POLÍTICAS DE SEGURIDAD

Las Políticas de Seguridad Informática (PSI), surgen como una herramienta organizacional para concientizar a cada uno de los miembros de una organización sobre la importancia y sensibilidad de la información y servicios críticos. Estos permiten a la compañía desarrollarse y mantenerse en su sector de negocios.
De acuerdo con lo anterior, el proponer o identificar una política de seguridad requiere un alto compromiso con la organización, agudeza técnica para establecer fallas y debilidades, y constancia para renovar y actualizar dicha política en función del dinámico ambiente que rodea las organizaciones modernas.
Para continuar, hará falta definir algunos conceptos aplicados en la definición de una
PSI:

• Decisión: elección de un curso de acción determinado entre varios posibles.
• Plan: conjunto de decisiones que definen cursos de acción futuros y los medios para conseguirlos. Consiste en diseñar un futuro deseado y la búsqueda del modo de conseguirlo.
• Estrategia: conjunto de decisiones que se toman para determinar políticas, metas y programas.
• Política: definiciones establecidas por la dirección, que determina criterios generales a adoptar en distintas funciones y actividades donde se conocen las alternativas ante circunstancias repetidas.
• Meta: objetivo cuantificado a valores predeterminados.
• Procedimiento: Definición detallada de pasos a ejecutar para desarrollar una actividad determinada.
• Norma: forma en que realiza un procedimiento o proceso.
• Programa: Secuencia de acciones interrelacionadas y ordenadas en el tiempo que se utilizan para coordinar y controlar operaciones.
• Proyección: predicción del comportamiento futuro, basándose en el pasado sin el agregado de apreciaciones subjetivas.
• Pronostico: predicción del comportamiento futuro, con el agregado de hechos concretos y conocidos que se prevé influirán en los acontecimientos futuros.
• Control: capacidad de ejercer o dirigir una influencia sobre una situación dada o hecho. Es una acción tomada para hacer un hecho conforme a un plan.
• Riesgo: proximidad o posibilidad de un daño, peligro. Cada uno de los imprevistos, hechos desafortunados, etc., que puede tener un efecto adverso. Sinónimos: amenaza, contingencia, emergencia, urgencia, apuro.

EVALUACIÓN DE RIESGOS

El análisis de riesgos supone más que el hecho de calcular la posibilidad de que ocurran cosas negativas.

• Se debe poder obtener una evaluación económica del impacto de estos sucesos. Este valor se podrá utilizar para contrastar el costo de la protección de la información en análisis, versus el costo de volverla a producir (reproducir).
• Se debe tener en cuenta la probabilidad que sucedan cada uno de los problemas posibles. De esta forma se pueden priorizar los problemas y su coste potencial desarrollando un plan de acción adecuado.
• Se debe conocer qué se quiere proteger, dónde y cómo, asegurando que con los costos en los que se incurren se obtengan beneficios efectivos. Para esto se deberá
• identificar los recursos (hardware, software, información, personal, accesorios, etc.) con que se cuenta y las amenazas a las que se está expuesto.

NIVELES DE RIESGO

Los riesgos se clasifican por su nivel de importancia y por la severidad de su pérdida:

1. Estimación del riesgo de pérdida del recurso (Ri)
2. Estimación de la importancia del recurso (Ii)

IDENTIFICACIÓN DE AMENAZA

Una vez conocidos los riesgos, los recursos que se deben proteger y como su daño o falta pueden influir en la organización es necesario identificar cada una de las amenazas y vulnerabilidades que pueden causar estas bajas en los recursos. Como ya se mencionó existe una relación directa entre amenaza y vulnerabilidad a tal punto que si una no existe la otra tampoco.

Se suele dividir las amenazas existentes según su ámbito de acción:

• Desastre del entorno.
• Amenazas del sistema.
• Amenazas en la red.
• Amenazas de personas.

ESTRATEGIA DE SEGURIDAD

Para establecer una estrategia adecuada es conveniente pensar una política de protección en los distintos niveles que esta debe abarcar y que no son ni mas ni menos que los estudiados hasta aquí: Física, Lógica, Humana y la interacción que existe entre estos factores.

En cada caso considerado, el plan de seguridad debe incluir una estrategia Proactiva y otra Reactiva.

IMPLEMENTACIÓN

La implementación de medidas de seguridad, es un proceso Técnico–Administrativo. Como este proceso debe abarcar TODA la organización, sin exclusión alguna, ha de estar fuertemente apoyado por el sector gerencial, ya que sin ese apoyo, las medidas que se tomen no tendrán la fuerza necesaria.

AUDITORÍA Y CONTROL
Se considera que la Auditoría son los “ojos y oídos” de la dirección, que generalmente no puede, no sabe o no debe realizar las verificaciones y evaluaciones.
La Auditoría consiste en contar con los mecanismos para poder determinar qué es lo que sucede en el sistema, qué es lo que hace cada uno y cuando lo hace.
El Control es contrastar el resultado final obtenido contra el deseado a fin de incorporar las correcciones necesarias para alcanzarlo, o bien verificar la efectividad de lo obtenido.

PLAN DE CONTINGENCIA
Es necesario que el Plan de Contingencias que incluya un plan de recuperación de desastres, el cual tendrá como objetivo, restaurar el servicio de cómputo en forma rápida, eficiente y con el menor costo y pérdidas posibles.

BACKUPS
El Backup de archivos permite tener disponible e íntegra la información para cuando sucedan los accidentes. Sin un backup, simplemente, es imposible volver la información al estado anterior al desastre.

PRUEBAS
Estas pruebas no se deben llevar a cabo en los sistemas de producción real, ya que el resultado puede ser desastroso. La carencia de laboratorios y equipos de pruebas a causa de restricciones presupuestarias puede imposibilitar la realización de ataques simulados.

LA POLÍTICA

Como ya se ha mencionado, los fundamentos aquí expuestos NO deben ser tomados puntualmente en cada organización tratada. Deberán ser adaptados a la necesidad, requisitos y limitaciones de cada organización (o usuario individual) y, posteriormente requerirá actualizaciones periódicas asegurando el dinamismo sistemático ya mencionado.

PROTECCIÓN

Una vez conocidas las vulnerabilidades y ataques a las que está expuesto un sistema es necesario conocer los recursos disponibles para protegerlo.Mientras algunas técnicas son evidentes otras pautas no lo son tanto e incluso algunas pueden ocasionar una sensación de falsa seguridad.

Después de lo expuesto y vistas la gran cantidad de herramientas con las que cuenta el intruso, es el turno de estudiar implementaciones en la búsqueda de mantener el sistema seguro.
Siendo reiterativo, ninguna de las técnicas expuestas a continuación representarán el 100% de la seguridad deseado.

VULNERAR PARA PROTEGER

Los intrusos utilizan diversas técnicas para quebrar los sistemas de seguridad de una red. Básicamente buscan los puntos débiles del sistema para poder colarse en ella.
Al conjunto de técnicas que se utilizan para evaluar y probar la seguridad de una red se lo conoce como Penetration Testing, uno de los recursos más poderosos con los que se cuenta hoy para generar barreras cada vez más eficaces.
El software y el Hardware utilizados son una parte importante, pero no la única. A ella se agrega lo que se denomina “políticas de seguridad internas” que cada organización debe generar e implementar.

ADMINISTRACIÓN DE LA SEGURIDAD

Es posible dividir las tareas de administración de seguridad en tres grandes grupos:

• Autenticación: se refiere a establecer las entidades que pueden tener acceso al universo de recursos de cómputo que cierto medio ambiente puede ofrecer.

• Autorización: es el hecho de que las entidades autorizadas a tener acceso a los recursos de cómputo, tengan acceso únicamente a las áreas de trabajo sobre las cuales ellas deben tener dominio.

• Auditora: se refiere a la continua vigilancia de los servicios en producción. Entra dentro de este grupo el mantener estadísticas de acceso, estadísticas de uso y políticas de acceso físico a los recursos.

PENETRATION TEST, ETHICAL HACKING O PRUEBA DE VULNERABILIDA
El Penetration Test es un conjunto de metodologías y técnicas, para realizar una reproduce intentos de acceso, a cualquier entorno informático, de un intruso potencial desde los diferentes puntos de entrada que existan, tanto internos como remotos. evaluación integral de las debilidades de los sistemas informáticos. Consiste en un modelo que reproduce intentos de acceso, a cualquier entorno informático, de un intruso potencial desde los diferentes puntos de entrada que existan, tanto internos como remotos.

El Penetration Test se compone de dos grandes fases:

1. Penetration Test Externo: el objetivo es acceder en forma remota a los equipos de la organización y posicionarse como administrador del sistema. Se realizan desde fuera del Firewall y consisten en penetrar la Zona Desmilitarizada para luego acceder a la red interna.
2. Penetration Test Interno: este tipo de testeo trata de demostrar cual es el nivel de seguridad interno. Se deberá establecer que puede hacer un Insider y hasta donde será capaz de penetrar en el sistema siendo un usuario con privilegios bajos.

HONEYPOTS–HONEYNETS

Estas “Trampas de Red” son sistemas que se activan con la finalidad específica de que los expertos en seguridad puedan observar en secreto la actividad de los Hackers/Crackers en su hábitat natural.Actualmente un equipo de Honeynet Project3 trabaja en el desarrollo de un documento sobre la investigación y resultados de su trampa, la cual fue penetrada a la semana de ser activada (sin publicidad).

FIREWALLS

Quizás uno de los elementos más publicitados a la hora de establecer seguridad, sean estos elementos. Aunque deben ser uno de los sistemas a los que más se debe prestar atención, distan mucho de ser la solución final a los problemas de seguridad.

Un Firewall es un sistema (o conjunto de ellos) ubicado entre dos redes y que ejerce la una política de seguridad establecida. Es el mecanismo encargado de proteger una red confiable de una que no lo es (por ejemplo Internet).

ROUTERS Y BRIDGES

Cuando los paquetes de información viajan entre su destino y origen, vía TCP/IP, estos pasan por diferentes Routers.

Los Routers son dispositivos electrónicos encargados de establecer comunicaciones externas y de convertir los protocolos utilizados en las LAN en protocolos de WAN y viceversa.

TIPOS DE FIREWALL

Filtrado de paquetes

Se utilizan Routers con filtros y reglas basadas en políticas de control de acceso. El Router es el encargado de filtrar los paquetes basados en cualquiera de los siguientes criterios:

1. Protocolos utilizados.
2. Dirección IP de origen y de destino.
3. Puerto TCP–UDP de origen y de destino.

Estos criterios permiten gran flexibilidad en el tratamiento del tráfico. Restringiendo las comunicaciones entre dos computadoras (mediante las direcciones IP) se permite determinar entre cuales máquinas la comunicación está permitida.

Proxy- Gateways de aplicaciones

Para evitar las debilidades asociadas al filtrado de paquetes, los desarrolladores crearon software de aplicación encargados de filtrar las conexiones. Estas aplicaciones son conocidas como Servidores Proxy y la máquina donde se ejecuta recibe el nombre de Gateway de Aplicación o Bastion Host.

Dual-Homed host

Son dispositivos que están conectados a ambos perímetros (interior y exterior) y no dejan pasar paquetes IP (como sucede en el caso del Filtrado de Paquetes), por lo que se dice que actúan con el IP–Forwarding desactivado.

Es decir que se utilizan dos conexiones. Uno desde la máquina interior hasta el Firewall y el otro desde este hasta la máquina que albergue el servicio exterior.

Screened host

En este caso se combina un Router con un host bastión y el principal nivel de seguridad proviene del filtrado de paquetes. En el bastión, el único sistema accesible desde el exterior, se ejecuta el Proxy de aplicaciones y en el Choke se filtran los paquetes considerados peligrosos y sólo se permiten un número reducido de servicios.

Screened subnet

En este diseño se intenta aislar la máquina más atacada y vulnerable del Firewall, el Nodo Bastión. Para ello se establece una Zona Desmilitarizada (DMZ) de forma tal que sin un intruso accede a esta máquina no consiga el acceso total a la subred protegida.

En este esquema se utilizan dos Routers: uno exterior y otro interior. El Router exterior tiene la misión de bloquear el tráfico no deseado en ambos sentidos. El Router interior hace lo mismo con la red interna y la DMZ (zona entre el Router externo y el interno).

Inspeccion de paquetes

Este tipo de Firewalls se basa en el principio de que cada paquete que circula por la red es inspeccionado, así como también su procedencia y destino. Se aplican desde la capa de Red hasta la de Aplicaciones.

Firewalls personales

Estos Firewalls son aplicaciones disponibles para usuarios finales que desean conectarse a una red externa insegura y mantener su computadora a salvo de ataques que puedan ocasionarle desde un simple “cuelgue” o infección de virus hasta la pérdida de toda su información almacenada.

ACCESS CONTROL LISTS (ACL)

Las Listas de Control de Accesos proveen de un nivel de seguridad adicional a los clásicos provistos por los Sistemas Operativos. Estas listas permiten definir permisos a usuarios y grupos concretos.También podrán definirse otras características como limitaciones de anchos de banda y horarios.

WRAPPERS

Un Wrapper es un programa que controla el acceso a un segundo programa. El
Wrapper literalmente cubre la identidad de este segundo programa, obteniendo con esto un
más alto nivel de seguridad.

Los Wrappers son ampliamente utilizados, y han llegado a formar parte de
herramientas de seguridad por las siguientes razones:

• Debido a que la seguridad lógica esta concentrada en un solo programa, los Wrappers son fáciles y simples de validar.
• Debido a que el programa protegido se mantiene como una entidad separada, éste puede ser actualizado sin necesidad de cambiar el Wrapper.
• Debido a que los Wrappers llaman al programa protegido mediante llamadas estándar al sistema, se puede usar un solo Wrapper para controlar el acceso a diversos programas que se necesiten proteger.
• Permite un control de accesos exhaustivo de los servicios de comunicaciones, además de buena capacidad de Logs y auditorias de peticiones a dichos servicios, ya sean autorizados o no.

DETECCIÓN DE INTRUSOS EN TIEMPO REAL

La seguridad se tiene que tratar en conjunto. Este viejo criterio es el que recuerda que los sistemas de protección hasta aquí abordados, si bien son eficaces, distan mucho de ser la protección ideal.

La integridad de un sistema se puede corromper de varias formas y la forma de evitar esto es con la instalación de sistemas de Detección de Intrusos en Tiempo Real, quienes:

• Inspeccionan el tráfico de la red buscando posibles ataques.
• Controlan el registro de los servidores para detectar acciones sospechosas (tanto de intrusos como de usuarios autorizados).
• Mantienen una base de datos con el estado exacto de cada uno de los archivos (Integrity Check) del sistema para detectar la modificación de los mismos.
• Controlan el ingreso de cada nuevo archivo al sistema para detectar Caballos de Troya o semejantes.
• Controlan el núcleo del Sistema Operativo para detectar posibles infiltraciones en él, con el fin de controlar los recursos y acciones del mismo.
• Avisan al administrador de cualquiera de las acciones mencionadas.

INTRUSIÓN DETECTION SYSTEMS (IDS)
Un sistema de detección de intrusos es un componente más dentro del modelo de seguridad de una organización. Consiste en detectar actividades inapropiadas, incorrectas o anómala desde el exterior–interior de un sistema informático.

Los sistemas de detección de intrusos pueden clasificarse, según su función y comportamiento en:

• Host–Based IDS: operan en un host para detectar actividad maliciosa en el mismo.
• Network–Based IDS: operan sobre los flujos de información intercambiados en una red.
• Knowledge–Based IDS: sistemas basados en Conocimiento.
• Behavior–Based IDS: sistemas basados en Comportamiento. Se asume que una intrusión puede ser detectada observando una desviación respecto del comportamiento normal o esperado de un usuario en el sistema.

CALL BACK

Este procedimiento es utilizado para verificar la autenticidad de una llamada vía modem. El usuario llama, se autentifica contra el sistema, se desconecta y luego el servidor se conecta al número que en teoría pertenece al usuario.

SISTEMAS ANTI–SNIFFERS

Esta técnica consiste en detectar Sniffers en el sistema. Generalmente estos programas

se basan en verificar el estado de la placa de red, para detectar el modo en el cual está

actuando (recordar que un Sniffer la coloca en Modo Promiscuo), y el tráfico de datos en ella.

GESTION DE CLAVES “SEGURAS”

Partiendo de la premisa en que no se disponen de esa cantidad de años para analizarlas

por fuerza bruta, se deberá comenzar a probar con las claves más posibles, comúnmente

llamadas Claves Débiles.

Según demuestra el análisis de +NetBuL6 realizado sobre 2.134 cuentas y probando

227.000 palabras por segundo:

• Con un diccionario 2.030 palabras (el original de John de Ripper 1.04), se obtuvieron 36 cuentas en solo 19 segundos (1,77%).
• Con un diccionario de 250.000 palabras, se obtuvieron 64 cuentas en 36:18 minutos (3,15%).

Otro estudio7 muestra el resultado obtenido al aplicar un ataque, mediante un

diccionario de 62.727 palabras, a 13.794 cuentas:

• En un año se obtuvieron 3.340 contraseñas (24,22%).
• En la primera semana se descubrieron 3.000 claves (21,74%).
• En los primeros 15 minutos se descubrieron 368 palabras claves (2,66%).

NORMAS DE ELECCIÓN DE CLAVES

Se debe tener en cuenta los siguientes consejos:

1. No utilizar contraseñas que sean palabras (aunque sean extranjeras), o nombres (el del usuario, personajes de ficción, miembros de la familia, mascotas, marcas, ciudades, lugares, u otro relacionado).
2. No usar contraseñas completamente numéricas con algún significado (teléfono, D.N.I., fecha de nacimiento, patente del automóvil, etc.).
3. Elegir una contraseña que mezcle caracteres alfabéticos (mayúsculas y minúsculas) y numéricos.
4. Deben ser largas, de 8 caracteres o más.
5. Tener contraseñas diferentes en máquinas diferentes. Es posible usar una contraseña base y ciertas variaciones lógicas de la misma para distintas máquinas.
6. Deben ser fáciles de recordar para no verse obligado a escribirlas.

SEGURIDAD EN PROTOCOLOS Y SERVICIOS

Se ha visto en capítulos anteriores la variedad de protocolos de comunicaciones existentes, sus objetivos y su funcionamiento. Como puede preverse todos estos protocolos tienen su debilidad ya sea en su implementación o en su uso.

Netbios

Estos puerto son empleado en las redes Microsoft para la autentificación de usuarios y la compartición de recursos.

ICMP

A fin de prevenir los ataques basados en bombas ICMP, se deben filtrar todos los paquetes de redirección y los paquetes inalcanzables.

Finger

Típicamente el servicio Finger ha sido una de las principales fuentes de problemas. Este protocolo proporciona información detallada de los usuarios de una estación de trabajo, estén o no conectados en el momento de acceder al servicio.

POP

El servicio POP utilizado para que los usuarios puedan acceder a su correo sin necesidad de montar un sistemas de archivos compartidos.

Mediante POP se genera un tránsito peligroso de contraseñas a través de la red.

NNTP

El servicio NNTP se utilizado para intercambiar mensajes de grupos de noticias entre servidores de News.

De esta forma, los servidores NNTP son muy vulnerables a cualquier ataque que permita falsear la identidad de la máquina origen, como el IP Spoofing.

NTP

Es un protocolo utilizado protocolo utilizado para sincronizar relojes de máquinas de una forma muy precisa; a pesar de su sofisticación no fue diseñado con una idea de robustez ante ataques, por lo que puede convertirse en una gran fuente de problemas si no está correctamente configurado.

TFTP

es un protocolo de transferencia de archivos que no proporciona ninguna seguridad. Por tanto en la mayoría de sistemas es deseable (obligatorio) que este servicio esté desactivado.

FTP

Un problema básico y grave de FTP es que ha sido diseñado para

ofrecer la máxima velocidad en la conexión, pero no para ofrecer la seguridad; todo el

intercambio de información, desde el Login y password del usuario en el servidor hasta la

transferencia de cualquier archivo, se realiza en texto claro, con lo que un atacante no tiene

más que capturar todo ese tráfico y conseguir así un acceso válido al servidor.

Telnet

El protocolo TELNET permite utilizar una máquina como terminal virtual de otra a través de la red, de forma que se crea un canal virtual de comunicaciones similar (pero mucho más inseguro) a utilizar una terminal físicamente conectada a un servidor.

SMTP

La mala configuración del servicio SMTP utilizado para transferir correo electrónico entre equipos remotos; suele ser causante del Mail Bombing y el Spam redirigido.

Servidores WWW

Hoy en día las conexiones a servidores web son sin duda las más extendidas entre usuarios de Internet. En la actualidad mueve a diario millones de dólares y es uno de los pilares fundamentales de muchas empresas: es por tanto un objetivo muy atractivo para cualquier intruso.

CRIPTOLOGÍA

En el año 500 a.C. los griegos utilizaron un cilindro llamado “scytale” alrededor del cual enrollaban una tira de cuero. Al escribir un mensaje sobre el cuero y desenrollarlo se veía una lista de letras sin sentido. El mensaje correcto sólo podía leerse al enrollar el cuero nuevamente en un cilindro de igual diámetro.

CRIPTOGRAFÍA

la Criptografía hace años que dejó de ser un arte para convertirse en una técnica (o conjunto de ellas) que tratan sobre la protección (ocultamiento ante personas no autorizadas) de la información.

Es decir que la Criptografía es la ciencia que consiste en transformar un mensaje inteligible en otro que no lo es para después devolverlo a su forma original, sin que nadie que vea el mensaje cifrado sea capaz de entenderlo.

AUTENTIFICACIÓN

Se entiende por Autentificación cualquier método que permita garantizar alguna

característica sobre un objeto dado.Interesa comprobar la autentificación de:

• Mensaje mediante una firma: se debe garantizar la procedencia de un mensaje conocido, de forma de poder asegurar que no es una falsificación. A este mecanismo se lo conoce como Firma Digital y consiste en asegurar que el mensaje m proviene del emisor E y no de otro.
• Usuario mediante una contraseña: se debe garantizar la presencia de un usuario autorizado mediante una contraseña secreta.
• Dispositivo: se debe garantizar la presencia de un dispositivo válido en el sistema, por ejemplo una llave electrónica.

ESTEGANOGRAFÍA

Consiste en ocultar en el interior de información aparentemente inocua, otro tipo de

información (cifrada o no). El texto se envía como texto plano, pero entremezclado con mucha

cantidad de “basura” que sirve de camuflaje al mensaje enviado.

COMERCIO ELECTRÓNICO

El comercio electrónico abarca todos los conceptos relacionados con procesos de mercado entre entidades físicas o jurídicas pero a través de redes de telecomunicaciones. 

El principal requisito que debe tener una transacción electrónica es la Seguridad además de:

• Confidencialidad (anonimato): la identidad del comprador no es conocida por el vendedor; nadie, excepto el banco, debería conocer la identidad del comprador; el banco debería ignorar la naturaleza de la compra y; un tercero no debería poder acceder a la información enviada.
• Autenticación: permite a cada lado de la comunicación asegurarse de que el otro es quien dice ser.
• Integridad: evita que un tercero pueda modificar la información enviada por cualquiera de las partes.
• No Repudio o Irrefutabilidad: permite, a cada lado de la comunicación, probar fehacientemente que el otro lado ha participado: el origen no puede negar haberlo enviado y el destino no puede negar haberlo recibido.
• Flexibilidad: aceptar todas las posibles formas de pago existentes.
• Eficiencia: el costo del servicio no debe ser mayor que el precio del producto o servicio.

SEGURIDAD LÓGICA

La seguridad lógica consiste en la aplicación de barreras y procedimientos que resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo.

Los objetivos que se plantean serán:

1. Restringir el acceso a los programas y archivos.
2. Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no puedan modificar los programas ni los archivos que no correspondan.
3. Asegurar que se estén utilizados los datos, archivos y programas correctos en y por el procedimiento correcto.
4. Que la información transmitida sea recibida sólo por el destinatario al cual ha sido enviada y no a otro.
5. Que la información recibida sea la misma que ha sido transmitida.
6. Que existan sistemas alternativos secundarios de transmisión entre diferentes puntos.
7. Que se disponga de pasos alternativos de emergencia para la transmisión de información.

CONTROLES DE ACCESO

Constituyen una importante ayuda para proteger al sistema operativo de la red, al sistema de aplicación y demás software de la utilización o modificaciones no autorizadas; para mantener la integridad de la información y para resguardar la información confidencial de accesos no autorizados.

Asimismo, es conveniente tener en cuenta otras consideraciones referidas a la

seguridad lógica.

Identificación y autentificación

Es la primera línea de defensa para la mayoría de los sistemas computarizados, permitiendo prevenir el ingreso de personas no autorizadas. Es la base para la mayor parte de los controles de acceso y para el seguimiento de las actividades de los usuarios.

Se denomina Identificación al momento en que el usuario se da a conocer en el

sistema; y Autenticación a la verificación que realiza el sistema sobre esta identificación.

Roles

El acceso a la información también puede controlarse a través de la función o rol del
usuario que requiere dicho acceso.

Transacciones
También pueden implementarse controles a través de las transacciones.

Limitaciones a los servicios

Estos controles se refieren a las restricciones que dependen de parámetros propios de la utilización de la aplicación o preestablecidos por el administrador del sistema.

Modalidad de acceso
Se refiere al modo de acceso que se permite al usuario sobre los recursos y a la información. Esta modalidad puede ser:

• Lectura: el usuario puede únicamente leer o visualizar la información pero no puede alterarla. Debe considerarse que la información puede ser copiada o impresa.
• Escritura: este tipo de acceso permite agregar datos, modificar o borrar información.
• Ejecución: este acceso otorga al usuario el privilegio de ejecutar programas.
• Borrado: permite al usuario eliminar recursos del sistema El borrado es considerado una forma de modificación.
• Creación: permite al usuario crear nuevos archivos, registros o campos.
• Búsqueda: permite listar los archivos de un directorio determinado.

Control de acceso interno

• Palabras claves (passwords).
• Encriptación.
• Listas de control de accesos.
• Limites sobre la interface de usuario.
• Etiquetas de seguridad.

Control de acceso externo

• Dispositivos de control de puertos.
• Firewalls o puertas de seguridad.
• Acceso de personal contratado o consultores.
• Acceso publico.

ADMINISTRACIÓN

Una vez establecidos los controles de acceso sobre los sistemas y la aplicación, es necesario realizar una eficiente administración de estas medidas de seguridad lógica, lo que involucra la implementación, seguimientos, pruebas y modificaciones sobre los accesos de los usuarios de los sistemas.

La política de seguridad que se desarrolle respecto a la seguridad lógica debe guiar a las decisiones referidas a la determinación de los controles de accesos y especificando las consideraciones necesarias para el establecimiento de perfiles de usuarios.

NIVELES DE SEGURIDAD INFORMÁTICA

El estándar de niveles de seguridad mas utilizado internacionalmente es el TCSEC

Orange Book, desarrollado en 1983 de acuerdo a las normas de seguridad en computadoras

del departamento de defensa de los Estados Unidos.

Nivel D
Este nivel contiene sólo una división y está reservada para sistemas que han sido evaluados y no cumplen con ninguna especificación de seguridad.
Los sistemas operativos que responden a este nivel son MS–DOS y System 7.0 de Macintosh.t

Nivel C1: Protección discrecional

Se requiere identificación de usuarios que permite el acceso a distinta información.

• Acceso de control discrecional: distinción entre usuarios y recursos. Se podrán definir grupos de usuarios y grupos de objetos.
• Identificación y Autentificación: se requiere que un usuario se identifique antes de comenzar a ejecutar acciones sobre el sistema.

Nivel C2: Protección de acceso controlado

Este subnivel fue diseñado para solucionar las debilidades del C1. Cuenta con características adicionales que crean un ambiente de acceso controlado. Se debe llevar una auditoria de accesos e intentos fallidos de acceso a objetos.

Nivel B1: Seguridad etiquetada

Soporta seguridad multinivel, como la secreta y ultrasecreta. Se establece que el dueño del archivo no puede modificar los permisos de un objeto que está bajo control de acceso obligatorio.

Nivel B2: Protección estructurada

Requiere que se etiquete cada objeto de nivel superior por ser padre de un objeto inferior. La Protección Estructurada es la primera que empieza a referirse al problema de un objeto a un nivel mas elevado de seguridad en comunicación con otro objeto a un nivel inferior.

Nivel B3: Dominios de seguridad

Refuerza a los dominios con la instalación de hardware: por ejemplo el hardware de administración de memoria se usa para proteger el dominio de seguridad de acceso no autorizado a la modificación de objetos de diferentes dominios de seguridad.

Nivel A: Protección verificada
Es el nivel más elevado, incluye un proceso de diseño, control y verificación, mediante métodos formales (matemáticos) para asegurar todos los procesos que realiza un usuario sobre el sistema

AMENAZAS LÓGICAS

Si extrapolamos este concepto a la seguridad resultaría que todo sistema tiende a su máxima inseguridad. Este principio supone decir:

• Los protocolos de comunicación utilizado carecen, en su mayoría, de seguridad o esta ha sido implementada, tiempo después de su creación, en forma de parche.
• Existen agujeros de seguridad en los sistemas operativos.
• Existen agujeros de seguridad en las aplicaciones.
• Existen errores en las configuraciones de los sistemas.
• Todo sistema es inseguro.

ACCESO-USO-AUTORIZACIÓN

La identificación de estas palabras es muy importante ya que el uso de algunas implica un uso desapropiado de las otras.

Específicamente acceso y hacer uso no son el mismo concepto cuando se estudian desde el punto de vista de un usuario y de un intruso.

DETECCIÓN DE INTRUSOS

A finales de 1996, Dan Farmer (creador de una de las herramientas mas útiles en la detección de intrusos: SATAN) realizo un estudio sobre seguridad analizando 2.203 sistemas de sitios en Internet. Los sistemas objeto del estudio fueron web sites orientados al comercio y con contenidos específicos, ademas de un conjunto de sistemas informáticos aleatorios con los que realizar comparaciones.

IDENTIFICACIÓN DE LAS AMENAZAS

La identificación de amenazas requiere conocer los tipos de ataques, el tipo de acceso, la forma operacional y los objetivos del atacante.
Las consecuencias de los ataques se podrían clasificar en:

• Data Corruption: la información que no contenía defectos pasa a tenerlos.
• Denial of Service (DoS): servicios que deberían estar disponibles no lo están.
• Leakage: los datos llegan a destinos a los que no deberían llegar.

TIPOS DE ATAQUE

A continuación se expondrán diferentes tipos de ataques perpetrados, principalmente,

por Hackers. Estos ataques pueden ser realizados sobre cualquier tipo de red, sistema

operativo, usando diferentes protocolos, etc.

Ingeniera social

Es la manipulación de las personas para convencerlas de que ejecuten acciones o actos que normalmente no realizan para que revele todo lo necesario para superar las barreras de seguridad. Si el atacante tiene la experiencia suficiente, puede engañar fácilmente a un usuario (que desconoce las mínimas medidas de seguridad) en beneficio propio. Esta técnica es una de las más usadas y efectivas a la hora de averiguar nombres de usuarios y passwords.

Ingeniera social inversa

Consiste en la generación, por parte de los intrusos, de una situación inversa a la

originada en Ingeniería Social.

El intruso publicita de alguna manera que es capaz de brindar ayuda a los

usuarios, y estos lo llaman ante algún imprevisto.

Trashing

Generalmente, un usuario anota su login y password en un papelito y luego, cuando lo recuerda, lo arroja a la basura. Este procedimiento por más inocente que parezca es el que puede aprovechar un atacante para hacerse de una llave para entrar el sistema.

Ataques de monitorización

Este tipo de ataque se realiza para observar a la victima y su sistema, con el objetivo de obtener información, establecer sus vulnerabilidades y posibles formas de acceso futuro.

• Shoulder surfing: Consiste en espiar físicamente a los usuarios para obtener el login y su password correspondiente. El Surfing explota el error de los usuarios de dejar su login y password anotadas cerca de la computadora (generalmente en post–it adheridos al monitos o teclado).
• Decoy: Son programas diseñados con la misma interface que otro original. En ellos se imita la solicitud de un logeo y el usuario desprevenido lo hace. Luego, el programa guardará esta información y dejará paso a las actividades normales del sistema. La información recopilada será utilizada por el atacante para futuras visitas.
• Scanning: El Scaneo, como método de descubrir canales de comunicación susceptibles de ser explotados, lleva en uso mucho tiempo. La idea es recorrer (scanear) tantos puertos de escucha como sea posible, y guardar información de aquellos que sean receptivos o de utilidad para cada necesidad en particular.
• Eavesdropping-Packet sniffing: Muchas redes son vulnerables al Eavesdropping, o a la pasiva intercepción (sin modificación) del tráfico de red. Esto se realiza con Packet Sniffers, los cuales son programas que monitorean los paquetes que circulan por la red.
• Snooping-Downloading: Los ataques de esta categoría tienen el mismo objetivo que el Sniffing: obtener la información sin modificarla.

Ataques de autentificación 

Este tipo de ataque tiene como objetivo engañar al sistema de la víctima para ingresar al mismo. Generalmente este engaño se realiza tomando las sesiones ya establecidas por la víctima u obteniendo su nombre de usuario y password.

• Spoofing-looping: Es conseguir el nombre y password de un usuario legítimo para, una vez ingresado al sistema, tomar acciones en nombre de él. El intruso usualmente utiliza un sistema para obtener información e ingresar en otro, y luego utiliza este para entrar en otro, y así sucesivamente. Este proceso, llamado Looping, tiene la finalidad de “evaporar” la identificación y la ubicación del atacante.
• Spoofing: Este tipo de ataques (sobre protolocos) suele implicar un buen conocimiento del protocolo en el que se va a basar el ataque. Los ataques tipo Spoofing bastante conocidos son el IP Spoofing, el DNS Spoofing y el Web Spoofing.
• Web spoofing: En el caso Web Spoofing el atacante crea un sitio web completo (falso) similar al que la víctima desea entrar. Los accesos a este sitio están dirigidos por el atacante, permitiéndole monitorear todas las acciones de la víctima, desde sus datos hasta las passwords, números de tarjeta de créditos, etc.
• IP Splicing-Hijacking: Se produce cuando un atacante consigue interceptar una sesión ya establecida. El atacante espera a que la victima se identifique ante el sistema y tras ello le suplanta como usuario autorizado.
• Utilización de exploits: Es muy frecuente ingresar a un sistema explotando agujeros en los algoritmos de encriptación utilizados, en la administración de las claves por parte la empresa, o simplemente encontrando un error en los programas utilizados.
• Obtención de passwords: Este método comprende la obtención por “Fuerza Bruta” de aquellas claves que permiten ingresar a los sistemas, aplicaciones, cuentas, etc. atacados.

DENIAL OF SERVICE

Los protocolos existentes actualmente fueron diseñados para ser empleados en una

comunidad abierta y con una relación de confianza mutua. La realidad indica que es más fácil

desorganizar el funcionamiento de un sistema que acceder al mismo; así los ataques de

Negación de Servicio tienen como objetivo saturar los recursos de la víctima de forma tal que

se inhabilita los servicios brindados por la misma.

CREACIÓN Y DIFUSIÓN DE VIRUS

Quizás uno de los temas más famosos y sobre los que más mitos e historias fantásticas se corren en el ámbito informático sean los Virus.

Pero como siempre en esta obscura realidad existe una parte que es cierta y otra que no lo es tanto.

VIRUS INFORMÁTICOS VS VIRUS BIOLÓGICOS

Para notarlas ante todo debemos saber con exactitud que es un Virus Informático y que es un Virus Biológico.

Virus Informático

Pequeño programa, invisible para el usuario (no detectable por el sistema operativo) y de actuar específico y subrepticio, cuyo código incluye información suficiente y necesaria para que, utilizando los mecanismos de ejecución que le ofrecen otros programas a través del microprocesador, puedan reproducirse formando réplicas de sí mismos.

Virus Biológico

Fragmentos de ADN o ARN cubiertos de una capa proteica. Se reproducen solo en el interior de células vivas, para lo cual toman el control de sus enzimas y metabolismo. Sin esto son tan inertes como cualquier otra macromolécula.

SEGURIDAD FÍSICA

La seguridad física consiste en la aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial. Se refiere a los controles y mecanismos de seguridad dentro y alrededor del centro de computo así como los medios de acceso remoto al y desde el mismo.

TIPOS DE DESASTRES

Este tipo de seguridad esta enfocado a cubrir las amenazas ocasionadas tanto por el hombre como por la naturaleza del medio físico en que se encuentra ubicado el centro.

Las principales amenazas que se prevén en la seguridad física son:

• Desastres naturales, incendios accidentales tormentas e inundaciones.
• Amenazas ocasionadas por el hombre.
• Disturbios, sabotajes internos y externos deliberados.

A continuación se analizan los peligros mas importantes que se corren en un centro de procesamiento, con el objetivo de mantener una serie de acciones a seguir en forma eficaz y oportuna para la prevención.

INCENDIOS

Los incendios son causados por el uso inadecuado de combustibles, fallas de instalaciones eléctricas defectuosas y el inadecuado almacenamiento y traslado de sustancias peligrosas.

El fuego es una de las principales amenazas contra la seguridad. Es considerado el enemigo numero uno de las computadoras ya que puede destruir fácilmente los archivos de información y programas.

INUNDACIONES

Se las define como la invasión de agua por exceso de escurrimientos superficiales o por acumulación en terrenos planos, ocasionada por falta de drenaje ya sea natural o artificial. Esta es una de las causas de mayores desastres en centros de cómputos.

Ademas puede existir la posibilidad de una inundación provocada por la necesidad de apagar un incendio en un piso superior.

TERREMOTOS

Estos fenómenos sísmicos pueden ser tan poco intensos que solamente instrumentos muy sensibles los detectan o tan intensos que causan la destrucción de edificios y hasta la perdida de vidas humanas.

INSTALACIÓN ELÉCTRICA

Trabaja con computadoras implica trabajar con electricidad. Por lo tanto esta una de las principales áreas a considerar en la seguridad física. Ademas, es una problemática que abarca desde el usuario hogareño hasta la gran empresa.

Picos y ruidos electromagnéticos

Las subidas(picos) y caídas de tensión no son el único problema eléctrico al que se han de enfrentar los usuarios. También esta el tema del ruido que interfiere en el funcionamiento de los componentes electrónicos.

Cableado

Los riesgos mas comunes para el cableado se pueden resumir en los siguientes:

• Interferencia.
• Corte del cable.
• Daños en el cable.

Sistemas de aire acondicionado

Se debe proveer un sistema de calefacción  ventilación y aire acondicionado separado, que se dedique al cuarto de computadoras y equipos de proceso de datos en forma exclusiva.

ERGOMETRÍA

La Ergonomía es una disciplina que se ocupa de estudiar la forma en que interactúa el cuerpo humano con los artefactos y elementos que lo rodean, buscando que esa interacción sea lo menos agresiva y traumática posible.

Trastornos óseos y/o musculares

Una de las maneras de provocar una lesión ósea o muscular es obligar al cuerpo a ejecutar movimientos repetitivo y rutinario, y esta posibilidad se agrava enormemente si dichos movimientos se realizan en una posición incorrecta o antinatural.

Trastornos visuales

La pantalla es una fuente de luz que incide directamente sobre el ojo del operador, provocando, luego de exposiciones prolongadas el típico cansancio visual, irritación y lagrimeo, cefalea y visión borrosa.

Ambiente Luminoso

Una iluminación deficiente provoca dolores de cabeza y perjudica a los ojos.

Ambiente climático

En cuanto al ambiente climático, la temperatura de una oficina con computadoras debe estar comprendida entre 18 y 21 °C y la humedad relativa del aire debe estar comprendida entre el 45% y el 65%.

ACCIONES HOSTILES

Robo
La información importante o confidencial puede ser fácilmente copiada.El software, es una propiedad muy fácilmente sustraíble y las cintas y discos son  fácilmente copiados sin dejar ningún rastro.

Fraude

Cada año, millones de dolares son sustraídos de empresas y, en muchas ocasiones, las computadoras han sido utilizadas como instrumento para dichos fines.

Sabotaje
El peligro mas temido en los centros de procesamiento de datos, es el sabotaje, han encontrado que la protección contra el saboteador es uno de los retos mas duros. Este puede ser un empleado o un sujeto ajeno a la propia empresa.

CONTROL DE ACCESOS

El control de acceso no solo requiere la capacidad de identificación  sino también asociarla a la apertura o cerramiento de puertas, o negar acceso basado en restricciones de tiempo, área o sector dentro de una empresa o institución.

Utilización de guardias

Control de personas: El servicio de vigilancia es le encargado del control de acceso de todas las personas al edificio.

Control de vehículos: Para controlar el ingreso y egreso de vehículos, el personal de vigilancia debe asentar en una planilla los datos personales de los ocupantes del vehículo.

Utilización de detectores de metales

El detector de metales es un elemento sumamente practico para la revisión de personas, ofreciendo grandes ventajas sobre el sistema de palpación manual.

Utilización de sistemas biométricos

Definimos a la biometía como la parte de la biología que estudia en forma cuantitativa la variabilidad individual de los seres vivos utilizando métodos estadísticos.

La forma de identificación consiste en la comparación de características físicas de cada persona con un patrón conocido y almacenado en una base de datos.

Verificación automática de firmas (VAF)

Es posible para un falsificador producir una buena copia visual o facsímil  es extremadamente difícil reproducir las dinamicas de una persona: por ejemplo la firmar genuina con exactitud

AMENAZAS HUMANAS

Desde los primeros albores del haking siempre se ha mantenido una extraña relación entre particulares personajes, lo legal, lo ético lo moral, siendo estas características lo que intentan resaltar resaltar para esclarecer la diferencia entre uno de los clanes existentes en la red.

PATAS DE PALO Y PARCHES

Se mueven en una delgada e indefinida barrera que separa lo legal de lo ilegal. Las instituciones y multinacionales del software les temen, la policía los persigue y hay quien los busca para contratarlos.

La policía quiere creer que todos los hackers son ladrones. Es una acción tortuosa y casi insoportable por parte del sistema judicial, poner a la gente en la cárcel  simplemente porque quieren aprender cosas que les están prohibido saber.

La palabra inglesa hack literalmente significa golpear o hachear y proviene de los tiempos en que los técnicos en telefonía "arreglaban" algunas maquinas con un golpe seco y certero, es decir que estos técnicos eran Hackers.

En la MIT(Massachusetts Institute of Technology) existen diferentes grupos con intereses especiales, fraternidades y similares que cada año intenta reclutar los nuevos estudiantes para sus filas.

LA ACTITUD DEL HACKER

Como en las artes creativas, el modo mas efectivo de transformase en maestro es imitar la mentalidad de los maestros no solo intelectualmente, sino ademas emocionalmente.

Se debería aprender a puntuase, principalmente  en funcione de lo que los otros hackers piensan acerca de las habilidades obtenidas(este es el motivo por el cual no se puede ser un hacker de verdad hasta que otros hackers lo denominen así de manera cociente).

El estatus y reputación se gana no mediante la dominen de otras personas, no por ser hermoso/a, ni por tener cosas que las otras personas desean sino por donar cosas: específicamente su tiempo, su creatividad y el resultado de sus habilidades.

CRACKERS

Los  Crackers, son hackers que tiene fines maliciosos o de venganza  quiere demostrar sus habilidades pero de la manera equivocada o hacen daño solo por diversión.

PHREAKERS

El Phreakers, es la actividad por medio de ciertos conocimientos y herramientas, pueden engañar a las compañías telefónicas para que esta no cobren las llamadas que hacen.

DESAFÍOS DE UN HACKER

Un hacker siente un estremecimiento de tipo primitivo cuando resuelve un problema, agudiza sus habilidades, y ejercita su inteligencia.

Los hacker no deberían ser sometidas a trabajos rutinarios, significa que no están resolviendo nuevos problemas.

Tener la actitud para ser hacker no alcanza. Para transformarse en hacker necesitara inteligencia , practica, dedicación y trabajo pesado.

OTROS HABITANTES DEL CIBERESPACIO

Gurús

Son considerados los maestros y los encargados de formar a los futuros hackers. Generalmente no están activos pero son importancia de sus hackeos.

Lamers o Script-kidders

Son aficionados jactosos. Prueban todos los programas que llegan a sus manos. Generalmente son los responsa bles de soltar virus y bombas lógicas en la red solo con el fin de molestar.

Copyhackers

Literalmente son falsificadores sin escrúpulos que comercializan todo lo copiado o robado.

Bucaneros

Son comerciantes sucios que vende los productos crackeados por otros. Generalmente comercian con tarjetas de crédito y de acceso y compran a los copyhackers.

Newbie

Son los novatos del hacker. Se introducen en sistemas de fácil acceso y fracasan en muchos intentos, solo con el objetivo de aprender las técnicas.

Wannaber

Es aquella persona que desea ser hacker pero esto consideran que su coeficiente no da para tal fin.

Samurai

Son lo mas parecido a una amenaza pura. Sabe lo que busca, donde encontrarlo y como lograrlo. hace su trabajo por encargo y a cambio de dinero. Estos personajes, a diferencia de los anteriores, no tienen conciencia de comunidad y no forman parte de los clanes reconocidos por los hackers. Se basan en el principio de que cualquiera puede ser atacado y saboteado.

Piratas informáticos
Este personaje(generalmente confundido con el hacker) es el realmente peligroso, ya que copia soportes audiovisuales(discos compactos,cassettes, DVD, etc.) y los vende ilegalmente.

Creadores de virus
Si de daños y mala fama se trata estos personajes se llevan todos los premios. Aquí una vez mas, se debe hacer la diferencia entre los creadores: que se consideran a si mismos desarrolladores de software; y los que infectan los sistemas con los virus creados. 

INTRUSOS REMUNERADOS

Este es, sin duda, el grupo de atacantes mas peligroso. Se trata de crackers o piratas con grandes conocimientos y experiencia, pagados por una tercera parte para robar "secretos"(códigos fuente de programas, bases de datos de datos de clientes, información confidencial de satélites, diseño de u nuevo producto, etc.) o simplemente para dañar, de alguna manera la imagen de la entidad atacada.

RECOMENDACIONES

Para minimizar el daño que un atacante interno puede causar se pueden segur estos principios fundamentales:

• Necesidad de conocimiento: que solo se le debe permitir que sepa lo necesario para realizar su trabajo.
• Conocimiento parcial(dual control): las actividades mas delicadas dentro de la organización deben ser realizadas por dos personas competentes.
• Rotación de funciones: la mayor amenaza del conocimiento parcial de tareas es la complicidad de dos responsables, de forma tal, que se pueda  ocultar sendas violaciones a la seguridad.
• Separación de funciones: es necesario que definan y separen correctamente las funciones de cada persona.
• Cancelación inmediata de cuenta: cuando un empleado abandona la organizacion se  debe cancelar inmediatamente el acceso a sus antiguos recursos y cambiar las claves que el usuario conocía.