Metodología para la incorporación de medidas de seguridad en sistemas de información de gran implantación : confianza dinámica distribuida y regulación del nivel de servicio para sistemas y protocolos de Internet

Abstract

Los orígenes de Internet y su propio talante han conducido a un modelo de servicio un tanto confiado, que arrastra una imagen de inseguridad. Se dispone de multitud de tecnologías de demostrada solvencia técnica, que resuelven problemáticas en ámbitos concretos, pero que no se integran en un modelo global de seguridad. A la utilización de la red para difundir con excesiva rapidez elementos dañinos, como los virus, se suman de forma creciente otros comportamientos abusivos, como el envío masivo de correo electrónico con fines comerciales (spam) o incluso fraudulentos (phishing). Estos excesos en el envío de mensajes provocan despilfarros de recursos y afectan a la productividad de los usuarios finales, quienes se procuran herramientas para paliar su problema localmente. Todas las solicitudes de servicio se tratan por igual, sin más limitación que la propia capacidad de los equipos y enlaces de comunicaciones, sin tener en cuenta la reputación del interlocutor, aceptando identidades fácilmente usurpables. Esta tesis plantea cubrir el espacio entre la autenticación fehaciente del cliente, que requiere despliegues costosos y no inmediatos, y la confianza ciega en cualquier usuario o equipo atribuida al mero hecho de estar conectado a la red y exhibir una dirección. Cada servidor será capaz de valorar la confianza que le merecen sus clientes en función de las experiencias acumuladas directamente o recogidas de terceros. Esa confianza dependerá de la fiabilidad con que se les pueda vincular a sus mensajes, y su adecuada utilización del sistema, determinada por la exposición de un volumen suficiente de sus mensajes y solicitudes al análisis de los usuarios finales y de otras herramientas complementarias. Resulta imprescindible poder atribuir cada mensaje al remitente correcto. Pero si sólo se conocen parámetros de la propia red, su usurpación permitiría inhabilitar cualquier medida, por lo que se necesitan limitaciones preventivas en el consumo de recursos. Se plantea que los clientes que deseen alcanzar un mayor crecimiento de su confianza y carezcan de credenciales puedan, partiendo de un intercambio inicial de claves y encadenando autenticaciones oportunistas, graduar el coste que deseen asumir para minimizar las restricciones que se les apliquen. Para ello el servidor enviará los cambios en forma de retos, y el cliente contribuirá a aumentar la fiabilidad empleando tiempo en su resolución. Este mecanismo reduce además la rentabilidad de posibles ataques. La confianza se proyectará en una política de seguridad no orientada a la concesión o denegación del acceso a datos o al uso de los recursos, sino a la gradación del nivel de servicio permitido. Éste variará dinámicamente y de forma consensuada entre la denegación conjunta y un máximo global. Se propone un modelo dinámico y distribuido, descrito mediante la "lógica subjetiva" de Audum Jøsang, que permite representar los conceptos de confianza e incertidumbre en un valor (wAc(ti)) denominado opinión. La opinión, calculada en base al comportamiento reciente del cliente, resumen la confianza que merece, y de ella se calculan las restricciones que procedan. Además se puede intercambiar con terceros, constituyéndose federaciones en las que se apliquen políticas comunes de contención que acoten el consumo global de recursos. El álgebra asociada permite ponderar las opiniones ajenas y previas, y combinarlas mediante las operaciones denominadas recomendación y consenso bayesiano. Además se introducen en el modelo, también con este mecanismo, los resultados de herramientas externas como los filtros, listas negras, etc. El comportamiento global del sistema se corresponde a la amortiguación que ejerce un filtro paso bajo con un tope limitador. En Dinámica de Sistemas este tipo de sistema realimentado de primer orden corresponde al modelo de crecimiento logístico, utilizado para estudiar epidemias, y se caracteriza por la forma sigmoidal que delimita la velocidad de propagación o difusión, siendo inocuo para usuarios asiduos. Los ámbitos de aplicación de esta propuesta son muy amplios, y en general la gestión de despliegue y posterior administración es mínima, manteniendo compatibilidad con clientes no modificados. Se propone su utilización como medida preventiva y complementaria en la lucha contra el spam en Internet, la priorización de la difusión de contramedidas o la prevención de ataques de denegación de servicio en web services, entre otras posibilidades.