Montaña Castuera Toro Javier Carmona Murillo y José Luis González-Sánchez (jlgs@unex.

Transcripción

1 Free Security Suite: Sistema de navegación libre que aporta mecanismos de seguridad fácilmente configurables y portables(*) Montaña Castuera Toro (moncastoro@yahoo.es), Javier Carmona Murillo (jacarmur@hotmail.com) y José Luis González-Sánchez (jlgs@unex.es) Universidad de Extremadura. Escuela Politécnica. Departamento de Informática. Avda. de la Universidad s/n Cáceres Resumen-El proyecto Sistema de navegación libre que aporta mecanismos de seguridad fácilmente configurables y portables tiene como objetivo fundamental la creación de una herramienta, dedicada a paliar la falta de seguridad en ordenadores de usuarios particulares, mediante un conjunto de aplicaciones configurables y utilizables en el transcurso de la conexión a Internet. Actualmente existen distintas suites de seguridad tanto para empresas como para todo tipo de usuarios, pero siempre suponen un coste para éstos. Centrándonos en los usuarios particulares, hemos desarrollado una suite, libre, de código abierto, sin coste alguno y configurable que hemos llamado Free Security Suite(FSS). FSS es una herramienta novedosa porque es independiente del navegador pero accesible desde éste. Para ello se ha utilizado la arquitectura de una suite de navegación por Internet bastante difundida como es Mozilla, y se ha desarrollado una extensión para ésta en donde se incluye FSS. Palabras Claves-Software Libre, Código de fuente abierta, Seguridad, Privacidad, Suites. 1. Antecedentes I. INTRODUCCIÓN La carencia de ofertas sobre Suites de Seguridad en el mercado que satisfagan las necesidades de seguridad de un usuario particular impulsa a que una idea, utópica hace algunos años, comience a mostrar un abanico de posibilidades para que éste cubra sus necesidades, manteniendo la posibilidad de obtener servicios de forma libre. Además de la necesidad del usuario de mantener la seguridad en su sistema, es necesario considerar requerimientos adicionales como pueden ser la gratuidad del software, su facilidad de uso y la posibilidad de modificarlo para que éste se comporte de la manera deseada. Para aportar mecanismos que provoquen un cambio a este rumbo es inevitable proponer una nueva suite de seguridad como complemento a las existentes en el mercado. Las suites que actualmente se usan tienen la ventaja del prestigio que supone ser creadas por empresas relacionadas con la seguridad informática. Como ejemplos de éstas se pueden citar NeaTSuit (Trend Micro), McAfee System Protección (Network Associates), etrust Antivirus (Computer Associates), Antivirus Enterprise Edition(Symantec), Panda Platinum Internet Security (Panda), Antivirus-MailMonitor-SAV Interface- Enterprise Manager (Sophos). Estas empresas, que presumiblemente creen que su producto es el mejor, tienen un punto débil. La mayoría de las suites comerciales fallan en la cobertura de la plataforma. La carencia de su soporte sobre sistemas Linux las limita a sólo un sector de usuarios. Esto conlleva a la existencia de suites o bien para un sistema operativo concreto u otro. Además de este inconveniente, destacar que la mayoría también son suites con software propietario, impidiendo así que el usuario introduzca mejoras personalizadas a su sistema y, sobre todo, que la adquisición de éste suponga un coste. Por tanto, el cliente no puede disponer de una suite de seguridad libre y, para poder establecer un nivel de seguridad que le permita la conexión de su ordenador a redes de manera segura, debe instalarse una serie de aplicaciones individuales, en la mayoría de los casos sin demasiada información sobre ellas. Para suplir este déficit de suites, para el tipo de usuarios anteriormente mencionados en Linux, ofrecemos una suite libre y configurable. Para poder afrontar la creación de esta nueva suite ha sido necesario limitar el área de acción de la misma, así como las herramientas a utilizar. La conjunción de necesidades del usuario, realizados en un estudio preliminar, lleva al uso de soluciones que están emergiendo en el mundo de las nuevas tecnologías. Estas son el uso de Software Libre y la utilización de herramientas de seguridad que permitan un mínimo de control por parte del usuario durante la navegación. 2. Por qué Software Libre? La aparición de las nuevas metodologías de desarrollo Free Software y Open Source, aumentan las posibilidades de

2 desarrolladores y de los propios usuarios para la creación y uso de este tipo de software. Aunque existen otros tipos de metodologías, nos ocuparía bastante tratar cada una de ellas, por ello nos centraremos en distinguir sobre las más utilizadas, las dos anteriormente mencionadas. Para que no haya equívoco entre estas dos vertientes de desarrollo lo mejor para el lector es definir cada una de ellas. La primera, Free Software, tiene por objetivo lograr software libre de restricciones y de propiedad intelectual, cree en las mejoras técnicas y trabaja a favor de la comunidad. La segunda, Open Source, trabaja para conseguir la mayoría de los mismos objetivos, pero basa sus argumentos en los méritos económicos y técnicos de hacer el código fuente disponible libremente, en lugar de los principios morales y éticos que se manejan en la metodología de Software Libre. Ambos se refieren al modelo de desarrollo y de distribución de código desarrollado cooperativamente. Al contrario que otras metodologías en el que el código del sistema o de cada uno de los programas es un secreto celosamente guardado por la empresa que lo produce, éste es puesto a disposición pública, para que se pueda modificar, mejorar o corregir. Bajo este esquema está desarrollado tanto Linux como la mayor parte de los programas que lo complementan. Decidir las pautas que engloban la definición de Software Libre es un poco complejo, debido a las consideraciones para etiquetar código como libre. Primero, y lo más importante, es no confundir software libre con software gratis, no debe prevalecer el coste sobre la libertad que representará su uso. Además, el modelo de negocio que plantea este tipo de software se fundamenta en los servicios profesionales de adaptación, soporte y mantenimiento. La forma de generar ingresos por parte de las empresas que apuestan por el software libre procede principalmente de las adaptaciones de dicho software a las necesidades específicas del cliente y del soporte profesional que ofrecen a sus sistemas, es decir, se hacen desarrollos y proyectos a medida. Para englobar, por tanto, todas las características que presenta este tipo de código nos centraremos en la definición que aporta el proyecto GNU. La definición de software libre que ofrece el proyecto GNU es la siguiente: El Software Libre se refiere a la libertad de los usuarios para ejecutar, copiar, distribuir, estudiar, cambiar y mejorar el software. De modo más preciso, se refiere a cuatro libertades de los usuarios del software: La libertad de usar el programa, con cualquier propósito. La libertad de estudiar cómo funciona el programa, y adaptarlo a sus necesidades. El acceso al código fuente es una condición previa para estudiar su funcionamiento. La libertad de distribuir copias, con lo que se puede ayudar a los demás. La libertad de mejorar el programa y hacer públicas las mejoras a los demás, de modo que toda la comunidad se beneficie. En este caso el acceso al código fuente también es un requisito previo para esto. El movimiento GNU fue iniciado por el programador Richard Stallman hace más de una década. Stallman decidió crear un tipo de software del que nadie pudiera apropiarse como oposición al modelo del software propietario, impuesto tras la prohibición a los programadores de las empresas norteamericanas de compartir con la competencia el código fuente de los productos que desarrollaban. El movimiento GNU se extendió por Internet y culminó con la creación del sistema operativo Linux, desarrollado por Linus Torvals, un estudiante finlandés y elaborado por miles de programadores en todo el mundo. Esta definición es contrastada con los términos de la Licencia Pública GNU, disponible en su versión en Inglés y en castellano en Aunque la Free Software Foundation [1] y la Open Source Initiative [2] trabajan para ayudar al usuario, en general, no son la misma cosa. La Free Software Fundation usa una licencia específica y proporciona el software bajo esa licencia. La Open Source Initiative busca un soporte para todas las licencias de código abierto, incluyendo la licencia de la Free Software Foundation. La forma en que cada uno defiende hacer el código fuente disponible divide a los dos movimientos, pero el hecho que dos grupos ideológicamente diversos estén trabajando hacia la misma meta presta creencia a los esfuerzos de cada uno. Independientemente de la corriente que provenga el Software ("Open-Source" o "GNU"), ambos ofrecen productos libres y de calidad a los usuarios finales. 3. Aspectos generales de la seguridad Debido al desarrollo que ha experimentado la informática, las comunicaciones y la utilización de la información en los últimos años, el problema de la seguridad se ha visto agravado, peligrando la idea de una seguridad global. Este inconveniente ha repercutido socialmente hasta tal extremo que organismos e instituciones, y muchas empresas, limitan su acceso o incluso no se conectan por temor a la falta de seguridad, impidiendo con ello que no se desarrollen sistemas y aplicaciones que tengan que ver con el comercio u otros mecanismos de intercambio de datos sensibles por Internet. Para evitar esto existen técnicas y procedimientos que permiten afrontar de forma eficaz la mejora de la seguridad. En el lado del usuario final, el riesgo se dispara exponencialmente debido al auge de la banda ancha. La mayoría de las conexiones mediante ADSL conlleva una dirección IP fija para cada equipo. A diferencia de las comunicaciones mediante módem en la que dicha dirección varía en cada comunicación. Por tanto, con la banda ancha el PC queda identificado por un código único y si no toma ninguna medida de protección en cualquier momento puede ser objeto de un ataque. La seguridad informática es un tema que está de moda hoy en día y además es uno de los sectores en aumento si nos hacemos referencia a lo publicado por expertos. Este tema es

3 muy sensible, y el usuario no debe decantarse por ninguno de los extremos, ser muy confiado con el nivel de seguridad que se tiene ni llegar a un punto de desconfianza de todo y todos. Para intentar garantizar un nivel de seguridad aceptable se deben conocer las premisas que cumple un sistema seguro, que son: la disponibilidad, la integridad, la privacidad y la autenticidad de los datos. Estas condiciones son difíciles de lograr para cualquier tipo de usuario ya que un sistema totalmente seguro es prácticamente imposible. Quién no se ha olvidado alguna vez guardar en una copia de seguridad algún documento o algún programa importante?, corriendo así con el riesgo que conlleva de pérdidas de información. Teniendo constancia de los problemas de seguridad, tanto físicos como lógicos existentes, este proyecto se desarrolla sobre los lógicos y, concretamente, en los que se producen durante la conexión a Internet. La red se ha convertido en el principal medio de transferencia entre ordenadores, en consecuencia es la mayor vía para la infección de virus y accesos de intrusos. En no pocos casos, el propio usuario puede evitar muchos de los riesgos de inseguridad. No disponer en su ordenador de software que permita garantizar un nivel de seguridad alto, es decisión de éste. La mayoría de los usuarios no son conscientes de la cantidad de información privada que, de forma inadvertida e involuntaria, revelan a terceros cuando consultan el correo electrónico, navegan por la Web, intervienen en foros de discusión, participan en grupos de noticias o hacen uso de un servidor FTP. Cada vez que se mueven por la red, facilitan datos sensibles acerca de su personalidad, economía, preferencias, etc., que pueden ser utilizados por marcas comerciales o por otros, para enviar correo basura o efectuar campañas de marketing personalizado. Son muchas las amenazas a las que los usuarios se enfrentan en la actualidad y no se pretende enumerarlas o explicarlas, sino resumir las repercusiones ante el sufrimiento de éstas. Hoy en día, la repercusión social provocada por el envío masivo de correo basura ha provocado una cierta alarma entre los usuarios, los cuales se encuentran con sus cuentas de correos invadidas por mensajes de publicidad, virus, y mensajes en cadena. Una configuración correcta de la cuenta de correo previa por éste, no publicar en lugares no seguros la dirección de correo y, por supuesto, el uso de un mecanismo adicional para la eliminación de correo no deseado. Con estas medidas se reducirá considerablemente este problema. Durante el año 2003 surgieron una serie de denuncias por parte de usuarios que habían recibido facturas excesivas, por el uso de su conexión a Internet mediante un proveedor contratado, con la peculiaridad que este tipo de problemas sólo surge en conexiones con banda estrecha. Esto es provocado por la instalación de programas dialers, los cuales modificaban la actual conexión del usuario creando una nueva con un número de teléfono distinto. La ejecución de este software se habría producido durante la navegación por Internet al acceder a algunas páginas, y sin ningún tipo de mensaje al provocar el cambio. En este caso es difícil suponer este problema hasta que no se pone en conocimiento público los casos que se producen, por lo que los usuarios han estado desprotegidos ante este tipo de ataques. En cuanto a los demás programas que modifican el contenido de ficheros de la máquina, troyanos y virus, es responsabilidad del usuario verificar el contenido de los ficheros que se descarga, y así no encontrarse con el problema de código malicioso. Sobre el intento de intrusión realizado a través de puertos, indicar que sin ningún tipo de protección el usuario está expuesto a cualquier tipo de ataque, y obtener ofrecer al atacante todo tipo de información. Después esa información puede ser tratada por el atacante para sus fines, sin que el usuario pueda hacer nada. Otra amenaza que sufre el usuario es la poca fiabilidad que aporta la red para que los mensajes se transmitan de forma segura, sin ser accedidos por nadie. Este problema no lo sufren tanto los usuarios particulares, o por lo menos, si lo sufren no tiene tanta trascendencia como ocurriría en el caso de que los datos fuesen relevantes, como por ejemplo, si se tratase de información privada del gobierno o de grandes compañías. Por ello, para evitar este tipo de amenazas es conveniente usar métodos de cifrado. En definitiva, estos son algunos de los problemas que más preocupan a los usuarios en general, pero con ello no se quiere obviar otros problemas existentes. 4. Motivaciones Varias son las motivaciones de este proyecto por el cual se ha desarrollado la suite FSS propuesta y entre ellas destacamos las siguientes. La continua aparición de nuevos virus, troyanos, gusanos, y nuevas tecnologías para atacar equipos remotos, que hacen que las empresas desarrolladoras de sistemas de seguridad informática pongan a disposición, del público, una serie de propuestas para detección y protección de sus sistemas. La mayoría de las empresas desarrolladoras de software de seguridad ofrecen a sus clientes versiones distintas si éste se trata de una empresa, o bien el cliente es un usuario particular. La diferencia entre este tipo de software es bastante considerable, así como el software para empresas contienen distintos focos de protección desde hace bastante tiempo, la ofrecida para usuarios hasta no hace mucho, englobaban sólo protección para virus (gusanos, troyanos, y virus en general) y en algunos de ellos se ofrecía la posibilidad de usar Firewall. Esta diferencia tiende a ir desapareciendo. La dificultad que un usuario se encuentra al querer disponer de software gratuito con las características que ofrece una suite completa de seguridad provoca que éste se las ingenie para poder obtenerlo, bien sea mediante algún conocido o descargándose de Internet versiones temporales. Como se ha indicado antes, los ataques hacia la red son constantes, y los productos se quedan continuamente obsoletos, para ello existen las actualizaciones de algunos servicios, pero qué sucede cuando aparecen nuevas tecnologías que amenacen la seguridad de un sistema.? Ese

4 tipo de servicio no lo puede actualizar el usuario, puesto que no existe en el software comercial. Debe comprarse otro producto que además de ofrecerle lo que ya tiene, incluya el nuevo servicio?. Como se puede observar, el usuario particular sufre las consecuencias de las exigencias del mercado del software de seguridad. Existen alternativas a este tipo de distribución del software, sobre todo provenientes del software libre y con licencia GPL[3]. En algunos casos, sólo ofreciendo uno o dos servicios o, como es más habitual, ofreciendo distribuciones del sistema que sólo se encarga de temas de seguridad (OpenBSD, Engarde,...). No abundan los productos que engloben soluciones a la mayoría de los problemas a los que está expuesto un equipo informático cuando se conecta a la red, que puedan utilizar sobre su sistema operativo, y que no supongan coste alguno para el usuario. Para que el usuario pueda disponer de varios mecanismos de protección, se ofrece un producto de libre distribución, con código abierto, y con la garantía de contener productos que están en continuo desarrollo y, por tanto, con actualizaciones. Aunque realmente el usuario no es consciente de los continuos cambios que se realizan en seguridad sobre las nuevas tecnologías, provocando que éste se comporte de una manera pasiva. Esta pasividad se da principalmente, debido al desconocimiento de las amenazas a las que está expuesto el sistema, desconocimiento de las herramientas de seguridad existentes, y a la falta de conocimientos para saber utilizarlas. No hay que olvidar que a la red se conectan todo tipo de usuarios, incluso utilizan sistemas de los que desconocen el tipo de software que tienen instalados, para qué sirve, y qué problemas les puede dar. Sobre todo esto último, cuando se desconocen los fallos y problemas que pueden suceder es muy probable que el usuario los pase por alto, y el seguramente seguirá con su misma actitud, pasiva, hasta que la evidencia de un problema sea inevitable. Una vez que el usuario se haya concienciado de que su sistema debe tener mecanismos de seguridad, se le deben proponer las distintas alternativas con las que cuenta en el mercado. Las compuestas por software propietario y las que están basadas en el modelo de software libre. El software libre dispone de herramientas igual de eficientes o incluso más que el software propietario, y que pueden ofrecer una mayor fiabilidad en aspectos de seguridad. También el usuario tiene la posibilidad, usando este tipo de software, en probar distintos programas y mecanismos de seguridad, y utilizar el que más le haya gustado, ya que esta metodología permite al usuario disponer y probar el software libre que desee. Otra de las características del software libre es la libertad de modificación y reutilización del código que se le ofrece al usuario. Esta ventaja permite la personalización de programas, y así como el uso de código sin que por ello se esté delinquiendo. Utilizarlo a nivel didáctico o bien por motivos empresariales, se puede aprender la tipología y funcionamiento del programa para generar otros, siempre y cuando se cumpla que el código que ha generado el usuario cumpla con las mismas premisas que cuando el usuario se lo descargó. Durante la realización de Free Security Suite 1.0 [4] se ha disfrutado de dicha ventaja de este tipo de software, se ha utilizado una serie de programas para dar unas funcionalidades concretas a la aplicación, y es integrada en un paquete de libre distribución. El por qué de la decisión del camino seguido, es sencillo, las aplicaciones estaban ahí pero no había nada que las distribuyese conjuntamente y para un tipo de acciones concretas. Y sobre todo dar a conocer al usuario que en sistemas no propietarios existen gran variedad de programas y aplicaciones para garantizar su seguridad. II. DESARROLLO E IMPLEMENTACIÓN DE FSS Uno de los objetivos de esta aplicación es la de obtener un sistema lo más seguro posible. Los sistemas de las tecnologías de la información cambian continuamente y cada vez son más complejos, pero igualmente los atacantes, bien sean crakers o hackers, utilizan técnicas más sofisticadas. Por lo tanto el nivel de seguridad también debe crecer. La ISO, Organización Internacional de Estándares [5], define la seguridad informática como una serie de mecanismos que minimizan la vulnerabilidad de bienes y recursos, donde un bien se define como algo de valor y la vulnerabilidad se define como la debilidad que se puede explotar para violar un sistema o la información que contiene. Esta definición se recoge como parte de la norma 7498 de la ISO. La gestión de la seguridad, en España, se ampara por el Real decreto-ley 14/1999 (17/Sept) [6], por la Orden ministerial 21/Feb/2000 que aprueba el Reglamento de acreditación de prestadores de servicios de certificación y algunos productos de firma, y por otras leyes como son las del DNI electrónico, Ley de firma electrónica. Esto sirve para todo tipo de ordenadores, los que pertenecen a un uso doméstico como los que pertenecen a una red cualquiera. Teniendo en cuenta lo anterior, crear un sistema seguro es totalmente necesario. Para ello se debe tener en cuenta el sistema operativo que se va a utilizar, la propuesta se centra en Linux, pero las pautas de seguridad a seguir son las mismas ante distintos sistemas operativos. Otro de los objetivos es ofrecer, al usuario una suite que contemple todas sus necesidades. FSS es una suite que le aportará al usuario soporte a la carencia mostrada por la mayoría de las suites. Tendrá soporte para Linux, está desarrollada con software libre y no supone coste alguno. Para que se comprenda perfectamente el área de actuación del proyecto a continuación se indica una breve descripción de cada una de las secciones en el que se divide. - Dialer. Sistema de conexión a Internet unido a una serie de servicios, que se instalan en el ordenador del usuario y que permite acceder a ciertas páginas de pago, las cuales obtienen financiación con el uso de este dispositivo. Es un programa legal que posibilita la conexión a números de tarificación adicional a la de la simple llamada o comunicación. Aunque

5 este concepto no suena muy bien, pero es un medio bastante extendido en Internet, ya que es un medio de pago mediante el cual no es necesario aportar datos ni números de tarjetas de crédito y sin necesidad de enredarse con complicados formularios. - El uso del correo electrónico es una de los servicios más habituales en Internet, generalmente el usuario se equivoca al creer que la información que se envía a otra persona está a salvo de curiosos y de ataques. Los mensajes pueden leerse y manipularse sin que el usuario emisor y receptor se enteren. En algunos casos a los usuarios les da igual que alguien pueda manipular un correo sin información relevante, en un principio. No se va a entrar a suponer si la información es importante o no, sino del derecho a la privacidad. Para preservar esto se creó el cifrado, r es, etc. - Se puede definir el abuso en el correo electrónico como las distintas actividades que perjudican a los servicios habituales de los servidores de correo. Alguno de los términos asociados a este tipo de abusos son spamming, mail bombing, unsolicited bulk (UBE), unsolicited comercial (uce), junk mail, etc. - Filtro de contenido es la unión de varios elementos de software que operan juntos para evitar que el usuario pueda ver el contenido encontrado en Internet. - Antivirus. Herramienta software para la protección y detección de virus y troyanos en el sistema. - Firewall. Programa que puede estar residente en la propia máquina o en otra, y su función es proteger nuestro equipo o red de intrusiones, sean éstas automáticas (troyanos o derivados) o manuales. El inconveniente de este tipo de programas es que si bien proporciona defensa, también requiere conocimientos por parte del usuario y complica el tráfico y actividad de los diferentes programas de uso normal en caso de que éste no lo configure adecuadamente. - Creación de Contraseñas. Para la creación de un sistema seguro, uno de puntos fuertes en los que se basa es el proceso de autentificación del usuario. Se identifica al usuario por algo que sólo él debe conocer. Este criterio se amplía a cualquier programa o fichero al que se le haya asignado una clave. - Para acceder a un servidor de web se necesita un programa cliente de servicio. La creación de estos clientes se produjo por la popularización de Internet, ya que los usuarios no expertos en informática necesitaban una herramienta sencilla que le permitiese capturar cualquier documento de Internet, independientemente de su localización y formato, con ello no es necesario seguir los complicados pasos que requerían el conocimiento del sistema UNIX para realizar, por ejemplo, la transferencia de un archivo por ftp. Free Secutity Suite, integra soluciones para el usuario en cada una de las anteriores secciones, proporcionando una completa herramienta basada en software libre y que es de libre disposición para el usuario. La pantalla inicial de la aplicación se muestra en la Figura 1, desde la que se gestiona el control de acceso y los perfiles del usuario a la aplicación. 1. Anti-Dialers El sistema que desarrollan los navegadores de software libre no permite la ejecución directa de archivos ejecutables, por lo que está controlada que se descarguen y actúen sin percatarse el usuario, pero sí existen opciones que habilitan esta ejecución, simplemente la solución está en no activarla. Aunque el uso del módem convencional está desapareciendo poco a poco, todavía el desarrollo de otras tecnologías en ciertos lugares está tardando en llegar, como es ADSL en zonas rurales. Se ha desarrollado una aplicación anti-dialers para Linux, que realiza el control de los ficheros sensibles a ser atacados para modificar la conexión a Internet. Si bien pueden quedar dudas de por qué crearlo es sencillo, no sabemos con que amenazas nos vamos a encontrar la siguiente vez que nos conectemos a Internet y, debido a la falta de soporte de los programas anteriormente mencionados para Linux, se deja de tener una política reactiva ante los problemas, y se ofrece una solución para un posible problema. En la Figura 2 se muestran las opciones que se presentan en esta área de la suite. El entorno es similar a aplicaciones existentes para distribuciones propietarias, ya que uno de los objetivos de este proyecto es la migración de usuarios a sistemas no propietarios. Figura 1: Pantalla inicial de la Suite

6 Figura 2: Entorno de FSS 2. Cifrado Para garantizar el anonimato del usuario, así como que éste envíe correos con la tranquilidad de saber que aunque sea interceptado no lo podrán leer, es el cometido de este punto de desarrollo de la aplicación FSS. Se integra en una sóla opción para que el usuario no se olvide que puede contar con este tipo de seguridad. En la Figura 3 se pueden observar las acciones que el usuario puede realizar en esta área. Dispone de una primera opción que es la de encriptación de datos, mensaje y archivos, para lo que cuenta con un editor para la propia aplicación, y del frontend de la herramienta de encriptación GNUpg, GPA. Con ello, el usuario, puede manejar una herramienta de encriptación sencilla y sobre cualquier entorno Linux. La siguiente opción que se encuentra es la del uso de r ers, para el anonimato del remitente en el caso de que el correo sea interceptado durante su envío. 3. AntiSpam En la aplicación se permite al usuario la posibilidad de elegir entre dos clientes de correo: Sylpheed y Thunderbird. El criterio para elegir éstos han sido sus características y su facilidad de uso para el usuario y, sobre todo, que son clientes de correo con licencia GPL, que es el criterio que estamos siguiendo durante todo el proyecto. Con esto no se quiere decir que los demás sean complicados sino que estos están bastante extendidos por la red, y su configuración es sencilla, con un entorno gráfico potente. En la página siguiente se muestra la pantalla en donde se observa en primer lugar el cuadro desde donde elegir qué tipo de cliente utilizar (ver Figura 4). 4. Filtrado de contenido Aunque está pensado para servidor, Dansguardian, se reutilizará para funcionar en un ordenador de un usuario particular. Ya que este filtro es el utilizado en la aplicación, porque cumple el requisito de estar bajo licencia GPL. Para aplicaciones comerciales deja de tener esta propiedad y hay que pagar por el uso de la licencia del programa. La configuración del filtro es independiente de FSS, pero sus procesos de arranque, restauración, y parada los puede gestionar fácilmente el usuario desde un entorno generado para mayor comodidad de éstos. En la Figura 5 se observan las posibles acciones del filtro de contenidos.

7 Figura 3. Opciones de cifrado Figura 4. Pantalla de FSS referente a Spam-Filtrado-Antivirus

8 Figura 5. Ejecución del filtro de contenidos Dansguardian 5. Antivirus Como antivirus de la suite FSS se ha elegido Clam que tiene licencia GPL. Clam es un antivirus para Linux que emplea la base de datos de OpenAntivirus, otro proyecto libre. Clam está desarrollado en C y entre sus características se encuentran que es multihebra, soporta Amavis, escanea en archivos comprimidos, se actualiza automáticamente y aporta muchas otras atractivas características. Actualmente Clam funciona en Linux, Solaris, FreeBSD y Windows (con cygwin). Puede utilizarse mediante modo comando o por los distintos entornos gráficos de los que dispone, nosotros hemos generado un nuevo entorno estándar para no limitar su ejecución a ningún entorno de Linux. Este entorno utiliza la última versión de Clam Antivirus. ClamAV no requiere mantenimiento, debido a que el daemon freshclam se encarga de mantener actualizada la base de datos de firmas de virus verificando la existencia de posibles actualizaciones varias veces al día. Aunque el usuario dispone en del frontend de uso de este antivirus, se ha creado uno para FSS, estándar para cualquier entorno de ejecución en Linux, con las mismas garantías que ofrece el antivirus en modo consola. Este entorno puede observarse en la Figura Antivirus En la aplicación, el usuario dispondrá de un programa firewall muy sencillo, Firestarter, que se puede ejecutar tanto en el entorno KDE como en GNOME. Además se añade el programa Nmap, para escaneo de puertos, que permitirá al usuario un mayor conocimiento de los riesgos que corre al estar conectado a la red. En la Figura 7 se observa cómo al final del panel se indica al usuario sus limitaciones a la hora de hacer uso de esta herramienta. Al ser operaciones que afectan directamente al sistema se necesita tener privilegios de administrador de sistema. Aclarar que un usuario de Linux necesita trabajar como administrador para algunas operaciones, pero no por ello tiene que ser un experto, el manejo de esta herramienta no lo requiere.

9 Figura 6. Entorno del antivirus Clam Figura 7. Firewall de FSS

10 7. Creación de contraseñas Esta es una pequeña herramienta con la que se intenta concienciar al usuario de la creación de contraseñas de una forma bastante más segura. Es un asistente para la creación de contraseñas. Durante la ejecución del mismo se le ofrece al usuario una serie de mensajes para indicarle el nivel de vulnerabilidad de la contraseña que está creando. Con esto, el usuario puede generar varias contraseñas, conocer si es demasiado evidente o no, y cambiar la clave del usuario activo en la aplicación en ese momento. La Figura 8 muestra el panel en el que se trabaja con esta opción, y en el que en el área de mensajes se indican los tres tipos de mensajes que alertan al usuario si la contraseña es vulnerable o no. Si la contraseña tiene un índice de vulnerabilidad bajo, se alertará al usuario con mensajes en este mismo área. Figura 8. Creación de contraseñas con FSS 8. Chequeo La finalidad de esta opción de FSS es la de informar al usuario qué programas de los contenidos en una lista, definida por él, están ejecutándose en ese momento en su ordenador. Con ello puede saber si algunas de las opciones de la aplicación se está ejecutando o no, para su siguiente uso. La Figura 9 representa esta operación. III. IMPLANTACIÓN DE LA EXTENSIÓN Existen bastantes opciones a elegir entre navegadores, y es a gusto del usuario el usar uno u otro. Para la realización de este proyecto se ha elegido Mozilla, ya que es un navegador bastante utilizado, es sencillo obtenerlo en la red, no supone coste alguno, y su tecnología permite una sencilla integración de programas externos, como es el caso de la aplicación FSS. A continuación se muestran los tres pasos (1. Búsqueda, 2. Instalación y 3. Restauración) en la instalación de una extensión para Mozilla, y con ello demostrar su sencillez de manejo. 1) Búsqueda Se realiza la búsqueda en la carpeta local donde se encuentra la extensión. (ver Figura 10). 2) Instalación En este momento es cuando la extensión seleccionada (en nuestro caso FSS) va a ser instalada en el navegador. Obtendremos una situación similar a la de la Figura 11. 3) Restauración Finalizada la instalación se deben cerrar todas las aplicaciones asociadas a Mozilla que se encuentren abiertas. Al volver a ejecutar Mozilla se dispondrá de dos formas de acceso a la aplicación, desde el menú de herramientas, y desde la barra de estado. En la Figura 12 se observa cómo la opción FSS aparece en el menú de herramientas de Mozilla. También aparece un icono en la barra de estado (en la parte inferior de la ventana del navegador.

11 Figura 9. Pantalla de chequeo de FSS Figura 10. Búsqueda de la carpeta que contiene la extensión de Mozilla

12 Figura 11. Instalación de la extensión Figura 12. FFS listo para ejecutarse

13 IV. CONCLUSIONES FSS es la propuesta de un sistema de seguridad integrado sobre una plataforma web pensado para facilitar la labor a los usuarios de la herramienta en la configuración de sus alertas de seguridad. La propuesta alerta al usuario de la mayor parte de los peligros que corre al conectarse a la red, y además se lo proporciona de tal forma que su gestión y manejo sea de la manera más intuitiva posible. Se le ofrece un software con el que no tienen que ser ningún experto en seguridad. Al tratarse de una plataforma basada en software libre aporta todas las ventajas de este tipo de software, sobre todo la configuración del software, su auditoría y su actualización de forma libre y gratuita. V. REFERENCIAS [1] Web de la organización Free Software Fundation. [2] Web de la organización Open Source Iniciative. [3] El contenido de la licencia GPL puede obtenerse del sitio oficial de GNU, [4] Free Security Suite 1.0 es una herramienta con licencia GPL que forma parte del proyecto de investigación AGILA (Acceso Generalizado a Internet desde LinEx Avanzado). [5] Web de la orgacización ISO (International Organization for Standardization). La dirección de su página principal es: [6] El REAL DECRETO-LEY 14/1999, de 17 de septiembre, sobre firma electrónica puede leerse de la página del Secretariado de Estado de Telecomunicaciones y para la Sociedad de la Información perteneciente al Ministerio de Industria, Turismo y Comercio, en la dirección: (*) Este proyecto ha sido financiado en parte por la Consejería de Educación Ciencia y Tecnología de la Junta de Extremadura (Expediente 2PR03A09)