Hace un rato he tropezado en Wired con un artículo de Kevin Mitnick, el famoso hacker de los 80 y 90, donde muestra una especie de decálogo sobre seguridad en Internet.
La verdad es que el chico para haberse hecho tan famoso (su historia se plasmó en una película) no se ha esmerado mucho. Iba a traducir el artículo, pero visitando Kriptópolis me he dado cuenta que se me han adelantado. En resumen viene a decir que hay que hacer copias de seguridad, usar antivirus, antispyware y firewall.
Además si se van a transmitir datos delicados encriptarlos. Y por supuesto usar passwords fuertes (seáse, complejos)
Personalmente pienso que este señor se ha olvidado de algo, en lo que él, es experto: la ingeniería social.
Mitnick obtenía passwords e información privilegiada con la que atacar máquinas gracias a sus capacidades de convencimiento. Y con simples llamadas telefónicas podía obtener la información, con lo cual, todas las medidas que el dá y las que puedan aparecer en otros sitios, son realmente poco útiles.
De hecho, incluso al usuario normal, le sirven de poco si peca de ingenuo y confiado.
Un ejemplo claro es la detención de unos jovenes que introducían un troyano a sus compañeros de instituto. Si se conoce el funcionamiento de un troyano, la víctima, tiene que aceptarlo y ejecutarlo, con lo cual conoce o reconoce a la persona que le envía dicho programa.
Está claro que si esa persona tiene firewall le avisará que el programa quiere abrir una conexión, pero de nuevo aparecerá la picardía del atacante para convecerla y que le dé privilegios.
Con lo cual, se demuestra, que el último escalón de responsabilidad es la propia persona.
Mis consejos van más allá de la instalación de programas, realización de copias de seguridad, etc.. pues son medios que deben estar siempre presentes y utilizarse, pero ante todo, responsabilidad. Nadie iría con su coche por un camino desconocido que alguien desconocido le ha indicado y que al parecer no aparece ni en los mapas.
Es así de sencillo, crear y visitar una serie de webs consideradas seguras, interactuar siempre con personas de confianza y entonces si alguna de estas personas no lo hace, los medios de nuestra máquina deberán actuar.
Sobre la elección del sistema operativo a usar no voy a entrar. Linux/GNU tiene una muy buena gestión de usuarios que permite mantener recursos críticos de la máquina únicamente disponibles para el administrador del sistema. Pero a la vez este sistema puede resultar muy complejo para el usuario corriente y es ahí donde Windows gana puntos. En un punto medio esta el MacOSX, un sistema Unix, seguro y con una interfaz amigable, su pecado.. tal vez la exclusividad con la que Apple le ha dotado que hace que no disponga de tanto software como los sistemas de Microsoft.
Además, como demuestran en esta web, no hay sistema seguro.
Pero ante todo olvidar la idea de que el ordenador es una máquina que lo hace todo sola. Nosotros mandamos y tenemos el poder de dejarlo a disposición de otros o reservarlo para nosotros.
Por cierto, algunos artículos donde se describe la ingeniería social:
– Seguridad en Unix. http://es.tldp.org/.
– Conceptos sobre Ingeniería social, @rompecadenas.
– Ingeniería social, Per Antivirus.
– Ingeniería social, Criptonomicón.