1. El control de acceso es el centro degravedad de la seguridad informtica.Es el lugar donde se rene la ingeniera deseguridad con la informtica.Su funcin es controlar a que recursos tieneacceso cada usuario, que documentos sepueden leer, que programas se puedenejecutar, como se comparten datos conotros usuarios, etc.

2. El control de acceso trabaja con cuatroniveles:- Aplicacin- Middleware- Sistema Operativo- Hardware 3. Las aplicaciones pueden ser escritas enla parte superior de middleware, talcomo un sistema de gestin de base dedatos o un paquete de contabilidad,que ejecuta una serie de propiedadesde proteccin.Por ejemplo, el software de base dedatos suele tener controles de accesoque especifican los diccionarios que undeterminado usuario puede seleccionar,y qu procedimientos puede correr. 4. El middleware usar facilidadesproporcionadas por el sistema operativosubyacente. Recursos tales comoarchivos y puertos de comunicaciones apartir de componentes de bajo nivel,adquiere la responsabilidad deproporcionar formas de controlar elacceso a ellos. 5. Finalmente, los controles de acceso delsistema operativo normalmente sebasarn en las caractersticas dehardware proporcionadas por elprocesador o por hardware de gestinde memoria asociado. Estos controlanque las direcciones de memoria de unproceso dado puedan tener acceso. 6. Los controles de acceso provistos de unsistema operativo normalmenteautentifican a los usuarios mediante unmecanismo como la contrasea oKerberos, luego disminuyen su acceso alos archivos, puertos de comunicacin yotros recursos del sistema. Su efectopuede ser modificado(la mayora deltiempo) por una matriz de permisos deacceso. 7. Con columnas para los archivos y filas para los usuarios.Escribimos r para permiso de leer, w para permiso deescribir, x para permiso de ejecutar un programa y para elno acceso: 8. En este ejemplo simplificado.. Sam es el administrador de sistema y tiene accesouniversal(excepto por la pista de auditoria, queincluso l solo debera ser capaz de leer).Alice, la gerente, necesita ejecutar el sistemaoperativo y la aplicacin, pero slo a travs de lasinterfaces aprobadas. Ella no debe tener lacapacidad de manipularlos. Necesita tambin leery escribir en los datos. Bob el auditor, puede leer todo. 9. Un grupo es una lista de los usuarios, mientrasque un rol es un conjunto fijo de permisos deacceso que uno o ms directores puedenasumir por un perodo de tiempo utilizandoalgn procedimiento definido.El ejemplo clsico de un rol es eloficial de guardia en un barco. En la mayora de las aplicaciones degobierno y de negocios, es el rol lo queImporta, aun ms que el individuo. 10. El apoyo del nivel de sistema operativoest disponible para grupos y roles pero suaparicin es bastante reciente y suabsorcin es bastante lenta.los desarrolladores suelen implementar este tipo de funcionalidad en el cdigo de la aplicacin 11. Otra manera de simplificar la gestin delos derechos de acceso es almacenar lamatriz de control de acceso de unacolumna a la vez, junto con el recurso alque se refiere la columna. Esto seconoce como una lista de control deacceso o ACL. 12. En Unix(incluyendo su popular varianteLinux), a los archivos no se les permitetener listas de control de accesoarbitrarias, pero si los atributos r ,w, xcomo recurso del propietario , el grupo,y el mundo. Estos atributos permiten queel archivo sea ledo, escrito y ejecutado. 13. El sistema operativo de Apple se basa en laversin del BSD de Unix quecorre encima del corazn de mac. La capa del BSD proporciona la proteccin de memoria; las aplicaciones nopueden tener acceso a lamemoria de sistema a menos quecorran con permisos avanzados. 14. El sistema operativo ms extenso de lascomputadoras es Windows, cuya proteccinse ha basado en gran parte en listas de controlde acceso desde Windows NT(v4). La versin actual de Windows es bastantecompleja, as que es til remontar susantecedentes. La proteccin en Windows esmuy parecida a la de Unix, y fueinspirada por ella, y desde entonces haseguido la filosofa de Microsoft de"abraza y extiende 15. La siguiente manera de manejar la matriz de controlde acceso es almacenarlo por filas..estas se llaman capacidades.Los puntos fuertes y dbiles de las capacidades sonms o menos lo opuesto a las ACL.La comprobacin de la seguridad del tiempo deejecucin es ms eficiente y podemos delegarun derecho sin mucha dificultad.Por otra parte, el cambio del estado deun fichero puede llegar a ser repentinamente mscomplicado que puede ser difcil descubrirque usuarios tienen acceso. 16. Es un software que asiste a una aplicacin parainteractuar o comunicarse con otrasaplicaciones, software, redes, hardware y/o sistemasoperativos. El control de acceso a nivel de archivos yprogramas estaba muy bien en los primeros aos de lacomputacin, cuando estos eran los recursos queimportaba. Desde alrededor de la dcada de 1980, elcontrol de acceso se realiza a otros niveles en lugar de anivel del sistema operativo. Por ejemplo, el sistema de unbanco filial de contabilidad generalmente se ejecutaren la parte superior de un producto de base de datos y labase de datos busca el sistema operativo como unarchivo de gran tamao. Esto significa que el control deacceso tiene que ser hecho en la base de datos; todo elsistema operativo suministra muchos ID autentificadospara cada usuario que inicia una sesin. 17. La seguridad de bases de datos era en granparte una preocupacin. Pero ahora escomn que las empresas tengan bases dedatos crticas, que se encargan deinventario, envo y el comercioelectrnico, afrontado por los servidores webque pasan las transacciones para las bases dedatos directamente. Para configurar el sistema de base de datosde manera segura se necesita conocimientoespecializado. La seguridad de base de datoses ahora una disciplina por derecho propio. 18. Hay una serie de aspectos comunes en la seguridadmiddleware y los controles de nivel de aplicacin. Laprimera es la granularidad: el sistema operativotrabaja con los archivos, por lo general son losobjetos ms pequeos con los cual sus mecanismosde control de acceso pueden hacerle frente. Lasegunda es el estado. El tercero es el nivel: podemosacabar con distintos sistemas de control de acceso anivel de mquina, redes y aplicaciones, y stassuelen venir de diferentes proveedores puede serdifcil mantenerlos constantes. Tales soluciones sondifciles de disear correctamente, y la seguridad delmejor sistema puede ser fcilmente reducida a la delos peores. 19. Estos problemas llevaron a losinvestigadores a buscar formas en que sepueda controlar el acceso a una serie deaplicaciones que maneja middlewareestndar. La investigacin en la dcada de1990 se centr en los corredores desolicitud de objetos (ORB). Un ORB es uncomponente de software que mediacomunicacin entre objetos (un objetoconsta de cdigo y los datos agrupados).Un ORB proporciona tpicamente un mediode control de llamadas que se hacen atravs de dominios de proteccin. 20. Otra forma de implementar el control de acceso esun recinto de seguridad de software. Aqu losusuarios desean ejecutar algn cdigo que se hadescargado de la Web como un applet. Supreocupacin es que el applet puede hacer algodesagradable, como la toma de una lista de todossus archivos y envirla por correo a una compaade software de marketing. Los diseadores de Javafrente a este problema proporcionan una "caja dearena" para tal cdigo-un entorno restringido en elque no tiene acceso al disco duro local (o en msslo acceso temporal a un directorio restringido), yslo se le permite comunicarse con el anfitrin. 21. Esto se refiere a sistemas que permiten a unasola mquina emular un nmero de mquinasde forma independiente. Fue inventado en1960 por IBM; cuando los CPUs eran muycaros, una sola mquina poda serparticionada utilizando VM/370 en mltiplesmquinas virtuales, por lo que una empresaque compraba dos cuadros principalespodran utilizar uno para su entorno deproduccin, pruebas, y aplicaciones de menorimportancia. La virtualizacin es muy atractiva para laindustria 22. La mayora de los sistemas de control deacceso no son slo para controlar lo que losusuarios pueden hacer, sino limitarse a qupueden hacer los programas tambin?. En lamayora de los sistemas, los usuarios puedenescribir programas o descargar e instalar. Losprogramas pueden ser defectuosos omaliciosos, incluso. La prevencin de unproceso de interferir con otro es problema dela proteccin. Esto por lo general significa queel control de acceso de hardware debe estarintegrado con las funciones del procesador degestin de memoria. 23. Los primeros procesadores de Intel, tales como 8088/8086usados en los primeros ordenadores , no tenan ningunadistincin entre el sistema y el modo de usuario, ningnprograma en ejecucin controlaba toda la mquina. El80286 aadi segmento de direccionamiento y estabaprotegido por anillos, era la primera vez que se podanejecutar sistemas operativos adecuados. El 80386 tienememoria interna virtual y grandes segmentos de memoriasuficiente (4 GB) que podan ser ignorados y tratadoscomo la mquina de 32 bits plana. ). Los Pentium 3finalmente aadieron una nueva caracterstica deseguridad, un procesador de nmero de serie. Esta causuna tormenta de protestas, impulsadas por los defensoresde la privacidad, que teman que podra ser utilizadopara todo tipo de fines. 24. El ARM es el ncleo del procesador de 32-bit con mayor frecuencia, con licenciapara proveedores de terceros de lossistemas incrustados. El ARM original fue elprimer diseo comercial RISC. Sus sucesoresde hoy en da son importantes porque quese incorporan en todo tipo de aplicacionessensibles a la seguridad de los telfonosmviles para proteger los datos secretos.Rpido se multiplican y acumulaninstrucciones y tienen bajo consumo deenerga, el ARM es muy atractivo paraaplicaciones integradas. 25. Procesadores especialistas en seguridadvan desde los chips de tarjetasinteligentes, a travs de los chips TPMahora fijado a las placas base de los PC(que son, bsicamente, los chips detarjetas inteligentes con interfacesparalelas) y tablas de CryptoAccelerator, a un especialista endispositivos criptogrficos. 26. Los sistemas operativos ms populares, tales como Unix /Linux y Windows son muy grandes y complejo, as quetienen muchos errores. En consecuencia, muchos erroresson detectados y reportados. Gracias a la red, elconocimiento se propaga ampliamente y con rapidez.As, en un cualquier tiempo, puede haber docenas defallas de seguridad que se conocen, y para el cualsecuencias de comandos de ataque estn circulando enla red. Una vulnerabilidad tiene un ciclo de vida tpico porel que se descubre; inform al CERT o al proveedor, unparche enviado, el parche es de ingeniera inversa, y unexploit es producido por la vulnerabilidad, y la gente queno aplicaron el parche en el tiempo descubren que sumquinas han sido reclutados para una botnet cuando suISP ellos se interrumpe el envo de spam. 27. La idea bsica detrs del ataque stack-smashing es quelos programadores son a menudo descuidado acerca dela comprobacin del tamao de argumentos, por lo queun atacante que pasa una larga discusin a un programapuede encontrar que algunos de ellos se trata comocdigo en lugar de datos. Un ejemplo clsico fue unavulnerabilidad en el dedo Unix comando. Una aplicacingeneralizada de esto sera aceptar un argumento decualquier longitud, aunque slo 256 bytes habanasignado para este argumento por el programa. Cuandoun atacante utiliza el comando con un argumento ms,los bytes de seguimiento de la discusin terminan siendoejecutado por el sistema. El ataque no es an limitada a los sistemas informticos enred: en al menos una tarjeta inteligente poda serderrotado por pasarle un mensaje ms largo que suprogramador haba previsto. 28. Las nuevas vulnerabilidades otros son en su mayoravariaciones sobre el mismo general tema, en que seproducen cuando los datos de gramtica A se interpretacomo en gramtica B. Un desbordamiento de pila escuando los datos se aceptan como entrada (porejemplo, una URL) y terminar siendo ejecutada comocdigo mquina. Son esencialmente fracasos de tipo deseguridad. Existe una vulnerabilidad de cadena deformato se presenta cuando una mquina acepta datosde entrada como una instruccin de formato (porejemplo,% n en el comando C printf ()). Desbordamientos de bfer puede ser inducida porterminacin de cadena incorrecto, pasar un tampninadecuadamente dimensionado para un caminofuncin de manipulacin, y muchos otros errores sutiles. 29. SQL insercin ataca comnmentesurgen cuando un desarrollador webdescuidado pasa a la entrada delusuario a una base de datos de fondosin la comprobacin para ver si secontiene cdigo SQL. Hay inyeccin de comandos similaresproblemas que afecta a las otraslenguas utilizadas por los desarrolladoresweb, como PHP y Perl. 30. Uno de los primeros ataques, pueden concebirse fueel caballo de Troya, un programa que eladministrador es invitado a correr y que har algndao si lo hace as. La gente iba a escribir juegosque comprobado de vez en cuando si el jugadorera el administrador del sistema, y de ser as secreara otro administrador cuenta con unacontrasea conocida. Otro truco consiste en escribir un programa que tieneel mismo nombre que una frecuencia sistemautilizado utilidad, como el comando ls que muestratodos los archivos en un sistema Unix directorio, ydisearlo para abusar del privilegio de administrador(si la hay) antes invocando la utilidad genuina. 31. Algunas clases de vulnerabilidad se puede solucionar conherramientas automticas. Pila sobrescribir ataques, porejemplo, son en gran parte debido a la falta de lmitesapropiados comprobar en C (el mayor nmero de idiomas sonlos sistemas operativos escrito en). Hay varias herramientas(incluidas las herramientas gratuitas) disponibles para el controlde los programas en C para problemas potenciales, y hayincluso un parche llamado compilador StackGuard que poneun canario junto a la direccin de retorno en la pila. Esto puedeser una azar 32-bit valor seleccionado cuando se inicie elprograma, y se comprueba cuando un funcin es derribado. Sila pila ha sido sobrescrito por su parte, a continuacin, con altaprobabilidad de que el canario va a cambiar [329]. Ladisponibilidad de estas herramientas, y las iniciativas deformacin, como Microsoft, poco a poco han reducido elnmero de errores de desbordamiento de pila. Sin embargo, lasherramientas de ataque tambin mejoran, y son los atacantes