Instituto Tecnolgico Superior de Valladolid

Sistemas Operativos

Unidad 6. Proteccin y Seguridad

6.1 Concepto y objetivo de proteccin

La proteccin es un mecanismo control de acceso de los programas, procesos o usuarios al sistema o recursos. Hay importantes razones para proveer proteccin. La ms obvia es la necesidad de prevenirse de violaciones intencionales de acceso por un usuario. Otras de importancia son, la necesidad de asegurar que cada componente de un programa, use solo los recursos del sistema de acuerdo con las polticas fijadas para el uso de esos recursos. Un recurso desprotegido no puede defenderse contra el uso no autorizado o de un usuario incompetente. Los sistemas orientados a la proteccin proveen maneras de distinguir entre uso autorizado y desautorizado. Objetivos Inicialmente proteccin del SO frente a usuarios poco confiables. Proteccin: control para que cada componente activo de un proceso solo pueda acceder a los recursos especificados, y solo en forma congruente con la poltica establecida. La mejora de la proteccin implica tambin una mejora de la seguridad. Las polticas de uso se establecen: Por el hardware.

Pag. 1

Instituto Tecnolgico Superior de Valladolid

Por el administrador / SO. Por el usuario propietario del recurso. Principio de separacin entre mecanismo y poltica:

Sistemas Operativos

Mecanismo con que elementos (hardware y/o software) se realiza la proteccin. Poltica es el conjunto de decisiones que se toman para especificar cmo se usan esos elementos de proteccin. La poltica puede variar dependiendo de la aplicacin, a lo largo del tiempo. La proteccin no solo es cuestin del administrador, sino tambin del usuario. El sistema de proteccin debe: distinguir entre usos autorizados y no-autorizados. especificar el tipo de control de acceso impuesto. proveer medios para el aseguramiento de la proteccin.

6.2 Funciones del sistema de proteccin

Control de acceso que hace referencia a las caractersticas de seguridad que controlan quien puede obtener acceso a los recursos de un sistema operativo. Las aplicaciones llaman a las funciones de control de acceso para establecer quin puede obtener acceso a los recursos especficos o controlar el acceso a los recursos proporcionados por la aplicacin. Un sistema de proteccin deber tener la flexibilidad suficiente para poder imponer una diversidad de polticas y mecanismos. Pag. 2

Instituto Tecnolgico Superior de Valladolid

Sistemas Operativos

Existen varios mecanismos que pueden usarse para asegurar los archivos, segmentos de memoria, CPU, y otros recursos administrados por el Sistema Operativo. Por ejemplo, el direccionamiento de memoria asegura que unos procesos puedan ejecutarse solo dentro de sus propios espacios de direccin. El timer asegura que los procesos no obtengan el control de la CPU en forma indefinida. La proteccin se refiere a los mecanismos para controlar el acceso de programas, procesos, o usuarios a los recursos definidos por un sistema de computacin. Seguridad es la serie de problemas relativos a asegurar la integridad del sistema y sus datos. Hay importantes razones para proveer proteccin. La ms obvia es la necesidad de prevenirse de violaciones intencionales de acceso por un usuario. Otras de importancia son, la necesidad de asegurar que cada componente de un programa, use solo los recursos del sistema de acuerdo con las polticas fijadas para el uso de esos recursos. Un recurso desprotegido no puede defenderse contra el uso no autorizado o de un usuario incompetente. Los sistemas orientados a la proteccin proveen maneras de distinguir entre uso autorizado y desautorizado. Mecanismos y Polticas El sistema de proteccin tiene la funcin de proveer un mecanismo para el fortalecimiento de las polticas que gobiernan el uso de recursos. Tales polticas se pueden establecer de varias maneras, algunas en el diseo del sistema y otras son formuladas por el administrador del sistema. Otras pueden ser definidas por los usuarios individuales para proteger sus propios archivos y programas. Las polticas son diversas, dependen de la aplicacin y pueden estar sujetas a cambios a lo largo del tiempo. Un principio importante es la separacin de polticas de los mecanismos. Los mecanismos determinan como algo se har. Las polticas deciden que se har'. La separacin es importante para la flexibilidad del sistema. Dentro de las funciones del sistema de proteccin del sistema operativo encontramos:

Pag. 3

Instituto Tecnolgico Superior de Valladolid

Sistemas Operativos

Controlar el acceso a los recursos Asegurarse que todos los accesos a los recursos del sistema estn controlados

6.3 Implementacin de matrices de acceso

Los derechos de acceso definen que acceso tienen varios sujetos sobre varios objetos. Los sujetos acceden a los objetos. Los objetos son entidades que contienen informacin. Los objetos pueden ser:

Concretos:
o o

Ej.: discos, cintas, procesadores, almacenamiento, etc. Ej.: estructuras de datos, de procesos, etc.

Abstractos:

Los objetos estn protegidos contra los sujetos. Las autorizaciones a un sistema se conceden a los sujetos. Los sujetos pueden ser varios tipos de entidades:

Ej.: usuarios, procesos, programas, otras entidades, etc.

Los derechos de acceso ms comunes son:

Acceso de lectura. Acceso de escritura. Acceso de ejecucin.

Una forma de implementacin es mediante una matriz de control de acceso con:

Filas para los sujetos. Pag. 4

Instituto Tecnolgico Superior de Valladolid

Sistemas Operativos

Columnas para los objetos. Celdas de la matriz para los derechos de acceso que un usuario tiene a un objeto.

Una matriz de control de acceso debe ser muy celosamente protegida por el S. O.

Matriz de acceso El modelo de proteccin del sistema se puede ver en forma abstracta como una matriz, la matriz de acceso. Una matriz de acceso es una representacin abstracta del concepto de dominio de proteccin. Este modelo fue propuesto por Lampson [4] como una descripcin generalizada de mecanismos de proteccin en sistemas operativos. Es el modelo ms utilizado, del que existen numerosas variaciones, especialmente en su implementacin. Los elementos bsicos del modelo son los siguientes: Sujeto: Una entidad capaz de acceder a los objetos. En general, el concepto de sujeto es equiparable con el de proceso. Cualquier usuario o aplicacin consigue acceder en realidad a un objeto por medio de un proceso que representa al usuario o a la aplicacin. Objeto: Cualquier cosa cuyo acceso debe controlarse. Como ejemplo se incluyen los archivos, partes de archivos, programas y segmentos de memoria. Derecho de acceso: la manera en que un sujeto accede a un objeto. Como ejemplo estn Leer, Escribir y Ejecutar. El modelo considera un conjunto de recursos, denominados objetos, cuyo acceso debe ser controlado y un conjunto de sujetos que acceden a dichos objetos. Existe tambin un conjunto de permisos de acceso que especifica los diferentes permisos que los sujetos pueden tener sobre los objetos (normalmente lectura, escritura, etc., aunque pueden ser diferentes, en general, dependiendo de las operaciones que puedan realizarse con el objeto). Se trata de especificar para cada pareja (sujeto, objeto), los permisos de acceso que el sujeto tiene sobre el objeto. Esto se representa mediante una matriz de acceso M que Pag. 5

Instituto Tecnolgico Superior de Valladolid

Sistemas Operativos

enfrenta todos los sujetos con todos los objetos. En cada celda M[i, j] se indican los permisos de acceso concretos que tiene el sujeto i sobre el objeto j. La figura 6.3.2 representa una matriz de acceso, y la figura 6.3.3 es una matriz de acceso derivada de la figura 6.3.1 de dominios de proteccin.

Fig. 6.3.2 Representacin de una matriz de acceso

Figura 6.3.3 Ejemplo de una matriz de acceso

Pag. 6

Instituto Tecnolgico Superior de Valladolid

Sistemas Operativos

6.4 Concepto de Seguridad

Los trminos seguridad y proteccin se utilizan en forma indistinta. Sin embargo, es til hacer una distincin entre los problemas generales relativos a la garanta de que los archivos no sean ledos o modificados por personal no autorizado, lo que incluye aspectos tcnicos, de administracin, legales y polticos, por un lado y los sistemas especficos del sistema operativo utilizados para proporcionar la seguridad, por el otro. Para evitar la confusin, utilizaremos el trmino seguridad para referirnos al problema general y el termino mecanismo de proteccin para referirnos a los mecanismos especficos del sistema operativo utilizado para resguardar la informacin de la computadora. Sin embargo, la frontera entre ellos no est bien definida. Primero nos fijaremos en la seguridad; mas adelante analizaremos la proteccin. La seguridad tiene muchas facetas. Dos de las ms importantes son la perdida de datos y los intrusos. Algunas de las causas ms comunes de la perdida de datos son: Actos divinos: Incendios, inundaciones, terremotos, guerras, revoluciones o ratas que roen las cintas o discos flexibles. Errores de Hardware o Software: Mal funcionamiento de la CPU, discos o cintas ilegibles, errores de telecomunicacin o errores en el programa. Errores Humanos: Entrada incorrecta de datos, mal montaje de las cintas o el disco, ejecucin incorrecta del programa, perdida de cintas o discos. La mayora de estas causas se pueden enfrentar con el mantenimiento de los respaldos adecuados; de preferencia, en un lugar alejado de los datos originales. Un problema ms interesante es que hacer con los intrusos. Estos tienen dos variedades. Los intrusos pasivos solo desean leer archivos que no estn autorizados a leer. Los intrusos activos son ms crueles: Desean hacer cambios no autorizados a los datos. Si se desea disear un sistema seguro contra los intrusos, es importante tener en cuenta el tipo de intruso con el que se desea tener proteccin. Algunas de las categoras comunes son: Curiosidad casual de usuarios no tcnicos. Muchas personas tienen en sus escritorios terminales para sistemas con tiempo compartido y, por la naturaleza humana, algunos de ellos leern el correo electrnico de los dems u otros archivos, si no existen Pag. 7

Instituto Tecnolgico Superior de Valladolid

Sistemas Operativos

barreras en frente de ellos. Por ejemplo la mayora de los sistemas UNIX tienen pre definido que todos los archivos se pueden leer de manera pblica. Conocidos husmeando. Algunos estudiantes, programadores de sistemas, operadores y dems personal tcnico consideran como un reto personal romper la seguridad del sistema de cmputo local. A menudo son muy calificados y estn dispuestos a invertir una cantidad sustancial de su tiempo en este esfuerzo. Un intento deliberado de hacer dinero. Algunos programadores en banco han intentado penetrar un sistema bancario con el fin de robarle al banco. Los esquemas han variado desde cambiar el software para truncar y no redondear el inters, para quedarse con una pequea fraccin de dinero, hasta sacar dinero de las cuentas que no se han utilizado en aos o el "correo negro" . Espionaje comercial o militar. El espionaje indica un intento serio y fundamentado por parte de un competidor u otro pas para robar programas, secretos comerciales, patentes, tecnologa, diseo de circuitos, planes de comercializacin, etc. A menudo, este intento implica la cobertura de cables o el levantamiento de antenas hacia la computadora con el fin de recoger su radiacin electromagntica. La cantidad de esfuerzo que alguien pone en la seguridad y la proteccin depende claramente de quien se piensa sea el enemigo. Otro aspecto del problema de la seguridad es la privaca: la proteccin de las personas respecto del mal uso de la informacin en contra de uno mismo. Esto implica en forma casi inmediata muchos aspectos morales y legales. Para proteger un sistema, debemos optar las necesarias medidas de seguridad en cuatro niveles distintos: 1. Fsico. El nodo o nodos que contengan los sistemas informticos deben dotarse de medidas de seguridad fsicas frente a posibles intrusiones armadas o subrepticias por parte de potenciales intrusos. Hay que dotar de seguridad tanto a las habitaciones donde las maquinas residan como a los terminales o estaciones de trabajo que tengan acceso a dichas maquinas. 2. Humano. La autorizacin de los usuarios debe llevarse a cabo con cuidado, para garantizar que solo los usuarios apropiados tengan acceso al sistema. Sin embargo, incluso los usuarios autorizados pueden verse motivados para permitir que otros usen su acceso (por ejemplo, a cambio de un soborno). Tambien Pag. 8

Instituto Tecnolgico Superior de Valladolid

Sistemas Operativos

pueden ser engaados para permitir el acceso de otros, mediante tcnicas de ingeniera social. Uno de los tipos de ataque basado en las tcnicas de ingeniera social es el denominado phishing ; con este tipo de ataque, un correo electrnico o pagina web de aspecto autentico llevan a engao a un usuario para que introduzca informacin confidencial. Otra tcnica comnmente utilizada es el anlisis de desperdicios, un trmino autorizado a la computadora (por ejemplo, examinando el contenido de las papeleras, localizando listines de telfonos encontrando notas con contraseas). Estos problemas de seguridad son cuestiones relacionadas con la gestin y con el personal, ms que problemas relativos a los sistemas operativos. 3. Sistema operativo. El sistema debe auto protegerse frente a los diversos fallos de seguridad accidentales o premeditados. Un problema que este fuera de control puede llegar a constituir un ataque accidental de denegacin de servicio. Asimismo, una cierta consulta a un servicio podra conducir a la revelacin de contraseas o un desbordamiento de la pila podra permitir que se iniciara un proceso no autorizado. La lista de posibles fallos es casi infinita. 4. Red. Son muchos los datos en los modernos sistemas informticos que viajen a travs de lneas arrendadas privadas, de lneas compartidas como Internet, de conexiones inalmbricas o de lneas de acceso telefnico. La interceptacin de estos datos podra ser tan daina como el acceso a un computador, y la interrupcin en la comunicacin podra constituir un ataque remoto de denegacin de servicio, disminuyendo la capacidad de uso del sistema y la confianza en el mismo por parte de los usuarios. Si queremos poder garantizar la seguridad del sistema operativo, es necesario garantizar la seguridad en los primeros dos niveles. Cualquier debilidad en uno de los niveles altos de seguridad (fsico o humano) podra puentear las medidas de seguridad que son estrictamente de bajo nivel (del nivel del sistema operativo). As, la frase que afirma que una cadena es tan fuerte como el ms dbil de sus eslabones es especialmente cierta cuando hablamos de seguridad de los sistemas. Para poder mantener la seguridad, debemos contemplar todos estos aspectos. Adems, el sistema debe proporcionar mecanismos de proteccin para permitir la implementacin de las caractersticas de seguridad. Sin la capacidad de autorizar a los usuarios y procesos, de controlar su acceso y de registrar sus actividades, sera imposible que un sistema operativo implementara medidas de seguridad o se ejecutara de forma segura. Para soportar un esquema global de proteccin hacen falta mecanismos de proteccin hardware. Por ejemplo, un sistema donde la memoria no est protegida no puede nunca estar seguro. Pag. 9

Instituto Tecnolgico Superior de Valladolid

Sistemas Operativos

6.5 Clasificaciones de la seguridad

La seguridad interna esta relacionada a los controles incorporados al hardware y al Sistema Operativo para asegurar los recursos del sistema. Seguridad Externa La seguridad externa consiste en:

Seguridad fsica. Seguridad operacional.

La seguridad fsica incluye:

Proteccin contra desastres(como inundaciones, incendios, etc.). Proteccin contra intrusos.

En la seguridad fsica son importantes los mecanismos de deteccin , algunos ejemplos son:

Detectores de humo. Sensores de calor. Detectores de movimiento.

La proteccin contra desastres puede ser costosa y frecuentemente no se analiza en detalle; depende en gran medida de las consecuencias de la perdida. La seguridad fsica trata especialmente de impedir la entrada de intrusos:

Se utilizan sistemas de identificacin fsica:

o o o

Tarjetas de identificacin. Sistemas de huellas digitales. Identificacin por medio de la voz.

Pag. 10

Instituto Tecnolgico Superior de Valladolid

Seguridad Operacional

Sistemas Operativos

Consiste en las diferentes polticas y procedimientos implementados por la administracin de la instalacin computacional. La autorizacin determina que acceso se permite y a quien. La clasificacin divide el problema en su problemas:

Los datos del sistema y los usuarios se dividen en clases:

o

A las clases se conceden diferentes derechos de acceso.

Un aspecto critico es la seleccin y asignacin de personal:

La pregunta es si se puede confiar en la gente. El tratamiento que generalmente se da al problema es la divisin de responsabilidades:
o o o

Se otorgan distintos conjuntos de responsabilidades. No es necesario que se conozca la totalidad del sistema para cumplir con esas responsabilidades. Para poder comprometer al sistema puede ser necesaria la cooperacin entre muchas personas:

Se reduce la probabilidad de violar la seguridad.

o o

Debe instrumentarse un gran nmero de verificaciones y balances en el sistema para ayudar a la deteccin de brechas en la seguridad. El personal debe estar al tanto de que el sistema dispone de controles, pero:

Debe desconocer cules son esos controles:

Se reduce la probabilidad de poder evitarlos.

Debe producirse un efecto disuasivo respecto de posibles intentos de violar la seguridad.

Para disear medidas efectivas de seguridad se debe primero:

Enumerar y comprender las amenazas potenciales. Definir qu grado de seguridad se desea (y cuanto se esta dispuesto a gastar en seguridad). Analizar las contramedidas disponibles.

Pag. 11

Instituto Tecnolgico Superior de Valladolid

Sistemas Operativos

6.6 Validacin

Identificar cada usuario que esta trabajando en el sistema (usando los recursos). Uso de contraseas. Vulnerabilidad de contraseas.
o o o

o Que sean complejas y difciles de adivinar. o Cambiarlas de vez en cuando. o Peligro de prdida del secreto.

La contrasea debe guardare cifrada. Proteccin por Contrasea Las clases de elementos de autentificacin para establecer la identidad de una persona son: Algo sobre la persona:
o o o

Ej.: huellas digitales, registro de la voz, fotografa, firma, etc. Ej.: insignias especiales, tarjetas de identificacin, llaves, etc. Ej.: contraseas, combinaciones de cerraduras, etc.

Algo posedo por la persona: Algo conocido por la persona:

El esquema mas comn de autentificacin es la proteccin por contrasea: El usuario elige una palabra clave , la memoriza, la teclea para ser admitido en el sistema computarizado:
o

La clave no debe desplegarse en pantalla ni aparecer impresa.

La proteccin por contraseas tiene ciertas desventajas si no se utilizan criterios adecuados para: Elegir las contraseas. Pag. 12

Instituto Tecnolgico Superior de Valladolid

Sistemas Operativos

Comunicarlas fehacientemente en caso de que sea necesario. Destruir las contraseas luego de que han sido comunicadas. Modificarlas luego de algn tiempo.

Los usuarios tienden a elegir contraseas fciles de recordar: Nombre de un amigo, pariente, perro, gato, etc.

Numero de documento, domicilio, patente del auto, etc.

Estos datos podran ser conocidos por quien intente una violacin a la seguridad mediante intentos repetidos, por lo tanto debe limitarse la cantidad de intentos fallidos de acierto para el ingreso de la contrasea. La contrasea no debe ser muy corta para no facilitar la probabilidad de acierto. Tampoco debe ser muy larga para que no se dificulte su memorizacin, ya que los usuarios la anotaran por miedo a no recordarla y ello incrementara los riesgos de que trascienda. Contraseas de un solo uso Al final de cada sesin, se le pide al usuario que cambie la contrasea. Si alguien roba una contrasea, el verdadero usuario se dar cuenta cuando vaya a identificarse de nuevo, pues el impostor habr cambiado la contrasea, con lo que el fallo de seguridad queda detectado. Verificacin de Amenazas Es una tcnica segn la cual los usuarios no pueden tener acceso directo a un recurso : Solo lo tienen las rutinas del S. O. llamadas programas de vigilancia.

El usuario solicita el acceso al S. O. El S. O. niega o permite el acceso. El acceso lo hace un programa de vigilancia que luego pasa los resultados al programa del usuario. Permite:
o

Detectar los intentos de penetracin en el momento en que se producen. Pag. 13

Instituto Tecnolgico Superior de Valladolid

o

Sistemas Operativos

Advertir en consecuencia.

6.7 Cifrado

Generalmente, se considera impracticable construir una red (de cualquier tamao) en la que se pueda confiar en este sentido en las direcciones de origen y destino de los paquetes. Por tanto, la nica alternativa es eliminar, de alguna manera, la necesidad de confiar en la red; este es el trabajo de la criptografa. Desde un punto de vista abstracto, la criptografa se utiliza para restringir los emisores y/o receptores potenciales de un mensaje. La criptografa moderna se basa en una serie de secretos, denominados clave , que se distribuyen selectivamente a las computadoras de una red y se utilizan para procesar mensajes. La criptografa permite al receptor de un mensaje verificar que el mensaje ha sido creado por alguna computadora que posee una cierta clave: esa clave es el origen del mensaje. De forma similar, un emisor puede codificar su mensaje de modo que solo una computadora que disponga de una cierta clave pueda decodificar el mensaje, de manera que esa clave se convierte en el destino. Sin embargo, a diferencia de las direcciones de red, las claves estn diseadas de modo que no sea computacionalmente factible calcularlas a partir de los mensajes que se hayan generado con ellas, ni a partir de ninguna otra informacin publica. Por tanto, las claves proporcionan un medio mucho mas fiable de restringir los emisores y receptores de los mensajes. Observe que la criptografa es un campo de estudio completo por derecho propio, con una gran complejidad; aqu, vamos a explorar nicamente los aspectos ms importantes de aquellas partes de la criptografa que se relacionan con los sistemas operativos. Sistema de privacidad criptogrfico En un sistema de privacidad criptogrfico, el remitente desea transmitir cierto mensaje no cifrado a un receptor legitimo, la transmisin ocurre sobre un canal inseguro asume ser monitoreado o grabado en cinta por un intruso. El remitente pasa el texto a una unidad de encriptacin que transforma el texto a un texto cifrado o criptograma; el mismo no es entendible por el intruso. El mensaje es transmitido entonces, sobre un canal seguro. Al finalizar la recepcin el texto cifrado pasa a una unidad de descripcin que regenera el texto.

Pag. 14

Instituto Tecnolgico Superior de Valladolid

Criptoanlisis

Sistemas Operativos

Criptoanlisis es el proceso de intentar regenerar el mensaje desde el texto cifrado pero sin conocimiento de las claves de encriptacin. Esta es la tarea normal de los intrusos. Si el intruso o criptoanalista no puede determinar un mensaje desde el texto cifrado (sin la clave), entonces el sistema de criptografiado es seguro.

Pag. 15