Seguridad en Los Sistemas Operativos
Sistema Operativo Linux
Seguridad de un sistema
Objetivo
Definición: El termino de seguridad se refiere a los problemas generales relativos a la garantía de que los archivos no sean leídos o modificados por un usuario no autorizado lo que incluye aspectos técnicos, de administración, legales y políticos, por un lado y los sistemas específicos del sistema operativo utilizados para proporcionar la seguridad, por el otro.
La seguridad de un sistema operativo está concebida para proteger los activos informáticos, entre los que se encuentran:
- La información contenida:
Se ha convertido en uno de los elementos más importantes dentro de una organización. La seguridad de un sistema operativo debe ser administrada según los criterios establecidos por los administradores y supervisores, evitando que usuarios externos y no autorizados puedan acceder a ella sin autorización. De lo contrario la organización corre el riesgo de que la información sea utilizada maliciosamente para obtener ventajas de ella o que sea manipulada, ocasionando lecturas erradas o incompletas de la misma. Otra función de la seguridad informática en esta área es la de asegurar el acceso a la información en el momento oportuno, incluyendo respaldos de la misma en caso de que esta sufra daños o pérdida producto de accidentes, atentados o desastres.
- La infraestructura computacional:
Una parte fundamental para el almacenamiento y gestión de la información, así como para el funcionamiento mismo de la organización. La función de la seguridad de un sistema operativo en esta área es velar que los equipos funcionen adecuadamente y prever en caso de falla planes de robos, incendios, boicot, desastres naturales, fallas en el suministro eléctrico y cualquier otro factor que atente contra la infraestructura informática.
- Los usuarios:
Son las personas que utilizan la estructura tecnológica, zona de comunicaciones y que gestionan la información. La seguridad de un sistema operativo debe establecer normas que minimicen los riesgos a la información o infraestructura informática. Estas normas incluyen horarios de funcionamiento, restricciones a ciertos lugares, autorizaciones, denegaciones, perfiles de usuario, planes de emergencia, protocolos y todo lo necesario que permita un buen nivel de seguridad informática minimizando el impacto en el desempeño de los funcionarios y de la organización en general y como principal contribuyente al uso de programas realizados por programadores.
Confiabilidad
Probablemente una de las características de los sistemas operativos, a la que mayor importancia le dan los administradores de sistemas es la confiabilidad. Linux tiene tras de sí 30 años de desarrollo en Unix, el cual tiene la reputación de ser el más confiable de todos, y no es una reputación gratuita, muchos servidores han estado en operación durante años sin tener que ser arrancados de nuevo por alguna falla. Esto significa que con Linux usted le dirá adiós a los errores graves y a las pantallas azules. A la compañía de las
ventanas le falta mucho camino por recorrer para lograr la estabilidad y confiabilidad de Unix.
¿Por qué es tan importante la confiabilidad? Por que un sistema
operativo que, aunque se instala fácilmente, frecuentemente
interrumpe la prestación de sus servicios por "caídas" inesperadas representa una pérdida para su negocio. Se ha preguntado ¿cuántas ventas y clientes se pierden cuando un servidor queda totalmente inutilizable durante períodos de tiempo intolerables?, ¿cuánto tiempo en horas hombre se desperdician por que el servidor de su intranet "se volvió a caer"?. Ahora piénselo dos veces antes de ejecutar los procesos operativos de su empresa en un sistema que no sea confiable.
Por si esto no es suficiente, ahora piense en la vulnerabilidad de Windows XXXX a los virus. Es posible que un virus creado hace 10 años afecte aún a servidores NT y se aloje en sector de arranque maestro, causando efectos devastadores. De nuevo, se ha preguntado ¿cuánto dinero gasta en la compra y actualización de software antivirus?, ¿a cuanto asciende el costo de tiempo e información valiosa perdidos por causa de algún virus?. Seguramente el costo no resulta nada trivial como para no ser tomado en cuenta. Si usted tiene problemas de virus sobra decirle que con Linux usted está a salvo, inmune, tranquilo.
Autenticación
En todo sistema Linux hay tres archivos que ofrecen el nivel mas básico de autenticación para el sistema local:
/etc/passwd
/etc/group
/etc/shadow
/etc/group
/etc/shadow
Cada usuario del sistema tiene un identificador de usuario único, el UID, asociado a su nombre de usuario (OBSERVACIÓN: es posible atribuir dos nombres de usuario a un mismo UID, creando una misma cuenta con dos nombres que pueden ser usados para hacer login). Cada usuario pertenece por lo menos a un grupo de usuarios, y cada grupo tiene un identificador único de grupo (GID) asociado al nombre del grupo.
El archivo /etc/passwd es un archivo de texto simple. Puede ser editado con cualquier editor de texto ejecutado como root, y contiene siete campos para cada usuario, separados por dos puntos:
- el nombre de usuario
- un x minúsculo (usualmente)
- el ID del usuario (UID)
- el grupo por defecto del usuario
- el nombre completo del usuario y, opcionalmente, informaciones adicionales en texto puro sobre él
- el directorio home del usuario
- el shell por defecto del usuario
El shell por defecto es particularmente importante para cuentas del sistema. Muchas herramientas del sistema y algunos aplicativos exigen sus propias cuentas de usuario para ser ejecutadas correctamente. Mientras, usted no querrá que alguna persona sea capaz de hacer login en nombre de esa tarea. Siendo así, un shell falso (generalmente /bin/false) es usado. Si no hubiese un shell válido, el usuario no puede hacer login.
En un pasado remoto y casi olvidado, el archivo /etc/passwd también contenía las contraseñas de los usuarios en texto puro. A medida que las redes crecieron, quedo claro que algún tipo de forma segura de almacenar contraseñas en un formato que no pudiese ser leído era una necesidad absoluta, y como de costumbre, un incidente de seguridad convenció a alguien de esa necesidad. En 1987, Julianne Haugh tuvo su sistema invadido y escribió la suite Shadow Password original, que contenía los comandos login, passwd y su. Las contraseñas shadow forman parte de Linux desde 1992, y la suite creció y hoy agrupa trenta comandos.
Al pasar el tiempo, el poder computacional creció y quedó mas fácil de romper incluso las contraseñas con hast; con eso Linux y otros sistemas UNIX migraran para sistemas de criptografía mas fuertes (normalmente el MD5). Además del nombre de usuario y de la contraseña con hash, el archivo /etc/shadow también contiene informaciones sobre el envejecimiento de la contraseña.
Seguridad de un sistema operativo
Dado el avance tecnológico en las telecomunicaciones, hoy día los sistemas de cómputo trabajan en un ambiente de intercomunicación global, por lo tanto la seguridad en los sistemas operativos es un aspecto de máxima importancia. A este respecto, podemos afirmar categóricamente que Linux es el sistema operativo más seguro que existe. Generalmente se cree que en Linux la administración de la seguridad es un rol de todo o nada, sin embargo sobran ejemplos que demuestran que la seguridad en Linux puede se configurada de acuerdo a necesidades particulares. Esta capacidad se debe a que la seguridad en Linux viene implementada desde el kernel, de modo que es posible configurarla a nivel de sistema de archivos, de servicios de red, de facilidades en el host y de capacidades de usuario.Si cree que este no es un factor determinante, piense por un momento en cualquier intruso accediendo su sistema DOS, Windows 3.X ó 9X, el cual puede obtener información confidencial o destruir todo el contenido del disco, y esto es solo un ejemplo. En tiempos recientes se han detectado "puertas traseras" en el software de Microsoft, por ejemplo, si usted introduce la frase "xxxxxx" en el IIS usted tiene acceso a todo el sistema. ¿Le parece 100% seguro un programa al que solamente los programadores de la compañía que lo vende tienen acceso al código fuente? Difícilmente.
Por otra parte, el alto nivel de seguridad de Linux se pone de
manifiesto por el hecho de que se ha mantenido inmune del ataque de los virus que constantemente asedian a Windows XXXX. Además, Linux ha sido utilizado en ambientes donde la seguridad es una necesidad a priori: instalaciones militares, plantas nucleares, oficinas federales, etc. Por lo tanto, a través del tiempo se han desarrollado mecanismos de seguridad altamente confiables, que hacen posible que Linux usted trabaje en un ambiente totalmente seguro.
Generalmente, los avances tecnológicos en el campo de la
autenticación y la encriptación se dan el ambiente Linux donde son adoptados en primera instancia y luego implementados por otros sistemas operativos. En realidad el tema de la seguridad puede abarcar capítulos enteros, sin embargo, basta mencionar el hecho de que en las diversas pruebas de seguridad que se han efectuado entre Linux y Windows NT, Linux ha salido avante siempre.
Seguridad Interna
La seguridad interna está relacionada a los controles incorporados al hardware y al Sistema Operativo para asegurar los recursos del sistema.
Seguridad Externa
La seguridad externa está compuesta por la seguridad física y la seguridad operacional. La seguridad física incluye la protección contra desastres (como inundaciones, incendios, etc.) y protección contra intrusos.
La seguridad externa no es responsabilidad del sistema sino de la persona u organización dueña del sistema. Esta seguridad externa a su vez se puede clasificar en seguridad física y seguridad operacional.
La seguridad física tiene que ver con proteger el equipo físico tanto de individuos no deseados como contra desastres ambientales, tiene que ver con lo que llamamos respaldo “backup”. Desde el problema ocurrido el 11 de septiembre en Nueva York las empresas y compañías le han prestado más importancia ala seguridad externa física.
La seguridad operacional tiene que ver con las personas que operan el sistema. Como por ejemplo, los cajeros automáticos necesitan mantenimiento, un banco podría contratar ha una persona que no tuviera conocimientos en electrónica, ni en programación para darle mantenimiento a los cajeros automáticos y así minimizar los riesgos de seguridad.
Fraudes en la computadora
Los distintos métodos para realizar estas conductas se deducen, fácilmente, de la forma de trabajo de un sistema informático: en primer lugar, es posible alterar datos, omitir ingresar datos verdaderos o introducir datos falsos, en un ordenador. Esta forma de realización se conoce como manipulación del input.
Tipos de delitos informáticos recogidos en el Código Penal
Partiendo de la base que no hay ningún apartado específico de delitos informáticos en el Código Penal, atenderemos a la clasificación de los mismos, siempre y cuando, los datos o sistemas informáticos formen parte de la comisión del delito, a saber:
<!--[if !supportLists]-->· <!--[endif]-->Las amenazas.
<!--[if !supportLists]-->· <!--[endif]-->Los delitos de exhibicionismo y provocación sexual.
<!--[if !supportLists]-->· <!--[endif]-->Los delitos relativos a la prostitución y corrupción de menores.
<!--[if !supportLists]-->· <!--[endif]-->Delitos contra la intimidad, el derecho a la propia imagen y la inviolabilidad de domicilio: El descubrimiento y revelación de secretos, p.e. La interceptación de correo vendría asimilada a la violación de correspondencia, siempre que no exista consentimiento y haya intención de desvelar secretos o vulnerar la intimidad de un tercero. También sería un delito contra la intimidad la usurpación y cesión de datos reservados de carácter personal.
<!--[if !supportLists]-->· <!--[endif]-->Delitos contra el honor: Calumnias e injurias, habiéndose especial mención cuando estas se realizaren con publicidad -se propaguen-.
<!--[if !supportLists]-->· <!--[endif]-->Las estafas.
<!--[if !supportLists]-->· <!--[endif]-->Las defraudaciones de fluido eléctrico. Incluye de forma expresa la defraudación en telecomunicaciones siempre y cuando se utilice un mecanismo para la realización de la misma, o alterando maliciosamente las indicaciones o empleando medios clandestinos.
<!--[if !supportLists]-->· <!--[endif]-->Los daños. Destaca de la ampliación de la definición existente con anterioridad, incluyendo un apartado específico para los daños inmateriales “La misma pena se impondrá al que por cualquier medio destruya, altere, inutilice o de cualquier otro modo dañe los datos, programas o documentos electrónicos ajenos contenidos en redes, soportes o sistemas informáticos”.
<!--[if !supportLists]-->· <!--[endif]-->Los delitos relativos a la propiedad intelectual (Cómo proteger las creaciones y proyectos que se desarrollan en mi empresa).
<!--[if !supportLists]-->· <!--[endif]-->Los delitos relativos a la propiedad industrial.
<!--[if !supportLists]-->· <!--[endif]-->Los delitos relativos al mercado y a los consumidores. Aquí se encontraría incluida la publicidad engañosa que se publique o difunda por Internet, siempre y cuando se hagan alegaciones falsas o manifiesten características inciertas sobre los mismos, de modo que puedan causar un perjuicio grave y manifiesto a los consumidores.
Ejemplos de fraudes de computadoras:
<!--[if !supportLists]-->· <!--[endif]-->Al correo electrónico de Federico Marín llegó un mensaje con el anuncio de que su cuenta en Bancolombia estaba bloqueada. Además, le pedía actualizar con urgencia sus datos a través de un enlace que lo llevaba a una página igual a la de la entidad bancaria. El tipeador dudó y se comunicó con la línea de atención al cliente y allí le confirmaron que todo era falso. Los delincuentes se roban las bases de datos de las entidades bancarias, luego montan una página igual a la del banco, cambiándole solo un pequeño detalle a la dirección web que, en todo caso, no puede ser la misma de la original. Los ataques han cambiado de objetivo: ya no buscan romper los sistemas de seguridad de las entidades, porque es más difícil, sino que aprovechan la poca cultura de la gente en temas de seguridad informática. Finalmente, envían una solicitud igual a la que le llegó a Federico. Las autoridades hacen un rastreo a este tipo de mensajes para luego informarle al Ministerio de Tecnologías de la Información cuál es el dominio que está siendo utilizado para realizar fraudes, con el fin de que sea cancelado.
<!--[if !supportLists]-->· <!--[endif]-->Un troyano está afectando a la banca chilena, a la mayoría de los bancos que utilizan tarjeta de coordenadas. Recuerda que tu banco NUNCA te pedirá todas las coordenadas de tu tarjeta, si por algún motivo esto te ocurre, con seguridad te encuentras siendo víctima de un fraude Lo que hace que este troyano (o malware) sea mas difícil de identificar que los típicos phishing, es que se ejecuta cuando el cliente infectado ingresa a la web de su banco. Esto no es un problema de seguridad del banco, sino un archivo infectado que esta ubicado en el computador del cliente. Este troyano tiene la lógica suficiente para identificar que se encuentra en un sitio web de un banco que utiliza tarjeta de coordenadas y entonces levanta una ventana con un “aviso de seguridad” solicitando realizar una “verificación del sistema” donde solicitan todas las coordenadas de la tarjeta. Se nota que este troyano ha sido realizado por expertos, ya que toma el diseño y datos de la web donde se ejecuta, confundiendo así más a los clientes.
<!--[if !supportLists]-->· <!--[endif]-->El 27 de diciembre del 2005, a María Ramírez, de 39 años de edad y con 15 años de experiencia en el sector bancario, le sacaron un millón de pesos de sus cuentas en el banco Santander Serfín. Dos años atrás había decidido acogerse a la comodidad prometida por el banco: acceso seguro a sus cuentas bancarias las 24 horas del día, desde cualquier computadora, independientemente del lugar del mundo donde se encontrara. Abrió tres cuentas de cheques y compró un servicio de enlace de Internet para administrarlas. Pero la noche del 27 de diciembre, alguien ajeno a ella transfirió los dineros de sus cuentas de cheques a su cuenta de enlace. De ahí, el dinero se movió a tres cuentas “desconocidas” en diez transferencias a otra institución bancaria. Ella tampoco ha podido recuperar su dinero.
Controles de programas
Es muy difícil de descubrir y a menudo pasa inadvertida debido a que el delincuente debe tener conocimientos técnicos concretos de informática. Este delito consiste en modificar los programas existentes en el sistema de computadoras o en insertar nuevos programas o nuevas rutinas. Un método común utilizado es el denominado Caballo de Troya, que consiste en insertar instrucciones de computadora de forma encubierta en un programa informático para que pueda realizar una función no autorizada al mismo tiempo que su función normal.
Controles de entrada y salida de datos
Manipulación de los datos de entrada: Este tipo de fraude informático conocido también como sustracción de datos, es muy común ya que es fácil de cometer y difícil de descubrir. No requiere de conocimientos técnicos de informática y puede realizarlo cualquier persona que tenga acceso a las funciones normales de procesamiento de datos en la fase de adquisición de los mismos.
Manipulación de los datos de salida se efectúa fijando un objetivo al funcionamiento del sistema informático. El ejemplo más común es el fraude de que se hace objeto a los cajeros automáticos mediante la falsificación de instrucciones para la computadora en la fase de adquisición de datos. En la actualidad se usan equipos y programas de computadora especializados para codificar información electrónica falsificada en las bandas magnéticas de las tarjetas bancarias y de las tarjetas de crédito.
Imagenes
