Expert pesa sobre l’estat de ciberseguretat

A vpnMentor, creiem que la ciberseguretat és una prioritat i no una reflexió posterior. Però qui és responsable de protegir la informació quan la compartiu en línia, vosaltres o l’empresa amb qui la compartiu?

Vaig tenir l’oportunitat de parlar amb Sean Wright, un dels principals experts del Regne Unit en seguretat de la informació i el capítol del Projecte de seguretat d’aplicacions web obert (OWASP) a Escòcia..


Logotip OWASP

Quins són els vostres antecedents i com vau començar en ciberseguretat?

Sóc un dels co-líders del capítol OWASP Escòcia i treballo en una gran empresa del seu departament d’enginyeria. Sóc responsable de les aplicacions de seguretat en línia, del desenvolupament d’aplicacions segures, de les revisions de documentació i, sobretot, en el que m’he centrat principalment.

Al meu torn, faig una mica de recerca i interacció en projectes laterals de ciberseguretat. Vaig començar a fer pinzellades amb coses del costat, però inicialment, no hi havia gaire coses pel que fa a feines de ciberseguretat, ni la meva experiència. Així, vaig ser un desenvolupador durant molts anys. A continuació, em van oferir un lloc de treball a la meva empresa actual com a desenvolupador, que ha actuat com una mena de comú per aconseguir seguretat.

Treballes a distància. Quins són els reptes que trobareu? Com assegureu els vostres dispositius fora de l’oficina?

Quan es tracta de treballar per si mateixa, la nostra empresa proporciona tot el que necessito. No en conec tots els detalls, només els deixo, ja que tinc poc control sobre això, a més de que estigui fora de les meves responsabilitats.

Quan es tracta de les meves coses personals, em fa una mica paranoic. Utilitzo AlienVault (la seva versió gratuïta) i capes addicionals de seguretat, com ara Pi-Hole. L’únic que no puc assegurar com voldria és el meu encaminador, a causa del meu proveïdor.

A casa, faig servir una VPN privada, juntament amb ProtonVPN. Així que si hi ha algun problema amb la VPN domèstica, només puc canviar a això. Quan viatjo, hi ha coses com BitDefender, però en realitat, només utilitzo Linux quan estic fora.

Així que diries que una VPN cobriria la majoria dels problemes de ciberseguretat quan no és a casa?

Sí. Una de les coses que fa por és que vaig utilitzar una pinya WiFi en el vestíbul d’un hotel. Ni tan sols intentava fer malbé a les xarxes, sinó que estic preparant un punt d’accés per al meu ús. I en uns cinc minuts, ja tinc cinc clients connectats a ella.

L’altre problema de la connexió sense fils és que els dispositius ping constantment les xarxes sense fil. Per tant, si ja teniu connectat a un punt d’accés lliure i obert, el vostre dispositiu farà un toc constant i intentarà connectar-vos a això. Si teniu una cosa com una pinya WiFi, podeu configurar automàticament un punt d’hotspot inalàmbric sense fils. Com a usuari connectat a una xarxa pública, probablement voldríeu utilitzar una VPN, i el vostre trànsit s’encaminaria per això.

Diguem que esteu connectat a un d’aquests punts d’interès falsos, però feu servir una VPN al vostre dispositiu. Això us protegirà o us deixarà vulnerables?

Si el trànsit sobrepassa una VPN i esteu connectat a un d’aquests punts d’abast espontàniament, tot el trànsit serà xifrat. El pirata informàtic encara pot veure el trànsit, però es veurà afectat. És per això que també són importants coses com Transport Layer Security (TLS), perquè és el xifratge de punta a extrem. Fins i tot, digueu que no utilitzeu una VPN, sinó que utilitzeu TLS, que també és xifrat. El pirata informàtic no podria fer res a partir de les dades que s’ha transferit.

El que diries és el major risc que veus amb les ciberneses modernes?

Per a mi, el major potencial per a sistemes defectuosos és la configuració i el manteniment de bases de dades. En el passat, gairebé tot es va allotjar a nivell local (dins del centre de dades de l’organització) i, fins i tot si es va carregar la configuració d’això, és poc probable la probabilitat que es presentessin dades públicament..

Avanceu ràpidament fins avui quan teniu el núvol i podreu veure una i altra vegada les persones que porten bases de dades a la infraestructura del núvol i no les configuren correctament. De sobte, la vostra base de dades està exposada públicament. Coses com Mongo-DB i ElasticSearch, que milloren en termes de seguretat, però inicialment no estan segures per defecte.

Aquestes bases de dades no tenen defenses de seguretat per defecte, com ara l’autenticació i l’autorització. Aleshores, quan s’exposen a Internet, de sobte, totes les dades són accessibles públicament sense cap autenticació. Així, qualsevol persona amb habilitats tècniques relativament bàsiques podria obtenir les dades. És tan senzill.

Com creieu que es produeixen la majoria d’aquests errors? És una falta de coneixement, o és prou fàcil de fer un contratemps?

Crec que és el seu desconeixement, però també la seva gestió d’actius. Podem veure una i altra vegada que les empreses no mantenen una bona llista forta dels seus actius, incloent-hi quins serveis tenen, quins ports funcionen i quins són els accessibles on es troben. Si teniu una bona gestió i detecció d’actius, podríeu detectar que hi ha una configuració errònia i podreu abordar-la tan aviat com sigui possible. Tanmateix, sovint, la companyia no troba aquesta situació: algú més ho diu a la companyia.

Això pot resultar desconcertant per a les empreses. Però, per a un usuari d’internet mitjà, quin és el vostre millor consell perquè puguin protegir-se, de manera que, fins i tot si s’inclou una base de dades filtrada, podrien mitigar la possibilitat d’amenaces?

Hi ha algunes coses que pots fer. Assegureu-vos que reviseu regularment Has I been Pwned. És un servei que us notificarà quan s’ha produït una infracció amb les vostres credencials (per exemple, adreça de correu electrònic i contrasenya). No sempre és instantani, però és certament una manera de detectar si els vostres detalls formen part d’una infracció.

El control del crèdit també és molt útil perquè es poden utilitzar molts incompliments per aconseguir un benefici financer al final del pirata informàtic..

Una altra cosa que pot ser útil per a un pirata informàtic és utilitzar les dades filtrades en intents de phishing. És important tenir en compte els correus electrònics dels llocs web quan us demanen que actualitzeu els detalls del vostre compte o que torneu a introduir la contrasenya. Un dels grans dons a buscar és, en realitat, les faltes d’ortografia. Per a la majoria, l’anglès no és la seva llengua materna, de manera que sovint també cometen errors gramaticals evidents. Si no esteu segurs, aneu directament al lloc (escriviu l’URL del navegador en lloc de fer clic a un enllaç del correu electrònic).

Aquests són molt bons consells pràctics. El que actualment més et frustra en el món de la ciberseguretat i què faries de manera diferent?

És massa freqüent que la seguretat sigui una reflexió posterior. Les bases de dades haurien d’estar segures de manera predeterminada en lloc de protegir-les de manera reactiva. Amb els casos que apareixen als mitjans de comunicació tot el temps, el missatge hauria de trobar-se amb la necessitat de començar a prendre la seguretat seriosament.

Una altra cosa és que les empreses cometen ofenses després que un investigador els divulgui alguna cosa. Han d’adonar-se que no és una crítica a la seva empresa. Necessiten treballar amb l’investigador per resoldre el problema, perquè els està ajudant. L’investigador no es podia extreure fàcilment i vendre-ho a la web fosca o qualsevol cosa, de manera que realment ajudaran l’empresa. I l’empresa també s’ha d’assegurar de treballar amb l’investigador i, com a mínim, donar-los un simple agraïment.

He treballat en alguns d’aquests casos i és per això que estic frustrat amb l’estatus quo al respecte. En els darrers dos anys, probablement he trobat prop de cinc o sis números, i encara no he de rebre gràcies. [riu] Negar el problema no ho fa desaparèixer.

Què feu quan no esteu intentant protegir el món?

Jo tinc una família, així que passar el temps amb la família és prioritari, però darrerament no he estat fent una feina tan gran darrerament. Per tant he de centrar-me una mica més en això. A més, sortiu a passejar i tal. Alguns jocs en línia. Però he intentat golf i he fallat horriblement.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me