ITESM

Polticas, Autmatas de
Seguridad y Hackers ticos en
el Blindaje del Sistema
20 de Enero del 2012
Introduccin:
El mundo de la computacin crece da con da. Cada vez hay ms software
disponible y ms personas que adquieren conocimientos para programar. Este
rpido crecimiento de la computacin ha hecho que las empresas se preocupen
por proteger la informacin guardada en sus softwares y aun mas cuando el
software ocupa una conein a internet.
!os ataques cibern"ticos se han hecho presentes en la historia de algunas
compa#as$ por e%emplo el hac&eo de 'lay(tation )etwor& *un servicio de %uegos
en lnea ofrecido por (ony para su consola de %uegos 'lay(tation+. ,ambi"n
eisten los errores de procedimiento o errores humanos como la cada de la red
de -./ que da servicio de internet a los usuarios 0lac&berry.
(on estos los sucesos que llevan a las compa#as a protegerse de posibles
situaciones peligrosas. En este traba%o hablaremos de 1 de las medidas
mayormente ocupadas para lograr este ob%etivo2 las polticas de seguridad$ el
hac&ing "tico y los autmatas de seguridad. Cabe mencionar que como parte de
este ensayo se plasmarn algunas conclusiones que se dieron durante un debate
acerca de la importancia del hac&ing "tico y de las polticas de seguridad.
Sistemas Autmatas.
3n sistema autmata se puede definir como una maquina con lengua%e. (e
considera un calculador lgico cuyas instrucciones estn orientadas a los sistemas
secuenciales. 4icho de otra manera un sistema autmata permite a un sistema
tomar decisiones lgicas basadas en una serie de casos previamente definidos.
Eisten tres tipos 456$ los autmatas de pila y las maquinas de ,uring. !as
primeras aplicaciones de estos fueron en el sector automotriz y posteriormente se
integraron en la industria petroqumica$ metal7rgica$ produccin de energa entre
otras.
3n autmata de seguridad esta compuesto por 8 variables o condiciones.
9$:$;$q<$5
92 Estados de violacin del programa.
:2 !as acciones posibles que puede tomar el sistema.
;2 3na funcin de transicin$ 9 = : >
q<2 3n estado inicial$ previo a la e%ecucin del programa.
52 Con%unto de estados de finales del programa 5?9.
4el tal forma dadas estas condiciones$ una accin del sistema es 7nicamente
permitida si eiste una funcin de transicin para ese estado de seguridad. 4icho
de otra forma una accin no es permitida si no hay un estado de cambio definido.
5igura @.< 6utmata 5inito.
3n autmata puede no ser lineal como en el e%emplo mostrado$ retomando las
polticas de seguridad los cambios de estado en un sistema autmata pueden ser
varios dadas las condiciones de amenaza del sistema. 3n e%emplo de esto son los
autmatas no determinsticos.
5igura @.@ 6utmata determinstico.
!a aplicacin de los autmatas en la seguridad informtica es simple$ un autmata
puede restaurar el sistema a un estado seguro cuando encuentra un error o est
frente a una amenaza. 4e esta forma un autmata puede AobviarB el procedimiento
en que encontr un error una amenaza y seguir con su e%ecucin. El problema al
que se enfrentan los autmatas es que puede que sur%an casos en que el
procedimiento a e%ecutar cuando se encuentra a alg7n obstculo no ha sido
programado y el sistema se congele. 3n autmata de seguridad bien programado
es muy seguro pero aun as necesita tener una supervisin humana cada cierto
tiempo.
Polticas de seguridad.
!as compa#as se empezaron a dar cuenta de que necesitaban un documento
oficial en el que estuvieran declaradas todas las polticas de la empresa en cuanto
al mane%o del software y los procedimientos en caso de una amenaza. Cstas
polticas seran gua de la compa#a en caso de alguna amenaza y ayudaran a
prevenir las mismas.
Eisten muchos recursos importantes para una compa#a pero nosotros creemos
que la informacin ms preciada de una compa#a son los datos de sus clientes y
sus cuentas bancarias. El almacenamiento de esta informacin est a cargo de
software de computacin y de ah viene la importancia de tener protegidos a estos
datos. !as compa#as no se pueden dar el lu%o de perder o ser robados de esta
informacin ya que significara perdidas de mucho dinero.
)uestra definicion de las politicas de seguridad es el con%unto de reglas que rigen
el comportamiento humano de las personas dentro de la compa#a y las tecnicas
de programacion dise#adas para evitar errores . !as polticas de seguridad
intentan evitar los errores humanos y posibles amenazas como lo es el uso de
hardware personal dentro de una compa#a.
6lgunas de las funciones de las polticas de seguridad son2
,ener un registro de las personas que ocupan las computadoras o que
accesan a informacin personal.
Estandarizar los procedimientos en cuanto al mane%o de datos y proteccin
de los mismos.
,ener una posible solucin a un problema inesperado o saber a quien
acudir.
Evitar los errores humanos.
'ara dar un e%emplo de la importancia de las polticas de seguridad$ cuando -./
tuvo una sobre D@E carga en uno de sus servidores provocando la cada de todo su
sistema de red$ una poltica de seguridad bien hecha acerca del nivel de
saturacin de los servidores hubiera podido prevenir la cada de la red o en su
defecto arreglar el problema ms rpido.
!as politicas de seguridad deben cubrir los principios del modelo de seguridad
estandar conocido como C.6 *Confidentiality, Integrity, and Availability)[2]. Segn un
articulo del MIT los principios de CIA son:
3n sistema informtico debe de ser confidencial$ es decir que solos usuarios
autorizados puedan ver y modificar la informacin que contiene. 4ebe de ser
integro al asegurarse que los datos que contiene no esten incompletos o que sean
falsos. 3n sistema debe tener disponibilidad y esto es que los usuarios
autorizados puedan consultar la informacin siempre que lo requieran sin tener
ningun problema.
Hacker tico
!a 'rofesora )atalie Coull de la 3niversidad de 6bertay 4undee$ dice que
Ael hac&eo "tico es un termino reconocido en la industria$ simplemente
significa probar la seguridad de un sistemaBD1E.
Estamos de acuerdo en esta definicin$ con el hac&ing "tico realizamos
procesos de testeo en las infraestructuras$ en los puertos o sistemas de
una organizacin$ desde un ambiente a%eno al laboral.
El hac&ing "tico es un servicio de auditoria que las empresas
especializadas en el ambiente de las tecnologas de la informacin
ofrecen$ con la finalidad de evaluar la seguridad del sistema informtico
de forma legal. El hac&ing "tico da una retroalimentacin al equipo de
sistemas de alguna empresa$ sobre su sistema$ esto es para desarrollar
contramedidas y me%oras para utilizar dicho sistema.
3n e%emplo de hac&ing "tico es el eperto en seguridad informtica
Fiscoc&s$ quien habla sobre su traba%o2 G me encargo principalmente de
probar cun seguras son las aplicaciones web$ lo cual significa que tengo
que pasar gran parte del tiempo intentando hackear varios sitios en
internet que son operados por nuestros clientesG.H
6lgunas venta%as del hac&ing "tico son2
I 'ara identificar y corregir las vulnerabilidades de red.
I 'ara proteger la red de ser atacada por intrusos.
I 'ara obtener informacin que ayude a prevenir issues de seguridad.
I 'ara encontrar debilidades en la red y alertar al administrador antes de un
ataque.
I 'ara saber como recuperarse de un ataque.
6s mismo$ eisten organizaciones que se dedican a promover el hac&ing "tico
entre los hac&ers$ a evitar fraudes mediante dispositivos electrnicos$ delitos
informticos dirigidos a empresas$ gobierno y a la sociedad.
6 pesar de los esfuerzos en que las empresas o dichas organizaciones
hacen$ para tener @<<J hac&ers "ticos en sus empleados o grupos$
%ams nos darn una garanta del porcenta%e en cuantos son sus
empleados hac&ers que realmente realicen su traba%o y que tan "ticos son
estos hac&ers$ sin ning7n fin malicioso$ como robar informacin$ de%ar
huecos en el sistema en que se esta AayudandoB a me%orar$ aprovecharse
del sistema mismo.
KEs el lado humano de la ecuacin lo que est permitiendo a los malos
salirse con la suya ahora mismoK$ di%o )eil 5isher$ vicepresidente de
Llobal (ecurity (olutions en 3nisys Corp$ a -euters.DME
3n estudio donde se resalta los casos que el hac&ing etico$ no siempre es
etico$ fue realizado el NO de marzo por la empresa de seguridad
informtica /c6fee y (6.C$ empresa consultora del gobierno de EE33$
donde se establece que la amenaza ms notable denunciada por las
empresas de proteccin de informacin es la filtracin de datos accidental
o intencionadamente por parte de los empleados.
Conclusin:
El hac&ing "tico es una t"cnica muy buena y muchas veces ayuda a blindar un
sistema contra posibles amenazas pero tiene un gran problema2 todo depende de
una o varias personas. !a persona encargada del hac&ing "tico tiene las
herramientas para poder de%ar al sistema vulnerable o si no es lo suficientemente
buena puede que de%e debilidades en el sistema. El hac&ing "tico depende mucho
sobre una persona y nunca se puede tener la seguridad de que esa persona no
sea maliciosa y busca algun interes personal.
!as polticas de seguridad funcionan en medida a cuanto se respete sus
lineamientos y a cuan desarrolladas esten. (i bien es cierto que las polticas de
seguridad no son @<<J efectivas$ se tiene un alto grado de seguridad y confianza
ya que permiten establecer medidas de proteccin y se pueden supervisar. !a
mayora de las grandes compa#as tienen polticas de seguridad etensas y las
llegan a publicar en internet para que las personas las puedan consultar y conocer
los procedimientos dentro de la compa#a.
Eisten alternativas como las defensas profundas$ antivirus$ firewall y ms$ en las
cuales los sistemas pueden estar protegidos. (in embargo$ estas alternativas no
son lo suficiente efectivas cuando se desarrolla un nuevo virus$ el cual$ por ser
nuevo$ las bases de datos de los antivirus aun no cuentan con solucin para
prevenir la entrada al sistema de dicho antivirus. !os firewalls pueden ser
desactivados por error del usuario.
Es por eso$ que creemos que el con%unto de las polticas de seguridad$ los
sistemas autmatas y el hac&ing "tico$ son las principales herramientas que el
sistema debe de me%orar y revisar continuamente$ ya que el resultado de estas
tecnologas hace a un sistema difcil de penetrar$ de tener alguna vulnerabilidad o
liberar informacin confidencial. El buen uso de estas tecnologas hace de un
sistema de alguna empresa$ seguro y fiable para los usuarios. )o obstante$ el mal
uso de estas tecnologas se ha presentado en las 7ltimas d"cadas$ haciendo del
ciberespacio un lugar con riesgos$ en las que muchas veces termina con fraudes$
robo de informacin o identidad.
Bibliografa
D@E http2PPweb.mit.eduPrhelQdocPMP-FQ4RC(PrhelQsgQesQMPchQsgsQov.html consultado
el /i"rcoles @O de Enero del N<@N
DNE http2PPwww.livemint.comPN<@@P@<P@@N<@N18P0lac&0erryQservicesQhitQbyQfre.htmlS
h?0 consultado el /i"rcoles @O de Enero del N<@N
D1Ehttp :// .bbc .co .uk /mundo /noticias /2!!/!/!!!2"# entre # al # mundo # hacker # etico # mr .sht
ml consultado el /i"rcoles @O de Enero del N<@N.
DMEhttp :// noticias .terra .es /2!!/ ciencia $% $tecnologia /&!"/ actualidad /los $ciberata'ues $
disparan $peticiones $de $(ormacion $% $)igilancia .asp* consultado el Tiernes N< de enero
de N<@N.
http :// +++ .'atar .cmu .edu /, tsans /publi /-iolation .pd( consultado el Tiernes N< de enero
de N<@N.
U. Erlingsson and 5. 0. (chneider. (6(. enforcement of security policies2 6
retrospective. .n 'roc. of the )ew (ecurity 'aradigms Vor&shop *)('V+$ OWXY8$
@YYY.
http :// +++ .espe .edu .ec /portal /(iles /sitiocongreso /congreso /c # computacion /Seminario # Ethi
cal # .acking .pd( consultado el Zueves @Y de Enero de N<@N.