SISTEMAS DE INFORMACIN

Y
SISTEMAS INFORMTICOS








SISTEMA DE INFORMACIN: (SI) es un conjunto de elementos organizados, relacionados y
coordinados entre s, encargados de facilitar el funcionamiento global de una empresa o
de cualquier otra actividad humana para conseguir sus objetivos.
Estos elementos son:


Descripcin:
Recursos. Pueden ser fsicos, como computadores, componentes, perifricos y
conexiones, recursos no informticos; y lgicos, como sistemas operativos y aplicaciones
informticas.
Equipo humano. Compuesto por las personas que trabajan para la empresa
Informacin. Conjunto de datos organizados que tienen un significado. La informacin
puede estar contenida en cualquier tipo de soporte.
Actividades que se realizan en la organizacin, relacionadas o no con la informtica




SISTEMA INFORMATICOS: Un sistema informtico est constituido por un conjunto de
elementos fsicos (hardware, dispositivos, perifricos conexiones), lgicos (sistemas
operativos, aplicaciones, protocolos, etc.) y con frecuencia se incluye tambin los
elementos humanos (personas experto que maneja el software y el hardware).



Un sistema informtico puede ser un subconjunto del sistema de informacin, pero en
principio un sistema de informacin no tiene por qu contener elementos informticos,
aunque en la actualidad es difcil imaginar cualquier actividad humana en la que no se
utilice la informtica. A lo largo de este libro estudiaremos la seguridad en los sistemas de
informacin, en general y en los sistemas informticos, en particular, como parte de
aquellos.





RETROALIMENTACION
SEGURIDAD
1.- SEGURIDAD INFORMATICA:
La seguridad informtica es la disciplina que se ocupa de disear las normas,
procedimientos, mtodos y tcnicas destinados a conseguir un sistema de informacin
seguro y confiable.
Un sistema informacin, no obstante las medidas de seguridad que se le apliquen, no deja
de tener siempre un margen de riesgo.
Para afrontar el establecimiento de un sistema de seguridad en necesario conocer :
Cules son los elementos que componen un sistema: Esta informacin se obtiene
mediante entrevista con los responsables o directivos de la organizacin para la que se
hace estudio de riesgo y mediante apreciacin directa.
Cules con los peligros que afectan al sistema, accidentales o provocados. Se deducen
tanto de los datos aportados por la organizacin como por el estudio directo del sistema
mediante la realizacin de pruebas y muestreos sobre el mismo.
Cules son las medidas que deberan adoptarse para conocer, prevenir impedir, reducir o
controlar los riesgos potenciales. Se trata de decidir cules sern los servicios y
mecanismos de seguridad que reduciran los riesgos al mximo posible.
Tras el estudio de riesgos y la implementacin de medidas, debe hacerse un seguimiento
peridico, revisando y actualizando las medidas adoptadas.
Todos los elementos que participan en un sistema de informacin pueden verse afectado
por fallos de seguridad, si bien se suele considerar la informacin como el factor ms
vulnerable. El hardware y otros elementos fsicos se pueden volver a comparar o
restaurar, el software puede volver hacer reinstalado, pero la informacin daada no
siempre es recuperable, lo que puede causar daos de diversa ndole sobre la economa y
la imagen de la organizacin y, a veces tambin causar perjuicios a personas. Otros
aspectos a tener en cuenta es que la mayora de los fallos de seguridad se deben al factor
humano.



1.1 TIPO DE SEGURIDAD
1.1.1 Activa:
Es un conjunto de defensas o medidas cuyo objetivo es evitar o reducir los riesgos que
amenazan al sistema.
Ejemplo:
Impedir el acceso a la informacin a usuarios no autorizados mediante el uso de nombre
usuario y contraseas; evitar la entrada de virus instalando un antivirus; impedir mediante
encriptacin la lectura no autorizada de mensajes

1.1.2 Pasiva
Est formada por las medidas que se implementan para, una vez producido el incidente de
seguridad, minimizar su repercusin y facilitar su recuperacin del sistema; por ejemplo
teniendo siempre al da copias de seguridad de datos.

1.2 PROPIEDADES DE UN SISTEMA DE INFORMACIN SEGURO
Los daos producidos por falta de seguridad pueden causar prdidas econmicas o
credibilidad y prestigio de la empresa.
Su origen puede ser:
1.2.1 Fortuito. Errores cometidos accidentalmente por los usuarios, accidentes, cortes de
fluido electrnico, problemas del sistema, catstrofes naturales.
1.2.2 Fraudulento. Daos causados por el software malicioso, intrusos o por la mala
voluntad de algn miembro del personal con acceso al sistema, robo o accidentes
provocados.





1.2.2.1 Delito Informtico:
Un delito Informtico es aquel que est relacionado directamente o indirectamente con
un medio informtico. Como medio informtico nos referimos al hardware
(computadores, redes de comunicaciones, dispositivos de entrada y salida de datos, etc) al
software (tratamiento de texto, programas, sistemas operativos) y a los datos que se
generan y almacenan.
Delito significa un acto deliberado realizado con la intencin especfica de perjudicar a
una persona o empresa y, a veces, proporcionar un beneficio ilegitimo a quien lo realiza
El concepto de delito informtico es ambiguo ya que se puede referir a:
Delitos que recaen sobre objetos pertenecientes al mundo de la informtica:
destruccin o substraccin de programas o material; alteracin, destruccin o
reproduccin de datos almacenados; utilizacin indebida de los computadores.
Delitos ms variados y tradicionales en los cuales la informtica no es el objeto
sino el medio para cometerlos: delito contra la intimidad , contra el patrimonio
contra la administracin pblica, contra la seguridad nacional.

Fraude informtico:
Delito informtico realizado con intencin de engaar o perjudicar a una persona o
empresa ilegitimo a quien lo realiza.

Caracterstica del fraude:
Las caractersticas del fraude son las siguientes:
El fraude es una accin deliberada de manipulacin de datos: en la entrada, en el
programa o en salida de datos.
El fraude puede producirse en cualquiera de las fases de tratamiento o
procesamiento informtico de datos
El objetivo es obtener un beneficio econmico
El fraude se realiza en contra de una empresa o persona
El medio informtico est involucrado directa o indirectamente

Fuentes de Fraudes:
En la siguiente figura podemos ver la procedencia de las personas que realizan fraude:


Fraude interno: originado por componentes de la propia empresa. Puede ser grave ay que
es realizado por personas que conocen muy bien la funcin informtica.
Fraude por colusin: Originado por personas de la empresa y personas externas, en
asociaciones.
Fraude externo: Originado por personas no pertenecientes a la empresa.






Plan de Seguridad:
Cuando los objetivos estn bien definidos se tiene que disear un plan de seguridad con la
ayuda de expertos externos a la empresa. El plan debe ser elaborado por el departamento
de informtica y sometido a la direccin para su aprobacin.
El plan de seguridad debe contemplar tanto los aspectos de seguridad fsica como la
seguridad lgica englobada al conjunto de equipos, instalaciones y medios fsicos
La seguridad lgica engloba la seguridad de aplicaciones y programas , informaciones y
ficheros, usuarios y personas implicadas


Se considera seguro un sistema que cumple con las propiedades de Integridad,
confiabilidad y disponibilidad de la informacin. Cada una de estas estas propiedades
conlleva la implementacin de determinados servicios y mecanismos de seguridad.


Integridad
Este principio garantiza la autenticidad y precisin de la informacin sin importar el
momento en que esta se solicita, o dicho de otra manera una garanta de que los datos
no han sido alterados ni destruidos de modo no autorizado.
Para evitar este tipo de riesgo se debe dotar al sistema de mecanismos que prevengan y
detecten cuando se produce un fallo de integridad y que puedan tratar y resolver los
errores que se han descubierto.

Confiabilidad / Confidencialidad
La OCDE (Organizacin para la Cooperacin y el Desarrollo Econmico), en sus Directrices
para la Seguridad de los Sistemas de Informacin define la confidencialidad como el
hecho de que los datos o informaciones estn nicamente al alcance del conocimiento de
las personas, entidades o mecanismos autorizados, en los momentos autorizados y de una
manera autorizada
Para provenir errores en esta propiedad debe disearse un control de acceso al sistema:
quien puede acceder, a que parte del sistema, en que momento y para realizar qu tipo
de operaciones.


Disponibilidad
La informacin ha de estar disponible para los usuarios autorizados cuando la necesiten.
Para prevenir y proteger la informacin de deben aplicar medidas que protjanla
informacin, as como crear copias de seguridad y mecanismo para restaurar los datos
que accidental o intencionadamente se hubiesen daado o destruidos.


























CONTROL DE ACCESO










Cracking
"Este mtodo (usualmente denominado cracking), comprende la obtencin "por fuerza
bruta" de aquellas claves que permiten ingresar a servidores, aplicaciones, cuentas, etc.
Muchas passwords de acceso son obtenidas fcilmente porque involucran el nombre u
otro dato familiar del usuario, que adems nunca la cambia.
En este caso el ataque se simplifica e involucra algn tiempo de prueba y error. Otras
veces se realizan ataques sistemticos (incluso con varias computadoras a la vez) con la
ayuda de programas especiales y "diccionarios" que prueban millones de posibles claves
hasta encontrar la password correcta.
Por ser el uso de passwords la herramienta de seguridad ms cercana a los usuarios, es
aqu donde hay que poner nfasis en la parte "humana" con polticas claras.
No muchas organizaciones estn exentas de mostrar passwords escritas y pegadas en la
base del monitor de sus usuarios, u obtenerlas simplemente preguntando al responsable
de cualquier PC, cul es su password."

Lo descripto anteriormente muestra la ingenuidad de muchos usuarios y empresas cuando
se trata de identificacin y autenticacin de Usuarios.
Por todos estos motivos hay que establecer polticas de identificacin y autenticacin
restrictivas y pactadas, para poder establecer accesos seguros en tiempo y forma.
Para entender de donde nacen estos con conceptos debemos conocer lo que es Control
de Acceso.





Control de Acceso. Es el proceso de conceder permisos a usuarios o grupos de acceder a
objetos tales como ficheros o impresoras en la red. El control de acceso est basado en
tres conceptos fundamentales: identificacin, autenticacin y autorizacin.

En trminos tcnicos o lgicos el acceso es la interaccin entre un sujeto y un objeto que
resulta en un flujo de informacin de uno al otro. El sujeto es la entidad que recibe o
modifica la informacin o los datos contenidos en los objetos, puede ser un usuario,
programa, proceso, etc. Un objeto es la entidad que provee o contiene la informacin o
los datos, puede ser un fichero, una base de datos, una computadora, un programa, una
impresora o un dispositivo de almacenamiento.

Incluye autenticar la identidad de los usuarios o grupos y autorizar el acceso a datos o
recursos. Los controles de accesos son necesarios para proteger la confidencialidad,
integridad y disponibilidad de los objetos, y por extensin de la informacin que
contienen, pues permiten que los usuarios autorizados accedan solo a los recursos que
ellos quieren para realizar sus tareas.
Identificacin es la accin por parte de un usuario de presentar su identidad a un sistema,
usualmente se usa un identificador de usuario. Establece que el usuario es responsable de
las acciones que lleve a cabo en el sistema. Esto est relacionado con los registros de
auditoras que permiten guardar las acciones realizadas dentro del sistema y rastrearlas
hasta el usuario autenticado.
Autenticacin es la verificacin de que el usuario que trate de identificarse es vlido,
usualmente se implementa con una contrasea en el momento de iniciar una seccin.
Existen 4 tipos de tcnicas que permiten realizar la autenticacin de la identidad del
usuario, las cuales pueden ser utilizadas individualmente o combinadas (Autenticacin de
varios factores):
Algo que solamente el individuo conoce: ejemplo una contrasea.
Algo que una persona posee: ejemplo una tarjeta magntica.
Algo que el individuo es y que lo identifica unvocadamente: ejemplo las huellas
digitales.
Algo que solamente el individuo es capaz de hacer: ejemplo los patrones de
escritura.

Sistemas basados en algo conocido: contrasea
Las contraseas crean una seguridad contra los usuarios no autorizados, el sistema de
seguridad solo puede confirmar que la contrasea es vlida, y si no el usuario est
autorizado a utilizar esa contrasea. Es la razn por la que normalmente deben
mantenerse en secreto ante aquellos a quien no se le permite el acceso.
La seguridad de las contraseas se ve afectadas por diversos factores:
Fortaleza de la contrasea: deben ser largas, normalmente ms de 7 caracteres, y se
deben usar combinaciones de letras maysculas y minsculas, nmeros y smbolos.
Forma de almacenar las contraseas: se debe usar un algoritmo criptogrfico irreversible
(u funcin resumen), los ms comunes son MD5 y SHA1.
Mtodo de retransmisin de la contrasea: Deben ser transmitida mediante algn
mtodo criptogrfico, en el caso de las redes locales se usa con mucha frecuencia
Kerberos.
Longevidad de la contrasea deben ser cambiada con cierta periodicidad.

Sistemas de auntenticacin biomtrica
Estos sistemas son ms amigables para el usuario, no va a necesitar recordar contraseas
o nmeros de identificacin complejos, y como se suele decir, el usuario puede olvidar
una tarjeta de identificacin, pero nunca olvidar una parte de su cuerpo. Son mucho ms
difciles de falsificar que una simple contrasea o una tarjeta magntica.
Se clasifican:
Fisiolgicos: huella dactilar, iris, retina, cara, geomtrica de la mano, huella palmar,
estructuras de las venas, estructura de la oreja, termografa facial.
Conductuales: Voz, escritura, firma manuscrita, modo de teclear, modo de andar.




CONCEPTOS :
MTA
Un Agente de Transporte de Correo (MTA, del ingls Mail Transport Agent) es
indispensable para enviar correos electrnicos. Se usan Agentes de correo de usuario
(MUA) tales como Evolution, Mozilla Mail y Mutt, para leer y escribir correos. Cuando un
usuario envia un email desde un MUA, los mensajes se entregan al MTA, que los enva a
una serie de MTAs hasta que llegan a su destino.

Si un usuario no tiene previsto enviar un email desde el sistema, algunas tareas
automatizadas o programas del sistema usarn el comando /bin/mail para enviar un
correo que contenga mensajes de registro para el usuario root del sistema local.

Red Hat Enterprise Linux 3 tiene dos MTAs: Sendmail y Postfix. Si ambos estn instalados,
sendmail es el MTA predeterminado. El Conmutador de agente de transporte de correo
permite a un usuario seleccionar sendmail o postfix como el MTA predeterminado para el
sistema.

TELNET
Telnet (Telecommunication Network) es el nombre de un protocolo de red que nos
permite viajar a otra mquina para manejarla remotamente como si estuviramos
sentados delante de ella. Tambin es el nombre del programa informtico que
implementa el cliente. Para que la conexin funcione, como en todos los servicios de
Internet, la mquina a la que se acceda debe tener un programa especial que reciba y
gestione las conexiones. El puerto que se utiliza generalmente es el 23.





SOFTWARE VISTOS HASTA HORA.

Herramientas de Integridad:
System File Checker (SFC) es una utilidad de Microsoft Windows que permite a los
usuarios escanear y restaurar de corrupciones en los archivos del sistema de Windows.
Para poder utilizar sfc /scannow seguimos las instrucciones que se detallan a
continuacin:

Nos desplazamos hasta el men Inicio.

Presionamos sobre "Ejecutar" y en la ventana que se presenta, ingresamos el siguiente
texto: "cmd" (sin las comillas).

Cuando se ejecute la ventana de la consola, escribimos "sfc /scannow" (sin las comillas).

A partir de este momento debemos seguir las instrucciones brindadas por el programa.




Tripwire: Es un programa de computador basado en Open Source consistente en una
herramienta de seguridad e integridad de datos. Es til para monitorizar y alertar de
cambios en los ficheros de un sistema de ficheros.

Instalar tripwire
sudo apt-get install tripwire












Generamos la base de datos
sudo tripwire -m i 2> informe.txt
sudo tripwire --check


Software de proteccin login sin autorizacin:
SSH (Secure SHell)

Es el nombre de un protocolo y del programa que lo implementa, y sirve para acceder a
mquinas remotas a travs de una red. Permite manejar por completo la computadora
mediante un intrprete de comandos.

SSH trabaja de forma similar a como se hace con telnet. La diferencia principal es que SSH
usa tcnicas de cifrado que hacen que la informacin que viaja por el medio de
comunicacin vaya de manera no legible y ninguna tercera persona pueda descubrir el
usuario y contrasea de la conexin ni lo que se escribe durante toda la sesin.

Ahora entiendo que mediante el protocolo ssh, se puede obtener el completo manejo de
una mquina, muchos intentarn robar su contrasea, mediante varios mtodos, donde
los ms comunes son

Ataque de fuerza bruta
En criptografa, se denomina ataque de fuerza bruta a la forma de recuperar una clave
probando todas las combinaciones posibles hasta encontrar aquella que permite el
acceso.

Ataque de diccionario
Un ataque de diccionario es un mtodo de cracking que consiste en intentar con un
listado de palabras, probndolas todas hasta dar con la contrasea o password. Un ataque
de diccionario suele ser ms eficiente que un ataque de fuerza bruta ya que los usuarios
suelen utilizar contraseas dbiles. Tienen pocas probabilidades de xito con sistemas que
utilizan contraseas fuertes con letras en maysculas y minsculas mezcladas con
nmeros.
Existen variantes que comprueban tambin algunas de las tpicas sustituciones
(determinadas letras por nmeros, intercambio de dos letras, abreviaciones) as como
distintas combinaciones de maysculas y minsculas.


En sntesis, dado lo valioso y provechoso de tener acceso ssh a una mquina, muchas
personas utilizarn varios mtodos para hacerse con acceso a su mquina probando
diferentes usuarios y miles de combinaciones de contraseas.


Como se 've' un ataque ssh
Realizando un anlisis en el archivo auth.log
Vemos una entrada como la siguiente
Apr 7 17:30:08 servidor sshd[90935]: Invalid user dvp from 59.36.99.246
Apr 7 17:30:11 servidor sshd[90937]: Invalid user cvp from 59.36.99.246
Apr 7 17:30:14 servidor sshd[90940]: User root from 59.36.99.246

Archivo etc/hosts.deny
# etc/hosts.allow
# To block an address, use rule "ALL: [IP-ADDRESS]: DENY
# For example (without the #):
# ALL: 10.2.2.12: DENY
#
# THE LAST ROW MUST BE (again without the #):
# ALL: ALL: ALLOW
ALL: 203.250.135.138: DENY
ALL: 212.121.233.157: DENY
ALL: 221.194.128.66: DENY
ALL: 121.254.228.21: DENY
ALL: 144.16.70.65: DENY
ALL: 62.14.231.58: DENY

Evidentemente se trata de un ataque porque
Esta intentando ingresar como root
Es una direccin IP desconocida
Trata de realizar conexiones con diferentes nombres de usuarios

Qu es DenyHosts

Es un programa o script escrito en lenguaje de programacin python y su funcin es
prevenir el ataque a el servicio o demonio SSH por mtodos como fuerza bruta o
diccionario.

Muy importante mencionar que DenyHosts NO ES UN FIREWALL o CORTA FUEGOS, ya que
nicamente protege el servicio o demonio SSH, SIEMPRE debe de acompaarse de un
firewall.

Requerimientos
Python v2.3 o una versin superior
Un servidor sshd con soporte para tcp_wrappers habilitado

Instalacin

Para la instalacin y configuracin vamos a indicar los pasos necesarios tanto para Freebsd
como para Gnu/Linux Debian.
En Freebsd
Actualizar el rbol de ports
Instalar el port ports/security/denyhosts (make install clean)
En Gnu/Linux Debian
Actualizar la lista de paquetes (apt-get update)
Instalar DenyHosts (apt-get install denyhosts)

Configuracin de DenyHosts
sudo nano /etc/denyhosts.conf

Editando el archivo de configuracin de DenyHosts

Dependiendo del Sistema operativo que se utilice, la ubicacin del archivo de
configuracin de DenyHosts, varia.

SO Ubicacin
Freebsd /usr/local/etc/denyhosts.conf
Gnu/Linux Debian /etc/denyhosts.conf
CentOS /usr/share/denyhosts/denyhosts.cfg

Los primeros parmetros del archivo son la ubicacin del archivo que contiene la
informacin de los accesos ssh y la ubicacin del archivo que contiene las direcciones ip de
las mquinas que no deben tener acceso,los cuales varan segn el Sistema Operativo que
se utilice, para lo cual el archivo de configuracin trae las opciones para cada uno de ellos.

Solo se comentarn los cambios que se le hicieron a el archivo, sintase en la libertad de
modificar el archivo a sus necesidades, cada parmetro del archivo esta internamente
documentado

# Lugar donde se encuentra nuestro archivo de Log, en este caso para Debian
SECURE_LOG = /var/log/auth.log
# Lugar donde se encuentra nuestro archivo de bloqueo de hosts
HOSTS_DENY = /etc/hosts.deny
# Periodo en el que la IP va a ser eliminada de la lista de bloqueo, puede ser en hora (h),
dias (d)
PURGE_DENY = 12h
# Cual servicio queremos que sea bloqueado, puede ser sshd, o ALL para todos
BLOCK_SERVICE = ALL
# Numero de veces de error cuando se ingresa con un usuario NO existente
DENY_THRESHOLD_INVALID = 2
# Numero de veces de error con un usuario SI existente en el sistema
DENY_THRESHOLD_VALID = 10
# Numero de veces de error con el usuario ROOT
DENY_THRESHOLD_ROOT = 2
DENY_THRESHOLD_RESTRICTED = 1
WORK_DIR = /var/lib/denyhosts
# Reportar entradas sospechosas
SUSPICIOUS_LOGIN_REPORT_ALLOWED_HOSTS=YES
# Buscar el nombre del host del atacante si este esta disponible
HOSTNAME_LOOKUP=YES
LOCK_FILE = /var/run/denyhosts.pid
# Email para notificar los bloqueos
ADMIN_EMAIL = cliente_at_servidor_dot_com
SMTP_HOST = localhost
SMTP_PORT = 25
SMTP_FROM = DenyHosts
SMTP_SUBJECT = DenyHosts Reporte
SMTP_DATE_FORMAT = %a, %d %b %Y %H:%M:%S %z
AGE_RESET_VALID=5d
AGE_RESET_ROOT=25d
AGE_RESET_RESTRICTED=25d
AGE_RESET_INVALID=10d
DAEMON_LOG = /var/log/denyhosts
DAEMON_SLEEP = 30s
DAEMON_PURGE = 1h

# /etc/init.d/denyhosts restart/stop/start (reiniciar/parar/arrancar)