Professional Documents
Culture Documents
El Escritorio del Usuario. Software Libre, Software No Libre, Software Pirata y Privacidad
Cuando se habla de los riesgos del software ilegal, uno de los elementos importantes a mencionar es el siguiente: Muchas veces, el software que se adquiere pirata es software que ha sido alterado por gente sumamente experta, que ha logrado eliminar los mecanismos de proteccin que el mismo software presenta para salvaguardar la propiedad intelectual del producto... me pregunto: si esas personas que alteraron la seguridad del software no tendrn "otros intereses" o no querran "aprovechar" la oportunidad de incluir en el software pirata "programas o herramientas" que posteriormente les permitan acceder a las computadoras de otros usuarios, o de otras empresas? o usar software pirata como camuflaje para robar informacin empresarial, bancaria, legal, biolgica, militar, etc.? Y s, en efecto. Los detractores del software libre, mencionan esta problemtica inherente al cdigo abierto, ya que no hay una empresa reconocida que garantice tal o cual producto, debilidad que se convierte en fortaleza, cuando las motivaciones de la comunidad de desarrollo del software libre es diferente y cuando el cdigo fuente de los programas esta a la vista y escrutinio de tantas personas. Es por ello siempre importante, determinar que el software que usamos provenga de una fuente confiable. Asegurarnos de haber descargado el software del sitio del proveedor o fabricante o comunidad de software libre, para ello nos podemos apoyar en realizar la verificacin de las sumas de integridad MD51 o SHA12. Estos son algoritmos especiales que toman como entrada un texto o un archivo completo, y generan una cadena de caracteres nica. Entonces, si la cadena de caracteres publicada en la pgina del proveedor, es la misma que la generemos de nuestro archivo descargado, tenemos el archivo genuino, ejemplo:
1 http://es.wikipedia.org/wiki/Md5sum 2 http://es.wikipedia.org/wiki/Sha1sum
Pgina 1 de 8
Cajas de Arena
Sin embargo, muchas veces nos vemos obligados a descargar algn programa de dudosa procedencias, e instalarlo. Cuantas veces hemos tenido que formatear nuestras computadoras, debido a que se han llenado de basura o se ha corrompido la configuracin, debido a la multitud de programas que instalamos y desinstalamos. Para evitar estas situaciones, existen herramientas que permiten aislar cualquier actividad que realice un programa sobre nuestra computadora. Entre estos tenemos Sandboxie3 y Altiris Software Virtualization Solution (SVS, ahora parte de Symantec)4. Dependiendo de la necesidad, inclusive podemos crear una computadora virtual dentro de nuestra computadora, y ah hacer todas las pruebas que necesitemos, para este tema VirtualBox5 o VMWare6 son programas que emulan ser una computadora donde podemos definir memoria, discos duros, e instalar algn sistema operativo, arrancarlo, apagarlo, etc. Sumamente tiles si queremos probar alguna distribucin de Linux, sin tener que formatear nuestra computadora. Completadas nuestras pruebas, simplemente borramos la computadora virtual, y nuestra computadora seguir intacta.
Navegacin Annima
Aunque no necesariamente sea de las cosas que utilizaremos en el da a da para proteger la infraestructura TI de nuestra empresa, existen dos herramientas sumamente interesantes para la proteccin de nuestra privacidad en la red: FreeNet13 es un proyecto que nos permite conectarnos a una red encriptada de computadoras que comparten informacin. Tor14 es otra herramienta de software libre que nos permite navegar en la red a travs de otras computadoras, a fin de que nuestras consultas viajen por otros caminos, y mantenernos annimos.
Estas herramientas son muy tiles en pases donde la libertad de expresin est siendo truncada por los gobiernos y/o los proveedores de servicios de Internet.
Manejo de Contraseas
En un mundo TI ideal, solo habra una contrasea que identifique al usuario, y que a travs de esta autentificacin se pudiera acceder a todos los servicios disponibles en la infraestructura TI. Sin embargo, la realidad en las PYMES es otra. A veces se requiere tener una contrasea para cada 7 http://www.endian.com/en/community/overview/ 8http://www.filseclab.com/eng/products/firewall.htm 9http://www.clamav.net 10 http://www.kaspersky.com/sp/anti-virus_linux_workstation 11 http://www.free-av.com/ 12 http://www.avg.com/ie-en/avg-rescue-cd 13http://freenetproject.org/ 14http://www.torproject.org/
Pgina 3 de 8
Consejos Prcticos en Seguridad TI servicio: una para el correo electrnico, una para el sistema de nmina, una para el sistema de produccin, una para acceder a los bancos, una para la mensajera instantnea, etc. Tanto el software libre como las soluciones no libres ofrecen mecanismos y estrategias para simplificar estos escenarios, por ejemplo la autentificacin a travs de directorios como LDAP, Active Directory, etc. Pero como dice el dicho, "la cadena se rompe por el eslabn ms dbil"... y en las seguridad TI, el eslabn ms dbil algunas veces son los usuarios y las contraseas que utilizan. Desde acciones irresponsables como dejarlas escritas en una "pedazo de papel" pegadas al monitor, hasta usar contraseas tan sencillas que cualquier persona cercana al usuario puede adivinarlas. Hay muchos mecanismos que nos ayudan a evitar el problema de la administracin de contraseas, sin embargo muchos implican esfuerzos y cambios en la infraestructura TI que usualmente no son aceptados. Como alternativa, casi siempre recomiendo el uso de "Claves Fsicas". Le llam "Claves Fsicas" a las contraseas que generan los usuarios, a travs del movimiento "aleatorio", pero "repetitivo" de las manos sobre el teclado. En vez de verbalizar una palabra, la idea es generar una contrasea escribiendo caracteres aleatorios, pero que para el usuario correspondan a un movimiento familiar sobre el teclado, algo repetitivo que puedan recordar como movimiento de las manos, no como una palabra. Ventajas: generas contraseas no identificables con tcnicas de diccionario, desventajas: requiere movimiento rpido de la mano, y representa un enfoque diferente a lo que estn acostumbradas los usuarios.
Encriptacin
Encriptacin es la codificacin de nuestra informacin en un dialecto que no sea legible por terceros, al menos que compartamos la contrasea para decodificarlo. En las PYMES, se mueve mucha informacin sensible en equipos porttiles, lo cual se vuelve una vulnerabilidad si uno de estos equipos es robado o perdido. Suponga que le roban la laptop al director de finanzas. Este tipo de ataques es comn y en el mejor de los casos el atacante solo estar interesado en el hardware, formatearlo y revenderlo. Sin embargo, si la intencin es extraer informacin, estamos en problemas. Una alternativa que tenemos es encriptar los discos duros, de tal manera que no sea posible leerlos a pesar de que no hayan sido borrados. TrueCrypt15 nos ofrece esta posibilidad, desde proteger contenedor de archivos, particiones, e inclusive el disco duro completo. Tambin se aplica en la proteccin de memorias USB.
Respaldos
Casi nadie nos acordamos de este tema, hasta que nos enfrentamos al problema de tener que recuperar desde un archivo hasta un equipo completo, pasando por servidores daados, bases de datos "accidentalmente" borradas o alteradas, etc. Existen mltiples herramientas y estrategias para la realizacin de los respaldos, dependiendo de la plataforma, la infraestructura, las redes y dems. rsync16 es una herramienta efectiva en el manejo deteccin de cambios y transferencias de informacin entre equipos remotos. Areca17 es una herramienta que nos permite la realizacin de respaldos completos, incrementales y diferenciales. Tambin podemos optar por la nueva generacin de servicios de almacenamiento en lnea como SpiderOak18. 15 http://www.truecrypt.org/ 16 http://rsync.samba.org/ 17 http://www.areca-backup.org/ 18 https://spideroak.com/
Pgina 4 de 8
Consejos Prcticos en Seguridad TI Recordemos que los respaldos deben de ser almacenados en una ubicacin fsica diferente a donde se encuentran los equipos respaldados.
19http://www.opendns.com/
Pgina 5 de 8
Tambin se puede personalizar, si se desea dar acceso o no a pginas en especfico, todo desde un sencillo panel de configuracin a travs de Internet.
20 http://sourceforge.net/projects/eraser/ 21 http://freshmeat.net/projects/ya-wipe/
Pgina 6 de 8
Seguridad Fsica
Al final del da, cualquier configuracin de software y/o hardware se puede vulnerar, si los dispositivos estn al alcance de las personas, que con un poco de conocimiento tcnico, o un buen tiempo de investigacin en la red, pueden encontrar el botn "reset". Es por eso que el acceso a servidores, routers, antenas, y dems dispositivos tiene que estar protegido, fuera del alcance de cualquier curioso que altere estos equipos causando cadas en los servicios. De la misma manera, los respaldos tienen que resguardarse en otra ubicacin fsica de donde estn los equipos respaldados. Suponga que exista algn dao fsico en el rea de servidores (por ejemplo un incendio o inundacin), el respaldo siempre estar seguro en otra oficina, o en otra ciudad. En alguna ocasin tuvimos que (literalmente) "sellar" los gabinetes de las computadoras de escritorio, para evitar que el personal abriera los equipos, reiniciara el BIOS y/o extrajera partes de la computadora como memorias, unidades de disco, etc.
El Enemigo Interno
Por increble que parezca, la mayora de los ataques informticos, las violaciones a la seguridad, el robo de contraseas y la suplantacin de identidades, entre otros problemas, se originan por los mismos usuarios de nuestra red. Esto sucede por malicia de los usuarios y/o como muestra de rebelda haca el personal TI, por la implantacin de medidas de seguridad, que no son amablemente aceptadas por los usuarios, y que en muchos de los casos sienten que les han sido quitados privilegios como descargar msica ilegal... En estos escenarios, la implantacin de los mecanismos de seguridad TI, tiene que estar acompaado de un fuerte compromiso por la direccin de la empresa, y de la creacin de una cultura de la importancia de la seguridad y lo que representa.
Polticas y Procedimientos
Hay muchas definiciones alrededor de estos dos conceptos, de manera sencilla podemos entender a las polticas como el conjunto de lineamientos que se establecen un orden, y los procedimientos son los mecanismos a travs de los cuales logramos el cumplimiento de las polticas. En este artculo hemos hecho nfasis en las herramientas gratuitas o de software libre que nos permiten mejorar nuestros escenarios de "Seguridad TI", sin embargo, el uso de estas herramientas siempre ser ms efectivo si en nuestra empresa hemos definido claramente las polticas y procedimientos que involucren y creen una cultura de responsabilidad entre los usuarios. La seguridad es cultura. La seguridad no se puede confiar ni en un solo proveedor (empresa o herramienta) ni en una sola persona (el "encargado de sistemas"), la seguridad se aplica con diversas herramientas, en diferentes estrategias y con el apoyo de las personas, el trabajo conjunto dar sus resultados.
Pgina 7 de 8
Resumen de Herramientas
Areca AVG Avira ClamAV Endian Firewall Eraser Filseclab Firewall FreeNet Project Kapersky OpenDNS rsync Sandboxie SpiderOak Altiris SVS Tor Project TrueCrypt VirtualBox VMWare Wipe http://www.areca-backup.org/ http://www.avg.com/ie-en/avg-rescue-cd http://www.free-av.com/ http://www.clamav.net http://www.endian.com/en/community/overview/ http://sourceforge.net/projects/eraser/ http://www.filseclab.com/eng/products/firewall.htm http://freenetproject.org/ http://www.kaspersky.com/sp/anti-virus_linux_workstation http://www.opendns.com/ http://rsync.samba.org/ http://www.sandboxie.com https://spideroak.com http://download.cnet.com/Software-Virtualization-Solution-SVS/3000-2651_410516806.html http://www.torproject.org/ http://www.truecrypt.org/ http://www.virtualbox.org http://www.vmware.com http://freshmeat.net/projects/ya-wipe/
Pgina 8 de 8