Seguridad

Cuestiones de seguridad informática

Seguridad
Informática		 Criptografía Fallos de
seguridad		 Hackers y
crackers		 Virus

Seguridad Informática

Un sistema se vuelve inseguro simplemente con el mero hecho de encenderlo". Esta frase, atribuida a Gene Spafford, experto en seguridad, resume muy bien la posibilidad de que un sistema informático sea seguro. "El único sistema totalmente seguro sería uno que estuviese apagado, desconectado de cualquier red, metido dentro de una caja fuerte de titanio, rodeado de gas y vigilado por unos guardias armados insobornables. Aún así yo no apostaría mi vida por él ", dice Spafford.

Desde el momento en que el gusano de Robert T. Morris en 1988 dejó paralizados a miles de ordenadores en la red, el tema de la seguridad en sistemas operativos y redes ha sido un factor a tener muy en cuenta por cualquier responsable o administrador de sistemas informáticos. Poco después de este incidente, y a la vista de los potenciales peligros que podía entrañar un fallo o un ataque a los sistemas informáticos estadounidenses (en general, a los sistemas de cualquier país) la agencia DARPA ( Defense Advanced Research Projects Agency) creó el CERT ( Computer Emergency Response Team), un grupo formado en su mayor parte por voluntarios cualificados de la comunidad informática, cuyo objetivo principal es facilitar una respuesta rápida a los problemas de seguridad que afecten a hosts de Internet.

Han pasado más de diez años desde la creación del primer CERT, y cada día se hace patente la preocupación por los temas relativos a la seguridad en la red y sus equipos, y también se hace patente la necesidad de esta seguridad. Los piratas de antaño casi han desaparecido, dando paso a nuevas generaciones de intrusos que forman grupos como Chaos Computer Club o Legion of Doom, organizan encuentros como el español Iberhack, y editan revistas o zines electrónicos ( 2600: The Hacker's Quartely o Phrack son quizás las más conocidas, pero no las únicas). Todo esto con un objetivo principal: compartir conocimientos. Si hace unos años cualquiera que quisiera adentrarse en el mundo underground casi no tenía más remedio que conectar a alguna BBS donde se tratara el tema, generalmente con una cantidad de información muy limitada, hoy en día tiene a su disposición gigabytes de información electrónica publicada en Internet; cualquier aprendiz de pirata puede conectarse a un servidor web, descargar un par de programas y ejecutarlos contra un servidor desprotegido... con un poco de (mala) suerte, esa misma persona puede conseguir un control total sobre un servidor Unix de varios millones de pesetas, probablemente desde su PC con Windows 98 y sin saber nada sobre Unix.

La seguridad informática es la encargada de proteger el ordenador y todo lo relacionado con él, proteger la información. Cuando se habla de seguridad informática se suele relacionar con accesos no autorizados a ordenadores para obtener información, demostrar fallos de seguridad, destruir información, por venganza, espionaje, etc. Hay otros peligros para la información, que son de carácter interno, como errores humanos, la falta de una política de seguridad, inexistencia de copias de seguridad o tener passwords compartidas. Con esto, podemos mirar la seguridad de un sistema informático desde dos puntos de vista:

Interior: Hay que impedir a los usuarios internos incumplir las normas
Exterior: Se debe impedir el acceso a usuarios exteriores no autorizados.

Nos centraremos en la seguridad exterior.

Los protocolos de red fueron construidos para que fueran sencillos y simples y así no poseen mecanismos de seguridad, y desde el punto y hora que Internet es una red de ordenadores interconectados entre sí, con millones de ficheros publicados, la información en principio es accesible para todo el mundo. Tenemos una falta de infraestructura de seguridad y también tenemos que la utilización de Internet no siempre se orienta hacia todos los usuarios de la red, así que debemos implementar esos mecanismos de seguridad para poder restringir el acceso a determinadas personas, a determinados ordenadores o autorizar el acceso a unos pocos. Las restricciones que se pueden hacer se basan o bien en direcciones IP o dominios, o en nombres de usuario y claves.

En la restricción por direcciones IP o dominios sólo los que soliciten la información desde una determinada dirección IP o desde un dominio en concreto podrán acceder.
Si la restricción se hace por nombre de usuario y clave sólo el que tenga nombre de usuario y su correspondiente clave podrá acceder.

Para controlar el acceso por direcciones IP o dominios, el método varía según el entorno en el que trabaje el servidor, pero suele suceder que se definan en un fichero las restricciones para los archivos (los servidores NCSA, Apache y CERN así lo hacen). Cuando alguien no autorizado intenta acceder a la información vetada, tras la comprobación en el fichero de las restricciones, el servidor devuelve el código 401 asociado al error por falta de permisos para efectuar la operación. Si se intenta acceder a un servidor con información restringida por nombre de usuario y contraseña, el servidor enviará a la máquina cliente la solicitud de login y password, que una vez introducidos se enviarán al servidor para su comprobación. Si son válidos se podrá acceder a la información, y si no lo son, evidentemente, la petición de información será denegada. Al viajar los datos (login y passwd) a través de la red, pasarán por unas cuantas máquinas antes de llegar al destino. Ahí radica la importancia de enviar la información de una manera segura, es decir, encriptada, ya que de lo contrario se estará expuesto a que alguna persona o programa vigilante (sniffer) detecte que se está enviando una clave, la intercepte y pueda acceder a información o recursos para los que no está autorizado. Esto será especialmente grave cuando se maneje información importante o se estén realizando transferencias económicas.

Si bien en un principio la Red no estaba diseñada para esta función, ni se pensó en los orígenes que esto pudiera llegar, es cierto en este momento que las transacciones económicas a través de Internet están cobrando cada día más fuerza. Desde las pequeñas compras de software on-line a grandes transacciones bancarias, pasando por compras de artículos de todo tipo en centros comerciales virtuales, la Red está dando soporte a empresas ávidas de explotar un mercado todavía en bruto y sin la confianza mayoritaria de los usuarios, desconfiados, tal vez, de la seguridad que puede tener ofrecer por Internet su número de tarjeta de crédito. Es en este punto cuando entran en juego tres conceptos vitales para el comercio electrónico:

La autentificación es el mecanismo necesario para comprobar que tanto el usuario del servicio (comprador) y el servidor (vendedor) son, realmente, los que dicen ser.
La confidencialidad debe garantizar que los datos que se envían en los formularios de la transacción sólo serán visualizados por usuario y servidor; que nadie, en un paso intermedio podrá tener acceso a dicha información.
La integridad de los datos enviados. El servidor ha de estar seguro de que los datos recibidos son idénticos a los enviados, es decir, que no han sido modificados por el camino.

Precisamente pensando en este auge del comercio electrónico se crearon las autoridades de certificación, que son unos organismos que expiden los llamados certificados, que son unos documentos virtuales en los que consta la identidad y la llave pública de una determinada empresa. El cliente, al establecer una conexión segura con el servidor de la empresa (https), puede acudirse a una de estas entidades de certificación para verificar su identidad. Una de las autoridades de certificación más conocidas es Verisign.

ini2.gif (2525 bytes)

Para cualquier mensaje, sugerencia o comentario, por favor, escríbanme a:

letto@iname.com

(c) Carlos Díaz-Pache 1999-2000. Todos los derechos reservados.

Visite el Ranking de los mejores sitios de la Web