|
 |
dissabte, 1 / juliol / 2006 |
Els consells de seguretat informàtica del hacker més famós del mónMercè Molist
http://ww2.grn.es/merce/
Res no sembla broma quan ho explica el hacker nord-americà Kevin Mitnick. Que algú entri al nostre ordinador, ensumi en la nostra vida privada o ens ompli l'equip de virus és una amenaça real que coneix de primera mà, ja que ho va fsocer amb freqüència en el passat. Podem ser l'objectiu final o només un enllaç, un punt intermedi que utilitzarà el criminal per saltar d'un ordinador un altre, per llançar un atac de correu escombraries o per obtenir una peça d'informació que al seu puzle final tindrà sentit, encara que ens sembli que res nostre no pugui interessar-li.
Tot és fàcilment atacable per a l'anomenat "hacker més famós del món". Ningú no està fora de perill. Coneix el poder de la informàtica i les telecomunicacions i sap que amb ells es pot aconseguir gairebé tot, si es tenen els coneixements. Així ho ensenya a les demostracions pràctiques que quallen els seus cursos i conferències, els dits volant sobre el teclat de l'ordinador o el telèfon, mostrant el fàcil que és enganyar la gent, entrar en els seus sistemes, robar-los el que sigui.
El món ha canviat des que Kevin Mitnick, un jove autodidacte, va ser l'assot de grans empreses que tenien coses, normalment programes propietaris, que ell anhelava. Avui, l'objecte de desig dels cibercriminals és més materialista: contrasenyes i nombres de comptes que porten als diners preats aliens. Des de la seva nova vida, pagats ja els deutes amb la justícia, Mitnick s'encarrega d'avisar la gent, usuaris i empreses, sobre els perills que tan bé coneix i com evitar-los.
Abans, l'arma més temible de Mitnick contra les empreses va ser l'anomenada enginyeria social, l'art de persuadir amb engany als empleats perquè, gairebé sense adonar-se, donin informacions vitals a un desconegut. Informacions que, associant-ne l'una amb l'altra, permeten arribar a l'objectiu: "Amb només deu trucades pots assaltar una empresa. L'enginyeria social funciona millor amb les grans companyies, perquè els empleats no es coneixen i pots fer-te passar per ells. En general, l'enginyeria social és una tècnica més ràpida que posar-te a buscar vulnerabilitats als seus ordinadors", explica.
Avui, aquesta tècnica continua sent el principal taló d'Aquil·les de la seguretat empresarial. La raó és, assegura, "l'estupidesa de la gent. Es va fer una prova en una estació de metro de Londres, on es regalava un bolígraf a qui revelés la contrasenya del seu ordinador de la feina. El 70% de persones van acceptar el canvi". Altres raons que enumera són: "La gent es creu invulnerable, que a ella no l'enganyaran. També té tendència a confiar en els altres, voler ajudar-los i evita tant com pot quedar malament. A més, no solen entendre el valor de la informació que manegen ni les conseqüències de les seves accions".
Per evitar aquest seriós perill, Mitnick recomana a les empreses: "Prendre's seriosament als seus empleats, implicant també els directius, crear protocols d'actuació amb normes senzilles, fàcils de recordar i complir, implicar la gent, mostrant-los què pot passar si es deixen enganyar i, sobretot, ensenyar-los que està bé negar-se a fer o dir alguna cosa si no el veuen clar". A més, l'expert aconsella no llençar a les escombraries informació important, que algú pugui trobar recercant als contenidors; ni publicar dades en Internet, com directoris de telèfons interns, molt valuoses per a un atacant.
L'enginyeria social és també una de les principals amenaces amb què s'enfronten els usuaris de a peu, que cada vegada més freqüentment reben missatges de correu on se'ls vol persuadir que visitin una web fraudulenta i introdueixin les seves dades bancàries, truquin a un telèfon que simula ser el del seu banc i teclegin la seva contrasenya, o punxin en un fitxer adjunt que en realitat instal·la un virus a l'ordinador.
A més d'estar atents als intents d'enganyar-los, Mitnick té altres consells per als usuaris: "Fer còpies de seguretat, que són molt útils en cas de desastre com quan s'esborra algun programa, s'espatlla el sistema operatiu, atacs de virus, etc.". A més, recomana: "Usar sempre un programa antivirus, un altre que detecti els programes espia i un tallafocs que controli tant el tràfic que surt com el que entra a l'ordinador". També és de vital importància tenir sempre els programes actualitzats i aplicar amb celeritat els pegats de seguretat que vagin apareixent: "No deixar-lo per a d'aquí a de tres mesos", avisa.
Mitnick recomana també: "Minimitzar el nombre de serveis oberts a l'ordinador, tenir només els programes necessaris". I afegeix importants recomanacions per a les persones que utilitzen el sistema operatiu Windows: "No feu servir el navegador Internet Explorer, és millor i més segur el navegador lliure Firefox. I, en cas d'usar Internet Explorer, desactiveu els controls ActiveX, excepte quan visiteu llocs de confiança. A més, habiliteu el servei DEP (Data Execution Prevention), una prevenció que Windows porta de fàbrica per evitar l'execució de dades al seu ordinador."
L'expert té també un bon consell per a les persones que usen connexions sense fil, per exemple per comunicar un portàtil amb el seu encaminador casolà: "No utilitzin el sistema de xifrat WEP (Wireless Encryption Protocol), pensant que així estan protegits. WEP és fàcilment atacable, pot trencar-se en deu minuts, no val la pena ni activar-lo. És millor utilitzar un altre sistema de protecció: WPA (Wireless Protected Access)". Quant als ordinadors portàtils, recomana encaridament no deixar-los al cotxe, ja que són objectes altament cobejables
Kevin Mitnick o com la curiositat gairebé va matar el gat
Encara que s'han escrit múltiples llibres, articles i fins i tot una pel·lícula sobre la vida de Kevin Mitnick, la seva biografia és plena de mitges veritats i mentides. Hi han contribuït dos llibres: "Takedown", de John Markoff i Tsunomu Shimomura, i "The Fugitive Game", de Jonathan Littman. Escrits ambdós a començaments de la dècada dels 90, "Takedown" explica els esforços de l'FBI per caçar Mitnick, pintant-lo com un criminal sense escrúpols. Per contra, "The Fugitive Game", una recopilació de converses amb el hacker mentre escapava de la justícia, mostra el seu costat més humà, el jove tímid i solitari.
Kevin Mitnick va néixer en un poble del sud de Califòrnia el 1963. Fill de pares divorciats, va créixer com un noi retret i curiós. El seu primer "hack" no va tenir res a veure amb la informàtica sinó amb el sistema de transports de Los Angeles: va descobrir un error en la validació dels bitllets d'autobús i es dedicava a viatjar gratuïtament per la ciutat.
A l'institut va conèixer un noi expert en telefonia, que jugava a fer dites gratuïtes i a saltar de centraleta en centraleta. Mitnick va destacar aviat en aquest camp. El següent pas natural va ser fer el mateix amb ordinadors. Són incomptables els sistemes informàtics que ha assaltat Kevin Mitnick, gràcies especialment a la seva millor arma: l'enginyeria social, l'art de manipular les persones perquè donin informació sensible a un desconegut.
L'habilitat de Mitnick, amb els sobrenoms de "El Còndor" i també El Xacal de la Xarxa, va créixer alhora que les seves freqüents estades en correccionals, de vegades producte de delacions dels seus propis companys. Als 25 anys, era processat per intentar robar el codi font d'un sistema operatiu de la Digital Equipment Corporation. Aquest arrest el va convertir en hacker de llegenda, els diaris li anomenaven terrorista electrònic i asseguraven que era capaç de provocar un holocaust nuclear només amb un telèfon.
Va estar a presó vuit mesos, aïllat en una cel·la de màxima seguretat. El seu advocat va aconseguir reduir la pena, adduint que no era un criminal sinó un addicte als ordinadors, i Mitnick va passar un any en un centre de rehabilitació de drogoaddictes. En sortir, va tornar a freqüentar les velles amistats, que li van portar una altra vegada a les caminades: Motorola, Nokia, Sun, Fujitsu, cap empresa digital no estava fora de perill de la curiositat de Mitnick.
El 1992, s'emetia una ordre de recerca contra el jove, per trencar la llibertat condicional, en haver accedit suposadament a un ordinador de la Pacific Bell. Va començar llavors un joc de la rata i el gat, amb Mitnick viatjant d'una ciutat a l'altra, canviant d'ocupació i d'identitat. Finalment, l'FBI el detenia el febrer de 1995. Passaria més de quatre anys a presó, sense judici ni fiança, el que va provocar una àmplia campanya en Internet a favor del seu alliberament. Va sortir l'any 2000, amb la condició de no tocar cap equip informàtic ni telèfons mòbils, fins a 2003.
Actualment, Kevin David Mitnick té la seva pròpia empresa de seguretat informàtica, dóna cursos i conferències per tot el món, participa regularment en programes de ràdio i televisió als Estats Units, escriu articles i llibres i fins i tot apareix com a personatge als videojocs "Grand Theft Auto" i "Vampire".
Copyright 2006 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved.
|
21:04 (# Enllaç permanent) | Comentaris: | Trackback:
|
|
Zfone: A New Approach for Securing VoIP Communication
This paper reviews some security challenges currently faced by VoIP systems as well as their potential solutions. Particularly, it focuses on Zfone, a vendor-neutral security solution developed by PGP’s creator, Phil Zimmermann. Zfone is based on the Z Real-time Transport Protocol (ZRTP), which is an extension of the Real-time Transport Protocol (RTP). ZRTP offers a very simple and robust approach to providing protection against the most common type of VoIP threats. Basically, the protocol offers a mechanism to guarantee high entropy in a Diffie-Hellman key exchange by using a session key that is computed through the hashing several secrets, including a short authentication string that is read aloud by callers. The common shared secret is calculated and used only for one session at a time. However, the protocol allows for a part of the shared secret to be cached for future sessions. The mechanism provides for protection for man-in-the-middle, call hijack, spoofing, and other common types of attacks. Also, this paper explores the fact that VoIP security is a very complicated issue and that the technology is far from being inherently insecure as many people usually claim.
|
20:45 (# Enllaç permanent) | Comentaris: | Trackback:
|
|
© Copyright 2003-2006 Xavier Caballe.  . Si no s'indica expressament el contrari, el material publicat en aquest weblog es distribueix d'acord amb la llicència Creative Commons. El contingut és responsabilitat única i exclusivament del seu autor i no té cap relació amb les seves activitats professionals.
|
 |
 |
 |
 |
Contingut actualitzat
Categories
Darrers comentaris
Arxiu
Contingut antic
(ja no s'actualitza)
Versions anteriors
d'aquesta pàgina
|
 |
 |
 |
 |
|
[Tech Recipes] 
