A la vista de lo comentado en el primer punto, parece claro que la seguridad de
los equipos Unix ha de ser algo a considerar en cualquier red. Diariamente
por cualquiera de ellas circulan todo tipo de datos, entre ellos muchos que se
podrían catalogar como confidenciales (nóminas, expedientes,
presupuestos...) o al menos
como privados (correo electrónico, proyectos de investigación,
artículos a punto de ser publicados...). Independientemente de la
etiqueta que cada
usuario de la red quiera colgarle a sus datos, parece claro que un fallo de
seguridad de un equipo Unix o de la propia red no beneficia a nadie, y mucho
menos a la imagen de nuestra organización. Y ya no se
trata simplemente de una cuestión de imagen: según el Computer
Security Institute, en su encuesta de 1998, las pérdidas económicas
ocasionadas por delitos relacionados con nuevas tecnologías
(principalmente accesos internos no autorizados) sólo en
Estados Unidos ascienden anualmente a más 20.000 millones de pesetas, cifra
que cada año se incrementa en más del 35%; los delitos informáticos
en general aumentan también de forma espectacular año tras año, alcanzando
incluso cotas del 800% ([Caj82]).
A lo largo de este trabajo se va a intentar hacer un repaso de los puntos
habituales referentes a seguridad en Unix y redes de computadores (problemas,
ataques, defensas...), aplicando el estudio a entornos con requisitos de
seguridad medios (universidades, empresas, proveedores de acceso a
Internet...); de esta forma se ofrecerá una perspectiva general de la
seguridad en
entornos Unix, el funcionamiento de sus mecanismos, y su correcta utilización.
También se hablará, en menor medida, sobre temas menos técnicos
pero que también afectan directamente a la seguridad informática, como
puedan ser el problema del personal o la legislación vigente.
El objetivo final de este proyecto sería marcar unas pautas para
conseguir un nivel de seguridad aceptable en los sistemas Unix conectados
en cualquier red,
entendiendo por `aceptable' un nivel de protección suficiente para que la
mayoría de potenciales intrusos interesados en los equipos de nuestra
organización fracasara ante un ataque contra los mismos. Obviamente, es
imposible garantizar una plena seguridad ante cualquier atacante: seguramente
un pirata experimentado, con el tiempo suficiente, pagado, o simplemente muy
interesado en uno de nuestros equipos, no tendría muchos problemas en
acceder a él. Este hecho, aunque preocupante, es casi inevitable; lo evitable
es que cualquier persona sea capaz de atacar con éxito un equipo simplemente
por haber visto una película, descargado un par de páginas web y
ejecutado un programa que ni ha hecho ni entiende.
Por supuesto, este proyecto no pretende ser en ningún momento una ayuda
para la gente que esté interesada en atacar máquinas Unix o subredes
completas, ni tampoco una invitación a hacerlo.
Aunque por su naturaleza la información aquí presentada
puede ser utilizada para dañar sistemas informáticos (como cualquier
información sobre seguridad informática), no es ese su
propósito sino, como hemos dicho, incrementar la seguridad de los sistemas
Unix y las redes en las que éstos se ubican. Por tanto va a intentar estar
escrito de forma que no
se pueda utilizar fácilmente como una `receta de cocina' para crackers; si alguien quiere un documento sobre cómo atacar
sistemas, puede dejar de leer este trabajo y buscar en Internet información
sobre ese tema. Conseguir romper la seguridad de un sistema de forma no
autorizada
es, en la mayoría de los casos, un símbolo de inmadurez, y por
supuesto ni denota inteligencia ni unos excesivos conocimientos: si alguien se
considera superior por acceder ilegalmente a una máquina utilizando un
programa que ni ha hecho ni es capaz de entender, que revise
sus principios, y si tras hacerlo aún piensa lo mismo, que dedique
su inteligencia y sus conocimientos a tareas que ayuden a
incrementar la seguridad, como la construcción de sistemas de autenticación
fiables y baratos o el diseño de nuevos criptosistemas seguros. Eso es seguridad informática, y no lo que habitualmente se nos quiere hacer
creer: la seguridad informática no consiste en conocerse todos los bugs
de un sistema operativo, con sus correspondientes exploits ni en jugar
a superjakers en canales de IRC. Lamentablemente, este es
el panorama de la seguridad más visible en España en la actualidad;
esperemos que algún día cambie.
© 2002 Antonio Villalón Huerta
