SEGURIDAD INFORMÁTICA I.S.C. EDGAR OMAR REYES RIVAS Elementos vulnerables en el sistema informático: hardware, software y datos. Un sistema informático, como todos sabemos, se compone de hardware, software, personal dedicado y de lo más importante, datos (el motivo de todo el sistema). Deben permitir tres operaciones principales. Almacenamiento, procesamiento y transmisión de esa información. En el almacenamiento y en la transmisión están sobre todo los puntos clave para que esa información pertenezca solamente a su dueño. Los posibles tipos de ataques pueden englobarse en cuatro grandes tipos: o Intercepción: Una persona, programa o proceso accede a una parte del sistema a la que no está autorizado. Es difícil de detectar (sniffers, keyloggers...) o Modificación: Además de tener acceso, modifica, destruye, reemplaza o cambia los datos o el funcionamiento del sistema. o Interrupción: Consiste en impedir que la información llegue a su destino. Es bastante fácil de detectar pero igual de difícil que los anteriores de evitar. o Generación. Se refiere a la posibilidad de incluir campos y registros en una base de datos, añadir líneas de código a un programa, añadir programas completos en un sistema (virus), introducir mensajes no autorizados por una línea de datos... Los elementos vulnerables a estos ataques son todos los que componen un sistema informático, esto es, como ya hemos dicho, hardware de software, personal dedicado y datos. o Ataques al hardware: Se pueden producir de forma intencionada o no. Incendios fortuitos en los sistemas, fallos físicos, rotura física de cables.... o Ataques al software: Se pueden centrar contra los programas del sistema operativo, a los programas de utilidad o a los programas de usuario. Necesita de mayores conocimientos técnicos (para los ataques hardware, por ejemplo, bastaría con unas tijeras, un mazo... cerillas...) Existe gran variedad de ataques software: o Bomba lógica: el programa incluye instrucciones que, al cumplirse una condición, provocan una distorsión del funcionamiento normal del programa, que normalmente, deriva en daños al ordenador que lo ejecuta. Esta técnica es usada por algunos programadores. Introducen en la aplicación un código que se activa en una fecha determinada para que, si no ha cobrado por su trabajo ese día, destruya la información del ordenador en el que ha sido instalado. o Virus. Todos sabemos lo que son, cómo se comportan e incluso habremos sufrido sus consecuencias. Hoy en día, la conectividad entre ordenadores hace que existan muchísimos más de los 30 o 40 mil conocidos a finales de los 80, y que su impacto, cuando logran trascender, sea mucho mayor. o 1 SEGURIDAD INFORMÁTICA o I.S.C. EDGAR OMAR REYES RIVAS Gusanos. Son programas que se replican, la línea que los separa de los virus es muy delgada. Backdoors puertas falsas: Son programas que permiten la entrada en el sistema de manera que el usuario habitual del mismo no tenga conocimiento de este ataque. o Caballos de Troya: El objetivo de estos programas no es el mismo para el que aparentemente están diseñados. Se utilizan normalmente para instalar puertas traseras. Ataques al personal: Aunque lo parezca, no consiste en perseguir con un cuchillo a los administradores. Se suele conocer más como ingeniería social. Consiste realmente en mantener un trato social con las personas que custodian datos. Indagar en sus costumbres o conocerlas más profundamente para perpetrar posteriormente un ataque más elaborado. La ingeniería social incluye desde suplantación de identidades confiables hasta la búsqueda en papeleras y basuras de información relevante. Análisis de las principales vulnerabilidades de un sistema informático. Los sistemas informáticos usan una diversidad de componentes, desde electricidad para suministrar alimentación a los equipos hasta el programa de software ejecutado mediante el sistema operativo que usa la red. Los ataques se pueden producir en cada eslabón de esta cadena, siempre y cuando exista una vulnerabilidad que pueda aprovecharse. El esquema que figura a continuación repasa brevemente los distintos niveles que revisten un riesgo para la seguridad: Los riesgos se pueden clasificar de la siguiente manera: Acceso físico: en este caso, el atacante tiene acceso a las instalaciones e incluso a los equipos: o Interrupción del suministro eléctrico. o Apagado manual del equipo. o Vandalismo. o Apertura de la carcasa del equipo y robo del disco duro. o Monitoreo del tráfico de red. Intercepción de comunicaciones: o Secuestro de sesión. o Falsificación de identidad. o Redireccionamiento o alteración de mensajes. Denegaciones de servicio: el objetivo de estos ataques reside en interrumpir el funcionamiento normal de un servicio. Por lo general, las denegaciones de servicio se dividen de la siguiente manera: o Explotación de las debilidades del protocolo TCP/IP. o Explotación de las vulnerabilidades del software del servidor. Intrusiones: Análisis de puertos. Elevación de privilegios: este tipo de ataque consiste en aprovechar una vulnerabilidad en una aplicación al enviar una solicitud específica (no planeada por su diseñador). En ciertos casos, esto genera comportamientos atípicos que permiten acceder al sistema con derechos de aplicación. Los ataques de desbordamiento de la memoria intermedia (búfer) usan este principio. 2 SEGURIDAD INFORMÁTICA I.S.C. EDGAR OMAR REYES RIVAS Ingeniería social: en la mayoría de los casos, el eslabón más débil es el mismo usuario. Muchas veces es él quien, por ignorancia o a causa de un engaño, genera una vulnerabilidad en el sistema al brindar información (la contraseña, por ejemplo) al pirata informático o al abrir un archivo adjunto. Cuando ello sucede, ningún dispositivo puede proteger al usuario contra la falsificación: sólo el sentido común, la razón y el conocimiento básico acerca de las prácticas utilizadas pueden ayudar a evitar este tipo de errores. Puertas trampa: son puertas traseras ocultas en un programa de software que brindan acceso a su diseñador en todo momento. Esfuerzo de protección La seguridad del sistema de un equipo generalmente se denomina "asimétrica" porque el pirata informático debe encontrar sólo una vulnerabilidad para poner en peligro el sistema, mientras que el administrador debe, por su propio bien, corregir todas sus fallas. Ataque por rebote Cuando se ejecuta un ataque, el pirata informático siempre sabe que puede ser descubierto, por lo que generalmente privilegia los ataques por rebote (en oposición a los ataques directos). Los primeros consisten en atacar un equipo a través de otro para ocultar los rastros que podrían revelar la identidad del pirata (como su dirección IP) con el objetivo de utilizar los recursos del equipo atacado. Esto comprueba la importancia de proteger su red o PC, ya que podría terminar siendo "cómplice" de un ataque y, si las víctimas realizan una denuncia, la primera persona cuestionada será el propietario del equipo que se utilizó como rebote. Con el desarrollo de las redes inalámbricas, este tipo de situación podría ser cada vez más común ya que estas redes no son demasiado seguras y los piratas ubicados en sus inmediaciones podrían usarlas para ejecutar un ataque. Amenazas tipos: Amenazas físicas y amenazas lógicas Amenazas físicas Entre las amenazas físicas a los equipos informáticos se encuentran los problemas de alimentación y enfriamiento, los errores humanos o actividades maliciosas, los incendios, las pérdidas y la calidad del aire. Algunas de estas amenazas, incluyendo aquellas relacionadas con la alimentación y algunas relacionadas con el enfriamiento y los incendios, se monitorean regularmente por medio de capacidades integradas en los dispositivos de alimentación, enfriamiento y extinción de incendios. Por ejemplo, los sistemas UPS monitorean la calidad de la energía, la carga y la integridad de las baterías; las unidades PDU monitorean las cargas de Los circuitos; las unidades de enfriamiento monitorean las temperaturas de entrada y salida y el estado de los filtros; los sistemas de extinción de incendios (los que exigen los códigos de edificación) monitorean la presencia de humo o exceso de calor. Por lo general, este tipo de monitoreo sigue protocolos que se comprenden bien, automatizados por medio de sistemas de software que recolectan, registran, interpretan y muestran la información. Las amenazas que se monitorean de esta manera, por medio de funciones reestructuradas incluidas en los equipos, no requieren un conocimiento o planificación especial por parte de los usuarios para una administración efectiva, siempre y cuando los sistemas de monitoreo e interpretación estén bien estructurados. Estas amenazas físicas monitoreadas en forma automática son una parte clave de los sistemas de administración integral, pero en este informe no se tratará este tema. Sin embargo, para cierta clase de amenazas físicas en el centro de datos –y hablamos de amenazas graves–, el usuario no cuenta con soluciones de monitoreo prediseñadas e integradas. Por ejemplo, los bajos niveles de humedad son una amenaza que puede encontrarse en cualquier sector del centro de datos, de modo que la cantidad y la ubicación de los sensores de humedad es un punto clave a tener en cuenta a la hora de controlar dicha amenaza. Este tipo de amenazas pueden estar distribuidas en cualquier sector del centro de datos, en distintas ubicaciones según la disposición de la sala y la ubicación de los equipos. Las amenazas físicas distribuidas que se explican en este informe se dividen en estas categorías generales: 3 SEGURIDAD INFORMÁTICA I.S.C. EDGAR OMAR REYES RIVAS • Amenazas a los equipos informáticos relacionadas con la calidad del aire (temperatura, humedad) • Filtraciones de líquidos • Presencia de personas o actividades inusuales • Amenazas al personal relacionadas con la calidad del aire (sustancias extrañas suspendidas en el aire) • Humo e incendios provocados por los peligros del centro de datos2 La Figura 1 ilustra la diferencia entre las amenazas digitales y las físicas, y la diferencia entre las amenazas físicas con monitoreo preestructurado de alimentación y enfriamiento por medio de equipos, y las amenazas físicas distribuidas (el tema de este informe) que requieren una evaluación, toma de decisiones y planificación para determinar el tipo, la ubicación y la cantidad de sensores de monitoreo. La falta de conocimientos y especialización a la hora de diseñar una estrategia de monitoreo eficaz puede redundar en negligencias al combatir este último tipo de amenaza física. 4 SEGURIDAD INFORMÁTICA I.S.C. EDGAR OMAR REYES RIVAS La Tabla 1 resume las amenazas físicas distribuidas, su impacto en el centro de datos y los tipos de sensores que se utilizan para monitorearlas. Tabla 1 – Amenazas físicas distribuidas Amenaza Tabla 1 – Amenazas físicas distribuidas Amenaza Definición Impacto en el centro de datos Tipos de sensores Temperatura del aire Temperatura del aire en la sala, el rack y los equipos Sensores de temperatura Humedad Humedad relativa de la sala y del rack a una temperatura determinada Filtraciones de líquidos Filtraciones de agua o refrigerante Error humano y acceso del personal Daños involuntarios causados por el personal Ingreso no autorizado y/o por la fuerza al centro de datos con intenciones maliciosas Fallas en los equipos y disminución de la vida útil de los equipos debido a temperaturas mayores de las especificadas y/o cambios drásticos de temperatura Fallas en los equipos debido a la acumulación de electricidad estática en los puntos de baja humedad Formación de condensación en los puntos de humedad alta Daños en los pisos, el cableado y los equipos causados por líquidos Indicios de problemas en la unidad CRAC Daño a los equipos y pérdida de datos Tiempos de inactividad de los equipos Robo o sabotaje de equipos Humo/incendios Incendio de equipos eléctricos o materiales Químicos suspendidos en el aire, como hidrógeno de las baterías, y partículas, como polvo Contaminantes peligrosos suspendidos en el aire Fallas en los equipos Pérdida de bienes y datos Situaciones de riesgo para el personal y/o falta de confiabilidad en el sistema UPS, y fallas debidas a la emanación de hidrógeno Fallas en los equipos debidas al aumento de la electricidad estática y a la obstrucción de filtros/ventiladores por la acumulación de polvo Sensores de humedad Sensores de cable de filtraciones Sensores puntuales de filtraciones Cámaras digitales de video Sensores de movimiento Conmutadores de rack Conmutadores de la sala Sensores de rotura de vidrios Sensores de vibración Detectores de humo suplementarios Sensores de químicos/hidrógeno Sensores de polvo Amenazas lógicas Bajo la etiqueta de `amenazas lógicas' encontramos todo tipo de programas que de una forma u otra pueden dañar a nuestro sistema, creados de forma intencionada para ello (software malicioso, también conocido como malware) o simplemente por error (bugs o agujeros). 5 SEGURIDAD INFORMÁTICA I.S.C. EDGAR OMAR REYES RIVAS Software incorrecto: Las amenazas más habituales a un sistema provienen de errores cometidos de forma involuntaria por los programadores de sistemas o de aplicaciones. Estos errores de programación se les denomina bugs, y a los programas utilizados para aprovechar uno de estos fallos y atacar al sistema Herramientas de seguridad: Cualquier herramienta de seguridad representa un arma de doble filo: de la misma forma que un administrador las utiliza para detectar y solucionar fallos en sus sistemas o en la subred completa, un potencial intruso las puede utilizar para detectar esos mismos fallos y aprovecharlos para atacar los equipos. Puertas traseras: Durante el desarrollo de aplicaciones grandes o de sistemas operativos es habitual entre los programadores insertar `atajos' en los sistemas habituales de autenticación del programa o del núcleo que se está diseñando. A estos atajos se les denomina puertas traseras, y con ellos se consigue mayor velocidad a la hora de detectar y depurar fallos: por ejemplo, los diseñadores de un software de gestión de bases de datos en el que para acceder a una tabla se necesiten cuatro claves diferentes de diez caracteres cada una pueden insertar una rutina para conseguir ese acceso mediante una única clave `especial'. Bombas lógicas: Las bombas lógicas son partes de código de ciertos programas que permanecen sin realizar ninguna función hasta que son activadas; en ese punto, la función que realizan no es la original del programa, sino que generalmente se trata de una acción perjudicial. Los activadores más comunes de estas bombas lógicas pueden ser la ausencia o presencia de ciertos ficheros, la ejecución bajo un determinado UID o la llegada de una fecha concreta; cuando la bomba se activa va a poder realizar cualquier tarea que pueda realizar la persona que ejecuta el programa: si las activa el root, o el programa que contiene la bomba está setuidado a su nombre, los efectos obviamente pueden ser fatales. Canales cubiertos: Los canales cubiertos (o canales ocultos, según otras traducciones) son canales de comunicación que permiten a un proceso transferir información de forma que viole la política de seguridad del sistema; dicho de otra forma, un proceso transmite información a otros (locales o remotos) que no están autorizados a leer dicha información. Los canales cubiertos no son una amenaza demasiado habitual en redes de I+D, ya que suele ser mucho más fácil para un atacante aprovechar cualquier otro mecanismo de ataque lógico; sin embargo, es posible su existencia, y en este caso su detección suele ser difícil: algo tan simple como el puerto finger abierto en una máquina puede ser utilizado a modo de covert channel por un pirata con algo de experiencia. Virus: Un virus es una secuencia de código que se inserta en un fichero ejecutable (denominado huésped), de forma que cuando el archivo se ejecuta, el virus también lo hace, insertándose a sí mismo en otros programas. Gusanos: Un gusano es un programa capaz de ejecutarse y propagarse por sí mismo a través de redes, en ocasiones portando virus o aprovechando bugs de los sistemas a los que conecta para dañarlos. Al ser difíciles de programar su número no es muy elevado, pero el daño que pueden causar es muy grande: el mayor incidente de seguridad en Internet fue precisamente el Internet Worm, un gusano que en 1988 causó pérdidas millonarias al infectar y detener más de 6000 máquinas conectadas a la red. Hemos de pensar que un gusano puede automatizar y ejecutar en unos segundos todos los pasos que seguiría un atacante humano para acceder a nuestro sistema: mientras que una persona, por muchos conocimientos y medios que posea, tardaría como mínimo horas en controlar nuestra red completa (un tiempo más que razonable para detectarlo), un gusano puede hacer eso mismo en pocos minutos: de ahí su enorme peligro y sus devastadores efectos. Caballos de Troya: Los troyanos o caballos de Troya son instrucciones escondidas en un programa de forma que éste parezca realizar las tareas que un usuario espera de él, pero que realmente ejecute funciones ocultas (generalmente en detrimento de la seguridad) sin el conocimiento del usuario; como el Caballo de Troya de la mitología griega, al que deben su nombre, ocultan su función real bajo la apariencia de un programa inofensivo que a primera vista funciona correctamente. Programas conejo o bacterias: Bajo este nombre se conoce a los programas que no hacen nada útil, sino que simplemente se dedican a reproducirse hasta que el número de copias acaba con los recursos del sistema (memoria, procesador, disco...), produciendo una negación de servicio. Por sí mismos no 6 SEGURIDAD INFORMÁTICA I.S.C. EDGAR OMAR REYES RIVAS hacen ningún daño, sino que lo que realmente perjudica es el gran número de copias suyas en el sistema, que en algunas situaciones pueden llegar a provocar la parada total de la máquina. Hemos de pensar hay ciertos programas que pueden actuar como conejos sin proponérselo Técnicas salami: Por técnica salami se conoce al robo automatizado de pequeñas cantidades de bienes (generalmente dinero) de una gran cantidad origen. El hecho de que la cantidad inicial sea grande y la robada pequeña hace extremadamente difícil su detección. Las técnicas salami no se suelen utilizar para atacar sistemas normales, sino que su uso más habitual es en sistemas bancarios; sin embargo, como en una red con requerimientos de seguridad medios es posible que haya ordenadores dedicados a contabilidad, facturación de un departamento o gestión de nóminas del personal, comentamos esta potencial amenaza contra el software encargado de estas tareas. 7