UNIVERSIDAD CATÓLICA DE CUENCA UNIDAD ACADÉMICA DE INGENIERÍA DE SISTEMAS ELÉCTRICA Y ELECTRÓNICA FACULTAD DE INGENIERÍA DE SISTEMAS “ESQUEMAS DE PROTECCIÓN EN SISTEMAS INFORMÁTICOS ANTE ATAQUES EXTERNOS” TRABAJO DE INVESTIGACIÓN PREVIO A LA OBTENCIÓN DEL TÍTULO DE INGENIERO EN SISTEMAS AUTOR: JOSÉ LUIS VASQUEZ BUSTOS DIRECTOR: ING. DIEGO CORDERO CUENCA - ECUADOR 2011 1 HOJA DE APROBACIÓN ING. DIEGO CORDERO CERTIFICA: Haber dirigido y revisado prolijamente cada uno de los capítulos investigación de del presente tema: trabajo “ESQUEMAS de DE PROTECCIÓN EN SISTEMAS INFORMÁTICOS ANTE ATAQUES EXTERNOS”, realizado por el Tnlg. José Luis Vásquez Bustos, y por cumplir todos los requisitos, autorizo su presentación. Cuenca, 2 de Mayo de 2011. ………………………………….. Ing. Diego Cordero DIRECTOR 2 RESPONSABILIDAD Todos los criterios vertidos en el presente trabajo de investigación, son de exclusiva responsabilidad de su autor. ………………………………….. Tnlg. José Luis Vásquez Bustos 3 Dedicatoria A mis queridos Padres, por el apoyo, comprensión y todo el cariño que me han brindado en estos años de estudio, y a través de mí vida. Tnlg. José Luis Vásquez Bustos 4 Agradecimiento A la Universidad Católica de Cuenca, por permitirme formarme y forjar mi futuro profesional dentro de tan prestigiosa institución educativa. Al Ing. Diego Cordero, por brindarme sus sabios consejos y su guía a través del desarrollo de esta investigación. 5 ÍNDICE Portada……………………………………………………………………………….I Hoja de Aprobación………………………………………………………………. II Responsabilidad…………………………………………………………………..III Dedicatoria…………………………………………………………………………IV Agradecimiento…………………………………………………………………….V Índice……………………………………………………………………………….VI Introducción…………………………………………………………………………1 CAPÍTULO I INFRAESTRUCTURA DE LAS TIC’S 1. Red…………………………………………………………………………..3 1.1.- ¿Qué son las redes?...............................................................................3 1.2.- Clases de Redes…………………………………………………………….9 2. Hardware………………………………………………………………….12 2.1.- ¿Qué es el Hardware?..........................................................................12 2.2.- Componentes del Hardware……………………………………………...13 3. Software…………………………………………………………………...19 3.1.- ¿Qué es el Software?............................................................................19 3.2.- Componentes del Software……………………………………………….19 4. Cloud Computing………………………………………………………...22 4.1.- Definición…………………………………………………………………...22 CAPÍTULO II ATAQUES EXTERNOS 1. Hackers…………………………………………………………………....30 1.1.- ¿Qué es el Hackers?............................................................................30 2. Crakers……………………………………………………………………31 2.1.- Definición…………………………………………………………………..31 6 3. Lammers…………………………………………………………..………31 3.1.- Diferencias con los Hackers…………………………………………...…31 4. Copyhackers……………………………………………………………...32 4.1.- Formas de ataque………………………………………………………….32 5. Bucaneros………………………………………………………………...33 5.1.- ¿Qué son los bucaneros?.....................................................................33 6. Phreakers………………………………………………………………....33 6.1. ¿Cómo atacan al sistema informático?..............................................33 CAPÍTULO III HERRAMIENTAS DE PROTECCIÓN 1. Firewall……………………………………………………………………53 2. Proxies…………………………………………………………………….63 3. Detección de Intrusos (IDS)…………………………………………….67 4. Actualización Software………………………………………………….70 5. Control de sistemas de integridad de servidores…………………….70 CAPÍTULO IV POLÍTICAS INFORMÁTICAS DE PROTECCIÓN 1. Qué son las Políticas Informáticas de Protección………..…………..72 2. Objetivos de la Seguridad Informática………………………...………73 3. Alcance de las Políticas de la Seguridad……………………………..74 4. Análisis de las razones que impiden la aplicación de Políticas de Seguridad Informática……………………………………75 CAPÍTULO V CONCLUSIONES Y RECOMENDACIONES 1. Conclusiones…………………………………………………………….78 2. Recomendaciones………………………………………………………80 3. Bibliografía………………………………………………………………..82 7 INTRODUCCIÓN La seguridad informática ha tomado gran auge, debido a las cambiantes condiciones y nuevas plataformas tecnológicas disponibles. La posibilidad de interconectarse a través de redes, a abierto nuevos horizontes a las empresas para mejorar su productividad y poder explorar más allá de las fronteras nacionales, lo cual logicamente ha traido consigo, la aparición de nuevas amenazas para los sistemas de información. Estos riesgos que se enfrentan han llevado a que se desarrolle un documento de directrices que orientan en el uso adecuado de estas destrezas tecnológicas y recomendaciones para obtener el mayor provecho de estas ventajas, y evitar el uso indebido de las mismas, lo cual puede ocasionar serios problemas a los bienes, servicios y operaciones de cualquier sistema informático personal o empresarial. En este sentido, las políticas de seguridad informática definidas partiendo desde el análisis de los riesgos a los que se encuentra propenso cualquier sistema informático, surgen como una herramienta para concienciar a los usuarios sobre la importancia y sensibilidad de la información y servicios críticos que pueden atacar el sistema. Ante esta situación, el proponer una política de seguridad requiere un alto compromiso con la organización, agudeza técnica para establecer fallas y debilidades en su aplicación, y constancia para renovar y actualizar dicha política. 8 La presente investigación denominada “Esquemas de Protección en Sistemas Informáticos ante ataques externos”, consta de cinco capítulos: En el primer capítulo he procedido al análisis de la Infraestructura de las TIC’s, definiendo lo que son las redes, hardware, software y cloud computing. Para el segundo capítulo, realicé el estudio de los ataques externos, entre los cuáles estudié los hackers, crakers, lammers, copyhackers, bucaneros, phereakers, así como también un análisis sobre los principales ataques que pueden darse como Ping de la Muerte, Phishing, etc. Dentro del tercer capítulo, he realizado el estudio de las herramientas de protección entre las cuáles encontramos: Firewall, Proxies, Detección de Intrusos, actualización del software y control de sistemas de integridad de servidores, de estos he detallado sus características principales. Para el cuarto capítulo, he detallado lo concerniente a las políticas informáticas de protección, describiendo qué son estas políticas, cuáles son sus objetivos, los alcances dentro de la informática y el análisis de las razones que impiden la aplicación de políticas de seguridad informática. Finalmente, en el quinto capítulo, una vez que he analizado la información sobre la seguridad informática, he redactado las debidas conclusiones y recomendaciones. 9 CAPÍTULO I INFRAESTRUCTURA DE LAS TIC’S 1. Red 1.1.- Qué son las redes LAN (Local Area Network): Redes de Área Local Es un sistema de comunicación entre computadoras que permite compartir información, con la característica de que la distancia entre las computadoras debe ser pequeña. Estas redes son usadas para la interconexión de computadores personales y estaciones de trabajo. Se caracterizan por: tamaño restringido, tecnología de transmisión (por lo general broadcast), alta velocidad y topología. Son redes con velocidades entre 10 Gb, tiene baja latencia y baja tasa de errores. Cuando se utiliza un medio compartido es necesario un mecanismo de arbitraje para resolver conflictos. Dentro de este tipo de red podemos nombrar a “INTRANET, una red privada que utiliza herramientas tipo internet, pero disponible solamente dentro de la organización”1. 1 Paraninfo, Juan Jose. Seguridad Informática, Editorial Nombela, 1997 10 Ej.: IEEE 802.3 (Ethernet), IEEE 802.4 (Token Bus), IEEE 802.5 (Token Ring) MAN (Metropolitan Area Network): Redes de Área Metropolitana Es una versión de mayor tamaño de la red local. Puede ser pública o privada. Una MAN puede soportar tanto voz como datos. Una MAN tiene uno o dos cables y no tiene elementos de intercambio de paquetes o conmutadores, lo cual simplifica bastante el diseño. La razón principal para distinguirla de otro tipo de redes, “es que para las MAN's se ha adoptado un estándar llamado DQDB (Distributed Queue Dual Bus) o IEEE 802.6. Utiliza medios de difusión al igual que las Redes de Área Local”2 WAN (Wide Area Network): Redes de Amplia Cobertura Son redes que cubren una amplia región geográfica, a menudo un país o un continente. Este tipo de redes contiene máquinas que ejecutan programas de usuario llamadas hosts o sistemas finales (end system). Los sistemas finales están conectados a una subred de comunicaciones. La función de la subred es transportar los mensajes de un host a otro. En la mayoría de las redes de amplia cobertura se pueden distinguir dos componentes: Las líneas de transmisión y los elementos de intercambio (Conmutación). Las líneas de transmisión se conocen como circuitos, 2 MARTÍNEZ, R.; GARCÍA SOLA, J.: "Informática básica". Alhambra. 1993. Manual de paquete Microsoft Office 11 canales o truncales. Los elementos de intercambio son computadores especializados utilizados para conectar dos o más líneas de transmisión. Las redes de área local son diseñadas de tal forma que tienen topologías simétricas, mientras que las redes de amplia cobertura tienen topología irregular. Otra forma de lograr una red de amplia cobertura es a través de satélite o sistemas de radio. Ej. : X.25, RTC, ISDN, etc. RED NOVELL Novell tiene su propio equipo, el cual permite conectar todos los componentes de la red entregando un servicio completo en el diseño de la misma. Este equipo incluye: •Tarjeta de red. •Servidores para la red. •Unidades de respaldo de cinta. •Discos duros para respaldo de información. •Controladores activos y pasivos. RED IBM TOKEN-RING La topología de esta red es un anillo alrededor del cual se distribuyen las estaciones de trabajo. 12 Las computadoras conectadas a la red se comunican todo el tiempo entre sí mediante un paquete de información (token) que está viajando en todo momento a través de la red. Esta red posee las siguientes características: •Paquete de Información. •Monitoreo de Red. •Acepta múltiples tipos de cable. •Diseñada para ambientes de oficina en las cuales se requiere una red que tenga amplia capacidad de expansión en el ambiente PC y también hacia otro tipo de ambientes de computadoras, tales como mini-computadoras o macro-computadoras3. RED HEWLETTE-PACKARD Existen dos modelos de red StarLAN [Red de Area Local tipo Estrella]: “La primera, la simple StarLAN, puede conectar como máximo hasta 50 estaciones en la red con dos niveles de Distribuidor Central (HUB) y la segunda, StarLAN 10, puede conectar hasta 1024 estaciones de trabajo entre diferentes redes de HP, la propia red aislada puede conectar 276 estaciones de trabajo”4 3 4 PRESSMAN, SR.: "Ingeniería del Software". McGraw Hill. 1998 Ibídem 13 Cada una de las redes está pensada en función a las necesidades con diversos equipos de HP, StarLAN 10 tiene capacidad de manejar un mayor número de terminales y mayor capacidad de interconexión con otras redes de la familia HP. En el caso de una micro computadora los periféricos son: 1. Impresoras. 2. Unidades de disco. 3. Graficadores. En el caso de una mini 3000 los periféricos son: 1. Impresoras. 2. Unidades de disco. 3. Graficadores. 4. Unidades de Cinta. RED 3+Open El sistema de Microsoft se apega al standard fijado por OS/2 con respecto al manejo del sistema operativo y la capacidad de manejo multi-tarea del sistema mismo5. 5 http://office.microsoft.com 14 3+OPEN es el nombre del producto lanzado al mercado, aprovechando las tarjetas ETHERNET para poder ofrecer una solución de conectividad estandarizada a los equipos de computación, incluyendo computadoras personales (PC compatibles), Macintosh, computadoras en UNIX/XENIX, mini computadoras y macro computadoras. Esta vez se puede conectar cualquier cosa desde una red de computadoras, sin importar si el acceso es local o remoto o vía teléfono usando un modem común, o vía teléfono usando alguna red internacional de datos vía X.25. La forma de conexión de la red puede ser por cable coaxial, o par telefónico, esto último da una ventaja adicional a la red pues el costo de instalación eléctrica es más barato usando par telefónico en lugar de cable coaxial, todo depende el medio ambiente magnético alrededor de la red. Red Columna Vertebral (Backbone Network) También llamada Red de Transporte (Carrier Network)6. Este tipo de red cubre, por lo general, un país o un continente. Sirve como apoyo a las empresas que poseen redes locales y no pueden costear la inversión en la infraestructura y mantenimiento de una red de área extendida propia. Red Internacional (INTERNETworking): También llamada Telaraña de área Mundial (World Wide Web). Es una enorme red de redes que se enlaza a 6 http://www.tayuda.com (tutoriales de office) 15 muchas de las redes científicas, de investigación y educacionales alrededor del mundo así como a un número creciente de redes comerciales. 1.2.- Clases de Redes La configuración de una red, recoge tres campos: físico, eléctrico y lógico. El nivel físico y eléctrico se entiende como la configuración del cableado entre máquinas o dispositivos de control o conmutación. Cuando hablamos de la configuración lógica tenemos que pensar en como se trata la información dentro de nuestra red, como se dirige de un sitio a otro o como la recoge cada estación. •Topología en Estrella: Todos los elementos de la red se encuentran conectados directamente mediante un enlace punto a punto al nodo central de la red, quien se encarga de gestionar las transmisiones de información por toda la estrella. La topología de Estrella es una buena elección siempre que se tenga varias unidades dependientes de un procesador, esta es la situación de una típica mainframe, donde el personal requiere estar accesando frecuentemente esta computadora. En este caso, todos los cables están conectados hacia un solo sitio, esto es, un panel central. Gráfico 1: Topología de Estrella 16 Resulta económico la instalación de un nodo cuando se tiene bien planeado su establecimiento, ya que este requiere de una cable desde el panel central, hasta el lugar donde se desea instalarlo. •Topología en Bus: En esta topología, los elementos que constituyen la red se disponen linealmente, es decir, en serie y conectados por medio de un cable; el bus. Las tramas de información emitidas por un nodo (terminal o servidor) se propagan por todo el bus(en ambas direcciones), alcanzado a todos los demás nodos. Cada nodo de la red se debe encargar de reconocer la información que recorre el bus, para así determinar cual es la que le corresponde, la destinada a él, como se indica en el gráfico No. 2. Gráfico 2: Topología de Bus Es el tipo de instalación más sencillo y un fallo en un nodo no provoca la caída del sistema de la red. Como ejemplo más conocido de esta topología, encontramos la red Ethernet de Xerox. El método de acceso utilizado es el CSMA/CD, método que gestiona el acceso al bus por parte de los terminales y que por medio de un 17 algoritmo resuelve los conflictos causados en las colisiones de información. Cuando un nodo desea iniciar una transmisión, debe en primer lugar escuchar el medio para saber si está ocupado, debiendo esperar en caso afirmativo hasta que quede libre. Si se llega a producir una colisión, las estaciones reiniciarán cada una su transmisión, pero transcurrido un tiempo aleatorio distinto para cada estación. •Topología en Anillo: Los nodos de la red se disponen en un anillo cerrado conectado a él mediante enlaces punto a punto. La información describe una trayectoria circular en una única dirección y el nodo principal es quien gestiona conflictos entre nodos al evitar la colisión de tramas de información. En este tipo de topología, un fallo en un nodo afecta a toda la red aunque actualmente hay tecnologías que permiten mediante unos conectores especiales, la desconexión del nodo averiado para que el sistema pueda seguir funcionando, según se aprecia en el gráfico No. 3. Gráfico 3: Topología en Anillo La topología de anillo está diseñada como una arquitectura circular, con cada nodo conectado directamente a otros dos nodos. Toda la información 18 de la red pasa a través de cada nodo hasta que es tomado por el nodo apropiado. Este esquema de cableado muestra alguna economía respecto al de estrella. El anillo es fácilmente expandido para conectar más nodos, aunque en este proceso interrumpe la operación de la red mientras se instala el nuevo nodo. Así también, el movimiento físico de un nodo requiere de dos pasos separados: desconectar para remover el nodo y otra vez reinstalar el nodo en su nuevo lugar. 2. Hardware 2.1.- Qué es el Hardware Hardware corresponde a todas las partes físicas y tangibles de una computadora: sus componentes eléctricos, electrónicos, electromecánicos y mecánicos; sus cables, gabinetes o cajas, periféricos de todo tipo y cualquier otro elemento físico involucrado; contrariamente, el soporte lógico es intangible, y que es llamado software. El término es propio del idioma inglés (literalmente traducido: partes duras), su traducción al español no tiene un significado acorde, por tal motivo se la ha adoptado tal cual es y suena; la Real Academia Española lo define como «Conjunto de los componentes que integran la parte material de una computadora». El término, aunque es lo más común, no solamente se aplica a una computadora tal como se la conoce, ya que, por ejemplo, un robot, un teléfono móvil, una cámara fotográfica o un reproductor multimedia también poseen hardware (y software). 19 El término hardware tampoco correspondería a un sinónimo exacto de «componentes informáticos», ya que esta última definición se suele limitar exclusivamente a las piezas y elementos internos, independientemente de los periféricos. La historia del hardware del computador se puede clasificar en cuatro generaciones, cada una caracterizada por un cambio tecnológico de importancia. Este hardware se puede clasificar en: básico, el estrictamente necesario para el funcionamiento normal del equipo; y complementario, el que realiza funciones específicas. Un sistema informático se compone de una unidad central de procesamiento (CPU), encargada de procesar los datos, uno o varios periféricos de entrada, los que permiten el ingreso de la información y uno o varios periféricos de salida, los que posibilitan dar salida (normalmente en forma visual o auditiva) a los datos procesados. 2.2.- Componentes del Hardware Es un medio de entrada de datos, la unidad de procesamiento (C.P.U.), la memoria RAM, un medio de salida de datos y un medio de almacenamiento constituyen el "hardware básico". Una de las formas de clasificar el Hardware es en dos categorías: por un lado, el "básico", que abarca el conjunto de componentes indispensables 20 necesarios para otorgar la funcionalidad mínima a una computadora, y por otro lado, el Hardware "complementario", que, como su nombre lo indica, es el utilizado para realizar funciones específicas (más allá de las básicas), no estrictamente necesarias para el funcionamiento de la computadora. Los medios de entrada y salida de datos estrictamente indispensables dependen de la aplicación: desde el punto de vista de un usuario común, se debería disponer, al menos, de un teclado y un monitor para entrada y salida de información, respectivamente; pero ello no implica que no pueda haber una computadora (por ejemplo controlando un proceso) en la que no sea necesario teclado ni monitor, bien puede ingresar información y sacar sus datos procesados, por ejemplo, a través de una placa de adquisición/salida de datos. Las computadoras son aparatos electrónicos capaces de interpretar y ejecutar instrucciones programadas y almacenadas en su memoria, ellas consisten básicamente en operaciones aritmético-lógicas y de entrada/salida. Se reciben las entradas (datos), se las procesa y almacena (procesamiento), y finalmente se producen las salidas (resultados del procesamiento). Por ende todo sistema informático tiene, al menos, componentes y dispositivos hardware dedicados a alguna de las funciones antedichas; a saber: 1. Procesamiento: Unidad Central de Proceso o CPU 2. Almacenamiento: Memorias 21 3. Entrada: Periféricos de Entrada (E) 4. Salida: Periféricos de salida (S) 5. Entrada/Salida: Periféricos mixtos (E/S) Desde un punto de vista básico y general, un dispositivo de entrada es el que provee el medio para permitir el ingreso de información, datos y programas (lectura); un dispositivo de salida brinda el medio para registrar la información y datos de salida (escritura); la memoria otorga la capacidad de almacenamiento, temporal o permanente (almacenamiento); y la CPU provee la capacidad de cálculo y procesamiento de la información ingresada (transformación). Un periférico mixto es aquél que puede cumplir funciones tanto de entrada como de salida, el ejemplo más típico es el disco rígido (ya que en él se lee y se graba información y datos). Un rack es un bastidor destinado a alojar equipamiento electrónico, informático y de comunicaciones. Las medidas para la anchura están normalizadas para que sea compatible con equipamiento de cualquier fabricante, siendo la medida más normalizada la de 19 pulgadas, 19". También son llamados bastidores, cabinets o armarios. 22 Los racks son un simple armazón metálico con un ancho interno normalizado de 19 pulgadas, mientras que el alto y el fondo son variables para adaptarse a las distintas necesidades. Externamente, los racks para montaje de servidores tienen una anchura estándar de 600 mm y un fondo de 800 o 1000 mm. La anchura de 600 mm para racks de servidores coincide con el tamaño estándar de las losetas en los centros de datos. De esta manera es muy sencillo hacer distribuciones de espacios en centros de datos (CPD). “Para servidores se utilizan también racks de 800 mm de ancho, cuando es necesario disponer de suficiente espacio lateral para cableado. Estos racks tienen como desventaja una peor eficiencia energética en la refrigeración”7. El armazón cuenta con guías horizontales donde puede apoyarse el equipamiento, así como puntos de anclaje para los tornillos que fijan dicho equipamiento al armazón. En este sentido, un rack es muy parecido a una simple estantería. Un servidor blade es un tipo de computadora para los centros de proceso de datos específicamente diseñada para aprovechar el espacio, reducir el consumo y simplificar su explotación. 7 León-García e I. Widjaja. Redes de Comunicación: Conceptos Fundamentales y Arq. Básicas. Ed. McGraw Hill, 2002 23 La primera compañía en lanzar los servidores blade al mercado fue RLX Technologies en 2001, compañía que fue adquirida por Hewlett Packard en 2005. “Los servidores blade están diseñados para su montaje en bastidores al igual que otros servidores. La novedad estriba en que los primeros pueden compactarse en un espacio más pequeño gracias a sus principios de diseño”8. Cada servidor blade es una delgada "tarjeta" que contiene únicamente microprocesador, memoria y buses. Es decir, no son directamente utilizables ya que no disponen de fuente de alimentación ni tarjetas de comunicaciones. Estos elementos más voluminosos se desplazan a un chasis que se monta en el bastidor ocupando únicamente de cuatro (4U) a seis alturas (6U). Cada chasis puede albergar del orden de dieciséis "tarjetas" o servidores blade (según fabricante). El chasis lleva integrados los siguientes elementos, que son compartidos por todos los servidores: • Fuente de alimentación: redundante y hot-plug. • Ventiladores o elementos de refrigeración. • Conmutador de red redundante con el cableado ya hecho, lo que simplifica su instalación. 8 Manual de IBM Bladecenter: www.ibm.com 24 • Interfaces de almacenamiento. En particular, es habitual el uso de redes SAN (Storage Area Network) de almacenamiento. Además, estos servidores suelen incluir utilidades software para su despliegue automático. Por ejemplo, son capaces de arrancar desde una imagen del sistema operativo almacenada en disco. Es posible arrancar una u otra imagen según la hora del día o la carga de trabajo, etc. Los servidores blade delgados y hot-swappable entra en un único chasis tal como libros en un estante, y cada uno es un servidor independiente, con sus propios procesadores, memoria, almacenamiento, controladores de redes, sistema operativo y aplicaciones. El servidor blade simplemente se desliza dentro de un bay en el chasis y se conecta a un mid- o backplane, compartiendo energía, ventiladores, unidades flexibles, conmutadores y bocas con otros servidores blade. Los beneficios del enfoque del blade serán obvios para cualquiera cuya tarea sea tender cientos de cables ensartados a través de bastidores sólo para agregar y quitar servidores. Teniendo los conmutadores y las unidades de energía compartidas, se libera un espacio precioso, y los servidores blade permiten una densidad mayor con mucha más facilidad. 25 3. Software 3.1.- Qué es el Software Se conoce como software al equipamiento lógico o soporte lógico de una computadora digital; comprende el conjunto de los componentes lógicos necesarios que hacen posible la realización de tareas específicas, en contraposición a los componentes físicos, que son llamados hardware. Los componentes lógicos incluyen, entre muchos otros, las aplicaciones informáticas; tales como el procesador de textos, que permite al usuario realizar todas las tareas concernientes a la edición de textos; el software de sistema, tal como el sistema operativo, que, básicamente, permite al resto de los programas funcionar adecuadamente, facilitando también la interacción entre los componentes físicos y el resto de las aplicaciones, y proporcionando una interfaz para el usuario. 3.2.- Componentes del Software Si bien esta distinción es, en cierto modo, arbitraria, y a veces confusa, a los fines prácticos se puede clasificar al software en tres grandes tipos: •Software de sistema: “Su objetivo es desvincular adecuadamente al usuario y al programador de los detalles de la computadora en particular que se use, aislándolo especialmente del procesamiento referido a las características internas de: memoria, discos, puertos y dispositivos de comunicaciones, 26 impresoras, pantallas, teclados, etc”9. El software de sistema le procura al usuario y programador adecuadas interfaces de alto nivel, herramientas y utilidades de apoyo que permiten su mantenimiento. Incluye entre otros: • Sistemas operativos • Controladores de dispositivos • Herramientas de diagnóstico • Herramientas de Corrección y Optimización • Servidores • Utilidades •Software de programación: “Es el conjunto de herramientas que permiten al programador desarrollar programas informáticos, usando diferentes alternativas y lenguajes de programación, de una manera práctica”10. Incluye entre otros: • Editores de texto • Compiladores • Intérpretes • Enlazadores • Depuradores 9 W. Stallings. Ed. Pearson - Prentice Hall, Comunicaciones y Redes de Computadores (7ª Edición). 2004 10 W. Stallings. Ed. Pearson - Prentice Hall, Comunicaciones y Redes de Computadores (7ª Edición). 2004 27 • Entornos de Desarrollo Integrados (IDE): Agrupan las anteriores herramientas, usualmente en un entorno visual, de forma tal que el programador no necesite introducir múltiples comandos para compilar, interpretar, depurar, etc. Habitualmente cuentan con una avanzada interfaz gráfica de usuario (GUI). •Software de aplicación: “Es aquel que permite a los usuarios llevar a cabo una o varias tareas específicas, en cualquier campo de actividad susceptible de ser automatizado o asistido, con especial énfasis en los negocios”11. Incluye entre otros: • Aplicaciones para Control de sistemas y automatización industrial • Aplicaciones ofimáticas • Software educativo • Software empresarial • Bases de datos • Telecomunicaciones (por ejemplo Internet y toda su estructura lógica) • Videojuegos • Software médico • Software de Cálculo Numérico y simbólico. • Software de Diseño Asistido (CAD) • Software de Control Numérico (CAM) 11 W. Stallings. Ed. Pearson - Prentice Hall, Comunicaciones y Redes de Computadores (7ª Edición). 2004 28 4. Cloud Computing 4.1.- Definición En este tipo de computación todo lo que puede ofrecer un sistema informático se ofrece como servicial, de modo que los usuarios puedan acceder a los servicios disponibles "en la nube de Internet" sin conocimientos (o, al menos sin ser expertos) en la gestión de los recursos que usan. Según el IEEE Computer Society, es un paradigma en el que la información se almacena de manera permanente en servidores de Internet y se envía a cachés temporales de cliente, lo que incluye equipos de escritorio, centros de ocio, portátiles, etc. Esto se debe a que, pese a que las capacidades de los PC han mejorado sustancialmente, gran parte de su potencia se desaprovecha, al ser máquinas de propósito general.12 "Cloud computing" es un nuevo modelo de prestación de servicios de negocio y tecnología, que permite al usuario acceder a un catálogo de servicios estandarizados y responder a las necesidades de su negocio, de forma flexible y adaptativa, en caso de demandas no previsibles o de picos de trabajo, pagando únicamente por el consumo efectuado. El cambio paradigmático que ofrece computación en nube es que permite aumentar el número de servicios basados en la red. Esto genera beneficios tanto para los proveedores, que pueden ofrecer, de forma más rápida y 12 A. León-García e I. Widjaja. Redes de Comunicación: Conceptos Fundamentales y Arq. Básicas. Ed. McGraw Hill, 2002 29 eficiente, un mayor número de servicios, como para los usuarios que tienen la posibilidad de acceder a ellos, disfrutando de la ‘transparencia’ e inmediatez del sistema y de un modelo de pago por consumo. Computación en nube consigue aportar estas ventajas, apoyándose sobre una infraestructura tecnológica dinámica que se caracteriza, entre otros factores, por un alto grado de automatización, una rápida movilización de los recursos, una elevada capacidad de adaptación para atender a una demanda variable, así como virtualización avanzada y un precio flexible en función del consumo realizado. La computación en nube es un concepto que incorpora el software como servicio, como en la Web 2.0 y otros conceptos recientes, también conocidos como tendencias tecnológicas, que tienen en común el que confían en Internet para satisfacer las necesidades de cómputo de los usuarios. El concepto de la computación en la nube empezó en proveedores de servicio de Internet a gran escala, como Google, Amazon AWS y otros que construyeron su propia infraestructura. De entre todos ellos emergió una arquitectura: un sistema de recursos distribuidos horizontalmente, introducidos como servicios virtuales de TI escalados masivamente y manejados como recursos configurados y mancomunados de manera continua. Este modelo de arquitectura fue inmortalizado por George Gilder en su artículo de octubre 2006 en la revista Wired titulado Las fábricas de información. Las granjas de servidores, sobre las que escribió Gilder, eran 30 similares en su arquitectura al procesamiento “grid” (red, parrilla), pero mientras que las redes se utilizan para aplicaciones de procesamiento técnico débilmente acoplados (loosely coupled, un sistema compuesto de subsistemas con cierta autonomía de acción, que mantienen una interrelación continua entre ellos), este nuevo modelo de nube se estaba aplicando a los servicios de Internet. Beneficios13: • Integración probada de servicios Red. Por su naturaleza, la tecnología de "Cloud Computing" se puede integrar con mucha mayor facilidad y rapidez con el resto de sus aplicaciones empresariales (tanto software tradicional como Cloud Computing basado en infraestructuras), ya sean desarrolladas de manera interna o externa. • Prestación de servicios a nivel mundial. Las infraestructuras de "Cloud Computing" proporcionan mayor capacidad de adaptación, recuperación de desastres completa y reducción al mínimo de los tiempos de inactividad. • Una infraestructura 100% de "Cloud Computing" no necesita instalar ningún tipo de hardware. La belleza de la tecnología de "Cloud Computing" es su simplicidad… y el hecho de que requiera mucha menor inversión para empezar a trabajar. 13 A. León-García e I. Widjaja. Redes de Comunicación: Conceptos Fundamentales y Arq. Básicas. Ed. McGraw Hill, 2002 31 • Implementación más rápida y con menos riesgos. Podrá empezar a trabajar muy rápidamente gracias a una infraestructura de "Cloud Computing". No tendrá que volver a esperar meses o años e invertir grandes cantidades de dinero antes de que un usuario inicie sesión en su nueva solución. Sus aplicaciones en tecnología de "Cloud Computing" estarán disponibles en cuestión de semanas o meses, incluso con un nivel considerable de personalización o integración. • Actualizaciones automáticas que no afectan negativamente a los recursos de TI. Si actualizamos a la última versión de la aplicación, nos veremos obligados a dedicar tiempo y recursos (que no tenemos) a volver a crear nuestras personalizaciones e integraciones. La tecnología de "Cloud Computing" no le obliga a decidir entre actualizar y conservar su trabajo, porque esas personalizaciones e integraciones se conservan automáticamente durante la actualización. • Contribuye al uso eficiente de la energía. En este caso, a la energía requerida para el funcionamiento de la infraestructura. En los datacenters tradicionales, los servidores consumen mucha más energía de la requerida realmente. En cambio, en las nubes, la energía consumida es sólo la necesaria, reduciendo notablemente el desperdicio. 32 Desventajas14: • La centralización de las aplicaciones y el almacenamiento de los datos origina una dependencia de los proveedores de servicios. • La disponibilidad de las aplicaciones están atadas a la disponibilidad de acceso a internet. • Los datos "sensibles" del negocio no residen en las instalaciones de las empresas por lo que podría generar un contexto de alta vulnerabilidad para la sustracción o robo de información. • La confiabilidad de los servicios depende de la "salud" tecnológica y financiera de los proveedores de servicios en nube. Empresas emergentes o alianzas entre empresas podrían crear un ambiente propicio para el monopolio y el crecimiento exagerado en los servicios. • La disponibilidad de servicios altamente especializados podría tardar meses o incluso años para que sean factibles de ser desplegados en la red. • La madurez funcional de las aplicaciones hace que continuamente estén modificando sus interfaces por lo cual la curva de aprendizaje en empresas de orientación no tecnológica tenga unas pendientes pequeñas. • Seguridad. La información de la empresa debe recorrer diferentes nodos para llegar a su destino, cada uno de ellos ( y sus canales) son 14 A. León-García e I. Widjaja. Redes de Comunicación: Conceptos Fundamentales y Arq. Básicas. Ed. McGraw Hill, 2002 33 un foco de inseguridad. Si se utilizan protocolos seguros, HTTPS por ejemplo, la velocidad total disminuye debido a la sobrecarga que requieren estos protocolos. • Escalabilidad a largo plazo. A medida que más usuarios empiecen a compartir la infraestructura de la nube, la sobrecarga en los servidores de los proveedores aumentará, si la empresa no posee un esquema de crecimiento óptimo puede llevar a degradaciones en el servicio o jitter altos. 34 CAPÍTULO II ATAQUES EXTERNOS Usuario de ordenadores especializado en penetrar en las bases de datos de sistemas informáticos estatales con el fin de obtener información secreta. En la actualidad, el término se identifica con el de delincuente informático, e incluye a los cibernautas que realizan operaciones delictivas a través de las redes de ordenadores existentes. Tradicionalmente se considera Hacker al aficionado a la informática cuya afición es buscar defectos y puertas traseras para entrar en los sistemas. Para los especialistas, la definición correcta sería: “experto que puede conseguir de un sistema informático cosas que sus creadores no imaginan”15 Se puede decir sobre los hackers que son: .■Gente apasionada por la seguridad informática. Esto concierne principalmente a entradas remotas no autorizadas por medio de redes de comunicación como Internet ("Black hats"). Pero también incluye a aquellos que depuran y arreglan errores en los sistemas ("White hats") y a los de moral ambigua como son los "Grey hats". ■Una comunidad de entusiastas programadores y diseñadores de sistemas originada 15 en los sesenta alrededor del Instituto Tecnológico de Revista Intermagazine: www.magazine.com 35 Massachusetts (MIT), el Tech Model Railroad Club (TMRC) y el Laboratorio de Inteligencia Artificial del MIT. Esta comunidad se caracteriza por el lanzamiento del movimiento de software libre. La World Wide Web e Internet en sí misma son creaciones de hackers. El RFC 1392 amplia este significado como "persona que se disfruta de un conocimiento profundo del funcionamiento interno de un sistema, en particular de computadoras y redes informáticas"16 ■La comunidad de aficionados a la informática doméstica, centrada en el hardware posterior a los setenta y en el software (juegos de ordenador, crackeo de software, la demoscene) de entre los ochenta/noventa. En la actualidad se usa de forma corriente para referirse mayormente a los criminales informáticos, debido a su utilización masiva por parte de los medios de comunicación desde la década de 1980. A los criminales se le pueden sumar los llamados "script kiddies", gente que invade computadoras, usando programas escritos por otros, y que tiene muy poco conocimiento sobre como funcionan. Este uso parcialmente incorrecto se ha vuelto tan predominante que, en general, un gran segmento de la población no es consciente de que existen diferentes significados. Mientras que los hackers aficionados reconocen los tres tipos de hackers y los hackers de la seguridad informática aceptan todos los usos del término, 16 León-García e I. Widjaja. Redes de Comunicación: Conceptos Fundamentales y Arq. Básicas. Ed. McGraw Hill, 2002 36 los hackers del software libre consideran la referencia a intrusión informática como un uso incorrecto de la palabra, y se refieren a los que rompen los sistemas de seguridad como "crackers" (analogía de "safecracker", que en español se traduce como "un ladrón de cajas fuertes"). 1. Hacker 1.1.- Qué es el Hacker El Hacker es una persona con amplios conocimientos en tecnología, bien puede ser informática, electrónica o comunicaciones, mantiene permanentemente actualizado y conoce a fondo todo lo relacionado con programación y sistemas complejos; es un investigador nato que se inclina ante todo por conocer lo relacionado con cadenas de datos encriptados y las posibilidades de acceder a cualquier tipo de "información segura". Su formación y las habilidades que poseen les da una experticia mayor que les permite acceder a sistemas de información seguros, sin ser descubiertos, y también les da la posibilidad de difundir sus conocimientos para que las demás personas se enteren de cómo es que realmente funciona la tecnología y conozcan las debilidades de sus propios sistemas de información. Este grupo está conformado por adolescentes y adultos, en su mayoría estudiantes de informática, con una característica común: Las ansias de conocimientos. 37 2. Crakers 2.1.- Definición Se denomina así a aquella persona con comportamiento compulsivo, que alardea de su capacidad para reventar sistemas electrónicos e informáticos. Un Cracker es un hábil conocedor de programación de Software y Hardware; diseña y fabrica programas de guerra y hardware para reventar software y comunicaciones como el teléfono, el correo electrónico o el control de otros computadores remotos. Muchos de ellos "cuelgan" páginas Web por diversión o envían a la red su ultima creación de virus polimorfico. 3. Lammers 3.1.- Diferencias con los Hackers. A este grupo pertenecen aquellas personas deseosas de alcanzar el nivel de un hacker pero su poca formación y sus conocimientos les impiden realizar este sueño. Su trabajo se reduce a ejecutar programas creados por otros, a bajar, en forma indiscriminada, cualquier tipo de programa publicado en la red. Es el más numeroso que existe en la red; sus más frecuentes ataques se caracterizan por bombardear permanentemente el correo electrónico para 38 colapsar los sistemas; emplear de forma habitual programas sniffers para controlar la red, interceptar contraseñas y correos electrónicos, y después enviar mensajes con direcciones falsas, en muchas ocasiones, amenazando el sistema, lo que en realidad no es cierto, su alcance no va mucho más allá de poseer el control completo del disco duro, aun cuando el ordenador esté apagado. También emplean los Back Oriffice, Netbus o virus con el fin de fastidiar, sin dimensionar las consecuencias de sus actos, su única preocupación es su satisfacción personal. 4. Copyhackers 4.1.- Formas de ataque Son una nueva generación de falsificadores dedicados al crackeo de Hardware, específicamente en el sector de tarjetas inteligentes. Su estrategia radica en establecer amistad con los verdaderos Hackers, para copiarles los métodos de ruptura y después venderlos a los "bucaneros" personajes que serán descritos más adelante. Los Copyhackers se interesan por poseer conocimientos de tecnología, son aficionados a las revistas técnicas y a leer todo lo que hay en la red, su principal motivación es el dinero. 39 5. Bucaneros 5.1.- Qué son los bucaneros Son los comerciantes de la red más no existen en ella; aunque no poseen ningún tipo de formación en el área de los sistemas, si poseen un amplio conocimiento en área de los negocios. Su objetivo está centrado en comercializar o revender los productos que los Copyhackers les proporcionan, bajo un nuevo nombre comercial, con el ánimo de lucrarse en corto tiempo y con el más mínimo esfuerzo. 6. Phreakers 6.1. Cómo atacan al sistema informático Se caracterizan por poseer bastos conocimientos en el área de telefonía terrestre y móvil, incluso más que los propios técnicos de las compañías telefónicas; recientemente con el auge de los celulares, han tenido que ingresar también al mundo de la informática y del procesamiento de datos. Su actividad está centrada en romper las seguridades de las centrales telefónicas, desactivando los contadores con el fin de realizar llamadas sin ningún costo. Actualmente las tarjetas prepago son su campo de acción predilecto, suelen operar desde cabinas telefónicas o móviles y a través de ellas pueden captar 40 los números de abonado en el aire y así crear clones de tarjetas telefónicas a distancia. Entre los ataques que causan daños al sistema informático, encontramos: - PING DE LA MUERTE: “Un ping de la muerte es un tipo de ataque enviado a una computadora que consiste en mandar numerosos paquetes ICMP muy pesados (mayores a 65.535 bytes) con el fin de colapsar el sistema atacado”17. Los atacantes comenzaron a aprovecharse de esta vulnerabilidad en los sistemas operativos en 1996, vulnerabilidad que en 1997 sería corregida18. Este tipo de ataque no tiene efecto sobre los sistemas operativos actuales. Es un tipo de ataque a computadoras que implica enviar un ping deformado a una computadora. Un ping normalmente tiene un tamaño de 64 bytes; algunas computadoras no pueden manejar pings mayores al máximo de un paquete IP común, que es de 65.535 bytes. Enviando pings de este tamaño puede hacer que los servidores se caigan. 17 informateca-dothoez.blogspot.com/.../ping-de-la-muerte.html León-García e I. Widjaja. Redes de Comunicación: Conceptos Fundamentales y Arq. Básicas. Ed. McGraw Hill, 2002 18 41 Este fallo fue fácil de usar, generalmente, enviar un paquete de "Ping de la Muerte" de un tamaño de 65.536 bytes es ilegal según los protocolos de establecimiento de una red, pero se puede enviar un paquete de tal tamaño si se hacen fragmentos del mismo; cuando la computadora que es el blanco de ataque vuelve a montar el paquete, puede ocurrir una saturación del buffer, que causa a menudo un fallo del sistema. Este exploit ha afectado a la mayoría de Sistemas Operativos, como Unix, Linux, Mac, Windows, impresoras, y los routers. No obstante la mayoría de los sistemas operativos desde 1997-1998 han arreglado este problema, por lo que el fallo está solucionado. En la actualidad otro tipo de ataques con ping han llegado a ser muy utilizados, como por ejemplo el "Ping Flooding". - ATAQUE DE DENEGACIÓN DE SERVICIOS: Los ataques de denegación de servicio, otra forma de código malicioso, se construyen y ejecutan con esmero; estos ataques no son nuevos, sin embargo, son cada vez más sofisticados. “Los ataques DOS tradicionales normalmente involucran una computadora que ataca a otra, pero cada vez es más común utilizar varias computadoras en un ataque que requiere gran organización”19. Dichos ataques, conocidos como ataques de denegación de servicio distribuida (DDOS), fueron 19 www.bsa.org 42 observados en varias paralizaciones de sistemas informáticos de grandes corporaciones en el año 2000. Es importante comprender los componentes técnicos de un ataque de DDOS, ya que estos ataques revelan con precisión las vulnerabilidades inherentes a Internet. Un ataque de DDOS funciona sobrecargando un servidor con una avalancha de mensajes que parecen ser normales. El atacante de DDOS forma estratégicamente un ejército de jugadores clave que son: Una computadora cliente para coordinar el ataque; De tres a cuatro computadoras anfitrionas, que son los campos de batalla bajo control directo del atacante; y Cientos de difusores potenciales, que son las legiones que ejecutan el código para generar el flujo excesivo de paquetes que atacan un sistema objetivo (que consta de una máquina como mínimo). Los difusores son reclutados por un software de exploración de puertos que determina las máquinas en las cuales el atacante puede obtener privilegios de raíz. En estas máquinas, el atacante puede incrustar programas ocultos que esperan instrucciones de las máquinas anfitrionas. 43 El atacante envía una lista de las direcciones de Protocolo de Internet (IP) de las máquinas objetivo a través de una fuerte encriptación. Con todos los componentes listos, el atacante instruye a cada máquina para que envíe, en forma simultánea, paquetes de datos contra las direcciones IP dadas utilizando direcciones de origen falsas, en un proceso conocido como "spoofing" (engaño). Como el ataque contiene demasiada información para procesar y se origina desde demasiadas máquinas distintas con direcciones IP fraudulentas, los servidores objetivo podrán sobrevivir el ataque únicamente si se desconectan de Internet o deniegan el servicio indiscriminadamente a todos los clientes que envían datos de entrada. Por lo tanto, el ataque de denegación de servicio distribuida se denomina así para describir las consecuencias que resultan de un ataque desde varias máquinas. No es sorprendente que, para cualquier empresa en línea, un ataque de DDOS restrinja severamente su capacidad de mantener la disponibilidad de su servicio comercial. - PHISHING: Phishing es un término informático que denomina un tipo de “delito encuadrado dentro del ámbito de las estafas cibernéticas, y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria)”20. El estafador, conocido como phisher, se hace pasar por una persona o empresa de 20 http://www.pcworld.com/resource/article/0,aid,125956,pg,1,RSS,RSS,00.asp 44 confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas. Dado el creciente número de denuncias de incidentes relacionados con el phishing, se requieren métodos adicionales de protección. Se han realizado intentos con leyes que castigan la práctica y campañas para prevenir a los usuarios con la aplicación de medidas técnicas a los programas. La mayoría de los métodos de phishing utilizan alguna forma técnica de engaño en el diseño para mostrar que un enlace en un correo electrónico parezca una copia de la organización por la cual se hace pasar el impostor. URLs mal escritas o el uso de subdominios son trucos comúnmente usados por phishers, como el ejemplo en esta URL, http://www.nombredetubanco.com.ejemplo.com/. Otro ejemplo para disfrazar enlaces es el de utilizar direcciones que contengan el carácter arroba: @, para posteriormente preguntar el nombre de usuario y contraseña (contrario a los estándares). Por ejemplo, el enlace http://www.google.com@members.tripod.com/ puede engañar a un observador casual y hacerlo creer que el enlace va a abrir en la página de www.google.com, cuando realmente el enlace envía al navegador a la página de members.tripod.com (y al intentar entrar con el nombre de usuario de www.google.com, si no existe tal usuario, la página abrirá normalmente). Este método ha sido erradicado desde 45 entonces en los navegadores de Mozilla e Internet Explorer. Otros intentos de phishing utilizan comandos en JavaScripts para alterar la barra de direcciones. Esto se hace poniendo una imagen de la URL de la entidad legítima sobre la barra de direcciones, o cerrando la barra de direcciones original y abriendo una nueva que contiene la URL ilegítima. En otro método popular de phishing, el atacante utiliza contra la víctima el propio código de programa del banco o servicio por el cual se hace pasar. Este tipo de ataque resulta particularmente problemático, ya que dirige al usuario a iniciar sesión en la propia página del banco o servicio, donde la URL y los certificados de seguridad parecen correctos. En este método de ataque (conocido como Cross Site Scripting) los usuarios reciben un mensaje diciendo que tienen que "verificar" sus cuentas, seguido por un enlace que parece la página web auténtica; en realidad, el enlace está modificado para realizar este ataque, además es muy difícil de detectar si no se tienen los conocimientos necesarios. Otro problema con las URL es el relacionado con el manejo de Nombre de dominio internacionalizado (IDN) en los navegadores, puesto que puede ser que direcciones que resulten idénticas a la vista puedan conducir a diferentes sitios (por ejemplo dominio.com se ve similar a dοminiο.com, aunque en el segundo las letras "o" hayan sido reemplazadas por la correspondiente letra griega ómicron, "ο"). Al 46 usar esta técnica es posible dirigir a los usuarios a páginas web con malas intenciones. A pesar de la publicidad que se ha dado acerca de este defecto, conocido como IDN spoofing o ataques homógrafos, ningún ataque conocido de phishing lo ha utilizado21. HACKERS FAMOSOS En la antigüedad, la gente intercambiaba su conocimiento, si alguien de un pueblo tenia conocimiento sobre algo, intentaba dar a conocerlo al resto de la comunidad, de esta manera, la comunidad se hacia más fuerte y así evolucionaba su capacidad de afrontar las dificultades. Por lo tanto a través del intercambio y la difusión del conocimiento, la sociedad crecía. En la historia de la informática también hay héroes, hombres y mujeres que creyeron en la apertura y la difusión del conocimiento y que a través de ello haría evolucionar nuestra sociedad. En el afán del conocimiento y la lucha por la libertad de este, hace que surja el llamado Movimiento Hacker, este movimiento es un grupo de personas que se nutre de conocimiento, que trata de saber y poner en práctica sus habilidades a la vez de compartir su conocimiento con los demás. Algunos hacker famosos son los que marcaron y revolucionaron la historia de la Informática y de Internet. 21 http://www.pcworld.com/resource/article/0,aid,125956,pg,1,RSS,RSS,00.asp 47 Tim Bernes Lee y Vinton Cerf, concibieron una red abierta, donde el conocimiento sería totalmente libre. Vinton Cerf es el inventor de los protocolos TCP/IP. Brian Kernighan y Denis Ritchie (años 60-70) son los padres del lenguaje de programación C. Dennis Ritchie y Ken Thompson escribieron un sistema operativo muy flexible y potente y en el cual se basaría Linux. Dentro de ese grupo, hace su aparición un hombre que podríamos llamarlo el padre del Movimiento del Software Libre. Richard M. Stallman. Creador del Free Software Foundation (Fundación de Software Gratuito). Grace Hooper se graduó en Matemáticas y Física en el Vassar College. Completó su maestría y doctorado en la Universidad de Yale y durante la Segunda Guerra Mundial se alistó en la Marina de Guerra de los Estados Unidos, llegando a ascender al grado de Almirante. Creó el lenguaje Flowmatic, con el cual desarrolló muchas aplicaciones y en 1951 produjo el primer compilador, denominado A-0 (Math Matic). En 1960 presentó su primera versión del lenguaje COBOL (Common Business-Oriented Language). Para muchos estudiosos, la almirante Grace Hooper es considerada la primera hacker de la era de la computación. Richard Stallman en 1969 a la edad de 16 años en el IBM New York Scientific Center conoció e hizo uso de computadoras. Fue dándose a 48 conocer cuando empezó a trabajar en el Laboratorio de Inteligencia Artificial del MIT (Massachussets Institute of Technology) en 1971. Estudió en la Universidad de Harvard, no concluyó sus estudios de Ciencias de la Computación. Perturbado por el hecho de que el software era considerado Propiedad Privada, Stallman fundó la Free Software Foundation (Fundación de Software Gratuito). Richard Stallman, admite ser un "hacker" dentro de su propia concepción. Robert Thomas Morris, Douglas Mcllroy y Victor Vysottsky, por el solo hecho de entretenerce crearon un juego al que denominaron CoreWar, inspirados en la teoría de John Von Neumann (famoso científico matemático de origen húngaro) El juego CoreWar fue desarrollado en Assembler Pnemónico, conocido como Red Code (código rojo) Puesto en la práctica, los contendores del CoreWar ejecutaban programas que iban paulatinamente disminuyendo la memoria del computador y el ganador era el que finalmente conseguía eliminarla totalmente. Robert Thomas Morris, Douglas McIlroy y Victor Vysottsky fueron los precursores de los virus informáticos. Fred Cohen en 1984 al sustentar su tesis para un doctorado en Ingeniería Eléctrica, en la Universidad del Sur de California, demostró cómo se podían crear virus, motivo por el cual es considerado como el primer autor de virus "auto-declarado". Clasificó a los emergentes virus de computadoras en tres categorías: caballos de troya, gusanos y virus 49 Keneth Thompson Desarrolló el Lenguaje B, predecesor e inspirador del Lenguaje C. Asimismo, Thompson re-escribió el Kernel de UNIX para perfeccionarlo. Junto a Dennis Ritchie desarrollaron desde 1969 a 1971 el famoso sistema operativo UNIX. En 1984, emulando al Dr. Fred Cohen y siendo aún un estudiante, Ken Thompson demostró la forma de desarrollar virus de computadoras, frente a una concurrida audiencia en la universidad de Berkeley. Gary Kildall Fue el creador del CP/M, primer sistema operativo estándar de la industria. Gary creó el CP/M, cuyas siglas inicialmente se dieron para el Control Program Monitor, para posteriormente cambiarlo a Computer Program Monitor. Por el contrario de cualquier sistema operativo desarrollado antes o después, el CP/M no fue el resultado de investigación y desarrollo de un equipo de ingenieros sino la inventiva y el trabajo de un sólo hombre. Aunque su sistema operativo resultó ser un buen producto, por muchas razones técnicas el CP/M fue lanzado al mercado apenas un año antes de la aparición de las primeras micro computadoras comerciales. Gary Kildall y John Torode fundan en 1975 la Digital Research que ingresa exitosamente al mercado con su sistema operativo CPM. (Control Program for Microcomputers) escrito por Gary Kildall para las computadoras basadas en el microchip 8080 y las Z80 y que fuera muy popular en los finales de la década de los 70. Con la aparición del MS-DOS, el CMP desapareció del mercado. 50 Tim Paterson un ingeniero, de 24 años, que trabajaba para la Seattle Computer Products. Desarrolló un "clone" del sistema operativo CP/M, creado por Kary Kildall de la Digital Research, el cual evidentemente había sido desensamblado y alterado, y al que denominó Quick and Dirty D.O.S o simplemente QDos. En 1981 Microsoft, adquirió a esta compañía los "derechos de autor" de este sistema por US $ 50,000 y contrató al Ing. Tim Paterson, para que trabajase 4 días a la semana, con el objeto de que realizara "algunos cambios" para "transformar" al sistema operativo. Este mismo producto "mejorado" por Microsoft, fue vendido a la IBM Corporation, bajo el nombre de PC-DOS y Microsoft se reservó el derecho de comercializarlo bajo el nombre de MS-DOS. Tim Paterson recibió además, algunas acciones de Microsoft y hoy está retirado de toda actividad profesional, recuerda con tristeza que alguna vez pudo convertirse en uno de los hombres más ricos del mundo. William (Bill) Henry Gates y Paul Allen forman Microsoft Corporation, en la ciudad de Alburquerque, Nuevo México. Microsoft fue el proveedor de la versión del lenguaje BASIC para la computadora personal MITS Altair. Sin embargo, el lenguaje BASIC (Beginners All-purpose Symbolic Instruction Language) fue creado en 1964 por John G. Kemeny y Thomas E. Kurtz del Dartmouth College. En 1981 Microsoft, adquirió los "derechos de autor" del sistema operativo Quick and Dirty D.O.S o QDOS, por US $ 50,000 y contrató al Ing. Tim Paterson, su autor, para que trabajase 4 días a la semana, con el objeto de 51 que realizara "algunos cambios", para poder "transformar" al sistema. Este mismo producto "mejorado" por Microsoft, fue vendido a la IBM Corporation, bajo el nombre de PC-DOS y Microsoft se reservó el derecho de poder comercializarlo bajo el nombre de MS-DOS. Robert Tappan Morris hijo Robert Thomas Morris uno de los precursores de los virus y recién graduado en Computer Science en la Universidad de Cornell, en 1988 difundió un virus a través de ArpaNet, (precursora de Internet) logrando infectar 6,000 servidores conectados a la red. La propagación la realizó desde uno de los terminales del MIT (Instituto Tecnológico de Massachussets). ArpaNet empleaba el UNIX, como sistema operativo. Robert Tappan Morris al ser descubierto, fue enjuiciado y condenado en la corte de Syracuse, estado de Nueva York, a 4 años de prisión y el pago de US $ 10,000 de multa, pena que fue conmutada a libertad bajo palabra y condenado a cumplir 400 horas de trabajo comunitario. Kevin David Mitnick es el más famoso hackers de los últimos tiempos. Nacido el 6 de Agosto de 1963 en Van Nuts, California, desde muy niño sintió curiosidad por los sistemas de comunicación electrónica y fue cultivando un obsesivo deseo por investigar cosas y lograr objetivos aparentemente imposibles, hasta llegar a poseer una genial habilidad para ingresar a servidores sin autorización, robar información, interceptar teléfonos, crear virus, etc. 52 Cuando en 1992 el gobierno acusó a Kevin de haber substraído información del FBI, relacionada a la investigación de Ferdinand Marcos y de haber penetrado en computadoras militares, el se convirtió en un símbolo entre la comunidad internacional de hackers, después de que el FBI lo investigara y persiguiera infructuosamente durante tres años, y cuya captura se produjo en 1995, cuando los investigadores rastrearon sus huellas hasta llegar a un departamento en Raleigh, en Carolina del Norte. Mitnick fue arrestado por el FBI en Raleigh, North Carolina, el 15 de Febrero de 1995. Mitnick, quién fue liberado en Enero del 2000, después de permanecer casi 5 años en un prisión federal, le costó al estado norteamericano y a empresas privadas, millones de dólares al ser objeto de hurto de su software, información y alteración de los datos de las mismas. Entre los agraviados se incluyen corporaciones tales como Motorola, Novell, Nokia y Sun Microsystems, el FBI, el Pentágono y la Universidad de Southern California. Mark Abene más conocido como Phiber Optik, con tan solo 17 años se convirtió en un genio de la computación y de la tecnología telefónica. Las primeras computadoras usadas por Abene fueron una Apple II, la Timex Sinclair y una Commodore 64. Aunque el primer equipo de Mark fue una Radio Shack TSR 80, también tenía un receptor telefónico tantas veces usado, que tenía una cinta plástica enrrollada para sostener sus partes internas, desgastadas por el excesivo uso. Mark Abene era un experto en patrones de discado en receptores telefónicos. Lideró en New York, al grupo 53 de hackers denominado "Master of Deception", MOD (Maestros de la Decepción). En Noviembre de 1989, hizo colapsar las computadoras de WNET, uno de los principales canales de televisión de la ciudad de New York, dejando un mensaje "Happy Thanksgiving you turkeys, from all of us at MOD" (Feliz Día de Acción de Gracias a Uds. pavos, de parte de todos nosotros en MOD). Una revista de New York lo catalogó, como "una de las 100 personas más inteligentes de la nación". En Julio de 1992, Abene y cuatro miembros de MOD fueron arrestados por una serie de cargos criminales. Abene se declaró culpable de los cargos federales de acceso desautorizado a computadoras de la compañia de teléfonos, incursión a computadoras y conspiración. Mark Abene pasó 10 meses en la prisión del condado Schuylkill de Pennsylvania, donde recibió tantas visitas y concedió entrevistas a periodistas y reporteros de canales de televisión, que sus compañeros de celda los apodaron CNN. Al negársele el uso de una computadora mientras estuvo en prisión, Mark Abene se convirtió en un héroe muy popular. Al salir en libertad fue empleado por su amigo Stacy Horn, del BBS denominado ECHO. Las hazañas de Abene le dieron tanta fama, que inspiraron a Michelle Slatalla y Joshua Quittne a escribir un libro titulado "The Gang That Ruled Cyberspace" (La Banda que dominó el Ciberespacio). 54 Johan Helsingius Responsable de uno de los más famosos servidores de mail anónimo. Fue preso por recusarse a dar información sobre un acceso que publicó documentos secretos de Church of Scientology en Internet. Tenía para eso un 486 con HD de 200Mb, y nunca preciso usar su propio servidor. El objetivo de un remailer anónimo es proteger la identidad del usuario. El servidor Remailer, no almacena los mensajes sino que sirve como un canal de re-transmisión de los mismos. El Remailer re-envía estos mensajes, sin dar a conocer la identidad del remitente original. Chen Ing-Hou es el creador del virus CIH, que lleva sus propias iniciales. Manifiesta que siente mucho por los graves daños causados por su creación viral, pero que ello fue motivado por una venganza en contra de los que llamó "incompetentes desarrolladores de software antivirus". Chen Ing-Hou nació en la ciudad de Kaohsiung, Taipei o Taibei, capital y principal ciudad de Taiwan, y creó su famoso virus en Mayo de 1998, al cual denominó Chernobyl, en conmemoración del 13 aniversario de la tragedia ocurrida en la planta nuclear rusa. Actualmente trabaja como experto en Internet Data Security. ir Dystic es el hacker autor del programa original Back Orifice, lanzado en 1998, da a conocer el lanzamiento de su nueva versión para Windows 2000 y NT. El primer lanzamiento de su sistema Back Orifice fue infectado con el virus CHI y ello dio motivo a que Sir Dystic anunciara que desarrollaría un antivirus denominado CDC Protector y otro que protegería a los sistemas de los troyanos, denominado CDC Monitor. 55 David L. Smith el 8 de Abril de 1999, David L. Smith, de 30 años, natural de Aberdeen, New Jersey y sospechoso de ser el autor del virus Melissa hizo su primera aparición en público en la Corte Superior del condado de Monmouth para escuchar las acusaciones en su contra. Smith permaneció silencioso y cabizbajo cuando escuchó los cargos. Ante el Juez John Riccardi David Smith dijo: "Sí, yo admito esos sucesos ocurridos como resultado de la propagación del virus Melissa. Pero yo no esperaba o anticipé la enorme cantidad de daño que ocasionó. Cuando difundí el virus yo supuse que algún daño material sería menor e incidental. De hecho, yo incluí instrucciones diseñadas para prevenir un daño substancial. No tuve idea de que habrían profundas consecuencias en contra de otros". Reonel Ramones de 27 años, empleado bancario, quien vivía con su hermana y su novia Irene de Guzmán de 23, fueron acusados de ser los autores del virus LoveLetter, el mismo que según algunas evidencias, habría empezado como un conjunto de rutinas para penetrar en otros sistemas, con el objeto de sustraer la información de tarjetas de crédito de terceros. Las evidencias apuntaron a Reonel Ramonez, como cabeza del grupo que participó en la creación y difusión de este virus. Una corporación holandesa lo contrató con un sueldo muy atractivo, por considerarlo muy hábil y capaz en el desarrollo de sistemas de seguridad en Redes e Internet. 56 Vladimir Levin graduado en matemáticas de la Universidad Tecnológica de San Petesburgo, Rusia, fue acusado y preso por la Interpol después de meses de investigación por ser la mente maestra de una serie de fraudes tecnológicos que le permitieron a él y la banda que conformaba, substraer más de 10 millones de dólares, de cuentas corporativas del Citibank. Insiste en la idea de que uno de los abogados contratado para defenderlo es, en verdad, un agente del FBI. A pesar de que la banda substrajo más de 10 millones de dólares al Citibank, Levin fue sentenciado a 3 años de prisión y a pagar la suma de US $ 240,015 a favor del Citibank, ya que las compañías de seguros habían cubierto los montos de las corporaciones agraviadas. Los técnicos tuvieron que mejorar sus sistemas de seguridad contra "crackers" y Vladimir Levin ahora se encuentra en libertad. El grupo Matrix, también autodenominado MATRIX4EVER (Matrix por siempre) y el grupo Coderz, ambos agrupan a hackers de diferentes nacionalidades y cuyos seudónimos son: ANAkToS de Grecia, Del_Armg0 de Francia, Cell de los Estados Unidos, mort de la república Checa, NBK de Brasil, pointbat de Francia, jackie de Austria, SankeByte de Alemania y ULTRAS de Rusia. NBK es originario de Río de Janeiro, Brasil, y destaca en estos grupos por ser el autor de las librerías Invictus, que el 20 de Octubre del 2001 emitió su versión 2.0 y con la cual se generan gusanos y troyanos que infectan los PE (Portable Executable). 57 Robert "Pimpshiz" Lyttle de 18 años de edad, se encuentra bajo arresto domiciliario, por orden de una Corte Juvenil de ciudad Martinez, estado de California, acusado de ser uno de los miembros del grupo Deceptive Duo, que probadamente incursionaron ilegalmente y substrajeron información de los servidores del sistema de la Federal Aviation Administration de los Estados Unidos y descargaron información confidencial relacionada a las filmaciones de las actividades de los pasajeros de los aeropuertos. Al momento de su arresto Lyttle portaba una portátil IBM ThinkPad, un lector de huellas digitales del dedo pulgar y otros sofisticados dispositivos "The Deceptive Duo" (El dúo engañoso) ingresaron a un servidor de la FAA, empleado por la administración de Seguridad de la Aviación Civil de los Estados Unidos, encargada a partir de los fatídicos incidentes del pasado 11 de Septiembre del 2001, del monitoreo de las actividades de los pasajeros en todos los aeropuertos de ese país. Cada sitio web incursionado por estos hackers, mostraba una supuesta "patriótica misión" en la cual preconizaban ser ciudadanos de los Estados Unidos de América, determinados a salvar al país de una "amenaza extranjera" al exponer los huecos de inseguridad en Internet. Incluso incluyeron el logo del grupo, consistente en dos armas de fuego delante de una bandera norteamericana. Cabe mencionar que Robert Lyttle, siendo un joven adolescente, de apenas 14 años formó la corporación Sub-Seven Software, que desarrolló herramientas tales como el Troyano buscador de puertos Sub-Net, el 58 desinstalador Uninstall it Pro y Define, entre otros y que muchos usuarios consideramos de gran utilidad. Posiblemente se convierta en un héroe del "underground" en el ciberespacio. En Febrero del 2002 descubrió una vulnerabilidad en el AOL Instant Messenger, y mucho antes hizo lo propio con varios sistemas de Microsoft. 59 CAPÍTULO III HERRAMIENTAS DE PROTECCIÓN 1. Firewall Un cortafuegos “Firewall” en inglés, es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios. Los cortafuegos pueden ser implementados en hardware o software, o una combinación de ambos. Los cortafuegos se utilizan con frecuencia para evitar que los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a Internet, especialmente intranets. Todos los mensajes que entren o salgan de la intranet pasan a través del cortafuegos, que examina cada mensaje y bloquea aquellos que no cumplen los criterios de seguridad especificados. También es frecuente conectar al cortafuegos a una tercera red, llamada Zona desmilitarizada o DMZ, en la que se ubican los servidores de la organización que deben permanecer accesibles desde la red exterior. Un cortafuegos correctamente configurado añade una protección necesaria a la red, pero que en ningún caso debe considerarse suficiente. La seguridad informática abarca más ámbitos y más niveles de trabajo y protección. 60 El término "firewall / fireblock" significaba originalmente una pared para confinar un incendio o riesgo potencial de incendio en un edificio. Más adelante se usa para referirse a las estructuras similares, como la hoja de metal que separa el compartimiento del motor de un vehículo o una aeronave de la cabina. La tecnología de los cortafuegos surgió a finales de 1980, cuando Internet era una tecnología bastante nueva en cuanto a su uso global y la conectividad. Los predecesores de los cortafuegos para la seguridad de la red fueron los routers utilizados a finales de 1980, que mantenían a las redes separadas unas de otras. La visión de Internet como una comunidad relativamente pequeña de usuarios con máquinas compatibles, que valoraba la predisposición para el intercambio y la colaboración, terminó con una serie de importantes violaciones de seguridad de Internet que se produjo a finales de los 80: - Clifford Stoll, que descubrió la forma de manipular el sistema de espionaje alemán. - Bill Cheswick, cuando en 1992 instaló una cárcel simple electrónica para observar a un atacante. - En 1988, un empleado del Centro de Investigación Ames de la NASA, en California, envió una nota por correo electrónico a sus colegas que decía: - "Estamos bajo el ataque de un virus de Internet! Ha llegado a Berkeley, UC San Diego, Lawrence Livermore, Stanford y la NASA Ames." 61 - El Gusano Morris, que se extendió a través de múltiples vulnerabilidades en las máquinas de la época. Aunque no era malicioso, el gusano Morris fue el primer ataque a gran escala sobre la seguridad en Internet; la red no esperaba ni estaba preparada para hacer frente a su ataque. Primera generación – cortafuegos de red: filtrado de paquetes: El primer documento publicado para la tecnología firewall data de 1988, cuando el equipo de ingenieros Digital Equipment Corporation (DEC) desarrolló los sistemas de filtro conocidos como cortafuegos de filtrado de paquetes22. Este sistema, bastante básico, fue la primera generación de lo que se convertiría en una característica más técnica y evolucionada de la seguridad de Internet. En AT & T Bell, Bill Cheswick y Steve Bellovin, continuaban sus investigaciones en el filtrado de paquetes y desarrollaron un modelo de trabajo para su propia empresa, con base en su arquitectura original de la primera generación. El filtrado de paquetes actúa mediante la inspección de los paquetes (que representan la unidad básica de transferencia de datos entre ordenadores en Internet). Si un paquete coincide con el conjunto de reglas del filtro, el paquete se reducirá (descarte silencioso) o será rechazado (desprendiéndose de él y enviando una respuesta de error al emisor). Este tipo de filtrado de paquetes no presta atención a si el paquete es parte de una secuencia existente de tráfico. En su lugar, se filtra cada paquete 22 Request for Comment 2979 - Comportamiento y requerimientos para los cortafuegos de Internet 62 basándose únicamente en la información contenida en el paquete en sí (por lo general utiliza una combinación del emisor del paquete y la dirección de destino, su protocolo, y, en el tráfico TCP y UDP, el número de puerto). Los protocolos TCP y UDP comprenden la mayor parte de comunicación a través de Internet, utilizando por convención puertos bien conocidos para determinados tipos de tráfico, por lo que un filtro de paquetes puede distinguir entre ambos tipos de tráfico (ya sean navegación web, impresión remota, envío y recepción de correo electrónico, transferencia de archivos…); a menos que las máquinas a cada lado del filtro de paquetes son a la vez utilizando los mismos puertos no estándar. El filtrado de paquetes llevado a cabo por un cortafuegos actúa en las tres primeras capas del modelo de referencia OSI, lo que significa que todo el trabajo lo realiza entre la red y las capas físicas. Cuando el emisor origina un paquete y es filtrado por el cortafuegos, éste último comprueba las reglas de filtrado de paquetes que lleva configuradas, aceptando o rechazando el paquete en consecuencia. Cuando el paquete pasa a través de cortafuegos, éste filtra el paquete mediante un protocolo y un número de puerto base (GSS). Por ejemplo, si existe una norma en el cortafuegos para bloquear el acceso telnet, bloqueará el protocolo IP para el número de puerto. Segunda generación - cortafuegos de aplicación: Son aquellos que actúan sobre la capa de aplicación del modelo OSI. La clave de un cortafuegos de aplicación es que puede entender ciertas aplicaciones y protocolos (por ejemplo: protocolo de transferencia de ficheros, DNS o 63 navegación web), y permite detectar si un protocolo no deseado se coló a través de un puerto no estándar o si se está abusando de un protocolo de forma perjudicial. Un cortafuegos de aplicación es mucho más seguro y fiable cuando se compara con un cortafuegos de filtrado de paquetes, ya que repercute en las siete capas del modelo de referencia OSI. En esencia es similar a un cortafuegos de filtrado de paquetes, con la diferencia de que también podemos filtrar el contenido del paquete. El mejor ejemplo de cortafuegos de aplicación es ISA (Internet Security and Acceleration)23. Un cortafuegos de aplicación puede filtrar protocolos de capas superiores tales como FTP, TELNET, DNS, DHCP, HTTP, TCP, UDP y TFTP (GSS). Por ejemplo, si una organización quiere bloquear toda la información relacionada con una palabra en concreto, puede habilitarse el filtrado de contenido para bloquear esa palabra en particular. No obstante, los cortafuegos de aplicación resultan más lentos que los de estado. Tercera generación – cortafuegos de estado: Durante 1989 y 1990, tres colegas de los laboratorios AT & T Bell, Dave Presetto, Janardan Sharma, y Nigam Kshitij, desarrollaron la tercera generación de servidores de seguridad. Esta tercera generación cortafuegos tiene en cuenta además la colocación de cada paquete individual dentro de una serie de paquetes. Esta tecnología se conoce generalmente como la inspección de estado de 23 www.wikipedia.com 64 paquetes, ya que mantiene registros de todas las conexiones que pasan por el cortafuegos, siendo capaz de determinar si un paquete indica el inicio de una nueva conexión, es parte de una conexión existente, o es un paquete erróneo. Este tipo de cortafuegos pueden ayudar a prevenir ataques contra conexiones en curso o ciertos ataques de denegación de servicio. Acontecimientos posteriores: En 1992, Bob Braden y DeSchon Annette, de la Universidad del Sur de California (USC), dan forma al concepto de cortafuegos. Su producto, conocido como "Visas", fue el primer sistema con una interfaz gráfica con colores e iconos, fácilmente implementable y compatible con sistemas operativos como Windows de Microsoft o MacOS de Apple. En 1994, una compañía israelí llamada Check Point Software Technologies lo patentó como software denominándolo FireWall-124. La funcionalidad existente de inspección profunda de paquetes en los actuales cortafuegos puede ser compartida por los sistemas de prevención de intrusiones (IPS). Actualmente, el Grupo de Trabajo de Comunicación Middlebox de la Internet Engineering Task Force (IETF) está trabajando en la estandarización de protocolos para la gestión de cortafuegos. Otro de los ejes de desarrollo consiste en integrar la identidad de los usuarios dentro del conjunto de reglas del cortafuegos. Algunos cortafuegos 24 Ibídem: www.wikipedia.com 65 proporcionan características tales como unir a las identidades de usuario con las direcciones IP o MAC. Otros, como el cortafuegos NuFW, proporcionan características de identificación real solicitando la firma del usuario para cada conexión Tipos de cortafuegos - Nivel de aplicación de pasarela: Aplica mecanismos de seguridad para aplicaciones específicas, tales como servidores FTP y Telnet. Esto es muy eficaz, pero puede imponer una degradación del rendimiento. - Circuito a nivel de pasarela: Aplica mecanismos de seguridad cuando una conexión TCP o UDP es establecida. Una vez que la conexión se ha hecho, los paquetes pueden fluir entre los anfitriones sin más control. Permite el establecimiento de una sesión que se origine desde una zona de mayor seguridad hacia una zona de menor seguridad. - Cortafuegos de capa de red o de filtrado de paquetes: Funciona a nivel de red (capa 3 del modelo OSI, capa 2 del stack de protocolos TCP/IP) como filtro de paquetes IP. A este nivel se pueden realizar filtros según los distintos campos de los paquetes IP: dirección IP origen, dirección IP destino. A menudo en este tipo de cortafuegos se permiten filtrados según campos de nivel de transporte (capa 3 66 TCP/IP, capa 4 Modelo OSI), como el puerto origen y destino, o a nivel de enlace de datos (no existe en TCP/IP, capa 2 Modelo OSI) como la dirección MAC. - Cortafuegos de capa de aplicación: Trabaja en el nivel de aplicación (capa 7 del modelo OSI), de manera que los filtrados se pueden adaptar a características propias de los protocolos de este nivel. Por ejemplo, si se trata de tráfico HTTP, se pueden realizar filtrados según la URL a la que se está intentando acceder. Un cortafuegos a nivel 7 de tráfico HTTP suele denominarse proxy, y permite que los computadores de una organización entren a Internet de una forma controlada. Un proxy oculta de manera eficaz las verdaderas direcciones de red. - Cortafuegos personal: Es un caso particular de cortafuegos que se instala como software en un computador, filtrando las comunicaciones entre dicho computador y el resto de la red. Se usa por tanto, a nivel personal. La función del firewall es ser una solida barrera entre su red y el mundo exterior. Este permite habilitar el acceso a usuarios y servicios aprobados. 67 Algunos de las prestaciones que le brindan son: • Previene que usuarios no autorizados obtengan acceso a su red. • Provee acceso transparente hacia Internet a los usuarios habilitados. • Asegura que los datos privados sean transferidos en forma segura por la red pública. • Ayuda a sus administradores a buscar y reparar problemas de seguridad. • Provee un amplio sistema de alarmas advirtiendo intentos de intromisión a su red. Estas son algunas de sus características técnicas: • Dos tipos de configuración, local y remota. • Configuración remota por medio de una interface grafica que corre sobre sistema operativo Windows 95/NT. • Configuración local por medio de una interface "ncurses" la cual se utiliza desde la consola del firewall. • Permite el uso de aplicaciones basados en servicios tales como RADIUS y TACACS+ los cuales se utilizan en tasación de tiempos de conexión y uso de servicios. • Soporta el uso de proxy-server para la configuración de su red interna. • Conexiones de todos los servicios comunes de TCP/IP a través del firewall de manera totalmente transparente. 68 • Soporta servicios multimedia, incluyendo Real Audio, CuSeeMe, Internet Relay Chat, etc.. • Amplio sistema de logeo de conexiones entrantes/salientes totalmente configurable. • Auto configuración de servidores que proveen servicios hacia el exterior de la red interna por medio de normas de seguridad. • Múltiples alarmas de intentos de ingreso fallidos hacia la red. • Sistema de alarmas configurable que permite el envío de avisos por medio de FAX, Pager, Mail, Voice Mail y advertencia visuales. • Filtro de acceso de conexiones permitidas por interfaces no permitidas, este filtro es importante para contrarrestar técnicas IPSPOOFING. • La configuración del firewall se puede hacer mediante el mismo server o desde un servidor remoto corriendo un sistema de administración especifico que utiliza para esta tarea una interface dedicada o TUNNELING (comunicación encriptado). • Soporte de comunicaciones encriptados entre dos FIREWALL (tunneling) en forma totalmente transparente usando algoritmo IDEA/3DES, no es necesario que entre las dos puntas de la comunicación se encuentren dos FIREWALL también se puede efectuar la conexión con cualquier servidor corriendo sistema operativo de tipo BSD, SunOS, Solaris, etc por medio de un daemon que el Firewall provee para cada sistema operativo. 69 • Los módulos de alarmas corren tanto dentro del FIREWALL (centralizador de alarmas) como también en los servidores de su red para poder brindar detalles mas específicos. El sistema de configuración permite agregar servicios no estándar a su red y usar estos con el modulo de TUNNELING (comunicación encriptado) para aumentar su seguridad. 2. Proxies “Un proxy, en una red informática, es un programa o dispositivo que realiza una acción en representación de otro, esto es, si una hipotética máquina a solicita un recurso a una c, lo hará mediante una petición a b; C entonces no sabrá que la petición procedió originalmente de a. Su finalidad más habitual es la de servidor proxy, que sirve para permitir el acceso a Internet a todos los equipos de una organización cuando sólo se puede disponer de un único equipo conectado, esto es, una única dirección IP”25. Características La palabra proxy se usa en situaciones en donde tiene sentido un intermediario. 25 Proxy: www.wikipedia.com 70 El uso más común es el de servidor proxy, que es un ordenador que intercepta las conexiones de red que un cliente hace a un servidor de destino. De ellos, el más famoso es el servidor proxy web (comúnmente conocido solamente como «proxy»). Intercepta la navegación de los clientes por páginas web, por varios motivos posibles: seguridad, rendimiento, anonimato, etc. También existen proxies para otros protocolos, como el proxy de FTP. El proxy ARP puede hacer de enrutador en una red, ya que hace de intermediario entre ordenadores. Proxy (patrón de diseño) también es un patrón de diseño (programación) con el mismo esquema que el proxy de red. Un componente hardware también puede actuar como intermediario para otros. Fuera de la informática, un proxy puede ser una persona autorizada para actuar en representación de otra persona; por ejemplo, alguien a quien le han delegado el derecho a voto. 71 Una guerra proxy es una en la que las dos potencias usan a terceros para el enfrentamiento directo. Como se ve, proxy tiene un significado muy general, aunque siempre es sinónimo de intermediario. También se puede traducir por delegado o apoderado (el que tiene el poder). Ventajas: En general (no sólo en informática), los proxies hacen posibles varias cosas nuevas26: Control: sólo el intermediario hace el trabajo real, por tanto se pueden limitar y restringir los derechos de los usuarios, y dar permisos sólo al proxy. Ahorro. Por tanto, sólo uno de los usuarios (el proxy) ha de estar equipado para hacer el trabajo real. Velocidad. Si varios clientes van a pedir el mismo recurso, el proxy puede hacer caché: guardar la respuesta de una petición para darla directamente cuando otro usuario la pida. Así no tiene que volver a contactar con el destino, y acaba más rápido. Filtrado. El proxy puede negarse a responder algunas peticiones si detecta que están prohibidas. 26 Proxy: www.wikipedia.co 72 Modificación. Como intermediario que es, un proxy puede falsificar información, o modificarla siguiendo un algoritmo. Anonimato. Si todos los usuarios se identifican como uno sólo, es difícil que el recurso accedido pueda diferenciarlos. Pero esto puede ser malo, por ejemplo cuando hay que hacer necesariamente la identificación. Desventajas: En general (no sólo en informática), el uso de un intermediario puede provocar: Abuso. Al estar dispuesto a recibir peticiones de muchos usuarios y responderlas, es posible que haga algún trabajo que no toque. Por tanto, ha de controlar quién tiene acceso y quién no a sus servicios, cosa que normalmente es muy difícil. Carga. Un proxy ha de hacer el trabajo de muchos usuarios. Intromisión. Es un paso más entre origen y destino, y algunos usuarios pueden no querer pasar por el proxy. Y menos si hace de caché y guarda copias de los datos. Incoherencia. Si hace de caché, es posible que se equivoque y dé una respuesta antigua cuando hay una más reciente en el recurso de destino. En 73 realidad este problema no existe con los servidores proxy actuales, ya que se conectan con el servidor remoto para comprobar que la versión que tiene en cache sigue siendo la misma que la existente en el servidor remoto. Irregularidad. El hecho de que el proxy represente a más de un usuario da problemas en muchos escenarios, en concreto los que presuponen una comunicación directa entre 1 emisor y 1 receptor (como TCP/IP). Funcionamiento Un proxy permite a otros equipos conectarse a una red de forma indirecta a través de él. Cuando un equipo de la red desea acceder a una información o recurso, es realmente el proxy quien realiza la comunicación y a continuación traslada el resultado al equipo inicial. En unos casos esto se hace así porque no es posible la comunicación directa y en otros casos porque el proxy añade una funcionalidad adicional, como puede ser la de mantener los resultados obtenidos (p.ej.: una página web) en una caché que permita acelerar sucesivas consultas coincidentes. Con esta denominación general de proxy se agrupan diversas técnicas. 3. Detección de Intrusos (IDS) Un sistema de detección de intrusos (o IDS de sus siglas en inglés Intrusion Detection System) es un programa usado para detectar accesos desautorizados a un computador o a una red. Estos accesos pueden ser 74 ataques de habilidosos hackers, o de Script Kiddies que usan herramientas automáticas. El IDS suele tener sensores virtuales (por ejemplo, un sniffer de red) con los que el núcleo del IDS puede obtener datos externos (generalmente sobre el tráfico de red). El IDS detecta, gracias a dichos sensores, anomalías que pueden ser indicio de la presencia de ataques o falsas alarmas. Existen tres tipos de sistemas de detección de intrusos los cuáles son: •HIDS (HostIDS): un IDS vigilando un único ordenador y por tanto su interfaz corre en modo no promiscuo. La ventaja es que la carga de procesado es mucho menor. •NIDS (NetworkIDS): un IDS basado en red, detectando ataques a todo el segmento de la red. Su interfaz debe funcionar en modo promiscuo capturando así todo el tráfico de la red. •DIDS (DistributedIDS): sistema basado en la arquitectura cliente-servidor compuesto por una serie de NIDS (IDS de redes) que actúan como sensores centralizando la información de posibles ataques en una unidad central que puede almacenar o recuperar los datos de una base de datos centralizada. 75 La ventaja es que en cada NIDS se puede fijar unas reglas de control especializándose para cada segmento de red. Es la estructura habitual en redes privadas virtuales (VPN). El funcionamiento de estas herramientas se basa en el análisis pormenorizado del tráfico de red, el cual al entrar al analizador es comparado con sospechosos, firmas como de puede ataques ser el conocidos, escaneo de o comportamientos puertos, paquetes malformados, etc. El IDS no sólo analiza qué tipo de tráfico es, sino que también revisa el contenido y su comportamiento. Normalmente esta herramienta se integra con un firewall. El detector de intrusos es incapaz de detener los ataques por sí solo, excepto los que trabajan conjuntamente en un dispositivo de puerta de enlace con funcionalidad de firewall, convirtiéndose en una herramienta muy poderosa ya que se une la inteligencia del IDS y el poder de bloqueo del firewall, al ser el punto donde forzosamente deben pasar los paquetes y pueden ser bloqueados antes de penetrar en la red. Los IDS suelen disponer de una base de datos de "firmas" de ataques conocidos. Dichas firmas permiten al IDS distinguir entre el uso normal del PC y el uso fraudulento, y/o entre el tráfico normal de la red y el tráfico que puede ser resultado de un ataque o intento del mismo. 76 4. Actualización de Software Las actualizaciones de sistema operativo contienen software nuevo que permite mantener actualizado el equipo. Estos son algunos ejemplos de actualizaciones: service packs, actualizaciones de versión, actualizaciones de seguridad y controladores. Las actualizaciones importantes y de alta prioridad son críticas para la seguridad y la confiabilidad del equipo. Ofrecen la protección más reciente contra las actividades malintencionadas en línea. 5. Control de sistemas de integridad de servidores. Cuando un servidor a sido “pirateado” el atacante suele enmascarar su paso borrando las huellas en los diarios de actividad, los ficheros log. Además puede instalar un serie de herramientas que le permiten crear una puerta trasera para poder volver a entrar sin dejar ningún tipo de huellas. Algunos, rizando el rizo, piensan en corregir la vulnerabilidad que les ha permitido entrar para evitar que cualquier otro pirata informático pueda entrar. Su presencia en un servidor se puede detectar con algunos comandos de administración que permiten presentar la lista de procesos en ejecución o más sencillamente la lista de usuarios conectados. Desgraciadamente existen unos programas, llamados rootkit, que se encargan de sobrescribir la 77 mayoría de las herramientas del sistema y remplazarla por comandos equivalentes que enmascaren la presencia del pirata informático. Está claro que, en ausencia de signos de deterioro, puede ser muy difícil para un administrador de sistemas de darse cuenta que una máquina a sido atacada. Cuando aun así nos encontramos con la prueba de una intrusión es necesario intentar darle una fecha probable al ataque para así poder determinar su posible extensión a otros servidores 78 CAPÍTULO IV POLÍTICAS INFORMÁTICAS DE PROTECCIÓN 1. Qué son las Políticas Informáticas de Protección “La amenaza representa el tipo de acción que tiende a ser dañina, mientras que la vulnerabilidad (conocida a veces como falencias (flaws) o brechas (breaches)) representa el grado de exposición a las amenazas en un contexto particular”27. Finalmente, la contramedida representa todas las acciones que se implementan para prevenir la amenaza. Las contramedidas que deben implementarse no sólo son soluciones técnicas, sino también reflejan la capacitación y la toma de conciencia por parte del usuario, además de reglas claramente definidas. Para que un sistema sea seguro, deben identificarse las posibles amenazas y por lo tanto, conocer y prever el curso de acción del enemigo. Por tanto, el objetivo de este informe es brindar una perspectiva general de las posibles motivaciones de los hackers, categorizarlas, y dar una idea de cómo funcionan para conocer la mejor forma de reducir el riesgo de intrusiones. 27 Paraninfo, Juan Jose. Seguridad Informática, Editorial Nombela, 1997 79 2. Objetivos de la Seguridad Informática Generalmente, los sistemas de información incluyen todos los datos de una compañía y también en el material y los recursos de software que permiten a una compañía almacenar y hacer circular estos datos. Los sistemas de información son fundamentales para las compañías y deben ser protegidos. Generalmente, la seguridad informática consiste en garantizar que el material y los recursos de software de una organización se usen únicamente para los propósitos para los que fueron creados y dentro del marco previsto. La seguridad informática se resume, por lo general, en cinco objetivos principales: • Integridad: garantizar que los datos sean los que se supone que son • Confidencialidad: asegurar que sólo los individuos autorizados tengan acceso a los recursos que se intercambian • Disponibilidad: garantizar el correcto funcionamiento de los sistemas de información • Evitar el rechazo: garantizar de que no pueda negar una operación realizada. • Autenticación: asegurar que sólo los individuos autorizados tengan acceso a los recursos 80 3. Alcance de las Políticas de la Seguridad Frecuentemente, la seguridad de los sistemas de información es objeto de metáforas. A menudo, se la compara con una cadena, afirmándose que el nivel de seguridad de un sistema es efectivo únicamente si el nivel de seguridad del eslabón más débil también lo es. De la misma forma, una puerta blindada no sirve para proteger un edificio si se dejan las ventanas completamente abiertas. Lo que se trata de demostrar es que se debe afrontar el tema de la seguridad a nivel global y que debe constar de los siguientes elementos: • Concienciar a los usuarios acerca de los problemas de seguridad • Seguridad lógica, es decir, la seguridad a nivel de los datos, en especial los datos de la empresa, las aplicaciones e incluso los sistemas operativos de las compañías. • Seguridad en las telecomunicaciones: tecnologías de red, servidores de compañías, redes de acceso, etc. • Seguridad física, o la seguridad de infraestructuras materiales: asegurar las habitaciones, los lugares abiertos al público, las áreas comunes de la compañía, las estaciones de trabajo de los empleados, etc. 81 4. Análisis de las razones que impiden la aplicación de Políticas de Seguridad Informática Generalmente, la seguridad de los sistemas informáticos se concentra en garantizar el derecho a acceder a datos y recursos del sistema configurando los mecanismos de autentificación y control que aseguran que los usuarios de estos recursos sólo posean los derechos que se les han otorgado. Los mecanismos de seguridad pueden sin embargo, causar inconvenientes a los usuarios. Con frecuencia, las instrucciones y las reglas se vuelven cada vez más complicadas a medida que la red crece. Por consiguiente, la seguridad informática debe estudiarse de modo que no evite que los usuarios desarrollen usos necesarios y así puedan utilizar los sistemas de información en forma segura. Por esta razón, uno de los primeros pasos que debe dar una compañía es definir una política de seguridad que pueda implementar en función a las siguientes cuatro etapas: - Identificar las necesidades de seguridad y los riesgos informáticos que enfrenta la compañía así como sus posibles consecuencias - Proporcionar una perspectiva general de las reglas y los procedimientos que deben implementarse para afrontar los riesgos identificados en los diferentes departamentos de la organización 82 - Controlar y detectar las vulnerabilidades del sistema de información, y mantenerse informado acerca de las falencias en las aplicaciones y en los materiales que se usan - Definir las acciones a realizar y las personas a contactar en caso de detectar una amenaza La política de seguridad comprende todas las reglas de seguridad que sigue una organización (en el sentido general de la palabra). Por lo tanto, la administración de la organización en cuestión debe encargarse de definirla, ya que afecta a todos los usuarios del sistema. En este sentido, no son sólo los administradores de informática los encargados de definir los derechos de acceso sino sus superiores. El rol de un administrador de informática es el de asegurar que los recursos de informática y los derechos de acceso a estos recursos coincidan con la política de seguridad definida por la organización. Es más, dado que el/la administrador/a es la única persona que conoce perfectamente el sistema, deberá proporcionar información acerca de la seguridad a sus superiores, eventualmente aconsejar a quienes toman las decisiones con respecto a las estrategias que deben implementarse, y constituir el punto de entrada de las comunicaciones destinadas a los usuarios en relación con los problemas y las recomendaciones de seguridad. 83 La seguridad informática de una compañía depende de que los empleados (usuarios) aprendan las reglas a través de sesiones de capacitación y de concientización. Sin embargo, la seguridad debe ir más allá del conocimiento de los empleados y cubrir las siguientes áreas: • Un mecanismo de seguridad física y lógica que se adapte a las necesidades de la compañía y al uso de los empleados • Un procedimiento para administrar las actualizaciones • Una estrategia de realización de copias de seguridad (backup) planificada adecuadamente • Un plan de recuperación luego de un incidente • Un sistema documentado actualizado 84 CAPÍTULO V CONCLUSIONES Y RECOMENDACIONES 1. Conclusiones • La vigilancia del buen funcionamiento del sistema es un asunto más complicado de lo que parece. El problema es que los ataques frecuentemente están disfrazados de conexiones más o menos válidas, y por otro lado, los sistemas de cómputo normalmente no avisan cuando son alterados, a no ser que esto se haya establecido de antemano. Los ataques generalmente tratan de aparentar que no ha ocurrido nada, a fin de conseguir hacer más y más modificaciones sin ser detectados y detenidos. • En los últimos años la seguridad en las redes de computadores se ha tornado en un asunto de primera importancia dado el incremento de prestaciones de las mismas, así como la imparable ola de ataques o violaciones a las barreras de acceso a los sistemas implementados en aquellas. Los "incidentes de seguridad" reportados continúan creciendo cada vez a un ritmo más acelerado, a la par de la masificación del Internet y de la complejidad del software desarrollado. • Algunos reportes han puesto de relieve que en una gran cantidad de casos la mayor amenaza de ataques al sistema no proviene de fuera, 85 sino que parte desde el interior de la organización. Muchos ataques exitosos desde el exterior han necesitado de cierta ayuda inicial activada en el interior de la organización, donde por lo general nadie sospecha de este tipo de prácticas. • Un caso muy común de este tipo de ataque lo constituye el trabajador despedido o castigado que decide tomar venganza. Antes de retirarse definitivamente puede efectuar este tipo de tareas maliciosas e incluso ponerse en combinación con un atacante externo. En ciertos casos la simple introducción intencional de un virus puede acarrear efectos devastadores. • La única manera de reducir el riesgo en estos casos, consiste en planificar el acceso al sistema de modo tal que ningún elemento crítico dependa de una sola persona. Dicho de otro modo, para dañar un sistema, no debe bastar con un único individuo disconforme. 86 2. Recomendaciones La mayoría de los ataques mencionados se basan en fallos de diseño inherentes a Internet (y sus protocolos) y a los sistemas operativos utilizados, por lo que no son "solucionables" en un plazo breve de tiempo. La solución inmediata en cada caso es mantenerse informado sobre todos los tipos de ataques existentes y las actualizaciones que permanentemente lanzan las empresas desarrolladoras de software, principalmente de sistemas operativos. Las siguientes son medidas preventivas. Medidas que toda red y administrador deben conocer y desplegar cuanto antes: 1. Mantener las máquinas actualizadas y seguras físicamente 2. Mantener personal especializado en cuestiones de seguridad (o subcontratarlo). 3. Aunque una máquina no contenga información valiosa, hay que tener en cuenta que puede resultar útil para un atacante, a la hora de ser empleada en un DoS coordinado o para ocultar su verdadera dirección. 4. No permitir el tráfico "broadcast" desde fuera de nuestra red. De esta forma evitamos ser empleados como "multiplicadores" durante un ataque Smurf. 5. Filtrar el tráfico IP Spoof. 87 6. Auditorias de seguridad y sistemas de detección. 7. Mantenerse informado constantemente sobre cada unas de las vulnerabilidades encontradas y parches lanzados. Para esto es recomendable estar suscripto a listas que brinden este servicio de información. 8. Por último, pero quizás lo más importante, la capacitación continua del usuario. 88 BIBLIOGRAFÍA - Martínez, R.; García Sola, J.: "Informática básica". Alhambra. 1993. Manual de paquete Microsoft Office - Pressman, SR.: "Ingeniería del Software". McGraw Hill. 1998 - W. Stallings. Ed. Pearson - Prentice Hall, Comunicaciones y Redes de Computadores (7ª Edición). 2004 - León-García e I. Widjaja. Redes de Comunicación: Conceptos Fundamentales y Arq. Básicas. Ed. McGraw Hill, 2002 - Paraninfo, Juan Jose. Seguridad Informática, Editorial Nombela, 1997 - Revista Intermagazine: www.magazine.com - informateca-dothoez.blogspot.com/.../ping-de-la-muerte.html - www.bsa.org - http://www.pcworld.com/resource/article/0,aid,125956,pg,1,RSS,RSS, 00.asp - Request for Comment 2979 - Comportamiento y requerimientos para los cortafuegos de Internet - www.wikipedia.com - http://office.microsoft.com - http://www.tayuda.com (tutoriales de office) - Manual de IBM Bladecenter: www.ibm.com 89