Next: Administradores, usuarios
y personal Up: Seguridad del entorno de Previous:
Seguridad del entorno de
Índice General
Subsecciones
Según [B$^$88], la seguridad física
de los sistemas informáticos consiste en la aplicación de barreras
físicas y procedimientos de control como medidas de prevención y
contramedidas contra las amenazas a los recursos y la información confidencial.
Más claramente, y particularizando para el caso de equipos Unix y sus centros
de operación, por 'seguridad física' podemos entender todas aquellas
mecanismos - generalmente de prevención y detección - destinados
a proteger físicamente cualquier recurso del sistema; estos recursos son
desde un simple teclado hasta una cinta de backup con toda la información
que hay en el sistema, pasando por la propia CPU de la máquina.
Desgraciadamente, la seguridad física es un aspecto olvidado con demasiada
frecuencia a la hora de hablar de seguridad informática en general; en
muchas organizaciones se suelen tomar medidas para prevenir o detectar accesos
no autorizados o negaciones de servicio, pero rara vez para prevenir la acción
de un atacante que intenta acceder físicamente a la sala de operaciones
o al lugar donde se depositan las impresiones del sistema. Esto motiva que en
determinadas situaciones un atacante se decline por aprovechar vulnerabilidades
físicas en lugar de lógicas, ya que posiblemente le sea más
fácil robar una cinta con una imagen completa del sistema que intentar
acceder a él mediante fallos en el software. Hemos de ser conscientes
de que la seguridad física es demasiado importante como para ignorarla:
un ladrón que roba un ordenador para venderlo, un incendio o un pirata
que accede sin problemas a la sala de operaciones nos pueden hacer mucho más
daño que un intruso que intenta conectar remotamente con una máquina
no autorizada; no importa que utilicemos los más avanzados medios de cifrado
para conectar a nuestros servidores, ni que hayamos definido una política
de firewalling muy restrictiva: si no tenemos en cuenta factores físicos,
estos esfuerzos para proteger nuestra información no van a servir de nada.
Además, en el caso de organismos con requerimientos de seguridad medios,
unas medidas de seguridad físicas ejercen un efecto disuasorio sobre la
mayoría de piratas: como casi todos los atacantes de los equipos de estos
entornos son casuales (esto es, no tienen interés específico sobre
nuestros equipos, sino sobre cualquier equipo), si notan a través
de medidas físicas que nuestra organización está preocupada
por la seguridad probablemente abandonarán el ataque para lanzarlo contra
otra red menos protegida.
Aunque como ya dijimos en la introducción este proyecto no puede centrarse
en el diseño de edificios resistentes a un terremoto o en la instalación
de alarmas electrónicas, sí que se van a intentar comentar ciertas
medidas de prevención y detección que se han de tener en cuenta
a la hora de definir mecanismos y políticas para la seguridad de nuestros
equipos. Pero hemos de recordar que cada sitio es diferente, y por tanto también
lo son sus necesidades de seguridad; de esta forma, no se pueden dar recomendaciones
específicas sino pautas generales a tener en cuenta, que pueden variar
desde el simple sentido común (como es el cerrar con llave la sala de operaciones
cuando salimos de ella) hasta medidas mucho más complejas, como la prevención
de radiaciones electromagnéticas de los equipos o la utilización
de degaussers. En entornos habituales suele ser suficiente con un poco
de sentido común para conseguir una mínima seguridad física;
de cualquier forma, en cada institución se ha de analizar el valor de lo
que se quiere proteger y la probabilidad de las amenazas potenciales, para en
función de los resultados obtenidos diseñar un plan de seguridad
adecuado. Por ejemplo, en una empresa ubicada en Valencia quizás parezca
absurdo hablar de la prevención ante terremotos (por ser esta un área
de bajo riesgo), pero no sucederá lo mismo en una universidad situada en
una zona sísmicamente activa; de la misma forma, en entornos de I+D es
absurdo hablar de la prevención ante un ataque nuclear, pero en sistemas
militares esta amenaza se ha de tener en cuenta3.1.
El hardware es frecuentemente el elemento más caro de todo sistema
informático3.2. Por tanto, las medidas encaminadas a asegurar
su integridad son una parte importante de la seguridad física de cualquier
organización, especialmente en las dedicadas a I+D: universidades, centros
de investigación, institutos tecnológicos...suelen poseer entre
sus equipos máquinas muy caras, desde servidores con una gran potencia
de cálculo hasta routers de última tecnología, pasando
por modernos sistemas de transmisión de datos como la fibra óptica.
Son muchas las amenazas al hardware de una instalación informática;
aquí se van a presentar algunas de ellas, sus posibles efectos y algunas
soluciones, si no para evitar los problemas sí al menos para minimizar
sus efectos.
La posibilidad de acceder físicamente a una máquina Unix - en general,
a cualquier sistema operativo - hace inútiles casi todas las medidas de
seguridad que hayamos aplicado sobre ella: hemos de pensar que si un atacante
puede llegar con total libertad hasta una estación puede por ejemplo abrir
la CPU y llevarse un disco duro; sin necesidad de privilegios en el sistema, sin
importar la robustez de nuestros cortafuegos, sin nisiquiera una clave de usuario,
el atacante podrá seguramente modificar la información almacenada,
destruirla o simplemente leerla. Incluso sin llegar al extremo de desmontar la
máquina, que quizás resulte algo exagerado en entornos clásicos
donde hay cierta vigilancia, como un laboratorio o una sala de informática,
la persona que accede al equipo puede pararlo o arrancar una versión diferente
del sistema operativo sin llamar mucho la atención. Si por ejemplo alguien
accede a un laboratorio con máquinas Linux, seguramente le resultará
fácil utilizar un disco de arranque, montar los discos duros de la máquina
y extraer de ellos la información deseada; incluso es posible que utilice
un ramdisk con ciertas utilidades que constituyan una amenaza para otros
equipos, como nukes o sniffers.
Visto esto, parece claro que cierta seguridad física es necesaria para
garantizar la seguridad global de la red y los sistemas conectados a ella; evidentemente
el nivel de seguridad física depende completamente del entorno donde se
ubiquen los puntos a proteger (no es necesario hablar sólo de equipos Unix,
sino de cualquier elemento físico que se pueda utilizar para amenazar la
seguridad, como una toma de red apartada en cualquier rincón de un edificio
de nuestra organización). Mientras que parte de los equipos estarán
bien protegidos, por ejemplo los servidores de un departamento o las máquinas
de los despachos, otros muchos estarán en lugares de acceso semipúblico,
como laboratorios de prácticas; es justamente sobre estos últimos
sobre los que debemos extremar las precauciones, ya que lo más fácil
y discreto para un atacante es acceder a uno de estos equipos y, en segundos,
lanzar un ataque completo sobre la red.
¿Cómo prevenir un acceso físico no autorizado a un determinado
punto? Hay soluciones para todos los gustos, y también de todos los precios:
desde analizadores de retina hasta videocámaras, pasando por tarjetas inteligentes
o control de las llaves que abren determinada puerta. Todos los modelos de autenticación
de usuarios (capítulo 8) son aplicables,
aparte de para controlar el acceso lógico a los sistemas, para controlar
el acceso físico; de todos ellos, quizás los más adecuados
a la seguridad física sean los biométricos y los basados en algo
poseído; aunque como comentaremos más tarde suelen resultar algo
caros para utilizarlos masivamente en entornos de seguridad media.
Pero no hay que irse a sistemas tan complejos para prevenir accesos físicos
no autorizados; normas tan elementales como cerrar las puertas con llave al salir
de un laboratorio o un despacho o bloquear las tomas de red que no se suelan utilizar
y que estén situadas en lugares apartados son en ocasiones más que
suficientes para prevenir ataques. También basta el sentido común
para darse cuenta de que el cableado de red es un elemento importante para la
seguridad, por lo que es recomendable apartarlo del acceso directo; por desgracia,
en muchas organizaciones podemos ver excelentes ejemplos de lo que no
hay que hacer en este sentido: cualquiera que pasee por entornos más o
menos amplios (el campus de una universidad, por ejemplo) seguramente podrá
ver - o pinchar, o cortar...- cables descolgados al alcance de todo el mundo,
especialmente durante el verano, época que se suele aprovechar para hacer
obras.
Todos hemos visto películas en las que se mostraba un estricto control
de acceso a instalaciones militares mediante tarjetas inteligentes, analizadores
de retina o verificadores de la geometría de la mano; aunque algunos de
estos métodos aún suenen a ciencia ficción y sean demasiado
caros para la mayor parte de entornos (recordemos que si el sistema de protección
es más caro que lo que se quiere proteger tenemos un grave error en nuestros
planes de seguridad), otros se pueden aplicar, y se aplican, en muchas organizaciones.
Concretamente, el uso de lectores de tarjetas para poder acceder a ciertas dependencias
es algo muy a la orden del día; la idea es sencilla: alguien pasa una tarjeta
por el lector, que conecta con un sistema - por ejemplo un ordenador - en el que
existe una base de datos con información de los usuarios y los recintos
a los que se le permite el acceso. Si la tarjeta pertenece a un usuario capacitado
para abrir la puerta, ésta se abre, y en caso contrario se registra el
intento y se niega el acceso. Aunque este método quizás resulte
algo caro para extenderlo a todos y cada uno de los puntos a proteger en una organización,
no sería tan descabellado instalar pequeños lectores de códigos
de barras conectados a una máquina Linux en las puertas de muchas áreas,
especialmente en las que se maneja información más o menos sensible.
Estos lectores podrían leer una tarjeta que todos los miembros de la organización
poseerían, conectar con la base de datos de usuarios, y autorizar o denegar
la apertura de la puerta. Se trataría de un sistema sencillo de implementar,
no muy caro, y que cubre de sobra las necesidades de seguridad en la mayoría
de entornos: incluso se podría abaratar si en lugar de utilizar un mecanismo
para abrir y cerrar puertas el sistema se limitara a informar al administrador
del área o a un guardia de seguridad mediante un mensaje en pantalla o
una luz encendida: de esta forma los únicos gastos serían los correspondientes
a los lectores de códigos de barras, ya que como equipo con la base de
datos se puede utilizar una máquina vieja o un servidor de propósito
general.
Cuando la prevención es difícil por cualquier motivo (técnico,
económico, humano...) es deseable que un potencial ataque sea detectado
cuanto antes, para minimizar así sus efectos. Aunque en la detección
de problemas, generalmente accesos físicos no autorizados, intervienen
medios técnicos, como cámaras de vigilancia de circuito cerrado
o alarmas, en entornos más normales el esfuerzo en detectar estas amenazas
se ha de centrar en las personas que utilizan los sistemas y en las que sin utilizarlos
están relacionadas de cierta forma con ellos; sucede lo mismo que con la
seguridad lógica: se ha de ver toda la protección como una cadena
que falla si falla su eslabón más débil.
Es importante concienciar a todos de su papel en la política de seguridad
del entorno; si por ejemplo un usuario autorizado detecta presencia de alguien
de quien sospecha que no tiene autorización para estar en una determinada
estancia debe avisar inmediatamente al administrador o al responsable de los equipos,
que a su vez puede avisar al servicio de seguridad si es necesario. No obstante,
utilizar este servicio debe ser sólamente un último recurso: generalmente
en la mayoría de entornos no estamos tratando con terroristas, sino por
fortuna con elementos mucho menos peligrosos. Si cada vez que se sospecha de alguien
se avisa al servicio de seguridad esto puede repercutir en el ambiente de trabajo
de los usuarios autorizados estableciendo cierta presión que no es en absoluto
recomendable; un simple '¿puedo ayudarte en algo?' suele ser más
efectivo que un guardia solicitando una identificación formal. Esto es
especialmente recomendable en lugares de acceso restringido, como laboratorios
de investigación o centros de cálculo, donde los usuarios habituales
suelen conocerse entre ellos y es fácil detectar personas ajenas al entorno.
En el anterior punto hemos hecho referencia a accesos físicos no autorizados
a zonas o a elementos que pueden comprometer la seguridad de los equipos o de
toda la red; sin embargo, no son estas las únicas amenazas relacionadas
con la seguridad física. Un problema que no suele ser tan habitual, pero
que en caso de producirse puede acarrear gravísimas consecuencias, es el
derivado de los desastres naturales y su (falta de) prevención.
Los terremotos son el desastre natural menos probable en la mayoría de
organismos ubicados en España, simplemente por su localización geográfica:
no nos encontramos en una zona donde se suelan producir temblores de intensidad
considerable; incluso en zonas del sur de España, como Almería,
donde la probabilidad de un temblor es más elevada, los terremotos no suelen
alcanzan la magnitud necesaria para causar daños en los equipos. Por tanto,
no se suelen tomar medidas serias contra los movimientos sísmicos, ya que
la probabilidad de que sucedan es tan baja que no merece la pena invertir dinero
para minimizar sus efectos.
De cualquier forma, aunque algunas medidas contra terremotos son excesivamente
caras para la mayor parte de organizaciones en España (evidentemente serían
igual de caras en zonas como Los Ángeles, pero allí el coste estaría
justificado por la alta probabilidad de que se produzcan movimientos de magnitud
considerable), no cuesta nada tomar ciertas medidas de prevención; por
ejemplo, es muy recomendable no situar nunca equipos delicados en superficies
muy elevadas (aunque tampoco es bueno situarlos a ras de suelo, como veremos al
hablar de inundaciones). Si lo hacemos, un pequeño temblor puede tirar
desde una altura considerable un complejo hardware, lo que con toda probabilidad
lo inutilizará; puede incluso ser conveniente (y barato) utilizar fijaciones
para los elementos más críticos, como las CPUs, los monitores o
los routers. De la misma forma, tampoco es recomendable situar objetos
pesados en superficies altas cercanas a los equipos, ya que si lo que cae son
esos objetos también dañarán el hardware.
Para evitar males mayores ante un terremoto, también es muy importante
no situar equipos cerca de las ventanas: si se produce un temblor pueden caer
por ellas, y en ese caso la pérdida de datos o hardware pierde
importancia frente a los posibles accidentes - incluso mortales - que puede causar
una pieza voluminosa a las personas a las que les cae encima. Además, situando
los equipos alejados de las ventanas estamos dificultando las acciones de un potencial
ladrón que se descuelgue por la fachada hasta las ventanas, ya que si el
equipo estuviera cerca no tendría más que alargar el brazo para
llevárselo.
Quizás hablar de terremotos en un trabajo dedicado a sistemas 'normales'
especialmente centrándonos en lugares con escasa actividad sísmica
- como es España y más concretamente la Comunidad Valenciana - pueda
resultar incluso gracioso, o cuanto menos exagerado. No obstante, no debemos entender
por terremotos únicamente a los grandes desastres que derrumban edificios
y destrozan vías de comunicación; quizás sería mas
apropiado hablar incluso de vibraciones, desde las más grandes
(los terremotos) hasta las más pequeñas (un simple motor cercano
a los equipos). Las vibraciones, incluso las más imperceptibles, pueden
dañar seriamente cualquier elemento electrónico de nuestras máquinas,
especialmente si se trata de vibraciones contínuas: los primeros efectos
pueden ser problemas con los cabezales de los discos duros o con los circuitos
integrados que se dañan en las placas. Para hacer frente a pequeñas
vibraciones podemos utilizar plataformas de goma donde situar a los equipos, de
forma que la plataforma absorba la mayor parte de los movimientos; incluso sin
llegar a esto, una regla común es evitar que entren en contacto equipos
que poseen una electrónica delicada con hardware más mecánico,
como las impresoras: estos dispositivos no paran de generar vibraciones cuando
están en funcionamiento, por lo que situar una pequeña impresora
encima de la CPU de una máquina es una idea nefasta. Como dicen algunos
expertos en seguridad ([GS96]), el espacio en la sala de operaciones es un
problema sin importancia comparado con las consecuencias de fallos en un disco
duro o en la placa base de un ordenador.
Las tormentas con aparato eléctrico, especialmente frecuentes en verano
(cuando mucho personal se encuentra de vacaciones, lo que las hace más
peligrosas) generan subidas súbitas de tensión infinitamente superiores
a las que pueda generar un problema en la red eléctrica, como veremos a
continuación. Si cae un rayo sobre la estructura metálica del edificio
donde están situados nuestros equipos es casi seguro que podemos ir pensando
en comprar otros nuevos; sin llegar a ser tan dramáticos, la caída
de un rayo en un lugar cercano puede inducir un campo magnético lo suficientemente
intenso como para destruir hardware incluso protegido contra voltajes
elevados.
Sin embargo, las tormentas poseen un lado positivo: son predecibles con más
o menos exactitud, lo que permite a un administrador parar sus máquinas
y desconectarlas de la línea eléctrica3.3. Entonces, ¿cuál es el problema?
Aparte de las propias tormentas, el problema son los responsables de los equipos:
la caída de un rayo es algo poco probable - pero no imposible - en una
gran ciudad donde existen artilugios destinados justamente a atraer rayos de una
forma controlada; tanto es así que mucha gente ni siquiera ha visto caer
cerca un rayo, por lo que directamente tiende a asumir que eso no le va a suceder
nunca, y menos a sus equipos. Por tanto, muy pocos administradores se molestan
en parar máquinas y desconectarlas ante una tormenta; si el fenómeno
sucede durante las horas de trabajo y la tormenta es fuerte, quizás sí
que lo hace, pero si sucede un sábado por la noche nadie va a ir a la sala
de operaciones a proteger a los equipos, y nadie antes se habrá tomado
la molestia de protegerlos por una simple previsión meteorológica.
Si a esto añadimos lo que antes hemos comentado, que las tormentas se producen
con más frecuencia en pleno verano, cuando casi toda la plantilla está
de vacaciones y sólo hay un par de personas de guardia, tenemos el caldo
de cultivo ideal para que una amenaza que a priori no es muy grave se
convierta en el final de algunos de nuestros equipos. Conclusión: todos
hemos de tomar más en serio a la Naturaleza cuando nos avisa con un par
de truenos...
Otra medida de protección contra las tormentas eléctricas hace referencia
a la ubicación de los medios magnéticos, especialmente las copias
de seguridad; aunque hablaremos con más detalle de la protección
de los backups en el punto 2.3.2, de
momento podemos adelantar que se han de almacenar lo más alejados posible
de la estructura metálica de los edificios. Un rayo en el propio edificio,
o en un lugar cercano, puede inducir un campo electromagnético lo suficientemente
grande como para borrar de golpe todas nuestras cintas o discos, lo que añade
a los problemas por daños en el hardware la pérdida de toda
la información de nuestros sistemas.
Cierto grado de humedad es necesario para un correcto funcionamiento de nuestras
máquinas: en ambientes extremadamente secos el nivel de electricidad estática
es elevado, lo que, como veremos más tarde, puede transformar un pequeño
contacto entre una persona y un circuito, o entre diferentes componentes de una
máquina, en un daño irreparable al hardware y a la información.
No obstante, niveles de humedad elevados son perjudiciales para los equipos porque
pueden producir condensación en los circuitos integrados, lo que origina
cortocircuitos que evidentemente tienen efectos negativos sobre cualquier elemento
electrónico de una máquina.
Controlar el nivel de humedad en los entornos habituales es algo innecesario,
ya que por norma nadie ubica estaciones en los lugares más húmedos
o que presenten situaciones extremas; no obstante, ciertos equipos son especialmente
sensibles a la humedad, por lo que es conveniente consultar los manuales de todos
aquellos de los que tengamos dudas. Quizás sea necesario utilizar alarmas
que se activan al detectar condiciones de muy poca o demasiada humedad, especialmente
en sistemas de alta disponibilidad o de altas prestaciones, donde un fallo en
un componente puede ser crucial.
Cuando ya no se habla de una humedad más o menos elevada sino de completas
inundaciones, los problemas generados son mucho mayores. Casi cualquier medio
(una máquina, una cinta, un router...) que entre en contacto con
el agua queda automáticamente inutilizado, bien por el propio líquido
o bien por los cortocircuitos que genera en los sistemas electrónicos.
Evidentemente, contra las inundaciones las medidas más efectivas son las
de prevención (frente a las de detección); podemos utilizar detectores
de agua en los suelos o falsos suelos de las salas de operaciones, y apagar automáticamente
los sistemas en caso de que se activen. Tras apagar los sistemas podemos tener
también instalado un sistema automático que corte la corriente:
algo muy común es intentar sacar los equipos - previamente apagados o no
- de una sala que se está empezando a inundar; esto, que a primera vista
parece lo lógico, es el mayor error que se puede cometer si no hemos desconectado
completamente el sistema eléctrico, ya que la mezcla de corriente y agua
puede causar incluso la muerte a quien intente salvar equipos. Por muy caro que
sea el hardware o por muy valiosa que sea la información a proteger,
nunca serán magnitudes comparables a lo que supone la pérdida de
vidas humanas. Otro error común relacionado con los detectores de agua
es situar a los mismos a un nivel superior que a los propios equipos a salvaguardar
(¡incluso en el techo, junto a los detectores de humo!); evidentemente,
cuando en estos casos el agua llega al detector poco se puede hacer ya por las
máquinas o la información que contienen.
Medidas de protección menos sofisticadas pueden ser la instalación
de un falso suelo por encima del suelo real, o simplemente tener la precaución
de situar a los equipos con una cierta elevación respecto al suelo, pero
sin llegar a situarlos muy altos por los problemas que ya hemos comentado al hablar
de terremotos y vibraciones.
Quizás los problemas derivados del entorno de trabajo más frecuentes
son los relacionados con el sistema eléctrico que alimenta nuestros equipos;
cortocircuitos, picos de tensión, cortes de flujo...a diario amenazan la
integridad tanto de nuestro hardware como de los datos que almacena o
que circulan por él.
El problema menos común en las instalaciones modernas son las subidas de
tensión, conocidas como 'picos' porque generalmente duran muy poco: durante
unas fracciones de segundo el voltaje que recibe un equipo sube hasta sobrepasar
el límite aceptable que dicho equipo soporta. Lo normal es que estos picos
apenas afecten al hardware o a los datos gracias a que en la mayoría
de equipos hay instalados fusibles, elementos que se funden ante una subida de
tensión y dejan de conducir la corriente, provocando que la máquina
permanezca apagada. Disponga o no de fusibles el equipo a proteger (lo normal
es que sí los tenga) una medida efectiva y barata es utilizar tomas de
tierra para asegurar aún más la integridad; estos mecanismos evitan
los problemas de sobretensión desviando el exceso de corriente hacia el
suelo de una sala o edificio, o simplemente hacia cualquier lugar con voltaje
nulo. Una toma de tierra sencilla puede consistir en un buen conductor conectado
a los chasis de los equipos a proteger y a una barra maciza, también conductora,
que se introduce lo más posible en el suelo; el coste de la instalación
es pequeño, especialmente si lo comparamos con las pérdidas que
supondría un incendio que afecte a todos o a una parte de nuestros equipos.
Incluso teniendo un sistema protegido con los métodos anteriores, si la
subida de tensión dura demasiado, o si es demasiado rápida, podemos
sufrir daños en los equipos; existen acondicionadores de tensión
comerciales que protegen de los picos hasta en los casos más extremos,
y que también se utilizan como filtros para ruido eléctrico. Aunque
en la mayoría de situaciones no es necesario su uso, si nuestra organización
tiene problemas por el voltaje excesivo quizás sea conveniente instalar
alguno de estos aparatos.
Un problema que los estabilizadores de tensión o las tomas de tierra no
pueden solucionar es justamente el contrario a las subidas de tensión:
las bajadas, situaciones en las que la corriente desciende por debajo del voltaje
necesario para un correcto funcionamiento del sistema, pero sin llegar a ser lo
suficientemente bajo para que la máquina se apague ([SBL90]). En estas situaciones la máquina
se va a comportar de forma extraña e incorrecta, por ejemplo no aceptando
algunas instrucciones, no completando escrituras en disco o memoria, etc. Es una
situación similar a la de una bombilla que pierde intensidad momentáneamente
por falta de corriente, pero trasladada a un sistema que en ese pequeño
intervalo ejecuta miles o millones de instrucciones y transferencias de datos.
Otro problema, muchísimo más habituales que los anteriores en redes
eléctricas modernas, son los cortes en el fluido eléctrico que llega
a nuestros equipos. Aunque un simple corte de corriente no suele afectar al
hardware, lo más peligroso (y que sucede en muchas ocasiones) son las
idas y venidas rápidas de la corriente; en esta situación, aparte
de perder datos, nuestras máquinas pueden sufrir daños.
La forma más efectiva de proteger nuestros equipos contra estos problemas
de la corriente eléctrica es utilizar una SAI (Servicio de Alimentación
Ininterrumpido) conectada al elemento que queremos proteger. Estos dispositivos
mantienen un flujo de corriente correcto y estable de corriente, protegiendo así
los equipos de subidas, cortes y bajadas de tensión; tienen capacidad para
seguir alimentando las máquinas incluso en caso de que no reciban electricidad
(evidentemente no las alimentan de forma indefinida, sino durante un cierto tiempo
- el necesario para detener el sistema de forma ordenada). Por tanto, en caso
de fallo de la corriente el SAI informará a la máquina Unix, que
a través de un programa como /sbin/powerd recibe la información
y decide cuanto tiempo de corriente le queda para poder pararse correctamente;
si de nuevo vuelve el flujo la SAI vuelve a informar de este evento y el sistema
desprograma su parada. Así de simple: por poco más de diez mil pesetas
podemos obtener una SAI pequeña, más que suficiente para muchos
servidores, que nos va a librar de la mayoría de los problemas relacionados
con la red eléctrica.
Un último problema contra el que ni siquiera las SAIs nos protegen es la
corriente estática, un fenómeno extraño del que la mayoría
de gente piensa que no afecta a los equipos, sólo a otras personas. Nada
más lejos de la realidad: simplemente tocar con la mano la parte metálica
de teclado o un conductor de una placa puede destruir un equipo completamente.
Se trata de corriente de muy poca intensidad pero un altísimo voltaje,
por lo que aunque la persona no sufra ningún daño - sólo
un pequeño calambrazo - el ordenador sufre una descarga que puede ser suficiente
para destrozar todos sus componentes, desde el disco duro hasta la memoria RAM.
Contra el problema de la corriente estática existen muchas y muy baratas
soluciones: spray antiestático, ionizadores antiestáticos...No
obstante en la mayoría de situaciones sólo hace falta un poco de
sentido común del usuario para evitar accidentes: no tocar directamente
ninguna parte metálica, protegerse si debe hacer operaciones con el
hardware, no mantener el entorno excesivamente seco...
Dentro del apartado anterior podríamos haber hablado del ruido eléctrico
como un problema más relacionado con la electricidad; sin embargo este
problema no es una incidencia directa de la corriente en nuestros equipos, sino
una incidencia relacionada con la corriente de otras máquinas que pueden
afectar al funcionamiento de la nuestra. El ruido eléctrico suele ser generado
por motores o por maquinaria pesada, pero también puede serlo por otros
ordenadores o por multitud de aparatos, especialmente muchos de los instalados
en los laboratorios de organizaciones de I+D, y se transmite a través del
espacio o de líneas eléctricas cercanas a nuestra instalación.
Para prevenir los problemas que el ruido eléctrico puede causar en nuestros
equipos lo más barato es intentar no situar hardware cercano a
la maquinaria que puede causar dicho ruido; si no tenemos más remedio que
hacerlo, podemos instalar filtros en las líneas de alimentación
que llegan hasta los ordenadores. También es recomendable mantener alejados
de los equipos dispositivos emisores de ondas, como teléfonos móviles,
transmisores de radio o walkie-talkies; estos elementos puede incluso
dañar permanentemente a nuestro hardware si tienen la suficiente
potencia de transmisión, o influir directamente en elementos que pueden
dañarlo como detectores de incendios o cierto tipo de alarmas.
Una causa casi siempre relacionada con la electricidad son los incendios, y con
ellos el humo; aunque la causa de un fuego puede ser un desastre natural, lo habitual
en muchos entornos es que el mayor peligro de incendio provenga de problemas eléctricos
por la sobrecarga de la red debido al gran número de aparatos conectados
al tendido. Un simple cortocircuito o un equipo que se calienta demasiado pueden
convertirse en la causa directa de un incendio en el edificio, o al menos en la
planta, donde se encuentran invertidos millones de pesetas en equipamiento.
Un método efectivo contra los incendios son los extintores situados en
el techo, que se activan automáticamente al detectar humo o calor. Algunos
de ellos, los más antiguos, utilizaban agua para apagar las llamas, lo
que provocaba que el hardware no llegara a sufrir los efectos del fuego
si los extintores se activaban correctamente, pero que quedara destrozado por
el agua expulsada. Visto este problema, a mitad de los ochenta se comenzaron a
utilizar extintores de halón; este compuesto no conduce electricidad ni
deja residuos, por lo que resulta ideal para no dañar los equipos. Sin
embargo, también el halón presentaba problemas: por un lado, resulta
excesivamente contaminante para la atmósfera, y por otro puede axfisiar
a las personas a la vez que acaba con el fuego. Por eso se han sustituido los
extintores de halón (aunque se siguen utilizando mucho hoy en día)
por extintores de dióxido de carbono, menos contaminante y menos perjudicial.
De cualquier forma, al igual que el halón el dióxido de carbono
no es precisamente sano para los humanos, por lo que antes de activar el extintor
es conveniente que todo el mundo abandone la sala; si se trata de sistemas de
activación automática suelen avisar antes de expulsar su compuesto
mediante un pitido.
Aparte del fuego y el calor generado, en un incendio existe un tercer elemento
perjudicial para los equipos: el humo, un potente abrasivo que ataca especialmente
los discos magnéticos y ópticos. Quizás ante un incendio
el daño provocado por el humo sea insignificante en comparación
con el causado por el fuego y el calor, pero hemos de recordar que puede existir
humo sin necesidad de que haya un fuego: por ejemplo, en salas de operaciones
donde se fuma. Aunque muchos no apliquemos esta regla y fumemos demasiado - siempre
es demasiado - delante de nuestros equipos, sería conveniente no permitir
esto; aparte de la suciedad generada que se deposita en todas las partes de un
ordenador, desde el teclado hasta el monitor, generalmente todos tenemos el cenicero
cerca de los equipos, por lo que el humo afecta directamente a todos los componentes;
incluso al ser algo más habitual que un incendio, se puede considerar más
perjudicial - para los equipos y las personas - el humo del tabaco que el de un
fuego.
En muchos manuales de seguridad se insta a los usuarios, administradores, o al
personal en general a intentar controlar el fuego y salvar el equipamiento; esto
tiene, como casi todo, sus pros y sus contras. Evidentemente, algo lógico
cuando estamos ante un incendio de pequeñas dimensiones es intentar utilizar
un extintor para apagarlo, de forma que lo que podría haber sido una catástrofe
sea un simple susto o un pequeño accidente. Sin embargo, cuando las dimensiones
de las llamas son considerables lo último que debemos hacer es intentar
controlar el fuego nosotros mismos, arriesgando vidas para salvar hardware;
como sucedía en el caso de inundaciones, no importa el precio de nuestros
equipos o el valor de nuestra información: nunca serán tan importantes
como una vida humana. Lo más recomendable en estos casos es evacuar el
lugar del incendio y dejar su control en manos de personal especializado.
No hace falta ser un genio para comprender que las temperaturas extremas, ya sea
un calor excesivo o un frio intenso, perjudican gravemente a todos los equipos.
Es recomendable que los equipos operen entre 10 y 32 grados Celsius ([GS96]), aunque pequeñas variaciones en este
rango tampoco han de influir en la mayoría de sistemas.
Para controlar la temperatura ambiente en el entorno de operaciones nada mejor
que un acondicionador de aire, aparato que también influirá positivamente
en el rendimiento de los usuarios (las personas también tenemos rangos
de temperaturas dentro de los cuales trabajamos más cómodamente).
Otra condición básica para el correcto funcionamiento de cualquier
equipo que éste se encuentre correctamente ventilado, sin elementos que
obstruyan los ventiladores de la CPU. La organización física del
computador también es decisiva para evitar sobrecalentamientos: si los
discos duros, elementos que pueden alcanzar temperaturas considerables, se encuentran
excesivamente cerca de la memoria RAM, es muy probable que los módulos
acaben quemándose.
La seguridad física también implica una protección a la información
de nuestro sistema, tanto a la que está almacenada en él como a
la que se transmite entre diferentes equipos. Aunque los apartados comentados
en la anterior sección son aplicables a la protección física
de los datos (ya que no olvidemos que si protegemos el hardware también
protegemos la información que se almacena o se transmite por él),
hay ciertos aspectos a tener en cuenta a la hora de diseñar una política
de seguridad física que afectan principalmente, aparte de a los elementos
físicos, a los datos de nuestra organización; existen ataques cuyo
objetivo no es destruir el medio físico de nuestro sistema, sino simplemente
conseguir la información almacenada en dicho medio.
Eavesdropping
La interceptación o eavesdropping, también conocida por
passive wiretapping ([CES91]) es un proceso mediante el cual un agente capta
información - en claro o cifrada - que no le iba dirigida; esta captación
puede realizarse por muchísimos medios (por ejemplo, capturando las radiaciones
electromagnéticas, como veremos luego). Aunque es en principio un ataque
completamente pasivo, lo más peligroso del eavesdropping es que
es muy difícil de detectar mientras que se produce, de forma que un atacante
puede capturar información privilegiada y claves para acceder a más
información sin que nadie se de cuenta hasta que dicho atacante utiliza
la información capturada, convirtiendo el ataque en activo.
Un medio de interceptación bastante habitual es el sniffing, consistente
en capturar tramas que circulan por la red mediante un programa ejecutándose
en una máquina conectada a ella o bien mediante un dispositivo que se engancha
directamente el cableado3.4. Estos dispositivos, denominados sniffers
de alta impedancia, se conectan en paralelo con el cable de forma que la impedancia
total del cable y el aparato es similar a la del cable solo, lo que hace difícil
su detección. Contra estos ataques existen diversas soluciones; la más
barata a nivel físico es no permitir la existencia de segmentos de red
de fácil acceso, lugares idóneos para que un atacante conecte uno
de estos aparatos y capture todo nuestro tráfico. No obstante esto resulta
difícil en redes ya instaladas, donde no podemos modificar su arquitectura;
en estos existe una solución generalmente gratuita pero que no tiene mucho
que ver con el nivel físico: el uso de aplicaciones de cifrado para realizar
las comunicaciones o el almacenamiento de la información (hablaremos más
adelante de algunas de ellas). Tampoco debemos descuidar las tomas de red libres,
donde un intruso con un portatil puede conectarse para capturar tráfico;
es recomendable analizar regularmente nuestra red para verificar que todas las
máquinas activas están autorizadas.
Como soluciones igualmente efectivas contra la interceptación a nivel físico
podemos citar el uso de dispositivos de cifra (no simples programas, sino
hardware), generalmente chips que implementan algoritmos como DES;
esta solución es muy poco utilizada en entornos de I+D, ya que es muchísimo
más cara que utilizar implementaciones software de tales algoritmos
y en muchas ocasiones la única diferencia entre los programas y los dispositivos
de cifra es la velocidad. También se puede utilizar, como solución
más cara, el cableado en vacío para evitar la interceptación
de datos que viajan por la red: la idea es situar los cables en tubos donde artificialmente
se crea el vacío o se inyecta aire a presión; si un atacante intenta
'pinchar' el cable para interceptar los datos, rompe el vacío o el nivel
de presión y el ataque es detectado inmediatamente. Como decimos, esta
solución es enormemente cara y sólamente se aplica en redes de perímetro
reducido para entornos de alta seguridad.
Antes de finalizar este punto debemos recordar un peligro que muchas veces se
ignora: el de la interceptación de datos emitidos en forma de sonido o
simple ruido en nuestro entorno de operaciones. Imaginemos una situación
en la que los responsables de la seguridad de nuestra organización se reunen
para discutir nuevos mecanismos de protección; todo lo que en esa reunión
se diga puede ser capturado por multitud de métodos, algunos de los cuales
son tan simples que ni siquiera se contemplan en los planes de seguridad. Por
ejemplo, una simple tarjeta de sonido instalada en un PC situado en la sala de
reuniones puede transmitir a un atacante todo lo que se diga en esa reunión;
mucho más simple y sencillo: un teléfono mal colgado - intencionada
o inintencionadamente - también puede transmitir información muy
útil para un potencial enemigo. Para evitar estos problemas existen numerosos
métodos: por ejemplo, en el caso de los teléfonos fijos suele ser
suficiente un poco de atención y sentido común, ya que basta con
comprobar que están bien colgados...o incluso desconectados de la red telefónica.
El caso de los móviles suele ser algo más complejo de controlar,
ya que su pequeño tamaño permite camuflarlos fácilmente;
no obstante, podemos instalar en la sala de reuniones un sistema de aislamiento
para bloquear el uso de estos teléfonos: se trata de sistemas que ya se
utilizan en ciertos entornos (por ejemplo en conciertos musicales) para evitar
las molestias de un móvil sonando, y que trabajan bloqueando cualquier
transmisión en los rangos de frecuencias en los que trabajan los diferentes
operadores telefónicos. Otra medida preventiva (ya no para voz, sino para
prevenir la fuga de datos vía el ruido ambiente) muy útil - y no
muy cara - puede ser sustituir todos los teléfonos fijos de disco por teléfonos
de teclado, ya que el ruido de un disco al girar puede permitir a un pirata deducir
el número de teléfono marcado desde ese aparato.
Backups
En este apartado no vamos a hablar de las normas para establecer una política
de realización de copias de seguridad correcta, ni tampoco de los mecanismos
necesarios para implementarla o las precauciones que hay que tomar para que todo
funcione correctamente; el tema que vamos a tratar en este apartado es la protección
física de la información almacenada en backups, esto es,
de la protección de los diferentes medios donde residen nuestras copias
de seguridad. Hemos de tener siempre presente que si las copias contienen toda
nuestra información tenemos que protegerlas igual que protegemos nuestros
sistemas.
Un error muy habitual es almacenar los dispositivos de backup en lugares
muy cercanos a la sala de operaciones, cuando no en la misma sala; esto, que en
principio puede parecer correcto (y cómodo si necesitamos restaurar unos
archivos) puede convertirse en un problema: imaginemos simplemente que se produce
un incendio de grandes dimensiones y todo el edificio queda reducido a cenizas.
En este caso extremo tendremos que unir al problema de perder todos nuestros equipos
- que seguramente cubrirá el seguro, por lo que no se puede considerar
una catástrofe - el perder también todos nuestros datos, tanto los
almacenados en los discos como los guardados en backups (esto evidentemente
no hay seguro que lo cubra). Como podemos ver, resulta recomendable guardar las
copias de seguridad en una zona alejada de la sala de operaciones, aunque en este
caso descentralizemos la seguridad y tengamos que proteger el lugar donde almacenamos
los backups igual que protegemos la propia sala o los equipos situados
en ella, algo que en ocasiones puede resultar caro.
También suele ser común etiquetar las cintas donde hacemos copias
de seguridad con abundante información sobre su contenido (sistemas de
ficheros almacenados, día y hora de la realización, sistema al que
corresponde...); esto tiene una parte positiva y una negativa. Por un lado, recuperar
un fichero es rápido: sólo tenemos que ir leyendo las etiquetas
hasta encontrar la cinta adecuada. Sin embargo, si nos paramos a pensar, igual
que para un administrador es fácil encontrar el backup deseado
también lo es para un intruso que consiga acceso a las cintas, por lo que
si el acceso a las mismas no está bien restringido un atacante lo tiene
fácil para sustraer una cinta con toda nuestra información; no necesita
saltarse nuestro cortafuegos, conseguir una clave del sistema o chantajear a un
operador: nosotros mismos le estamos poniendo en bandeja toda nuestros datos.
No obstante, ahora nos debemos plantear la duda habitual: si no etiqueto las
copias de seguridad, ¿cómo puedo elegir la que debo restaurar en
un momento dado? Evidentemente, se necesita cierta información en cada
cinta para poder clasificarlas, pero esa información nunca debe
ser algo que le facilite la tarea a un atacante; por ejemplo, se puede diseñar
cierta codificación que sólo conozcan las personas responsables
de las copias de seguridad, de forma que cada cinta vaya convenientemente etiquetada,
pero sin conocer el código sea difícil imaginar su contenido. Aunque
en un caso extremo el atacante puede llevarse todos nuestros backups para
analizarlos uno a uno, siempre es más difícil disimular una carretilla
llena de cintas de 8mm que una pequeña unidad guardada en un bolsillo.
Y si aún pensamos que alguien puede sustraer todas las copias, simplemente
tenemos que realizar backups cifrados...y controlar más el acceso
al lugar donde las guardamos.
En muchas ocasiones los responsables de seguridad de los sistemas tienen muy presente
que la información a proteger se encuentra en los equipos, en las copias
de seguridad o circulando por la red (y por lo tanto toman medidas para salvaguardar
estos medios), pero olvidan que esa información también puede encontrarse
en lugares menos obvios, como listados de impresora, facturas telefónicas
o la propia documentación de una máquina.
Imaginemos una situación muy típica en los sistemas Unix: un usuario,
desde su terminal o el equipo de su despacho, imprime en el servidor un documento
de cien páginas, documento que ya de entrada ningún operador comprueba
- y quizás no pueda comprobar, ya que se puede comprometer la privacidad
del usuario - pero que puede contener, disimuladamente, una copia de nuestro fichero
de contraseñas. Cuando la impresión finaliza, el administrador lleva
el documento fuera de la sala de operaciones, pone como portada una hoja con los
datos del usuario en la máquina ( login perfectamente visible, nombre
del fichero, hora en que se lanzó...) y lo deja, junto a los documentos
que otros usuarios han imprimido - y con los que se ha seguido la misma política
- en una estantería perdida en un pasillo, lugar al que cualquier persona
puede acceder con total libertad y llevarse la impresión, leerla o simplemente
curiosear las portadas de todos los documentos. Así, de repente, a nadie
se le escapan bastante problemas de seguridad derivados de esta política:
sin entrar en lo que un usuario pueda imprimir - que repetimos, quizás
no sea legal, o al menos ético, curiosear -, cualquiera puede robar una
copia de un proyecto o un examen3.5, obtener información sobre nuestros
sistemas de ficheros y las horas a las que los usuarios suelen trabajar, o simplemente
descubrir, simplemente pasando por delante de la estantería, diez o veinte
nombres válidos de usuario en nuestras máquinas; todas estas informaciones
pueden ser de gran utilidad para un atacante, que por si fuera poco no tiene que
hacer nada para obtenerlas, simplemente darse un paseo por el lugar donde depositamos
las impresiones. Esto, que a muchos les puede parecer una exageración,
no es ni más ni menos la política que se sigue en muchas organizaciones
hoy en día, e incluso en centros de proceso de datos, donde a priori
ha de haber una mayor concienciación por la seguridad informática.
Evidentemente, hay que tomar medidas contra estos problemas. En primer lugar,
las impresoras, plotters, faxes, teletipos, o cualquier dispositivo por
el que pueda salir información de nuestro sistema ha de estar situado en
un lugar de acceso restringido; también es conveniente que sea de acceso
restringido el lugar donde los usuarios recogen los documentos que lanzan a estos
dispositivos. Sería conveniente que un usuario que recoge una copia se
acredite como alguien autorizado a hacerlo, aunque quizás esto puede ser
imposible, o al menos muy difícil, en grandes sistemas (imaginemos que
en una máquina con cinco mil usuarios obligamos a todo aquél que
va a recoger una impresión a identificarse y comprobamos que la identificación
es correcta antes de darle su documento...con toda seguridad necesitaríamos
una persona encargada exclusivamente de este trabajo), siempre es conveniente
demostrar cierto grado de interés por el destino de lo que sale por nuestra
impresora: sin llegar a realizar un control férreo, si un atacante sabe
que el acceso a los documentos está mínimamente controlado se lo
pensará dos veces antes de intentar conseguir algo que otro usuario ha
imprimido.
Elementos que también pueden ser aprovechados por un atacante para comprometer
nuestra seguridad son todos aquellos que revelen información de nuestros
sistemas o del personal que los utiliza, como ciertos manuales (proporcionan versiones
de los sistemas operativos utilizados), facturas de teléfono del centro
(pueden indicar los números de nuestros módems) o agendas de operadores
(revelan los teléfonos de varios usuarios, algo muy provechoso para alguien
que intente efectuar ingeniería social contra ellos). Aunque es conveniente
no destruir ni dejar a la vista de todo el mundo esta información, si queremos
eliminarla no podemos limitarnos a arrojar documentos a la papelera: en el capítulo
siguiente hablaremos del basureo, algo que aunque parezca sacado de películas
de espías realmente se utiliza contra todo tipo de entornos. Es recomendable
utilizar una trituradora de papel, dispositivo que dificulta muchísimo
la reconstrucción y lectura de un documento destruido; por poco dinero
podemos conseguir uno de estos aparatos, que suele ser suficiente para acabar
con cantidades moderadas de papel.
Dentro del apartado 2.3.1 podíamos
haber hablado del acceso no autorizado a los datos a través de las radiaciones
que el hardware emite; sin embargo, este es un tema que ha cobrado especial
importancia (especialmente en organismos militares) a raíz del programa
TEMPEST, un término ( Transient ElectroMagnetic Pulse
Emanation STandard) que identifica una serie de estándares del gobierno
estadounidense para limitar las radiaciones eléctricas y electromagnéticas
del equipamiento electrónico, desde estaciones de trabajo hasta cables
de red, pasando por terminales, mainframes, ratones...
La idea es sencilla: la corriente que circula por un conductor provoca un campo
electromagnético alrededor del conductor, campo que varía de la
misma forma que lo hace la intensidad de la corriente. Si situamos otro conductor
en ese campo, sobre él se induce una señal que también varía
proporcionalmente a la intensidad de la corriente inicial; de esta forma, cualquier
dispositivo electrónico (no sólo el informático) emite contínuamente
radiaciones a través del aire o de conductores, radiaciones que con el
equipo adecuado se pueden captar y reproducir remotamente con la consiguiente
amenaza a la seguridad que esto implica. Conscientes de este problema - obviamente
las emisiones de una batidora no son peligrosas para la seguridad, pero sí
que lo pueden ser las de un dipositivo de cifrado o las de un teclado desde el
que se envíen mensajes confidenciales - en la década de los 50 el
gobierno de Estados Unidos introdujo una serie de estándares para reducir
estas radiaciones en los equipos destinados a almacenar, procesar o transmitir
información que pudiera comprometer la seguridad nacional. De esta forma,
el hardware certificado TEMPEST se suele usar con la información
clasificada y confidencial de algunos sistemas gubernamentales para asegurar que
el eavesdropping electromagnético no va a afectar a privacidad
de los datos.
Casi medio siglo después de las primeras investigaciones sobre emanaciones
de este tipo, casi todos los paises desarrollados y organizaciones militares internacionales
tienen programas similares a TEMPEST con el mismo fin: proteger
información confidencial. Para los gobiernos, esto es algo reservado a
informaciones militares, nunca a organizaciones 'normales' y mucho menos a particulares
(la NRO, National Reconnaissance Office, eliminó en 1992 los estándares
TEMPEST para dispositivos de uso doméstico); sin embargo,
y como ejemplo - algo extremo quizás - de hasta que punto un potencial
atacante puede llegar a comprometer la información que circula por una
red o que se lee en un monitor, vamos a dar aquí unas nociones generales
sobre el problema de las radiaciones electromagnéticas.
Existen numerosos tipos de señales electromagnéticas; sin duda las
más peligrosas son las de video y las de transmisión serie, ya que
por sus características no es difícil interceptarlas con el equipamiento
adecuado ([vE85] y [Smu90]).
Otras señales que a priori también son fáciles de
captar, como las de enlaces por radiofrecuencia o las de redes basadas en infrarrojos,
no presentan tantos problemas ya que desde un principio los diseñadores
fueron conscientes de la facilidad de captación y las amenazas a la seguridad
que una captura implica; esta inseguridad tan palpable provocó la rápida
aparición de mecanismos implementados para dificultar el trabajo de un
atacante, como el salto en frecuencias o el espectro disperso ([KMM95]),
o simplemente el uso de protocolos cifrados. Este tipo de emisiones quedan fuera
del alcance de TEMPEST, pero son cubiertas por otro estándar
denominado NONSTOP, también del Departamento de Defensa
estadounidense.
Sin embargo, nadie suele tomar precauciones contra la radiación que emite
su monitor, su impresora o el cable de su módem. Y son justamente las radiaciones
de este hardware desprotegido las más preocupantes en ciertos entornos,
ya que lo único que un atacante necesita para recuperarlas es el equipo
adecuado. Dicho equipo puede variar desde esquemas extremadamente simples y baratos
- pero efectivos - ([Hig88]) hasta complejos
sistemas que en teoría utilizan los servicios de inteligencia de algunos
países. La empresa Consumertronics ( www.tsc-global.com)
fabrica y vende diversos dispositivos de monitorización, entre ellos el
basado en [vE85], que se puede considerar uno
de los pioneros en el mundo civil.
Pero, ¿cómo podemos protegernos contra el eavesdropping
de las radiaciones electromagnéticas de nuestro hardware? Existe
un amplio abanico de soluciones, desde simples medidas de prevención hasta
complejos - y caros - sistemas para apantallar los equipos. La solución
más barata y simple que podemos aplicar es la distancia: las señales
que se transmiten por el espacio son atenuadas conforme aumenta la separación
de la fuente, por lo que si definimos un perímetro físico de seguridad
lo suficientemente grande alrededor de una máquina, será difícil
para un atacante interceptar desde lejos nuestras emisiones. No obstante, esto
no es aplicable a las señales inducidas a través de conductores,
que aunque también se atenuan por la resistencia e inductancia del cableado,
la pérdida no es la suficiente para considerar seguro el sistema.
Otra solución consiste en la confusión: cuantas más
señales existan en el mismo medio, más difícil será
para un atacante filtrar la que está buscando; aunque esta medida no hace
imposible la interceptación, sí que la dificulta enormemente. Esto
se puede conseguir simplemente manteniendo diversas piezas emisoras (monitores,
terminales, cables...) cercanos entre sí y emitiendo cada una de ellas
información diferente (si todas emiten la misma, facilitamos el ataque
ya que aumentamos la intensidad de la señal inducida). También existe
hardware diseñado explícitamente para crear ruido electromagnético,
generalmente a través de señales de radio que enmascaran las radiaciones
emitidas por el equipo a proteger; dependiendo de las frecuencias utilizadas,
quizás el uso de tales dispositivos pueda ser ilegal: en todos los paises
el espectro electromagnético está dividido en bandas, cada una de
las cuales se asigna a un determinado uso, y en muchas de ellas se necesita una
licencia especial para poder transmitir. En España estas licencias son
otorgadas por la Secretaría General de Comunicaciones, dependiente del
Ministerio de Fomento.
Por último, la solución más efectiva, y más cara,
consiste en el uso de dispositivos certificados que aseguran mínima emisión,
así como de instalaciones que apantallan las radiaciones. En el hardware
hay dos aproximaciones principales para prevenir las emisiones: una es la utilización
de circuitos especiales que apenas emiten radiación (denominados de fuente
eliminada, source suppressed), y la otra es la contención de las
radiaciones, por ejemplo aumentando la atenuación; generalmente ambas aproximaciones
se aplican conjuntamente ([Swi92]). En cuanto
a las instalaciones utilizadas para prevenir el eavesdropping, la idea
general es aplicar la contención no sólo a ciertos dispositivos,
sino a un edificio o a una sala completa. Quizás la solución más
utilizada son las jaulas de Faraday sobre lugares donde se trabaja con información
sensible; se trata de separar el espacio en dos zonas electromagnéticamente
aisladas (por ejemplo, una sala y el resto del espacio) de forma que fuera de
una zona no se puedan captar las emisiones que se producen en su interior. Para
implementar esta solución se utilizan materiales especiales, como algunas
clases de cristal, o simplemente un recubrimiento conductor conectado a tierra.
Antes de finalizar este punto quizás es recomendable volver a insistir
en que todos los problemas y soluciones derivados de las radiaciones electromagnéticas
no son aplicables a los entornos o empresas normales, sino que están pensados
para lugares donde se trabaja con información altamente confidencial, como
ciertas empresas u organismos militares o de inteligencia. Aquí simplemente
se han presentado como una introducción para mostrar hasta donde puede
llegar la preocupación por la seguridad en esos lugares. La radiación
electromagnética no es un riesgo importante en la mayoría
de organizaciones ya que suele tratarse de un ataque costoso en tiempo y dinero,
de forma que un atacante suele tener muchas otras puertas para intentar comprometer
el sistema de una forma más fácil.
Notas al pie
- ... cuenta3.1
- Al menos en teoría, ya que nadie sabe con certeza lo que sucede en
organismos de defensa, excepto ellos mismos.
- ... informático3.2
- Como dijimos, el más caro, pero no el más difícil de
recuperar.
- ... eléctrica3.3
- Al contrario de lo que mucha gente piensa, no basta sólo con apagar
un sistema para que se encuentre a salvo.
- ... cableado3.4
- En este caso también se suele llamar a esta actividad wiretapping.
- ... examen3.5
- Evidentemente, si alguien imprime un examen de esta forma, no tenemos un
problema con nuestra política sino con nuestros usuarios.
Next: Administradores, usuarios
y personal Up: Seguridad del entorno de Previous:
Seguridad del entorno de
Índice General