UNA PRISIN DE TEXAS FALTA TTULO Masacre digital en Texas

Tito, Luisastephani Universidad Femenina del Sagrado Corazn

Abstract
El presente escrito de investigacin y anlisis est enfocado al ttulo del paper, basndose en un caso de la vida real, una historia de dos jvenes que comparten la festinacin por los ordenadores detrs de los barrotes de una prisin en Texas. El escenario como ya ha sido mencionado brevemente, corresponde a la unidad Wynne, una crcel de Huntville en Texas (EE.UU), donde una de las siete crceles de Texas (EE.UU), dos jvenes estn condenados a cumplir una sancin producto de dos homicidios. Durante su estada en la prisin descubrirn la fascinacin por las computadoras y todo relacionado a ellas; convirtindose en hackers. En este anlisis se expondr el alcance y los objetivos que con llevarn a tomar medidas de prevencin con la finalidad de mitigar futuros problemas con la seguridad en la prisin de Texas.

ndice

Abstract ................................................................................................................................................... 1 ndice ....................................................................................................................................................... 2 A. B. C. D. E. F. G. H. Introduccin .................................................................................................................................... 3 Contexto .......................................................................................................................................... 4 Objetivo General ............................................................................................................................. 5 Objetivo Especficos ........................................................................................................................ 5 Descripcin...................................................................................................................................... 6 Polticas de Seguridad ..................................................................................................................... 7 Resultados ....................................................................................................................................... 9 Conclusiones ................................................................................................................................... 9

Anexos................................................................................................................................................... 10 Referencias............................................................................................................................................ 11

A. Introduccin
El dficit que existe en la seguridad de los sistemas informticos dentro de una organizacin, ya sea por el incremento de malware, y el reciente crecimiento de ataques dentro de la organizacin (Ataques organizativos) e infracciones accidentales de seguridad, a merita la necesidad de analizar las vulnerabilidades y polticas de seguridad informtica presentes en una entidad para proteger la informacin contenida, la infraestructura computacional e integridad total de los usuarios. Con la intencin de minimizar y evitar fallas de seguridad informtica, previniendo as futuros ataques. Para ello se lleg a la conclusin de implementar un conjunto de metodologas y tcnicas de evaluacin integral en los sistemas informticos, en el cual un profesional en seguridad es participe de esta prueba para evaluar las amenazas y posibles ataques de terceros, este anlisis es denominado Ethical Hacking. El proceso de evaluacin consiste en identificar y vulnerar partes dbiles de un sistema informtico, y el encargado est en la obligacin de reproducir intentos de acceso a cualquier entorno informtico desde los diferentes puntos de entrada, tanto internos como remotos. Las tcnicas que se realizan se llevan a cabo de una forma legal, bajo un previo contrato en el cual se especifica claramente los lmites y peligros de la evaluacin, tambin se detallan las modalidades de ataque a utilizar, la duracin de esta y lo ms relevante, el acuerdo de proteccin en contra de cualquier problema legal. El objetivo es lograr que los usuarios tengan confiabilidad de seguridad, entre los procedimientos ms simples o fciles tenemos a las auditorias de seguridad, para que los usuarios conozcan el actual estado de la aplicacin o componente informtico y poder realizar correcciones y mejoras. Al trmino de los pasos, se hace entrega de un informe final, indicando los resultados obtenidos y una descripcin de la situacin. El reporte consta los pasos que siguieron (metodologas), condiciones explotadas y vulnerabilidad que no pudieron serlo, las pruebas que demuestren la vulnerabilidad de lo solicitado y una aplicacin de soluciones prcticas de seguridad. Por otro lado, otra medida de contrarrestar ataques informticos, es realizando una adecuada aplicacin e implementacin de polticas de seguridad, para salvaguardar los activos de la organizacin, garantizar la continuidad de los sistemas y sobre todo para minimizar los riesgos y daos. Una poltica de seguridad para que sea efectiva, se necesita contar con elementos indispensables que apoyen este proceso: La cultura organizacional, las herramientas y el monitoreo. Esto involucra la participacin directa y comprometida de los empleados y el diseo de planes de capacitacin constante a los usuarios. La disponibilidad de recursos financieros, tcnicos y tecnolgicos es fundamental y en especial las actividades de control y retroalimentacin que diagnostiquen e identifiquen puntos dbiles para fortalecerlos siguiendo las mejores prcticas. Ests reglas son como la constitucin en la empresa.

B. Contexto
La ciudad Huntsville se encuentra ubicada en el condado de Walker en el estado estadounidense de Texas. En el censo del ao 2010 se obtuvo un total de 38.548 habitantes. Dentro de su jurisdiccin tiene siete reclusorios, un cementerio de reclusos y una cmara de ejecuciones adems de la poblacin civil. Incluso la pequea ciudad localizada en el norte de Houston tiene la prisin ms antigua, la cual es apodada como Walls Unit por sus altos muros de ladrillo rojo y sus reos son reconocidos por su atuendo blanco; siendo su nombre real la unidad de Huntsville, y pertenece al Departamento de Justica Criminal de Texas. De los 38000 habitantes de Huntsville, 14000 son presos y 6000 guardias y empleados del departamento de Justicia de Texas. Por ellos las indicaciones para los visitantes no son tiendas de antigedades, o la famosa tumba del gobernador de Texas Sam Houston entre otros, sino Byrne Unit, Wynne Unit o Hollyday Unit, las unidades de la crcel. Los mismos presos son quines confeccionan sus propios trajes, los uniformes de los guardias y realizan diversas labores. La prisin es una verdadera industria seala la directora del Servicio de Defensa de Texas, por la cantidad de personas que pueden vivir de ello, debido a que se respira el ritmo de la administracin penitenciaria; incluso, la poblacin civil conoce siempre a alguien que trabaja en el sistema penitenciario, por lo que todo gira en torno a las crceles.

C. Objetivo General

Desarrollar el anlisis del problema y determinar las consecuencias del no aplicar una gestin correcta de los activos en una organizacin.

D. Objetivo Especficos
Reconocer los principales activos de una entidad. Analizar las vulnerabilidades de una entidad. Mejorar en el desarrollo de elaboracin de las polticas de seguridad de cualquier entidad.

E. Descripcin
Como ya se ha detallado en lneas anteriores, el siguiente suceso toma como escenario la unidad Wynne, una de las siete crceles de Texas (EE.UU), en donde dos jvenes estn condenados a cumplir una sancin producto de dos homicidios. Y durante su estada en la prisin descubrirn la fascinacin por las computadoras y todo relacionado a ellas; convirtindose en hackers. William, uno de los presos, llega a la unidad Wynne a cumplir su sentencia, mientras que el otro joven, llamado Danny ya se encontraba cumpliendo su condena de 20 aos. Danny empez en un puesto administrativo de la Oficina de Transporte, teniendo a cargo una mquina de escribir Olivetti, un monitor y dos disqueteras, la cual tena el sistema DOS y escasa memoria. Aprendi uno de los programas de bases de datos antiguos, el dBase III gracias a un manual de instrucciones. Luego, comenz un programa para llevar el seguimiento de los envos de los productos agrcolas del reclusorio. Fue notorio su desempeo y destreza con los ordenadores que fue derivado a la oficina de envos, permitindole trabajar fuera del permetro de seguridad de la prisin, en otras palabras, tuvo su primer acceso real a los ordenadores. Despus de un tiempo lo pusieron a cargo del hardware, montaje de mquinas nuevas y reparacin de las averiadas, permitindole aprender a montar, reparar mquinas y adicionar componentes. Tuvo a su disposicin una estantera llena de piezas de ordenador que no se encontraban inventariadas. A la llegada de William a la unidad, consigui un puesto envidiable en la cocina. Tena las llaves del castillo porque poda cambiar comida por otras cosas. 1 Dentro de la cocina haba una antigua maquina modelo 286 con ventilador de refrigeracin, herramienta necesaria para el crecimiento en sus conocimientos de informtica. Manejaba los historiales de cocina, informes y formularios de rdenes de compra; ahorrndose horas de sumar columnas de nmeros.

Ilustracin 1. Principales activos de la entidad (Elaboracin propia)

F. Polticas de Seguridad
Para el planeamiento de las polticas de seguridad en la prisin de Texas se tenido en cuenta algunos tipos de Ethical Hacking con la finalidad de analizar el caso con mayor precisin:

Pruebas de penetracin con objetivo: se buscan las vulnerabilidades en partes especficas de los sistemas informticos crticos de la prisin de Texas. Pruebas de penetracin internas: son realizadas dentro de las instalaciones de la organizacin con el objetivo de evaluar las polticas y mecanismos internos de seguridad de la organizacin. Despus de determinar cules fueron las posibles causas del problema se determina los siguientes controles de seguridad ms relevantes que pueden ser ms efectivos para prevenir y detectar los abusos del personal interno, se ha planteado las siguientes polticas:

1. No compartir la informacin de cuentas de usuario y/o contraseas; todos los usuarios de los internos debern ser registrador en un servidor Active Directory con la finalidad del mayor control en el manejo de claves por parte del administrador de Red. 2. Las contraseas de los empleados debern tener un tamao de 8 caracteres, independientemente relacionado a la compaa. Esto depender en la educacin adecuada por parte del administrador de Red hacia los usuarios. No deben seguir un patrn que sea fcil de predecir. Un empleado puede escribir un script para averiguar una contrasea en no ms de 1000 intentos, es cuestin de segundos; utilizando una contrasea compleja con nmeros, maysculas disminuye la probabilidad de ser averiguada en corto tiempo. 3. Cerrar sesin de manera adecuada los ordenadores cuando salen del rea de trabajo, o hacer uso de contraseas para el salvapantallas e inicio. Porque una persona malintencionada solo puede necesitar segundos para instalar furtivamente un software de vigilancia en la instalacin de trabajo. El administrador de Red debe registrar las computadoras de la prisin de Texas en el dominio con la finalidad de crear polticas GPO y determinar el bloqueo de las maquinas cuando no estn operativas. 4. Deshabilitar todos los enchufes de red que no se utilicen para evitar accesos annimos o no autorizados. Y asegurarse de que los sistemas informticos de los cubculos vacos se encuentren protegidos contra accesos no autorizados. Para evitar que un tercero se conecte a travs de los enchufes activos de la red con el fin de sondear la red al mismo tiempo que protege su identidad.

5. Restringir el acceso de un empleado antes de notificarle el cese, el descenso o un traslado no deseado. Adems, vigilar el uso que hace el empleado de su ordenador para saber si hay actividades no autorizadas o potencialmente dainas. Para evitar la copia y descarga de grandes cantidades de datos confidenciales de la empresa. 6. Prohibir la introduccin de componentes de hardware sin previa autorizacin por escrito y justificado. Controlar la supresin o deshabilitacin de un puerto USB puede ser necesario. Un tercero puede acceder fcilmente al cubculo de un compaero e instalar un componente de hardware o software registradores de tecleo (keystroke loggers) para capturar contraseas u otra informacin privada. 7. Realizar inspecciones peridicamente para comprobar que no se haya conectado a las mquinas dispositivos inalmbricos, componentes de registradores de tecleo o mdems. Utilizando un PDA que soporte 802.11. (Ms cuenta con una utilidad de configuracin cero interna que abre un cuadro de dialogo cuando detecta un punto de acceso inalmbrico en las proximidades). 8. Utilizar un Servidor Radius para la gestin de las credenciales de acceso a la conexin inalmbrica con la finalidad de evitar las vulnerabilidades de obtencin de claves en los dispositivos inalmbricos tales como laptops, etc. 9. El administrador de Red no debe al descubierto configuraciones no adecuadas en las aplicaciones instaladas en los sistemas (equipos de cmputo, switches, routers, firewalls) que pudieran desencadenar problemas de seguridad.

G. Resultados

Luego de haber conocido mejor la problemtica en Texas y las posibles causas de las vulnerabilidades se ha realizado un anlisis de los activos de la organizacin con la finalidad de reconocer cuales son los posibles.

H. Conclusiones
El presente anlisis nos ha permitido conocer las posibles causas ante un problema relacionado a la vulnerabilidad con los activos de la organizacin aplicando los principios de Ethical Hacking.

La mayora de los controles de seguridad tienen como objetivo la proteccin del permetro contra atacantes externos, pero es la gente de la propia organizacin la que puede acceder al equipo fsico y electrnico, el cableado, sala de telecomunicaciones, las estaciones de trabajo y los enchufes de redes. Adems son los empleados quines manejan la informacin confidencial en la organizacin y conocen en que sistemas son almacenados. Las polticas deben ser claras, concisas, contextualizadas a una realidad, enfocadas a las forma de hacer negocios de la empresa.

Anexos

HACKER, Es aquella persona experta y apasionada en un rea determinada que aprovecha esos conocimiento con el fin de intervenir y/o realizar alteraciones tcnicas con buenas o malas intenciones sobre un producto o dispositivo. Son motivados por diversas razones, incluyendo fines de lucro, protesta o desafo. PRISIN DE TEXAS, Es una institucin autorizada por el gobierno para la encarcelacin de personas que cumplen una condena judicial, privndolos de su libertad y ciertos derechos. Teniendo como finalidad proteger a la sociedad civil de estos individuos peligrosos o de conducta inadecuada. SEGURIDAD INFORMTICA, Es el rea de la informtica que se encarga de proteger la infraestructura computacional y todo lo relacionado a esta. Diseando normas, procedimientos y mtodos para garantizar la seguridad de la informacin que se brinda o entregada, siendo esta confiable. POLTICAS DE SEGURIDAD, Son tcnicas fundamentales para preservar la informacin y diferentes recursos informticos con que cuenta la empresa. Las polticas de seguridad informtica son el conjunto de normas, reglas, procedimientos y prcticas que regulan la proteccin de la informacin contra la prdida de confidencialidad, integridad o disponibilidad, tanto de forma accidental como intencionada, al igual que garantizan la conservacin y buen uso de los recursos informticos con que cuenta la empresa. TICA, Conjunto de normas morales que rigen la conducta humana. ETHICAL HACKING, Es un anlisis o pruebas que se ejecutan de manera legal para probar la seguridad en la empresa y sin un fin malicioso. Con el objetivo de identificar las vulnerabilidades visibles en los sistemas de la organizacin. RADIUS, Es un protocolo AAA (Autenticacin, Autorizacin y Administracin) para aplicaciones como acceso a redes o movilidad IP. Muchos ISP requieren que se ingrese un nombre de usuario y contrasea para conectarse a la red. Antes de que el acceso a la red sea concedido, los datos de acceso son pasados por un dispositivo NAS (sobre un protocolo de capa de enlace (como PPP y DSL), luego hacia un servidor RADIUS sobre un protocolo RADIUS.

10

Referencias

http://es.cyclopaedia.net/wiki/Unidad-Penitenciaria-de-Huntsville http://www.elnuevoherald.com/2013/06/25/1508572/huntsville-un-pueblo-que-gira.html http://es.wikipedia.org/wiki/Hacker_(seguridad_inform%C3%A1tica) http://es.scribd.com/doc/58355633/Ethical-Hacking http://www.unilibrecali.edu.co/entramado/images/stories/pdf_articulos/volumen2/Politicas_de _seguridad_informtica.pdf http://www.codechoco.gov.co/files/POLITICAS_INFORMATICAS_CODECHOCO.pdf http://www.seguridad.unam.mx/descarga.dsc?arch=2776

11