Capítulo 1. Generalidades sobre la Seguridad

Debido a la creciente confianza en computadoras de red poderosas para los negocios y en llevar un seguimiento de nuestra información personal, las industrias se forman considerando de antemano la práctica de seguridad de la computación y redes. Las corporaciones solicitan el conocimiento y habilidades de los expertos para auditar los sistemas y ajustar soluciones para satisfacer los requerimientos operativos de la organización. Puesto que la mayoría de las organizaciones son dinámicas por naturaleza, con trabajadores accesando los recursos informáticos de la organización local y remotamente, la necesidad de ambientes computacionales seguros se ha vuelto cada vez más relevante.

Desafortunadamente, la mayoría de las organizaciones (así como también usuarios individuales) dejan la seguridad como algo para resolver luego, un proceso que es ignorado en favor de mayor poder, mayor productividad y en las preocupaciones presupuestarias. La implementación adecuada de la seguridad es a menudo realizada postmortem — después que ocurre una intrusión no autorizada. Los expertos de seguridad consideran que el establecimiento de medidas adecuadas antes de conectar un sitio a una red insegura tal como la Internet, es una forma efectiva de frustrar la mayoría de los intentos de intrusión.

1.1. Definición de Seguridad computacional

La seguridad de computación es un término general que cubre una gran área de computación y procesamiento de la información. Las industrias que dependen de sistemas computarizados y redes para ejecutar sus operaciones y transacciones de negocios diarias, consideran sus datos como una parte importante de sus activos generales. Muchos términos y medidas se han incorporado a nuestro vocabulario diario en los negocios, tales como costo total de propiedad (total cost of ownership, TCO) y calidad de servicios (QoS). Con estas medidas, las industrias calculan aspectos tales como integridad de los datos y alta disponibilidad como parte de los costos de planificación y administración de procesos. En algunas industrias, como el comercio electrónico, la disponibilidad y confianza de los datos pueden hacer la diferencia entre el éxito y el fracaso.

1.1.1. Surgimiento de la seguridad computacional

Muchos lectores quizás recuerden la película "Juegos de guerra," protagonizada por Matthew Broderick haciendo el papel de un estudiante de educación secundaria que logra entrar en el supercomputador del Departamento de Defensa (DoD) de los Estados Unidos y, sin darse cuenta, causa una amenaza de guerra nuclear. En esta película, Broderick utiliza un modém para conectarse con el computador del DoD (llamado WOPR) y juega juegos con el software de inteligencia artificial que controla los silos de misiles nucleares. La película fue estrenada durante la "guerra fría" entre la antigua Union Soviética y los Estados Unidos y fue considerada un éxito en 1983. La popularidad de la película inspiró a muchas personas y grupos a comenzar la implementación de algunos métodos que el jóven protagonista utilizó para violar los sistemas restringidos, incluyendo lo que se conoce como war dialing o ataque de marcado — un método de búsqueda de números telefónicos para conexiones de modém analógico en un código de área definido y con una combinación prefija del número.

Más de 10 años después, después de cuatro años de búsquedas en diferentes jurisdicciones implicando al Federal Bureau of Investigation (FBI) y con la ayuda de varios profesionales de computación a lo largo del país, fue arrestado el infame maleante informático (cracker) Kevin Mitnick y culpado con más de 25 cargos por fraude de computadores y dispositivos. Estos fraudes resultaron en un estimado de US$80 Millones en pérdidas de propiedad intelectual y código fuente de Nokia, NEC, Sun Microsystems, Novell, Fujitsu y Motorola. Para esa fecha, el FBI lo consideró la ofensa criminal de computación más grande en la historia de los EEUU. Mitnick fue apresado y sentenciado a 68 meses en prisión por sus crímenes, de los cuales sirvió un total de 60 antes de obtener libertad condicional el 21 de Enero del 2000. A Mitnick se le ha prohibido utilizar computadoras o hacer ningún tipo de consultoría relacionada con computadoras hasta el año 2003. Los investigadores dicen que Mitnick era un experto en ingeniería social — usando personas para ganar acceso a las contraseñas y sistemas usando credenciales falsificadas.

La seguridad de la información ha evolucionado en los últimos años debido al incremento de la confianza en las redes públicas para manejar información personal, financiera y otra información restringida. Hay numerosas instancias tales como los casos de Mitnick y Vladamir Levin (consulte la Sección 1.1.2 para más información) que llamaron la atención de las organizaciones en diferentes industrias a repensar la forma en que estas manejan la transmisión de la información. La popularidad de la Internet ha sido uno de los factores más importantes que ha incitado e intensificado los esfuerzos para la seguridad de los datos.

Cada día hay más personas que utilizan sus computadores personales para ganar acceso a los recursos que la Internet tiene que ofrecer. Desde investigaciones o recuperación de la información hasta correo electrónico y transacciones comerciales, la Internet ha sido reconocida como uno de los desarrollos más importantes del siglo 20.

La Internet y sus primeros protocolos, sin embargo, fueron desarrollados como un sistema basado en confianza. Esto es, el Protocolo de Internet no fue diseñado para ser seguro en sí mismo. No existen estándares de seguridad aprobados incorporados en las comunicaciones TCP/IP, dejandolas abiertas a potenciales usuarios maliciosos y procesos en la red. Los desarrollos modernos han hecho de las comunicaciones en Internet más seguras, pero todavía hay muchos incidentes que capturan la atención a nivel nacional y nos alertan del hecho de que nada es completamente seguro.

1.1.2. Fechas en el desarrollo de la Seguridad computacional

Muchos eventos claves contribuyeron al nacimiento y ascenso de la seguridad en computación. A continuación se listan los eventos más importantes que llamaron la atención sobre la seguridad de las plataformas computacionales y su importancia hoy día.

1.1.2.1. Desde 1930 a 1940

  • Criptógrafos polacos inventan la máquina Enigma en 1918, un dispositivo rotor de cifrado electromecánico el cual convertía los mensajes de texto plano a un resultado encriptado. Orginalmente creado para asegurar las comunicaciones bancarias, la milicia alemana reconoce el potencial del dispositivo para asegurar las comunicaciones durante la Segunda Guerra Mundial. Un matemático brillante Alan Turing desarrolla un método para romper los códigos Enigma, permitiendo a las fuerzas aliadas desarrollar Colossus, una máquina a la que a menudo se le otorga el crédito de haber terminado la guerra un año antes.

1.1.2.2. Los años 60

  • Los estudiantes del Instituto de Tecnología de Massachussets (MIT) formaron el Tech Model Railroad Club (TMRC) y comenzaron a explorar y programar el sistema de computación mainframe de la escuela llamado PDP-1. El grupo eventualmente utilizó el término "hacker" (como experto en informática) en el contexto en el que es conocido hoy día.

  • El DoD crea la Red de la Agencia de Proyectos de Investigación Avanzados (Advanced Research Projects Agency Network, ARPANet), la cual gana gran popularidad entre los círculos académicos y de investigación como un conducto para el intercambio electrónico de datos e información. Esto preparó el camino para la creación de las redes transportadoras conocidas hoy como Internet.

  • Ken Thompson desarrolla el sistema operativo UNIX, aclamado como el sistema operativo más "amigable a hackers" debido a que sus herramientas de desarrollo y compiladores son fácilmente accesibles y por la comunidad de usuarios que lo soporta. Apróximadamente en esa misma fecha, Dennis Ritchie desarrolla el lenguaje de programación C, argumentado como el lenguaje de programación de hacking en la historia de la computación.

1.1.2.3. Los años 70

  • Bolt, Beranek y Newman, un contratista de investigación y desarrollo de computación para el gobierno y la industria, desarrolla el protocolo de comunicación Telnet, una extensión pública de ARPANet. Esto abre las puertas al uso público de las redes de datos que antes estaban restringidas a los contratistas del gobierno y a investigadores. Telnet, sin embargo, se dice que es el protocolo más inseguro para las redes públicas, de acuerdo a muchos investigadores de seguridad.

  • Steve Jobs y Steve Wozniak fundaron Apple Computer y comenzaron a comercializar la Computadora Personal (Personal Computer, PC). La PC es el trampolín para muchos usuarios maliciosos para aprender como violar sistemas remotamente usando hardware de comunicaciones común en las PCs tales como modéms análogos y marcadores de teléfono.

  • Jim Ellis y Tom Truscott crearon USENET, un sistema tipo tablero de noticias para la comunicación electrónica entre usuarios dispares. USENET rápidamente se convirtió en el forum más popular para el intercambio de ideas en computación, redes y, por supuesto, cracking.

1.1.2.4. Los años 80

  • IBM desarrolla y mercadea PCs basadas en el microprocesador Intel 8086, una arquitectura relativamente económica que permite llevar la computación de la oficina al hogar. Esto sirvió para convertir a la PC en una herramienta común y accesible, que era relativamente poderosa y fácil de utilizar.

  • El Protocolo de Control de Transmisión, desarrollado por Vint Cerf, es dividido en dos partes separadas. El Protocolo de Internet nace de esta separación y el protocolo combinado TCP/IP se convierte en el estándar para todas las comunicaciones de hoy.

  • Basado en los desarrollos en el área de phreaking, o explorando y haciendo hacking en el sistema telefónico, se crea la revista 2600: The Hacker Quarterly y comienza tópicos de discusión tales como el hacking en computadoras y redes a una amplia audiencia.

  • El gang 414 (nombrado a partir del código de área donde vivían y hacían hacking) es atrapado por las autoridades después de 9 días interfiriendo con sistemas computacionales top-secret, como el Laboratorio Nacional de Los Alamos, una facilidad de investigaciones nucleares.

  • La Legión de los Tontos y el Club de Computación Caos son dos grupos de maleantes informáticos pioneros que comenzaron a explotar las vulnerabilidades en redes de datos de computación y electrónicas.

  • El Acta de Abusos y Fraudes de Computación de 1986 fue aceptada por el congreso basado en las violaciones de Ian Murphy, también conocido como el Capitán Zap, quien irrumpió en las computadoras militares, robó información de las bases de datos de pedidos de mercancias de compañías y utilizó tableros telefónicos restringidos del gobierno para hacer llamadas telefónicas.

  • Basándose en el Acta de Abuso y Fraudes de Computación, la corte sentenció a Robert Morris, un estudiante de universitario, por liberar el Gusano Morris en más de 6000 computadores vulnerables conectados a la Internet. El próximo caso más prominente regulado bajo esta acta fue Herbert Zinn, un estudiante rezagado de bachillerato quién entró y abusó los sistemas pertenecientes a AT&T y al DoD.

  • Basado en las preocupaciones de que el Gusano Morris podría ser replicado, el Equipo de respuestas de emergencias computacionales (CERT) es creado para alertar a los usuarios de computadoras de los problemas de seguridad en la red.

  • Clifford Stoll escribe The Cuckoo's Egg, la cuenta de Stoll de crackers investigadores que irrumpieron en su sistema.

1.1.2.5. Los años 90

  • ARPANet es desmantelada. El tráfico desde esa red es transferido a la Internet.

  • Linus Torvalds desarrolla el kernel de Linux para usarse con el sistema operativo GNU; el amplio desarrollo y la adopción de Linux es en gran medida debido a la colaboración de usuarios y desarrolladores comunicándose a través de Internet. Debido a sus raíces en Unix, Linux es más popular entre hackers y administradores que lo encuentran útil para construir alternativas seguras a los sistemas de herencia ejecutando sistemas operativos propietarios (código cerrado).

  • Se crea el navegador gráfico web y desencadena una demanda exponencial por acceso a Internet.

  • Vladimir Levin y sus cómplices transfieren ilegalmente US$10 Millones en fondos a diferentes cuentas al irrumpir ilegalmente en la base de datos central de Citibank. Levin es arrestado por la Interpol y casi todo el dinero es recuperado.

  • Posiblemente el cracker más famoso de todos es Kevin Mitnick, quien entró en diferentes sistemas corporativos, robando de todo, desde información personal de celebridades hasta más de 20.000 números de tarjetas de crédito y código fuente de software propietario. Es atrapado y sentenciado con cargos de fraude y sirve 5 años de prisión.

  • Kevin Poulsen y un cómplice desconocido interfieren con los sistemas telefónicos de una estación de radio para ganar carros y premios en efectivo. Es culpado por fraude de computación y sentenciado a 5 años de prisión.

  • Las historias de hacking y phreaking se han convertido en una leyenda, y muchos potenciales crackers se reúnen en la convención anual de DefCon para celebrar cracking e intercambiar ideas entre ellos.

  • Un estudiante israelí de 19 años es arrestado y culpado por coordinar numerosos ataques y violaciones a los sistemas del gobierno de USA durante el conflicto del Golfo Pérsico. Los oficiales militares lo llamaron "el ataque más organizado y sistemático" en los sistemas del gobierno en la historia de los USA.

  • El Fiscal General de Distrito Janet Reno, en respuesta al incremento de las violaciones en los sistemas del gobierno, estableció el Centro Nacional de Protección de Infraestructuras (National Infrastructure Protection Center).

  • Son tomadas las comunicaciones satelitales Británicas y secuestradas por delicuentes desconocidos. El gobierno Británico eventualmente recupera el control de los satélites.

1.1.3. La seguridad hoy día

En Febrero del año 2000, se descargó un ataque de Denegación de Servicios Distribuido (Distributed Denial of Service, DDoS) en varios de los sitios más traficados de la Internet. El ataque dejó a yahoo.com, cnn.com, amazon.com, fbi.gov, y muchos otros sitios completamente fuera del alcance de los usuarios normales. El ataque comprometió a los enrutadores por varias horas con grandes transmisiones de paquetes ICMP, también llamado una inundación de pings. Este ataque fue llevado a cabo por agresores desconocidos usando programas especialmente creados y disponibles ampliamente que se encargan de escanear los servidores de red vulnerables, instalan aplicaciones cliente en los servidores llamadas troyanos, y programan un ataque con cada servidor infectado inundando a los sitios víctima y dejándolos indisponibles. Muchos culpan el ataque en fallas fundamentales en la forma en que estan estructurados los enrutadores y los protocolos que usan para aceptar todos los datos entrantes, no importa donde o por qué motivos los paquetes sean enviados.

Esto nos trae al nuevo milenio, un momento en el que se estima que 945 millones de personas usan o han usado Internet (Almanaque de la Industria de Computación, 2004). Al mismo tiempo:

  • En un día dado, hay aproximadamente 225 incidentes graves de violaciones de seguridad reportados al Centro de Coordinación CERT en la Universidad de Carnegie Mellon[1]

  • En el año 2003, el número de incidentes reportados al CERT saltó a 137.529 de 82.094 en el 2002 y de 52.658 en el 2001.[2]

  • El impacto económico a nivel mundial de los tres viruses de Internet más peligrosos de los últimos dos años combinan un total de US$13.2 mil millones. [3]

La seguridad en computación se ha convertido en un gasto cuantificable y justificable para todos los presupuestos de IT. Las organizaciones que requieren integridad de sus datos y alta disponibilidad, obtienen las habilidades de administradores de sistemas, desarrolladores e ingenieros para asegurar la confiabilidad 24x7 de sus sistemas, servicios e información. Convertirse en víctima de usuarios maliciosos, procesos, o ataques coordinados, es una amenaza directa al éxito de una organización.

Desafortunadamente, la seguridad de sistemas y redes puede ser una proposición difícil, requiriendo conocimiento intrincado de como una organización confia, utiliza, manipula y transmite su información. Entender la forma en que la organización lleva el negocio (y la gente que hace la organización) es primordial para implementar un plan de seguridad adecuado.

1.1.4. Estandarizar la seguridad

Las corporaciones en cada industria confían en las regulaciones y leyes colocadas por los cuerpos de estandarización, tales como la Asociación Médica Americana (American Medical Association, AMA) o el Instituto de Ingenieros Eléctricos y Electrónicos (Institute of Electrical and Electronics Engineers, IEEE). Los mismos ideales se mantienen para la seguridad de la información. Muchos consultores de seguridad y fabricantes acuerdan con el modelo de seguridad estándar conocido como CIA, o Confidentiality, Integrity, and Availability, esto es: Confidencialidad, Integridad y Disponibilidad. Este modelo de tres niveles es un componente aceptado en general para asesorar riesgos a la información confidencial y para establecer políticas de seguridad. Lo siguiente describe el modelo de CIA en mayor detalle:

  • Confidencialidad — La información confidencial sólo debería estar disponible a un conjunto de individuos predefinido. Las transmisiones no autorizadas y el uso de información debería ser restringido. Por ejemplo, la confidencialidad de la información asegura que la información personal o financiera de un cliente no sea obtenida por individuos no autorizados para propósitos maliciosos, tales como robo de identidad o fraude con tarjetas de crédito.

  • Integridad — La información no debería ser alterada en formas que la hagan incompleta o incorrecta. Los usuarios no autorizados deberían ser restringidos de la habilidad de modificar o destruir información confidencial.

  • Disponibilidad — La información debería estar disponible para los usuarios autorizados en cualquier momento que estos la requieran. La disponibilidad es una garantía de que la información pueda ser obtenida con la frecuencia acordada y en el momento previsto. Esto es medido a menudo en términos de porcentajes y acordado de manera formal en los Acuerdos de nivel de servicio (SLAs) usados por los proveedores de servicios de red y sus clientes corporativos.

Notas

[1]

Fuente: http://www.cert.org

[2]

Fuente: http://www.cert.org/stats/

[3]

Fuente: http://www.newsfactor.com/perl/story/16407.html