seguridad y proteccionjbanos.empresarial-uagro.com/.../2018/07/unidad-vi.pdf · 2018. 7. 6. ·...
TRANSCRIPT
seguridad y proteccion. Qué es la seguridad y la protección '? Alteración o destrucción no autorizada de la información. Uso no autorizado de servicios. Denegación de servicios a usuarios legítimos Objetivo: prevenir, eliminar amenazas potenciales. Protección frente a modificaciones no autorizadas. Resistencia a la penetración Protección frente a modificaciones no detectadas de datos Intentos de penetración: Terminal con sesión abierta Contraseñas Puertas cepo. Caballos de Troya. Gusanos informáticos Virus informáticos. Prueba y error. PROTECCION
.La protección se refiere a un mecanismo para controlar el acceso de los
programas, procesos o usuarios a los recursos definidos por un sistema de
computación. Este mecanismo debe permitir específica los controles que se
impondrán y debe contar con alguna forma de hacerlos cumplir. Distinguimos
entre protección y seguridad que es una medida de la confianza que tenemos en
que se preservará la integridad de un sistema y de sus datos.
.La protección consiste en evitar que se haga un uso indebido de los recursos que
están dentro del ámbito del sistema operativo. Para ello deben existir mecanismos
y políticas que aseguren que los usuarios sólo acceden a sus propios recursos
(archivos, zonas de memoria, etc.). Además es necesario comprobar que los
recursos sólo se usan por aquellos usuarios que tienen derechos de acceso a los
mismos. Las políticas de protección y seguridad de hardware, de software y datos
deben incluirse dentro del sistema operativo, pudiendo afectar a uno o varios
componentes del mismo. En cualquier caso, el sistema operativo debe
proporcionar medios para implementar la política de protección deseada por el
usuario, así como medios de hacer cumplir dicha política.
Objetivo de la protección
A medida que los sistemas de computación se vuelven más complejos y
omnipresentes en sus aplicaciones, también ha crecido la necesidad de proteger
su integridad. La
.protección se concibió originalmente como un adjunto de los sistemas .operativos
.con multiprogramación, para que usuarios poco confiables pudieran compartir sin
peligro un espacio de nombres lógico común, como un directorio de archivos, o un
espacio de nombres físico común, como la memoria. Los conceptos de protección
modernos han evolucionado para aumentar la confiabilidad de cualquier sistema
complejo que usa recursos compartidos.
Existen mecanismos de protección:
Mecanismo de protección de memoria
En un entorno de multiprogramación, la protección de la
memoria principal es fundamental. El interés no es sólo la seguridad, sino también
el funcionamiento correcto de los diversos procesos que estén activos. Si un
proceso puede escribir inadvertidamente en el espacio de memoria de otro
proceso, este último puede que no ejecute correctamente.
La separación del espacio de memoria de los diversos procesos se lleva a cabo
fácilmente con un esquema de memoria virtual. La segmentación, paginación o la
combinación de ambas proporciona un medio eficaz de gestión de la memoria
principal. Si se persigue un aislamiento total, el sistema operativo simplemente
debe asegurar que cada segmento o cada página es accesible sólo para el
proceso al que está asignada. Eso se lleva a cabo .fácilmente exigiendo que no
haya entradas duplicadas en las tablas de páginas o segmentos.
Los mecanismos de memoria deben evitar que un programa en ejecución
direcciones posiciones de memoria que no le hayan sido asignadas por el sistema
operativo.
Una solución empleada en algunas máquinas que no tienen memoria virtual
consiste en incluir una pareja de registros valla (límite y base).
Protección de contraseñas
La línea de vanguardia de la defensa ante los intrusos es el sistema de
contraseñas. Casi todos los servidores y sistemas multiusuario requieren que el
usuario suministre no sólo un nombre o identificador (ID), sino también una
contraseña. La contraseña sirve para autentificar el ID del individuo que se
conecta al sistema. A su vez, el ID introduce seguridad en dos sentidos:
-El ID determina si el usuario está autorizado para obtener acceso al sistema. 'En
algunos sistemas, solo se permite acceder a aquellos que ya tienen un ID
registrado en el sistema.
-El ID determina los privilegios convenidos con el usuario. U nos pocos 'usuarios
pueden tener un status de supervisor o "super1,:1.usuario" que les habilita para
leer archivos y llevar a cabo funciones protegidas especialmente por el sistema
operativo. Algunos sistemas disponen de cuentas anónimas y los usuarios de
estas cuentas tienen privilegios más restringidos que los demás.
-El ID se emplea en lo que se conoce como control de acceso discrecional. Por
ejemplo, enumerando los ID de los demás usuarios, un usuario les puede
conceder permisos para leer archivos poseídos por él.
Mecanismos de protección del procesador
Los mecanismos de protección de 1 procesador se basan en los niveles de
ejecución del mismo. En nivel de ejecución de núcleo se puede ejecutar todas las
instrucciones máquina y se pueden acceder a todos los registros ya la totalidad de
los mapas de memoria y de el s.
Uso indebido o malicioso de programas:
Dos formas frecuentes de generar fallos de seguridad..' usando estas técnicas son el caballo de Troya y la puerta de atrás. El caballo de Troya se basa en la idea de crear un programa para que haga cosas no autorizadas en el sistema cuando actúa en el en torno adecuado. La puerta de atrás consiste en crear un agujero de seguridad al sistema a través de un programa privilegiado que lo permite.
Usuarios inexpertos o descuidados
Los usuarios inexpertos o descuidados son potencialmente muy peligrosos. Cosas
tales como borrar archivos no deseados, dejar abiertos los accesos al sistema ..
Durante largo tiempo o escribir la palabra clave en un papel ~; junto a la
computadora son más frecuentes de lo que parece.
Usuarios no autorizados
Los sistemas operativos, como UNIX o Windows NT , mantienen cuentas para los
usuarios autorizados. El acceso a dichas cuentas se protege mediante
contraseñas, o palabras clave, que solo debe conocer el dueño de las mismas.
SEGURIDAD La seguridad, no solo requiere un sistema de protección apropiado, sino también considerar el, entorno externo en el que el sistema opera. La información almacenada en el sistema ( tanto como código como datos), así como los recursos físicos del sistema de computación, tienen que protegerse' contra acceso no autorizado, destrucción O alteración mal intencionada, y la introducción accidental de consistencias.
SEGURIDAD EXTERNA
Se integridad externa a todos los mecanismos dirigidos a asegurar el sistema
computarizado, sin que el propio sistema intervenga en si mismo. La seguridad
externa se divide en dos grupos:
o Seguridad física: Consiste de aquellos mecanismos que impiden a los agentes
físicos la destrucción de la información existente en el sistema; tales como el
fuego, las inundaciones, humo, descargas eléctricas, etc.
o Criptografía: Es un proceso de transformación que se aplica a unos datos para
ocultar su contenido. El proceso al que hay que someter la información para
conseguir que sea secreta se conoce como encriptado o cifrado.
EL PROBLEMA DE LA SEGURIDAD
Se dice que un sistema es seguro si sus recursos se usan y acceden como el
debido en todas las circunstancias. En general no es posible lograr una seguridad
total. Es mas fácil proteger contra un mal uso accidental que contra un abuso mal
intencionado. Entre las formas de acceso mal intencionado están :
Lectura no autorizada de datos (robo de información).
Modificación no autorizada de datos. Destrucción no autorizada de datos. Para proteger el sistema debemos proteger el sistema en dos niveles:
Físico: el sitio o sitios que contienen los sistemas de computación deben
asegurarse físicamente contra el ingreso armado de intrusos.
Humano: los usuarios deben seleccionador cuidadosamente para reducir la
posibilidad de autorizar un usuario que luego dará acceso a un intruso.
Las exigencias de seguridad de la información en una organización han
experimentado transformaciones principales en las ultimas décadas, el uso
extendido de equipo de proceso de datos, la seguridad de la información que se
creía valiosa en una organización se aseguraba principalmente por medios físicos
y administrativos.
Ejemplos:
El uso de archiveros robustos con una cerradura de combinación para almacenar
documentos delicados
Vigilancia del personal, empleados durante el proceso de contratación.
Con la introducción del computador, se hizo evidente la necesidad de
herramientas automatizadas para proteger los archivos y alguna otra información
guardada en el computador. Al nombre genérico del conjunto de herramientas
diseñadas para proteger los datos y detener a los hackers es el de seguridad de
computadores.
AMENAZAS DE LA SEGURIDAD
En la seguridad de computadores y redes se abordan los siguientes requisitos:
Confidencialidad: Exige que los elementos de un sistema de computadores sea
accesible para lectura solamente por grupos autorizados. Este tipo de acceso
incluye impresión y visualización-
Integridad: Exige que los elementos de un sistema de un sistema puedan ser
modificados solo por grupos autorizados. La modificación incluye escritura,
cambio, cambio de estado, borrado y creación.
Disponibilidad: Exige que los elementos de un sistema de computadores estén disponibles a grupos autorizados. TIPOS DE AMENAZAS
.Interrupción: Se destruye un elemento del sistema o se hace inútil. Esta es una
amenaza a la disponibilidad.
Ejemplo:
La destrucción de una pieza de hardware (como un disco duro, el corte de una
línea de comunicaciones), etc).
.Intercepción: Una parte no autorizada consigue acceder a un elemento. Esta es
una amenaza ala la confidencialidad, la parte no autorizada puede ser una
persona, un programa o un computador.
Ejemplo: La intercepción de las líneas conexiones telefónicas para capturar datos de una
red y la copia ilícita de archivos o programas
Alteración: una parte no autorizada no solo consigue acceder, sino que falsifica un
elemento. Esta es una amenaza ala integridad.
Ejemplo: Cambio de valores de un archivo de datos, la alteración de un programa para que
se comporte de manera diferente y la modificación del contenido de los mensajes
transmitidos en la red.
Invención: una parte no autorizada inserta objetos falsos en el sistema. Esta
también es una amenaza de Integridad.
Ejemplo:
Inserción de mensajes falsos en la red o la adición de registros aun archivo.
PROTECCIÓN y CONTROL DE ACCESO
La motivación original de los mecanismos de protección surgió con la aparición de la multiprogramación. La intención era confinar el programa de cada usuario en su área asignada de memoria y así impedir que los programas traspasaran y dañaran otras áreas. Dado el creciente deseo de compartir objetos en memoria principal y secundaria, se idearon mecanismos más complejos para el control de acceso.
Protección en sistemas informáticos La protección en memoria principal \a unida generalmente a la traducción de direcciones. Su objetivo es permitir que procesos residentes concurrentes y potencialmente sospechosos compartan el espacio común de direcciones físicas en la memoria principal. En sistemas con asignación contigua de memoria, la protección se obtiene, generalmente con ayuda de algún tipo de registros límite. Cuando se carga el programa, se preparan los registros límite para que especifiquen la extensión de su espacio de direcciones legítimo. En tiempo de ejecución, cada referencia a memoria es preexaminada para verificar que se encuentre dentro de los límites. En caso contrario, se deniega el acceso a memoria y se genera una excepción que activa el mecanismo de protección. La protección se asegura haciendo que la modificación de los registros límite sea una operación privilegiada que sólo puede ser ejecutada cuando la máquina está operando en el estado supervisor privilegiado. El estado supervisor está generalmente reservado al sistema operativo ya programas de sistema confiables. Los programas de usuario, por defecto, corren en modo usuario, menos privilegios.
Modelo de protección por matriz de accesos
La necesidad de controlar los derechos de acceso es especialmente pronunciada
en situaciones en donde algunas utilidades comunes, tales como editores y
compiladores, están siendo compartidas.
Para que un proceso utilice una utilidad compartida deben serle comunicados
algunos de los derechos de acceso del usuario. Por ejemplo, el compilador debe
tener concedido al menos acceso de lectura al archivo fuente del usuario y,
opcionalmente, puede tener acceso de creación y escritura de archivos en el
directorio propio del programa del usuario para los archivos objeto y de listado. Sin
embargo, no es aconsejable y es peligroso efectuar esta transferencia de
derechos permitiendo a la utilidad compartida que asuma todos los derechos de
acceso del usuario que la invoca. Tal comportamiento promiscuo, no inhabitual en
sistemas reales, proporciona un terreno fértil para la implantación de caballos de
Troya y para la propagación de virus informáticos.
Estas relaciones pueden ser representadas por medio de una matriz de accesos
que es una representación de todos los derechos de acceso de todos los sujetos
para todos los objetos en un sistema informático. Generalmente se representa
como una matriz bidimensional. utilizando los dominios de protección como filas y
los objetos del sistema como columnas. En la matriz de accesos se incluyen tanto
los objetos de hardware como los de software.
Jerarquías de accesos
Una forma simple de jerarquía de accesos la proporciona el modo de operación dual, usuarios /supervisor, que se encuentran En muchos sistemas informáticos. En ese modelo, en modo usuario, que es modo de ejecución de programas por defecto, hay disponible un rango restringido de operaciones. El modo supervisor es un súper conjunto que además de las instrucciones del modo usuario, permite la ejecución de instrucciones que pueden afectar adversamente a la integridad del sistema. Entre ellas se incluyen ciertas funciones de E/S. la parada de la máquina y la actualización de las tablas de traducción de direcciones. El modo supervisor está reservado al sistema operativo ya programas fiables, generalmente diferentes utilidades del sistema. Por tanto, los programas de usuario se ejecutan en el dominio del usuario, y el sistema operativo se ejecuta en el dominio del supervisor. La conmutación de dominios a nivel de instrucción sólo está permitida en modo privilegiado. Cuando un programa de usuario necesita efectuar una operación fuera de su dominio de protección; invoca al sistema operativo. En el punto de transferencia de control, por ejemplo,
en la instrucción de llamada al supervisor, el sistema operativo puede verificar la autoridad del usuario y conceder o denegar la ejecución adecuadamente. Listas de accesos
Las listas de accesos son un modo de registrar los derechos de acceso en un
sistema informático. Son utilizadas frecuentemente el sistemas de archivos. EI
principio, una lista de accesos es una enumeración exhaustiva de los derechos de
acceso específicos de todas las entidades (dominios o sujetos) que tienen acceso
autorizado a un objeto dado. En efecto, una lista de accesos para un objeto
específico es una lista que contiene todas las celdas 110 vacías de una columna
de la matriz de accesos asociada con un objeto dado.
En sistemas que enlpleal1 listas de accesos, se mal1tiellc una lista separada para
cada objeto. Generalmente, el propietario tiel1e derecho exclusivo a defil1ir y
modificar la lista de accesos asociada. El propietario de un objeto puede revocar
los derechos de acceso concedidos a un sujeto particular o a un dominio
modificando o elil11inal1do simplcmcl1tc la entrada adecuada en la lista de
accesos.
Para almacenar la inforl1lación de acceso en sistemas de archivo se emplean
muchas variantes del esquema de lista de accesos. Típicamente, la lista de
accesos o un puntero a ella se almacel1a en el directorio de archivos. Las listas de
accesos pueden ser combinadas con otros esquemas para reforzar la protección.
En Multics, por ejemplo, las listas de accesos se combinan con un esquema de
protección basado en al1illos para col1trolar el acceso a segmentos que residen
en almacel1amiento secundario.
El pril1cipal inconveniente de las listas de accesos es el recargo de búsqueda
impuesto por la necesidad de verificar la autoridad de un sujeto para acceder al
objeto solicitado. De acuerdo con el principio de mediación completa, toda petición
de acceso a un archivo debería ser verificada. Con el fin de mejorar la eficiencia,
algunos sistemas comprueban la autoridad del solicitante sólo durante la apertura
del archivo. Esto debilita la protección abriendo la puerta a la penetración después
que el archivo está abierto y haciendo inefectivas las revocaciones de privilegio en
tal1to el usuario tenga el archivo abierto, lo cual puede ser indefinidamente en
algul1os sistemas.
Capacidades
En vez de mantener listas de accesos por objeto, el sistema puede también
mantener listas de derechos de acceso por sujeto. En términos nos de la matriz de
accesos, hay una lista de derechos de acceso por cada dominio ( o por cada
sujeto). Omitiendo las entradas vacías, el resultado es una lista exhaustiva de los
objetos a los que un sujeto específico está autorizado a acceder (una fila en la
matriz de acceso). Esta noción básica es el fundamento de un mecanismo de
protección y direccionamiento versátil basado en capacidades.
Los sistemas basados en capacidades combinan las funciones de
direccionamiento y protección en un solo mecanismo unificado que se utiliza para
acceder a todos los objetos del sistema. Conceptualrnente, una capacidad es una
cédula o billete que da al usuario que lo posee permiso para acceder a un objeto
específico en la manera especificada. Las capacidades proporcionan un
mecanismo único y unificado para
1. direccional memoria primaria y secundaria. 2. Acceder a recursos hardware y
software.
3. Proteger objetos en memoria primaria y secundaria.
En sistemas basados en capacidades, a cada objeto se le asocia una lista de
capacidades. Un sujeto puede nombrar y acceder sólo aquellos objetos para los
cuales posee una capacidad válida. A diferencia de los sistemas con listas de
accesos, en donde un sujeto puede nombrar a cualquier objeto, en sistemas
basados en capacidades un sujeto sólo puede nombrar a los sujetos para los
cuales tiene capacidades.
Una capacidad puede representarse como una estructura de datos formada por
dos elementos de información: I) un identificador de objeto único (normalmente un
puntero) y 2) los derechos de acceso para ese objeto.
Las ventajas de las capacidades incluyen flexibilidad y facilidad de Usos tanto
para el sistema Como para los objetos. Las desventajas incluyen la posibilidad de
falsificaciones y la dificultad de reacciones de privilegios de acceso. Una primitiva
implenlentación software bien conocida de la protección basada en capacidades
fue el sistema operativo 11ydr..l (Wlllf et . ). El Procesador Intel 432 incluía el
hardware en cl dirL'L"L"ion..Lmicnlo b.1s..l<.1o en capacidades, pero no llegó a
tener éxito comercial por variadas razones. 1
Cerraduras y llaves El mecanismo de cerraduras y llaves combina aspectos de las listas de accesos y de los sistemas de protección orientados a capacidades. En este método, a cada objeto se le asocia una lista de cerraduras y derechos de acceso, A un sujeto s se le da una llave KY para la cerradura Li sólo si tiene el derecho de acceso r para el objeto asociado. Una lista de cerraduras es en realidad una coJunlna de la matriz de accesos en donde las entradas no vacías idénticas pueden representarse con un único par (L" ¡-), Una llave para una cerradura es una forma de capacidad que da derecho al propietario a acceder al objeto, supuesto que la llave encaje en la cerradura correspondiente. El propietario del objeto puede revocar los derechos de acceso de todos los objetos que comparten la llave A I\, suprinliendo la entrada de la cerradura L:. Este método de protección se asenleja a las claves de almacenanliento introducidas en ell BM 360, ~~.. CLASlFICACION DE SEGURIDAD DE LOS COMPUr ADORES ~ ,. A la seguridad conlleva un conjunto de nJedidas y
procedimientos para prevenir a robosf ataquesf delitosf espionaje y sabotajes. El objetivo de \a seguridad informática es mantener la integridad, disponibilidad y privacidad de la información confiada al sistenla. Los criterios de evaluación de confiabilidad de sisten\as de computación especifican cuatro divisiones de .seguridad en loS sistemas A, S, C, D.
CLASIFICACION O: clasificación de n)ás bajo nivelo de p.-otección n)ínima
comprende solo una clase, y se aplka a sistemas que se evaluaron pero que
no logra:.~.n satisfacer los requisitos de cualquiera de las otras clases de
seguridad.
CLASIFICACION C: proporciona protección discrecional y contabilización de
los usuarios y sus acciones mediante el uso de funciones de ~uditoria.
CLASI.FIC~CI.QN S: mantiene la etiqueta de seguridad de cada objeto en. ~I
sistema, la etiqueta ,e usa para tomar decisiones relacionadas con el control de
acceso obligatorio.
CL.ASIFICACION A: clasificación de .mas alto nivel de protección contiene terminales blindadas para evitar la fuga de campos electromagnéticos, el cual asegura que ningún eq uipo situado fuera del recinto donde la termjnal esta alojada podrá detectar 1a información que esta siendo exhibida por la terminal.
~ .. **** PROTECCION BASADA EN lenguaje ****
La protección que se ofrece en- tos sistemas de computación existentes casi
siempre se ha logrado con la ayuda del núcleo de un sistema operativo, que actúa
como agente de seguridad que inspecciona y valida cada intento por acceder a un
recurso _protegido.
A medida que ha aumentado la complejidad de los sistemas operativos 'os objetivos de la protección se han vuelto mas refinados.
Los diseñadores de los sistemas de protección se han apoyado mucho en ideas
que se originaron en los lenguajes de programación especialmente en los
conceptos de tipos de datos abstractos y .objetos. Los sistemas de protección
ahora se ocupa n no solo se la identidad de un recurso al cual se intentan acceder,
sino también de la naturaleza funcional.
La protección ya no puede considerarse con)o un asunto que solo concierne a' -,
diseñador de un sistema operativo; También debe estar disponible con1o _I!'.. Herramienta que el diseñador de
aplicaciones pueda .usar para proteger recursos de un sistema de aplicación contra intervenciones o errores, . .; Es aquí donde los lenguajes de programación entran en escena, Donde
especifican el control de acceso deseado a un recurso compartido. La-
especificación de acceso tiene varias ventajas importantes:
De las necesidades de protección se declaran de forma sencilla en vez de programarse como u1:1a secuencia de llamadas a procedimientos de un sistema operativo.
O 4s necesidades de protección pueden expresarse independientemente de los
recursos que ofrezca un sistema operativo en particular.
El uso de protección basado en lenguaje de programación p describir en un alto
nivel las políticas de asignación y uso de recurso
MODELOS FORMALES DE PROTECCION La necesidad de protección surge cuando Ios sujetos comparten información, El objetivo de muchos esquemas de protección es reforzar el principio de mínimo privilegio y asegurar que la utilidad y los otros usuarios
-o= no obtengan acceso a ningún dato más que a los explícitamente necesarios para realizar la tarea en cuestión. ..,--
los modelos formales de protección proporcionan un aparato para Ja rmulación
precisa y pata el razonamiento respt(to ala cor;rección y
..complejidad de las diferentes políticas y n\ecanismos de seguridad.
tI Modelo Tomar-Conceder -. tJ Modelo Bel a Padula
MODELO TOMAR -CONCEDER
~ Es un modelo basado en grafos que describe una clase restringida de sisten1as
de protecc~n. La seguridad de loS sistemas tomar-conceder es decjdibJe incluso
si es posible crear un nu.mero de sujetos y objetos ilimitado. Este mode~
considera el sistenla de protección formado por-: 1,- Un conjunto de sistemas, ..2~- Un conjunto de objetos. ". 3.- Un conjunto de derechos. En el modelo tomar conceder, un estado de protección se describe como un grato G cuyos vértices representan sujetos y objetos del sistema y cuyos arcos representan derechos de acceso. El modelo define cinco operaciones prinlitivas: * Crear sujeto * Crea r objeto * Tomar
* Conceder
* Suprimir (el derecho de acceso)
La aplicación de estas operaciones produce cambios en el estado del sistema.
Este modelo describe la transferencia de derechos de acceso. La principal inJportancia de este nJodelo consiste en la denIostracK)n de que las
decisiones de seguridad pueden ser relativamente sencillas en sistemas un tanto
restringidos.
MODELO BELL-LAPADULA Bell y LaPadula han ideado un modelo de proteccion, que lleva su nombre, el sistema de p...oteccion se visualiza como:
1.- Un conjunto de sujetos. 2.- Un conjunto de objetos. 3.- Una matriz de accesos.
Cada entrada de la matriz de accesos puede contener un conjunto de de..echos
de accesos, además cada sujeto tiene asignada una auto..ización y cada objeto
tiene asignado un nivel de auto..idad
CRIPTOGRAFIA
Un modo de forzar fa seguridad en sistemas informáticos es cifrar los
registros y mensajes sensibles en transito y en almacenamiento.
El texto o.-iginal sin cif.-a.- se denomina texto ~.
Puede se.- cif.-ado utilizando 'algún nlétodo de cifrado
El resultado se denomina texto cifrado.
El aumento de confianza en la integridad de sistemas que utilizan cifrado esta basado en la noción de que el texto cifrado d'ebería resultar difícil de descifrar sin el conocimiento de la clave. Al arte de descubrir cifrados se le denomina crigtoanálisis. Hay tres tipos básicos de ataques para ruptura de códigos: Atague de texto cifrado: Ocurre cuando un adversario entra en posesión
únicamente del texto cifrado.
Atague del texto conocido: Ocurre cuando el intruso dispone de algunas porciones
correspondientes del texto cifrado y del texto llano.
Atague del texto llano elegido: En el cual el atacante tiene capacidad para
cifrar trozos de texto llano a voluntad.
***** SISTEMAS ()E PROTECCION BASADOS EN CAPACI()ADES *****
SISTEMAS DE PROTECCION BASADOS EN CAPACIDADES
HYDRA BASAOO EN CAPACIDADES PROPORGIONA DE AGCESD. I DE NTIFICACION ENTRAR. DERECHOS Al JECANSrvDS PROTECCION ARCHIVOS PRIVADOS DE PARA Políticas PARA El USO DE RECURSOS. SISTEMA CAf'JBRlOOE CAP MÁS POTENTE QUE El SISTEMA HYDRA. PROPORCIONAR PROTECCION A PROCEDIMIENTOS DE USUARIOS. PROTEGER Al SOFTWARE. NO PERMTE EL ACCESO A UN USUARIO QUE SE HA y A VERIFICA CION. PROPORCIONAR UN INFORME SEGURO. MECANISMOS DE PROTECCIÓN
Son técnicas que se utilizan en ios sistemas operativos con el fin de proteger
archivos y otros elementos. Todas estas técnicas hacen una clara distinción entre
política (Ios datos de quién se protegerá de quién) y mecanismo (cómo refuerza la
política el sistema).
Dominios de protección
Un sistema de computación contiene muchos objetos que necesitan protegerse" Estos objetos pueden ser elementos de hardware, como unidades centrales de procesamiento, segmentos de la memoria, terminales, unidades de disco o impresoras o bien pueden ser elementos de software, como procesos, archivos, bases de datos o semáforos.
Cada objeto tiene un nombre único por el cual se refiere y un conjunto de operaciones que se pueden ejecutar con él. Los objetos son el equivalente del sistema. operativo de lo que en lenguajes de programación se conocen como tipos de datos abstractos.
Esta claro que se necesita contar con alguna manera de prohibir que los procesos accesen objetos a los que no tienen acceso autorizado. Además, este mecanismo también debe hacer posible limitar los procesos aun subconjunto de las operaciones legales cuando se necesite. Por ejemplo, el proceso A puede tener derecho a leer, pero no a escribir, el archivo F.
Sin embargo, es cuestionable si el mecanismo disponible (los comandos de protección) es adecuado para reforzar alguna política de protección. Para poner un ejemplo simple de una política, considérese el esquema de seguridad utilizado por los militares. Cada objeto es no clasificado, confidencial, secreto o uItra secreto. Cada dominio (y por lo tanto cada proceso)" también pertenece a uno de estos cuatro niveles de seguridad. La política de seguridad tiene dos reglas:
1. Ningún proceso puede leer ningún archivo cuyo nivel sea más alto que el propio, pero puede leer libremente objetos de un nivel inferior o de su propio nivel. Un proceso secreto puede leer objetos confidenciales, pero no ultra secreto.
2. Ningún proceso puede escribir información en algún objeto cuyo nivel sea inferior que el propio. Un proceso secreto puede escribir en un archivo ultra secreto ero no en uno confidencial. PROTECCION
Los mecanismos que previenen el acceso no autorizado se denominan como mecanismos de protección. Podemos hablar de la protección como una área que abarca varios aspectos de la seguridad, que resulta una meta en loS sistemas distribuidos y los mecanismos de protección son sólo una parte para lograr esa meta.
El fin de estos mecanismos es el de prevenir que algunos usuarios puedan robar espacio en disco, ciclos de procesamiento, que los archivos no sean leídos por personas ajenas o que modifiquen bases de datos que no les pertenezcan.
Los mecanismos de protección tienen que poner atención en los siguientes temas:
.Privacidad de almacenamiento. Se refiere a que los usuarios deben poder mantener su información en secreto; dicho en otras palabras, prevenir que otros usuarios la vean.
.Privacidad en el paso de mensajes. La privacidad tiene que ver con que a los
usuarios se les garantice que la información que entreguen sea usada solamente
para los propósitos para los que fue remitida. i
.Aute111ticidad. La información que se entregue a algún usuario debe ser autentica, es decir; se debe poder verificar y asegurar la fuente de donde proviene la informaci6n.
Integridad. La información almacenada por el sistema no debe ser corrupta ya sea por el sistema o por algún usuario no autorizado.
Los objetos resguardados por los mecanismos de protección van desde los
archivos y los directorios, hasta los procesos, y aún los mismos dominios de protección.
SEGURIDAD
La seguridad y la protección se encargan del control del uso y del acceso no autorizado a los recursos de hardware y software de un sistema de computación, ya que organizaciones de negocios y oficinas de servicios usan en gran medida alas computadoras para almacenar información, por lo que es necesario prevenir su uso y acceso no autorizado. La seguridad en los sistemas computacionales puede dividirse en dos tipos: seguridad externa y seguridad interna.
La seguridad externa (llamada comúnmente seguridad física), se encarga de regular el acceso al hardware del sistema, incluyendo: discos, cintas, reguladores y no-breaks, acondicionadores de aire, terminales, procesadores.
La seguridad interna se encarga del acceso y uso del software almacenado en el sistema. A diferencia de la seguridad física, existe el tema de autenticaci6n, en el cual el usuario se registra (Iogin) en el sistema para acceder a los recursos de hardware y software del mismo.
Un tipo de seguridad es la seguridad con Firewall muy efectiva en redes. Intenta prevenir los ataques de usuarios externos a la red interna. Tiene múltiples propósitos:
~ -Restringir la entrada a usuarios a puntos cuidadosamente controlados -Prevenir los ataque -Restringir los permisos de los usuarios a puntos cuidadosamente controlados Un Firewalls es a menudo instalado en el punto donde la red interna se conecta
con Internet. Todo trafico externo de Internet hacia la red pasa a través del
Firewall, así puede determinar su dicho trafico es aceptable, de acuerdo a sus
potíticas de seguridad.
Lógicamente un Firewall es un separados, un analizador, un limitador. La
implementaci6n física varia de acuerdo al lugar. A menudo, un Firewall es un
conjunto de computadoras de hardware un router, un host, una combinación de
routers, computadoras y redes con software apropiado. Rara vez es un simple
objeto físico. Usualmente esta compuesto por múltiples partes y algunas de esas
partes puede realizar otras tareas.
La conexión de Internet también forma parte de Firewall. Un Firewalls es vulnerable, el no protege de la gente que esta dentro de la red interna. El Firewall trabaja mejor si se complementa con una defensa interna. Un Firewall es la forma mas efectiva de conectar una red a Internet y proteger su red. Los Firewalls también tienen distintas necesidad de seguridad.
MEDIDAS BÁSICAS DE SEGURIDAD
En general se puede afirmar que si la llave privada solo es conocida y accesible
por el sujeto A, sería prácticamente imposible, para otro sujeto B, falsificar una
firma digital del sujeto A, o abrir un sobre digital dirigido al sujeto A, utilizando
métodos matemáticos. El atacante de un sistema va a centrar su esfuerzo en
encontrar debilidades en la implementación del software o hardware de seguridad.
A continuación se mencionan los dos puntos de ataque más comunes: Generación
de Qúmeros aleatorios.
La generación de las llaves utiliza métodos pseudo aleatorios por lo que es muy
importante
que un sujeto B no puede replicar el procedimiento que siguió un sujeto A cuando
este generó sus llaves.
Ataaue a la Llave Privada
La llave privada, que normalmente reside en un archivo debe mantenerse
encriptada con un algoritmo simétrico, utilizando como llave una contraseña.
La contraseña debe ser elegida por el usuario en forma tal que resulte
impredecible para quien intente adivinarlo por asociación de ideas. La encriptación
por contraseña es normalmente presa de ataques denominados de diccionario que
buscan exhaustivamente entre un conjunto de palabras formadas por letras del
abecedario.
Otro ataque más sutil se concentra en intentar por prueba y error las posibles
contraseñas que un sujeto utiliza en base a acciones de idea$, por ejemplo, su
apodo, el nombre de su esposa, su apodo y fecha de nacimiento, etc.
PROTECCIÓN DE MEMORIA
En un entorno de multiprogramación, la protección de la memoria principal es fundamental. El interés no es sólo la seguridad, sino también el funcionamiento correcto de los diversos procesos que estén activos. Si un proceso puede escribir inadver1idamente en el espacio de memoria de otro proceso, este último puede que ejecute correctamente.
La separación del espacio de memoria de los diversos procesos se lleva a cabo fácilmente con un esquema de memoria vir1ual. La segmentación, paginación o la combinación de ambas proporciona un medio eficaz de gestión de la memoria principal. Si se persigue un aislamiento total, el sistema operativo simplemente debe asegurar que cada segmento o cada página es accesible sólo para el proceso al que está asignada. Esto se lleva a cabo fácilmente exigiendo que no haya eLltradas duplicadas en las tablas de páginas o segmentos.
Si se va a permitir la compartición, el mismo segmento o página puede ser referenciado en más de una tabla. Este tipo de compartición se consigue mejor en un sistema que soporta segmentación o una combinación de segmentación y paginación. En tal caso, la estructura del segmento es visible ala aplicación y la aplicación puede declarar segmentos individuales como compartibles o no compartibles. En un entorno de paginación pura, se hace mas difícil discriminar entre los dos tipos de memoria debido a que la estructura de memoria es transparente a la aplicación. CRIPTOGRAFIA
La palabra "Criptografia" viene del griego "Kryptos", escondido, y "Graphos",
escritura. Es decir, cuando hablarnos de Criptografia estalnos hablando de
"Escritllra escondida " .Se trata de escribir algo de manera que otra persona que
quiera leer lo que hemos escrito no pueda entenderlo a no ser que conozca cómo
se ha escondido.
El objetivo de la criptografia es el de proporcionar comunicaciones seguras (y
secretas) sobre canales inseguros.
Los sistemas criptográficos están teniendo un gran auge últimalnente ante el
miedo de que una transmisión en Internet pueda ser ipterceptada y alglm
desaprensivo pueda enterarse de alguna infonnación que no debería. y no
estamos hablando de un coITeo electrónico en el que organizalnos las vacaciones
con los amigos. Nos referimos a, por ejemplo, una transacción comercial de
cientos de miles de pesos o una infonnación sobre detenninados temas
empresariales que podría hacer las delicias de un competidor .
f Hay muchos sistemas para "camuflar" lo que escribimos. Quizá el más fácil
sea la "transposición" del texto. Consiste en cambiar cada letra del texto por otra
distinta. Por ejemplo, si escribo "boujwjsvt", solamente las personas que supieran
que se ha puesto la letra siguiente del alfabeto para escribir la palabra " antivirus "
podrían entender la palabra.
Evidentemente, los sistemas criptográficos actuales van mucho más allá de un
sistema como el de transposición, fácil de descubrir en unos cuantos intentos.
Incluso si en lugar de transponer un determinado número de espacios elegimos
aleatoriamente las letras a sustituir, también bastaría con un ordenador que tuviera
un simple coITector ortográfico para, en unos cuantos intentos, descubrir el
significado de un mensaje.
Servicio de
Privacidad criptográfico
Criptoanálisis
Criptografía
METODOS Y TÉCNICAS
DE ENCRIPTACION
Cesar
Gronsfeld
RSA
DES
Chaffing & Winnowing
SKIPJACK
BIFIDO
WLBYKYAAOTB
RSA Este criptosistema es uno de los más usados hoy en día. Es un sistema asimétrico con claves de larga longitud (512 bits). Es considerado uno de los sistemas más seguros de la achlalidad. Su principal problema radica en su incapacidad, debido a su baja velocidad, de encriptar y/o decriptar grandes volílmenes de datos.
Diffie-Helman (Key Exchange)
El protocolo Diffie-Hellman es usado únicamente para establecer lma clave de
sesión entre dos usuarios o procesos. Su principal ventaja con respecto a
criptosistemas como RSA es que no necesita encriptar ni decriptar ninguna
infonnación que debe ser transmitida.
Diversos sistemas criptográficos han sido desarrollados a lo largo de la historia.
Sólo un grtlpO reducido de esos sistemas son considerados realmente "segtlfos"
en la actualidad. No obstante, el auge de las redes y la proliferación de servicios a
través de éstas ha ejercido presión en el área de la criptografia, en demanda de
tecnologías que garanticen altos niveles de seguridad.
DES (Data Encryption Estandard)
Este es el criptosistema más usado actualmente en el mlmdo. Sin embargo, por
razones de edad, no debe segtlirse usando en aplicaciones que necesiten un alto
grado de segtlridad. Un ejemplo práctico donde se demllestra qlle DES ya no es
segllfo, fue realizado por la "Electronic Frontier Folmdation" (EFF) en Julio de
1998. La prueba realizada por la EFF consistió en desarrollar lma máquina con
miles de chips especiales que pllede romper una clave DES en menos de tres
días.
JDES (Triple DES)
Este criptosistema es lma variante de DES. La diferencia entre DES y 3DES radica
en que el último algoritmo realiza dos operaciones de encripción y lma de
decriptan;liento usando el algoritmo DES. Su I. principal desventaja con
respecto a DES es que es tres veces más lento. El inconveniente de la velocidad
se hizo en pro de conseguir mayor seguridad, ya que a diferencia de
.su antecesor, 3DES si es seguro.
IDEA(International Data Encryption Algorithm)
Hasta ahora no ha habido ningún ataque que haya podido penetrar la segtlrÍdad
de este algoritmo, sin embargo, es conveniente mencionar que para que un
criptosistema pueda ser considerado confiable es recomendable que supere dos
décadas de vida pública sin que haya podido romperse su segtlridad. El principal
inconveniente que presenta IDEA es su corta vida, pues ftle creado a principios de
la década de los noventa por lo que .todavía carece del tiempo recomendable para
poderlo considerar "seguro".
Skipjack
Este criptosistema fue desarrollado y es usado por la NSA. El hecho que la NSA lo
este usando hace suponer que eS bastante seguro, sin embargo, no es posible
realizar mayores análisis pues el algoritmo usado por este criptosistema está
mantenido en secreto .
Cifrar un mensaje en función de un número primo
Cada letra ~n un mensaje tiene un número asociado que nunca varía. El número
está establecido por el código denominado ASCII. El conjunto de caracteres ASCII
define cada carácter con un nílmero que va desde el O al 255. Por ejemplo, la letra
"A" mayílscula tiene el código 65, la "z" minílscula tiene el código 122, etc.
Cualquier texto escrito en un ordenador se puede trasladar a notación ASCII. Por
ejemplo, en código ASCII la palabra "antivirus" es:
\
97110 116105 118105114117 115
Así tenemos una cadena de números ( que es como realmente se transmite la
infonnación digitalmente) que podríamos multiplicar por lm níunero que sea la
multiplicación de dos níuneros primos. Si elegirnos, por ejemplo, 1.4 (multiplicando
2 y 7), la cadena de números nos quedaría así:
13581540 1624147016521470 159616381610
La persona que quiera leer lo que pone, primero deberá averiguar cuál es el
número que hemos utilizado para cifrar la infonnación. y para ello deberá adivinar
cuáles son los dos factores que hemos utilizado para cifrar la infonnacjón.
Evidentemente, en este ejemplo e~ muy fácil, 14 = 7 x 2.
Sin embargo, si utilizamos números muy grandes, el problema se complica. Por
ejemplo, si utilizamos el número 2.591.372.723, su descomposición en dos
factores primos ya no es tan inmediata. A pesar de eso, en muy poco tiempo
veríamos que es el producto de 97.453 y 26.591.
La longitud de estos níuneros (16 que se llama el tamaño de la clave) es
primordial para que un cifrado sea más o menos efectivo. En el primer ejemplo, si
pasamos anotación binaria el níunero 14 veríamos qu~ se escribe 1110, un
número de 4 bits. ~ segundo ejemplo, 2.591.372.723, se escribe en binario como
I00lI0I00II1o1o1oo11o1o11o11oo11, 32 bits. y en los sistemas de cifrado actuales
una clave de menos de 400 ó 500 bits se considera ridícula. Lo más nonnal es
utilizar , como poco, ¡ ¡ ¡ 1.024 bits de longitud de clave!!!
Ventaja del cifrado
.La confidencialidad está prácticaInente asegurada, nadie que no conozca las
claves con las que se ha enviado el correo electrónico podrá enterarse de qué es
lo que hay en el correo. Así podremos mandar todo tipo de información con la
tranquilidad de que estará a salvo de teóricas intercepciones de la comunicación.
Problema del cifrado
.El antivirus pierde toda su eficacia ante un mensaje cifrado. interno. De nada sirve controlar muy ien el acceso a la base de datos de nóminas, si un operador de una compañía d"stribuye listas de personal con sus nóminas y datos personales. Otro ejemplo es la realización de transacciones comerciales a través de Internet, en muchas de las cuales se envían números de tarjeta de crédito sin protección. Solución de este tipo de problemas requiere actuaciones externas al sistema operativo que pueden ser incluso policiales.
El control del acceso a datos y recursos si es competencia directa del sistema operativo. Es necesario asegurar que los usuarios no acceden a archivos para los
que no tienen permiso de acceso, a cuentas de otros usuarios o a páginas de memoria o bloques de disco que contienen información de otros usuarios (aunque ya estén en desuso). Para conseguirlo hay que aplicar criterios de diseño riguroso y ejecutar pruebas de seguridad exhaustivas para todos los elementos del sistema, aunque se consideren seguros. El control de acceso incluye dos problemas que son: autenticación de usuarios y protección frente a accesos indebidos.
MECANISMOS DE PROTECCIÓN
Los distintos procesos en un sistema operatÍ""," .j.: ~- ~ " est-ar ;::-:1~:..;idos ..
contra las actividades de los demás. Por e:;to existen \!ar;.. :: r~";:anismos que ,
pueden usarse para asegurar que los archivos, los segm~1-:~~ : de memoria- ;a
CPU y otros recursos s¿lo puedan ser utilizados por aqu:-I;::: ~ "()t:esos q\.Je han
recibido la autorizació: adecuada del sistema operátivO..
.SEGURIDAD EXTERNA.
La seguridad externa consiste en seguridad física y 3eguridad de operación. La seguridad física incluye la protección contra desastres y Ic , prJt~cción contra intrusos. Los mecanismos de detección son irí portantes para la seguridad física; los detectores de humo y los sensores de ca,lor puedef'\ proporcionar un aviso temprano en caso de incendio; los detectores de movimiento pueden determinar si ha entrado un intruso en una instalación de cómputo.
.Poner en prá:t:ca la protección contra desastres puede resulta. costo,so, , pero es obvio que .a necesidad de este tipo de proteccic!': depend'. de las consecuencias de U:1~ pérdi ~. En la mayoría de las orga- "-aciones se ".nfocan en la seguridad física que se en;:amina hacia el recrazo de intruso. Las instalaciones utilizan diversos tipos de sistemas de identificación física, como por ejemplo, las credenciales con firmas fotografías o las dos cosas. Los ..sistemas de huellas dactilares o de patrón de I l, etc.
interno. De nada sirve controlar muy ien el acceso a la base de datos de nóminas, si un operador de una compañía d"stribuye listas de personal con sus nóminas y datos personales. Otro ejemplo es la realización de transacciones comerciales a través de Internet, en muchas de las cuales se envían números de tarjeta de crédito sin protección. Solución de este tipo de problemas requiere actuaciones externas al sistema operativo que pueden ser incluso policiales.
El control del acceso a datos y recursos si es competencia directa del sistema operativo. Es necesario asegurar que los usuarios no acceden a archivos para los que no tienen permiso de acceso, a cuentas de otros usuarios o a páginas de memoria o bloques de disco que contienen información de otros usuarios (aunque ya estén en desuso). Para conseguirlo hay que aplicar criterios de diseño riguroso y ejecutar pruebas de seguridad exhaustivas para todos los elementos del sistema, aunque se consideren seguros. El control de acceso incluye dos
problemas que son: autenticación de usuarios y protección frente a accesos indebidos.
MECANISMOS DE PROTECCIÓN
Los distintos procesos en un sistema operativo debe estar protegido contra las
actividades de los demás. Por e:;to existen varios mecanismos que , pueden
usarse para asegurar que los archivos, los segmentos de memoria y la CPU y
otros recursos solo puedan ser utilizados por aquellos procesos que an recibido
la autorizació: adecuada del sistema operátivO..
.SEGURIDAD EXTERNA.
La seguridad externa consiste en seguridad física y 3eguridad de operación. La seguridad física incluye la protección contra desastres y Ic , prJt~cción contra intrusos. Los mecanismos de detección son irí portantes para la seguridad física; los detectores de humo y los sensores de ca,lor puedef'\ proporcionar un aviso temprano en caso de incendio; los detectores de movimiento pueden determinar si ha entrado un intruso en una instalación de cómputo.
.Poner en prá:t:ca la protección contra desastres puede resulta. costo,so, , pero es obvio que .a necesidad de este tipo de proteccic!': depend'. de las consecuencias de U:1~ pérdi ~. En la mayoría de las orga- "-aciones se ".nfocan en la seguridad física que se en;:amina hacia el recrazo de intruso. Las instalaciones utilizan diversos tipos de sistemas de identificación física, como por ejemplo, las credenciales con firmas fotografías o las dos cosas. Los ..sistemas de huellas dactilares o de patrón de I l, etc.
interno. De nada sirve controlar muy ien el acceso a la base de datos de nóminas, si un operador de una compañía d"stribuye listas de personal con sus nóminas y datos personales. Otro ejemplo es la realización de transacciones comerciales a través de Internet, en muchas de las cuales se envían números de tarjeta de crédito sin protección. Solución de este tipo de problemas requiere actuaciones externas al sistema operativo que pueden ser incluso policiales.
El control del acceso a datos y recursos si es competencia directa del sistema operativo. Es necesario asegurar que los usuarios no acceden a archivos para los que no tienen permiso de acceso, a cuentas de otros usuarios o a páginas de memoria o bloques de disco que contienen información de otros usuarios (aunque ya estén en desuso). Para conseguirlo hay que aplicar criterios de diseño riguroso y ejecutar pruebas de seguridad exhaustivas para todos los elementos del sistema, aunque se consideren seguros. El control de acceso incluye dos problemas que son: autenticación de usuarios y protección frente a accesos indebidos.
interno. De nada sirve controlar muy ien el acceso a la base de datos de nóminas, si un operador de una compañía d"stribuye listas de personal con sus nóminas y datos personales. Otro ejemplo es la realización de transacciones comerciales a través de Internet, en muchas de las cuales se envían números de tarjeta de crédito sin protección. Solución de este tipo de problemas requiere actuaciones externas al sistema operativo que pueden ser incluso policiales.
El control del acceso a datos y recursos si es competencia directa del sistema operativo. Es necesario asegurar que los usuarios no acceden a archivos para los que no tienen permiso de acceso, a cuentas de otros usuarios o a páginas de memoria o bloques de disco que contienen información de otros usuarios (aunque ya estén en desuso). Para conseguirlo hay que aplicar criterios de diseño riguroso y ejecutar pruebas de seguridad exhaustivas para todos los elementos del sistema, aunque se consideren seguros. El control de acceso incluye dos problemas que son: autenticación de usuarios y protección frente a accesos indebidos. ;. Modelos de Seguridad.
Un modelo es un mecanismo que pennite hacer explícita una política de
seguridad. En segtlridad, los modelos se usan para probar la completittld y 1a
coherencia de la política de se~dad. Además, pueden aytldar en el diseño del
sistema y sirven para comprobar si la implementación cumple los requisitos de
segtlridad exigida. Dependiendo de los requisitos, los modelos de segtlridad se
pueden clasificar en dos grandes tipos:
.Modelos de segltridad multinivel.
Penniten representar rangos de sensibilidad y reflejar la necesidad de separar
rigllfosamente los sujetos de los objetos a los que no tienen acceso. Suelen ser
modelos abstractos y muy generales, lo que los convierte en muy complejos,
difíciles de verificar y muy costosos de implementar.
.Modelos de seguridad limitada.
Se centra en responder formalmente la propiedades que lm sistema seguro debe
satisfacer, pero introduciendo restricciones a I los sistemas de seguridad
multinivel. Todos ellos se basan en dos principios:
1. U san la teoria general de la computación para definir un sistema formal de
reglas de protección.
2. Usan una matriz de control de acceso, en cuyas filas están los sujetos y
columnas los objetos.
POLITICAS DE SEGURIDAD.
La función de la protección en un sistema computacional es la de proveer un
mecanismo para la aplicación de políticas que gobiernen el uso de los recursos.
Estas políticas pueden ser establecidas de varias maneras. Alunas son fijadas
durante el diseño del sistema, mientras que otras son formuladas como parte de la
administración en la ejecución del sistema. Y otras son definidas por usuarios
individuales para proteger sus archivos y problemas.
, Política Militar.
Esta es una de las po]íticas más popularmente conocidas y también de las más
estrictas, por ]0 que casi nunca se aplica en su totalidad. Se basa en la
clasificación de todos los objetos con requisitos de seguridad en uno de los cinco
nive]es de seguridad siguientes:
.Desclasificado. .Restringjdo.
.Confidencial. . .Secreto. . .Alto Secreto.
Y en c]asificar también a los usuarios según el nivel al que pueden acceder . El
acceso a la información se controla por la regla de lo que se necesita saber. Sólo
se permite el acceso a datos sensibles a quien los necesita para hacer S4 trabajo.
De esta forma se puede compartimentar a los usuarios, haciendo más estricta la
regla general de acceso. Un compartimento se puede extender a varios niveles y
dentro del mismo se aplica también la regla general de acceso. Usar
compartimentos pem1ite establecer conjuntos de usuarios que acceden a la
información y ocultar documentos a usuarios con el mismo nivel de seguridad. ,
Con esta política, cada pieza de infonnación se debe clasificar usando la
combinación <nivel, compartimento> .
~ Políticas Comerciales. .
Basándose en la política militar, pero generalmente debilitando las restricciones de
seguridad, se han diseñado varias políticas de uso comercial. Algunos ejemplo de
ellas son las de Clark -Wilson, separación
deberes o la muralla china. Aunque son menos rígidas que la militar , todas
ellas usan los principios de compartimentación de los usuarios y de
clasificación de la información.
La política de la muralla china clasifica a objetos y usuarios en tres niveles
de abstracción :
Objetos. Grupos. Clases de conflicto.
Cada objeto pertenece a un {mico grupo y cada grupo a tma única clase de conflicto. Una clase de conflicto, sin embargo, puede incluir a varios
gnlpOS. Por ejemplo, suponga que existe info,nnación de tres fabricantes de
automóviles (VolksWagen, Seat y General Motors) y dos bancos (BSCH y BBV A).
Con la muralla china existen 5 grupos y 2 clase de conflicto (bancos y
automóviles). La política de control de acceso es sencilla. Una persona puede
acceder ala iilfonnación siempre que ,antes no haya accedido a otro gnlpO de
clase de conflicto a la que pertenece la infonnación a la que quiere acceder .
accesorio de la misma. La confidencialidad implica que el mensaje no haya podido
ser leído por terceras personas distintas del emisor y del receptor durante el
proceso de transmisión del mismo.
Cómo funciona la firma digital?
El proceso de finna digital de un mensaje electrónico comprende en realidad dos
procesos sucesivos: la finna del mensaje por el emisor del mismo y la verificación
de la finna por el receptor del mensaje. Esos dos procesos tienen lugar de la
manera que se expresa a continuación, en la que el emisor del mensaje es
designado como Angel y el receptor del mensaje es designado como Blanca: ' .
IMPLANTACI.ON DE MA TRICES CON DERECHOS DE ACCESO.
un modelo de protección puede ser visto abst.ractamente como una . matriz,
llamada matriz de derecho. Los renglones de la matriz
representan dominios y las columnas representan objetos. Cada
entrada en la matriz contiene un conjunto de derechos de acceso.
Dado que los objetos son definidos explícitamente por la columna, se puede omitir
el nombre del objeto en el derecho de acceso. La entrada !I Matriz[i., .;1" define el
conjunto de operaciones que un
proceso e.jecutándose en el dominio !lDj!l puede realizar sobre el ob.jet.o "Oj".
Considérese la siguiente matriz de acceso:
Hay 4 dominios y 5 objetos: 3 Archivos ("Al", "A2", "A3") 1 Puerto Serial y 1
impresora. Cuando un proceso se ejecuta en 01, puede . leer los archivos !lA 1 " y
!lA3!1 .
r
Un proceso ejecutándose en el dominio !lD4!1 tiene los mismos
privilegios que en "Dl!1, pero además puede escribir en los archivos. Nótese que
en el puerto serial y la impresora solo se pueden ser ejecutados por procesos del
dominio !lD2".
MECANISMOS Y :politicas. (LIMITACIO'NeS)
La función de la protección en un sistema computacional es la . proveer un
mecanismo para la aplicación de polfticas que gobiernen el uso de los recursos.
Estas políticas pueden ser establecidas de varias maneras. Algunas son fIjadas
durante el disetio del sistem~ mientras que otras son formuladas como parte de la
administración en la ejecución del sistema. Algunas otras son defInidas por
usuarios individuales para proteger sus archivos y programas. Un sistema de
protección debe tener la flexibilidad para ~Iicar las políticas que ~ declaradas para
ello.
Las políticas para el uso de recursos puede variar, dependiendo de la aplicación y
pueden estar sujetas a cambios. Por estas razones, la potección no puede ser
considerada como un problema que solamente concierne al diseftador de un
Sistema Operativo, sino que debe considerarse, como una herramienta para los
programadores de aplicaciones, de manera que los recursos creados y soportados
por UD subsistema de apllcaci6n- puedan ser protegidos contra el mal 18),
Un principio importante es la separación entre política y mecanismo, Los -../8'"OS
detem\inan como será reali1.ado allO, :8n contrute, las politiC:QS deciden que es
lo que le realigrá, :81 pollble que III poUticas cambien de lugar en lular o de tiempo
en tiempo, :8n el peK:Jt de los caso~ cada cambio en la política requerirá un
cambio en el subyacente mecanismo,
limitaciones
Protección por contraseña
El usuario escoge una palabra clave, la memoriza y después la teclea p~ obtener acceso a un sistema de cómputo. La mayor parte de los si~as suprimen la impresión o despliegue de la contraseña mientras se teclea.
Ventajas:
Solo el usuario tiene acceso a los datos.
No pemlite el despliegue de la contTaseña en pantalla mientras se teclea.
Daventaja:
Se basa en la memorización del usuario.
Existen programas capaces de de encontrar la contraseña a través de múltiples
combinaciones de letras. l)q>ende mucho de la seguridad del administrador del sistema operativo.
Limitaciones:
La capacidad de memoria del usuario
~ ..
Criptografia
La criptogra:fia es el empleo de transformaciones de los datos a fin de hacerlos
incomprensibles para todos con excepción de sus usuarios autorizados.
Vmtajas:
Solo el emisor y el rec«ptor del mensaje pueden leerlo.
Que el mensaje no puede ser alterado no lo puede modificar .
Desventaja:
Se debe tener cuidado con el códi'go
Li_itaciones:
La capacidad del programador para desarrollar algoritmo de encriptación
,:;f1ciente.
encapsulado
El encapsulado en ocultar los detalles de implementación de un objeto pero pm) ala vez se provee una interfaz publica por medio de sus O~raciones penniridas. Se define también como la propiedad de los o~tos de pennitir el acceso a su estado únicamente a través de su intt!rlaz o de relaciones preestablecidas como otros objetos.
Ventajas: Se puede ocultar la información importante a los usuarios y solo muestta la
infonnación necesaria.
Evita el uso mal intencionado de la infonnación. Desven tajas: Se restringe mucho al usuario dependiendo del programa que este utilizando.
limitaciones: el control de detalles de acceso privado y publico.
Huella digital
una. huella digital es un conjunto de datos asociados a 1Dl mensaje que pe2miten
asegurar que el mensaje no fue modificado.
Ventaja: Permite conocer si un mensaje fue alterado.
El. código para tener acceso a los datos. de la huella digital debe ser el m.i8no que se use para crearla y IeerIa.
Desventaja:
no evita la modificación del archivo
MECANJ MOS DE PROTECCIO N . Metas de la protección
Existen varios mecanismos que pueden usarse para asegurar los archivos, segmentos de
memoria, CPU, y otros recursos administrados por el Sistema Operativo .
Por ejemplo, el direccionamiento de memoria asegura que unos procesos puedan
ejecutarse solo dentro de sus propios espacios de dirección. El timer asegura que
los procesos no. obtengan el control de la CPU en forma indefinida.
La protección se refiere a loS mecanismos para controlar el acceso de programas,
procesos,.
o usuarios a los recursos definidos por un sistema de computación Seguridad es la
serie de","" problemas relativos a asegurar la integridad del sistema y sus datos.
Hay importantes razones para proveer protección La más ob\1a es la necesidad de prevenirse de violaciones: intencionales de acceso por un usuatio Otras de importancia son, la necesidad de asegurar que cada componente de un programa, use solo los recursos del sistema de acuerdo con las políticas fijadas para el uso de esos recursos
Un recurso desprotegido no puede defenderse contra el uso no autorizado o de un
usuario incompetente Los sistemas orientados a la protección proveen maneras de distinguir entre uso autorIzado y desautorizado
mecanlsmos y Políticas
El rol de la protección es proveer un mecanismo para el fortalecimiento de las
políticas que gobiernan el uso de recursos. Tales políticas se pueden establecer
de varias maneras. algunas en el diseño del sistema y otras son formuladas por el
administrador del sistema. Otras pueden ser definidas por los usuarios individuales
para proteger sus propios archivos y programas .~: Las políticas son diversas, dependen de la aplicación y pueden estar sujetas a cambios a Idc~ largo del tiempo. ,
Un principio importante es la separación de políticas de tos mecanismos. 'Los mecanismos determlnan como algo se hará. Las politicas ,. deciden que se hará " la separación es importante para la flexibilidad del sistema. ..
limitaciones
La vigilancia se compone de la verificacion y la auditoria del sistema. v la identifica_"' de usuarios. -
VENTAJAS
.En la vlgilancia se usan sistemas muy sofisticados, por lo tanto hay menos
probabilidad que ocurra un ataque.
DESVENT AJAS
.A veces pueden surgir problemas en la autentificación generando. un rechazo al
usuario legít..imo
Monitoreo de amenazas
Una manera de reducir los riesgos de seguridad es tener rutinas de control en el sistema operativo para permitir o no el acceso a un usuario. Estas rutinas interactuan con los programas de usuario y con los archivos del sistema. De esta manera, cuando un usuario desea realizar una operación con un archivo, las rutinas determinan si se niega o no e1
.acceso y en caso de que el mismo fuera permitido de,f\.lelven los resultados del proceso
VENTAJAS
.Las rutinas de control permiten detectar los intentos de penetración al sistema y
advenir en consecuencia.
DESVENTAJAS.
.A veces puede ser muy estricto que no permita al usuario hacer algunas
operaciones necesarIas.
Protección por contraseña
E;xisten tres clases principalmente de elementos que permiten establecer la
identidad de un usuaflo. .
.Algo sobre las personas. Esto incluye huellas digitales, reconocimiento de VOl,
fotografia y firmas.
.Algo poseído por la persona. Esto incluye distintivos, tarjetas de identíficación y
Ila ves
.tipo conocido por el usllario E,sto incluye contraseñas, nombre de la suegra, combinación de cerraduras. El esq\.lema de autentificación más común es la simple
protección por contraseña El usuario elige una palabra que se le viene a la
memoria, y la tipea de inmediato para ganar admisión al sistema de computación.
VENTAJAS.
.Si llsas una contraseña larga, esta tendrá menos posibilidades de que sea
descifrada .y por lo tanto podras proteger tu información. ..
DESVENTAJAS
.La protección por contraseña es un esquema débil. En el sentido de que los usuarios tienden a elegir contraseñas fáciles de recordar. Entonces al.guien que conoce al usuario podría intentar ingresar al sistema usando nombres de gente que la persona conoce
auditoria
La auditoria normalmente es realizada en sistemas manuales "después del hecho" Los auditores son llamados periódicamente para examinar I.as transacciones recientes de una organización y para determinar S.I ha ocurrido actividad fraudulenta.
El registro de auditoria es un registro permanente de acontecim.ientos de importancia que ocurren en el sistema de computación. Se produce automáticamente cada vez que ocurren los eventos y es almacenado en un área protegida del sistema
VENTAJAS.
.Las auditorias periódicas prestan atención regulam1ente a problemas de
seguridad .Las auditorias al azar ayudan a detectar intrusos.
DESVENTAJAS:
.Puede haber ocasiones en que la auditoria pueda ser mal hecha, esto puede ser frecuentemente hecho por la mano humana.
.Controles de acceso
Los derechos de accesos más comunes son: acceso de lectura, acceso de escritura de acceso de ejecución. Estos derechos pueden implementarse usando una matriz de control de acceso
Criotografía
La criptografia es usada para la transformación de datos para hacerlos incomprensibles para todos, excepto para el usuario destinatario El problema de la privacidad tiene relación con la prevención de la no autorizaciOO para la extracción de información desde un canal de comunicación. Los problemas de autentificación estan relaciona(ios con la prevención contra intrusos que intentan modificar una transmisión o insertar falsos datos dentro de una transmisión. Los problemas de disputa están relacionados con la providencia de reserva de un mensaje con prueba legal de la identidad enviada.
la vigilancia se usan sistemas muy sofisticados, por lo tanto hay menos probabilidad que ocurra un ataque.
DESVENTAJAS :
.A veces pueden surgir problemas en la autentificación generando un rechazo al usuario legítimo.
Monitoreo de amenazas
Una manera de reducir los riesgos de seguridad es tener rutinas de control en el sistema operativo para permitir o no el acceso aun usuario. Estas rutinas interactúan con los programas de usuario y con los archivos del sistema. De esta manera, cuando un usuario desea realizar una operación con un archivo, las rutinas determinan si se niega o no el acceso y en caso de que el mismo fuera permitido devuelven los resultados del proceso.
VENTAJAS:
.Las rutinas de control permiten detectar los intentos de penetración al sistema y advertir en consecuencia.
DESVENTAJAS:
.A veces puede ser muy estricto que no permita al usuario hacer algunas operaciones necesanas.
Protección por contarseña
Existen tres clases principalmente de elementos que permiten establecer la identidad de un usuano:
.Algo sobre las personas. Esto incluye huellas digitales, reconocimiento de voz, fotografia y firmas.
.Algo poseído por la persona. Esto incluye distintivos, tarjetas de identificación y llaves.
.Algo conocido por el usuario. Esto incluye contraseñas, nombre de la suegra, combinación de cerraduras. El esquema de autentificación más común es la simple protección por contraseña. El usuario elige una palabra que se le viene ala memoria, y la tipea de inmediato para ganar admisión al sistema de computación.
VENTAJAS:
.Si usas una contraseña larga, esta tendrá menos posibilidades de que sea descifrada y por lo tanto podrás proteger tu información.
DE S VENT AJAS :
.La protección por contraseña es un esquema débil. En el sentido de que los usuarios tienden a elegir contraseñas fáciles de recordar .Entonces alguien que conoce al usuario podría intentar ingresar al sistema usando nombres de gente que la persona conoce.
Auditoría
La auditoria normalmente es realizada en sistemas manuales "después del hecho". Los auditores son llamados periódicamente para examinar las transacciones recientes de una organización y para determinar si ha ocurrido actividad fraudulenta.
El registro de auditoria es un registro permanente de acontecimientos de importancia que ocurren en el sistema de computación. Se produce automáticamente cada vez que ocurren los eventos y es almacenado en un área protegida del sistema.
VENTAJAS:
.Las auditorias periódicas prestan atención regularmente a problemas de
seguridad .Las auditorias al azar ayudan a detectar intrusos.
DESVENTAJAS:
.Puede haber ocasiones en que la auditoria pueda ser mal hecha, esto puede ser frecuentemente hecho por la mano humana.
Controles de acceso
Los derechos de accesos más comunes son: acceso de lectura, acceso de escritura y acceso de ejecución. Estos derechos pueden implementarse usando una matriz de control de acceso.
Crioto2rafia
La criptografia es usada para la transformación de datos para hacerlos incomprensibles para todos, excepto para el usuario destinatario. El problema de la privacidad tiene relación con la prevención de la no autorización para la extracción de información desde un canal de comunicación. Los problemas de autentificación están relacionados con la prevención contra intrusos que intentan modificar una transmisión o insertar falsos datos dentro de una transmisión. Los problemas de disputa están relacionados con la providencia de reserva de un mensaje con prueba legal de la identidad enviada.
..
En un sistema de privacidad criptográfico, el remitente desea transmitir cierto mensaje no cifrado a un receptor legítimo, la transmisión ocurre sobre un canal inseguro
asume ser monitoreado o grabado en cinta por un intruso.
El remitente pasa el texto a una unidad de encriptación que transforma el texto a un texto cifrado o criptograma; el mismo no es entendible por e( intruso. El mensaje es transmitido entonces, sobre un canal seguro. Al finalizar la recepción e( texto cifrado pasa a una unidad de descripción que regenera el texto.
VENT AJAS .
.El sistema de encriptación es muy eficiente para el cifrado de claves o intormaci()n, ya que es una torma muy segura de protegerla
DESVENT AJAS:
.Con un buen programa de desencriptación podrían descitrarse contraseñas e
información.
Firmas di2itales
Para que una firma digital sea aceptada como sustituta de una firma escrita debe
ser . .Fácil de autentificar (reconocer) por cualquiera. .Producible únicamente por
su autor..En los criptografia sistemas de clave pública el procedimiento es:
.El remitente usa la clave privada para crear un mensaje firmado. .El receptor
o Usa la clave pública del remitente para descifrar el mensaje o Guarda el
mensaje firmado para usarlo en caso de disputas
VENTAJAS
.Una firma digital es importante en casos de que el dueño de dicha firma no pueda hacerla escrita-
.DESVENT AJAS:
Necesita muchos requisitos para autentificarla ya veces puede haber fraudes.
Mecanismos y Políticas .
modelo de Multics
El documento describe un estudio de seguridad realizado a mediados de los m los 70, en el que se demuestra cómo saltarse los mecanismos de protección de MUL TICS, de forma casi trivial.
MUL TICS es un sistema operativo desarrollado a finales de los años 60, con un claro objetivo: ser seguro. Lamentablemente su diseño estaba muy vinculado a una determinada familia de CPUs (General Electric, luego Honeywey), era poco portable y consiguió poca difusión. Podría decirse que su mayor contribución a la historia de la informática ha sido, precisamente .u fracaso. Su complejidad y dependencia de un hardw~e específico motivó, por un puro movimiento de reacción, el nacimiento de "UNIX" (nombre puesto en evidente alusión a su clara divergencia de
"MUL TICs "). UNIX hereda, no obstante, un buen número de diseños de MUL TICS, , omo el que "todo" sea un fichero.
Durante décadas, la mitología informática atribuía a MUL TICS habilidades y una seguridad inaudita, avaladas por su utilización en las redes infonnáticas de las fuerzas armadas norteamericanas. Esta percepción
queda absolut?mente demolida con el documento que presentamos hoy, en el que se describe un estudio "superficial" (bajo coste) sobre la seguridad de MUL TICS.
El estudio describe un sinfin de ataques, tanto software (bugs y problemas de diseño en el sistema operativo) como hardware (bugs en la implementación de las CPUs, implementaciones incompletas y efectos
colaterales inesperados). La mayoría de los ataques fueron explotados de forma simple j exitosa. Algunas de las puertas traseras desplegadas permanecieron activas durante meses.El primer esquema que analizaremos es el implementado por Multic3, el cual pese a tener ya cerca de 40 años de existencia aún es tomado como referencia para diseño de nuevos esquemas.
2.1 ¿Qué es Multics? ¿Por qué iniciamos con él?
El diseño de Multics (Multiplexed Infonnation and Computing Service) fue descrito en 1965 y desarrollado desde entonces y hasta 1973. En su mcmento fue un sistema operativo muy revolucionario y ambicioso -Planteaba soportar brindar servicios de cómputo como se brindan los servicios telefónico o eléctrico: Los subscriptores tendrían una toma a través de la cual conectarfan su terminal al sistema central. Esto exigía un sistema que hoy serra catalogado como de alta disponibilidad a todo nivel, y con muy altos estándares de seguridad. Es uno de los primeros sistemas que expresamente buscaba dar soporte a múltiples ambientes de programación e interfaces al usuario, un amplio rango de aplicaciones, y tener la habilidad de evolucionar conforme cambie la tecnologra. Multics fue también uno de los primeros sistemas operativos escrito en un lenguaje de alto nivel pensando en permitir una gran portabilidad y facilidad en la depuración.
El basar el sistema fue, además, una muy acertada decisión. En más de treinta años prácticamente no se detectaron errores en Multics, uno de los mayores dolores de cabeza de los programadores de C, dado que la programacion maneja nativamente los límites máximos de las cadenas.
Las ambiciones de Multics fueron, sin embargo, demasiado elevadas para la época. El sistema operativo tardó mucho en estar listo. Era ridículamente grande y lento para las capacidades de memoria y,procesamiento aún de las computadoras más grandes de su época. Esto hizo que varias de las empresas que inicialmente lo impulsaron abandonaran su desarrollo. Una de estas fue Bell Labs -Tras abandonar el p,:oyecto Multics, pero partiendo de varias interesantes ideas que éste planteó por primera vez, sus hoy famosos empleados Kernighan, Thompson y Ritchie se avocaron al diseño de un Multics recortado, llamado -como broma- UNICS y posteriormente Unix, y un lenguaje de relativamente alto nivel, el actual C.
Pese a las demoras en su desarrollo, Multics sí fue un sistema exitoso. Hubo una buena cantidad de sistemas corriendo Multics, el último de los cuales fue jubilado en el 2000 en el ejército canadiense. El primer sistema en obtener la clasificación A 1 del Departamento de Defensa de los EUA --cosa que definitivamente no ocurre todos los días-- fue SCOMP, un desarrollo basado en Multics. Multics mismo, en 1985, recibió la certificación. Hay actualmente varios proyectos de construir
. emuladores de Multics. Emuladores, sí, no adecuaciones, pues Multics requiere características de hardware no presentes en las computadoras actuales.
Resulta ya obvio que la influencia de Multics es de grandísima importancia e innegable. Mencionaremos brevemente sus principales características de seguridad. Para quien busque información más a detalle respecto a Multics, recomiendo fuertemente el sitio multicians.org
Un sistema de anillos
La seguridad en Multics parte de un diseño conceptualmente conformado de ocho anillos concénú-icos de privilegio, implementados en hardware (que, por software, podían d(]r la ilusión de ser en realidad 64 anillos). Entre más cerca del centro (O) está un anillo, mayores privilegios tiene. Los procesos que requieren pr¡vilegios de sistema por regla general corren en el anillo 2 o inferiores, las bibliotecas compartidas en anillo 3, y los programas de usuario en anillos superiores.
Buena parte de esto está implementado desde hardware, lo cual hace que explotar la seguridad del sistema sea mucho más difícil que en sistemas como los actuales, en los que prácticamente todos los mecanismos de seguridad --a excepción de los más básicos para sistemas multitarea, como la separación de segmentos de memoria-- están implementados en el sistema operativo.
Principios del diseño para la seguridad.
Los virus aparecen en mayor proporción en los sistemas de escritorio. En los sistemas más grandes, pueden aparecer otros problemas y se necesitan otros métodos para enfrentarlos. Saltzer y Schroeder (1975) han identificado varios principios generales que se pueden utilizar como una guía para el diseño de sistemas seguros. Algunas de sus ideas basadas en MULTICS son:
.En primer lugar, el díseño del sistema debe ser público. Pensar que el intruso no conocerá la forma del funcionamiento del sistema es engañar a los diseñadores. .En segundo lugar, el estado predefinido debe ser el de no acceso. Los errores en donde se niega el acceso válido se reportan más rápido que los errores donde se permite el acceso no válido. .En tercer lugar, verifique la autorización actual. El sistema no debe verificar el permiso, determinar que el acceso está permitido y después abandonar esta información para su uso posterior. Muchos sistemas verifican el permiso al abrir un archivo y no después de abrirlo. Esto significa que un usuario que abra un archivo y lo tenga abierto por semanas seguirá teniendo acceso a él, incluso en el caso de que el propietario haya cambiado la protección del archivo. .En cuarto lugar, dé a cada proceso el mínimo privilegio posible. Si un editor solo tiene la autoridad para acceso al archivo por editar (lo cual se determina al
Ifamar al editor), los editores con cab~llo de Troya no podrán hacer mucho daño. Este principio implica un esquema de protección de grado fino. .En quinto lugar, el mecanismo de protección debe ser simple, uniforme e integrado hasta las capas más bajas del Sistema. El intento por dotar de seguridad ha un sistema inseguro ya existente es casi imposible. La seguridad¡ al igual que 'o Correcto de un sistema, no es una característica que se pueda añadir.
.En sexto lugar, el esquema elegido debe ser psicológicamente aceptable. Silos
uSuarios Sienten que la protección de sus archivos impJica dem~siado trabajo¡
simplemente no lo protegerán. Sin embargo, ellos se quejarán en voz alta si algo sale mal. '
entre 1965 y 1969, los Laboratorios Bell participaron con General Electric (Más
tarde Honeywell) y Project MAC (Del Massachusetts Institute of Technology) en el
desarrollo del sistema Multics. Este sistema diseña do para la macrocomputadora
GE-645, era demasiado grande y complejo. Los diseñadores de Multics tenían en
mente un programa de utilidad general que pudiera ser en esencia "todo para el
mundo".
Al avanzar los trabajos se hizo evidente que aunque Multics proporcionaría con
toda probabilidad la diversidad de servicios requerida, sería un sistema enorme,
costoso y torpe. Por estas y muchas otras razones, los Laboratorios Bell se
retiraron del proyecto en 1969. Algunos de los miembros de investigación de Bell
comenzaron a trabajar en un sistenla mucho menos ambicioso. El grupo, dirigido
por Ken Thompson, buscaba crear un ambiente de computación sencillo para
investigación y desarrollo de programas potentes. La primera versión de un
sistema UNIX se creó para un DEC PDP-7 y se escribió en lenguaje ensamblador.
Thompson llevó a la práctica un sistema de archivos, un mecanismo de control de
procesos, programas para el manejo general de archivos y un intérprete de
mandatos (Comandos). En 1970 Brian Kernighan dió el nombre "UNIX" haciendo
un juego de palabras con Multics; de hecho, en el sentido en que Multics era
"multi", los sistemas UNIX eran sin duda servicios de computación "uni", limitados.
MECANISMOS DE PROTECCIÓN
Para analizar los diferentes mecanismos de protección, conviene definir el
concepto de dominio. Un dominio es un conjunto de parejas (objeto, derechos).
Cada pareja especifica un objeto y algún subconjunto de las operaciones que se
pueden efectuar con él. Un derecho significa autorización para ejecutar una de las
operaciones.
La Figura 1 representa dominios, los cuales muestran los objetos en cada dominio
y los derechos [Read, Write, eXecute] disponibles con cada objeto. Obsérvese que
Printer1 es dos dominios al mismo tiempo, es posible que el mismo objeto está en
múltiples dominios, con diferentes derechos en cada dominio.
Figura1
En cada momento, cada proceso se ejecuta en algún dominio de protección. En
otras palabras, existe algún conjunto de objetos que puede accesar y por cada
objeto tiene algún conjunto de derechos. Los procesos también pueden cambiarse
de un dominio a otro durante la ejecución. Las reglas para el cambio de dominios
dependen en gran medida del sistema.
En MUL TICS, los dominios de protección se pueden explicar como en forma de
anillos. La Figura 2 muestra cuatro anillos. El anillo de más adentro, el kernel del
sistema operativo, tiene la mayor parte del poder. Si se va hacia afuera desde el
kernel, los ~nillos se vuelven menos poderosos en sucesión. Por ejemplo,
El anillo 1 podría contener el cpdigo de funciones que son manejadas por
programas SETUID poseídos por ,~ raíz, comp mkdir.
El anillo 2 podría contener el programa de calificaciones utilizado para evaluar
programas de estudiantes y
El anillo 3 podría contener los programas de los estudiantes.
Cuando un procedimiento en un anillo llamaba aun procedimiento de otro anillo,
ocurría una trampa, debido al sistema la oportunidad de cambiar el dominio de
protección del proceso. Por lo t~h~o, por ejemplo en MUL TICS un proceso podía
operar en tantos como 64 dominios diferentes durante su vida útil. Los
procedimientos podían vivir en múltiples anillos consecutivos y la transmisión de
parámetros entre anillos se contro.lat?a con cuidado.
Una pregunta importante es ¿cómo lleva el control el sistema de cuál objeto
pertenece a cuál dominio? .En concepto, cuando menos, uno puede imaginar una
matriz grande, donde I~~ filas son los dominios y las columnas son los objetos.
Cada caja list~ los derechos, si hay alguno, que el dominio contiene para el objeto.
La matriz de la Figura 3 se muestra en la Figura 1. Dados esta matriz y el número
de dominio corriente, ~I sistema siempre puede indicar si se permite un intento por
accesar un objeto específico de manera particular a partir de un dominio
especificado.
El cambio de dominio mismo, como en MUL TICS, se puede incluir sin dificultad
en el moqelo de ma~riz comprenqienqo que un dominio es un objeto en sí, con la
operación
La Figura 4 muestra la matriz de la Figura 3 una vez más, solo que ahora con los
tr~s dominios como objetos. Los procesos del dominio 1 pueden correrse al
dominio 2, pero una vez ahí ya no pueden regresar. Esta situación modela la
ejecución d~ un programa S~TUID en. UNIX. En este ejemplo no se permite
ningún otro cambio de dominio.
ESTRUCTURAS DE PROTECCIÓN DINAMICAS.
Las matrices de acceso vistas hasta el momento, en las que no cambian los
derechos en cada dom.inio durante su ejecución, son un ejemplo de Estructuras
de Protección Estáticas. Con el fin de ofrecer flexibilidad y de implementar
eficientemente la protección, un Sistema Operativo debe soportar c~mbios ~n los
derechos de acceso. Para esto se requiere implemetitar alguna estructura de
protección dinámica.
En este caso continuaremos considerando las matrices de acceso, aunque en su
versión dinámica. Básicamente se requieren cuatro nuevos derechos de acceso:
Copia, Cambio, Propietario y Control.
DERECHO DE ACCESO COPIA.
Este derecho de acceso da la facultad a un proceso de copiar derechos existentes
en un dominio hacia otro dominio para el objeto en cuestión. O sea, este derecho
genera copias en columnas.
Por ejemplo, considérese siguiente matriz de acceso
En es'te .caso estará indicado el derecho copia añadiendo el signo (+) al nombre
de los derechos que pueden ser copiados.
En la tabla se indica que un proceso ejecutándose en el dominio 1 podrá copiar
hacia cualquier otro dominio, el derecho enviar sobre el objeto J. ..',..~ y que un proceso ejecutándose en el dominio "D2" podrá copiar el derecho "Leer"
hacia cualquier otro dominio sobre el objeto "Archivo2",
De esta manera, en algún mómento posterior, la situación de la tabla podría ser la
siguiente:
En la que se ha copiado el derecho !lEnviar!l del dominio !lD1!1 al dominio !lD4!1
sobre el objeto !lCOM1!1 y se ha copiado el derecho !lLeer!l del dominio !lD2!1 al
dominio !101!1 sobre el objeto !lArchivo 2!1.
Puede observarse que los derechos !lcopiados!l no contienen el signo (+), o sea,
se ha realizado una copia limitada. En general se podría hablar de 3 variantes del
derecho !lcopia!l: Copia Limitada, Copia Completa, Translación.
COPIA LIMITADA. La copia no incluye el derecho !lCopia!l, con lo que no se
podrán hacer copias sucesivas del derecho. Se puede indicar con el signo (+).
COPIA COMPLETA. La copia incluye el derecho !lCopia!l, por lo que se pueden
realizar copias sucesivas del derecho. Se puede indicar con el signo (.).
TRANSLACláN. El derecho en cuestión junto con el derecho copia se eliminan del
dominio original y se coloca en el nuevo dominio. Esta es una forma básica de
retirar derechos de un dominio para asignarlo a otro. Se puede indica! con et signo
().
DERECHO DE ACCESO CAMBIO.
Este derecho de acceso indica la posibill9ad de un proceso para cambiarse de un
dominio a otro. La operación cambio actúa sobre dominios, o sea, en este caso los
dominios son los objetos. Entonces, para considerar este derecho de acceso se
deberán incluir los dominios como objetos adicionales en la matriz de acceso.
Considérese la siguiente matriz de acceso:
esta tabla indica que un proceso ejecutándose en "01" puede cambiarse al
dominio "04" (a); un proceso ejecutándose en "02" puede cambiarse a "03"(b) y un
proceso ejecutándose en el dominio "04" puede cambiarse a "01 "(c). seguridad en conexiones a internet
aun que un antlvirus es una buena opcion, l\1icrosoft
contribuye en la seguridad en las conexiones via internet . -, c
junto con otras empresas y organizaciones, se ha creado en los ultimos años todo
un conjunto de protocolos seguros agrup ados bajo la deno:minacion isf (internet
security frame work).
dentro siguientes:
i. set (sr:cure electronic transaction): este protocolo fue creado para garantizar las
transacciones seguras entre clientes y vendedores cuando se utilizantarjetas de
credito. esta provisto de fuertes medillas de autentificacion y confillenciaudad .
2. ssl (secure sockets la ver): es un protocolo utilizado para conectarse a los
denom1l'i'ádos "servidores. seguras". implement a sistemas de autentificacion de
maqijinas así como mecanismos de encriptacion 1;: integridad de los datos.
3. pptp (point tq.-:;;:i>oint 11jnneling pratacal): mediante la .i:;)!--. ,"'. creacion de conexiones vir tuales, se usa para implement ar
la seguridad sobre lineas publicas no protegillas.
4. pfx (personal information exchange): diseñado para permitir el intercambio de
información de autentificacion (cla ves, certificados, etc.) entre una plataforma y
otra.
2. a tra ves de la red
la red es un :medio de comunicación f acilivffinte accesmle y dificilmente
controlable. por ella viajan datos de todo tipo entre las maquinas conectadas. para
preservarla seguridad en la red podemos imple:ment ar :mecanismos como los
siguientes :
-llev ar una buena politica de p asswords, es qecir, que no sean f aciles de adivinar
y que se cambien frecuentemente.
-usar hardw are o softw are de encript acion de comunicaciones p ara que no
puedan ser capturadas leyendo direct amente la red con un analizador.
-usar softw are de monitorizacion de la red cap as de detect ar la presencia de
eleivffintos no controlados conect ados a ella.
3. accediendo a copias externas de los datos
".,~ volcados, copias de seguridad (backup) y salillas de impresoras pueden proveer de información a personas no .
autorizadas. p ara controlarlo, algunas acciones a tomar
serian:
-guardar en sitio seguro el resultado de backups y volcados, .
-destruir las copias impresas cuando se vuelven inservmles, -controlar las
unidades de backup .si la unidad donde se
realiza este es utilizada por los usuarios, estos pueden acceder a los backups en
los periodos anteriores y
posteriores ala realizacion del mismo. ...
seguridad en windows
la seguridad en ~ows se traduce en un connjnto de tecnicas orientadas a alcanzar
un nivel de proteccion razonable en tres vertlentes: red, sistema operativo y da.tos,
est a proteccion intent a prevenir dos cosas: accesos no deseados y accidentes,
los datos confidenciales cuya visualizacion esta permitida solo a un numero
determinado de usuarios, pueden ser protegmos por el administrador o por los
ustjarios con acceso . , utilizando las herramient as del propio windows o de las
aplicaciones (contraseñas, permisos, etc),
no hay que olvidar que los datos estan en el sistema operativo y que pueden ser
accedmos a espaldas.del mismo con metodos tan sencillos como los siguientes:
i. arrancando la maquina desde una unmad distinta de la del
sistema "..':::'
el propiet ario de esa unidad es el titular del sistema operativo contenido en ella y
de todas las unidades locales accesmles desde la misma. para combatir .este
posible agujero en la seguridad, se puerf~ tomar siguientes :medidas:
-mantener los servidores en un lugar fisicamente seguro, . no accesmle a
personas sin autorizacion.
-elllviinar, bien a nivel de bios o de hardw are, la posmilidad .de arranque desde
disquete o cd-rom,
-encriptar ~os datos en disco: existen drivers que hacen que una sola instalación
de windows posea la cla ve para poder " descifrar los datos en disco, ..
.