25 Gen

1. Introducció a la Seguretat de la Informació

Em sento digitalment vulnerable, cibernèticament ignorant…I intueixo que el remei serà pitjor que la malaltia…I em sento com un homínid prehistòric descobrint el foc… I com que segur que hi ha moltes més coses a fer a part d’instal·lar plugins al navegador (com l’AdBlock i el Privacy Badger), m’he apuntat a un curs d’introducció a la Seguretat de la Informació.

Sabies que pots fer un test online i sense registre de cap mena per saber quin és el teu nivell de protecció digital gràcies a Electronic Frontier Fundation (EFF)? Pel món d’Internet també hi ha gent que es preocupa d’altra gent…i jo agraïda :)

Si algú se n’ha adonat, en aquesta web no hi ha cap botonet per subscriure’s. I mira que és fàcil fer-ho…Però no ho vull fer perquè primer haig de saber de què va tot això…Sóc conscient que emmagatzemar dades d’altres, encara que sigui amb bona voluntat, té riscos…I jo no vull que ningú que entri per aquí estigui en perill de cap de les maneres. Intentaré que així sigui i per això haig de començar aprendre coses bàsiques com Seguretat de la Informació. ¡Allá voy!

Pel que sembla, aquest curs introductori a la seguretat de la informació és un curs self-paced, és a dir, que el pots anar fent al teu ritme. A mi m’encanten aquests cursos, són ideal autodidactes! A més, estic desencantada amb els MOOC…Sembla que tots els magnats de la banca i de les telecomunicacions es llencen a tirar endavant platafomes d’e-learning…

I dóna la sensació que ho fan per dues coses: 1) rentar la seva imatge; 2) fotre els quartos a algun lloc…Filantropia 0. A Coursera, per exemple, tenen un codi d’honor que no permet compartir les tasques entre els alumnes. Fomenten realment l’aprenentatge aquestes plataformes o simplement busquen que acabis pagant el certificat? Dubto moltíssim que torni a fer un curs a Coursera. Serà per plataformes! Justament avui acabo de conèixer Acamica i penso començar aquest curs. Som-hi amb els fonaments!

Imatge: http://www.technomag.co.zw/2013/03/12/ignorance-is-the-biggest-it-threat-to-companies/

CONCEPTES BÀSICS

Per tal d’apropar-nos al tema, haurem de conèixer la terminologia bàsica. I jo feliç, que m’encanta aprendre paraulotes ;) Se’ns parlarà de seguretat i fuga de la informació (tan empresa com usuari), d’investigació de vulnerabilitats, d’enginyeria social (que no són coses tècniques però estàn relacionades amb la seguretat) i de controls d’accés (tan físics com lògics). Veiem algunes definicions bàsiques:

Seguretat de la informació 

Comenta en Federico Pacheco que la seguretat està relacionada amb un estat mental: sentir-se segur és una sensació subjectiva. Poden estar dues persones al mateix lloc i potser que una que senti segura i l’altra no. Ara bé, la informació que té una o altra persona també influeix en aquesta percepció de la seguretat personal. I la informació és definida al curs com un conjunt de dades interrelacionades que tenen algun valor.

La seguretat de la informació no és una suma de seguretat + informació, sinó que tracta d’una sèrie de mesures que podem adoptar de forma preventiva, detectiva o correctiva. Se’ns parla de diversos tipus de seguretat:

Seguretat Física, Lògica i Administrativa

La seguretat física és la més tangible. Si posem una porta o una alarma amb codi, estem intentant protegir casa nostra. Si la casa està protegida ens sentirem segurs…No com jo, que ara fa un any em va entrar un xoriço a casa i me’l vaig trobar al rebedor  :_(

També anomenada Seguretat tècnica, la Seguretat lògica està més relacionada amb la seguretat informàtica (xarxes, hardware, software…). Relacionada amb les dues anteriors, trobem la seguretat administrativa, que tracta de la gestió d’aquesta seguretat en qüestió de polítiques, normatives, procediments, etc. Tot plegat, seguretat física, lògica i administrativa donen forma i sentit al concepte de seguretat de la informació.

Confidencialitat, Disponibilitat i Integritat

Les mesures d’atac o defensa de la seguretat de la informació sempre se sostindran amb aquests pilars.

La confidencialitat tracta de l’ús de la informació per les persones autoritzades a fer-ho. El concepte de disponibilitat refereix al fet de poder tenir la informació en el moment que es necessita. Finalment, la integritat tracta de poder detectar possibles modificacions de dades fetes en temps diferents. Si les dades són iguals en el temps seran íntegres.

Per posar alguns exemples: un atac de denegació de serveis afectaria a la disponibilitat, el robatori d’una base de dades afectaria a la confidencialitat i si algú no roba res però modifica dades, l’atac estaria afectant a la integritat del informació.

Comoditat i Seguretat

Inversament proporcionals, diu el profe amb certa resignació…A més seguretat menys comoditat. Per posar un exemple, parla de la quantitat de panys que pots tenir a casa. Quants més en tinguis, més trigaràs a obrir o tancar la porta…Fer més segura una cosa sembla que també implica fer-la menys funcional…Està clar que tot té un preu…

Hackers i barrets de colors

Tot i que hi ha de tot a la vinya del Senyor i els grups són diversos, dins del mundillo de la seguretat informàtica, el hacker és una figura molt respectada. La cosa és de quin cantó treballa…

El hacker ètic o White Hat utilitza el seu coneixement per a la protecció (detecta problemes i avisa, amb el que està “del cantó de la llei”). El Grey Hat o Hacktivista és aquell hacker que fa un atac per temes ideològics, polítics o religiosos…o fins i tot que el paguin per fer una feineta en plan mercenari 2.0. Per acabar amb els barrets, el Black Hat o Cracker, que utilitza el seu coneixement per fer “cosetes fora de la llei”.

Empreses i organitzacions

Una empresa o organització ha de vetllar per la seva seguretat, tant física com lògica. Per tal de gestionar-la, haurà de prendre un seguit de mesures preventives per tal de minimitzar els atacs. En tot cas, necessitarà d’una bona gestió de la seguretat administrativa amb personal especialitzat.

Imatge: https://iaonline.theiia.org/the-infosec-layer-methodology

 
Fuga d’informació

Potser l’esdeveniment que va posar de rellevància aquest concepte és la publicació dels arxius Wikileaks, informació confidencial que compromet el govern americà. A partir d’allà, governs i empreses comencen a reflexionar sobre aquests nous tipus d’inseguretat. Al comprometre’s l’informació, l’actiu perd la seva confidencialitat. Empreses i governs emmagatzemen molta informació (i molt valuosa).

La informació es presenta en dues formes: la de sistemes (servidors, equips locals, dispositius mòbils i unitats extraïbles) i la de persones (saber, recordar i opinar). El problema tecnològic és que hi ha molta informació per administrar i tenim el factor personal: nosaltres controlarem aquestes eines tecnològiques.

Es poden donar atacs intencionals i no intencionals; interns i externs. Un atac intencional intern seria el d’un treballador empipat que estaria compremetent la confidencialitat de l’empresa; un atac intencional extern seria el d’algú aliè a l’empresa que intenta entrar al web. Un atac no intencional intern seria el d’un treballador que, per desconeixement, infectés els ordinadors amb un USB farcit de malware, per posar un exemple. Curiosament, també hi ha atacs no intencionals externs, que són errors de servidors, bases de dades, etc. Canals específics de fuga d’informació:

  • Xarxes de telefonia mòbil (GPRS, 3G, EDGE)
  • Pendrives, discs externs, CDs/ DVDs
  • Connexions privades (VPN, HTTPS, TOR, proxies)
  • Connexions alternatives (Wifi, Dial Up)

Per a tenir les millors solucions als problemes que es puguin donar, necessitarem tres potes: la tecnologia, la bona gestió de la informació i l’educació (reponsabilitat, consciència de l’usuari).

Imatge: http://news.softpedia.com/news/Infosec-Professionals-Are-Satisfied-With-Their-Job-but-There-s-Still-a-Skills-Shortage-438252.shtml

 Investigació de vulnerabilitats 

En anglès, Vulnerability Research. Tracta de buscar-li les pessigolles a la tecnologia. Hi ha experts que es dediquen a intentar trencar programes per tal de trobar-hi vulnerabilitats. Un cop trobades, es reporten i s’arreglen. Es treballa amb software, dispositius, processos i entorns físics.

Tipus de vulnerabilitats:

  • Severitat: alta, mitja o baixa en funció de diverses coses, com el tipus d’explotació
  • Tipus d’explotació: local o remota, és a dir, si s’accedeix des de dins o des de fora
  • Dificultat de l’explotació

És important remarcar que aquesta investigació de vulnerabilitats permet determinar cap a on es mou la industria. Ara bé, no tot el software és atacat igual: es veu que s’ataca molt els navegadors, que són usats per molta gent i tenen moltes dades.

 Enginyeria social 

S’utilitza per convèncer a les persones per a que donin informació sensible. Vaja…“El timo de la estampita 2.0”.  Flipa que també hi ha enginyeria social inversa: el depredador no ataca sinó que deixa que la presa s’apropi. Resulta que és més efectiva perquè, lògicament, és més difícil de defensar-se. La monda lironda…

Comportaments vulnerables, que no són bons ni dolents però que tenim els usuaris i que els atacans utilitzen:

  • Confiança
  • Desconeixement
  • Por
  • Cobdícia
  • Deure moral

Fases d’un atac:

  • Tria d’objectiu
  • Sel·lecció de víctimes
  • Establiment de relacions
  • Explotació de les relacions

Tipus d’atac:

Relacionats amb la interacció humana:

  • Impersonalització
  • Jerarquia
  • Tercer de confiança
  • Suport tècnic
  • Robatori d’identitat
  • Shoulder surfing (mirar el que fan les altres persones)

Relacionats amb la interacció electrònica:

  • Malware per email
  • Trucades telefòniques
  • Missatges de text
  • Llocs web amb codi maliciós (Drive-by-load)
  • Phising i accessos falsos

Mesures preventives a la fuga d’informació:

  • Capacitació interna
  • Reconeixement de la informació sensible

Assignació de responsabilitats

Imatge: https://en.wikipedia.org/wiki/File:Parker-six-elements-of-infosec.png

 Control dels accessos 

L’accés és el flux d’informació entre entitats actives (subjectes) i entitats passives (objectes). A l’ingressar a un sistema hem d’identificar-nos (li donen al sistema la nostra informació i el sistema ens deixa accés o no). Per fer-ho, hem de posar un usuari i contrasenya i s’estableix l’autentificació. En el moment que la màquina sap que som nosalres, hi ha el procés d’Autorització. Podem classificar els accessos:

  • Per la seva naturalesa: administratius, lògics (o tècnics) i  físics.
  • Pel seu moment d’acció: preventius, detectius i correctius.

Un programa antivirus seria una mesura tècnica preventiva; un tallafoc (firewall) seria física correctiva, un sistema de detecció d’intrusos per càmeres de vigilància seria un sistema detectiu físic. ¡Qué bé s’explica aquest noi! :)

Traçabilitat, Privacitat, No repudi i Anonimitat

La traçabilitat (de traça, de deixar petjada) permet determinar quines han estat les accions de l’usuari en un sistema, sigui quina sigui la seva naturalesa. La privacitat està associada a la confidencialitat però no és el mateix: la diferència entre la privacitat i la confidencialitat és que la privacitat té relació amb allò que és personal, íntim i la confidencialitat és compartida amb altres usuaris. Una cosa és un secret que no vols coompartir i l’altre un secret compartit :)

El No repudi té relació amb la criptografia, com veurem més endavant. La cosa consisteix en què un usuari no pot rebutjar el fet d’haver realitzat una acció. Si s’identifica amb un usuari i contrasenya, el sistema “sap” que és ell i no podrà negar accions que ha fet en un sistema. L’anonimitat és una defensa i també els atacants la busquen per no ser identificats amb les seves accions.

Hi ha diferents factors d’autentificació que combinats reforcen la seguretat de la informació:

  • En el que un sap (com el password, el passphrase o el PIN)
  • El que un té (un token, una tarjeta o una clau)
  • El que un és (sistemes biomètrics)

 Quins tipus d’atacs podem sofrir?

  • Força bruta (on es busquen totes les combinacions possibles dels passwords fins que es troba la que dóna l’accés). Resulta que els atacs de força bruta es combinen amb atacs de diccionari…Hi ha uns programes que són diccionaris i sembla que van probant les combinacions de les paraules. En funció de si la teva contrasenya és més o menys segura (majúscules, minúscules, números i caràcters especials) ho troben en un plis, plas.

TRUC: per recordar contrasenyes xunguis/segures. Mnemotècnica i criptografia: “Refrán 1200: El perro de San Roque no tiene rabo porque Ramón Rodríguez se lo ha cortado.” La contrasenya seria: R1200EpdSRntrpRRslhc. Explica-li tu això a un diccionari :)

  • Dades combinades (si la pregunta secreta conté informació personal com el nom de la teva mascota o de la teva sogra, es pot arribar a saber combinant-ho amb força bruta)
  • Fals login (com Phising, que és el Timo de la estampita 2.0. Es fa un perfil fals d’una entitat bancària, per exemple, per tal de capturar les contrasenyes i usuaris quan hi fiques les dades…)
  • Shoulder surfing (el simple fet de fer el cotilla i mirar què tecleja el del costat. Per això, en general, sempre es mira cap amunt o cap a un costat quan, per exemple, algú està teclejant el seu codi en un caixer automàtic)
  • Sniffing (escoltar els paquets que circulen per la xarxa. Si un paquet viatja per la xarxa i no està encriptat -en text pla, per exemple- algú podria estar observant aquests paquets d’informació i capturar dades d’accés com la contrasenya)
  • Keyloggers (peces de codi maliciós o malware que emmagatzemen totes les tecles que un pressiona al teclat…al navegador, a una app, a un document de text o calculadora, etc.)
  • Enginyeria social (ens convencen per a que donem la nostra informació)

Imatge: https://zeltser.com/regular-vs-infosec-people/

Conclusions
  1. La seguretat de la informació no és exclusivament tècnica
  2. A més seguretat menys comoditat
  3. La seguretat de la informació és un element clau en tota organització
  4. La fuga d’informació està “de moda” i no hi ha solucions directes
  5. La investigació en vulnerabilitats marca camí en temes de seguretat
  6. És necessari controlar els accessos per tal d’evitar incidències

M’està encantant aquest curs! A més, avui he vist una iniciativa que es diu “Palabra de Hacker”, un canal de Youtube que es desvetlla que és un hacker…Imperdible :)

Segueix al mòdul 2: Gestió de la Seguretat de la Informació 

Deixa un comentari

L'adreça electrònica no es publicarà. Els camps necessaris estan marcats amb *