Seguridad en cómputo: ¿Paranoia o realidad? / De Ciber-bandas, Compu-terroristas y Tecno-Perpetradores

Artículos publicados en BitCasting (RIP) de CITI, en marzo de 1999 y en algun momento de 2000, respectivamente. Reproducidos aquí tal cual fueron publicados en esa fecha, por lo que muchas referencias ya no son funcionales hoy día y por eso el arreglo del texto no es como originalmente era. Nótese la cruel vigencia de varios de los puntos discutidos hasta nuestros días, varios años después; así como el cambio de prioridades de otros (como eso de nombrar a las VPNs y el análisis de contenido como "deseables" en lugar de "necesarias"). ¡Vaya tiempos!

===================================================

-----BEGIN PGP SIGNED MESSAGE-----

SEGURIDAD EN CÓMPUTO: ¿PARANOIA O REALIDAD?
Por: Martín H. Hoz Salvador (mhoz@citi.com.mx)

INTRODUCCION
El Lic. Andrade se pone de pie al lado de su cama y
detiene el molesto sonido del despertador. Presiona
un botón y el calentador de agua recibe una señal
indicandole que debe preparar el agua para el baño
matinal: son las 7:00 AM. Termina su ducha. El Lic.
toma un jugo de naranja mientras el monitor de su
laptop le muestra las noticias que mas pueden interesarle.
No es casualidad, él previamente ha escogido los
tópicos de su interés y su perfil está almacenado.
Revisa rápidamente su correo electrónico y decide que
los mensajes pueden esperar a que llegue a la oficina.
Aprovecha para comprar vía internet un ramo de rosas
para su esposa que pasa unos días en casa de sus padres.
Un par de clicks, teclea la dirección y su número
de tarjeta de crédito. ¡Listo! Por último, sincroniza
en su PalmPilot las últimas citas que cargó en su agenda
la secretaria, un día anterior mientras llegaba del
viaje por Nueva York. Se hace tarde. Respira hondo, sube
a su coche y sale a las congestionadas calles pensando
en lo maravillosa que es la tecnología en nuestros días...

¿Fantasía? Lo mismo decían hace 20 años de la posibilidad
de tener internet en el hogar...

"Estamos en la era de la información" pregonan los medios
masivos de comunicación. Hoy día, hablar de computadoras
e internet es algo tan cotidiano como platicar sobre el
próximo viaje del papa o del pasado juego de la Selección
Mexicana. Nos maravilla la posibilidad de tener
comunicación con personas en prácticamente cualquier parte
del mundo. Nuestro e-mail está impreso en nuestras tarjetas de
presentación al lado de nuestro número telefónico. Hasta
se ha convertido en un símbolo de status (En lo personal
prefiero que mi correo termine en .com.mx que en
hotmail.com - Después de todo cualquiera tiene correo
en HotMail ;)

Y de pronto cuando todo es color de rosa, llegan los chicos
malos. Se comienzan a escuchar historias de terror donde
los protagonistas son muchachos en plena pubertad cuyo
principal pasatiempo es penetrar los sistemas de cómputo de
grandes corporaciones o de los gobiernos de algun pais
poderoso. Robar información comercial privilegiada, divulgar
secretos de estado o simplemente alterar la página web de
la organización (sea esta una empresa, universidad o gobierno)
son algunas de las formas más conocidas de ataques. Pero no
las únicas.

Pero también así como surge un problema llegan las soluciones,
y en medio de todo el caos surgen propuestas para
deshacer el problema: criptografía para comunicaciones
seguras, filtros para evitar al enemigo, detectores de
vulnearbilides. Todos encuentran un mercado ávido de sentirse
protegido y sobre todo listo para enfrentar el omnipresente
e-commerce. Pero...


¿POR QUE HAY NECESIDAD DE SEGURIDAD EN COMPUTO?
Ante la pregunta es primero necesario definir qué es seguridad.
Y dada la complejidad del tema no podemos tomar una definición
complentante universal. Sin embargo, entre las más aceptadas están:
- - La cuantitativa: "Seguridad es el conjunto de recursos
(metodologías, documentos, programas y dispositivos
físicos) encaminados a lograr que los recursos de cómputo
disponibles en un ambiente dado, sean accedidos única y
exclusivamente por quienes tienen la autorización
para hacerlo. Y utilizados para los fines que fueron
destinados" [1]
- - La cualitativa: "Un sistema es seguro si se comporta como
los usuarios esperan que lo haga" [2]

Después de esto, debemos hacer referencia al concepto
de ataque. Un ataque es "toda acción, deliberada o no, que
atenta contra el buen funcionamiento de un ambiente de cómputo".

¡Y de aquí parte todo! Pero aclaremos dos cosas que
siempre hay que tener presentes:
- - La seguridad completa (al 100%) *NO EXISTE* ni existirá...
- - Por lo mismo, ningún producto puede cubrir todo el
espectro de posible de puntos de ataque en un ambiente
de cómputo dado...

Partiendo de las anteriores premisas, veamos...


LA SEGURIDAD COMO PARTE INTEGRAL DE LAS ORGANIZACIONES
Caso 1.- Un día por la mañana usted al llegar a la oficina,
descubre que la página donde sus clientes pueden obtener el
status de su pedido aparece modificada, mostrando
ahora una imagen que muy bien podría aparecer en alguna
revista clasificada como 3 equis.

Caso 2.- Una tarde normal en la oficina. Algunos empleados
vienen regresando de su hora de comida. De pronto, al revisar
los e-mails nuevos, hay uno que llama poderosamente la
atención: tiene un listado de los sueldos de cada uno de
los empleados de la empresa ¡Incluyendo directivos!

Caso 3.- Usted ha comprado vía Internet el último CD
de su artista favorito. Al llegar su estado de cuenta nota
que hay un cargo del triple del costó. Mas tarde le
informan que probablemente su número de tarjeta fué interceptada
mientras viajaba por la red. Y todo porque no observó que
el sitio donde compraba estaba protegido...

"Eso no me puede pasar a mí..."

Lamento decir que lo mismo pensaron la CIA y el Senado
Mexicano, inclusive compañías de alta tecnología como
PIXAR (quien hizo las conocidas películas "Toy Story"
y "Bichos"). Pero les pasó. Y no sólo a "los grandes"
les sucede, créamelo.

Hoy la información es en las organizaciones un activo muy
importante que a veces no es valorado con la seriedad que
debiera. No se observa que un ataque informático puede
traducirse en:
- Pérdida de imágen- A ningún banco le gustaría que alguien
sustrajera los montos de las cuentas de
sus clientes. A nadie le gustaría tener que
decirle a un cliente que le pasó lo descrito
en el caso 3. ¿Cierto?
- Pérdida de productividad.- Tiempo y dinero invertido en
llevar al equipo a su estado normal de
funcionamiento, mas lo que se dejó de hacer...
- Calidad deficiente.- ¿Y si se altera la información
de los equipos que controlan la línea
de producción?

Peor aún, la amenaza no está solo afuera. Segun estadísticas,
los empleados actuales de cualquier organización pueden
de algún modo u otro comprometer su sistema, ya sea por
descuido o dolosamente. Son pocas las organizaciones que
contemplan esquemas de auditoría de su información o que
en el contrato de empleo incluyen cláusulas de
confidencialidad de la información. Usted revisa que sus
empleados no sustraigan equipo de sus intalaciones. ¿Lo
hace con sus e-mail vigilando por información sensible?
¡Pero cuidado! si usted lee el correo de sus empleados
sin miramientos, pudiera estar violando el derecho a la
privacidad de ellos...


VIVIENDO EN UN MUNDO DIGITAL...
No fácilmente confiamos el NIP de nuestra tarjeta bancaria
a alguien, ni mucho menos ponemos un cerrojo deficiente en
la puerta de nuestra casa. Sin embargo, eso mismo estamos
haciendo al proporcionar nuestras contraseñas (passwords)
a un tercero, o bien al ponerlas fácilmente adivinables
("No quiero una contraseña difícil, porque luego se me
olvida", "Es el Director, tiene cosas más importantes en
qué pensar..." ¿Le suenan conocidas?). Pues bien, no creo
que su información confidencial no sea lo suficientemente
importante como para tener un dato más que recordar. Y
las contraseñas son sólo un ejemplo (el más conocido,
y desgraciadamente también el más extendido...).

A futuro, a medida que la tecnología vaya penetrando cada
vez mas en nuestra vida cotidiana; vamos a requerir esquemas
que nos garanticen alta fiabilidad en su funcionamiento,
porque de ello dependerá no solo nuestro trabajo sino
quizá también nuestras vidas: en el controlador de
tráfico del aeropuerto o en el sistema de control de
dosis en un hospital por ejemplo...

Internet ha traido no solo facilidades para hacer nuestro
trabajo, también nos ha acercado a un mundo donde no
solo hay gente que quiere colaborar. También la competencia
está ahí. También gentes que desean hacerse "famosas" a costa
de la desgracia de otros (también conocidos como
crackers) están ahí. Y el internet también les ha facilitado
las cosas acercándoles herramientas.

El e-commerce ha hecho que se comience a mover dinero
por internet. Si al ladrón le preguntan la razón por la
cual roba un banco, el responde que porque ahí está el
dinero. Y si el dinero ahora está en la red...

DE ACUERDO. ¿COMO ME PROTEJO?
Al comienzo del presente artículo listábamos algunas
soluciones conocidas para ciertos problemas en particular:
Firewalls, criptografía. Sin embargo las armas más
importantes para combatir la inseguridad en cómputo son
solamente dos:
- - Conciencia.- Que nos lleve a tener voluntad de querer
realmente protegernos.
- - Políticas.- Que plasmen esa voluntad en estatutos que
puedan ser observables y corregibles.

Partiendo de ello podemos comenzar a hablar de cuestiones
más específicas como la clasificación de ataques y atacantes
en el ambiente, detección de intrusos, combate a
vulnerabilidades,conexiones seguras, protección a la
privacidad, confidencialidad e integridad de los datos,
planes de contingencia y otros más. Sin embargo éstos
quedan fuera del alcance de este escrito...


CONCLUSIONES
a) La necesidad de proteger datos es real, sí hay que
protegerse; pero hay que saber cómo.
b) Lo más importante es estar conciente del problema
y establecer políticas.
c) La seguridad al 100% es una falacia.
d) No hay productos mágicos. Ni los firewalls, ni
la criptografía (como SSL), ni las buenas contraseñas
bastan por sí solos. Hay que saber integrar todo ello
al ambiente actual y sobre todo vigilar que no
impacte en el modus-operandi actual.

En un próximo artículo abundaremos un poco más en la
materia.

Keep in touch... :)


ALGUNAS REFERENCIAS
[1] FAQ de la lista de correo sobre seguridad en
Cómputo seg-l.
http://moon.inf.uji.es/~inigo/seg-l/faq/
http://www.citi.com.mx/~mhoz/seguridad/
[2] Dr. Eugene Spafford Director del COAST, el
Laboratorio de Seguridad en Cómputo mas grande el mundo
http://www.cs.purdue.edu/people/spaf
[3] Cyberpolicías y Cyberladrones - Un artículo bastante
ameno sobre la seguridad. Recomendado.

http://www.asc.unam.mx/Investigacion_y_Desarrollo/articulo_ernesto.html

[4] Un pequeño tutorial sobre seguridad
http://www.sevenlocks.com/Security/SecurityHandbook.htm
[5] Noticias sobre crackers y sitios crackeados
http://www.2600.com
[6] Una página dedicada a expliots, o código para vulnerar
sistema. Disponible a cualquiera...
http://www.rootshell.com

-----BEGIN PGP SIGNATURE-----
Version: PGP 5.5.3i
Comment: Public key at http://www.citi.com.mx/~mhoz/pgpkey.html

iQCVAwUBNuim9wSuTAgEVOjZAQFKfQP+IAULAB6fsqL2fffCUgO+PnukQDh7z+zz
3X7MA3Xkhwcq5YuyfWSIidvdhv3Vi09moUMMDHbICZkUf1w/5i1eyuvdx2WSQF0K
MHB6GjWYR9XZA13PoqWzYaEqkykDBjhjqbGE2bqyKmZ25FCvZk8jotslrMr/NxnA
QPkfuFXSjvA=
=xKtq
-----END PGP SIGNATURE-----

===================================================
===================================================

-----BEGIN PGP SIGNED MESSAGE-----

DE CIBER-BANDAS, COMPU-TERRORISTAS Y TECNO-PERPETRADORES
Por: Martín H. Hoz Salvador (mhoz@citi.com.mx)


INTRODUCCION

Ayer mientras regresaba del trabajo observaba el grafitti en las paredes de varios edificios de la ciudad, justo abajo de algunos anuncios de campañas anti-drogas en la localidad. Casi siempre se asocia el grafitti con chavos banda o con maleantes. Sin embargo, no siempre es así. El
grafitti puede tomar formas muy diversas, no sólo sobre paredes. Y algunas inclusive pueden darle serios dolores de cabeza...

"Th1s Pag3 was Hack3d by ... "

¿Le dice algo la frase anterior? ¿Le preocupa en lo más mínimo que la página Web de su empresa algún día aparezca de la misma manera en que aparecen las listadas en Attrition [1] o en 2600 [2]? Si bien un alto porcentaje de los directivos en informática de corporaciones
tanto grandes como medianas, temen mucho a los "5 minutos de fama" que pueden proporcionar algun medio noticioso como CNN, TV Azteca o Infosel-Terra/El Norte/Reforma gracias a los crackers, todavía muy pocos hacen algo por cuidarse de esos "5 minutos de fama".

A casi un año de haber publicado el artículo "Seguridad en Cómputo: ¿Paranoia o realidad?"[3] podemos constatar que el panorama sigue siendo muy similar, que la cultura de seguridad en cómputo se ha incrementado poco o nada, y que las acciones a tomar para defender nuestro territorio virtual en internet, siguen estando hasta el fondo de nuestra lista de
pendientes con prioridad mínima: La clásica y eterna batalla entre lo urgente y lo importante.

Estadísticas como las mostradas por el CERT [4] y sitios como los ya mencionados Attrition y 2600 nos dicen que a nivel nacional y mundial tenemos mucho por hacer en este campo. Y nos debe preocupar tanto por razones meramente económicas como por razones de índole social. Económicas porque atender incidentes puede resultar mas caro que prevenirlos. Sociales porque en la medida en que se difunda la cultura de la seguridad en cómputo y la cultura informática en general, tendremos un mejor país.

Es increíble cómo muchas veces nos preocupamos a cerca del alto índice delictivo en nuestro mundo real: Homicidios, robos, fraudes. Y sin embargo no nos preocupamos de los delitos que ocurren en el mundo en el que todas las personas quieren entrar: el mundo digital que representa Internet con el omnipresente e-business. ¿Niños haciendo atrocidades? USA Today
dice que sí hay [5] ¿Intentos de homicidio por internet? ¡Claro! ¿O cómo le llamaría usted al hecho de penetrar en los sistemas de un aeropuerto y dejar sin funcionar el controlador de vuelos? [6] No por nada segun una estadística del sitio "NT Security"[7] demuestra que una gran mayoría de personas no cree que los hospitales puedan tener medidas razonables de seguridad para las historias clínicas de sus pacientes, por ejemplo.


LAS MEDIDAS DE PROTECCION
A la fecha, las mismas bases de la seguridad que siempre han sido pilares en esta área de conocimiento, siguen siendo válidas: La voluntad de hacer nuestras instalaciones mas seguras, y esa voluntad plasmada en una normatividad que puede seguirse y sobre todo medirse. "Las políticas son el bastión de la seguridad" afirma Marcus Ranum, Padre de los Firewalls y pionero de la seguridad en cómputo.

Hoy, con un mundo de tecnología que está a nuestro alcance para proteger nuestras instalaciones, no podemos echarle la culpa al retraso tecnológico por no protegernos. Y no protegernos es sinceramente a estas alturas una necedad. Es como reza el famoso proverbio: "Ir a la guerra sin fusil".

¿Qué tipo de tecnologías se deben implementar?. El "Kit básico" de seguridad debiera estar conformado por al menos: Un manual de políticas de seguridad, un firewall, un detector de vulnerabilidades (Vulnerability scanner), antivirus, mecanismos de fortalecimiento de passwords (dependiendo del sistema operativo) y proxies para cierto tipo servicios
de internet.

En la categoría "deseable" podrían ir los detectores de intrusos, los analizadores de contenido y las Redes Virtuales Privadas (VPN).

Y en la categoría "de lujo" (que puede ser "deseable" y en algunos casos "necesaria", dependiendo del tipo de organización) estaría la Infraestructura de Llave Pública (PKI).

Y no es necesario gastar grandes cantidades en hardware y software si se está dispuesto a utilizar herramientas excelentes de fuente abierta y/o licenciadas bajo el esquema GPL. Pero hay que estar también dispuestos a invertir tiempo en aprender a utilizarlas o bien pagar un consultor que las instale y enseñe cómo funcionan. OpenBSD [9] se ha mantenido como el sistema compatible con UNIX mas seguro en nuestros días, pero su instalación no es nada sencilla y su uso nada fácil, sin una previa capacitación.

Adicional a todo lo anterior, es mantener a la gente que administra los equipos de cómputo, capacitada en temas relativos a seguridad. No se vale tener en la persona del administrador del sistema, de la red o de la seguridad, a un "Chivo expiatorio" para cuando un ataque tenga lugar. Aparte de los cursos, sitios como BugTraq/NTBugTraq[10] y SecurityFocus [11] son siempre escenciales para mantenerse al día en estas cuestiones. En nuestro país, los cursos y seminarios organizados
por el ASC [13] son dignos de tomarse en cuenta.


LAS ADVERTENCIAS
Como lo advierte Bruce Schneier[14], uno de los mejores criptólogos del mundo y CEO de Counterpane Systems, hay varios puntos a considerar al comprar e implantar tecnología de seguridad en cómputo:
a) La confianza en redes seguras. Las redes públicas por definición son inseguras. Siempre que se maneje información sobre ellas, ésta se debe proteger de algun modo, usando criptografía por ejemplo.
b) La confianza en sistemas operativos seguros. Desde el punto de vista de seguridad, los sistemas operativos de fuente abierta (OpenSource) son los mejores. Aun y con eso, *todos*
pueden tener vulnerabilidades y se debe procurar ofrecer la menor cantidad de servicios posible, así como mantenerlos actualizados con los Parches y/o Fixes mas recientes.
c) La confianza en los usuarios inteligentes Y no estoy diciendo que sean tontos. Sino que por lo general asumimos que le darán la importancia debida a la información que utilizan, o a las contraseñas y permisos que se les otorgan. Hay que asegurarnos que efectivamente saben las implicaciones de prestar una cuenta y/o permitir un acceso.
d) La confianza en los usuarios bien-intencionados. Y esto es como pensar "a mí nunca me va a pasar" o "todo mundo es bueno". La verdad es que si queremos estar seguros de lo que se
está haciendo con los recursos de la organización, se deben tener cuando menos bitácoras de toda actividad, para que en caso de problemas, tener por dónde comenzar a buscar su orígen.
e) El culto a las matemáticas y a la criptografía. Si alguien dice que usar RSA a 2048 bits es mucho mejor que usar TripleDES a 512 bits probablemente le creamos porque hay mas bits
en 2048 que en 512 y no siempre es así... Para empezar: ¿Hablamos de la llave o del mensaje? Por eso cuando nos hablen de cosas como tamaño de llave, tamaño de bloque, cifrado por curvas elípticas y cosas similares, mas vale que entendamos bien de lo que nos estan hablando, ya sea informándonos o bien asesorándonos con un experto.


CONCLUSIONES
Hoy por hoy seguimos teniendo un ambiente de cómputo que es inseguro completamente o a medias, donde todavía los passwords débiles son comunes y donde todavía la encripción no es tomada en cuenta como pieza clave para asegurar nuestra infraestructura de cómputo.

Si quieremos realmente pertencer al primer mundo, si deseamos realmente pertenecer al mundo global donde los grandes tienen lugar, debemos hacer algo por mantener confidencialidad, disponibilidad e integridad en la información que maneja nuestra organización.

Mientras no hagamos algo para ponernos bajo resguardo, seguiremos a merced de los "Cibercholos" que, al igual que los llamados "chavos banda" o "malhechores" en nuestra cotidiana realidad, pueden poner a tomar aspirinas a más de algun ingeniero o directivo en nuestra organización.


REFERENCIAS
(según el órden de aparición en el artículo):

[1] http://www.attrition.org/mirror/attrition/
Sitio espejo de páginas crackeadas al rededor del mundo. Con
interesantes estadísticas para nuestro país bajo:
http://www.attrition.org/mirror/attrition/mx.html
[2] http://www.2600.com/hacked_pages/
Sitio espejo de páginas crackeadas al rededor del mundo. Parte
del legendario sitio hacker/cracker 2600.
[3] http://www.citi.com.mx/htmls/00000001.00001010/tech1.html
"Seguridad en Cómputo: ¿Paranoia o realidad?"
[4] http://www.cert.org/stats
Estadísticas relativas a incidentes de seguridad, publicadas
por el Computer Emergency Response Team (CERT)
[5] http://www.usatoday.com/life/cyber/tech/ctg016.htm
[6] http://msnbc.msn.com/news/178451.asp?cp1=1
De hacer notar el párrafo titulado "THE CASE FOR HACKING"
[7] http://ntsecurity.nu
Sitio de Seguridad sobre Windows NT. Interesantes las estadísticas
mostradas en: http://ntsecurity.nu/vote
[8] http://www.2600.com/news/2000/0126.html
La liberación de Kevin Mitnick, uno de los crackers mas famosos de
todos los tiempos.
[9] http://www.openbsd.org
El sistema UNIX que nació con la seguridad en mente.
[10] http://www.ntbugtraq.com
Bugs y Agujeros de seguridad sobre NT
[11] http://www.securityfocus.com
Noticias de seguridad
[12] http://www.sysinternals.com
Sitio sobre herramientas para NT
[13] http://www.asc.unam.mx
El Area de Seguridad en Cómputo de la UNAM. De especial mención las
listas que ellos mantienen sobre seguridad y administración, mostradas
en http://www.asc.unam.mx/Servicios/listas_de_correo.html
[14] http://www.counterpane.com/pptp.html
El análisis del protocolo de VPN PPTP de Microsoft, hecho por
Bruce Schneier y Dr. Mudge

- -------------------------------------------------------------------------
Copyright (c) 2000 by Martin H. Hoz-Salvador. This material may be
distributed only subject to the terms and conditions set forth in the Open
Publication License, v1.0 or later (the latest version is presently available
at http://www.opencontent.org/openpub/).

-----BEGIN PGP SIGNATURE-----
Version: PGPfreeware 6.5.1i
Comment: Public key at http://www.citi.com.mx/~mhoz/pgpkey.html

iQCVAwUBOohjUgSuTAgEVOjZAQEcbgP9H4BileK3wi/3LNfoX39cxm4oPLUz59le
HLVBJYDVCvcdaF67kv7BwhLcX0uNxfhbnIbBB4OVmqQd9VHhySAQlAompMIWYB2e
TMNnH0gVPFgZMGAtAiWe7SLwM9+8x6RJOzPYiq1FkhS8LkAJtawlQ/KWylBF6e5Z
WHwXMrHh3lU=
=BUKT
-----END PGP SIGNATURE-----