💾 Archived View for gamifi.cat › blog › 2015-01-25_seguretat_info_1 captured on 2024-02-05 at 10:07:16. Gemini links have been rewritten to link to archived content
⬅️ Previous capture (2023-03-20)
-=-=-=-=-=-=-
Pel que sembla, aquest curs introductori a la seguretat de la informació és un curs self-paced, és a dir, que el pots anar fent al teu ritme. A mi m’encanten aquests cursos, són ideal autodidactes!
2. GestiĂł de la seguretat[1]
3. Seguretat en xarxes[2]
4. Seguretat fĂsica[3]
5. Malware i cibercrim[4]
6. Criptografia i seguretat[5]
7. Ethical Hacking[6]
1: /blog/2015-01-26_seguretat_info_2/index.html
2: /blog/2015-01-29_seguretat_info_3/index.html
3: /blog/2015-02-02_seguretat_info_4/index.html
4: /blog/2015-02-04_seguretat_info_5/index.html
5: /blog/2015-02-06_seguretat_info_6/index.html
6: /blog/2015-02-09_seguretat_info_7/index.html
Per cert, estic desencantada amb els MOOC…Sembla que tots els magnats de la banca i de les telecomunicacions es llencen a tirar endavant platafomes d’e-learning…
I dĂłna la sensaciĂł que ho fan per dues coses: 1) rentar la seva imatge; 2) fotre els quartos a algun lloc…Filantropia 0. A Coursera, per exemple, tenen un codi d’honor que no permet compartir les tasques entre els alumnes. Fomenten realment l’aprenentatge aquestes plataformes o simplement busquen que acabis pagant el certificat? Dubto moltĂssim que torni a fer un curs a Coursera. SerĂ per plataformes! Justament avui acabo de conèixer Acamica i penso començar aquest curs. Som-hi amb els fonaments!
Per tal d’apropar-nos al tema, haurem de conèixer la terminologia bĂ sica. I jo feliç, que m’encanta aprendre paraulotes ;) Se’ns parlarĂ de seguretat i fuga de la informaciĂł (tan empresa com usuari), d’investigaciĂł de vulnerabilitats, d’enginyeria social (que no sĂłn coses tècniques però estĂ n relacionades amb la seguretat) i de controls d’accĂ©s (tan fĂsics com lògics). Veiem algunes definicions bĂ siques.
Comenta en Federico Pacheco que la seguretat està relacionada amb un estat mental: sentir-se segur és una sensació subjectiva. Poden estar dues persones al mateix lloc i potser que una que senti segura i l’altra no. Ara bé, la informació que té una o altra persona també influeix en aquesta percepció de la seguretat personal. I la informació és definida al curs com un conjunt de dades interrelacionades que tenen algun valor.
La seguretat de la informació no és una suma de seguretat + informació, sinó que tracta d’una sèrie de mesures que podem adoptar de forma preventiva, detectiva o correctiva. Se’ns parla de diversos tipus de seguretat:
La seguretat fĂsica Ă©s la mĂ©s tangible. Si posem una porta o una alarma amb codi, estem intentant protegir casa nostra. Si la casa estĂ protegida ens sentirem segurs…No com jo, que ara fa un any em va entrar un xoriço a casa i me’l vaig trobar al rebedor :_(
TambĂ© anomenada Seguretat tècnica, la Seguretat lògica estĂ mĂ©s relacionada amb la seguretat informĂ tica (xarxes, hardware, software…). Relacionada amb les dues anteriors, trobem la seguretat administrativa, que tracta de la gestiĂł d’aquesta seguretat en qĂĽestiĂł de polĂtiques, normatives, procediments, etc. Tot plegat, seguretat fĂsica, lògica i administrativa donen forma i sentit al concepte de seguretat de la informaciĂł.
Les mesures d’atac o defensa de la seguretat de la informació sempre se sostindran amb aquests pilars.
La confidencialitat tracta de l’ús de la informaciĂł per les persones autoritzades a fer-ho. El concepte de disponibilitat refereix al fet de poder tenir la informaciĂł en el moment que es necessita. Finalment, la integritat tracta de poder detectar possibles modificacions de dades fetes en temps diferents. Si les dades sĂłn iguals en el temps seran Ăntegres.
Per posar alguns exemples: un atac de denegació de serveis afectaria a la disponibilitat, el robatori d’una base de dades afectaria a la confidencialitat i si algú no roba res però modifica dades, l’atac estaria afectant a la integritat del informació.
Inversament proporcionals, diu el profe amb certa resignació…A més seguretat menys comoditat. Per posar un exemple, parla de la quantitat de panys que pots tenir a casa. Quants més en tinguis, més trigaràs a obrir o tancar la porta…Fer més segura una cosa sembla que també implica fer-la menys funcional…Està clar que tot té un preu…
Tot i que hi ha de tot a la vinya del Senyor i els grups són diversos, dins del mundillo de la seguretat informà tica, el hacker és una figura molt respectada. La cosa és de quin cantó treballa…
El hacker ètic o White Hat utilitza el seu coneixement per a la protecciĂł (detecta problemes i avisa, amb el que està “del cantĂł de la llei”). El Grey Hat o Hacktivista Ă©s aquell hacker que fa un atac per temes ideològics, polĂtics o religiosos…o fins i tot que el paguin per fer una feineta en plan mercenari 2.0. Per acabar amb els barrets, el Black Hat o Cracker, que utilitza el seu coneixement per fer “cosetes fora de la llei”.
Una empresa o organitzaciĂł ha de vetllar per la seva seguretat, tant fĂsica com lògica. Per tal de gestionar-la, haurĂ de prendre un seguit de mesures preventives per tal de minimitzar els atacs. En tot cas, necessitarĂ d’una bona gestiĂł de la seguretat administrativa amb personal especialitzat.
Potser l’esdeveniment que va posar de rellevà ncia aquest concepte és la publicació dels arxius Wikileaks, informació confidencial que compromet el govern americà . A partir d’allà , governs i empreses comencen a reflexionar sobre aquests nous tipus d’inseguretat. Al comprometre’s l’informació, l’actiu perd la seva confidencialitat. Empreses i governs emmagatzemen molta informació (i molt valuosa).
La informació es presenta en dues formes: la de sistemes (servidors, equips locals, dispositius mòbils i unitats extraïbles) i la de persones (saber, recordar i opinar). El problema tecnològic és que hi ha molta informació per administrar i tenim el factor personal: nosaltres controlarem aquestes eines tecnològiques.
Es poden donar atacs intencionals i no intencionals; interns i externs. Un atac intencional intern seria el d’un treballador empipat que estaria compremetent la confidencialitat de l’empresa; un atac intencional extern seria el d’algĂş aliè a l’empresa que intenta entrar al web. Un atac no intencional intern seria el d’un treballador que, per desconeixement, infectĂ©s els ordinadors amb un USB farcit de malware, per posar un exemple. Curiosament, tambĂ© hi ha atacs no intencionals externs, que sĂłn errors de servidors, bases de dades, etc. Canals especĂfics de fuga d’informaciĂł:
Per a tenir les millors solucions als problemes que es puguin donar, necessitarem tres potes: la tecnologia, la bona gestió de la informació i l’educació (reponsabilitat, consciència de l’usuari).
En anglès, Vulnerability Research. Tracta de buscar-li les pessigolles a la tecnologia. Hi ha experts que es dediquen a intentar trencar programes per tal de trobar-hi vulnerabilitats. Un cop trobades, es reporten i s’arreglen. Es treballa amb software, dispositius, processos i entorns fĂsics.
Tipus de vulnerabilitats:
És important remarcar que aquesta investigació de vulnerabilitats permet determinar cap a on es mou la industria. Ara bé, no tot el software és atacat igual: es veu que s’ataca molt els navegadors, que són usats per molta gent i tenen moltes dades.
S’utilitza per convèncer a les persones per a que donin informaciĂł sensible. Vaja…“El timo de la estampita 2.0”. Flipa que tambĂ© hi ha enginyeria social inversa: el depredador no ataca sinĂł que deixa que la presa s’apropi. Resulta que Ă©s mĂ©s efectiva perquè, lògicament, Ă©s mĂ©s difĂcil de defensar-se. La monda lironda…
Que no són bons ni dolents però que tenim els usuaris i que els atacans utilitzen:
L’accés és el flux d’informació entre entitats actives (subjectes) i entitats passives (objectes). A l’ingressar a un sistema hem d’identificar-nos (li donen al sistema la nostra informació i el sistema ens deixa accés o no). Per fer-ho, hem de posar un usuari i contrasenya i s’estableix l’autentificació. En el moment que la mà quina sap que som nosalres, hi ha el procés d’Autorització. Podem classificar els accessos:
Un programa antivirus seria una mesura tècnica preventiva; un tallafoc (firewall) seria fĂsica correctiva, un sistema de detecciĂł d’intrusos per cĂ meres de vigilĂ ncia seria un sistema detectiu fĂsic. ¡QuĂ© bĂ© s’explica aquest noi! :) Traçabilitat, Privacitat, No repudi i Anonimitat
La traçabilitat (de traça, de deixar petjada) permet determinar quines han estat les accions de l’usuari en un sistema, sigui quina sigui la seva naturalesa. La privacitat estĂ associada a la confidencialitat però no Ă©s el mateix: la diferència entre la privacitat i la confidencialitat Ă©s que la privacitat tĂ© relaciĂł amb allò que Ă©s personal, Ăntim i la confidencialitat Ă©s compartida amb altres usuaris. Una cosa Ă©s un secret que no vols coompartir i l’altre un secret compartit :)
El No repudi té relació amb la criptografia, com veurem més endavant. La cosa consisteix en què un usuari no pot rebutjar el fet d’haver realitzat una acció. Si s’identifica amb un usuari i contrasenya, el sistema “sap” que és ell i no podrà negar accions que ha fet en un sistema. L’anonimitat és una defensa i també els atacants la busquen per no ser identificats amb les seves accions.
Hi ha diferents factors d’autentificació que combinats reforcen la seguretat de la informació:
(on es busquen totes les combinacions possibles dels passwords fins que es troba la que dóna l’accés). Resulta que els atacs de força bruta es combinen amb atacs de diccionari…Hi ha uns programes que són diccionaris i sembla que van probant les combinacions de les paraules. En funció de si la teva contrasenya és més o menys segura (majúscules, minúscules, números i carà cters especials) ho troben en un plis, plas.
(si la pregunta secreta conté informació personal com el nom de la teva mascota o de la teva sogra, es pot arribar a saber combinant-ho amb força bruta)
(com Phising, que és el Timo de la estampita 2.0. Es fa un perfil fals d’una entitat bancà ria, per exemple, per tal de capturar les contrasenyes i usuaris quan hi fiques les dades…)
(el simple fet de fer el cotilla i mirar què tecleja el del costat. Per això, en general, sempre es mira cap amunt o cap a un costat quan, per exemple, algú està teclejant el seu codi en un caixer automà tic)
(escoltar els paquets que circulen per la xarxa. Si un paquet viatja per la xarxa i no està encriptat -en text pla, per exemple- algú podria estar observant aquests paquets d’informació i capturar dades d’accés com la contrasenya)
(peces de codi maliciós o malware que emmagatzemen totes les tecles que un pressiona al teclat…al navegador, a una app, a un document de text o calculadora, etc.)
(ens convencen per a que donem la nostra informaciĂł)