Sondeo

Escritorios alternativos Linux

¿Cuál prefieres?

  •  Xfce
  •  LXDE
  •  Razor-qt
  •  Enlightenment 0.17

Resultados
Other polls | 4,249 voters | 2 comentarios
· Próximas fechas Curso Global de Servidores con CentOS 6.
· Taller de programación de Python.
· Curso de programación de PHP.
· Prueba ALDOS 1.4.5. Nuestro sistema operativo para escritorio.

La importancia de la seguridad.

Hace tiempo publique a través de diversos medios un artículo que sigue siendo vigente y es acerca de la indiferencia [¿o será negligencia?] en torno de la seguridad. Dadas las condiciones actuales en la red mundial, es imprescindible tener presente este aspecto en todo momento sin importar si se trata tan solo de una PC casera, e incluso si no se tiene una. Al vandalismo informático e ingeniería social no les interesa si se trata de un servidor o una tostadora de pan: si algo o alguien está comunicado hacia cualquier tipo de red, puede ser víctima potencial.

Los usuarios más avanzados y responsables suelen preocuparse mucho por la seguridad de todo tipo, tanto de redes y sistemas como políticas de manejo de información. Sin embargo ¿Que ocurre con muchos nuevos usuarios de Software Libre? La mayoría le dan menos importancia de la que merece este aspecto.

Los parches de seguridad.

Mantener el sistema actualizado con los parches de seguridad que se van publicando es prácticamente una obligación diaria. ¿Cuantos usuarios siguen utilizando solo lo que venía incluido originalmente en el disco compacto de instalación y que por lo general requiere actualizarse? Muchos más de los que imaginamos.

Mantener el sistema con sus parches de seguridad es más fácil que hace varios años. Quienes utilizan Debian y sistemas operativos derivados, como Ubuntu, pueden utilizar apt-get y resolver todo sin mayor contratiempo que el uso del propio ancho de banda consumido y si es poco grato utilizar el intérprete de mandatos, existen alternativas muy amistosas como Synaptic.  Los usuarios de distribuciones basadas sobre Red Hat™ pueden utilizar herramientas como yum o bien, su frente gráfico más amistoso, yumex. Existen servicios comerciales como el de Red Hat™ o SUSE, utilizando up2date y yast, respectivamente, que brindan el respaldo de una empresa que proporciona servicios de soporte. Todos los métodos anteriores verifican todas las posibles actualizaciones de seguridad y descargan e instalan todo lo que sea necesario y solo lo necesario.

No hace mucho tuve que dar soporte de emergencia a un desesperado usuario que muy ingenuamente había colocado un servidor en su empresa para atender operaciones críticas. Dicho servidor fue implementado con una muy obsoleta versión del difunto Red Hat™ Linux, sin un solo parche de seguridad. ¿Quieren saber cuanto tomó de tiempo para que alguien entrar al sistema y hacer un verdadero desastre desde su instalación? Un día. ¿Que tantas pérdidas tuvo la empresa afectada? Más de lo que se pueden imaginar.

El muro cortafuegos.

Es imposible ignorar las condiciones actuales en la red mundial en lo referente a la seguridad. Muchos opinamos que la configuración de al menos un muro cortafuegos, de tipo básico, debería de ser incluida en los programas de instalación de las distintas distribuciones de GNU/Linux, como lo hace Red Hat™ o SUSE™ así como casi todas las distribuciones comerciales o al menos incluir una advertencia de las consecuencias de implementar un sistema sin un nivel de seguridad apropiado.

Existen herramientas que permiten configurar un muro cortafuegos fácilmente. ¿Cuantos usuarios utilizan al menos herramientas tan simples como Firestarter o asegurarse que sus sistemas estén verdaderamente protegidos? Por lo que me comenta un viejo amigo cuyo pasatiempo es poner a prueba la seguridad de todo aquello que se encuentre en su camino, la respuesta da miedo.

Las contraseñas.

Un aspecto importante en la seguridad es la mala política en el manejo de contraseñas. Una buen política incluye rotar contraseñas al menos cada mes, utilizar contraseñas con al menos 8 caracteres mezclando alfanuméricos, mayúsculas y minúsculas y otros caracteres ASCII, evitando utilizar datos personales como referencias.

Increíblemente existen personas que, por cuestiones que no discutiremos aquí, optan por utilizar contraseñas verdaderamente malas. Ejemplo: utilizar solo números, iniciales, palabras de diccionario, nombres propios, etc. Una contraseña como por ejemplo "pedro2003" regularmente puede ser descifrada por una herramienta para tal fin en muy poco tiempo.

Ingeniería social.

El punto más vulnerable de cualquier red lo componen los usuarios que la integran. La mejor tecnología y seguridad del mundo es inservible cuando un usuario es incapaz de mantener en secreto, una clave de acceso o información confidencial. Es por tal motivo que tiene particular relevancia el impulsar una cultura de concienciar a los usuarios acerca de los peligros de la Ingeniería Social en la seguridad informática y también cualquier otro aspecto de la vida. El más célebre personaje que utilizó ésta, con tanto éxito que durante algún tiempo se convirtió en el hombre más buscado por el FBI, fue Kevin Mitnick.

Ingeniería Social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Un ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente y llevarla a revelar información sensible o bien a violar las políticas de seguridad típicas. Con este método, los ingenieros sociales aprovechan la tendencia natural de la gente a confiar en su palabra, antes que aprovechar agujeros de seguridad en los sistemas informáticos. Generalmente se está de acuerdo en que “los usuarios son el eslabón débil” en seguridad; éste es el principio por el que se rige la ingeniería social.

Wikipedia, la enciclopedia libre.

De acuerdo a Kevin Mitnick, hay cuatro principios básicos por los que la ingeniería social funciona:

  • Todos queremos ayudar.
  • El primer movimiento es siempre de confianza hacia el otro.
  • No nos gusta decir No.
  • A todos nos gusta que nos alaben.

Un clásico ejemplo de ataque de ingeniería social, e increíblemente el más fácil de realizar, consiste en engañar a un usuario haciéndole pensar que se trata de un administrador de la red donde se labora solicitando claves de acceso u otro tipo de información confidencial. Buena parte del correo electrónico que llega al buzón del usuario consiste de engaños solicitando claves de acceso, número de tarjeta de crédito y otra información, haciendo pensar que es con una finalidad legítima, como sería el caso de reactivar o crear una cuenta o configuración. Este tipo de ataque se conoce actualmente como phising (pesca).

En muchos estudios se ha demostrado que los usuarios tienen una pobre conciencia acerca de la importancia de la seguridad. Una encuesta de InfoSecurity, hace varios años, arrojó como resultados que 90% de los oficinistas revelarían una clave de acceso a cambio de un bolígrafo.

Otros ejemplos de ataques exitosos, aprovechando la ingeniería social, es el envío de los adjuntos en el correo electrónico (virus, troyanos y gusanos) que pueden ejecutar código malicioso en una estación de trabajo o computadora personal. Esto fue lo que obligó a los proveedores de equipamiento lógico a desactivar le ejecución automática de los adjuntos al abrir el mensaje de correo electrónico, por lo que es necesario que el usuario active esta funcionalidad de modo explícito a fin de volver a ser vulnerable. Sin embargo, la mayoría de los usuarios simplemente hacen clic con el ratón a cualquier cosa que llegue en el correo electrónico, haciendo que éste método de ingeniería social sea exitoso.

Un tipo de ingeniería social muy efectivo es incluir grandes cantidades de texto a un acuerdo de licenciamiento. La gran mayoría de los usuarios, incluyendo administradores, rara vez leen siquiera una palabra contenida en dicho texto y sencillamente dan clic en la aceptación de licenciamientos y acuerdos. Esto regularmente es aprovechado por Adware (equipamiento lógico que despliega anuncios comerciales) y Spyware (equipamiento lógico que espía la actividad del usuario). En Latino América este problema es sumamente fácil de realizar debido al vergonzoso y pobre índice de lectura (menos de un libro por año), que en consecuencia mal acostumbra a leer.

La principal defensa contra la ingeniería social es la educación del usuario, empezando por los propios administradores de redes y sistemas. La mejor forma de combatir la ingeniería social es la prevención.

Conclusiones.

Definitivamente hace falta hacer mayor conciencia para convencer a los usuarios acerca de lo importante que es la seguridad o tal vez optar por métodos a un estilo más agresivo: actualizar sin preguntar y cerrar las comunicaciones. ¿Demasiado estricto, no es así?

Es por todo lo anteriormente comentado que es necesario fomentar y recordar la importancia que tiene la seguridad en su más amplio sentido.

¿Tu ya implementaste seguridad en tu sistemas/empresa/oficina/hogar?

Atención: Salvo que se indique lo contrario, la licencia del texto de este documento es Creative Commons Reconocimiento 2.5, mediante la cual usted tiene permitido copiar, modificar, comunicar y distribuir el contenido de este texto, de manera total o parcial, y publicarlo o difundirlo en cualquier otro sitio de Internet o medio de comunicaciòn, siempre y cuando incluya o cite (1)el nombre de este sitio de Internet, (2)enlace permanente de este documento, (3)nombre del autor y (4)la misma licencia de distribución.

Opciones: Imprimir | Recomendar | Enlace permanente

Twitter Facebook Google Bookmarks Bitacoras.com Wikio Menéame Technorati Bloglines Digg Yahoo Buzz
 
Seguimientos (Trackback)
URL de seguimiento para esta entrada: http://www.alcancelibre.org/trackback.php/importancia-seguridad
Lo que otros tiene que decir acerca de 'La importancia de la seguridad.':
 
La importancia de la seguridad. | 5 comentarios | Crea cuenta nueva
Los siguientes comentarios son de la persona que los haya enviado. Este sitio se deslinda de cualquier responsabilidad respecto de las opiniones expresadas por los participantes en nuestros foros y secciones de comentarios, y el hecho de publicar las mismas no significa que se esté de acuerdo con éstas.
La importancia de la seguridad.
Escrito por: Oscar Hernández el 12/04/2007, 09:35
Estoy de acuerdo contigo Joel, hace tiempo publicaste una nota de este estilo e incluso comentas que si nos atreveríamos a volar un avión sin los conocimientos requeridos, considero que la seguridad es algo que no se debe de tomarse  a la ligera y que debemos de estar consientes de los riesgo que se tienen cuando uno no pone en practica estas medidas, a veces se nos olvida que la seguridad la implementamos en la vida diaria, por ejemplo , cuando salimos de casa cerramos con mas de dos chapas o candados, cuando dejamos nuestro auto ponemos alarmas, bastones etc. etc. etc. hago esta analogía porque es la que se me ocurre en este momento, espero no estar mal.

saludos... y por cierto también considero que debemos de leer más para no tener un déficit  de conocimientos y no solo lecturas de informática sino de todo tipo de literatura (literatura de la buena, no de la barata) ; )

---
Sabio no es aquel que dedica su vida a aprender sino el que la dedica a enseñar.

[ # ]
La importancia de la seguridad.
Escrito por: Jesús Antonio Gómez Bañuelos el 12/04/2007, 10:30
Para los que nos dedicamos al desarrollo (y peor aun para los que no y comienzan en este campo) es importantisimo tener en cuenta ciertas cuestiones de seguridad para cualquier aplicacion echa en casa.

Hablando en particular de una aplicacion web, las posibilidades de error en una rutina que pudiera derivar en debilidad son muy grandes. Hay estadisticas que muestran (en cuanto tenga la fuente exacta la cito) que una buena parte de los ataques a servidores 'asomados' a Internet son por medio de alguna aplicacion Web.

Estoy trabajando en un modesto articulo que habla de esto, pronto lo estare dando a conocer para ahondar un poco mas en el tema.

Por lo pronto los interesados pueden acceder a una fuente importante de aprendizaje de 'buenas practicas' (y ademas abierto) OWASP.org
 
[ # ]
La importancia de la seguridad.
Escrito por: Tereso Ramos el 12/04/2007, 17:53

A veces al pensar que no se  trabaja con grandes servidores o equipos con misión crítica, esto de la seguridad pasa a segundo plano... pero hay que darnos cuenta que un simple usuario en su desktop, hace cosas como consultar sus cuentas bancarias, pagos con tarjeta de crédito, lee correos de su empresa vía web, etc., por lo que no deberíamos de dejar este tema a un lado.

[ # ]
La importancia de la seguridad.
Escrito por: darkslaker el 14/04/2007, 22:43
Llevo poco mas de  5 años viviendo de la seguridad informática,  y la seguridad es lo último que pasa por nuestras mentes.  Algunos dicen que te vuelves paranoico, pero con todo lo que llegas a ves, es lo mínimo que debes hacer.

Regresando a la parte de la seguridad, hay mas cosas allá afuera que parches de seguridad, firewall y contraseñas.

Debemos recordar que la seguridad debe verse en tres aspectos importantes:

1) Tecnología ( Y no es todo, muchas personas creen que por tener un firewall y un IDS/IPS ya estan seguros, pero un ejemplo es, como proteges un servidor Web de https, con las comunicaciones encriptadas)
2) Procesos.
3) Personas.

Tomando el ejemplo del servidor sin parches de seguridad. No solo fallo la tecnología, esta empresa no tenia un baseline mínimo de seguridad para sus equipos de computo, con lo cuales podemos saber que no cuentan con un procedimiento de administración de parches de seguridad y por lo tanto su personal no esta capacitado en lo que hace.

Debemos dejar de pensar en suguridad y solo ver tecnologia, por que nos crea como diria sandino un falso sentido de seguridad.

Como en ocacioens me gusta decir, cual debe ser el sistema en el que debo instalar mi servidor critico, ellos esperan que les digas un BSD, Un linux, un Solaris, etc, etc y yo simplemente le digo el que conoscas mejor.

Darkslaker.

Mas de 1 millon de hackers en el mundo y un solo puerto abierto ¿ que tan seguro te sientes?

---
"Yo nací para atrapar dragones en sus guaridas y para recoger flores. Yo nací para pasar las mañanas contando historias divertidas, para soñar a la deriva como

[ # ]
La importancia de la seguridad.
Escrito por: Juan Roberto Díaz Martínez el 05/08/2008, 13:33
Concuerdo con los puntos de vista. Es un tema que muchos olvidamos por confiar demasiado en lo que protege el SO, pero es cierto que debería ser el tema más importante en todas la planeaciones de redes locales.

¿Alguien tiene políticas en sus redes respectoa prohibir/restringir llaves USB, disquetes, CDs, instalar cosas como usuario? Para un administrador a veces es más cómodo darle libertad al usuario de instalar cosas, pero al final sale más caro por todo el tiempo invertido en volver a dejar toco mo estaba cuando surge un nuevo virus.
[ # ]