Actualitzat el 13/03/2011 a les 00:01h
Inseguretat informàtica
Potser em faig pesat amb aquest tema, però, com dirien a Twitter, #alguhohaviadedir: la seguretat informàtica és un tema molt més important que actualitzar l'antivirus i el sistema operatiu, i més en segons quins àmbits. I em refereixo, sobretot, a l'atac informàtic que ha patit el Govern francès, i mitjançant el qual algú ha aconseguit robar dades “sensibles” d'ordinadors, vinculades a la presidència francesa del G-20.
I és que el mètode d'atac va ser dels d'"anem a provar a veure què passa". Un correu electrònic amb un arxiu adjunt que contenia un troià va ser la porta d'entrada dels atacants, fet que ens deixa entreveure que segurament parlem d'ordinadors amb Windows, d'usuaris sense massa miraments, i de més aviat poca supervisió per part dels administradors de sistemes.
Si bé aquestes coses “poden passar”, i més quan hi ha un bon número d'ordinadors en una xarxa, quan es tracta de maquinari que emmagatzema informació de la que el govern francès ha qualificat com a “sensible” la vigilància i manteniment hauria de ser més gran, i, fins i tot, en aquests casos, potser s'hauria d'utilitzar una sèrie de programari preparat únicament per aquesta tasca. Potser això encariria la infraestructura informàtica, i faria més difícil la interconnexió entre aquests usuaris i la resta, però també és cert que el preu de les conseqüències pot ser encara més gran, motiu que hauria de fer pensar a qui realitzi aquestes planificacions en solucions més orientades a un control de la seguretat.
Podríem dir-los que utilitzin Linux, per exemple, però si de veritat un sistema pot ser segur, ho serà sobretot quan hi hagi un desconeixement complet de com funciona per part dels possibles atacants. Perquè si es té accés a informació sobre possibles problemes del sistema operatiu, o si es disposa del codi font del programari per estudiar-lo i veure les possibles vies d'accés fraudulentes, el perill augmenta considerablement. I si bé per qualsevol de nosaltres un Ubuntu ens podria tenir prou segurs, el cert és que tampoc guardem dades que poden afectar la seguretat o estabilitat econòmica de tanta gent com el cas que ens ocupa.
Però mentre l'acte reflex del 90% de la població sigui prémer “Acceptar” sense llegir, i pensant que l'ordinador és un pesat, i que ja podrien deixar d'emprenyar-nos amb tanta frase tècnica, no crec que la situació millori. Al contrari, mai aprendrem a llegir-nos amb atenció (i buscar, si és necessari) què vol dir aquell avís de seguretat que omple la pantalla. Mentre hi hagi un botó per saltar-s'ho (o dos, i ja provarem l'altre si aquest cancel·la l'operació), no canviarà res. I si un dia ens obliguen a llegir-ho, ens recordarem de la família dels programadors que ho han preparat, i buscarem alternatives menys “pesades”. L'ésser humà, aquest gran desconegut...
I és que el mètode d'atac va ser dels d'"anem a provar a veure què passa". Un correu electrònic amb un arxiu adjunt que contenia un troià va ser la porta d'entrada dels atacants, fet que ens deixa entreveure que segurament parlem d'ordinadors amb Windows, d'usuaris sense massa miraments, i de més aviat poca supervisió per part dels administradors de sistemes.
Si bé aquestes coses “poden passar”, i més quan hi ha un bon número d'ordinadors en una xarxa, quan es tracta de maquinari que emmagatzema informació de la que el govern francès ha qualificat com a “sensible” la vigilància i manteniment hauria de ser més gran, i, fins i tot, en aquests casos, potser s'hauria d'utilitzar una sèrie de programari preparat únicament per aquesta tasca. Potser això encariria la infraestructura informàtica, i faria més difícil la interconnexió entre aquests usuaris i la resta, però també és cert que el preu de les conseqüències pot ser encara més gran, motiu que hauria de fer pensar a qui realitzi aquestes planificacions en solucions més orientades a un control de la seguretat.
Podríem dir-los que utilitzin Linux, per exemple, però si de veritat un sistema pot ser segur, ho serà sobretot quan hi hagi un desconeixement complet de com funciona per part dels possibles atacants. Perquè si es té accés a informació sobre possibles problemes del sistema operatiu, o si es disposa del codi font del programari per estudiar-lo i veure les possibles vies d'accés fraudulentes, el perill augmenta considerablement. I si bé per qualsevol de nosaltres un Ubuntu ens podria tenir prou segurs, el cert és que tampoc guardem dades que poden afectar la seguretat o estabilitat econòmica de tanta gent com el cas que ens ocupa.
Però mentre l'acte reflex del 90% de la població sigui prémer “Acceptar” sense llegir, i pensant que l'ordinador és un pesat, i que ja podrien deixar d'emprenyar-nos amb tanta frase tècnica, no crec que la situació millori. Al contrari, mai aprendrem a llegir-nos amb atenció (i buscar, si és necessari) què vol dir aquell avís de seguretat que omple la pantalla. Mentre hi hagi un botó per saltar-s'ho (o dos, i ja provarem l'altre si aquest cancel·la l'operació), no canviarà res. I si un dia ens obliguen a llegir-ho, ens recordarem de la família dels programadors que ho han preparat, i buscarem alternatives menys “pesades”. L'ésser humà, aquest gran desconegut...
Navega per les etiquetes
InternetCOMENTARIS
+1
-0
Albert M, 14/03/2011 a les 21:47
Miquel, gràcies per la resposta, com ja has explicat el principal punt feble de qualsevol sistema són els humans per això qualsevol sistema és vulnerable. Això només se soluciona no pas creant millors sistemes sinó educant a les persones com tractar la informació sensible.
Finalment, en quant a crear un sistema tancat, et remeto al cas Wikileaks. Es tracta d'un sistema ultra secret, ultra segur i ultra tancat que en teoria només poden utilitzar els membres del cos diplomàtic dels EUA, i fixa't el que va passar. I la gràcia de tot és que al final no hi havia res d'aquesta informació que ens hagi escandalitzat.
Finalment, en quant a crear un sistema tancat, et remeto al cas Wikileaks. Es tracta d'un sistema ultra secret, ultra segur i ultra tancat que en teoria només poden utilitzar els membres del cos diplomàtic dels EUA, i fixa't el que va passar. I la gràcia de tot és que al final no hi havia res d'aquesta informació que ens hagi escandalitzat.
+2
-1
Miquel Serrabassa, 14/03/2011 a les 18:22
Benvolguts, gràcies per les respostes.
Albert M, només un apunt: en cap cas he discutit la seguretat dels sistemes Linux. Només poso a debat que potser, en alguns casos, el sistema que s'hauria d'utilitzar només l'haurien de conèixer aquells qui l'han creat, com a mesura de seguretat a nivell de "paranoia". I, malgrat tot, hi hauria la possibilitat que alguna d'aquestes persones filtrés informació a possibles atacants.
Però era un possible escenari. Reitero, perquè potser no ha quedat prou clar, que com a consell, per certs tipus d'informació Linux seria la millor opció mentre caldria deixar de banda Windows. Em referia, més aviat, a crear un sistema propi, tancat i d'ús exclusiu per al tractament d'aquesta informació.
Albert M, només un apunt: en cap cas he discutit la seguretat dels sistemes Linux. Només poso a debat que potser, en alguns casos, el sistema que s'hauria d'utilitzar només l'haurien de conèixer aquells qui l'han creat, com a mesura de seguretat a nivell de "paranoia". I, malgrat tot, hi hauria la possibilitat que alguna d'aquestes persones filtrés informació a possibles atacants.
Però era un possible escenari. Reitero, perquè potser no ha quedat prou clar, que com a consell, per certs tipus d'informació Linux seria la millor opció mentre caldria deixar de banda Windows. Em referia, més aviat, a crear un sistema propi, tancat i d'ús exclusiu per al tractament d'aquesta informació.
+0
-0
Anònim, 14/03/2011 a les 16:21
1) La seguretat per oscurantisme no és seguretat.
2) El programari obert és més segur, pots auditar el codi. Això no vol dir que el Govern Francés no tingui potestat, mitjançant un contracte especial, de veure el codi font del Windows.
3) Un atacant suficientment motivat i amb grans recursos (com la Xina) entrarà als teus sistemes. Ja t'hi pots posar fulles: la seguretat total no existeix. A l'únic que pots aspirar és a fer més difícil la penetració o desmotivar atacants amb menys recursos.
4) Es poden fer trojans per Linux. És poden fer virus, trojans i cucs per absolutament tots els sistemes. Tots els sistemes tenen el mateix punt dèbil: estan programats i operats per humans. I els humans cometen errors. Errors que altres humans poden explotar.
Al alibay: no siguis ridícul, al 2011 plantejar interaccions home-màquina usant només text és igual d'anacrònic que escoltar un vinil de Joselito.
2) El programari obert és més segur, pots auditar el codi. Això no vol dir que el Govern Francés no tingui potestat, mitjançant un contracte especial, de veure el codi font del Windows.
3) Un atacant suficientment motivat i amb grans recursos (com la Xina) entrarà als teus sistemes. Ja t'hi pots posar fulles: la seguretat total no existeix. A l'únic que pots aspirar és a fer més difícil la penetració o desmotivar atacants amb menys recursos.
4) Es poden fer trojans per Linux. És poden fer virus, trojans i cucs per absolutament tots els sistemes. Tots els sistemes tenen el mateix punt dèbil: estan programats i operats per humans. I els humans cometen errors. Errors que altres humans poden explotar.
Al alibay: no siguis ridícul, al 2011 plantejar interaccions home-màquina usant només text és igual d'anacrònic que escoltar un vinil de Joselito.
+0
-1
Albert M, 13/03/2011 a les 12:34
Aixó que dius:
\\\"Podríem dir-los que utilitzin Linux, per exemple, però si de veritat un sistema pot ser segur, ho serà sobretot quan hi hagi un desconeixement complet de com funciona per part dels possibles atacants. Perquè si es té accés a informació sobre possibles problemes del sistema operatiu, o si es disposa del codi font del programari per estudiar-lo i veure les possibles vies d\\\'accés fraudulentes, el perill augmenta considerablement.\\\"
És una autèntica bestiesa, els sistemes més segurs són precisament aquells de codi obert ja que les vulnerabilitats es corregeixen més ràpidament ja que tothom pot veure el codi font, en canvi plataformes com Windows, de codi tancat són molt insegures, els usuaris tenen un desconeixement absolut dels possibles forats de seguretat i es depèn de les actualitzacions periòdiques i en un nombre tancat de programadors que acostumen a tenir com a prioritats no fer un sistema robust i segur sinó un sistema que vengui, a expenses de la seguretat.
\\\"Podríem dir-los que utilitzin Linux, per exemple, però si de veritat un sistema pot ser segur, ho serà sobretot quan hi hagi un desconeixement complet de com funciona per part dels possibles atacants. Perquè si es té accés a informació sobre possibles problemes del sistema operatiu, o si es disposa del codi font del programari per estudiar-lo i veure les possibles vies d\\\'accés fraudulentes, el perill augmenta considerablement.\\\"
És una autèntica bestiesa, els sistemes més segurs són precisament aquells de codi obert ja que les vulnerabilitats es corregeixen més ràpidament ja que tothom pot veure el codi font, en canvi plataformes com Windows, de codi tancat són molt insegures, els usuaris tenen un desconeixement absolut dels possibles forats de seguretat i es depèn de les actualitzacions periòdiques i en un nombre tancat de programadors que acostumen a tenir com a prioritats no fer un sistema robust i segur sinó un sistema que vengui, a expenses de la seguretat.
+2
-0
AliBay, 13/03/2011 a les 11:11
Contestant a la teva darrera qüestió, el problema és posar massa missatges d'avís. El Windows Vista i, en menor mesura, el Seven, és una tocada de collons contínua, quan no ens obliga als programadors a desactivar-li mesures de seguretats als usuaris per a no fer-li inoperativa la màquina. També podríem posar dins el mateix sac tots els antivirus, començant per l'infumable Panda, que per filtrar, el molt FDP et talla les comunicacions FTP quan superen els dos megues sense avisar, per exemple.
Per altra banda, també cal dir que el principal problema és filosòfic: la informàtica no es va crear per a amagar coses sinó per a difondre-les.
I sobre els virus i els problemes de seguretat, el millor seria (no és broma) que alguns sistemes tornessin a funcionar amb DOS o, en el cas francès, amb Prologue. Has provat d'instal·lar un FreeDos en un ordinador modern? És l'hòstia de ràpid! I a més si vols, te'l connecto a un servidor Windows, Linux, Mac o el que et doni la gana.
Per altra banda, també cal dir que el principal problema és filosòfic: la informàtica no es va crear per a amagar coses sinó per a difondre-les.
I sobre els virus i els problemes de seguretat, el millor seria (no és broma) que alguns sistemes tornessin a funcionar amb DOS o, en el cas francès, amb Prologue. Has provat d'instal·lar un FreeDos en un ordinador modern? És l'hòstia de ràpid! I a més si vols, te'l connecto a un servidor Windows, Linux, Mac o el que et doni la gana.
Autor
Miquel Serrabassa
Responsable del Departament Tecnològic del Grup Nació Digital
Pioner a Vic des de la seva més tendra infantesa, és director tècnic de Sobrevia.net, empresa dedicada al desenvolupament web i a l'assessoria tecnològica. També és Responsable del Departament Tecnològic del Grup Nació Digital. Podeu visitar el seu bloc personal.
Altres articles d'aquest autor
Accés usuaris
- Som a Internet des del maig de 1996
- SCG Aquitània SL
- Empresa adherida a l'Internet Quality Agence
- Notícies publicades amb llicència
Amb la col·laboració de:
