domingo, octubre 10, 2010

IMPORTANCIA DE LA SEGURIDAD DE LA INFORMACIÓN

La importancia que tiene la seguridad de la información y el poder que implica manejar información es un tema muy delicado que no está en el conocimiento de muchos. En el contexto de internet, muchos usuarios no le dan mayor importancia a la información que publican en la red y de qué forma lo hacen y más aún, muchos no diferencian lo privado de lo público, no por que no quieran o porque no saben cómo diferenciar una cosa de la otra, simplemente es por ignorancia, el problema radica en la recuperación de la información. Para mucha gente es normal pertenecer en redes sociales y publicar su vida, mientras más conocidos sean y más amigos tengan en esa red social más importante se creen y es esta “vulnerabilidad” la que se está explotando: La ingenuidad y/o ignorancia del usuario. Por otro lado están las empresas, quienes son las encargadas de manejar la información privada y/o pública que los usuarios les confían, por ejemplo en el caso de un concurso, típicamente los datos que piden son nombre, apellido, ciudad, Rut/DNI, etc.

La pregunta que sale a flote es ¿Para qué quieren el Rut/DNI en un concurso, si con el teléfono es suficiente para que los puedan ubicar? La respuesta es simple, todos esos datos van a una base de datos que puede ser vendida o usada para enviar publicidad no deseada, más conocido como spam. Con seguridad a nadie le gustaría que esto fuese realidad, pero lo es. Por más que la empresa intente explicar por medio de “letra chica” o “términos y condiciones” que el uso de la información suministrada está fuera de peligro y que serán usados sólo para tal y tal fin. Pues eso es mentira. Se han escuchado experiencias y existen las pruebas necesarias de que eso no ocurre, ni si quiera las entidades del gobierno son capaces de cumplir con algo tan básico como es la protección de la información privada y, de hecho, ni si quiera los mismos usuarios son capaces de proteger su información.
Cabe dentro del tema hacer un análisis de los tipos de passwords que son inseguros, se han clasificado de la siguiente manera:
Numéricos: Generalmente del 1 al 10000000, por ejemplo 18528287, 20398476, 00000000, todas las combinaciones posibles. Muchas personas utilizan este tipo de contraseña ya que puede pertenecer a su número de identificación (Rut/DNI), número de teléfono de casa o celular o simplemente porque es su número de la suerte. Lo que no saben es lo FACIL que es romper este tipo de passwords. Si se piensa en 10 millones de posibilidades (como mínimo), seguramente se obtendrá el password en 6 o 7 días.

Nombre + número: Este tipo, se refiere al tipo de password como ‘fernando2008′, es decir, nombre, apellido, Nick + fecha de nacimiento, edad o algún número que lo identifique. La mayoría de los nombres y apellidos están en diccionarios de datos y los números son fácil de generar y no complicarían mucho el querer romper la contraseña. Este tipo de password es una de las más fáciles e incluyen claves como: 123nombre456, qwertynombre, nombre123, nombre2009, nombre1975, etc.

Nombre: Aunque parezca absurdo e increíble, es la realidad. Si, existe gente que utiliza su nombre como contraseña de una o más de sus cuentas. Y si, lo hace con minúscula.

Palabra: Al igual que el anterior, aunque parezca increíble, existe gente que usa una palabra común y corriente como clave, como pájaro, bicharraco, computador, celular, system, etc. Palabras que están en cualquier diccionario de palabras y que son fácilmente crackeables.

Estos 4 tipos de password son, básicamente, los más fáciles de identificar y de romper. Estos tipos de claves son fáciles de romper vía fuerza bruta ya sea con repetidos intentos de login en un sistema inseguro (por ej. Un sistema sin captcha) y son sencillos de encontrar su hash correspondiente ya sea de sha, md5 u otro.
Existen múltiples demostraciones de como romper un login sin captcha con un sencillo script en bash que, básicamente, lo que hace es mediante una url y nombre de usuario pasado como argumento, consultar una lista de palabras en un diccionario e ir utilizando las palabras como password e intentar un login, hasta lograrlo. También se ha demostrado como romper un hash cualquiera, con o sin salt, donde romper hashes de claves como las recién mencionadas era algo muy sencillo. Después de haber leído esto vale la pena plantearse el usar claves más seguras.

No se quiere centrar toda la responsabilidad al usuario, también se quiere hacer una crítica a las empresas o entidades encargadas de la creación de password por defecto para sus usuarios, ya sea de una intranet, un sistema bancario, etc. Se han tenido experiencias donde el password por defecto que se entrega es el nombre más el año actual o bien algo más sencillo como 123456, el Rut o fecha de nacimiento. Las password por defecto DEBEN ser aleatorias y no arriesgar a que algún intruso ingrese donde no deba.
Las empresas deben ser más responsables con este tema de la asignación de password por defecto a sus empleados, usuarios, clientes, etc. ya que pueden poner en peligro toda la información que los usuarios o empleados depositan en ellas. Por ejemplo, se necesita hosting y al registrarse se piden todos los datos, incluyendo tarjeta de crédito, se leen los términos y condiciones, se informan sobre la privacidad de los datos, etc., y terminan confiando en la empresa, rellenan el formulario y finalmente contratan el servicio. ¿Pero, que va a pasar si esa empresa no cuida los datos? Finalmente no es el usuario quien fallé cuidando la información, fue la empresa, quien luego de prometerle al usuario por cielo mar y tierra que no revelarían los datos, lo hace, inconscientemente. El problema es que no se da cuenta hasta que empiezan a llenarlo de spam o hasta que algo peor que eso pasa, como la perdida de alguna cuenta de correo, robo de información personal, etc.

Todo esto puede empeorar, cuando se piense que no asegurar la información puede poner en peligro la información de las demás personas o mejor aún, que el usuario piense que se protege, usa un password seguro y distinto para cada servicio, por ejemplo Facebook, y quiere que la información que publica en Facebook sea solo para gente que acepta, justo al mejor amigo, quien tiene acceso a todas las fotos, etc., es irresponsable con sus datos y permite el acceso fácil a una tercera persona a mirar toda la información que comparten con él, lo peor es que no se entera. Por esto mismo, es bueno dejar en claro que proteger la información y distinguir lo público de lo privado, es muy importante, más aun cuando no es solo el usuario de la información el que está en juego.

Fuente: http://blog.zerial.org/category/linux/documentacion/

1 comentario:

Unknown dijo...

Omaira, muchas gracias por pasar por mi blog, aunque tu digas que soy una experta en blog, yo no lo creo jajajaj, pero si quieres algún consejo, te lo puedo dar.
El blog es super interesante me encanto!!!, solo dos cosas, tienes estos anuncios google, yo también los tengo, pero ponlos al lado izquierdo, ya que hay veces q sale publicidad, que no tiene mucho que ver con el blog, también tienes una sección de paginas de blog, que son fijas podrías subirla como etiquetas por encima de la primera entrada, date un vuelta por mi blog y mira como esta ahora...
eso seria mi aporte... pero con cariño... saludos cordiales y estaran en mis blogueros del bibliouniverso...