PDF de programación - Sistemas Operativos II - Tema 4

Sistemas Operativos II

T EM A 4

Contenido

4.1. Introducción
4.2. Seguridad

4.2.1. Tipos de Amenazas
4.2.2. Ataques Genéricos a la Seguridad
4.2.3. Principios de Diseño para la Seguridad
4.2.4. Autentificación de los Usuarios
4.2.5. Amenazas de Origen Software

4.3. Protección

4.3.1. Dominios de Protección
4.3.2. Listas de Control de Acceso
4.3.3. Capacidades
4.3.4. Caso de Estudio: Windows NT

4.4. Referencias

Sistemas Operativos II

TEMA 4

SEGURIDAD Y PROTECCIÓN

4.1. Introducción
Los términos "seguridad" y "protección" se suelen considerar como sinónimos, pero se puede hacer una
distinción entre ambos. La seguridad comprende toda la problemática relacionada con hacer que los
ficheros no puedan ser leídos o escritos por ninguna persona no autorizada, e incluye aspectos técnicos,
administrativos, legales y políticos. Por otro lado, la protección se podría definir como el conjunto de
mecanimos específicos del sistema operativo que tienen como finalidad el proporcionar seguridad.

4.2. Seguridad
La seguridad se aplica tanto a pérdida de datos como a intrusos que intentan hacer lo que no deben.
Algunas de las causas comunes de pérdida de información son las siguientes:
• Desastres tales como incendios, terremotos, riadas, etc.
• Errores hardware o software.
• Errores humanos.
La mayoría de estos problemas se pueden solucionar realizando copias de seguridad y almacenando las
cintas en lugares físicamente lejanos a los datos originales.

Existen dos tipos de intrusos: intrusos pasivos que únicamente quieren leer información no
autorizada e intrusos activos que quieren realizar modificaciones no permitidas. Los intrusos se pueden
clasificar en las siguientes categorías:

q Usuarios no técnicos motivados por la curiosidad.
q Personal cualificado (estudiantes, programadores, técnicos, ...), que consideran un reto personal

violar la seguridad de un sistema.

q Intento de obtener beneficios económicos.
q Espionaje comercial o militar.

Obviamente, el esfuerzo dedicado a la seguridad depende del tipo de intrusión que se pretenda prevenir.

Podemos definir tres requisitos necesarios para la seguridad dentro de un sistema informático:
• Privacidad: la información debe ser accesible para lectura únicamente por las partes autorizadas.
Este tipo de acceso incluye la impresión, tanto por pantalla como impresora, e incluso la revelación
de la existencia de un determinado objeto o suceso.
Integridad: los elementos relacionados con la seguridad únicamente pueden ser modificados por las
partes autorizadas. Modificación incluye escritura, creación, cambio de estado y borrado.

•

• Disponibilidad: los elementos relacionados con la seguridad deben ser estar disponibles

únicamente a las partes autorizadas.

4.2.1. Tipos de Amenazas
Los tipos de amenazas a la seguridad de un sistema informático los podemos caracterizar teniendo en
cuenta como esta información es suministrada por el sistema. En general, hay un flujo de información de
una fuente a un destino:

_________________________________________________________________________________
___
TEMA 5. Sistemas de Ficheros

Pág. 1

Sistemas Operativos II

Fuente de
Información

Destino de la
información

Figura 1.- Flujo Normal.

Teniendo esto en cuenta, podemos señalar cuatro categorías de amenazas:

•

•

Interrupción: Un elemento del sistema es destruido o se hace inservible. Es una amenaza a la
disponibilidad. Ejemplos son la destrucción de algún elemento hardware (discos, líneas de
comunicación, etc.) y la desactivación del sistema de gestión de ficheros.

Figura 2.- Interrupción.

Intercepción: Una parte no autorizada obtiene acceso a un elemento relacionado con la seguridad.
Es una amenaza a la privacidad. La parte no autorizada puede ser una persona, un programa o un
computador. Ejemplos son la copia ilícita de programas y la visualización de ficheros que han de
permanecer ocultos.



Figura 3.- Intercepción.

• Modificación: Una parte no autorizada no sólo obtiene acceso sino que puede modificar un
elemento relacionado con la seguridad. Es una amenaza a la integridad. Ejemplos son la alteración
del contenido de un fichero y modificar un programa para que funcione de forma diferente.

Figura 4.- Modificación.

• Fabricación: Una parte no autorizada inserta nuevos elementos en el sistema. Es una amenaza a la
integridad. Ejemplos son adición de registros a un fichero y la inclusión de mensajes espúreos en
una red.

_________________________________________________________________________________
___
TEMA 5. Sistemas de Ficheros

Pág. 2

Sistemas Operativos II

Figura 5.- Fabricación.

4.2.2. Ataques Genéricos a la Seguridad
Una forma de tratar de averiguar el nivel de seguridad de un sistema es contratar a un grupo de expertos
que intenten entrar en él. Algunas de las estrategias que se pueden utilizar para comprobar el nivel de
seguridad de un sistema son las siguientes:
• Solicitar páginas de memoria o bloques de disco y leer su contenido. Si el sistema no borra la

información que contienen antes de asignarlos, pueden contener información relevante.

• Ejecutar llamadas al sistema ilegales o llamadas legales con parámetros ilegales.
•
Iniciar el programa de conexión al sistema y pulsar teclas de borrado, escape, etc.
•
Intentar modificar las estructuras del sistema que estén en el espacio de usuario.
• Engañar al usuario ejecutando un programa que tenga la apariencia del indicador de conexión.
• Leer los manuales y cuando se advierta que no se realice una acción determinada, intentar probar

tantas variaciones de la misma como sea posible.

• Si todo esto falla, intentar sobornar al personal que pueda tener información interesante.

4.2.3. Principios de Diseño para la Seguridad
Algunos principios de diseño relacionados con la seguridad son los siguientes:
• Diseño abierto: La seguridad de un sistema no debe de depender de la suposición de que su diseño es

secreto. Asumir que un intruso no lo conoce es engañar a los diseñadores.

• Negación en caso de duda: Por defecto, se deben de negar los accesos no autorizados.
• Verificación completa: Toda operación debe de ser constrastada con la información de control de

acceso.

• Principio del menor privilegio: Todos los procesos deberían de tener los mínimos privilegios

necesarios para realizar sus tareas.

• Economía: El mecanismo de protección debe de ser simple, uniforme e intregrado hasta las capas más

bajas del sistema.

• Aceptabilidad: El sistema elegido debe de ser sicológicamente aceptable por los usuarios, ya que en

caso contrario éstos no lo usarán.

4.2.4. Autentificación de los Usuarios
Muchos esquemas de protección se basan en que el sistema conoce la identidad de todos los usuarios. El
problema de identificar a los usuarios cuando éstos se conectan se denomina
.
La mayoría de los métodos de autenticación se basan en identificar algo que el usuario tiene o conoce. El
mecanismo más común de autenticación consiste en que todo usuario ha de introducir una
,
que es solicitada por el programa de conexión cuando el usuario introduce su nombre. El inconveniente de
este método es que las contraseñas pueden ser fácilmente averiguables si el usuario utiliza su nombre,
dirección, o similar como contraseña. Otra forma de averiguar una contraseña consiste en probar todas las
combinaciones de letras, números y símbolos de puntuación hasta adivinar la contraseña.

Existen variantes como que el sistema le añada a cada contraseña un número aleatorio, o asignarle a
cada usuario un libro con una secuencia de contraseñas, de forma que cada vez que se conecta tiene que
introducir la palabra de paso siguiente.

Otros tipos de mecanismos de autenticación se pueden basar en objetos que únicamente cada
usuario puede tener, como tarjetas con banda magnética, al estilo de los cajeros automáticos. Otra

_________________________________________________________________________________
___
TEMA 5. Sistemas de Ficheros

Pág. 3

Sistemas Operativos II

posibilidad es medir o comprobar ciertas características que están indisolublemente unidas a cada
persona, como la voz, escritura, huellas dactilares, etc.

En instalaciones en las que la seguridad es prioritaria, estas medidas se pueden complementar con
restricciones de acceso a la habitación en la que se encuentran los terminales, asignar a cada usuario un
terminal concreto, establecer un horario concreto de trabajo, etc.

4.2.5. Amenazas de Origen Software
Uno de las los tipos más sofisticados de amenazas tienen su origen en programas que explotan las
debilidades de los sistemas. Estos programas se dividen en dos grupos: aquellos que necesitan un
programa anfitrión y aquellos que son independientes. Los primeros son trozos de programas que no
pueden existir de forma autónoma, mientras que los segundos son programas completos que pueden ser
planificados y ejecutados por el sistema operativo. También hay que distinguir entre aquellos programas
que no se replican y los que lo hacen. Estos últimos son programas o trozos de programas que cuando se
ejecutan pueden generar una o más copias de ellos mismos, que serán posteriormente activadas en la

Podemos distinguir seis tipos de amenazas de origen software:

• Bomba Lógica: Es un código incrustado en un programa que comprueba si ciertas condiciones se
cumplen, en cuyo caso ejecuta alguna acción no autorizada. Estas condiciones pueden ser la
existencia de ciertos ficheros, una fecha particular, la ejecución de una aplicación concreta, etc. Una
vez que la bomba explota, puede alterar o eliminar datos, parar el sistema, etc. Un ejemplo de uso de
bomba lógica e