SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR · Seguridad activa y Seguridad pasiva. ... puede ser distribuido a través de un troyano o como parte de un virus ... que anulan la seguridad

Qwertyuiopasdfghjklzxcvbnmqwerty

uiopasdfghjklzxcvbnmqwertyuiopasd

fghjklzxcvbnmqwertyuiopasdfghjklzx

cvbnmqwertyuiopasdfghjklzxcvbnmq

wertyuiopasdfghjklzxcvbnmqwertyui

opasdfghjklzxcvbnmqwertyuiopasdfg

hjklzxcvbnmqwertyuiopasdfghjklzxc

vbnmqwertyuiopasdfghjklzxcvbnmq



hjklzxcvbnmqwertyuiopasdfghjklzxc

vbnmqwertyuiopasdfghjklzxcvbnmq



hjklzxcvbnmrtyuiopasdfghjklzxcvbn

mqwertyuiopasdfghjklzxcvbnmqwert

yuiopasdfghjklzxcvbnmqwertyuiopas

dfghjklzxcvbnmqwertyui

SEGURIDAD Y ALTA DISPONIBILIDAD

2º ASIR

28/09/2011

VICEN MORALES

SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR

2 VICEN MORALES

ÍNDICE

1.-Fiabilidad, confidencialidad, integridad y disponibilidad.

2.-Elementos vulnerables en el sistema informático: hardware, software y datos.

3.-Análisis de las principales vulnerabilidades de un sistema informático.

4.-Amenazas. Tipos: 4.1.-Amenazas físicas. 4.2.-Amenazas lógicas.

5.-Seguridad física y ambiental: 5.1.-Ubicación y protección física de los equipos y

servidores. 5.2.-Sistemas de alimentación ininterrumpida. 5.3.-Sistemas biométricos: Funcionamiento. Estándares.

6.-Seguridad lógica: 6.1.-Copias de seguridad e imágenes de respaldo. 6.2.-Medios de almacenamiento.

6.2.1- Soportes de almacenamiento. 6.2.2- Almacenamiento redundante y distribuido: RAID y

Centros de Respaldo. 6.2.3- Almacenamiento remoto: SAN, NAS y almacenamiento

clouding. 6.2.4- Políticas de almacenamiento.

6.3.-Control de acceso lógico: 6.3.1- Identificación, autenticación y autorización 6.3.2- Política de contraseñas.

6.4.-Auditorias de seguridad informática. 6.4.1- Concepto. Tipos de auditorías. 6.4.2- Pruebas y herramientas de auditoria informática.

6.5.-Criptografía. 6.5.1- Objetivos. Conceptos. Historia. 6.5.2- Cifrado y Descifrado.

7.-Medidas de seguridad: 7.1.- Política de seguridad. 7.2.- Seguridad activa y Seguridad pasiva.

8.-Análisis forense en sistemas informáticos:


3 VICEN MORALES

8.1.- Funcionalidad y fases de un análisis forense. 8.2.- Respuesta a incidentes. 8.3.- Análisis de evidencias digitales. 8.4.- Herramientas de análisis forense.


4 VICEN MORALES

SEGURIDAD INFORMÁTICA Y ALTA DISPONIBILIDAD

UD1. Adopción de pautas de seguridad informática

DEFINICION DE SEGURIDAD INFORMATICA consiste en asegurar que los recursos del

sistema de información de una organización sean utilizados de la manera que se

decidió y que el acceso a la información allí contenida así como su modificación, solo

sea posible a las personas que se encuentren acreditadas y dentro de los límites de su

autorización.

Los principales objetivos de la seguridad informática por tanto son:

Detectar los posibles problemas y amenazas a la seguridad, minimizando y

gestionando los riesgos.

Garantizar la adecuada utilización de los recursos y de las aplicaciones de los sistemas.

Limitar las pérdidas y conseguir la adecuada recuperación del sistema en caso de un

incidente de seguridad.

Cumplir con el marco legal.

Definición de algunos términos importantes:

Pharming es la explotación de una vulnerabilidad en el software de los servidores DNS

(DomainNameSystem) o en el de los equipos de los propios usuarios, que permite a un

atacante redirigir un nombre de dominio (domainname) a otra máquina distinta. De

esta forma, un usuario que introduzca un determinado nombre de dominio que haya

sido redirigido, accederá en su explorador de internet a la página web que el atacante

haya especificado para ese nombre de dominio.

Tabnabbing es el nuevo método de Phishing en Internet, Aza Raskin (quien descubrió

el método) muestra como la acostumbrada navegación por pestañas puede

convertirnos en víctimas de un ataque de phishing más ingenioso y sofisticado. El

método se centra en las pestañas abiertas en el navegador y las páginas visitadas por

el usuario anteriormente.

Malware (del inglés malicious software), también llamado badware, código maligno, software malicioso o software malintencionado es un tipo de software que tiene como objetivo infiltrarse o dañar una computadora sin el consentimiento de su propietario. El término malware es muy utilizado por profesionales de la informática para referirse a una variedad de software hostil, intrusivo o molesto. El término virus


5 VICEN MORALES

informático es utilizado en muchas ocasiones de forma incorrecta para referirse a todos los tipos de malware, incluyendo los verdaderos virus.

El software es considerado malware basándose en los efectos que cause en un computador, pensados por autor a la hora de crearlo. El término malware incluye virus, gusanos, troyanos, la mayoría de los rootkits, spyware, adware intrusivo, crimeware y otros software maliciosos e indeseables.

Sniffing: Se trata de una técnica por la cual se puede "escuchar" todo lo que circula por una red. Esto que en principio es propio de una red interna o Intranet, también se puede dar en la red de redes: Internet.

Esto se hace mediante aplicaciones que actúan sobre todos los sistemas que componen el tráfico de una red, así como la interactuación con otros usuarios y ordenadores. Capturan, interpretan y almacenan los paquetes de datos que viajan por la red, para su posterior análisis (contraseñas, mensajes de correo electrónico, datos bancarios, etc.).

Por ello, cada vez es más importante enviar encriptada la información. Por ejemplo, los mensajes de correo electrónico y archivos delicados deben enviarse encriptados con PGP o GnuPG. La transferencia de archivos mediante FTP, debe evitarse en lo posible, utilizando SSH.

Spoofing, en términos de seguridad de redes hace referencia al uso de técnicas de suplantación de identidad generalmente con usos maliciosos o de investigación.

Se pueden clasificar los ataques de spoofing, en función de la tecnología utilizada. Entre ellos tenemos el IP spoofing (quizás el más conocido), ARP spoofing, DNS spoofing, Web spoofing o email spoofing, aunque en general se puede englobar dentro de spoofing cualquier tecnología de red susceptible de sufrir suplantaciones de identidad.

Phishing es un término informático que denomina un tipo de delito encuadrado dentro del ámbito de las estafas cibernéticas, y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria). El estafador, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas.

Dado el creciente número de denuncias de incidentes relacionados con el phishing, se requieren métodos adicionales de protección. Se han realizado intentos con leyes que castigan la práctica y campañas para prevenir a los usuarios con la aplicación de medidas técnicas a los programas.


6 VICEN MORALES

Se llama spam, correo basura o mensaje basura a los mensajes no solicitados, no deseados o de remitente no conocido, habitualmente de tipo publicitario, generalmente enviados en grandes cantidades (incluso masivas) que perjudican de alguna o varias maneras al receptor. La acción de enviar dichos mensajes se denomina spamming. La palabra ¨Spam¨ proviene de la segunda guerra mundial, cuando los familiares de los soldados en guerra les enviaban comida enlatada. Entre estas comidas enlatadas estaba ¨Spam¨ una carne enlatada, que en los Estados Unidos era y es muy común.

Aunque se puede hacer por distintas vías, la más utilizada entre el público en general es la basada en el correo electrónico.

Otras tecnologías de Internet que han sido objeto de correo basura incluyen grupos de noticias, use net, motores de búsqueda, redes sociales, wikis, foros, blogs, también a través de ventanas emergentes y todo tipo de imágenes y textos en la web.

El correo basura también puede tener como objetivo los teléfonos móviles (a través de mensajes de texto) y los sistemas de mensajería instantánea como por ejemplo Outlook, Lotus Notes, etc.

También se llama correo no deseado a los virus sueltos en la red y páginas filtradas (casino, sorteos, premios, viajes, drogas, software y pornografía), se activa mediante el ingreso a páginas de comunidades o grupos o acceder a enlaces en diversas páginas.

Botnet es un término que hace referencia a un conjunto de robots informáticos o bots, que se ejecutan de manera autónoma y automática. El artífice de la botnet (llamado pastor) puede controlar todos los ordenadores/servidores infectados de forma remota y normalmente lo hace a través del IRC. Las nuevas versiones de estas botnets se están enfocando hacia entornos de control mediante HTTP, con lo que el control de estas máquinas será mucho más simple. Sus fines normalmente son poco éticos.

En los sistemas Windows la forma más habitual de expansión de los "robots" suele ser en el uso de cracks y archivos distribuidos de forma que infringe la licencia copyright.

Spyware, es un programa, que funciona dentro de la categoría malware, que se instala furtivamente en un ordenador para recopilar información sobre las actividades realizadas en éste. La función más común que tienen estos programas es la de recopilar información sobre el usuario y distribuirlo a empresas publicitarias u otras organizaciones interesadas, pero también se han empleado en organismos oficiales para recopilar información contra sospechosos de delitos, como en el caso de la piratería de software. Además pueden servir para enviar a los usuarios a sitios de internet que tienen la imagen corporativa de otros, con el objetivo de obtener información importante. Dado que el spyware usa normalmente la conexión de una computadora a Internet para transmitir información, consume ancho de banda, con lo cual, puede verse afectada la velocidad de transferencia de datos entre dicha computadora y otra(s) conectada(s) a la red.


7 VICEN MORALES

Un keylogger (derivado del inglés: key (tecla) y logger (registrador); registrador de teclas) es un tipo de software o un dispositivo hardware específico que se encarga de registrar las pulsaciones que se realizan en el teclado, para posteriormente memorizarlas en un fichero o enviarlas a través de internet.

Suele usarse como malware del tipo daemon, permitiendo que otros usuarios tengan acceso a contraseñas importantes, como los números de una tarjeta de crédito, u otro tipo de información privada que se quiera obtener.

El registro de lo que se teclea puede hacerse tanto con medios de hardware como de software. Los sistemas comerciales disponibles incluyen dispositivos que pueden conectarse al cable del teclado (lo que los hace inmediatamente disponibles pero visibles si un usuario revisa el teclado) y al teclado mismo (que no se ven pero que se necesita algún conocimiento de cómo soldarlos para instalarlos en el teclado). Escribir aplicaciones para realizar keylogging es trivial y, como cualquier programa computacional, puede ser distribuido a través de un troyano o como parte de un virus informático o gusano informático. Se dice que se puede utilizar un teclado virtual para evitar esto, ya que sólo requiere clics del ratón. Sin embargo, las aplicaciones más nuevas también registran screenshots (capturas de pantalla) al realizarse un clic, que anulan la seguridad de esta medida.

Netstat

Netstat (networkstatistics) es una herramienta de línea de comandos que muestra un listado de las conexiones activas de una computadora, tanto entrantes como salientes. Existen versiones de este comando en varios sistemas como Unix, GNU/Linux, Mac Os X, Windows y BeOS.

La información que resulta del uso del comando incluye el protocolo en uso, las tablas de ruteo, las estadísticas de las interfaces y el estado de la conexión. Existen, además de la versión para línea de comandos, herramientas con interfaz gráfica (GUI) en casi todos los sistemas operativos desarrollados por terceros.

Uso

La sintaxis y los parámetros de la herramienta pueden variar entre los diferentes sistemas operativos que la implementan. En sistemas basados en Unix (esto incluye

http://es.wikipedia.org/wiki/Archivo:Netstat.jpg


8 VICEN MORALES

GNU/Linux y Mac OS X, entre otros), se puede usar el comando man netstat para visualizar la ayuda del comando. Otras formas de ver una lista de parámetros pueden ser con el parámetro -h o también --help (en los sistemas que cumplan con la norma POSIX) o con /? (en los sistemas Windows y MS-DOS).

En Windows y MS-DOS

NETSTAT [-a] [-e] [-n] [-s] [-p protocolo] [-r] [intervalo]

-a Visualiza todas las conexiones y puertos TCP y UDP, incluyendo las que están "en escucha" (listening).

-b En los sistemas recientes, visualiza el binario (ejecutable) del programa que ha creado la conexión.

-e Estadísticas Ethernet de las visualizaciones, como el número de paquetes enviados y recibidos. Se puede combinar con la opción -s.

-n Se muestran los puertos con su identificación en forma numérica y no de texto.

-o En sistemas Windows XP y 2003 Server, muestra los identificadores de proceso (PID) para cada conexión. Se puede verificar los identificadores de proceso en el Administrador de Tareas de Windows (al agregarlo a las columnas de la pestaña procesos)

-p Muestra las conexiones para el protocolo especificado; el protocolo puede ser TCP o UDP. Si se utiliza con la opción de -s para visualizar la estadística por protocolo, proto puede ser TCP, UDP o IP.

-r Visualiza la tabla de enrutamiento o encaminamiento. Equivale al comando route print.

-s Estadística por protocolo de las visualizaciones. Por el valor por defecto, la estadística se muestra para TCP, UDP e IP; la opción -p se puede utilizar para especificar un subconjunto del valor por defecto.

-v En sistemas Windows XP y 2003 Server, y usado en conjunto con -b, muestra la secuencia de componentes usados en la creación de la conexión por cada uno de los ejecutables.

Intervalo: Vuelve a mostrar la información cada intervalo (en segundos). Si se presiona CTRL+C se detiene la visualización. si se omite este parámetro, netstat muestra la información solo una vez.

Tipea Help y aparecerán los caracteres y su función.

En sistemas basados en Unix

netstat [-veenNcCF] [<Af>] -r netstat {-V|--version|-h|--help} netstat [-vnNcaeol] [<Socket> ...] netstat{ [-veenNac] -i | [-cnNe] -M | -s }


9 VICEN MORALES

-r, --route Muestra la tabla de enrutamiento. -i, --interfaces Muestra la tabla de interfaces -g, --groups Muestra los miembros del grupo de multidifusión -s, --statistics Muestra estadísticas de red (como SNMP) -M, --masquerade Muestra conexiones enmascaradas -v, --verbose Muestra más información en la salida -n, --numeric No resuelve nombres en general --numeric-hosts No resuelve el nombre de los hosts --numeric-ports No resuelve el nombre de los puertos --numeric-users No resuelve los nombres de usuarios -N, --symbolic Muestra los nombres del hardware de red -e, --extend Muestra otra/más información. -p, --programs Muestra PID o nombre del programa por cada socket -c, --continuous Muestra continuamente las estadísticas de red (hasta que se

interrumpa el programa) -l, --listening Muestra los server sockets que están es modo escucha -a, --all, --listening Muestra todos los sockets (por defecto únicamente los que

están en modo conectado) -o, --timers Muestra los timers -F, --fib Muestra el ForwardingInformation Base (por defecto) -C, --cache Mostrar el cache de enrutamiento en ves del FIB

<Socket>={-t|--tcp} {-u|--udp} {-w|--raw} {-x|--unix} --ax25 --ipx --netrom <AF>=Uso '-6|-4' or '-A <af>' o '--<af>'; defecto: inet

Lista de las posibles familias de direcciones (que soportan enrutamiento):

inet (DARPA Internet) inet6 (IPv6) ax25 (AMPR AX.25) netrom (AMPR NET/ROM) ipx (Novell IPX) ddp (Appletalk DDP) x25 (CCITT X.25)

Ejemplo de salida del comando netstat en GNU/Linux:

herlitzcorp@admin# nets tat -nt Active Internet connections (w/o servers) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 127.0.0.1:34105 127.0.0.1:389 ESTABLISHED tcp 0 0 127.0.0.1:389 127.0.0.1:54529 ESTABLISHED tcp 0 0 127.0.0.1:389 127.0.0.1:56327 ESTABLISHED tcp 0 0 172.16.4.5:110 172.25.47.30:1680 TIME_WAIT tcp 0 0 172.16.4.5:110 172.25.131.212:2313 TIME_WAIT tcp 0 0 127.0.0.1:60000 127.0.0.1:56547 ESTABLISHED tcp 0 0 172.16.4.5:110 172.25.189.26:1803 TIME_WAIT tcp 0 0 127.0.0.1:389 127.0.0.1:54029 ESTABLISHED tcp 0 0 172.16.4.5:25 172.25.141.100:1375 TIME_WAIT

Estado de las conexiones


10 VICEN MORALES

El indicador en la columna estado muestra el estado de la conexión para el protocolo TCP; para protocolos no orientados a la conexión, como UDP, este campo figurará en blanco. Los estados posibles son los siguientes:

ESTABLISHED El socket tiene una conexión establecida SYN_SENT El socket está intentando iniciar una conexión SYN_RECV Una petición de conexión fue recibida por la red FIN_WAIT1 El socket está cerrado, y la conexión está finalizándose FIN_WAIT2 La conexión está cerrada, y el socket está esperando que finalice la

conexión remota TIME_WAIT El socket está esperando después de cerrarse que concluyan los

paquetes que siguen en la red CLOSED El socket no está siendo usado CLOSE_WAIT La conexión remota ha finalizado, y se espera que se cierre el

socket LAST_ACK La conexión remota ha finalizado, y se espera que se cierre el socket.

Esperando el acknowledgement. LISTEN El socket está esperando posibles conexiones entrantes CLOSING Ambos sockets han finalizado pero aún no fueron enviados todos los

datos UNKNOWN El estado del socket no se conoce DELETE_TCB Se está eliminando el búfer del control de transmisión (TCB) para

la conexión TCP.

PrettyGoodPrivacy

PrettyGoodPrivacy o PGP (privacidad bastante buena) es un programa desarrollado por Phil Zimmermann y cuya finalidad es proteger la información distribuida a través de Internet mediante el uso de criptografía de clave pública, así como facilitar la autenticación de documentos gracias a firmas digitales.

PGP originalmente fue diseñado y desarrollado por Phil Zimmermann en 1991. El nombre está inspirado en el del colmado Ralph'sPrettyGoodGrocery de Lake Wobegon, una ciudad ficticia inventada por el locutor de radio GarrisonKeillor.

Funcionamiento

PGP combina algunas de las mejores características de la criptografía simétrica y la criptografía asimétrica. PGP es un criptosistema híbrido.

Cuando un usuario emplea PGP para cifrar un texto plano, dicho texto es comprimido. La compresión de los datos ahorra espacio en disco, tiempos de transmisión y, más importante aún, fortalece la seguridad criptográfica. La mayoría de las técnicas de criptoanálisis explotan patrones presentes en el texto plano para craquear el cifrador. La compresión reduce esos patrones en el texto plano, aumentando enormemente la resistencia al criptoanálisis.

Después de comprimir el texto, PGP crea una clave de sesión secreta que solo se empleará una vez. Esta clave es un número aleatorio generado a partir de los movimientos del ratón y las teclas que se pulsen durante unos segundos con el propósito específico de generar esta clave (el programa nos pedirá que los realicemos cuando sea necesario).


11 VICEN MORALES

Esta clave de sesión se usa con un algoritmo simétrico convencional (IDEA, Triple DES) para cifrar el texto plano.

Una vez que los datos se encuentran cifrados, la clave de sesión se cifra con la clave pública del receptor criptografía asimétrica).

La clave de sesión cifrada se adjunta al texto cifrado y el conjunto es enviado al receptor.

El descifrado sigue el proceso inverso. El receptor usa su clave privada para recuperar la clave de sesión, que PGP luego usa para descifrar los datos.

La combinación de los dos métodos de cifrado permite aprovechar lo mejor de cada uno: el cifrado simétrico o convencional es mil veces más rápida que el asimétrico o de clave pública, mientras que éste, a su vez, provee una solución al problema de la distribución de claves en forma segura.

Las llaves empleadas en el cifrado asimétricas se guardan cifradas protegidas por contraseña en el disco duro. PGP guarda dichas claves en dos archivos separados llamados llaveros; uno para las claves públicas y otro para las claves privadas.

PGP como estándar de Internet

La Internet EngineeringTaskForce se ha basado en el diseño de PGP para crear el estándar de Internet OpenPGP. Las últimas versiones de PGP son conformes o compatibles en mayor o menor medida con ese estándar. La compatibilidad entre versiones de PGP y la historia del esfuerzo por estandarizar OpenPGP, se tratan a continuación.

Firmas digitales

PGP apoya la autenticación de mensajes y la comprobación de su integridad. Ésta última es usada para descubrir si un mensaje ha sido cambiado luego de ser completado (la propiedad de integridad del mensaje), y la anterior para determinar si realmente fue enviado por la persona/entidad que reclama ser el remitente (una firma digital). En PGP, estas operaciones son usadas por defecto junto con la codificación o cifrado del mensaje, pero pueden ser aplicadas a texto plano también. El remitente usa PGP para crear una firma digital para el mensaje con algoritmos de firma RSA o DSA. Para hacer esto, PGP calcula un picadillo (también llamado resumen o - en inglés - "hash" del mensaje) del texto plano, y luego crea la firma digital de aquel picadillo usando las llaves privadas del remitente.

Web de confianza

Tanto codificando mensajes como verificando firmas, es crucial que la clave pública enviada a alguien o alguna entidad realmente 'pertenezca' al destinatario intencionado. Simplemente el hecho de descargar una llave pública de algún sitio perteneciente a una asociación, no nos asegura aplastantemente que podamos confiar en dicha asociación. El PGP tiene, desde sus primeras versiones, provisiones siempre incluidas para distribuir las llaves públicas de un usuario en 'un certificado de identidad' que es construido usando criptografía asegurando de esta manera que cualquier tergiversación sea fácilmente detectable. Pero simplemente la fabricación de un certificado que es imposible modificar sin ser descubierto con eficacia es también insuficiente. Esto puede prevenir la corrupción sólo después de que el certificado ha sido creado, no antes. Los usuarios también deben asegurar por algunos medios que la llave pública en un certificado realmente pertenece a la persona/entidad que lo reclama. De su primera liberación, los productos de PGP han incluido un certificado


12 VICEN MORALES

interno 'examen del esquema' para asistir junto a este; un modelo de confianza que ha sido llamado una web de confianza. Una llave pública dada (o más expresamente, información que liga un nombre de usuario a una llave) puede ser digitalmente firmada por un usuario tercero para dar testimonio a la asociación entre alguien (realmente un nombre de usuario) y la llave. Hay varios niveles de confianza que pueden ser incluidos en tales firmas. Aunque muchos programas lean y escriban esta información, pocos (si alguno) incluyen este nivel de certificación calculando si hay que confiar en una llave. La web del protocolo de confianza fue descrita por Zimmermann en 1992 en el manual para la versión 2.0 PGP:

Seguridad en PGP

Utilizado correctamente, PGP puede proporcionar un gran nivel de seguridad. A diferencia de protocolos de seguridad como SSL, que sólo protege los datos en tránsito (es decir, mientras se transmiten a través de la red), PGP también puede utilizarse para proteger datos almacenados en discos, copias de seguridad, etcétera.

PGP usa una función de 4 claves.


13 VICEN MORALES

1.----Fiabilidad, confidencialidad, integridad y disponibilidad

Fiabilidad: Característica de los sistemas informáticos por la que se mide el tiempo de

funcionamiento sin fallos. En el caso del hardware, se han conseguido altísimos grados

de fiabilidad, mientras que en el software siguen existiendo bugs que dificultan el buen

funcionamiento de los programas. Cuando uno de estos «bugs» aparece, es normal

que el programa «se quede colgado», impidiendo al operador seguir trabajando con el

sistema y obligando a reiniciar la máquina.

Confidencialidad: asegurar que sólo los individuos autorizados tengan acceso a los

recursos que se intercambian.

Integridad: garantizar que los datos sean los que se supone que son.

Disponibilidad: garantizar el correcto funcionamiento de los sistemas de información.

¿Qué es el hashing?

El hashing es una técnica que consta de datos de entrada, una función hash y una

salida. Esta función calcula un código específico para un dato de entrada (como puede

ser un nombre, por ejemplo). El valor calculado puede parecer aleatorio, pero no lo es,

ya que las operaciones para computar la salida son siempre las mimas. La función hash

asocia siempre la misma salida para una entrada determinada.

Por ejemplo: hash (“María”)=1082358727484

Luego, a los 3 días calculamos hash(María) nuevamente

Hash(“María”)=1082358727484

Y el valor computado es el mismo.

La salida de la función hash es siempre un número, pero se puede convertir a

caracteres u otro tipo de dato. Además, este número depende exclusivamente de la

entrada porque las operaciones se realizan sobre estos. Pero la pregunta que nos

hacemos es ¿para qué quisiéramos asignarle un código a un dato de entrada (como ser

un nombre)? La respuesta es que este número lo podemos usar para almacenar ese

dato en la posición indicada.

Ejemplo: hash (“Pepe”) = 130

Entonces vamos a almacenar en la posición 130 la cadena “Pepe”, además de sus datos

personales, por ej. Cuando queramos buscar “Pepe” no hace falta recorrer todo el


14 VICEN MORALES

arreglo. Calculamos la función hash a este nombre y accedemos a la posición del

arreglo que nos indica la salida de la función.

Si no existiera el hashing, por ejemplo, para buscar un dato en un arreglo tendríamos

que buscar en cada posición, una por una. Y esto se vuelve un problema para

conjuntos grandes de datos.

Imaginemos tener una lista de clientes de una tarjeta de crédito a nivel mundial, con

un tamaño de 50 millones. Sólo para encontrar uno de ellos había que recorrer una

media de 250 millones de posiciones.

2.-Elementos vulnerables en el sistema informático: hardware, software y datos

Posibles amenazas a un sistema informático. Un sistema informático, como todos sabemos, se compone de hardware, software, personal dedicado y de lo más importante, datos (el motivo de todo el sistema). Deben permitir tres operaciones principales. Almacenamiento, procesamiento y transmisión de esa información. En el almacenamiento y en la transmisión están sobre todo los puntos clave para que esa información pertenezca solamente a su dueño. Los posibles tipos de ataques pueden englobarse en cuatro grandes tipos:

Intercepción: Una persona, programa o proceso accede a una parte del sistema a la que no está autorizado. Es difícil de detectar (sniffers, keyloggers...) Modificación: Además de tener acceso, modifica, destruye, reemplaza o cambia los datos o el funcionamiento del sistema. Interrupción: Consiste en impedir que la información llegue a su destino. Es bastante fácil de detectar pero igual de difícil que los anteriores de evitar. Generación: Se refiere a la posibilidad de incluir campos y registros en una base de datos, añadir líneas de código a un programa, añadir programas completos en un sistema (virus), introducir mensajes no autorizados por una línea de datos...

Los elementos vulnerables a estos ataques son todos los que componen un sistema informático, esto es, como ya hemos dicho, hardware de software, personal dedicado y datos.

Ataques al hardware: Se pueden producir de forma intencionada o no. Incendios fortuitos en los sistemas, fallos físicos, rotura física de cables.... Ataques al software: Se pueden centrar contra los programas del sistema operativo, a los programas de utilidad o a los programas de usuario. Necesita de mayores


15 VICEN MORALES

conocimientos técnicos (para los ataques hardware, por ejemplo, bastaría con unas tijeras, un mazo... cerillas...) Existe gran variedad de ataques software: Bomba lógica: El programa incluye instrucciones que, al cumplirse una condición, provocan una distorsión del funcionamiento normal del programa, que normalmente, deriva en daños al ordenador que lo ejecuta. Esta técnica es usada por algunos programadores. Introducen en la aplicación un código que se activa en una fecha determinada para que, si no ha cobrado por su trabajo ese día, destruya la información del ordenador en el que ha sido instalado. Virus: Todos sabemos lo que son, cómo se comportan e incluso habremos sufrido sus consecuencias. Hoy en día, la conectividad entre ordenadores hace que existan muchísimos más de los 30 o 40 mil conocidos a finales de los 80, y que su impacto, cuando logran trascender, sea mucho mayor. Gusanos: Son programas que se replican, la línea que los separa de los virus es muy delgada. Backdoors o puertas falsas: Son programas que permiten la entrada en el sistema de manera que el usuario habitual del mismo no tenga conocimiento de este ataque. Caballos de Troya: El objetivo de estos programas no es el mismo para el que aparentemente están diseñados. Se utilizan normalmente para instalar puertas traseras. Ataques al personal: Aunque lo parezca, no consiste en perseguir con un cuchillo a los administradores. Se suele conocer más como ingeniería social. Consiste realmente en mantener un trato social con las personas que custodian datos. Indagar en sus costumbres o conocerlas más profundamente para perpetrar posteriormente un ataque más elaborado. La ingeniería social incluye desde suplantación de identidades confiables hasta la búsqueda en papeleras y basuras de información relevante.


16 VICEN MORALES

3.-Análisis de las principales vulnerabilidades de un sistema informático.

Las 20 vulnerabilidades

Para facilitar la identificación de las vulnerabilidades, se encuentran reunidas en diversos grupos: vulnerabilidades que pueden afectar a todos los sistemas (G), vulnerabilidades específicas de los sistemas operativos de la familia Windows (W) y vulnerabilidades específicas de Unix y derivados (U).

G1. Instalación por defecto de sistemas operativos y aplicaciones Muchos programas, incluyendo los sistemas operativos y aplicaciones, pueden realizar una instalación en la que la seguridad no es un factor determinante. Es importante revisar todas las configuraciones antes de poner la máquina accesible en la red.

G2. Cuentas de usuario sin contraseña o con contraseña fácilmente identificable Muchas sistemas disponen de una única línea de defensa: la contraseña del usuario. Es importante que todas las cuentas existentes dispongan de una contraseña y que esta sea robusta y no fácilmente identificable, por personas o programas. Igualmente algunos sistemas y aplicaciones crean cuentas de usuario en los que se asignan contraseñas por omisión que son conocidas.

G3. Copias de seguridad no existentes o incompletas Hay una certeza evidente: tarde o temprano ocurrirá un incidente que nos obligue a utilizar la copia de seguridad. Es importante que éstas se realicen, sean verificadas y que existan métodos documentados y probados para restaurar los datos. No hay nada más inútil que una copia de seguridad que no pueda ser restaurada.

G4. Gran número de puertos abiertos Tanto los usuarios legítimos como los atacantes acceden a nuestros sistemas a través de los puertos abiertos. Cuanto más puertos existan, más posibilidades de que alguien pueda conectar con nuestro sistema. Por tanto, es importante que sólo estén abiertos aquellos puertos que realmente son necesarios para el normal funcionamiento del equipo.

G5. No realizar correctamente el filtrado de las direcciones entrantes y salientes La suplantación de direcciones IP es un método frecuente utilizado por los atacantes como medida de ocultación. Por tanto, deben aplicarse las medidas necesarias para impedir la entrada y/o salida en nuestra red de direcciones IP incorrectas, inesperadas o no válidas.

G6. Registro de actividad no existente o incompleta. La prevención de los incidentes de seguridad es importante, pero mucho más es poder detectarlos lo antes posible. Para ello es importante registrar cuanta más información posible sobre la actividad de nuestros sistemas, aplicando las medidas necesarias para el análisis de estos registros de actividad.


17 VICEN MORALES

G7. Programas CGI vulnerables La mayoría de servidores web permiten utilizar programas CGI para acceder a información, recoger información, identificar a los usuarios, etc. Muchos de estos programas son habitualmente utilizados en los ataques contra los sistemas, por lo que debe prestarse una especial atención a los mismos.

W1. Vulnerabilidad Unicode ("Web Server Folder Traversal") Las versiones de IIS (Internet Information Server), si no se ha aplicado el correspondiente parche, son vulnerables a un ataque consistente en ocultar URL ilegales (como el acceso a directorios del sistema) mediante la representación de diversos caracteres en formato Unicode.

W2. Desbordamiento de memoria intermedia en ISAPI Cuando se instala IIS, se instalan automáticamente diversas extensiones ISAPI. Existen diversos problemas de desbordamiento de memoria intermedia en estas extensiones que pueden ser utilizadas por un atacante para obtener el control completo del sistema.

W3. Remote Data Services de IIS Existen diversas vulnerabilidades en el componente RDS (Remote Data Services) de IIS que pueden ser utilizadas por un atacante remoto para la ejecución de mandatos del sistema con privilegios de administrador.

W4. NETBIOS - Recursos de red compartidos no protegidos Algunos protocolos de red incluidos en el sistema operativo Windows no ofrecen mecanismos de protección adecuados, por lo que un atacante remoto puede obtener acceso a la información almacenada en los ordenadores.

W5.Obtención de información mediante sesiones de usuario anónimas Si el ordenador Windows NT o Windows 2000 permite la conexión de usuarios anónimos (sin usuario ni contraseña), un atacante remoto puede obtener información los recursos de red y las cuentas de usuario definidas en el sistema.

W6. Contraseñas débiles en la SAM Con el objetivo de ofrecer compatibilidad descendente, tanto Windows NT como Windows 2000 almacenan por omisión las contraseñas utilizando un método de cifrado de escasa calidad. Esta contraseña cifrada puede ser desvelada mediante ataques de fuerza brutas con relativamente poco esfuerzo.

U1. Desbordamiento de memoria intermedia en servicios RPC Los servicios RPC permiten que un ordenador ejecute un programa en otro ordenador. Existen múltiples vulnerabilidades por desbordamiento de memoria intermedia en estos servicios que permiten a un atacante remoto la realización de ataques de denegación de servicio o la obtención de privilegios de administrador.

U2. Vulnerabilidades en sendmail. Sendmail es el programa más utilizado para en envío, redirección y encaminamiento de mensajes de correo. Las versiones antiguas de este programa tienen un gran número de problemas y vulnerabilidades que pueden permiten a un atacante obtener acceso al sistema.


18 VICEN MORALES

U3. Vulnerabilidades en BIND El programa BIND es habitualmente utilizado para actuar como servidor de nombres de dominio (DNS). Algunas versiones del mismo pueden ser utilizadas para obtener acceso al sistema con privilegios de administrador.

U4. Mandatos "R" La familia de mandatos "R" permiten a un usuario autenticado de forma local ejecutar mandatos o acceder a sistemas remotos sin necesidad de volver a autenticarse. Esto puede permitir a un atacante con acceso a un sistema acceder libremente al resto de sistemas donde exista una relación de confianza.

U5. "Daemon" del protocolo de impresión remota (LPD) Existe una vulnerabilidad de desbordamiento de memoria intermedia en diversas versiones del "daemon" lpd que pueden ser utilizadas por un atacante para ejecutar código arbitrario en el sistema vulnerable con privilegios de administrador.

U6. Sadmind y mountdSadmind es un programa para la administración de los sistemas Solaris desde un entorno gráfico de usuario. Mountd facilita el acceso a los directorios exportados mediante NFS. Ambos programas tienen diversos problemas de desbordamiento de memoria intermedia que permiten a un atacante remoto obtener privilegios de administrador en los sistemas vulnerables.

U7. Valores de SNMP por omisión El protocolo SNMP es ampliamente utilizado en la monitorización y administración de virtualmente cualquier dispositivo existente en una red. El sistema de seguridad utilizado, basado en los nombres de comunidad, es muy débil. Además, los valores por omisión de muchos de estos periféricos permiten que cualquiera pueda modificar su configuración.


19 VICEN MORALES

4. -Amenazas. Tipos

Amenazas físicas

Amenazas lógicas

Amenazas Lógicas - Tipos de Ataques

Amenazas físicas

Las amenazas a los centros de datos pueden dividirse en dos grandes categorías, según si pertenecen al campo del software informático y las redes (amenazas digitales) o al campo de la infraestructura física de soporte del centro de datos (amenazas físicas).

Amenazas digitales Entre las amenazas digitales se encuentran los hackers, los virus, los cuellos de botella en las redes y otros ataques accidentales o maliciosos a la seguridad o el flujo de datos. Las amenazas digitales son muy conocidas en la industria y en la prensa, y la mayoría de los centros de datos tienen sistemas sólidos y con mantenimiento constante, como firewalls y antivirus, para combatirlas. El Informe Interno N° 101 de APC“Principios fundamentales de la seguridad de las redes” explica las formas de protección básicas contra las amenazas digitales. Este informe no trata sobre las amenazas digitales.


20 VICEN MORALES

Amenazas físicas Entre las amenazas físicas a los equipos informáticos se encuentran los problemas de alimentación y enfriamiento, los errores humanos o actividades maliciosas, los incendios, las pérdidas y la calidad del aire. Algunas de estas amenazas, incluyendo aquellas relacionadas con la alimentación y algunas relacionadas con el enfriamiento y los incendios, se monitorean regularmente por medio de capacidades integradas en los dispositivos de alimentación, enfriamiento y extinción de incendios. Por ejemplo, los sistemas UPS monitorean la calidad de la energía, la carga y la integridad de las baterías; las unidades PDU monitorean las cargas de los circuitos; las unidades de enfriamiento monitorean las temperaturas de entrada y salida y el estado de los filtros; los sistemas de extinción de incendios (los que exigen los códigos de edificación) monitorean la presencia de humo o exceso de calor. Por lo general, este tipo de monitoreo sigue protocolos que se comprenden bien, automatizados por medio de sistemas de software que recolectan, registran, interpretan y muestran la información. Las amenazas que se monitorean de esta manera, por medio de funciones pre estructuradas incluidas en los equipos, no requieren un conocimiento o planificación especial por parte de los usuarios para una administración efectiva, siempre y cuando los sistemas de monitoreo e interpretación estén bien estructurados. Estas amenazas físicas monitoreadas en forma automática son una parte clave de los sistemas de administración. Sin embargo, para cierta clase de amenazas físicas en el centro de datos –y hablamos de amenazas graves–, el usuario no cuenta con soluciones de monitoreo prediseñadas e integradas. Por ejemplo, los bajos niveles, de humedad son una amenaza que puede encontrarse en cualquier sector del centro de datos, de modo que la cantidad y la ubicación de los sensores de humedad es un punto clave a tener en cuenta a la hora de controlar dicha amenaza. Este tipo de amenazas pueden estar distribuidas en cualquier sector del centro de datos, en distintas ubicaciones según la disposición de la sala y la ubicación de los equipos. Las amenazas físicas distribuidas que se explican en este informe se dividen en estas categorías generales: • Amenazas a los equipos informáticos relacionadas con la calidad del aire (temperatura,humedad) • Filtraciones de líquidos • Presencia de personas o actividades inusuales • Amenazas al personal relacionadas con la calidad del aire (sustancias extrañas suspendidas en el aire)

• Humo e incendios provocados por los peligros del centro de datos.

Entre las amenazas físicas tenemos: Temperatura en el aire, humedad, filtraciones de líquidos, error humano y acceso del personal, humo e incendios, contaminantes peligrosos suspendidos en el aire.

Amenazas Lógicas

Los protocolos de comunicación utilizados carecen (en su mayoría) de seguridad o esta ha sido implementada en forma de "parche" tiempo después de su creación.


21 VICEN MORALES

Existen agujeros de seguridad en los sistemas operativos. Existen agujeros de seguridad en las aplicaciones. Existen errores en las configuraciones de los sistemas. Los usuarios carecen de información respecto al tema.

Esta lista podría seguir extendiéndose a medida que se evalúen mayor cantidad de elementos de un Sistema Informático.

Las empresas u organizaciones no se pueden permitir el lujo de denunciar ataques a sus sistemas, pues el nivel de confianza de los clientes (ciudadanos) bajaría enormemente.

Los Administradores tienen cada vez mayor conciencia respecto de la seguridad de sus sistemas y arreglan por sí mismos las deficiencias detectadas. A esto hay que añadir las nuevas herramientas de seguridad disponibles en el mercado.

Los "advisories" (documentos explicativos) sobre los nuevos agujeros de seguridad detectados y la forma de solucionarlos, lanzados por el CERT, han dado sus frutos.

Acceso - Uso - Autorización

La identificación de estas palabras es muy importante ya que el uso de algunas implica un uso desapropiado de las otras.

Específicamente "Acceso" y "Hacer Uso" no son el mismo concepto cuando se estudian desde el punto de vista de un usuario y de un intruso. Por ejemplo:

Cuando un usuario tiene acceso autorizado, implica que tiene autorizado el uso de un recurso.

Cuando un atacante tiene acceso desautorizado está haciendo uso desautorizado del sistema.

Pero, cuando un atacante hace uso desautorizado de un sistema, esto implica que el acceso fue autorizado (simulación de usuario).

Luego un Ataque será un intento de acceso, o uso desautorizado de un recurso, sea satisfactorio o no. Un Incidente envuelve un conjunto de ataques que pueden ser distinguidos de otro grupo por las características del mismo (grado, similitud, técnicas utilizadas, tiempos, etc.).

John D. Howard en su tesis estudia la cantidad de ataques que puede tener un incidente. Al concluir dicho estudio y basado en su experiencia en los laboratorios del CERT afirma que esta cantidad varía entre 10 y 1.000 y estima que un número razonable para estudios es de 100 ataques por incidentes.

Detección de Intrusos

A finales de 1996, Dan Farmer (creador de una de las herramientas más útiles en la detección de intrusos: SATAN) realizó un estudio sobre seguridad analizando 2.203


22 VICEN MORALES

sistemas de sitios en Internet. Los sistemas objeto del estudio fueron Web Sites orientados al comercio y con contenidos específicos, además de un conjunto de sistemas informáticos aleatorios con los que realizar comparaciones.

El estudio se realizó empleando técnicas sencillas y no intrusivas. Se dividieron los problemas potenciales de seguridad en dos grupos: rojos (red) y amarillos (yellow).

Los problemas del grupo rojo son los más serios y suponen que el sistema está abierto a un atacante potencial, es decir, posee problemas de seguridad conocidos en disposición de ser explotados. Así por ejemplo, un problema de seguridad del grupo rojo es un equipo que tiene el servicio de FTP anónimo mal configurado. Los problemas de seguridad del grupo amarillo son menos serios pero también reseñables. Implican que el problema detectado no compromete inmediatamente al sistema pero puede causarle serios daños o bien, que es necesario realizar tests más intrusivos para determinar si existe o no un problema del grupo rojo.

La tabla 7.1 resume los sistemas evaluados, el número de equipos en cada categoría y los porcentajes de vulnerabilidad para cada uno. Aunque los resultados son límites superiores, no dejan de ser... escandalosos.

Como puede observarse, cerca de los dos tercios de los sistemas analizados tenían serios problemas de seguridad y Farmer destaca que casi un tercio de ellos podían ser atacados con un mínimo esfuerzo.

Identificación de las Amenazas

La identificación de amenazas requiere conocer los tipos de ataques, el tipo de acceso, la forma operacional y los objetivos del atacante.

Las consecuencias de los ataques se podrían clasificar en:

Data Corruption: la información que no contenía defectos pasa a tenerlos. Denial of Service (DoS): servicios que deberían estar disponibles no lo están. Leakage: los datos llegan a destinos a los que no deberían llegar.


23 VICEN MORALES

Desde 1990 hasta nuestros días, el CERT viene desarrollando una serie de estadísticas que demuestran que cada día se registran más ataques informáticos, y estos son cada vez más sofisticados, automáticos y difíciles de rastrear.

La Tabla 7.2 detalla el tipo de atacante, las herramientas utilizadas, en qué fase se realiza el ataque, los tipos de procesos atacados, los resultados esperados y/u obtenidos y los objetivos perseguidos por los intrusos.

Cualquier adolescente de 15 años (Script Kiddies), sin tener grandes conocimientos, pero con una potente y estable herramienta de ataque desarrollada por los Gurús, es capaz de dejar fuera de servicio cualquier servidor de información de cualquier organismo en Internet, simplemente siguiendo las instrucciones que acompañan la herramienta.

Los números que siguen no pretenden alarmar a nadie ni sembrar la semilla del futuro Hacker. Evidentemente la información puede ser aprovechada para fines menos lícitos que para los cuales fue pensada, pero esto es algo ciertamente difícil de evitar.


24 VICEN MORALES

Nota I: Estos incidentes sólo representan el 30% correspondientes a los Hackers. Nota II: En 1992 el DISA(2) realizó un estudio durante el cual se llevaron a cabo 38.000 ataques a distintas sitios de organizaciones gubernamentales (muchas de ellas militares). El resultado de los ataques desde 1992 a 1995 se resume en el siguiente cuadro:

Puede observarse que solo el 0,70% (267) de los incidentes fueron reportados. Luego, si en el año 2000 se denunciaron 21.756 casos eso arroja 3.064.225 incidentes en ese año. Nota III: Puede observarse que los incidente reportados en 1997 con respecto al año anterior es menor. Esto puede deberse a diversas causas:


25 VICEN MORALES

Las empresas u organizaciones no se pueden permitir el lujo de denunciar ataques a sus sistemas, pues el nivel de confianza de los clientes (ciudadanos) bajaría enormemente.

Los administradores tienen cada vez mayor conciencia respecto de la seguridad de sus sistemas y arreglan por sí mismos las deficiencias detectadas. A esto hay que añadir las nuevas herramientas de seguridad disponibles en el mercado.

Los "Advisories" (documentos explicativos) sobre los nuevos agujeros de seguridad detectados y la forma de solucionarlos, lanzados por el CERT, han dado sus frutos.

Tipos de Ataques

A continuación se expondrán diferentes tipos de ataques perpetrados, principalmente, por Hackers. Estos ataques pueden ser realizados sobre cualquier tipo de red, sistema operativo, usando diferentes protocolos, etc. En los primeros tiempos, los ataques involucraban poca sofisticación técnica. Los Insiders (operadores, programadores, data entrys) utilizaban sus permisos para alterar archivos o registros. Los Outsiders ingresaban a la red simplemente averiguando una password válida. A través de los años se han desarrollado formas cada vez más sofisticadas de ataque para explotar "agujeros" en el diseño, configuración y operación de los sistemas.

Ingeniería Social Ingeniería Social Inversa Trashing (Cartoneo) Ataques de Monitorización Ataques de Autenticación Denial of Service (DoS) Ataques de Modificación - Daño

Errores de Diseño, Implementación y Operación

Muchos sistemas están expuestos a "agujeros" de seguridad que son explotados para acceder a archivos, obtener privilegios o realizar sabotaje. Estas vulnerabilidades ocurren por variadas razones, y miles de "puertas invisibles" son descubiertas (cada día) en sistemas operativos, aplicaciones de software, protocolos de red, browsers de Internet, correo electrónico y todas clase de servicios informático disponible.

Los Sistemas operativos abiertos (como Unix y Linux) tienen agujeros más conocidos y controlados que aquellos que existen en sistemas operativos cerrados (como Windows©). La importancia (y ventaja) del código abierto radica en miles de usuarios analizan dicho código en busca de posibles bugs y ayudan a obtener soluciones en forma inmediata.

Constantemente encontramos en Internet avisos de nuevos descubrimientos de problemas de seguridad (y herramientas de Hacking que los explotan), por lo que hoy también se hace indispensable contar con productos que conocen esas debilidades, puedan diagnosticarlas y actualizar el programa afectado con el parche adecuado.


26 VICEN MORALES

Implementación de las Técnicas

A lo largo de mi investigación he recopilando distinto tipos de programas que son la aplicación de las distintas técnicas enumeradas anteriormente. La mayoría de los mismos son encontrados fácilmente en Internet en versiones ejecutables, y de otros se encuentra el código fuente, generalmente en lenguaje C, Java y Perl.

Cada una de las técnicas explicadas (y más) pueden ser utilizadas por un intruso en un ataque. A continuación se intentarán establecer el orden de utilización de las mismas, pero siempre remarcando que un ataque insume mucha paciencia, imaginación acumulación de conocimientos y experiencia dada (en la mayoría de los casos) por prueba y error.

1. Identificación del problema (víctima): en esta etapa se recopila toda la información posible de la víctima. Cuanta más información se acumule, más exacto y preciso será el ataque, más fácil será eliminar las evidencias y más difícil será su rastreo.

2. Exploración del sistema víctima elegido: en esta etapa se recopila información sobre los sistemas activos de la víctima, cuales son los más vulnerables y cuales se encuentran disponibles. Es importante remarcar que si la victima parece apropiada en la etapa de Identificación, no significa que esto resulte así en esta segunda etapa.

3. Enumeración: en esta etapa se identificaran las cuentas activas y los recursos compartidos mal protegidos. La diferencia con las etapas anteriores es que aquí se establece una conexión activa a los sistemas y la realización de consultas dirigidas. Estas intrusiones pueden (y deberían) ser registradas, por el administrador del sistema, o al menos detectadas para luego ser bloqueadas.

4. Intrusión propiamente dicha: en esta etapa el intruso conoce perfectamente el sistema y sus debilidades y comienza a realizar las tareas que lo llevaron a trabajar, en muchas ocasiones, durante meses.

Contrariamente a lo que se piensa, los sistemas son difíciles de penetrar si están bien administrados y configurados. Ocasionalmente los defectos propios de la arquitectura de los sistemas proporciona un fácil acceso, pero esto puede ser, en la mayoría de los casos, subsanado aplicando las soluciones halladas.

¿Cómo defenderse de estos Ataques?

La mayoría de los ataques mencionados se basan en fallos de diseño inherentes a Internet (y sus protocolos) y a los sistemas operativos utilizados, por lo que no son "solucionables" en un plazo breve de tiempo.


27 VICEN MORALES

La solución inmediata en cada caso es mantenerse informado sobre todos los tipos de ataques existentes y las actualizaciones que permanentemente lanzan las empresas desarrolladoras de software, principalmente de sistemas operativos.

Las siguientes son medidas preventivas. Medidas que toda red y administrador deben conocer y desplegar cuanto antes:

1. Mantener las máquinas actualizadas y seguras físicamente 2. Mantener personal especializado en cuestiones de seguridad (o

subcontratarlo). 3. Aunque una máquina no contenga información valiosa, hay que tener en

cuenta que puede resultar útil para un atacante, a la hora de ser empleada en un DoS coordinado o para ocultar su verdadera dirección.

4. No permitir el tráfico "broadcast" desde fuera de nuestra red. De esta forma evitamos ser empleados como "multiplicadores" durante un ataque Smurf.

5. Filtrar el tráfico IP Spoof. 6. Auditorias de seguridad y sistemas de detección. 7. Mantenerse informado constantemente sobre cada unas de las

vulnerabilidades encontradas y parches lanzados. Para esto es recomendable estar suscripto a listas que brinden este servicio de información.

8. Por último, pero quizás lo más importante, la capacitación contínua del usuario.


28 VICEN MORALES

5.- Seguridad física y ambiental

Áreas seguras

Objetivo: impedir accesos no autorizados, daños e interferencia a las sedes e

información de la empresa.

Las instalaciones de procesamiento de información crítica o sensible de la empresa

deben estar ubicadas en áreas protegidas y resguardadas por un perímetro de

seguridad definido, con vallas de seguridad y controles de acceso apropiados. Deben

estar físicamente protegidas contra accesos no autorizados, daños e intrusiones.

La protección provista debe ser proporcional a los riesgos identificados. Se recomienda

la implementación de políticas de escritorios y pantallas limpios para reducir el riesgo

de acceso no autorizado o de daño a papeles, medios de almacenamiento e

instalaciones de procesamiento de información.

Perímetros de seguridad física

La protección física puede llevarse a cabo mediante la creación de diversas barreras

físicas alrededor de las sedes de la organización y de las instalaciones de

procesamiento de información. Cada barrera establece un perímetro de seguridad,

cada uno de los cuales incrementa la protección total provista.

Las organizaciones deben utilizar perímetros de seguridad para proteger las áreas que

contienen instalaciones de procesamiento de información. Un perímetro de seguridad

es algo delimitado por una barrera, por ej. Una pared, una puerta de acceso

controlado por tarjeta o un escritorio u oficina de recepción atendidos por personas. El

emplazamiento y la fortaleza de cada barrera dependerán de los resultados de una

evaluación de riesgos.

Se deben considerar e implementar los siguientes lineamientos y controles, según

corresponda.

Controles de acceso físico.

Las áreas protegidas deben ser resguardadas por adecuados controles de acceso que

permitan garantizar que sólo se permite el acceso del personal autorizado.

Protección de oficinas, recintos e instalaciones.

Un área protegida puede ser una oficina cerrada con llave, o diversos recintos dentro

de un perímetro de seguridad física, el cual puede estar bloqueado y contener cajas

fuertes o gabinetes con cerraduras. Para la selección y el diseño de un área protegida


29 VICEN MORALES

debe tenerse en cuenta la posibilidad de daño producido por incendio, inundación,

explosión, agitación civil, y otras formas de desastres naturales o provocados por el

hombre. También deben tomarse en cuenta las disposiciones y normas (estándares) en

materia de sanidad y seguridad. Asimismo, se deberán considerar las amenazas a la

seguridad que representan los edificios y zonas aledañas, por ej. Filtración de agua

desde otras áreas.

Desarrollo de tareas en áreas protegidas.

Para incrementar la seguridad de un área protegida pueden requerirse controles y

lineamientos adicionales. Esto incluye controles para el personal o terceras partes que

trabajan en el área protegida, así como para las actividades de terceros que tengan

lugar allí.

Seguridad del equipamiento.

Objetivo: impedir pérdidas, daños o exposiciones al riesgo de los activos e interrupción

de las actividades de la empresa.

El equipamiento debe estar físicamente protegido de las amenazas a la seguridad y los

peligros del entorno.

Es necesaria la protección del equipamiento (incluyendo el que se utiliza en forma

externa) para reducir el riesgo de acceso no autorizado a los datos y para prevenir

pérdidas o daños. Esto también debe tener en la ubicación y disposición del

equipamiento. Pueden requerirse controles especiales para prevenir peligros o accesos

no autorizados, y para proteger instalaciones de soporte, como la infraestructura de

cableado y suministro de energía eléctrica.

Ubicación y protección del equipamiento.

El equipamiento debe ser ubicado o protegido de tal manera que se reduzcan los

riesgos ocasionados por amenazas y peligros ambientales, y oportunidades de acceso

no autorizado.

Suministros de energía.

El equipamiento debe estar protegido con respecto a las posibles fallas en el

suministro de energía u otras anomalías eléctricas. Se debe contar con un adecuado

suministro de energía que esté de acuerdo con las especificaciones del fabricante o

proveedor de los equipos. Entre las alternativas para asegurar la continuidad del

suministro de energía podemos enumerar las siguientes:

- Múltiples bocas de suministro para evitar un único punto de falla en el

suministro de energía

- Suministro de energía ininterrumplible (UPS)


30 VICEN MORALES

- Generador de respaldo

Seguridad del cableado.

El cableado de energía eléctrica y de comunicaciones que transporta datos o brinda

apoyo a los servicios de información debe ser protegido contra interceptación o daño.

Mantenimiento de equipos.

El equipamiento debe mantenerse en forma adecuada para asegurar que su

disponibilidad e integridad sean permanentes.

5.1- Ubicación y protección física de los equipos y servidores

Los incidentes de tipo físico se pueden dividir en dos tipos básicos.

Incidentes Naturales: Incendios, inundaciones, temperatura, alimentación eléctrica

Incidentes Humanos: Robos, fraudes, sabotajes.

Para minimizar el impacto de un posible problema físico tendremos que imponer condiciones de seguridad para los equipos y sistemas de la organización. Por otra lado para que los equipos informáticos funcionen correctamente deben de encontrarse en bajo ciertas condiciones. Como es lógico pensar no todos los equipos informáticos de una organización tienen el mismo valor. Para poder tener una buena seguridad debemos saber que equipos y datos son más importantes para la organización. Ej. Un servidor y un puesto de trabajo no tendrán las mismas medidas de seguridad, ni físicas ni lógicas. Los servidores dado que su funcionamiento ha de ser continuo deben de situarse en un lugar que cumpla las condiciones óptimas para el funcionamiento de estos. Para asegurar los sistemas y equipos que han de mantenerse siempre operativos se crean lugares que se conocen como "Centro de Procesamiento de Datos" o por sus siglas CPD. Para poder asegurar un CPD lo primero que debemos hacer es asegurar el recinto con medidas de seguridad física.

Sistemas contra incendios.


31 VICEN MORALES

Existen varios tipos de sistemas de extinción de incendios, como: extracción de oxígeno, inserción de gases nobles o extintores especiales que eviten el riesgo de electrocución. Es importante intentar evitar los sistemas contra incendios que usen materiales conductores, dado que, de lo contrario pueden perderse datos de los dispositivos.

Sistemas de control de acceso.

o Sistemas de Llaves (tradicionales). o Sistemas de contraseña.

Estos sistemas son los más usados por si simplicidad de uso y bajo coste. En estos tipos de sistemas se ha de establecer políticas de contraseñas. Por tanto la organización que implemente un sistema de contraseña tendrá que indicar a sus usuarios con que periodicidad son cambiadas y que características tienen que tener para ser seguras. Sobre las políticas de contraseñas hablaremos más adelante.

o Sistemas Tarjetamagnética.

Estos sistemas se componen de una tarjeta con una banda magnética que contiene un código para acceder.

o Sistemas RFID:

Son las siglas de identificación por radio frecuencia en Ingles (Radio Frequency IDentification), estos sistemas se componen de un elemento que reacciona ante una señal, devolviendo un resultado. Existen dispositivos RFID con identificadores únicos certificados por la casa de la moneda.

o Sistemas de Token.

Un sistema de token se compone de un elemento móvil llamado "Token" que genera claves aleatorias, para poder funcionar correctamente el token ha de estar sincronizado con el sistema de acceso. Para poder acceder el usuario ha de insertar la clave generada por el token en el sistema, este generará una clave usando el mismo algoritmo y la comparará. Actualmente se están usando sistemas de "Token" mediante el envío de un sms.


32 VICEN MORALES

o Sistemas Biométricos.

Son sistemas que otorgan acceso mediante la identificación por elementos físicos de cada individuo, véase iris del ojo, huellas dactilares, voz, sistema de venas palmares, u otros rasgos únicos. Este tipos de sistemas son más complejos para ser saltados dado es muy complejo copiar este tipo de datos.

Sistemas de control de temperatura.

Para que los sistemas informáticos funcionen correctamente los elementos físicos de los mismos han de encontrase a ciertas temperaturas. Debido a que los equipos informáticos funcionan mediante semiconductores se tienen que mantener entre ciertos valores de temperatura, de lo contrario los semiconductores pierde sus propiedades y dejan de funcionar adecuadamente. La temperatura adecuada de un CPD no debe de superar los 30º.


33 VICEN MORALES

5.2.- Sistema de alimentación ininterrumpida

Un sistema de alimentación ininterrumpida, SAI (en inglés Uninterruptible Power Supply, UPS), es un dispositivo que gracias a sus baterías, puede proporcionar energía tras un apagón a todos los dispositivos que tenga conectados. Otra de las funciones de los UPS es la de mejorar la calidad de la energía eléctrica que llega a las cargas, filtrando subidas y bajadas de tensión y eliminando armónicos de la red en el caso de usar corriente alterna.

Los UPS dan energía eléctrica a equipos llamados cargas críticas, como pueden ser aparatos médicos, industriales o informáticos que, como se ha mencionado anteriormente, requieren tener siempre alimentación y que ésta sea de calidad, debido a la necesidad de estar en todo momento operativos y sin fallos (picos o caídas de tensión).

Potencia

La unidad de potencia para configurar un SAI es el voltamperio (VA), que es la potencia, o el vatio (W) que es la potencia activa, también denominada potencia efectiva o eficaz, consumida por el sistema. Para calcular cuánta energía requiere un equipo de UPS, se debe conocer el consumo del dispositivo. Si la que se conoce es la potencia efectiva o eficaz, en vatios, se multiplica la cantidad de vatios por 1,4 para tener en cuenta el pico máximo de potencia que puede alcanzar el equipo. Por ejemplo: 200 vatios x 1,4 = 280 VA. Si lo que encuentra es la tensión y la corriente nominales, para calcular la potencia aparente (VA) hay que multiplicar la corriente (amperios) por la tensión (voltios), por ejemplo: 3 amperios. x 220 voltios = 660 VA..

Tipos

UPS de continua (activo)

http://es.wikipedia.org/wiki/Archivo:UPSFrontView.jpg

http://es.wikipedia.org/wiki/Archivo:UPSRearView.jpg


34 VICEN MORALES

Las cargas conectadas a los UPS requieren una alimentación de corriente continua, por lo tanto éstos transformarán la corriente alterna de la red comercial a corriente continua y la usarán para alimentar a la carga y almacenarla en sus baterías. Por lo tanto no requieren convertidores entre las baterías y las cargas.

UPS de corriente alterna (pasivo)

Estos UPS obtienen a su salida una señal alterna, por lo que necesitan un inversor para transformar la señal continua que proviene de las baterías en una señal alterna

5.3.- Sistemas biométricos: Funcionamiento. Estándares.

La biometría es el estudio de métodos automáticos para el reconocimiento único de humanos basados en uno o más rasgos conductuales o físicos intrínsecos. El término se deriva de las palabras griegas "BIOS" de vida y "metrón" de medida.

La "biometría informática" es la aplicación de técnicas matemáticas y estadísticas sobre los rasgos físicos o de conducta de un individuo, para “verificar” identidades o para “identificar” individuos.

En las tecnologías de la información, la autentificación biométrica se refiere a las tecnologías para medir y analizar las características físicas y del comportamiento humanas con propósito de autentificación.

En Disney World, se toman medidas biométricas de los visitantes con pase de varios días para asegurarse de que el pase es usado por la misma persona todos los días.

Las huellas dactilares, las retinas, el iris, los patrones faciales, de venas de la mano o la geometría de la palma de la mano, representan ejemplos de características físicas (estáticas), mientras que entre los ejemplos de características del comportamiento se incluye la firma, el paso y el tecleo (dinámicas). La voz se considera una mezcla de características físicas y del comportamiento, pero todos los rasgos biométricos comparten aspectos físicos y del comportamiento.

http://es.wikipedia.org/wiki/Archivo:Biometrics.jpg

http://es.wikipedia.org/wiki/Archivo:Biometrics.jpg


35 VICEN MORALES

Funcionamiento.

En un sistema de Biometría típico, la persona se registra con el sistema cuando una o más de sus características físicas y de conducta es obtenida, procesada por un algoritmo numérico, e introducida en una base de datos. Idealmente, cuando entra, casi todas sus características concuerdan; entonces cuando alguna otra persona intenta identificarse, no empareja completamente, por lo que el sistema no le permite el acceso. Las tecnologías actuales tienen tasas de error que varían ampliamente (desde valores bajos como el 60%, hasta altos como el 99,9%).

El rendimiento de una medida biométrica se define generalmente en términos de tasa de falso positivo (False AcceptanceRate o FAR), la tasa de falso negativo (False NonMatchRate o FNMR, también False RejectionRate o FRR), y el fallo de tasa de alistamiento (Failure-to-enrollRate, FTR o FER).

En los sistemas biométricos reales el FAR y el FRR pueden transformarse en los demás cambiando cierto parámetro. Una de las medidas más comunes de los sistemas biométricos reales es la tasa en la que el ajuste en el cual acepta y rechaza los errores es igual: la tasa de error igual (Equal Error Rate o EER), también conocida como la tasa de error de cruce (Cross-over Error Rate o CER). Cuanto más bajo es el EER o el CER, se considera que el sistema es más exacto.

Las tasas de error anunciadas implican a veces elementos idiosincrásicos o subjetivos. Por ejemplo, un fabricante de sistemas biométricos fijó el umbral de aceptación alto, para reducir al mínimo las falsas aceptaciones; en la práctica, se permitían tres intentos, por lo que un falso rechazo se contaba sólo si los tres intentos resultaban fallidos (por ejemplo escritura, habla, etc.), las opiniones pueden variar sobre qué constituye un falso rechazo. Si entro a un sistema de verificación de firmas usando mi inicial y apellido, ¿puedo decir legítimamente que se trata de un falso rechazo cuando rechace mi nombre y apellido?

A pesar de estas dudas, los sistemas biométricos tienen un potencial para identificar a individuos con un grado de certeza muy alto. La prueba forense del ADN goza de un grado particularmente alto de confianza pública actualmente (ca. 2004) y la tecnología está orientándose al reconocimiento del iris, que tiene la capacidad de diferenciar entre dos individuos con un ADN idéntico.

http://es.wikipedia.org/wiki/Archivo:Biometrics_error.jpg


36 VICEN MORALES

Estándares.

Estándar ANSI X.9.84: creado en 2001, por la ANSI (American National Standards Institute) y actualizado en 2003, define las condiciones de los sistemas biométricos para la industria de servicios financieros haciendo referencia a la transmisión y almacenamiento seguro de información biométrica, y a la seguridad del hardware asociado.

Estándar ANSI / INCITS 358: creado en 2002 por ANSI y BioApiConsortium, presenta una interfaz de programación de aplicación que garantiza que los productos y sistemas que cumplen este estándar son interoperables entre sí.

Estándar NISTIR 6529: también conocido como CBEFF (CommonBiometric Exchange File Format) es un estándar creado en 1999 por NIST y BiometricsConsortium que propone un formato estandarizado (estructura lógica de archivos de datos) para el intercambio de información biométrica.

Estándar ANSI 378: creado en 2004 por la ANSI, establece criterios para representar e intercambiar la información de las huellas dactilares a través del uso de minucias. El propósito de esta norma es que un sistema biométrico dactilar pueda realizar procesos de verificación de identidad e identificación, empleando información biométrica proveniente de otros sistemas.

Estándar ISO 19794-2: creado en 2005 por la ISO/IEC con propósitos similares a la norma ANSI 378, respecto a la que guarda mucha similitud.

Estándar PIV-071006: creado en 2006 por el NIST y el FBI en el contexto de la norma FIPS 201 del gobierno de EE.UU, establece los criterios de calidad de imagen que deben cumplir los lectores de huellas dactilares para poder ser usados en procesos de verificación de identidad en agencias federales.

6.- Seguridad lógica: 6.1. Copias de seguridad e imágenes de respaldo.

La seguridad lógica se refiere a la seguridad en el uso de software y los sistemas, la protección de los datos, procesos y programas, así como la del acceso ordenado y autorizado de los usuarios a la información. La “seguridad lógica” involucra todas aquellas medidas establecidas por la administración -usuarios y administradores de recursos de tecnología de información- para minimizar los riesgos de seguridad asociados con sus operaciones cotidianas llevadas a cabo utilizando la tecnología de información. El Manual sobre Normas Técnicas de Control Interno Relativas a los Sistemas de Información Computadorizados emitido por la Contraloría General de la República, establece en la norma Nº 305-03 sobre seguridad lógica, que el acceso a los archivos de datos y programas sólo se permitirá al personal autorizado. Los principales objetivos que persigue la seguridad lógica son:

Restringir el acceso a los programas y archivos Asegurar que se estén utilizando los datos, archivos y programas correctos en y

por el procedimiento correcto.


37 VICEN MORALES

Una imagen del Sistema, llamada también "imagen Ghost" o "Ghost" a causa de un programa bastante conocido, es una copia de respaldo de todo el contenido de una partición (incluso de un conjunto de particiones). Ninguna distinción es hecha en el contenido. Se puede decir que una imagen del sistema es una "copia fiel" de la partición en un instante T (siendo T la hora del respaldo). Debemos hacer una distinción entre imagen del sistema y copia de respaldo de datos. Por lo general, las copias de respaldo son hechas de forma continua o de manera muy regular, seleccionando los directorios a respaldar y casi siempre de forma incremental. En cambio, el sistema cambia muy poco por lo que no hay necesidad de crear una imagen frecuentemente. Para crear una imagen, debemos elegir la partición y no los directorios. La copia de seguridad incremental consiste en hacer una copia de respaldo de todo lo que se especificó la primera vez, luego solamente de los archivos modificados posteriormente, guardando aparte una copia del archivo original. Por lo tanto, copia de respaldo e imagen del sistema son dos cosas muy distintas en cuanto a sus objetivos y métodos.

1 - Para qué hacer una imagen del sistema

En el PC puede pasar de todo! Un virus, un troyano, incluso un spyware,

alterarán el buen funcionamiento del sistema. Igualmente, la instalación o

actualización de un software o un driver puede poner inestable el sistema, o

peor aún, ponerlo fuera de servicio. Una descarga eléctrica puede destruir los

componentes (placa madre, etc.).

En el caso de que tengamos que cambiar la placa madre, será necesario

reinstalar completamente Windows XP (a menos que la placa sea reemplazada

con otra de características estrictamente idénticas).

¿Cuánto tiempo perderemos? Reinstalar Windows, tan sólo eso, demora ¡al

menos 1 hora! A esto, hay que añadirle el tiempo de instalación de los

periféricos y del software. No sé en tu caso, pero en el mío, reinstalar Windows

desde el inicio me toma ¡al menos 1 semana! Tantos programas por instalar,

tantas configuraciones personalizadas de las aplicaciones y del sistema,

proteger el sistema, parches...

De aquí el interés de crear una imagen del sistema. La creación me toma 3

minutos de preparación y demora 30 minutos, la restauración de esta imagen

está terminada en 15 minutos (Athlon 2400XP+, 1 GB de RAM, el disco de

Windows de 12 GB y con 10 GB utilizados).


38 VICEN MORALES

2 - Pre-requisitos

En primer lugar, para crear una imagen del sistema se requiere:

- tener otra partición para guardar la imagen,

- neutralizar el funcionamiento del sistema.

2.1 - Explicación Es imposible crear la imagen del sistema en la misma partición que se hace la

operación.

Por lo tanto, debemos almacenar esta imagen en otro lugar: en otro disco, en

un CD....

También podemos:

- crear la imagen bajo otro sistema (Linux, otra versión de Windows, MS-DOS),

- "bloquear" el funcionamiento del sistema: impedir que realice otras tareas

con el propósito de que los datos del sistema no sean modificados

constantemente y no puedan ser copiados,

- o arrancar directamente desde un CD o un juego de disquetes para evitar que

el sistema funcione.

2.2 - Mover carpetas a otras particiones La mayoría de usuarios de Windows dejan la carpeta "Mis documentos" en el

lugar definido por defecto, en la partición de Windows.

Pero en el caso de una restauración del sistema habrá que restaurar los

archivos personales, si existiera una copia de respaldo. ¿Por qué no moverla a

otra partición y así evitar tener que restaurarla?. Esto no excluye la necesidad

de hacer una copia de respaldo.

Así mismo, podemos mover los archivos temporales (/Temp), los archivos de

Internet Temporales, incluso el archivo Swap de Windows. Esto disminuirá la

cantidad de archivos a desfragmentar en el disco del sistema.

La ventaja de mover los archivos y directorios que son modificados con

frecuencia es que la fragmentación de la partición del sistema será más rápida

y la imagen del sistema más pequeña.

2.3 actualización de imágenes

• Si creó una primera imagen del sistema, pero luego su sistema fue modificado.

Lógicamente, deseará actualizar la imagen del sistema. ¿Deberá crear una nueva

imagen o partir de la imagen existente y modificarla?


39 VICEN MORALES

2.3.1 - Imagen incremental: interesante ¡pero peligrosa!

Un archivo imagen del sistema no puede editarse con el fin de poder modificarlo.

Para modificar una imagen del sistema, se debe comenzar de cero. Sin embargo,

ciertos programas hacen clonaciones o copias incrementales. La copia incremental

consiste en copiar solamente los archivos modificados o nuevos. ¡Pero no

soñemos! Todo esto está encapsulado dentro de un único archivo que sólo es

administrado por el software de creación de la imagen.

¿Cuál es el interés de una copia de seguridad incremental? En teoría, un tiempo de

creación más corto ya que sólo los archivos nuevos o modificados son copiados en

la imagen.

Pero si el sistema se ha contaminado recientemente con virus, troyanos, gusanos,

spyware u otros software maliciosos del mismo tipo, éstos serán con seguridad

incluidos en la imagen incremental ya que ¡serán archivos nuevos o modificados!

Entonces, la imagen ya no estará sana o limpia sino ¡alterada!

2.3.2 - Imagen incremental y estrategia de seguridad

Generalmente, es posible planificar la creación – mantenimiento de la imagen

incremental. Entonces ¡permanezca alerta! Mantenga una vigilancia constante

para tener un sistema sano:

- un antivirus constantemente actualizado,

- un firewall bien configurado y actualizado,

- evitar los sitios peligrosos (warez, X...),

- tener presente que el P2P es muy peligroso (jurídicamente, así como a nivel de

virus),

- no abrir cualquier fichero a ojo cerrado (archivos adjuntos de correos....),


40 VICEN MORALES

- evitar ciertos software (Microsoft Internet Explorer y Outlook son reemplazables

por Mozilla o Firefox y Thunderbird ....).

2.3.3 – Software que pueden crear imágenes incrementales

Por el momento, sólo existen 3 software que puede realizar imágenes

incrementales:

>PolderBackup – En Inglés - gratuito

>Ghost - a partir de la versión 9- (Symantec - Norton) – En Inglés - pagado

Copia de seguridad

Una copia de seguridad o backup (su nombre en inglés) en tecnología de la información o informática es una copia de seguridad - o el proceso de copia de seguridad - con el fin de que estas copias adicionales puedan utilizarse para restaurar el original después de una eventual pérdida de datos. El verbo es copia de seguridad en dos palabras, mientras que el sustantivo es respaldo (a menudo utilizado como un adjetivo en nombres compuestos). También se emplea el término a veces como un eufemismo para denominar a cualquier archivo copiado sin autorización. Fundamentalmente son útiles para dos cosas. Primero, recuperarse de una catástrofe informática. Segundo recuperar una pequeña cantidad de archivos que pueden haberse eliminado accidentalmente o corrompido. La pérdida de datos es muy común: El 66% de los usuarios de internet han sufrido una seria pérdida de datos.

Ya que los sistemas de respaldo contienen por lo menos una copia de todos los datos que vale la pena salvar, deben de tenerse en cuenta los requerimientos de almacenamiento. La organización del espacio de almacenamiento y la administración del proceso de efectuar la copia de seguridad son tareas complicadas. Para brindar una estructura de almacenamiento es conveniente utilizar un modelo de almacenaje de datos. Actualmente (noviembre de 2010), existen muchos tipos diferentes de dispositivos para almacenar datos que son útiles para hacer copias de seguridad, cada uno con sus ventajas y desventajas a tener en cuenta para elegirlos, como duplicidad, seguridad en los datos y facilidad de traslado.

Antes de que los datos sean enviados a su lugar de almacenamiento se lo debe seleccionar, extraer y manipular. Se han desarrollado muchas técnicas diferentes para optimizar el procedimiento de efectuar los backups. Estos procedimientos incluyen


41 VICEN MORALES

entre otros optimizaciones para trabajar con archivos abiertos y fuentes de datos en uso y también incluyen procesos de comprensión, cifrado, y procesos de de duplicación, entendiéndose por esto último a una forma específica de compresión donde los datos superfluos son eliminados. Muchas organizaciones e individuos tratan de asegurarse que el proceso de backup se efectúe de la manera esperada y trabajan en la evaluación y la validación de las técnicas utilizadas. También es importante reconocer las limitaciones y los factores humanos que están involucrados en cualquier esquema de backup que se utilice. Las copias de seguridad garantizan dos objetivos: integridad y disponibilidad.

Tipos de copia de seguridad

En función de la cantidad de archivos que se salvaguardan a la hora de realizar la copia

de seguridad, podemos distinguir tres tipos de copia:

Copia de seguridad total o íntegra Copia de seguridad incremental Copia de seguridad diferencial

Copia normal o copia total

Una copia de seguridad normal, es una copia de seguridad total de todos los archivos y directorios seleccionados.

Copia incremental

En un proceso de copia de seguridad incremental, se hace una copia de seguridad sólo de los archivos que han cambiado desde la última copia de seguridad realizada. Ejemplo, si hacemos copia de seguridad total el día 1 de cada mes y copia de seguridad incremental el resto de los días, cada copia incremental solo guardará los archivos que se hayan modificado ese día. Si tenemos que realizar la restauración de archivos ante un desastre, debemos disponer de la copia total y de todas las copias incrementales que hayamos realizado desde la copia total.


42 VICEN MORALES

Copia diferencial

Una copia de seguridad diferencial es una copia de todos los archivos que han cambiado desde la última copia de seguridad total que hayamos hecho. Ejemplo, si hacemos copia de seguridad total el día 1 de cada mes y copia de seguridad diferencial el resto de los días, cada copia diferencial guardará los archivos que se hayan modificado desde el día 1. La ventaja es que se requiere menos espacio que la copia total y que en el proceso de restauración únicamente necesitaremos la última copia total y la última copia diferencial. Una copia diferencial anula a la copia diferencial anterior. Por el contrario, se consume más tiempo en realizar la copia y también más espacio que en el caso de copia incremental.


43 VICEN MORALES

Recomendación sobre el tipo de copia a efectuar

Si el volumen de datos de nuestra copia de seguridad no es muy elevado (menos de 4

GB), lo más práctico es realizar siempre copias totales ya que en caso de desastre, tan

solo debemos recuperar la última copia.

Si el volumen de datos de nuestra copia de seguridad es muy elevado (mayor de 50 GB) pero el volumen de datos que se modifican no es elevado (sobre 4 GB), lo más práctico es realizar una primera copia total y posteriormente realizar siempre copias diferenciales. Así, en caso de desastre, tan solo debemos recuperar la copia total y la última diferencial. Periódicamente debemos realizar una copia total y así empezar de nuevo.

Si el volumen de datos de nuestra copia de seguridad es muy elevado (mayor de 50 GB) y el volumen de datos que se modifican también lo es, las copias diferenciales ocuparán mucho espacio, por lo tanto en este caso lo más práctico será realizar una primera copia total y posteriormente realizar siempre copias incrementales ya que son las que menos espacio ocupan. El problema es que en caso de desastre debemos recuperar la última copia total y todas las incrementales realizadas desde que se hizo la última copia total. En estos casos, conviene hacer copias totales más a menudo para no tener que mantener un número muy elevado de copias incrementales.

En grandes compañías donde la realización de copias de seguridad está perfectamente planificada, se suelen utilizar sistemas mixtos. Por ejemplo en un caso típico se realizarían las siguientes tareas:

Todos los días 1 de cada mes, a las 23:00 horas: copia de seguridad total Todos los viernes a las 23:00 horas: copia de seguridad diferencial desde la

copia de día 1 Todos los días (excepto los viernes y el día 1) a las 23:00 horas: copia de

seguridad incremental desde la copia del día anterior.

Con ésta planificación nos aseguramos disponer de copia de seguridad diaria. En caso

de desastre deberíamos recuperar la copia total, la última diferencial y todas las

incrementales desde la última diferencial.

En una política de este tipo se pueden utilizar por ejemplo 5 juegos diferentes de cintas de forma que se almacenen las copias de seguridad diarias de los últimos 3 meses. Luego se van reutilizando pero no más de 20 veces ya que las cintas se deterioran y la fiabilidad disminuye.


44 VICEN MORALES

6.2.Medios de almacenamiento

6.2.1 Soportes de almacenamiento.

Los materiales físicos en donde se almacenan los datos se conocen como medios de almacenamiento o soportes de almacenamiento. Ejemplos de estos medios son los discos magnéticos (disquetes, discos duros), los discos ópticos (CD, DVD), las cintas, los discos magneto-ópticos (discos ZIP, discos Jaqz, A SuperDisk), las tarjetas de memoria, etc.

Los componentes de hardware que escriben o leen datos en los medios de almacenamiento se conocen como dispositivos o unidades de almacenamiento. Por ejemplo, una disquetera o una unidad de disco óptico, son dispositivos que realizan la lectura y/o escritura en disquetes y discos ópticos, respectivamente.

El propósito de los dispositivos de almacenamiento es almacenar y recuperar la información de forma automática y eficiente.

El almacenamiento se relaciona con dos procesos:

Lectura de datos almacenados para luego transferirlos a la memoria de la computadora.

Escritura o grabación de datos para que más tarde se puedan recuperar y utilizar.

Los medios de almacenamiento han evolucionado en forma notable desde las primeras computadoras. En la actualidad existe una gran variedad tecnologías y dispositivos nuevos, pero el disco rígido sigue siendo el "almacén" principal de la información en la computadora.

Disco duro

http://es.wikipedia.org/wiki/Archivo:Circuito_Rack_Disco_Duro.JPG

http://es.wikipedia.org/wiki/Archivo:Circuito_Rack_Disco_Duro.JPG


45 VICEN MORALES

Los discos duros tienen una gran capacidad de almacenamiento de información, pero al estar alojados normalmente dentro del armazón de la computadora (discos internos), no son extraíbles fácilmente. Para intercambiar información con otros equipos (si no están conectados en red) necesitamos utilizar unidades de disco, como los disquetes, los discos ópticos (CD, DVD), los discos magneto-ópticos, memorias USB, memorias flash, etc.

El disco duro almacena casi toda la información que manejamos al trabajar con una computadora. En él se aloja, por ejemplo, el sistema operativo que permite arrancar la máquina, los programas, archivos de texto, imagen, vídeo, etc. Dicha unidad puede ser interna (fija) o externa (portátil), dependiendo del lugar que ocupe en el gabinete o caja de computadora.

Un disco duro está formado por varios discos apilados sobre los que se mueve una pequeña cabeza magnética que graba y lee la información.

Este componente, al contrario que el micro o los módulos de memoria, no se pincha directamente en la placa, sino que se conecta a ella mediante un cable. También va conectado a la fuente de alimentación, pues, como cualquier otro componente, necesita energía para funcionar.

Además, una sola placa puede tener varios discos duros conectados.

Las características principales de un disco duro son:

Capacidad: Se mide en gigabytes (GB). Es el espacio disponible para almacenar secuencias de 1 byte. La capacidad aumenta constantemente desde cientos de MB, decenas de GB, cientos de GB y hasta TB.

Velocidad de giro: Se mide en revoluciones por minuto (RPM). Cuanto más rápido gire el disco, más rápido podrá acceder a la información la cabeza lectora. Los discos actuales giran desde las 4.200 a 15.000 RPM, dependiendo del tipo de ordenador al que estén destinadas.

Capacidad de transmisión de datos: De poco servirá un disco duro de gran capacidad si transmite los datos lentamente. Los discos actuales pueden alcanzar transferencias de datos de 3 GB por segundo.

También existen discos duros externos que permiten almacenar grandes cantidades de información. Son muy útiles para intercambiar información entre dos equipos. Normalmente se conectan al PC mediante un conector USB.

Cuando el disco duro está leyendo, se enciende en la carcasa un LED (de color rojo, verde u otro). Esto es útil para saber, por ejemplo, si la máquina ha acabado de realizar una tarea o si aún está procesando datos.

Disquetera


46 VICEN MORALES

La unidad de 3,5 pulgadas permite intercambiar información utilizando disquetes magnéticos de 1,44 MB de capacidad. Aunque la capacidad de soporte es muy limitada si tenemos en cuenta las necesidades de las aplicaciones actuales se siguen utilizando para intercambiar archivos pequeños, pues pueden borrarse y reescribirse cuantas veces se desee de una manera muy cómoda, aunque la transferencia de información es bastante lenta si la comparamos con otros soportes, como el disco duro o un CD-ROM.

Para usar el disquete basta con introducirlo en la ranura de la disquetera. Para expulsarlo se pulsa el botón situado junto a la ranura, o bien se ejecuta alguna acción en el entorno gráfico con el que trabajamos (por ejemplo, se arrastra el símbolo del disquete hasta un icono representado por una papelera).

La unidad de disco se alimenta mediante cables a partir de la fuente de alimentación del sistema. Y también va conectada mediante un cable a la placa base. Un diodo LED se ilumina junto a la ranura cuando la unidad está leyendo el disco, como ocurre en el caso del disco duro.

En los disquetes solo se puede escribir cuando la pestaña está cerrada.

Cabe destacar que el uso de este soporte en la actualidad es escaso o nulo, puesto que se ha vuelto obsoleto teniendo en cuenta los avances que en materia de tecnología se han producido.

Unidad de CD-ROM o "lectora"

http://es.wikipedia.org/wiki/Archivo:Crystal_floppy_icon.svg

http://es.wikipedia.org/wiki/Archivo:CD_icon.svg


47 VICEN MORALES

La unidad de CD-ROM permite utilizar discos ópticos de una mayor capacidad que los disquetes de 3,5 pulgadas: hasta 700 MB. Ésta es su principal ventaja, pues los CD-ROM se han convertido en el estándar para distribuir sistemas operativos, aplicaciones, etc.

El uso de estas unidades está muy extendido, ya que también permiten leer los discos compactos de audio.

Para introducir un disco, en la mayoría de las unidades hay que pulsar un botón para que salga una especie de bandeja donde se deposita el CD-ROM. Pulsando nuevamente el botón, la bandeja se introduce.

En estas unidades, además, existe una toma para auriculares, y también pueden estar presentes los controles de navegación y de volumen típicos de los equipos de audio para saltar de una pista a otra, por ejemplo.

Una característica básica de las unidades de CD-ROM es la velocidad de lectura, que normalmente se expresa como un número seguido de una «x» (40x, 52x,..). Este número indica la velocidad de lectura en múltiplos de 128 KB/s. Así, una unidad de 52x lee información de 128 KB/s × 52 = 6,656 KB/s, es decir, a 6,5 MB/s.

Unidad de CD-RW (regrabadora) o "grabadora"

Las unidades de CD-ROM son de sólo lectura. Es decir, pueden leer la información en un disco, pero no pueden escribir datos en él.

Una regrabadora puede grabar y regrabar discos compactos. Las características básicas de estas unidades son la velocidad de lectura, de grabación y de regrabación. En los discos regrabables es normalmente menor que en los discos que sólo pueden ser grabados una vez. Las regrabadoras que trabajan a 8X, 16X, 20X, 24X, etc., permiten grabar los 650, 700 o más megabytes (hasta 900 MB) de un disco compacto en unos pocos minutos. Es habitual observar tres datos de velocidad, según la expresión ax bx cx (a: velocidad de lectura; b: velocidad de grabación; c: velocidad de regrabación).

Unidad de DVD-ROM o "lectora de DVD"

Las unidades de DVD-ROM son aparentemente iguales que las de CD-ROM, pueden leer tanto discos DVD-ROM como CD-ROM. Se diferencian de las unidades lectoras de CD-ROM en que el soporte empleado tiene hasta 17 GB de capacidad, y en la velocidad de lectura de los datos. La velocidad se expresa con otro número de la «x»: 12x, 16x... Pero ahora la x hace referencia a 1,32 MB/s. Así: 16x = 21,12 MB/s.

Las conexiones de una unidad de DVD-ROM son similares a las de la unidad de CD-ROM: placa base, fuente de alimentación y tarjeta de sonido. La diferencia más destacable es que las unidades lectoras de discos DVD-ROM también pueden disponer de una salida de audio digital. Gracias a esta conexión es posible leer películas en formato DVD y escuchar seis canales de audio separados si disponemos de una buena tarjeta de sonido y un juego de altavoces apropiado (subwoofer más cinco satélites).


48 VICEN MORALES

Unidad de DVD-RW o "grabadora de DVD"

Puede leer y grabar y regrabar imágenes, sonido y datos en discos de varios gigabytes de capacidad, de una capacidad de 650 MB a 9 GB.

Unidad de disco magneto-óptico

La unidad de discos magneto-ópticos permite el proceso de lectura y escritura de dichos discos con tecnología híbrida de los disquetes y los discos ópticos, aunque en entornos domésticos fueron menos usadas que las disqueteras y las unidades de CD-ROM, pero tienen algunas ventajas en cuanto a los disquetes:

Por una parte, admiten discos de gran capacidad: 230 MB, 640 Mb o 1,3 GB.

Además, son discos describibles, por lo que es interesante emplearlos, por ejemplo, para realizar copias de seguridad.

Lector de tarjetas de memoria

El lector de tarjetas de memoria es un periférico que lee o escribe en soportes de memoria flash. Actualmente, los instalados en computadores (incluidos en una placa o mediante puerto USB), marcos digitales, lectores de DVD y otros dispositivos, suelen leer varios tipos de tarjetas.

Una tarjeta de memoria es un pequeño soporte de almacenamiento que utiliza memoria flash para guardar la información que puede requerir o no baterías (pilas), en los últimos modelos la batería no es requerida, la batería era utilizada por los primeros modelos. Estas memorias son resistentes a los rasguños externos y al polvo que han afectado a las formas previas de almacenamiento portátil, como los CD y los disquetes.

Otros dispositivos de almacenamiento

Otros dispositivos de almacenamiento son las memorias flash o los dispositivos de almacenamiento magnéticos de gran capacidad.

Memoria flash: Es un tipo de memoria que se comercializa para el uso de aparatos portátiles, como cámaras digitales o agendas electrónicas. El aparato correspondiente o bien un lector de tarjetas, se conecta a la computadora a través del puerto USB o Firewire.

Discos y cintas magnéticas de gran capacidad: Son unidades especiales que se utilizan para realizar copias de seguridad o respaldo en empresas y centros de investigación. Su capacidad de almacenamiento puede ser de cientos de gigabytes.

Almacenamiento en línea: Hoy en día también debe hablarse de esta forma de almacenar información. Esta modalidad permite liberar espacio de los equipos de escritorio y trasladar los archivos a discos rígidos remotos provistos que


49 VICEN MORALES

garantizan normalmente la disponibilidad de la información. En este caso podemos hablar de dos tipos de almacenamiento en línea: un almacenamiento de corto plazo normalmente destinado a la transferencia de grandes archivos vía web; otro almacenamiento de largo plazo, destinado a conservar información que normalmente se daría en el disco rígido del ordenador personal.

6.2.2.- Almacenamiento redundante y distribuido: RAID y Centros de Respaldo. RAID Niveles - RAID0

Data Scripting, Conjunto Dividido o Volumen Dividido. Distribuye los datos equitativamente entre dos o más discos sin información de paridad que proporcione redundancia. Puede crearse con discos de distinto tamaño. Al no haber redundancia, si falla un disco se pierde un 1=N de la información.

Niveles - RAID1 Data Mirroring, Conjuración en Espejo. Recomendable para sistemas con grandes requisitos de Lectura/escritura frente a capacidad de disco. El rendimiento se duplica mientras que el espacio se divide Entre 2. Redundancia completa. Se usa la mitad de los discos para redundancia. Información en bloques.


50 VICEN MORALES

Niveles - RAID2 Similar a RAID1 pero la información se segmenta en bytes y no en bloques. Rendimiento _optimo para sistemas de lectura. Muy poco extendido. Tasas de transferencia muy altas.

Niveles - RAID3 Poco extendido. Disco de paridad dedicado. Segmentación a nivel de byte. No puede atender diversas peticiones simultáneamente. Lento.

Niveles - RAID4 Similar a RAID3 pero con segmentación por bloque. Disco de paridad dedicado. Puede servir diversas peticiones de lectura simultáneamente. En escritura, cuello de botella por localización de paridad.


51 VICEN MORALES

Niveles - RAID5 Junto con RAID0 y RAID1 es de los más usados. Segmentación a nivel de bloque. Uso de paridad pero no en disco dedicado. El bloque de paridad solo se lee al modificarse algún bloque afectado. Calculo de CRC generalmente por hardware. Mal rendimiento en alta carga de escritura y lectura con bloques pequeños.

Niveles - RAID6 Como RAID5 pero incluye otro bloque de paridad con distinto algoritmo. Segmentación a nivel de bloque. Buen rendimiento en lectura, peor en escritura. Protección contra fallos dobles de disco. Ineficiente en sistemas con pocos discos.


52 VICEN MORALES

Niveles Anidados: 0+1 También llamado RAID01. Espejo de divisiones. Replicar y compartir discos. Menos robusto que RAID10. No confundirse con RAID1. No confundirse con RAID1+0.

Niveles Anidados: 1+0 También llamado RAID10. División de espejos. Debido a la ausencia de cálculos de paridad, muy usado en sistemas de bases de datos de altas prestaciones. Poco usado a no ser que se combine con un RAID5 o RAID6

6.2.3.- Almacenamiento remoto: SAN, NAS y almacenamiento clouding


53 VICEN MORALES

NAS

El NAS (Network-Attached Storage) contiene un solo dispositivo de almacenamiento que está directamente conectado a una LAN y que ofrece datos compartidos a todos los clientes de la red. Un dispositivo NAS es sencillo de instalar y de administrar, y proporciona una solución de bajo coste.

Network-attached Storage

SAN

Una SAN (Storage Área Network) es una red de alta velocidad diseñada especialmente para el almacenamiento de datos y que está conectada a uno o más servidores a través de fibra. Los usuarios pueden acceder a cualquier de los dispositivos de almacenamiento de la red a través de los servidores, y los datos son escalables hasta 50TBs. El almacenamiento de datos centralizado reduce la administración necesaria y proporciona un tipo de almacenamiento de alto rendimiento y flexible para entornos multiservidor / multivendedor.

Storage Área Network

http://www.algunascosas.com/wp-content/_subidas_/2010/11/nas.gif

http://www.algunascosas.com/wp-content/_subidas_/2010/11/san.jpg


54 VICEN MORALES

El cloud computing es la nueva tendencia para las empresas de la web que podríamos resumir como el almacenamiento en la nube, es decir, servicios a través de internet. Estos servicios pueden ser gratuitos o de pago, y si bien este sistema ya había sido utilizado para otro tipo de entornos, el mundo empresarial lo ha empezado a adoptar hace no demasiado.

Este sistema tiene una serie de ventajas y desventajas que hacen del cloud computing una seria decisión a la hora de pensar en el almacenamiento de la información de tu empresa.

Primero vamos a exponer cuáles son las ventajas que nos concede esta nueva tendencia.

Lo primero que hay que tener en cuenta es que no hay que pensar en la infraestructura, te das de alta y tienes lo que necesitas sin pensar que tamaño tendrá o no, además raramente fallan, lo que convierte a estas plataformas de clouding en un entorno fiable en cuanto al uso.

Accesibilidad: Allá donde tengas una conexión a internet tienes tu información. Escalable: Se puede contemplar el crecimiento fácilmente sabiendo las

transacciones de los servidores, ya que se puede calcular cuando hay que aumentar el tamaño en función del tráfico.

Virtual: Al cargar desde los navegadores, las aplicaciones son independientes al sistema operativo que las cargue.

Coordinado: Varios clientes o trabajadores pueden acceder a la información desde diferentes lugares sin comprometer la misma.

En caso de error, se carga la última copia de seguridad, siendo este un proceso completamente desatendido.

En general podemos decir que los puntos fuertes del clouding es su movilidad y su sencillez de uso, permitiendo a los usuarios trabajar desde diferentes puntos, compartir información de forma sencilla o simplemente, acceder a datos.

Sin embargo, no todo son ventajas cuando se trabaja con el cloud computing.


55 VICEN MORALES

Probablemente la mayor problemática es estar sujeto al estado de los proveedores del servicio, ya que todas las aplicaciones están centralizadas.

Si no tienes acceso a internet, no tienes acceso a nada. Hay que cuidar que datos se suben, ya que puede parecer inseguro no tener tus

datos importantes en tu propia oficina. Al ser un servicio en crecimiento y desarrollo es susceptible de continuos

cambios. Si el proveedor de servicios no gestiona bien sus servidores, puedes ver

enormemente reducida la eficacia del servicio contratado, y por ende, una disminución en la efectividad de tu trabajo.

Los servidores más seguros, https, tienen una mayor consunción de recursos que ralentiza el servicio.

Así que podríamos resumir diciendo que las ventajas y desventajas del cloud computing son la movilidad, sencillez y el múltiple acceso y por contra la dependencia de los servicios de internet, los proveedores y la calidad de su servicio.

6.2.4.-Políticas de almacenamiento.

6.3.-Control de acceso lógico: 6.3.1.- Identificación, autenticación y autorizacióxn

Identificación: Acción de reconocer o probar que una persona o cosa es la misma que se busca o se supone.

Autenticación: La autenticación es el proceso por el que se comprueba la identidad de alguien o algo, para ver si es lo que dice ser. Ese "alguien" o "algo" se denominan principales. La autenticación requiere pruebas de identidad, denominadas credenciales. Por ejemplo, una aplicación cliente puede presentar una contraseña como sus credenciales. Si la aplicación cliente presenta las credenciales correctas, se asume que es quien dice ser.


56 VICEN MORALES

Autorización: Una vez que se ha autenticado la identidad de un principal, deben tomarse decisiones sobre la autorización. El acceso se determina comparando la información del principal con información de control de acceso, como listas de control de acceso (ACL. Es posible que los clientes tengan distintos grados de acceso. Por ejemplo, algunos clientes pueden tener acceso total a los servicios Web XML, mientras que otros estarían autorizados sólo a ciertas operaciones. A algunos clientes se les permitirá un acceso total a todos los datos, mientras que a otros sólo se les permitirá acceso a un subconjunto de los datos y otros tendrán acceso de sólo lectura. Un modo sencillo de implementar servicios Web XML Web consiste en aprovechar las características de autenticación del protocolo que se utilice para intercambiar mensajes. Para la mayoría de los servicios Web XML, esto significa aprovechar las características de autenticación disponibles en HTTP. Microsoft Internet Información Server (IIS) e ISA Server funcionan en conjunción con Windows 2000 Server y ofrecen soporte para varios mecanismos de autenticación en HTTP.

Básica: utilizada para identificación no segura o poco segura de clientes, ya que el nombre de usuario y la contraseña se envían como texto codificado en base 64, que puede ser fácilmente descodificado. IIS autorizará el acceso a los servicios Web XML si las credenciales coinciden con las de una cuenta de usuario válida.

Básica sobre SSL: igual que la autenticación básica, excepto que el canal de comunicación está cifrado y protege de ese modo el nombre de usuario y la contraseña. Una buena opción para entornos en Internet; sin embargo, el uso de SSL influye negativamente en el rendimiento.

Implícita: utiliza algoritmos hash para transmitir las credenciales del cliente de forma segura. Sin embargo, es posible que no sea compatible con todas las herramientas de desarrollo para generar clientes de servicios Web XML. IIS autorizará el acceso a los servicios Web XML si las credenciales coinciden con las de una cuenta de usuario válida.

Autenticación de Windows integrada: resulta útil sobre todo en entornos en Intranet. Utiliza NTLM o Kerberos. El cliente debe pertenecer al mismo dominio que el servidor o a un dominio en el que el dominio del servidor confía. IIS autorizará el acceso a los servicios Web XML si las credenciales coinciden con las de una cuenta de usuario válida.

Certificados de cliente a través de SSL: requiere que cada cliente obtenga un certificado. Los certificados se asignan a las cuentas de usuario, que son utilizadas por IIS para autorizar el acceso a los servicios Web XML. Se trata de una solución viable para entornos en Internet, aunque el uso de certificados digitales no está muy extendido actualmente. Es posible que no sea compatible con todas las herramientas de desarrollo para generar clientes de servicios Web XML. Sólo está disponible en conexiones SSL, de modo que el rendimiento puede verse afectado.


57 VICEN MORALES

Desde la perspectiva de alguien que intenta implementar servicios Web XML, una de las ventajas de utilizar estos mecanismos de autenticación es que no se necesita escribir nuevo código. IIS/ISA Server completa todo el proceso de autenticación y autorización ACL antes de llamar a los servicios Web XML. Sin embargo, al implementar el cliente será necesario realizar algunas tareas adicionales. La aplicación cliente necesitará responder a las peticiones de autenticación y credenciales del servidor. Entre los métodos para la implementación de autenticación en servicios Web XML también se incluyen servicios de terceros, como los que se encuentran en Microsoft® . NET Passport, características de sesión de Microsoft ASP.NET o la creación de métodos de autenticación personalizados.

6.3.2.- Política de contraseñas.

En los últimos años, el perfil de los usuarios de Internet y los usos que estos hacen de la Red, ha variado, alcanzándose unas notables tasas de penetración en determinados servicios. Así, por ejemplo en España, el correo electrónico, con un 99,5%, es el servicio más utilizado entre los usuarios habituales de Internet entre 16 y 74 años, un 63% ha utilizado servicios de banca electrónica y actividades financieras y el 52% ha realizado compras online.1

El resultado de todo este proceso de incorporación a la sociedad de la información es que el número de dispositivos desde los que se puede acceder a las redes de información se ha ampliado, y las gestiones desde los mismos son más numerosas, más frecuentes, y de mayor trascendencia económica.

En este contexto, y con el objetivo de que todo el proceso de comunicación sea gestionado de forma segura, a la hora de hacer dichos usos y transacciones a través de Internet, han de tomarse una serie de medidas y buenas prácticas encaminadas a mejorar la seguridad. En este sentido, la concienciación del usuario para gestionar de modo eficiente su información tiene uno de sus pilares en la correcta gestión y creación de las contraseñas que este ha de utilizar en la mayoría de los procesos y operaciones que requieren de su autenticación.

Habitualmente, cuando un usuario pretende realizar una transacción con una empresa por medio de la Red le es requerida una clave de usuario (login) y una contraseña (password). Así, en el 24% de los casos de las empresas que ofrecen sus servicios a través de Internet, el usuario ha de registrarse como tal e identificarse para acceder a dichos servicios mediante una contraseña.

Sin embargo, observando los datos estadísticos sobre usos y hábitos en Internet, se constatan carencias y lagunas en la gestión de la seguridad de la información en relación con el empleo de las contraseñas. En general, sólo el 41% de los usuarios habituales de Internet españoles utiliza claves o contraseñas como medidas de seguridad y, en particular, apenas la mitad (51,6%) utiliza dicha medida para el acceso y protección de los ficheros ubicados en los ordenadores domésticos.


58 VICEN MORALES

Sin embargo, y a pesar de ser una medida de seguridad no demasiado extendida, la importancia de la utilización y robustez de las contraseñas y claves es muy elevada.

Debemos ser cuidadosos a la hora de elegir nuestras contraseñas

Tanto en el ordenador del trabajo, como en el propio del hogar existe información y se realizan operaciones cuya repercusión económica y personal es muy importante. Esto afecta a los sistemas de las empresas y equipos informáticos, así como a la privacidad del usuario. A ninguno se nos ocurriría dejarle la llave de nuestro hogar a cualquier desconocido que nos la pidiera, incluso al perderla se procede a cambiarla inmediatamente. Algo parecido sucede con nuestras contraseñas.

A nadie se le ocurriría dejarle el nombre de usuario y contraseña de acceso a nuestros servicios bancarios por la Red a un desconocido, o siquiera, a un conocido. La repercusión de este hecho puede suponer desde que nos vacíen la cuenta suplantando nuestra persona, o en el caso de nuestro trabajo, que se apoderen de todos los datos en nuestro equipo contenidos o, incluso, puedan eliminarlos, perdiendo hasta años de trabajo por una descuidada gestión de nuestras contraseñas. Un reciente estudio elaborado entre 325 empleados señala que un 30% de trabajadores americanos guarda sus contraseñas, apuntadas en un papel cerca del propio equipo, y un 66% lo hace en un archivo en su propio ordenador o en su móvil. Estas conductas poco cuidadosas facilitan enormemente las incidencias de seguridad que, de ocurrir, pueden llegar a tener consecuencias graves.

Así, el “phishing”, uno de los fraudes más extendidos últimamente por la Red, precisamente centra su objetivo en conseguir las claves y contraseñas del usuario, para usarlas con fines espurios. Así, en el caso más habitual se suplanta la página web de una entidad bancaria o financiera (aunque pueden ser también páginas de la administración, buscadores, subastas) para de este modo, robar los datos del usuario y realizar operaciones y transacciones económicas en su cuenta bancaria.

Consecuencias de la sustracción o revelación de nuestras contraseñas

El objetivo de la sustracción de nuestras contraseñas para con ellas apropiarse de información sensible para el usuario con una finalidad de tipo económico o bien realizar otras acciones dañinas o delictivas como borrado de toda información, chantaje, espionaje industrial, etc. Las consecuencias son diversas y varían según el valor que cada usuario haya establecido para la información.

Por ejemplo, si la contraseña corresponde a la de un servicio bancario podrían sustraernos dinero de la cuenta o efectuar otras operaciones con perjuicio económico para el usuario.

Si la contraseña pertenece al ordenador de nuestro hogar podrían tomar su control o robar toda la información contenida en él: como otras contraseñas o listados de usuarios y correos electrónicos o archivos personales y documentos. Otra consecuencia podría ser el borrado completo de toda la información allí incluida.


59 VICEN MORALES

En el ámbito laboral, las consecuencias pueden llegar a ser catastróficas si un tercero suplanta nuestra identidad utilizando nuestro usuario y contraseña. Así, podría acceder a los sistemas corporativos con nuestro usuario y, bien sustraer todo tipo de información del trabajador y/o la empresa, o bien utilizar esta entrada para modificar o incluso eliminar archivos, con las consecuencias económicas, de responsabilidad jurídica y pérdidas de imagen que ello supondría.

Métodos por los que nuestras contraseñas quedan al descubierto

Los métodos para descubrir las contraseñas de un usuario son variados. En primer lugar, se basan en la utilización de la “ingeniería social”, por ejemplo utilizando el teléfono o un correo electrónico para engañar al usuario para que éste revele sus contraseñas. Dentro de este grupo destaca el fraude conocido como “phishing”. En este tipo de estafa online el objetivo consiste en obtener las contraseñas o número de la tarjeta de un usuario, mediante un e-mail, SMS, fax, etc. que suplanta la personalidad de una entidad de confianza y donde se le insta al usuario que introduzca sus contraseñas de acceso.

También es posible que el usuario se la comunique o ceda a un tercero y, por accidente o descuido, quede expuesta al delincuente, por ejemplo, al teclearla delante de otras personas. Puede ser que el atacante conozca los hábitos del usuario y deduzca el sistema que éste tiene para crear contraseñas (por ejemplo, que elige personajes de su libro favorito) o que asigne la misma contraseña a varios servicios (correo electrónico, código PIN de las tarjetas de crédito o teléfono móvil, contraseña de usuario en su ordenador, etc.

Otro método, consiste en que el atacante pruebe contraseñas sucesivas hasta encontrar la que abre el sistema, lo que comúnmente se conoce por “ataque de fuerza bruta”. Hoy en día un atacante, con un equipo informático medio de los que hay en el mercado, podría probar hasta 10.000.000 de contraseñas por segundo. Esto significa que una contraseña creada con sólo letras minúsculas del alfabeto y con una longitud de 6 caracteres, tardaría en ser descubierta, aproximadamente, unos 30 segundos. Igualmente, se aplican técnicas más sofisticadas para realizar la intrusión. Se trata de métodos avanzados que en consiguen averiguar la contraseña cifrada atacándola con un programa informático (“crackeador”) que la descodifica y deja al descubierto.

Un último grupo de técnicas se basan en la previa infección del equipo mediante código malicioso: con programas “sniffer” o “keylogger”. Un programa “sniffer” o “monitor de red” espía las comunicaciones del ordenador que tiene residente dicho malware, a través de la red, y de ellas obtiene los datos de las claves. El “keylogger” o “capturador de pulsaciones de teclado” consiste en un programa que se instala en el ordenador del usuario de modo fraudulento, y almacena en un archivo toda aquella información que se teclea en el ordenador. Más adelante dicho archivo puede ser enviado al atacante sin conocimiento ni consentimiento del usuario y, con ello, el intruso puede obtener las distintas contraseñas que el usuario ha utilizado en el acceso a los servicios online o que ha podido incluir en correos electrónicos.


60 VICEN MORALES

Recomendaciones de INTECO en relación a la gestión y establecimiento de contraseñas.

Para gestionar correctamente la seguridad de las contraseñas, desde el Instituto Nacional de Tecnologías de la Comunicación (INTECO) se recomienda a los usuarios tener en cuenta las siguientes pautas para la creación y establecimiento de contraseñas seguras:

Política y acciones para construir contraseñas seguras:

1. Se deben utilizar al menos 8 caracteres para crear la clave. Según un estudio de la Universidad de Wichita, el número medio de caracteres por contraseña para usuarios entre 18 y 58 años habituales de Internet es de 7. Esto conlleva el peligro de que el tiempo para descubrir la clave se vea reducido a minutos o incluso segundos. Sólo un 36% de los encuestados indicaron que utilizaban un número de caracteres de 7 o superior.

2. Se recomienda utilizar en una misma contraseña dígitos, letras y caracteres especiales.

3. Es recomendable que las letras alternen aleatoriamente mayúsculas y minúsculas. Hay que tener presente el recordar qué letras van en mayúscula y cuáles en minúscula. Según el mismo estudio, el 86% de los usuarios utilizan sólo letras

minúsculas, con el peligro de que la contraseña sea descubierta por un atacante casi instantáneamente.

4. Elegir una contraseña que pueda recordarse fácilmente y es deseable que pueda escribirse rápidamente, preferiblemente, sin que sea necesario mirar el teclado.

5. Las contraseñas hay que cambiarlas con una cierta regularidad. Un 53% de los usuarios no cambian nunca la contraseña salvo que el sistema le obligue a ello cada cierto tiempo. Y, a la vez, hay que procurar no generar reglas secuenciales de cambio. Por ejemplo, crear una nueva contraseña mediante un incremento secuencial del valor en relación a la última contraseña. P. ej.: pasar de “01Juitnx” a “02Juitnx”.

6. Utilizar signos de puntuación si el sistema lo permite. P. ej.: “Tr-.3Fre”. En este caso de incluir otros caracteres que no sean alfa-numéricos en la contraseña, hay que comprobar primero si el sistema permite dicha elección y cuáles son los permitidos. Dentro de ese consejo se incluiría utilizar símbolos como:! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

7. Existen algunos trucos para plantear una contraseña que no sea débil y se pueda recordar más fácilmente. Por ejemplo se pueden elegir palabras sin sentido pero que sean pronunciables, etc. Nos podemos ayudar combinando esta selección con números o letras e introducir alguna letra mayúscula. Otro método sencillo de creación de contraseñas consiste en elegir la primera letra de cada una de las palabras que componen una frase conocida, de una canción, película, etc. Con ello, mediante esta sencilla mnemotecnia es más sencillo recordarla. Vg: de la frase “Comí mucho chocolate el domingo 3, por la tarde”, resultaría la contraseña: “cmCeD3-:xLt”. En ella,


61 VICEN MORALES

además, se ha introducido alguna mayúscula, se ha cambiado el “por” en una “x” y, si el sistema lo permite, se ha colocado algún signo de puntuación (-).

Acciones que deben evitarse en la gestión de contraseñas seguras:

1. Se debe evitar utilizar la misma contraseña siempre en todos los sistemas o servicios. Por ejemplo, si se utilizan varias cuentas de correo, se debe recurrir a contraseñas distintas para cada una de las cuentas. Un 55% de los usuarios indican que utilizan siempre o casi siempre la misma contraseña para múltiples sistemas, y un 33% utilizan una variación de la misma contraseña.

2. No utilizar información personal en la contraseña: nombre del usuario o de sus familiares, ni sus apellidos, ni su fecha de nacimiento. Y, por supuesto, en ninguna ocasión utilizar datos como el DNI o número de teléfono.

1. Hay que evitar utilizar secuencias básicas de teclado (por ejemplo: ”qwerty”, “asdf”

o las típicas en numeración: “1234” ó “98765”)

2. No repetir los mismos caracteres en la misma contraseña. (ej.: “111222”).

3. Hay que evitar también utilizar solamente números, letras mayúsculas o minúsculas en la contraseña.

4. No se debe utilizar como contraseña, ni contener, el nombre de usuario asociado a la contraseña.

5. No utilizar datos relacionados con el usuario que sean fácilmente deducibles, o derivados de estos. (ej.: no poner como contraseña apodos, el nombre del actor o de un personaje de ficción preferido, etc.).

6. No escribir ni reflejar la contraseña en un papel o documento donde quede constancia de la misma. Tampoco se deben guardar en documentos de texto dentro del propio ordenador o dispositivo (ej.: no guardar las contraseñas de las tarjetas de débito/crédito en el móvil o las contraseñas de los correos en documentos de texto dentro del ordenador),

7. No se deben utilizar palabras que se contengan en diccionarios en ningún idioma. Hoy en día existen programas de ruptura de claves que basan su ataque en probar una a una las palabras que extraen de diccionarios: Este método de ataque es conocido como “ataque por diccionario”.

8. No enviar nunca la contraseña por correo electrónico o en un SMS. Tampoco se debe facilitar ni mencionar en una conversación o comunicación de cualquier tipo.

9. Si se trata de una contraseña para acceder a un sistema delicado hay que procurar limitar el número de intentos de acceso, como sucede en una tarjeta de crédito y cajeros, y que el sistema se bloquee si se excede el número de intentos fallidos permitidos. En este caso debe existir un sistema de recarga de la contraseña o “vuelta atrás”.


62 VICEN MORALES

10. No utilizar en ningún caso contraseñas que se ofrezcan en los ejemplos explicativos de construcción de contraseñas robustas.

11. No escribir las contraseñas en ordenadores de los que se desconozca su nivel de seguridad y puedan estar monitorizados, o en ordenadores de uso público (bibliotecas, cibercafés, telecentros, etc.).

12. Cambiar las contraseñas por defecto proporcionadas por desarrolladores/fabricantes.

6.4.-Auditorias de seguridad informática.

6.4.1.- Concepto. Tipos de auditorías.

La auditoría informática es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. Permiten detectar de forma sistemática el uso de los recursos y los flujos de información dentro de una organización y determinar qué información es crítica para el cumplimiento de su misión y objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de información eficientes.

Auditar consiste principalmente en estudiar los mecanismos de control que están implantados en una empresa u organización, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberían realizar para la consecución de los mismos. Los mecanismos de control pueden ser directivos, preventivos, de detección, correctivos o de recuperación ante una contingencia.

Los objetivos de la auditoría Informática son:

El control de la función informática El análisis de la eficiencia de los Sistemas Informáticos La verificación del cumplimiento de la Normativa en este ámbito La revisión de la eficaz gestión de los recursos informáticos.

La auditoría informática sirve para mejorar ciertas características en la empresa como:

Desempeño Fiabilidad Eficacia Rentabilidad Seguridad Privacidad

Generalmente se puede desarrollar en alguna o combinación de las siguientes áreas:


63 VICEN MORALES

Gobierno corporativo Administración del Ciclo de vida de los sistemas Servicios de Entrega y Soporte Protección y Seguridad Planes de continuidad y Recuperación de desastres

Tipos de Auditoría informática

Dentro de la auditoría informática destacan los siguientes tipos (entre otros):

Auditoría de la gestión: la contratación de bienes y servicios, documentación de los programas, etc.

Auditoría legal del Reglamento de Protección de Datos: Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos.

Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis de los flujo gramas.

Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y calidad de los datos.

Auditoría de la seguridad: Referidos a datos e información verificando disponibilidad, integridad, confidencialidad, autenticación y no repudio.

Auditoría de la seguridad física: Referido a la ubicación de la organización, evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta. También está referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y protecciones del entorno.

Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los sistemas de información.

Auditoría de las comunicaciones. Se refiere a la auditoria de los procesos de autenticación en los sistemas de comunicación.

Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes.

La técnica de la auditoría, siendo por tanto aceptables equipos multidisciplinarios formados por titulados en Ingeniería Informática e Ingeniería Técnica en Informática y licenciados en derecho especializados en el mundo de la auditoría.

6.4.2.- Pruebas y herramientas de auditoria informática.

Principales pruebas y herramientas para efectuar una auditoría informática

En la realización de una auditoría informática el auditor puede realizar las siguientes pruebas:

Pruebas sustantivas: Verifican el grado de confiabilidad del SI del organismo. Se suelen obtener mediante observación, cálculos, muestreos, entrevistas, técnicas de examen analítico, revisiones y conciliaciones. Verifican asimismo la exactitud, integridad y validez de la información.


64 VICEN MORALES

Pruebas de cumplimiento: Verifican el grado de cumplimiento de lo revelado mediante el análisis de la muestra. Proporciona evidencias de que los controles claves existen y que son aplicables efectiva y uniformemente.

Las principales herramientas de las que dispone un auditor informático son:

Observación Realización de cuestionarios Entrevistas a auditados y no auditados Muestreo estadístico Flujo gramas Listas de chequeo Mapas conceptuales

6.5.-Criptografía.

6.5.1- Objetivos. Conceptos. Historia. Ciencia que estudia la manera de cifrar y descifrar los mensajes para que resulte

imposible conocer su contenido a los que no dispongan de unas claves determinadas. En informática el uso de la criptografía es muy habitual, utilizándose en comunicaciones y en el almacenamiento de ficheros. En comunicaciones, se altera mediante una clave secreta la información a transmitir, que circula cifrada hasta que llega al punto de destino, donde un sistema que conoce la clave de cifrado es capaz de descifrar la información y volverla inteligible.

6.5.2- Cifrado y Descifrado. 7.-Medidas de seguridad:

7.1.- Política de seguridad.

Una política de seguridad en el ámbito de la criptografía de clave pública o PKI es un plan de acción para afrontar riesgos de seguridad, o un conjunto de reglas para el mantenimiento de cierto nivel de seguridad. Pueden cubrir cualquier cosa desde buenas prácticas para la seguridad de un solo ordenador, reglas de una empresa o edificio, hasta las directrices de seguridad de un país entero.

La política de seguridad es un documento de alto nivel que denota el compromiso de la gerencia con la seguridad de la información. Contiene la definición de la seguridad de la información bajo el punto de vista de cierta entidad.

Debe ser enriquecida y compatibilizada con otras políticas dependientes de ésta, objetivos de seguridad, procedimientos. Debe estar fácilmente accesible de forma que los empleados estén al tanto de su existencia y entiendan su contenido. Puede ser también un documento único o inserto en un manual de seguridad. Se debe designar un propietario que será el responsable de su mantenimiento y su actualización a cualquier cambio que se requiera.

7.2.- Seguridad activa y Seguridad pasiva.


65 VICEN MORALES

Seguridad activa: Tiene como objetivo proteger y evitar posibles daños en los sistemas informáticos. Podemos encontrar diferentes recursos para evitarlos como: -Una de esas técnicas que podemos utilizar es el uso adecuado de contraseñas, que podemos añadirles números, mayúsculas, etc. -También el uso de software de seguridad informática: como por ejemplo ModSecurity, que es una herramienta para la detección y prevención de intrusiones para aplicaciones web, lo que podríamos denominar como “firewall web”. -Y la encriptación de los datos. Seguridad pasiva: Su fin es minimizar los efectos causados por un accidente, un usuario o malware. Las prácticas de seguridad pasiva más frecuentes y más utilizadas hoy en día son: -El uso de hardware adecuado contra accidentes y averías. -También podemos utilizar copias de seguridad de los datos y del sistema operativo. Una práctica también para tener seguro nuestro ordenador es hacer particiones del disco duro, es decir dividirlo en distintas partes. Existen dos tipos de particiones, particiones primarias y particiones extendidas. Las particiones primarias sirven para albergar sistemas operativos y datos de programa, todo disco duro tiene al menos una partición primaria y las particiones extendidas, las cuales se utilizan para alargar el número máximo de particiones (aunque no se recomienden más de 12), puesto que una partición extendida puede contener tantas particiones primarias como se quiera. 8.-Análisis forense en sistemas informáticos:

8.1.- Funcionalidad y fases de un análisis forense. El Análisis Forense Digital es un conjunto de principios y técnicas que

comprende el proceso de adquisición, conservación, documentación, análisis y presentación de evidencias digitales y que llegado el caso puedan ser aceptadas legalmente en un proceso judicial. Por evidencia digital se entiende al conjunto de datos en formato binario, esto es, comprende los ficheros, su contenido o referencias a éstos (meta-datos) que se encuentren en los soportes físicos o lógicos del sistema atacado. Dentro del Análisis Forense Digital (en adelante AFD), podemos destacar las siguientes fases, que serán desarrolladas con más detalle a lo largo de este documento: 1ª. Identificación del incidente. 2ª. Recopilación de evidencias. 3ª. Preservación de la evidencia. 4ª. Análisis de la evidencia. 5ª. Documentación y presentación de los resultados.

8.2.- Respuesta a incidentes. Detectar un ataque a sus sistemas informáticos antes de que se produzca, o en el peor de los casos en el instante en el que comienza, siempre será mejor que tener que recuperar el sistema recurriendo a sus copias de seguridad... por qué las hace ¿verdad?. Piense que es muy importante para proteger su actividad productiva, mantener el número de incidentes razonablemente bajo. Si sus controles de seguridad son insuficientes y sufre continuos ataques a sus sistemas, éstos pueden repercutir


66 VICEN MORALES

negativamente en su actividad, tanto desde el punto de vista económico como el de imagen. Existen multitud de libros y artículos que le proporcionarán información sobre cómo asegurar sus sistemas, y dado que este aspecto queda fuera del alcance del trabajo, se van a exponer de forma breve algunas recomendaciones para asegurar sus sistemas, redes, aplicaciones y datos. Disponer de una correcta gestión de parches y actualizaciones de su hardware y software, ya que gran parte de los ataques se basan en explotar un número reducido de vulnerabilidades en sistemas y aplicaciones. Asegurar los servidores basándose en el concepto de privilegio mínimo, esto es, configurarlos para que proporcionen un número limitado de servicios y con un nivel de acceso restringido según el tipo de usuario. Además deben evitarse configuraciones por defecto, como claves predefinidas, recursos compartidos, etc. También sería interesante disponer de medios de notificación al administrador cuando se produzcan accesos a niveles de privilegio no autorizados. Mantener la seguridad de la red, configurando un filtro perimetral en modo “paranoico”, esto es, denegando cualquier tipo de acceso no autorizado expresamente, y manteniendo sólo el tráfico necesario para la actividad diaria normal. Esto incluirá instalación de cortafuegos, detectores de intrusos (IDS), monitores de red, uso de redes privadas virtuales (VPNs), uso de protocolos seguros (IPSec, SSL). Prevenir la ejecución de código malicioso (malware), utilizando programas antivirus capaces de parar este tipo de código como virus, caballos de Troya, gusanos y además “especies”. Formar e informar a sus usuarios para que conozcan, acepten y sean capaces de aplicar las directrices de su política de seguridad. Hágales ver lo que ha ocurrido en otras organizaciones o entidades, cómo han “aprendido la lección”, cómo ha afectado un incidente a sus actividades (y a sus sueldos). Informando y formando a los usuarios reducirá la frecuencia de los incidentes, sobre todo aquellos que impliquen la ejecución de código malicioso, o el saltarse la política de uso adecuado de los sistemas.

8.3.- Análisis de evidencias digitales.

Se le llama evidencia digital a cualquier registro generado o almacenado en un sistema de cómputo que pueda ser utilizado como evidencia en un proceso legal. Veamos algunas definiciones: “Cualquier información, que sujeta a una intervención humana u otra semejante que ha sido extraída de un medio informático”, HB: 171 2003 Guidelines for the Managment of IT evidence. “Una vez reconocida la evidencia digital debe ser preservada en su estado original. Se debe tener en mente que la ley requiere que la evidencia sea autentica y sin alteraciones”. Características de la evidencia digital: Es la materia prima de los investigadores, es volátil y anónima, es modificable, es decir se puede duplicar, borrar o alterar pero son parte fundamental de la escena del delito, si se compromete la evidencia se puede perder el caso administrativo o legal de la investigación forense. Es crítico recordar que la evidencia se puede duplicar y aun así esta copia es original respecto de los entornos digitales.


67 VICEN MORALES

Una vez reconocida la evidencia digital debe ser preservada en su estado original. Se debe tener en mente que la ley requiere que la evidencia sea autentica y sinalteraciones”. La cadena de custodia El propósito de la cadena de custodia es llevar un registro cronológico y secuencial de los movimientos de la evidencia que deben estar siempre documentados, esto hace fácil encontrar los responsables de la alteración. La cadena de custodia se debe iniciar al llegar al sitio del incidente. Datos críticos para llevar la cadena de custodia: Marcas de evidencia, Hora y fecha, Numero de caso, Numero de la marca de la evidencia, Firma de la persona que posee la información, quien tenía la información o por quien fue provista. Regla de oro de la investigación forense: Proteja el original: Se debe proteger el original en orden descendente de volatilidad, se deben tomar fotos de los equipos por sus diferentes lados, se deben usar medios estériles para no contaminar las pruebas y finalmente se debe usar software licenciado o preferiblemente software open source. Documentar: Se deben asegurar las pruebas haciendo correlación entre estas, se debe reconstruir el escenario teniendo en cuenta que los relojes de los sistemas pueden estas sin sincronizar. Presentación de la evidencia: Se recomienda un informe impreso de tipo ejecutivo pero no sobra un informe adicional de bajo nivel que no debe exponerse ante el juez El informe debe contener: • Resumen ejecutivo del incidente • Detallar los procedimientos utilizados • Explicar datos relevantes e hipótesis • Evitar siempre los tecnicismos • Se recomienda incluir un glosario para que otros puedan leer el informe

8.4.- Herramientas de análisis forense. Un sitio web recomendado para adquirir las herramientas de hardware podría ser www.corpsys.com y se recomienda como mínimo las siguientes: • Portátil con 1GB en RAM y 80GB en disco duro en SATA con Puerto firewire • Modulo convertidor firewire hacia IDE para portátil • Fuente de potencia externa con diferentes voltajes para portátil • Cables de potencia • Switches de potencia • Cables firewire • Convertidor de 2.5” a 3.5” IDE para portátil • Disco externo SATA y caja convertidora de IDE a USB 2.0 Computación forense Duplicación forense Herramientas dd, dd Rescue, dcfldd y ned. Aplicaciones para automatizar la recolección Herramientas EnCase, FTK, Sleuth Kit, sleuthkit: Brian Carrier's replacement to TCT. autopsy: Web front-end


68 VICEN MORALES

to sleuthkit. Herramientas _ Portátil con 1GB en RAM y 80GB en disco duro en SATA con Puerto firewire, Modulo convert firewire hacia IDE para portátil _ Fuente de potencia externa con diferentes voltajes para portátil, Cables de potencia, Switches de potencia, Cables firewire _ Convertidor de 2.5” a 3.5” IDE para portátil _ Disco externo SATA y caja convertidora de IDE a USB 2.0 Otras herramientas: Mac-robber : TCT's grave robber written in C. fenris: debugging, tracing, decompiling. wipe: Secure file deletion. MAC_Grab: e-fense MAC time utility. AIR: Steve Gibson Forensic Acquisition Utility. foremost: Carve files based on header and footer. fatback : Analyze and recover deleted FAT files. md5deep : Recursive md5sum with db lookups. sha15deep : Recursive sha1sum with db lookups. dcfldd : dd replacement from the DCFL. sdd : Specialized dd w/better performance. PyFLAG : Forensic and Log Analysis GUI. Faust : Analyze elf binaries and bash scripts. e2recover : Recover deleted files in ext2 file systems. Pasco : Forensic tool for Internet Explorer Analysis. Galleta : Cookie analyzer for Internet Explorer. Rifiuti : "Recycle BIN" analyzer Bmap : Detect & Recover data in used slackspace. Ftimes : A toolset for forensic data acquisition. chkrootkit : Look for rootkits. rkhunter : Rootkit hunter. ChaosReader : Trace tcpdump files and extract data. lshw : Hardware Lister. logsh : Log your terminal session (Borrowed from FIRE). ClamAV : ClamAV Anti-Virus Scanner. F-Prot : F-Prot Anti-Virus Scanner. 2 Hash : MD5 & SHA1 parallel hashing. glimpse : Indexing and query system. Outguess : Stego detection suite. Stegdetect : Stego detection suite. Regviewer : Windows Registry viewer. Chntpw : Change Windows passwords. Grepmail : Grep through mailboxes. logfinder : EFF logfinder utility. - Computación forense linen : EnCase Image Acquisition Tool. Retriever : Find pics/movies/docs/web-mail.

Scalpel : Carve files based on header and footer


69 VICEN MORALES

Documents

SEGURIDAD Y ALTA DISPONIBILIDAD 2º ASIR · Seguridad activa y Seguridad pasiva. ... puede ser distribuido a través de un troyano o como parte de un virus ... que anulan la seguridad