|
Seguridad
Informática
 Un sistema se vuelve
inseguro simplemente con el mero hecho de encenderlo". Esta frase,
atribuida a Gene Spafford, experto en seguridad, resume muy bien la
posibilidad de que un sistema informático sea seguro. "El único
sistema totalmente seguro sería uno que estuviese apagado, desconectado de
cualquier red, metido dentro de una caja fuerte de titanio, rodeado de gas
y vigilado por unos guardias armados insobornables. Aún así yo no
apostaría mi vida por él ", dice Spafford.
Desde el momento en que el
gusano de Robert T. Morris en 1988 dejó paralizados a miles de ordenadores
en la red, el tema de la seguridad en sistemas operativos y redes ha sido
un factor a tener muy en cuenta por cualquier responsable o administrador
de sistemas informáticos. Poco después de este incidente, y a la vista de
los potenciales peligros que podía entrañar un fallo o un ataque a los
sistemas informáticos estadounidenses (en general, a los sistemas de
cualquier país) la agencia DARPA ( Defense Advanced Research Projects
Agency) creó el CERT ( Computer Emergency Response Team), un
grupo formado en su mayor parte por voluntarios cualificados de la
comunidad informática, cuyo objetivo principal es facilitar una respuesta
rápida a los problemas de seguridad que afecten a hosts de
Internet.
Han pasado más
de diez años desde la creación del primer CERT, y cada día se hace patente
la preocupación por los temas relativos a la seguridad en la red y sus
equipos, y también se hace patente la necesidad de esta seguridad. Los
piratas de antaño casi han desaparecido, dando paso a nuevas generaciones
de intrusos que forman grupos como Chaos Computer Club o Legion
of Doom, organizan encuentros como el español Iberhack, y editan
revistas o zines electrónicos ( 2600: The Hacker's Quartely
o Phrack son quizás las más conocidas, pero no las únicas). Todo
esto con un objetivo principal: compartir conocimientos. Si hace unos años
cualquiera que quisiera adentrarse en el mundo underground casi no
tenía más remedio que conectar a alguna BBS donde se tratara el tema,
generalmente con una cantidad de información muy limitada, hoy en día
tiene a su disposición gigabytes de información electrónica publicada en
Internet; cualquier aprendiz de pirata puede conectarse a un servidor
web, descargar un par de programas y ejecutarlos contra un servidor
desprotegido... con un poco de (mala) suerte, esa misma persona puede
conseguir un control total sobre un servidor Unix de varios millones de
pesetas, probablemente desde su PC con Windows 98 y sin saber nada sobre
Unix.
La seguridad informática es la
encargada de proteger el ordenador y todo lo relacionado con él, proteger
la información. Cuando se habla de seguridad informática se suele
relacionar con accesos no autorizados a ordenadores para obtener
información, demostrar fallos de seguridad, destruir información, por
venganza, espionaje, etc. Hay otros peligros para la información, que son
de carácter interno, como errores humanos, la falta de una política de
seguridad, inexistencia de copias de seguridad o tener passwords
compartidas. Con esto, podemos mirar la seguridad de un sistema
informático desde dos puntos de vista:
 Interior: Hay que
impedir a los usuarios internos incumplir las normas |
| Exterior: Se debe
impedir el acceso a usuarios exteriores no
autorizados. |
Nos centraremos en la seguridad
exterior.
Los protocolos de red fueron
construidos para que fueran sencillos y simples y así no poseen mecanismos
de seguridad, y desde el punto y hora que Internet es una red de
ordenadores interconectados entre sí, con millones de ficheros publicados,
la información en principio es accesible para todo el mundo. Tenemos una
falta de infraestructura de seguridad y también tenemos que la utilización
de Internet no siempre se orienta hacia todos los usuarios de la red, así
que debemos implementar esos mecanismos de seguridad para poder restringir
el acceso a determinadas personas, a determinados ordenadores o autorizar
el acceso a unos pocos. Las restricciones que se pueden hacer se basan o
bien en direcciones IP o dominios, o en nombres de usuario y
claves.
| En la restricción por
direcciones IP o dominios sólo los que soliciten la
información desde una determinada dirección IP o desde un dominio en
concreto podrán acceder. |
| Si la restricción se
hace por nombre de usuario y clave sólo el que
tenga nombre de usuario y su correspondiente clave podrá
acceder. |
Para controlar el acceso por
direcciones IP o dominios, el método varía según el entorno en el que
trabaje el servidor, pero suele suceder que se definan en un fichero las
restricciones para los archivos (los servidores NCSA, Apache y CERN así lo
hacen). Cuando alguien no autorizado intenta acceder a la información
vetada, tras la comprobación en el fichero de las restricciones, el
servidor devuelve el código 401 asociado al error por falta de permisos
para efectuar la operación. Si se intenta acceder a un servidor con
información restringida por nombre de usuario y contraseña, el servidor
enviará a la máquina cliente la solicitud de login y
password, que una vez introducidos se enviarán al servidor para
su comprobación. Si son válidos se podrá acceder a la información, y si no
lo son, evidentemente, la petición de información será denegada. Al viajar
los datos (login y passwd) a través de la red, pasarán
por unas cuantas máquinas antes de llegar al destino. Ahí radica la
importancia de enviar la información de una manera segura, es decir,
encriptada, ya que de lo contrario se estará expuesto a que alguna persona
o programa vigilante (sniffer) detecte que se está enviando una clave, la
intercepte y pueda acceder a información o recursos para los que no está
autorizado. Esto será especialmente grave cuando se maneje información
importante o se estén realizando transferencias económicas.
Si bien en un principio la
Red no estaba diseñada para esta función, ni se pensó en los orígenes que
esto pudiera llegar, es cierto en este momento que las transacciones
económicas a través de Internet están cobrando cada día más fuerza. Desde
las pequeñas compras de software on-line a grandes transacciones
bancarias, pasando por compras de artículos de todo tipo en centros
comerciales virtuales, la Red está dando soporte a empresas ávidas de
explotar un mercado todavía en bruto y sin la confianza mayoritaria de los
usuarios, desconfiados, tal vez, de la seguridad que puede tener ofrecer
por Internet su número de tarjeta de crédito. Es en este punto cuando
entran en juego tres conceptos vitales para el comercio
electrónico:
| La
autentificación es el mecanismo necesario para
comprobar que tanto el usuario del servicio (comprador) y el
servidor (vendedor) son, realmente, los que dicen ser. |
| La
confidencialidad debe garantizar que los datos que
se envían en los formularios de la transacción sólo serán
visualizados por usuario y servidor; que nadie, en un paso
intermedio podrá tener acceso a dicha información. |
| La
integridad de los datos enviados. El servidor ha de
estar seguro de que los datos recibidos son idénticos a los
enviados, es decir, que no han sido modificados por el
camino. |
Precisamente
pensando en este auge del comercio electrónico se crearon las
autoridades de certificación, que son unos organismos que expiden
los llamados certificados, que son unos documentos virtuales en
los que consta la identidad y la llave pública de una determinada empresa.
El cliente, al establecer una conexión segura con el servidor de la
empresa (https), puede acudirse a una de estas entidades de certificación
para verificar su identidad. Una de las autoridades de certificación más
conocidas es Verisign. |
