Software Libre, Software No libre, Pirata y Privacidad.
Cuando se habla de los riesgos del software ilegal, uno de los elementos importantes a mencionar es el siguiente: Muchas veces, el software que se adquiere «pirata» es software que ha sido alterado por gente sumamente experta, que ha logrado eliminar los mecanismos de protección que el mismo software presenta para salvaguardar la propiedad intelectual del producto… me pregunto: ¿si esas personas que alteraron la seguridad del software no tendrán «otros intereses» o no querrÃan «aprovechar» la oportunidad de incluir en el software pirata «programas o herramientas» que posteriormente les permitan acceder a las computadoras de otros usuarios, o de otras empresas? ¿o usar software pirata como camuflaje para robar información empresarial, bancaria, legal, biológica, militar, etc.?
Y sÃ, en efecto. Los detractores del software libre, mencionan esta problemática inherente al código abierto, ya que no hay una «empresa reconocida» que garantice tal o cual producto, debilidad que se convierte en fortaleza, cuando las motivaciones de la comunidad de desarrollo del software libre son diferentes y cuando el código fuente de los programas está a la vista y al escrutinio de tantas personas.
Es por ello siempre importante, determinar que el software que usamos provenga de una fuente confiable. Asegurarnos de haber descargado el software del sitio del proveedor o fabricante o comunidad de software libre, para ello nos podemos apoyar en realizar la verificación de las sumas de integridad MD5 (http://es.wikipedia.org/wiki/Md5sum) o SHA1 (http://es.wikipedia.org/wiki/Sha1sum). Estos son algoritmos especiales que toman como entrada un texto
o un archivo completo, y generan una cadena de caracteres única. Entonces, si la cadena de caracteres publicada en la página del proveedor, es la misma que la generemos de nuestro archivo descargado, tenemos el archivo genuino.Sin embargo, muchas veces nos vemos obligados a descargar algún programa de dudosa procedencia, e instalarlo. Cuantas veces hemos tenido que «formatear nuestras computadoras», debido a que se han»llenado de basura» o «se ha corrompido la configuración», debido a la multitud de programas que instalamos y desinstalamos.
Para evitar estas situaciones, existen herramientas que permiten «aislar» cualquier actividad que realice un programa sobre nuestra computadora. Entre estos tenemos Sandboxie y Altiris Software Virtualization Solution (SVS, ahora parte de Symantec). Dependiendo de la necesidad, inclusive podemos crear una «computadora virtual» dentro de nuestra computadora, y ahà hacer todas las pruebas que necesitemos, para este tema VirtualBox o VMWare son programas que emulan ser una computadora donde podemos definir memoria, discos duros, e instalar algún sistema operativo, arrancarlo, apagarlo, etc. Sumamente útiles si queremos probar alguna distribución
de Linux, sin tener que formatear nuestra computadora. Completadas nuestras pruebas, simplemente borramos la «computadora virtual», y nuestra computadora seguirá intacta.
La Importancia de las Actualizaciones
Si algo caracteriza al software libre es la velocidad con la que se encuentran y resuelven las vulnerabilidades que llegasen a aparecer en los programas. Es por ello muy recomendable realizar, con alguna frecuencia, la actualización de los programas y de los sistemas operativos. Cada sistema operativo, provee sus mecanismos distintos para la realización de las actualizaciones.
Solamente una advertencia: en algunos escenarios es recomendado «probar» primero, la realización de las actualizaciones, en otra computadora que no sea la que usen directamente los usuarios en producción, porque la experiencia dicta, que algunas actualizaciones alteran las configuraciones personalizadas y/o la compatibilidad con algunos dispositivos de hardware. Una vez probado que las actualizaciones disponibles no afectarán nuestros sistemas en producción, las podemos aplicar en todas las computadoras de nuestros
usuarios.
Virus, Antivirus, Firewalls
Hay múltiples productos antivirus en el mercado, para diferentes necesidades y tamaño de empresas. Antivirus que se instalan directamente en los servidores que manejan los correos electrónicos y las comunicaciones o en las computadoras de los usuarios (con la correspondiente carga que representan).
Para protección de toda la red, existen soluciones integrales de software libre que además de proveer protección, permiten el filtrado de contenido, balancear el uso de los recursos, etc. La empresa «Endian» ofrece su «Community Firewall», para aquellos profesionales TI que quieran probar una solución completa de cortafuegos para nuestra red.
Para protección de computadoras personales «Filseclab Personal Firewall Professional Edition for Windows», a pesar de no ser el más intuitivo para los usuarios finales, es muy útil para que los profesionales TI sepan qué programas y hacia dónde envÃan información a Internet. La configuración se puede definir, y se puede replicar en las computadoras de los usuarios.
En el tema de antivirus, ClamAV se ha destacado para la protección de nuestros servidores, Kapersky nos presenta un antivirus para terminales de trabajo Linux y servidores, mientras que Avira ofrece buena protección para Windows y AVG inclusive ofrece un disco de rescate (basado en Linux), para desinfectar computadoras con Windows.
Navegacion Anonima
Aunque no necesariamente sea de las cosas que utilizaremos en el dÃa a dÃa para proteger la infraestructura TI de nuestra empresa, existen dos herramientas sumamente interesantes para la protección de nuestra privacidad en la red:
⢠FreeNet es un proyecto que nos permite conectarnos a una red encriptada de computadoras que comparten información.
⢠Tor es otra herramienta de software libre que nos permite navegar en la red a través de otras computadoras, a fin de que nuestras consultas viajen por otros caminos, y mantenernos anónimos.
Estas herramientas son muy útiles en paÃses donde la libertad de expresión está siendo truncada por los gobiernos y/o los proveedores de servicios de Internet.
Manejo de Contraseñas
En un mundo TI ideal, sólo habrÃa una contraseña que identifique al usuario, y que a través de esta autentificación se pudiera acceder a todos los servicios disponibles en la infraestructura TI. Sin embargo, la realidad en las PYMES es otra. A veces se requiere tener una contraseña para cada servicio: una para el correo electrónico, una para el sistema de nómina, una para el sistema de producción, una para acceder a los bancos, una para la mensajerÃa instantánea, etc.
Tanto el software libre como las soluciones no libres ofrecen mecanismos y estrategias para simplificar estos escenarios, por ejemplo la autentificación a través de directorios como LDAP, Active Directory, etc. Pero como dice el dicho, «la cadena se rompe por el eslabón más débil»… y en la seguridad TI, el eslabón más débil algunas veces es el usuario y las contraseñas que utiliza.
Desde acciones irresponsables como dejarlas escritas en un «pedazo de papel» pegadas al monitor, hasta usar contraseñas tan sencillas que cualquier persona cercana al usuario puede adivinarlas. Hay muchos mecanismos que nos ayudan a evitar el problema de la administración de contraseñas, sin embargo muchos implican esfuerzos y cambios en la infraestructura TI que usualmente no son aceptados. Como alternativa, casi siempre recomiendo el uso de «Claves FÃsicas».
Le llamo «Claves FÃsicas» a las contraseñas que generan los usuarios, a través del movimiento «aleatorio», pero «repetitivo» de las manos sobre el teclado. En vez de verbalizar una palabra, la idea es generar una contraseña escribiendo caracteres aleatorios, pero que para el usuario correspondan a un movimiento familiar sobre el teclado, algo repetitivo que puedan recordar como movimiento de las manos, no como una palabra. Ventajas: generas contraseñas no identificables con técnicas de diccionario, desventajas: requiere movimiento rápido de la mano, y representa un enfoque diferente a lo que están acostumbrados los usuarios.
Encriptacion
Encriptación es la codificación de nuestra información en un «dialecto» que no sea legible por terceros, al menos que compartamos la «contraseña» para «decodificarlo». En las PYMES, se mueve mucha información sensible en equipos portátiles, lo cual se vuelve una vulnerabilidad si uno de estos equipos es robado o perdido. Suponga que le roban la laptop al director de finanzas.
Este tipo de ataques es común y en el mejor de los casos el atacante solamente estará interesado en el hardware, formatearlo y revenderlo. Sin embargo, si la intención es extraer información, estamos en problemas. Una alternativa que tenemos es encriptar los discos duros, de tal manera que no sea posible leerlos a pesar de que no hayan sido borrados. TrueCrypt nos ofrece esta posibilidad, desde proteger «contenedor de archivos», particiones, e inclusive el disco duro completo. También se aplica en la protección de memorias USB.
Respaldos
Casi nadie se acuerda de este tema, hasta que nos enfrentamos al problema de tener que recuperar desde un archivo hasta un equipo completo, pasando por servidores dañados, bases de datos «accidentalmente» borradas o alteradas, etc.
Existen múltiples herramientas y estrategias para la realización de los respaldos, dependiendo de la plataforma, la infraestructura, las redes y demás. rsync es una herramienta efectiva en el manejo de detección de cambios y transferencias de información entre equipos remotos. Areca es una herramienta que nos permite la realización de respaldos completos, incrementales y diferenciales. También podemos optar por la nueva generación de servicios de almacenamiento en lÃnea como SpiderOak.
Recordemos que los respaldos deben de ser almacenados en una ubicación fÃsica diferente a donde se encuentran los equipos respaldados.
La Red Inalambrica
En términos sencillo, el «router» es ese aparatito que nos da nuestro proveedor de servicios de Internet para que podamos conectar a la red nuestras computadoras. Muchas veces las configuraciones de fábrica no traen activados los parámetros de seguridad, por lo que vale la pena revisar la documentación o solicitar apoyo de un profesional en TI.Tenemos que verificar que para utilizar nuestra red ina-
lámbrica nos pida una contraseña. Muchas veces, tenemos computadoras desconocidas en nuestra red local, e incluso el consumo de nuestro ancho de banda por personas que se «meten» a nuestra red, esto la mayorÃa de las veces, debido a que nuestra red inalámbrica no cuenta con la protección mÃnima.
Además, hay que estar pendientes de las actualizaciones que se liberen para nuestros routers, ya que muchas veces nos proveen de mejores protecciones y/o mayor rendimiento de nuestra conexión a Internet. No olvidemos lo crÃtico que es verificar que nuestras computadoras y/o routers tengan cerrados todos los puertos, y solamente abrir aquellos que, explÃcitamente, necesitemos usar.
Proteger el Acceso a Internet
Muchas veces, queremos prevenir que nuestra conexión a Internet se use para navegar en páginas que pongan en peligro nuestra red o que no sean apropiadas (por ejemplo para nuestros hijos pequeños). OpenDNS es un servicio de DNS que nos permite filtrar las páginas que son accesibles, a través de la clasificación de sus contenidos. El servicio es gratuito, y si se requiere un mayor control sobre el filtrado de las páginas, tiene un costo. Es altamente recomendado para escuelas y negocios ya que con una sencilla configuración del router por el que se «sale a Internet», se protege toda la red.
También se puede personalizar, si se desea dar acceso o no a páginas en especÃfico, todo desde un sencillo panel de configuración a través de Internet.
Dumpster Dyving
Muchas empresas exponen de manera inconsciente información sensible, a través de la basura: Estados de Cuenta, Cuentas Bancarias, Manuales Técnicos, Directorios, etc.
«Dumpster Dyving» se trata de buscar entre la basura de la empresa, información sensible y/o que ayude a realizar ataques más elaborados, especialmente de los conocidos como «IngenierÃa Social», técnica ampliamente utilizada en nuestros dÃas para comprometer la integridad de las personas y las organizaciones. Un triturador o incinerador de basura, soluciona el problema.
En el tema de la basura, también entra la manera en la que nos «aseguramos» que la información de un equipo que se «desecha» o «cambia de manos» sea correctamente limpiado. Suponga que un director de su empresa cambia de laptop, ha pasado la información de la laptop vieja a la laptop nueva, y ha formateado la laptop vieja. Sin embargo, actualmente existen múltiples herramientas que permiten recuperar y extraer información de discos duros aún y cuando estos hayan sido formateados. Para evitar este tipo de ataques, la mejor manera es sobrescribir la información en lugar de simplemente borrarla, existen herramientas que nos ayudan a sobrescribir ya sea un archivo, el espacio libre, hasta discos duros completos, ayudándonos a que sea sumamente complicado recuperar cualquier información. Entre estas herramientas tenemos Eraser y Wipe.
Seguridad FÃsica
Al final del dÃa, cualquier configuración de software y/o hardware se puede vulnerar, si los dispositivos están al alcance de las personas, que con un poco de conocimiento técnico, o un buen tiempo de investigación en la red, pueden encontrar el botón «reset».
Es por eso que el acceso a servidores, routers, antenas, y demás dispositivos tiene que estar protegido, fuera del alcance de cualquier curioso que altere estos equipos causando caÃdas en los servicios. De la misma manera, los respaldos tienen que resguardarse en otra ubicación fÃsica de donde están los equipos respaldados. Suponga que exista algún daño fÃsico en el área de servidores (por ejemplo un incendio o inundación), el respaldo siempre estará seguro en otra oficina, o en otra ciudad.
En alguna ocasión tuvimos que (literalmente) «sellar» los gabinetes de las computadoras de escritorio, para evitar que el personal abriera los equipos, reiniciara el BIOS y/o extrajera partes de la computadora como memorias, unidades de disco, etc.
El Enemigo Interno
Por increÃble que parezca, la mayorÃa de los ataques informáticos, las violaciones a la seguridad, el robo de contraseñas y la suplantación de identidades, entre otros problemas, se originan por los mismos usuarios de nuestra red.
Esto sucede por malicia de los usuarios y/o como muestra de rebeldÃa hacÃa el personal TI, por la implantación de medidas de seguridad, que no son amablemente aceptadas por los usuarios, y que en muchos de los casos «sienten» que les han sido quitados «privilegios» como descargar música ilegal…
En estos escenarios, la implantación de los mecanismos de seguridad TI, tiene que estar acompañada de un fuerte compromiso por la dirección de la empresa, y de la creación de una cultura de la importancia de la seguridad y lo que representa.
PolÃticas y Procedimientos
Hay muchas definiciones alrededor de estos dos conceptos, de manera sencilla podemos entender a las polÃticas como el conjunto de lineamientos que establecen un orden, y los procedimientos son los mecanismos a través de los cuales logramos el cumplimiento de las polÃticas. En este artÃculo hemos hecho énfasis en las herramientas gratuitas o de software libre que nos permiten mejorar nuestros escenarios de «Seguridad TI», sin embargo, el uso de estas herramientas siempre será más efectivo si en nuestra empresa hemos definido claramente las polÃticas y procedimientos que involucren y creen una cultura de responsabilidad en los usuarios.
La seguridad es cultura
La seguridad no se puede confiar ni en un solo proveedor (empresa o herramienta) ni en una sola persona (el «encargado sistemas»), la seguridad se aplica con diversas herramienta en diferentes estrategias y con el apoyo de las personas, trabajo conjunto dará sus resultados.
