1. Mòdul 7: Administració de la seguretat – Activitat de Resum
1. Seguretat informàtica
Al parlar de la seguretat d'un sistema informàtic s'està fent referència a un procés obert que
tractarà de fer el sistema el més fiable possible, ja que és gairebé impossible fer que el sistema
sigui absolutament inviolable. Un sistema informàtic és fiable si compleix tres propietats:
confidencialitat (accés als recursos els elemets autoritzats a fer-ho), integritat (només elements
autoritzats poden modificar o alterar recursos) i disponibilitat (els recursos han d'estar
accessibles).
1.1 Tipus d'atacs
La protecció ha d'estar adreçada a programari i maquinari, però també especialment a les dades,
degut que és possible substituir el maquinari i el programari, peró les dades en cas d'atac es
poden perdre definitivament.
Els atacs que poden afectar a aquests elements (programari, maquinari i dades) els podem
classificar en quatre grups: interrupció (atac contra la disponibilitat on un recurs es destrueix o
queda no disponible), intercepció (atac contra la confidencialitat en el que un element no autoritzat
accedeix a recursos), modificació (atac contra la integritat on a més d'accés no autoritzat es poden
esborrar, alterar o modificar recursos ) i fabricació (atac contra la integritat en el que s'aconsegueix
crear o introduir objectes al sistema).
1.2 Atacs provinents de persones
La major part dels atacs provenen de persones que tenen diferents objetius, per aquest motiu és
important conèixer quina és la motivació d'aquestes persones per prevenir i detectar aquestes
accions.
Els atacs és poden classificar en passius i actius. En el cas dels atacs passius no es modifica ni
destrueix cap recurs i l'atacant es limita a observar per obtindre informació confidencial, sobretot la
que circula per la xarxa; aquest tipus d'atac és difícil de detectar i per això és important la
prevenció utilitzant tècniques criptogràfiques. En els atacs actius s'alteren o destrueixen recursos i
poden donar lloc a problemes greus com: suplantació identitat, reactuació, degradació fraudulenta
del servei i modificació de missatges.
En quant als atacants tenen diferents perfils i diferents motivacions, peró entre ells tenim per
exemple personal de la mateixa organització que no tenen perquè ser intencionats i poden tindre
greus conseqüències, antics treballadors que fan que sigui important donar de baixa les comptes
d'aquests antics treballadors i canviar contrasenyes, hackers o intrusos informàtics que sobretot
efectuen atacs passius normalment aprofitant vulnerabilitats dels sistemes operatius i programari
per obtenir informació confidencial, on les seves intrusions són difícils de detectar i moltes
1
2. Mòdul 7: Administració de la seguretat – Activitat de Resum
vegades aprofiten l'enginyeria social o manipulació de les persones per fer determinades accions,
i per últim els intrusos remunerats, que es troben organitzats, amb molts mitjans tècnics i ataquen
conjuntament un sistema, intentant accedir a informació confidencial o provocar danys a la imatge
de l'organització.
1.3 Mecanismes de seguretat
Les mesures de seguretat les podem classificar en: mesures de prevenció que incrementen la
seguretat del sistema durant el seu funcionament, mesures de detecció que busquen detectar les
instrusions, i mesures de recuperació que permeten recuperar el correcte funcionament del
sistema una vegada s'ha produït l'atac.
En cas de detectar un atac és important tindre un protocol d'actuació, que inclouria les següents
accions: desconectar l'equip de la xarxa per evitar danys mes greus i s'esborrin les emprentes
deixades per l'atacant, fer còpies de baix nivell sobre les que es faran els anàlisi posteriors,
compilar tota la informació possible, com logs, programari instal·lat per l'atacant i forma en que
s'accedit al sistema, recuperar i actualitzar el sistema per eliminar les vulnerabilitats que s'haguin
pogut aprofitar, i informar ràpidament al cap de l'organització, al Computer Emergency Response
Team (CERT), inclús si és el cas a la policia, si cap màquina s'ha utilitzat per accedir a altres
màquines.
2. Seguretat de l'entorn
El maquinari és normalment l'element més car d'un sistema informàtics, fent per tant que els atacs
que els afecten puguin provocar pèrdues molt grans per l'organització. Això fa que sigui molt
important implantar mesures de protecció física que evitin l'accés no autoritzat als recursos físics
del sistema.
Entre les mesures de prevenció trobem: servidors i elements centrals en zones d'accés restringit,
dispositius d'emmagatzemament en lloc diferent de la resta de maquinari, inventaris i registres de
tots els elements del sistema, protegir i aïllar el cablatge de xarxa, instal·lar càmeres de
videovigilància, protectors de pantalla amb contrasenya, contrasenyes en la BIOS, desactivar
opcions de autocompletar i recordar contrasenyes en navegadors, topologies de xarxa
adequades, garantir la seguretats del maquinari de xarxa i contrasenyes per tots els usuaris del
sistema.
Trobem aleshores el concepte d'autenticació, que consisteix en el procés de verificació d'una
persona o procés que vol accedir al sistema; dintre dels mecanismes d'autenticació, trobem de
diferent tipus i cost, aleshores s'ha de trobar el més adhient per l'organització en el que s'ha
d'emprear.
2
3. Mòdul 7: Administració de la seguretat – Activitat de Resum
2.1 Mecanismes d'autenticació d'usuaris
Els mecanismes d'autenticació els podem classificar en:
– sistemes basats en elements coneguts per l'usuari: principalment serien sistemes basats en
contrasenyes, que són els més barats però els més vulnerables, i encara que s'utilitzi amb
sistemes de xifratge aquestes contrasenyes encara poden ser desxifrades. Per això, hi ha un
seguit de bones pràctiques recomenades en referència a les contrasenyes.
– sistemes basats en elements que posseeix l'usuari: en els que podem fer la distinció entre
sistemes basats en targetes intel·ligents i tokens de seguretat i sistemes biomètrics.En els
primers, les targes intel·ligents tenen un microprocessador i memòria que els permetria fer
càlculs criptogràfics i emmagatzemar xifrada la informació que contenen, a més de claus de
signatura i xifratge, mentre que sobretot en empreses s'utilitzen els tokens de seguretat, que
consisteixen en dispositius físics de petita mida que poden incloure signatures digitals o
mesures biomètriques; en els sistemes biomètrics es basen en les característiques físiques de
l'usuari, tenen l'inconvenient que son molt cars.
2.2 Protecció de les dades
Per evitar atac contra la confidencialitat i tècniques d'espiament es poden utilitzar tècniques
criptogràfiques, mitjançant criptosistemes de clau privada i clau pública. Els criptosistemes són
mètodes secrets d'escriptura que permeten transformar un text clar en un xifrat o criptograma, i
aquest procés rep el nom de xifratge, i on trobem el procés invers anomenat desxifratge que es
troben controlats per les claus criptogràfiques.
La ciéncia i estudi de l'escriptura secreta, mentre que les tècniques destinades a l'obtenció de
claus a partir del text clar i el text xifrat rep el nom de criptoanàlisi. Totes dues formen el que es
coneix com criptologia.
2.2.1 Criptosistemes de clau privada
En els criptosistemes de clau compartida tant emissor com receptor comparteixen una única clau.
En aquest tipus de criptosistemes l'algorisme més conegut seria el Data Encryption Standard
(DES), però està en desús ja que no és segur, i s'ha vist substituït per una variant anomenada
Triple DES o altres algorismes com, IDEA, CAST, Blowfish. L'actual estàndard és el Advanced
Encryption Standard (AES).
2.2.2 Criptosistemes de clau pública
En aquests criptosistemes cada usuari té assignades una parella de claus, una privada que
solament la coneix l'usuari i una pública accessible per tots els usuaris i es troba emmagatzemada
3
4. Mòdul 7: Administració de la seguretat – Activitat de Resum
en un directori públic. El criptosistema més conegut és el RSA, però també hi ha el DSA. Aquests
criptosistemes són lents comparats amb els de clau privada, i es solen fer servir per intercanviar
claus simètriques en els protocols de comunicació.
Una avantatge és que permeten la incorporació de la signatura digital, on cada usuari pot signar el
seu missatge mitjançant la clau privada i pot ser després verificada més tard. Aquí intervenen les
anomenades funcions resum o hash, que són unidireccionals i fan correspondre a un missatge de
mida variable una representació de mida fixa. Els algorismes més utilitzat el MD5 i el SHA-1.
Entre les eïnes més utilitzades es troba el PGP, que es un programari híbrid que utilitza
criptografia tant de clau privada com pública, permetent la gestió de claus, utilitza diferents
algorismes de xifratge i permet l'esborrament segur de fitxers.
3. Seguretat del sistema
Els atacs solen constar d'una sèrie de pasos com: recollida d'informació, atac inicial, accés a
sistema, instal·lació de backdoors, key loggers... que permeten obtenir informació i faciliten futurs
accessos i eliminació d'emprentes. Per això és important mantindre els sistemes informàtics
actualitzats i així evitar vulnerabilitats conegudes i que els fan més susceptibles d'atacs.
3.1 Seguretat en el sistema de fitxers
Es important que tant els usuaris, grups i privilegis, així com la gestió de les ACL (llistes de control
d'accés) s'hagi fet correctament.
3.2 Atacs a contrasenya
En aquest tipus d'atac s'intenta esbrinar, desxifrar, esborrar, modificar o inserir contrasenyes en el
fitxer que les emmagatzema, que en el cas del Linux correspon al fitxer /etc/passwd i que pel bon
funcionament del sistema ha de tenir permisos de lectura per tots els usuaris.
El procés d'entrada al sistema d'un usuari és unidireccional on es xifra la contrasenya introduïda
per l'usuari i és compara amb la continguda amb el fitxer. Els atacs a contrasenya actuen per la
força bruta o mitjançant atacs de diccionari. És per tant important que les contrasenyes utilitzades
pels usuaris siguin contrasenyes fortes per dificultar els atacs, per comprovar la qualitat de les
contrasenyes hi ha diverses eines que permeten la comprovacio proactiva de contrasenyes.
Altre possibilitat és l'ocultació de contrasenyes, on les contrasenyes ara estarien en /etc/shadow,
que solament podrà ser llegit per l'usuari root. El fitxer anterior en lloc de la contrasenya xifrada
ara tindra un símbol que indicarà que es troba en el fitxer /etc/shadow.
4
5. Mòdul 7: Administració de la seguretat – Activitat de Resum
3.3 Codi maliciós i amenaces lògiques
El codi maliciós és qualsevol fitxer que pot resultar perjudicial pel sistema informàtic, aquest codi
pot estar inserit dins programari autoritzat, ocult, aparèixer com programari amb funcions útils. El
codi maliciós seria una amenaça lògica i els podem classificar com: programari incorrecte, eines
de seguretat mal emprades, bombes lògiques, virus, cucs, troians, backdoors, phising, hoax,
adware i spyware o programari espia.
Entre les eines de detecció de codi maliciós, una consisteix en l'observació i anàlisi dels fitxers i la
seva modificació, i d'utilitat seria la creació de una “emprenta única” del sistema utilitzant funcions
resum i que després al recalcular-la permetria detectar qualsevol alteració. Hi ha programari
especialitzat que automatitza aquesta tasca, com per exemple el Tripwire.
3.4 Detectors
És programari que permet la captura i enregistrament de la informació que circula per la xarxa,
basant-se en el mode promiscu de les interfícies de xarxa en les estacions de treball i que poden
ser molt útils per l'administrador del sistema. L'activitat dels detectors és difícil de detectar degut a
que no deixen emprentes enlloc, però es poden utilitzar mesures de prevenció, com el xifratge
dels documents que s'envien, encara que no protegeixen les comunicacions. Per aquest motiu és
important instal·lar altres eines com servidor Secure Shell (SSH) i les utilitats en clients que
permeten inici de sessió segurs.
3.5 Escàners
Són eines de seguretat que permeten detectar les vulnerabilitats d'un sistema informàtic, i podem
trobar de escàners de sistema que detecten vulnerabilitat de sistema locals i de xarxa que
analitzen serveis i ports disponibles de màquines remotes. A l'igual que els detectors, són eines
molt útils pels administradors, però que també poden ser utilitzades pels atacants. Els anàlisi de la
seguretat del sistema i la xarxa des del punt de vista de l'intrús rep el nom de test de penetració.
3.6 Atacs de denegació de servei
Són atacs que inutilitzen el maquinari i/o programari (afectant a sistema operatiu, maquinari o
aplicacions) fent que els recursos no estiguin accessibles per la xarxa, i poden implicar altres
ordinadors intermediaris.
3.7 Auditoria i fitxers log
El procediment de logging consisteix en l'enregistrament en un fitxer de les activitats que es
produeixen en un sistema o aplicació, és a dir, recull les emprentes dels que ha passat en un
sistema incloent l'origen de possibles atacs. En Linux implica gran quantitat de comandes i fitxers,
i generen un elevat volum d'informació. Per evitar que l'intrús pugui modificar els logs és
5
6. Mòdul 7: Administració de la seguretat – Activitat de Resum
recomenat utilitzar eines de logging diferents de les utilitzades pel sistema operatiu.
4. Aspectes legals de la seguretat informàtica
En el codi penal no existeix el “delicte informàtic” explícitament, sinó delites fets amb el concurs de
l'informàtica i les noves tecnologies.
4.1 Marc jurídic penal de conductes il·lícites vinculades amb la informàtica
– Delicte contra la intimitat: per exemple intercepció de correu electrónic sense el consentiment
de l'afectat, en el cas de les empreses es considera que és un dret de l'empresa controlar els
seus mitjans de producció. També l'accés, modificació, revelació, difussió... de dades
personals, especialment les relacionades amb ideologia, religió, salut, raça o vida sexual.
– Delicte de frau informàtic: transferència no consentida d'actius patrimonials amb ànim de lucre
i perjudicial per un tercer utilitzant manipulació informàtica.
– Delicte d'ús abusiu d'equipaments: ús de terminals de telecomunicacions sense consentiment
del titular.
– Delicte de danys: destrucció, alteració, inutilització o dany en les dades, programari o
documents en xarxes, suports o sistemes.
– Delicte contra la propietat intel·lectual: reproducció, plagi, distribució de forma total o parcial
d'obres literàries, artístiques o científiques sense autorització.
– Delicte de revelació de secrets d'empresa: interceptació de les telecomunicacions o utilització
d'enregistrament de so, imatge o altres senyals per descobrir secrets d'empresa.
– Delicte de defraudació dels interessos econòmic dels prestadors de serveis.
És important emprear mesures de seguretat com escàners de sistema o xarxa i eines
criptogràfiques.
4.2 Marc jurídic extrapenal
Hi ha altres lleis apart del codi penal que delimiten el marc jurídic com:
– la Llei orgànica de protecció de dades personals,
– la Llei de servis de la societat de la informació i comerç electrònic, i
– la legislació que s'aplica a la signatura digital.
5. Informàtica forense
És un disciplina situada entre el marc jurídic i la tecnologia, que consisteix en una metodologia per
tractar de conèixer que ha passat i al presumpte autor de conductes il·licites, és a dir la seva
finalitat és dir què, quan, qui, on, com i perquè. Per reconstruir un fet utilitzarem les emprentes
emmagatzemades en suports i anomenades evidències digital, que tenen les propietats de poder-
6
7. Mòdul 7: Administració de la seguretat – Activitat de Resum
se modificar o eliminar fàcilment, les copies de fitxers no deixen empremtes i l'adquisició de les
evidències pot suposar alteració del suport digital original.
Consta d'una sèrie de fases:
1) Asegurament de l'escena de l'esdeveniment: consisteix en la restricció de l'accés per tal de no
alterar l'escena i així preservar l'evidència.
2) Identificació de l'evidència digital: procés en el que s'identifica i localitzen les evidències que
s'han de recollit per fer un anàlisi posterior, moltes vegades s'ha de trobar solució de
compromís entre qualitat, validesa i temps de recollida de l'evidència.
3) Preservació de les evidències digitals: l'analista farà còpies exactes de les evidències, tant
sigui en l'escenari com en laboratori, sobre dispositius aportats per ell mateix. S'anota qui, on,
com i quan va recollit l'evidència, a més s'embalen i s'inicia el transport de les evidències
donan lloc a l'inici de la cadena de custòdia.
4) Anàlisi de les evidències digitals: sobretot s'analitza el contingut de fitxers i la informació,
trobem quatre tipus de dades, lògicament accessibles, localitzades en l'anomenat ambient
data, esborrades i eliminades, i les ocultes mitjançant esteganografia.
5) Presentació i informe.
7