>Qué hacer cuando nuestra política de seguridad ha sido violada? La
respuesta a esta pregunta depende completamente del tipo de violación que se
haya producido, de su gravedad, de quién la haya provocado, de su
intención...Si se trata de accidentes o de problemas poco importantes
suele ser suficiente con una reprimenda verbal o una advertencia; si ha sido
un hecho provocado, quizás es conveniente emprender acciones algo más
convincentes, como la clausura de las cuentas de forma temporal o pequeñas
sanciones administrativas. En el caso de problemas graves que hayan sido
intencionados interesará emprender acciones más duras, como cargos legales
o sanciones administrativas firmes (por ejemplo, la expulsión de una
universidad).
Una gran limitación que nos va a afectar mucho es la situación de la
persona o personas causantes de la violación con respecto a la organización
que la ha sufrido. En estos casos se suele diferenciar entre usuarios internos
o locales, que son aquellos pertenecientes a la propia organización, y
externos, los que no están relacionados directamente con la misma; las
diferencias entre ellos son los límites de red, los administrativos, los
legales o los políticos. Evidentemente es mucho más fácil buscar
responsabilidades ante una violación de la seguridad entre los usuarios
internos, ya sea contra la propia organización o contra otra, pero utilizando
los recursos de la nuestra; cuando estos casos se dan en redes de I+D,
generalmente ni siquiera es necesario llevar el caso ante la justicia, basta
con la aplicación de ciertas normas sobre el usuario problemático (desde
una sanción hasta la expulsión o despido de la organización).
Existen dos estrategias de respuesta ante un incidente de seguridad
([SH95]):
- Proteger y proceder.
- Perseguir y procesar.
La primera de estas estrategias, proteger y proceder, se suele aplicar cuando
la organización es muy vulnerable o el nivel de los atacantes es elevado; la
filosofía es proteger de manera inmediata la red y los sistemas y restaurar
su estado normal, de forma que los usuarios puedan seguir trabajando
normalmente. Seguramente será necesario interferir de forma activa las
acciones del intruso para evitar más accesos, y analizar el daño causado. La
principal desventaja de esta estrategia es que el atacante se da cuenta
rápidamente de que ha sido descubierto, y puede emprender acciones para ser
identificado, lo que incluso conduce al borrado de logs o de sistemas
de ficheros completos; incluso puede cambiar su estrategia de ataque a un
nuevo método, y seguir comprometiendo al sistema. Sin embargo, esta estrategia
también presenta una parte positiva: el bajo nivel de conocimientos de los
atacantes en sistemas habituales hace que en muchas ocasiones se limiten a
abandonar su ataque y dedicarse a probar suerte con otros sistemas menos
protegidos en otras organizaciones.
La segunda estrategia de respuesta, perseguir y procesar, adopta la
filosofía de permitir al atacante proseguir sus actividades, pero de forma
controlada y observada por los administradores, de la forma más discreta
posible. Con esto, se intentan guardar pruebas para ser utilizadas en la
segunda parte de la estrategia, la de acusación y procesamiento del
atacante (ya sea ante la justicia o ante los responsables de la organización,
si se trata de usuarios internos). Evidentemente corremos el peligro de que
el intruso descubra su monitorización y destruya completamente el sistema,
así como que nuestros resultados no se tengan en cuenta ante un tribunal
debido a las artimañas legales que algunos abogados aprovechan; la parte
positiva de esta estrategia es, aparte de la recolección de pruebas, que
permite a los responsables conocer las actividades del atacante, qué
vulnerabilidades de nuestra organización ha aprovechado para atacarla, cómo
se comporta una vez dentro, etc. De esta forma podemos aprovechar el ataque
para reforzar los puntos débiles de nuestros sistemas.
A nadie se le escapan los enormes peligros que entraña el permitir a un
atacante proseguir con sus actividades dentro de las máquinas; por muy
controladas que estén, en cualquier momento casi nada puede evitar que la
persona se sienta vigilada, se ponga nerviosa y destruya completamente nuestros
datos. Una forma de monitorizar sus actividades sin comprometer excesivamente
nuestra integridad es mediante un proceso denominado jailing o
encarcelamiento: la idea es construir un sistema que simule al real, pero donde
no se encuentren datos importantes, y que permita observar al atacante sin
poner en peligro los sistemas reales. Para ello se utiliza una máquina,
denominada sistema de sacrificio, que es donde el atacante realmente
trabaja, y un segundo sistema, denominado de observación, conectado al
anterior y que permite analizar todo lo que esa persona está llevando a cabo.
De esta forma conseguimos que el atacante piense que su intrusión ha tenido
éxito y continue con ella mientras lo monitorizamos y recopilamos pruebas
para presentar en una posible demanda o acusación. Si deseamos construir
una cárcel es necesario que dispongamos de unos conocimientos medios o
elevados de programación de sistemas; utilidades como chroot() nos
pueden ser de gran ayuda, así como software de simulación como
Deception Tookit (DTK), que simula el éxito de un ataque ante el pirata
que lo lanza, pero que realmente nos está informa del intento de violación
producido.
Sin importar la estrategia adoptada ante un ataque, siempre es recomendable
ponerse en contacto con entidades externas a nuestra organización, incluyendo
por ejemplo fuerzas de seguridad (en España, Guardia Civil o Policía
Nacional), gabinetes jurídicos o equipos de expertos en seguridad
informática, como el CERT. En el caso de instituciones de I+D, en España
existe IrisCERT (http://www.rediris.es/cert/), el equipo de respuesta
ante emergencias de seguridad de RedIRIS, la red universitaria española.
© 2002 Antonio Villalón Huerta