CONSEJOS DE UN CAZADOR DE HACKERS

 

Mikko Hyponnen, Director de investigación en F-Secure

Lee este artículo sobre MIKKO HYPONNEN, especialista en seguridad informática, publicado el 4 de Abril de 2017 en EL PAIS y vamos a sacarle un poco de partido en un nuevo artículo de tu blog.

El video del comienzo es muy interesante, escúchalo con atención y tras leer el artículo prepara estos ejercicios:

- Busca el significado de todos los términos nuevos para tí y anótalos.

- "BRAIN" es uno de los términos que aparece en el artículo. Busca algo de información sobre este virus (si no lo has hecho ya)

- Enumera todas las recomendaciones a tener en cuenta en relación a la  privacidad y seguridad en nuestros móviles que se dan en el artículo.

- Por último, responde a esta pregunta: ¿Hay que cazar a los hackers? ¿Qué opinas?

NOTAS:

VPN: red privada virtual 
Se trata de una tecnología de red de ordenadores que permite una extensión segura de la red de área local (LAN) sobre una red pública o no controlada como Internet. Permite que el ordenador en la red envíe y reciba datos sobre redes compartidas o públicas como si fuera una red privada con toda la funcionalidad, seguridad y políticas de gestión de una red privada.

CARACTERÍSTICAS BÁSICAS DE SEGURIDAD:

• Autentificación y autorización: ¿quién está del otro lado? Usuario/equipo y qué nivel de acceso debe tener.
• Integridad: de que los datos enviados no han sido alterados. 
• Confidencialidad/Privacidad: solamente puede ser interpretada por los destinatarios de la misma. 
• No repudio: es decir, un mensaje tiene que ir firmado, y quien lo firma no puede negar que envió el mensaje.
• Control de acceso: se trata de asegurar que los participantes autenticados tiene acceso únicamente a los datos a los que están autorizados.
• Auditoría y registro de actividades: se trata de asegurar el correcto funcionamiento y la capacidad de recuperación.
• Calidad del servicio: se trata de asegurar un buen rendimiento, que no haya una degradación poco aceptable en la velocidad de transmisión.

BRAIN: primer virus informático

Brain fue creado en 1986 por Basit y Alvi Amjad, de Pakistán, según afirmaron con un propósito totalmente distinto al empleado: proteger, ante el emergente "pirateo", los programas que ellos mismos creaban y comercializaban en su tienda Brain Computer Services.

No es hasta el 16 de mayo de 1988 cuando se detectó por primera vez y se hizo público. Un periodista del Journal-Bulletin de Providence, Rhode Island, fue quien detectó la presencia de Brain en un disquete al no poder recuperar un fichero donde había almacenado un trabajo durante meses; pensó que el disquete estaba deteriorado y lo presentó al fabricante, detectando tras diversos análisis la presencia de un virus en el Boot de la unidad de almacenamiento.

FALLO DE SEGURIDAD DE GOOGLE+

Lee la noticia,  ya no se trata de tener o no antivirus actualizado...

Google + cierra por una brecha que ha expuesto datos de medio millón de usuarios

MALWARE

Hay que saber "de qué van" todos estos nombres; se trata de malware ó malicious software:

Virus Adware Spam Gusano 

Pharming Hoaxes Troyano 

Crackers Keylogger Hackers 

Spyware Cookies Hijackers

¿Te atreves a preparar un crucigrama digital o algún otro tipo de pasatiempo? Ánimo, a ver si conseguimos 7 diferentes en la clase.
Amenazas y fraudes sobre las personas:

Phising

Pérdida de nuestra intimidad

Ciberbullying o ciberacoso

Identidad digital

Suplantación de identidad

Sobre el "phising":(delito informático de estafa que persigue adquirir información del usuario con engaños y usarla de forma fraudulenta. Pretende "pescar" (to fish) datos. 

Este es un correo que recibí en mi cuenta el día 2 de Septiembre, 2017:

Parece real, verdad? Sólo había una pega, que yo no tengo cuenta en este banco!!!!...Y si hubiera clicado en el link azul??? Muchas veces lo hacemos por inercia...

A los pocos días salió en prensa esta noticia...😉

TRABAJAMOS LOS ELEMENTOS DE SEGURIDAD ACTIVA Y PASIVA

ACTIVA:

• Antivirus: programas cuyo objetivo es detectar o eliminar virus informáticos. Con el transcurso del tiempo, se han convertido en programas más avanzados que consiguen bloquear los virus, desinfectar archivos y prevenir una infección de los mismos. Actualmente son capaces de reconocer otros tipos de malware como spyware, gusanos, troyanos, rootkits, entre otros.
• Por cierto, tienes antivirus? cual?
• Cortafuegos o Firewall: parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. (Busca el estado del Firewall de tu equipo)

• Proxy(Anonymouse): en una red informática, es un servidor, que hace de intermediario en las peticiones de recursos que realiza un cliente (A) a otro servidor (C).
• Contraseñas: intenta proteger un archivo creado con Word con una contraseña y otro creado con Winrar. (Utiliza el menú "archivo/información/proteger documento")
• Criptografía: cifrado de la información para proteger archivos, comunicaciones y claves.
• Utiliza el programa "pixelcryptor" que actúa utilizando una imagen como clave de encriptación.(Probamos con la última versión de la web)
• Certificados digitales: fichero informático generado por una entidad de servicios de certificación que asocia unos datos de identidad a una persona física, organismo o empresa, confirmando de esta manera su identidad digital en Internet. El certificado se descarga en el navegador del equipo donde lo han solicitado.(Busca en tu navegador si dispones de certificado- herramientas/configuración avanzada/...)

PASIVA:

• SAI: Sistema de Alimentación Ininterrumpida. Aseguran un apagado "ordenado" del sistema, imprescindible en sistemas que trabajan con bases de datos. Gracias a sus baterías puede proporcionar energía eléctrica por un tiempo limitado y durante un apagón eléctrico a todos los dispositivos que tenga conectados. Otras de las funciones que se pueden adicionar a estos equipos es la de mejorar la calidad de la energía eléctrica que llega a las cargas, filtrando subidas y bajadas de tensión.
• Dispositivo NAS: Network Area Stage- tecnología de almacenamiento en red dedicada a compartir la capacidad de almacenamiento de un ordenador (servidor) con ordendaores personales a través de una red.
• Copias de seguridad (Backups)
• Sistema RAID o redundantes: sistema de almacenamiento de datos en tiempo corto que utiliza múltiples discos duros entre los que se distribuyen o replican los datos. Ventajas: mayor integridad, mayor tolerancia a fallos, mayor rendimiento y mayor capacidad

• Herramientas de limpieza.

AMENAZAS Y FRAUDES EN LAS PERSONAS: NUESTROS QUERIDOS DRAGONES...

Te subo aquí una presentación que trabajamos en 4º de ESO sobre este temaen un proyecto llamado "DRAGONES Y MAZMORRAS" 

A partir de la proyección de la película "Disconnect" (te aseguro que merece la pena verla) aprendimos muchas cosas sobre huella digital, sexting, ciberbullying, tecnoadicciones, fraude,...amenazas a través de Internet de las que nos tenemos que proteger. En este sentido, ¿crees que estás un poco más "seguro" en Internet que hace unos años?

Caso real de phising

Claves para detectar el tipo de ataque en este caso:

"Confirman que fue phishing lo que permitió el robo de $3,5 millones en Argentina...

Se confirmó que fue un sitio de phishing lo que permitió el robo del dinero. Los atacantes crearon una réplica de la página de home banking de la Banca Internet Provincia (BIP), que lucía muy similar a la original.

Utilizaron la técnica de los ya conocidos ataques homográficos, en los que se cambia algún carácter de la URL para que a simple vista parezca la original. En este caso, informa La Nación, suplantaron la “a” por la “s”, y crearon un sitio con la dirección bancsprovincia.bancsinternet.com.ar."

TIPOS DE SEGURIDAD

Tienes que saber distinguir entre estos tipos de seguridad (los enlaces te ayudarán):

• ACTIVA (EVITAR!) Y PASIVA (MINIMIZAR)

• FÍSICA Y LÓGICA

• PERSONAS / SISTEMAS INFORMÁTICOS

Ejemplos en daños a personas: ley Orgánica 1/1982: derecho al honor, intimidad personal, familiar, imagen.

SUBE AL BLOG estas cuestiones:

1.- Prepara una tabla con dos columnas. En una de ellas enumera acciones para proteger un sistema informático de manera "activa" y en la otra de manera "pasiva"

2.- Lee este artículo de una empresa de informática de Madrid, sobre inversión en seguridad en las empresas.....Y si tú fueras el empresario, ¿por qué te decantarías? ¿Invertir en seguridad  o no?

3.-Dame un elemento en un sistema informático que sirva para proteger la seguridad FÍSICA y otro para su SEGURIDAD LÓGICA. 

4.- ¿De qué manera se te ocurre proteger a las personas de una escuela de primaria frente a posibles "daños a personas" (lee el enlace de arriba sobre "daños a personas")

SEGURIDAD INFORMÁTICA: NECESIDAD Y JUSTIFICACIÓN

Comencemos por lo más actual...Lee este artículo " Seguridad en la NUBE" y prepara los ejercicios siguientes en un artículo en tu blog (ya sabes, ilustra con imágenes, escoge un buen formato, ojo con la ortografía, documenta, amplia...en definitiva, prepara un artículo completo):

1.- Búsqueda de palabras y conceptos nuevas: phishing, IoT, malware., ransomware, ROI.
 2.- ¿Cómo puede afectar el physing a un empleado de una empersa de seguridad a la propia empresa?
3.- ¿Cuáles son dos de los puntos fuertes (o menos débiles) en relación a la seguridad de el IoT?

4.- Describe en qué consiste el "Knock-knock".
5.- Fíjate en esta curiosidad..." Archivo Mundial del Ártico: el saber de la Humanidad, conservado a cinco grados bajo cero"...¿cuál es su fortaleza en cuanto aseguridad?

Para el más cursioso...aclaraciones sobre "criptominería", para detectar phishing


Ya estamos preparados para hablar de seguridad informática:

Una definición técnica

“La seguridad informática consiste en la implantación de un conjunto de medidas técnicas destinadas a preservar la confidencialidad, la integridad y la disponibilidad de la información, pudiendo, además, abarcar otras propiedades, como la autenticidad, la responsabilidad, la fiabilidad y el no repudio.”

Necesidad de la seguridad informática

Hasta la aparición y difusión del uso de los sistemas informáticos, toda la información de interés de una organización se guardaba en papel y se almacenaba en grandes cantidades de abultados archivadores. Datos de los clientes o proveedores de la organización, o de los empleados quedaban registrados en papel, con todos los problemas que luego acarreaba su almacenaje, transporte, acceso y procesado.

Los sistemas informáticos permiten la digitalización de todo este volumen de información reduciendo el espacio ocupado, pero, sobre todo, facilitando su análisis y procesado. 

Pero aparecen otros problemas ligados a esas facilidades. Si es mas fácil transportar la información también hay mas posibilidades de que desaparezca 'por el camino'. Si es más fácil acceder a ella también es mas fácil modificar su contenido, etc.

Desde la aparición de los grandes sistemas aislados hasta nuestros días, en los que el trabajo en red es lo habitual, los problemas derivados de la seguridad de la información han ido también cambiando, evolucionando, pero están ahí y las soluciones han tenido que ir adaptándose a los nuevos requerimientos técnicos. Aumenta la sofisticación en el ataque y ello aumenta la complejidad de la solución, pero la esencia es la misma.

¿Qué tenemos que proteger? 

Queremos proteger son sus activos, es decir, los recursos que forman parte del sistema y que podemos agrupar en:

• Hardware: elementos físicos del sistema informático, tales como procesadores, electrónica y cableado de red, medios de almacenamiento (cabinas, discos, cintas, DVDs,...).
• Software: elementos ló́gicos o programas que se ejecutan sobre el hardware, tanto si es el propio sistema operativo como las aplicaciones.
• Datos: comprenden la información lógica que procesa el software haciendo uso del hardware. En general serán informaciones estructuradas en bases de datos o paquetes de información que viajan por la red.
• Otros: fungibles, personas, infraestructuras,.. aquellos que se 'usan y gastan' como puede ser la tinta y papel en las impresoras, los soportes tipo DVD o incluso cintas si las copias se hacen en ese medio, a las propias personas, etc.

Necesitamos entonces un plan de seguridad, trataremos de responder a estas preguntas:

• A QUIÉN
• QUÉ 
• CÓMO 

PARA TU BLOG: ARTÍCULO 1. ¿QUÉ QUIERES SER DE MAYOR?

Hoy vamos a trabajar sobre este artículo, creo que es muy apropiado!

Lo trabajamos así:

• Léelo tranquilamente
• Copialo a tu blog (ojo!, siempre citando la fuente). Utiliza la opción “folio partido”, que es muy largo, y dale tu propio formato al texto.
• Crea al menos 3 hipervínculos en el texto del artículo que expliquen el significado o que amplíen la información de los lugares, personajes, palabras, etc, que consideres interesantes.
• Señala los dos aspectos que te parezcan más curiosos e interesantes y explica por qué los has elegido.
• De entre las cuatro profesiones que se ofrecen, elige una y explica en tu artículo los aspectos más destacados de la profesión y por qué la has elegido.

GUIÓN PARA TU BLOG

Crea tu blog para el curso. Utiliza para ello el servicio "blogger" de la cuenta del instituto.

Aquí tienes los pasos a seguir:

Pasos a seguir:

1. ENTRAR A BLOGGER
2. CREAR UN BLOG: TÍTULO, DIRECCIÓN, PLANTILLA.
3. TRASTEAR EN LA PANTALLA PRINCIPAL DE LA ADMINISTRACIÓN
4. CREAR TU PRIMERA ENTRADA: ETIQUETA (general), FECHA, PUBLICAR,…MENÚ DERECHO: Entrada de presentación del blog y del alumno. Inserta al menos una imagen y 10 lineas de texto.
5. VER BLOG. Añadir la opción de “folio partido”.

*AÑADIMOS NUESTRA DIRECCIÓN DE BLOG A ESTA HOJA DE DATOS*

6. APARTADO DISEÑO:
1. CABECERA: Elegir una imagen de la web o una personal . Ajustarla, probar las distintas opciones sobre la colocación del título. (OJO!, no funciona bien el "copiar dirección de enlace")
2. CAMBIAR FAVICON
3. Añadir dos GADGETS en el menú derecho (o izquierdo, según tu plantilla) relacionados con el blog. Uno, de texto, y el siguiente, de imagen con vínculo.
7. TRABAJO SOBRE LA PLANTILLA. Blog sin descuadres en las imágenes, texto legible, eliminar gadgets por defecto.

AYUDAS y AVANZADO:

• Creación de un blog
• Cómo buscar plantillas nuevas para tu blog y modificarlas