arso-m7: administracio de la seguretat - resum

Mòdul 7: Administració de la seguretat – Activitat de Resum

1. Seguretat informàticaAl parlar de la seguretat d'un sistema informàtic s'està fent referència a un procés obert que

tractarà de fer el sistema el més fiable possible, ja que és gairebé impossible fer que el sistema

sigui absolutament inviolable. Un sistema informàtic és fiable si compleix tres propietats:

confidencialitat (accés als recursos els elemets autoritzats a fer-ho), integritat (només elements

autoritzats poden modificar o alterar recursos) i disponibilitat (els recursos han d'estar

accessibles).

1.1 Tipus d'atacsLa protecció ha d'estar adreçada a programari i maquinari, però també especialment a les dades,

degut que és possible substituir el maquinari i el programari, peró les dades en cas d'atac es

poden perdre definitivament.

Els atacs que poden afectar a aquests elements (programari, maquinari i dades) els podem

classificar en quatre grups: interrupció (atac contra la disponibilitat on un recurs es destrueix o

queda no disponible), intercepció (atac contra la confidencialitat en el que un element no autoritzat

accedeix a recursos), modificació (atac contra la integritat on a més d'accés no autoritzat es poden

esborrar, alterar o modificar recursos ) i fabricació (atac contra la integritat en el que s'aconsegueix

crear o introduir objectes al sistema).

1.2 Atacs provinents de personesLa major part dels atacs provenen de persones que tenen diferents objetius, per aquest motiu és

important conèixer quina és la motivació d'aquestes persones per prevenir i detectar aquestes

accions.

Els atacs és poden classificar en passius i actius. En el cas dels atacs passius no es modifica ni

destrueix cap recurs i l'atacant es limita a observar per obtindre informació confidencial, sobretot la

que circula per la xarxa; aquest tipus d'atac és difícil de detectar i per això és important la

prevenció utilitzant tècniques criptogràfiques. En els atacs actius s'alteren o destrueixen recursos i

poden donar lloc a problemes greus com: suplantació identitat, reactuació, degradació fraudulenta

del servei i modificació de missatges.

En quant als atacants tenen diferents perfils i diferents motivacions, peró entre ells tenim per

exemple personal de la mateixa organització que no tenen perquè ser intencionats i poden tindre

greus conseqüències, antics treballadors que fan que sigui important donar de baixa les comptes

d'aquests antics treballadors i canviar contrasenyes, hackers o intrusos informàtics que sobretot

efectuen atacs passius normalment aprofitant vulnerabilitats dels sistemes operatius i programari

per obtenir informació confidencial, on les seves intrusions són difícils de detectar i moltes

1


vegades aprofiten l'enginyeria social o manipulació de les persones per fer determinades accions,

i per últim els intrusos remunerats, que es troben organitzats, amb molts mitjans tècnics i ataquen

conjuntament un sistema, intentant accedir a informació confidencial o provocar danys a la imatge

de l'organització.

1.3 Mecanismes de seguretatLes mesures de seguretat les podem classificar en: mesures de prevenció que incrementen la

seguretat del sistema durant el seu funcionament, mesures de detecció que busquen detectar les

instrusions, i mesures de recuperació que permeten recuperar el correcte funcionament del

sistema una vegada s'ha produït l'atac.

En cas de detectar un atac és important tindre un protocol d'actuació, que inclouria les següents

accions: desconectar l'equip de la xarxa per evitar danys mes greus i s'esborrin les emprentes

deixades per l'atacant, fer còpies de baix nivell sobre les que es faran els anàlisi posteriors,

compilar tota la informació possible, com logs, programari instal·lat per l'atacant i forma en que

s'accedit al sistema, recuperar i actualitzar el sistema per eliminar les vulnerabilitats que s'haguin

pogut aprofitar, i informar ràpidament al cap de l'organització, al Computer Emergency Response

Team (CERT), inclús si és el cas a la policia, si cap màquina s'ha utilitzat per accedir a altres

màquines.

2. Seguretat de l'entornEl maquinari és normalment l'element més car d'un sistema informàtics, fent per tant que els atacs

que els afecten puguin provocar pèrdues molt grans per l'organització. Això fa que sigui molt

important implantar mesures de protecció física que evitin l'accés no autoritzat als recursos físics

del sistema.

Entre les mesures de prevenció trobem: servidors i elements centrals en zones d'accés restringit,

dispositius d'emmagatzemament en lloc diferent de la resta de maquinari, inventaris i registres de

tots els elements del sistema, protegir i aïllar el cablatge de xarxa, instal·lar càmeres de

videovigilància, protectors de pantalla amb contrasenya, contrasenyes en la BIOS, desactivar

opcions de autocompletar i recordar contrasenyes en navegadors, topologies de xarxa

adequades, garantir la seguretats del maquinari de xarxa i contrasenyes per tots els usuaris del

sistema.

Trobem aleshores el concepte d'autenticació, que consisteix en el procés de verificació d'una

persona o procés que vol accedir al sistema; dintre dels mecanismes d'autenticació, trobem de

diferent tipus i cost, aleshores s'ha de trobar el més adhient per l'organització en el que s'ha

d'emprear.

2


2.1 Mecanismes d'autenticació d'usuarisEls mecanismes d'autenticació els podem classificar en:

– sistemes basats en elements coneguts per l'usuari: principalment serien sistemes basats en

contrasenyes, que són els més barats però els més vulnerables, i encara que s'utilitzi amb

sistemes de xifratge aquestes contrasenyes encara poden ser desxifrades. Per això, hi ha un

seguit de bones pràctiques recomenades en referència a les contrasenyes.

– sistemes basats en elements que posseeix l'usuari: en els que podem fer la distinció entre

sistemes basats en targetes intel·ligents i tokens de seguretat i sistemes biomètrics.En els

primers, les targes intel·ligents tenen un microprocessador i memòria que els permetria fer

càlculs criptogràfics i emmagatzemar xifrada la informació que contenen, a més de claus de

signatura i xifratge, mentre que sobretot en empreses s'utilitzen els tokens de seguretat, que

consisteixen en dispositius físics de petita mida que poden incloure signatures digitals o

mesures biomètriques; en els sistemes biomètrics es basen en les característiques físiques de

l'usuari, tenen l'inconvenient que son molt cars.

2.2 Protecció de les dadesPer evitar atac contra la confidencialitat i tècniques d'espiament es poden utilitzar tècniques

criptogràfiques, mitjançant criptosistemes de clau privada i clau pública. Els criptosistemes són

mètodes secrets d'escriptura que permeten transformar un text clar en un xifrat o criptograma, i

aquest procés rep el nom de xifratge, i on trobem el procés invers anomenat desxifratge que es

troben controlats per les claus criptogràfiques.

La ciéncia i estudi de l'escriptura secreta, mentre que les tècniques destinades a l'obtenció de

claus a partir del text clar i el text xifrat rep el nom de criptoanàlisi. Totes dues formen el que es

coneix com criptologia.

2.2.1 Criptosistemes de clau privada

En els criptosistemes de clau compartida tant emissor com receptor comparteixen una única clau.

En aquest tipus de criptosistemes l'algorisme més conegut seria el Data Encryption Standard

(DES), però està en desús ja que no és segur, i s'ha vist substituït per una variant anomenada

Triple DES o altres algorismes com, IDEA, CAST, Blowfish. L'actual estàndard és el Advanced

Encryption Standard (AES).

2.2.2 Criptosistemes de clau pública

En aquests criptosistemes cada usuari té assignades una parella de claus, una privada que

solament la coneix l'usuari i una pública accessible per tots els usuaris i es troba emmagatzemada

3


en un directori públic. El criptosistema més conegut és el RSA, però també hi ha el DSA. Aquests

criptosistemes són lents comparats amb els de clau privada, i es solen fer servir per intercanviar

claus simètriques en els protocols de comunicació.

Una avantatge és que permeten la incorporació de la signatura digital, on cada usuari pot signar el

seu missatge mitjançant la clau privada i pot ser després verificada més tard. Aquí intervenen les

anomenades funcions resum o hash, que són unidireccionals i fan correspondre a un missatge de

mida variable una representació de mida fixa. Els algorismes més utilitzat el MD5 i el SHA-1.

Entre les eïnes més utilitzades es troba el PGP, que es un programari híbrid que utilitza

criptografia tant de clau privada com pública, permetent la gestió de claus, utilitza diferents

algorismes de xifratge i permet l'esborrament segur de fitxers.

3. Seguretat del sistemaEls atacs solen constar d'una sèrie de pasos com: recollida d'informació, atac inicial, accés a

sistema, instal·lació de backdoors, key loggers... que permeten obtenir informació i faciliten futurs

accessos i eliminació d'emprentes. Per això és important mantindre els sistemes informàtics

actualitzats i així evitar vulnerabilitats conegudes i que els fan més susceptibles d'atacs.

3.1 Seguretat en el sistema de fitxersEs important que tant els usuaris, grups i privilegis, així com la gestió de les ACL (llistes de control

d'accés) s'hagi fet correctament.

3.2 Atacs a contrasenyaEn aquest tipus d'atac s'intenta esbrinar, desxifrar, esborrar, modificar o inserir contrasenyes en el

fitxer que les emmagatzema, que en el cas del Linux correspon al fitxer /etc/passwd i que pel bon

funcionament del sistema ha de tenir permisos de lectura per tots els usuaris.

El procés d'entrada al sistema d'un usuari és unidireccional on es xifra la contrasenya introduïda

per l'usuari i és compara amb la continguda amb el fitxer. Els atacs a contrasenya actuen per la

força bruta o mitjançant atacs de diccionari. És per tant important que les contrasenyes utilitzades

pels usuaris siguin contrasenyes fortes per dificultar els atacs, per comprovar la qualitat de les

contrasenyes hi ha diverses eines que permeten la comprovacio proactiva de contrasenyes.

Altre possibilitat és l'ocultació de contrasenyes, on les contrasenyes ara estarien en /etc/shadow,

que solament podrà ser llegit per l'usuari root. El fitxer anterior en lloc de la contrasenya xifrada

ara tindra un símbol que indicarà que es troba en el fitxer /etc/shadow.

4


3.3 Codi maliciós i amenaces lògiquesEl codi maliciós és qualsevol fitxer que pot resultar perjudicial pel sistema informàtic, aquest codi

pot estar inserit dins programari autoritzat, ocult, aparèixer com programari amb funcions útils. El

codi maliciós seria una amenaça lògica i els podem classificar com: programari incorrecte, eines

de seguretat mal emprades, bombes lògiques, virus, cucs, troians, backdoors, phising, hoax,

adware i spyware o programari espia.

Entre les eines de detecció de codi maliciós, una consisteix en l'observació i anàlisi dels fitxers i la

seva modificació, i d'utilitat seria la creació de una “emprenta única” del sistema utilitzant funcions

resum i que després al recalcular-la permetria detectar qualsevol alteració. Hi ha programari

especialitzat que automatitza aquesta tasca, com per exemple el Tripwire.

3.4 DetectorsÉs programari que permet la captura i enregistrament de la informació que circula per la xarxa,

basant-se en el mode promiscu de les interfícies de xarxa en les estacions de treball i que poden

ser molt útils per l'administrador del sistema. L'activitat dels detectors és difícil de detectar degut a

que no deixen emprentes enlloc, però es poden utilitzar mesures de prevenció, com el xifratge

dels documents que s'envien, encara que no protegeixen les comunicacions. Per aquest motiu és

important instal·lar altres eines com servidor Secure Shell (SSH) i les utilitats en clients que

permeten inici de sessió segurs.

3.5 EscànersSón eines de seguretat que permeten detectar les vulnerabilitats d'un sistema informàtic, i podem

trobar de escàners de sistema que detecten vulnerabilitat de sistema locals i de xarxa que

analitzen serveis i ports disponibles de màquines remotes. A l'igual que els detectors, són eines

molt útils pels administradors, però que també poden ser utilitzades pels atacants. Els anàlisi de la

seguretat del sistema i la xarxa des del punt de vista de l'intrús rep el nom de test de penetració.

3.6 Atacs de denegació de serveiSón atacs que inutilitzen el maquinari i/o programari (afectant a sistema operatiu, maquinari o

aplicacions) fent que els recursos no estiguin accessibles per la xarxa, i poden implicar altres

ordinadors intermediaris.

3.7 Auditoria i fitxers logEl procediment de logging consisteix en l'enregistrament en un fitxer de les activitats que es

produeixen en un sistema o aplicació, és a dir, recull les emprentes dels que ha passat en un

sistema incloent l'origen de possibles atacs. En Linux implica gran quantitat de comandes i fitxers,

i generen un elevat volum d'informació. Per evitar que l'intrús pugui modificar els logs és

5


recomenat utilitzar eines de logging diferents de les utilitzades pel sistema operatiu.

4. Aspectes legals de la seguretat informàticaEn el codi penal no existeix el “delicte informàtic” explícitament, sinó delites fets amb el concurs de

l'informàtica i les noves tecnologies.

4.1 Marc jurídic penal de conductes il·lícites vinculades amb la informàtica

– Delicte contra la intimitat: per exemple intercepció de correu electrónic sense el consentiment

de l'afectat, en el cas de les empreses es considera que és un dret de l'empresa controlar els

seus mitjans de producció. També l'accés, modificació, revelació, difussió... de dades

personals, especialment les relacionades amb ideologia, religió, salut, raça o vida sexual.

– Delicte de frau informàtic: transferència no consentida d'actius patrimonials amb ànim de lucre

i perjudicial per un tercer utilitzant manipulació informàtica.

– Delicte d'ús abusiu d'equipaments: ús de terminals de telecomunicacions sense consentiment

del titular.

– Delicte de danys: destrucció, alteració, inutilització o dany en les dades, programari o

documents en xarxes, suports o sistemes.

– Delicte contra la propietat intel·lectual: reproducció, plagi, distribució de forma total o parcial

d'obres literàries, artístiques o científiques sense autorització.

– Delicte de revelació de secrets d'empresa: interceptació de les telecomunicacions o utilització

d'enregistrament de so, imatge o altres senyals per descobrir secrets d'empresa.

– Delicte de defraudació dels interessos econòmic dels prestadors de serveis.

És important emprear mesures de seguretat com escàners de sistema o xarxa i eines

criptogràfiques.

4.2 Marc jurídic extrapenalHi ha altres lleis apart del codi penal que delimiten el marc jurídic com:

– la Llei orgànica de protecció de dades personals,

– la Llei de servis de la societat de la informació i comerç electrònic, i

– la legislació que s'aplica a la signatura digital.

5. Informàtica forenseÉs un disciplina situada entre el marc jurídic i la tecnologia, que consisteix en una metodologia per

tractar de conèixer que ha passat i al presumpte autor de conductes il·licites, és a dir la seva

finalitat és dir què, quan, qui, on, com i perquè. Per reconstruir un fet utilitzarem les emprentes

emmagatzemades en suports i anomenades evidències digital, que tenen les propietats de poder-

6


se modificar o eliminar fàcilment, les copies de fitxers no deixen empremtes i l'adquisició de les

evidències pot suposar alteració del suport digital original.

Consta d'una sèrie de fases:

1) Asegurament de l'escena de l'esdeveniment: consisteix en la restricció de l'accés per tal de no

alterar l'escena i així preservar l'evidència.

2) Identificació de l'evidència digital: procés en el que s'identifica i localitzen les evidències que

s'han de recollit per fer un anàlisi posterior, moltes vegades s'ha de trobar solució de

compromís entre qualitat, validesa i temps de recollida de l'evidència.

3) Preservació de les evidències digitals: l'analista farà còpies exactes de les evidències, tant

sigui en l'escenari com en laboratori, sobre dispositius aportats per ell mateix. S'anota qui, on,

com i quan va recollit l'evidència, a més s'embalen i s'inicia el transport de les evidències

donan lloc a l'inici de la cadena de custòdia.

4) Anàlisi de les evidències digitals: sobretot s'analitza el contingut de fitxers i la informació,

trobem quatre tipus de dades, lògicament accessibles, localitzades en l'anomenat ambient

data, esborrades i eliminades, i les ocultes mitjançant esteganografia.

5) Presentació i informe.

7

arso-m7: administracio de la seguretat - resum

Technology