434 ejecutar un programa indebido, perder un disco o una cinta, o alguna otra equivocacin.

SISTEMAS DE ARCHIVOS

CAP. 5

SEC. 5.4

SEGURIDAD

435

datos nuevos. De esta forma, el limpiador avanza por el diario, eliminando segmentos antiguos de la parte de atrs y colocando cualesquier datos an vigentes que encuentre en la memoria para ser reescritos en el siguiente segmento. As, el disco es un gran buffer circular, con el hilo escritor agregando nuevos segmentos al frente y el hilo limpiador quitando los viejos de la parte de atrs.

La mayor parte de estos problemas puede superarse manteniendo respaldos adecuados, de preferencia lejos de los datos originales. Un problema ms interesante es qu hacer respecto a los intrusos. Hay dos clases de estos especmenes. Los intrusos pasivos slo desean leer archivos que no estn autorizados para leer. Los intrusos activos tienen peores intenciones: quieren efectuar cambios no autorizados a los datos. Al disear un sistema de modo que sea seguro frente a los intrusos, es importante tener presente la clase de intruso contra la que se est tratando de proteger el sistema. He aqu algunas categoras comunes:

La contabilizacin aqu no es trivial, ya que cuando un bloque de archivo se escribe en un nuevo segmento es preciso localizar el nodo-i del archivo (en algn lugar del diario), actualizarlo y colocarlo en la memoria para escribirlo en el siguiente segmento. Despus, debe actualizarse el mapa de nodos-i de modo que apunte a la nueva copia. No obstante, toda esta administracin es factible, y los resultados de rendimiento demuestran que la complejidad vale la pena. Las mediciones que se presentan en los artculos antes citados indican que LFS tiene un rendimiento mejor en un orden de magnitud que el de UNIX cuando las escrituras son pequeas, y un rendimiento igual o mejor que el de UNIX en el caso de escrituras grandes y lecturas.

5.4 SEGURIDAD

1. Curioseo casual por parte de usuarios no tcnicos. Muchas personas tienen en su escritorio terminales conectadas a sistemas de tiempo compartido o computadoras personales conectadas a redes y, al ser la naturaleza humana como es, algunas de ellas leern el correo electrnico y otros archivos de otras personas si no se les ponen barreras. En la mayor parte de los sistemas UNIX, por ejemplo, todos los archivos estn abiertos al pblico por omisin. 2. Intromisin por parte de gente de adentro. Los estudiantes, programadores de sistemas, operadores y dems personal tcnico con frecuencia consideran como un reto personal violar la seguridad del sistema de computadora local. Es comn que estas personas estn altamente capacitadas y dispuestas a dedicar una cantidad sustancial de tiempo a esta labor.

Los sistemas de archivos a menudo contienen informacin que es muy valiosa para sus usuarios. Por tanto, la proteccin de esta informacin contra el uso no autorizado es una funcin importante de todos los sistemas de archivos. En las siguientes secciones examinaremos diversos problemas relacionados con la seguridad y la proteccin. Estas cuestiones se aplican tanto a los sistemas tiempo compartido como a las redes de computadoras personales conectadas a servidores compartidos a travs de redes de rea local.

5.4.1 El entorno de seguridad

3. Intento decidido por hacer dinero. Algunos programadores bancarios han intentado introducirse en un sistema bancario para robar. Los ardides han variado desde modificar el software para truncar en lugar de redondear los intereses, guardndose la fraccin de centavo para s, hasta extraer fondos de cuentas que no se han usado en varios aos, hasta chantaje ("Pguenme o destruir todos los registros del banco"). 4. Espionaje comercial o militar. Por espionaje se entiende el intento serio y bien financiado, por parte de un competidor o un pas extranjero, por robar programas, secretos comerciales, patentes, tecnologa, diseos de circuitos, planes de marketing, etc. En muchos casos este intento implica intervencin de lneas o incluso erigir antenas dirigidas hacia la computadora a fin de captar su radiacin electromagntica. Debe ser obvio que tratar de evitar que un gobierno extranjero hostil robe secretos militares es una cuestin muy diferente a tratar de impedir que los estudiantes inserten un "mensaje del da" humorstico en el sistema. La cantidad de esfuerzo que se invierta en la seguridad y la proteccin naturalmente depender de quin se piensa que es el enemigo. Otro aspecto del problema de la seguridad es la confidencialidad: proteger a los usuarios contra el uso indebido de la informacin referente a ellos. Aqu intervienen muchas cuestiones legales y morales. Se justifica que el gobierno compile expedientes de todo mundo con el objeto de atrapar a quienes no cumplen con sus impuestos u otras obligaciones? Necesita la polica

Los trminos "seguridad" y "proteccin" con frecuencia se usan indistintamente. No obstante, suele ser til hacer una distincin entre los problemas generales que debemos resolver para asegurar que los archivos no sean ledos ni modificados por personas no autorizadas, lo que incluye cuestiones tcnicas, gerenciales, legales y polticas, por un lado, y los mecanismos especficos del sistema operativo que proporcionan seguridad, por el otro. A fin de evitar confusiones, usaremos el trmino seguridad para referimos al problema global, y el trmino mecanismos de proteccin para referimos a los mecanismos especficos del sistema operativo que sirven para salvaguardar la informacin en la computadora. Sin embargo, la frontera entre las dos cosas no est bien definida. Primero examinaremos la seguridad; ms adelante nos ocuparemos de la proteccin.

La seguridad tiene muchas facetas. Dos de las ms importantes son la prdida de datos y los intrusos. Algunas de las causas comunes de la prdida de datos son: .|

1. Actos divinos: incendios, inundaciones, terremotos, guerras, motines o ratas que mordisquean cintas o disquetes.

2. Errores de hardware o software: fallas de CPU, discos o cintas ilegibles, errores de telecomunicacin, errores en programas.

3. Errores humanos: captura incorrecta de datos, montar la cinta o disco equivocado,

SEC.5.4

SEGURIDAD

441

442

SISTEMAS DE ARCHIVOS

CAP. 5

Tambin es posible que un virus infecte el sector de arranque del disco duro, haciendo imposible arrancar la computadora. Un virus as podra pedir una contrasea, que el escritor del virus podra ofrecer a cambio de unos cuantos billetes de baja denominacin sin marcas.

editor), los editores con caballos de Troya no podrn causar mucho dao. Este principio implica un esquema de proteccin de grano fino. Trataremos tales equemas ms adelante en este captulo. Quinto, el mecanismo de proteccin debe ser sencillo, uniforme, y estar incorporado en las capas ms bajas del sistema. Tratar de aadir seguridad a un sistema inseguro existente es casi imposible; la seguridad, al igual que la exactitud, no es una caracterstica que se pueda agregar. Sexto, el esquema escogido debe ser psicolgicamente aceptable. Si los usuarios piensan que proteger sus archivos implica demasiado trabajo, simplemente no lo harn. Sin embargo, se quejarn a voz en cuello si algo sale mal. Las respuestas del tipo "usted fue el culpable" no suelen ser bien recibidas. 5.4.5 Verificacin de autenticidad de usuarios Muchos esquemas de proteccin se basan en el supuesto de que el sistema conoce la identidad de cada usuario. El problema de identificar los usuarios cuando inician una sesin se denomina verificacin de autenticidad de usuarios. La mayor parte de los mtodos de verificacin de autenticidad se basan en identificar algo que el usuario conoce, tiene o es.

Los problemas de virus son ms fciles de prevenir que de curar. El proceder ms seguro consiste en comprar slo software debidamente empacado en establecimientos respetables. Cargar software gratuito de los tableros de boletines u obtener copias pirata en disquetes es buscar problemas. Existen paquetes comerciales antivirus, pero algunos de ellos slo buscan virus conocidos especficos.

Una estrategia ms general consiste en formatear totalmente el disco duro, incluido el sector de arranque. A continuacin, se instala todo el software confiable y se calcula una suma de verificacin para cada archivo. No importa qu algoritmo se use, en tanto tenga suficientes bits (al menos 32). Luego debe almacenarse la lista de pares (archivo, suma de verificacin) en un lugar seguro, ya sea fuera de lnea en un disco flexible o en lnea, pero cifrado. A partir de ese momento, cada vez que el sistema se arranque, se debern recalcular todas las sumas de verificacin y compararse con la lista segura de sumas originales. Cualquier archivo cuya suma actual difiera de la original puede estar infectado. Si bien esta estrategia no impide la infeccin, al menos permite detectarla en una etapa temprana.

Puede hacerse ms difcil la infeccin si se impide que los usuarios ordinarios escriban en el directorio donde residen los programas binarios. Esta tcnica obstaculiza la infeccin de otros archivos binarios por parte del virus. Aunque esto es factible en UNIX, no puede aplicarse a MS- DOS porque en este sistema no es posible restringir la escritura de directorios.
Contraseas

5.4.4 Principios de diseo para la seguridad

Los virus ocurren en su mayor parte en los sistemas de escritorio. En los sistemas ms grandes se presentan otros problemas y se requieren otros mtodos para enfrentarlos. Saitzer y Schroeder (1975) han identificado mvarios principios generales que pueden servir como gua para disear sistemas seguros. A continuacin resumiremos sus ideas, que se basaron en la experiencia con MULTICS.

La forma de verificacin de autenticidad ms ampliamente utilizada es pedir al usuario que teclee una contrasea. La proteccin mediante contrasea es fcil de entender y de implementar. En UNIX el esquema funciona como sigue. El programa de inicio de sesin pide al usuario que teclee su nombre y contrasea. De inmediato, la contrasea se cifra. Luego, el programa de inicio de sesin lee el archivo de contraseas, que es una serie de lneas ASCII, una por usuario, hasta encontrar la que contiene el nombre de inicio de sesin del usuario. Si la contrasea (cifrada) contenida en esta lnea concuerda con la contrasea cifrada que se acaba de calcular, se permite el inicio de la sesin; de lo contrario, se rechaza. La verificacin de autenticidad de las contraseas es fcil de vencer. Es frecuente leer acerca de grupos de estudiantes de preparatoria, o incluso de secundaria, que, con la ayuda de sus computadoras caseras, se introducen en algn sistema de secreto mximo, propiedad de una corporacin gigantesca o una dependencia del gobierno. Prcticamente en todos los casos la intrusin se efecta adivinando una combinacin de nombre de usuario y contrasea. Aunque se han efectuado estudios ms recientes (p. ej., Klein, 1990), el trabajo clsico sobre seguridad de contraseas sigue siendo el realizado por Morris y Thompson (1979) sobre sistemas UNIX. Ellos compilaron una lista de probables contraseas: nombres de pila y apellidos, nombre de calle o de ciudad, palabras de un diccionario de tamao moderado (tambin palabras escritas al revs), nmeros de placas de automvil, y cadenas cortas de caracteres aleatorios. A continuacin, ellos cifraron todas estas claves empleando el algoritmo de cifrado de contraseas conocido y verificaron si alguna de las contraseas cifradas coincida con una entrada de su lista. Ms del 86% de todas las contraseas resultaron estar en su lista. | Si todas las contraseas consistieran en siete caracteres escogidos al azar de entre los 95 caracteres ASCII imprimibles, el espacio de bsqueda es de 957, o sea, cerca de 7 x 1013. A razn

Primero, el diseo del sistema debe ser pblico. Suponer que el intruso no sabe cmo funciona el sistema slo hace que los diseadores se engaen a s mismos.

Segundo, la poltica por omisin debe ser no otorgar acceso. Los errores en los que se rehsa un acceso legtimo se informarn con mucha mayor rapidez que los errores en los que se permite un acceso no autorizado.

Tercero, se debe verificar la vigencia de la autorizacin. El sistema no debe comprobar si se tiene permiso, determinar que el acceso est permitido y luego guardar esta informacin para uso subsecuente. Muchos sistemas verifican el permiso cuando se abre un archivo, pero no despus. Esto implica que un usuario que abre un archivo y lo mantiene unido durante semanas seguir teniendo acceso, incluso si el propietario ha modificado ya la proteccin del archivo.

Cuarto, debe darse a cada proceso el mnimo privilegio posible. Si un editor slo tiene autorizacin para acceder al archivo que se va a modificar (y que se especifica cuando se invoca el