Conceptos de Seguridad Informática

Por Liso Gallo

Javier Diez

Conceptos de Seguridad Informatica - Liso Gallo

A pedido del público, la primera parte del resumen de conceptos de SI con el fin de:

  • Tomar nosotros mismos algunas precauciones (hay gente mala en la Matrix)
  • Tips para tratar con clientes que planteen inquietudes sobre la protección de su información

Todos a diario navegamos páginas web, mandamos mails, y algunos más nerdos abrimos sesiones remotas,  subimos archivos a servidores, consultamos bases de datos, etc. All over the Internet! 

Por esto mismo nos deben sonar conocidos al menos algunos acrónimos (que tanto les gustan a los yanquis) tales como HTTP, FTP, SSH, SMTP, IMAP, POP, etc. Estos son protocolos de capa de aplicación (WTF?!) En castellano, básicamente estos protocolos serían el lenguaje en común que tienen que hablar para poder entenderse por un lado una aplicación cliente (para HTTP, lo que sería un navegador onda Chrome, Firefox, etc.) y por el otro, un servidor (por ejemplo, un servidor web como Apache, Nginx, etc.)

¿Son todos estos protocolos seguros? No way! Algunos sí, pero muchos fueron concebidos hace tiempo sin tener en cuenta aspectos de seguridad o implementan mecanismos que han dejado de ser eficaces. Pero no todo está perdido, ya que lo podemos atar con este alambre: Secure Socket Layer (SSL), que es una capa agregada a nivel de sesión que otorga cifrado de conexiones, lo que proporciona autenticación y privacidad de la información sobre Internet entre cliente-servidor.

¿Negociar entre las partes el algoritmo que se usará en la comunicación.
    Intercambio de claves públicas y autenticación basada en certificados digitales.
    Cifrado del tráfico basado en cifrado simétrico.

Voy a explicar muy por arriba con un ejemplo de caso típico para que entendamos el mecanismo de cómo funciona SSL:
 

  1. Adhoc me instaló una instancia de OpenERP para mi empresa a la que accedo entrando a https://erp.empresa.com
  2. Mi navegador negocia con el servidor los algoritmos de cifrado que se va a usar para la comunicación (no vamos a profundizar por ahora)
  3. El servidor se autentica conmigo mediante su certificado digital (con esto me dice yo soy YO, que no es poco). ¿Pero quién me asegura que realmente lo es? Por lo general, un certificado es emitido por una autoridad certificante reconocida por el propio navegador (Verisign, Google, Comodo, etc.). Si el dueño del servidor compró un certificado de este tipo, el navegador no va a tirar ninguna advertencia, pero si no es así, nos va a aparecer el típico bardo de que no se puede confiar en el certificado o en el servidor.
  4. Una vez que yo confío en el servidor, intercambiamos claves públicas para cifrar la conexión. Uno cifra la información con la clave pública del destinatario, que solamente puede descifrar él porque posee la clave privada que permite la operación inversa. Así el navegador y el servidor web se van mandando data de forma segura.

ACLARACIÓN MEDIA PICANTE: lo anterior se denomina cifrado asimétrico (porque hay dos claves, una pública y otra privada), pero todo el proceso en realidad usa cifrado simétrico (menos seguro, pero más "liviano") que se negocia sobre el primero.

Entonces, los protocolos que nombrábamos antes + esteroides SSL, tenemos:

HTTP + SSL = HTTPS
FTP + SSL = FTPS
IMAP + SSL = IMAPS

... y lo mismo para una gran cantidad de acrónimos, por lo general se le agrega una "S" como sufijo o prefijo. Y aunque como rosarinos nos cueste mucho más, es bueno recordarles entonces que ¡no se coman las ESES!

El cifrado en SSH es un caso distinto, pero para los fines prácticos lo importante es que es seguro. La copia de archivos sobre SSH es lo que se conoce como SFTP, lo aclaro porque capaz que lo han visto seguido por ahí.

Un dato de color... oscuro: Antes dije que no todo está perdido pero en verdad mentí  :-P 
Hace unos 2 años un argentino (que no es Messi) rompió el cifrado de SSL1. Bajo ciertas condiciones SSL ya no es seguro. Me pareció interesante comentarlo para transmitir la idea de que en lo que a seguridad respecta, lo que parece pan para hoy puede ser hambre para mañana.

¡Nos vemos la próxima! ¡Abrazo!

Lisandro Gallo

Referencias:

1     http://en.wikipedia.org/wiki/BEAST_%28computer_security%29#BEAST_attack
       http://en.wikipedia.org/wiki/BEAST_%28computer_security%29#CRIME_attack