viernes, 15 de agosto de 2014

CONFIGURACION DE UNIDADES ORGANIZATIVAS EN "ACTIVE DIRECTORY"

1.- Se ingresa a  “Active Directory”.
2.- Al seleccionarla se abre la ventana donde permite realizar las configuraciones deseadas a cada usuario.




3.- Se da clic derecho para seleccionar la opción “delegar control”

 4.- Se abre panel para seleccionar el personal a quien delegaras control, y enseguida comprueba nombre en la organización.



5.- Y a continuación seleccionas las actividades de las cuales podrá hacer uso el administrador.
Finalizas esta acción dando siguiente y aceptar y queda lisa la configuración deseada.



6.- Continúa la configuración yéndote a “Inicio”, después “Herramientas administrativas”, posteriormente “Administración de directivas de grupo”

7.- Para realizar las políticas en la organización denominada UNID, se realiza  se da clic derecho y se selecciona la opción “Crear un GPO en este dominio…..”
Se pone nombre al GPO y se da clic en aceptar.
8.- Se editan el GPO dando clic derecho y seleccionando “Editar”
9.- Los mismos pasos se  realizan para establecer políticas en la unidad organizativa ALUMNOS y MAESTROS. Finalizamos plantillas.


 10.- Para agregar el equipo “cliente” a nuestro servidor, regresamos a “Active Directory”, ubicamos la carpeta “Computador”, seleccionamos el equipo que tenemos vinculado y lo arrastramos hacia la unidad organizativa UNID.
11.- Para agregar plantilla administrativa al equipo se realizan el procedimiento similar al de plantillas para grupos de usuarios, se va a “Inicio”, después “Herramientas administrativas”, posteriormente se crea la política para el equipo, y se selecciona la opción “Selección del equipo”

12.- Se edita seleccionando el nombre de la plantilla, se da clic derecho y  se selecciona editar.
13.- Para cambiar el estado actual de esa configuración de directiva, haga doble clic en su nombre, también podemos dar clic derecho y en la opción propiedades del menú contextual.
Se abrirá el cuadro de dialogo de la configuración de la directiva
En el cuadro de dialogo de configuración de la directiva, haga clic en una de las opciones siguientes:
·        No configurada: El Registro no se modifica.
·        Habilitada: El Registro refleja que la configuración de la directiva se ha seleccionado.
·        Deshabilitada: El Registro refleja que la configuración de la directiva no se ha seleccionado.
Seleccione las opciones que desee y después, haga clic en Aceptar.
Una vez modificadas las directivas que se desean establecer, estas serán aplicadas una vez que el usuario o equipo acceda al sistema.




Publicado por en No hay comentarios:

Diversificación del malware: informatización de dispositivos electrónicos con acceso a Internet


Hace diez años, los teléfonos se diseñaron para cumplir tareas comunes que eran la de servir de medio de comunicación este tipo de dispositivos cumplían funciones básicas como llamadas telefónicas y el manejo de mensajes de texto (SMS), por lo que  nadie hubiese pensando que un teléfono celular podría infectarse con un código malicioso.
Fue hasta tal la evolución experimentada por esta tecnología que los teléfonos inteligentes permiten realizar acciones similares a las de una computadora como lo son: la edición de fotografías, la conexión a Internet de alta velocidad, trámites bancarios, juegos, etc. Este avance tecnológico ha sido tanto a nivel de software como hardware.
Aunado a esta evolución tecnológica, también se está evidenciando una tendencia  hacia la diversificación de dispositivos “no tradicionales” que utilizan Android como sistema operativo. En esta línea, productos como consolas de videojuegos (NVIDIA SHIELD), gafas inteligentes (Google Glass), refrigeradores (algunos modelos de Samsung), lavarropas (Lavarropas Touch Screen de Samsung), ya se encuentran disponibles en algunos países.  Debido a esto se plantea la posibilidad de que en un futuro se puedan observar amenazas informáticas diseñadas para aparatos electrodomésticos inteligentes y otros equipos que no sean directamente dispositivos móviles.
En la actualidad, el sistema operativo más conocido y utilizado es Android, debido a su flexibilidad y compatibilidad con la mayoría de los dispositivos, además de ser un  lenguaje de código abierto;  aspecto que facilita técnicamente el desarrollo de códigos maliciosos y otras amenazas. Por otro lado, se debe considerar que Android no es el único sistema operativo que se está utilizando en dispositivos inteligentes. Otras empresas han optado por desarrollar plataformas propietarias, es decir, sistemas diseñados específicamente para un grupo de electrodomésticos inteligentes. En este caso, la facilidad con que se podrían desarrollar amenazas informáticas disminuye, sin embargo, no están exentas en ningún caso que impida la creación de códigos malicioso.
Considerando lo acontecido con el mercado móvil y las amenazas para estos equipos, es posible que los electrodomésticos de última generación pudieran transformar en blanco de ataques en base a tres factores:
  1. El primero tiene relación con la evolución tecnológica.
  2. La masificación en la utilización de estos aparatos,
  3. El uso que le den los usuarios.
A continuación, se mencionan algunos dispositivos electrodomésticos que han evolucionado en cuanto a su tecnología y además se explica en qué estado se encuentra la seguridad informática de estos aparatos:
Automóviles
Actualmente algunos automóviles están equipados con sistemas inteligentes cada vez más complejos que permiten la interacción y manipulación de los elementos que conforman el automóvil mediante ciertos parámetros a través de un teléfono inteligente. Por ejemplo la medición de la carga de combustible, niveles de aceite, kilómetros recorridos sistemas de entretenimiento a bordo, tecnologías de geolocalización (GPS), etc.
Debido a lo anterior, se ha demostrado, que es posible manipular remotamente un auto y encender el motor, abrir las puertas e incluso desactivar el sistema de frenado.  Es importante mencionar que estas pruebas han sido posibles mediante un enlace físico a través de un cable, no obstante, la capacidad de conexión a Internet que incluyen algunos automóviles mediante redes inalámbricas podría facilitar un ataque de estas características.
McAfee, en asociación con Wind River y Escrypt, publicó el informe “Precaución: malware en el camino”, un análisis de los riesgos emergentes en la seguridad de sistemas automotores.
Los investigadores de varias universidades han demostrado que los componentes de seguridad críticos de un automóvil pueden ser víctimas de crackeo si se encuentra disponible un acceso físico a los componentes electrónicos del vehículo.
Otros investigadores han demostrado que se puede organizar un ataque para rastrear un vehículo y comprometer la privacidad de los pasajeros al rastrear las etiquetas RFID mediante potentes lectores de larga distancia a alrededor de 40 metros.
Otros investigadores han demostrado que se puede organizar un ataque para rastrear un vehículo y comprometer la privacidad de los pasajeros al rastrear las etiquetas RFID mediante potentes lectores de larga distancia a alrededor de 40 metros.
El informe de McAfee analiza los riesgos asociados con la actividad criminal cibernética, que incluyen:
  • Quitar el seguro y arrancar el automóvil de forma remota mediante teléfono celular
  • Desactivar el automóvil de forma remota
  • Rastrear la ubicación, las actividades y las rutinas de un conductor
  • Robar datos personales desde un sistema Bluetooth
  • Desajustar los sistemas de navegación
  • Desactivar la ayuda de emergencia
La version completa puede ser descargada de la siguiente direccion: Reporte McAfee
Smart TV
Los televisores también han presentado grandes avances  tecnológicos y algunos ya incluyen la posibilidad de conectarse a Internet y poder acceder a cualquier sitio de Internet, por lo que pueden ser vulnerables a ataques en cualquier momento. Existe una prueba de concepto capaz de apagar el televisor, lo que demuestra la factibilidad de desarrollar códigos maliciosos para este tipo de equipos.
Una investigación presentada en BlackHat 2013 así lo demuestra: “Los Smart TV tienen prácticamente los mismos vectores de ataque que los teléfonos inteligentes”. En este sentido es posible en un futuro no muy lejano se puedan observar amenazas diseñadas para estos equipos.
Casas Inteligentes
El diseño e implementación de casas inteligentes se trata de un conjunto de sistemas que posibilitan que una casa o espacio cerrado cuente con una gestión energética eficiente, elementos de confort, seguridad, bienestar, etc. También conocida como “domótica” podría entenderse como la integración de la tecnología dentro de una casa, edificio, u otro tipo de construcción. Por lo que se entiende que existen varios dispositivos convencionales que han evolucionado y que en la actualidad forman parte de un hogar inteligente. Por ejemplo: inodoros, heladeras, sistemas de iluminación, cámaras IP, entre otros. 
En los siguientes párrafos se mencionan algunos de estos dispositivos y cómo un cibercriminal podría perpetrar un ataque informático en contra de estos aparatos tecnológicos:
Inodoros inteligentes
Algunos inodoros inteligentes incluyen sistemas de limpieza, sistema de deodorización e incluso medidores de presión y glucosa en la sangre. Debido a estas características, investigadores de Trustwave lograron alterar el comportamiento normal de un excusado inteligente haciendo que este rocíe agua en la persona y que se abra y cierre automáticamente la tapa.
Sistemas inteligentes de iluminación
Los sistemas de iluminación también han evolucionado al punto de poder ser controlados desde cualquier lugar utilizando un teléfono inteligente con conexión a Internet. En el mercado ya existen algunos productos que cumplen esta función y permiten cambiar la intensidad y color de la iluminación en base a las preferencias del usuario.
Pese a la comodidad que puede otorgar un sistema como este, un investigador demostró mediante el desarrollo de un exploit, que puede robar las credenciales de la víctima para poder manipular el sistema de iluminación inteligente sin su consentimiento. Dicha situación no solo puede convertirse en una molestia, sino también en un peligro para la seguridad física del lugar.
Heladeras
Los refrigeradores también han tenido un avance tecnológico importante llegando hasta el punto de tener una conexión a Internet. Esto posibilita que el usuario pueda conocer el estado y cantidad de los alimentos, buscar recetas en línea, entre otras acciones. Empresas como LG han lanzado al mercado refrigeradores que utilizan el sistema Android que ofrece al usuario características de valor agregado lo que posibilita que un tercero pueda desarrollar códigos maliciosos diseñados para alterar el correcto funcionamiento de este tipo de tecnología.
Cámaras IP
En los últimos tiempos el uso de cámaras IP es cada vez más común, por lo que  puede convertirse en blanco de los cibercriminales son las cámaras IP. Este tipo de tecnología permite monitorear y ver en tiempo real a través de Internet, lo que está sucediendo en un lugar determinado.
Investigadores de Core Security descubrieron diversas vulnerabilidades en una línea de cámaras IP que permitían que un atacante pudiera no solo obtener las filmaciones sin el consentimiento de la víctima, sino también la ejecución de comandos arbitrarios en la interfaz web de administración de estos dispositivos.
 La vulneración de esta tecnología puede tener un gran impacto si se considera que un tercero podría acceder a filmaciones privadas que muestren los puntos de acceso de un lugar, el horario en que las personas se encuentran fuera de casa, etc.
Cerradura digital
Las Cerraduras digitales  pueden incluir un registro de las personas que ingresan a un inmueble, facilitar el acceso al contemplar el uso de tarjetas electrónicas, e incluso en los últimos tiempos hasta por medio de un dispositivo móvil se puede abrir una cerradura. Por lo que se hace posible ataques como la clonación de tarjetas de acceso, la apertura del cerrojo, etc.
De lo anterior en una investigación presentada en Black Hat 2013 demostró la factibilidad de que un tercero pueda capturar los paquetes que son transmitidos a través de Bluetooth cuando se utilizan algunos sistemas de cerraduras inalámbricas.
Google Glass y otros accesorios inteligentes
Uno de los dispositivos que revolucionó el mercado durante 2013 fue Google Glass, el cual se trata de unas gafas que ofrecen la experiencia de la realidad aumentada y la posibilidad de conectarse a Internet a través de comandos por voz. Pero al igual que cualquier dispositivo que se conecta a internet es propenso a ataques.
Es por esto que un investigador descubrió una vulnerabilidad que posibilita el robo de información a través de una conexión Wi-Fi manipulada especialmente con dicho propósito por lo que si el usuario utiliza Google Glass y envía información sin cifrar, esta podrá ser obtenida por un tercero.
Asimismo, otro agujero de seguridad, que ya fue solucionado, permitía que un código QR manipulado específicamente, conectara el dispositivo del usuario de modo automático a un Wi-Fi malicioso, por lo que si este dispositivo se masifica y empieza a ser utilizado para acceder al banco, pagar servicios, etc., es altamente probable que aparezcan códigos maliciosos diseñados para robar información.
Android en otros dispositivos (consolas, relojes, home appliance, entre otros)
Como se mencionó anteriormente, muchos de los dispositivos no convencionales utilizan Android como sistema operativo, lo que evita que las empresas tengan que desarrollar software propietario, lo cual ocasiona que se disminuya el costo de dichos aparatos.
Por lo que al contar con un sistema operativo conocido aumenta la disponibilidad de aplicaciones en comparación a una plataforma cuyo desarrollo está centrado para una compañía en particular. Lo cual resulta positivo con respecto a la disminución de los costos, la asequibilidad y la estandarización, pero  también puede influir negativamente en la seguridad del usuario. Esto se debe a que el uso del mismo sistema operativo en una amplia gama de dispositivos diferentes, posibilita que un atacante pueda desarrollar códigos maliciosos capaces de funcionar en diversos aparatos tecnológicos.
Conclusión: ¿es posible la privacidad en Internet?
Hasta cierto punto sí, puesto que las personas pueden adoptar medidas que vayan encaminadas en pos de la seguridad y privacidad de la información, sin embargo, ningún sistema informático está exento de sufrir ataques
Asimismo, el tema de la seguridad también plantea un desafío al momento de implementar tecnologías de protección y planes de concientización para aumentar el nivel de privacidad y seguridad en Internet. En este sentido, se podría adoptar un método de protección estricto que le pregunte al usuario frente a cualquier acción que pudiera poner en riesgo la integridad de la información, como la ejecución de programas, navegación en Internet, etc. Sin embargo, la falta de usabilidad y practicidad de un método como este probablemente provocaría que la mayoría de los usuarios lo desactivaran y ya no lo utilicen, como  ocurrió con UAC (User Account Control) que implementó Microsoft a partir de Windows Vista. Fue tal la molestia experimentada por los usuarios que Microsoft se vio obligado a modificar UAC en Windows 7 para hacerlo menos “intrusivo”.
Considerando los puntos anteriores, la primera medida efectiva para resguardar la privacidad de la información tiene que ver con el cifrado de los datos. En este caso, existen programas destinados a cifrar los archivos del usuario por lo que la implementación de este método de protección puede lograrse a través de la instalación de programas destinados a tal propósito; asimismo, la seguridad de este método varía de acuerdo al nivel de robustez del algoritmo de cifrado.
Otra medida que se puede adoptar para mejorar la privacidad en Internet, es el uso de Tor, aplicación diseñada para navegar de forma anónima. Tal como aparece en el sitio del programa: “Tor es un software libre y una red abierta que le permite al usuario defenderse del análisis de tráfico, una forma de vigilancia que afecta la libertad personal, la privacidad de los usuarios y las empresas, y la seguridad de los Estados”. El cliente de Tor consiste en una versión modificada del navegador Mozilla Firefox con ciertos parámetros y extensiones destinadas a otorgar un mayor nivel de anonimato mientras se navega por Internet. Otras de las funciones que incluye este programa es la posibilidad de navegar a través de la Deep Web33 (Internet profunda).
La Deep Web es todo el contenido de Internet que no son indexados por los motores de búsqueda como Google. Parte de la Deep Web la componen los pseudodominios .onion que se utilizan con el objetivo de facilitar el acceso anónimo a páginas que abarcan distintas temáticas como abusos, venta de estupefacientes, foros de cibercriminales y otros tópicos generalmente ilegales o que traspasan la barrera de lo ético y legal.


Publicado por en No hay comentarios:

Administrar Politicas de Seguridad de las Contraseñas en Linux

                
La administración de usuarios es una de la partes más importantes de la configuración y mantenimiento de un servidor, además de estar directamente relacionada con la seguridad de un sistema Linux, pues los permisos otorgados a cada uno de los usuarios de un sistema son la clave al momento de establecer unas políticas de seguridad efectivas.
Por defecto, cuando creamos un usuario y contraseña ésta son “para toda la vida” a no ser que un día decidamos cambiarla o que hagamos uso de la caducidad de contraseñas, es decir, que sean válidas durante un tiempo determinado y una vez transcurrido dejan de serlo y hay que modificarlas.
Uno de los comandos que nos permiten hacer esto es chage, con el cual podremos definir y obligarnos u obligar a otros usuarios del sistema a cambiar su contraseña cada X tiempo.
Si consultamos el manual de el comando chage, nos muestra las siguientes opciones
$ chage --help
Modo de uso: chage [opciones] [USUARIO]

Opciones:
  -d, --lastday ULTIMO_DÍA      establece el último cambio de clave a
                                ULTIMO_DÍA
  -E, --expiredate FECHA_EXP    establece la fecha de caducidad de la
                                cuenta a FECHA_EXP
  -h, --help                    muestra este mensaje de ayuda y termina
  -I, --inactive INACTIV        desactiva la cuenta después de INACTIV
                                días desde la fecha de expiración
  -l, --list                    muestra la información de envejecimiento
                                de la cuenta
  -m, --mindays DÍAS_MIN        establece el número mínimo de días antes
                                de cambiar la clave a DÍAS_MIN
  -M, --maxdays DÍAS_MAX        establece el número máximo de días antes
                                de cambiar la clave a DÍAS_MAX
  -W, --warndays DÍAS_AVISO     establece el número de días de aviso
                                a DÍAS_AVISO
Ahora vamos a obtener información de un usuario cualquiera:
chage -l usuario 
Último cambio de contraseña     :dic 30, 2011
La contraseña caduca     : nunca
Contraseña inactiva     : nunca
La cuenta caduca      : nunca
Número de días mínimo entre cambio de contraseña  : 0
Número de días máximo entre cambio de contraseñas  : 99999
Número de días de aviso antes de que expire la contraseña : 7
quí podemos ver cuando fue la última vez que cambió su contraseña, cuando caduca, cuando la contraseña quedará inactiva, cuando caducará la cuenta, días mínimos que han de transcurrir para poder modificarla, el número de días que la contraseña es válida y con cuantos días de antelación nos avisará antes de que llegue la fecha de caducidad.
¿Qué pasa si un password de un usuario expira?
Si establecemos como días inactivos 5 desde que la contraseña caducó y el usuario no se loguea durante esos 5 días, y lo hace 10 días después la cuenta será bloqueada y será root quien tenga que desbloquearla, pero si llega la fecha de caducidad y nos logueamos dentro de esos 5 días sí podremos acceder pero deberemos cambiar la contraseña.
¿Cómo definir los requisitos de longitud de passwords y complejidad para todos los usuarios?
De forma predeterminada, Ubuntu requiere un mínimo de 6 caracteres para la creación de una contraseña, además de algunas verificaciones de entropía. Estos valores son controlados por el archivo /etc/pam.d/common-password que se describe a continuación:
 password        [success=2 default=ignore]      pam_unix.so obscure sha512
Por lo que si se desea establecer una contraseña según políticas establecidas, podemos especificar las opciones siguientes: 
Establecer una mínima de longitud de la contraseña (minlen = N)
Forzar el uso mínimo de N números en la contraseña (dcredit=-N)
Forzar el uso mínimo de N letras mayúsculas ( ucredit=-N )
Forzar el uso mínimo de N letras minúsculas ( lcredit=-N )
Forzar el uso mínimo de N símbolos ( ocredit=-N )
Forzar un mínimo de N caracteres diferentes de la contraseña actual ( difok=N )

Si por ejemplo quieres cambiar el mínimo de caracteres para la contraseña de 6 a 8, entonces cambia el valor de la variable correspondiente a min=8 como se muestra en el siguiente ejemplo:
 password [success=2 default=ignore] pam_unix.so obscure sha512 min=8
Ahora si lo que queremos es establecer la complejidad de la contraseña lo haremos con los parámetros ucredit, lcredit, dcredit y ocredit en una línea que contenga "password" y "pam_cracklib.so":
 password   requisite    pam_cracklib.so retry=3 minlen=10 difok=3 ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1
Al asignar los valores: "ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1" forzará a incluir al menos un caŕacter en mayúscula (ucredit), dos en minúscula (lcredit), uno numérico (dcredit) y un símbolo (ocredit).
¿Cómo activar el historial de passwords para evitar que un usuario utilice dos veces el mismo password?
Para activar el historial de passwords ejecutamos el siguiente comando: 
 password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=5
¿Cómo activar el bloqueo de cuentas para un usuario que intenta entrar varias veces a una cuenta con una contraseña erronea? Supongamos 5 veces
Para establecer el bloqueo de cuentas para un usuario despues de determinados intentos utilizamos el siguiente comando: 
  password requisite pam_cracklib.so try_first_pass retry=5  
Publicado por en No hay comentarios:

lunes, 23 de junio de 2014

RESUMEN ORANGEBOOK

 El Libro Naranja define cuatro extensas divisiones jerárquicas de seguridad para la protección de la información. En orden creciente de confiabilidad se tienen:
  • D Protección Mínima
  • C Protección Discrecional
  • B Protección Obligatoria
  • A Protección Controlada

Cada división consiste en una o más clases numeradas, entre más grande sea el número se indica un mayor grado de seguridad.
En general, un sistema seguro controlará, a través del uso de características específicas de seguridad, el acceso a la información, de forma tal, que solamente los individuos autorizados correctamente, o los procesos que obtienen los permisos adecuados, tendrán acceso para leer, escribir, crear, modificar o eliminar la información.
Se tienen seis requisitos importantes, de los cuales cuatro, parten de la necesidad de proporcionar un control de acceso a la información y los restantes de cómo puede obtenerse una seguridad demostrable.
Agrandes rasgos, el requisito número uno, habla hacer cumplir las políticas establecidas para cada evento que se genera en el sistema o acceder a cierta información.
El requisito número dos habla sobre el control de acceso por etiquetas, debe estar asociado a los objetos.
Requisito número tres,  hace hincapié en la identificación de cada evento individual, cada acceso debe ser registrado.
El número cuatro, comenta que la responsabilidad es parte fundamental de cualquier información que se maneje en el sistema, el proteger cada acción es necesario para lograr tener un sistema seguro.
Por último el requisito número seis,  comenta que la protección continua, valida que el sistema esté completamente seguro, debido que se tiene control sobre actividades o modificaciones no autorizadas por usuarios desconocidos. El requisito de protección continua tiene implicaciones directas a través del ciclo de vida de los sistemas.
El propósito del “orangebook” es desarrollar objetivos que permitan realizar una medición y así  poder hacer una evaluación de confianza en los sistemas informáticos, de tal manera que el usuario pueda tener un sistema de cómputo para el procesamiento de la seguridad.
Proporcionar un estándar a los fabricantes en cuanto a la seguridad que deben implementar a los equipos nuevos y planear con anticipación, permite que el usuario final cuente con un sistema menos propenso a ataques y cuente con una mayor seguridad. Estas categorías de seguridad del DoD van desde D (Protección Mínima) hasta A (Protección Verificada).
D- protección mínima se divide en una clase, que toma a los equipos que no cumplen los requisitos para una clase alta de evaluación.
c-Protección discrecional (necesidad-de-identificación)  y, a través de inclusión de capacidades de auditoria, exige la responsabilidad de los usuarios de las acciones que realiza.
Las TCB de un sistema de la clase C1, deben cubrir los requisitos de seguridad discrecional proporcionando la separación de usuarios y de datos. Incorporar algún mecanismo de control y acreditación, así como la capacidad de hacer cumplir las restricciones de acceso de una base individual, es decir, garantizar de una forma convincente a los usuarios de que sus proyectos o información privada está protegida y evitar que otros usuarios accidentalmente puedan leer o destruir sus datos.
Los requisitos mínimos para los sistemas con asignación de la clase C1 son:

  • Protección de archivos optativa, por ejemplo Control de Listas de Acceso (ACLs), Protección a Usuario/ Grupo/Público.
  • Usualmente  para usuarios que están todos en el mismo nivel de seguridad.
  • Protección de la contraseña y banco de datos seguro de autorizaciones (ADB).
  • Protección del modo de operación del sistema.
  • Verificación de Integridad del TCB.
  • Documentación de Seguridad del Usuario.
  • Documentación de Seguridad del Administración de Sistemas.
  • Documentación para Comprobación de la Seguridad.
  • Diseño de documentación de TCB.
  • Típicamente para usuarios en el mismo nivel de seguridad.

En la  C2, los sistemas hacen cumplir más fielmente un control de acceso discrecional más fino que los sistemas C1, haciendo responsable individualmente a los usuarios de sus acciones a través de procedimientos de conexión, revisión de eventos relevantes de seguridad, y el aislamiento de recursos.

  • La protección de objetos puede estar con base al usuario, ej. De un ACL o una base de datos del administrador.
  • La autorización para accesar sólo puede ser asignada por usuarios autorizados.
  • Protección de reusó de objetos (p.e. para evitar reasignación de permisos de seguridad de objetos borrados).
  • Identificación obligatoria y procedimientos de autorización para los usuarios, p.e. contraseñas.
  • Auditoria de eventos de seguridad.
  • Protección del modo de operación del sistema.
  • Agrega protección para autorizaciones  y auditoría de datos.
  • Documentación de la información como C1 plus al examinar la auditoria de la información.

En la división B, se especifica que el sistema de protección del TCB debe ser obligatorio, no solo discrecional. La noción de un TCB que preserve la integridad de etiquetas de sensibilidad de la información y se utilizan para hacer cumplir un conjunto de reglas obligatorias del control de acceso, es un requisito importante en esta división.
Dentro de su clasificación encontramos los sistemas de la clase B1 requieren todas las características solicitadas para la clase C2. Además una declaración informal del modelo de la política de seguridad, de las etiquetas de los datos, y del control de acceso obligatorio sobre los eventos y objetos nombrados debe estar presente, se debe tener los siguientes requisitos: 

Seguridad obligatoria y acceso por etiquetas a todos los objetos, ej. archivos, procesos, dispositivos, etc.
Verificación de la Integridad de las etiquetas.
Auditoria de objetos Etiquetados.
Control de acceso obligatorio.
Habilidad de especificar el nivel de seguridad impreso en salidas legibles al humano (ej. impresiones.).

En los sistemas de  clase B2, los TCB deben estar basados en una documentación formal  clara y contar con un modelo de política de seguridad bien definido que requiera  un control de acceso discrecional y obligatorio, las imposiciones  a los sistemas encontradas en la clase B1, se deben extender a  todos los eventos y objetos en sistemas ADP.
Estos sistemas requieren lo siguiente:
Notificación de cambios del nivel de seguridad que afecten interactivamente a los usuarios.

  • Etiquetas de dispositivos jerárquicas.
  • Acceso obligatorio sobre todos los objetos y dispositivos.
  • Rutas Confiables de comunicaciones entre usuario y sistema.
  • Rastreo  de los canales secretos de almacenamiento.
  • Modo de operación del sistema más firme en multinivel en unidades independientes.
  • Análisis de canales seguros.
  • Comprobación de la seguridad mejorada.
  • Modelos formales de TCB.
  • Versión, actualización  y análisis de parches y auditoria. Un ejemplo de estos sistemas operativos es el Honeywell Multics.

En la clase B3 los TCB debe satisfacer los requisitos de herramientas de monitoreo como un “monitor de referencia” que Interviene en todos los accesos de usuarios a los objetos, a fin de ser comprobada, y que sea lo bastante pequeña para ser sujeta al análisis y pruebas.
Debe de contar también con un Administrador de Seguridad, los mecanismos de auditoria se amplían para señalar acontecimientos relevantes de la seguridad, y se necesitan procedimientos de recuperación del sistema. El sistema es altamente resistente a la penetración. Los siguientes son requisitos mínimos para los sistemas con asignación de un grado de clase B3:

  • ACL’s adicionales basado en grupos e identificadores.
  • Rutas de acceso confiables y autentificación.
Análisis automático de la seguridad. § Modelos más formales de TCB. 

  • Auditoría de eventos de seguridad. § Recuperación confiable después de baja del sistema y documentación relevante.
  • Cero defectos del diseño del TCB, y mínima ejecución de errores.

El hablar de protección verificada, es hablar sobre la división que se caracteriza por el uso de métodos formales para la verificación de seguridad y así garantizar que los controles de seguridad obligatoria y discrecional empleados en el sistema pueden proteger con eficacia la información clasificada o sensitiva almacenada o procesada por el sistema.
En esta, se deben de cumplir todos los requisitos de BE, más otros criterios adicionales, la característica que distingue los sistemas en esta clase es el análisis derivado de técnicas formales de especificación y la verificación del diseño, y el alto grado de confiabilidad que resulta de la correcta implementación del TCB.
  • Un modelo debe ser  identificado y documentado,  incluyendo una prueba matemáticas.
  • Un FTLS debe incluir las definiciones abstractas de las funciones y de los mecanismos de la dotación física y/o de los firmwares que se utilizan para utilizar dominios separados de la ejecución.
  • Se debe demostrar que es constante y consistente con el modelo.
  • Muestra informalmente que es consistente con el FTLS.
  • Deben de  utilizarse técnicas de análisis formal para identificar y analizar los canales secretos.

La A2 en adelante, está hecha para más altos niveles aunque sus requerimientos  aún no han sido definidos formalmente.
El control de acceso discrecional es un método de restringir el acceso a los archivos basándose en la identidad  de los usuarios  y/o los grupos  a los que pertenecen. EL DAC es el más común de los mecanismos de control de acceso que se encuentra en los sistemas
La reutilización de objetos requiere  la protección de archivos, memoria y otros objetos en un sistema auditado de ser accesadas accidentalmente por usuarios que no tienen acceso autorizado a ellos.
Las etiquetas y el control de acceso obligatorio son requerimientos separados de la política de seguridad, pero ambas funcionan juntas. Una etiqueta sensitiva de usuario especifica el grado, o nivel de confianza, asociado con ese usuario, las etiquetas de usuario sensitivas es usualmente llamada  como certificado de paso ó "clearance". Una etiqueta sensitiva de archivo especifica el nivel de confianza que un usuario puede ser capaz de tener al accesar ese archivo. La integridad de etiquetas asegura que las etiquetas sensitivas asociadas con eventos y objetos tienen una representación exacta de los niveles de seguridad  de estos eventos  y objetos.
Un sistema confiable debe de asegurar que la información es escrita por el sistema, que la información cuenta con mecanismos de protección asociados a ella. Dos formas de exportar información son asignar un nivel de seguridad a los dispositivos de salida ó escribir etiquetas sensitivas en los datos. Los sistemas valorados como B1 en adelante deben de proporcionar facilidades de exportación segura Se definen dos tipos de dispositivos para exportar; multinivel y de nivel simple.
Un dispositivo multinivel, es uno con la capacidad de escribir información con un número diferente de niveles de seguridad. El sistema debe soportar una  variedad de especificaciones de niveles de seguridad, desde la más baja (SIN CLASIFICACIÓN) hasta la más alta (ALTAMENTE SECRETA), permitiendo que un dato sea escrito en un dispositivo.
Un dispositivo de nivel único es capaz de escribir información con sólo un nivel particular de seguridad. Usualmente las terminales, impresoras, dispositivos de cinta y puertos de comunicación están en la categoría de dispositivos de nivel único. El nivel que se especifica para un dispositivo depende usualmente de su localización física o de la seguridad inherente del tipo de dispositivo. Por ejemplo, la instalación de una red contempla varias impresoras en un número determinado de computadoras y oficinas. El administrador  debe designar que esas impresoras tengan niveles sensitivos que correspondan al personal que tiene acceso a dichas impresoras.
El libro naranja es muy claro en cuanto a los requerimientos de cómo deben de hacerse las etiquetas para las salidas legibles al humano. Estas incluyen páginas de salida impresa, mapas, gráficas y otros indicadores. El administrador del sistema debe de especificar la forma en que las etiquetas van a aparecer en la salida. Por lo regular se requieren dos tipos de etiquetas: primero, cada salida distinta debe ser etiquetada, al principio y al final, con etiquetas que representen una sensitividad general de la salida.
Las etiquetas sensitivas  de eventos requieren estados que el sistema pueda notificar a determinado usuario de algún cambio en el nivel de seguridad asociado con un usuario durante una sesión interactiva. Este requerimiento se aplica de los sistemas evaluados B2 en adelante. La idea de  las etiquetas sensitivas a eventos es que el usuario siempre conozca el nivel de seguridad en el que está trabajando. Los sistemas confiables típicamente despliegan el "clearance"  cuando se establece sesión y lo despliegan nuevamente si el nivel de seguridad tiene algún cambio, o automáticamente a petición del usuario.
Los dispositivos etiquetados requieren estados que cada dispositivo físico tenga adicionados en el sistema que definan niveles mínimos y máximos de seguridad asociados a ellos, y todos estos son usados para "reforzar las restricciones impuestas por el medio ambiente físico en el cual el dispositivo está localizado".
El control de acceso obligatorio es el último requerimiento de la política de seguridad, diferente del control de  acceso discrecional, que autoriza a los usuarios específicamente, con sus propias preferencias, quien puede y quién no puede accesar sus archivos, el control de acceso obligatorio pone el control de todos los accesos como decisiones bajo el control del sistema.
La identificación y la autentificación es un requerimiento de un sistema de seguridad en todos los niveles. El libro naranja requiere que la identificación del usuario antes de ejecutar cualquier tarea que requiera interacción con el  TCB. El libro naranja establece que el password debe ser protegido, pero no dice como, existen dos publicaciones adicionales por el gobierno de los Estados Unidos que proporcionan sugerencias concretas:

  • The Department of Defense Password Management Guideline (El Libro Verde)
  • FIPS PUB 112 - Password Usage

Una ruta segura proporciona un medio libre de errores, por el cual un usuario puede comunicarse directamente con un TCB sin interactuar con el sistema a través de aplicaciones y capas del sistema operativo. Una ruta segura es un requerimiento para sistemas clasificados como B2 en adelante.
Conforma a las auditorías son los registros, exámenes y revisiónes de las actividades relacionadas con la  seguridad en un sistema confiable. Una actividad relacionada con la seguridad es cualquier acción relacionada con el acceso de usuarios, o acceso a objetos. En términos de auditoria, algunas actividades son llamadas frecuentemente eventos, y una auditoria interna se llama algunas veces eventos logging.
Los eventos típicos incluyen:

  • Logins (exitosos o fallidos)
  • Logouts
  • Accesos a sistemas remotos
  • Operaciones de archivos, apertura, renombrar, eliminación.
  • Cambios en los privilegios y atributos de seguridad (cambiar en un archivo la etiqueta sensitiva o el nivel del pase de un usuario).

La auditoria permite funciones muy útiles de seguridad: Inspección y reconstrucción.
Cada vez que un evento auditable ocurre, el sistema escribe al final la siguiente información (Ordenada por el Libro Naranja):

  • Fecha y hora de cada evento
  • Identificado ID único del usuario que ejecuto el evento
  • Tipo de evento
  • Si el evento fue exitoso o no
  • Origen de la petición (identificador de la terminal)
  • Nombre de los objetos involucrados (nombre de (ej. Nombre de los archivos a ser borrados)
  • Descripción y modificación a las bases de datos de seguridad
  • Niveles de seguridad de los usuarios y objetos (B1 en adelante)

El requerimiento de arquitectura del sistema  tiene el objeto de diseñar un sistema para hacerlo lo más seguro posible, - sino invulnerable. Así los sistemas de los niveles bajos (C1, B1 y hasta  B2) no fueron necesariamente diseñados específicamente para seguridad, ellos soportan principios de diseño de hardware  y  sistema operativo, tan bien como la habilidad de soportar características específicas que quizás son agregadas a estos sistemas.
La integridad del sistema significa que  el hardware y el firmware deben trabajar y debe ser probado para asegurar que trabaje adecuadamente, Para todos los niveles, el libro naranja establece “las características de hardware y software  que deben ser proporcionadas para ser usadas y periódicamente validadas para la correcta operación del hardware instalado y los elementos firmware del TCB.
Un canal secreto es una ruta de información que no se usa ordinariamente para comunicaciones en un sistema, por los mecanismos normales de seguridad del sistema. Es una vía secreta para transportar información a otra persona o programa – El equivalente computacional de un espía que porta un periódico como una contraseña.
La facilidad de la administración de seguridad es la asignación de un individuo específico  para administrar las funciones relacionadas con la seguridad de un sistema. La facilidad de administración de la seguridad es muy relacionada  con el concepto de privilegio mínimo, un concepto tempranamente introducido  en términos de arquitectura de sistemas. En el contexto de seguridad, el privilegio mínimo significa que el usuario de un sistema debe tener el menor número de permisos  y la menor cantidad de tiempo – únicamente el necesario para desempeñar su trabajo.
La recuperación confiable  asegura que la seguridad no ha sido violada cuando se cae un sistema o cuando cualquier otra falla del sistema ocurre La recuperación confiable actualmente involucra dos actividades: prepararse ante una falla del sistema y recuperar el sistema. La principal responsabilidad en preparación  es respaldar todos los archivos del sistema crítico  con una base regular. El procedimiento de recuperación puede ser con mucho,  esforzarse por restaurar solo un día o dos de procesamiento de información.
El diseño de especificaciones y la verificación requiere una comprobación de que la descripción del diseño para el sistema sea consistente con las políticas de seguridad del sistema. A cada nivel de seguridad empezando desde el B1, el libro naranja. Requiere un incremento del modelo  formal (precisamente matemático) de las políticas del sistema de seguridad que permite se incrementen las pruebas de que el diseño del sistema es consistente con su modelo.
El libro naranja tiene un substancial interés en probar las características de seguridad en los sistemas a evaluar. Las pruebas de seguridad aseguran que los requerimientos están relacionados con los requerimientos de pruebas de documentación. El equipo de evaluación del  NTSC está comprometido con sus pruebas.
Estos son los dos tipos básicos de pruebas de seguridad:

  • Prueba de mecanismos
  • Prueba de interfaz.

La prueba de mecanismos  significa probar los mecanismos de seguridad, estos mecanismos incluye control de acceso discrecional, etiquetado, control de acceso obligatorio, Identificación y autentificación, prueba de rutas, y auditoria. La prueba de interfaz significa el probar todas las rutinas del usuario que involucren funciones de seguridad.

Aplicación a los niveles de seguridad

  • Identificación y Autentificación
  • Roles:  Algunos ejemplos de roles serían los siguientes: programador, líder de proyecto, gerente de un área usuaria, administrador del sistema, etc.
  • Transacciones: solicitando una clave al requerir el procesamiento de una transacción determinada.
  • Limitaciones a los Servicios: restricciones que dependen de parámetros propios de la utilización de la aplicación o preestablecidos por el administrador del sistema.
  • Modalidad de Acceso
  • Ubicación y Horario: El acceso a determinados recursos del sistema puede estar basado en la ubicación física o lógica de los datos o personas. En cuanto a los horarios, este tipo de controles permite limitar el acceso de los usuarios a determinadas horas de día o a determinados días de la semana.
  • Administración.
Este libro tiene normas muy especificas para regular y establecer una seguridad informática que permita establecer "barreras" a intrusos, y tener bien delimitado la información que se tiene y se maneja en una empresa, aunque es muy difícil implementarla al 100%, debido a tantas especificaciones y tantas peculiaridades que se vuelven tediosas para el administrador, pero es de suma importancia el aplicar estándares que permitan resguardar nuestra información , ya que puede ser utilizada para un sin fin de actividades que pueden dañar la integridad de la empresa así como de uno mismo.






Publicado por en No hay comentarios:
Etiquetas:
Ubicación: Zacatecas, ZAC, México

viernes, 13 de junio de 2014

LEGISLACIÓN INFORMÁTICA EN MÉXICO

Las Tecnologías de la Información y la Comunicación (TIC) han revolucionado la vida social en numerosos aspectos: científicos, comerciales, laborales, profesionales, escolares, e incluso han cambiado los hábitos de entretenimiento y de interrelación de las personas al interior de  la vida familiar, así mismo se generan conductas ilícitas que infieren en el ámbito jurídico, es por esto que se dio a la tarea de elaborar una Legislación Informática en México, ya que existen casos que que requieren regulación especial, como son:
Delitos Informáticos
Se refiere a las conductas que teniendo como instrumento o fin computadoras u otros bienes informáticos, lesionan o dañan bienes, intereses o derechos de personas  físicas o morales.
Los principales “delitos informáticos” son: 
  • Pornografía infantil.

En este caso la ley específicamente hace alusión al caso de la exhibición corporal, lasciva o sexual de menores de 18 años mediante anuncios electrónicos, sancionando al que procura, facilita, induce u obliga a los menores, así como al o los que elaboran, reproducen, venden, arriendan, exponen, publicitan o transmiten el material referido. Éstas conductas se punen con  prisión que va de los 5 a los 14 años y multa de 1000 a 3000 días, pero a quien dirija asociación delictuosa dedicada a los fines.

  • Uso y/o reproducción no autorizada de programas informáticos con fines de lucro  (piratería).

En este caso vale la pena resaltar que es ésta una de las conductas antijurídicas en esta materia mejor regulada, en virtud de la armonización lograda con la Ley Federal del Derecho de Autor, misma que protege los programas de cómputo. También cabe aclarar que se sanciona asimismo al que fabrique, importe, venda o arriende algún sistema o dispositivo destinado a descifrar señales cifradas de satélite que contengan programas o algún dispositivo o sistema diseñado para desactivar la protección de un programa de cómputo. Las penas por la reproducción de obras protegidas con fines de lucro son fuertes (2 a 10 años de prisión y de 2000 a 20,000 días de multa).
Entre otros que son:

  • Fraude mediante el uso de la computadora y la manipulación de la información que éstas contienen. (técnica de salami u otras) 
  • Acceso no autorizado a sistemas o servicios. (caballo de troya, back doors, etc.) 
  • Destrucción de programas o datos 
  • Reproducción no autorizada de programas informáticos. 
  • Uso no autorizado de programas y de datos. 
  • Intervención de correo electrónico. 
  • Obtención de información que pasa por el medio (sniffer). 
Se tienen artículos que señalan la pena a cada delito.
Firma Digital/electrónica y contratos electrónicos.
Ésta materia se encuentra regulada en varias leyes, de las cuales se mencionaran algunas:
a)  La Ley de Instituciones de Crédito, autoriza a las mismas a “pactar la celebración de sus operaciones y la prestación de servicios con el público, mediante el uso de equipos, medios electrónicos, ópticos o de cualquier otra tecnología, sistemas automatizados de procesamiento de datos y redes de telecomunicaciones, ya sean privados o públicos...”. La propia ley determina asimismo, que en los contratos respectivos deben de establecerse cuáles serán los medios para identificar al usuario y para hacer constar la creación, transmisión, modificación o extinción de los derechos y obligaciones inherentes a las operaciones de que se trate, otorgándoles validez y valor probatorio a los medios de identificación que se establezcan en sustitución de la firma autógrafa.
b)  La Ley del Mercado de Valores, al regular el contrato de intermediación bursátil, autoriza a las partes a convenir libremente el uso de télex, telefax o cualquier otro medio electrónico, de cómputo o telecomunicaciones para el envío, intercambio o confirmación de las órdenes de la clientela inversionista, debiendo las partes precisar las claves de identificación recíproca y las responsabilidades que conlleve su utilización. (Redondo, 2010)
Protección de la privacidad y de la información.

a)  La Ley Federal de Protección al Consumidor, Como veíamos en el punto anterior, protege como confidencial la información que éste proporcione al proveedor, prohibiendo su difusión a otros proveedores ajenos, salvo autorización expresa e imponiendo al proveedor la obligación de utilizar los elementos técnicos disponibles para brindar confidencialidad y seguridad a la información proporcionada.

b)  La Ley Federal del Derecho de Autor, al proteger las bases de datos que por razones de disposición de su contenido constituyan obras intelectuales, establece que la información privada de las personas contenidas en dicahs bases no podrá ser divulgada, transmitida ni reproducida, salvo con el consentimiento de la persona de que se trate.
c)  La Ley de Instituciones de Crédito, sanciona con prisión y multa al que "obtenga o use indebidamente la información sobre clientes u operaciones del sistema bancario sin contar con las autorización correspondiente…"; sin embargo, sólo puede imponer pena de prisión un juez penal y su fundamento tiene por fuerza que ser una ley penal. El Código Penal Federal sanciona al que indebidamente utilice información confidencial reservada a la institución o a persona facultada, con el objeto de producir, alterar o enajenar tarjetas o documentos utilizados para el pago de bienes o servicios o para disposición de efectivo, por lo que como se ve, la disposición no va encaminada a proteger la privacidad, sino sólo en la medida en que se evita el fraude. (Redondo, 2010)
Protección de propiedad intelectual
En México, están protegidos los programas de cómputo así como las bases de datos que por su composición constituyan obra intelectual, como apuntamos anteriormente. La ley que tutela éstos derechos es la Ley Federal del Derecho de Autor, misma que entiende por programa de cómputo "la expresión original en cualquier forma, lenguaje o código, de un conjunto de instrucciones que con una secuencia, estructura y organización determinada, tiene como propósito que una computadora o dispositivo realice una tarea o función específica". La Ley protege programas tanto operativos como aplicativos y deja fuera a los que tienen por objeto causar efectos nocivos. Autoriza al usuario legítimo a hacer las copias que le permita la licencia, o bien, una sola que sea indispensable para la utilización del programa o sea destinada sólo para resguardo (Redondo, 2010)
Computo forense (evidencias electrónicas)
Apenas legislada esta materia, diversos ordenamientos legales se limitan a otorgarles valor probatorio a los documentos o instrumentos que se obtengan por medios electrónicos (Código de Comercio, Ley de Instituciones de Crédito, Ley del Mercado de Valores). El Código Federal de Procedimientos Civiles expresamente reconoce como prueba la información generada o comunicada que conste en medios electrónicos, ópticos o en cualquier otra tecnología, debiéndose estar a la fiabilidad del método con el que haya sido generada, comunicada, recibida o archivada y si es posible atribuir a las personas obligadas el contenido de la misma, siendo accesible para su ulterior consulta.
En este caso, además de la necesidad de unificar las diversas legislaciones del país tanto en materia penal como civil, se requiere ser más específicos ya que no se dice qué determina "la fiabilidad del método con el que haya sido generada…", por lo que es necesario remitir a estándares internacionales como son el ISO (International Standard Organization) y el IEEE (Institute of Electric and Electronic Engineers). (Redondo, 2010)
Regulación de contenidos en Internet
Es éste un asunto de los más difíciles en cuanto a regulación se trata, en virtud del carácter absolutamente internacional del Internet y de la enorme cantidad de sitios que existen. Se han hecho algunos esfuerzos por regular un adecuado uso de Internet, aislados  (Europa, Estados unidos de América). 
En este aspecto vuelve a resaltar la necesidad de establecer obligaciones para los titulares de nombres de dominio, llevando une estricto registro de los mismos, así como para los proveedores del servicio. (Redondo, 2010)
Conclusión
Siempre nos enfrentamos al reto del veloz avance de las tecnologías de información, y cada vez se hace más evidente la necesidad de que los estudiosos del Derecho y de la Ingeniería Cibernética trabajen juntos para que la Ley no sea rebasada por la realidad.Aunque por desgracia, se cae en manos  de autoridades que no toman la importancia adecuada a estos temas, y abusan de las mismas para usarlas a su favor, hablando específicamente de cuestiones políticas.
Referencias
M.C.E. Ana María Felipe Redondo (Redondo, 2010), Legislación Informática en México. Consultado 13/06/14cvonline.uaeh.edu.mx/.../55_lec_Legislacion_informatica_en_Mexico.d...
Batiz Alvarez, Verónica, et al (2004). Panorama General del Marco Jurídico en Materia Informatica en Mexico. Consultado en 06/09/2010 en http://www.alfa-redi.org/rdi-articulo.shtml?x=1246.

V. Bátiz-Álvarez & M. Farias-Elinos, Lab. de Investigación y Desarrollo de Tecnología Avanzada (LIDETEA),Grupo de Seguridad de Red CUDI, LEGISLACIÓN INFORMÁTICA EN MÉXICO, (Alvarez, Farías,Elinos,) Consultado 13/06/14 http://www.itescam.edu.mx/principal/sylabus/fpdb/recursos/r52835.PDF
Publicado por en No hay comentarios:
Etiquetas:
Ubicación: Zacatecas, ZAC, México
Suscribirse a: Entradas (Atom)