Zure informazio pribatua segurua al da?




Azken urteetan Interneten hazkundearekin eta Interneteko erosketen hazkundearekin, ez da harritzekoa identitate lapurreta estatistika maila berrietara igo egin dela ere. Interneten erabilera orokorrak 182% batzuk igo dira 2000-2005-ek Nielsen / NetRatings-ekin mundu osoan metatutakoa. 2005 bakarrik, urtarriletik abendura bitartean, 685,000 kontsumitzaileen iruzurrak eta nortasun lapurreta baino gehiagoko kexak salatu zituzten Federal Trade Commission Sentinel Kexen datu-basean. 1997en datu-basea abian jarri zenetik, ia 3 milioi kexa erregistratu dira bertan. 2005 estatistiketan 37 erreklamazio horien%% identitate lapurreta kasuak direla esan zen. Nortasun-lapurreta erreklamazio garrantzitsuenetako batzuk kreditu-txartelen iruzurrak (680,000%), telefono edo utilitate iruzurrak (26%), banku-iruzurrak (18%), enpleguaren iruzurrak (17%), gobernuko dokumentuak / prestazioen iruzurrak (12%) eta maileguaren iruzurrak (9%).


Argi eta garbi ikus dezakezue informazio pertsonala lapurreta arazo larria dela eta egunero okerragoa da. Interneten negozioak egiten ari bazara, Interneten harrapari baten harraparak erortzen direla eta ekintza maltzurren mota horien biktima bihurtuko zara. Dokumentu honetan beranduago eztabaidatuko ditugun delitu horietatik babesteko egin dezakezun gauza batzuk daude, baina "hacker" terminoa eta "hacker" horiek erabiltzen dituzten metodo batzuk eztabaidatuko ditugu.

Zer da hacker bat?



Komunikabide orokorretan "hacker" terminoa ordenagailu sistemekin egintza maltzurrenak burutzen dituen pertsona bat deskribatzen du, bere kideekin arrakasta publikoa lortzeko. Hau baimendu gabeko sistema informatikoetara sarbidea izan dezakeen norbait izan daiteke sistema eragileei buruzko ezagutza zabala, kodea ustiatzeak (akatsak) eta abantailaz erabiltzearen bidez. Beharbada, pertsona batek DoS sistemaren bidez (Desa rako Zerbitzuaren) erasoen bidez desgaitzea da, beraz, baliabideak jadanik ez dira erabilgarri egongo sistemei eskatzen dizkieten erabiltzaileei. Ondoren, dokumentu honetan eraso mota hauek zehatzago aztertuko ditugu.

Egia esan, "hacker" jende onak dira eta, oro har, segurtasun informatikoko sistemak ikasten eta eraikitzen dituztenak izango dira. Aurretik eztabaidatu genuen jarduera maltzurren motak gauzatuko lituzkeen pertsona bat deskribatzeko erabiliko zenuke "cracker" terminoa. Hala ere, dokumentu honen gainerakoetan "hacker" epe ezagunagoa erabiliko dugu "cracker" termino errealaren baliokide gisa, nahasketak saihesteko.

Historiako sarearen hacking eraso ospetsuenetako bat Tustomu Shimomuraren ordenagailuen sareko Kevin Metnick pirateria ospetsuaren Gabonetako erasoa izan zen. Zerbitzu ukapen mota desberdinak erabili eta sarerako erasoak sarean, Kevin Metnick-ek Shimomuraren sistema kontrolatzeko gai izan zen. Hau da "eraso egituratua" deituko zenuke erasoa burutzeko beharrezkoak diren trebetasunak direla eta. Batzuk gogoratuko duzuen "eraso egituratu" beste mota bat otsailean 1994-7 11 erasoak dira. Horien artean EBay, Amazon edo CNN bezalako web-astun astunak nabarmenki moteldu egin ziren eta sarbidea ukatu egin zuten, aldi berean, ordu banatuek ukapen banatuaren bidez. Zerbitzuaren erasoak.

Eraso mota ohikoenak ez-egituratuak dira. Sarritan eraso hauek sare batetik abiatzen dira norbaitek zer egin duen ideiarik ez duen pertsona batek. Eraso mota hauek "Script-Kiddy" -ek ere exekutatu ditzakete. "Script-Kiddy" batek hacker profesional batek aurrez egindako hacking gidoiak erabiltzen dituena da eta egiten ari direnaren ezagutza gutxi du. Hacking tresna horietako batzuk ez dute helbururako ostalariaren sarrera eta botoi bat sakatzea baino. Mehatxu hau oso erreala da, WinNUKE, SATAN, NMAP eta Naptha bezalako webguneak erraz deskargatu daitezkeen hacking tresna ugari direla eta. Trinoo, TFN, TFN2K eta Stracheldraht (Feb 2K erasoetan erabilitako) hacking tresna konplexuek ere nahiko erraz aurki ditzakete, baina sakonago ezagutzak behar dituzte eraginkortasunez erabiltzeko. Eraso horiek behera egiteko erraztasuna lortzeko, bi kategoriatan jartzen ditugu.


DoS zerbitzua ezeztapena eta sarbidea erasoak.




DoS (ezeztapen zerbitzua) erasoak: DoS eraso baten helburu nagusia sistema moteldu edo desgaitu daiteke, sistemak eskaintzen dituen zerbitzuak ez baitira eskuragarri erabiltzaileei. Mota honetako erasoak sistemako baliabideen agortzearen ondorioz sortzen dira edo sisteman modu normalean funtzionatzea eragozten duen ahulgune ezaguna (akats) ustiatuz. Horren adibide sinple batek zabor-trafikoa hainbeste igortzea litzateke sistema legitimoak ezingo liratekeela telefono-linea gehiegi aldi berean lotuta dauden lerroen antzekoa izan. Eraso horien bertsio konplexuagoak DDoS edo Banatutako Erantzunen Zerbitzuaren erasoak bezala ezagutzen dira gailu anitz sistemaren erasoak aldi berean abiarazten dituztenean.

Sarbide-erasoak: sarbide-eraso baten helburu nagusia baimenik gabe (babestuta) sistemako baliabideetara sartzea da, hala nola datuak edo legez kanpoko jarduerak burutzeko barneko sare sistema kontrolatzea. Sarbide-eraso bat Zerbitzuaren Ukapenaren erasoa izaten jarrai dezake, baina, oro har, horrelako erasoak mota batzuetako ikuskapena sistema ustiatzen eta ustiatzeko sistemak azaltzeko. Harrigarria denez, sarbide-eraso bat aztertzean mehatxu arruntena Ingeniaritza Gizarte da. Gizarte Ingeniaritza kontrolatzeko sarbide eragingarriena eta gogorrena da pertsonen manipulazioa dakar. Gizarte Ingeniaritza adibide bat hacker bat lortzeko sistema bat izango litzateke, baliozko erabiltzaile izena eta pasahitza norbaiti ikasteko iruzur artearen bitartez. IE: Konfiantzazko norbait izatearen aldarrikapena, nahiz eta egia esan ez diren.

Aurretik eztabaidatutako metodo batzuk indarrean dauden datuetara sartzeko baimena eman dezakete eta zoritxarrez zurea izan daiteke. Zorionez, ordea, negozioa egin dezaketen konpainia garrantzitsuenen sare nagusiak segurtasun fisikoa, jarraipena, datuak enkriptatzea eta etengabe eguneratzeari buruz hitz egin dugun mehatxupean segurtasunez babesten dituzte. Jakina, sistema mota horietarako mehatxu bat existitzen da beti, baina askoz ere gutxiago da enpresa horien kostuak eta bezeroen informazioa babesteko diru kopuru eta denbora kopuru handia dela eta. Horrek erosoago sentitu behar du, baina itxaron minutu bat, zer gertatzen da zure sistemarekin? Orain, egin dezakezun gauza batzuk buruz hitz egingo dugu, zeure burua babesteko hobeto pixka bat.

1: Agian gogoratu behar duzun gauza garrantzitsuenetako bat ez da inoiz zure informazio pertsonalik eman inori norberaren nortasuna egiaztatzeko bitartekoak izan ezean. Honek zure posta elektronikoa eta erabiltzaile-izenak eta pasahitzak biltzen ditu, zure informazio pertsonala aurkitzea eragin dezake. Aurretik aipatu dugun bezala, Gizarte Ingeniaritza baimenik gabe sartzeko erasoen kausa nagusia da. Phishing, banding edo carding informazio pribatua lapurreta forma oso ezaguna da. Hau da zure kontuaren informazioa eguneratzeko edo antzeko zerbait behar duzula esaten duenean posta elektronikoz edo berehalako mezu legitimo bat dela dirudi, eta webguneko esteka bat ematen du datuak lapurtzeko. Esteka sarritan ezkutatzen da, iturri legitimo honetatik datorrena dirudiela eta, gainera, zuk bidalitako gunea legitimoa dirudi, iturburu kodea partaide den gunearekin bat etorri delako. Kasu honetan egin beharreko gauzarik onena da zure benetako adierazpenean agertuko den bezeroarentzako laguntza zenbakia. Erakunde garrantzitsu gehienek ez zaie inoiz eskatuko informazio hau hasierako erregistratzetik kanpo. Enpresa gehienek helbide elektroniko zehatz bat izango dute beren iruzurrak webgunean eskaintzeko. Mota horretako erasoak telefono bidezko dei baten bidez ere irits daiteke, beraz, kasu honetan deia deskonektatzea eta bezeroarentzako arreta sailarekin harremanetan jartzea gomendatzen da, adierazpen batean zerrendatutako telefonoarekin, egoera horri buruz galdetzeko.

2: Kontuz zer mezu elektroniko bidez bidalitako informazio mota. Bidaltzen duzun lekua garrantzitsua da, baina zuk bidalitakoa ere garrantzitsua da. Lehenespenez posta elektronikoa testu argiarekin bidaltzen da. Trafiko bati sniffing edo atzematea izan dezakeen hacker esperientziadun batek (man-in-the-middle erasoa) mezu estandarretan zehar bidalitakoa erraz irakurtzen du. Posta elektronikoa enkriptatzeko metodo batzuk daude Entrust http://www.entrust.com/ (ziurtagiri digitalak) eta PGP http://www.pgp.com/ (pribatutasun nahiko ona) behar bezala konfiguratuta erabil daitezkeen baina zure onena Apustua ez da posta elektronikoz informazio pertsonalik bidali.

3: Ziurtatu ziurtatu duzun enpresa batekin negozioa egiten ari zarela ziurtatu. Oro har, ez duzu arazorik izango Wal-Mart edo Gap bezalako enpresa handiei aurre egitea, baina oraindik pribatutasun eta segurtasun politikak irakurri beharko dituzu, bildutako informazioa eta harekin egiten duten informazioa ondo ulertu ahal izateko. beren eragiketak ziurtatzeko erabiltzen dituzten bitartekoak. Webgune batek informazioa eskuragarria ez badu, ez nuke haiekin negozioa egitea gomendatuko. Web transakzio pribatu gehienek SSL edo Secure Socket Layer enkriptatze bermatuta daude. Interneteko transakzioak enkriptatzeko lehen mailako araua da eta Internet Ingeniaritza Task Force-k onartzen du. Zure konexioa segurua da zure arakatzailearen helbidearen eremuan begiratzen baduzu eta https: // web-helbidearen aurrean ikusiko duzu. Oharra: saiakera SSL-rekin babesten du https-en S adierazten duena.

4. Erabili pasahitz sendoak. Normalean gutxienez 8 karaktere erabili nahi dituzu, letrak eta zenbakiak nahastuz, hitz osoak ez erabili, ez zenbaki sekuentziala erabili, ez erabili zure erabiltzaile-izena eta saiatu norbaitek asmatu ez duen informazio pertsonalik erabili zure urtebetetzea bezala.

Hona hemen esteka bat SANS guneetan pasahitz sendoak sortzerakoan: https://www.sans.org/rr/whitepapers/authentication/1636.php

Ez da inoiz ideia ona pasahitzak gordetzeko edo zure tokiko sisteman gorde. Zure sistemak nolabait arriskuan jarriko balitz, zure kontuaren pasahitzak ere badira.

5. Hari gabeko sare bat erabiltzen ari bazara, ziurtatu. Haririk gabeko sareak urrunetik eraman daitezke "gerrako gidariek" edo baita auzokideek ere. Aldatu doako ezarpen lehenetsiak erraz asmatzeko modukoak. Desgaitu urruneko administratzailea routerrentzako eta pasahitza babestea tokiko administrazioa. Erabili MAC helbideen iragazketa routerrekiko zure konexio fidagarriak bakarrik onartzeko. Gaitu enkriptatze indartsuena zure bideratzailean. Hona hemen lehenago idatzi nuen artikulu bat, haririk gabeko sare bat bermatzeko, Linksys haririk gabeko G bideratzaile ohikoenetako bat erabiltzen dudanean.

6. Erabili suebaki pertsonal bat zure ordenagailua kanpoko munduko trafikoetatik babesteko. IE: Trafikoa ez zinela eskatu nahi zugana.

7. Erabili birusen softwarea eta mantendu eguneratuta. Gogoratu birusen definizioak zaharrak badira, softwarea alferrikakoa da. Eskaneatu zure posta elektronikoa denbora errealean (erosketa ireki aurretik edo deskargatuta). Eskaneatu zure unitatea aldizka. Ideia ona da iturri ezezagunetatik eranskinak ez irekitzea. Birusen softwareak bat datorren ereduetan oinarritzen da, birusak egon behar duen eredua eguneratu ahal izateko, beti dagoela zure infekzioa eguneratzeko aukera izanez gero, beti dago kutsatzeko aukera.

8. Erabili spyware kentzea software eta mantendu eguneratuta. Gogoratu, zure spyware kentzea definizioak zaharrak badira, softwarea alferrikakoa da. Eskaneatu zure unitatea aldizka. Spyware-k ezin du gogaikarriak izan, baina baita ere arriskutsuak izan daitezkeen kasu batzuetan.

Goian aipatutako urrats bakunak jarraituz gero nortasun lapurreta eta iruzur pertsonala babestuko duzu. Espero dut artikuluaz gozatu duzula eta bidean gauza bat ikasi duzu.
Hona hemen esteka bat SANS guneetan pasahitz sendoak sortzerakoan: https://www.sans.org/rr/whitepapers/authentication/1636.php