Principis bàsics de la seguretat informàtica

Introducció

La Seguretat Informàtica s'encarrega de protegir la integritat i la privacitat de la informació emmagatzemada en el sistema informàtic d'una organització. De totes maneres, no existeix cap tècnica que permeti assegurar la inviolabilitat d'un sistema, però sí encaminades a obtenir alts nivells de seguretat.

Objectius principals:

• Detectar els possibles problemes i amenaces a la seguretat, minimitzant i gestionant els riscos.
• Garantir la utilització correcta dels recursos i les aplicacions del sistema.
• Limitar les possibles pèrdues i aconseguir la recuperació correcte del sistema en cas de patir un incident de seguretat.
• Complir amb el marc legal i amb els requisits imposats a nivell organitzatiu.

La informació:

• La informació és avui dia un dels actius més importants de les organitzacions, i ha de protegir-se.
• La informació es troba en diferents estats: Mentre es processa, en transmissió i emmagatzemada.
• Existeix en múltiples formes: paper, emmagatzemada electrònicament, transmesa per correu o mitjans electrònics, parlada en una conversa o un vídeo, etc.
• Cada estat i forma disposa d'una sèrie d'amenaces i vulnerabilitats de diferents nivells contra les quals cal protegir-la
• Antigament tot era suport i paper, i la seguretat era principalment física. Actualment el primordial és el suport informàtic i la seguretat lògica.

Amenaces:

• La informació i tots els suports que la sustenten en una organització (sistemes i xarxes) estan sotmesos cada vegada a més amenaces des de més fonts.
• Les clàssiques amenaces: frau, espionatge, sabotatge, vandalisme, foc, inundacions, etc.
• Les noves amenaces: virus, hackers, negació de servei, etc.
• Les organitzacions depenen cada dia més dels seus sistemes d'informació, i són més vulnerables
• La majoria dels SI no han estat dissenyats amb criteris de seguretat (no era prioritari, ex. TCP/IP)

Més endavant anirem veient com tot el relacionat amb la Seguretat Informàtica (amenaces, vulnerabilitats, atacs, mesures de seguretat, etc) ha anat augmentant i modificant-se amb el temps, fet que fa necessari estar al dia en aquesta matèria.

Veure: La ciberseguridad: una demanda creciente

Fiabilitat

A grans trets entenem que un sistema és segur, és a dir fiable, si es poden garantir tres aspectes: confidencialitat, integritat i disponibilitat.

• Confidencialitat: és la propietat que garanteix que la informació és accessible només per aquells autoritzats a tenir accés. Per tant ho podem entendre com la protecció de dades i d'informació intercanviada entre un emissor i un o més destinataris enfront de tercers.
• Integritat: és la propietat que busca mantenir les dades lliures de modificacions no autoritzades. La integritat d'un missatge s'obté per exemple, adjuntant-li un altre conjunt de dades de comprovació de la integritat: la signatura digital és un dels pilars fonamentals de la seguretat de la informació.
• Disponibilitat: és la capacitat que permet que la informació pugui ser accessible i es pugui utilitzar per els usuaris o processos autoritzats quan aquests ho requereixin.

És per això, que en termes generals, hem d'aconseguir garantir aquests tres aspectes perquè hi hagi seguretat en el sistema.

Depenen de quin sigui l'us que se li doni a un sistema, als seus responsables els interessarà donar prioritat a un aspecte pel damunt dels altres. Per exemple en un servidor de xarxa, se li donarà prioritat a la disponibilitat per davant de la confidencialitat i la integritat. En canvi en un banc se li donarà prioritat a la integritat, davant de la disponibilitat o confidencialitat, ja que és menys greu que un usuari pugui llegir el saldo d'un altre a que el pugui modificar. I en un cas en que es doni preferència a la confidencialitat respecte els altres dos pot ser un sistema militar, on donarà prioritat a aquest aspecte sobre la disponibilitat o integritat d'aquests.

Complementant els tres aspectes anteriors hi han dos més que convé tenir en compte: Autenticació i No repudi.

Aquests, juntament amb els tres anteriors completen les sigles CIDAN (Confidencialitat, Integritat, Disponibilitat, Autenticació i No repudi)

• Autenticació: L'autenticació és un servei de seguretat que permet verificar la identitat. Una signatura digital és un mecanisme que assegura la identitat del signant del missatge i per tant la seva autenticitat.
• No repudi o irrenunciabilitat: és un servei de seguretat que permet provar la participació de les parts en una comunicació (aquest servei està estandaritzat en la ISO-7498-2). Existiran per tant dues possibilitats:
  • No repudi en origen: L'emissor no pot negar que enviament perquè el destinatari té proves de l'enviament, el receptor rep una prova infalsificable de l'origen de l'enviament, la qual cosa evita que l'emissor, de negar tal enviament, tingui èxit davant el judici de tercers. En aquest cas la prova la crea el propi emissor i la rep el destinatari.
  • No repudi en destinació: El receptor no pot negar que va rebre el missatge perquè l'emissor té proves de la recepció. Aquest servei proporciona a l'emissor la prova que el destinatari legítim d'un enviament, realment ho va rebre, evitant que el receptor ho negui posteriorment. En aquest cas la prova irrefutable la crea el receptor i la rep l'emissor.

La possessió d'un document i la seva signatura digital associada serà prova efectiva del contingut i de l'autor del document.

Aplicant una mica la lògica podem crear una jerarquia amb les anteriors característiques:

Disponibilitat +

Confidencialitat

Integritat

Autenticació

No repudi -

És a dir, la primera característica a garantir és la disponibilitat. Si no tenim disponibilitat no poden haver-hi la resta de requisists, i així successivament.

Alta disponibilitat

Com hem vist amb anterioritat, la Disponibilitat es refereix a l'habilitat de la comunitat d'usuaris per accedir al sistema, sotmetre nous treballs, actualitzar o alterar treballs existents o recollir els resultats de treballs previs i per tant si un usuari no pot accedir al sistema es diu que està no disponible. Vist això podem dir que la Alta Disponibilitat és la garantia per l'usuari que quan vulgui accedir al sistema, aquest "sempre" estarà disponible.

Per tant la Alta Disponibilitat és la continuïtat operacional durant un període de temps donat.

El terme temps d'inactivitat (downtime) és usat per definir quan el sistema no està disponible. Podem dividir-lo en dos grups:

• Temps d'inactivitat planificat: són aquells períodes de temps en que no hi ha més remei que deixar el sistema no disponible per l'usuari per poder realitzar accions necessàries per el correcte funcionament (actualitzacions del sistema que requereixin reiniciar, etc) i en els que decidim quan fer-ho.
• Temps d'inactivitat no planificat: són aquells períodes de temps en que el sistema deixa d'estar disponible sense haver-ho previst (errors de hardware, tall del subministrament elèctric, etc)

La disponibilitat normalment es representa com un percentatge del temps (minuts) de funcionament respecte un any. Per tant tenint en compte que un any disposa aproximadament d'uns 525.600 minuts, si el sistema es troba amb un temps d'inactivitat no planificat de 10 hores l'any, direm que tindrem un percentatge de disponibilitat de 99.88%:

(Minuts d'inactivitat / Minuts any) *100 = Percentatge minuts inactivitat en un any 100 - Percentatge minuts inactivitat en un any =

Percentatge disponibilitat en un any

Els valors comuns de disponibilitat, conegut típicament com a nombre de "nous" per a sistemes altament disponibles són:

• 99,9% = 43.8 minuts/mes o 8,76 hores/any ("tres nous")
• 99,99% = 4.38 minuts/mes o 52.6 minuts/any ("quatre nous")
• 99,999% = 0.44 minuts/mes o 5.26 minuts/any ("cinc nous")

Exemples d'Alta disponibilitat: control aeri, banca, sistemes militars, etc.

Elements vulnerables en un sistema informàtic

Els principals elements vulnerables en un SI són Hardware, Software i dades. A vegades es parla d'un quart, que serien els elements fungibles (paper, impressores, ...)

El tema de seguretat s'ha de tractar genèricament, no individualment, ja que la seguretat de tot el sistema és igual a la del seu punt més dèbil.

El que és evident es que no serveix crear una bona seguretat, si després els usuaris no ajuden. És a dir, podem protegir el màxim el SI, però si un usuari es deixa la seva sessió oberta hi podrà accedir qualsevol i no haurà servit de res tota la seguretat del sistema. Per tant caldrà tenir un bon nivell organitzatiu amb unes normes i pautes.

Sistema de seguretat = TECNOLOGIA + ORGANITZACIÓ

Dels tres elements, les dades acostuma a ser el principal element a protegir, ja que acostuma a ser el principal objectiu de les amenaces, i el més important i difícil de recuperar per una organització. Un sistema operatiu es pot restaurar des de el seu origen (DVD, xarxa, USB, etc.), en canvi les dades, requereixen una bona política de copies, i tot i així es possible que s'acabi perden alguna informació.

Hem de tenir en compte a la hora de d'establir els criteris de seguretat, de contemplar els diferents nivells: locals, personals, individuals i globals. Segons això ens quedaria l'esquema següent (de més a menys profunditat):

Hardware +

Sistemes Operatius

Comunicacions

Físiques

Organitzatives

Legals -

És a dir, l'element més crític a protegir d'un sistema informàtic és el hardware.

Amenaces

Podem dividir-les en dos grups:

• Des de el punt de vista de qui o què les genera.
  • Físiques.
    • Persones (internes i externes).
    • Ambientals (Desastres naturals, incendis accidentals, tempestes i inundacions).
  • Lògiques.
    • Intencionades (malware).
    • Per error (bugs o forats).
• Des de el punt de vista de les tècniques utilitzades en l'atac.

Físiques

Poden estar provocades per persones, ja siguin internes de la organització o externes(hackers, crackers, ...) o per aspectes ambientals (de res serveix protegir-nos contra atacs de persones, si es produeix un incendi i se'ns destrueix tot).

• Persones
  • Internes: Persones que treballa dins una organització i que aprofita tot el coneixement que té d'aquesta per produir un atac, o simplement per un error o desconeixement de les normes de seguretat (no cal que sigui intencionat, per considerar-se una amenaça).
  • Externes:
    • Hackers: Són experts que aprofiten qualsevol forat en la seguretat per accedir al sistema d'una organització. Si aquest accés és per realitzar alguna acció destructiva (esborrar dades, agafar informació, ...) els anomenarem crackers. Hi han tres grups de hackers: white hat (depuren i arreglen errors o forats en el sistema), black hat (els que són destructius) i grey hat (que estan entre mig, fan coses bones i a vegades traspassen els límits).
    • Newbie: Algú que comença però no té gaires coneixements.
    • Wannaber: Hacker en potència, però que encara no té un reconeixement.
    • Lammer o Script-Kiddies: Es creuen hackers, però l'únic que fan és buscar i descarregar programes de hacking per després executar-los.
    • Phreaker: De phone freak ("monstre telefònic"). Són persones amb coneixements amplis tant en telèfons modulars (TM) com en telèfons mòbils.
    • Samurai: Normalment és algú contractat per investigar fallades de seguretat, que investiga casos de drets de privadesa, estigui emparat per la primera esmena nord-americana o qualsevol altra raó de pes que legitimi accions semblants. Els samurais menyspreen als crackers i a tot tipus de vàndals electrònics. També es dediquen a fer i dir com saber sobre la seguretat amb sistemes en xarxes.
    • Pirates informàtics o ciberdelinqüents: persones dedicades a realitzar actes delictius i perrseguits legalment (com la còpia i distribució de software, música, pel·lícules, etc, de forma il·legal o fraus bancaris o estafes econòmiques).
• Ambientals: Afecten a les instal·lacions i/o hardware contingut en elles i suposen el primer nivell de seguretat a protegir per a garantir la disponibilitat dels sistemes. Ho veurem amb més profunditat en la Seguretat Passiva

Lògiques

Quan parlem d'amenaces lògiques ens referim a software o codi que d'una manera o una altra poden afectar o malmetre el nostre sistema. Ja sigui de forma malintencionada (malware) o simplement per error (bugs o forats):

• Eines de seguretat: de la meteixa forma que es poden utilitzar per detectar i solucionar problemes de seguretat, poden ser utilitzades per detectar i aprofitar aquests problemes.
• Rogueware: falsos problemes de seguretat. Són falsos antiespies o antivirus (anomenats també Rogue, FakeAVs, Badware, Sacreware,....)
• Portes del darrera o backdoors: És un programari que permet l'accés al sistema operatiu de l'ordinador ignorant els procediments normals d'autentificació. Moltes vegades son accessos ràpids que es deixen els programadors per accedir a un sistema sense donar moltes voltes i que aprofiten els codis maliciosos per entrar en un sistema, a vegades només és una part del sistema que no s'ha protegit adequadament. Els principals programes d'accés als backdoors són: Back_Orifice, NetBus i Subseven.
• Virus: Codi maliciós que s'inserta en un programa (hoste) i quan aquest s'executa activa el virus. Ho veurem amb més detall en la part del malware.
• Cucs o Worms: Programa que s'executa, es propaga a si mateix a través de la xarxa, normalment a través del correu electrònic o Spam.
• Troians: Programes dissenyats per fer veure que són una cosa i en realitat contenen codi maliciós.
• Programes conill o bacteris: Programes que no fan res més que reproduir-se fins que colapsen el sistema (memòria, disc dur, ...)
• Canals coberts (Covert Channel): són ports de comunicació que permeten a un procés receptor i a un emissor intercanviar informació de manera que violi la política de seguretat del sistema; essencialment es tracta d'un mètode de comunicació que no és part del disseny original del sistema però que pot utilitzar-se per transferir informació a un procés o usuari que a priori no estaria autoritzat a accedir a aquesta informació.

Tècniques d'atac

Entre les moltes tècniques d'atac ens podem trobar:

• Malware: Programes malintencionats, els veurem amb més detall més endavant.
• Enginyeria social: Obtenir informació confidencial (per exemple credencials) a través de la manipulació i la confiança dels seus usuaris legítims.
• Scam: Estafa electrònica per mitjà de donacions, transferències, compra de productes fraudulents, etc.
• Spam: Correu o missatge basura, no desitjat o no sol·licitat, habitualment de tipus publicitari. Acostuma a ser una de les tècniques de la enginyeria social
• Sniffing: Rastrejar monitoritzant el tràfic d'una xarxa per fer-se amb informació confidencial.
• Spoofing: Suplantació d'identitat o falsificació (IP, MAC, taula ARP, web, ....)
• Pharming: És un atac al nostre ordinador amb la intenció de redirigir el trafic d'un lloc web a un altre de maliciós. Es pot fer canviant el fitxer hosts en l'ordinador de la víctima o aprofitant alguna vulnerabilitat del programari del servidor de DNS.
• Phishing: És un frau que es fa amb un correu electrònic o missatgeria instantània amb el que es demanen dades sobre les targetes de crèdit, claus bancàries, o altres tipus d'informació. Els missatges empren tot tipus d'arguments relacionats amb la seguretat de l'entitat per justificar la necessitat d'introduir les dades d'accés.
• Password cracking: És un procés informàtic que consisteix a desxifrar la contrasenya de determinades aplicacions seleccionades per l'usuari. Es busca codificar els codis de xifrat en tots els àmbits de la informàtica. Es tracta del trencament o desxiframent de les claus (passwords).
• Botnet: És un grup d'ordinadors (anomenats bots o zombies) connectats a Internet que involuntàriament, un cop han estat infectats amb un virus, un cuc o un troià, poden ser controlats remotament per realitzar tasques sense l'autorització del propietari i sense que aquest se n'adoni. Les botnets poden arribar a tenir milers o centenars de milers d'ordinadors sota control i es fan servir per a desfermar, per exemple, atacs massius de denegació de servei, enviar onades de correu brossa (spam) o infectar a altres ordinadors poc protegits.
• Denegació de servei o Denial of Service (DoS): Es tracta d'atacar a un servei del servidor com podria ser el servidor web ubicat al port 80, fent servir un bon número de màquines atacant al servidor, mitjançant trames IP amb flags erronis, per tal que el servidor augmenti el seu temps de processador, així farem que deixi de donar servei, ja que es quedarà sense memòria física.

Protecció

Fins ara hem vist de manera resumida tot el que envolta a la seguretat informàtica: elements a protegir, amenaces, origen d'aquestes, etc. i ara queda per comentar la protecció del sistema.

Per protegir un sistema, el que hem de fer es analitzar les possibles amenaces, les pèrdues que es podrien generar i la probabilitat que això succeeixi.

La forma comú de fer aquests anàlisis es mitjançant auditories de seguretat. Un cop tenim la auditoria hem de dissenyar el sistema de seguretat que hi aplicarem.

Auditoria

Els objectius d'una auditoria són:

• Revisar la seguretat dels entorns i sistemes.
• Verificar el compliment de la normativa i legislació vigents.
• Elaborar un informe independent.

Es realitza en base a un patró o conjunt de directrius o bones pràctiques suggerides. Existeixen uns estàndars que es poden seguir com a guia:

• COBIT : Objectius de Control de les Tecnologies de la informació.
• ISO27002: Codi internacional de bones pràctiques de seguretat de la informació.
• ISO27001: Defineix els requisits de les auditories i sistemes de gestió de seguretat.

No son excloents un dels altres, sinó que són completament complementaris.

Els serveis de l'auditoria consta de les següents fases:

• Enumerar sistemes operatius, serveis, aplicacions, topologies i protocols de xarxa.
• Detecció, comprovació i avaluació de vulnerabilitats.
• Mesures específiques de correcció.
• Recomanacions sobre implantació de mesures preventives.

Tenim diferents tipus d'auditories:

• Auditoria de seguretat interna: a nivell de seguretat de la xarxa local i de la organització a nivell intern.
• Auditoria de seguretat perimetral: estudi del perímetre de la xarxa local o corporativa connectada a xarxes públiques.
• Test d'intrusió: S'intenta accedir al sistemes per comprovar el nivell de resistència a la intrusió no desitjada.
• Anàlisis forense: anàlisis posterior d'incidents, es tracta de veure com s'ha penetrat en el sistema i els danys ocasionats (si això a causat la inoperatibilitat del sistema es denomina anàlisi post mórtem).
• Auditoria de codi d'aplicacions: anàlisi del codi independentment del llenguatge utilitzat.

Mesures de seguretat

A partir dels resultats de les auditories, hem de dissenyar una política de seguretat que defineixi responsabilitats i les regles a seguir per evitar les amenaces o minimitzar els seus efectes.

Més endavant veurem les diferents mesures de seguretat:

• Segons el recurs a protegir:
  • Seguretat física: hardware
  • Seguretat lògica: software
• Segons el moment en el que es posen en marxa les mesures:
  • Seguretat activa: preventiva
  • Seguretat passiva: correctiva