Sabotaje en los sistemas de información, por Carlos Serrano, profesor de la Universidad de Zaragoza (España)

Riesgos y seguridad
I Posibles riesgos
Sabotaje

1) Problema

El sabotaje puede afectar a la información o destruir los equipos.

Ojo, no nos miren lo que hacemos
Con un programa de control remoto como VNC que está explicado en el siguiente Tutorial de control remoto con VNC nos pueden mirar lo que hacemos... sin que nos enteremos.

VNC es un programa que permite el control remoto de equipos, pensado por lo tanto para administrar un servidor sin necesidad de desplazarse al local donde está situado, una empresa de informática que repara el ordenador del cliente a distancia, acceder al ordenador del despacho desde casa, etc. Pero puede utilizarse de forma perversa para controlar o mirar lo que pasa en un equipo. Es gratis, su instalación es muy sencilla y funciona en Windows.

Otro programa similar es Specrem (http://www.htk.fi/public/akirjavainen) gratis que permite controlar el ordenador a distancia, a través de una conexión a internet. Specrem tiene un sistema de restricción de IP para evitar accesos no autorizados.

¡Ojo con las contraseñas ocultas con asteriscos!

Numerosos programas o páginas web ofrecen la posibilidad de guardar las contraseñas que necesitamos usar con frecuencia, como la de inicio de sesión o la del e-mail. Como ya no necesitamos escribirlas, las contraseñas tienden a olvidarse con una gran facilidad. La contraseña se esconde bajo una línea de asteriscos. En la imagen de la izquierda vemos un ejemplo de esta sitiación: hemos utilizado el programa de Transferencia de ficheros FTP y el password se oculta tras 4 asteriscos ****. Hay programas de ordenador como StarPW Revealer (http://www.spwr.main-page.com) que con sólo "drag and drop" (arrastrar) el icono del programa por encima de la misma revela la contraseña. Es gratis.

Ejercicio: instale el programa y compruebe como detecta una contraseña oculta en el programa WS_FTP.

2) Medidas de seguridad

Como medida de seguridad activa para evitar el sabotaje, se puede restringir el acceso físico a los equipos o los cortafuegos.

Para evitar el sabotaje a la información nuevamente asignar los permisos adecuados de acceso a los ficheros y utilizar programas de bloqueo cuando el ordenador quede desatendido.

2) Registro de uso y auditoría

Como medida de seguridad pasiva cabe consultar los registros de auditoría.

En la imagen de la izquierda vemos un ejemplo de uno de estos ficheros .log que recoge los accesos vía FTP al servidor ftp://ciberconta.unizar.es

Como puede apreciarse queda constancia de l adirección IP desde donde se conectan, el nombre de usuario (juan), la fecha y hora y la acción que ha realizado (borrar un fichero).

Con todos estos datos, el administrador puede posteriormente estudiar estadísticamente los intentos de intrusión al sistema o las pistas dejadas por un atacante.

El cortafuegos constituye un buen lugar donde recopilar información sobre el uso de la red. El cortafuegos puede registrar toda la actividad entre la red exterior y la interior.

Software para auditar estos ficheros .log
Hay programas que procesan de forma automática los logs de un sistema, incluso en tiempo real y avisan cuando surge una incidencia. Por ejemplo, LogSentry de Psionic (http://www.psionic.com/products/logsentry.html), antes llamado Logcheck™ que es gratis.

Por ejemplo, detecta si alguien se equivoca dos veces al introducir una contraseña y envía un aviso al administrador. En la tabla de abajo vemos uno de estos informes recibido por correo electrónico (http://www.psionic.com/products/logsentrysample.html).

LogSentry Sample Report

Date: Sat, 2 Nov 1996 13:52:58 -0500
From: "Craig H. Rowland"
To: root@psionic.com
Subject: nemesis.psionic.com 11/02/96:13.52 system check

Security Violations
=-=-=-=-=-=-=-=-=-=
Nov 2 13:50:23 nemesis su: 'su' failed for crowland on /dev/ttyp6
Nov 2 13:50:35 nemesis login: LOGIN FAILURE ON /dev/ttyp5 FROM localhost, crowland
Nov 2 13:50:43 nemesis login: LOGIN FAILURE ON /dev/ttyp5 FROM localhost, adm
Nov 2 13:50:46 nemesis login: LOGIN FAILURE ON /dev/ttyp5 FROM localhost, uucp
Nov 2 13:50:48 nemesis login: LOGIN FAILURE ON /dev/ttyp5 FROM localhost, root
Nov 2 13:56:44 nemesis netacl[25785]: deny host=blast.psionic.com/206.161.70.238 service=ipop3d

Unusual System Events
=-=-=-=-=-=-=-=-=-=-=
Nov 2 13:50:23 nemesis su: 'su' failed for crowland on /dev/ttyp6
Nov 2 13:50:35 nemesis login: LOGIN FAILURE ON /dev/ttyp5 FROM localhost, crowland
Nov 2 13:50:43 nemesis login: LOGIN FAILURE ON /dev/ttyp5 FROM localhost, adm
Nov 2 13:50:46 nemesis login: LOGIN FAILURE ON /dev/ttyp5 FROM localhost, uucp
Nov 2 13:50:48 nemesis login: LOGIN FAILURE ON /dev/ttyp5 FROM localhost, root
Nov 2 13:52:34 nemesis sshd[25715]: log: Connection from 206.161.70.238 port 4839
Nov 2 13:52:39 nemesis sshd[25715]: fatal: Connection closed by remote host.
Nov 2 13:52:40 nemesis sshd[25717]: log: Connection from 206.161.70.238 port 4840
Nov 2 13:52:44 nemesis sshd[25717]: log: Password authentication for crowland accepted.
Nov 2 13:52:48 nemesis sshd[25717]: log: Closing connection to 206.161.70.238
Nov 2 13:56:44 nemesis netacl[25785]: deny host=blast.psionic.com/206.161.70.238 service=ipop3d

Citar como: Serrano Cinca C. (2003): "Riesgos y seguridad en los sistemas de información", [en línea] 5campus.org, Sistemas Informativos Contables <http://www.5campus.org/leccion/buscar> [y añadir fecha consulta]	[Índice]