FUNDAMENTOS DE SEGURIDAD

La misin de un administrador de sistemas en el plano de la seguridad, es garantizar la proteccin de la informacin crtica de la entidad en que trabaja. La informacin crtica es aquella cuyo deterioro pone en peligro la continuidad del negocio. Toda organizacin tiene una misin. La misin es el objetivo mismo de la empresa. Si la informacin crtica de la organizacin se ve comprometida, el resultado puede ir desde un simple inconveniente hasta algo tan grave como la prdida de la confianza del cliente. Desgraciadamente, la seguridad no es tomada an en serio en muchas organizaciones, por diferentes razones. El coste de la seguridad (en formacin, en restricciones, etc.) tiende a considerarse un factor de prdida de ROI. Por otro lado, en muchas ocasiones, un Administrador de Sistemas es tambin responsable de seguridad de los mismos sistemas que administra. Esto lleva a un dilema: por un lado, como administrador, busca la forma de mantener los servicios disponibles y fciles de usar para los usuarios; por el otro, como responsable de seguridad debe limitar los servicios y restringir el acceso para asegurar la informacin. Por lo general, el administrador terminar superponiendo su tarea de administrador sobre su tarea de responsable de seguridad.

LA SEGURIDAD ES UN PROCESO INTEGRAL

La seguridad afecta a todos los aspectos de una organizacin. Conseguir la seguridad integral de un sistema o conjunto de ellos, requiere a) seguridad fsica, b) seguridad tecnolgica y unas c) buenas polticas y procedimientos. Contar con dos de estos tres tipos de seguridad no es suficiente para garantizar un nivel suficiente de seguridad. Por ejemplo, una organizacin que utiliza avanzados mecanismos de seguridad tecnolgica pero no forma a sus empleados sobre la gestin de sus contraseas (poltica de gestin de contraseas), no ser una organizacin segura. Seguridad fsica La seguridad fsica "es la aplicacin de barreras fsicas y procedimientos de control como medidas de prevencin y contramedidas contra las amenazas a los activos y la informacin confidencial".La seguridad fsica de nuestros sistemas, y el establecimiento de buenas polticas para los empleados y usuarios es tan importante como usar mecanismos de seguridad tecnolgica. Todo servidor debera estar detrs de una puerta cerrada con llave, y solo un conjunto de empleados (administradores de sistemas y de seguridad) deberan poder acceder. Adems, los data center pueden emplear cmaras, lector de tarjetas, controles biomtricos e incluso cajas acorazadas dependiendo de la importancia de los datos almacenados en los servidores. Adems de estos mecanismos que limitan el acceso al espacio fsico, existen tambin mecanismos que protegen contra amenazas ambientales, las prdidas y los robos de informacin. Seguridad tecnolgica La seguridad tecnolgica se dividide en tres categoras: a) seguridad de aplicaciones b) seguridad del sistema operativo c) seguridad de la red. Seguridad de aplicaciones: Un servidor web es un ejemplo de aplicacin que puede sufrir problemas de seguridad. El servidor web es un buen ejemplo a la hora de establecer un escenario para mostrar posibles vulnerabilidades a nivel de aplicacin. Supongamos, que un servidor ha sido configurado para permitir acceso a unos documentos importantes solo a ciertos usuarios. En dicho escenario, si existe un bug en la forma en que se determina la identidad de un usuario , un atacante podra acceder a dichos documentos. Adems, es preciso que el servidor web sea correctamente configurado. Un servidor web es un software complejo que incluye muchas opciones configurables. Si no se restringe correctamente el acceso al sistema de archivos local, un atacante podra obtener acceso a archivos del sistema. En ocasiones, es posible obtener documentos importantes sencillamente buscando en un buscador, introduciendo las palabras clave adecuadas.

A menudo un servidor web interacciona con otro tipo de servicios, como una base de datos. Un atacante tambin podra usar datos enviados por el usuario para tomar control de la base datos, mediante un ataque de inyeccin SQL. Quien tambin puede sufrir vulnerabilidades de seguridad es un navegador web. Los navegadores descargan e interpretan datos de Internet, y a veces no lo hacen de la manera ms robusta posible, y pueden ser redirigidos para descargar datos de sitios web maliciosos . Un sitio malicioso puede hacer el navegador descargue un archivo que explote una vulnerabilidad del navegador, de forma que le permita tomar el control de la mquina al completo. Como resultado de un cdigo fuente pobremente escrito, los navegadores deben ser parcheados regularmente para eliminar dichas vulnerabilidades, como parches para "buffer overflows" o complementos para bloquear de iframes por ejemplo. Seguridad del Sistema Operativo: Los sistemas operativos no son seguros o inseguros. Lo que ocurre es que estn formados por millones de lneas de cdigo, y muchas de ellas tienen vulnerabilidades. Los fabricantes lanzan peridicamente parches y actualizaciones para solucionar los problemas detectados. Si un sistema operativo no est correctamente parcheado, un atacante podra explotar una vulnerabilidad, incluso teniendo un servidor web seguro, ya que un servidor delega en el sistema operativo para diversas funciones. Seguridad de la red: La capa de red es tambin importante. Es preciso asegurarse de que solo los paquetes vlidos pueden ser enviados a nuestras aplicaciones o sistemas operativos. El trfico malicioso, habitualmente consiste en paquetes de datos que contienen secuencias, que interpretados por un software vulnerable, produce resultados inesperados para el usuario , y puede provocar desde la caida de la mquina, hasta el acceso a informacin privilegiada. Los firewalls y los IDS son dos tipos de herramienta que se pueden utilizar para afrontar este trfico potencialmente malicioso . Polticas y procedimientos (SGI) Es importante reconocer que incluso si nuestro sistema es fsica y tecnolgicamente seguro, es preciso establecer polticas y procedimientos para que los empleados formen parte de la seguridad global . Cada empleado debe ser formado para nunca entregar su contrasea para cualquier sistema corporativo, incluso si se la pide un administrador. En este caso, un buen sistema de gestin de contraseas permitir al administrador resetear una contrasea, de forma que no debera necesitar pedir una contrasea. En los ataques de ingeniera social, un atacante puede convencer a un empleado (pobremente formado en seguridad) de que le entregue usuario y contrasea, impersonando a otro empleado. Las polticas y procedimientos para evitar cosas como esta, deben ser escritos en documentos y los empleados deben conocerlos. De hecho, existe una mxima que afirma que LA SEGURIDAD ES UN PROCESO, NO UN PRODUCTO. Por lo general, las polticas y procedimientos son asuntos que se definen no como algo aislado, sino como parte de un SGSI. Un SGSI es un mtodo sistemtico para implantar la seguridad en todos los procesos relacionados con la informacin que intervienen en una organizacin . Por lo general, la implantacin de un SGSI requiere la participacin de una empresa especializada que ayude a la organizacin a desarrollarlo. La implantacin de un SGSI es una decisin tomada, apoyada y dirigida desde la direccin de la organizacin. Los SGSI no tienen por qu ser implantados en toda la organizacin sino que pueden ser limitados a un rea o departamento especfico. Los SGSI utilizan el mtodo PDCA (Planinficacin, Ejecucin, Seguimiento, Mejora) para garantizar su efectividad. Se trata de un mtodo cclico, que empieza por la "Planificacin" y termina por la "Mejora", dando paso de nuevo a la "Planificacin". La evaluacin del SGSI es un proceso contnuo y para ello, se utilizan cuatro tipos distintos de documentacin: Polticas: son las lneas generalres para conseguir los objetivos de seguridad. Toda la organizacin debe conocer estas polticas. Procedimientos: Desarrollan los objetivos marcados por las polticas. En estos documentos aparecen detalles ms tcnicos y se concreta cmo conseguir los objetivos expuestos en las polticas. Los procedimientos deben ser conocidos por aquellas personas que lo requieran para el desarrollo de sus funciones. En ellos se describen los comandos tcnicos que se deben realizar para la ejecucin de los Procedimientos.

Instrucciones: Constituyen el desarrollo de los procedimientos. Registros: Los registros permiten controlar la implantacin del sistema y el cumplimiento de los requisitos. Se componen de indicadores y mtricas de seguridad que permiten evaluar la consecucin de los objetivos establecidos, mediante checklist por ejemplo. Fases del modelo PDCA. Planificacin: En esta fase, se realiza un estudio de la situacin de la organizacin desde el punto de vista de la seguridad, para estimar las medidas que se van a implantar en funcin de las necesidades de la organizacin. No toda la informacin es igual de importante, as que en esta fase se realiza un anlisis de riesgos que valore los activos de informacin y vulnerabilidades a las que se exponen. Tambin se define la gestin de los riesgos para reducirlos en lo posible. Para la gestin de los riesgos se tratan de controlar las vulnerabilidades detectadas. Finalmente se determinan los controles que se realizarn para poder minimizar los riesgos. Ejecucin: En esta fase se lleva a cabo la implantacin de los controles de seguridad seleccionados en la fase anterior. Se trata de los controles ms tcnicos, as como la documentacin necesaria. Esta fase tambin requiere la concienciacin y formacin para dar a conocer qu se est haciendo y por qu, al personal de la empresa. Seguimiento: En esta fase se evala la eficacia y el xito de los controles implantados. Es preciso detectar puntos dbiles y vulnerabilidades en el sistema. Mejora: En esta fase se llevarn a cabo las labores de mantenimiento del sistema. Si durante la fase anterior de Seguimiento se ha detectado algn punto dbil, este es el momento de mejorarlo o corregirlo. Para ello hay tres tipos de medidas: correctoras, preventivas y de mejora. Finalmente, se toman los resultados de la ltima fase y se comienza nuevamente la primera. El periodo durar 1 ao si lo que se buscaba era una certificacin, aunque puede variar en otros casos. Uno de los pasos en el desarrollo de un SGSI es la definicin de las polticas. Las polticas son documentos que delimitan qu se tiene que proteger, de quin y por qu. Deben explicar lo que est permitido y qu no, determinar los lmites del comportamiento aceptable y cul es la respuesta si estos se sobrepasan, e identificar los riesgos a los que est sometida la organizacin. La poltica, debe cumplir los siguientes requisitos: Debe ser redactada de manera accesible para todo el personal de la organizacin. Por ello, debe ser corta, precisa y de fcil comprensin. Debe ser aprobada por la direccin de la organizacin y publicitada por la misma. Debe ser de dominio pblico dentro de la organizacin, por lo que debe estar disponible para su consulta siempre que sea necesario. Debe ser la referencia para la resolucin de conflictos y otras cuestiones relativas a la seguridad de la organizacin. Debe definir responsabilidades teniendo en cuenta que stas van asociadas a la autoridad dentro de la compaa. En funcin de las responsabilidades, se decidir quin est autorizado a acceder a qu tipo de informacin. Debe indicar que lo que se protege en la organizacin incluye tanto al personal como a la informacin. Debe ser personalizada totalmente para cada organizacin. Debe sealar las normas y reglas que va a adoptar la organizacin y las medidas de seguridad que sern necesarias. En lo referente al contenido, la poltica de seguridad debera incluir los siguientes apartados: Definicin de los objetivos globales de la seguridad, y su importancia. Declaracin por parte de la direccin apoyando los objetivos y principios definidos en la poltica. Breve explicacin de las polticas. Definicin de responsabilidades generales y especficas, en las que se definen roles pero nunca personas concretas. Referencias a documentacin que pueda sustentar la poltica.

La poltica de seguridad es un documento que tiene que estar actualizado, lo que requiere revisiones y modificaciones anuales. Adems, debe ser revisado cada vez que se produzca un incidente importante de seguridad, cuando no se haya conseguido superar una auditora, y cuando se produzcan cambios en la estructura de la organizacin. Hasta aqu los SGSI. Aunque en lo sucesivo nos centremos en la seguridad a nivel tcnico, contar con una certificacin de seguridad (lo que acredita que contamos con un SGSI correctamente implementado) har que se nos vea con confianza por parte de terceros. Principios de seguridad fsica

Principios esenciales de seguridad tecnolgica

Un responsable de seguridad, debe contar con una serie de principios esenciales que simplifiquen el modo en que gestiona la seguridad de la organizacin. Estos principios son Control de Acceso, Gestin del CID, Identificacin y Autorizacin y No Repudio Control de acceso El control de acceso es uno de los pilares de la seguridad . Se trata de controlar quin puede entrar en cada habitacin y quin puede salir de ella. Para llevar a cabo el control de acceso con xito, los profesionales de la seguridad utilizan el principio de Menor Privilegio. El principio de Menor Privilegio dice que una persona no debe tener acceso a informacin que no necesita para desarrollar su trabajo. Esto es, un administrativo no necesita acceder a la informacin de desarrollo de software para hacer su trabajo. Del mismo modo, un programador no necesita acceder a los datos de los empleados. El control de acceso puede ser algo tedioso de implementar, sobre todo en organizaciones pequeas, debido a la cultura de confianza entre compaeros. Un buen modo de garantizar el Menor Privilegio es emplear la poltica Denegar Todo/Permitir por Excepcin. La idea es restringir el acceso a toda la informacin y bloquear todo el trfico por defecto. El acceso a cierta informacin especfica se garantiza solo a aquellos cuyo trabajo lo requiera. La decisin sobre quin necesita acceder a qu, debe ser definida por un cargo administrativo competente en dicho asunto. Gestionando el CID Otro de los pilares bsicos de la seguridad es la garanta de Confidencialidad, Integridad y Disponibilidad. Estos tres componentes de la seguridad son llamados CID (CIA en ingls). Confidencialidad es la cualidad de privacidad de un mensaje, comunicacin o datos para que solo sean leidos (y en caso de ser leidos solo puedan ser comprensibles) por la persona o sistema que est autorizado. La prdida de confidencialidad puede desembocar en multas, prdida de confianza del cliente o prdida de las ventajas estratgicas. Integridad es la cualidad de un mensaje, comunicacin o datos que permite comprobar que no se ha producido manipulacin alguna en el original. Supongamos que nuestro banco pierde la integridad sobre los datos de tus cuentas, de forma que se producen cargos anmalos y no hay forma de comprobar si son reales. Disponibilidad indica que un servicio, unos datos o un sistema son accesibles a los usuarios autorizados en el momento en que lo necesiten. Cuando no se cumple esta cualidad, se dice que hay una Negacin del Servicio o DoS. Indudablemente hay sistemas ms crticos que otros, de forma que la negacin de un servicio puede ser desastrosa, o simplemente una ancdota. Identificacin y Autorizacin Identificacin garantiza que conocemos sin ninguna duda quin est accediendo a la informacin. Autorizacin permite a los usuarios acceder solo a aquellas partes que necesitan. Se trata en definitiva de poder identificar a quien est intentando acceder a la informacin de la organizacin, y controlar a qu informacin acceden. NOTA: observese la diferencia entre "Control de Acceso" e "Identificacin y Autorizacin". "Identificacin y autorizacin" son "control de acceso + gestin de la indentidad"

No Repudio La propiedad de No Repudio implica que un elemento de la organizacin no puede rechazar su implicacin en una determinada accin, una vez que la ha llevado a cabo. El no repudio es similar a la firma de una persona escrita en un documento. Una vez que ha sido firmada, no se puede desdecir de ello. En ciertas organizaciones ser ms importante que en otras.

Conceptos bsicos
La seguridad debe ser establecida por niveles, de forma que si cierto nivel de seguridad es comprometido, aun quedarn los siguientes niveles para seguir garantizando la seguridad de la informacin crtica. Defensa en Profundidad (DiD) El primer sentido del trmino DiD, se refiere a cuatro mecanismos que se deben definir para garantizar un nivel de seguridad aceptable. Estos mecanismos son "Prevencin", "Deteccin", "Contencin" y "Recuperacin". Pensemos en una sucursal bancaria. Si se produce un robo, la oficina debera tener mecanismos disuasorios, como guardas de seguridad en las puertas. Si no es posible prevenir el robo, debe haber mecanismos que permitan detectar que se est produciendo un robo, como por ejemplo, cmaras de vigilancia. Una vez detectado el robo, debe haber mecanismos de contencin, como una mampara a prueba de balas o una caja fuerte con mecanismo de retardo. Y por ltimo, en caso de que se imposible contener el robo, el banco debera tener asegurado el dinero, de forma que pueda recuperarse del mismo. Este ejemplo es trasladable a la seguridad informtica. Hay que destacar que muchas organizaciones se centran en la prevencin y la deteccin y olvidan la contencin y recuperacin. Pensemos en un administrador que instala un potente firewall (para la prevencin) y un buen IDS (para la deteccin), pero no tiene medidas adecuadas para combatir las alertas generadas por ellos. Este administrador, considera que el trfico malicioso es una condicin excepcional, cuando en realidad debera tratarlo como un hecho cotidiano. De lo que se trata en la fase de contencin, es minimizar el impacto de un ataque, hasta que ste pueda ser correctamente identificado, y se puedan poner en marcha las medidas de recuperacin. Pensemos en un administrador de sistemas que desea prevenir ataques de diccionario sobre las contraseas de su sitio web exigiendo a sus usuarios que elijan contraseas fuertes (prevencin). Para detectar los ataques de diccionario, el servidor web puede monitorear una gran incidencia de logueos fallidos, provinientes de una o ms direcciones IP, y marcar dichas direccones como sospechosas (deteccin). Pero esto no es suficiente. Podra ser que el atacante consiga un buen nmero de cuentas vlidas y sus contraseas. Una forma de contener el ataque sera denegar todos los inicios de sesin desde la IP sospechosa. Otra opcin sera comprobar si el cliente cuenta con una cookie entregada durante el ltimo inicio de sesin vlido (contencin). Incluso as, el atacante puede contar con muchas IP vlidas desde donde atacar. Para recuperarse del ataque, se podra monitorizar la actividad de los usuarios logueados desde las IP sospechosas, y denegar las transacciones sospechosas, como las monetarias (recuperacin). Aun as, el sitio web debera tener un seguro contratado que le permita recuperarse de un ataque de este tipo, en el que por ejemplo, un atacante ha gastado dinero de un usuario cuya cuenta fue comprometida (recuperacin). El segundo sentido del trmino DiD, es un punto de vista de alto nivel (es decir, abstracto) siguiendo una estructura de capas. DiD estructura la seguridad desde tres perspectivas: administrativa, tcnica y operacional (es decir, las personas, la tecnologa y las operaciones). Estas tres reas cubren por completo la seguridad de una organizacin. Si una de ellas falla, debe ser cubierta con un refuerzo de las otras dos. Supongamos que el antivirus corporativo no es capaz de detener un virus que se propaga por la organizacin via e-mail. En tal caso, puesto que la tecnologa falla, los usuarios deben estar preparados para evitar doble clic sobre e-mails que lleven adjuntos documentos potencialmente maliciosos. Esta preparacin se debe basar en polticas de seguridad corporativa, que identifiquen las amenazas y establezcan procedimientos para controlarlas.

Personas: Las personas pueden definir la diferencia entre una organizacin medianamente segura y otra realmente segura. Cuando fallan los controles operativos y tcnicos, las personas deben responder de forma apropiada, o la amenaza se cumplir. Para que esto ocurra debe existir una cultura orientada a la seguridad, y dicha cultura solo es posible establecerla si es apoyada por los gestores de la organizacin. Tecnologa: La tecnologa se suele ver errneamente como la solucin para todo en temas de seguridad. De hecho, los fabricantes introducen sus productos como la panacea para la seguridad. En la prctica, el impacto de un producto sobre la seguridad, tiene ms que ver con las necesidades de la organizacin que con la calidad del producto. Por ejemplo, comprar el mejor appliance IDS no servir si las personas que lo utilizan no saban interpretar los resultados, o no aprovechan al mximo sus posibilidades. Tambin hay que recordar que la tecnologa est hecha por humanos, y los humanos cometen errores. Hasta el mejor de los sistemas tiene vulnerabilidades. Operacin: el aspecto operacional de la DiD son los procesos que permiten garantizar que la organizacin puede seguir funcionando de forma segura. Los procedimientos indican, por ejemplo, la manera en que la informacin se asegura durante la transmisin, como se almacena y se procesa en la red, cmo los usuarios y clientes interactan con los sistemas y los datos, etc. El aspecto operacional de la seguridad incluye muchas reas, y entre ellas el refuerzo de las polticas de seguridad y la confeccin de guas de seguridad para los sistemas. Tambin entran en esta categora la recuperacin de desastres, la continuidad del negocio, la respuesta a incidentes sospechosos o a intrusiones.

Niveles de Defensa
La idea detrs de una defensa establecida por niveles, es que si se produce ataque que comprometa a un mecanismo de seguridad, otro mecanismo superior detenga el ataque, alerte a la organizacin de la intrusin o ambas cosas.

Se puede apreciar que en el centro se encuentra la informacin crtica que deseamos proteger. Cada mecanismo de seguridad que se implementa alrededor de la informacin proporciona un nuevo nivel de proteccin a travs del cual, un atacante debera pasar para comprometer dicha informacin. Cuantos ms niveles se tengan, mejor protegida estar la informacin.

Una capa es solo tan til como la calidad de su implementacin. Un firewall perimetral pobremente configurado puede crear un hueco de seguridad aprovechado por un atacante. Esto es cierto siempre, para todos los mecanismos o productos que se implementen. A esto es preciso aadir el hecho de que todo producto (por caro que sea) tiene vulnerabilidades inherentes. Router: La primera barrera es el router, con sus ACL, que permite o deniega cierto trfico atravesando la red. Fireall: Los firewalls son la segunda barrera. Pueden basarse en software o en hardware, pero la premisa es la misma: control del trfico de forma ms granular que el router. Con un firewall se pueden controlar tambin protocolos de transporte y aplicacin. IDS e IPS: Los IDS y los IPS proporcionan mecanismos para que los administradores y profesionales de la seguridad puedan monitorear los intentos de violacin de las defensas que han levantado. La diferencia entre IDS e IPS es que el primero tiene una naturaleza pasiva (simplemente alerta y registra) mientras que un IPS tiene una naturaleza activa. Antivirus: Los antivirus operan tanto a nivel de red como a nivel de host. Algunos firewalls perimetrales y otros dispositivos de seguridad pueden escanear virus en el envo-recepcin de e-mails y archivos. La deteccin de virus a nivel de host proporciona esta misma proteccin. En una organizacin, con mltiples servidores y PCs, la incidencia de virus es muy habitual, y por esto el coste del software antivirus se ve como normalmente como un coste necesario. Hosts y servidores: La configuracin de hosts y servidores es el siguiente nivel de defensa. Por ejemplo, la desactivacin de servicios que no son necesarios y asegurarse de que las aplicaciones estn parcheadas correctamente son partes importantes de este nivel. Este nivel tambien incluye firewalls a nivel de host o mecanismos de deteccin de intrusiones. Polticas: El penltimo nivel de seguridad no es tcnico, sino que definen los objetivos de seguridad actuales de la organizacin. Esta documentacin incluye cosas como IRP (Incident Response Procedures), SP(Security Policy), AUP (Acceptable Use Policy) y CM (Configuration Management). Usuarios: Los usuarios son el nivel ms profundo. Cuando todos los otros niveles fallan, la organizacin depende del conocimiento y la tica de los usuarios. Es fundamental que los usuarios estn informados y preparados sobre las polticas de seguridad y de como la prdida de informacin crtica puede afectar a la organizacin. Es decir, la formacin es la clave aqu. Es importante recordar que cada organizacin debe implementar la seguridad acorde con sus necesidades, y no siempre es necesario contar con todas las capas. Una idea relacionada con DiD es la de Diversidad-en-Defensa (Diversity-in-Defense). Se trata de usar mltiples sistemas diferentes que hacen lo mismo. Un ejemplo de uso de diversidad-en-defensa es el uso de varios sistemas operativos dentro de una organizacin para reducir el impacto del malware. Por ejemplo, supongamos que una organizacin sufre una incidencia de virus que afecta al cliente de correo que utilizan los empleados en Windows. Si los empleados cuentan con sistemas duales, con GNU/Linux como segundo sistema operativo, entonces podrn usar este segundo sistema hasta que la infeccin est controlada. La diversidad-en-defensa tiene un coste: los administradores deben ser expertos en ms de un sistema, adems de que puede conllevar un mayor coste. Por ello, deben analizarse los pros y los contras de esta tcnica.

Clasificacin de activos y etiquetado

No todos los activos de una organizacin son igual. Algunos pueden tener impactos muy superiores a a otros. Por ejemplo, en un hospital, la informacin sobre los pacientes es ms importante para el desarrollo de la actividad diaria que la informacin de recursos humanos sobre los empleados. A pesar de que ambos tipos de informacin son importantes, no son iguales. Clasificacin de los activos La clasificacin de los activos permite a las organizaciones definir la importancia de los elementos relacionados con la informacin que gestiona. Basndose en esta clasificacin, se puede determinar el nivel apropiado de proteccin para cada tipo de activo.Desde un punto de vista presupuestario, este enfoque

permite al hospital planificar los anualmente los gastos en seguridad. Desde un punto de vista operativo, permite al hospital crear procedimientos para etiquetar la informacin y para manejar correctamente los distintos tipos de activos. En el mundo de los SGSI, existe una metodologa, llamada Magerit para agrupar los tipos de activos de la empresa. En el primer tipo estn los servicios (procesos de negocio de la organizacin) dados al exterior o que ofrecen con carcter interno, como la gestin de las nminas. El segundo tipo son los datos e informacin que se manipula dentro de la organizacin. El resto de activos suelen darle soporte de almacenamiento, manipulacin, etc. El tercer tipo est formado por las aplicaciones de software. En el cuarto grupo estn los equipos informticos. El quinto tipo lo forma el personal interno, subcontratado, clientes, etctera, y es el activo principal. El sexto tipo incluye las redes de comunicaciones de la organizacin, ya sean propias o subcontratadas. El sptimo tipo son los soportes fsicos de almacenamiento de la informacin. El octavo tipo es el equipamiento auxiliar, que no se ha incluido en ninguna de las categoras anteriores (trituradoras, mquinas de aire acondicionado,etc.). El noveno tipo incluye las instalaciones donde se alojan los sistemas de la informacin, como oficinas, edificios o vehculos. Y por ltimo estn los activos intangibles como la imagen o la reputacin. Para proteger los activos, es necesario conocerlos y identificar cules sn dentro de la organizacin. Para ello es preciso realizar un inventario que incluya para cada activo su descripcin, localizacin y propietario . El propietario debe definir el grado de seguridad requerido para el activo, aunque no sea quien va a gestionarlo o usarlo. Una vez identificados los activos, hay que determinar las dependencias existentes entre ellos, realizando preguntas del tipo Quin depende de quin? o Si falla el activo X, qu otros activos van a ser perjudicados o involucrados? El resultado es un grafo que relaciona los activos entre s.

Etiquetado de activos
Puesto que no todos los activos valen lo mismo, es preciso valorarlos para conocer la relevancia que tienen y el impacto de una incidencia sobre ellos. La valoracin puede ser cuantitativa (coste econmico) o cualitativa (con valores mensurables, por ejemplo del 0 al 10 o con valores "bajo, medio y alto"). El criterio de valoracin, para que sea ecunime para todos los activos, se basa en las "integridad", "confidencialidad" y "disponibilidad". En el caso de la base de datos comentada anteriormente, habra que preguntarse que impacto tendra un acceso no autorizado a la base de datos y su modificacin. El etiquetado de los activos permite comunicar a los empleados la clasificacin de los mismos, cmo de importante es un activo y cmo deberan protegerla. De hecho, en entornos militares se usan clasificaciones para la informacin del tipo "Confidencial", "Alto secreto", "Solo para uso oficial", etc. La clasificacin de la informacin es especfica para cada entorno. As pues, en un entorno comercial, los niveles de clasificacin son tan simples como "Pblico", "Sensible" o "Confidencial". La clave para crear estas clasificaciones es la creacin simultnea de procedimientos para cada nivel de clasificacin. Para la clasificacin "Pblica", una organizacin podra crear un procedimiento que indique que "la informacin marcada como Pblica tiene un impacto negativo muy pequeo sobre la organizacin, si esta fuese adquirida, modificada o destruida por personas no autorizadas. Esta informacin debe almacenarse en sistemas de almacenamiento normales, sin medidas de proteccin adicionales". Para la informacin clasificada como "Sensible" podemos dictaminar que "la informacin marcada como Sensible, en caso de ser adquirida, modificada o destruida, puede provocar un deterioro de la organizacin. Esta informacin debera almacenarse en sistemas de almacenamiento inaccesibles cuando no estn en uso y mantenidos bajo estrictas medidas de control cuando estn en uso".

Anlisis y valoracin de los riesgos

El riesgo se define como la exposicin a prdidas o daos potenciales. El riesgo tiene tres componentes: amenaza, impacto (o valor de la prdida) y vulnerabilidad. Si uno de estos componentes es anulado, el riesgo no existe. Amenaza: Una amenaza se puede definir como el conocimiento de que algo o alguien intenta causar un dao en nuestros activos. Las amenazas van a depender de la misin de la empresa, de forma que una agencia de viajes no considerar una amenaza la sustraccin de informacin clasificada, sino que ms bien estar preocupada por mantener su servicio de reserva online en funcionamiento. Impacto: El impacto est directamente relacionado con el valor del activo atacado. Si un atacante consigue acceder a informacin pblica, el impacto en nuestra organizacin no ser significativo. Sin embargo, si el atacante gana acceso a informacin sensible sobre un producto, el impacto ser negativo. Los mecanismos de proteccin deben decidirse en el contexto del valor de cada recurso. De hecho, una organizacin no debera gastar su presupuesto de seguridad para proteger informacin pblica. En vez de ello, deberan dedicarse ms esfuerzo a proteger informacin sensible. Vulnerabilidades: Las vulnerabilidades proporcionan el medio para sufrir daos. Estas vulnerabilidades pueden ser tcnicas, de programacin o humanas . Independientemente del tipo, deben ser controladas. El anlisis de riesgos consiste en la identificcin de los riesgos (amenazas, impacto y vulnerabilidades), la valoracin de su magnitud y la determinacin de reas que requieren medidas de proteccin contra dichos riesgos. Este anlisis nos indicar el impacto econmico de un fallo de seguridad, y la probabilidad de que ocurra ese fallo. El anlisis de riesgos tiene que hacerse acorde con los recursos econmicos y humanos de la organizacin. Debe centrarse en proteger los activos ms crticos de la organizacin. Durante la valoracin debe intentar reducirse la subjetividad, por lo que debera participar no solo el responsable del activo, sino otras personas implicadas. Para realizar el anlisis de los riesgos deben utilizarse criterios definidos y que se puedan usar de manera repetida. De esta forma se puede repetir peridicamente el anlsis de riesgos y comparar el nivel de riesgo a medida que la seguridad va mejorando. El anlisis de riesgos debe hacerse basndonos en el inventario realizado anteriormente, y si ste es muy extenso, centrarnos en los activos ms crticos. Para realizar el anlisis de riesgos: Es preciso identificar las amenazas, y valorar el impacto que puede causarle. S deben estudiar las vulnerabilidades que puedan materializar las amenazas . Si un activo est expuesto a una amenaza pero no tiene una vulnerabilidad que le permita manifestarse, el riesgo es menor que si existe la vulnerabilidad. Realizar un anlisis de las medidas de control de las vulnerabilidades que ya estn implantadas y analizar la posible inclusin de nuevas medidas. Con todos estos datos es posible realizar el estudio del riesgo y el impacto de todas estas variables sobre los diferentes activos, para conocer el nivel de riesgo de la organizacin. Existen metodologas para facilitar el anlisis de riesgos, como Magerit, ISO/IEC 27005, OCTAVE, etc.

Gestin del riesgo

No basta con tener una gran cantidad de niveles de seguridad , como se vi en DiD. Como ya hemos visto tambin es preciso conocer las amenazas a las que se est expuesto para comprender el riesgo total de la organizacin. Las vulnerabilidades pueden ser eliminadas, reducidas o aceptadas . No se pueden eliminar todas, en cuyo caso habramos alcanzado el 100% de seguridad. Algunas deben ser reducidas, lo que significa que la organizacin encontrar vas alternativas de proteger el activo, ya que la eliminacin de la misma conllevara un efecto negativo en el funcionamiento de la organizacin. En ocasiones, no merece la pena reducir una vulnerabilidad si el valor del recurso es bajo (en el caso de informacin pblica, por ejemplo). En estos casos, la organizacin puede sencillamente aceptar la vulnerabilidad.

Reduccin del riesgo

Las opciones que tiene una organizacin para reducir el riesgo son varias: Eliminar el riesgo: Para eliminar el riesgo se deben eliminar los activos a los que el riesgo est asociado. Se trata de una opcin que puede ser costosa o directamente imposible. Transferencia del riesgo: Subcontratacin de un servicio externo que gestione el activo. En ocasiones, esto no es posible, en el caso por ejemplo de activos altamente confidenciales. Asumir el riesgo: En ocasiones, no merece la pena reducir un riesgo si el valor del activo es bajo (en el caso de informacin pblica, por ejemplo). En estos casos, la organizacin puede sencillamente aceptarlo y no tomar medidas. Mitigar el riesgo: Se trata de implantar medidas que acten de salvaguarda para los activos. La capacidad de una organizacin para cambiar las amenazas o el valor de sus activos es muy limitada. Por ello, la nica opcin para mitigar el riesgo consiste en actuar sobre las vulnerabilidades. Esto no significa que no sea necesario conocer las amenazas, ya que de otro modo vamos a oscuras. Y si no dedicamos tiempo a comprender el valor de nuestros activos, tampoco conoceremos el impacto que tendra el compromiso de los mismos. La norma ISO/IEC 27002 es una gua de buenas prcticas que ofrece una gua sobre los controles a implantar en la organizacin, que se deben seguir para poder certificar un SGSI con la norma ISO/IEC 27OO1. Es importante documentar los controles que se vayan a llevar a cabo.

Conocer las amenazas

Cuando una organizacin comienza una nueva actividad basada en TI, entran en juego nuevas amenazas. De modo que resulta necesario que dicha organizacin desarrolle, compre e implante nuevas soluciones tecnolgicas que permitan mitigar las amenazas que no existan antes de que la organizacin comenzase esta nueva actividad. Diferentes tipos de organizaciones sufren diferentes tipos de amenazas, y tendrn objetivos diferentes en cuanto a la seguridad. Defacement El defacement es una forma de vandalismo en la que un atacante sustituye una pgina web legtima con una pgina ilegtima. En este tipo de ataques, el atacante sustituye el contenido de una pgina con otro de su eleccin. Este tipo de ataque es habitual en sitios que tratan temas polticos, pero no es muy relevante para instituciones financieras, por ejemplo, donde los atacantes estarn ms interesados en comprometer las cuentas bancarias o reailzar fraudes con tarjetas de crdito. En el caso que nos ocupa, el propietario de una pgina que trate temas polticos, no estar preocupado con que un atacante consiga acceso de solo lectura a la base de datos donde se almacenan los contenidos. En el caso de la institucin financiera, ese mismo acceso de solo lectura puede conllevar el acceso a tarjetas de crdito y el compromiso de las cuentas de los clientes. Infiltracion La infiltracin es un ataque en el que un usuario no autorizado gana acceso total a los recursos de un sistema. Para esto existen diferentes tcnicas que veremos ms adelante, como buffer overflow o inyeccin de comandos. En ocasiones, un atacande necesita infiltrarse en un servidor web para poder realizar un defacement. Supongamos que un sitio web corre sobre una base de datos, y un atacante ha conseguido privilegios de escritura sobre la base de datos (aunque no de lectura). En tal caso, una vez detectado el ataque, es posible restaurar la base de datos y rehacer las transacciones realizadas despus de la escritura ilegal. Si en el mismo ejemplo, el atacante consigue permisos de lectura o consigue escribir en los logs, el problema ser bastante mayor. Phishing En el phishing un atacante falsifica un sitio web que es idntico al sitio legtimo. El atacante intenta atraer vctimas al sitio falsificado para que introduzca sus credenciales de usuario, como usuario y contrasea . Consiguen atraer a sus vctimas mediante e-mails en los que le sugieren que existe un problema con su cuenta, de forma que deben hacer clic sobre el enlace para verificarla. El atacante consigue que el enlace

lleve al sitio malicioso. Cuando el usuaro introduce sus credenciales, el sitio malicioso reporta un error o redirige al usuario al sitio legtimo, o ambos. Pharming Se trata de conseguir que un usuario introduzca sus credenciales de usuario en un sitio malicios, que es una copia exacta del sitio legtimo. Aunque se parece al phishing, en el pharming, el atacante no necestia presentar a la vctima un enlace sobre el que haga clic, sino que basta con que introduzca la url correcta en el navegador, y ser redirigido al sitio malicioso. En general se puede conseguir comprometiendo la DNS empleada por la vctima (envenenamiento DNS), aunque existen otras alternativas. Amenazas internas Gran parte de los ataques sufridos por las organizaciones provienen del interior. Empleados insatisfechos, rencores personales, exempleados que buscan "justicia", o que desean lucrarse con datos de los clientes, etc. Para luchar contra esto, es preciso la "separacin de privilegios", de forma que cada empleado solo tenga los privilegios que necesita para realizar su trabajo. Fraude del clic Muchos anunciantes pagan a los buscadores para ser anunciados en los resultados de bsqueda de los usuarios, y pagan una cantidad por cada clic recibido. Pueden establecer un lmite de clics por da, por ejemplo, de forma que el coste no se dispare, y una vez alcanzado dejan de aparecer en los resultados. Un atacante "A" de la competencia podra agotar los clics de otra empresa "B", agotando adems su presupuesto y beneficindose de los clics que debera haber recibido legtimamente la empresa "B". Existen otros fraudes similares orientados a ganar dinero de forma fraudulenta. Denegacin de Servicio (DoS) Se trata del envo masivo de paquetes a un sitio web de forma que no es capaz de dar servicio a los usuarios legtimos que tratan de acceder a l. Dependiendo del negocio, este tipo de ataque puede ser ms o menos grave. Por ejemplo, una institucin financiera perder dinero como resultado de un DoS dado que sus clientes no podrn realizar transacciones online. Robo y prdida de datos Hace poco que fue sustraida informacin de millones de usuarios de la base de datos de PlayStation Network. En 2005, Bank of America perdi cintas de backup que contenan informacin sobre un millon de clientes, durante un traslado. Anualmente se producen infinitud de robos y prdidas de datos, incluso de firmas reconocidas.

tica en la seguridad de la informacin

Resulta frustrante ver como desde algn punto remoto se est perpetrando un ataque sobre uno de nuestros servidores. Resulta inevitable pensar en trminos de devolver la moneda, identificando al atacante as como sus vulnerabilidades, y comprometer sus sistemas. Sin embargo, el profesional de la seguridad debe recordar dos cosas: a) que est en el lado de los "buenos", y que debe actuar como tal. b) que el que ve como atacante podra ser a su vez un sistema comprometido que est siendo usado indirectamente.

Reaccin a un incidente
La seguridad total no existe. Un profesional de la seguridad lo sabe y por ello busca grietas en su armadura. Peridicamente, un ataque afectar a la organizacin, y el nivel de interrupcin e impacto provocado estar en funcin de la preparacin para dicho incidente y de cmo manejamos la situacin. Por ello, si se desea estar preparado para las incidencias: a) Contemplar la posibilidad de que ocurra la incidencia. b) Conocer la documentacin y procedimientos de seguridad de los sistemas. Desconectamos el cable de red o apagamos el host comprometido?, Estn los procedimientos documentados?

Auditora de seguridad de la informacin

Una auditora de seguridad informtica o auditora de seguridad de sistemas de informacin (SI) es el estudio que comprende el anlisis y gestin de sistemas llevado a cabo por profesionales generalmente por Ingenieros o Ingenieros Tcnicos en Informtica para identificar, enumerar y posteriormente describir las diversas vulnerabilidades que pudieran presentarse en una revisin exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores. Una vez obtenidos los resultados, se detallan, archivan y reportan a los responsables quienes debern establecer medidas preventivas de refuerzo y/o correccin siguiendo siempre un proceso secuencial que permita a los administradores mejorar la seguridad de sus sistemas aprendiendo de los errores cometidos con anterioridad. La forma ms agresiva de auditora es el test de intrusin o Pentest, en el que se autoriza al auditor a comprometer los sistemas (sin daar los activos) para conocer las vunerabilidades. Las auditoras de seguridad de SI permiten conocer en el momento de su realizacin cul es la situacin exacta de sus activos de informacin en cuanto a proteccin, control y medidas de seguridad. Existen estnderes orientados a servir como base para auditoras de informtica, como la gua COBIT o el standard ISO 27002, el cual se conforma como un cdigo internacional de buenas prcticas de seguridad de la informacin, este puede constituirse como una directriz de auditora apoyndose de otros estndares de seguridad de la informacin que definen los requisitos de auditora y sistemas de gestin de seguridad, como lo es el estndar ISO 27001 analizado por Maritee. Tipos de auditora Los servicios de auditora pueden ser: Auditora interna: se analiza el nivel de seguridad de las redes locales y las redes corporativas. Auditora de seguridad perimetral: intento de acceso desde el exterior. Test de intrusin (pentest): intento de acceso a los sistemas. Es complementario al auditora perimetral Anlisis forense: se analiza el sistema una vez que se ha producido el incidente. Auditora web: anlisis de vulnerabilidades del mbito web, como XSS o inyeccin de cdigo SQL. Auditora de cdigo de aplicaciones: anlisis de cdigo fuente de aplicaciones en busca de vulnerabilidades.

Comunicacin y transferencia de conocimiento

Es importante hacerse entender. Los gestores de la organizacin pondrn los recursos econmicos para que podamos hacer nuestro trabajo. Los empleados deben seguir las instrucciones que les demos para garantizar la seguridad. En definitiva, la capacidad de expresarse en trminos lingsticos comprensibles para cada colectivo es muy importante para que nuestro trabajo tenga xito Comunicacin con los usuarios Los usuarios son la piedra angular de una organizacin. Pueden garantizar la seguridad de una organizacin prestando atencin a aquellas acciones diarias que afectan a la informacin. Sin embargo, en la mayora de los casos, la seguridad no ser su trabajo, de modo que si queremos ser entendidos, debemos adaptar nuestro lenguaje a sus conocimientos (sin tratarlos como a idiotas). Anualmente es preciso que los empleados reciban formacin de seguridad, y comprendan como sus acciones diarias pueden comprometer la seguridad de la informacin de la organizacin. Para que esta formacin sea efectiva: Debe adaptarse al mundo del empleado. Si se explican las mejores configuraciones de seguridad perimetral, probablemente haya algn bostezo que otro, pero si en lugar de ello, explicamos como tcnicas para evitar la ingeniera social, prestarn ms atencin. Para que la formacin sea efectiva, debe componerse de acciones sencillas de implementar, como por ejemplo no dejar contraseas anotadas en post-its, ni constestar a correos donde se nos pida informacin privada. Para que la formacin sea efectiva, se deben explicar las consecuencias de no seguir las polticas de seguridad. Hay que tener en cuenta, que muchas de estas polticas pueden resultar inconvenientes

para los usuarios, y por ello tendern a no cumplirlas salvo que comprendan por qu se han definido.

Documentacin
La mejor forma de comunicarse en lo relativo a la seguridad de la organizacin con el resto de empleados, es mediante documentacin. Documentos tales como las "Polticas de Seguridad", "Polticas de Uso Aceptable", "Documentos de formacin", "Guas de Gestin de la Configuracin", "Continuidad del negocio" y "Respuesta a Incidentes", proprocionan un recurso slido para empleados, gestores, administradores y profesionales de la seguridad. Coperacin Los gestores de la organizacin conocen la informacin crucial para la misin, y por ello tienen mucho que decir en relacin a la seguridad. Cada empleado conoce mejor que nadie la informacin que necesita para poder realizar su trabajo, por lo que tambin tienen mucho que decir sobre la seguridad. Todo esto debe quedar registrado en la documentacin una vez procesado por el profesional de la seguridad. Normativa La documentacin debe ajustarse a la normativa local en materia de seguridad, ya que lo que en un sitio es legal (o sencillamente no est legislado) en otro puede ser ilegal y motivo de sancin. Es preciso conocer la normativa nacional y local en esta materia y reflejar las restricciones en la documentacin de seguridad.

Cumplimiento de la documentacin
Contar con una buena documentacin es un primer paso. Pero para que se cumpla, los empleados deben leerla. Ningn empleado querr. Por ello, la formacin anual es un buen momento para dar a conocer el contenido de la documentacin. Los primeros que deben apoyar el cumplimiento de la documentacin son los gestores de la organizacin, ya que la cultura de seguridad va desde arriba hacia abajo.

Responsabilidades diarias de seguridad

La seguridad es un proceso de trabajo contnuo. No es posible instalar un firewall o un IDS y decir que ya estamos seguros. Cuando se establece un programa de seguridad, hay que tener en cuenta al menos los siguientes puntos de trabajo diario: Parches y actualizaciones: Para mantener la seguridad, los parches y actualizaciones deben aplicarse de forma contnua. Hay que probar los parches en un entorno de prueba antes de implementarlos en sistemas en produccin. A veces, un parche puede causar ms dao que beneficio por comportamientos inesperados Copias de seguridad y restauracin: Las copias de seguridad deben hacerse todos los das. La copias totales se suelen hacer una vez a la semana. Las copias diferenciales se suelen hacer entre copias totales, pero no todo el tiempo, y suelen hacerse para garantizar que cierta aplicacin o ciertos datos son copiados ms a menudo que una vez a la semana. Las copias incrementales se suelen realizar la mayora de los das entre copias totales, ya que son ms pequeas, aunque ms sensibles al deterioro. A dems de realizar las copias, es preciso comprobar las copias. Si no se presta atencin al software de copia, es posible que llegado el desastre, sea demasiado tarde. Proteccin contra el malware: El software para combatir el malware no sirve para nada si no se actualiza. Garantizar que se actualiza forma parte del trabajo diario de la seguridad. No es preciso ir mquina a mquina chequeando las firmas, ya que para ello existen softwares corporativos que permiten centralizar la administracin de los clientes. Seguridad perimetral: La seguridad perimetral la establece el router, el firewall, los switches y los IDS/IPS. En todos los casos, el principio de "Prohibir todo/Permitir por excepcin" es la mejor manera de controlar el trfico de la red caso por caso. Implica ms trabajo e inconvenientes para los usuarios, pero garantiza un nivel superior de seguridad.

Seguridad fsica
La seguridad fsica es todo aquello que ocurre con los sistemas, justo antes de escribir comandos en el teclado. Es dicir, alarmas, cerraduras, circuitos cerrados de video, sistemas de alimentacin ininterrumpida, etc. Seguridad fsica: aplicacin de barreras fsicas y procedimientos de control como medidas de prevencin y contramedidas contra las amenazas a los activos y la informacin confidencial . En definitiva se trata de proteger desde un ratn hasta una cinta de backup con toda la informacin de los clientes, pasando la cpu de un servidor. La seguridad fsica es un aspecto olvidado. Los administradores dedican mucho tiempo y esfuerzo a asegurar "tecnolgicamente" (traduccin literal del ingls, seguridad tecnolgica, aunque en espaol se puede usar el trmino seguridad lgica) sus sistemas, mediante reglas de firewall restrictivas, IDS, etctera, y dan poca importancia a la seguridad fsica. En definitiva, un atacante buscar la manera ms fcil de obtener lo que quiere. Si detecta vulnerabilidades en la seguridad fsica, preferir robar una cinta con la copia total del sistema que intentar acceder a l a travs de fallos en el software, puesto le resultar ms fcil. Otra razn por la que la seguridad fsica es importante es que tiene un efecto disuasorio. Gran parte de los ataques que se producen en cualquier organizacin son casuales, es decir, no tienen un inters especfico sobre sus equipos. Un atacante casual tratar de conocer las instalaciones fsicas de la organizacin que pretende atacar. Si detecta a travs de las medidas fsicas que la organizacin est preocupada por la seguridad, probablemente abandonar el ataque para lanzarlo sobre otra red menos protegida.

Planificar contra las amenazas olvidadas

Demasiadas organizaciones no se toman la seguridad fsica con la importancia que deberan. Podemos poner ejemplos de organizaciones que invierten mucho dinero en proteger sus sistemas de da, y que permiten que por la noche el personal de limpieza entre en la sala de equipos; u organizaciones que supuestas medidas de seguridad que sufren robos en vacaciones. Las empresas que tenan sus oficinas en el World Trade Center que consiguieron recuperarse mejor de la caida de las torres, fueron aquellas que gastaron su dinero en construir y mantener sistemas redundantes en ubicaciones remotas. El problema que tiene la seguridad fsica es que es especfica de cada organizacin, y no hay recetas perfectas para todos. Amenazas, procedimientos y contramedidas deben ser estudiadas en cada caso en particular. Existen estndares orientados a cubrir todos los aspectos de la seguridad (incluida la fsica), que son una buena gua para no olvidar ningn aspecto de la seguridad, como por ejemplo, la gua de buenas prcticas ISO/IEC 27002 (ISO/IEC 17799).

Plan de seguridad fsica

El primer paso para asegurar fsicamente una instalacin es formular un plan (por escrito) con las necesidades actuales de seguridad y la direccin a tomar en el futuro. Lo ideal, es que el plan de seguridad fsica forme parte del plan de seguridad integral, y que "beba" de la poltica de seguridad de la organizacin. El plan de seguridad debera incluir: Descripciones de los activos fsicos que se tratan de proteger. Descripciones de las reas fsicas donde los activos se encuentran. Descripcin del permetro de seguridad, y "agujeros" en el mismo. Amenazas de las que nos protegemos (ataques, accidentes o desastres naturales) y la probabilidad de que ocurran Defensas con que se cuenta y formas de mejorarlas Coste estimado de mejoras especficas Valor de la informacin que se trata de proteger Cuando se est manteniendo una instalacin particularmente crtica, hay que ser cuidadoso al formular el plan de seguridad fsica. De hecho, es recomendable contar con una firma especializada en recuperacin

desastres y evaluacin del riesgo. Este documento es especialmente sensible, ya que contiene informacin detallada sobre las defensas as como los puntos dbiles de la organizacin. Un plan de seguridad detallado puede ser exagerado para un negocio pequeo, un centro educativo o una instalacin casera. Sin embargo, la simple enumeracin de amenazas y las contramedidas que se emplean servir para comprender como proteger los activos de informacin. Es posible el fuego? Entonces quiz interese un almacn innfugo para las copias de backup. Hay posibilidad de robo? Entonces puede interesar un candado para el ordenador. Como mnimo, debemos tener en cuenta estas preguntas: Alguien accede fsicamente a los ordenadores a parte de nosotros? Que ocurrira si alguien tratase de machacar nuestros sistemas con un martillo? Qu ocurrira si alguien de la compentencia entrase en nuestras instalaciones sin avisar? Si un fuego dejara inservible los equipos, Destruira esto nuestra organizacin? Si un desastre fuese a ocurrir a los sistemas, Como daramos la cara a nuestros indignados usuarios?

El plan de recuperacin de desastres

Deberamos contar con un plan para asegurar temporalmente y de forma inmediata sistemas y para cargar copias de seguridad en sistemas nuevos en caso de que los nuestros sean robados o daados. Este plan es llamado "Plan de Recuperacin de Desastres". La recomendacin es la siguiente: Establecer un plan para la adquisicin de nuevo equipamiento en caso de robo, fuego, o fallo de equipos. Testear el plan mediante el alquiler o prstamo de sistemas similares y tratando de restaurar los backups La mejor manera de evaluar un sistema de copias es cargar las cintas en el sistema y probar si funcionan. Si el sistema de prueba no es nuestro, hay que borrar el contenido de los discos antes de devolverlo. Amenazas Las amenazas a las que pueden estar expuestos fsicamente los sistemas son: Amenazas fsicas Amenaza Suministro elctrico: cortes, variaciones del nivel medio de tensin, distorsin y ruido aadido. Robos o sabotajes: acceso fsico no autorizado al hardware, software y copias de seguridad. Condiciones atmosfricas y naturales adversas: temperaturas extremas, humedad excesiva, incendios, inundaciones, terremotos. Contramedida Sistema de alimentacinininterrumpida (SAI o UPS) Equipos electrgenos Fuentes de alimentacin redundantes Control de acceso fsico: armarios, llaves, blindaje, biometra. Vigilancia mediante personal y circuitos cerrados de televisin (CCTV). Eleccin de la ubicacin adecuada para los sistemas, dependiendo de la posibilidad de catstrofes naturales y ambientales. Centro de respaldo en ubicacin diferente al centro de produccin Proporcionar mecanismos de control y regulacin de temperatura, humedad...

Otras contingencias
Es de vital importancia poder tener en cuenta otras contingencias posibles, que nos anima a plantearse lo siguiente al planificar la seguridad: Prdida del servicio telefnico o caida de la red: Cmo impactaran estas prdidas de servicio en nuestras operaciones diarias? Continuidad del fabricante: Tenemos la capacidad de movernos a un hardware distinto o cambiar de software si el fabriante termina el negocio o hace cambios que no deseamos adoptar?

Absentismo del personal: Cuando el personal falta Como afecta en nuestras operaciones cotidianas? Muerte o incapacitacin del personal clave: Puede ser reemplazado cualquier miembro del personal? Para conocer las polticas de un plan de seguridad real, en forma de plantillas, hacer ir al proyecto de polticas de seguridad SANS.

Proteccin del hardware

El hardware es frecuentemente el elemento ms caro de sistema informtico. Por tanto, las medidas para asegurar su integridad es una parte importante de la seguridad fsica. Siempre hay que tener en cuenta, que las medidas de seguridad no pueden superar en coste al hardware a proteger, por lo que las medidas variarn dependiendo del valor econmico de los equipos. Siempre hay que tener presente que el hardware es el ms caro de recuperar, pero no el ms difcil, ya que la informacin que no cuenta con copia de seguridad es irreemplazable.

Proteccin contra peligros ambientales.

Fuego. Para ampliar este tema, es recomendable consultar Seguridad contra incendios. A este respecto, Practical Unix and Internet Security menciona los gases que extraen el oxgeno del CPD en unos instantes, extinguiendo as el fuego. El inconveniente de estos gases es que puede provocar la muerte por asfixia de los ocupantes de la sala, y por ello recomienda el uso de alarmas de incendio que suenen antes de la descarga de los gases. Para el control del fuego, ofrece los siguientes consejos: o Contar con extintores de mano junto a la puerta de la sala de ordenadores, y formar al personal para usar correctamente el extintor. De hecho, lo ideal es el uso real de extintores al aire libre con extintores, al menos una vez al ao, que deben ser recargados cada uno o dos aos. o Comprobar el estado de carga de los extintores cada mes (algunos extintores tienen indicadores de carga). Los extintores deberan ser revisados peridicamente por un servicio dedicado (vanse las etiquetas de revisin de los extintores de cualquier centro oficial). o Si una habitacin cuenta con sistema de gas, el personal debe estar informado de lo que tiene que hacer en caso de activarse la alarma de deteccin temprana. Deben adems ubicarse carteles informativos en los lugares adecuados o En caso de tener una alarma automtica, asegurarse de que se puede controlar manualmente en caso de falsa alarma. o Asegrarse de que existe una lnea telefnica desde la que los empleados puedan llamar en caso de fuego. En caso de contar con una PBX propia, se debera de tener una lnea de backup por si se produce un incendio (este punto es menos sentido en la actualidad, ya que prcticamente todo el mundo tiene un telfono mvil). En caso de usar rociadores de agua, en general las mquinas no sufrirn daos siempre que la corriente haya sido interrumpida previamente. En caso de contar con SAI o equipos electrgenos, estos tambin deberan haber sido interrumpidos. En caso de usar sistemas de rociado de agua, sta puede ser rociada al terminar el sistema de gas. Es recomendable utilizar sistemas de tubera seca, que mantienen las tuberas limpias de agua hasta que se produce la alarma. Por ltimo, los detectores de humo deberan estar situados en los lugares adecuados, por donde circulan los cables, ya sea por canaletas, bandejas o suelo tcnico, y en los gabinetes donde hay mucho cableado. El sistema ms novedoso en cuanto a extincin de incendios se basa en agua, y se llama agua nebulizada. La ventaja principal de este sistema, es que no genera productos qumicos corrosivos ni es peligroso para las personas, aunque su coste resulta ser superior.

Proteccin contra peligros ambientales.

Humo Personas. El humo puede estar causado por los mismos equipos (por ejemplo, por los transformadores de los viejos monitores CRT), o por las personas (tabaco). o No permitir fumar en la sala de ordenadores o junto a las personas que usan los ordenadores. o Instalar detectores de humo en cada sala con ordenadores o equipamiento electrnico. o Si se cuenta con suelo tcnico, montar detectores de humo tambin bajo el suelo. o Si se cuenta con falso techo, montar detectores de humo tambin sobre los paneles. Se recomienda tambin instalar detectores de monxido de carbono, que aunque no daan los equipos, puede matar silenciosamente a las personas. Una mala combustin (por ejemplo en un equipo electrgeno, por ejemplo, puede generar monxido de carbono.

Proteccin contra peligros ambientales.

Polvo El polvo destruye lentamente las mquinas, es corrosivo, dificulta la ventilacin, y en ocasiones puede ser conductor de electricidad. A continuacin, se dan algunos consejos para el control del polvo. o Mantener la sala de ordenadores limpia de polvo en la medida de lo posible. o Limpiar peridicamente los filtros de aire de lo ventiladores de los ordenadores (en caso de que tengan). o Utilizar una aspiradora o un compresor peridicamente para retirar el polvo del equipamiento. En caso de usar un compresor, retirar posteriormente el polvo de la sala . Proteccin contra peligros ambientales. Terremotos Las probabilidades de un terremoto en Espaa dependen de la regin. Al sur, por ejemplo, resulta ms probable (vase el terremoto de Lorca). Algunas recomendaciones dadas en "Practical UNIX and Internet Security" son: o Evitar colocar las mquinas en superficies muy altas, como por ejemplo, en lo alto de los gabinetes. o No colocar objetos pesados en lugares que puedan caer sobre los equipos. o Proteger los equipos de los escombros que puedan desprenderse, por ejemplo colocando los equipos bajo tablas cuando hay posibilidad alta de terremotos. o No colocar los equipos junto a las ventanas, especialmente en los pisos ms altos. Un ordenador puede ser lanzado por la ventana , pudiendo daar a personas. o Considerar la posibilidad de sujetar los equipos fsicamente a la superficie sobre la que reposan. Proteccin contra peligros ambientales. Explosiones Las explosiones no son un riesgo habitual, salvo que las instalaciones de edificios equipados con gas natural. Algunas recomendaciones sobre las explosiones cuando stas son un riesgo real son: o Mantener los productos disolventes almacenados en lugares apropiados. o Mantener los backups almacenados en cajas de seguridad que soporten impactos. o Mantener los equipos lejos de las ventanas. Proteccin contra peligros ambientales. Temperaturas extremas Los ordenadores funcionan mejor en el rango de temperaturas entre 15 y 25 C (segn recomendacin del fabricante). Si las temperaturas son demasiado altas, los equipos pueden resultar daados. Si la temperatura es demasiado baja, los sitemas pueden sufrir un shock trmico al encenderes, causando que las placas y circuitos integrados se rompan. Algunas recomendaciones sobre este particular son: o Comprobar la documentacin de los equipos para comprobar la temperatura a la que operan mejor. o Instalar alarmas de temperatura en la sala de ordenadores, y programarlas para que se disparen cuando la temperatura est entre 3 a 5 C del lmite establecido. Algunos sensores pueden realizar acciones adicionales, como realizar llamadas de telfono a la persona adecuada.

Prestar atencin a la forma en que los equipos expulsan el calor y el recorrido del aire caliente en la sala de ordenadores. Considerar la necesidad de instalar sistemas de enfriamiento adicional, e instalarlos correctamente. Una instalacin mal elegida o implementada puede ser peor que el calor mismo (vase el ejemplo de "inundacin en el CPD por aire acondicionado"). o Ser cuidadoso colocando ordenadores cerca de las paredes, de forma que se dificulte la circulacin del aire. La mayora de fabricantes recomiendan como mnimo entre 15 y 30 cm. de espacio abierto por cada lado. Si no es posible respetar estas dimensiones, reducir el lmite de temperatura superior en 5C o ms. o Si se est transportando un ordenador en un da muy frio o caluroso, permitir al mismo alcanzar la temperatura de la habitacin antes de encenderlo. Proteccin contra peligros ambientales. Insectos Los insectos tienen una extraa predileccin por quedar atrapados entre contactos de alto voltaje de los interruptores de los enchufes, o por las cubiertas de los cables, las telas de araa acumulan polvo, etc. Por ello se deben tener medidas activas para mantener la sala de ordenadores limpia de insectos. Proteccin contra peligros ambientales. Ruido elctrico Motores, ventiladores, maquinaria pesada e incluso otros ordenadores pueden generar ruido elctrico que puede crear problemas intermitentes con los ordenadores que usamos. Estos ruidos se transmiten a travs del espacio y por las lneas elctricas. Las subidas de tensin son un tipo especial de ruido elctrico que consiste en uno o varios picos de alto voltaje. Las subidas de tensin pueden venir de cualquier aparato elctrico (por modesto que sea, como una aspiradora). Algunas medidas recomendadas son: o Asegurarse de que no hay maquinaria pesada en la red elctrica que se usa en la sala de ordenadores. o Si es posible, contar con toma de tierra aislada para cada ordenador. o Instalar filtros de picos de corriente en las tomas donde se conectan los ordenadores. Algunos SAI incorporan software que permiten iniciar un ciclo de apagado en los ordenadores cuando hay una caida de corriente prolongada. o La corriente electrosttica puede ser peligrosa para los equipos aunque para una persona consista en una leve descarga (ya que el problema es el voltaje no la corriente). Se puede usar spray anti esttico o una toma de tierra dedicada. Se debe tocar una superficie metlica aislada antes de tocar los ordenadores. Esta operacin se debe hacer tambin cuando se emplean herramientas de metal. o Los emisores de seales de radio, como mviles, walkie-talkies, antenas, pueden provocar interferencias, de modo que deben mantenerse al menos a 1.5 metros los ordenadores. Proteccin contra peligros ambientales. Rayos Los rayos son una potencia destructora incluso sobre ordenadores que estn conectados a SAI y filtros de corriente. Algunas recomendaciones son: o En caso de tormenta elctrica, apagar y desconectar los equipos o Asegurarse de que las cintas de backup se encuentan lo ms lejos posible de las estructuras de metal del edificio. o Los supresores de picos de corriente no nos salvarn de un rayo directo, pero pueden ser de ayuda en caso de tormentas lejanas. o Cierto equipamiento telefnico puede sufrir daos incluso con supresores de picos. En estos casos especficos puede ser aconsejable utilizar equipamiento supresor extra. o No tirar cables de red fuera del edificio (jiji), o por las fachadas, salvo que circulen por un conducto de metal. En caso de rayo a unos cientos de metros, se puede inducir un pico de corriente que dae los equipos o peor, que conduzca un rayo directo a las personas y los equipos.

Proteccin contra peligros ambientales. Vibraciones Las vibraciones pueden deteriorar los componentes de los circuitos integrados y afectar gravemente a los discos duros, incrementando el riesgo de fallo catastrfico y resultando en una prdida de datos. Algunos consejos son: o Aislar los ordenadores de las vibraciones lo ms posible. o En caso de que los equipos estn en un entorno con vibraciones, colocar los ordenadores sobre tacos de goma o alfombrillas de espuma para que las absorban (con cuidado de no cubrir con las alfombrillas aperturas de ventilacin). o Los porttiles utilizan discos duros que soportan mejor las vibraciones que los sobremesa. o No colocar una impresora encima de un ordenador, ya que las vibraciones que sta produce al imprimir puede provocar problemas en los discos o en los componentes electrnicos. Proteccin contra peligros ambientales. Humedad La humedad es amiga, pero demasiada humedad no es buena. La humedad previene la carga electrosttica. Si la sala de ordenadores est demasiado seca, las descargas electrostticas entre personas y mquinas, o entre componentes mviles de los ordenadores, puden daar los mismos. Si el ambiente es demasiado hmedo se puede producir consensacin de agua en las superficies frias, lo que puede llevar a cortocircuitos que daen los circuitos elctricos. Algunos consejos a seguir son los siguientes: o Para un mejor rendimiento, mantener la humedad relativa de la sala de ordenadores por encima del 20%, pero por debajo de la temperatura de condensacin (lo que depende de la temperatura de la sala). o En entornos que requieren alta fiabilidad, se debera contar con una alarma que se dispare cuando la humedad supere un rango aceptable. o Algunos equipos tienen restricciones especiales de humedad. Comprobar los manuales del equipamiento. Proteccin contra peligros ambientales. Agua La principal amenaza del agua es el cortocircuito. Un cortocircuito provocar una circulacin de corriente muy alta (casi sin resitencia), que puede calentar e incluso derretir lo que haya en su camino. Tambin puede destruir componentes electrnicos al pasar por ellos la corriente sin control. El agua suele provenir de las inundaciones. Las probabilidades de inundacin en Espaa son aceptables. Probablemente no provenga de un tsunami como el de Japn (aunque ya se dio uno en el pasado, concretamente en Cdiz en 1755), sino que ms bin provendr de alteraciones climatolgicas. Tambin puede provenir de accidentes (como el comentado anteriormente en el apartado del fuego, o en el apartado del aire acondicionado). Algunos consejos a seguir son los siguientes: o instalar sensores de agua en el piso junto a los sistemas. o Si se dispone de suelo tcnico, instalar los sensores bajo el suelo tcnico y sobre l. o No colocar los ordenadores directamente o muy cerca del suelo, si la zona en la que nos encontramos es muy propensa a las inundaciones, o si el edificio tiene un sistema de rociadores de agua. o Puesto que el agua sube, debemos tener dos alturas para las alarmas. El primer sensor debera disparar la alarma; el segundo debera cortar automticamente la corriente de los ordenadores. Un corte abrupto de corriente puede salvar todos o parte de los equipos, especialmente si la persona encargada de atender la alarma no est disponible en el momento del accidente. o Puesto que el agua puede venir del techo (por ejemplo, inundacin por aire acondicionado de techo), prevenir este hecho colocando los ordenadores lejos de la posible fuente del agua.

Proteccin contra peligros ambientales. Monitorizacin Para detectar problemas espordicos, se debe monitorizar y registrar de manera continua la temperatura y humedad relativa de la sala de ordenadores. Como regla general, cada 300 m de oficina debera tener su propio equipamiento de registro. Es importante tambin revisar los registros peridicamente.

Prevencin de accidentes. Comida y bebida

Hay que mantener la comida lejos de los ordenadores, as de sencillo. Bebidas sobre teclados, restos de comida entre las teclas y huellas aceitosas sobre monitores y superficies que no se llevan bien con el aceite (vanse cintas o CD/DVDs), son motivos ms que suficientes.

Control fsico de acceso

Colocar nuestro ordenador en una habitacin cerrada con llave es algo obvio, pero Est suficientemente a salvo?

Control fsico de acceso. Suelo tcnico y falso techo

En algunos edificios, las paredes no suben por encima del falso techo, o no bajan por debajo del suelo tcnico. En estos sitios puede ser fcil acceder a habitaciones colindantes, y as poder entrar en la nuestra. Por eso es importante tener presente si nuestro edificio sigue esta filosofa de construccin y tomar las medidas pertinentes.

Control fsico de acceso. Conductos de aire

Si los conductos de aire son suficientemente grandes, un intruso podra entrar a una zona aparentemente segura. Se recomiendan los siguientes consejos: o Las reas que necesiten mucha ventilacin, debera tener muchos conductos pequeos, en vez de uno grande por que pueda moverse una persona. o Como alternativa se pueden emplear rejillas (aunque esto no es una buena idea, ya que las rejillas se pueden cortar o romper). o Un administrador verdaderamente paranoico puede querer colocar detectores de movimiento dentro de los conductos del aire.

Control fsico de acceso. Cristaleras

Las cristaleras pueden ser atractivas pero crean grandes riesgos de seguridad, ya que son fciles de romper. Adems un atacante puede obtener mucha informacin como contraseas, forma de trabajar con los sistemas, simplemente mirando. Algunos consejos dados en "Practical UNIX and Internet Security" son: o Evitar las cristaleras en zonas sensibles. No solo es peligroso sino que adems la factura del aire aconidicionado subir. o Si lo que se busca es luz natural, existen cristales translcidos que no son transparentes. o Las cristaleras son muy buena idea en las salas que requieren vigilancia, ya que resultan ms difcil de falsear que un CCTV. Control fsico de acceso. Credenciales

Vandalismo
Los sistemas informticos son objetivos atractivos para el vandalismo. Por ejemplo, estudiantes disconformes con su nota, venganzas, disturbios, violencia relacionada con robos, estupidez, etc. Lo malo del vandalismo, es que resulta fcil de provocar, y los daos son muy costosos. En teora, cualquier parte de un sistema o el edificio que lo aloja puede ser objetivo del bandalismo, aunque en la prctica, algunas partes son ms vulnerables que otras.

Vandalismo. Huecos de ventilacin

Los ordenadores necesitan huecos de ventilacin. No es posible obstruir los huecos de ventilacin pero s se puede disponer de una poltica estricta sobre bebida y comida, disponer de un CCTV o un guarda de seguridad para pevenir incidentes como este.

Vandalismo. Cables de red

Cortar un cable es muy facil y puede provocar la caida de una o varias subredes. Si el cable es de fibra ptica ser aun ms difcil de reparar. Una forma sencilla de proteger los cables de red es pasarlos por zonas seguras, como por ejemplo el suelo tcnico o falso techo. Tambin se pueden usar conductos metlicos. Algunas instalaciones de alta seguridad utilizan conductos doblemente apantallados, con gas presurizado entre cada capa, de forma que ante una bajada de la presin, salta una alarma indicando la rotura del conducto. Una opcin alternativa puede ser utilizar cables redundantes que pasen por lugares diferentes. Si bien es una proteccin contra cortes, un atacante furioso solo tendra que cortar cables en ms de un sitio. Circulan historias sobre un cable de fibra ptica que alguien pis y rompi. Una fractura de este tipo es difcil de encontrar porque no hay fisuras en la cubierta. En definitiva, hay que prestar atencin por donde circulan los cables.

Vandalismo. Puntos de red

Las redes basadas en cable de cobre son vulnerables a los ataques de alto voltaje. Por ello hay que pensar donde se ponen los puntos de red, es decir, en lugares visibles y seguros.

Terrorismo
Aunque la proteccin es importante, es imposible combatir ciertos ataques. En muchos casos, se puede concebir un sistema de backup remoto, o incluso un centro de respaldo dependiendo de la criticidad del servicio, acorde con las posibilidades econmicas. Si no se puede mantener un sistema de backup simultneo, se puede plantear una copia horaria o incremental por la noche.

Robo
No importa la razn por la que alguien roba un ordenador. Todos los robos tienen la misma componente: oportunidad. Y esa oportuinidad se da al dejar solo el ordenador.

Robo. Porttiles
Robar un porttil es fcil. El dueo de un porttil no debera dejarlo solo. Pero adems se puede dificultar la venta del porttil. Por ejemplo, grabar en el porttil nuestro nombre y nmero de telfono. A veces, el robo no busca la venta. Si alguien quiere obtener informacin sobre nuestra organizacin, puede ser mucho ms fcil robar un porttil que hackear una red protegida. Por ello, la encriptacin en un porttil con datos sensibles, es crtica. Existe la posibilidad de unir el porttil a la mesa, mediante un candado, cuando el porttil no se va a mover mucho de sitio. La mayora de los porttiles traen hoy en da una ranura para instalar un candado. Existen soluciones de backup on-line tanto profesionales como no profesionales. Finalmente, algunos consejos adicionales sobre el robo de porttiles son, no dejar el porttil desatendido en lugares pblicos, hoteles, restaurantes, no llevar el porttil el bolsas que indiquen su contenido y no llevar el porttil junto a una ventanilla del coche accesible desde el exterior.

Robo. Recuperacin de porttiles

Exiten alternativas para la bsqueda y recuperacin del porttil robado. La siguiente noticia hace referencia a un potencial problema de seguridad con las BIOS que traen LoJack preinstalado.

Robo. Componentes
Los componentes electrnicos, como las memorias RAM, los microprocesadores, etc. valen su peso en oro. Sobre esto, solo hay que decir que no es buena idea dejarlos a la vista, y que en caso de estar instalados, la carcasa debera estar bien cerrada.

Encriptacin
Ssistema de encriptacin para los ordenadores, ya que la informacin obtenida mediante un robo puede usarse para causar ms dao a la organizacin.

Proteger los datos

Existen amenazas que pueden esquivar las medidas de seguridad comentadas anteriormente. Fuentes de estas amenazas son por ejemplo, la interceptacin (o evesdropping), el robo o corrupcin de backups, material desechado con informacin valiosa, terminales desatendidos, etc.

Proteger los datos.

Interceptacin La interceptacin puede provocar que los datos que maneja un usuario, las pulsaciones de teclado, etctera, puedan ser vistos por alguien no autorizado. Las formas de interceptar informacin son las siguientes: Pinchado del cableado: Es posible pinchar cualquier tipo de cable. De hecho, existen informes que afirman que agencias de inteligencia han conseguido pinchar cables de fibra ptica submarinos, analizando las emisiones elctricas de los repetidores. Como medida de deteccin se recomienda la supervisin de los cables en busca de daos fsicos, as como el uso de conductos metlicos que dificulten el acceso a los cables. Esnifado de la red: Con el uso de switches, el esnifado de la red resulta menos peligroso que con el uso de hubs. Sin embargo, un atacante podra llevar a cabo un ataque de tipo "MAC flooding" que deje inservibles las tablas CAM de los switches, acompaado de un "ARP spoofing". Redes inalmbricas: En las redes inalmbricas, los datos no van por un medio controlado, como un cable, sino que estn expuestos a cualquiera que quiera escuchar. Algunas recomendaciones son: o Asegurar la consola de administracin de los AP, mediante ACL, cambio de contrasea, etc. o Emplear WPA en vez de WEP, o bien un servidor RADIUS, cambiando peridicamente las contraseas. o Cambiar el SSID por defecto y desactivacin del broadcasting SSID. o Emplear tcnicas como el MAC filtering, asignar IP mediante DHCP por reserva, limitar el nmero de dispositivos que pueden conectarse. o Desconectar el AP cuando no se use. o Actualizar el firmware del AP cuando no se use. Cable de fibra ptica: El cable de fibra ptica es mucho ms difcil de pinchar que el cable de cobre. Por otro lado, es ms difcil de reparar. Si el entorno requiere una seguridad extrema, probablemente compense el uso de tecnologa ptica desde el punto de vista de la seguridad. Keyloggers por hardware: El trmino keylogger se suele asociar con software. Sin embargo tambin existen keyloggers basados en hardware que no pueden ser detectados mediante software de seguridad. Los hay que almacenan el contenido, y los hay inalmbricos. Las inspecciones visuales peridicas es la nica forma de combatir este tipo de tecnologa Proteger los datos de backup: Los backups forman parte de un sistema seguro. Si alguien obtiene el soporte fsico con un backup, tiene el contenido. Algunas recomendaciones son: o No dejar las cintas desatendidas en habitaciones accesibles. o No confiar las cintas a servicios de transporte no especializados o Borrar las cintas antes de venderlas, desecharlas o cualquier otro uso que no sea el de backup o Usar las opciones de encriptacin del software de backup, y por supuesto, proteger la clave para que no caiga en manos de un atacante o se pierda con un cambio de personal.

Tambin hay que mantener los sistemas y los backup en lugares fsicamente distantes, para que en caso de desastre o un incidente malicioso, los datos sobrevivan. Proteger los datos. Material desechado El desecho de CDs, DVDs, cintas de backup o discos duros debe ir acompaado con una destruccin de los datos que almacenaban. A este respecto existen dos alternativas: destruccin fsica del medio, borrado de los datos por software. La destruccin fsica puede no ser una buena idea, teniendo en cuenta que la densidad de almacenamiento aumenta cada vez, de forma que los trozos deben ser cada vez ms pequeos para evitar su lectura en laboratorio. La quema, puede producir gases txicos. De forma que la tendencia es usar la destruccin de datos por software. El material impreso es tambin objeto de atencin, ya que los datos que figuran en muchos documentos, pueden ser empleada de diferentes formas: o Por ejemplo, puede haber informacin relativa a las versiones del software que se emplea en la organizacin, nmeros de serie, niveles de parcheo, nombres de host, direcciones IP, nombres de cuenta y otra inforacin crtica. o Tambin pueden haber nombres de personas, nmeros de telfono, contraseas, nmeros de oficina, extensiones, que pueden ser aprovechados para ataques de ingeniera social. o Si se desechan lneas de cdigo fuente impresas para leer cmodamente, estamos datos informacin inestimable para conocer la forma en que est hecho nuestro software. Siempre hay que valorar la informacin que se tira, antes de hacerlo, y triturar o incinerar el papel en el sitio. El "basureo" tambin afecta a las personas en su casa. Por ello no es buena idea tirar tikets, facturas, etctera, sin haberlos destruido antes.

Proteger los datos.

Impresoras Las impresoras deben estar ubicadas en un lugar separado, donde solo las personas autorizadas puedan entrar, ya que todos los documentos impresos podran estar a mano de personas no autorizadas.

Proteger los datos.

Terminales desatendidas Los usuarios deben bloquear sus escritorios al dejar su puesto, aunque sea temporalmente, ya que un atacante podra aprovechar el momento para instalar software, suplantar al usuario, acceder a los archivos, etc. El administrador tambin debe configurar los sistemas para el cierre automtico de sesin transcurrido un cierto tiempo de inactividad.

Otros temas de inters

Los apartados sobre control de acceso fsico, sistemas biomtricos y CCTV los veremos segn el libro Seguridad y Alta Disponibilidad de la editorial RA-MA. Para el tema de SAI seguiremos tambin el libro Seguridad y Alta Disponibilidad de la editorial RA-MA.

Backup
Un backup es una copia instantnea de datos tomada en un instante, almacenada en un formato comn soportado por diferentes herramientas de backup, y gestionada por algn periodo de utilidad, y mantenida de forma independiente a las otras copias. Para que podamos hablar de backup, los archivos copiados deben poder ser accedidos de manera independiente. Los backup totales representan la copia de todos los datos que se desean proteger, y representan la base para los otros tipos de copia. Adems de los backup totales (full backup) existen otros dos niveles de backup, que capturan los cambios relativos al backup total. Se trata del backup diferencial y el backup incremental.

Los siguientes grficos muestran de forma clara cada tipo de backup. El ejemplo se da en un entorno donde a partir de un backup total de 20TB, se produce una media de 1TB de cambio cada da, a lo largo de 10 das.

Hay que tener cuidado con las copias diferenciales, ya que su tamao se puede disparar hasta ocupar ms que la misma copia total. Su principal ventaja es el nmero de imgenes de backup requeridas para restaurar: har falta el backup total y la ltima copia diferencial. De este modo, la probabilidad de deterioro, prdida, etctera, de las dos imgenes es muy baja. Las copias incrementales tienen como ventaja que el espacio y el tiempo empleado es menor para los backup. Sin embargo, para restaurar las copias, son necesarias ms imgenes que en el caso anterior, lo que afecta negativamente en el tiempo requerido para la restauracin. Adems hay otro problema: debido a que las copias incrementales capturan los cambios desde la ltima copia total, el conjunto total de backups puede contener mltiples copias de un cierto archivo, con lo que se pueden dar problemas al restaurar la versin equivocada del archivo. Existe un concepto llamado periodo de retencin de backup que indica el tiempo total que los backups deben estar disponible. Pongamos como ejemplo un total de 20 TB de los que se hace una copia completa todas las semanas y diariamente se hace una copia incremental. Supongamos tambin que el periodo de retencin es de 4 semanas.

En el momento en que ms espacio ocuparemos con los backup es al final de la quinta semana: 20 TB x 6 + 1 TB x 6 x 5 = 100 TB + 30 TB = 150 TB. Para el tema de Backup, leeremos los enlaces del final. Para contar con un periodo de retencin de 4 semanas, necesitaremos guardar las copias durante 5 semanas, ms el primer da de la sexta semana, ya que hasta que no est hecha la copia total de la sexta semana, no podremos borrar los backups de la primera semana. En ocasiones, hay datos que tienen pocos cambios. En tal caso, no hablamos de backup como solucin ptima, sino de archivo, que consiste en cambiar dichos datos a alguna solucin de almacenamiento diferente, de modo que no engrose una y otra vez los backups, sin registrar cambios. De este modo es posible reducir el tamao de los backups totales. Los softwares de copia pueden incluir la gestin de este tipo de archivos, de dos formas: offline, de modo que el acceso a los datos del archivo pasa por el personal de backup, y nearline que consigue que la ubicacin sea un tema transparente a los usuarios, de modo que aunque los datos estticos sean gestionados por el software de backup, el usuario no lo perciba.

Otro concepto interesante es el de deduplicacin. Los backup a disco pueden tener un coste muy superior a la copia a cinta, especialmente por el consumo elctrico de los discos. Por ello es importante reducir el espacio consumido en las copias. La deduplicacin permite crear enlaces a datos que no han sufrido cambios de un backup total a otro. Existen otros tres conceptos importantes en el mundo del backup: RTO (Recovery Time Objective), RPO (Recovery Point Objective) y SLA (Service Level Agreement). o RTO representa la mxima cantidad de tiempo que puede pasar desde el principio de una recuperacin hasta que los datos han sido recuperados (y cuando hablamos de principio, nos referimos al tiempo que tardar el administrador de backups en recuperar los datos desde que stos han sido identificados. Hay que tener en cuenta que RTO puede entenderse tambien como el tiempo que pasa desde que el usuario final pide la restauracin de los datos, hasta que stos han sido restaurados, pasando por la preparacin del administrador del sistema para la restauracin. o RPO representa la cantidad de datos que se perderan desde el ltimo "evento de proteccin" (backup, snapshots, log dumps o replicaciones). Para el administrador, esto se traduce en el tiempo que puede dejar pasar entre copia y copia. Para el usuario representa el nmero de transacciones que se perderan en la restauracin ms reciente. Para calcular el tiempo entre copia y copia, en base al RPO establecido por el usuario, el administrador calcular lo siguiente: nmero de transacciones a proteger / nmero de transacciones por unidad de tiempo. Otro asunto a tener en cuenta es el tiempo de carga del medio (suponiendo que es preciso cargarlo, como en el caso de las cintas), de modo que es preciso restar dicho tiempo al periodo de backup para cumplir el RTO. o SLA es la "ventana" de tiempo en la que un backup de un conjunto de datos particular es completado. El SLA es un documento en el que el administrador se compromete a que los backup se harn/restaurn en un tiempo mximo especificado. Por lo general se recomienda que exista un SLA especificado, basado en la antigedad de los archivos, y documentado en el plan de backup, de forma que no hayan ambigedades (ya que en caso de ambigedades, es el personal de administracin el que suele salir perdiendo).

Crafting a Proper Backup & Recovery Service Level Agreement

Anyone who works as an end-user is continually confronted with crafting SLAs for various infrastructure components. Aggravating the situation, once SLAs are signed-off on, it is nearly impossible to make changes without completely rocking the boat so it is extremely important to get it right from day one. First, you need to determine the scope of the backup and recovery SLA both in terms of what it will cover, and maybe more importantly, what will it not cover. It is crucial that as SLA objectives are crafted that they are clear and to the point to cover both yourself and your customers. To do this, you should have as many face-to-face meetings with your customers about the SLAs to ensure everyone understands the terms of the SLA and that they are in complete agreement about them. and total understanding. Crafting the SLA objectives for your internal backup and recovery environment will need to cover any component of the infrastructure that may impact the successful backup or restoration of critical business data. These areas may include:

Backup Libraries (Disk-Based or Tape Based) Offsite/Internal Media Storage Locations (How fast can you retrieve those tapes?) Backup Servers (Masters or Media Servers) Backup Reporting Servers Client Backup Software (SAN Connected) Backup Client Priorities (Business Critical Nature of the Application Server) SAN Network (Fibre Channel, iSCSI) Ethernet Network (Connections to Clients and Backup Servers) Backup Operators Data Center Environmentals

Once you have determined the appropriate infrastructure that should and should not be included in the SLA, then you need to determine the metrics that you will report back to your customer, to ensure you are delivering on all of the agreements defined in the SLA. The metrics are really determined by how much of the infrastructure and people either you or other IT teams are responsible for. I encourage you, especially if you work in a large IT organization, to develop OLAs (Operational Level Agreements) with sister groups that you need to support as part of the overall backup and recovery environment (Windows & Unix Teams, Operations& Implementation Teams, Application & Database Teams, Facilities Team, and Outside Vendors were applicable). Only when your infrastructure components, metrics, and OLAs are in place should you begin to put the whole SLA together. Depending on your customers' requirements, the SLA can vary greatly from nauseatingly detailed to simple and to the point. One very effective way to accomplish this SLA engagement is by using software to track, monitor, and control every aspect of the backup and recovery infrastructure and process. One example of a product that does this is Asigra Televaulting. Taking advantage of Asigra's Televaulting backup and recovery software will give you and your organization the ability to define all of the various levels of the SLA and OLA processes and directly implement them in your backup and recovery environment. Asigra's software ensures that not only is the backup environment properly classified, but also that you the have the ability to customize the reporting and notification parameters around your SLA directly into the software. This greatly enhances your ability to meet and, in some cases, exceed your SLAs. Anytime you can take the human factor out of a process including SLAs, and automate it via software, you have just placed yourself and your company in a much better place to be successful. For those of you just establishing an SLA process for the first time, there are many sites to help you in this endeavor.

Recomendaciones sobre contraseas

Existen distintas aproximaciones a la hora de construir contraseas seguras. Las siguientes estn documentadas en diferentes libros sobre seguridad. [Unix and Linux System Administration (4th edition) - pag 111]: Eligiendo la contrasea del root. Sin duda la cuenta root es la ms delicada. Este libro nos da diferentes soluciones para no tener que usarla. Sin embargo insiste en la importancia de elegir una buena constrasea de root, que solo conocer una persona, o "ninguna" (si utilizamos algn software de gestin de contraseas). La caracterstica ms importante de una contrasea es su longitud. En teora, las contraseas ms seguras son secuencias aleatorias de letras, caracteres especiales, y nmeros, pero la dificultad para recordarlas, hace difcil escribirlas (la escritura lenta puede ser objeto de ataque "shoulder-surfing") y recordarlas. Grady Ward propone la idea de "sinsentido chocante": Shocking nonsense means to make up a short phrase or sentence that is both nonsensical and shocking in the culture of the user. That is, it contains grossly obscene, racist, impossible or otherwise extreme juxtapositions of ideas. This technique is permissible because the passphrase, by its nature, is never revealed to anyone with sensibilities to offend. Shocking nonsense is unlikely to be duplicated anywhere because it does not describe a matter of fact that could be accidentally rediscovered by someone else. The emotional evocation makes it difficult for the creator to forget. A mild example of such shocking nonsense might be, 'Mollusks peck my galloping genitals'. The reader can undoubtedly make up many far more shocking or entertaining examples for him or herself. Los sistemas que soportan longitud arbitraria de entrada, pueden usar el concepto de "passphrase".

[Foundations of security - pag 151]: Otra aproximacin sobre contraseas fuertes, incluida en este libro, es la siguiente Usar las contraseas ms largas posibles. Incluir letras nmeros y caracteres especiales. Contraseas diferentes para cada sistema. Transformacin de una passphrase en una contrasea. Por ejemplo: "Nothing is really work unless you would rather be doing something else" --$gt; n!rWuUwrbds3. Utilizar contraseas "Honeypots": confundir a los atacantes, para que sean los atacados, asignando contraseas fciles a cuentas de usuario "built-in" o fciles de averiguar, como "Invitado", "guest", "usuario", etc. Dicha cuenta ser configurada como una crcel en cuanto a privilegios. De este modo, cuando un usuario trate de iniciar sesin, nos daremos por entendidos: alguien intenta entrar en el sistema. Podemos utilizar mecanismos de aviso que alerten al administrador de este hecho, y as tomar las medidas oportunas (rastrear la ip, reconfigurar el firewall, cambiar contraseas...). [Windows Server 2008 Security Resource Kit - pag 47]: Este libro dice claramente "Deja de pensar en palabras", piensa en frases. Windows soporta passwords de hasta 127 caracteres, todos presentes en el teclado (incluida la barra espaciadora). Para endurecer la passphrase, se puede realizar conversiones de vocales y consonantes a nmeros y smbolos especiales, como por ejemplo a = @, i = !, e = 3, etc. Con anterioridad, las contraseas podan ser como mximo de 14 caracteres, por las limitaciones del algoritmo LM. Desde Windows 2000, con la llegada de NTLM, las contraseas se alargaron hasta los 127 caracteres.

Ataques a las contraseas

Para romper una contrasea, un atacante tratar dos tipos de ataques: offline u online. Online attack: En este mtodo, el atacante adivina la contrasea de un usuario, tras probar diferentes contraseas. Esta opcin puede toparse con mecanismos de bloqueo ante fallos sucesivos de autenticacin. Offline attack: En este mtodo, el atacante consigue acceder al archivo donde se almacenan las contraseas. Entonces utiliza alguna herramienta para romper la contrasea. La ventaja de este mtodo es que el atacante no necesita preocuparse sobre mecanismos para evitar los ataques online.

Ataques online a las contraseas Adivinacin de contraseas

Ahora vamos a ver algunos mtodos para atacar online, as como sus contramedidas. La adivinacin de contraseas es un mtodo muy popular para obtener las credenciales de los usuarios. La adivinacin de contraseas se puede hacer contra cualquier servicio. Una vez ganado el acceso a un cierto servicio, la contrasea suele valer para ms cosas, ya que a los usuarios no les gusta tener una contrasea para cada cosa.

SMB

IPC (Interprocess Communication Share) es un conjunto de tcnicas que permiten a los procesos de una red Microsoft, comunicarse e intercambiar informacin. Microsoft proporciona el comando "net use" para acceder a un recurso compartido por otra mquina. As, por ejemplo "net use Z: \\svr2008\compartida * /u:Administrador" crear una conexin con la carpeta llamada "compartida" de la mquina "svr2008", con las credenciales del administrador. Si utilizamos el comando "net use \\svr2008\ipc$ * /u:Administrador", estamos intentando realizar una conexin al recurso IPC de svr2008, y solo lo lograremos si conocemos la contrasea de dicho usuario. As, que podemos jugar a las adivinanzas. Probar contrasea a contrasea manualmente no es eficiente, as que podemos automatizar el proceso, con un bucle FOR de MS-DOS. El siguiente es un ejemplo rudimentario, pero que funciona: C:\> FOR /F "tokens=1,2*" %i in (credenciales.txt) do^ Ms? net use \\192.168.100.50 %j /u:%i

Para este ejemplo necesitaremos un archivo llamado credenciales.txt que almacenar los pares usuario/contrasea. Por ejemplo: ------------------------------------ Contenido del archivo credenciales.txt ------------------------------------ Administrador "" Administrador password Administrador contrasea Administrador secreto Administrador admin . . . ------------------------------------El bucle for se puede perfeccionar, para que la salida sea ms amigable. Por ejemplo: C:\>FOR /F "tokens=1,2*" %i in (credenciales.txt)^ More? do net use \\192.168.100.50\IPC$ %j /u:192.168.100.50\%i^ More? 2>\>nul^ More? && echo %time% %date% >\> salida.txt^ More? && echo \\victim.com acct: %i pass: %j >\> salida.txt Existen herramientas como smbgrind, cuyo principio es el mismo, aunque actuan de forma ms eficiente. Para contar con un buen diccionario, podemos buscarlos ya hechos, con miles de palabras de cualquier idioma. Por ejemplo en ftp://ftp.ox.ac.uk/pub/wordlists/. Otra forma en la que un atacante podra generar un diccionario suficientemente amplio, es empleando la herramienta "crunch", que puede generar todo tipo de combinaciones con caracteres alfa-numricos y especiales para volcarlo en un archivo. Por ejemplo $ crunch 6 10 -f charset.lst mixalpha-numeric-symbol14space -o diccionario.lst generar todas las cadenas posibles de entre 6 y 10 caracteres con caracteres alfanumricos, smbolos y espacio en blanco. Prctica 1. realiza un ataque de "password guessing" por SMB a un servidor Windows Server 2008. Incluye en tu diccionario particular la contrasea vlida".

WMI (Windows Management Instrumentation)

Habilita en el servidor la regla de entrada siguiente del firewall con seguridad avanzada: "Instrumental de administracin de Windows (WMI de entrada)". Ahora, desde la mquina atacante, podemos probar lo siguiente: La primera conclusin que podemos sacar de esto es, utilizar siempre contraseas fuertes. C:\> wmic wmic:root\cli> /user:Administrador /password:9pR3nD13nD0! /node:192.168.100.50 cpu list La respuesta debe indicarnos el tipo de CPU que utiliza el sistema remoto. Lo importante de esto, es que con WMI tambin podemos jugar a las adivinanzas. Suponiendo que en el entorno en que estamos, se utiliza WMI para el despliegue de las directivas de grupo. Cuando intentemos ejecutar venom, puede que tengamos problemas con algunos archivos "ocx" (en concreto, mscomctl.ocx y comdlg32.ocx). No solo con Windows se pueden utilizar tcnicas de este tipo. Tambin se puede hacer con Linux, por ejemplo, intentando autenticarnos contras servicios como SSH. Para este tipo de acciones, hay distribuciones repletas de herramientas, como BackTrack. Si lo que queremos es tener BackTrack en espaol (teclado y dems), hacer lo siguiente: apt-get install language-pack-es apt-get install language-pack-es-base apt-get install language-pack-kde-es apt-get install language-pack-kde-es-base apt-get install language-support-es apt-get install languagesupport-translations-es apt-get install language-support-writing-es apt-get install kde-i18n-es desde el menu settings->regional & accessibility->country/region & language y luego configura la disposicion del teclado Supongamos que el atacante cuenta con un buen diccionario, y que los usuarios de nuestro sistema GNU/Linux han elegido contraseas dbiles. De algn modo ha conseguido tambin un listado de usuarios del sistema (lo que puede haber hecho de mltiples formas diferentes).

SMB MITM
Otro tipo de ataque, puede consistir en un MITM sobre SMB. SMBRelay es una herramienta creada por "Sir Dystic of Cult of the Dead Cow". Se trata de un demonio SMB que recoge usuarios y contraseas del trfico entrante SMB. Adems, puede redireccionar el trfico al servidor SMB autntico, entrando en un ataque MITM. Se trata de un problema que aprovecha la debilidad de las contraseas LM. En principio est

solucionado en las versiones modernas de Windows, ya que LM est desactivado por defecto. Aun as, podra haber problemas con clientes antiguos. La solucin es exigir el firmado de las comunicaciones SMB. Tenemos las siguientes directivas en Configuracin de Windows\Configuracin de seguridad\Directivas locales\Opciones de seguridad\: Cliente de redes de Microsoft: enviar contrasea sin cifrar a servidores SMB de terceros Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (si el servidor lo permite) Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (siempre) Servidor de red Microsoft: firmar digitalmente las comunicaciones (si el cliente lo permite) Servidor de red Microsoft: firmar digitalmente las comunicaciones (siempre) Los SO de Microsoft negocian el firmado. Si se puede aplicar se aplica, pero si no se puede no se aplica. Esto quiere decir, que para forzar el firmado, y evitar los ataques Mitm sobre SMB, se debe exigir siempre el firmado. Pero entonces, puede que tengamos problemas como el siguiente: problema con escaner. Es decir, exigir el firmado provocar que clientes que no lo soporten no podrn conectarse.

Contramedidas a los ataques online en los sistemas Windows.

Las contramedidas tienen que ver tanto con el control de acceso como con la identificacin y registro de los hechos que puedan sugerir un ataque. Los controladores de dominio son un objetivo bastante probable para alguien que quiere obtener informacin sobre los usuarios de un sistema. Por ello deben estar fuertemente protegidos y monitoreados. De este modo, un atacante buscar un sistema pobremente defendido, y tratar de realizar a partir de aqu una escalada de privilegios que le lleve a controlar los recursos del dominio. Una vez comprometido un dominio, los daos pueden ser aun mayores si existen relaciones de confianza con otros dominios (en un rbol de dominios, o en un bosque). Para conocer ms informacin sobre este tema, se puede consultar en Estableciendo lmites seguros para Active Directory. Se puede configurar Windows para que LSASS aada al registro de eventos informacin relevante sobre permisos de acceso concedidos o denegados a los recursos. Las SACL (System ACL) permiten definir con gran detalle, qu eventos registrar y para qu usuarios. Estos registros incluyen informacin sobre el SID que realiza el acceso y el permiso resultante. La auditora sobre el control de acceso est desactivada por defecto. Para activar la directiva de auditora, es preciso editar las directivas en Directivas\Configuracin de Windows\Directivas locales\Directiva de auditora". Como parte de una estrategia de deteccin se recomienda activar la auditora de la forma ms exhaustiva posible. Esto es, activar la auditora de acceso para todos los objetos, tanto en aciertos como en errores, menos para el seguimiento de los procesos (por la sobrecarga que puede generar). Existe una mejora en cuanto a la organizacin, anlisis y correlacin de los datos de auditora, que se introdujo con Windows Vista. Esta mejora, est disponible en Visor de Eventos\Suscripciones. Adems de auditar, debemos prevenir los ataques online contra contraseas mediante directivas de contraseas y de bloqueo de cuentas. En un grupo de trabajo, dichas directivas estarn en las directivas de seguridad local\Configuracin de seguridad\Directivas de cuenta\. En un controlador de dominio, deberemos irnos al editor de directivas de grupo. Para conocer la funcin de cada directiva, podemos hacer clic sobre ella y leer la explicacin. Desgraciadamente, un atacante puede descubrir nuestro engao, si consigue (mediante un ataque de enumeracin) averiguar la autntica cuenta de Administrador del dominio. Dicha cuenta tiene un RID 500. Por lo que empleando una herramienta como "sid2user/user2sid" podr averiguarlo. Los pasos son los siguientes: 1. averiguar el SID del dominio: C:\>user2sid \\192.168.100.50 usuario. 2. Una vez que conozco el SID del dominio, averiguo nombre del administrador: C:\>sid2user \\192.168.100.50 5 21 2570943746 2782215392 1967871400 500. Ante esta estrategia, no hay nada como una buena poltica de contraseas.

Esto ltimo solo funcionar si la mquina ya est dentro del dominio. Prctica 7. En esta actividad, habr un administrador que protege sus sistemas, y un atacante que pretende averiguar la contrasea del administrador del dominio. El administrador debe cambiar el nombre de la cuenta de Administrador. El atacante debe averiguar el nombre de dicha cuenta. Prctica 8. Haz un resumen, teniendo en cuenta todo lo que hemos hablado, con las medidas que tomaras en un dominio Microsoft para proteger tus cuentas de usuario de ataques online.

Ataques offline contra las contraseas

Para un administrador, las tcnicas aqu comentadas pueden servirle para conocer la fortaleza de sus contraseas, ya que una buenta contrasea es ms difcil de romper que una dbil Las contraseas se almacenan en el sistema despus de haber sido pasadas por alguna funcin de "un solo sentido" (hashing). Es decir, no se puede dar marcha atrs, para obtener la contrasea original. La nica opcin posible es obtener los hashes, y probar las posibles contraseas, hasta conseguir romperla. Para poder romper las contraseas, necesitamos los hashes de las contraseas, ya que lo primero es obtener dichos hashes. En linux, estn en el archivo /etc/shadow y en Windows estn en el registro SAM. En Windows, adems, estos hashes estn encriptados por una contrasea llamada Syskey. Dicha contrasea puede encontrarse almacenada localmente, en un "disquete" o ser una passphrase a introducir cada vez que arrancamos el sistema. Por defecto, Syskey se almacena localmente, dispersa por varios puntos del registro. Aunque la encriptacin de los hashes es 128 bits, no sirve de mucho, ya que la forma en que Windows guarda el Syskey es conocida.

Establecer una contrasea en la BIOS

Para establecer una contrasea en la BIOS, debemos ir a la pestaa dedicada a la seguridad, probablemente llamada "Security". All, podemos establecer dos tipos de contraseas: Supervisor password: se refiere a la contrasea para acceder a la configuracin de la BIOS User password: se refiere a la contrasea para que la BIOS inicie la secuencia de arranque Adems, pueden haber, dependiendo de la BIOS, ms opciones, relativos al nivel de control que tendr un usuario cuando acceda a la configuracin de la BIOS. Prctica 18. Asigna una contrasea a la BIOS de una de tus mquina virtuales. Asigna tanto una contrasea de supervisor, como una contrasea de usuario. Comprueba como las contraseas se piden tanto para iniciar la secuencia de arranque, como para editar la configuracin de la BIOS. Desgraciadamente es posible saltarse esta barrera. Existen diferentes opciones para ello: Quitar la pila de la placa base. Esto se puede evitar con control de acceso fsico, y utilizando un candado para abrir la mquina. Activando el jumper "CLR_CMOS" de la placa base. Se puede evitar de igual modo que en el caso anterior. Utilizando una contrasea "backdoor" de la BIOS. Muchos chips incluyen una contrasea de recuperacin que depende del fabricante. Solo podemos controlar este ataque mediante control de acceso fsico. Existen programas y distribuciones que permiten el reseteo de la contrasea. Esta opcin requiere el arranque desde una distribucin live (como UBCD). Este ataque se controlar mediante control de acceso fsico, y una contrasea de la BIOS fuerte, que combine maysculas, minsculas y nmeros. Un atacante tambin puede instalar software con permisos de administrador para resetear la contrasea de la BIOS. Una vez detectada la intrusin, se debe estudiar el alcance del ataque y las medidas de contencin del mismo, ya que el atacante ya se ha podido hacer con el control del sistema.

Control de acceso a datos y aplicaciones

Existen tres modelos de control de acceso en la actualidad. Estos modelos se usan para controlar los permisos de acceso a los recursos. DAC (Discretionary Access Control): Permite que los propietarios de los datos configuren el control de acceso. Tienen control total sobre los archivos que crean. Este es el modelo por defecto en Linux y es el menos seguro. La nica salvaguarda contra la prdida de datos, son la sensatez del usuario, un buen esquema de copias de seguridad y software de recuperacin. Este modelo no se debera utilizar en sistemas crticos para el negocio. MAC (Mandatory Access Control): Los propietarios de los datos no tienen control total sobre el control de acceso a ellos. El control de acceso es gestionado por el personal de administracin. Los usuarios y los archivos tienen un nivel de seguridad asignado y solo pueden acceder a los archivos cuyo nivel es igual o menor al suyo. Este modelo previene a los propietarios conceder permisos menos restrictivos a recursos cuyo nivel de seguridad defini un administrador. De hecho, MAC protege a los datos de su propietario, impidiendo su borrado por ejemplo. MAC aporta proteccin contra mal uso, abuso, errores o malas intenciones. Este modelo supone una sobregarga al trabajo de los administradores. En GNU/Linux SELinux y Apparmor utilizan un modelo MAC. RBAC (Role-Based Access Control): El acceso a los datos se controla segn el papel (rol) que juega el usuario en la organizacin. Los usuarios pueden ser asignados a muchos roles, los roles a muchos usuarios, cada rol puede estar asociado con muchos permisos y los permisos se pueden asignar a muchos roles. El modelo RBAC es el ms complejo de todos, y dicha complejidad puede ser contraproducente.

Historia del malware

La palabra malware viene de la combinacin de las palabras malicious y software. Anteriormente, todo malware era llamado virus, pero en la actualidad, la diversidad de malware es muy amplia, y el trmino virus se utiliza principalmente para el software antimalware por cuestiones histricas. El malware original era fuente de orgullo para su creador, ya que mostraba su nivel de destreza y conocimientos. Es por ello que los efectos deban ser visibles, y cuanto ms devastadores mejor. En la actualidad este panorama ha cambiado. El mejor malware nunca es detectado, ya que su objetivo es permanecer el mayor tiempo posible en el sistema atacado. El fin ltimo, es el beneficio econmico, bien robando informacin sensible, creando redes de ordenadores zombie que un atacante podra utilizar para llevar acciones como el spam, el phishing, DDoS, distribuyendo falsas soluciones de seguridad (rogueware), secuestrando archivos del sistema mediante cifrado y pidiendo un rescate, etc.

El beneficio del malware

El libro "Hacking Exposed. Malware and rootkits", dedica en el apartado "It's a business" a hablar de RBN (Russian Business Network), un ISP Ruso de San Petersburgo, que alberga websites de malware y phishing, originan spam, etctera. Los rusos son una potencia puntera en cuanto al desarrollo de malware. Virus y gusanos como Bagel, MyDoom o NetSky son producciones suyas. No es que sean ms competentes o tengan habilidades superiores. Se trata de personas preparadas con pocas perspectivas laborales en nuevas tecnologas. Muchas de las personas que desarrollaran lneas de cdigo para productos en empresas, se pasan a la escritura de malware para obtener beneficio rpido y fcil. De hecho, "Hacking Exposed. Malware and rootkits" comienza contando una historia de un programador, que debido a la crisis, necesita ingresos extra. De modo que se pone manos a la obra para crear un software que le reporte dinero de manera fraudulente, mediante el llamado "fraude del clic" RBN, ofrece una completa infraestructura para los ciberdelitos. Phishing, malware, ataques DDoS, pornografa infantil, etctera, son soportados por este ISP ruso. Para ello, se pone a disposicin del cliente varias botnets, shells remotas en servidores crackeados y servidores centralizados de gestin de estas actividades. Por ejemplo, el 31 de Agosto del 2007, la web bankofindia.com fue comprometida insertando un iframe que instalaba 22 malwares diferentes en los clientes de dicho banco. El ataque a dicha web tena como origen RBN.

Mtodos de infeccin/propagacin
Existen 5 mtodos de infeccin: Explotacin de una vulnerabilidad Ingeniera social: el usuario es engaado para que haga algo Archivos maliciosos, adjuntos en emails, en sitios web, P2P, warez... Dispositivos extraibles Cookies maliciosas, que registran los hbitos de navegacin del usuario, y vender la informacin a empresas de publicidad

Vectores de propagacin
Malware and rootkits" tambin habla sobre los vectores tpicos de propagacin: email: justo por detrs de la ingeniera social, se basa en archivos adjuntos, de MS Office, tpicamente. o Contramedidas: El usuario se protege del correo: Quin lo enva?Qu extensin tiene el archivo. Nunca ejecutar un archivo recibido que no hemos pedido Los usuarios deben ver la extensin de los archivos. Por ejemplo, un archivo de PowerPoint no tiene extensin exe. Borrar los archivos adjuntos que no necesitamos. Sitios web maliciosos. Muchas web no maliciosas pueden ser atacadas debido a una vulnerabilidad, convirtindose en maliciosas. o Contramedidas: Educacin... vigilar donde se navega, y controlar lo que se cliquea. Software antispyware: Windows Defender, por ejemplo. Aunque un mdulo antispyware es tan bueno como el sistema que protege (atencin a las actualizaciones). Filtrado web. Phishing o Contramedidas: Uso de mdulos antiphishing en el navegador Formacin Test de intrusin P2P: muchas herramientas libremente descargables desde redes P2P incluyen malware. o Contramedidas: Formacin Poltica de seguridad Gusanos: los gusanos son solo la capa de propagacin del objetivo final del escritor. Aun as son altamente peligrosos. Por ejemplo, StormWorm, descarga en la vctima un troyano, un rootkit y una estructura de comunicacin P2P. o Contramedidas: Defensa en profundidad. IDS/IPS. A nivel de host: HIDS/HIPS.

Entonces...Cmo se instala el malware?

El malware es casi siempre instalado por el usuario. Esto ocurre en situaciones como las siguientes: Descarga de software que incluye adware y spyware: o Uso de software de poca confianza. o Descarga de software de redes P2P, y/o uso de activadores, generadores de serials, etc. Clicando en banners y anuncios engaosos.

Visitando sitios que usan exploits para instalar malware. Por lo general, esto ocurre en sitios web poco recomendables, aunque tambin puede ocurrir en sitios web de confianza (ha llegado a ocurrir en redes sociales populares, por ejemplo). Falta de parcheo de programas, SO y software antimalware. Directamente el usuario no usa antivirus.

Sntomas de la infeccin
Cuando un ordenador est infectado, puede manifestar sntomas o no. En la actualidad, un malware tratar de que no se manifieste ningn sntoma, de forma que pueda realizar su tarea de forma sigilosa. En cualquier caso, hay ciertos sntomas, que de darse, pueden indicar que hay algn malware instalado en nuestro ordenador: El ordenador muestra extraos mensajes de error o popups. El ordenador tarda demasiado en arrancar, y su funcionamiento es muy lento. El ordenador se cuelga o reinicia sin causa aparente. La pgina de inicio del navegador web ha cambiado. Aparecen en el navegador campos adicionales en formularios. Aparecen nuevas barras de herramientas. Los resultados de una bsqueda son redirigidos. El navegador acaba en sitios inesperados. No se puede acceder a sitios relacionados con la seguridad. Aparecen iconos y programas en el escritorio que no pusimos nostros. Ciertos programas no inician sin causa aparente. Se ha desactivado una o ms herramientas de seguridad sin causa aparente. La conexin a internet es lenta, o se genera trfico sospechoso. Desaparecen programas y archivos repentinamente. El ordenador realiza acciones sin intervencin del usuario.

Anlisis del malware a fondo

Mark Russinovich es actualmente empleado de Microsoft. Antes de eso, fue un programador independiente, que junto con Bryce Cogswell desarroll un conjunto de herramientas de anlisis y auditora para Windows. Estas herramientas las fue colgando en un sitio web llamado sysinternals.com en 1996. Algunas de las herramientas de Sysinternals, pueden emplearse para el anlisis del sistema en busca de malware. A veces, los antivirus no terminan con el malware. Las razones son las siguientes: Dependen de las firmas. Por ello, solo pueden parar lo que sus laboratorios han visto, pero no lo que no han visto. Los antivirus son objetivo del malware. Si el malware es instalado por el administrador del sistema, no hay nada que hacer. Siempre hay que hacer una limpieza del sistema con la solucin antivirus/antimalware que tengamos instalada. Despus, siempre hay que hacer una limpieza manual. La razn del orden es obvia: simplifica el trabajo.

Fases de la limpieza del malware

Las fases que se deben seguir sistemticamente para limpiear el malware son las siguientes: Desconectar de la red: evitamos as que ms malware se instale mientras intentamos limpiar el que tenemos instalado. Identificar procesos y drivers maliciosos. Finalizar los procesos identificados.

Identificar y borrar los autoinicios del malware. Borrar archivos del malware Reiniciar y repetir: a veces, el malware emplea tcnicas sofisticadas para replicarse una vez ha sido eliminado. Por ello, hay que cerciorarse de que ha sido eliminado.

Identificacin de procesos maliciosos

Los procesos maliciosos suelen tener algunas caractersticas que los descubran. Estas caractersticas pueden ser alguna o varias de las siguientes: No tienen icono No tienen descripcin o nombre de fabricante No estn firmados por Microsoft Estn en el directorio de Windows Estn empaquetados Incluyen extraas URLs entre sus cadenas de texto Abren conexiones TCP/IP Incluyen o usan extraos DLLs El malware deja estos aspectos sin definir, porque puede (la mayora de usuarios no comprueba estos aspectos). Sin embargo podemos dar con falsos negativos y con falsos positivos. Algunas aplicaciones de confianza no estn firmadas por Microsoft. El administrador de tareas como visor de procesos Todo el mundo ha usado el administrador de tareas. Pero no muestra ninguna de la informacin previamente descrita. Definitivamente, el visor de procesos no es una herramienta vlida para detectar malware.

Process Explorer
Process Explorer es una herramienta de Sysinternals que permite analizar en profundidad los procesos en ejecucin. Algunas de sus caractersticas son: Muestra arbol de procesos. El malware no suele utilizar icono, descripcin, etc. Window finder (diana en la barra de herramientas) permite asociar un proceso a una ventana. Search online (botn derecho sobre el proceso) permite buscar online informacin sobre el proceso. Cuando un programa que se inicia se pone en verde. Cuando se detiene, se pone en rojo. Podemos modificar el tiempo que dura el color en Options\Difference hightlighting duration. Tambin se pueden cambiar los colores. Colores importantes en Process Explorer Process Explorer describe alguna caracterstica importante de un proceso mostrndolo en algn color concreto. De entre todas las caractersticas que Process Explorer puede mostrar, nos interesan especialmente (para la deteccin del malware) los siguientes: Procesos ejecutados bajo el mismo usuario que inici sesin (Azul). Procesos que ejecutan servicios (Rosa). Procesos cuya imagen tiene algn tipo de empaquetado (Morado). El malware utiliza empaquetado o encriptacin (que vara cada vez) para dificultar la identificacin por parte de los antivirus. Existen ms colores, aunque no son relevantes para la deteccin del malware, as que podemos desactivarlos. Notas flotantes Al ponerse encima de un proceso podemos ver la ruta de la imagen de origen. Algunos procesos no tienen una imagen de origen, ya que han sido ejecutados por otro proceso. En estos casos no hay ruta. Esto no tiene por qu ser algo malo, ya que es un mecanismo muy empleado por el sistema operativo, para el alojamiento de servicios (svchost).

Verificacin de firmas Microsoft trata de firmar todo, de forma que un proceso que corre en el sistema debe estar firmado si es de confianza. No siempre es cierto, pero puede ser una ayuda a la hora de encontrar malware. Servicios Windows utiliza servicios para muchas cosas. En "Process Explorer" aparecen de color rosa. Los servicios pueden arrancar solos de manera independiente al usuario cuando la mquina arranca. Proporcionan muchas funcionalidades necesarias para el sistema, y otras que no son tan necesarias (como IIS por ejemplo) salvo en servidores. Un servicio puede tener un proceso dedicado o puede alojarse en un proceso "svchost". En este ltimo caso, un solo proceso svchost puede alojar varios servicios. El archivo Svchost.exe se encuentra en la carpeta C:\WINDOWS\system32\svchost.exe. Al iniciarse, Svchost.exe comprueba la parte de servicios del Registro para elaborar la lista de servicios que necesita cargar. Se pueden ejecutar mltiples instancias de Svchost.exe al mismo tiempo. Cada sesin de Svchost.exe puede contener un conjunto de servicios, para que se puedan ejecutar servicios autnomos, en funcin de cmo y cundo se inici Svchost.exe. Esto permite un control mejor y una depuracin ms sencilla. Los grupos Svchost.exe estn identificados en la siguiente clave del Registro: HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost Cada valor contenido en esta clave representa un grupo Svchost distinto y se muestra como un ejemplo independiente cuando se consultan los procesos activos. Cada valor es un valor REG_MULTI_SZ que contiene los servicios que se ejecutan en el grupo Svchost. Cada grupo Svchost puede contener uno o varios nombres de servicio que se extraen de la siguiente clave del Registro, cuya subclave Parameters contiene un valor ServiceDLL: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Nombre del Servicio En dicho valor, est la ruta la librera .dll que contiene la imagen del servicio. Al ponernos sobre un proceso "svchost" en "Process Explorer", podemos ver una nota contextual que muestra todos los servicios que se alojan en dicho proceso. Prctica 3. Conocer la librera .dll que hay detrs de un proceso svchost: Abrir procesxp.exe. Hacer doble clic sobre un proceso svchost. Abrir la pestaa "Services" Buscar en la columna "path" Opcionalmente podemos ver una descripcin de la funcionalidad de la librera. Conocer la ruta a las libreras .dll es muy til para la deteccin del malware, porque ste suele valerse de un proceso svchost para su ejecucin desde una librera .dll (valga la redundancia). Strings Otro aspecto muy interesante de "Process Explorer" es que podemos analizar las cadenas de texto plano que hay dentro del proceso, lo que puede darnos pistas de la funcin del proceso. Podemos ver tanto las cadenas de texto de la imagen de proceso (el archivo en el disco duro) o bien las cadenas en memoria, desde donde se ejecuta el proceso. El malware suele utilizar encriptacin y mtodos de empaquetado para dificultar el proceso de los antivirus en la bsqueda de patrones reconocibles. Sin embargo, cuando el malware se est ejecutando, permanece en memoria sin encriptar. Suspender antes que matar No matar los procesos sospechosos. Es preferible suspederlos y una vez suspendidos, matarlos. La razn es que unos procesos pueden reiniciar a los otros (watchdog), con otro nombre diferente. De forma que si intentamos matarlos uno a uno, podramos no acabar nunca. Debemos anotar la ruta completa de las rutas de los .exe y .dll maliciosos. La suspensin podra provocar el cuelgue.

Identificar procesos en el inicio Mediante MSCONFIG es posible comprobar los programas que se inician en el inicio. Pero MSCONFIG ofrece poca informacin. Podemos utilizar "Auto Runs". Para detectar el posible malware que se esconde en el registro, podemos utilizar el siguiente mtodo: 1. Iniciar autoruns.exe 2. Desplegar el men "options". 3. Marcar la opcin "Hide Microsoft and Windows entries". 4. Marcar la opcin "Verify code signatures". 5. Clicar el botn "Refresh" de la barra de icono. Lo que la accin anterior muestra las entradas que no son de Microsoft o que s lo son pero que no estn firmadas. Si hay alguna entrada que coincide con lo que hemos visto en el anlisis anterior, podemos borrarla (o desactivarla si no estamos seguros). Despus de borrar (o desactivar), refrescamos. Quin lo pone ah? Si despus de borrar una entrada, vuelve a aparecer, podemos utilizar otras herramientas para ver quin est volviendo a crear la entrada. Esta herramienta es "Process monitor". HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run: 1. Descargar el malware didctico kj33ks.exe de Skapunky 2. Abrir "Process monitor". 3. En la barra de herramientas, marcar el botn "Show registry activity" y desactivar los dems botones "Show .... activity" 4. Crear el siguiente filtro: "Operation is RegCreateValue - Include". 5. Ejecutar el malware kj33ks.exe. 6. Buscar la nueva entrada en "Process monitor". Se puede buscar la cadena "CurrentVersion\Run". El proceso completo: En resumen, el proceso a seguir, de manera sistemtica, es el siguiente: 1. Identificar los archivos sospechosos. 2. Suspenderlos. 3. Matarlos. 4. Limpiar las entradas de autoinicio en el registro. 5. Borrar los archivos. 6. Reiniciar. 7. Volver a empezar.

3.1. Keyloggers
Vamos a probar Revealer Keylogger para entender lo que es un Keylogger software. Tambin existen los Keyloggers fsicos.

3.2. Troyanos
Los troyanos permiten establecer conexiones entre la mquina del atacante y la mquina de la vctima. Los troyanos estn ampliamente documentados en Internet. Rootkits Un rootkit es un tipo de malware que se coloca en un lugar privilegiado del sistema operativo, de forma que puede acceder con total impunidad al sistema mientras oculta su presencia al usuario, cambiando el comportamiento de ciertos componentes del sistema operativo. Existen dos tipos principales de rootkits: los que se ejecutan en modo usuario y los que se ejecutan en modo kernel. Un rootkit ejecutndose en modo usuario intentar interceptar las llamadas a las funciones nativas del sistema para secuestrarlas y reemplazarlas con ejecuciones alternas. Por ejemplo, al ejecutar el comando dir el resultado ser modificado para que no muestre cierto archivo. Este tipo de rootkits son ms fcilmente detectables por las herramientas antimalware.

Un rootkit en modo kernel intenta cambiar directamente el comportamiento del sistema operativo o modificar las estructuras de datos del kernel de sistema. Puesto que el rootkit se ejecuta en un nivel de privilegio similar al de las herramientas antimalware, pueden defenderse activamente de ellas. La instalacin de drivers sin firmar puede provocar la instalacin de rootkits en modo kernel. Tambin hay dos tipos de rootkits dependiendo de su persistencia. En ocasiones el objetivo es mantener el acceso sobre un sistema atacado. En tal caso hablamos de rootkits persistentes, que se inician cuando arranca el sistema operativo. Por otro lado, un rootkit puede estar diseado para desaparecer una vez que el sistema se reinicie, para evitar su deteccin en un prximo anlisis forense. Los rootkits tiene muchos usos legtimos, pero son especialmente populares entre el malware, ocultando estratgicamente ciertos procesos nocivos, que pueden apropiarse de recursos, robar contraseas... sin el conocimiento del usuario.

Criptografa bsica
La palabra criptografa proviene del griego: kriptos (oculto) + graphos (escritura). La criptografa moderna es una tcnica o un conglomerado de tcnicas para garantizar ciertos aspectos sobre la seguridad de la informacin. La criptografa engloba la "Teora de la informacin", la "Matemtica discreta" y la "Complejidad algortmica". La criptografa slo hace referencia al uso de cdigos, y no engloba las tcnicas para romper dichos cdigos (llamadas criptoanlisis). Para referirse a ambas disciplinas (criptografa y criptoanlisis), se utiliza el trmino criptologa.

Criptosistema
Un criptosistema es una quntupla (M,C,K,E,D), donde: M representa el conjunto de todos los mensajes sin cifrar que pueden ser enviados. C es el conjunto de todos los posibles mensajes cifrados o criptogramas K representa todas las claves que se pueden usar en el criptosistema. E son las transformaciones de cifrado aplicadas a cada elemento de M para obtener un

elemento de C. Existe una transformacin diferente para cada clave k, a la que llamamos Ek. D es el conjunto de transformaciones de descifrado, similar a E. Existe una transformacin diferente para cada clave k, a la que llamamos Dk

Todo criptosistema debe cumplir lo siguiente: Dk(Ek(m)) = m

Tipos de criptosistemas
Existen dos tipos de criptosistemas: simtricos o de clave privada, y asimtricos o de clave pblica . Un criptosistema simtrico emplea la misma clave para cifrar como para descifrar. La clave debe estar tanto en el emisor como en el receptor, por lo que hay que transmitirla previamente de manera segura. Un criptosistema asimtrico emplea dos claves, una pblica y otra privada. Una de ellas es empleada para cifrar y la otra para descifrar. Estos criptosistemas son ms complejos computacionalmente que los simtricos. Esteganografa La esteganografa consiste en la ocultacin de informacin dentro de otra aparentemente inocua . Por ejemplo, se podra ocultar cierta informacin dentro de una imagen. De este modo la informacin pasa desapercibida (ya que enviar el mensaje cifrado, es visto claramente una informacin que se desea ocultar).

Criptoanlisis Consisten en comprometer la seguridad de un criptosistema. Esto se puede hacer o bien descifrando el mensaje sin conocer la clave, o bien obteniendo la clave a partir de varios criptogramas. Para descrifrar el mensaje sin conocer la clave, se pueden utilizar diferentes tcnicas. Por ejemplo, se puede escuchar un canal por el que circulan los criptogramas o bien acceder al objeto de nuestro ataque, para que responda con un criptograma cuando le enviemos un mensaje . Tambin se puede contar con un conjunto de partes de textos claros y sus criptogramas correspondientes. Cuando el sistema es dbil, pueden bastar unos cientos de mensajes para obtener informacin que permita deducir la clave empleada. Otra estrategia consiste en criptoanalizar el algoritmo de descifrado, con todas y cada una de las claves, a un mensaje cifrado y comprobar las salidas que se obtiene por si alguna tiene sentido. En general, la bsqueda por el espacio de las claves (K) se denomina ataque de fuerza bruta, y solo tienen sentido en ataques a debilidades intrnsecas en el algoritmo de cifrado o al uso de claves dbiles. El avance en el hardware hace que los ataques de fuerza bruta puedan comprometer algoritmos que anteriormente eran fuertes (como DES, por ejemplo). Seguridad por oscuridad La seguridad por oscuridad es un principio de ingeniera que busca garantizar la seguridad mediante la ocultacin de los detalles de diseo. Por ello, la seguridad por oscuridad se ve comprometida cuando el secreto se desvela. Un buen algoritmo de cifrado basa su fortaleza en una contrasea fuerte y no en el secretismo del algoritmo. Por ello, los algoritmos libres tienen a ser los ms seguros, ya que toda la comunidad puede buscar agujeros de seguridad. Algoritmos de cifrado Los algoritmos de cifrado se clasifican en dos grandes tipos: De cifrado de bloque: dividen el texto origen en bloques de bits con un tamao fijo y los cifran de manera independiente. De cifrado de flujo: el cifrado se realiza bit a bit, byte a byte o carcter a carcter. Las dos tcnicas ms sencillas de cifrado de flujo son la sustitucin y la transposicin. Cifrado de sustitucin Supongamos que Alicia quiere mandar a Antonio el mensaje siguiente: "meet me at central park". Para que nadie entienda el mensaje, lo que Alicia enva es lo siguiente: "phhw ph fhqwudo sdun". Sin tener conocimientos de criptoanlisis, todos nos fijaremos en la secuencia "hh" de la primera palabra. El cifrado empleado en este mensaje, es llamado cifrado Csar, porque se achaca a Julio Csar (el emperador romado) que lo emple en sus campaas.

Criptografa simtrica
Dada una clave k, un algoritmo de cifrado E, y otro de descifrado, D, la criptografa simtrica es aquella en la que dado un mensaje de texto claro, m, se cumple que: D(E(m,k),k)=m Para que las partes que se comunican puedan cifrar y descifrar, es preciso que intercambien la clave previamente mediante algn canal seguro. En los sistemas actuales, donde un ordenador comn puede tener una capacidad de cmputo muy elevada, el tamao de la clave es el elemento ms importante.

Algoritmos criptogrficos simtricos

DES Cada uno de los algoritmos presentados a continuacin, pueden utilizar diferentes longitudes de clave, diferentes propiedades de seguridad, de forma que son ideales para diferentes aplicaciones. Vamos a hablar de DES, Triple-DES, Blowfish, IDEA, AES y RC5, aunque hayan ms algoritmos.

Data Encryption Standard (DES) es un algoritmo de cifrado, es decir, un mtodo para cifrar informacin, escogido por FIPS en los Estados Unidos en 1976, y cuyo uso se ha propagado ampliamente por todo el mundo. Hoy en da, DES se considera inseguro para muchas aplicaciones. El DES (tambin llamado DEA) es un algoritmo de cifrado por bloques de 64 bits de tamao. Emplea una clave de 56 bits durante la ejecucin (se eliminan 8 bits de paridad del bloque de 64). El algoritmo fue diseado para ser implementado en hardware. Cuando se utiliza en comunicaciones ambos participantes deben conocer la clave secreta (para intercambiarla se suelen emplear algoritmos de clave pblica). El algoritmo se puede usar para encriptar y desencriptar mensajes, generar y verificar cdigos de autentificacin de mensajes (MAC) y para encriptacin de un slo usuario (p. ej para guardar un archivo en disco). Aunque el DES era un algoritmo computacionalmente seguro, esto ha dejado de ser cierto, ya que con hardware especfico es posible realizar ataques por fuerza bruta que descubran una clave en pocos das. El problema principal es que el tamao de la clave (56 bits) es demasiado pequeo para la potencia de clculo actual. De hecho, el DES dej de ser el algoritmo empleado por el gobierno norteamericano en Noviembre de 1998 y fu elegido AES como sustituto a principio de los 2000. La alternativa Triple DES es segura aunque existen ataques tericos. Triple-DES Triple-DES consiste en encriptar tres veces una clave DES. Esto se puede hacer de varias maneras: DES-EEE3: Tres encriptaciones DES con tres claves distintas. DES-EDE3: Tres operaciones DES con la secuencia encriptar-desencriptar-encriptar con tres claves diferentes. DES-EEE2 y DES-EDE2: Igual que los anteriores pero la primera y tercera operacin emplean la misma clave. Dependiendo del mtodo elegido, el grado de seguridad vara; el mtodo ms seguro es el DES-EEE3. La razn de ser de Triple-DES es mantener compatibilidad con dispositivos que emplean DES, incrementando la seguridad con el alargamiento de la clave. Por ejemplo en DES-EEE3, la clave pasa a ser de 64 bits (contando los bits de paridad) a 192 bits. AES El AES (Advanced Encription Standard o Estndar Criptogrfico Avanzado), tambin conocido como Rijndael, es un esquema de cifrado por bloques adoptado como un estndar de cifrado por el gobierno de los Estados Unidos. El AES fue anunciado por el Instituto Nacional de Estndares y Tecnologa (NIST) como FIPS PUB 197 de los Estados Unidos (FIPS 197) el 26 de noviembre de 2001 despus de un proceso de estandarizacin que dur 5 aos. Se transform en un estndar efectivo el 26 de mayo de 2002. Desde 2006, el AES es uno de los algoritmos ms populares usados en criptografa simtrica. RC4 RC4 es un algoritmo de cifrado de flujo diseado por Ron Rivest para RSA Data Security. Es un algoritmo de tamao de clave variable con operaciones a nivel de byte. Es un algoritmo de ejecucin rpida en software. El algoritmo se emplea para encriptacin de ficheros y para encriptar la comunicacin en protocolos como el SSL (TLS). RC5 RC5 es un algoritmo parametrizable con tamao de bloque variable, tamao de clave variable y nmero de rotaciones variable. Los valores ms comunes de los parmetros son 64 o 128 bits para el tamao de bloque, de 0 a 255 rotaciones dependientes de los datos (operaciones de permutacin controlada) y claves de 0 a 2048 bits. Fue diseado en 1994 por Ron Rivest. La mezcla de rotaciones dependientes de los datos y de distintas operaciones lo hace resistente al criptoanlisis lineal y diferencial. El algoritmo RC5 es fcil de implementar y analizar y, de momento, se considera que es seguro. IDEA IDEA (International Data Encription Algorithm) es un algoritmo de cifrado por bloques de 64 bits iterativo. La clave es de 128 bits. La encriptacin precisa 8 rotaciones complejas. El algoritmo funciona de la misma forma para encriptar que para desencriptar (excepto en el clculo de las subclaves). El algoritmo es fcilmente implementable en hardware y software, aunque algunas de las operaciones que realiza no son eficientes en software, por lo que su eficiencia es similar a la del DES. El algoritmo es considerado inmune al

criptoanlisis diferencial y no se conocen ataques por criptoanlisis lineal ni debilidades algebraicas. La nica 128 debilidad conocida es un conjunto de 251 claves dbiles, pero dado que el algoritmo tiene 2 claves posibles no se considera un problema serio. Blowfish es un algoritmo de cifrado por bloques de 64 bits desarrollado por Scheiner. Es un algoritmo de tipo Feistel y cada rotacin consiste en una permutacin que depende de la clave y una sustitucin que depende de la clave y los datos. Todas las operaciones se basan en o-exclusivas sobre palabras de 32 bits. La clave tiene tamao variable (con un mximo de 448 bits) y se emplea para generar varios vectores de subclaves. Este algoritmo se diseo para mquinas de 32 bits y es considerablemente ms rpido que el DES. El algoritmo es considerado seguro aunque se han descubierto algunas claves dbiles, un ataque contra una versin del algoritmo con tres rotaciones y un ataque diferencial contra una variante del algoritmo.

Ventajas y desventajas de la criptografa simtrica

En los algoritmos de cifrado de bloques hay diferentes modos de operacin dependiendo de cmo se mezcla la clave con el texto claro. Estos modos son ECB, CBC, PCBC, CFB, OFB y CTR. El uso de un modo u otro puede ser determinante en su eficacia en determinados problemas. Por ejemplo, a continuacin se muestra una imagen .raw, y su aspecto tras encriptar con AES-128 en dos modos diferentes:

Imagen raw original

Imagen encriptada con AES-128 en modo EBC.

Imagen encriptada con AES-128 en modo CBC.

Como ventajas de los algoritmos de criptografa simtrica estn los siguientes: Gran velocidad No aumenta el tamao del mensaje Como desventajas, est la distribucin de claves: Es preciso que el receptor conozca la clave que se va a utilizar. Si tenemos un nmero n de personas que necesitan comunicarse entres s, se necesitan n/2 claves diferentes para cada pareja de personas que tengan que comunicarse de modo privado. Esto puede funcionar con grupos pequeos de personas, pero no con grupos grandes.

PGP y GPG
PGP (Pretty Good Privacy) es un programa de Phil Zimmermann, cuya finalidad es proteger la informacin que circula por Internet mediante el uso de criptografa asimtrica, y facilitar la autenticacin de documentos gracias a firmas digitales. Combina tanto caractersticas de criptografa simtrica y asimtrica. GPG (GNU Privacy Guard) es una herramienta de cifrado y firmas digitales que implementa el estndar OpenPGP de la IETF, derivado de PGP, aunque liberado bajo licencia GPL. GPG permite el cifrado simtrico y asimtrico.

Criptografa de clave asimtrica

Durante miles de aos, la criptografa simtrica ha sido la nica existente. Pero en los 70, dos cientficos llamados Diffie y Hellman descubrieron un nuevo mtodo llamado criptografa de clave asimtrica (o de clave pblica). Para la comunicacin entre personas que no se conocen, la criptografa simtrica es muy inconveniente. Adems, la comunicacin entre varias personas requiere una clave por cada par. Cuando hay muchas personas, la criptografa simtrica no es viable. En la criptografa asimtrica existen dos claves, llammoslas Kpv (clave privada) y Kpb (clave pblica). Supongamos que llamamos E(m,k) al algoritmo de cifrado para el mensaje m, empleando la clave k, y D(x,k) el algoritmo de descifrado para el mensaje x y la clave k. Entonces de cumple lo siguiente: D(E(m,kpv),kpb) = D(E(m,kpb),kpv) = m El nacimiento de la criptografa asimtrica se dio al estar buscando un modo ms prctico de intercambiar las llaves simtricas Diffie y Hellman, proponen una forma para hacer esto. Sin embargo no fue hasta que el popular mtodo de Rivest Shamir y Adleman RSA publicado en 1978, cundo toma forma la criptografa asimtrica. Su funcionamiento esta basado en la imposibilidad computacional de factorizar nmeros enteros grandes. Por ejemplo, vers que estas dos operaciones implican un esfuerzo muy diferente a pesar de ser los mismos nmeros: Obtener los factores primos de 527. Multiplicar 1731.

Algoritmos de criptografa asimtrica

Algunos algoritmos de criptografa asimtrica son Diffie-Hellman, RSA, DSA o ElGamal. RSA utiliza el problema matemtico de la factorizacin de un nmero entero n grande (1024 bits). Este nmero entero se sabe es producto de dos nmeros primos p y q de la misma longitud. Entonces la clave pblica es el nmero n y la privada es (p,q). El tamao de la llave pblica debera ser mas grande que 1024 bits para un mrgen razonable de seguridad. Llaves de tamao, sopongamos, de 2048 bits deberan brindar seguridad por muchos aos. DSA (Digital Signature Algorithm) es un estndar del Gobierno Federal de los Estados Unidos para firmas digitales. Fue un Algoritmo propuesto por el Instituto Nacional de Normas y Tecnologa de los Estados Unidos para su uso en su Estndar de Firma Digital(DSS), especificado en el FIPS 186. DSA se hizo pblico el 30 de agosto de 1991, este algoritmo como su nombre lo indica, sirve para firmar y no para cifrar informacin. Una desventaja de este algoritmo es que requiere mucho ms tiempo de cmputo que RSA. El protocolo Diffie-Hellman, debido a Whitfield Diffie y Martin Hellman, es un protocolo de establecimiento de claves entre partes que no han tenido contacto previo, utilizando un canal inseguro, y de manera annima (no autenticada). Se emplea generalmente como medio para acordar claves simtricas que sern empleadas para el cifrado de una sesin (establecer clave de sesin). Siendo no autenticado, sin embargo, provee las bases para varios protocolos autenticados. Su seguridad radica en la extrema dificultad (conjeturada, no demostrada) de calcular logaritmos discretos en un cuerpo finito. El procedimiento de cifrado/descifrado ElGamal se refiere a un esquema de cifrado basado en problemas matemticos de logaritmos discretos. Es un algoritmo de criptografa asimtrica basado en la idea de DiffieHellman y que funciona de una forma parecida a este algoritmo discreto. El algoritmo de ElGamal puede ser utilizado tanto para generar firmas digitales como para cifrar o descifrar. Fue descrito por Taher Elgamal en 1984 y se usa en software GNU Privacy Guard, versiones recientes de PGP, y otros sistemas criptogrficos. Este algoritmo no esta bajo ninguna patente lo que lo hace de uso libre.

Ventajas y desventajas del cifrado asimtrico

El tamao de la clave es una medida de la seguridad del sistema, pero no se puede comparar el tamao de la clave del cifrado simtrico con el cifrado de la clave pblica para medir la seguridad. En un ataque de fuerza bruta sobre un cifrado simtrico con una clave de 80 bits, el tacante debe probar 80 hasta 2 -1 claves para encontrar la clave correcta. En cambio, en el cifrado asimtrico, con una clave de 512 bits, el atacante debe factorizar un nmero compuesto codificado en 512 bits. Mientras 128 bits pueden ser suficientes para los cifrados simtricos, en el cifrado se recomienda el uso de claves pblicas de 1024 bits. La ventaja principal del cifrado asimtrico, es que se emplean dos claves diferentes, de forma que la clave pblica se puede distribuir sin poner en riesgo la privacidad de los mensajes cifrados. Pero tambin tiene bastantes desventajas: Los algoritmos son mucho ms lentos que los de cifrado simtrico para la misma longitud de clave. Las claves deben ser de mayor tamao. El mensaje cifrado ocupa ms espacio que el original.

Criptografa hbrida
El cifrado asimtrico ralentiza el proceso de cifrado. Por eso, para la comunicacin cifrada se suele combinar la criptografa simtrica y asimtrica: Para intercambiar la clave simtrica, se utiliza criptografa asimtrica. Esta clave es llamada clave de sesin. Una vez intercambiada la clave de sesin de forma secreta, se emplea la criptografa simtrica para el intercambio de mensajes. De esta forma conseguimos tanto confidencialidad como integridad. An nos queda resolver el problema de la autenticacin y el no repudio.

El cifrado asimtrico en la prctica

Existen distintas herramientas para aplicar los algoritmos de cifrado asimtrico, que pueden utilizar los usuarios para proteger sus mensajes. Entre ellas tenemos PGP, GPG, SSH, SSL y TLS. GPG y la criptografa asimtrica Para generar un par de claves con GPG se utiliza la opcin --gen-key. A partir de este momento, el usuario debe ir respondiendo a preguntas que GPG le har, para decidir los detalles de las claves: $ gpg --gen-key gpg (GnuPG) 1.4.10; Copyright (C) 2008 Free Software Foundation, Inc. This is free software: you are free to change and redistribute it. There is NO WARRANTY, to the extent permitted by law. Por favor seleccione tipo de clave deseado: (1) RSA y RSA (predeterminado) (2) DSA y Elgamal (3) DSA (slo firmar) (4) RSA (slo firmar) Su seleccin?: Habra que responder con el algoritmo deseado. las claves RSA pueden tener entre 1024 y 4096 bits de longitud. De qu tamao quiere la clave? (2048) 2048 El tamao requerido es de 2048 bits Por favor, especifique el perodo de validez de la clave. 0 = la clave nunca caduca = la clave caduca en n das w = la clave caduca en n semanas m = la clave caduca en n meses y = la clave caduca en n aos Validez de la clave (0)? Si respondemos "1m", la respuestas ser: La clave caduca sb 04 feb 2012 20:02:58 CET Es correcto? (s/n) Responderemos afirmativamente. A continuacin se pide el identificador de usuario para identificar la clave. Debemos responder con los datos que se piden: Necesita un identificador de usuario para identificar su clave. El programa construye el identificador a partir del Nombre Real, Comentario y Direccin de Correo electrnico de esta forma: "Heinrich Heine (Der Dichter) " Nombre y apellidos: Mauricio Matamala Direccin de correo electrnico: mauriciomatamala@hotmail.com Comentario: mauri Ha seleccionado este ID de usuario: Mauricio Matamala (mauri) Cambia (N)ombre, (C)omentario, (D)ireccin o (V)ale/(S)alir? Respondemos con "V", y continuamos Necesita una frase contrasea para proteger su clave secreta. Enter passphrase: Debemos introducir una contrasea, o ms bien una passphrase. Es necesario generar muchos bytes aleatorios. Es una buena idea realizar alguna otra tarea (trabajar en otra ventana/consola, mover el ratn, usar la red y los discos) durante la generacin de nmeros primos. Esto da al generador de nmeros aleatorios mayor oportunidad de recoger suficiente entropa. No hay suficientes bytes aleatorios disponibles. Por favor, haga algn otro trabajo para que el sistema pueda recolectar ms entropa (se necesitan 278 bytes ms). .+++++ ....+++++ Es necesario generar muchos bytes aleatorios. Es una buena idea realizar alguna otra tarea (trabajar en otra ventana/consola, mover el ratn, usar la red y los discos) durante la generacin de nmeros primos. Esto da al generador de nmeros aleatorios mayor oportunidad de recoger suficiente entropa. No hay suficientes bytes aleatorios disponibles. Por favor, haga algn otro trabajo para que el sistema pueda recolectar ms entropa (se necesitan 92 bytes ms). ....+++++ No hay suficientes bytes aleatorios disponibles. Por favor, haga algn otro trabajo para que el sistema pueda recolectar ms entropa (se necesitan 114 bytes ms). ......+++++ gpg: clave 1557FFBF marcada como de confianza absoluta claves pblica y secreta creadas y firmadas. gpg: comprobando base de datos de confianza gpg: 3 dudosa(s) necesarias, 1 completa(s) necesarias, modelo de confianza PGP gpg: nivel: 0 validez: 2 firmada: 0 confianza: 0-, 0q, 0n, 0m, 0f, 2u gpg: siguiente comprobacin de base de datos de confianza el: 2012-02-04 pub 2048R/1557FFBF 2012-01-05 [[caduca: 2012-02-04]] Huella de clave = 4251 FEFB EB99 1FA3 34ED 8586 D5A7 39B2 1557 FFBF uid Mauricio Matamala (mauri) sub 2048R/6AB95412 2012-01-05 [[caduca: 2012-02-04]] Durante el proceso de generacin de la clave, gpg pide que se realien varias tareas adicionales (abrir archivos, mover ventanas, mover el ratn) para que los eventos relacionados contribuyan a la entropa de la misma.

Certificado de revocacin En ocasiones, la clave privada puede verse comprometida, o el usuario olvidar la contrasea. En tal caso, es preciso emitir un certificado de revocacin para la clave pblica. Es conveniente generar dicho certificado cuanto antes, puesto que si despus se pierde la clave privada, o se olvida la contrasea, no se podr generar. Supongamos que dispongo de los siguientes anillos de claves pblicas (en concreto solo una clave pblica, la que cree hace un momento): $ gpg --list-keys /home/mauri/.gnupg/pubring.gpg ------------------------------ pub 2048R/1557FFBF 2012-01-05 [[caduca: 2012-02-04]] uid Mauricio Matamala (mauri) sub 2048R/6AB95412 2012-01-05 [[caduca: 2012-0204]] Entonces, para crear el certificado de revocacin para la clave pblica, 1557FFBF: $ gpg --output revocacion-1557FFBF.asc --gen-revoke 1557FFBF Visualizar el anillo de claves pblicas Para poder obtener un listado del contenido del archivo (anillo) de claves pblicas, ejecutamos el comando gpg con la opcin --list-keys: $ gpg --list-keys /home/mauri/.gnupg/pubring.gpg ------------------------------ pub 2048R/1557FFBF 2012-01-05 [[caduca: 2012-02-04]] uid Mauricio Matamala (mauri) sub 2048R/6AB95412 2012-01-05 [[caduca: 2012-0204]] Exportacin de una clave pblica Para que un interlocutor pueda cifrar con nuestra clave pblica, primero debemos exportar la clave pblica desde nuestro anillo de claves pblicas a un archivo. $ gpg --output mauri.gpg --export mauriciomatamala@hotmail.com El archivo exportado, mauri.gpg, est en binario. Para poder exportarlo en cdigo ascii, utilizaremos el siguiente comando: $ gpg --armor --output mauri.asc --export mauriciomatama@hotmail.com De forma que el contenido sera como el siguiente: -----BEGIN PGP PUBLIC KEY BLOCK----- Version: GnuPG v1.4.10 (GNU/Linux) mQENBE8F+aIBCAC6H0B/3W4Ykpu1knbFfDkdNrZMmJOt1li+a8AGd82e61qft9Jn BtLj0Wzr+3Viwib3xLMp1yQz6Hhcnm2xBaIifOSyQz2xbLaKsHEouL+yXZ7PlukV Fxj9n7j2pE92i5rNGBh9GZcaA9mEi+DEmRpK0UdFrBm15bHJ3+Lun2klq32isIki Y4/w58DsA7jnQUUzAax5GqjaJfCpGMFMt1j5mUEih/JSmfffOojXJ0jEnla7pNHD bD28gsL5Wfy9JuKWMu10eBoJFJQB0Dw/tvFv4a10cLHsKcfNfYzBSCnE6PDPiXt/ ebqkJ7jIZCPtDrmBQL7gtpulQqsX59pJFqUfABEBAAG0OE1hdXJpY2lvIE1hdGFt YWxhIChtYXVyaSkgPG1hdXJpY2lvbWF0YW1hbGFAaG90bWFpbC5jb20+iQE+BBMB AgAoBQJPBfmiAhsDBQkAJ40ABgsJCAcDAgYVCAIJCgsEFgIDAQIeAQIXgAAKCRDV pzmyFVf/v42QB/0cfFvUG2wsPJg219s2wtd6oRT+6dDZ8D7yH8pq/ZOZf/BPFd1O Ubt5YH48PYOn/cFmClLuvKL4NyhOD2M1KLcYR4oEnE16P/O9OAz8qjAoWDGyjDP4 Pr3sCej7UfNKEkKWjoQy38lsq85vBdqfx3xTl8AhoJlkB+e2MlUqXQl9RyTz3z2/ IOtt6rq6pw8L7Xt4CeWCuNeQPJwUUURhRhUZSCiHiOv0LM3/UTny1Rs0YkyrfXb/ OImNVNT+L2uiFrJ+8q7sA9oxlGz8m2YU34MuF8JH+Gmgpmjaqly36/Oq9OZmAKUv +8c1WDYw7kR8f35wjX3YALz2ufMK1WFG1y0RuQENBE8F+aIBCADeu4xt4A84iH1Y k/6s/MWA/hArxRqSoFBwScc1usjerXrB+XEnlZqHPJ7QUAE6LVjU/o1/GZU7UFLa qaT83siX/UZMQVUf3vSnjdcfpGcryQ74J/88/1pd9wxDnbrkOhwVVsXUPMuUrxYZ 7VzP25IFKwZwZSkku+Ejda2kbB1bKXEf4P4Afo3TizzhMMfK5guVeBXoilUL+dfO yQYooa+VVF8SWWGwmYxQ8OIE49FLW6Qp/RzNmME5/oXHGqNjiNVngOnZielwvuGw 1mq9k6fqZ9qCdviRKrMQprS/nsNu5kjG62u88DLmt9Ir0fL45ME4xCEezpvhq4hR mqsHfrvdABEBAAGJASUEGAECAA8FAk8F+aICGwwFCQAnjQAACgkQ1ac5shVX/78G fggAs/s2wg/RXPalwn6RGC/oBkcJwTq6IbCqxRE0JN1PA6hYf3LAQBR8IO8sro+P

pfuW3/qq08TeXVmF3Z/kgvoN15/lc3+E5EufHA8D03pOreQ+F0dxe5XEToHplmfn KEmNvFEgXrl9TGE2RBpZ1zfU0R5KtGJUWZ7Y2Lbja3qlIJRNPo4qcrBTOQpWxJgx +GDkfz0z8wcGU3nC0qX6fDi6vX6T9DdN2yOKgbT5JOI0eDT6MGzIQBbWkwB0FkcA 35N54Re2zP6AlfGe0LzPIoblTbkVQ6A5Mk5lTAbghxk4BZ+lXlainn8AOCfrUqK7 zeW8vc9WTx2NAvFpLXeXfUhgzQ== =a25Z -----END PGP PUBLIC KEY BLOCK----Tambin se puede exportar la clave privada mediante el comando gpg --armor --output privada.asc --exportsecret-key mauriciomatamala@hotmail.com Esta clave pblica debe ser compartida con los usuarios que deseen comunicarse conmigo de manera segura. Supongamos que deseo que Fulano de Cuadros me pueda enviar mensajes cifrados con mi clave pblica. Entonces, Fulano debe copiar mi clave pblica, guardarla en un archivo, e importarla a su anillo de claves pblicas: $ gpg --import mauri.gpg Servidores de claves pblicas Una forma de distribuir una clave pblica es mediante un servidor de claves pblicas. Por ejemplo, pgp.rediris.es. Para remitir nuestra clave, debemos hacer lo siguiente: gpg --send-keys --keyserver pgp.rediris.es Para hacer una bsqueda de claves pblicas que queramos aadir a nuestro anillo de claves pblicas. Cifrado/descifrado de documentos Suponiendo que deseo enviar un mensaje cifrado a Fulano de Cuadros, primero he debido importar su clave pblica. De este modo, mi anillo de claves pblicas ser como el siguiente: $ gpg --list-keys /home/mauri/.gnupg/pubring.gpg ------------------------------ pub 2048R/1557FFBF 2012-01-05 [[caduca: 2012-02-04]] uid Mauricio Matamala (mauri) sub 2048R/6AB95412 2012-01-05 [[caduca: 2012-0204]] pub 2048R/C3E0AE8B 2011-12-30 [[caduca: 2012-01-29]] uid Fulano de Cuadros (ful) sub 2048R/FA18112B 2011-12-30 [[caduca: 2012-01-29]] A continuacin, para enviar un mensaje cifrado a Fulano de Cuadros, necesito contar con el mensaje. Pongamos por caso, que tengo un archivo, llamado "mensaje.txt" con el contenido siguiente: "La contrasea de administrador del dominio es 5up3R)eKr3t0!". Entonces, el cifrado de dicho mensaje se har del siguiente modo: $ gpg --armor --output mensaje.asc --encrypt --recipient fulano.cuadros@mimail.com mensaje.txt Se pueden indicar ms de un recipiente a la vez. Por ejemplo: gpg --armor --output mensaje.asc --encrypt -recipient fulano.cuadros@mimail.com --recipient zutano.copas@mimail.com mensaje.txt. El mensaje generado es como lo siguiente: -----BEGIN PGP MESSAGE----- Version: GnuPG v1.4.10 (GNU/Linux) hQEMAxb00iD6GBErAQf9HwJyqyXRfDkxTedhFQR1S0nOFxFX6eVLQoQ7GzHiDnd6 QVbknoBzTmj4Bh5rrNDoM1LMLVESqUYjbacOteTmxyKLXbHZCDahKN9YznMu2Wjq 5sL/VWGO0m6IoORBql+XGutcw523q8joCmg4uvxoxq/SGQFHDofvkKFr0NDifHzA HOyRAojd+oWi6rlBhNTaZS4pVKeK49g/RT1SToFmLXucfaXoastKoubPugcuVcs9 wtS0Hfhdcv+TisQxdHBT8MLzSh41PG73UY9EAxw2x2LTr63Bu0fBbpPtlAWo+RaH tK7GBkI7fCwXviefi/meoEvWE5Uc7cnv7GVTqZzPPdJ/AR9DcVE9f0FYDgQkifrl iHURQh2I4G9AuM7/6ElMrISomL69rL5SaY1Ij3eUHDtx7lEP7UBCRvoUea9zfxf+ jp9RABWeMTouy/yzGv+5Y9+YSodU9VYSp5KrzatL/BToBfQ0KKot8r8ELt7O4eTU LbN3a1RGUhwVHnuLRz+HlA== =ZqVK -----END PGP MESSAGE----Cuando Fulano de Cuadros reciba el mensaje, podr desencriptar del siguiente modo: fulano:~$ gpg --output mensaje.txt --decrypt mensaje.asc De ese modo se generar el archivo mensaje.txt con el mensaje original.

Validacin de la clave pblica Si hemos seguido los pasos anteriormente indicados, podremos ver como GPG nos ha advertido de que la clave pblica de Fulano de Cuadros podra ser falsa. Esta advertencia se debe a que no hemos firmado la clave pblica. Para firmar la clave pblica primero se supone que hemos comprobado que la clave es autntica. $ gpg --edit-key fulano.cuadros@mimail.com gpg (GnuPG) 1.4.10; Copyright (C) 2008 Free Software Foundation, Inc. This is free software: you are free to change and redistribute it. There is NO WARRANTY, to the extent permitted by law. pub 2048R/C3E0AE8B creado: 2011-12-30 [caduca: 2012-01-29] uso: SC confianza: desconocido validez: desconocido sub 2048R/FA18112B creado: 2011-12-30 [caduca: 2012-01-29] uso: E desconocido (1). Fulano de Cuadros (ful) Una vez editada la clave, podemos obtener su huella digital (fingerprint). Si la clave pblica es falsa, la huella digital no ser la correcta: Orden> fpr pub 2048R/C3E0AE8B 2011-12-30 Fulano de Cuadros (ful) Huella de clave primaria: C183 DC34 F569 08AF 458B 0788 6EB3 101B C3E0 AE8B Ahora debemos comprobar con Fulano de Cuadros, ya sea por telfono, en persona o mediante algn canal seguro, la huella digital de la clave. Una vez que la hayamos comprobado, la podemos firmar, con la orden "sign": Orden> sign pub 2048R/C3E0AE8B creado: 2011-12-30 [caduca: 2012-01-29] uso: SC confianza: desconocido validez: desconocido Huella de clave primaria: C183 DC34 F569 08AF 458B 0788 6EB3 101B C3E0 AE8B Fulano de Cuadros (ful) Esta clave expirar el 2012-01-29. Est realmente seguro de querer firmar esta clave con su clave: "Mauricio Matamala (mauri) " (1557FFBF)? Firmar de verdad? (s/N) s Necesita una frase contrasea para desbloquear la clave secreta del usuario: "Mauricio Matamala (mauri) " clave RSA de 2048 bits, ID 1557FFBF, creada el 2012-01-05 gpg: el agente gpg no esta disponible en esta sesin Introduzca frase contrasea: Finalmente, podemos comprobar el anillo de firmas, con la orden "check": Orden> check uid Fulano de Cuadros (ful) sig!3 C3E0AE8B 2011-12-30 [autofirma] sig! 1557FFBF 2012-01-05 Mauricio Matamala (mauri) Para terminar la edicin de la clave pblica de Fulano de cuadros, usamos la orden "quit": A partir de ahora, cuando firmemos con la clave de Fulano de Cuadros, no recibiremos la advertencia. Suponiendo que hemos intercambiado la clave pblica con un compaero, hacer los siguiente: Cifraremos un archivo que contenga una pregunta y lo remitiremos por email al compaero que nos proporcion su clave pblica. Nuestro compaero, a su vez, nos remitir un archivo cifrado para que nosotros lo descifremos, con la respuesta a nuestra pregunta. Por ltimo, enviaremos el documento cifrado a alguien que no estaba en la lista de destinatarios y comprobaremos que este usuario no podr descifrar este archivo.

Firma digital
La firma digital ofrece soporte para la autentificacin e integridad, as como para el no repudio en origen, ya que la persona que crea y firma el mensaje, no puede luego desdecirse, puesto que el mensaje est firmado con la clave privada, que solo est en poder de una persona.

Para la creacin y verificacin de firmas, se utiliza el par pblico y privado de claves en una operacin que es diferente a la de cifrado y descifrado. Se genera una firma con la clave privada del firmante. La firma se verifica por medio de la clave pblica correspondiente. Una consecuencia directa del uso de firmas digitales es la dificultad en negar que fue el propio usuario quien puso la firma digital, ya que ello implicara que su clave privada ha sido puesta en peligro. Para firmar un documento con GPG, podemos hacer los siguiente: $ gpg --output mensaje.sig --sign mensaje.txt De este modo obtendremos un archivo "mensaje.sig" en formato binario, con la firma. Dentro de dicho archivo est tanto el mensaje como la firma. Para verificar el mensaje, debemos ejecutar el siguiente comando: $ gpg --verify mensaje.sig Y para extraer el mensaje, debemos ejecutar el siguiente comando: $ gpg --output mensaje.txt --decrypt mensaje.sig En ocasiones no es conveniente tener dos archivos separados (como por ejemplo para uso en el correo electrnico). En tal caso, hay una forma que que mensaje y firma viajen juntos: $ gpg --clear-sign mensaje.txt El resultado ser como el siguiente: -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 La contrasea de administrador del dominio es 5up3R)eKr3t0! -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.10 (GNU/Linux) iQEcBAEBAgAGBQJPBjx8AAoJENWsiD1717WbbpwIALYl0DAGevXdJFOjIA4+Xwb5 uWzXLitc3w8H8LGa/e2Wh4wB9VZeQz8qEFnZ3zyh2Q+25Z2VAggYl1uPekNd6LMX EJ/rhgcGqGnNtiAfKPXPanoWmrTSkDo8CjyyGA5JvpxzfJBRxqHW1xbhLSgwWxgw eCBxyrTWn5ycfh6gHdWcqLVGNNEAr7E3PHbFdxUdVoOyIq1pGugdT5SKHUPNnAQd 2JPanx5QaVpx46OwqnURMg2MoPokD4S5ZBbQKdXKYZfn5Rv615Xt4ZFrJyOhJN+M wTgePYnuPMQF4H1CCygd3eI9ZcIcqL7ZVOmItEGfmNkfzjBTxSA2DOw0veOz3EU= =YpQm -----END PGP SIGNATURE----Cualquier cambio en el mensaje o en la firma, dar un error en la validacin. Prctica. Crea la firma digital de un archivo de texto cualquiera y envale ste junto al documento con la firma a un compaero por correo electrnico. Verifica que la firma recibida del documento es correcta.

Despus, modifica el archivo ligeramente, insertando un carcter o un espacio en blanco, y vuelve a comprobar si la firma se verifica.

Certificados digitales
Segn puede interpretarse de los apartados anteriores, la eficacia de las operaciones de cifrado y firma digital basadas en criptografa de clave pblica slo est garantizada si se tiene la certeza de que la clave privada de los usuarios slo es conocida por dichos usuarios y que la pblica puede ser dada a conocer a todos los dems usuarios con la seguridad de que no exista confusin entre las claves pblicas de los distintos usuarios. Para garantizar la unicidad de las claves privadas se suele recurrir a soportes fsicos tales como tarjetas inteligentes o tarjetas PCMCIA que garantizan la imposibilidad de la duplicacin de las claves. Adems, las tarjetas criptogrfica suelen estar protegidas por un nmero personal slo conocido por su propietario que garantiza que, aunque se extrave la tarjeta, nadie que no conozca dicho nmero podr hacer uso de ella. Por otra parte, para asegurar que una determinada clave pblica pertenece a un usuario en concreto se utilizan los certificados digitales. Un certificado digital es un documento electrnico que asocia una clave pblica con la identidad de su propietario. Adicionalmente, adems de la clave pblica y la identidad de su propietario, un certificado digital puede contener otros atributos para, por ejemplo, concretar el mbito de utilizacin de la clave pblica, las fechas de inicio y fin de la validez del certificado, etc. El usuario que haga uso del certificado podr, gracias a los distintos atributos que posee, conocer ms detalles sobre las caractersticas del mismo.

Terceras partes de confianza

Una vez definido el concepto de certificado digital se plantea una duda: cmo confiar si un determinado certificado es vlido o si est falsificado?. La validez de un certificado es la confianza en que la clave pblica contenida en el certificado pertenece al usuario indicado en el certificado. La validez del certificado en un entorno de clave pblica es esencial ya que se debe conocer si se puede confiar o no en que el destinatario de un mensaje ser o no realmente el que esperamos. La manera en que se puede confiar en el certificado de un usuario con el que nunca hemos tenido ninguna relacin previa es mediante la confianza en terceras partes. La idea consiste en que dos usuarios puedan confiar directamente entre s, si ambos tienen relacin con una tercera parte ya que sta puede dar f de la fiabilidad de los dos. La necesidad de una Tercera Parte Confiable (TPC TTP, Trusted Third Party) es fundamental en cualquier entorno de clave pblica de tamao considerable debido a que es impensable que los usuarios hayan tenido relaciones previas antes de intercambiar informacin cifrada o firmada. Adems, la mejor forma de permitir la distribucin de los claves pblicas (o certificados digitales) de los distintos usuarios es que algn agente en quien todos los usuarios confen se encargue de su publicacin en algn repositorio al que todos los usuarios tengan acceso. En conclusin, se podr tener confianza en el certificado digital de un usuario al que previamente no conocemos si dicho certificado est avalado por una tercera parte en la que s confiamos. La forma en que esa tercera parte avalar que el certificado es de fiar es mediante su firma digital sobre el certificado. Por tanto, podremos confiar en cualquier certificado digital firmado por una tercera parte en la que confiamos. La TPC que se encarga de la firma digital de los certificados de los usuarios de un entorno de clave pbica se conoce con el nombre de Autoridad de Certificacin (AC).

Infraestructura de clave pblica (PKI)

El modelo de confianza basado en Terceras Partes Confiables es la base de la definicin de las Infraestructuras de Clave Pblica (ICPs o PKIs, Public Key Infrastructures). Una infraestructura de Clave Pblica es un conjunto de protocolos, servicios y estndares que soportan aplicaciones basadas en criptografa de clave pblica. Algunos de los servicios ofrecidos por una ICP son los siguientes:

Registro de claves: emisin de un nuevo certificado para una clave pblica. Revocacin de certificados: cancelacin de un certificado previamente emitido. Seleccin de claves: publicacin de la clave pblica de los usuarios. Evaluacin de la confianza: determinacin sobre si un certificado es vlido y qu operaciones estn permitidas para dicho certificado. Recuperacin de claves: posibilitacin de recuperar las claves de un usuario. Las ICPs estn compuestas por distintas terceras partes en los que todos los dems usuarios de la infraestructura confan: Autoridad de Certificacin: emite y elimina los certificados digitales. Autoridad de Registro: controla la generacin de los certificados, procesa las peticiones y comprueba la identidad de los usuarios, mediante el requerimiento de documentacin de identificacin personal oportuna. Autoridad de Repositorio: almacenan los certificados emitidos y eliminados.

El estndar X.509
El formato estndar de certificados es X.509. Su distribucin se puede hacer: Con clave privada (suele tener extensin *.pfx o *.p12). Est destinado a su uso privado, mediante la exportacin/importacin como mtodo de copia de seguridad. Slo con clave pblica (con extensin *.cer o *.crt), destinado a la distribucin no segura, para que otras entidades o usuarios puedan verificar la identidad, en los archivos o mensajes firmados. SSH SSH es la herramienta ms usada en el mundo *N?X para la administracin remota, gracias a su seguridad. Al iniciar una sesin por SSH es preciso autenticarse en primer lugar. La autenticacin es posible hacerla mediante contrasea, aunque tambin la podemos hacer empleando certificados. El proceso sera el siguiente: Vamos a suponer que estamos en "laptop-52" y queremos poder autenticarnos contra el servidor "SSH-srv" utilizando certificados en vez de contrasea. El primer paso es crear la clave pblica y la privada en "laptop52", mediante el siguiente comando: $ ssh-keygen -t rsa Generating public/private rsa key pair. Enter file in which to save the key (/home/usuario/.ssh/id_rsa): Enter passphrase (empty for no passphrase): Si dejamos en blanco, no tendremos que introducir contrasea al iniciar sesin ssh. Enter same passphrase again: Your identification has been saved in /home/usuario/.ssh/id_rsa. Your public key has been saved in /home/usuario/.ssh/id_rsa.pub. The key fingerprint is: 0e:73:29:66:8e:f8:2e:fb:96:49:e4:02:3a:1c:61:5d usuario@laptop-50 Si comprobamos en el directorio "/home/usuario/.ssh", veremos lo siguiente: $ cd /home/usuario/.ssh $ ls id_rsa id_rsa.pub known_hosts Ahora debemos copiar la clave pblica de "laptop-50" en "SSH-srv". Podemos hacer utilizando el mismo SSH: $ scp /home/usuario/.ssh/id_rsa.pub usuario@SSH-srv:/home/usuario/.ssh/authorized_keys Listo. Con esto, ya podemos iniciar una sesin desde "laptop-50" en "SSH-srv" mediante clave pblica, sin contrasea: $ ssh usuario@SSH-srv SSH-srv 2.6.32-33-generic #70-Ubuntu SMP Thu Jul 7 21:09:46 UTC 2011 i686 GNU/Linux Ubuntu 10.04.3 LTS Welcome to Ubuntu! * Documentation: https://help.ubuntu.com/ 129 packages can be updated. 85 updates are security updates. Last login: Fri Jan 6 20:58:15 2012 from laptop50.local

Seguridad perimetral
Hace no mucho tiempo, definir el permetro de la red era muy sencillo. Estaba claro cual era el router o los routers de borde, y se trataba de un castillo, un muro y el exterior. En la actualidad todo es mucho ms complicado. El permetro est donde el usuario, por lo siguiente: Aplicaciones que traspasan los firewalls Dispositivos mviles Dispositivos dentro de la red accesibles desde el exterior. Puntos de acceso inalmbricos no controlados. Dispositivos que acceden a Internet directamente, sin pasar por el control de los firewalls. Como vemos, todo es mucho ms complicado hoy en da. A pesar de ello, no se pueden desdear las soluciones clsicas, a las que se deben aadir nuevas medidas. Firewalls Descarga la siguiente presentacin sobre firewalls. Las hice hace dos aos, pero sigue siendo buena: Iptables Una vez conocidas las principales arquitecturas de firewall perimetral, vamos a ver una tecnologa de firewall statefull: iptables. Iptables tienen ya sus aitos, pero sigue siendo una herramienta bsica para el filtrado del trfico.

ACL
Transparencias sobre ACL

Firewall para la gestin integral de la red

En el mercado existen soluciones integrales para las redes (principalmente Windows) que trabajan a diferentes niveles, incluyendo enrutamiento avanzado (multiwan), firewall, proxy, VPN, cuotas y polticas de acceso, etc. Entre las soluciones software, podemos encontrar algunas propiedad de Microsoft, como ISA Server y Forefront TMG. Tambin existen otras alternativas que no dependen de Microsoft, como Kerio Control. Kerio Technologies Inc. es una empresa ubicada en San Jose (California), lugar que tambin da cobijo a empresas como Adobe Systems, Cisco Systems, Ebay, Paypal, 3dfx Interactive, etc. Kerio desarrolla soluciones de seguridad, mensajera, voz y colaboracin para empresas pequeas y medianas (de hasta 500 empleados). Tiene oficinas en Europa, Rusia, Australia y Estados Unidos. Aunque Kerio tiene varios productos interesantes, nos vamos a centrar en Kerio Control como solucin integral para la seguridad perimetral. Kerio Control permite la gestin de los usuarios. Dichos usuarios pueden ser creados localmente en la base de datos de Kerio, o bien se pueden usar los usuarios de algn servicio de directorio, como Active Directory. En nuestro caso, vamos a trabajar en el siguiente contexto: Un dominio Active Directory con las siguientes mquinas: Un controlador de dominio Active Directory. Un Servidor que har las veces de Gateway. o Dos tarjetas de red, una de ellas conectada al exterior, y otra conectada a la red local. o En este servidor se instalar Kerio Control. Dos clientes Windows, unidos al dominio.

DMZ
Cuando se disea una red, es importante determinar qu equipos estarn expuestos ofreciendo servicios, y cuales no. Ya hemos hablado sobre la DMZ y sobre las diferentes topologas que nos pueden permitir definirla.

Proxy Como ya vimos con anterioridad, un servidor proxy es un tipo de firewall a nivel de aplicacin. En su forma ms pura, un proxy es un "dual-homed-host", es decir, una mquina que est conectada a dos redes diferentes, pero que es incapaz de enrutar el trfico procedente de una red hacia la otra. En lugar de eso, un proxy es capaz de hacer solicitudes a servidores en "representacin" de otros ordenadores. Cuando un usuario que navega a travs de un proxy accede a una pgina web (por ejemplo), en realidad no llega a acceder al servidor que contiene la pgina. Lo que ocurre en la prctica es que obtiene una copia, cortesa del servidor Proxy, que est suficientemente actualizada.

OpenVPN
Las VPN's se usan generalmente para: Conexin entre diversos puntos de una organizacin a travs de Internet Conexiones de trabajadores domsticos o de campo con IP's dinmicas Soluciones extranet para clientes u organizaciones asociadas con los cuales se necesita intercambiar cierta informacin en forma privada pero no se les debe dar acceso al resto de la red interna. Adems brinda una excelente fiabilidad en la comunicacin de usuarios mviles as como tambin al unir dos puntos distantes como agencias de una empresa dentro de una sola red unificada. Supongamos que se tienen dos sitios de una organizacin conectados a Internet. En ambos se contar con un equipo de conexin a la red de redes que cumplir la funcin de ruteo hacia y desde Internet as como

firewall para protegerse de accesos no autorizados. El software VPN debe estar instalado en ese firewall o algn dispositivo protegido por l. Uno de los sitios ser el "servidor" y ser el sitio que contiene la informacin y sistemas que queremos compartir, mientras que al otro lo llamaremos "cliente". El servidor ser entonces configurado para aceptar conexiones desde el cliente (y viceversa). Llegado este punto habremos logrado tener dos sitios comunicados como en una red directa real pero an no es una VPN dado que falta implementar la "privacidad", pues cualquier nodo intermedio de Internet puede leer la informacin que viaja sin proteccin. Lo que se debe hacer seguidamente es establecer mecanismos de cifrado que mediante uso de claves aseguren que solo equipos o personas dueos de esas claves puedan acceder a los datos enviados por la VPN. Todos los datos enviados del punto A al B debern ser cifrados antes de ser enviados y desci.frados en el otro extremo para posteriormente ser entregados normalmente a su destinatario final. Uno de los factores que diferencian a una implementacin de VPN de otra, son los mecanismos que utilicen para cifrar y distribuir claves a todos los integrantes de dicha red. Existen diferentes soluciones de VPN, implementados a diferente nivel OSI. Por ejemplo: Nivel 2: PPTP o L2TP. Nivel 3: IPsec. Nivel 7: SSL y TLS. En concreto, OpenVPN implementa VPN a nivel 2 y 3. Se puede configurar de las dos maneras, lo que quiere decir que permite manejar el trfico de capa 2 (como ethernet) si cierta aplicacin lo necesita. OpenVPN es un software de VPN basado en SSL. Es gratis, opensource, sencillo y seguro. Soporta NAT sin problemas, y es un software soportado por Linux, Windows y MacOS (adems de otras plataformas). Para el cifrado de los datos, OpenVPN tiene dos modos considerados seguros, uno basado en la criptografa simtrica (claves estticas compartidas entre los extremos) y otro en SSL/TLS usando criptografa asimtrica (con un certificado por cada usuario de la VPN). En el caso de la criptografa asimtrica, los certificados pueden ser emitidos por CAs o bien por nosotros mismos.

Tunel inseguro Vamos a crear un tnel inseguro entre el ordenador remoto y el servidor VPN: En el servidor VPN: root@vpnsvr$ openvpn --remote 11.11.11.2 --dev tun0 --ifconfig 10.0.0.1 10.0.0.2 En el cliente VPN: root@vpncln$ openvpn --remote 12.12.12.2 --dev tun0 --ifconfig 10.0.0.2 10.0.0.1 Deberamos obtener un mensaje como el siguiente en ambos extremos: Sat Feb 18 12:53:45 2012 Initialization Sequence Completed Ahora ya podemos hacer ping de un extremo a otro de la VPN: root@vpncln$ ping 10.0.0.1 root@vpnsvr$ ping 10.0.0.2 Lo que hemos hecho es crear un tunel no cifrado entre vpnsvr y vpncln (que adems de servidor VPN es un router perimetral). En definitiva, es como si tuvisemos un cable dedicado que conecta vpncln y vpnsvr (aunque de momento ese cable es inseguro).