Joves en hacking

Seguretat informàtica per Legió de Gaben

Etiqueta: Seguretat activa

Jove interessat en la seguretat informàtica

Extrapolant les definicions anteriors, s’arriba fàcilment a determinar què és una vulnerabilitat. És qualsevol punt feble que pugui posar en perill la seguretat d’un sistema informàtic. Aquesta feblesa s’ha d’entendre com una qüestió interna. Pot ser aprofitada per un atacant per violar la seguretat del sistema informàtic, o simplement pot provocar danys de manera no intencionada (per exemple, un error de programació pot fer que un programari tingui comportaments insospitats).

Una vulnerabilitat és qualsevol punt feble intern que pugui posar en perill la seguretat d’un sistema informàtic. En canvi, les amenaces exploten les vulnerabilitats i, per tant, poden ser considerades com a exteriors al sistema.

En general, segons el seu origen, les vulnerabilitats es poden classificar de la manera següent:

Vulnerabilitats d’origen físic. Es relacionen amb l’accés físic a les instal·lacions que contenen el sistema informàtic. Si l’organització no manté una bona política d’accés al sistema, provocaria l’aparició d’una vulnerabilitat que podria ser aprofitada per una persona que, sense tenir cap accés autoritzat, en podria extreure dades o provocar danys.

Vulnerabilitats d’origen natural. El caràcter imprevisible i inevitable dels fenòmens naturals fa que difícilment puguem evitar-ne les conseqüències. Si més no, cal intentar minimitzar el seu impacte i disposar de mitjans per recuperar, en la mesura del possible, l’estat original del sistema informàtic. Aquestes vulnerabilitats són conseqüència de no haver pres les mesures adequades davant de la possibilitat que es produeixin fenòmens meteorològics o catàstrofes naturals. Si, per exemple, l’organització es troba ubicada en un lloc on sovint es pateixen inundacions, és clar que si no s’ha pres cap mesura les pluges poden provocar danys molt importants al sistema informàtic.

Vulnerabilitats que tenen l’origen en el maquinari. Estan relacionades amb el mal funcionament dels elements físics del sistema, el qual pot tenir diverses causes: mal disseny dels components, desgast, mal ús, errors de fabricació. . . Com a conseqüència, el sistema informàtic pot deixar de ser operatiu o funcionar de forma inesperada. Un atacant podria aprofitar aquesta vulnerabilitat per malmetre el sistema.

Vulnerabilitats que tenen l’origen en el programari. Aquestes són les més evidents i conegudes. Es basen en errors de programació o de disseny tant de sistemes operatius com de programes.

Vulnerabilitats que tenen l’origen en la xarxa. Les xarxes són elements molt vulnerables, ja que estan constituïdes per una suma de maquinaris i programaris interconnectats (que, a més, poden presentar vulnerabilitats físiques i naturals). Els principals problemes que poden sorgir arran de les vulnerabilitats en una xarxa són la intercepció de la informació circulant, Seguretat i alta disponibilitat 13 Seguretat física, lògica i legislació així com l’accés no autoritzat a un sistema informàtic (o a diversos) a través de la xarxa. Un element molt condicionant en l’aparició de vulnerabilitats és la tria de la topologia de la xarxa (segons quina es triï serem més sensibles a unes o altres amenaces).

Vulnerabilitats que tenen l’origen en el factor humà. Sol ser la baula més feble i més incontrolable de totes. Ja sigui per manca de formació, de conscienciació o per mala fe, l’element humà és difícilment controlable. No tenim cap poder de decisió sobre les persones que volen cometre atacs contra sistemes informàtics (robatori d’informació, eliminació de fitxers, destrucció de dispositius físics. . . ), però, en canvi, sí és possible, mitjançant una política adequada de formació i conscienciació, evitar moltes conductes causades per la desinformació que podrien posar en perill la seguretat del sistema informàtic d’una organització (per exemple, una bona política de gestió de contrasenyes d’accés).

Una de les maneres d’explotar les vulnerabilitats d’origen humà és l’anomenada enginyeria social. Consisteix a obtenir informació confidencial manipulant els usuaris legítims. Exemple d’enginyeria social Algú que es fa passar per l’administrador del sistema informàtic truca un treballador i li sol·licita, amb qualsevol pretext, la contrasenya d’accés al sistema.

Una de les formes més conegudes d’enginyera social és la pesca electrònica (phishing). Aquest tipus de frau es basa en l’enviament de correus electrònics fraudulents (aparentment enviats des d’un origen fiable) en els quals se sol·liciten dades sobre targetes de crèdit, codis d’accés per operar amb comptes bancaris o altres tipus d’informació personal.

Josep Maria Arqués Soldevila, Miquel Colobran Huguet, Ivan Basart Carrillo, Carles Caño Valls, Jordi Masfret Corrons, Josep Pons Carrió i Jordi Prats Català – Seguretat física, lògica i legislació

Criptografia

Criptografia de Pere Pons

Esquema general sobre Seguretat Informàtica