PDF de programación - Seguridad informática y software libre

Seguridad informática y software libre.

Estructura de Hispalinux

Jorge Ferrer

Hispalinux

Javier Fernández-Sanguino

Hispalinux

En este documento se estudiarán las ventajas ofrecidas por el software libre en el área de la seguridad
informática, comparando éstas con las ofrecidas, hoy en día, por el software propietario.

Tabla de contenidos
1. Introducción ..............................................................................................................................................................3
1.1. Panorámica general de la seguridad ...............................................................................................................3
1.2. ¿Por qué son necesarios los mecanismos de seguridad? ................................................................................3
1.2.1. Intercambio de información...............................................................................................................3
1.2.2. Instalación de software dañino involuntariamente ............................................................................3
1.2.3. Protección ante accesos no autorizados.............................................................................................4
1.3. Fallos de seguridad en la utilización del software..........................................................................................4
2. El Software Libre y la seguridad informática ........................................................................................................5
2.1. ¿Qué es el Software Libre? ............................................................................................................................5
2.2. Ventajas del Software Libre en el mundo de la seguridad .............................................................................5
2.3. Desventajas del software propietario .............................................................................................................7
2.4. Desventajas del software libre........................................................................................................................8
3. Conclusiones ..............................................................................................................................................................8
4. Bibliografía ..............................................................................................................................................................10
4.1. Libros y artículos..........................................................................................................................................10
4.2. Documentos y tutoriales...............................................................................................................................10
4.3. Sitios web de seguridad y software libre......................................................................................................11

Seguridad informática y software libre.

por Estructura de Hispalinux

por Jorge Ferrer

por Javier Fernández-Sanguino

v 1.0 para el documento general

En este documento se estudiarán las ventajas ofrecidas por el software libre en el área de la seguridad informática,
comparando éstas con las ofrecidas, hoy en día, por el software propietario.

1. Introducción

1.1. Panorámica general de la seguridad

Habitualmente los usuarios finales no tienen en consideración la seguridad cuando hacen uso de un sistema, ya que,
frecuentemente se ignoran los aspectos relacionados con la seguridad. De igual forma, estos aspectos a veces pueden
considerarse una molestia, ya que la seguridad suele ir en el platillo opuesto de la comodidad y facilidad de uso en
la balanza del diseño de un sistema. Es por esto que los usuarios a veces puedan tener una imagen negativa de la
seguridad, por considerarlo algo molesto y que interrumpe su capacidad de realización de un trabajo determinado. En
un entorno seguro, un usuario se encuentra con tareas que le pueden resultar incómodas (como por ejemplo, recordar
contraseñas, cambiarlas periódicamente, etc.) y que pueden limitar las operaciones que puede realizar así como los
recursos a los que se le permite acceder.

Sin embargo, la seguridad es fundamental a la hora de afrontar tareas que se realizan en sistemas informáticos ya
que son las únicas medidas que pueden garantizar que éstas se realicen con una serie de garantías que se dan por
sentado en el mundo físico. Por ejemplo, cuando se guardan cosas en una caja fuerte en un banco real, no se piensa
que cualquier persona del mundo puede llegar a ésta de una forma inmediata como si se tratara, en lugar de un banco,
de una estación de autobuses. En el mundo intangible de la informática, tan cerca de un servidor están sus usuarios
legítimos como los usuarios que hacen uso de la misma red de comunicaciones. Es más, estos usuarios, en el caso de
una red global, se cuentan por millones. Algunos serán “buenos vecinos” pero otros serán agentes hostiles.

1.2. ¿Por qué son necesarios los mecanismos de seguridad?

Para poner de relevancia lo comentado en los párrafos anteriores se han elegido tres casos genéricos que se describen
a continuación. Con ellos se pretende mostrar alguno de los peligros, relativos a seguridad, de estar ’interconecta-
dos’. Para cada uno de ellos existen mecanismos de seguridad que permiten llevar a cabo las operaciones de manera
satisfactoria.

1.2.1. Intercambio de información

Cuando se intercambia información con un ordenador remoto, esa información circula por una serie de sistemas inter-
medios que son desconocidos a priori (excepto en ámbitos muy específicos). Además, no sólo no se sabe cuales serán
estos sistemas intermedios, sino que además no se dispone de ningún control sobre ellos o sobre lo que puedan hacer
con nuestros datos al pasar por ellos. Quizá el propietario original es de fiar pero su sistema ha sido comprometido
por un atacante que toma posesión de los datos enviados.

Por otro lado tampoco se puede estar seguro de que el sistema al que uno se está conectando es quien dice ser. Existen
diversos medios técnicos para suplantar la identidad de un sistema y engañar a un tercero cuando realiza la conexión.

En definitiva, no existe una certeza absoluta de que aquellos sistemas a los que uno envíe información sean realmente
los auténticos; además, en el caso de que lo sean no se sabe si les llegará la información que se les envía, o si llegará
sin cambios o si, aún si llega sin modificaciones, será leída por terceras partes.

1.2.2. Instalación de software dañino involuntariamente

Otra posibilidad que no se debe descartar es que se instale software en un ordenador sin conocimiento del usuario o
administrador. Esto puede ocurrir de muchas formas, algunas relacionadas con operaciones que se realizan todos los
días. Algunos ejemplos son:

3

Seguridad informática y software libre.

•

Introducción de virus o troyanos por la descarga y ejecución de ficheros en servidores, en principio, confiables, por
parte del usuario. El efecto de distribución puede ser, incluso, involuntaria si se hace uso de sistemas de archivos
compartidos. En el caso de los virus el efecto destructivo se hará patente más pronto o más tarde. La instalación de
troyanos puede, sin embargo, pasar desapercibida.

• Difusión de virus por correo electrónico. Lograda gracias a la malversación por parte del virus del programa uti-
lizado como lector de correo (que lo ejecuta automáticamente sin intervención del usuario) o porque el usuario
activa el virus inadvertidamente creyendo que se trata de otra cosa. Su efecto pernicioso es, además del destructivo
habitual de un virus, la distribución a las direcciones conocidas convertiendo su propagación en exponencial.

• Explotación de una vulnerabilidad de un servicio que se está ofreciendo a través de Internet. Como por ejemplo un
servidor web. Un caso similar sería una carpeta compartida donde otros miembros de la red local (y quizá un virus
que haya en sus ordenadores) pueden copiar archivos.

Este software dañino no sólo puede obtener o borrar información del sistema en el que se instala, también puede servir
como plataforma de ataque a otros sistemas.

Es por esto que todo ordenador, máxime cuando se encuentra expuesto a recibir información del exterior, debe pro-
tegerse con las medidas de seguridad adecuadas aunque se considere que no tiene información ni servicios de gran
importancia.

1.2.3. Protección ante accesos no autorizados

Cuando se ofrecen servicios o información en una red para sus usuarios legítimos, al mismo tiempo se abre la puerta
a posibles intrusos en estos sistemas. Protegerse de esta posibilidad implica tener un especial cuidado con todo el
software empleado, desde el sistema operativo hasta la última de las aplicaciones instalada, y cuidar en gran medida
su configuración.

Pero tampoco debería olvidarse la posibilidad de que existan intrusos que accedan físicamente al sistema. La evolución
de las comunicaciones ha hecho que se preste una gran atención a la posibilidad de accesos remotos, pero de nada
sirve evitar esta posibilidad si se permite el acceso físico al sistema a personas no autorizadas. Es por esto que, en
algunos casos pueda ser necesario tomar las medidas de seguridad adecuadas sobre el propio hardware para evitar
robos, o pérdidas de información por estos accesos inadecuados.

En definitiva un buen sistema de seguridad debe proteger los sistemas vulnerables ante el posible acceso físico o
remoto de intrusos no autorizados. Evidentemente, el nivel de seguridad establecido tendrá que ser consecuente con
un análisis previo de los riesgos, considerando el impacto de dicho acceso no deseado contra las posibilidades de que
este se produzca.

Algunas medidas de seguridad que se pueden implantar en estos casos van desde el cifrado de información sensible
para impedir su acceso sin la clave adecuada, métodos físicos de destrucción de la información en caso de