INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA

Transcripción

1 CAPITULO 2 INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA En los últimos años las tecnologías de la información y las comunicaciones, han tenido un crecimiento exponencial; éste crecimiento, si bien ofrece muchas posibilidades para tener nuevos servicios, también conforma el ambiente propicio, para que desaprensivos basados en el anonimato, intenten acceder a la información existente en nuestros sistemas, casi siempre con fines delictivos o destructivos. Son muchas las violaciones que se pueden realizar en un sistema informático, por usuarios que, sin tener acceso permitido, logran entrar a los mismos para obtener información confidencial, pudiendo incluso manipularla en su beneficio, destruirla o usarla contra terceros. 2.1 DEFINICIÓN DE SEGURIDAD INFORMÁTICA Entendemos por seguridad informática el conjunto de actividades y medidas orientadas a la protección de la información contenida en los sistemas e instalaciones informáticas frente a su posible destrucción, modificación, utilización y difusión indebidas. La seguridad informática no solo debe encargarse de las posibles transgresiones de desaprensivos, sino también debe tener en cuenta los posibles errores producidos por un incorrecto funcionamiento del hardware, prevenirse contra acciones involuntarias que puedan atentar contra la integridad de la información contenida en el sistema, y los motivos de fuerza mayor, como inundaciones, incendios, etc. 2.2 DIVISIÓN DE LA SEGURIDAD INFORMÁTICA Dependiendo de las fuentes de amenazas, la seguridad puede dividirse en seguridad física y seguridad lógica Seguridad Física Tiene por objeto la protección contra desastres y se lleva a cabo mediante mecanismos de detección contra incendios, protecciones eléctricas contra sobretensiones, y grupos electrógenos o baterías para prevenir fallos de tensión inadecuada. 21

2 El acceso físico es importante, todos los equipos delicados deben de estar protegidos del acceso no autorizado; normalmente esto se consigue concentrando los sistemas en un centro de datos. Este centro esta controlado de diferentes maneras, se puede limitar el acceso con dispositivos, o instalar cerraduras de combinación para restringir los accesos a empleados y personas ajenas a las instalaciones. Otro aspecto importante es las condiciones del medio ambiente, como pueden ser la temperatura, la limpieza, la pureza y humedad del aire, la electricidad estática, etc. Para acondicionar de mejor manera el sistema, se suelen instalar suelos falsos, aire acondicionado, ventilación, control de humedad y otras medidas de limpieza que impidan que estas condiciones modifiquen peligrosamente el sistema. Aunque estas medidas son costosas y en muchos casos ignoradas, al suponer que estos problemas no se presentaran, con una sola vez que se presenten, el daño puede ser enorme, superando con mucho al ahorro que nos produciría el incluirlas Seguridad Lógica Consiste en la aplicación de barreras y procedimientos que resguardan el acceso a los datos y solo permiten acceder a ellos a las personas autorizadas para hacerlo. Para permitir el acceso a los datos solo a personas autorizadas, la seguridad lógica debe cumplir los siguientes objetivos: 1. Restringir el acceso a los programas y archivos a las personas que no pertenecen a la organización. 2. Asegurar que los operadores puedan trabajar pero no modificar los programas ni archivos a los que no tienen permiso para modificar. 3. Asegurar que se utilicen los datos, archivos y programas correctos en/y/por el procedimiento elegido. 4. Asegurar que la información transmitida sea la misma que reciba el destinatario al cual se ha enviado y que no le llegue a otro. 5. Asegurar que existan sistemas y pasos de emergencia alternativos de transmisión entre diferentes puntos. 6. Organizar a cada uno de los empleados por jerarquía informática, con claves distintas y permisos bien establecidos, en todos y cada uno de los sistemas o softwares empleados. 7. Definir Políticas de Seguridad. 22

3 2.3 PRINCIPIOS DE LA SEGURIDAD INFORMÁTICA Los principios básicos de la seguridad informática son tres: 1 er Principio: El acceso más fácil El intruso al sistema utilizará el artilugio que haga más fácil su acceso y posterior ataque. Existirá una diversidad de frentes desde los que puede producirse un ataque, tanto internos como externos. Esto dificultará el análisis de riesgo ya que el delincuente aplicará la filosofía de del ataque hacia el punto más débil: el equipo o las personas. 2 do Principio: El de la caducidad del secreto Los datos confidenciales deben protegerse sólo hasta que ese secreto pierda su valor como tal. Se habla, por tanto, de la caducidad del sistema de protección: tiempo en el cual debe mantenerse la confidencialidad o secreto del dato. 3 er Principio: El de la eficiencia de las medidas tomadas Las medidas de control se implementan para que tengan un comportamiento efectivo, eficiente, sean fáciles de usar y apropiadas al medio. Efectivo: que funcione en el momento efectivo. Eficiente: que optimicen los recursos del sistema. Apropiadas: que pasen desapercibidas para el usuario. Y lo más importante: ningún sistema de control resulta efectivo hasta que debemos utilizarlo al surgir la necesidad de aplicarlo. Junto con la concienciación de los usuarios, éste será uno de los grandes problemas de la Gestión de la Seguridad Informática AMENAZAS Y DEDILIDADES DE UN SISTEMA DE INFORMACIÓN Definición de Sistema de Información Es un conjunto de funciones o componentes interrelacionados que forman un todo y que obtiene, procesa y distribuye información para apoyar la toma de decisiones de una organización. Igualmente apoya la coordinación, análisis de problemas, visualización de aspectos complejos, entre otros aspectos. 3 RAMIO, Jorge. Libro Electrónico de Seguridad Informática y Criptografía Versión 4.1, 6 ta. Edición, Madrid-España 2006, p. 63, 64,

4 2.4.2 Amenazas de un Sistema de Información Una amenaza es una condición del entorno de un sistema de información (persona, máquina, suceso o idea) que, podría dar lugar a una violación de la seguridad (confidencialidad, integridad, disponibilidad o uso legítimo). La política de seguridad, el análisis de riesgos y el diseño del sistema de seguridad, permiten identificar las amenazas que deben ser contrarestadas. Las categorías generales de amenazas son cuatro: Interrupción Es un ataque contra la disponibilidad, se da cuando un componente del sistema informático es destruido o se vuelve no disponible. La interrupción puede ser temporal o permanente y es la amenaza más fácil de identificar; pero presenta mayor dificultad para luchar en su contra, ya que por lo general puede ser producida por accidentes naturales, como por ejemplo: huracanes, terremotos, que provocan la interrupción del suministro eléctrico; incendios, etc Intercepción Es un ataque contra la confidencialidad, se da cuando una entidad (persona, programa u ordenador) no autorizada consigue acceso a un recurso. La intercepción es la amenaza más difícil de detectar, ya que por lo general no produce cambios en el sistema. Ejemplos de este ataque son: acceso a una base de datos (intercepción de datos), la lectura de la cabecera de los paquetes para obtener la identidad de las personas involucradas en una comunicación (intercepción de identidad), etc Modificación Es un ataque contra la integridad, se da cuando una entidad no autorizada no solo accede al recurso, sino que es capaz de modificarlo cambiando en parte o en todo el funcionamiento del sistema. Es el ataque más peligroso, ya que puede causar grandes daños al sistema. Ejemplos de este ataque son: cambios en el contenido de una base de datos, cambios en los datos de una transferencia bancaria, modificar el contenido de mensajes que están siendo transferidos por la red, etc Generación Es un ataque contra la autenticidad, se da cuando una entidad no autorizada inserta objetos falsificados en el sistema. La generación hace referencia también a la adición 24

5 de campos o registros en los activos, a la adición de líneas de código en los recursos lógicos y a la introducción en el sistema de programas completos. Ejemplos de este ataque son: virus informáticos, caballos de Troya, transacciones electrónicas falsas, introducción de datos en una base, inserción de mensajes espurios en una red, etc. Estos ataques se pueden asimismo clasificar de forma útil en términos de ataques pasivos y ataques activos, como se muestra en la figura 2.1. Ataques pasivos Ataques activos Divulgación del contenido de un mensaje Análisis de tráfico Suplantación de identidad Reactuación Modificación de mensajes Degradación fraudulenta de un servicio Figura 2.1. Ataques a la seguridad de la información pasivos y activos Ataques pasivos En los ataques pasivos el atacante no altera la comunicación, solo la escucha o la monitoriza, para obtener información que está siendo transmitida. Sus objetivos son la divulgación del contenido de un mensaje y el análisis del tráfico. La divulgación del contenido de un mensaje, se refiere a que una conversación telefónica, un mensaje de correo electrónico o la transferencia de un archivo pueden contener información confidencial; por lo que sería deseable que el oponente no se entere de la existencia de ésta información y evitar así su divulgación. El análisis de tráfico, es una técnica más sutil, para obtener información de la comunicación, que puede consistir en: Obtención del origen y el destinatario de la comunicación, leyendo las cabeceras de los paquetes monitorizados. Control del volumen de tráfico intercambiado entre las entidades monitorizadas, obteniendo así información de las actividades de estas. Control de las horas habituales de intercambio de datos entre las entidades de la comunicación, para extraer información de los periodos de actividad. Los ataques pasivos son difíciles de detectar, ya que no implican la alteración de los datos. Sin embargo, es posible prevenir el éxito de estos ataques mediante el cifrado de la información. 25

6 Ataques activos Los ataques activos suponen alguna modificación del flujo de datos o la creación de flujos falsos y se subdividen en cuatro categorías: suplantación de identidad, reactuación, modificación de un mensaje y degradación fraudulenta del servicio. Suplantación de identidad: Tiene lugar cuando una entidad pretende ser otra diferente. Normalmente incluye una de las otras formas de ataque activo. Por ejemplo, se puede capturar una secuencia de autenticación y reemplazarla por otra, con el objeto de que una entidad con pocos privilegios, pueda acceder a los privilegios extras que si posee la entidad suplantada. Reactuación: Supone la captura pasiva de unidades de datos y retransmitirlos para producir un efecto no autorizado. Por ejemplo, ingresar dinero repetidamente en una cuenta bancaria. Modificación de mensajes: Significa que una porción de un mensaje se altera, o los mensajes son retrazados o reordenados, con la finalidad de producir un efecto no autorizado. Por ejemplo, un mensaje que dice Permitir a Juan Pérez (empleado de la empresa X) revisar las transacciones de la empresa X, puede ser modificado por otro que dice Permitir a Carlos Andrade (no pertenece a la empresa X) revisar las transacciones de la empresa X. Degradación fraudulenta de un servicio: Impide o inhibe el uso normal o la gestión de los recursos informáticos y de comunicaciones. Por ejemplo, un intruso puede suprimir todos los mensajes dirigidos a un destino en particular o se podría interrumpir el servicio de una red, cargándola con mensajes de modo que se degrade su rendimiento Debilidades de un Sistema de Información La figura 2.2, muestra las debilidades de un sistema de información. HARDWARE-SOFTWARE-DATOS MEMORIA-USUARIOS Figura 2.2. Debilidades de un Sistema de Información Fuente: Jorge Ramió Aguirre. Libro Electrónico de Seguridad Informática y Criptografía Versión 4.1. Sexta edición de 1 de Marzo de Madrid (España). Capitulo 3. 26

7 Los tres primeros puntos conforman el llamado Triángulo de Debilidades del Sistema: Interrupción Interceptación Modificación Generación (pérdida) (acceso) (cambio) (alteración) Los datos serán la parte más vulnerable del sistema Datos Hardware Interrupción (denegar servicio) Interceptación (robo) Software Modificación (falsificación) Interrupción (robado) Interceptación (copia) Figura 2.3. Triángulo de debilidades del sistema Fuente: Jorge Ramió Aguirre. Libro Electrónico de Seguridad Informática y Criptografía Versión 4.1. Sexta edición de 1 de Marzo de Madrid (España). Capitulo 3. Hardware: pueden producirse errores intermitentes, conexiones sueltas, desconexión de tarjetas. Software: puede producirse la sustracción de programas, ejecución errónea, modificación, defectos en llamadas al sistema, etc. Datos: puede producirse la alteración de contenidos, introducción de datos falsos, manipulación fraudulenta de datos, etc. Memoria: puede producirse la introducción de un virus, mal uso de la gestión de memoria, bloqueo del sistema, etc. Usuarios: puede producirse la suplantación de identidad, acceso no autorizado, visualización de datos confidenciales, etc. Es muy difícil diseñar un plan que contemple minimizar de forma eficiente todas estas amenazas, y que además se entienda y pase desapercibido por los usuarios. Debido al principio de acceso más fácil, el responsable de seguridad informática no se deberá descuidar ninguno de los cinco elementos susceptibles de ataque al sistema. 4 4 RAMIO, Jorge. Libro Electrónico de Seguridad Informática y Criptografía Versión 4.1, 6 ta. Edición, Madrid-España 2006, p. 73,

8 2.5 ASPECTOS FUNDAMENTALES DE LA SEGURIDAD INFORMÁTICA Confidencialidad: Asegurar que únicamente personal autorizado tenga acceso a los componentes del sistema Integridad: Garantizar que los componentes del sistema no serán modificados, eliminados o destruidos por entidades no autorizadas. En la eventualidad de una modificación, la integridad no solo se refiere a modificaciones intencionadas, sino también a las accidentales o no intencionadas Disponibilidad: Asegurar que los usuarios autorizados tengan acceso a los componentes del sistema cuando lo requieran. 2.6 SISTEMA DE CIFRA Sea cual sea el medio de transmisión o almacenamiento (enlace, red telefónica, red de datos, disco magnético, disco óptico, etc.), éste será siempre y por definición un medio inseguro. Por lo tanto, habrá que adaptarse a este medio usando el cifrado. 2 En la figura 2.4, se muestra el esquema de un sistema de cifra y dos ataques que un criptoanalista puede realizar sobre el mismo. M Transmisor C Medio de Medio de Transmisión C Receptor M T MT R Cifrador Mensaje cifrado Descifrador Usurpación de identidad por un intruso Interceptación del mensaje por un intruso Figura 2.4. Esquema de un sistema de cifra Fuente: Jorge Ramió Aguirre. Libro Electrónico de Seguridad Informática y Criptografía Versión 4.1. Sexta edición de 1 de Marzo de Madrid (España). Capitulo 3. 28

9 2.7 ESQUEMA DE UN CRIPTOSISTEMA El esquema de un criptosistema se muestra en la figura 2.5. Texto base M Texto base: será cualquier archivo o documento Emisor (E) Receptor (R) Texto cifrado Cifrador Descifrador C K E Clave Clave K R Texto base M Hablaremos entonces de: Canal inseguro Un espacio de textos en claro M Un espacio de textos cifrados C Un espacio de claves K Unas transformaciones de cifrado E KE (M) Unas transformaciones de descifrado D KR (C) Figura 2.5. Esquema de un criptosistema Fuente: Jorge Ramió Aguirre. Libro Electrónico de Seguridad Informática y Criptografía Versión 4.1. Sexta edición de 1 de Marzo de Madrid (España). Capitulo RECOMENDACIONES DE BACON Y KERCKHOFFS Recomendaciones de Bacon Las recomendaciones de Sir Francis Bacon para considerar a un algoritmo seguro son: 1. Dado un mensaje en claro M y un algoritmo de cifrado E k, el cálculo de E k (M) y la operación de descifrado, deben ser sencillas. 2. A partir del criptograma C, deberá de ser imposible encontrar el texto en claro M si se desconoce la función de descifrado D k. 3. El criptograma deberá de contener caracteres distribuidos de tal forma que no dé pistas al intruso. Esta última consideración hoy día carece de sentido debido a que la información que manejamos son cadenas de 0s y 1s, y los datos de por si ya son muy abstractos Recomendaciones de Kerckhoffs Las recomendaciones con respecto a un algoritmo seguro según Kerckhoffs son: 1. El sistema debe de ser en la práctica imposible de criptoanalizar. 2. Las limitaciones del sistema no deben plantear dificultades a sus usuarios. 3. El método de elección de claves debe de ser fácil de recordar. 29

10 4. El texto cifrado debe de poder transmitirse vía telégrafo. Interpretamos telégrafo como cualquier medio de comunicación actual inseguro. 5. Disponibilidad y portabilidad de software que permita el cifrado. 6. El uso debe de ser fácil, el costo bajo y la complejidad de recuperación del mensaje cifrado mínima, si se conoce la clave. 2.9 FORTALEZA DE LA CIFRA Y TIPOS DE ATAQUES Fortaleza de la cifra La fortaleza de la cifra se entenderá como la imposibilidad computacional de romper dicha cifra o encontrar la clave, aún teniendo conocimiento del funcionamiento del algoritmo de cifrado, del texto cifrado y del texto en claro Tipos de ataques Los tipos de ataques más utilizados por los criptoanalistas son: 1. Ataque contando únicamente con el criptograma Debemos de tener varios mensajes cifrados con el mismo algoritmo. El objetivo será recuperar el mensaje original o deducir las claves de cifrado. Si el mensaje en claro es M estará compuesto de elementos M i y el criptograma C de elementos C i : donde podremos deducir bien M 1, M 2,...M i o bien deducir C i+1 = E k (M i+1 ). 2. Ataque contando con texto en claro conocido El criptoanalista conoce el texto en claro M i y el texto cifrado C i. El objetivo será deducir las claves de cifrado para poder descifrar futuros mensajes con las mismas claves. C i+1 = E k (M i+1 ). En la figura 2.6, se muestra el diagrama de cifrado y descifrado de un mensaje, y también la posición de un atacante para realizar un ataque. M i C i M i = D K (E K (M i )) Cifrado Descifrado 2 y Figura 2.6. Posiciones de los diferentes atacantes en un esquema de cifrado y descifrado 30

11 3. Ataque eligiendo un texto en claro El criptoanalista tiene acceso al criptograma (C 1, C 2, C i ), y su texto en claro para varios mensajes (M 1, M 2, M i ). El objetivo será deducir las claves de cifrado para poder descifrar futuros mensajes con las mismas claves. Se selecciona un mensaje M i y C i = E k (M i ) tenemos, el algoritmo que permitirá conocer las claves será: C i+1 = E k (M i+1 ). 4. Ataque a partir de texto cifrado elegido Se eligen distintos criptogramas y el criptoanalista tiene acceso al texto claro obtenido mediante descifrado. El objetivo será deducir las claves de cifrado para poder descifrar futuros mensajes con las mismas claves. Si de un mensaje dado M i, C i = E k (M i ) tenemos M i, se desea conocer K. 5. Ataque buscando combinaciones de claves (Ataque de fuerza bruta) Una de las técnicas utilizada de éste tipo de ataque es el criptoanálisis diferencial. El algoritmo DES (que se sustituye por el AES) es uno de los algoritmos que puede ser atacado buscando combinaciones de claves SERVICIOS DE SEGURIDAD INFORMÁTICA Para contrarrestar las amenazas a la seguridad de un sistema de información, se definen varios servicios que hacen uso de uno o varios mecanismos de seguridad para proteger el proceso de datos y la transferencia de información, estos son: Autenticación o validación de identificación La validación de identificación (authentication) es la técnica mediante la cual se comprueba que el compañero de la comunicación es quien dice ser y no un impostor. La validación de la identidad ante un intruso mal intencionado es difícil y requiere protocolos complejos basados en criptografía. Es muy común confundir la autorización con la validación de la identificación. La validación de identificación se encarga de comprobar si realmente nos estamos comunicando con un proceso específico, mientras que la autorización se encarga de lo que puede hacer el proceso. 31

12 No repudio Ofrece protección a un usuario frente a que una entidad que envió o recibió información, alegue posteriormente, ante terceros, que no la envió o recibió. Esta protección se efectúa por medio de una colección de evidencias irrefutables que permitirán la resolución de cualquier disputa. El no repudio de origen protege al receptor de que el emisor niegue haber enviado el mensaje, mientras que el no repudio de recepción protege al emisor de que el receptor niegue haber recibido el mensaje. Las firmas digitales constituyen el mecanismo más empleado para este fin Control de acceso Requiere que el acceso a los recursos sea controlado y limitado por el sistema destino, mediante el uso de contraseñas o llaves de hardware. El control de acceso constituye una poderosa herramienta para proteger la entrada a un Web completo o sólo a ciertos directorios concretos e incluso a ficheros o programas individuales. Este control consta generalmente de dos pasos: En primer lugar, la autenticación, que identifica al usuario o a la máquina que trata de acceder a los recursos, protegidos o no. En segundo lugar, procede la cesión de derechos, es decir, la autorización, que dota al usuario de privilegios para poder efectuar ciertas operaciones con los datos protegidos, tales como leerlos, modificarlos, crearlos, etc Cifrado Garantiza que la información no es inteligible para individuos, entidades o procesos no autorizados (confidencialidad). Consiste en transformar un texto en claro mediante un proceso de cifrado en un texto cifrado, gracias a una información secreta o clave de cifrado Firma digital Este mecanismo implica el cifrado, por medio de la clave secreta del emisor, de una cadena comprimida de datos que se va a transferir. La firma digital se envía junto con los datos ordinarios. Este mensaje se procesa en el receptor, para verificar su integridad e identidad. Juega un papel esencial en el servicio de no repudio. 32

13 Tráfico de relleno Consiste en enviar tráfico espurio junto con los datos válidos para que el atacante no sepa si se está enviando información, ni qué cantidad de datos útiles se está transmitiendo Control de encaminamiento Permite enviar determinada información por determinadas zonas consideradas clasificadas. Asimismo posibilita solicitar otras rutas, en caso que se detecten persistentes violaciones de integridad en una ruta determinada Unicidad Consiste en añadir a los datos un número de secuencia, la fecha y hora, un número aleatorio, o alguna combinación de los anteriores, que se incluyen en la firma digital o integridad de datos. De esta forma se evitan amenazas como la reactuación o resecuenciación de mensajes. 33