Free Security Suite 2

Transcripción

1 Free Security Suite 2 Carlos-Jorge del Arco-González y José-Luis González-Sánchez Resumen - Free Security Suite 2 es una aplicación de Software Libre cuyo objetivo fundamental es proporcionar un entorno fácilmente configurable y que permita a un usuario disponer de una serie de mecanismos que le ayuden a estar protegido frente a las amenazas presentes en la red. Free Security Suite 2 es una herramienta software que no requiere grandes conocimientos de seguridad para su configuración, de forma que una de sus premisas es la sencillez a la hora de llevar a cabo las tareas para las que está destinada. Free Security Suite 2 nace como una revisión del proyecto Free Security Suite desarrollado por el grupo de investigación GÍTACA [1] de la Universidad de Extremadura. Las investigaciones realizadas en este proyecto y su filosofía han permitido desarrollar una nueva versión actualizada y mejorada de esta herramienta, incluyendo algunos aspectos de la seguridad que no fueron tratados en la versión anterior. I. INTRODUCCIÓN El proyecto Free Security Suite 2 (FSS-2) surge como una necesidad de ofrecer a los usuarios una herramienta que les permita proteger sus sistemas frente a las amenazas, cada día más numerosas, presentes en la red. FSS-2 proporciona una herramienta libre y de uso sencillo, que garantiza la seguridad de los sistemas en los que se encuentra presente sin necesidad de disponer de grandes conocimientos de seguridad. A. Antecedentes de Free Security Suite 2 En la actualidad existen multitud de suites de seguridad que permiten proteger un sistema, en mayor o menor medida, frente a las amenazas presentes en la red. Sin embargo, estas herramientas se ofrecen al usuario previo pago de una licencia que le otorga los derechos para utilizar la misma. Este hecho supone que, en la mayor parte de los casos, el usuario opte por dejar su sistema desprotegido o utilizar este software de forma ilegal asumiendo el riesgo que esto supone. Como alternativa al pago de licencias y al uso indebido de este tipo de software, existe la posibilidad de instalar alguna de las herramientas de seguridad de uso gratuito y, en muchos casos herramientas libres, que solventan ciertos problemas con los que puede encontrarse el usuario. El problema de estas herramientas es que controlan un único aspecto de la seguridad, dejando desprotegidos otros muchos. Además, en muchos casos estas herramientas implican un proceso de configuración complicado y una interfaz de comunicación con el usuario poco adecuada si no dispone de conocimientos avanzados. El proyecto Free Security Suite [2] nace en 2004 como una medida para solucionar estos problema, ofreciendo una suite de seguridad libre que englobaba un conjunto de herramientas fácilmente configurables y que controlaban aspectos muy distintos de la seguridad. Free Security Suite se convierte en este momento en la única aplicación con estas características y ha mantenido esta singularidad a lo largo de los años. B. Problemas de Free Security Suite Como era de esperar, la aplicación FSS ha ido quedando obsoleta a lo largo del tiempo. Las versiones de las herramientas que utiliza han quedado muy por debajo de las que existen actualmente y, además, no trata algunos de los problemas de seguridad que más preocupan actualmente. Por este motivo surge FSS-2. La filosofía de este nuevo proyecto sigue siendo la misma que la de su antecesor pero vuelve a realizar un análisis de las herramientas para actualizarlas y trata algunas de las nuevas amenazas surgidas desde la aparición de FSS. II. SEGURIDAD INFORMÁTICA La existencia de personas que buscan tener acceso a las redes empresariales o de usuarios para modificar, sustraer o borrar datos, hace que el término seguridad informática haya ido adquiriendo mayor importancia a lo largo de los años. El desarrollo masivo de Internet y su característica de ser una red abierta, ha hecho que el número de personas interconectadas a la red haya aumentado de forma desproporcionada. Este aumento del número de internautas supone además el aumento del número de personas interesadas en sustraer o alterar los datos de una organización o usuario, ya sea para beneficiarse de la posesión o pérdida de estos datos o por simple diversión o curiosidad. Este aumento del número de atacantes (Figura 1) y, por tanto del número de amenazas, hace que el término seguridad informática haya ido adquiriendo mayor importancia a lo largo de los años. Figura 1 Evolución de los incidentes de seguridad recogidos por RedIRIS

2 El término seguridad informática viene determinado por una serie de cualidades que lo conforman y que determinan su grado de madurez. Estos términos son: confidencialidad, integridad, autenticidad y disponibilidad. La confidencialidad tiene relación con la protección de información frente a posibles accesos no autorizados, con independencia del lugar en que reside la información o la forma en que se almacena. La autenticidad, que es la propiedad fundamental de la información de ser confrontada en cualquier momento de su ciclo de vida contra su origen real (verdadero/falso). Especialmente importante en sistemas económicos (banca, comercio electrónico, bolsa de valores, apuestas, etc.) La integridad se refiere a la protección de información, datos, sistemas y otros activos informáticos contra cambios o alteraciones en su estructura o contenido, ya sean intencionados, no autorizados o casuales. La disponibilidad es la garantía de que los usuarios autorizados puedan acceder a la información y recursos cuando los necesiten. Una vez adquirido el conocimiento de estos términos y antes de poder comenzar la construcción de un sistema seguro, es necesario conocer aquellos factores o elementos que impiden obtener un alto grado de cada uno de ellos. A. Amenazas a la seguridad en Internet Escaneo de puertos: Es un tipo de ataque utilizado para detectar qué servicios comunes ofrece un ordenador y posibles vulnerabilidades de seguridad según los puertos que tenga abiertos. Malware: Es un software que tiene como objetivo infiltrarse en o dañar un ordenador, sin el conocimiento de su dueño y con finalidades muy diversas ya que en esta categoría se encuentra desde un troyano hasta un spyware. Es un término general muy utilizado por profesionales para definir una variedad de software o programas de códigos hostiles e intrusivos. Adware: Un programa adware es cualquier programa que automáticamente ejecuta, muestra o baja publicidad al ordenador después de instalado el programa o mientras se está utilizando la aplicación. Virus: Un virus informático es un programa que se copia automáticamente y que tiene por objeto alterar el funcionamiento normal del ordenador, sin el permiso o el conocimiento del usuario. Gusanos: Un gusano es un tipo de malware que tiene la propiedad de duplicarse a sí mismo. Los gusanos consumen los recursos del sistema hasta el punto de que las tareas ordinarias del mismo son excesivamente lentas o simplemente no pueden ejecutarse. Troyano: Se denomina troyano a un programa malicioso capaz de alojarse en ordenadores y permitir el acceso a usuarios externos, a través de una red local o de Internet, con el fin de recabar información o controlar remotamente a la máquina anfitriona. Rootkit: Un rootkit es una herramienta, o un grupo de ellas que tiene como finalidad esconderse a sí misma y esconder a otros programas, procesos, archivos, directorios y puertos que permiten al intruso mantener el acceso a un sistema para, remotamente, acometer acciones o extraer información sensible, a menudo, con fines maliciosos o destructivos. SPAM: Se llama spam, correo basura o sms basura a los mensajes no solicitados, habitualmente de tipo publicitario, enviados en cantidades masivas que perjudican de una u otra manera al receptor. Phishing: El término phishing hace referencia un tipo de delito encuadrado dentro del ámbito de las estafas caracterizado por la adquisición de información confidencial de forma fraudulenta. El método utilizado para realizar este tipo de estafas consiste en hacerse pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica que lleva a cabo un redireccionamiento a una página web que, auque posee el mismo aspecto que la web original, es una web totalmente fraudulenta. Este tipo de estafa también es común a través de llamadas telefónicas. Exploit: Un exploit es un programa informático que intenta forzar alguna deficiencia o vulnerabilidad (bug) de otro programa. El fin de un exploit puede ser la destrucción o inhabilitación del sistema atacado, aunque normalmente trata de violar las medidas de seguridad para poder acceder al mismo de forma no autorizada y emplearlo en beneficio propio o como origen de otros ataques a terceros. Spyware: Un spyware es una aplicación que intenta recopilar información acerca de una persona u organización sin su conocimiento. La función más común que tienen estos programas es la de recopilar información sobre un usuario y distribuirlo a empresas publicitarias u otras organizaciones interesadas. La gráfica de la Figura 2, presenta la tipología de los incidentes registrados por RedIRIS [3] en el año La gráfica muestra como los escaneos siguen teniendo gran protagonismo (la mayoría de los casos se trata de problemas mayores de toda índole, pero la falta de información por parte de las empresas afiliadas a RedIRIS es la causa de que se engloben como Sondeos ). También es elevado el número de incidentes clasificados como Uso no Autorizado', que corresponden en su mayoría a casos de Phishing albergados en máquinas de ISPs Españoles y de problemas relacionados con inyección de código Web.

3 Figura 2. Incidentes de seguridad registrados por RedIris. B. Por qué utilizar Software Libre y el Sistema Operativo GNU/Linux. FSS-2, al igual que FSS, es una herramienta de Software Libre licenciada bajo GPL. Las razones que impulsan a continuar desarrollando una herramienta libre son ahora las mismas que cuando surgió FSS. El software libre permite un uso libre del mismo permitiendo estudiarlo, modificarlo y distribuirlo libremente. Esto implica que el proyecto continúe vivo a lo largo de los años ya que cualquier otra persona con los conocimientos adecuados podrá modificarlo para que siga siendo funcional dentro de un tiempo determinado. Este hecho junto con el de ofrecer a los usuarios una herramienta que les permita mantener la seguridad de sus sistemas de forma gratuita hacen que Free Security Suite siga apostando por este tipo de software. La elección del sistema operativo va más allá del hecho de que GNU/Linux sea un sistema operativo libre e intenta seguir la propia lógica del propósito de una suite de seguridad. El propósito principal de FSS-2 es proporcionar al usuario una herramienta que le proporcione el mayor grado de seguridad posible y, por tanto, es lógico utilizar el sistema operativo que presente mejores condiciones de seguridad. Para fundamentar esta elección se ha llevado a cabo el análisis de una serie de informes de seguridad desarrollados por INTECO [4] y Kaspersky Lab [5] que muestran datos sobre la cantidad de malware presente en los distintos sistemas operativos. Estos informes desvelan datos tan reveladores como los que se muestran en las siguientes figuras. La Figura 3 muestra la relación existente entre la cantidad de malware detectado por Kaspersky Lab en los sistemas operativos de Microsoft con respecto al malware detectado en otras plataformas en En 2007, Kaspersky Lab detectó malware, adware y programas potencialmente maliciosos para 43 plataformas y sistemas operativos distintos. Agrupando los 43 sistemas operativos y plataformas que sufrieron ataques según un factor común, tal como el sistema operativo que es atacado en última instancia, Kaspersky Lab ofrece los siguientes datos: Figura 3. Malware en función del sistema operativo Figura 4 Cantidad de malware,adware y programas potencialmente maliciosos detectados por Kaspersky Lab en las distintas plataformas en 2007 Esta agrupación de Kaspersky Lab nos permite comprobar que el sistema operativo con menor número de amenazas es el de Mac con sólo un 0,015% del total. Los sistemas del tipo Unix quedarían en un segundo lugar con sólo el 0,254% del total de las amenazas y en un rotundo primer lugar estarían los sistemas operativos del tipo Windows que poseen el 99,660% del total de las amenazas detectadas. El elevado número de amenazas existentes para el conjunto de sistemas operativos de Microsoft es tal, que el problema de la seguridad para los usuarios es cada vez más preocupante, llegando a tal punto que 7 de 10 usuarios domésticos de Windows tienen presente en su sistema algún tipo de software malintencionado. Pero para ser más consecuentes con esta afirmación vamos a analizar ahora dos informes generados por el Instituto Nacional de Tecnologías de la Comunicación (INTECO) en Junio de 2007 y Abril de 2008 que evalúan el nivel de seguridad que muestran los hogares españoles. Antes de sacar conclusiones precipitadas de los datos ofrecidos por INTECO, es importante tener en cuenta que en la muestra de equipos analizados para llevar a cabo el primero de los dos informes, el 99% de los equipos tenían instalados un sistema operativo de Microsoft mientras que el 1% estaba dividido entre GNU/Linux y Mac. Para el segundo informe la muestra presentaba un 98,4% de equipos con un sistema operativo de Microsoft, un 1,1% con GNU/Linux y un 0,5% con Mac. Por tanto, hay que tener en cuenta que, aunque estos datos sirven para obtener algunas conclusiones, no deben tomarse a la ligera y es necesario analizarlos debidamente. Los datos ofrecidos por INTECO para el primer y segundo informe se muestran en las figuras 5 y 6 respectivamente.

4 como una revisión del proyecto Free Security Suite desarrollado en el Los objetivos que persigue por tanto FSS-2 son los siguientes: Las herramientas ofrecidas por FSS-2 deben pertenecer al conjunto del software libre. FSS-2 debe estar constituida por herramientas de código abierto y a ser posible, licenciadas bajo GPL. El uso de FSS-2 y las herramientas que la componen no deben suponer coste económico alguno para el usuario. Figura 5. Datos ofrecidos por INTECO en un informe acerca de la seguridad de los hogares españoles realizado en Junio de 2007 La plataforma sobre la que se desarrolla FSS-2 será GNU/ Linux y más concretamente en su distribución Debian y las basadas en ella. La configuración de la aplicación y de las herramientas que la componen debe ser muy sencilla para facilitar el trabajo al usuario. La aplicación irá dirigida a usuarios domésticos sin excesivos conocimientos informáticos, por lo que las herramientas que supongan excesivos conocimientos por parte del mismo no serán incluidas en la aplicación. B. Solución propuesta e implementación Figura 6. Datos ofrecidos por INTECO en un informe de seguridad acerca de la seguridad de los hogares españoles en Abril de 2008 Como se puede apreciar, tanto en el primer como en el segundo informe, ninguno de los equipos que tenían instalado un sistema operativo GNU/Linux o Mac OS mostraban la presencia de software malintencionado. Estos datos no deben inducir a pensar que sólo exista malware para los sistemas operativos de Microsoft y, por supuesto, es falso que los ordenadores con sistemas operativos Mac o Linux estén libres de amenazas o ataques ya que, como se vio en el informe presentado por Kaspersky Lab, está demostrado que existen programas malintencionados tanto en GNU/Linux como en Mac. Utilizando los datos vistos hasta ahora, se puede deducir que los sistemas operativos GNU/Linux y MacOS presentan unas condiciones de seguridad por encima de los demás. La elección, por tanto, queda entre estos dos sistemas. De acuerdo a la filosofía de FSS-2, el hecho de que GNU/Linux sea un sistema libre hace que finalmente sea esta la plataforma sobre la que se desarrollará nuestra suite de seguridad. A. Objetivos III. DESCRIPCIÓN DEL PROYECTO El objetivo principal de FSS-2 es paliar la falta de seguridad con la que puede encontrarse un usuario doméstico. Esta falta de seguridad deriva de la inexistencia de soluciones que permitan a un usuario sin demasiados conocimientos asegurar su sistema de forma adecuada sin que ello suponga un coste económico. FSS-2 trata de solucionar este problema y surge Uno de los objetivos principales de FSS-2 es ofrecer soluciones que permitan reforzar la seguridad de un sistema en el mayor número de aspectos posibles. Como método para conseguir este objetivo se ha llevado a cabo un análisis de las distintas herramientas de Software Libre presentes en la actualidad y se ha incluido en la suite aquellas que se considerarán más adecuadas para los objetivos del proyecto. Antirootkit Un rootkit es una herramienta, o un grupo de ellas que tiene como finalidad esconderse a sí misma y esconder a otros programas, procesos, archivos, directorios, logs, y puertos que permiten al intruso mantener el acceso a un sistema para remotamente acometer acciones o extraer información sensible, a menudo con fines maliciosos o destructivos. El funcionamiento de un rootkit instalado en un sistema consiste en efectuar las modificaciones necesarias para poder llevar a cabo las tareas que tiene programadas sin que su presencia pueda ser detectada. Fundamentalmente, un rootkit trata de encubrir otros procesos que se están ejecutando en el sistema y que intentan llevar a cabo acciones maliciosas en él. Los rootkits, al estar diseñados para pasar desapercibidos, no pueden ser detectados. Si un usuario intenta analizar el sistema para ver qué procesos están ejecutándose, el rootkit mostrará información falsa, mostrando todos los procesos excepto él mismo y los que está ocultando.

5 2. Métodos de detección Los métodos de detección de rootkits pasan por llevar a cabo un análisis de los archivos del sistema para determinar si éstos han sido o no modificados. Existen maneras de diferenciar los ejecutables legítimos de los troyanizados mediante el uso de algoritmos de checksum. Dichos algoritmos, como el MD5 checksum, garantizan que la única forma de que el resultado de la suma sea igual para dos archivos es que los dos archivos sean perfectamente idénticos. El resultado de la suma de comprobación es una cadena de texto generada mediante un algoritmo matemático, la cual será comparada con una que ya se tenía o que se proporciona y que es considerada como verdadera. Si el resultado de esa comprobación es distinto significa que el archivo en cuestión ha sido modificado y, por tanto, es digno de toda sospecha, ya sea porque un atacante ha realizado cambios sobre él o porque no se ha descargado correctamente de Internet. Esta medida de protección sólo será útil si el rootkit no estaba presente en el sistema en el momento en el que se tomen las muestras legitimas de los programas que se quieran proteger. Por tanto, es conveniente llevar a cabo el proceso de toma de muestras en el momento en que se lleve a cabo una instalación limpia del sistema operativo. En caso de que la prevención no se implemente a tiempo, o si se sospecha la existencia de rootkits en el sistema, se puede usar otro tipo de herramientas de detección que permiten detectar binarios modificados por un rootkits en nuestro sistema. 3. Solución propuesta Tripwire: Tripwire es un comprobador de integridad para ficheros y directorios de sistemas Unix. Compara un conjunto de estos objetos con la información almacenada previamente en una base de datos. Chkrootkit: Permite la localización de rootkits conocidos, realizando múltiples pruebas en las que busca entre los ficheros binarios modificados por dicho rootkit. RKHunter: Permite llevar a cabo la detección de rootkits, backdoors y exploits locales mediante la comparación de los hashes MD5 de ficheros importantes con su firma correcta en una base de datos en línea. Todas estas herramientas son ejecutadas desde la línea de comandos, por lo que se han desarrollado una serie de entornos gráficos que permiten su ejecución de forma más intuitiva y permite llevar a cabo la actualización automática de las herramientas. Estos entornos pueden verse en las Figura 7, 8 y 9 respectivamente. Figura 7. Ventana principal del entorno de ejecución de Chkrootkit. Figura 8. Ventana principal del entorno de ejecución de RKHunter. Figura 9. Ventana principal del entorno de ejecución de Tripwire. Todas estas aplicaciones son accesibles desde la ventana principal de la suite de seguridad FSS-2 como se observa en la Figura 10.

6 para el cifrado simétrico. El mensaje que se esté enviando en el momento, se cifra usando la clave y enviándolo al destinatario. Ya que compartir una clave simétrica no es seguro, la clave usada es diferente para cada sesión. Figura 10. Pantalla de FSS-2 que permite el acceso a las aplicaciones Chkrootkit, RKHunter y Tripwire. Cifrado La criptografía es el arte o ciencia de cifrar y descifrar información mediante el uso de técnicas que hagan posible el intercambio de mensajes de forma segura de manera que sólo puedan ser comprensibles para las personas a quienes van dirigidos. 2. Métodos de cifrado Cifrado simétrico: La criptografía simétrica es un método criptográfico que utiliza la misma clave para el cifrado y descifrado de datos. Las dos partes que se comunican mediante el cifrado simétrico deben estar de acuerdo en la clave que se va a utilizar para realizar este proceso. Una vez de acuerdo, el emisor cifra el mensaje utilizando la clave acordada, lo envía al destinatario, y éste lo descifra haciendo uso de la misma clave. Cifrado asimétrico: La criptografía asimétrica es un método criptográfico que usa un par de claves, una pública y otra privada, para el envío cifrado de mensajes. Cada uno de los individuos que intervienen en el proceso de comunicación debe poseer un par de claves. La clave pública de un determinado individuo será utilizada por aquellas personas que quieran enviarle a éste un determinado mensaje de forma cifrada. Esta clave no es secreta y únicamente servirá para cifrar los mensajes que vayan dirigidos a esta persona. Por tanto, el poseedor de una clave pública debe hacerla llegar a aquellas personas que desee que puedan enviarle mensajes de forma cifrada. La clave privada por el contrario debe ser almacenada de forma segura y sólo debe ser accesible por su dueño. Esta clave servirá para descifrar los mensajes que vayan dirigidos a esta persona y que hayan sido cifrados previamente con su clave pública. Cifrado híbrido: Un sistema de cifrado híbrido usa tanto un cifrado simétrico como uno asimétrico. Funciona mediante el uso de un cifrado de clave pública para compartir una clave 3. Solución propuesta GnuPG es el proyecto de GNU de la implementación completa y libre de OpenPGP, estándar definido por RFC4880. GnuPG permite encriptar sus datos y comunicaciones, cuenta con un versátil sistema de gestión de claves así como de los módulos de acceso para todos los tipos de directorios de clave pública. GnuPG se utiliza desde la línea de comandos por lo que se ha incluido en la suite un gestor gráfico que permite al usuario aprovechar al máximo las posibilidades que GnuPG ofrece de una forma mucho más sencilla. La Figura 11 muestra el medio de acceso de FSS-2 a la aplicación GPA, además de un medio de acceso a un editor de textos para la construcción de los mensajes que posteriormente se cifrarán. Figura 11. Pestaña de FSS-2 que permite el acceso a GPA Cifrado de sistemas de ficheros Una herramienta para el cifrado de sistemas de ficheros permite almacenar información en un sistema de forma que únicamente sea inteligible para la persona que la almacenó. Estas herramientas actúan de forma transparente al usuario almacenando los datos de forma cifrada y descifrándolos en el momento en que se desea acceder a ellos. Para ello es necesario que el usuario cree, mediante la herramienta de cifrado de sistema de ficheros, un almacén de datos que le permita almacenar sus datos de forma cifrada. ScramDisk: ScramDisk proporciona una forma sencilla para llevar a cabo el cifrado y descifrado de ficheros en volúmenes de datos y particiones completas. Esta herramienta

7 actúa de forma totalmente transparente al usuario. Permite además la creación de volúmenes y particiones cifradas así como su montaje (para comenzar a utilizarla) y desmontaje (para dejar de hacerlo). La Figura 12 muestra la ventana principal de ScramDisk que permite visualizar las distintas funcionalidades que permite esta aplicación. Navegador Figura 12. Ventana principal de ScamDisk Técnicamente, un navegador Web es un programa cliente que utiliza HTTP (Hypertext Transfer Protocol) para hacer solicitudes a servidores web conectados a Internet. La funcionalidad básica de un navegador web es permitir la visualización de documentos de texto, generalmente escritos en lenguaje HTML que, posiblemente, contengan recursos multimedia incrustados. Estos documentos, comúnmente denominados páginas web, poseen hipervínculos que enlazan una porción de texto o una imagen a otro documento de forma que el navegador muestre la información asociada a ese hipervínculo como si de un único documento se tratara. Además de esta funcionalidad, los navegadores web incorporan algunas medidas de seguridad que hacen que algunos sean más vulnerables que otros. Firefox: Mozilla Firefox es un navegador web desarrollado por la Corporación Mozilla y un gran número de voluntarios externos. Firefox comenzó como un derivado del Mozilla Application Suite, al que terminó por reemplazar como el producto bandera del proyecto Mozilla, bajo la dirección de la Fundación Mozilla. Su código fuente es software libre, publicado bajo una triple licencia GPL/LGPL/MPL. Se basa en el motor de renderizado Gecko, el cual se encarga de procesar el contenido de las páginas web, desarrollado en su mayor parte utilizando el lenguaje C++. Incorpora bloqueo de ventanas emergentes, navegación por pestañas, marcadores dinámicos, compatibilidad con estándares abiertos, y un mecanismo para añadir funciones mediante extensiones, además de otras características que lo convierten en uno de los 2 navegadores web más importantes en la actualidad. Antiphishing Phishing es un término informático que denomina un tipo de delito encuadrado dentro del ámbito de las estafas, y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta. En esta modalidad de fraude, el usuario malintencionado envía millones de mensajes falsos que parecen provenir de sitios Web reconocidos o de confianza como podría ser un banco o caja de ahorros. Dado que los mensajes y los sitios Web que envían estos usuarios parecen oficiales, logran engañar a muchas personas haciéndoles creer que son legítimos. La gente confiada normalmente responde a estas solicitudes de correo electrónico con sus números de tarjeta de crédito, contraseñas, información de cuentas u otros datos personales. Aunque existen unas pautas de comportamiento para evitar este tipo de fraudes, en muchos casos no son suficientes y se requiere disponer de una herramienta que permita disponer de un mayor grado de seguridad. La herramienta incluida en la suite de FSS-2 es el propio antiphishing que proporciona el navegador Firefox. Firewall Un firewall, es un elemento de hardware o software utilizado en una red de ordenadores para controlar las comunicaciones, permitiendo o denegando las transmisiones de una red a la otra. Un Firewall es el mecanismo básico de prevención contra amenazas por intrusión externa y sus principales funciones son el control de acceso (tanto de entrada como de salida), la autentificación de usuarios, el registro de eventos, la auditoría y la generación de alarmas ante la posibilidad de que ocurra un ataque o suceda algún problema en el transito de los datos.

8 Figura 13. Esquema típico de firewall para proteger una red local conectada a Internet a través de un router. Firestarter: Firestarter es una herramienta de cortafuegos personal libre y de código abierto que usa el sistema (iptables/ipchains) Netfilter incluido en el kernel Linux. Su interfaz es muy sencilla y no requiere de grandes conocimientos para configurarla de forma adecuada. ClamAV: ClamAV es una herramienta antivirus licenciada bajo GPL que utiliza una base de datos que es actualizada periódicamente. ClamAV se ejecuta en modo comando pero dispone de una serie de entornos gráficos que permiten utilizarlo de forma cómoda para el usuario. Es una herramienta multi-hilo, de rápida ejecución y escrita en el lenguaje de programación C. Además soporta una gran cantidad de formatos de archivos. KlamAV es el entorno gráfico seleccionado para utilizar el antivirus ClamAV de forma gráfica. Figura 15. Ventana principal de KlamAV Filtrado de contenidos Antivirus Figura 14. Ventana principal de Firestarter Un virus informático es un programa que se copia automáticamente y que tiene por objeto alterar el funcionamiento normal de un ordenador sin el permiso o el conocimiento del usuario. Un virus es capaz de infectar otros programas modificándolos para que incluyan una copia, quizá evolucionada, de él mismo. Los virus, habitualmente reemplazan archivos ejecutables por otros infectados con el código de éste y pueden destruir de manera intencionada los datos almacenados en un ordenador. Un antivirus es una herramienta diseñada para detectar este tipo de programas comparando el código de cada archivo con una base de datos que contiene los códigos de los virus conocidos, por lo que es muy importante mantener esta base de datos actualizada. Un filtro de contenido es un conjunto de elementos software desarrollado y optimizado para controlar el contenido al que es posible acceder a través de Internet. Mediante la configuración del filtro de contenidos es posible determinar aquellos contenidos que serán accesibles desde la red que se está filtrando. Para ello se utilizan distintos métodos como puede ser el filtrado por URL, por tipo MIME, por extensión de archivos, por palabras presentes en el contenido, etc. DansGuardian es una herramienta de código abierto licenciada bajo GPL para el filtrado de contenidos en Internet. Utiliza varios métodos de filtrado entre los que se incluyen el filtrado por URL y dominio, filtrado de frases y expresiones regulares, filtrado por extensión, filtrado por dirección IP, etc. Es totalmente configurable y permite al usuario adaptar esta herramienta a sus necesidades. El defecto principal que presenta Dansguardian es que debe utilizarse en modo comando y su configuración se basa en una serie de ficheros de texto que deben ser modificados para adaptar el filtro a las necesidades de cada usuario. Esta situación hace que, en muchos casos, este filtro de contenidos sufra el rechazo de aquellos usuarios que no poseen demasiados conocimientos. Como medida para solucionar este problema hemos

9 desarrollado una interfaz gráfica que permita configurar los aspectos más importantes de Dansguardian, así como actualizar su lista negra y seleccionar aquellas partes de ella que desean utilizarse. Este entorno gráfico permite además una configuración por grupos de usuarios de forma que cada usuario será filtrado de una forma distinta dependiendo del grupo al que pertenezca. El filtrado de Dansguardian no se reduce únicamente al sistema donde está instalado y permite filtrar aquellos equipos conectados a la red utilizando éste como pasarela. Para facilitar la configuración de Dansguardian para que lleve a cabo el filtrado por grupos, se ha modificado parte del código de este programa de forma que no sea necesaria ninguna configuración especial más allá de modificar un fichero, para poder utilizar el filtrado por grupos. Las Figuras 16, 17 y 18 muestran algunas de las ventanas de configuración que ofrece la interfaz de configuración de Dansguardian. Figura 18. Ventana de configuración de las opciones de filtrado de un grupo concreto. Anti-Spam Se llama spam, correo basura o sms basura a los mensajes no solicitados, habitualmente de tipo publicitario, enviados en cantidades masivas que perjudican de una u otra manera al receptor. Aunque se puede hacer por distintas vías, la más utilizada entre el público en general es la basada en el correo electrónico. Figura 16. Ventana principal del entorno gráfico desarrollado para Dansguaridan En la actualidad existen muchas técnicas que permiten combatir el spam de forma más o menos efectiva. Entre las distintas soluciones existentes, una de las que mejores resultados obtiene son los filtros Bayesianos. Un filtro Bayesiano es un elemento software que utiliza una aproximación matemática basada en el spam y ham (correo válido) conocidos. Un filtro de este tipo lee todos los correos que le son enviados, analizando su contenido para determinar si deben ser considerados como spam o como ham (válidos). Para que un filtro de este tipo funcione es necesario un proceso de aprendizaje en el que se le mostrarán ejemplos de correos que deben ser considerados como spam y correos considerados como ham. Los resultados ofrecidos por este tipo de filtros son realmente buenos una vez se les ha enseñado correctamente llegando incluso a alcanzar porcentajes por encima del 99% de aciertos. Figura 17. Ventana de Configuración de Grupos del entorno gráfico de Dansguardian. FSS-2 ofrece dos alternativas a la hora de instalar un filtro Bayesiano. La elección de estas herramientas se ha hecho teniendo en cuenta los resultados ofrecidos y la facilidad a la hora de llevar a cabo el proceso de aprendizaje del filtro. Además, se han tenido en cuenta las preferencias generales de los usuarios a la hora de seleccionar un cliente de correo, que será, en última instancia, el encargado de enviar los datos al

10 filtro para que éste pueda llevar a cabo el filtrado. Las preferencias de los usuarios respecto a los clientes de correo pueden verse en la Figura 19. REFERENCIAS [1] GÍTACA: [2] Free Security Suite: [3] RedIRIS: [4] INTECO: [5] Kaspersky Lab: Informes de Kaspersky Lab: Figura 19. Porcentaje de utilización de los diferentes clientes de correo en los sistemas Linux. En la gráfica se puede ver cómo ThunderBird es el cliente de correo más utilizado por los usuarios, seguido de Evolution y KMail. Las herramientas anti-spam ofrecidas por FSS-2 van dirigidas a ThunderBird, que posee el mayor número de usuarios e incorpora de serie una solución anti-spam; y a KMail, debido a que los resultados ofrecidos por la herramienta CRM114 (fácilmente integrable con KMail) son realmente destacables. FSS-2 ofrece una forma sencilla de acceder a cada uno de los clientes de correo que ofrece. La Figura 20 muestra la ventana de FSS-2 a través de la cual se puede acceder a estos clientes. Como puede observarse en la figura, existe también un acceso al cliente de correo Evolution. Este acceso se ha incorporado a FSS-2 debido a que Evolution incorpora una herramienta anti-spam en sus últimas versiones, por lo que es posible que el usuario prefiriera utilizar este cliente de correo aunque no se ofrezca como solución inicial de FSS-2. Figura 20. Ventana de FSS-2 para acceder a los distintos clientes de correo.