13
de febrer
del
2016
Actualitzat
el
25
de març
del
2017
a les
7:58h
Es fa difícil imaginar-se com pot ser el hacker (o cracker) tipus, probablement perquè no n'hi ha cap de massa ben definit. De fet, n'hi ha tants com possibles maneres d'atacar. Ara que cada cop més ens acostumem a parlar de seguretat informàtica i d'atacs informàtics, sovint oblidem que d'atacs n'hi ha de tipologies diferents tot i que els objectius que puguin coincidir.
Per poder fer un dibuix més acurat dels mètodes i els camins que hi ha per arribar a objectius que massa sovint es redueixen als diners només ens cal fixar-nos en els tipus d'atac més comuns. Perquè la realitat és que la "popularització" dels ciberatacs es deu més a que per alguns són un negoci que no pas al repte que poden suposar, sobretot per la facilitat amb què se'n poden "llançar" alguns.
DoS/DDoS
Els atacs de denegació de servei (DoS, de denegation of service) consisteixen en una cosa tant simple com saturar la cua d'entrada d'un ordinador que fa de servidor. Se'n pot trobar informació molt extensa a la Wikipedia, en anglès, on també s'explica el DDoS, el mateix atac distribuït des de desenes, centenars o milers d'ubicacions diferents de manera simultània.
Així doncs, d'entrada qualsevol pot llançar un atac DoS. Només necessita un ordinador des d'on fer-ho i una possible víctima, així com algun programa, dels molts que hi ha, si no es tenen els coneixements per fer-ho directament amb alguna comanda o els diners per pagar al propietari d'alguna botnet, una xarxa d'ordinadors infectats que obeeixen les ordres de qui en ven els serveis. De fet, moltes vegades sol reduir-se a visitar repetidament la pàgina web que es vol atacar.
Aquest tipus d'atac s'ha convertit, de llarg, en el més popular. I a més, és dels més complicats d'aturar, ja que sovint fa falta contractar algun servei de protecció potent. Per això s'està convertint en un dels més comuns: el Centre Tecnològic Eurecat ha advertit precisament del creixement –un 179% des del darrer any, més que doblant-se- a webs d'empreses i institucions, generalment per demanar una quantitat de diners a canvi d'aturar-lo.
Intrusió per vulnerabilitats del servidor
Un tipus d'atac també important, però molt més complex de preparar, és el que es basa en problemes o vulnerabilitats que pugui tenir l'ordinador que es vol atacar. En aquest cas, normalment, fan falta coneixements per preparar i desenvolupar l'atac, que pot basar-se en programes del servidor o en algun dels webs que allotja.
En aquests casos la solució sol ser actualitzar el programari del servidor o corregir els problemes coneguts, amb auditories periòdiques i estant atents a l'actualitat en seguretat informàtica: són coneguts casos com el de Heartbleed, per exemple, que després d'anys d'existir es va fer públic, fent que molts administradors fessin les actualitzacions necessàries, però deixant també molts servidors encara infectats a dia d'avui.
Enginyeria social
Un altre dels tipus més coneguts és l'enginyeria social. Aquest, però, sol descartar els atacs massius, i s'utilitza en casos on es busca algú concret o un perfil determinat de víctima i sobretot si se'n volen obtenir dades personals, bancàries, o simplement robar arxius amb informació per utilitzar-la o fer-la pública.
En trobaríem molts exemples: gent que truca a Amazon dient que ha oblidat la contrasenya fent-se passar per l'usuari per poder accedir al seu compte, o, tal com es va explicar en el darrer cas de publicació de dades de l'FBI, trucant a l'atenció a l'usuari del mateix organisme fent-se passar per un usuari novell per sol·licitar una sèrie de dades, que sense cap mena de verificació li van ser comunicades a l'atacant.
Aquests atacs solen donar arguments a aquells qui defensen que la vulnerabilitat de seguretat més important es troba entre la cadira i el teclat: l'usuari. Perquè en general, quan hi ha un servei de suport que no estigui format per màquines, o quan l'usuari pot escollir contrasenyes massa simples, sol ser quan és més fàcil accedir als seus serveis sense permís.
El futur, incert
Que creixin els atacs no es deu a que la xarxa sigui més insegura per si mateixa, sinó probablement al contrari. Cada cop més, els atacs basats en la "força bruta" (proves de milions de combinacions d'usuari/contrasenya o atacs de denegació de servei) acaben sent més efectius, però no tant per accedir a dades privades -que també podrien arribar-se a fer en alguns casos molt determinats, però requereixen més feina, que encara no hi ha tanta gent que pugui realitzar- com per treure'n beneficis econòmics directes a canvi de deixar tranquil·la a la víctima.
És per això, perquè s'hi guanyen diners d'una forma força directa –en part pel mercat negre que es troba a la deep web-, que invertir en eines del "costat fosc" és rendible i per tant, el futur passa per millores tecnològiques, però que arribaran a ambdós bàndols -el dels responsables de seguretat i el dels crackers- enmig d'un entorn com Internet, inventat en un àmbit tècnic que preveia una "llibertat de moviments" que enguany en dificulta el control. I aquesta manca de control, que alhora és un dels fonaments de la xarxa de xarxes -que pugui ser lliure, oberta i, en definitiva, neutral- encara ens ha de descobrir noves estratègies, tant de protecció com d'atac.
Mentrestant, haurem d'estar atents i tenir en compte els consells bàsics: emprar contrasenyes segures, no respondre mai correus electrònics amb dades d'accés o PIN de targetes, vigilar els webs que visitem i verificar-ne sovint l'adreça i disposar d'algun antivirus, gratuït com Avast o AVG, o de pagament.
Per poder fer un dibuix més acurat dels mètodes i els camins que hi ha per arribar a objectius que massa sovint es redueixen als diners només ens cal fixar-nos en els tipus d'atac més comuns. Perquè la realitat és que la "popularització" dels ciberatacs es deu més a que per alguns són un negoci que no pas al repte que poden suposar, sobretot per la facilitat amb què se'n poden "llançar" alguns.
DoS/DDoS
Els atacs de denegació de servei (DoS, de denegation of service) consisteixen en una cosa tant simple com saturar la cua d'entrada d'un ordinador que fa de servidor. Se'n pot trobar informació molt extensa a la Wikipedia, en anglès, on també s'explica el DDoS, el mateix atac distribuït des de desenes, centenars o milers d'ubicacions diferents de manera simultània.
Així doncs, d'entrada qualsevol pot llançar un atac DoS. Només necessita un ordinador des d'on fer-ho i una possible víctima, així com algun programa, dels molts que hi ha, si no es tenen els coneixements per fer-ho directament amb alguna comanda o els diners per pagar al propietari d'alguna botnet, una xarxa d'ordinadors infectats que obeeixen les ordres de qui en ven els serveis. De fet, moltes vegades sol reduir-se a visitar repetidament la pàgina web que es vol atacar.
Aquest tipus d'atac s'ha convertit, de llarg, en el més popular. I a més, és dels més complicats d'aturar, ja que sovint fa falta contractar algun servei de protecció potent. Per això s'està convertint en un dels més comuns: el Centre Tecnològic Eurecat ha advertit precisament del creixement –un 179% des del darrer any, més que doblant-se- a webs d'empreses i institucions, generalment per demanar una quantitat de diners a canvi d'aturar-lo.
Intrusió per vulnerabilitats del servidor
Un tipus d'atac també important, però molt més complex de preparar, és el que es basa en problemes o vulnerabilitats que pugui tenir l'ordinador que es vol atacar. En aquest cas, normalment, fan falta coneixements per preparar i desenvolupar l'atac, que pot basar-se en programes del servidor o en algun dels webs que allotja.
En aquests casos la solució sol ser actualitzar el programari del servidor o corregir els problemes coneguts, amb auditories periòdiques i estant atents a l'actualitat en seguretat informàtica: són coneguts casos com el de Heartbleed, per exemple, que després d'anys d'existir es va fer públic, fent que molts administradors fessin les actualitzacions necessàries, però deixant també molts servidors encara infectats a dia d'avui.
Enginyeria social
Un altre dels tipus més coneguts és l'enginyeria social. Aquest, però, sol descartar els atacs massius, i s'utilitza en casos on es busca algú concret o un perfil determinat de víctima i sobretot si se'n volen obtenir dades personals, bancàries, o simplement robar arxius amb informació per utilitzar-la o fer-la pública.
En trobaríem molts exemples: gent que truca a Amazon dient que ha oblidat la contrasenya fent-se passar per l'usuari per poder accedir al seu compte, o, tal com es va explicar en el darrer cas de publicació de dades de l'FBI, trucant a l'atenció a l'usuari del mateix organisme fent-se passar per un usuari novell per sol·licitar una sèrie de dades, que sense cap mena de verificació li van ser comunicades a l'atacant.
Aquests atacs solen donar arguments a aquells qui defensen que la vulnerabilitat de seguretat més important es troba entre la cadira i el teclat: l'usuari. Perquè en general, quan hi ha un servei de suport que no estigui format per màquines, o quan l'usuari pot escollir contrasenyes massa simples, sol ser quan és més fàcil accedir als seus serveis sense permís.
El futur, incert
Que creixin els atacs no es deu a que la xarxa sigui més insegura per si mateixa, sinó probablement al contrari. Cada cop més, els atacs basats en la "força bruta" (proves de milions de combinacions d'usuari/contrasenya o atacs de denegació de servei) acaben sent més efectius, però no tant per accedir a dades privades -que també podrien arribar-se a fer en alguns casos molt determinats, però requereixen més feina, que encara no hi ha tanta gent que pugui realitzar- com per treure'n beneficis econòmics directes a canvi de deixar tranquil·la a la víctima.
És per això, perquè s'hi guanyen diners d'una forma força directa –en part pel mercat negre que es troba a la deep web-, que invertir en eines del "costat fosc" és rendible i per tant, el futur passa per millores tecnològiques, però que arribaran a ambdós bàndols -el dels responsables de seguretat i el dels crackers- enmig d'un entorn com Internet, inventat en un àmbit tècnic que preveia una "llibertat de moviments" que enguany en dificulta el control. I aquesta manca de control, que alhora és un dels fonaments de la xarxa de xarxes -que pugui ser lliure, oberta i, en definitiva, neutral- encara ens ha de descobrir noves estratègies, tant de protecció com d'atac.
Mentrestant, haurem d'estar atents i tenir en compte els consells bàsics: emprar contrasenyes segures, no respondre mai correus electrònics amb dades d'accés o PIN de targetes, vigilar els webs que visitem i verificar-ne sovint l'adreça i disposar d'algun antivirus, gratuït com Avast o AVG, o de pagament.