Siguiente: Amenazas lógicas
Subir: >De qué nos queremos
Anterior: >De qué nos queremos
Índice General
No podernos engañarnos: la mayoría de ataques a nuestro sistema van a
provenir en última instancia de personas que, intencionada o
inintencionadamente, pueden causarnos enormes pérdidas. Generalmente se
tratará de piratas que intentan conseguir el máximo nivel de privilegio
posible aprovechando alguno (o algunos) de los riesgos lógicos de los que
hablaremos a continuación, especialmente agujeros
del software. Pero con demasiada frecuencia se suele olvidar que los
piratas `clásicos' no son los únicos que amenazan nuestros equipos:
es especialmente preocupante que mientras que hoy en día cualquier
administrador mínimamente preocupado por la seguridad va a conseguir un
sistema relativamente fiable de una forma lógica (permaneciendo atento a
vulnerabilidades de su software, restringiendo servicios, utilizando
cifrado de datos...), pocos administradores tienen en cuenta factores como
la ingeniería social o el basureo a la hora de diseñar una política
de seguridad.
Aquí se describen brevemente los diferentes tipos de personas
que de una u otra forma pueden constituir un riesgo para nuestros sistemas;
generalmente se dividen en dos grandes grupos: los atacantes pasivos,
aquellos que fisgonean por el sistema pero no lo modifican -o destruyen-, y los
activos, aquellos que dañan el objetivo atacado, o lo
modifican en su favor. Generalmente los curiosos y los crackers realizan
ataques pasivos (que se pueden convertir en activos), mientras que los
terroristas y ex-empleados realizan ataques activos puros; los intrusos
remunerados suelen ser atacantes pasivos si nuestra red o equipo no es su
objetivo, y activos en caso contrario, y el personal realiza ambos tipos
indistintamente, dependiendo de la situación concreta.
- Personal
Las amenazas a la seguridad de un sistema provenientes del personal de la
propia organización rara vez son tomadas en cuenta;
se presupone un entorno de confianza donde a veces no existe, por lo que se
pasa por alto el hecho de que casi cualquier persona de la organización,
incluso el personal ajeno a la infraestructura informática (secretariado,
personal de seguridad, personal de limpieza y mantenimiento...) puede
comprometer la seguridad de los equipos.
Aunque los ataques pueden ser intencionados (en cuyo caso sus efectos son
extremadamente dañinos, recordemos que nadie mejor que el propio personal
de la organización conoce mejor los sistemas...y sus debilidades), lo
normal es que más que de ataques se trate de accidentes causados por
un error o por desconocimiento2.4 de las normas
básicas de seguridad: un empleado de mantenimiento que corta el suministro
eléctrico para hacer una reparación puede llegar a ser tan peligroso como
el más experto de los administradores que se equivoca al teclear una orden y
borra todos los sistemas de ficheros; y en el primer caso, el `atacante' ni
siquiera ha de tener acceso lógico (<ni físico!) a los equipos, ni
conocer nada sobre seguridad en Unix. Hemos de recordar siempre que decir
`No lo hice a propósito' no va a servir para recuperar datos perdidos
ni para restaurar un hardware dañado o robado.
- Ex-empleados
Otro gran grupo de personas potencialmente interesadas en atacar nuestro
sistema son los antiguos empleados del mismo, especialmente los que no
abandonaron el entorno por voluntad propia (y en el caso de redes de empresas,
los que pasaron a la competencia).
Generalmente, se trata de personas descontentas con la organización que
pueden aprovechar debilidades de un sistema que conocen perfectamente para
dañarlo como venganza por algún hecho que no consideran justo: amparados
en excusas como `No me han pagado lo que me deben' o `Es una gran
universidad, se lo pueden permitir' pueden insertar troyanos, bombas lógicas,
virus...o simplemente conectarse al sistema como si aún trabajaran para la
organización (muchas veces se mantienen las cuentas abiertas incluso meses
después de abandonar la universidad o empresa), conseguir el privilegio
necesario, y dañarlo de la forma que deseen, incluso chantajeando a sus
ex-compañeros o ex-jefes.
- Curiosos
Junto con los crackers, los curiosos son los atacantes más habituales
de sistemas Unix en redes de I+D. Recordemos que los equipos están trabajando
en entornos donde se forma a futuros profesionales de la informática y las
telecomunicaciones (gente que a priori tiene interés por las nuevas
tecnologías), y recordemos también que las personas suelen ser
curiosas por naturaleza; esta combinación produce una avalancha de estudiantes
o personal intentando conseguir mayor privilegio del que tienen o intentando
acceder a sistemas a los que oficialmente no tienen acceso. Y en la
mayoría de ocasiones esto se hace simplemente para
leer el correo de un amigo, enterarse de cuánto cobra un compañero,
copiar un trabajo o comprobar que es posible romper la seguridad de un sistema
concreto. Aunque en la mayoría de situaciones se trata de ataques no
destructivos (a excepción del borrado de huellas para evitar la detección),
parece claro que no benefician en absoluto al entorno de fiabilidad que podamos
generar en un determinado sistema.
- Crackers
Los entornos de seguridad media son un objetivo típico de los intrusos, ya
sea para
fisgonear, para utilizarlas como enlace hacia otras redes o simplemente por
diversión. Por un lado, son redes generalmente abiertas, y la seguridad no es
un factor tenido muy en cuenta en ellas; por otro,
el gran número y variedad de sistemas Unix conectados a estas redes provoca,
casi por simple probabilidad, que al menos algunos de sus equipos (cuando no
la mayoría) sean vulnerables a problemas conocidos de antemano. De esta
forma un atacante sólo ha de utilizar un escáner de seguridad contra el
dominio completo y luego atacar mediante un simple exploit los equipos
que presentan vulnerabilidades; esto convierte a las redes de I+D, a las de
empresas, o a las de ISPs en un objetivo
fácil y apetecible para piratas con cualquier nivel de conocimientos, desde
los más novatos (y a veces más peligrosos) hasta los expertos, que pueden
utilizar toda la red para probar nuevos ataques o como nodo intermedio en un
ataque a otros organismos, con el consiguiente deterioro de imagen (y a veces
de presupuesto) que supone para una universidad ser, sin desearlo, un apoyo
a los piratas que atacan sistemas teóricamente más protegidos, como los
militares.
- Terroristas
Por `terroristas' no debemos entender simplemente a los que se dedican a poner
bombas o quemar autobuses; bajo esta definición se engloba a cualquier
persona que ataca al sistema simplemente por causar algún tipo de daño en
él. Por ejemplo, alguien puede intentar borrar las bases de datos de un
partido político enemigo o destruir los sistemas de ficheros de un
servidor que alberga páginas web de algún grupo religioso; en el caso
de redes de I+D, típicos ataques son la destrucción de sistemas de
prácticas o la modificación de páginas web de algún departamento
o de ciertos profesores, generalmente por parte de alumnos descontentos.
- Intrusos remunerados
Este es el grupo de atacantes de un sistema más peligroso, aunque por fortuna
el menos habitual en redes normales; suele afectar más a las grandes
- muy grandes - empresas o a organismos de defensa. Se trata de piratas con
gran experiencia
en problemas de seguridad y un amplio conocimiento del sistema, que son pagados
por una tercera parte2.5 generalmente para robar
secretos (el nuevo diseño de un procesador, una base de datos de clientes,
información confidencial sobre las posiciones de satélites espía...)
o simplemente para dañar la imagen de la entidad afectada. Esta tercera parte
suele
ser una empresa de la competencia o un organismo de inteligencia, es decir,
una organización que puede permitirse un gran gasto en el ataque; de ahí
su peligrosidad: se suele pagar bien a los mejores piratas, y por si esto
fuera poco los atacantes van a tener todos los medios necesarios a su alcance.
Aunque como hemos dicho los intrusos remunerados son los menos comunes en
la mayoría de situaciones, en ciertas circunstancias pueden aprovechar
nuestras redes como plataforma para atacar otros organismos; una
excelente lectura sobre esta situación es [Sto89], en la que el
experto en seguridad Cliff Stoll describe cómo piratas pagados por el KGB
soviético utilizaron redes y sistemas Unix dedicados a I+D para acceder a
organismos de defensa e inteligencia estadounidenses.
Siguiente: Amenazas lógicas
Subir: >De qué nos queremos
Anterior: >De qué nos queremos
Índice General
2003-08-08