Las noticias están repletas de informes de enormes filtraciones de datos. Una rápida investigación de los últimos años reveló una gran cantidad de filtraciones maliciosas de datos que revelaron todo, desde tarjetas de crédito (Target) hasta números de seguro social, historial laboral (delitos OPM) y números de tarjetas de crédito (Experian). Un observador interesado podría preguntarse cuánto se esfuerzan estas empresas por proteger sus datos.
Si pregunta, descubrirá que las empresas están haciendo todo lo posible para proteger sus sistemas. Un ataque importante cuesta mucho dinero y perjudica la confianza del cliente.
Sin embargo, asegurar los sistemas informáticos es radicalmente difícil. Si olvida la argamasa en un solo ladrillo, su casa probablemente no se derrumbará. Pero en seguridad de datos, eso es exactamente lo que está sucediendo.
La seguridad es complicada
La complejidad de los sistemas de seguridad puede sorprender a los no iniciados. Si tan solo hubiera un gran interruptor de “Hackers Off”.
Aunque ninguna persona educada imagina que la seguridad es tan simple, el nivel real de complejidad es difícil de entender. Millones de líneas de código para describir miles de funciones funcionan en unos pocos marcos e interactúan con una amplia gama de sistemas complementarios. Incluso cuando están perfectamente codificados, cada una de estas líneas, funciones, marcos y conexiones representa una posible falla de seguridad, o “vector de ataque”, que puede explotarse.
En seguridad, la suma de las posibilidades de compromiso se denomina “superficie de ataque”. Incluso cuando las aplicaciones contienen la información más confidencial, su superficie de ataque es terriblemente grande. La complejidad de las aplicaciones modernas prohíbe cualquier otra realidad.
El código abierto es un riesgo
La gran mayoría de Internet se ejecuta en software de código abierto. Este software es mantenido por voluntarios, sin reglas formales de revisión de código que no sean las establecidas por ellos. Los planes se basan en la disponibilidad de los miembros no remunerados, su experiencia y sus intereses.
Por un lado, el código abierto es importante. No podemos permitir que todos los codificadores vuelvan a asegurar la rueda. Y, de hecho, las personas que construyen y mantienen los proyectos cotidianos de código abierto que respaldan Internet son dignos de canonización. Pero la base de voluntarios en muchos proyectos de código abierto significa que las expectativas ciegas de seguridad e interoperabilidad son un riesgo grave.
Aunque los proyectos importantes a menudo reciben apoyo financiero de las empresas, ese apoyo suele ser insuficiente en comparación con el trabajo requerido para mantener la seguridad del proyecto. No busque más allá de Heartbleed, la enorme vulnerabilidad SSL que existió durante una década antes de que se descubriera.
Dado que la gran mayoría de los sistemas de seguridad se ejecutan en software de código abierto, siempre existe la posibilidad de que un error oculto pero devastador aceche en su marco de código abierto favorito.
.u4573dd1d82b513b9e2145cbe781260ef, .u4573dd1d82b513b9e2145cbe781260ef .postImageUrl, .u4573dd1d82b513b9e2145cbe781260ef .centered-text-area {min-height: 80px; posición: relativa; } .u4573dd1d82b513b9e2145cbe781260ef, .u4573dd1d82b513b9e2145cbe781260ef: pasar el mouse, .u4573dd1d82b513b9e2145cbe781260ef: visitado, .u4573dd1d82b543cbee21; activo; } .u4573dd1d82b513b9e2145cbe781260ef .clearfix: después de {contenido: “”; pantalla: mesa; Limpia los dos; } .u4573dd1d82b513b9e2145cbe781260ef {pantalla: bloque; transición: color de fondo 250ms; transición de webkit: color de fondo 250ms; ancho: 100%; opacidad: 0,95; transición: opacidad 250ms; webkit-transition: opacidad 250ms; color de fondo: # 9B59B6; sombra de caja: 0 1px 2px rgba (0, 0, 0, 0.17); -moz-box-shadow: 0 1px 2px rgba (0, 0, 0, 0.17); -o-caja-sombra: 0 1px 2px rgba (0, 0, 0, 0.17); -webkit-caja-sombra: 0 1px 2px rgba (0, 0, 0, 0.17); } .u4573dd1d82b513b9e2145cbe781260ef: activo, .u4573dd1d82b513b9e2145cbe781260ef: hover {opacidad: 1; transición: opacidad 250ms; webkit-transition: opacidad 250ms; color de fondo: # 8E44AD; } .u4573dd1d82b513b9e2145cbe781260ef .centered-text-area {ancho: 100%; posición: relativa; } .u4573dd1d82b513b9e2145cbe781260ef .ctaText {borde inferior: 0 sólido #fff; color: #FFFFFF; tamaño de fuente: 16px; fuente-peso: negrita; margen: 0; relleno: 0; decoración de texto: subrayado; } .u4573dd1d82b513b9e2145cbe781260ef .postTitle {color: #FFFFFF; tamaño de fuente: 16px; peso de fuente: 600; margen: 0; relleno: 0; ancho: 100%; } .u4573dd1d82b513b9e2145cbe781260ef .ctaButton {color de fondo: # 8E44AD! importante; color: #FFFFFF; borde: ninguno; borde-radio: 3px; sombra de caja: ninguna; tamaño de fuente: 14px; fuente-peso: negrita; altura de línea: 26px; moz-border-radio: 3px; alineación de texto: centro; texto-decoración: ninguno; sombra de texto: ninguno; ancho: 80px; altura mínima: 80px; fondo: url (https://se.moyens.net/wp-content/plugins/intelly-related-posts/assets/images/simple-arrow.png) sin repetición; posición: absoluta; derecha: 0; superior: 0; } .u4573dd1d82b513b9e2145cbe781260ef: hover .ctaButton {color de fondo: # 9B59B6! importante; } .u4573dd1d82b513b9e2145cbe781260ef .centered-text {pantalla: tabla; altura: 80px; relleno-izquierda: 18px; superior: 0; } .u4573dd1d82b513b9e2145cbe781260ef .u4573dd1d82b513b9e2145cbe781260ef-content {display: table-cell; margen: 0; relleno: 0; relleno derecho: 108px; posición: relativa; alineación vertical: medio; ancho: 100%; } .u4573dd1d82b513b9e2145cbe781260ef: después de {contenido: “”; bloqueo de pantalla; Limpia los dos; }
Los hackers solo necesitan ganar una vez
Hay una expresión en el mundo de la seguridad digital: los programadores tienen que ganar siempre, pero los hackers solo tienen que ganar una vez. Una sola grieta en la armadura es todo lo que se requiere para que una base de datos se vea comprometida.
A veces, ese crack es el resultado de que un desarrollador tome un atajo o sea negligente. A veces es el resultado de un ataque de día cero desconocido. Tan preciso como puede ser un desarrollador, es una estupidez imaginar que ha solucionado todos los agujeros de seguridad.
Declarar una cerradura como “segura” es la forma más rápida de averiguar qué tan optimistas fueron sus diseñadores de cerraduras. Los sistemas informáticos no son diferentes. Ningún sistema es hackeable. Solo depende de los recursos disponibles.
Siempre que haya personas en el sistema en cualquier etapa, desde el diseño hasta la ejecución, el sistema puede verse socavado.
Equilibrio entre comodidad y seguridad
La seguridad es siempre un equilibrio entre comodidad y seguridad. Nunca se puede utilizar un sistema perfectamente protegido. Cuanto más seguro es un sistema, más difícil es utilizarlo. Esta es una verdad básica sobre el diseño de sistemas.
La seguridad funciona lanzando obstáculos que deben superarse. Ninguna barricada que valga la pena ejecutar puede tardar cero tiempo en completarse. Cuanto mayor es la seguridad de un sistema, menos útil es.
La humilde contraseña es el ejemplo perfecto de estas características complementarias en acción.
Se podría decir que cuanto más larga es la contraseña, más difícil es descifrarla con fuerza bruta, así que contraseñas largas para todos, ¿no? Pero la contraseña es un arma clásica de doble filo. Las contraseñas más largas son más difíciles de descifrar, pero también son más difíciles de recordar. Los usuarios frustrados ahora duplicarán las credenciales y anotarán sus inicios de sesión. Quiero decir, ¿qué tipo de personaje sombrío miraría la nota secreta debajo del teclado de trabajo de Debra?
Los atacantes no tienen que preocuparse por el descifrado de contraseñas. Solo necesitan encontrar una pegatina en el monitor del asistente (a) del gerente regional y tendrán todos los accesos que deseen. No es que Dwight fuera a ser tan descuidado.
Hemos equilibrado la seguridad y la comodidad para mantener nuestros sistemas utilizables y seguros. Esto significa que cada sistema es inseguro de una forma u otra. Los piratas informáticos solo necesitan encontrar un pequeño agujero y enmascararse.
Conclusión: cómo funciona una violación de datos
La característica decisiva de un ataque de piratería es el fraude a nivel del sistema. De una forma u otra, está engañando a parte de un sistema de seguridad para que coopere contra su diseño. Ya sea que un atacante convenza a un guardia de seguridad humano para que lo deje ingresar a una ubicación segura o deshabilite los protocolos de seguridad en un servidor, se puede llamar un “pirateo”.
.u9278f2589fab2913ea7512d89f415146, .u9278f2589fab2913ea7512d89f415146 .postImageUrl, .u9278f2589fab2913ea7512d89f415146 .centered-text-area {min-height: 80px; posición: relativa; } .u9278f2589fab2913ea7512d89f415146, .u9278f2589fab2913ea7512d89f415146: hover, .u9278f2589fab2913ea7512d89f415146: visitado, .u9278f25839fab2915146 } .u9278f2589fab2913ea7512d89f415146 .clearfix: después de {contenido: “”; pantalla: mesa; Limpia los dos; } .u9278f2589fab2913ea7512d89f415146 {pantalla: bloque; transición: color de fondo 250ms; transición de webkit: color de fondo 250ms; ancho: 100%; opacidad: 0,95; transición: opacidad 250ms; webkit-transition: opacidad 250ms; color de fondo: # 9B59B6; sombra de caja: 0 1px 2px rgba (0, 0, 0, 0.17); -moz-box-shadow: 0 1px 2px rgba (0, 0, 0, 0.17); -o-caja-sombra: 0 1px 2px rgba (0, 0, 0, 0.17); -webkit-caja-sombra: 0 1px 2px rgba (0, 0, 0, 0.17); } .u9278f2589fab2913ea7512d89f415146: activo, .u9278f2589fab2913ea7512d89f415146: hover {opacidad: 1; transición: opacidad 250ms; webkit-transition: opacidad 250ms; color de fondo: # 8E44AD; } .u9278f2589fab2913ea7512d89f415146 .centered-text-area {ancho: 100%; posición: relativa; } .u9278f2589fab2913ea7512d89f415146 .ctaText {borde inferior: 0 sólido #fff; color: #FFFFFF; tamaño de fuente: 16px; fuente-peso: negrita; margen: 0; relleno: 0; decoración de texto: subrayado; } .u9278f2589fab2913ea7512d89f415146 .postTitle {color: #FFFFFF; tamaño de fuente: 16px; peso de fuente: 600; margen: 0; relleno: 0; ancho: 100%; } .u9278f2589fab2913ea7512d89f415146 .ctaButton {color de fondo: # 8E44AD! importante; color: #FFFFFF; borde: ninguno; borde-radio: 3px; sombra de caja: ninguna; tamaño de fuente: 14px; fuente-peso: negrita; altura de línea: 26px; moz-border-radio: 3px; alineación de texto: centro; texto-decoración: ninguno; sombra de texto: ninguno; ancho: 80px; altura mínima: 80px; fondo: url (https://se.moyens.net/wp-content/plugins/intelly-related-posts/assets/images/simple-arrow.png) sin repetición; posición: absoluta; derecha: 0; superior: 0; } .u9278f2589fab2913ea7512d89f415146: hover .ctaButton {color de fondo: # 9B59B6! importante; } .u9278f2589fab2913ea7512d89f415146 .centered-text {pantalla: tabla; altura: 80px; relleno-izquierda: 18px; superior: 0; } .u9278f2589fab2913ea7512d89f415146 .u9278f2589fab2913ea7512d89f415146-content {pantalla: tabla-celda; margen: 0; relleno: 0; relleno derecho: 108px; posición: relativa; alineación vertical: medio; ancho: 100%; } .u9278f2589fab2913ea7512d89f415146: después de {contenido: “”; bloqueo de pantalla; Limpia los dos; }
La diversidad de ataques “salvajes” es extraordinaria, por lo que todos los resúmenes solo pueden proporcionar una visión general amplia antes de entrar en los detalles de los ataques individuales. Como mínimo, un posible hacker necesita conocer el sistema que está atacando.
Una vez que se descubre una vulnerabilidad, se puede explotar. Desde una perspectiva práctica, un atacante podría buscar puertos abiertos en un servidor para averiguar qué servicios está ejecutando un dispositivo y en qué versión. Correlacionarlo con vulnerabilidades conocidas y, en su mayor parte, encontrará vectores de ataque viables. Muchas veces es una muerte con mil cortes: pequeñas vulnerabilidades unidas para acceder. Si no funciona, hay ataques de contraseña, pretextos, ingeniería social, falsificación de referencias… la lista crece cada día.
Una vez que se detecta una vulnerabilidad, los piratas informáticos pueden explotarla y obtener acceso no autorizado. Con el acceso no autorizado, filtran los datos.
Y así es como ocurren las filtraciones de datos todo el tiempo.
