Entendiendo la seguridad informática: conceptos básicos.

Es un dicho común en el mundo informático que la única forma de garantizar la seguridad de un sistema informático es no teniéndolo conectado a la red. Bien, ya puestos, yo añadiría que además no debería usarlo nadie.

En estas líneas quiero introducir una serie de ideas y cuestiones relacionadas con el uso seguro de los computadores y otros sistemas informáticos. No pretende ser una guía exhaustiva, sino simplemente proporcionar un marco general para comprender la cuestión.

Seguridad Informática

Conjunto de reglas y actividades para proporcionar confiabilidad, privacidad y disponibilidad de los sistemas informáticos.

Confiabilidad

Cualidad del sistema que asegura que el sistema cumple con su propósito y que los datos del mismo son correctos.

Privacidad

Cualidad del sistema que asegura que a la información contenida en él sólo pueden acceder las personas indicadas.

Disponibilidad

Cualidad del sistema que garantiza que el usuario puede usarlo en las condiciones estipuladas en el sistema.

Es importante dejar claro desde el primer momento que la seguridad es una política de compromisos, en la que maximizar una cualidad puede ir en perjuicio de otra. Por ejemplo, el uso de un cifrado muy complejo puede afectar al rendimiento del computador.

 Así, un uso seguro de un computador es un balance entre estas tres cualidades, de tal forma que se maximice cada una de ellas: un sistema de disponibilidad inmediata, en el que la información privada es la correcta y que no pude ser accesible por otros usuarios.

También es necesario definir otra serie de términos básicos:

Cifrado

También llamado encriptado, es una técnica que sustituye la información a salvaguardar por otra, con el objetivo de que un hipotético observador no autorizado no pueda entender dicha información. El proceso de convertir la información cifrada en información entendible se denomina descifrado o desencriptado.

Permisos

Descripción de la autoridad de los usuarios de un sistema. Generalmente habrá al menos un usuario privilegiado, denominado administrador. En los sistemas Unix-like el usuario administrador se denomina root

Firma digital

Sistema por el cual un usuario genera una clave compleja con el que cifrar otros documentos

Cortafuegos

Sistema informático dedicado a restringir el acceso a una red de computadores en función de un conjunto de reglas.

Malware

Software desarrollado con propósitos dañinos.

Virus

Malware que es capaz de introducirse en otro software que está en ejecución o en lugares del computador que se ejecutan automáticamente, como por ejemplo el arranque del disco duro. El software diseñado para detectar Virus y otros Malware se denomina Antivirus

Escalada de privilegios

Denominación del acto que permite que un usuario con una serie de permisos consiga obtener los permisos correspondientes al siguiente nivel de permisos (por arriba). Típicamente se refiere al usuario que puede ejecutar tareas de administrador, aunque podría referirse también a usuarios que pueden ejecutar tareas de otros usuarios más especializados, como administradores de bases de datos.

 

Puerta de atrás

Más habitual en inglés, Backdoor, es un Malware o un error del software legítimo que permite el acceso de terceros al sistema informático.

Por supuesto, un breve listado de conceptos básicos no puede completarse sin establecer la diferencia entre Hacker (gurú informático que promueve los sistemas abiertos) y Cracker (persona que se dedica a la piratería de software o al acceso ilegítimo a sistemas informáticos con ánimo de obtener un beneficio o de causar un daño).

A medida que vaya avanzando en las entregas del minicurso "tu computador y tú" iré incluyendo entradas con los distintos aspectos de la seguridad informática.

Tu computadora y tú: cosas del sistema operativo

En una entrada anterior he descrito al Sistema Operativo (en adelante abreviado SO) como la interfaz entre los diversos dispositivos físicos que componen el computador (procesador, memoria, pantalla, teclado,...) y las aplicaciones que utilizas diariamente: el procesador de textos, la aplicación de manipulación fotográfica, el gestor de ficheros...

De esta forma, tú abres un procesador de textos, escribes un texto y lo guardas en un fichero con un nombre, digamos, "ensayo_naturaleza_del_hombre.doc". El procesador de textos se ocupa de definir el tamaño de la página, los márgenes, el tipo de letra de cada párrafo y le indica al SO que cree un fichero con el nombre ensayo_naturaleza_del_hombre.doc. El SO crea un fichero con tales datos y a través del sistema de archivos lo guarda en un disco. El sistema de archivos añade información al menos como el nombre del fichero y su ubicación real dentro del disco.

Si unos días después vuelves a usar el mismo fichero, puedes abrir tu procesador de textos, pulsas en el menú "Abrir" y seleccionas el fichero con el nombre "ensayo_naturaleza_del_hombre.doc"; entonces la aplicación le indica al SO que quiere acceder al contenido de dicho fichero, el SO accede al sistema de archivos y ejecuta una operación "Abrir" sobre el fichero ensayo_naturaleza_del_hombre.doc; el sistema de archivos accede al índice y constata que el fichero ensallo_naturaleza_del_hombre.doc se encuentra en un lugar determinado del disco, lo abre y se lo envía al SO, el cuál a su vez se lo envía al procesador de textos. El procesador de textos lee el contenido envíado, y crea una apariencia de página con las características indicadas en dicho fichero: tamaño, márgenes, estilo de los párrafos, etc. Y voilà! ya tienes tu carta de vuelta otra vez. Puedes imprimirla, para lo cual la aplicación le pedirá al SO que le indique a la impresora que lo imprima, modificarlo, iniciando un proceso similar al del primer día, etc.

Esa es la función del SO a grandes rasgos. Puede parecer que usar SO implica complicar las cosas necesariamente, pero hay que tener muy presente que lo que menos importa en un computador es el número de operaciones a realizar: da igual hacer 10 o 1000 operaciones simples para realizar una tarea, y lo importante es más bien qué tareas están disponibles, que es una forma de decir que lo importante es qué aplicaciones puedes utilizar en tu computador. Así hoy puedes utilizar aplicaciones para crear películas, de Diseño Asistido por Computador, ERPs, etc. Y todo esto porque el desarrollador puede centrarse en su aplicación en lugar de preocuparse de qué computadores existen y cómo funcionan internamente.

En la misión de aprender algo más sobre nuestro computador, comprender al SO consta de dos partes:

1. Entender cómo nuestro SO actúa de interfaz entre el computador y las aplicaciones.
2. Entender cómo el computador hace uso del SO. O más claramente, cómo lo ejecuta.

Entender el arranque de un SO no es del todo trivial, pero es capital para saber instalar un SO de nuestra elección. Después del artículo anterior sobre la BIOS, sería el paso lógico. Sin embargo, los mejores planes de hombres y ratones a menudo se frustran... Lo cierto es que tengo que conseguir un equipo con EFI para comprobar un par de cosillas antes de poder hacer una entrada también útil con computadores modernos.

La importancia de una buena capa

Una idea muy importante en los SO es el llamado "modelo de capas": así cada conjunto de apliciones cubre a los que están debajo, aislándolas.

En el dibujo de la izquierda hay una representación muy básica de la idea. Arriba está el usuario (tú, yo, etc.). El usuario puede utilizar aplicaciones, sean aplicaciones de usuario (como el procesador de textos anterior) como de sistema (como un gestor de ficheros).

Tales aplicaciones son las que realmente utilizan el SO para hacerle peticiones del tipo "guarda este fichero" o "abre aquel otro", o también "imprime ese fichero" o "visualiza tal fotografía". Y el SO, más o menos obedientemente, es el que hace que los dispositivos de nuestro computador cumplan tales peticiones.

Si has leído con atención esta entrada del blog y las anteriores, ya sospecharás que incluso en cada uno de estos cuatro niveles presentados hay varios niveles más. Ciertamente, aunque los detalles exactos pueden variar con cada SO.

La idea de "Interfaz" nos lleva a un concepto interesante que utilizan los desarrolladores de software: me refiero a la "API" (del inglés Application Programming Interface: Interfaz para la Programación de Aplicaciones). Eso significa que el desarrollador de una aplicación crea una especie de lista de funciones que pueden hacerse con su software. De esta forma, otro desarrollador que quiera utilizar dicho software sólo tendrá que preocuparse de usar las funciones en la forma establecida por el primer desarrollador.

Por ejemplo, un sistema gráfico muy básico podría dibujar círculos, líneas y cuadrados en una ventana. La API podría contener, entre las demás, una función tal que:

dibujarCírculo (Centro: TPosición, Radio: entero, anchoLínea: entero)
TPosición {x: entero, y: entero}

lo que significaría que para dibujar un círculo  de 12 cm. de radio en la coordenada 200,300 de la pantalla podrías hacer algo como

dibujarCírculo ({200,300}, 12, 1)

Lo importante no es hacer ahora un curso de desarrollo de aplicaciones intensivo, sino observar que esto permite que un desarrollador pueda utilizar cosas desarrolladas por otros sin preocuparse de cómo funcionan. El segundo desarrollador sabe que con eso se dibujará un círculo de 24 cm. de diámetro en la coordenada 200,300!!

Un SO tiene una "API del sistema", que es el conjunto de cosas que puede hacer dicho SO: abrir archivos, imprimir archivos, etc.

Uno de los problemas seculares de Microsoft Windows es que utiliza unas capas un poco agujereadas. En realidad, muchas utilidades del sistema no son desarrolladas por ellos (sistemas de copia de seguridad, antivirus, cortafuegos...) y lo que hacen los desarrolladores de estas aplicaciones es tratar de utilizar funciones del SO que sólo deberían ser utilizadas por otras funciones del SO. Al ser un uso "a ciegas" (más en este caso por ser software cerrado, que no puedes ver), como es de esperar se producen multitud de errores. Otro de los problemas, también de amplio arraigo, es que su funcionalidad es muy limitada, por lo que para hacer usos más avanzados es necesario realizar muchas operaciones muy complicadas, a lo que se añade el problema anterior. En general, para los administradores de SO Windows es conocido por lo muy difícil que resulta realizar tareas relativamente básicas.

En la próxima entrada trataré de explicar cómo el computador hace uso del SO: cómo lo arranca y en qué consiste realmente instalar un SO.

Tu computadora y tú: la BIOS

Entendiendo la BIOS

En anteriores entradas he descrito muy someramente el proceso de arranque de un computador. He dicho que un programa especial, denominado BIOS (Basic Input-Output System) , o más modernamente EFI/UEFI, es el que se encarga de poner en marcha el computador y de comenzar la ejecución del Sistema Operativo. Hoy toca un pequeño artículo sobre esta aplicación y su principal uso: arrancar desde un dispositivo distinto.

Aunque hay proyectos para proporcionar esta aplicación de forma más o menos estándar y abierta, lo cierto es que cada fabricante usa su propia BIOS. O más exactamente, usa una de las más extendidas, principalmente American Megatrends o bien Phoenix Technologies. Por su parte, EFI es una especificación de Intel diseñada para reemplazar la BIOS.

mensaje de error cargando el microprocesador

La BIOS se encarga de detectar el hardware principal que utiliza nuestro computador: chequea la memoria (cantidad y estado), detecta los discos duros disponibles, el teclado, el microprocesador... Si alguno de los componentes falla o no está disponible, puede mostrar un mensaje de error en pantalla o incluso utilizar una convención de señales (por ejemplo, un número de pitidos) para avisar de tal error (por ejemplo, si no detecta tarjeta de vídeo o memoria). Muchas BIOS permiten configurar cómo se realiza este chequeo y qué se hace si hay error. Por ejemplo, podríamos desear que el computador arrancase sin teclado, ya que se va a acceder siempre a través de la red de la oficina.

 Una función interesante es la de establecer la hora del sistema: sí, la BIOS permite configurar el reloj interno del sistema, que será el que proporcione la hora a nuestras aplicaciones a través del Sistema Operativo.

Hay muchas funciones del computador que pueden necesitar ser configuradas en la BIOS. Hace unos días me comentaban el caso de unos equipos que precisaban que en BIOS se configurase la posibilidad de virtualizar sistemas operativos (e incluso equipos donde el usuario tenía que hackear la BIOS para poder hacerlo). Entre otras cosas, puede establecer el protocolo para comunicar los discos con el procesador, el sistema de ahorro de energía, y el orden de los dispositivos en el que buscar un sistema para arrancar.

Para acceder a la BIOS hay que pulsar alguna tecla cuando aparece la primera pantalla. Puede ser suprimir (tecla que pone "supr" o bien "del"), F1, Escape (ESC)... cada modelo de computador puede tener una distinta. Lo normal es que la primera pantalla nos diga cuál es, pero puede que pase tan rápido que no alcancemos a verlo. Así que si no tenemos el manual de la placa base o alguno de los que venía con el computador, lo que podemos hacer es buscarlo (digamos con Google). Por ejemplo, para buscar la tecla que corresponde a un HP G56 buscamos

 hp g56 tecla acceso bios

con lo que Google nos mostrará una lista de resultados, el primero de los cuáles nos sirve perfectamente. De forma similar, para un Sony Vaio podemos bucar algo como

Sony Vaio tecla acceso bios

En los portátiles es común disponer de alguna suerte de "menú" de opciones (arrancar en otro dispositivo, entrar en la aplicación BIOS, etc.), aunque otros simplemente tienen asignadas distintas teclas a las distintas posibilidad (F2 para arrancar en otros dispositivos, F10 para entrar en la BIOS...).

Unas palabras sobre EFI

Aunque el sistema EFI permite arrancar desde DVD, USB y demás, lo cierto es que la forma en la que carga el arranque del disco duro es muy diferente a lo que hace la BIOS.  En lugar de cargar el sector de arranque del disco duro, lo que hace es cargar un sistema de arranque situado en una partición especial, de un tipo a la sazón llamado "tipo EFI". Decir que esta partición debe de utilizar un (primitivo) sistema de ficheros FAT para funcionar. En equipos que tengan EFI/UEFI, para arrancar otros sistemas instalados en otras particiones, es necesario modificar dicho sistema de arranque para que tenga la opción de arrancar en dicho sistema. No hace mucho esto era una tarea que debía realizarse a mano, pero hoy cada vez más sistemas (diferentes a Windows) son capaces de instalarse en un computador con EFI/UEFI sin mayores molestias para los usuarios.

Cosa distinta es el "Secure Boot", el enésimo engendro de Microsoft para tratar de mantener el mismo mercado cautivo. Algunos sistemas soportan esta característica, aunque lo recomendable en todo caso es deshabilitarla al menos mientras se instala tal sistema.

Tu computadora y tú: funcionamiento básico

En las dos entregas anteriores he tratado de describir algunos conceptos básicos para entender cómo funciona un computador. Hasta ahora ha sido una descripción vuela pluma de tales conceptos, para familiarizar a los no entendidos con ellos.

Hoy toca profundizar un poco en algunas de tales ideas. Comenzaremos con una mejor descripción de la arquitectura del sistema, hablaremos de los discos duros y su uso, y finalizaremos la entrega con una descripción básica del arranque del sistema.

Arquitectura

En el primer capítulo describí la arquitectura básica de forma muy somera. Ahora toca mejorar eso. En la imagen de la derecha hay una de las representaciones gráficas habituales (cortesía de wikipedia, donde puedes leer un buen artículo sobre el tema). El cuadrado grande es la Unidad Central de Proceso,  (UCP) que se compone de la Unidad Aritmético-Lógica (UAL) -que realiza operaciones aritméticas o lógicas, como cabría esperar- y la Unidad de Control (UC). También incluye una serie de registros donde guarda información necesaria para el funcionmiento del sistema.

A la derecha está la Memoria Principal, mientras que abajo está el Sistema de Entrada-Salida.

Cuando estás en una escuela informática, suelen contarte la historia completa en la misma asignatura además de en otras; sin embargo, lo cierto es que estas representaciones despistan: cualquier información -datos, programas- a usar debe de estar cargada en memoria principal. Por supuesto, es la UCP la que se encarga de acceder a un disco duro y de transferirlo a la Memoria Principal, y por ello se representa la doble flecha entre la UAL (ALU, en inglés) y los sistemas de Entrada/Salida.

Por cierto, algo "entra" cuando se recibe en la UCP, mientras que algo "sale" cuando desde la UCP es enviado a algún lado (impresión, para ser guardado en disco, etc.).

Una consecuencia es que un informático (y ahora cualquier lector) que lea un anuncio de una compañía telefónica de comienzos de 2013 y lea algo como "(tal móvil)... con 32 GB de memoria..." debería de sufrir dentera ante tamaña estupidez. En ocasiones, los discos duros y otros discos son denominados "memoria secundaria", pero eso no justifica que se sumen las capacidades de una (la principal) y otra (los discos). Para extender el uso de las memorias en los sistemas informáticos, puedes echar un vistazo a la wikipedia, comenzando por el interesante problema de la jerarquía de memoria (o como resolver el problema del coste de las memorias).

Discos Duros

Los discos duros son el componente de almacenamiento secundario más utilizado de los últimos 50 años, y aunque las tabletas y smartphones suelen equipar tarjetas flash por su menor consumo, lo cierto es que los discos duros serán aun los reyes de los computadores durante unos cuantos años. El artículo de la wikipedia sobre discos duros es mucho más ambicioso de la breve explicación que aquí se va a dar.

La clásica explicación comienza con el disco de vinilo (esto es, se asume que el aprendiz ha visto uno, cosa que para las nuevas generaciones no habría por qué esperar). Uno pone un disco en el tocadiscos, coloca la aguja al principio y el dico comienza a girar. El tocadiscos va reproduciendo lo que lee la aguja a medida que va pasando por el disco. Eventualmente, podemos saltar una pista o una parte (de forma muy aproximada, a ojo) levantando la aguja y acercándola o alejándola del centro. Podemos reproducir una cara y darle la vuelta y reproducir la otra cara.

Un disco duro es un dispositivo rígido (hard) que va dentro del computador. Por supuesto, no se le da la vuelta ni nada similar. En realidad es mucho más eficiente que cualquier fonógrafo de tres al cuarto.

En primer lugar, gira muchísimo más rápido. Un tocadiscos normal puede girar a 33 o 55 revoluciones por minuto (rpm); un disco duro barato de un portátil girará 5400 rpm, y los hay de 7200 ¡y hasta de 11000!!

En segundo lugar, tiene dos caras (esto sí como el tocadiscos) y suelen ser varios platos (cada disco de dos caras es un plato, también es común llamar así al disco de vinilo), entre 2 y 4, pero con modelos que tienen 6 o 7. El brazo del lector se compone en realidad de un brazo doble por cada plato (uno por cada disco, y doble para leer tanto la parte superior como inferior a la vez), con sus respectivos lectores.

Representación de los cilindros de un disco

Pero para que esto sea útil se necesita que la información se guarde de la forma adecuada. Lo que se hace es agrupar la información para que pueda ser leída por cada lector de cada brazo a la vez: es lo que se llama cilindro: la representación de lo que un lector puede leer en cada parte de cada disco en un giro.

En la imagen de la izquieda puede verse la representación de esto. La pista, por su parte, es la circunferencia en cada cara de cada disco. Los sectores son las partes en las que se divide cada pista.


Los Sistemas Operativos se encargan de proporcionar un acceso uniforme a los discos, y es habitual representarlos con un rectángulo desde el principio hasta el final, ya sea indicando los sectores o la capacidad.

Los discos duros se utilizan divididos en Particiones (modernamente llamadas también volúmenes, aunque en la práctica son cosas distintas, de las añadiré un artículo otro día). Particionar no existe según la RAE, y en el mundo informático se usa para denominar al proceso de crear particiones en un disco. Lo más probable es que se comenzara a particonar los discos porque las BIOS de entonces no podían acceder al contenido de todo el disco: imagina que tienes 100.000 sectores y que la BIOS sólo sabe contar desde 0 hasta 65535, es decir, que en este caso ¡sólo tiene 16 bits para guardar una dirección de disco!!

Sin embargo, particionar un disco resultó ser útil, ya que los cambios en una partición no afectan a las demás particiones del sistema. Ojo: siempre tiene que haber al menos una partición.

El sistema "tradicional" es la "tabla de partición MS-DOS" por ser la que se utilizaba en tal Sistema Operativo. Es una pequeña tabla que admite cuatro entradas, una para cada partición, en las que se indican sus respectivos principios y finales. Posteriormente se añadión una "extensión" para solventar este límite numérico. En lugar de cuatro particiones (llamadas ahora "primarias") se pueden crear tres particiones normales (primarias) y una "especial" llamada a la sazón "extendida". En estas particiones, lo que se hace es que se pueden crear particiones (llamadas ,para distinguirlas de las normales, lógicas) a condición de que cada una incluya donde comienza la siguiente.

Este mecanismo un poco chapuza es el más habitual aun hoy, aunque ya se utiliza cada vez más otro mecanismo: la GPT, que permite crear un montón de particiones normales en cada disco. Así desaparece la tradicional distinción entre partición primaria y partición lógica (no necesita particiones extendidas).

Otro concepto asociado al uso de discos duros es el de Formateo, aunque este nombre es más utilizado por la herramienta tradicional de MS-DOS para esta operación que por ser un nombre adecuado. En el mundo Unix se habla más bien de "crear sistemas de ficheros", lo que es más descriptivo y coherente.

Eso quiere decir que una partición de disco no es más que un trozo de superficie magnética donde puedes eventualmente guardar cosas. Si guardas varios ficheros, el Sistema Operativo necesitará alguna forma de saber dónde se guarda cada uno de ellos -además de algunas características como la fecha de modificación, permisos, etc.-; también es un servicio que se proporciona a los usuarios del SO, tanto humanos como a las aplicaciones del sistema. Tú guardas un documento en Documentos/trabajos/aprender_informática.txt, no entre los sectores 47567 y 47579. Es lo que se denomina Sistema de archivos. Uno de los más simples es FAT, que consiste simplemente en una lista de nombres de ficheros y su localización en el disco. Además de haberlo tratado en el artículo anterior, el artículo de la wikipedia es bastante razonable y no lo voy a replicar aquí.

Arrancando la máquina

Los computadores proporcionan una aplicación grabada en una memoria ROM que permite ejecutar algún Sistema Operativo. Básicamente se encarga de comprobar que las principales cosas funcionan -p.ej, memoria, discos...- y de ejecutar la aplicación que cargue el sistema de arranque del SO en memoria. Hecho esto, comienza la ejecución del Sistema Operativo en sí misma.

Las Computadoras Personales (PC) solían traer una aplicación denominada BIOS (Basic In/out System, Sistema Básico de Entrada/Salida, otro nombre descriptivo), que hacía justamente eso: comprobaba que había un procesador, una memoria y algún dispositivo de entrada/salida: al menos un teclado, al menos un disco duro...

Hay un sector del disco duro denominado (de forma, también, apropiada) MBR (Master Boot Record, Registro Principal de Arranque) que es el primer sector del disco duro y que queda fuera de las particiones. En dicho registro se guarda la Tabla de particiones antes comentada y el programa que se encargará del arranque. En muchos computadores, esto consiste en una serie de instrucciones básicas para que el computador cargue el primer sector (también llamado, sector de arranque) de alguna partición, que eventualmente será, vaya, el sistema de arranque del Sistema Operativo.

Así que el último paso ejecutado por la BIOS es cargar en memoria el contenido del MBR.

Hoy las BIOS van siendo sustituidas por un nuevo sistema: EFI. Tal sistema pretende solventar algunas de las limitaciones de las BIOS, pero en realidad su tarea es la misma: comprobar los componentes principales, y cargar en memoria el arranque del Sistema Operativo o el Cargador de Arranque de turno.

En los sistemas EFI se puede indicar directamente qué se desea arrancar, sin necesidad de MBR; de todas formas, y por las dudas, EFI también permite usar MBR en lo que ellos llaman "modo híbrido".

También volveré sobre el arranque del sistema, que como he dicho merece su propia entrada.