Seguridad Activa: Sistema operativo y aplicaciones

Carrera de obstáculos

Aunque tengamos muchas medidas de control de acceso, un hacker puede sentarse delante de un equipo de nuestra empresa o directamente robar un portátil. Por eso tenemos que ponerle difíciles las cosas.

• La caja del ordenador

Lo primero es evitar que pueda abrir la caja y llevarse el disco duro. La mayoría de cajas de ordenadores de sobremesa llevan un par de anclajes donde colocar un candado normal. También podemos cambiar a un tornillo con llave.

En portátiles tenemos el candado Kensington. Este tiene una cabeza que se introduce por una ranura especial de la caja del portatil. La cabeza continúa en un cable de acero para que lo enrollemos en alguna parte fija. La cabeza utiliza una llave o combinación de números.

Los candados son poco efectivos pero obligamos a que pierda tiempo y que tenga que traer una herramienta. Si lo abre, la mayoría de cajas del ordenador profesionales llevan un detector que graba en la memoria de la BIOS la fecha y hora en que se ha producido la apertura.

• La BIOS del ordenador

Para evitar que puedan hacer una copia de nuestro disco duro utilizando la técnica del arranque con LiveCD, hay que entrar en la BIOS para modificar el orden de arranque y cambiarlo para que el disco duro local sea el primero y único.

También cambiar contraseñas de administrador para que no puedan entrar a la BIOS y puedan cambiarlo. En algunas empresas activan una contraseña de uso del ordenador, para arrancar la BIOS nos pedirá esta contraseña, no solo para cuando queremos acceder a su configuración. 

Si olvidamos esta contraseña, podemos retirar la pila que mantiene esos valores en memoria. En las placas bases modernas directamente hay un jumper que si esta cerrado cuando el ordenador arranca, borra esos valores.

• El boot manager

Después de hacer todo lo anterior, en el disco podemos tener varios S.O instalados, de manera que al arrancar un programa "boot manager" nos permite elegir entre uno de ellos, hay que establecer quién accede a cada opción para evitar problemas.

• Cifrado de particiones

Con todas las barreras que hemos puesto, no se pueden llevar nada, ya que solo puede arrancar desde el disco local y solo puede elegir algunas entradas del boot manager. Ahora solo nos queda cifrar el contenido por si una de las medidas de seguridad falla.

Autenticación en el sistema operativo

Los sistemas operativos permiten incluir mucho más software de autenticación y más complejo. Vamos a ver múltiples mecanismos para asegurarnos de que nuestro sistema solo lo usa quién está autorizado para ello.

• Usuario/contraseña

Es un mecanismo típico, en la pantalla inicial del sistema tenemos que introducir el nombre de usuario y la contraseña asociada a un usuario. Mientras se teclea el nombre de usuario es visible pero la contraseña no, para evitar que alguien la vea. Si nos equivocamos, el sistema nos impide la entrada y nos deja un nuevo intento. Algunos sistemas nos ofrece una pista sobre la contraseña, y la mayoría tienen un límite de intentos, si este se alcanza, el sistema se puede bloquear durante un tiempo o definitivamente para evitar los ataques de fuerza bruta.

Una buena medida de seguridad es cambiar el nombre por defecto de los usuarios con más privilegios. Así tienen que aplicar fuerza bruta no solo en la contraseña.

• Tarjetas

Para más seguridad que el mecanismo usuario/contraseña aplicamos la estrategia "algo que tienes" y podemos repartir tarjetas entre los usuarios como por ejemplo los cajeros automáticos de los bancos.
Hay dos tipos: sencillas (magnéticas, RFID) o complejas (chip).
Las tarjetas con chip son más seguras pero más caras. 
Hay dos tipos:
Las que son un dispositivo de almacenamiento, que contienen nuestras claves para que las lea el dispositivo donde introducimos la tarjeta.
Las que constituyen un dispositivo de procesamiento, contienen nuestras claves pero nunca salen de la tarjeta.

• Biometría

Los mecanismos usuario/contraseña es suficiente para la mayoría de aplicaciones. Las tarjetas son muy cómodas. Pero aún así cualquiera puede sentarse en nuestro ordenador, insertar nuestra tarjeta (robada o duplicada), introducir nuestro usuario y contraseña etc.

Si no queremos que esto pase porque la información es importante, aplicaremos la biometría, estrategia "algo que eres".

La biometría consiste en identificar alguna característica física del sujeto. Puede ser la huella dactilar, el ojo, voz, etc. Primero el usuario graba su característica física. Esto es complementario al usuario/contraseña, para aumentar la seguridad, aunque a veces si se utiliza individualmente

• Elevación de privilegios

Según que privilegios tengamos en nuestro usuario, tendremos más limitaciones o menos.

En las empresas la mayoría de empleados utilizan usuarios que no tienen permisos para realizar tareas de administración de la máquina, para reducir el daño que puedan causar.

Pero hay veces que necesitamos algunos permisos o ser administradores para realizar tareas determinadas. Para eso se pide una elevación de privilegios puntual. Esto consiste en pedirle al sistema ejecutar un determinado programa con permisos de admin. Se aplica solo a ese programa y solo a esa ejecución.

Cuotas

Ahora vamos a proteger el sistema de personas que si tiene autorización, porque nuestros usuarios, con intención o no, también pueden dañar el sistema. Por ejemplo utilizar procesos muy pesados que realentizan la CPU y no dejan trabajar a los demás usuarios.
Se aplican cuotas para establecer que cada usuario pueda ocupar un número determinado de bytes. Hay que tener cuidado con las cuotas al asignarlas:
Si son muy bajas los usuarios se quejarán porque no les dejamos trabajar.
Si son muy altas, no tendremos el efecto que buscamos y terminaremos comprando más disco.

Actualizaciones y parches

El software puede tener fallos ya que esta hecho por humanos y puede haber errores, por eso existen las actualizaciones, que son paquetes de software para introducir mejoras y corregir errores. Estas se descargan automáticamente por internet la mayoría de casos.

Los parches son parecidos a las actualizaciones, pero estos solo se usan para corregir defectos y suelen necesitar que el usuario lo descargue e instale.

Antivirus

Los virus pueden instalarse en nuestra máquina sin que lo sepamos, aprovechando algún defecto del sistema operativo o las aplicaciones instaladas. Aunque tambien podemos descargar alguna actualización no oficial y "abrirle las puertas" sin saberlo.

El antivirus es un programa que está vigilando continuamente lo que ocurre en nuestra máquina. En concreto, cualquier software que se intenta ejecutar primero pasa por el antivirus, y este lo compara con su base de datos de virus y si lo encuentra, impide que se ejecute y avisa al usuario.

Monitorización

Aparte de todo lo anterior que hemos hecho, tenemos que vigilar que todo esté normal ya que las medidas que aplicamos son imperfectas. Esto consiste en:

• Revisar los log del sistema y las aplicaciones.
• Activar la copia sincronizada del log en otra máquina si se lo permite.
• Revisar la ocupación del sistema.
• Suscribirse a las newsletters de los fabricantes de nuestro hardware y software para tener a mano información oficial.
• Participar en foros de usuarios de las mismas aplicaciones que nosotros para estar al día de los problemas.

La monitorización de los log consiste en diferenciar qué es un problema y que no lo es. El texto de log ayuda porque suele tener un indicador de gravedad, aunque solo es una clasificación del fabricante.

Para conocer la ocupación de recursos de una máquina podemos entrar a ella y lanzar herramientas locales, aunque si estamos a cargo de muchos equipos no podemos estar entrando siempre. Conviene instalar una herramienta de inventario y monitorización. El inventario es la lista de equipos y conexiones y la configuración de ambos. La monitorización es la supervisión en todo el momento del estado de los elementos del inventario.

Estas herramientas facilitan mucho el trabajao del administrador porque:

• Rastrean la red periódicamente buscando nuevas altas y bajas de equipos en el inventario.
• Son capaces de identificar distintos equipos.
• Obtienen la configuración de todos los equipos del inventario y la registran en la base de datos.
• Incorporan alertas sobre ocupación de disco, inactividad de una interfaz, etc.
• Podemos monitorizar en directo la actividad de las interfaces de red, uso de CPU, etc.

Aplicaciones web

La arquitectura de aplicaciones ha evolucionado con el tiempo:

• En los 60 y 70 eran monolíticas, toda la funcionalidad estaban en la misma máquina. La protección de una aplicación monolítica se centraba en proteger la máquina donde se ejecutaba todos los programas.
• En los 80 y 90 aparecen ordenadores personales y redes de comunicación, esto permite implementar aplicaciones siguiendo la arquitectura cliente-servidor. La protección se complica porque hay que proteger a cada cliente, el servidor y la red local de una empresa.
• A partir de los 90, el éxito de Internet permitió extender las aplicaciones web a cualquier punto de conexión del planeta. La protección es mas difícil que nunca. Hay muchas ventajas en implementar una aplicación mediante tecnologías web. Pero hay que tener mucho cuidado con:

-La máquina que aloja el servidor web y sus aplicaciones accesorias.

-Si la máquina del servidor web es alquilada, no tenemos control sobre las medidas de protección, tenemos que confiar en el proveedor y la profesionalidad de este.

-La transmisión entre el cliente web (navegador) y el servidor web.

-La máquina de un usuario conectado puede haber sido hackeada y su navegador también.

Bibliografía

• Apuntes del tema.
• Busquedas por Internet.
• Youtube.