Zibersegurtasunaren oinarriak eta gomendio batzuk norbanako, erakunde eta elkarte txikientzat
Jernej Furman (https://www.flickr.com/photos/91261194@N06/51940688514) CC BY 2.0
OHARRA: Artikulu hau Behategia.eus-en 2022. urtekarirako idatzitako artikulua da, entitatearen baimenarekin hona ekarria. Artikulu orijinala hemen
Baina garrantzitsuena eta oinarri oinarrian ulertu beharko genukeena da, honelako eraso batek lehenengo helburua, sistema informatikoetan sarbidea eskuratzea izaten duela. Hau da, ordenagailu eta sareetan kontrola lortzea ahalik eta maila altueneko pribilegioak lortuz, ondoren gailu horiek helburu ezberdinetarako erabiltzeko: informazioa ostu, gailuen funtzionamentua ezegonkortu, fitxategiak ezabatu…
Beraz, erasoak ekiditeko, gailuen kontrola guregain izateko prebentzioak hartzea eta eraso mota hauetaz informatuta egotea da gakoa, engainuak ez irensteko. Erasoak normalean, hasieran engainu eta tranpa izan ohi baitira, eta behin engainu hori gauzatu ostean eta gailuen kontrola lortu ostean jotzen baitute benetako helburura.
Gainera kontutan izan behar dugu mota askotako erasoak daudela eta ez dagoela soluzio magiko bakar bat hauei aurre egiteko. Horrez gain, gaixotasunen moduan, erasoak ere aldatu eta eboluzionatu egiten dituzte erasotzaileek hauen aurkako konponbideak kaleratzen diren einean. Horregatik erabiltzen dira askotan gaixotasunen metaforak (birusa, mutazioak, infekzioa, antidotoak…).
Eraso mota batzuk aipatzearren, hona hemen ohikoak izaten direnen zerrenda bat.
Ingenieritza sozialeko erasoak
Segurtasuna apurtzerako orduan, orokorrean pertsonok izaten gara katebegi ahulenak. Eta ingenieritza sozialeko erasoak gu gaitu helburu. Pertsonon psikologia eta engainua izaten dute joko esparrua eta gailuetara sarbidea eta kontrola lortzeko jo puntua.
Multzo honetan, taktika ezberdinak erabiltzen dira. Benetan gertatu diren adibide batzuk jartzearren:
- Eraso sinpleena engainu zuzena da. Informatikako tekniko baten paperean enpresa batera sartzen den erasotzailearena adibidez. Biktimak ordenagailu bateko sarbidea (pasahitzak) eskeintzen dizkio mantenimentu lanak egiteko. Erasotzaileak gailu horren kontrola lortzen du eta hurrengo erasoa etxetik egiten du enpresako datuak konprometituz. Telefonoz ere gertatu izan dira horrelako kasuak eta baita enpresa barneko langileek gauzatuta ere.
- Eraso sofistikatuagoen artean, Phising, Smishing… deritzenen eta hauen antzeko deribatuak izan ohi dira ohikoenak. Eraso hauetan, biktimek erabiltzen dituzten zerbitzuen webguneak faltsifikatzen dituzte (bankuetako webguneak normalean). Hauen kopia berdinak eraikitzen dituzte, bezero gune eta guzti. Horrela, benetakoak diruditen eposta edo SMS mezuen bitartez biktimei beraien zerbitzuetan aldaketak egon direla eta webgunean sartzeko eskatzen zaie. Mezu horretan, faltsuak diren webgune horietara bideratutako estekak egoten dira eta biktimek bertan klik egin eta erabiltzaile eta pasahitzak sartuta, erasotzaileei bidaltzen dizkie. Bai, online bankako erabiltzaile eta pasahitzak. Behin online bankarako sarbidea eskuratuta, diru transferentzia bat gauzatu ahal dezakete eta segidan 1. puntuko eraso mota bat gauzatzen dute, non, erasotzaileak benetako bankuko telefonoa dirudien zenbaki batetik biktimari deitu eta SMS bidez benetako bankutik jaso duen mezuko zenbakia eskatzen dion. Biktimak telefonoan jasotako zenbakia ematen badio, transferentzia gauzatu eta dirua galduko du.
- Malwarea deritzon beste multzo bat ere badago. Kasu honetan, gure ordenagailuaren kontrola lortzeko prestatutako programa edo fitxategi bat izaten da, baina benetako programa edo fitxategi baten itxura duena. Programa hau gure gailuren batean instalatzen badugu, akabo. Demagun, sarean guk instalatu nahi dugun programa garesti baten (Photoshop) instalatzailea doainik deskargatzeko aukera aurkitzen dugula. Baina, programa hori malwarea bada, eta guk ordenagailuan instalatzen badugu, erasotzaileari gure ordenagailuaren kontrola lortzeko tresnak instalatzeko aukera emango diogu. Adibidez, gure teklatuan zapaltzen dugun tekla bakoitza zein den bidali ahalko dio (keylogger) gure pasahitz ezberdinak lortzeko aukerarekin edota beste ordenagailu baten aginduak betetzeko diseinatutako programa bat instalatuko zaigu guk ezer jakin gabe. Azken kasu honetan, gure ordenagailu hori zonbi bat dela esan daiteke eta milioika ordenagailuk osatutako ordenagailu sare edo ejerzito bateko parte izan daiteke (botnet), ordenagailuaren jabea ezertaz jabetu gabe. Malware erasoa, gero Argiako erasoa ulertzeko ezinbestekoa da eta nire ustez.
Indar gordineko erasoa (Brute force ingelesez)
Kasu honetan, lehendabizi, biktimaren informazioa pilatzen dute sarean ahal dituzten bide guztiak erabiliz. Google bilatzailea edota sare sozialak informazio iturri ezin hobeak izan ohi dira horretarako. Ondoren, biktimaren profila osatzen dute eta hitz gakoak izan daitezkeen hitzekin pasahitzak eraikitzen dituzte: txakurraren izena+jaioturtea, ezizena+jaioturtea, seme-alaben izenak+jaiotze datak… Eta banan banan probatzen dituzte biktimak erabiltzen dituen zerbitzuen kontra (sare sozialak, eposta…) hauetakoren baten pasahitza asmatu eta zerbitzuaren kontrola lortu arte. Hortik aurrera, beste eraso bati ekin diezaiokete: spama, informazio lapurreta, estortsioa, identitate lapurreta…
Zerbitzu ukatzearen eraso banatua (DDoS)
Eraso hau, aurrez mendean hartutako hainbat gailu sarean koordinatuta egiten den eraso bat da. Mendean dauden gailuak zonbi egoeran daudela esaten da, eta erasotzaileak kontrolatzen duen gailu baten aginduak betetzen dituzte. Gainera zonbi gailu horien jabeek, ez dakite eraso koordinatuak egiteko erabiltzen ari direla eta gailuen ejerzito (botnet ingelesez) baten parte direla.
Funtsean, sareko zerbitzu bat denbora tarte batean erabilgaitz uztea da helburua eta horretarako, zerbitzu hori eskatzen dute botnet bateko zonbi gailu guztiek aldi berean edo maiztasun ezberdinetako olatu aldietan. Webgune edo zerbitzu horrek espero ez duen eskaera kantitatea jaso eta denak artatu ezin dituenez, gainezka egiten du. Musika talde ezagun baten kontzertu berezi bateko sarrerak erosi nahi dituzunean bezala gertatzen da, tiket zerbitzaria blokeatuta gelditu ohi da, jarraitzaile guztiak batera sarrerak erosi nahian baitabiltza. Baina kasu honetan, eskaerak zilegi dira eta jende uholdearen bisitak espero eta ekidin daitezke, DDoS eraso batean ez eta efektu berdina bilatzen dute.
Webgune edo zerbitzua kudeatzen dutenentzat zaila izaten da bereiztea zilegi diren eskaera eta erasorako direnen artean, eta eskaera hauek filtratu, blokeatu edota erasoa amaitu bitartean webgune edo zerbitzuak erabilgaitz egoten dira.
Eraso mota hau, duela gutxi Argiak edota hainbat Mastodon instatziek jasan dute.
Ramsomware erasoa
Oso ohiko erasoa bilakatu da azken aldian batez ere enpresa munduan. Erasotzaileak datu baliotsuak dituen gailu batera malware bidez sarbidea lortzen duenean, datu horiek zifratu egiten ditu. Hau da, pasahitz batez enkriptatu. Ondoren, gailuaren jabeari edo enpresari diru kantitate bat eskatu ohi dio datu horiek berreskuratzearen truke. Normalean kriptotxanponetan ordaintzeko eskaera egiten dute: Bitcoinetan. Kriptotxanponetan ordainketa eginez, hauek arakatu eta jarraitzea ia ezinezkoa da.
Azken aldian gainera, eraso hauen aldaera berri bat ere ari da nagusitzen, non, erasotzaileek datuen zifratzeaz gain, kopia bat ere bereganatzen duten. Horrela, datuen galera eta datu hauek hirugarrengo batzuei partekatu edo saltzeko mehatxua egiten dute.
Eraso honen aurrean, funtsezkoa da datuen babes kopia on bat izatea eta malwarea ez instalatzeko neurriak hartzea.
Eraso hauei aurre egiteko babes neurri batzuk zerrendatuta
- Gailuetako sistema eragilea eguneratuta eduki, azken segurtasun adabakiekin.
- Software librean oinarrituta ez dagoen sistema eragile bat baduzu, antibirusa instalatuta eta egunean izan, eta noizean behin ordenagailua eskaneatzeko programatu. Aukeran erabili software librea, lehenak izaten dira segurtasun akatsak detektatu eta eguneraketak kaleratzen.
- Zure sareko puntuak begiratu: Wifia pasahitz seguru batez babestuta daukazu? Routerrak beraren administrazio gunerako sarbidea pasahitz seguruz dauka babestuta? Zure sarbide puntuko kontrola lortzen badute: etxekoa, enpresakoa… etxean sartu zaizkizu.
- Ez instalatu webgune ofizialetatik aparteko ezer eta ziurtatuta ez dagoen ezer: ez minijoku, ez demo, ez doako programa… sisteman lekua zaborrez betetzeaz gain, oso arriskutsuak izan ohi dira.
- Tartean behin, ahal baduzu, datuen kopia bat egin eta formateatu diskoa berriz ere Sistema eragilea instalatuz eta garbituz.
- Ez partekatu zure pasahitzak inoiz inorekin. Ez login egiteko erabiltzen dituzunak, ez eta mugikorrera mezu bidez iristen zaizkizunak.
- Ez utzi pasahitzak idatzita, ez mahai gainean paper batean, post-itetan etabar… eta are gutxiago ordenagailuan bertan testu fitxategi batean. Fitxategi batean gorde behar badituzu, beti zifratuta gorde.
- Pasahitzen politika egoki bat erabili: ez errepikatu pasahitzak zerbitzu berdinetan, luzeak eta karaktere nahaspila ezberdinak izan ditzatela etabar
- Aukeran, pasahitzen kudeatzaile bat erabili. Pasahitzak sortu eta gogorarazteko programa bat, asko daude merkatuan.
- Erabiltzen dituzun kanpo zerbitzu guztietan (online zerbitzuetan, adibidez youtube edo twitter moduko sare sozialetan, gmail moduko eposta zerbitzuan), 2FA edo bi faktoretako autentifikazioa erabili. Pasahitzaz gain, beste segurtasun geruza bat ezarriko diozu zerbitzuari. Gaur egun ezinbesteko minimo bat izaten da hau aktibatzea erakunde eta enpresa askotan. Elkarte edo erakunde bat bazara, minimo bat izan behar luke honek.
- Ez ireki ezagutzen ez duzun eposta batek dakarren eduki gehigarririk ez eta loturarik ere, bere jatorria egiaztatu eta ona dela jakin arte. Eposta hori espero ez baduzu, argi ibili beti.
- Zure bankutik eposta bat bidaltzen badizute pasahitza aldatu behar duzula esanez, edo dena delako kudeaketa bat egin behar duzula eta eposta horretan esteka bat badago, ez egin klik bertan. Deitu bankura, eta egiaztatu benetan hori eskatzen dutela eta hala bada, zuzenean idatzi nabigatzailean edo bilatu Googlen zure bankuko helbidea eta bertatik sartu.
- Aurreko kasuan bezala SMS mezu bat iristen bazaizu pasahitza aldatu behar duzula edo bestelako kudeaketaren bat egin behar duzula esanez eta lotura bat badago, ez inoiz klik egin bertan. Begiratu helbidea nola hasten den, helbide faltsua den edo ez ikusteko zantzuak izan ditzake domeinuak.
- Phising erasoa den edo ez detektatzeko, gure hizkuntza oso lagungarria da. Banku, edo beste edozein zerbitzutan euskarazko arreta badaukazu, mezuak euskaraz ere gutxienez iritsiko zaizkizu. Euskaraz badaude, fidatzeko aukera gehiago, baina hala ere ez ireki inoiz eskatu ez duzun horrelako estekarik.
- Erabili beti HTTPS konexioak (helbide barran ikusten den giltzarrapoa) dituzten web helbideak
Elkarte egituretan sistema informatikoak dituzuenentzako babes neurri gehigarriak:
- Sare lokala baduzue, zaindu sarbidea (firewall bidez) eta sarearen toponimia sektore ezberdinak fragmentatuz, backup politika egoki bat eginez eta erredundantzia sortuz bai datu eta baita zerbitzuetan ere.
- Gogoratu gaur egun gailu digital gero eta gehiago erabiltzen ditugula, ez ordenagailuak bakarrik (wifi routerrak, mugikorrak, telebistak, ahots bidezko bozgorailuak, kotxeak, hozkailuak, entxufeak…). Garrantzitsua da lehenago aipatu moduan, denei software eguneraketak egitea eta mantenua ematea. Baita konexio puntuak aztertu eta ahal baduzue sarea fragmentatzea arriskutsuak izan daitezkeen gailuak isolatzeko.
Gure inguruan gertatu diren erasoen inguruan lerro batzuk
Aiaraldea eta Pantailak Euskarazen kasuan, ia ziurrenik malware batekin hasitako eraso baten ondorioak izan dira. Izan ere, sare sozialetako sarbideak lortu zituen erasotzaileak eta indar gordina ez erabiltzeko prestatuta egon ohi dira gaur egungo sare sozial ezagunenak. Beraz, ziurrenik, behar ez zuten programaren bat instalatu eta erasotzaileak eragile hauen ordenagailuren baten kontrola lortuko zuen, ondoren pasahitzak eskuratzeko teknikak erabiliz eta biktimak zelatatuz kasurik txarrenean. Behin pasahitzak lortuta (litekeena da sare sozial ezberdinetan pasahitz bera erabili izana biktimek), erasotzaileak bertan kripto txanponen inguruko publizitatea edo spama egiteko erabili zituen.
Argia webguneak jasandako DDoS erasoa berriz, lehen aipatu moduko malware eraso baten biktima izan diren hainbat ordenagailuk osatutako ejerzito zonbi edo ordenagailu sare baten eskutik gauzatu zen (botnet ingelesez). Erasotzailearen helburua Argia zerbitzuz kanpo uztea zen eta horretarako bere mendean zituen milaka (miloika izan daitezke) ordenagailuri Argiako webgunea aldi berean irekitzeko agindu zitzaien. Gailu zonbi hauek eskaerak egin zituzten beraien benetako jabea ezertaz ohartu gabe, eta Argiako zerbitzariak eskaeraz josi eta ito egin ziren.
Azalpen gehiago dituzue kasu hauen inguruko beraien testuetan: https://behategia.eus/eu/urtek