Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Dialnet HaciaUnaTaxonomiaDeIncidentesDeSeguridadEnInternet 4797163 PDF
Dialnet HaciaUnaTaxonomiaDeIncidentesDeSeguridadEnInternet 4797163 PDF
de Seguridad en Internet
Vol. 11 No
No.. 1 37
Ingeniería
puede tener mayor control, diferente a la protec- ques: Robo de contraseñas, Ingeniería social, Erro-
ción y respaldo de los datos. Es por este tipo de res de software y puertas traseras, Fallas de autenti-
situaciones que también se aborda la definición cación, Fallas de protocolos, Fugas de información
de seguridad informática desde un enfoque y Negación del servicio.
procedimental. Se establece la definición de segu-
ridad informática en evitar que un atacante alcan- Categorías de resultados. Esta es otra varia-
ce unos objetivos a través de ataques sobre com- ción al método de la lista, en donde se agrupan los
putadores o redes. ataques de acuerdo con los resultados obtenidos.
Como ejemplo se puede citar la clasificación pro-
Los sistemas informáticos, en general, tienen porcionada por Cohen quien habla de corrupción
una función que se establece como normal, es (modificación no autorizada), fuga (cuando la in-
decir, aquella que sus legítimos propietarios o due- formación termina en donde no debiera) y nega-
ños le han asignado. Se tiene un proceso normal ción (cuando los computadores o redes no están
que se da en estos sistemas. Seguridad informáti- disponibles para su uso por usuarios autorizados).
ca, acorde a la definición ya planteada, es garanti- También se puede realizar la definición de la cate-
zar que se tiene un proceso normal en el sistema goría de resultados usando los términos opuestos.
informático y no aquel que conecta al atacante con Ejemplo de ello es la lista presentada por Russell y
sus objetivos. Para entender mejor el tema de la Gangemi [4] quienes hablan de 1) secreto y
seguridad informática, como en general se hace confidencialidad, 2) exactitud, integridad y autenti-
con cualquier campo de estudio, se opta por reali- cidad y 3) Disponibilidad.
zar clasificaciones o taxonomía que permitan sim-
plificar el análisis. Listas empíricas. Esta es una variación de la
taxonomía de resultados con tres categorías, que
Dichas clasificaciones o taxonomías, para que se desarrolla usando una lista más larga basada en
realmente aporten en el entendimiento del proble- datos de clasificación empírica. Un ejemplo es la
ma deben cumplir con algunas características defi- taxonomía de Neumann y Parker [5] con ocho ca-
nidas como son: Mutuamente excluyente, es decir tegorías: Robo externo de información, Abuso ex-
la clasificación en una categoría excluye a todas las terno de recursos, Enmascaramiento, Programas
otras. Exhaustiva, tomándolas todas juntas, las ca- plaga, Sobrepasar autenticación o autorización,
tegorías incluyen todas las posibilidades, no queda Abuso de autoridad, Abuso a través de la inacción
un elemento fuera de la clasificación. No ambigua, y Abuso indirecto.
clara y precisa para que no sea incierta. Repetible,
al realizar nuevamente la clasificación se obtienen La crítica que se hace a esta clasificación es que
los mismos resultados. Aceptada, debe ser lógica e resulta más difícil de recordar, menos intuitiva y
intuitiva, y por último debe se útil contribuye en el no hay una estructura que muestre relaciones en-
entendimiento dentro del campo de estudio [1]. tre las categorías.
Se han realizado diversos intentos de obtener una Matrices. Este es un esquema de clasificación,
clasificación de ataques o incidentes de seguridad, basado en dos dimensiones. Por ejemplo la de
buscando cumplir con la mayor cantidad de las ca- Perry y Wallich[6] en donde las dos dimensiones
racterísticas ya citadas, entre otras tenemos: son: vulnerabilidades (destrucción física, destruc-
ción de información, robo de servicios, explora-
Lista de términos. Es una lista simple de tér- ción y robo de información) y atacantes poten-
minos a los que se les da su correspondiente defi- ciales (Operadores, programadores, encargados de
nición. En estas listas de términos se pueden men- captura de datos, internos, externos, intrusos).
cionar como ejemplos la de Cohen [1] y la de Icove
[2] que incluye entre sus términos: Negación de Otra aproximación matricial que se puede men-
servicios, piratería de software, copia no autoriza- cionar, es la de Landwehr [7] quien utiliza una ma-
da de datos, degradación de servicios, análisis de triz tridimensional: Génesis (como surge el defec-
tráfico, virus y gusanos, ataques de tiempo, caba- to de seguridad en un programa), tiempo de intro-
llos troyanos, bombas lógicas, entre otros. ducción (en el ciclo de vida del software y el
hardware) y ubicación (en software o hardware).
Lista de categorías. Esta es una segunda aproxi- Por ejemplo el Génesis se divide en dos categorías
mación a una taxonomía de ataques, en la cual ya amplias: fallos intencionales y fallos inadvertidos.
se introduce un elemento de mayor estructura. Se
incluye en esta la de Cheswick y Bellovin [3] quie- Taxonomías basadas en procesos. Este tipo de
nes toman siete categorías para clasificar los ata- taxonomía provee un marco de trabajo para el análi-
38 Vol. 10 No
No.. 2
Ingeniería
sis de los ataques e incidentes. Se parte de los proce- mando ventaja de una vulnerabilidad de la
sos normales que se tienen en el manejo de la infor- red o del sistema. Las vulnerabilidades pue-
mación. Stallings [8] presenta un modelo, enfocado den provenir de tres formas: problema de
en la información en tránsito, que clasifica las ame- implementación, error del diseño y error de
nazas de seguridad en cuatro categorías configuración.
(interrupción intercepción, modificación, fabri- • Resultados. Las categorías de resultados de
cación), vistas estas como ataques pasivos o acti- un ataque se definen así: Corrupción de in-
vos. Este es un modelo simplificado que sin em- formación, Divulgación de información,
bargo, brinda una claridad conceptual, adecuada Robo de servicios y Negación del servicio.
para el análisis de los ataques. La taxonomía desarrollada es entonces una re-
presentación de la ruta que un atacante debe to-
Taxonomías basadas en procesos – Orienta- mar para alcanzar sus objetivos. Para tener éxito,
ción al acceso. En esta aproximación un ataque un atacante debe encontrar uno o más caminos
se puede ver como un proceso que permite a un válidos que lo conecten con sus objetivos, tal vez
atacante alcanzar unos objetivos o motivaciones, de forma simultánea.
es decir, un enlace válido entre un atacante y sus
objetivos [9] para lograr esto se requiere un medio, • Objetivos. Se presentan cuatro grupos de
un camino y un fin, que se pueden describir tam- objetivos que diferencian los atacantes: cam-
bién como una herramienta, un acceso y un resul- bio, conocimiento y estatus, ganancia finan-
tado, lo cual es más claro en la Figura 1. ciera, ganancia política y daño.
nomía orientada al acceso), adicionando una ca- que realizaba la taxonomía orientada al acceso, que
tegoría que es la de mirones. tomaba esta secuencia como un «ataque».
Ataque. Conexión válida que involucra herra- A pesar de que las taxonomías basadas en pro-
mientas, vulnerabilidades, eventos y resultados no cesos (orientada a acceso y orientada a evento)
autorizados. Son los propietarios administradores describen en una forma clara los incidentes de
de los sistemas quienes determinan que es lo que seguridad, estas clasificaciones adolecen de pro-
esta autorizado y que no, mediante la definición blemas. Uno de ellos es no ser exhaustivas frente
de políticas de seguridad. al tema de los atacantes. A pesar de que se trata de
cubrir el conjunto de posibles atacantes externos
Herramienta: medio que puede ser utilizado faltan aquellos que completan la secuencia atacan-
para explotar una vulnerabilidad de un computa- te, ataque, objetivos, pero sus objetivos no tienen
dor o de una red. Se completa la lista empleada en relación con el sistema afectado, ej. Robo de ca-
la taxonomía orientada al acceso con: Ataque físi- ble ó negación de servicios en un tercer sistema;
co e Intercambio de información. la lista también es incompleta, en cuanto a
Resultado autorizado es aquel que esta aproba- atacantes internos, faltando aquellos que, mediante
do por los propietarios o administradores y no el uso no autorizado de recursos de cómputo y
autorizado es aquel que no es aprobado. Para que redes, emprenden una acción en forma accidental
tenga éxito, el atacante de- be encontrar caminos que por ser realizada en forma repetitiva pone en
que puedan ser conectados (ataques), tal vez en riesgo los sistemas ( ej Aquellos que descargan
forma simultánea o repetidamente.. En torno al programas, música, imágenes, causando degrada-
resultado no autorizado, definido como una con- ción o negación de servicios), faltan también aque-
secuencia no autorizada de un evento, se adiciona llos que provocan corrupción de información y
a los contemplados en la taxonomía orientada al pueden ocasionar daños o perdidas financieras
acceso la categoría de incremento en el acceso, para una entidad, sin que puedan ser clasificados
ampliando la categoría de robo de servicios al robo como vándalos, ya que su intención no es hacer
de recursos. daño, es decir, lo causan con la actuación descui-
dada frente a sus labores ( operadores incompe-
El éxito del incidente se alcanza por el atacante tentes, administradores descuidados)
cuando se cumplen sus objetivos. El éxito de un
ataque individual es alcanzado cuando se obtiene Se presenta el problema frente a la relación ata-
un resultado no autorizado. cante – motivación, ya que aparentemente el ob-
jetivo del atacante en estos tres casos no es pro-
vocar la caída o degradación de los servicios, pero
3. AJUSTES A LA TAXONOMÍA este es el resultado alcanzado.
BASADA EN PROCESOS – ORIEN Este tipo de atacante no se ha considerado en las
TACIÓN AL EVENTO. taxonomías presentadas dado que, siendo un ata-
Al definir en forma más acertada el proceso que cante interno no utiliza los recursos de interred para
conecta a un atacante con sus objetivos como «inci- acceder a los datos y modificarlos o dañarlos, pero
dente», la taxonomía orientada al evento hace una con el auge de los servidores de aplicaciones de
mejor aproximación, en relación con la definición Internet se observa que la frontera es cada vez más
40 Vol. 10 No
No.. 2
Ingeniería
Incidente
Ataque (s)
Evento
Vulnerabiliad Acción Resultado no
Atacantes Herramientas Blanco autorizado Objetivos
Ataque físico Diseño Prueba Incremento
Hackers Cuenta en el acceso Cambio, Estatus
Intercambio de Escaneo Difusión de Ganancia
Espías información Implementación Proceso información política
Comandos Inundación Corrupción de Ganancia
Terroristas de usuario Configuración Datos información financiera
Atacadores Scripts o Autenticación Negación de
corporativos programas Componente servicios Daño
Criminales Agentes Sobrepeso Robo de
profesionales autónomos Computador recursos
Caja de Spoof
Vándalos Herramientas Red
Herramientas
distribuidas Lectura Interred
Toma de datos Copia
Robo
Modificación
Borrado
difusa entre las áreas de competencia de seguridad Pero al adicionar el ataque físico a la lista de las
interna y la seguridad de intercedes o Internet. herramientas empleadas, se encuentra una vulne-
rabilidad adicional a las de diseño, implementación
Haciendo una comparación entre los dos tipos de y configuración, que puede ser mencionada como
atacante (internos y externos) tomando como he- vulnerabilidad de disposición o ubicación, y que
rramientas de análisis su intencionalidad y el tipo de esta relacionada con todas las probabilidades de
acceso utilizado, se muestra que hay tres tipos de ataque físico que se tienen en un sistema y sus
atacantes que pueden ser incluidos en la taxonomía componentes de soporte (sistemas eléctricos y
a efectos de hacer exhaustiva la relación de atacantes: redes eléctricas reguladas, sistemas de cableado,
1. Delincuentes: Aquellos que con una motiva- sistemas de transmisión de información, etc.).
ción de lucro personal, en una forma comple- No se puede desconocer que con el auge de los
tamente indirecta provocan negación de ser- servidores de aplicaciones, servicios brindados en
vicio por medio de daño físico a redes e infra- Internet y redes privadas virtuales, una manera muy
estructura de soporte. fácil de causar una negación de servicio es atacar
2. Trabajadores incompetentes: Empleados o sus sistemas de soporte. Infortunadamente, fren-
agentes internos de una compañía o entidad te a estos problemas, los encargados de la seguri-
que debido a la falta de calificación o compe- dad computacional e Internet únicamente tienen
tencia provocan daño sobre cualquiera de los mecanismos como planes de contingencia con
elementos componentes de un sistema, inclu- medidas alternativas (accesos vía MODEM, plan-
yendo información y pueden llegar a causar tas de emergencia, etc.)
negación de servicio.
Visto el párrafo anterior, se observa también una
3. Trabajadores incorrectos: Aquellos que en una
falta en el listado de acciones directamente relacio-
forma incidental o intencional provocan daño
nada con el ataque físico y que puede ser mencio-
o afectación en un sistema o cualquiera de sus
nada como «daño físico», el cual tendrá como con-
componentes.
secuencia una negación de servicio, un robo de re-
Con respecto al término hackers utilizado por cursos (componentes de soporte altamente impor-
los diferentes autores, no se puede olvidar que no tantes, etc.), con sus correspondientes objetivos,
es universalmente aceptado y que se tienen múlti- daño, perdida de imagen o perdida financiera para
ples definiciones del mismo. la entidad afectada. De igual manera, los blancos
En el tema de herramientas empleadas para rea- se deben adicionar con los sistemas de soporte,
lizar un ataque, en la taxonomía orientada al acce- cuya afectación, como se ha analizado, es poten-
so se observaba una carencia en el tema del ata- cial causa para negación de servicios o pérdida o
que físico que fue subsanada en la taxonomía daño de información. Con las observaciones an-
orientada al evento, dicha falta es notoria cuando teriores, una descripción más completa de la taxo-
se mira la disponibilidad de los servicios como un nomía de incidentes de seguridad puede presen-
factor crítico. tarse como se muestra en la Figura 4.
Vol. 10 No
No.. 2 41
Ingeniería
Incidente
Ataque (s)
Evento
Vulnerabiliad Acción Resultado no
Atacantes Herramientas Blanco autorizado Objetivos
Ataque físico Diseño Prueba Incremento
Hackers Cuenta en el acceso Cambio, Estatus
Intercambio de Escaneo Difusión de Ganancia
Espías información Implementación Proceso información política
Comandos Inundación Corrupción de Ganancia
Terroristas de usuario Configuración Datos información financiera
Atacadores Scripts o Disposición o Autenticación Negación de
corporativos programas ubicación Componente servicios Daño
Criminales Agentes Sobrepeso Robo de
profesionales autónomos Computador recursos
Caja de Spoof
Vándalos Herramientas Red
Delincuentes Herramientas
distribuidas Lectura Interred
Trabajadores Toma de datos Copia Sistema de
incompetentes soporte
Trabajadores Robo
incorrectos
Modificación
Borrado
Daño
fìsico
cia que tiene y se mira como un tema secundario, al [6] T. Perry y P. Wallich, «Can Computer Crime Be Stopped?,» IEEE
Spectrum, Vol. 21, No. 5.
igual que la misma afectación que sufren los siste- [7] Carl E. Landwehr, Alan R. Bull, John P. McDermott, y William S. Choi,
mas. A pesar de que se sabe de numerosos inciden- «A Taxonomy of Computer Security Flaws,» ACM Computing Surveys,
Vol. 26, No. 3, Septiembre, 1994, pp. 211-254.
tes, estos no se encuentran adecuadamente docu-
[8] William Stallings, Network and Internetwork Security Principles and
mentados, sin tomar en cuenta que ni siquiera exis- Practice, Prentice Hall, Englewood Cliffs, NJ, USA, 1995.
te una entidad que tome como suya la función de [9] Howard, John D., An Analysis of Security Incidents on the Internet
coordinar los esfuerzos de manejar incidentes y re- 1989 – 1995, Tesis para optar por el título de Doctor en Filosofía,
Carnegie Mellon University, Estados Unidos, 1997
copilar información. La clasificación acá presenta-
[10] John D. Howard, Thomas A. Longstaff, A Common Language for
da sugiere una manera en que una organización o Computer Security Incidents, Sandia Report, Sandia National
entidad que asuma dicha labor puede acopiar y or- Laboratories, Departamento de Energía, Estados Unidos, 1998.
42 Vol. 10 No
No.. 2
Ingeniería