Aclaraciones didacticas sobre seguridad Informatica

Anuncio
Juan Cristóbal García Garrido
DNI:31710455X
Aclaraciones didácticas sobre seguridad Informática
La seguridad informática consiste en asegurar que los recursos del sistema de información
(material informático o programas) de una organización sean utilizados de la manera que se
decidió y que el acceso a la información allí contenida así como su modificación sólo sea
posible a las personas que se encuentren acreditadas y dentro de los límites de su
autorización.
Contenido
Aclaraciones didácticas sobre seguridad Informática
1.- Introducción
2.- Objetivos
3.- Análisis de riesgos
4.- Puesta en marcha de una política de seguridad
5.- Las amenazas
6.- Técnicas de aseguramiento del sistema
7.- Consideraciones de software
8.- Consideraciones de una red
9.- Algunas afirmaciones erróneas comunes acerca de la seguridad
10.- Organismos oficiales de seguridad informática
11.- Seguridad de la información
11.1.- Principios Básicos
11.2.- Conceptos Importantes
11.3.- Confidencialidad
11.4.- Integridad
11.5.- Disponibilidad
12.- Seguridad en internet
12.1.- Seguridad en el Nivel de Red
12.2.- Requisitos y Amenazas de la Seguridad
12.3.- ATAQUES PASIVOS
12.4.- ATAQUES ACTIVOS
13.- ANTIVIRUS
13.1.- El funcionamiento de un antivirus
13.2.- Daños y perjuicios
13.3.- Métodos de contagio
13.4.- Seguridad métodos de protección
13.5.- Antivirus (activo)
13.6.- Tipos de vacunas
13.7.- Filtros de ficheros (activo)
13.8.- Copias de seguridad (pasivo)
13.9.- Planificación
13.10.- Consideraciones de software
13.11.- Consideraciones de la red
13.12.- Política general
13.13.- Firewalls
13.14.- Reemplazo de software
13.15.- Centralización y backup
13.16.- Ingenieria social
1.- Introducción
Podemos entender como seguridad un estado de cualquier tipo de información (informático o
no) que nos indica que ese sistema está libre de peligro, daño o riesgo. Se entiende como
peligro o daño todo aquello que pueda afectar su funcionamiento directo o los resultados que
se obtienen del mismo. Para la mayoría de los expertos el concepto de seguridad en la
informática es utópico porque no existe un sistema 100% seguro. Para que un sistema se
pueda definir como seguro debe tener estas cuatro características:
•
•
•
•
Integridad: La información sólo puede ser modificada por quien está autorizado y de
manera controlada.
Confidencialidad: La información sólo debe ser legible para los autorizados.
Disponibilidad: Debe estar disponible cuando se necesita.
Irrefutabilidad (No repudio): El uso y/o modificación de la información por parte de un
usuario debe ser irrefutable, es decir, que el usuario no puede negar dicha acción.
Dependiendo de las fuentes de amenaza, la seguridad puede dividirse en seguridad física,
seguridad ambiental y seguridad lógica.
En estos momentos la seguridad informática es un tema de dominio obligado por cualquier
usuario de la Internet, para no permitir que su información sea comprometida.
Términos relacionados con la seguridad informática:
•
•
•
•
•
•
•
Activo: recurso del sistema de información o relacionado con éste, necesario para que
la organización funcione correctamente y alcance los objetivos propuestos.
Amenaza: es un evento que pueden desencadenar un incidente en la organización,
produciendo daños materiales o pérdidas inmateriales en sus activos.
Impacto: medir la consecuencia al materializarse una amenaza.
Riesgo: posibilidad de que se produzca un impacto determinado en un Activo, en un
Dominio o en toda la Organización.
Vulnerabilidad: posibilidad de ocurrencia de la materialización de una amenaza sobre
un Activo.
Ataque: evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema.
Desastre o Contingencia: interrupción de la capacidad de acceso a información y
procesamiento de la misma a través de computadoras necesarias para la operación
normal de un negocio.
Aunque a simple vista se puede entender que un Riesgo y una Vulnerabilidad se podrían
englobar un mismo concepto, una definición más informal denota la diferencia entre riesgo y
vulnerabilidad, de modo que se debe la Vulnerabilidad está ligada a una Amenaza y el Riesgo a
un Impacto.
2.- Objetivos
Los activos son los elementos que la seguridad informática tiene como objetivo proteger. Son
tres elementos que conforman los activos:
Información
Es el objeto de mayor valor para una organización, el objetivo es el resguardo de la
información, independientemente del lugar en donde se encuentre registrada, en
algún medio electrónico o físico.
Equipos que la soportan.
Software, hardware y organización.
Usuarios
Individuos que utilizan la estructura tecnológica y de comunicaciones que manejan la
información.
3.- Análisis de riesgos
El activo más importante que se posee es la información y, por lo tanto, deben existir técnicas
que la aseguren, más allá de la seguridad física que se establezca sobre los equipos en los
cuales se almacena. Estas técnicas las brinda la seguridad lógica que consiste en la aplicación
de barreras y procedimientos que resguardan el acceso a los datos y sólo permiten acceder a
ellos a las personas autorizadas para hacerlo.
Existe un viejo dicho en la seguridad informática que dicta: "lo que no está permitido debe
estar prohibido" y ésta debe ser la meta perseguida.
Los medios para conseguirlo son:
1. Restringir el acceso (de personas de la organización y de las que no lo son) a los
programas y archivos.
2. Asegurar que los operadores puedan trabajar pero que no puedan modificar los
programas ni los archivos que no correspondan (sin una supervisión minuciosa).
3. Asegurar que se utilicen los datos, archivos y programas correctos en/y/por el
procedimiento elegido.
4. Asegurar que la información transmitida sea la misma que reciba el destinatario al cual
se ha enviado y que no le llegue a otro.
5. Asegurar que existan sistemas y pasos de emergencia alternativos de transmisión
entre diferentes puntos.
6. Organizar a cada uno de los empleados por jerarquía informática, con claves distintas y
permisos bien establecidos, en todos y cada uno de los sistemas o aplicaciones
empleadas.
7. Actualizar constantemente las contraseñas de accesos a los sistemas de cómputo.
4.- Puesta en marcha de una política de seguridad
Actualmente las legislaciones nacionales de los Estados, obligan a las empresas, instituciones
públicas a implantar una política de seguridad. Ej: En España la Ley Orgánica de Protección de
Datos o también llamada LOPD y su normativa de desarrollo.
Generalmente se ocupa exclusivamente a asegurar los derechos de acceso a los datos y
recursos con las herramientas de control y mecanismos de identificación. Estos mecanismos
permiten saber que los operadores tiene sólo los permisos que se les dio.
La seguridad informática debe ser estudiada para que no impida el trabajo de los operadores
en lo que les es necesario y que puedan utilizar el sistema informático con toda confianza. Por
eso en lo referente a elaborar una política de seguridad, conviene:
•
•
•
Elaborar reglas y procedimientos para cada servicio de la organización.
Definir las acciones a emprender y elegir las personas a contactar en caso de detectar
una posible intrusión
Sensibilizar a los operadores con los problemas ligados con la seguridad de los
sistemas informáticos.
Los derechos de acceso de los operadores deben ser definidos por los responsables jerárquicos
y no por los administradores informáticos, los cuales tienen que conseguir que los recursos y
derechos de acceso sean coherentes con la política de seguridad definida. Además, como el
administrador suele ser el único en conocer perfectamente el sistema, tiene que derivar a la
directiva cualquier problema e información relevante sobre la seguridad, y eventualmente
aconsejar estrategias a poner en marcha, así como ser el punto de entrada de la comunicación
a los trabajadores sobre problemas y recomendaciones en término de seguridad.
5.- Las amenazas
Una vez que la programación y el funcionamiento de un dispositivo de almacenamiento (o
transmisión) de la información se consideran seguras, todavía deben ser tenidos en cuenta las
circunstancias "no informáticas" que pueden afectar a los datos, las cuales son a menudo
imprevisibles o inevitables, de modo que la única protección posible es la redundancia (en el
caso de los datos) y la descentralización -por ejemplo mediante estructura de redes- (en el
caso de las comunicaciones).
Estos fenómenos pueden ser causados por:
•
•
•
•
•
El usuario: causa del mayor problema ligado a la seguridad de un sistema informático
(porque no le importa, no se da cuenta o a propósito).
Programas maliciosos: programas destinados a perjudicar o a hacer un uso ilícito de los
recursos del sistema. Es instalado (por inatención o maldad) en el ordenador abriendo
una puerta a intrusos o bien modificando los datos. Estos programas pueden ser un
virus informático, un gusano informático, un troyano, una bomba lógica o un programa
espía o Spyware.
Un intruso: persona que consigue acceder a los datos o programas de los cuales no
tiene acceso permitido (cracker, defacer, script kiddie o Script boy, viruxer, etc.).
Un siniestro (robo, incendio, por agua): una mala manipulación o una malintención
derivan a la pérdida del material o de los archivos.
El personal interno de Sistemas. Las pujas de poder que llevan a disociaciones entre los
sectores y soluciones incompatibles para la seguridad informática.
6.- Técnicas de aseguramiento del sistema
•
•
•
Codificar la información: Criptología, Criptografía y Criptociencia, contraseñas difíciles
de averiguar a partir de datos personales del individuo.
Vigilancia de red.
Tecnologías repelentes o protectoras: cortafuegos, sistema de detección de intrusos antispyware, antivirus, llaves para protección de software, etc. Mantener los sistemas
de información con las actualizaciones que más impacten en la seguridad.
7.- Consideraciones de software
Tener instalado en la máquina únicamente el software necesario reduce riesgos. Así mismo
tener controlado el software asegura la calidad de la procedencia del mismo (el software
obtenido de forma ilegal o sin garantías aumenta los riesgos). En todo caso un inventario de
software proporciona un método correcto de asegurar la reinstalación en caso de desastre. El
software con métodos de instalación rápidos facilita también la reinstalación en caso de
contingencia.
Existe software que es conocido por la cantidad de agujeros de seguridad que introduce. Se
pueden buscar alternativas que proporcionen iguales funcionalidades pero permitiendo una
seguridad extra.
8.- Consideraciones de una red
Los puntos de entrada en la red son generalmente el correo, las páginas web y la entrada de
ficheros desde discos, o de ordenadores ajenos, como portátiles.
Mantener al máximo el número de recursos de red sólo en modo lectura, impide que
ordenadores infectados propaguen virus. En el mismo sentido se pueden reducir los permisos
de los usuarios al mínimo.
Se pueden centralizar los datos de forma que detectores de virus en modo batch puedan
trabajar durante el tiempo inactivo de las máquinas.
Controlar y monitorizar el acceso a Internet puede detectar, en fases de recuperación, cómo se
ha introducido el virus.
9.- Algunas afirmaciones erróneas comunes acerca de la seguridad
•
•
•
•
•
Mi sistema no es importante para un cracker. Esta afirmación se basa en la idea de que
no introducir contraseñas seguras en una empresa no entraña riesgos pues ¿quién va a
querer obtener información mía?. Sin embargo, dado que los métodos de contagio se
realizan por medio de programas automáticos, desde unas máquinas a otras, estos no
distinguen buenos de malos, interesantes de no interesantes, etc. Por tanto abrir
sistemas y dejarlos sin claves es facilitar la vida a los virus.
Estoy protegido pues no abro archivos que no conozco. Esto es falso, pues existen
múltiples formas de contagio, además los programas realizan acciones sin la
supervisión del usuario poniendo en riesgo los sistemas.
Como tengo antivirus estoy protegido. En general los programas antivirus no son
capaces de detectar todas las posibles formas de contagio existentes, ni las nuevas que
pudieran aparecer conforme los ordenadores aumenten las capacidades de
comunicación, además los antivirus son vulnerables a desbordamientos de búfer que
hacen que la seguridad del sistema operativo se vea más afectada aún.
Como dispongo de un firewall no me contagio. Esto únicamente proporciona una
limitada capacidad de respuesta. Las formas de infectarse en una red son múltiples.
Unas provienen directamente de accesos al sistema (de lo que protege un firewall) y
otras de conexiones que se realizan (de las que no me protege). Emplear usuarios con
altos privilegios para realizar conexiones puede entrañar riesgos, además los firewalls
de aplicación (los más usados) no brindan protección suficiente contra el spoofing.
Tengo un servidor web cuyo sistema operativo es un unix actualizado a la fecha: Puede
que este protegído contra ataques directamente hacia el núcleo, pero si alguna de las
aplicaciones web (PHP, Perl, Cpanel, etc.) está desactualizada, un ataque sobre algún
script de dicha aplicación puede permitir que el atacante abra una shell y por ende
ejecutar comandos en el unix.
10.- Organismos oficiales de seguridad informática
Existen organismos oficiales encargados de asegurar servicios de prevención de riesgos y
asistencia a los tratamientos de incidencias, tales como el CERT/CC (Computer Emergency
Response Team Coordination Center) del SEI (Software Engineering Institute) de la Carnegie
Mellon University el cual es un centro de alerta y reacción frente a los ataques informáticos,
destinados a las empresas o administradores, pero generalmente estas informaciones son
accesibles a todo el mundo.
11.- Seguridad de la información
Seguridad de la Información tiene como fin la protección de la información y de los sistemas de
la información del acceso, uso, divulgación, interrupción o destrucción no autorizada.
El termino Seguridad de Información, Seguridad informática y garantía de la información son
usados con frecuencia y aun que su significado no es el mismo, persiguen una misma finalidad
al proteger la Confidencialidad, Integridad y Disponibilidad de la información; Sin embargo
entre ellos existen algunas diferencias sutiles. Estas diferencias radican principalmente en el
enfoque , las metodologías utilizadas, y las zonas de concentración.
La Seguridad de la Información se refiere a la Confidencialidad, Integridad y Disponibilidad de
la información y datos, independientemente de la forma los datos pueden tener: electrónicos,
impresos, audio u otras formas.
En este artículo representa un panorama general del concepto de la Seguridad de la
Información y sus conceptos básicos.
11.1.- Principios Básicos
Los Gobiernos, entidades militares, instituciones financieras, los hospitales y las empresas
privadas acumulan una gran cantidad de información confidencial sobre sus empleados,
clientes, productos, investigación y su situación financiera. La mayor parte de esta información
es recolectada, tratada, almacenada y puesta a la disposición de sus usuarios, en
computadoras y trasmitida a través de las redes entre los ordenadores.
En caso de que la información confidencial de una empresa, sus clientes, sus decisiones, su
estado financiero o nueva línea de productos caigan en manos de un competidor; se vuelva
pública de forma no autorizada, podría ser causa de la perdida de credibilidad de los clientes,
pérdida de negocios, demandas legales o incluso la quiebra de la misma.
Por lo que proteger la información confidencial es un requisito del negocio, y en muchos casos
también un imperativo ético y una obligación legal.
Para el individuo común, la Seguridad de la Información tiene un efecto significativo respecto a
su privacidad, la que puede cobrar distintas dimensiones dependiendo de la cultura del mismo.
El campo de la Seguridad de la Información ha crecido y evolucionado considerablemente en
los últimos años. Convirtiéndose en una carrera acreditada a nivel mundial. La misma ofrece
muchas áreas de especialización, incluidos la auditoría de sistemas de información,
Planificación de la continuidad del negocio, Ciencia Forense Digital y Administración de
Sistemas de Gestión de Seguridad por nombrar algunos.
11.2.- Conceptos Importantes
Por más de veinte años la Seguridad de la Información ha declarado que la confidencialidad,
integridad y disponibilidad (conocida como la Tríada CIA, del inglés: "Confidentiality, Integrity,
Availability") son los principios básicos de la seguridad de la información.
La correcta Gestión de la Seguridad de la Información busca establecer y mantener programas,
controles y políticas, que tengan como finalidad conservar la confidencialidad, integridad y
disponibilidad de la información.
11.3.- Confidencialidad
La confidencialidad es la propiedad de prevenir la divulgación de información a personas o
sistemas no autorizados.
Por ejemplo, una transacción de tarjeta de crédito en Internet requiere que el número de
tarjeta de crédito a ser transmitida desde el comprador al comerciante y el comerciante de a
una red de procesamiento de transacciones. El sistema intenta hacer valer la confidencialidad
mediante el cifrado del número de la tarjeta y los datos que contiene la banda magnética
durante la transmisión de los mismos. Si una parte no autorizada obtiene el número de la
tarjeta en modo alguno, se ha producido una violación de la confidencialidad.
La perdida de la confidencialidad de la información puede adoptar muchas formas. Cuando
alguien mira por encima de su hombro, mientras usted tiene información confidencial en la
pantalla, cuando se publica información privada, cuando un laptop con información sensible
sobre una empresa es robado, cuando se divulga información confidencial a través del
teléfono, etc. Todos estos casos pueden constituir una violación de la confidencialidad.
11.4.- Integridad
Para la Seguridad de la Información, la integridad es la propiedad que busca mantener los
datos libres de modificaciones no autorizadas. (No es igual a integridad referencial en bases de
datos.) La violación de integridad se presenta cuando un empleado, programa o proceso (por
accidente o con mala intención) modifica o borra los datos importantes que son parte de la
información.
11.5.- Disponibilidad
La Disponibilidad es la característica, cualidad o condición de la información de encontrarse a
disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones.
En el caso de los sistemas informáticos utilizados para almacenar y procesar la información, los
controles de seguridad utilizado para protegerlo, y los canales de comunicación protegidos que
se utilizan para acceder a ella deben estar funcionando correctamente. La Alta disponibilidad
sistemas objetivo debe seguir estando disponible en todo momento, evitando interrupciones
del servicio debido a cortes de energía, fallos de hardware, y actualizaciones del sistema.
Garantizar la disponibilidad implica también la prevención de ataque Denegación de servicio.
12.- Seguridad en internet
Intentar comunicar un secreto en un entorno con millones de testigos potenciales como
Internet es difícil, y la probabilidad de que alguien escuche una conversación entre dos
interlocutores se incrementa conforme lo hace la distancia que las separa. Dado que Internet
es verdaderamente global, ningún secreto de valor debería ser comunicado a través de ella sin
la ayuda de la criptografía.
En el mundo de los negocios, información como números de tarjetas de crédito,
autenticaciones de clientes, correos electrónicos e incluso llamadas telefónicas acaba siendo
enrutada a través de Internet. Ya que gran parte de esta información corporativa no debe ser
escuchada por terceras personas, la necesidad de seguridad es obvia.
Sin embargo, la Seguridad en Internet no es sólo una preocupación empresarial. Toda persona
tiene derecho a la privacidad y cuando ésta accede a Internet su necesidad de privacidad no
desaparece. La privacidad no es sólo confidencialidad, sino que también incluye anonimato. Lo
que leemos, las páginas que visitamos, las cosas que compramos y la gente a la que hablamos
representan información que a la mayoría de las personas no les gusta dar a conocer. Si las
personas se ven obligadas a exponer información que normalmente desean ocultar por el
hecho de conectarse a Internet, probablemente rechazarán todas las actividades relacionadas
con la red.
Seguridad en Internet
•
Gestión de claves (incluyendo negociación de claves y su almacenamiento): Antes de
que el tráfico sea enviado/recibido, cada router/cortafuegos/servidor (elemento activo
de la red) debe ser capaz de verificar la identidad de su interlocutor.
•
Confidencialidad: La información debe ser manipulada de tal forma que ningún
atacante pueda leerla. Este servicio es generalmente prestado gracias al cifrado de la
información mediante claves conocidas sólo por los interlocutores.
•
Imposibilidad de repudio: Ésta es una forma de garantizar que el emisor de un mensaje
no podrá posteriormente negar haberlo enviado, mientras que el receptor no podrá
negar haberlo recibido.
•
Integridad: La autenticación valida la integridad del flujo de información garantizando
que no ha sido modificado en el tránsito emisor-receptor.
•
Autenticación: Confirma el origen/destino de la información -corrobora que los
interlocutores son quienes dicen ser.
•
Autorización: La autorización se da normalmente en un contexto de autenticación
previa. Se trata un mecanismo que permite que el usuario pueda acceder a servicios o
realizar distintas actividades conforme a su identidad.
Dependiendo de qué capa de la pila de protocolos OSI se implemente la seguridad, es posible
prestar todos o sólo algunos de los servicios mostrados anteriormente. En algunos casos tiene
sentido proveer algunos de ellos en una capa y otros en otra diferente.
12.1.- Seguridad en el Nivel de Red
Implementar la seguridad en el nivel de red tiene muchas ventajas. La primera de todas es que
las cabeceras impuestas por los distintos protocolos son menores ya que todos los protocolos
de transporte y de aplicación pueden compartir la infraestructura de gestión de claves provista
por esta capa. La segunda sería que pocas aplicaciones necesitarían cambios para utilizar la
infrastructura de seguridad, mientras que si la seguridad se implementara en capas superiores
cada aplicación o protocolo debería diseñar su propia infrastructura. Esto resultaría en una
multiplicación de esfuerzos, además de incrementar la probabilidad de existencia de fallos de
seguridad en su diseño y codificación.
La desventaja principal de implementar la seguridad en la capa de red es la dificultad de
resolver problemas como el de la imposibilidad de repudio o la autorización del usuario,
ciertos mecanismos de seguridad extremo a extremo -en los routers intermedios no existe el
concepto de "usuario", por lo que este problema no podría darse.
12.2.- Requisitos y Amenazas de la Seguridad
Para comprender los tipos de amenazas a la seguridad que existen, daremos algunos
conceptos de los requisitos en seguridad. La seguridad en computadores y en redes implica
tres exigencias:
- Secreto: requiere que la información en un computador sea accesible para lectura sólo a
usuarios autorizados. Este tipo de acceso incluye la impresión, mostrar en pantalla y otras
formas que incluyan cualquier método de dar a conocer la existencia de un objeto.
- Integridad: requiere que los recursos de un computador sean modificados solamente por
usuarios autorizados. La modificación incluye escribir, cambiar de estado, suprimir y crear.
- Disponibilidad: requiere que los recursos de un computador estén disponibles a los usuarios
autorizados.
Los tipos de agresión a la seguridad de un sistema de computadores o de redes se caracterizan
mejor observando la función del sistema como proveedor de información. En general, existe
un flujo de información desde un origen, como puede ser un fichero o una región de memoria
principal, a un destino, como otro fichero o un usuario.
Hay cuatro tipos de agresión:
Interrupción: un recurso del sistema se destruye o no llega a estar disponible o se inutiliza.
Ésta es una agresión de disponibilidad. Ejemplos de esto son la destrucción de un elemento
hardware (un disco duro), la ruptura de una línea de comunicación o deshabilitar el sistema de
gestión de ficheros.
Intercepción: un ente no autorizado consigue acceder a un recurso. Ésta es una agresión a la
confidencialidad. El ente no autorizado puede ser una persona, un programa o un computador.
Ejemplos de agresiones a la confidencialidad son las intervenciones de las líneas para capturar
datos y la copia ilícita de ficheros o programas.
Modificación: un ente no autorizado no solamente gana acceso si no que deteriora el recurso.
Ésta es una agresión a la integridad. Algunos ejemplos son los cambios de valores en un fichero
de datos, alterando un programa para que funcione de una forma diferente, y modificando el
contenido de los mensajes que se transmiten en una red.
Fabricación: una parte no autorizada inserta objetos falsos en el sistema. Esta es una agresión
a la autenticidad. Un ejemplo sería la incorporación de registros a un fichero.
12.3.- ATAQUES PASIVOS
Las agresiones pasivas son el tipo de las escuchas o monitorizaciones ocultas de las
transmisiones. La meta del oponente es obtener información que está siendo transmitida.
Existen dos tipos de agresiones: divulgación del contenido de un mensaje o análisis del tráfico.
La divulgación del contenido de un mensaje se entiende fácilmente. Una conversación
telefónica, un mensaje de correo electrónico o un fichero transferido pueden contener
información sensible o confidencial. Así, sería deseable prevenir que el oponente se entere del
contenido de estas transmisiones.
El segundo tipo de agresión pasiva, el análisis del tráfico, es más sutil. Suponga que tenemos
un medio de enmascarar el contenido de los mensajes u otro tipo de tráfico de información,
aunque se capturan los mensajes, no se podría extraer la información del mensaje. La técnica
más común para enmascarar el contenido es el cifrado. Pero incluso si tenemos protección de
cifrado, el oponente podría ser capaz de observar los modelos de estos mensajes. El oponente
podría determinar la localización y la identidad de los computadores que se están
comunicando y observar la frecuencia y la longitud de los mensajes intercambiados. Esta
información puede ser útil para extraer la naturaleza de la comunicación que se está
realizando.
Las agresiones pasivas con muy difíciles de detectar ya que no implican la alteración de los
datos. Sin embargo, es factible impedir el éxito de estas agresiones. Así, el énfasis para tratar
estas agresiones está en la prevención antes que la detección.
12.4.- ATAQUES ACTIVOS
La segunda categoría de agresiones es la de las agresiones activas. Estas agresiones suponen la
modificación del flujo de datos o la creación de flujos falsos y se subdivide en 4 categorías:
enmascaramiento, repetición, modificación de mensajes y denegación de un servicio.
Un enmascaramiento tiene lugar cuando una entidad pretende ser otra entidad diferente. Una
agresión de enmascaramiento normalmente incluye una de las otras formas de agresión
activa. Por ejemplo, se puede captar una secuencia de autentificación y reemplazarla por otra
secuencia de autentificación válida, así se habilita a otra entidad autorizada con pocos
privilegios a obtener privilegios extras suplantando a la entidad que los tiene.
La repetición supone la captura pasiva de unidades de datos y su retransmisión subsiguiente
para producir un efecto no autorizado.
La modificación de mensajes significa sencillamente que alguna porción de un mensaje
legítimo se altera, o que el mensaje se retrasa o se reordena para producir un efecto no
autorizado.
La denegación de un servicio impide o inhibe el uso o gestión normal de las facilidades de
comunicación. Esta agresión puede tener un objetivo específico: por ejemplo, una entidad
puede suprimir todos los mensajes dirigidos a un destino particular. Otro tipo de denegación
de servicio es la perturbación sobre una red completa, deshabilitándola o sobrecargándola con
mensajes de forma que se degrade su rendimiento.
Las agresiones activas presentan características opuestas a las agresiones pasivas. Mientras
que una agresión pasiva es difícil de detectar, existen medidas disponibles para prevenirlas.
Por otro lado, es bastante difícil prevenir una agresión activa, ya que para hacerlo se requeriría
protección física constante de todos los recursos y de todas las rutas de comunicación. Por
consiguiente, la meta es detectarlos y recuperarse de cualquier perturbación o retardo
causados por ellos. Ya que la detección tiene un efecto disuasivo, también puede contribuir a
la prevención.
13.- ANTIVIRUS
Los antivirus nacieron como una herramienta simple cuyo objetivo fuera detectar y eliminar
virus informáticos, durante la década de 1980.
Con el transcurso del tiempo, la aparición de sistemas operativos más avanzados e Internet, los
antivirus han evolucionado hacia programas más avanzados que no sólo buscan detectar un
Virus informáticos, sino bloquearlo para prevenir una infección por los mismos, así como
actualmente ya son capaces de reconocer otros tipos de malware, como spyware, rootkits, etc.
El funcionamiento de un antivirus varía de uno a otro, aunque su comportamiento normal se
basa en contar con una lista de virus conocidos y su formas de reconocerlos (las llamadas
firmas o vacunas), y analizar contra esa lista los archivos almacenados o transmitidos desde y
hacia un ordenador.
Adicionalmente, muchos de los antivirus actuales han incorporado funciones de detección
proactiva, que no se basan en una lista de malware conocido, sino que analizan el
comportamiento de los archivos o comunicaciones para detectar cuales son potencialmente
dañinas para el ordenador, con técnicas como Heurística, HIPS, etc.
Usualmente, un antivirus tiene un (o varios) componente residente en memoria que se
encarga de analizar y verificar todos los archivos abiertos, creados, modificados, ejecutados y
transmitidos en tiempo real, es decir, mientras el ordenador está en uso.
Asimismo, cuentan con un componente de análisis bajo demando (los conocidos scanners,
exploradores, etc), y módulos de protección de correo electrónico, Internet, etc.
El objetivo primordial de cualquier antivirus actual es detectar la mayor cantidad de amenazas
informáticas que puedan afectar un ordenador y bloquearlas antes de que la misma pueda
infectar un equipo, o poder eliminarla tras la infección.
Los retos de seguridad son cada vez mayores, conforme se confía en el desempeño de tareas a
los sistemas de información los daños que la pérdida de información pueden llegar a poner en
peligro la continuidad del negocio.
Hemos de disponer de una visión global en cuanto a la seguridad:
•
•
•
•
•
•
Contraseñas difíciles de averiguar.
Disponer de elementos pasivos/activos de detección de riesgos.
Mantener los sistemas de información con las actualizaciones que más impacten en la
seguridad.
Evitar programas cuyo comportamiento respecto a la seguridad no sea idóneo.
Mantener separación de sistemas operativos.
Mantenimiento progresivo de la computadora en la que se trabaja.
13.1.- El funcionamiento de un antivirus
Muchas veces las personas se preguntan como funciona un antivirus debido a que tiene que
verificar cada archivo de una computadora si esta infectada, puede haber una teoría de que un
antivirus es creado con una lista de codigos maliciosos en lo que lleva al antivirus a examinar
en la base de datos de un archivo, si en la lista de codigos maliciosos hay un codigo en el que
esta en un archivo, este sera reconocido como un virus informatico.
Pero se loros porque si el antivirus tiene esa lista de codigos, y se trata de examinar el mismo
antivirus, debería reconocerse que es un virus informatico
Pero podría haber otros datos en el antivirus y poder reconocerlo como una prueba de codigos
para el mismo funcionamiento del antivirus... en pocas palabras: que el antivirus no se detecte
como un virus debido a la lista de codigos maliciosos que tiene para detectar los virus en los
datos, habrían otros datos de funcionamiento en el antivirus que impedirían el acceso a
examinar la lista de codigos (no impedir examinar, sino darle una excepción al mismo antivirus
para hacer el trabajo del mismo).
Otra teoría de un antivirus es como desinfectar un archivo con virus...
Debido a que si los archivos están infectados, se borra el codigo malicioso de la base de datos
del archivo y listo... Pero podría ser ilogico...debería tener también otra explicación...
Procedimiento: Identificacion de Virus--->Identificar cada Archivo--->Identificar Numero de
posibilidades de solucionarlo--->Revisando y concluyendo cada una de las Soluciones-->Solucionar Probema--->Generar los proximos Anticuerpos para prevenir una vez mas este
virus
13.2.- Daños y perjuicios
Dado que una característica de los virus es el consumo de recursos, los virus ocasionan
problemas tales como pérdida de productividad, baja en el rendimiento del equipo, cortes en
los sistemas de información o daños a nivel de datos.
Otra de las características es la posibilidad que tienen de ir replicándose en otras partes del
sistema de información. Las redes en la actualidad ayudan a dicha propagación.
Los daños que los virus dan a los sistemas informáticos son:
•
•
•
Pérdida de información (evaluable según el caso)
Horas de contención (Técnicos de SI, Horas de paradas productivas, tiempos de
contención o reinstalación, cuantificables según el caso+horas de asesoría externa)
Pérdida de imagen (Valor no cuantificable)
- tambien es importante tener en cuenta que existen algunos malware que tienen la capacidad
de ocultar carpetas.
Hay que tener en cuenta que cada virus es una situación nueva, por lo que es difícil cuantificar
a priori lo que puede costar una intervención. Tenemos que encontrar métodos de realizar
planificación en caso de que se produzcan estas contingencias.
13.3.- Métodos de contagio
Existen dos grandes grupos de contaminaciones, los virus donde el usuario en un momento
dado ejecuta o acepta de forma inadvertida la instalación del virus, o los gusanos donde el
programa malicioso actúa replicándose a través de las redes.
En cualquiera de los dos casos, el sistema operativo infectado comienza a sufrir una serie de
comportamientos anómalos o no previstos. Dichos comportamientos son los que nos dan la
traza del problema y tienen que permitir la recuperación del mismo.
Dentro de las contaminaciones más frecuentes por interacción del usuario están las siguientes:
•
•
•
Mensajes que ejecutan automáticamente programas (como el programa de correo que
abre directamente un archivo adjunto)
Ingeniería social, mensajes como ejecute este programa y gane un premio.
Entrada de información en discos de otros usuarios infectados.
•
Instalación de software que pueda contener junto con éste uno o varios programas
maliciosos.
13.4.- Seguridad métodos de protección
Tener en cuenta este reto, es el primer paso para obtener seguridad. Existen múltiples medios
de intentar combatir el problema. Sin embargo debemos ser realistas. Conforme nuevos
programas y sistemas operativos se introduzcan en el mercado más difícil va a ser tener
controlados a todos y más sencillo va a ser que a alguien se le ocurran nuevas formas de
infectar el sistema.
Ante este tipo de problemas están los softwares llamados antivirus. Estos antivirus tratan de
descubrir las trazas que ha dejado un software malicioso, para eliminarlo o detectarlo, y en
algunos casos contener o parar la contaminación.
Los métodos para contener o reducir los riesgos asociados a los virus pueden ser los
denominados activos o pasivos.
13.5.- Antivirus (activo)
Estos programas como se ha mencionado tratan de encontrar la traza de los programas
maliciosos mientras el sistema este funcionando.
Tratan de tener controlado el sistema mientras funciona parando las vías conocidas de
infección y notificando al usuario de posibles incidencias de seguridad.
Como programa que esté continuamente funcionando, el antivirus tiene un efecto adverso
sobre el sistema en funcionamiento. Una parte importante de los recursos se destinan al
funcionamiento del mismo. Además dado que están continuamente comprobando la memoria
de la maquina, dar más memoria al sistema no mejora las prestaciones del mismo.
Otro efecto adverso son los falsos positivos, es decir al notificar al usuario de posibles
incidencias en la seguridad, éste que normalmente no es un experto de seguridad se
acostumbra a dar al botón de autorizar a todas las acciones que le notifica el sistema. De esta
forma el antivirus funcionando da una sensación de falsa seguridad
13.6.- Tipos de vacunas
•
CA:Sólo detección: son vacunas que solo detectan archivos infectados sin embargo no
pueden eliminarlos o desinfectarlos.
•
CA:Detección y desinfección: son vacunas que detectan archivos infectados y que
pueden desinfectarlos.
•
CA:Detección y aborto de la acción: son vacunas que detectan archivos infectados y
detienen las acciones que causa el virus.
•
CA:Detección y eliminación de archivo/objeto: son vacunas que detectan archivos
infectados y eliminan el archivo u objeto que tenga infección.
•
CB:Comparación directa: son vacunas que comparan directamente los archivos para
revisar si alguno esta infectado
•
CB:Comparación por firmas: son vacunas que comparan las firmas de archivos
sospechosos para saber si están infectados.
•
CB:Comparación de signature de archivo: son vacunas que comparan las signaturas de
los atributos guardados en tu equipo.
•
CB:Por métodos heurísticos: son vacunas que usan métodos heurísticos para comparar
archivos.
•
CC:Invocado por el usuario: son vacunas que se activan instantáneamente con el
usuario.
•
CC:Invocado por la actividad del sistema: son vacunas que se activan
instantáneamente por la actividad del sistema
13.7.- Filtros de ficheros (activo)
Otra aproximación es la de generar filtros dentro de la red que proporcionen un filtrado más
selectivo. Desde el sistema de correos, hasta el empleo de técnicas de firewall, proporcionan
un método activo y eficaz de eliminar estos contenidos.
En general este sistema proporciona una seguridad donde el usuario no requiere de
intervención, puede ser más tajante, y permitir emplear únicamente recursos de forma más
selectiva.
Cuando el número de puestos a filtrar crece puede ser conveniente
13.8.- Copias de seguridad (pasivo)
Mantener una política de copias de seguridad garantiza la recuperación de los datos y la
respuesta cuando nada de lo anterior ha funcionado.
Asimismo las empresas deberían disponer de un plan y detalle de todo el software instalado
para tener un plan de contingencia en caso de problemas.
13.9.- Planificación
La planificación consiste en tener preparado un plan de contingencia en caso de que una
emergencia de virus se produzca, así como disponer al personal de la formación adecuada para
reducir al máximo las acciones que puedan entrañar riesgo.
13.10.- Consideraciones de software
El software es otro de los elementos clave en la parte de planificación. Se debería tener en
cuenta la siguiente lista de comprobaciones:
1. Tener el software imprescindible para el funcionamiento de la actividad, nunca menos
pero tampoco más. Tener controlado al personal en cuanto a la instalación de
2.
3.
4.
5.
software es una medida que va implícita. Así mismo tener controlado el software
asegura la calidad de la procedencia del mismo (no debería permitirse software pirata
o sin garantías). En todo caso un inventario de software proporciona un método
correcto de asegurar la reinstalación en caso de desastre.
Disponer del software de seguridad adecuado. Cada actividad forma de trabajo
métodos de conexión a Internet requieren una medida diferente de aproximación al
problema. En general, las soluciones domésticas, donde únicamente hay un equipo
expuesto, no son las mismas que las soluciones empresariales.
Métodos de instalación rápidos. Para permitir la reinstalación rápida en caso de
contingencia.
Asegurar licencias. Determinados softwares imponen métodos de instalación de una
vez, que dificultan la reinstalación rápida de la red. Dichos programas no siempre
tienen alternativas pero ha de buscarse con el fabricante métodos rápidos de
instalación.
Buscar alternativas más seguras. Existe software que es famoso por la cantidad de
agujeros de seguridad que introduce. Es imprescindible conocer si se puede encontrar
una alternativa que proporcione iguales funcionalidades pero permitiendo una
seguridad extra.
13.11.- Consideraciones de la red
Disponer de una visión clara del funcionamiento de la red permite poner puntos de
verificación filtrado y detección ahí donde la incidencia es más claramente identificable. Sin
perder de vista otros puntos de acción es conveniente:
1. Mantener al máximo el número de recursos de red en modo de sólo lectura. De esta
forma se impide que computadoras infectadas los propaguen.
2. Centralizar los datos. De forma que detectores de virus en modo batch puedan
trabajar durante la noche.
3. Realizar filtrados de firewall de red. Eliminar los programas de compartición de datos,
como pueden ser los P2P; Mantener esta política de forma rigurosa, y con el
consentimiento de la gerencia.
4. Reducir los permisos de los usuarios al mínimo, de modo que sólo permitan el trabajo
diario.
5. Controlar y monitorizar el acceso a Internet. Para poder detectar en fases de
recuperación cómo se ha introducido el virus, y así determinar los pasos a seguir.
13.12.- Política general
Partiendo de la base que las actualizaciones e incorporaciones de nuevas tecnologías por parte
de las empresas implican una cantidad muy importante de nuevas tecnologías por día,
pensamos que es muy complicado mantener todos los sistemas de información con un nivel
muy alto de seguridad.
13.13.- Firewalls
Filtrar contenidos y puntos de acceso. Eliminar programas que no estén relacionados con la
actividad. Tener monitorizado los accesos de los usuarios a la red, permite asimismo reducir la
instalación de software que no es necesario o que puede generar riesgo para la continuidad
del negocio. Su significado es barrera de fuego y no permite que otra persona tenga acceso
desde otro equipo al tuyo.
13.14.- Reemplazo de software
Los puntos de entrada en la red son generalmente el correo, las páginas WEB, y la entrada de
ficheros desde discos, o de PC's que no están en la empresa (portátiles...)
Muchas de estas computadoras emplean programas que pueden ser reemplazados por
alternativas más seguras.
Es conveniente llevar un seguimiento de cómo distribuyen bancos, y externos el software,
valorar su utilidad e instalarlo si son realmente imprescindibles.
13.15.- Centralización y backup
La centralización de recursos y garantizar el backup de los datos es otra de las pautas
fundamentales en la política de seguridad recomendada.
La generación de inventarios de software, centralización del mismo y la capacidad de generar
instalaciones rápidas proporcionan métodos adicionales de seguridad.
Es importante tener localizado donde tenemos localizada la información en la empresa. De
esta forma podemos realizar las copias de seguridad de forma adecuada.
Control o separación de la informática móvil, dado que esta está más expuesta a las
contingencias de virus.
Empleo de sistemas operativos más seguros
Para servir ficheros no es conveniente disponer de los mismos sistemas operativos que se
emplean dentro de las estaciones de trabajo, ya que toda la red en este caso está expuesta a
los mismos retos. Una forma de prevenir problemas es disponer de sistemas operativos con
arquitecturas diferentes, que permitan garantizar la continuidad de negocio.
13.16.- Ingenieria social
En el campo de la seguridad informática, ingeniería social es la práctica de obtener
información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que
pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes
computacionales (mejor conocidos como Script Kiddies o Defaces, aunque el termino correcto
es cracker) para obtener información, acceso o privilegios en sistemas de información que les
permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido
a riesgo o abusos.
El principio que sustenta la ingeniería social es el que en cualquier sistema "los usuarios son el
eslabón débil". En la práctica, un ingeniero social usará comúnmente el teléfono o Internet
para engañar a la gente, pretendiendo, por ejemplo, ser un empleado de algún banco o alguna
otra empresa, un compañero de trabajo, un técnico o un cliente. Vía Internet o la web se usa,
adicionalmente, el envío de solicitudes de renovación de permisos de acceso a páginas web o
memos falsos que solicitan respuestas e incluso las famosas "cadenas", llevando así a revelar
información sensible, o a violar las políticas de seguridad típicas. Con este método, los
ingenieros sociales aprovechan la tendencia natural de la gente a reaccionar de manera
predecible en ciertas situaciones, -por ejemplo proporcionando detalles financieros a un
aparente funcionario de un banco- en lugar de tener que encontrar agujeros de seguridad en
los sistemas informáticos.
Quizá el ataque más simple pero muy efectivo sea engañar a un usuario llevándolo a pensar
que un administrador del sistema esta solicitando una contraseña para varios propósitos
legítimos. Los usuarios de sistemas de Internet frecuentemente reciben mensajes que solicitan
contraseñas o información de tarjeta de crédito, con el motivo de "crear una cuenta",
"reactivar una configuración", u otra operación benigna; a este tipo de ataques se los llama
phishing (pesca). Los usuarios de estos sistemas deberían ser advertidos temprana y
frecuentemente para que no divulguen contraseñas u otra información sensible a personas
que dicen ser administradores. En realidad, los administradores de sistemas informáticos
raramente (o nunca) necesitan saber la contraseña de los usuarios para llevar a cabo sus
tareas. Sin embargo incluso este tipo de ataque podría no ser necesario — en una encuesta
realizada por la empresa Boixnet, el 90% de los empleados de oficina de la estación Waterloo
de Londres reveló sus contraseñas a cambio de un bolígrafo barato.
Otro ejemplo contemporáneo de un ataque de ingeniería social es el uso de archivos adjuntos
en e-mails, ofreciendo, por ejemplo, fotos "intimas" de alguna persona famosa o algún
programa "gratis" (a menudo aparentemente provenientes de alguna persona conocida) pero
que ejecutan código malicioso (por ejemplo, usar la máquina de la víctima para enviar
cantidades masivas de spam). Ahora, luego de que los primeros e-mails maliciosos llevaron a
los proveedores de software a deshabilitar la ejecución automática de archivos adjuntos, los
usuarios deben activar esos archivos de forma explícita para que ocurra una acción maliciosa.
Muchos usuarios, sin embargo, abren casi ciegamente cualquier archivo adjunto recibido,
concretando de esta forma el ataque.
La ingeniería social también se aplica al acto de manipulación cara a cara para obtener acceso
a los sistemas computacionales.
La principal defensa contra la ingeniería social es educar y entrenar a los usuarios en el uso de
políticas de seguridad y asegurarse de que estas sean seguidas.
Uno de los ingenieros sociales más famosos de los últimos tiempos es Kevin Mitnick. Según su
opinión, la ingeniería social se basa en estos cuatro principios:
1.
2.
3.
4.
Todos queremos ayudar.
El primer movimiento es siempre de confianza hacia el otro.
No nos gusta decir No.
A todos nos gusta que nos alaben.
Descargar