TEMA 5: Seguridad Informática

Riesgos informáticos causados por fenómenos físicos. • El único que está en peligro no es el sistema, sino también el propio usuario. • Riesgos para el usuario ...
1MB Größe 38 Downloads 67 vistas
Contenidos:

TEMA 5: Seguridad Informática Informática Básica Publicidad y Relaciones Públicas Curso 2007/2008

1. Definiciones 2. Clasificación de los riesgos informáticos 2.1. Provocados por fenómenos físicos 2.2. Provocados por personas 2.3. Provocados por software dirigido por personas 2.4. Provocados por software no dirigido 2.5. Otros riesgos 3. Medidas de protección 3.1. Software de seguridad 3.2. Políticas de seguridad 4. Conclusiones

Carlos Garre del Olmo. Departamento de Arquitectura de Computadores. Escuela Superior de Ingeniería Informática.

1. Definiciones

2. Clasificación de los riesgos informáticos

• Seguridad Informática: disciplina que estudia la forma de conservar la integridad, privacidad, y buen uso de los sistemas informáticos y sus usuarios, estableciendo unas medidas de defensa ante cualquier daño accidental o intencionado.

• Normalmente se estudian dividiéndolos en riesgos físicos y riesgos lógicos.

• Integridad: el sistema va a funcionar correctamente, y no se va a perder ninguna información. Aplicado a los usuarios, se refiere a que el usuario no sufra ningún daño físico o moral. • Privacidad: los datos que maneja el sistema no podrán ser vistos ni modificados por personas o sistemas no autorizados. • Buen uso: el sistema va a realizar únicamente la tarea para la cual fue concebido.

• Nosotros planteamos un nuevo punto de vista, estableciendo una división en función de quién es el causante del riesgo: – Fenómenos físicos: no hay ninguna persona relacionada directa o indirectamente con la causa del riesgo. – Persona: una persona es la causa directa del riesgo. – Software dirigido por una persona: un programa o programas utilizados por una persona son la causa del riesgo. – Software no dirigido: un programa es la causa del riesgo, actuando “por su propia voluntad”. Normalmente este programa fue creado por un programador con la intención de comprometer la seguridad de uno o varios sistemas.

2.1. Riesgos informáticos causados por fenómenos físicos • El único que está en peligro no es el sistema, sino también el propio usuario. • Riesgos para el usuario causados por fenómenos físicos: – Malas posturas, interfaz poco saludable (ergonomía). – Electrocución, quemaduras, …

• Riesgos para el sistema causados por fenómenos físicos: – Catástrofes: incendios, inundaciones, … – Rotura o mal funcionamiento del hardware.

Riesgos informáticos causados por fenómenos físicos: Electrocución y quemaduras • Los equipos informáticos suelen trabajar con altos voltajes, suficientes para poner en peligro de muerte al usuario: – El ordenador se alimenta de la red eléctrica (220V). – La fuente de alimentación jamás debe abrirse, aunque el ordenador esté apagado y desconectado (los condensadores retienen la carga eléctrica durante mucho tiempo). – Las pantallas pueden trabajar con voltajes altísimos (¡aproximadamente mil voltios por pulgada, en pantallas CRT!). – Cuidado con los cortocirtuitos (derrame de líquidos, enchufes en mal estado, etc…).

Riesgos informáticos causados por fenómenos físicos: Malas posturas (ergonomía) • Ergonomía: disciplina que estudia la adaptación del hombre al trabajo con las máquinas. Estudia, entre otras cosas, cuál debe ser la postura correcta al trabajar con el ordenador, para que el usuario no sufra daños. Consejos generales: • Levantarse de la silla con cierta frecuencia. • Mirar a la lejanía con cierta frecuencia. • Teclado a la altura de los codos. • Pantalla a la altura de los ojos. • Espalda y cuello rectos. • Resolución y tamaño de pantalla adecuados para no forzar la vista. • En pantallas antiguas (CRT), incrementar en lo posible la frecuencia de actualización.

Riesgos informáticos causados por fenómenos físicos: Catástrofes naturales • Los equipos informáticos están ubicados físicamente en una estancia en la que puede ocurrir cualquier tipo de catástrofe: incendios, inundaciones, … • Esto mismo incluso puede ser provocado por el hombre: sabotajes, terrorismo, … • A veces estos desastres pueden ocurrir de las formas más tontas: ¡derrame del líquido de un aparato de aire acondicionado encima de un ordenador!

Riesgos informáticos causados por fenómenos físicos: Rotura o mal funcionamiento del hardware • El hardware puede estropearse por diversos motivos, a veces incluso sin causa aparente (por muchas medidas que se tomen, los aparatos tienen un tiempo de vida limitado). • La rotura de un disco duro puede provocar la pérdida de datos valiosísimos, ¡pudiendo incluso dar lugar a la quiebra de una empresa! • Es necesario tomar medidas no sólo para evitar estos riesgos, sino también para poder actuar cuando irremediablamente ocurran: – Políticas de backup. – Redundancia: sistemas RAID.

2.2. Riesgos informáticos causados directamente por personas • Un sistema informático no sólo está en peligro ante personas que no tengan un acceso autorizado al mismo, sino también incluso por los propios usuarios legítimos del mismo. • Los posibles riesgos causados directamente por personas son: – Ingeniería social: manipulación psicológica de los usuarios. – Uso fraudulento del sistema: uso del sistema por personas no autorizadas. – Uso inapropiado del sistema: los propios usuarios no utilizan el sistema para lo que éste está pensado. – Uso ignorante del sistema: los propios usuarios desconocen la forma correcta de trabajar con el sistema (analfabetismo informático).

Riesgos informáticos causados directamente por personas: Ingeniería Social

Riesgos informáticos causados directamente por personas: Ingeniería social: Phishing

• Ingeniería social: técnicas sociales y psicológicas que mediante el engaño consiguen manipular a un usuario para que éste haga algo que no le conviene, o revele información sensible.

• ¡¡¡Nunca jamás introduzcas una contraseña en una página a la que te lleve un email!!!

• Hoy día, una de las técnicas más habituales y más peligrosas de ingeniería social es el phishing: Un “ingeniero social” escribe un email haciéndose pasar por un banco. En el email avisa de que por motivos de seguridad el usuario debe entrar en una página e introducir ahí la constraseña de su cuenta bancaria.

¡¡¡En realidad esa página es falsa, y esa persona tiene ahora tu contraseña para hacer lo que quiera con tu dinero!!! – Es muy fácil trucar la dirección de correo para que creas que quien te escribe es tu propio banco. – Es muy fácil trucar la dirección de la página para que parezca que es la de tu propio banco.

Riesgos informáticos causados directamente por personas: Uso fraudulento del sistema

Riesgos informáticos causados directamente por personas: Uso inapropiado del sistema



Una persona no autorizada puede sentarse delante de un ordenador y utilizarlo.



Los usuarios utilizan el sistema para fines diferentes para los cuales fue diseñado o instalado.



Para evitarlo es importante tener un buen sistema de contraseñas, o incluso barreras físicas (vigilancia del edificio, sistemas biométricos, …).



Los empleados de una empresa muchas veces utilizan el ordenador para:



El acceso fraudulento se puede producir sin necesidad de una presencia física de la persona. Estos casos se verán más adelante.

– – – –



Ver chistes, vídeos de youtube, archivos PPS, … Chatear, escribir emails personales, … Jugar, Cualquier otro uso indebido: pornografía…

Un buen administrador de sistemas sabrá tomar medidas contra el uso indebido: – Políticas que restringen el acceso de los usuarios a ciertos servicios (proxy). – ¡¡¡Registro de la actividad de todos los usuarios (log)!!!!



Riesgos informáticos causados directamente por personas: Uso ignorante del sistema • Un “analfabeto informático” puede poner en peligro el sistema de varias formas: Haciendo un uso incorrecto del mismo. Facilitando los accesos fraudulentos a otras personas. Facilitando la entrada de virus en el sistema. • Las empresas deben tomar dos medidas ante esto: Formación de los empleados. Hacer los sistemas inmunes a los posibles daños causados por un uso ignorante.

Todo empleado debería saber que todos sus actos ante el ordenador pueden estar siendo registrados.

2.3. Riesgos informáticos causados por software dirigido por una persona • Hacker: su significado original dista mucho del utilizado actualmente (tergiversado por los medios de comunicación): La gente “de a pie” llama hacker a una especie de “delincuente informático” que se dedica a penetrar de forma no autorizada en los sistemas informáticos, bien por beneficio propio o bien por simple diversión. En realidad, el término hacker se refiere a un “gurú” o experto en alguna rama de la informática (aunque se aplica también en otros campos). Lo que caracteriza a un hacker es su afán por comprender en profundidad la tecnología, y no conformarse con simplemente ”utilizarla”. • Cracker: su significado también se ha tergiversado. La gente “de a pie” llama cracker a un experto en informática que se dedica a realizar ingeniería inversa, principalmente para desproteger el software comercial. “Gracias” a ellos existen los programas pirata: juegos, sistemas operativos, aplicaciones, … En realidad, un cracker es un tipo de hacker que utiliza su conocimiento para fines lucrativos o malintencionados (black hat vs white hat).

Riesgos informáticos causados por software dirigido por una persona • Script Kiddie: Término despectivo utilizado entre los hackers para referirse a “niñatos” que se creen hackers sólo porque saben utilizar un programa sin ninguna complejidad técnica, que permite causar algún tipo de daño a un sistema. • Para el usuario medio, posiblemente un script kiddie representa una mayor amenaza que un hacker “auténtico”.

Término

Definición

Según los medios de comunicación

Hacker

Gran Experto en informática.

Delincuente informático que penetra en los sistemas sin autorización.

Cracker

Hacker que usa su conocimiento para “el mal”.

Delincuente informático que rompe las protecciones de copia del software.

Script Kiddie

Niñato que se cree que es un hacker.

-

Riesgos informáticos causados por software dirigido por una persona: Troyanos (Caballos de Troya) • Todo el mundo conoce la leyenda del caballo de Troya.

Riesgos informáticos causados por software dirigido por una persona • Hay muchas herramientas software (programas) que permiten realizar ataques contra sistemas informáticos. Algunas son utilizadas por los script kiddies, y otras requieren grandes conocimientos técnicos (utilizadas por hackers): Troyano: programa que se introduce en un sistema para facilitar un acceso total al atacante (generalmente, un script kiddie). Exploits: métodos que permiten explotar algún fallo de seguridad de un sistema operativo o una aplicación que se está ejecutando en el sistema. Herramientas para detectar vulnerabilidades: antes de explotar una vulnerabilidad, hay que localizarla.

• Además, se pueden realizar ataques desde aplicaciones comunes, como un simple navegador de Internet. Normalmente, se necesitan conocimientos técnicos avanzados.

Por ejemplo: utilizando la técnica de inyección SQL puedes conseguir acceso como administrador de un sitio web con sólo escribir una “frase mágica” cuando te pide la contraseña.

• Denegación de Servicio (DoS): no todos los ataques consisten en conseguir acceso a un sistema. Los ataques DoS son los que tienen como único fin bloquear un sistema para que deje de funcionar.

Riesgos informáticos causados por software dirigido por una persona: Exploits y Detección de vulnerabilidades

Los griegos no podían penetrar en la ciudad de Troya, y se les ocurrió el ingenioso sistema de hacer un regalo a la ciudad: un enorme caballo de madera que en realidad contenía en su interior una tropa de soldados griegos. Cuando todos dormían, los griegos salieron del caballo y arrasaron la ciudad.

• Un hacker que tenga fijado un objetivo normalmente actuará en tres pasos: • Detectar las vulnerabilidades del sistema. • Explotar esas vulnerabilidades. • Borrar sus huellas.

• Un Caballo de Troya informático funciona de la misma manera: entra en el sistema de forma aparentemente inofensiva (un archivo adjunto en un email, un juego que te copia un amigo, un programa que te bajas de eMule, …), y una vez dentro se activa y se convierte en una herramienta que, desde dentro, abre todas las puertas para que el atacante pueda tomar control total del sistema.

• Estas técnicas generalmente requieren grandes conocimientos técnicos, ya que hay que conocer en profundidad el sistema operativo o el software del sistema que se quiere atacar.

• ¡¡Un caballo de troya, o troyano, permite incluso ver y escuchar al usuario del ordenador, sin que éste lo sepa (siempre y cuando tenga webcam…)!!. Troyanos más famosos: Back Orifice NetBus SubSeven, …

• Entre las técnicas para detectar vulnerabilidades destaca el escaneo de puertos: Mediante unas herramientas específicas (por ejemplo, nmap), se puede ver qué servicios (puertos TCP) ofrece un sistema. • Para borrar las huellas hay muchas técnicas, entre las que destacan:

Uso de rootkits: un tipo especial de troyano que sirve para borrar todos los movimientos del hacker en el sistema. Uso de cadenas de proxies: el ataque no se realiza desde el propio ordenador del atacante, sino desde una cadena de ordenadores difícil de localizar.

2.4. Riesgos informáticos causados por software no dirigido

Riesgos informáticos causados por software no dirigido: Virus o gusanos

• Muchas veces no hay una persona manejando en tiempo real el software que provoca el daño al sistema, sino que el software fue programado con esa intención, y desde entonces actúa por sí mismo sin necesidad de intervención humana.

• Originalmente se llamaba virus informático a un software que tenía la capacidad de reproducirse a si mismo, de un modo similar a como lo hacemos los seres vivos (incluso simulando las mutaciones genéticas).

• Se pueden incluir en esta clasificación varios tipos de software diferentes: • Virus o gusanos: programas que se reproducen extendiéndose por la red. • Spyware: programas que se instalan en el sistema para robar información.

• Igual que ocurre con los términos hacker y cracker, los medios de comunicación han tergiversado el término virus, convirtiéndolo en un sinónimo de malware.

• En general, a cualquier programa creado con un fin malintencionado se le denomina Malware. Esto incluye no sólo a los virus y al spyware, sino también a los troyanos.

• Actualmente, se llama gusanos a lo que antes llamábamos virus: programas con la capacidad de reproducirse. • Muchos programadores de virus están más interesados en “crear vida” que en hacer daño. Su auténtica pasión es simular las características de los seres vivos en un programa informático. • Los virus que realmente hacen daños son los que, además de su capacidad de reproducción, contienen una carga dañina denominada Payload. El Payload es lo que provoca que algunos virus puedan, por ejemplo, borrar un disco duro.

Riesgos informáticos causados por software no dirigido: SpyWare • Spyware: programas que se instalan en el sistema sin el conocimiento del usuario, y se dedican a recabar información acerca del sistema y de los usuarios: • Qué software y hardware utiliza el sistema. • Qué páginas web suelen visitar los usuarios. • ¡¡Las contraseñas y números de tarjeta de crédito de los usuarios!! • A veces el spyware tiene intenciones comerciales (conocer los gustos de los usuarios para luego invadirlos con publicidad “personalizada”). • Otras veces, puede ser un auténtico peligro, ya que puede capturar todas nuestras contraseñas, e incluso nuestras conversaciones y nuestros emails. • Keyloggers: un tipo de spyware que captura todas nuestras pulsaciones de teclado para luego enviarlas como un fichero de texto al creador del programa.

2.5. Otros riesgos: publicidad no deseada • Además de los daños directos a los sistemas o a sus usuarios, existen otro tipo de daños bastante molestos, como es la publicidad no deseada. Básicamente existen dos formas: Spam: es el envío de publicidad por correo electrónico u otros medios informáticos. Los spammers conocen técnicas para encontrar direcciones de correo de miles de usuarios, y enviarles a todos ellos el mismo mensaje. El spam normalmente tiene fines lucrativos. AdWare: son programas que se instalan en el sistema (muchas veces sin que lo sepa el usuario), y que bombardean constantemente al usuario con publicidad que aparece directamente en la pantalla (sin necesidad de abrir un correo electrónico).

Otros riesgos: bulos • El spam no es el único correo que se envía masivamente por la red, sino que también, casi en mayor medida, circulan millones de mensajes que saturan las redes y confunden a los usuarios, conocidos como Hoax o Bulos. • Todos los hoax tienen en común que siempre piden al final del mensaje que lo reenvíes a todas las personas que puedas. En realidad, es una forma de reproducción, y para muchos están considerados como un tipo sutil de gusano. Sus formas más comunes son:

• Aviso de amenaza de un virus informático: ni Microsoft, ni AOL, ni ninguna compañía emiten este tipo de avisos por correo electrónico. Además, los efectos del supuesto virus siempre son exagerados. • Aviso de un nuevo tipo de delito: la policía jamás enviará correos electrónicos para avisar al público de una nueva forma de robo o secuestro. • Chantaje emocional: muchos de estos mensajes te engañan diciéndote que si lo reenvías aportarás un euro para que se opere una niña de 7 años con cáncer, o para que no maten a un perrito. • Comprobación de actividad en las cuentas: muchas veces se hacen pasar por administradores de Hotmail o algún otro servidor de correo, avisándote de que si no reenvías el mensaje considerarán que tu cuenta está inactiva y la borrarán.

3. Medidas de protección • Existen multitud de medidas de seguridad que pueden evitar en lo posible todos estos riesgos o, en el peor de los casos, mitigar sus efectos. • Algunas de estas medidas son simplemente programas que “combaten” contra el malware, mientras que otras son políticas de seguridad que imponen la forma en la que deben trabajar los usuarios para evitar estos riesgos. •Entre el software utilizado para mejorar la seguridad de un sistema destaca:

• Antivirus: programas para eliminar los virus del sistema, e impedir su entrada. • Firewall (cortafuegos): programas para evitar la accion de los hackers. • Software criptográfico: programas para mejorar la confidencialidad de los usuarios.

• Entre las políticas a aplicar para mejorar la seguridad destacan: • Políticas de backup: para evitar la pérdida de datos.

• Uso responsable de contraseñas: una mala contraseña no sirve para nada. • Barreras físicas y lógicas: impedir físicamente el acceso al sistema. • Ante todo: ¡¡prudencia e inteligencia!!

¡¡Cuando reenvías indiscriminadamente uno de estos bulos, estas ayudando a los spammers, y provocando la saturación de la red!!

3.1. Software de seguridad: Antivirus •Los antivirus son programas informáticos que monitorizan el sistema para evitar la entrada de virus conocidos, y para eliminar los que ya hayan penetrado en el sistema. • El antivirus debe actualizarse periódicamente para recibir datos sobre los nuevos virus existentes. Hay una constante guerra entre los programadores de virus y los programadores de antivirus. • Son el sistema inmunológico del ordenador: Si no tenemos anticuerpos contra un tipo de virus, no podemos defendernos. En el ordenador ocurre lo mismo: si no tenemos el antivirus actualizado, éste no reconocerá a los nuevos virus y no podrá defenderse.

Software de seguridad: Firewall o Cortafuegos • Un cortafuegos es un programa que controla todas las conexiones que establece nuestro ordenador con otras máquinas de Internet: - Controla quién se puede conectar a nuestro ordenador y cómo (entrada). - Controla dónde se puede conectar nuestro ordenador (salida). - Son el muro que tienen que saltar los hackers.

•Existen principalmente dos tipos. La mayoría de los cortafuegos actuales combinan estas dos técnicas: • Filtrado por paquetes: controla las conexiones en función del tipo de paquetes TCP/IP que circulan (a qué puerto de qué máquina me puedo conectar, …). • Filtrado por aplicación: controla las conexiones en función de qué programa las creó (¿tiene sentido que Word intente enviar información a través de Internet?).

• Los antivirus actuales detectan y destruyen cualquier tipo de malware: Gusanos, troyanos, spyware, rootkits, …

• Sistema de Detección de Intrusos (IDS): es un tipo de cortafuegos más avanzado que permite identificar los ataques potenciales que está sufriendo el sistema.

• Existen antivirus comerciales (Norton, Panda, McAffee, Kaspersky, …), pero también gratuitos (ClamWin).

• Hay cortafuegos comerciales (ZoneAlarm, BlackIce, …) y también gratuitos (Comodo, IPTables, …).

Software de seguridad: Software Criptográfico • Criptografía: ciencia que estudia la forma de cifrar la información para que sólo pueda ser escrita y leída por las personas a quienes va dirigida. • Garantías que nos da el uso de la criptografía: • La información no va a poder ser leída por terceras personas. • La información ha sido escrita por quien dice haberlo hecho (si no, no sabría escribirla). • No es infalible, pero incrementa muchísimo la seguridad. • La usamos muchas veces sin darnos cuenta: • HTTPS: protocolo para ver páginas web encriptadas. • Certificados X.509: certificado de autenticidad de un sitio web. • PGP: programa criptográfico que garantiza la confidencialidad de la información, y al mismo tiempo proporciona un sistema de firmas electrónicas que permite garantizar la autenticidad de la información.

3.2. Políticas de Seguridad: Políticas de Backup • Backup: copia de seguridad de los datos que maneja un sistema (por ejemplo, los datos contenidos en el disco duro): Permite volver a poner en funcionamiento el sistema si ha habido un gran daño. Permite recuperar los datos que se hayan podido perder por diferentes causas: rotura del hardware, borrado accidental, ataque malintencionado, …

• Para todas las empresas es fundamental establecer una determinada política. Ejemplos:

Todos los viernes se guarda en una cinta o en DVDs toda la base de datos. Cada día de la semana se guardan todos los datos en una cinta, y a la semana siguiente se reescriben todas las cintas (cinta de los lunes, cinta de los martes, …).

• Los factores a tener en cuenta son:

Periodicidad: cuanto más tardes en hacer el backup, más días de trabajo perderás en caso de que se pierdan los datos. Rotación de las cintas: cada cuánto tiempo se sobreescribe la cinta para reemplazar un antiguo backup por uno nuevo. Ubicación física de las cintas: ¡¡¡no sirve de nada tener cien copias de los mismos datos si todas ellas arden juntas en un incendio!!! Debe haber al menos una copia guardada en un lugar geográfico diferente.

¡¡Nosotros en casa también deberíamos hacer backups de vez en cuando!!

Políticas de Seguridad: Uso de contraseñas • De nuestras contraseñas depende en gran parte nuestra seguridad. Hay programas diseñados específicamente para averiguar contraseñas, siempre y cuando éstas no estén escogidas sabiamente. • Algunos consejos:

• Las contraseñas deben tener al menos 8 caracteres (la dificultad de adivinar una

contraseña utilizando un programa crece exponencialmente con el número de caracteres). • Las contraseñas deben constar de números, letras, y símbolos. Nunca sólo números o sólo letras. • Las contraseñas no deben ser palabras comunes (“contraseña”, “password”, “caca”, “666”, …), ni fechas (10122007, 10/12/2007, …). • Las contraseñas no deben ser algo directamente relacionado con nosotros (nombre de nuestra mascota, número de nuestro DNI, …). • ¡¡La constraseña jamás debe ser igual al nombre de usuario o login!! • No debemos utilizar la misma contraseña en diferentes sitios.

4. CONCLUSIONES • Medidas de seguridad que debe tomar cada uno en su propia casa:

Asegurarnos de que el entorno de trabajo es saludable (ergonomía). Escoger de forma sabia nuestras constraseñas. Realizar periódicamente copia de seguridad de nuestro disco duro en un DVD. Utilizar un antivirus (por 0€ puedes instalar ClamWin). Utilizar un cortafuegos (por 0€ puedes instalar Comodo). ¡¡Uso responsable e inteligente de Internet!!

• Coste total de todas estas medidas: 2€ (precio del DVD regrabable).

• Con respecto al uso responsable e inteligente:

• No abrir ficheros adjuntos sospechosos (jamás ficheros .exe). • No reenviar mensajes en cadena. • Jamás introducir nuestra contraseña en una página a la que lleguemos a partir de un email o de otra página web. Para entrar en la web del banco, siempre escribiremos la dirección completa en el navegador. • No ejecutar programas cuya fuente no es del todo fiable (páginas web sospechosas, programas bajados de eMule, …). • Generalmente, los programas más populares son el objetivo principal de los atacantes. • Pensar antes de actuar.