💾 Archived View for gamifi.cat › blog › 2015-02-09_seguretat_info_7 › index.html captured on 2023-05-24 at 20:16:21.
⬅️ Previous capture (2023-03-20)
➡️ Next capture (2024-02-05)
-=-=-=-=-=-=-
<!doctype html>
<html lang="ca">
<head>
<meta charset="utf-8">
<meta name="keywords" content="blog, cultura lliure, internet, programari lliure, snap, gemini, fediverse, llengua catalana, catala" />
<title>IntroducciĂł a la Seguretat de la InformaciĂł 7 - Gamifica't!</title>
<link rel="stylesheet" href="../../static/style.css">
<link rel="shortcurt icon" type="image/svg" href="../../img/favicon.svg" />
</head>
<body>
<header class="header">
<a href="#main" class="skip">Salt al contingut</a>
<a href="../../" class="logo" ><img src="../../img/logo.svg" width="300" heigh="60" alt="Logo Gamifica't"></a>
<nav class="header-right">
<a href="../">Blog</a>
<a href="../../projectes/">Projectes</a>
<a href="../../glossari/">Glossari</a>
<a href="../../contacte/">Contacte</a>
<a href="../../blog.xml" class="logo" ><img src="../../img/rss.png" width="32" heigh="32" alt="RSS Gamifica't"></a>
</nav>
</header>
<main id="main">
<div class="page">
<div class="blog-post">
<h1>IntroducciĂł a la Seguretat de la InformaciĂł 7</h1>
<p class="meta">2015-02-09</p>
<p>Aquest és el setè i últim mòdul del curs introductori a la Seguretat de la Informació. Per tancar-lo, en Federico Pacheco ens parlarà d’ètica hacker i seguretat de la informació. A més de la figura de l’ethical hacker, parlarem de les avaluacions de la seguretat, de les metodologies dels seus atacs controlats i dels entregables, que seran els resultats obtinguts al llarg del procés.</p>
<h2>Hacking ètic i actacs</h2>
<p>Un ethical hacker, o hacker ètic, realitza simulacions d’atac controlades. Es tracta d’atacar com si fossin atacants reals per trobar les vulnerabilitats que un altre buscaria. Però a diferència d’algú que es podria lucrar amb aquestes vulnerabilitats, l’ethical hacker entrega els resultats a la pròpia organització per tal que aquestes vulnerabilitats siguin solventades.</p>
<p>El hacker es penja la medalla i l’empresa surt cames ajudeu-me a tapar forats. En aquest cas, els usuaris se salven perquè l’atac era simulat i no es pretenia perjudicar la seguretat de de ningú, ni de l’empresa ni de l’usuari. Aquest tipus d’atacs s’han de fer regularment, ja que les tècniques i el software evolucionen i sempre surt una cosa o altra. I, evidentment, els atacs han d’estar autoritzats legalment per l’entitat corresponent.</p>
<p>Els tipus d’avaluació es donen en:</p>
<ul>
<li>Sistemes i xarxes: Vulnerability Assessment (VA, fan un informe tècnic), Penetration Test (pentesters amb enginyeria social o quelcom més enllà del propi informe), auditoria informà tica (revisa la TodoList de tot el que s’ha de fer per estar segurs).</li>
<li>Software: amb els tester d’aplicacions o l’auditoria del codi font.</li>
</ul>
<p>En funció del coneixement sobre l’objectiu tenim diversos tipus d’avaluació:</p>
<ul>
<li>White Box: és un test on es té el coneixement de tot i permeten desplegar les eines fà cilment.</li>
<li>Grey Box: és un test on el coneixement és parcial. Saps coses però no tot.</li>
<li>Black Box: en aquest test no se sap res…S’estudia des de fora i té més nivell de dificultat.</li>
</ul>
<p>Un ethical hacker ha de treballar fent de dolent però del cantó dels bons. Ha de pensar en tot el que faria la personeta més maliciosa…Simulant accions d’un atac real, podem saber a què pot accedir un intrús, què podria fer amb la informació o si la intrusió podria ser detectada. Una informació necessà ria és saber què és el que es proteig i contra qui. Però també és important saber de quins recursos disposem.</p>
<p>El perfil d’un ethical hacker s’orienta a seguretat ofensiva: coneix software, hardware i electrònica, protocols, programació…A mĂ©s, ha de conèixer tècniques i metodologies, i fins i tot, habilitats socials, per orientar atacs d’enginyeria social, per exemple, on es dialoga amb les vĂctimes i se’ls hi sostrau el que sigui per voluntat pròpia, diguem. Però si una cosa ha d’estar clara Ă©s el seu codi de conducta, que ha de ser molt estricte. No es pot dedicar a anar aprofitant el que sap per lucre personal, per exemple…No seria ètic.</p>
<p>A més de tot això, un ethical hacker ha de ser perseverant i tenir paciència. Pel que diu el Federico, sembla que és com anar a pescar…requereix coneixement, té les seves tècniques però no sempre piquen…</p>
<p>Les à rees d’explotació són: sistemes operatius, aplicacions, codi propi o configuracions. I les classificacions dels atacs es poden donar per activitat (actius o passius), per ubicació o per naturalesa (tècnics o d’enginyeria social, per exemple).</p>
<h2>Metodologia</h2>
<p>Per fer un atac s’ha de tenir una metodologia. Tà ctica i estratègia es desvetllen també en un atac cibernètic. Algunes fases estan clarament definides:</p>
<ul>
<li>Una fase de reconeixement on sabrem què hi ha i on està ubicat.</li>
<li>Després hem de procedir a la fase d’escanneig i enumeració, on veiem què conté el que hem descobert. Trobem l’escanneig de xarxa: els sistemes que estan encesos i els serveis que tenen assignats…S’escannegen ports i es miren quins estan oberts i quines aplicacions gestionen…</li>
<li>Tot seguit, passa a la fase d’accés, fins i tot, remot i es poden explotar les vulnerabilitats.</li>
<li>A més, però, s’ha de mantenir l’atac, per tal de no haver de tornar a fer els mateixos passos de nou.</li>
<li>I per posar la cirereta al pastĂs, es vital esborrar les dades per tal que l’atac no sigui rastrejat, clar que a mesura que es va atacant es van esborrant rastres… Pim, pam.</li>
</ul>
<p>Respecte al tipus d’escanneig (pas 2) en la metodologia de l’ethical hacking, tenim:</p>
<ul>
<li>Escanneig de xarxa. Determina els equips actius i les seves adreces IP, i sistemes operatius i serveis.</li>
<li>A cada port hi haurà un servei determinat. Els ports poden ser de tipus TCP o UDP i, com comenta en Federico, permeten determinar quins serveis s’estan fent servir al sistema.</li>
<li>Escanneig de vulnerabilitats. Un cop ja coneixem la ubicació a la xarxa, els ports oberts i les aplicacions que s’hi tenen instal·lades, es procedeix a buscar i ubicar vulnerabilitats. Primerament es prova amb vulnerabilitats ja conegudes i es comprova que no hi siguin. Si hi són, però, es documenten per després poder ser explotades.</li>
</ul>
<p>Si fem una panorà mica de tot el procés d’atac controlat d’un ethical hacker, trobem aquesta seqüència ordenada d’esdeveniments:</p>
<ul>
<li>Detectar necessitats i expectatives. En el cas de ser una relació clientelar, s’ha de discutir i detectar quines són les necessitats i què esperem per tal de determinar la manera més eficient de portar l’atac a terme.</li>
<li>Preparar i firmar un acord de confidencialtat (NDA de “Non-Disclosure Agreement”). S’ha d’establir una mena de contractació perquè, tot i controlat, el hacker ataca el sistema.</li>
<li>Preparar l’equip i establir l’agenda. Normalment, hi ha una mena de “Project Manager” que coordina tota l’acció i deriva els atacs a qui correspongui: a un equip o persona especialitzada en atacs ofensius, aplicacions, reconeixement o explotació de vulnerabilitats. Depèn de les necessitats, un o altre saltarà a la palestra.</li>
<li>Portar endavant el test. A mĂ©s de l’atac tecnològic tambĂ© es pot fer atacs a la seguretat fĂsica (portes o controls d’accĂ©s) o d’enginyeria social (enviant correus electrònics per enganyar les personetes).</li>
<li>Analitzar els resultats i elaborar un informe que es pot presentar al client per parlar de com ha anat la cosa.</li>
</ul>
<h2>Entregables</h2>
<p>Els resultats d’aquest informe, com comentava en Federico, s’anomenen Entregables. Aquest informe sol ser en paper i digital, i, evidentment, de carĂ cter confidencial. ConstarĂ d’un resum general, un resum executiu, un Ăndex de riscos en forma d’escala que permet determinar el grau de seguretat.</p>
<p>A més, hi trobarem detallades totes les proves que s’han dut a terme amb els seus resultat, pel que totes les vulnerabilitats aniran assignades al seu potencial risc. Al final de l’informe es fan recomanacions per tal de solventar les vulnerabilitats trobades i es detalla també totes les estratègies i eines utilitzades durant les proves. I per posar la cirereta, es classifiquen els problemes en funció del seu nivell de risc.</p>
<p>De manera opcional, es pot fer un taller (Workshop) on s’expliquen tots aquests resultats i es plantegen solucions. L’informe ha de ser impecable per tal d’aportar claredat i certesa a les proves realitzades.</p>
<h2>Conclusions</h2>
<ul>
<li>Les avaluacions de seguretat s’han de portar a terme de forma periòdica.</li>
<li>L’ethical hacker simula atacs reals per trobar vulnerabilitats.</li>
<li>La figura de l’ethical hacker va associada a un estricte còdic ètic.</li>
<li>Existeixen tècniques i metodologies que s’estudien en seguretat informà tica per portar a terme aquestes proves.</li>
</ul>
<p>I fins aquà aquest fantà stic curs que he trobat a Acamica i que està impartit, impecablemente, per en Federico Pacheco. Molt ben estructurat i molt ben explicat, trobo. Per posar la guinda, he fet una última entrada pel curs que no té a veure amb el curs sinó amb les eines que he anat trobant arrel de fer el curs i interessar-me pel tema. La cosa tracta de prendre consciència sobre la nostra digitalitat.</p>
</div>
</div>
</main>
<footer>
Internets duals: gemini://gamifi.cat</br>
<a href="../../llicencies/">Diverses llicències</a> / <a href="../../kukis/">PolĂtica de Kukis</a></br>
♥ Fet amb paciència i tecnologies lliures ♥
</footer>
</body>
</html>