Medidas inmediatas de seguridad

---

La seguridad absoluta es imposible en informática, sostienen los expertos en la materia. Estas comunicaciones se basan en redes telefónicas públicas, con bornes colocados en la calle al alcance de cualquiera. Si la comunicación es por microondas o satélite, puede recogerse con una antena.

Cuando se habla de un sistema informático "seguro" no se quiere decir en realidad que sea inviolable sino que los mejores expertos, con los mayores equipos de computación, demorarían tanto tiempo en "quebrarlo" que para entonces el sistema de seguridad ya habría sido cambiado, indica el ingeniero uruguayo Juan Grompone en su libro Yo hombre, tú computadora. En cualquier sistema de seguridad siempre hay dos elementos en juego: la tecnología y el grado de conocimiento que cada uno tiene de ella, y el factor humano, con todos los errores y descuidos inherentes.



Los sistemas de protección informática se basan en el uso de contraseñas (passwords) secretas. Esas palabras clave, que deben ser obviamente difíciles de decodificar, suelen tener entre seis y ocho caracteres. Si una consta por ejemplo de tres letras y cinco números, el total de combinaciones posibles asciende a 1.757.600.000 opciones. Pero sucede muy a menudo que los usuarios emplean contraseñas triviales, palabras sencillas o nombres de familiares o amigos, sus propias iniciales o números vinculados a su dirección, teléfono o fecha de nacimiento, fácilmente descubribles. Una investigación de los laboratorios Bell en Estados Unidos indicó que 86 por ciento de las passwords podía deducirse con un mínimo esfuerzo.



A nivel internacional se aceptó como confiable un mecanismo que ha tenido gran difusión, el des (Data Encryption System, o sistema de encriptado de datos) del National Bureau of Standards de Estados Unidos. Pero más allá de la complejidad de la clave está el manejo que cada uno le da. La empresa que ofrece servicios también emplea contraseñas, que sólo conocen los miembros del equipo técnico. Según su lugar en la escala jerárquica, manejan cantidad de palabras clave con las que acceden a distintos niveles de poder o permisos en materia de control del sistema, sus programas y archivos. El supervisor dispone de un password con todos los poderes, desde borrar íntegramente los discos hasta leer el correo de cualquier persona conectada a la red. La principal fractura de seguridad ocurre cuando una persona no autorizada logra apoderarse de los privilegios de un "superusuario".



Omar Barreneche, consultor uruguayo en comunicación de datos, sostiene que un caso frecuente en fracturas de seguridad se produce cuando los administradores de un sistema entran en conflicto con los dueños y deciden vengarse destruyendo la información electrónica de que disponen. La empresa de Barreneche asesoró a un proveedor de servicios de acceso a Internet en Argentina. "Su supervisor se enojó, se fue y dejó funcionando una 'bomba de tiempo', un programa que se ejecutaba por sí solo con los derechos del supervisor para actuar." El autor del "atentado" fue descubierto porque "era un tanto ególatra y había puesto su nombre al programa". En este caso el problema se encontró rápidamente y el sistema estuvo caído sólo un día, de modo que no trascendió a nivel de usuarios. Además, el sistema tenía "redundancia", es decir que varias máquinas se sustituían entre sí y Otro caso muy distinto fue el de la red telemática uruguaya Chasque, cuyo sistema permaneció fuera de servicio durante un mes tras el "estallido" de una "bomba lógica". A nivel periodístico se barajaron tres hipótesis: un ataque a través de la red, un error del equipo técnico, o la existencia de una infidencia en cuanto a las claves de acceso.



Roberto Bissio, director del Instituto del Tercer Mundo, responsable de Chasque, y Magela Sigillito, coordinadora de la red, rechazaron la eventualidad de una impericia. Ambos defendieron la capacidad técnica de su personal y los altos niveles de seguridad del sistema, y afirmaron que había evidencias de un ataque premeditado mediante programas no autorizados, que también había afectado los respaldos. Como consideraron prioritario dedicarse a restablecer el servicio, dejaron de lado el rastreo del culpable, aunque en dos oportunidades previas (1995 y 1996) Chasque había detectado hackers, declaró Bissio a BRECHA. En ambas se inició proceso judicial y se aportaron las pruebas del caso.



Barreneche, que actuó como asesor externo de Chasque en noviembre de 1996, un mes antes de la caída del sistema, considera que en ese momento Chasque no tenía gente totalmente capacitada para las funciones de administrador o supervisor del sistema. En Chasque todo pasa por una única máquina, un "punto singular de fractura": si se rompe el sistema cae todo. El consultor aventuró también la hipótesis de que las denuncias penales previas de Chasque contra hackers y la actuación de sus técnicos como peritos en los juicios pudieron haber irritado a la cofradía internacional de "piratas". "Fue un ataque muy sofisticado, de gente que conocía bien el sistema, que a su vez es replicado en universidades e institutos de investigación de todo el mundo. Mucha gente los conoce al dedillo."



Gonzalo Varalla, coordinador técnico de Chasque, sostiene que "no existe una estrategia para detectar hackers. Está lleno de ejemplos en que nunca se supo quiénes eran. Más fácil es saber qué hicieron. Si cuando se detecta el intento de intrusión se suspende el sistema, se lo congela, seguramente se puede averiguar qué pasó. La metainformación que se conserva se vuelve a generar y se compara con la información nueva: en ese caso hay altísimas posibilidades de saber si se modificó algo o no, y en qué lugar. Mucho más difícil es detectar quién fue, y si se logra es por impericia del hacker".



Cuando Chasque fue atacado, Varalla y Bissio intentaron restablecer los backups que se realizan todos los días como parte de una política convencional de respaldos. Pero al hacerlo el sistema se borraba ante sus propios ojos, cuando sólo ellos estaban conectados. Los demás aparatos de comunicación estaban apagados y no había cómo acceder al servidor más que por el teclado. "No sabemos en qué momento pusieron ese programa", dijo Sigillito. "Pudo haber sido hace cuatro o cinco años, no teníamos la garantía de que no volviera a provocar la caída del sistema. Por eso decidimos no recurrir a los respaldos para reconstituir el sistema, sino usar los programas originales y cantidad de programas de uso libre se bajaron de la red."



Varalla explica la acción del hacker como una escalada, que se inicia cuando el intruso accede al sistema por medio de la clave de un usuario. Desde allí va progresando por la vía del conocimiento, a veces fino y detallado, de los programas de seguridad a los que los usuarios legítimos tienen acceso, y abriendo "puertas" sucesivas. Hasta llegar a la máxima prioridad, la clave del superusuario, y tener la posibilidad de hacer absolutamente todo lo que se le ocurra en un sistema.



La metodología habitual de los intrusos consiste en colocar sniffers -onomatopeya de oler-, un tipo de programa muy difícil de detectar. Los sniffers recogen todos los paquetes que pasan por la red y revisan su contenido para ver si llevan la clave del usuario. De repente capturan el password de un usuario con más prioridades, y pasan a trabajar a otro nivel. Allí comienza la escalada.



UNIVERSIDAD CONTRATA HACKERS. En Uruguay, una red académica (la RAU) conecta las distintas facultades e institutos de la Universidad de la República a los numerosos centros privados de enseñanza, institutos de investigación como el Latu y también al Poder Legislativo y los diversos ministerios. Se estiman entre 5.000 y 7.000 los usuarios de esta red, dependiente del Servicio Central de Informática de la Universidad de la República (Seciu). "Internet es como si la puerta de tu casa diera a todas las casas del universo. No sos vecino de algunos, sos vecino de todos. Cualquiera puede saber que estás ahí e intentar romper tu seguridad. Hay gente que es muy capaz para eso, tiene tiempo, y puede intentarlo", comenta a BRECHA el ingeniero Luis Castillo, integrante del Seciu. "La seguridad es un problema de una evaluación de los límites entre tener ciertas libertades y no tenerlas", señala.



En la RAU ha habido intrusos en varias oportunidades. Hasta el momento no hubo daños, los ingresos fueron detectados por una política de observación permanente. "A un intruso lo agarramos porque quería ejecutar un programa a través del correo electrónico con una clave. Como teníamos el sistema bloqueado, ese correo rebotó y empezamos a analizar por qué. No lo hubiéramos podido hacer de haber estado distraídos. La vigilancia debe ser permanente. Los intrusos tratan de borrar sus huellas, de la misma manera que lo hace un ladrón que entra a una casa", señala. "Acá se trata de evitar que queden registrados los logs", los registros que deja el sistema sobre tamaño de archivos, modificaciones y errores y que permiten buscar posibles fallas de seguridad. En general sistemas multiusuario como el Unix registran este tipo de movimientos. Por ejemplo si hubo repetidos intentos de acceso a una cuenta con error de p En la Universidad hay decenas de personas que trabajan en redes y seguridad. Se hacen cursos para mostrar en qué puntos hay que tener cuidado.



Los hackers son un buen banco de prueba para los sistemas de seguridad. A nivel mundial, es muy común que intrusos que han logrado entrar en sistemas de una empresa terminen siendo contratados por ésta como asesores. La Universidad uruguaya no es la excepción: hackers locales trabajan con independencia del equipo de administración para tratar de romper la seguridad del sistema. "Es como si uno contratara a una empresa de seguridad: tiene que tener confianza en ella, porque ellos saben mejor que nadie cómo quebrar las defensas."