💾 Archived View for gamifi.cat › blog › 2015-02-09_seguretat_info_7 captured on 2024-02-05 at 10:06:54. Gemini links have been rewritten to link to archived content

View Raw

More Information

⬅️ Previous capture (2023-03-20)

-=-=-=-=-=-=-

Inici

Blog

Projectes

Glossari

Contacte

IntroducciĂł a la Seguretat de la InformaciĂł 7

Aquest és el setè i últim mòdul del curs introductori a la Seguretat de la Informació. Per tancar-lo, en Federico Pacheco ens parlarà d’ètica hacker i seguretat de la informació. A més de la figura de l’ethical hacker, parlarem de les avaluacions de la seguretat, de les metodologies dels seus atacs controlats i dels entregables, que seran els resultats obtinguts al llarg del procés.

Hacking ètic i actacs

Un ethical hacker, o hacker ètic, realitza simulacions d’atac controlades. Es tracta d’atacar com si fossin atacants reals per trobar les vulnerabilitats que un altre buscaria. Però a diferència d’algú que es podria lucrar amb aquestes vulnerabilitats, l’ethical hacker entrega els resultats a la pròpia organització per tal que aquestes vulnerabilitats siguin solventades.

El hacker es penja la medalla i l’empresa surt cames ajudeu-me a tapar forats. En aquest cas, els usuaris se salven perquè l’atac era simulat i no es pretenia perjudicar la seguretat de de ningú, ni de l’empresa ni de l’usuari. Aquest tipus d’atacs s’han de fer regularment, ja que les tècniques i el software evolucionen i sempre surt una cosa o altra. I, evidentment, els atacs han d’estar autoritzats legalment per l’entitat corresponent.

Els tipus d’avaluació es donen en:

En funció del coneixement sobre l’objectiu tenim diversos tipus d’avaluació:

Un ethical hacker ha de treballar fent de dolent però del cantó dels bons. Ha de pensar en tot el que faria la personeta més maliciosa…Simulant accions d’un atac real, podem saber a què pot accedir un intrús, què podria fer amb la informació o si la intrusió podria ser detectada. Una informació necessària és saber què és el que es proteig i contra qui. Però també és important saber de quins recursos disposem.

El perfil d’un ethical hacker s’orienta a seguretat ofensiva: coneix software, hardware i electrònica, protocols, programació…A més, ha de conèixer tècniques i metodologies, i fins i tot, habilitats socials, per orientar atacs d’enginyeria social, per exemple, on es dialoga amb les víctimes i se’ls hi sostrau el que sigui per voluntat pròpia, diguem. Però si una cosa ha d’estar clara és el seu codi de conducta, que ha de ser molt estricte. No es pot dedicar a anar aprofitant el que sap per lucre personal, per exemple…No seria ètic.

A més de tot això, un ethical hacker ha de ser perseverant i tenir paciència. Pel que diu el Federico, sembla que és com anar a pescar…requereix coneixement, té les seves tècniques però no sempre piquen…

Les àrees d’explotació són: sistemes operatius, aplicacions, codi propi o configuracions. I les classificacions dels atacs es poden donar per activitat (actius o passius), per ubicació o per naturalesa (tècnics o d’enginyeria social, per exemple).

Metodologia

Per fer un atac s’ha de tenir una metodologia. Tàctica i estratègia es desvetllen també en un atac cibernètic. Algunes fases estan clarament definides:

Respecte al tipus d’escanneig (pas 2) en la metodologia de l’ethical hacking, tenim:

Si fem una panoràmica de tot el procés d’atac controlat d’un ethical hacker, trobem aquesta seqüència ordenada d’esdeveniments:

Entregables

Els resultats d’aquest informe, com comentava en Federico, s’anomenen Entregables. Aquest informe sol ser en paper i digital, i, evidentment, de caràcter confidencial. Constarà d’un resum general, un resum executiu, un índex de riscos en forma d’escala que permet determinar el grau de seguretat.

A més, hi trobarem detallades totes les proves que s’han dut a terme amb els seus resultat, pel que totes les vulnerabilitats aniran assignades al seu potencial risc. Al final de l’informe es fan recomanacions per tal de solventar les vulnerabilitats trobades i es detalla també totes les estratègies i eines utilitzades durant les proves. I per posar la cirereta, es classifiquen els problemes en funció del seu nivell de risc.

De manera opcional, es pot fer un taller (Workshop) on s’expliquen tots aquests resultats i es plantegen solucions. L’informe ha de ser impecable per tal d’aportar claredat i certesa a les proves realitzades.

Conclusions

I fins aquí aquest fantàstic curs que he trobat a Acamica i que està impartit, impecablemente, per en Federico Pacheco. Molt ben estructurat i molt ben explicat, trobo. Per posar la guinda, he fet una última entrada pel curs que no té a veure amb el curs sinó amb les eines que he anat trobant arrel de fer el curs i interessar-me pel tema. La cosa tracta de prendre consciència sobre la nostra digitalitat.