Ethical Hacking utilizando BackTrack - Fedora-es
Ethical Hacking utilizando BackTrack - Fedora-es
Ethical Hacking utilizando BackTrack - Fedora-es
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
seguridad y ethical hacking<br />
El Arte de la Seguridad<br />
El Arte de la Seguridad<br />
Lino García Moral<strong>es</strong><br />
Casi se podría decir que no existe nada completamente seguro lo que incluye,<br />
por supu<strong>es</strong>to y con seguridad, cualquier sistema informático. La seguridad de un<br />
sistema depende de la fortaleza o debilidad con la que <strong>es</strong> capaz de reaccionar<br />
ante algún ataque. Se podría considerar que un ataque <strong>es</strong> cualquier interacción<br />
no prevista con el entorno que pueda alterar el comportamiento de un sistema.<br />
linux@software.com.pl<br />
En <strong>es</strong>tas defi nicion<strong>es</strong> se encuentran alguna de las<br />
clav<strong>es</strong> de <strong>es</strong>te arte, más que ciencia, que <strong>es</strong> la<br />
seguridad. En primer lugar existe ri<strong>es</strong>go sólo<br />
cuando existe interacción. Un sistema que funciona<br />
con programas bien intencionados y no interactúa con<br />
otros sistemas jamás podrá ser atacado. Pero los sistemas en<br />
la actualidad nec<strong>es</strong>itan interactuar, se deben a ello; por lo que,<br />
en segundo lugar, el hecho no previsto de la interacción, proporciona<br />
otra clave. Los sistemas y programas normalmente<br />
se d<strong>es</strong>arrollan para que satisfagan determinados comportamientos<br />
y reaccion<strong>es</strong> ante eventos. De hecho, se t<strong>es</strong>tean hasta<br />
la saciedad para explorar todas las posibl<strong>es</strong> combinacion<strong>es</strong>.<br />
Sin embargo, se suele sub<strong>es</strong>timar el efecto que pueden provocar<br />
accion<strong>es</strong> y eventos no previstos; se le dedica menos<br />
<strong>es</strong>fuerzo, tiempo y comprobación (mi primera experiencia<br />
con <strong>es</strong>te tema tuvo lugar durante el d<strong>es</strong>arrollo de una aplicación<br />
de adquisición y supervisión de datos para un cliente de<br />
una empr<strong>es</strong>a del sector industrial. El día que vino a probar la<br />
versión inicial lo primero que hizo fue tocar todo el teclado<br />
como un loco sin ninguna lógica y el programa reaccionó bloqueándose.<br />
En sólo unos pocos segundos quedó demostrada<br />
la vulnerabilidad de la aplicación. El error fue considerar<br />
52 Linux+ 7-8/2009<br />
sólo las opcion<strong>es</strong> del teclado previstas). Se suele denominar<br />
hacker o cracker, a aquella fi gura que pone a prueba, ataca,<br />
<strong>es</strong>tas opcion<strong>es</strong> no previstas o debilidad<strong>es</strong> (normalmente para<br />
conseguir algún benefi cio, aunque a vec<strong>es</strong> sólo sea una incomprensible<br />
satisfacción personal o reforzamiento del ego)<br />
y administrador justo al encargado de evitarlo o, al menos,<br />
de aumentar la difi cultad. Las consecuencias de <strong>es</strong>ta lucha<br />
pueden ser muy grav<strong>es</strong> pero cuanto más inteligente y sofi sticado<br />
<strong>es</strong> el mecanismo que asegura la seguridad de un sistema<br />
mayor <strong>es</strong> el reto de vulnerarlo. Esta dialéctica endemoniada,<br />
a través de un mecanismo no menos diabólico de actualización,<br />
asegura el futuro de la seguridad y la convierte en arte.<br />
La sofi sticación de la seguridad <strong>es</strong> una relación de compromiso<br />
entre fortaleza ante el intruso y pr<strong>es</strong>tacion<strong>es</strong> del<br />
sistema porque, no hay que olvidar que toda la funcionalidad<br />
introducida para hacer el sistema más robusto consume recursos:<br />
tiempo de proc<strong>es</strong>o, <strong>es</strong>pacio en memoria, en disco duro,<br />
ancho de banda, etc. En cualquier caso, <strong>es</strong>ta negociación debe<br />
<strong>es</strong>tar clara mediante una política de seguridad que <strong>es</strong>tablezca<br />
el nivel de seguridad que requiere el sistema (o conjunto de<br />
sistemas) y un sistema de comprobación. El RFC 2196 (http://<br />
www.faqs.org/rfcs/rfc2196.html) <strong>es</strong> un ejemplo muy conoci-