones IBM System Storage TS1120
Tape Drive (tipo de máquina 3592, modelo E05) e IBM System Storage TS1130 Tape Drive (tipo de
máquina 3592, modelo E06).
El cifrado de cintas exige que el IBM Encryption Key Manager se ejecute en otro sistema operativo,
utilizando una conexión fuera de banda (como TCP/IP) a una unidad de control de cinta. El soporte
de z/VM incluye el cifrado para Double Data Rate (DDR) y SPXTAPE, así como para huéspedes que
no puedan ofrecer su propia habilitación de cifrado (por ejemplo, CMS y Linux para System z).
z/VM también hace posible el cifrado de cintas por parte de huéspedes (como z/OS) que tienen la
capacidad de controlar las funcionalidades de cifrado de cintas por sí mismas y ejecutar,
opcionalmente, el Encryption Key Manager. Los cartuchos de cinta cifrados con anterioridad pueden
volverse a cifrar con un nuevo conjunto de claves sin necesidad de leer y reescribir los datos
almacenados en el cartucho, permitiendo así una protección continua de los datos almacenados en el
cartucho de cinta mientras se cambian o sustituyen los certificados de cifrado que se utilizaban para
crearlos.
Los huéspedes de z/VSE pueden utilizar DFSMS/VM FL221 para localizar unidades de cinta 3592
aptas para cifrado en una biblioteca de cintas automatizada empresarial.
15.3. Servidor Secure Sockets Layer (SSL)
El servidor TCP/IP for z/VM SSL está disponible para facilitar conversaciones seguras y privadas
entre servidores z/VM y clientes externos. Con el soporte de z/VM para SSL y para Transport Layer
Security (TLS), un servidor VM pueden comunicarse con un cliente seguro sin necesidad de cambiar
al propio servidor. El servidor SSL suministrado con z/VM soporta servicios de cifrado/descifrado de
40 bits, 56 bits y 128 bits. El servidor SSL es capaz de ofrecer soporte transparente para protocolos
que pueden encapsularse en una sesión SSL segura (por ejemplo, HTTPS) y presta servicio a
aplicaciones que necesitan pasar de un texto sin cifrar a un texto seguro, tales como TN3270, File
Transfer Protocol (FTP) y Simple Mail Transfer Protocol (SMTP).
15.4. Aceleración criptográfica
La función criptográfica del IBM System z10 ha sido diseñada para satisfacer los requisitos de
seguridad de los servidores de alta gama.
Puede configurarse como un coprocesador para transacciones de clave segura o como un acelerador
para la aceleración SSL, ofreciendo mejoras importantes en el rendimiento de los algoritmos
criptográficos utilizados para el cifrado y la generación y verificación de pares de claves públicas y
privadas.
z/VM pone las funciones Crypto Express2 y Crypto Express3 a disposición de los huéspedes bien
con acceso dedicado para su uso en operaciones de clave segura y clave sin cifrar o bien con acceso
compartido para operaciones de clave sin cifrar.
La CP Assist for Cryptographic Function (CPACF) forma parte de cada procesador en el servidor
System z de IBM. Ofrece un conjunto de funciones criptográficas que se centra en la función de
cifrado/descifrado de SSL, Virtual Private Network (VPN) y aplicaciones de almacenamiento de datos.
La CPACF es utilizada por las funciones SSL/TLS incluidas en el cliente y el servidor LDAP z/VM y
por las funciones SSL proporcionadas por el servidor SSL z/VM. Cualquier máquina virtual puede
acceder a las funciones de la CPACF utilizando las ampliaciones Message-Security Assist (MSA) de
la arquitectura de procesador System z de IBM. No se necesita ninguna autorización o configuración
explícita de z/VM.
15.5. Certificación según la norma de criterios comunes
El z/VM V5.3 con el componente RACF Security Server ha sido certificado por la Oficina Federal
Alemana para la Seguridad de la Información (Bundesamt für Sicherheit in der Informationstechnik
[BSI]) por su conformidad con el Controlled Access Protection Profile (CAPP) y el Labelled Security
Protection Profile (LSPP) de la norma de criterios comunes para la seguridad de TI, ISO/IEC 15408,
al nivel de garantía de evaluación 4, incrementado con los procedimientos de resolución de errores
(EAL4+). Aún no se ha llevado a cabo la evaluación de conformidad del z/VM V6.1, pero ha sido
diseñado para cumplir las mismas normas.
15.6. Interconexión con z/VM
z/VM ofrece dos tipos de interconexión virtual:
15.6.1. LANs huésped
Estas tecnologías permiten a los huéspedes comunicarse entre sí y con otros hosts de la red sin
necesidad de dedicar recursos de hardware a cada huésped.
Las LANs huésped son segmentos simulados de LAN que no tienen una conexión integrada a
ninguna otra LAN. Sólo se conectan a otra red cuando un huésped lleva a cabo servicios rutinarios.
Pueden definirse para simular HiperSockets o un funcionamiento OSA-Express en modo QDIO.
Las LANs huésped definidas para funcionar como OSA-Express pueden configurarse para simular el
modo OSA L2 (Ethernet) o el modo Internet Protocol (IP). En modo Ethernet, cada huésped de la
LAN huésped se referencia por su dirección Media Access Control (MAC) y los datos se transmiten y
reciben como tramas Ethernet completas. Este modo soporta IP, SNA, NetBios o cualquier otro
formato de trama Ethernet. En modo IP, cada huésped se referencia por su dirección IP. Se pueden
utilizar los protocolos IPv4 o IPv6, ayudando así a los desarrolladores de aplicaciones y de pilas
TCP/IP a crear y probar nuevas aplicaciones y controladores de dispositivo aptos para IPv6.
15.6.2. VSWITCH
z/VM ofrece la capacidad de implantar conmutadores virtuales Ethernet. El z/VM VSWITCH elimina la
necesidad de que máquinas virtuales funcionen como routers para conectar una LAN huésped a una
LAN física a través de un adaptador OSA-Express. Los routers virtuales consumen una capacidad de
procesador muy valiosa debido a la necesidad de copiar repetidas veces los datos que están siendo
transportados.
El VSWITCH puede ayudar a disminuir estos problemas, así como a proporcionar una configuración
y un control de red virtual centralizados. Estos controles permiten al administrador de z/VM otorgar y
revocar acceso a la red de forma mucho más sencilla.
El VSWITCH ofrece un soporte de recuperación de errores mejorado para lograr una recuperación
con menos interrupciones tras algunos de los fallos de red más comunes, ayudando así a mejorar la
continuidad del negocio y la fiabilidad y disponibilidad de la infraestructura.
Al igual que en las LANs huésped, el VSWITCH soporta tanto el modo L2 (Ethernet) como el modo
de transporte de datos IP.
El VSWITCH también ofrece soporte para la norma de agregación de enlaces 802.3ad del Institute of
Electrical and Electronics Engineers (IEEE). Este soporte está diseñado para permitir la agrupación
de hasta ocho puertos OSA-Express en un único puerto lógico. Esto ayuda a aumentar el ancho de
banda más allá de lo que podría proporcionar un único adaptador OSA-Express y ofrece una
recuperación de errores más rápida y uniforme en el caso de un fallo en el enlace.
Los huéspedes pueden aprovechar estas conexiones altamente disponibles y de mayor ancho de
banda sin necesidad de ninguna configuración adicional. No es necesario definir y gestionar múltiples
adaptadores de red virtuales o implementar protocolos de enrutamiento dinámicos dentro del
huésped.
15.7. Virtualización de redes z/VM
z/VM ofrece la capacidad de autorizar que un huésped conectado a una LAN huésped o a un
VSWITCH z/VM motive la entrada de un adaptador de red virtual (tarjeta de interfaz de red (NIC)) en
‘modo promiscuo’. En este modo, el huésped actúa como un ‘detector’ virtual para capturar tráfico de
red. Esta capacidad puede ayudar a un administrador (o propietario de una máquina virtual huésped)
a capturar datos de red y a resolver problemas de red virtuales. También puede utilizarse para
implementar un sistema de detección de intrusos (IDS).
z/VM aprovecha la tecnología VLAN del IEEE para ayudar a reducir el número de puertos OSA-
Express2 o OSA-Express3 necesarios para transportar el tráfico a múltiples segmentos de LAN. Para
soportar VLANs, z/VM ofrece:
● Soporte de interfaz de red OSA-Express y HiperSockets virtual para el etiquetado VLAN de
tramas Ethernet por parte de los huéspedes y de CP, tal y como se describe en el protocolo
IEEE 802.1q.
● Puertos de acceso virtuales que permiten la asignación de huéspedes no compatibles con
VLAN a VLANs específicas sin necesidad de realizar ningún cambio en la configuración IP
del huésped.
● Puertos de enlace virtuales que permiten a huéspedes compatibles con VLAN utilizar una
VLAN autorizada.
● La capacidad de consolidar autorizaciones VLAN dentro de un gestor de seguridad externo
(ESM) como el RACF.
● Administración y gestión de redes simplificada de las VLANs con soporte para Generic
Attribute Registration Protocol (GARP) y VLAN Registration Protocol (GVRP) utilizando
adaptadores OSA-Express2 u OSA-Express3 en z/VM.
z/VM proporciona la capacidad de restringir las comunicaciones entre huéspedes dentro de un
VSWITCH y entre adaptadores OSA-Express compartidos utilizados por el VSWITCH. El aislamiento
de puertos del VSWITCH y el aislamiento de la conexión de datos QDIO pueden ayudarle a diseñar
redes virtuales que cumplen estrictas políticas de separación de datos. El aislamiento del tráfico en
adaptadores OSA-Express compartidos está disponible para componentes OSA-Express2 y OSA-
Express3 en un servidor System z10 EC y en un servidor z10 BC con los MCLs mínimos necesarios.
16. RESUMEN
Los Mainframes:
● Juegan un rol central en las operaciones diarias de las organizaciones más grandes del mundo y en la vida cotidiana de la mayoría de la gente.
● Conocidos por su confiabilidad seguridad y enorme capacidad de procesamiento.● Diseñados para procesar tareas a gran escala y dar servicio a miles de usuarios y
transacciones al mismo tiempo.● Manejados por un soporte técnico altamente competente.● Soportan diferentes sistemas operativos.
CAPÍTULO 5: UNIX, LINUX, AIX
5.1 Resumen
Este capítulo está enfocado a uno de los sistemas operativos más conocidos y utilizados a nivel
mundial, el cual se emplea ampliamente en el uso de servidores y de cierta manera en una gran
mayoría de dispositivos móviles. Se describirá en qué consiste este sistema, teniendo en cuenta el
significado de cada uno de los términos más utilizados. Se revisará también el origen junto con una
reseña histórica, en la cual se expondrá la evolución de las distintas versiones de este sistema a
través del tiempo. Luego se describirán las distribuciones más utilizadas tanto en el ambiente
doméstico como empresarial.
Después, se describirán los mecanismos de seguridad a nivel conceptual que abarcan estos
sistemas, de modo que se conozca la posible configuración de distintos aspectos del sistema con tal
de que se pueda convertir efectivamente en un sistema seguro. Adicionalmente se listarán algunos
productos de software ofrecidos para Linux los cuales pueden ofrecer un conjunto de herramientas
para fortalecer la seguridad del sistema.
Posteriormente se detallarán ciertos pasos y consejos de seguridad para una correcta configuración
de seguridad del sistema, de modo que se detalle los distintos comandos disponibles y su correcto
uso. Además, se plasmarán estos conceptos en un caso práctico según un Sistema de Gestión de
Riesgos.
Finalmente, se explicarán las conclusiones basadas en la investigación realizada a lo largo del curso
con tal de que se reafirme lo explicado en todo el informe y se detalle lo aprendido con la presente
investigación.
5.1 Introducción
Entre los primeros sistemas operativos que aparecieron se encuentra UNIX. Linux es un kernel
(núcleo) de sistemas operativos que nació a partir de UNIX. AIX es un conjunto de sistemas
operativos UNIX que son integrados por IBM para un entorno empresarial. A continuación se definirá
el significado de cada uno.
● UNIX: Es un conjunto de sistemas operativos, es decir, es una colección de programas que
ejecutan otros programas en una computadora. UNIX nació en los Laboratorios Bell de AT&T
en 1969, desarrollado por Ken Thompson y Dennis Ritchie (también creador del lenguaje de
programación C). La primera versión de UNIX fue creada en 1969.
● Linux: Es un kernel semejante al de Unix, creado por Linus Torvalds en 1991. Los sistemas
operativos que utilizan Linux son denominados GNU/Linux, ya que el sistema usa los
componentes del sistema operativo GNU (GNU's Not Unix!). Existen diversas distribuciones
de sistemas operativos que utilizan el kernel Linux.
● GNU: Es un sistema operativo cuyo diseño es muy similar al de UNIX fundado por Richard
Stallman en 1983. La principal diferencia con UNIX se encuentra en el que software es libre
bajo una licencia GPL (General Public License). Por este motivo, las herramientas de
software de GNU son utilizdas en conjunto con el kernel Linux para formar las distintas
distribuciones de sistemas operativos. Sin embargo, no todos los sistemas con el kernel
Linux usan GNU, como Android.
● AIX: Advanced Interactive eXecutive. Es una serie de sistemas operativos UNIX propietaris
desarrollados y vendidos por IBM para varios de sus plataformas de computación. Está
basado en UNIX System V. La primera versión es de 1986.
5.2 Marco Teórico
5.2.1 UNIX
Unix es un sistema operativo que permite la ejecución de distintas tareas de forma simultánea,
soporta tener múltiples usuarios y es portable, lo que significa que es capaz de ser usado en
máquinas que poseen distintas arquitecturas. Fue desarrollado en Bell Labs de AT&T en el año 1969
por Ken Thompson, Dennis Ritchie y Douglas McIlroy, entre otros empleados de aquella compañía.
El código de UNIX estaba inicialmente escrito en lenguaje ensamblador pero el año 1972 se
reescribió Unix con el lenguaje de programación C. UNIX se convirtió así en el primer sistema
operativo escrito en lenguaje de alto nivel lo que lo hizo portable y le dio un gran éxito, ya que pudo
usarse en otras compañías y universidades.
Luego se lanzaron dos líneas principales de versiones distintas de UNIX: Sistema V y BSD (Berkeley
Software Distribution). En 1975 Ken Thompson promovió el desarrollo y sacó a la luz su propia
versión de UNIX, conocida como BSD la cual incluía un compilador de Pascal, el editor vi, el editor ex
y el Shell C. En 1983 se lanza BSD versión 4.2. Entre sus características principales se encuentran la
gestión de archivos así como la posibilidad de trabajo en redes basadas en los protocolos TCP/IP.
Esta versión de UNIX la adoptaron varios fabricantes, entre ellos Sun Microsystems, lo que dió lugar
a SunOS.
En la década de los ochentas, se fueron desarrollando versiones sucesivas de Unix y en años
siguientes aparecieron versiones que emulaban sus funciones.
Algunas variantes de UNIX en la actualidad:
● Solaris: Es el nombre con el que se conoce el sistema operativo de Sun Microsystems.
Originalmente se llamó SunOS, pero posteriormente, debido a la presentación de UNIX System V
se desarrolló una nueva versión a la que se le llamó Solaris. Existen versiones de Solaris para
Power PC, Intel y Sparc.
● AIX: La versión del sistema operaivo UNIX para las máquinas IBM se llama AIX y está basada en
Sistema V versión 3 y BSD 4.3.
● A/UX: Implementación de UNIX de Apple
● IRIX: Versión de UNIX desarrollada por Silicon Graphics para sus estaciones basada en UNIX
Sistema V version 4.
● SCO UNIX: Es la versión de Santa Cruz Operation (SCO), versión de UNIX Sistema V diseñada
para plataformas Intel.
● GNU/Linux
5.2.2 Linux
En 1983 Richard Stallman fundó el proyecto GNU, con el fin de crear sistemas operativos
parecidos a UNIX y compatibles con POSIX. Dos años más tarde creó la "Fundación del
Software Libre" y escribió la GNU General Public License para posibilitar el software libre en el
sistema de copyright.
A principios de los años 1990, no había un sistema operativo libre completo. A pesar de que el
proyecto GNU era desarrollado constantemente, no disponía sin embargo de ningún buen
Kernel basado en UNIX, por el contrario era un número de proyectos de software libres que
podían ser traducidos en las variantes UNIX mediante el compilador de GNU.
La historia de Linux está fuertemente vinculada a la del proyecto GNU. Hacia 1991, cuando la
primera versión del núcleo Linux fue liberada, el proyecto GNU había producido varios de los
componentes del sistema operativo, incluyendo un intérprete de comandos, una biblioteca C y
un compilador, pero aún no contaba con el núcleo que permitiera complementar el sistema
operativo. Entonces, el kernel Linux llenó el hueco final que el sistema operativo GNU exigía.
Linux se refiere estrictamente al núcleo Linux, pero es comúnmente utilizado para describir al
sistema operativo tipo Unix (que implementa el estándar POSIX), que utiliza primordialmente
filosofía y metodologías libres (también conocido como GNU/Linux) y que está formado
mediante la combinación del núcleo Linux con las bibliotecas y herramientas del proyecto GNU y
de muchos otros proyectos/grupos de software (libre o no libre).
La expresión "Linux" es utilizada para referirse a las distribuciones GNU/Linux, colecciones de
software que suelen contener grandes cantidades de paquetes además del núcleo. El software
que suelen incluir consta de una enorme variedad de aplicaciones, como: entornos gráficos,
suites ofimáticas, servidores web, servidores de correo, servidores FTP, etcétera.
Coloquialmente se aplica el término "Linux" a éstas. Algunas personas opinan que es incorrecto
denominarlas distribuciones Linux, y proponen llamarlas sistema GNU/Linux. Otras personas
opinan que los programas incluidos proceden de fuentes tan variadas que proponen simplificarlo
denominándolo simplemente a "Linux".
Existe un gran número de distribuciones de los diferentes sistemas operativos Linux. Cada
distribución cuenta con sus propias características y herramientas.
5.2.3 AIX
AIX es un sistema operativo UNIX que apareció en 1986 permite ejecutar aplicaciones en cualquier hardware y servidores IBM UNIX. Es un sistema operativo propietario, desarrollado y vendido por la compañía IBM para varias de sus plataformas de sistemas y ordenadores. Su uso está extendido en varias series de sistemas que se utilizan en grandes redes dedicadas a múltiples tareas diferentes. El sistema operativo AIX está basado en el sistema Unix V con extensiones compatibles del sistema BSD. Este conocido sistema empezó en la segunda década de los años ochenta convirtiéndose en el sistema operativo estándar de la serie RS/6000 cuando fue lanzada en los años noventa, y todavía se sigue desarrollando de forma activa con IBM.
5.4 Seguridad en UNIX
En la primera mitad de la década de los ochenta Unix era un sistema operativo muy vulnerable e
inseguro, pero a final de los ochenta, los sistemas Unix se constituyen de los más seguros que
existen.
Dentro de los sistemas UNIX, destacan lo Trusted Unix. Estos son sistemas altamente seguros, que
alcanzan altos niveles de seguridad bajo estándares internacionales. La otra gran parte de sistemas
Unix como Solaris, Linux o AXT también son muy seguros. En definitiva que Unix a pasado de ser un
sistema totalmente arcaico en cuanto a seguridad a ser de los más seguros que existen con un alto
nivel de fiabilidad.
Se dice que los sistemas Linux no son tan seguros pero sólo por cuestión de configuración, ya que
después de la instalación se puede configurar en cuanto a seguridad y serán sistemas altamente
fiables.
5.5Sistema de archivos
Dentro de un sistema Unix todo son archivos, desde la memoria física del sistema hasta el ratón; este
diseño potenciara mucho a Unix pero también es muy peligroso, ya que un simple fallo al dar los
permisos a los distintos ficheros y podríamos facilitar que cualquier usuario modifique todo el disco
duro. Estos archivos pueden ser de tres tipos:
-Ficheros planos: son simplemente secuencias de bytes que sólo tienen sentido para las aplicaciones
que interpretan su contenido.
-Directorios: son ficheros cuyo contenido son otros ficheros que pueden ser de cualquier tipo, incluso
otros directorios.
-Ficheros especiales: representan dispositivos del sistema y se pueden dividir en orientados a
carácter (realizan las operaciones de input/output byte a byte) y orientadas a bloque (las realizan en
bloques de bytes).
Cada sistema Unix tiene su sistema de ficheros, para acceder a ellos Unix incorpora una capa
superior llamada VFS. Es aquí donde aparece el concepto de inodo, que es una estructura de datos
que relaciona un grupo de bloques de un dispositivo con el nombre de un sistema de archivos.
Internamente, Unix no distingue sus archivos por el nombre, sino por el número de inodo.
Desde el punto de vista del usuario, el aspecto mas importante de un sistema de archivos es la
estructura que refleja el sistema de archivos, que constituye un archivo, como los archivos se
nombran y se protegen, que operaciones están permitidas sobre los archivos, etc.
Las reglas exactas para nombrar archivos son nombre de hasta 255 caracteres, diferenciando
mayusculas y minusculas, es "case-sensitive".
Unix utiliza el concepto de particion raiz y monta los sistemas de archivos sobre esta particion. Esto
significa que todas as unidades utilizan una estructura comun. Asi no existiran varias unidades y una
estructura de directorios por unidad, sino que existira una unica estructura de directorios y sobre ella
se acomodaran las distintas unidades, inclusive las que se comparten en redes.
5.6Permisos en UNIX
Unix, como sistema multiusuario, asigna un propietario y un grupo a cada archivo (y directorio) y
unos permisos al propietario, al grupo y al resto de los usuarios. La forma más rápida de
comprobar esta característica es usar el comando ls -la. Así aparece el tipo de fichero, el
propietario, el grupo, los permisos e información adicional.
Es conveniente tener claros los permisos que se pueden asignar a un archivo o directorio. Puede
que algunas aplicaciones no funcionen bien si algún archivo no tiene el permiso o el propietario
correctos, bien por falta de permisos o bien por exceso.
En general, cualquier sistema UNIX divide el control de acceso a ficheros y directorios en tres
elementos: propietario, grupo y otros. Tanto el propietario como el grupo són únicos para cada
fichero o directorio. Eso sí, a un grupo pueden pertenecer múltiples usuarios.
Propiedad: Qué usuario y grupo posee el control de los permisos del i-nodo. Se almacenan como
dos valores numéricos, el uid (user id) y gid (group id).
Permisos: Bits individuales que definen el acceso a un fichero o directorio. Los permisos para
directorio tienen un sentido diferente a los permisos para ficheros.
● Lectura (r):
Fichero: Poder acceder a los contenidos de un fichero
Directorio: Poder leer un directorio, ver qué ficheros contiene
● Escritura (w):
Fichero: Poder modificar o añadir contenido a un fichero
Directorio: Poder borrar o mover ficheros en un directorio
● Ejecución(x):
Fichero: Poder ejecutar un programa binario o guion de shell
Directorio: Poder entrar en un directorio
Estos permisos se pueden aplicar a:
usuario (u): El propietario del fichero.
grupo (g): El grupo al que pertenece el fichero.
otros (o): El resto de los usuarios del sistema.
5.7Encriptación de archivos
Todos los usuarios del sistema pueden visualizar el contenido del fichero /etc/passwd, por lo que
cualquier usuario tiene acceso a todas las contraseñas, aunque estén encriptadas.
Linux utiliza una llamada al sistema, crypt, para codificar las contraseñas y aunque resulta difícil
descifrarla, no es imposible. Además, en el fichero /etc/passwd hay más información de los usuarios
como el uid, gid, etc., por lo que está facilitando información al exterior.
Una manera de proteger más aún el sistema es utilizar la codificación de sombra (shadow) para
ubicar las contraseñas en otro archivo llamado /etc/shadow sólo accesible por root. En efecto, el
traslado de las contraseñas cifradas al archivo /etc/shadow, accesible únicamente por el
superusuario, añade una útil capa de protección.
Cada línea representa a un usuario y la información se encuentra en campos separados. El
significado de cada uno de los campos es el siguiente:
5.8Perfil de superusuario.
Una de las principales características de Linux es la capa extra de seguridad que añade a su
sistema, razón por la cual se usa mucho en supercomputadoras y servidores de todo el mundo.
La cuenta root o de superusuario es la cuenta con los permisos más elevados; similar al
Administrador en Windows. Este usuario tiene permisos de lectura, escritura y ejecución de cualquier
aplicación del sistema (acceso administrativo en general); a diferencia de los usuarios normales que
tienen acceso limitado a ciertas tareas por razones obvias de seguridad.
Una instrucción dada con permisos de superusuario puede ser muy útil cuando se usa
correctamente.
En la mayoría de los sistemas operativos se contempla el uso de un sólo usuario que, por lo general,
tiene permisos de administrador. En Linux las cosas son un poco diferentes. En lugar de asignar
derechos de administrador a todas las cuentas de usuario, Linux separa la cuenta de superusuario
(root) de la cuenta de usuario normal.
Para hacer algo con privilegios de superusuario siempre se utiliza el comando SU. Esto hace que, al
menos psicológicamente hablando, tengamos la noción de que estamos haciendo algo más serio con
nuestro sistema. SU, del inglés substitute user (cambiar usuario), se utiliza principalmente para
cambiar de usuario en una terminal; generalmente de un usuario normal a root, sin tener que cerrar
sesión e iniciar de nuevo.
En Linux las cosas son un poco diferentes. En lugar de asignar derechos de administrador a todas
las cuentas de usuario, Linux separa la cuenta de superusuario (root) de la cuenta de usuario normal.
Para hacer algo con privilegios de superusuario siempre se utiliza el comando SU. Esto hace que, al
menos psicológicamente hablando, tengamos la noción de que estamos haciendo algo más serio con
nuestro sistema. SU, del inglés substitute user (cambiar usuario), se utiliza principalmente para
cambiar de usuario en una terminal; generalmente de un usuario normal a root, sin tener que cerrar
sesión e iniciar de nuevo.
La importancia del superusuario en Linux se mide en términos de seguridad. Para los
administradores de sistemas multi-usuario esto representa una gran ventaja puesto que se reduce el
daño accidental o malicioso ejecutado por otro usuario. Cualquier daño realizado como un usuario
normal se mantiene contenido dentro de ese dominio, de manera que no afecta al sistema o a otros
usuarios.
Además es mucho más difícil que el software malicioso (malware) que se origina en equipos remotos
pueda acceder a los archivos críticos del sistema (que generalmente pertenecen a la cuenta de root).
Utilizar una cuenta de superusuario evita cometer menos errores.
5.9Malware en Linux
Es cierto que usando GNU Linux las probabilidades de infección son muy bajas. Pero el principal
motivo no es que GNU Linux sea un sistema operativo más seguro que Windows. La razón es que la
industria del malware no está interesada en atacar GNU Linux.
En el mundo existen muchos servidores Linux que almacenan información importante y/o sensible.
No obstante estos servidores no son un objetivo de ataque importante por los siguientes motivos:
● Habitualmente los servidores o equipos personales con Linux están gestionados por
personal experto.
● Detrás de un servidor no hay un usuario final dispuesto a revisar y abrir todo lo que se le
meta por delante.
● Los servicios de hosting, o los administradores de los servidores, hacen copias de
seguridad de los datos almacenados en los servidores. Al disponer de copias de
seguridad es difícil que los atacantes consigan monetizar el malware. Lo único que
conseguirán será robar datos y/o recursos del servidor atacado.
Linux no es un sistema operativo que te pueda garantizar la seguridad absoluta. En los 5 primeros
meses del año 2017 se han detectado mas vulnerabilidades de seguridad en el Kernel Linux que en
Windows 10. Esto demuestra que Linux no está exento de problemas de seguridad.
En GNU Linux hay menos infecciones por malware, pero no es porque sea un sistema operativo más
seguro. Las infecciones en GNU Linux son poco frecuentes por los siguientes motivos:
● La industria del malware no está interesada en explotar las vulnerabilidades de Linux porque
les resultaria difícil monetizar sus exploits. Hay que tener en cuenta que Linux tiene una tasa
de implantación muy baja en usuarios de escritorio.
● Los servidores Linux están gestionados por gente con conocimientos que realizan copias de
seguridad de forma periódica. Al disponer de copias de seguridad les será fácil restaurar un
servicio o información después de un problema. Por lo tanto a los atacantes les resultará
difícil monetizar sus ataques.
● El eslabón más débil en seguridad es el usuario final. En Linux los usuarios finales
acostumbran a tener conocimientos más avanzados que los usuarios de Windows.
● Los usuarios de Linux acostumbran a actualizar su sistema operativo. En cambio existen
muchos usuarios de Windows que les da pereza o no saben actualizar su sistema operativo.
Incluso existen empresas importantes que no actualizan sus equipos.
Por lo tanto, la solución al problema de los Ransomware u otro tipo de Malware no es Linux. No
hay ningún sistema operativo que sea 100% seguro y decir que GNU Linux es un sistema
prácticamente invulnerable lo único que hace es crear una falsa sensación de seguridad.
Por lo tanto en Linux, al igual que en el resto de sistemas operativos, hay que tener cuidado y
aplicar buenas prácticas de seguridad.
5.10 Productos de Seguridad para Linux
Existen varios productos en el mercado para usuarios que desean un mayor nivel de
seguridad a nivel empresarial.
5.10.1 Sourcefire’s ClamAV
Es un software antivirus gratis, open-source diseñado para detectar Troyanos, Virus, Malware y otras
amenazas. Algunas distribuciones de Linux vienen instaladas con este software, el cual viene incluido
con un escáner de daemons, utilitarios para línea de comando para escaneo de archivos y una
herramienta inteligente para actualizaciones automáticas de firmas de seguridad.
5.10.2 Sourcefire’s Snort
Es un NIPS: Network Prevention System y un NIDS: Network Intrusion Detetection, capaz de analizar
redes IP. Se usa sobre todo para detectar ataques como buffer overflows, acceso a puertos abiertos,
ataques web, etc.
Consiste en un sistema open source para prevención de intrusión a redes y un sistema de detección
que combina inspección de protocolos y comportamientos anómalos, .
5.10.3 Wireshark
Sniffer de paquetes, se utiliza para analizar el tráfico de red. Cuenta con una GUI y opciones de
ordenación y filtro. Coloca la tarjeta de red en modo promiscuo para poder analizar todo el tráfico de
la red. También disponible para Windows.
5.10.4 John the Ripper
Herramienta para cracking de contraseñas. Es una de las más conocidas y populares (también tiene
versión Windows). Además de autodetectar el hash de las contraseñas, cuenta con varias opciones
de configuración Se puede usar en contraseñas encriptadas para Unix (DES, MD5 ó Blowfish),
Kerberos AFS y Windows. Tiene módulos adicionales para incluir hashes de contraseñas en MD4 y
almacenadas en LDAP, MySQL y otros.
Se utiliza bastante para detectar contraseñas débiles y fáciles de romper.
5.10.5 Nmap
Abreviación para Network Mapper. Es un utilitario gratuito y open source para exploración de red o
audioría de seguridad. Se usa para encontrar equipos y servicios en una red. Se usa sobre todo para
escanear puertos, pero esta es sólo una de sus posibilidades. También es capaz de descubrir
servicios pasivos en una red así como dar detalles de los ordenadores descubiertos (sistema
operativo, tiempo que lleva conectado, software utilizado para ejecutar un servicio, presencia de un
firewall ó incluso la marca de la tarjeta de red remota). Funciona en Windows y Mac OS X también.
5.10.6 Chkrootkit
Es un shell script gratuito usado para descubrir rootkits instalados en nuestro sistema. El problema es
que muchos rootkits actuales detectan la presencia de programas como este para no ser detectados.
5.10.7 Nessus
Es un escáner de vulnerabilidades con 5 millones de descargas. Utiliza descubrimiento de alta
velocidad, auditoría de configuración, manejo de perfiles, descubrimiento de datos sensibles y
análisis de vulnerabilidades del sistema. El uso personal de Nessus es gratis pero las empresas
deben comprar una suscripción de 1200$ por año.
5.11 Instalación segura
5.11.1 Particiones de discos
La NSA recomienda la creación de particiones independientes para /boot, /, /home, /tmp y /var/tmp.
Las razones son diferentes para cada una y se abordarán en la descripción de cada partición.
/boot - Esta es la primera partición leída por el sistema durante el arranque. El gestor de
arranque y las imágenes de kernel utilizadas para arrancar el sistema dentro de Red Hat
Enterprise Linux se almacenan en esta partición. Esta partición no se debe cifrar. Si la
partición se incluye en / y dicha partición está cifrada no estará disponible y por lo tanto no
podrá arrancar.
/home - Cuando los datos de usuario (/home) se almacenan en / en lugar de una partición
independiente, la partición puede llenarse y ocasionar así que el sistema operativo se vuelva
inestable. También, al actualizar el sistema a la versión siguiente de producto Red Hat
Enterprise Linux es mucho más fácil mantener los datos en la partición /home ya que no se
sobrescribirá durante la instalación. Si la partición de root (/) se corrompe sus datos se
pueden perder para siempre. Si utiliza una partición independiente hay un poco más de
protección ante la pérdida de datos. También puede destinar esta partición para copias de
seguridad frecuentes.
/tmp y /var/tmp - Los directorios /tmp y /var/tmp se utilizan para almacenar datos que no
necesitan ser almacenados por un largo periodo de tiempo. Sin embargo, si una gran
cantidad de datos inunda uno de estos directorios, puede consumir todo el espacio de
almacenamiento. Si esto sucede y los directorios están almacenados dentro de / entonces el
sistema se puede volver inestable y colgar. Por esta razón, es una buena idea desplazar
estos directorios a sus propias particiones.
5.11.2 Utilice el cifrado de particiones LUKS
Durante el proceso de instalación se le dará al usuario la opción para cifrar las particiones. El usuario
debe proporcionar la frase de paso para desbloquear la llave de cifrado masivo que se utilizará para
garantizar la seguridad de los datos de la partición.
5.12 Mantenimiento de software
5.12.1 Software mínimo de instalación
Se recomienda instalar únicamente los paquetes que va a utilizar, ya que cada parte de software en
su computadora podría contener una vulnerabilidad. Si va a instalar desde el DVD aproveche la
oportunidad de seleccionar exactamente los paquetes que desea instalar durante la instalación.
Cuando necesite otro paquete, se podrá añadir al sistema más adelante.
5.12.2 Planeación y configuración de actualizaciones de seguridad
Todo software contiene errores. Por lo general, dichos errores pueden resultar en una vulnerabilidad
que puede exponer su sistema a usuarios malintencionados. Una causa común de intrusión son los
sistemas no parcheados. Se debe tener un plan para instalar parches de seguridad en una forma
oportuna para que esas vulnerabilidades no sean aprovechadas.
Las actualizaciones de seguridad para usuarios domésticos deben instalarse tan pronto como sea
posible. La configuración de instalación automática de actualizaciones de seguridad es una forma de
evitar tener que recordar, pero se corre el leve riesgo de causar un conflicto con su configuración o
con otro software en el sistema.
Para usuarios domésticos o negocios, las actualizaciones se deben probar y programar para
instalación. Los controles adicionales necesitarán usarse para proteger el sistema durante el tiempo
entre el lanzamiento del parche y su instalación en el sistema. Estos controles dependen de la
vulnerabilidad exacta, pero podrían incluir reglas de cortafuegos adicionales, el uso de cortafuegos
externos o cambios en la configuración de software
5.12.3 Ajuste de actualizaciones automáticas
Linux está configurado para aplicar todas las actualizaciones en una programación diaria. Si desea
cambiar su instalación de actualizaciones del sistema debe hacerlo a través de '''Preferencias de
actualización de software'''. Puede cambiar la programación, el tipo de actualizaciones a aplicar o
notificarle sobre actualizaciones disponibles.
En Gnome, puede encontrar controles para sus actualizaciones en: Sistema -> Preferencias ->
Actualizaciones de software. En KDE se localiza en: Aplicaciones -> Configuración - >
Actualizaciones de software.
5.12.4 Instalación de paquetes firmados desde repositorios bien conocidos
Los paquetes de software se publican a través de repositorios. Todos los repositorios conocidos
admiten la firma de paquetes. El firmado de paquetes utiliza la tecnología de clave pública para
comprobar que el paquete que fue publicado por el repositorio no se ha modificado desde que la
firma fue aplicada. Así se proporciona una cierta protección contra las instalaciones de software que
pueden haber sido alteradas maliciosamente después de la creación del paquete, pero antes de
descargarlo.
El uso de demasiados repositorios poco fiables, o repositorios de paquetes sin firma tiene un mayor
iesgo de introducción de código malintencionado o vulnerable en el sistema. Tenga cuidado al añadir
repositorios para actualización de software o yum
5.13 Configuración de Seguridad en Linux
A continuación se presentarán algunos pasos para configurar correctamente un sistema Linux,
teniendo en cuenta los aspectos más representativos del sistema operativo.
● Seguridad física del sistema
Configurar el BIOS para deshabilitar el arranque por CD/DVD, dispositivos externos y diskettes. Después, habilitar la contraseña del BIOS y proteger el archivo GRUB con contraseña para restringir el acceso físico al sistema.
● Disco particionado
Es importante contar con diferentes particiones para conseguir mayor seguridad de los datos en caso de que algún desastre ocurra. Al crear diferentes particiones, los datos pueden ser separados o agrupados según su tipo. Cuando un accidente ocurre, solo los datos de la partición afectada deberán ser remplazados, mientras que los datos en otras particiones no se verán afectados.
Es necesario tener las siguientes particiones e instalar todas las aplicaciones de terceros en la carpeta /opt
//boot/usr/var/home/tmp/opt
Minimizar paquetes para minimizar vulnerabilidades
Se recomienda evitar instalar paquetes que no se utilizan para evitar las vulnerabilidades de esos paquetes. Esto minimiza el riesgo de que comprometan un servidor.
Identifica y elimina los servicios y programas innecesarios en el servidor para minimizar vulnerabilidades. Utiliza el comando "chkconfig" para identificar los servicios que están corriendo en runlevel3
# /sbin/chkconfig --list |grep '3:on'
Una vez identificado el servicio incensario, es posible deshabilitarlo con el siguiente comando
# chkconfig serviceName off
Utiliza el adiestrador de paquetes RPM, yum o apt-get, para listar todos los paquetes instalados en el sistema y remover aquellos que no son necesarios con el siguiente comando:
# yum -y remove package-name
# sudo apt-get remove package-name
Verificar los puertos de red que escuchan conexionesCon la ayuda del comando "netstat" es posible listar todos los puertos abiertos y los programas que los utilizan. Es posible utilizar el comando "chkconfig" para deshabilitar todos los servicios de red no deseados en el sistema.
# netstat -tulpn
Utilizar Secure Shell (SSH)
Los protocolos Telnet y rlogin utilizan texto plano para el envío de la información, en cambio, Secure Shell es un protocolo seguro ya que utiliza cifrado en todas las comunicaciones entre equipos.
Nunca iniciar sesión directamente como root, a menos que sea sumamente necesario. Utiliza el comando "sudo" para ejecutar comandos que requieran permisos administrativos. Sudo está especificado en el archivo /etc/sudoers/ y puede ser editado con el comando "visudo" a través de la interfaz del editor Vi.
También se recomienda cambiar el puerto predeterminado para el protocolo SSH, puerto 22, a un puerto no convencional.
Se recomienda modificar el archivo de configuración "/etc/ssh/sshd_config" con los siguientes parámetros para restringir el acceso a usuarios.
Deshabilitar inicio de sesión de root: PermitRootLogin no
Permitir solo usuarios específicos:AllowUsers username
Utilizar versión 2 del protocolo SSH:Protocol 2
Cambiar puerto para escuchar conexiones entrantesPort 50221
Mantener actualizado el sistema
Siempre se debe mantener actualizado el sistema y aplicar los parches, soluciones de seguridad y actualizaciones de kernel más recientes y tan pronto se encuentre encuentren disponibles.
# yum updates
# yum check-update
# sudo apt-get update
Controlar las tareas programadasEl démon cron tiene una característica incluída en la cual se puede especificar los usuarios que pueden y no pueden ejecutar tareas programadas. Esto se controla con el uso de los archivos llamados /etc/cron.allow y /etc/cron.deny. Para bloquear a un usuario, basta con añadir su nombre de usuario en el archivo cron.deny y para permitir un usuario que ejecute tareas, se añade su nombre en el archivo cron.allow. Si se desea deshabilitar a todos los usuarios del uso de tareas, se añade la palabra ALL a una línea del archivo cron.deny.
# echo ALL >> /etc/cron.deny
8 Deshabilitar puertos USBMuchas veces pasa que se desea restringir a los usuarios para que no puedan conectar memorias USB en lo equipos, con la finalidad de proteger contra robo la información que almacenan. Para lograr esto, se debe crear el archivo /etc/modprobe.d/no-usb y agregarle la siguiente línea, con la cual no se detectarán dispositivos de almacenamiento por USB.
install usb-storage /bin/true
9 Activar SELinux
El módulo SELinux (Security Enhanced Linux o Seguridad Mejorada de Linux, en español) es un mecanismo de seguridad y control de acceso que se incluye en el kernel. Deshabilitar esta característica, significa quitar los mecanismos de seguridad del sistema. Piensa dos veces y de forma cuidadosa antes de quitarlo, incluso si tu equipo está conectado a Internet y provee servicios públicos.
SELinux provee tres modos básico de operación:
Enforcing (Restrictivo): Este es el modo habilitado por defecto y que habilita y aplica las políticas de seguridad en el equipo.
Permissive (Permisivo): En este modo, SELinux no forzará el uso de políticas en el sistema, solo advertirá y registrará las acciones. Este modo es muy útil para la resolución de problemas relacionados con SELinux.
Disabled (Deshabiltado): SELinux está apagado.
Si SELinux está deshabilitado, se puede habilitar con el siguiente comando:
# setenforce enforcing
Se puede saber el estado de SELinux desde la línea de comandos escribiendo los siguientes comandos:
# sestatus
# system-config-selinux
# getenforce
Deshabilitar los escritorios gráficos KDE o GNOMENo existe la necesidad de ejecutar escritorios gráficos basados en X, como KDE o GNOME, dentro de un servidor de producción. Se pueden desinstalar o deshabilitar para aumentar la seguridad y rendimiento del servidor. Para hacerlo, únicamente edita el archivo /etc/inittab y ajusta el nivel de ejecución en 3. Si deseas quitarlo por completo, utilizar el siguiente comando:
# yum groupremove "X Window System"
# sudo apt-get remove --purge xserver-xorg
Deshabilitar IPv6
Si no se utiliza ningún protocolo de IPv6 en el sistema, entonces de debería deshabilitar, puesto que ninguna de las aplicaciones, políticas y protocolos de IPv6 se requieren. Edita el archivo de configuración de red y añade las siguientes líneas para deshabilitarlo:
NETWORKING_IPV6=no
IPV6INIT=no
Evitar que los usuarios reutilicen contraseñasEsta es una medida muy útil en caso de que se requiera evitar que los usuarios reutilicen contraseñas viejas. Para lograrlo se debe utilizar el módulo de autenticación de usuarios PAM y el archivo /etc/security/opasswd.En sistemas Red Hat Enterprise Linux, CentOS o Fedora se edita el archivo /etc/pam.d/system-auth. En sistemas Debian, Ubuntu o Linux Mint, editar
el archivo /etc/pam.d/common-password. En estos archivos se debe añadir la siguiente línea a la sección auth:
auth sufficient pam_unix.so likeauth nullok
También se debe agregar la siguiente línea a la sección password para evitar que un usuario reutilice las últimas 5 contraseñas usadas en el sistema:
password sufficient pum_unix.so nullok use_authtok md5 shadow remember=5
Revisar el tiempo de validez de contraseñas de usuariosEn Linux, las contraseñas de los usuarios son almacenadas de forma cifrada en el archivo /etc/shadow. Para ajustar la fecha de expiración de la contraseña de un usuario, se necesita utilizar el comando chage.
Para saber el tiempo de uso, vigencia o días desde el último cambio de contraseña, se utiliza el comando:
# chage -l nombre_de_usuario
Algunas opciones del comando son:
-M Para indicar el máximo número de días de vigencia de la contraseña. -m Para indicar el mínimo número de días de vigencia de la contraseña. -W Para indicar cuantos días antes de que la contraseña expire, se mande una
advertencia.
Bloqueo y desbloqueo manual de cuentas
Esta característica es muy útil para evitar borrar cuentas de usuario, ya que sirve para especificar un periodo de tiempo en el cual se bloquearán las cuentas de usuario. Esto se realiza con el comando:
# passwd -l nombre_de_usuario
Para desbloquear al usuario se utiliza el comando:
# passwd -u nombre_de_usuario
Cabe mencionar que si el usuario root inicia sesión como algún usuario bloqueado, si podrá iniciar sesión.
Uso de contraseñas segurasMuchos usuarios utilizan contraseñas débiles que pueden ser descubiertas por medio de un ataque de fuerza bruta. Para evitar el uso de contraseñas débiles, el módulo PAM contiene una funcionalidad llamada pam_cracklib que obliga al usuario a utilizar contraseñas fuertes y seguras. Para habilitarlo basta con añadir al archivo /etc/pam.d/system-auth la siguiente directiva:
/lb/security/$ISA/pam_cracklib.so retry=3 minlen=8 lcredit=1 ucredit=-2 dcredit=-2 ocredit=-1
Las palabras reservadas significan:
lcredit = lower-case o minúsculas ucredit = upper-case o mayúsculas dcredit = digitos other = otros
Activar Iptables (Firewall)
Es altamente recomendable habilitar el firewall de Linux para evitar accesos no autorizados a nuestro equipo. Se deben aplicar reglas para direcciones IP origen y destino y puerto UDP o TCP para paquetes entrantes, salientes y redirigidos.
Deshabilitar Ctrl+Alt+Supr en el archivo /etc/inittabEn la mayoría de las distribuciones Linux, el presionar la combinación de teclas ctrl+alt+supr provocará un reinicio del sistema, por lo que no es muy recomendable tener habilitada dicha opción, específicamente en servidores de producción.Esta acción se define dentro del archivo /etc/inittab en una línea similar a la siguiente:
# ca::ctrlaltdel:/sbin/shutdown -t 3 -r now
Verificar cuentas sin contraseñas
Cualquier cuenta de usuario con una contraseña vacía significa una puerta abierta para acceso no autorizado desde cualquier parte del mundo. Se debe asegurar que todas las cuentas de usuario cuenten con contraseñas fuertes y seguras. Para revisar
si existen cuentas con contraseñas vacías se puede utilizar el siguiente conjunto de comandos:
# cat /etc/shadow | awk -F : '($2=="") {print $1}'
Este comando obtendrá toda la lista de usuarios en el sistema y mostrará a aquellos que su contraseña sea vacía.
Mostrar mensaje de SSH antes de iniciar sesiónEs una buena práctica mostrar y contar con mensajes de seguridad o advertencias antes de realizar una autenticación por medio de SSH.
Monitoreo de actividades del usuarioSi se tienen muchos usuarios en el sistema, es muy importante recolectar información de la actividad y procesos de cada usuario, para después poder analizar esa información en caso de problemas de rendimiento o seguridad. Existen dos herramientas muy útiles llamadas psacct y acct que son utilizadas para monitorear los procesos y la actividad de los usuarios en el sistema. Estas herramientas se ejecutan en segundo plano y continuamente están registrando la actividad de los usuarios y los recursos del sistema que consumen servicios como Apache, MySQL, SSH, FTP, etc.
Revisión de logs de forma regularReasigna las logs en un servidor dedicado de logs, esto podría evitar que los intrusos puedan modificar los logs locales. Los archivos de logs más comunes se encuentran en la ruta /var/log/ y son:
messages: Logs del sistema auth.log: Logs de autenticación (Debian, Ubuntu, Linux Mint) kern.log: Logs del kernel cron.log: Logs del demonio crond maillog: Logs del servidor de correo del sistema boot.log: Logs del arranque del sistema mysqld.log: Logs del manejador de bases de datos, MySQL secure: Logs de autenticación (Red Hat, Fedora, CentOS) utmp ó wtmp: Log de inicio de sesión
Tener un respaldo de archivos importantes
Esto en todo sistema pues un fallo del disco duro puede significar la pérdida de toda la información por lo que es recomendable realizar un respaldo de la información para los datos importantes.
Mantener /boot como solo lectura
El sector de arranque no debería ser modificado pues puede implicar que el sistema ya no funcione la próxima vez que se utilice. Por este motivo, tener esta carpeta como sólo lectura impide que se modifiquen los archivos de configuración ya sea por accidente o por algún malware.
5.14 Implementación de Seguridad en AIX
Utilice los recursos de seguridad que proporciona el sistema operativo para realizar estas tareas: por ejemplo, la herramienta SMIT (Systems Management Interface Tool) en AIX o el Gestor de administración del sistema en HP-Itanium.
Realice las siguientes acciones:
1. Inicie la sesión en el sistema.
En AIX, debe iniciar la sesión como usuario root. En Linux y en otros sistemas UNIX, el ID de usuario debe disponer de autorización root. Necesita este nivel de autorización para configurar los requisitos de seguridad para instalar el componente de intermediario. A continuación, el producto lo puede instalar un usuario que no tenga privilegios root.
Si utiliza un sistema Linux en x86 o un sistema Linux en x86-64 y no tiene planificado instalar el componente de intermediario, continúe con el paso 4. De lo contrario, siga las políticas de seguridad locales para obtener autorización de usuario root; inicie la sesión como usuario root o inicie la sesión como otro usuario y conviértase en root.
El uso de un ID de usuario que no sea el usuario root presenta algunas ventajas; proporciona un seguimiento de la actividad del ID de usuario que instala el producto y limita el ámbito de la autorización root a las tareas realizadas en una única sesión. El uso de un ID de usuario distinto de root también puede ser obligatorio, si se inicia la sesión desde un sistema remoto.
2. Si piensa ejecutar la instalación como un usuario con autorización de usuario root, realice los pasos siguientes:
a. Bajo la autorización de usuario root, la instalación crea automáticamente un grupo de seguridad denominado mqbrkrs. Debe añadir el ID de inicio de sesión de autorización de usuario root al grupo después de que se haya creado.
b. Si ya ha instalado WebSphere MQ en este sistema, se definen un grupo llamado mqm un usuario llamado mqm . Si todavía no ha instalado WebSphere MQ, debe crear este grupo y usuario.
c. Añada el ID de inicio de sesión de usuario con autorización root al grupo mqm, junto con el ID de usuario mqm.
d. En algunos sistemas, debe terminar la sesión, e iniciarla de nuevo, para que se reconozcan estas nuevas definiciones de grupo (mqbrkrs y mqm).
3. Si piensa ejecutar la instalación como un usuario sin autorización root, un usuario con autorización root debe completar los pasos siguientes antes de la instalación. Si ya tiene otras versiones de WebSphere Message Broker instaladas en el sistema, sólo debe realizar las subtareas c, e, f, h, i.
a. Cree un grupo de seguridad denominado mqbrkrs. Por ejemplo: Para sistemas no AIX
sudo groupadd mqbrkrs Para AIX
sudo mkgroup mqbrkrsb. Añada el ID de inicio de sesión de usuario de instalación no root al grupo después de que éste
se haya creado.
c. Si WebSphere MQ ya se ha instalado en este sistema, se definen un grupo denominado mqm y un usuario denominado mqm. Si WebSphere MQ no se ha instalado, se deben crear el grupo y el usuario.
d. Añada el ID de inicio de sesión de usuario de instalación no root al grupo mqm, junto con el ID de usuario mqm.
e. Si no existe, cree el directorio /var/mqsi. Por ejemplo: se escribesudo mkdir /var/mqsi
f. Asegúrese de que se han establecido la propiedad y los permisos de acceso correctos para el directorio /var/mqsi. Por ejemplo: se escribe
g. sudo chown mqm:mqbrkrs /var/mqsisudo chmod 775 /var/mqsiSi el directorio ya existe, ejecute el mandato de forma recurrente:sudo chown -R mqm:mqbrkrs /var/mqsisudo chmod -R ug+rwX /var/mqsi
h. Si varios usuarios van a crear y utilizar varios intermediarios, establezca el ID de grupo del directorio /var/mqsi para que los nuevos archivos y directorios hereden el mismo ID de grupo. De lo contrario, un intermediario creado por Usuario1, con el grupo primario Usuario1, será accesible para Usuario2 (con el grupo primario Usuario2). Por ejemplo:sudo chmod g+s /var/mqsiSi el intermediario ya existe, ejecute el mandato de forma recurrente: find /var/mqsi -type f -exec chmod g+s {} \;
i. Si existe el archivo /var/mqsi/install.properties, asegúrese de que el ID de usuario de instalación no root tenga acceso de escritura al mismo. Por ejemplo:sudo chmod 664 /var/mqsi/install.properties
j. Si no existen, cree los directorios /opt/ibm/mqsi y /opt/ibm/IE02 para Linux o /opt/IBM/mqsi y /opt/ibm/IE02 para UNIX. Por ejemplo: Para Linux sudo mkdir /opt/ibm/mqsi
sudo mkdir /opt/ibm/IE02 Para UNIX sudo mkdir /opt/IBM/mqsi
sudo mkdir /opt/ibm/IE02k. Asegúrese de que se asigna la propiedad correcta al directorio mqsi, junto con los permisos de
acceso a los directorios mqsi y IE02. Por ejemplo: Para Linux sudo chown mqm:mqbrkrs /opt/ibm/mqsi sudo chmod 775 /opt/ibm/mqsi
sudo chmod 775 /opt/ibm/IE02 Para UNIX sudo chown mqm:mqbrkrs /opt/IBM/mqsi sudo chmod 775 /opt/IBM/mqsi
sudo chmod 775 /opt/ibm/IE02l. Si hay quedan registros de una instalación anterior de WebSphere Message Broker o IE02
deberá suprimirlos o renombrarlos, ya que el programa de instalación puede no tener el permiso correcto para sustituirlos. Los registros en cuestión pueden encontrarse en el directorio /var/mqsi y tienen el tipo de archivo .log.
m. Si establece la variable IATEMPDIR, asegúrese de que el ID de usuario no root tenga permiso de escritura al directorio que elija. Por ejemplo:sudo chmod 775 /tmp/IATEMP
4. Se proporcionan procedimientos de verificación para Linux en x86 y para Linux en x86-64. Para realizar la verificación no necesita autorización de usuario root. Si desea instalar con autorización de usuario root, pero no desea realizar la verificación con autorización de usuario root, termine la sesión cuando finalice la instalación. Inicie la sesión con el mismo ID de usuario o con otro diferente, pero no se convierta en root.
Si inicia la sesión con otro usuario ID, y aún no ha añadido dicho ID a los grupos mqbrkrs y mqm, hágalo antes de abrir WebSphere Message Broker Toolkit.
5.15 Conclusiones
UNIX y sus derivados, ya sea GNU/Linux, MacOS o Android, cuentan con bastantes mecanimos de
seguridad a disposición de los usuarios, algunos bastante sofisticados, lo cual permite una correcta
configuración de protocolos de seguridad. Sin embargo, al igual de los demás sistemas, también es
vulnerable y cuenta con bastantes riesgos de seguridad. Estos problemas no son de Unix, sino que
radican en las personas que estan detras del sistema operativo, generalmente administradores y
usuarios de cualquier categorıa. Unix ofrece los mecanismos suficientes como para conseguir un
nivel de seguridad mas que aceptable, pero los usuarios muchas veces no llegan a saber
aprovecharlos.
Es necesario la concienciación de que estos problemas existen y son reales, los cuales pueden
implicar severos fallos de seguridad. Luego es muy importante una formación adecuada hacia las
personas que van a administrar los sistemas para que se encuentren correctamente informados de la
importancia de la seguridad informática.
5.16 Bibliografía
https://www.kernel.org/pub/linux/kernel/Historic/old-versions/RELNOTES-0.01
http://www.neoteo.com/la-historia-de-unix/
http://www.levenez.com/unix/history.html
https://commons.wikimedia.org/wiki/File:Unix_history-simple.png
http://www.cad.com.mx/historia_de_linux.htm
http://spi1.nisu.org/recop/al01/tender/index.html
https://geekland.eu/problemas-seguridad-y-virus-linux/
https://blog.desdelinux.net/las-11-mejores-aplicaciones-de-hacking-y-seguridad-para-linux/
https://www.pcworld.com/article/224955/7_free_security_tools_for_linux.html
https://www.ibm.com/support/knowledgecenter/es/SSKM8N_8.0.0/com.ibm.etools.mft.doc/bh26031_.htm
https://www.seguridad.unam.mx/historico/noticia/index.html-noti=1271
https://access.redhat.com/documentation/es-ES/Red_Hat_Enterprise_Linux/6/pdf/Security_Guide/Red_Hat_Enterprise_Linux-6-Security_Guide-es-ES.pdf
CAPÍTULO 6: CLOUD COMPUTING
Cloud Computing ha revolucionado cómo se procesa la información, proporcionando una solución
escalable, rentable y eficiente plataforma tecnológica. A partir de una tecnología desde el punto de
vista de la gestión, cloud computing ofrece potencia y mayor capacidad de almacenamiento de
computación a un costo menor. Un estudio de investigación de mercado de medios indica que se
espera que el mercado de la computación en nube global crecerá a un 30% tasa compuesta de
crecimiento anual (CAGR) de llegar a $ 270 mil millones en 2020.
Cloud Computing es una arquitectura informática bajo demanda, es pago por uso que proporciona
recursos de computación como los servicios a través de Internet. Esta tecnología proporciona una
infraestructura pre configurada a un menor costo y permite a los usuarios utilizar los recursos de
software o hardware que son propiedad y administrados por un proveedor de servicios cloud (CSP)
en ubicaciones remotas. Los tres modelos de servicios disponibles en la tecnología de nube son el
software como servicio (SaaS), infraestructura como servicio (IaaS) y Plataforma como servicio
(PaaS). Mediante el uso de servicios en la nube, las empresas pueden eliminar los riesgos y costos
involucrados con la instalación y la gestión de la infraestructura de TI tradicional.
6 Características
Las cinco características de Cloud Computing son la demanda de auto-servicio en sitio, el acceso a
la red mundial, la agrupación de recursos independiente de la ubicación, elasticidad rápida, y pago
por uso. Entornos de nube se pueden clasificar en cuatro modelos de despliegue: privado, público,
híbrido y nube comunitaria.
Cinco características esenciales de la computación en nube
● La demanda de autoservicio: En demanda de autoservicio se refiere a los servicios prestados
por los proveedores de cloud computing que permite la provisión de recursos de la nube en
la demanda cada vez que se le pide. El usuario puede escalar la infraestructura necesaria
hasta un nivel sustancial sin interrumpir las operaciones de acogida.
● Acceso a la red: En la tecnología de nube, el acceso y las capacidades de la red están
disponibles a través de un navegador web, y se puede acceder a través de dispositivos
estándar, tales como teléfonos celulares, tabletas, ordenadores portátiles y estaciones de
trabajo.
● Agrupación de recursos: Se necesita de recursos informáticos fuertes, tales como máquinas
virtuales, ancho de banda, memoria, dispositivos de almacenamiento y potencia de
procesamiento se asignan dinámicamente y asignados a múltiples clientes usando un
modelo multi-inquilino. Como se trata de una tecnología independiente de la ubicación, el
cliente no tiene ningún control ni información sobre la ubicación exacta de los recursos
dados. Sin embargo, la información sobre la ubicación está disponible a un nivel más alto de
abstracción.
● Elasticidad rápido: En función de la demanda del cliente, servicios en la nube pueden ser
rápida y elásticamente aprovisionado y escalar hacia arriba o hacia abajo en cualquier
momento.
● El servicio medido: servicios y recursos de computación en la nube se pueden medir de
forma automática, controladas y monitoreadas. Por lo tanto, se asegura la transparencia
tanto para el proveedor y el consumidor en cuanto a la naturaleza y grado de los servicios
utilizados. la tecnología de nube utiliza una función de medición que es útil a los clientes a
controlar y optimizar el uso de recursos. Es similar a un modelo de pago por uso, como se ha
visto con las facturas de electricidad o de agua municipal.
7 Modelo de Servicio SaaS (Software como un Servicio)
SaaS se puede definir como un modelo de prestación de servicios que ofrece aplicaciones de TI a los
usuarios finales a través de Internet. De acuerdo con Paul et, el modelo SaaS es análogo a un
modelo cliente-servidor, excepto que el servidor se sustituye por los recursos se puede acceder a
través de los navegadores web (HTTP / HTTPS). El usuario accede a la aplicación a través de una
interfaz de navegador, pero no tiene acceso a la arquitectura subyacente, como la red, servidores,
sistemas operativos y de almacenamiento. En las distribuciones de software tradicionales, los
usuarios deben comprar e instalar el software en su ordenador personal. En el modelo SaaS, el CSP
controla diferentes capas de aplicación, incluyendo hardware, sistema operativo, middleware y
aplicación. El usuario sólo tiene acceso a la aplicación seleccionada la CSP. El proveedor de la nube
hace que una instancia de la aplicación, y el cliente se conecta y usa la aplicación a través de una
API. Sólo los CSP pueden configurar, actualizar y gestionar las operaciones de la aplicación y
acceder a los archivos de registro
8 Modelo de servicio IaaS (Infraestructura como Servicio)
El modelo IaaS ayuda a los clientes a modernizar y ampliar sus capacidades de TI sin tener que
gastar los recursos de capital en infraestructura. IaaS puede ser considerada como la primera capa y
la base del modelo de servicio de computación en la nube, proporcionando una plataforma de
infraestructura de computación que incluye espacio en el servidor virtual, ancho de banda,
conexiones de red, las direcciones IP y los equilibradores de carga. El cliente puede acceder a estos
componentes para construir sus propias plataformas. El PSC asegura los servicios de infraestructura
y todos los demás relacionados con el mantenimiento de estos servicios. En IaaS, el CSP asigna
recursos como máquinas virtuales (VM) y es controlado por el monitor de la máquina hipervisor o
virtual (VMM). El CSP supervisa los hipervisores y clientes alquilar el acceso al sistema operativo
invitado que se ejecuta en una máquina virtual determinada.
IaaS ofrece las opciones de gestión de la mayoría en comparación con otros modelos mediante la
sustitución de - IT sitio infraestructura, especialmente de almacenamiento, servidores y redes, y
poner estos servicios en una nube accesible de forma remota. Con IaaS, el cliente no tenga que
controlar o gestionar las capas subyacentes, pero tiene control sobre los sistemas operativos,
almacenamiento y aplicaciones implementadas. Las principales ventajas de IaaS son escalabilidad,
pay-as-you-go de fijación de precios, independencia de la ubicación, seguridad física de las
ubicaciones de los centros de datos, y ningún punto único de fallo
Las seis capas de un entorno de nube IaaS incluyen la aplicación huésped / capa de datos, sistema
operativo huésped, virtualización, sistema operativo anfitrión, hardware física y de capa de red. En
IaaS, el control administrativo del cliente es sólo en la capa 5 (OS huésped) y la capa 6 (aplicación
huésped).
9 Modelo de servicio PaaS (Plataforma como Servicio)
Las compañías de software son los principales usuarios de PaaS para organizar y desarrollar sus
aplicaciones de software. Los productores de software necesitan plataformas como servidores
físicos, bases de datos y servidores de Internet para ejecutar sus productos. En un modelo
tradicional, la empresa tiene que pasar mucho tiempo y mano de obra para construir su propia
plataforma para hacer funcionar las aplicaciones de software y también requiere la administración
continua. PaaS permite al usuario alquilar sistemas operativos, hardware, almacenamiento y
capacidad de la red en la red. En el modelo de servicio PaaS, el cliente alquila un conjunto de
herramientas para desarrollar su propia plataforma para desplegar aplicaciones. Proveedores de
PaaS dan acceso a los diferentes conjuntos de bloques de construcción de software para crear
nuevas aplicaciones. El cliente tiene acceso total a las capas superiores y la capa de aplicación.
PaaS permite a los desarrolladores para mejorar y cambiar las funciones del sistema operativo. Los
principales beneficios de PaaS más de los modelos tradicionales de desarrollo y despliegue de
aplicaciones son servidor y los gastos generales de almacenamiento, ancho de banda de red,
mantenimiento de software, personal de apoyo y los requisitos de calificación más bajos. Cualquier
cambio significativo en la infraestructura aumenta el presupuesto de TI y requiere entrenamiento
laboral, cambios en los procesos de negocios y más de atención al cliente. Modelos de servicio PaaS
puede no ser una solución completa para todas las aplicaciones dentro de una empresa. La
estandarización de la plataforma puede traer más desafíos y limitaciones en la programación de un
nuevo sistema para soportar funciones de automatización y multi-tenencia. PaaS puede no ser una
buena opción cuando una aplicación necesita personalización para el software o hardware
subyacente. En PaaS, los archivos de configuración y de ajustes son críticos y cualquier modificación
o cambios en la configuración de un adversario pueden afectar a todo el entorno de la nube. Al igual
que en SaaS, PaaS también tiene restricciones en el control de la infraestructura subyacente. No hay
ninguna posibilidad de acceso que no sea a nivel de aplicación y el control de usuario. Prevención de
intrusiones de red está bajo el control del proveedor de la nube. Desde PaaS es una arquitectura
orientada a servicios, los problemas de seguridad relacionados con SOA tales como ataques man-in-
the-middle, ataques DoS, ataques relacionados con XML, y los ataques de inyección son los desafíos
de seguridad más importantes. API públicas PaaS utilizados para ofrecer la funcionalidad de
administración y el usuario deben estar asegurados con la aplicación y los controles [27, 28]
estándar. PaaS también tiene restricciones en el control de la infraestructura subyacente. No hay
ninguna posibilidad de acceso que no sea a nivel de aplicación y el control de usuario. Prevención de
intrusiones de red está bajo el control del proveedor de la nube. Desde PaaS es una arquitectura
orientada a servicios, los problemas de seguridad relacionados con SOA tales como ataques man-in-
the-middle, ataques DoS, ataques relacionados con XML, y los ataques de inyección son los desafíos
de seguridad más importantes. API públicas PaaS utilizados para ofrecer la funcionalidad de
administración y el usuario deben estar asegurados con la aplicación y los controles [27, 28]
estándar. PaaS también tiene restricciones en el control de la infraestructura subyacente.
10 CONCLUSIÓN
La computación en nube ofrece una solución fácil, flexible y rentable para las necesidades siempre
cambiantes de. Sin embargo, incluso con los enormes beneficios de la computación en la nube,
muchas organizaciones no se atreven a adoptar esta tecnología debido a preocupaciones de
seguridad. La creciente demanda de servicios de tecnología de la nube requiere alta seguridad para
mantener la confidencialidad, integridad y disponibilidad de los datos y recursos informáticos. En este
trabajo se ha analizado retos y soluciones de seguridad de la nube desde la perspectiva de los
servicios IaaS, SaaS y PaaS. La búsqueda de soluciones viables seguridad en la nube se encuentra
todavía en su infancia. Con base en el análisis, se recomienda que los CSP tomar más medidas para
garantizar la seguridad en la nube mediante la aplicación de tecnologías avanzadas para guardar
registro de eventos y la creación de APIs robustas que serán útiles para los clientes en el
mantenimiento de un entorno seguro tanto en el proveedor y el consumidor extremos del espectro .
WEB 2.0
Evolucionado de las prácticas tradicionales de la web, y muy influenciado por la economía orientada al consumidor, Web 2.0 es una arquitectura enfocada al usuario final. Ha sido impulsado por la explosión de la información y la comunicación que trasciende las fronteras geográficas, de interconexión y culturales. El número de versión familiar en el término Web 2.0 denota una evolución en la que la web en lugar del escritorio es la plataforma dominante.
La arquitectura transforma a las personas que usan la Web en activos. Contribuyentes, personalización de medios y tecnología. Contenido y participación en el diseño y programación web.
En su mayor parte, la arquitectura Web 2.0 se basa en las tecnologías existentes que a menudo se mezclan con emergentes. Algunas de las principales características y las tecnologías incluyen:
• AJAX
• Really Simple Syndication (RSS)
• Backend Databases
• Multi-tier software architecture
• Site Maps
• Folksonomy and Web Classification
o Web Tagging
o Social Bookmarking
• Mashups
• Weblogs
• Wikis
• Users as Programmers
Problemas conocidos de seguridad y fiabilidad en la Web 2.0
Navegadores web son capaces de realizar operaciones de redes complejas al intentar mostrar una página en la pantalla del usuario. Estas capacidades están siendo capitalizadas por los sitios Web 2.0 para ofrecer la experiencia de usuario más rica de Internet. También se abren muchas puertas y ventanas para los hackers que se filtre a través y obtener acceso no autorizado a la facilidad de uso y los datos comerciales sensibles. En las siguientes secciones examinamos y discutimos brevemente algunas de las vulnerabilidades conocidas, métodos de ataque, y problemas de fiabilidad relativos a la Web 2.0.
Arquitectura sin garantía Las aplicaciones Web 2.0 están siendo desarrollados y desplegados en una arquitectura web no segura que es causado principalmente por el modelo de seguridad débil en el lado del cliente y los patrones de diseño en Web 2.0 aplicaciones. Ejecución del lado del cliente implica tres capas distintas: secuencia de comandos, de aplicación y del sistema operativo. Scripts se ejecutan en el contexto de la aplicación host, por lo general el navegador, que se ejecuta en el contexto del sistema operativo (OS). Autenticación, control de acceso y otros problemas de seguridad
son manejados por el sistema operativo dando la apariencia de fiabilidad. Sin embargo, un examen minucioso descubre un defecto importante. Cuando el usuario inicia el navegador, el sistema operativo considera que es una aplicación de confianza. Secuencias que se ejecutan dentro del navegador son tratados por el sistema operativo como una parte integral de la aplicación, y reciben un nivel de confianza similar.
Baja fiabilidad por parte del usuario: La cultura de la participación de la Web 2.0 implica la integración de los contenidos generados por los usuarios en los sitios web. Cualquiera podía subir contenido, incluyendo hackers, spammers, y las personas con malas intenciones. No es raro encontrar a menos que útil contenido diseñado específicamente para atraer tráfico y páginas fue posicionado en los motores de búsqueda para obtener ganancias financieras. Parece que ya está dudosa calidad es también muy extendida [9, 1]. Tres causas principales de estos contenidos poco fiables pueden ser citadas. En primer lugar es la falta de calificación, lo que fomenta el contenido de cualquier calidad que se publicará a lo largo de la de alta calidad que proporciona un incentivo para que los explotadores. En segundo lugar, es la falta de filtrado de los administradores de servicios web. Filtrado de contenidos basado en la calidad requiere recursos humanos masivos y es a menudo económicamente injustificada. La tercera causa de contenido no fiable es la tolerancia del usuario. Los usuarios toleran contenido de baja calidad ya que la información en la web es gratuita, accesible, y desechable.
Marcaje y marcadores sociales spam Los spammers se aprovechan de la popularidad y los sistemas de clasificación de los sitios de marcadores sociales para lograr ganancias personales. Mediante la creación de numerosas cuentas, que pueden fabricar popularidad por un marcador o una etiqueta. También pueden etiquetar el marcador para el sitio con una serie de etiquetas populares que no necesariamente estar relacionados con el sitio. Como resultado, cada vez que la etiqueta se busca, el marcador para el sitio de spam se mostrará. Las mismas técnicas utilizadas por los spammers también son utilizadas por los piratas informáticos para atraer a los usuarios confiados a sitios maliciosos.
El mismo origen de la pol Escapatorias: La política de mismo origen (SOP) es una medida clave de seguridad impuesta por los desarrolladores del navegador de Internet para proteger los datos y scripts de una página del acceso de otra página que viene de un origen diferente. Pero hay excepciones:
• Etiquetas tales como <Script> y se les permite <Image> para hacer referencia a contenido de otros dominios.
• Sólo se considera el camino de dominio, no subdirectorios.
• No se aplica a los contenidos alojados.
La mayoría de las excepciones fueron creadas por el diseño de ampliar el uso del navegador y proporcionar funcionalidad, que permite a un sitio web para proporcionar contenido de múltiples dominios. Las excepciones están también disponibles para los hackers para explotar. Cross Site Scripting y Cross Site Request Falsificación, explican a continuación, son ejemplos de tales hazañas.
Cross Site Request Falsificación Cross-Site Request Falsificación (CSRF) es un exploit en el que el hacker se basa en las vulnerabilidades tanto en el navegador y el sitio de destino. El navegador
incluye automáticamente con peticiones a un sitio de las credenciales asociadas, incluida la cookie del usuario de la sesión, la dirección IP, las credenciales de dominio, etc. Se lleva a cabo independientemente de si la solicitud se genera en el ordenador del usuario [13]. Los hackers podrían disfrazar las solicitudes en virtud de etiquetas falsas, o incrustarlos en <image> o <iframe> etiquetas. Aplicaciones web vulnerables a menudo llevan a cabo acciones en respuesta a las peticiones y dependen de credenciales guardadas en el lado del cliente sin la verificación secundaria
Cross Site Scripting: cross-site scripting (XSS o CSS) es un tipo de ataque en el que el autor tiene éxito en la ejecución de un script en el navegador del usuario que hace que parezca como si el guión está viniendo de una confianza sitio web [2]. Cada ataque es la medida para un sitio web en particular, pero los ordenadores de los usuarios son a menudo los vehículos para lograrlo, y se convierten en totalmente expuesta al agresor en el proceso [14]. A medida que el script se ejecuta en el navegador del usuario, tanto en la escritura del atacante y el atacante tiene acceso a todo el equipo del usuario según lo permitido por el contexto de seguridad aplicada [26]. La accesibilidad se puede extender al sistema de archivos, funciones del sistema operativo, y las capacidades de comunicación en el ordenador del usuario.
RSS, blogs y wikis: Sindicación script malicioso RSS, blogs y wikis son formas populares de compartir y distribuir contenido en el mundo de la Web 2.0 [16]. También se han convertido en una parte clave de los sistemas de gestión del conocimiento muchas de las corporaciones [24]. El intercambio de masa y distribución de contenido también se aplica a los atacantes y usuarios maliciosos [2]. Lo usan para la masa distribuir y compartir código malicioso, y explotar los usuarios debido a la arquitectura del navegador de secuencias de comandos sin garantía. Si un autor tiene éxito en inyectar un contenido malicioso en un feed RSS, blog, wiki, o una red social, que podría llegar fácilmente a las masas. El gusano Samy es un ejemplo [26]. La combinación de la distribución masiva de contenidos, arquitectura sin garantía, y la incapacidad para detectar secuencias de comandos que se ejecutan en el contexto del navegador crea el ambiente perfecto para los atacantes a los medios de distribuir sus scripts maliciosos.
CONCLUSIÓN
En este artículo revisamos los problemas conocidos relacionados con la seguridad y fiabilidad en el entorno Web 2.0. a continuación, inspeccionamos y describen brevemente algunas de las mejores prácticas de la industria, las salvaguardias y las precauciones que podrían ser tomadas por los desarrolladores y usuarios por igual, y concluimos con algunas recomendaciones para mejorar las condiciones de seguridad en la Web 2.0 y mejorar su fiabilidad. La afirmación de algunos de que la Web 2.0 no introduce nuevas amenazas o problemas técnicos se encuentra para ser válida. Sin embargo, la Web 2.0 cultura de intercambio y la participación de todo el mundo sirve como canal de distribución masiva de código malicioso y contenido. Lo hace sin ofrecer a los usuarios y desarrolladores por igual una protección real en muchos casos - que utiliza las viejas tecnologías sin garantía, pero en una escala masiva. Se espera que este documento
WEB 3.0
Web 3.0 y la Web Semántica se utilizan como sinónimos; el término Web 3.0 fue acuñado por John Markoff del New York Times y la Web Semántica por Tim Berners-Lee en 2006 F 1 F, el “inventor” de La red mundial. Si bien hay muchos que se refieren a particulares “versiones '' de la Web - 1.0, 2.0, 3.0 y sí, hay un 4.0, la Web simbióticos - algunos consideran la Web Semántica, ya que sólo un componente de la mayor esquema de la funcionalidad de la Web 3.0. Independientemente del término, hay un conjunto de propiedades y atributos entre los dos que son generalmente acordada en este más robusto, “pensar” Web.
La Web Semántica el Internet no sólo es legible por humanos, pero para las máquinas. Si bien podemos discutir la pertinencia de diferenciar Internet en versiones, es la metamorfosis de los atributos de la Internet que es de mayor importancia. Cuando estas nuevas funciones, muchos resultante de un mash-up de las tecnologías, cambiar el comportamiento de los ordenadores, la forma en que tratan a los datos y la información y cómo se relaciona y se añade contexto a la mezcla, es fundamental que la información y del sistema dueños presten atención los impactos y riesgos en el horizonte.
BIBLIOGRAFÍA
https://devcode.la/blog/que-es-la-computacion-cuantica/
https://www.elconfidencial.com/tecnologia/2016-05-04/ibm-computacion-cuantica-informatica_1194604/
https://www.research.ibm.com/ibm-q/
https://es.wikipedia.org/wiki/Computaci%C3%B3n_cu%C3%A1ntica
http://ibmmainframes.com/references/a1.html
http://cryptomex.org/SlidesMainframes/IntroMainframes.pdf
http://www.sahw.com/wp/archivos/2010/05/10/seguridad-en-mainframes-ibm/
https://www.slideshare.net/darintocommIT/the-mainframes-role-in-enterprise-security-management-jeanmarc-darees
https://www.estamosenlinea.com.ve/2017/07/17/ibm-mainframe-inaugura-nueva-proteccion-datos/
http://slideplayer.es/slide/139441/
https://www.slideshare.net/mlsonslideshare/systemz-securityoverview-06182013
https://www.xataka.com/historia-tecnologica/en-el-principio-fue-el-mainframe
David Freet and Rajeev Agrawal. 2016. An overview of architectural and security considerations for named data networking (NDN). In <em>Proceedings of the 8th International Conference on Management of Digital EcoSystems</em> (MEDES). ACM, New York, NY, USA, 52-57. DOI: https://doi.org/10.1145/3012071.3012092
Huiming Yu, Nakia Powell, Dexter Stembridge, and Xiaohong Yuan. 2012. Cloud computing and security challenges. In <em>Proceedings of the 50th Annual Southeast Regional Conference</em> (ACM-SE '12). ACM, New York, NY, USA, 298-302. DOI:http://dx.doi.org/10.1145/2184512.2184581
Adam A. Noureddine and Meledath Damodaran. 2008. Security in web 2.0 application development. In Proceedings of the 10th International Conference on Information Integration and Web-based Applications & Services (iiWAS '08), Gabriele Kotsis, David Taniar, Eric Pardede, and Ismail Khalil (Eds.). ACM, New York, NY, USA, 681-685. DOI=http://dx.doi.org/10.1145/1497308.1497443
