En los últimos meses se han producido varios ciberataques en Estados Unidos que han hecho que se despertasen las alarmas en el gobierno de este país. La administración de Barack Obama ha tomado una decisión al respecto y en durante el día de hoy anunciará la creación de una nueva agencia que aglutinará toda la información de los organismos ya existentes (Seguridad Nacional, FBI, NSA).
Esa agencia central realizará funciones similares a las que realiza el National CounterTerrorism Center(NCTC) con las amenazas terroristas tradicionales, pero orientando ese trabajo hacia elciberterrorismo y los ciberataques que han demostrado ser una clara tendencia en los últimos meses tras sucesos como el que afectó a Sony Pictures.
La agencia estará formada inicialmente por unas 50 personas y tendrá un presupuesto anual de 35 millones de dólares. Queda por saber si esa ambición por tratar de detectar y atajar posibles ciberamenazas -como la que pone en riesgo cosas como nuestra conectividad a la red eléctrica- también tiene en cuenta el hecho de que los programas de la NSA siguen aparentemente funcionando y la monitorización y espionaje de todo tipo de comunicaciones a todo tipo de personas se mantiene a pesar del escándalo que se ha producido en los últimos meses.
¿Qué factores contribuyen a un crecimiento explosivo y exponencial de los ataques? Para ello establece cinco factores de análisis que tratan de dar respuesta a la pregunta y al mismo tiempo se plantean nuevas consideraciones que se integran a lo sugerido por Verton.
Factor No. 1—La velocidad es bendición y ruina.
Según el autor incrementar la velocidad en la cual la gente y los negocios pueden tener las cosas, facilita de manera rápida y eficiente los métodos para cometer delitos o crímenes conocidos como fraudes o robos, ahora de una nueva forma. Esta afirmación es interesante y refuerza una vez más que las inversiones en seguridad informática son inversamente proporcionales a los datos. Es decir, mientras más volátil es la tecnología, en cuanto a sus nuevas funcionalidades y rápida obsolescencia, más eficiente se vuelve el intruso para materializar sus acciones. El no conocer el desarrollo tecnológico y estar sometido a la curva de aprendizaje para dominarlo, son factores claves para avanzar en el reconocimiento de la inseguridad tanto en las aplicaciones como en los servicios que ofrecen las organizaciones a sus clientes.
Factor No. 2—Si el software hace más fácil y rápida la materialización de los delitos informáticos, la cantidad de dinero que se podría ganar en un mes, ahora sólo toma unos segundos.
Rice comenta que ahora nos enfrentamos al segundo factor, un simple incentivo financiero: ganar más dinero con menos esfuerzo. Es decir, la magnitud de las ganancias ilícitas, se están incrementando; existen cantidades enormes de dinero en forma electrónica que son susceptibles de fallas y asaltos que aún estamos por descubrir. Esta reflexión es desafiante y exigente al tiempo, si ahora los intrusos “saben” que requieren menos tiempo para tener dinero, pues la tecnología es su aliada, la pregunta es: ¿Qué estamos haciendo nosotros para hacerles la vida más difícil?
Factor No. 3—Otro factor que contribuye al explosivo crecimiento de los ataques es el volumen de vulnerabilidades reportadas en el software.
El autor afirma que estas vulnerabilidades ofrecen a los atacantes un sin fin de formas para explotar y vulnerar los sistemas de todos los tipos y sabores, desde aplicaciones corporativas como Oracle y PeopleSoft hasta computadores de uso en casa como Apple OS X y Windows. En este punto el autor dice que con este escenario, es difícil imaginar porqué no existen más personas involucradas con el cibercrimen. Si bien, este factor, no sólo requiere un reclamo a los proveedores del software y sus estrategias de aseguramiento de calidad de software, sino a nosotros los usuarios que “no reportamos” los eventos que puedan ser extraños o fuera del funcionamiento normal. Los atacantes se valen de nuestra “ignorancia” para avanzar y generar la incertidumbre requerida para que sus acciones pasen desapercibidas.
Factor No. 4—Las soluciones de seguridad para proteger el software de ciberataques son sustancialmente más complejas de configurar correctamente o requieren una importante cuota de “cuidado y alimentación” para asegurar su eficiencia.
El autor sugiere que la configuración y afinamiento permanente de los mecanismos de seguridad, particularmente habla de los firewalls, exige una complejidad propia del mismo y conocimiento de las interacciones para mantenerlo funcionando adecuadamente. Esta afirmación de Rice, apunta precisamente al esfuerzo continuado que requiere la seguridad, a la constante evolución de las infraestructuras y a las maneras como los atacantes desafían las nuevas propuestas de seguridad y control. La inseguridad de la información es dinámica y parte de la labor es tratar de seguirle el rastro y porqué no enfrentarnos con ella para entenderla y desafiarla.
Factor No. 5—El quinto factor es la falta de coordinación transnacional de los agentes gubernamentales para tratar el tema del delito informático.
Rice argumenta que a menos que dos naciones no compartan normas o acuerdos sobre control, persecución y judicialización de los temas de crímenes informáticos, los atacantes seguirán manteniendo su estatus de “intocables,” lo cual no envía un buen mensaje a los ciudadanos de los países. Esta connotación del autor, marca un punto importante en el tema de los ataques en Internet y las implicaciones jurídicas del asunto. Por un lado, los abogados y juristas deben avanzar en la era del electronic compliance,3 lo cual implica comprender los riesgos derivados del cruce entre tecnologías, leyes y mercados, como una manera de profundizar en las normas y estrategias para comprender el delito informático y las relaciones entre el mundo offline (mundo real) y el mundo online (virtual) y, por otro, los técnicos y especialistas en seguridad informática (o sencillamente apasionados por el tema) deben avanzar no en la identificación de las vulnerabilidades y sus posibilidades, sino en la comprensión y entendimiento de la inseguridad como esa propiedad inherente a los objetos y que requiere una mente que “piense en el margen,” “sin restricciones” y de manera creativa.
Revisando lo expuesto por Rice y Verton no es claro identificar hasta donde el ciberterrorismo se basa en el cibercrimen o vice versa, pues los intrusos ahora tienen un panorama mucho más amplio para conquistar y desarrollar. Si el intruso se concentra en atacar una nación y sus recursos computacionales propios de su funcionamiento, algunos expertos lo denominarían ciberterrorismo; mientras otros pueden sugerir acciones punibles en medios informáticos de alcance nacional que responden a tipos penales locales, lo cual implica la utilización de medios informáticos para vulnerar los derechos del estado y sus ciudadanos en la red.
Ante este aparente cruce de conceptos, se presenta este documento que busca abrir la discusión sobre el ciberterrorismo y el cibercrimen como una excusa académica para profundizar más en cada uno de estos temas y así advertir posible efectos adversos sobre los individuos, organizaciones y naciones, como amenazas emergentes que deben ser estudiadas en profundidad de manera expedita,4 para disminuir la incertidumbre propia de los temas, la cual será capitalizada por los intrusos cuando sean procesados por uno u otro contexto.
---- / ----------------------------
La trama de Ethernet se compone de los siguientes elementos:
*PREÁMBULO Y DELIMITADOR
DE INICIO DE TRAMA: Los campos Preámbulo (7 bytes ) y delimitador de
inicio de trama (SFD), también conocido como ´´inicio de trama`` (1 byte),
se utilizan para la sincronización entre los dispositivos emisores y
receptores. Estos 8 primeros bytes de la trama se utilizan para captar la
atención de los nodos receptores.
Básicamente, los primeros bytes le
indican al receptor que se prepare para recibir una trama nueva.
*DIRECCIÓN MAC DE
DESTINO: este campo de 6 bytes es el identificador del destinatario
previsto. Como recordará, la capa 2 utiliza esta dirección para ayudar a los
dispositivos a determinar si la trama viene dirigida ellos. La dirección de la
trama se compara con la dirección MAC del dispositivo. Si coinciden, el
dispositivo acepta la trama.
*DIRECCION MAC DE
ORIGEN: este campo de 6 bytes identifica la NIC o la interfaz que origina
la trama.
* CAMPO LONGITUD: para
todos los estándares IEEE 802.3 anteriores a 1997, el campo longitud define la
longitud exacta del campo de datos de la trama. Esto se utiliza posteriormente
como parte de la FCS para garantizar que el mensaje se reciba adecuadamente.
Por lo demás, el propósito del campo es describir que protocolo de capa
superior está presente. Si el valor de los octetos es igual o mayor que 0x0600
hexadecimal o 1536 decimal, el contenido del campo DATOS se decodifica según el
protocolo Ethertype indicado. Por otro lado, si el valor es igual o menor que
el hexadecimal de 0x05DC o el decimal de 1500, el campo longitud se está
utilizando para indicar el uso del formato de trama de IEEE 802.3. Asi se diferencian
las tramas de Ethernet ll y 802.3.
*CAMPO DATOS: Este
campo (de 46 a 1500 bytes ) contiene los datos encapsulados de una capa
superior, que es una PDU de capa 3 genérica o , más comúnmente, un paquete
IPv4. Todas las tramas deben tener al menos 64 bytes de longitud. Si se
encapsula un paquete pequeño , se utilizan bits adiccionales para incrementar
el tamaño de la trama al tamaño mínimo requerido.
*SECUENCIA DE
VERIFICACION DE TRAMA (FCS): este campo de 4 bytes se utiliza para detectar
errores en una trama. Utiliza una comprobación de redundancia cíclica (CRC). El
dispositivo emisor incluye los resultados de una CRC en el campo FCS de la
trama. El dispositivo receptor recibe la trama y genera una CRC para buscar
errores. Si los cálculos coinciden, significa que no se produjo ningún error.
Los cálculos que no coinciden indican que los datos cambiaron y por
consiguiente, se descarta la trama. Un cambio en los datos prodria ser el resultado de la
interrupción de las señales eléctricas que representan los bits.
Ejemplo de protocolos.
1
|
Fisica
|
Acceso
|
Ethernet
|
Tecnologia basada en topología bus.
Utiliza el método de acceso CSMA/CD.
Utiliza una variedad de medios. Asi
como una variedad de dispositivos de interconexión.
Existen otras arquitecturas de red
tales como Token Ring (IBM) FDDI, Apple Talk ( Apple computers)
|
2
|
Enlace de datos
|
Acceso
|
STP
|
SPANNING TREE PROTOCOL
El protocolo permite a los dispositivos
de interconexión activar o desactivar automáticamente los enlaces de
conexión, de forma que garantice la eliminación de bucles.
Su predecesor es el RSTP ( protocol
Rapid Spanning Tree.
|
2
|
Enlace de datos
|
Acceso
|
PAgP
|
Port Aggregation Protocol.
El protocolo se encarga de agrupar puertos
con características similares.
Es muy parecido LACP – Link aggregation
control protocol.
Solo se puede usar con interruptores
cisco o vendedores con licencia
|
2
|
Enlace de datos
|
Acceso
|
VTP
|
Vlan Trunking Protocol.
Se usa para administrar redes VLAN’S en equipos cisco, administrando los
dominios de las VLAN’S; creando , borrando y
renombrando las mismas para no tener que configurar la misma VLAN en todos
los nodos.
VTP puede operar sin autentificación lo
cual la hace susceptible a ataques.
Los paquetes VTP se pueden enviar tanto
en tramas inter-switch link (ISL) como
en tramas IEEE 802.1Q(dot1q).
Opera en 3 modos distintos:
*Servidor *Cliente
*Transparente
|
2
|
Enlace de datos
|
Acceso
|
Local Talk
|
EL método de acceso al medio es el
SCMA/CA; carrier Sense Multiple Access With Collision Avoidance;
Este método se diferencia en que el
ordenador anuncia su transmisión antes de realizarla.
Mediante el uso de adaptadores de
LocalTalk y cables UTP especiales se puede crear una serie de
ordenadores a través del puerto serie.
Con este protocolo se puede utilizar
topologías bus, estrella o árbol , usando un cable UTP pero la velocidad de
transmisión es muy inferior a la de ethernet
|
2
|
Enlace de Datos
|
Acceso
|
TLAP
|
(Token Talk Link Access Protocol –
protocolo de acceso a enlace
TokenTalk)
Proporciona acceso a redes de pase testigo
|
3
|
Red
|
Internet
|
RARP
|
Reverse
Addres Resolution Protocol.
Seutiliza cuando un computador conoce su dirección
MAC pero desconoce su dirección IP.
Con estructura parecida a ARP. Propaga mensajes a
todos los ordenadores conectados en la red local, ya que el destinatario debe
identificarse de entre todos los posibles candidatos; los ordenadores que no
responden ignoran estas peticiones
|
3
|
Red
|
Internet
|
ARP
|
Adress Resolution PRotocol.
Para poder enviar un paquete y que este
llegue a los protocolos de nivel superior “transporte y aplicacion” de la computadora destino, primero debe
pasar por la capa de red y luego por la capa de internet; para que esto
suceda se necesita básicamente dos cosas 1.- Direcion MAC origen y destino
(encabezado de trama) y dirección IP origen y destino (encabezado del
paquete). El protocolo ARP fue creado para obtener la dirección MAC destino,
sabiendo la dirección IP que tiene asignada dicha maquina ARP costa de dos
tipos de ARP request(interrogacion) y ARP reply (respuesta).
Otra parte importante es lo que se
denomina tabla RTP, LA cual es un cache en el cual se guarda por un timpo
limitado el numero IP de una maquina enlazado con su dirección MAC , esta
tabla nos ayuda a resolver direcciones que ya fueron obtenidas mediante el
protocolo ARP sin necesidad de volver a interrogar al destino.
|
3
|
Red
|
Internet
|
IS-IS
|
Intermediate System - Intermediate
System
Sistema intermedio a sistema
intermedio.
Es un protocolo de enrutamiento para la interconexión de
sistemas abiertos, su desarrollo estuvo motivado por la necesidad de un
sistema no propietario que pudiera soportar un gran esquema de
direccionamiento y un diseño jerarquico
Esta pensado para soportar
encaminamiento en grandes dominios consistentes en combinaciones de muchos
tipos de subredes. Esto incluye enlaces punto a punto, enlaces multipunto,
subredes X.25 y subredes broadcast .
|
3
|
Red
|
Internet
|
SPB
|
Shortes Path Bridging
Es una tecnología de red destinada a
simplificar la creación y configuración de redes de ordenadores al tiempo que
permite el enrutamiento de trayectos multiples
Proporciona redes lógicas en una
infraestructura Ethernet nativa usando un protocolo “Link state” para
anunciar tanto la topología como la
pertenencia a una red lógica; los paquetes son encapsulados MAC-in-MAC
Esta basado en IS-IS con un pequeño numero
de extensiones añadidas
|
