LA SEGURIDAD INFORMÁTICA Y LA LEY FEDERAL DE TRANSPARENCIA Y ACCESO A LA INFORMACIÓN Autores: M. en I.A. Miguel Alejandro Orozco Malo M. en A.C. Alejandro Rubio Pérez Problemática Uno de los aspectos más complejos que recientemente ha cobrado un interés central para los responsables de los sistemas computacionales en general, es garantizar la seguridad de las redes; la cual tiene como premisa básica permitir el acceso de los usuarios válidos de la red, y al mismo tiempo mantener a los intrusos (hackers, crackers, etc.) fuera de las mismas. Esta tarea se vuelve sumamente difícil cuando los intrusos disponen de información clave de las redes. Recientemente las instituciones públicas se han enfrentado con nuevo escenario que es la aprobación y entrada en vigor de La Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental. Esta ley tiene propósito facilitar al ciudadano el conocer información acerca de las instituciones que lo conforman. Sin embargo, por la falta de lineamientos en materia de seguridad informática, se puede comprometer además de la seguridad de la red, la información que contienen las computadoras del Gobierno Federal. Desde hace tiempo existe información útil a los posibles intrusos. Tradicionalmente, el Instituto Nacional de Estadistica Geografia e Informatica (INEGI) se encarga de recabar anualmente la información de los equipos de computo que integran las diferentes redes de cómputo de las instituciones que conforman el Gobierno Federal Mexicano. Esta información incluye la cantidad y tipo de equipos, los sistemas operativos y las marcas de bases de datos empleados, así como los equipos de comunicaciones. Igualmente, se incluye información sobre los programas administrativos que se utilizan en las Dependencias. Esta información está disponible al público en general y es útil para los intrusos, aunque no es suficiente, ya que esta en un formato muy general tal y 1
como lo indica él articulo 35 de los Lineamientos Generales para la Clasificación y Desclasificación de Documentos del IFAI. 1 Sin embargo, al obtener información adicional, se vuelve muy útil para los intrusos. Los resultados de las licitaciones públicas dan información disponible al público en general acerca de todo lo comprado por el Gobierno Federal, incluyendo sus características. Este otro elemento genera información útil a los intrusos. Adicionalmente, el hecho de que la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental permita que cualquier información (por ejemplo, datos de la configuración red) sea abierta al público, permite solicitar información clave que si no ha sido bien identificada, dará acceso a intrusos en la red de las Dependencias Gubernamentales. Uno de los elementos que pueden guiar la clasificación de elementos de información cibernética en relación con las redes, es el hecho que en los equipos usados por los empleados del Gobierno Federal contienen información de carácter personal, como direcciones (físicas o electrónicas), documentación acerca de su patrimonio tal como: Números y claves de tarjetas de crédito, declaraciones patrimoniales para la Secretaría de la Función Pública (antes SECODAM), palabras clave (passwords) para acceder a información personal de e-gobierno, cuentas del ISSSTE, cuentas de INFONAVIT, etc. Cabe mencionar que muchos de estos programas (y otros de e-méxico) almacenan archivos de configuración en los discos duros de las computadoras de los funcionarios para facilitar su uso y/o envían a la cuenta de correo del funcionario sus datos, que también se almacena en el disco duro. La confidencialidad de todas las configuraciones e información anterior es garantizada por los artículos 32 y 36 de los lineamientos de 1 INSTITUTO FEDERAL DE ACCESO A LA INFORMACION PUBLICA. Lineamientos para la clasificación y desclasificación de la información de las dependencias y entidades de la Administración Pública Federal. Diario Oficial de la Federación. 18 de agosto de 2003. Distrito Federal, México. 2
clasificación del IFAI 2. Además debe ser protegida la información relacionada a sus actividades (nóminas, estudios, manejo de personal, etc.) tal como lo observan los artículos 28 y 37 de los lineamientos antes citados. Propuesta de solución Por lo anterior, es necesario mantener en carácter de Reserva la información de los siguientes tópicos durante un tiempo de cuatro años, usándose como base la fecha de entrega al INEGI de la recopilación que guardan los equipos de computo, o antes, si los componentes o su arquitectura cambian de manera que no sea afectada la seguridad. 1. Direcciones IP y su asignación Primero, disponer de esta información facilita un ataque en que sea factible hacer que funcionen de manera errónea o, en el peor de los casos, dejen de trabajar equipos como monitores de antivirus, firewalls, switches, e IDS conectadas con direcciones IP. Segundo, los servidores típicamente cuentan con varias direcciones IP, entonces, si alguien conoce las direcciones IP de esta computadora tiene la oportunidad de lanzar un ataque de negación de servicios (DOS/DDOS - Denial Of Service/Distributed Denial Of Service), lo cual produce que la computadora deja de funcionar en red, impidiéndole responder a las peticiones realizadas a través de Internet. Además, por razones de facilidad, se tiende a asignar direcciones IP consecutivas a las computadoras que pertenecen al mismo grupo de trabajo. Cuando un hacker logra tener acceso a una de estas 2 IBIDEM. 3
computadoras, fácilmente puede obtener información de otras computadoras para seguir con su ataque. 2. Configuración de servidores y computadoras Si se conoce el sistema operativo de un servidor es posible generar ataques específicos apoyándose en los conocimientos de huecos de seguridad (bugs) de ese sistema operativo. La información relacionada con los problemas de seguridad es dada a conocer regularmente en INTERNET y es de acceso libre al público. Existen ataques en los que se explotan las debilidades de dominio público que se producen cuando dos o más sistemas interactúan entre sí. Existe una tendencia en dejar configuraciones genéricas o definidas por un tercero (generalmente el fabricante del software) las cuales permiten trabajar con programas mas allá de los estrictamente necesarios para la correcta operación del sistema operativo. Generalmente estas configuraciones contienen debilidades, lo cual posibilita el poder agregar programas invisibles de escucha (sniffers), o peor, habilitar el control a distancia del servidor por un tercero (hacking by trojans). 3. Equipo de red Los equipos de red, como switches, dial-up RAS (Remote Access Service), equipos Wireless (802.11, Bluetooth, entre otros) y en general todo servicio que tenga la opción de acceso remoto comúnmente almacena información crítica, como logins (nombres de usuario) y passwords (claves de acceso), todo ello con el fin de hacerle fácil el acceso al usuario. Aunque estos equipos tienen encripatada esta información, la fortaleza del algoritmo de 4
encriptación es mínima. En cuestión de horas, es posible obtener la información crítica. 4. Versiones de Programas de Software La gran mayoría de los programas tienen huecos de seguridad y de operación, que son ampliamente difundidos en Internet por organizaciones de seguridad (SANS, CERT, etc.) y son obviamente conocidos por los hackers. Estos huecos no siempre pueden ser corregidos: porque el software no puede ser modificado por el usuario ( es el caso del software propietario o licenciado ) o bien el fabricante ya no le da soporte (i.e. versiones desactualizadas tecnológicamente o por marketing). Cuando se da a conocer un hueco (bug) de seguridad en un software, se inicia el desarrollo de su corrección. Desde ese momento, existe un período de vulnerabilidad el cual típicamente es de una semana hasta 6 meses. Cuando se da a conocer su corrección (difusión e instalación de parches), termina el periódo de vulnerabilidad, pero es mas que suficiente para que los hackers actuen. Además, existe la agravante de que a veces se desconoce la importancia de realizar las correcciones o bien no se puede instalar esos parches porque se perdería alguna funcionalidad básica del programa cuando de esta a su vez dependen de él otros programas. 5. Firewalls Estos programas son críticos para la seguridad de la red. Un hacker que tenga acceso a la información referente a la versión o configuración del firewall, tiene muchas ventajas. Además, existe una circunstancia agravante ocasional: si el administrador del firewall no cambia el login y password del sistema se crea una brecha 5
de seguridad. Esto se debe a que algunos sistemas de firewall incluyen por definición, una clave se acceso y una contraseña, los cuales son estándar para esa versión de Firewall. Así que un hacker, puede obtener la documentación correcta y acceder al firewall. Si al instalar o reinstalar el firewall no se realiza de forma inmediata este cambio, no hay garantía que pasados unos minutos, un hacker afortunado tome control del mismo. Esto es equivalente a que un banco publique cuales son las cajas fuertes de cada una de sus sucursales e incluya un plano con las instalaciones de seguridad de estas, así como el número de guardias, sus armas, sus posiciones y horarios. Por definición, les facilita a los asaltantes su trabajo. 6. Arquitectura de la Red Conocer de que elementos consta y cual es la organización de una red, simplifica a los hackers realizar sus ataques. El hacker sabe que existen equipos clave y pueden concentrar sus esfuerzos en ellos. Es decir, en lugar de atacar muchas computadoras, el hacker concentra sus esfuerzos en pocas computadoras. Esto hace que el hacker sea menos detectado, y eso incrementa sus posibilidades de éxito. Los proveedores que dan soporte a la red deberían tener un acuerdo firmado de confidencialidad en que se comprometan a no divulgar información. Todo lo anterior es con el fin de facilitar la labor de dar seguridad a los responsables de las redes. Es importante hacer notar que existen responsabilidades tanto penales como las de servidores públicos, que difícilmente pueden se cumplir si no hay apoyo. 6
Conclusiones La alternativa propuesta a la problemática de seguridad expuesta es una solución viable a la necesidad de seguridad informática en el gobierno Federal de México. Referencias Bibliográficas INSTITUTO FEDERAL DE ACCESO A LA INFORMACION PUBLICA. Lineamientos para la clasificación y desclasificación de la información de las dependencias y entidades de la Administración Pública Federal. [ Documento PDF]. Diario Oficial de la Federación. Distrito Federal, México. 18 de agosto de 2003. [fecha de consulta: 10 de agosto de 2003] Disponible en: http://www.ifai.org.mx/nivel2/acceso.html H. Congreso de la Unión. Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental [ en línea]. Diario Oficial de la Federación. Distrito Federal, México. 11 de junio de 2002. [fecha de consulta: 10 de agosto de 2003] Disponible en: < http://www.elaw.org/resources/text.asp?id=1544 > Robert D. Austin, Christopher A.R. Darby. The Myth of Secure Computing [ Documento PDF]. Harvard Business Online. Cambridge, Massachusetts E.U.A. 1 de junio de 2003. [fecha de consulta: 25 de junio de 2003] http://harvardbusinessonline.hbsp.harvard.edu/b02/en/common/item_detail.jhtml?i d=r0306j 7