Pel que sembla, aquest curs introductori a la seguretat de la informació és un curs self-paced, és a dir, que el pots anar fent al teu ritme. A mi m’encanten aquests cursos, són ideal autodidactes!
2. Gestió de la seguretat[1]
3. Seguretat en xarxes[2]
4. Seguretat física[3]
5. Malware i cibercrim[4]
6. Criptografia i seguretat[5]
7. Ethical Hacking[6]
1: /blog/2015-01-26_seguretat_info_2/index.html
2: /blog/2015-01-29_seguretat_info_3/index.html
3: /blog/2015-02-02_seguretat_info_4/index.html
4: /blog/2015-02-04_seguretat_info_5/index.html
5: /blog/2015-02-06_seguretat_info_6/index.html
6: /blog/2015-02-09_seguretat_info_7/index.html
Per cert, estic desencantada amb els MOOC…Sembla que tots els magnats de la banca i de les telecomunicacions es llencen a tirar endavant platafomes d’e-learning…
I dóna la sensació que ho fan per dues coses: 1) rentar la seva imatge; 2) fotre els quartos a algun lloc…Filantropia 0. A Coursera, per exemple, tenen un codi d’honor que no permet compartir les tasques entre els alumnes. Fomenten realment l’aprenentatge aquestes plataformes o simplement busquen que acabis pagant el certificat? Dubto moltíssim que torni a fer un curs a Coursera. Serà per plataformes! Justament avui acabo de conèixer Acamica i penso començar aquest curs. Som-hi amb els fonaments!
Per tal d’apropar-nos al tema, haurem de conèixer la terminologia bàsica. I jo feliç, que m’encanta aprendre paraulotes ;) Se’ns parlarà de seguretat i fuga de la informació (tan empresa com usuari), d’investigació de vulnerabilitats, d’enginyeria social (que no són coses tècniques però estàn relacionades amb la seguretat) i de controls d’accés (tan físics com lògics). Veiem algunes definicions bàsiques.
Comenta en Federico Pacheco que la seguretat està relacionada amb un estat mental: sentir-se segur és una sensació subjectiva. Poden estar dues persones al mateix lloc i potser que una que senti segura i l’altra no. Ara bé, la informació que té una o altra persona també influeix en aquesta percepció de la seguretat personal. I la informació és definida al curs com un conjunt de dades interrelacionades que tenen algun valor.
La seguretat de la informació no és una suma de seguretat + informació, sinó que tracta d’una sèrie de mesures que podem adoptar de forma preventiva, detectiva o correctiva. Se’ns parla de diversos tipus de seguretat:
La seguretat física és la més tangible. Si posem una porta o una alarma amb codi, estem intentant protegir casa nostra. Si la casa està protegida ens sentirem segurs…No com jo, que ara fa un any em va entrar un xoriço a casa i me’l vaig trobar al rebedor :_(
També anomenada Seguretat tècnica, la Seguretat lògica està més relacionada amb la seguretat informàtica (xarxes, hardware, software…). Relacionada amb les dues anteriors, trobem la seguretat administrativa, que tracta de la gestió d’aquesta seguretat en qüestió de polítiques, normatives, procediments, etc. Tot plegat, seguretat física, lògica i administrativa donen forma i sentit al concepte de seguretat de la informació.
Les mesures d’atac o defensa de la seguretat de la informació sempre se sostindran amb aquests pilars.
La confidencialitat tracta de l’ús de la informació per les persones autoritzades a fer-ho. El concepte de disponibilitat refereix al fet de poder tenir la informació en el moment que es necessita. Finalment, la integritat tracta de poder detectar possibles modificacions de dades fetes en temps diferents. Si les dades són iguals en el temps seran íntegres.
Per posar alguns exemples: un atac de denegació de serveis afectaria a la disponibilitat, el robatori d’una base de dades afectaria a la confidencialitat i si algú no roba res però modifica dades, l’atac estaria afectant a la integritat del informació.
Inversament proporcionals, diu el profe amb certa resignació…A més seguretat menys comoditat. Per posar un exemple, parla de la quantitat de panys que pots tenir a casa. Quants més en tinguis, més trigaràs a obrir o tancar la porta…Fer més segura una cosa sembla que també implica fer-la menys funcional…Està clar que tot té un preu…
Tot i que hi ha de tot a la vinya del Senyor i els grups són diversos, dins del mundillo de la seguretat informàtica, el hacker és una figura molt respectada. La cosa és de quin cantó treballa…
El hacker ètic o White Hat utilitza el seu coneixement per a la protecció (detecta problemes i avisa, amb el que està “del cantó de la llei”). El Grey Hat o Hacktivista és aquell hacker que fa un atac per temes ideològics, polítics o religiosos…o fins i tot que el paguin per fer una feineta en plan mercenari 2.0. Per acabar amb els barrets, el Black Hat o Cracker, que utilitza el seu coneixement per fer “cosetes fora de la llei”.
Una empresa o organització ha de vetllar per la seva seguretat, tant física com lògica. Per tal de gestionar-la, haurà de prendre un seguit de mesures preventives per tal de minimitzar els atacs. En tot cas, necessitarà d’una bona gestió de la seguretat administrativa amb personal especialitzat.
Potser l’esdeveniment que va posar de rellevància aquest concepte és la publicació dels arxius Wikileaks, informació confidencial que compromet el govern americà. A partir d’allà, governs i empreses comencen a reflexionar sobre aquests nous tipus d’inseguretat. Al comprometre’s l’informació, l’actiu perd la seva confidencialitat. Empreses i governs emmagatzemen molta informació (i molt valuosa).
La informació es presenta en dues formes: la de sistemes (servidors, equips locals, dispositius mòbils i unitats extraïbles) i la de persones (saber, recordar i opinar). El problema tecnològic és que hi ha molta informació per administrar i tenim el factor personal: nosaltres controlarem aquestes eines tecnològiques.
Es poden donar atacs intencionals i no intencionals; interns i externs. Un atac intencional intern seria el d’un treballador empipat que estaria compremetent la confidencialitat de l’empresa; un atac intencional extern seria el d’algú aliè a l’empresa que intenta entrar al web. Un atac no intencional intern seria el d’un treballador que, per desconeixement, infectés els ordinadors amb un USB farcit de malware, per posar un exemple. Curiosament, també hi ha atacs no intencionals externs, que són errors de servidors, bases de dades, etc. Canals específics de fuga d’informació:
Per a tenir les millors solucions als problemes que es puguin donar, necessitarem tres potes: la tecnologia, la bona gestió de la informació i l’educació (reponsabilitat, consciència de l’usuari).
En anglès, Vulnerability Research. Tracta de buscar-li les pessigolles a la tecnologia. Hi ha experts que es dediquen a intentar trencar programes per tal de trobar-hi vulnerabilitats. Un cop trobades, es reporten i s’arreglen. Es treballa amb software, dispositius, processos i entorns físics.
Tipus de vulnerabilitats:
És important remarcar que aquesta investigació de vulnerabilitats permet determinar cap a on es mou la industria. Ara bé, no tot el software és atacat igual: es veu que s’ataca molt els navegadors, que són usats per molta gent i tenen moltes dades.
S’utilitza per convèncer a les persones per a que donin informació sensible. Vaja…“El timo de la estampita 2.0”. Flipa que també hi ha enginyeria social inversa: el depredador no ataca sinó que deixa que la presa s’apropi. Resulta que és més efectiva perquè, lògicament, és més difícil de defensar-se. La monda lironda…
Que no són bons ni dolents però que tenim els usuaris i que els atacans utilitzen:
L’accés és el flux d’informació entre entitats actives (subjectes) i entitats passives (objectes). A l’ingressar a un sistema hem d’identificar-nos (li donen al sistema la nostra informació i el sistema ens deixa accés o no). Per fer-ho, hem de posar un usuari i contrasenya i s’estableix l’autentificació. En el moment que la màquina sap que som nosalres, hi ha el procés d’Autorització. Podem classificar els accessos:
Un programa antivirus seria una mesura tècnica preventiva; un tallafoc (firewall) seria física correctiva, un sistema de detecció d’intrusos per càmeres de vigilància seria un sistema detectiu físic. ¡Qué bé s’explica aquest noi! :) Traçabilitat, Privacitat, No repudi i Anonimitat
La traçabilitat (de traça, de deixar petjada) permet determinar quines han estat les accions de l’usuari en un sistema, sigui quina sigui la seva naturalesa. La privacitat està associada a la confidencialitat però no és el mateix: la diferència entre la privacitat i la confidencialitat és que la privacitat té relació amb allò que és personal, íntim i la confidencialitat és compartida amb altres usuaris. Una cosa és un secret que no vols coompartir i l’altre un secret compartit :)
El No repudi té relació amb la criptografia, com veurem més endavant. La cosa consisteix en què un usuari no pot rebutjar el fet d’haver realitzat una acció. Si s’identifica amb un usuari i contrasenya, el sistema “sap” que és ell i no podrà negar accions que ha fet en un sistema. L’anonimitat és una defensa i també els atacants la busquen per no ser identificats amb les seves accions.
Hi ha diferents factors d’autentificació que combinats reforcen la seguretat de la informació:
(on es busquen totes les combinacions possibles dels passwords fins que es troba la que dóna l’accés). Resulta que els atacs de força bruta es combinen amb atacs de diccionari…Hi ha uns programes que són diccionaris i sembla que van probant les combinacions de les paraules. En funció de si la teva contrasenya és més o menys segura (majúscules, minúscules, números i caràcters especials) ho troben en un plis, plas.
(si la pregunta secreta conté informació personal com el nom de la teva mascota o de la teva sogra, es pot arribar a saber combinant-ho amb força bruta)
(com Phising, que és el Timo de la estampita 2.0. Es fa un perfil fals d’una entitat bancària, per exemple, per tal de capturar les contrasenyes i usuaris quan hi fiques les dades…)
(el simple fet de fer el cotilla i mirar què tecleja el del costat. Per això, en general, sempre es mira cap amunt o cap a un costat quan, per exemple, algú està teclejant el seu codi en un caixer automàtic)
(escoltar els paquets que circulen per la xarxa. Si un paquet viatja per la xarxa i no està encriptat -en text pla, per exemple- algú podria estar observant aquests paquets d’informació i capturar dades d’accés com la contrasenya)
(peces de codi maliciós o malware que emmagatzemen totes les tecles que un pressiona al teclat…al navegador, a una app, a un document de text o calculadora, etc.)
(ens convencen per a que donem la nostra informació)