The Digital Battlefield: Hacker etikoak eta gaiztoak
Sarrera
Ba al dakizu 2011n Citibankek (Citigroup) ia 2,7 milioi dolarreko lapurreta eragin zuen ziber-eraso bat jasan zuela?
Aktoreek beren webguneko datu-hauste soil bat aprobetxatu besterik ez dute egin. Hilabeteak zeramatzaten ustiatzen detektatu baino lehen. Bankuak asko sufritu zuen hori 360.000 kontu baino gehiago kaltetu baitira, eta nahiko erronka izan zen hura kentzea.
Laburpena
Informazioaren Segurtasunaren jaiotza
Azken bi hamarkadetan informatika izugarri hazi da; asko aurkitu da eta asko hobetu da. Gaur egun, ordenagailuek eta teknologiek ez dute zerikusirik hasieran zeudenekin, forma eta funtzionalitateetan behintzat. Horrek sortu zuen altxor berri bat, lehen erraz iristen ez zen altxor bat. Asko ezberdina izango zen horrekin, hori da Informazioa.
Informazioaren garrantzia hain handia izan da non gizakien bizitzak salba ditzakeela! Gure eguneroko bizitzan ere oso garrantzitsua da, eta era askotan aurkitzen dugu. Artikulu honetan, informazio digitalari buruz hitz egingo dugu, hau da, ordenagailuetan gordetako informazioaz, eta horri datuak deituko diogu.
Datuak nonahi daude, eskoletan, ospitaleetan, bankuetan, gobernuetan, militarretan, supermerkatuetan, etab. Beraz, funtsean, munduko guztiek dituzte datuak. Bere garrantzia desberdina da pertsona batetik bestera eta erabilera batetik bestera; batzuetan oso kritikoa izan daiteke.
Zoritxarrez, mundu honetan ezer perfektua ez denez, informazio honetarako sarbidea arriskuan egon liteke. Hori, batez ere, giza faktorea era askotakoa da. Akats bat, hutsegite bat edo, batzuetan, hutsune hutsa izan daiteke. Honek sistema digital batean segurtasun-zuloak uztea ekar dezake, zulo horiei ahultasuna esaten diegu.
Eta asmo gaiztoak dituzten pertsona asko daude ahultasun horietaz aprobetxatu eta beren kabuz bideratzen saiatzen ari direnak. Hackers deitzen zaie.
Hackerrak gaizkile gisa ikusten dira, eta hori oker izatetik urrun dago. Haien ekintzen ondorioak negargarriak izan daitezke, dirua galtzea eta jende askoren bizitza hondatzea barne, baina batzuetan kalte txikiak izaten dira arbuiagarriak izan daitezkeenak. Ondorio horietako batzuei begirada bat emango diegu aurrerago.
Haien existentziak Informazioaren Segurtasuna zaintzea saihestezina egin du, haien aurka borrokatzen duten pertsonak (hacker-ak).
Ethical Hackers deitzen zaie, haien lana, funtsean, hackerren erasoak prebenitzea edo gutxitzea da (zibererasoak izenez ere ezagunak). Mundu digitala leku seguruago bilakatzeko lan egiten duten pertsonak dira.
Zibererasoak
Beraz, zibererasoak, aurretik aurkeztu diren bezala, hackerren ekintzak dira. Hacker-ek sistemak erasotzen dituzte lapurtzeko, baimenik gabeko aldaketak egiteko edo baita datuak suntsitzeko helburu maltzur askorekin.
Eraso horietako gehienak hiru kategoria hauetako batean sailka litezke.
Sistemen aurkako erasoak
Kasu honetan, ahultasunak, oro har, sistemaren akats tekniko batek eragiten ditu. Hackerrek sistemaren eta nola funtzionatzen duten ezagutza erabiltzen dute haien alde erabiltzeko modurik gabeko modu bat aurkitzeko, eta baimenik gabe atzitu dezakete baliabide batera edo baita sistema osora ere.
Orokorrean hitz egiten dugu:
-
Zero Day esplotazioak (aurreikusitako ahuleziak adabakirik eman ez dutenak, hau da, sistemaren azken bertsioan oraindik presente daudela esan nahi du).
-
CVEak (ahultasun-aprobetxamenduen kodeak) sistema zaharkituen aurrean garrantzitsuak diren kontzeptuen frogak dira.
-
Erdiko gizonen erasoak, Zerbitzuaren ukapena (DOS), Zerbitzuaren ukapen banatua (DDOS) etab.
Pertsonen aurkako erasoak
Oso ezaguna da sistema digitaleko punturik ahulena gizakiak direla. Bertako aktorerik ezustekoena da. Egia esan, zibereraso asko enpresetan lan egiten duten pertsonen aurka egin dira, datu kritikoak agerian utziz edo sistema askotan ekintza negargarriak eginez.
Hona hemen azaldu nahi dudan aipu bat
Ez dago giza ergelkeriarako adabakirik
Horrek esan nahi du ezin dela ezer egin hacker batek jendea bere burua hackeatzea lortzen duenean! Hemen ingeniaritza sozialari buruz gehiago hitz egiten dugu, phishing bezalako teknika asko erabiliz pertsona baten mentalitatea hackeatzea helburu duena.
Pertsonen bidez sistemen aurkako erasoak
Kasu honetan, erasoaren helburua, oro har, datuak suntsitzea edo sistema bat gaizki funtzionatzea da. Jendeak malware izeneko programa informatiko gaiztoak erabiliaz egiten da hori.
Datuak suntsitzen dituzten programak dira, bere forma guztiz aldatzen dutenak, erabilezinak bihurtzen dituztenak, edota isurtzen dituztenak, eta horrek ondorio larriak dakartza. Eta hori da lana
-
birusak: sisteman edo sarean oso azkar hedatzen diren programak
-
ransomware: algoritmo sendo baten bidez datuak enkriptatzen dituen malwarea eta erreskatea eskatzen duena berreskuratzeko.
-
Troiarrak, harrak eta abar.
-
Bestalde, malwarea inaktibo egon daiteke eta datuak soilik lapurtu ditzake, spyware egiten duen bezala.
Eta ikusten duzun bezala, horiek sisteman nola edo hala sartzen dituzten giza akatsek baino ez dituzte lortzen.
Ziberhondamendi kritiko batzuk
Azken hamarkadan, munduak ondorio larriak izan dituzten zibereraso ugari ezagutu ditu.
Horri esker, erakundeek beren sistemaren segurtasunaz gehiago arduratu ziren.
Hona hemen ezagunenetako batzuk:
- Sony Pictures Hack (2014)
2014an Sony Pictures Entertainment-en aurkako zibererasoa, Ipar Koreari egotzi zitzaiona, isilpeko datuen agerpena ekarri zuen, estreinatu gabeko filmak eta langileen informazio sentikorra barne. Egileek, "Bakearen Zaindariak" ezizenez jarduten zutenak, Sonyri exijitu zioten "Elkarrizketa" filma kaleratzeari uzteko, Ipar Koreako buruzagiaren hilketarekin lotutako fikziozko trama bat agertzen zena.
- WannaCry Ransomware (2017)
WannaCry, mundu osoko ransomware-aren erasoa, Windows bertsio zaharkituak erabiltzen zituzten ordenagailuak bereziki bilatu zituen. Programa gaizto hau azkar hedatu zen, mundu osoko erakundeetan zein pertsonengan eraginez. NSAk kendutako segurtasun ahultasun bat baliatu zuen biktimen fitxategiak enkriptatzeko, datuak deszifratzeko erreskate bat ordaintzera bultzatuz. Kalte handiak gertatu baino lehen, segurtasun ikertzaile batek kasualitatez identifikatu zuen erasoa geldiarazteko mekanismo bat.
- SolarWinds Cyberattack (2020)
SolarWinds-en zibererasoa oso planifikatutako hornikuntza-katearen haustura izan zen, eta SolarWinds, IT kudeaketa-enpresa nabarmena zen. Erasotzaileek SolarWinds-en software-eguneratzeak arriskuan jarri zituzten, hainbat entitateren sistemetarako sarbidea emanez, gobernu-agentziak eta korporazio nabarmenak barne. Erasoa Errusiako Mehatxu Iraunkorrerako (APT) talde batekin lotuta zegoen.
- Log4j (2021)
Log4j-ek, bi hamarkadako historia duen Java erabilgarritasun oso finkatua, 2021eko abenduan une garrantzitsu bat aurkitu zuen Log4Shell izeneko ahultasun kritikoa aurkitu zuenean. Akats horri esker, autentifikatu gabeko eta trebetasunik gabeko aktore gaiztoek aplikazioen kontrola har zezaten, segurtasun-hauste garestiak eragin zituzten.
- Twitter (2022ko Ingeniaritza Sozialeko Eraso batetik 5,4 Milioi Erabiltzaile Kontu lapurtuak)
2022ko abuztuaren 5ean, Twitterrek iragarpen harrigarria egin zuen, eta agerian utzi zuen hacker batek, "deabrua" ezizenez jarduten zuena, zero eguneko ahultasun bat ustiatu zuela. Urratze horri esker, identifikazio pertsonaleko xehetasunak, hala nola, telefono-zenbakiak eta helbide elektronikoak sare sozialetako plataformako erabiltzaile-kontuekin lotu zituzten.
Ahultasun horrek aurkezten zuen aukera baliatuz, hackerrak datu multzo zabal bat kaleratu zuen lineako foroetan, eta 30.000 $-ko prezioan jarri zuen. Akatsaren existentzia publikoki ezaguna egin zen 2021eko ekainean, eta 5 milioi erabiltzaile baino gehiagori eragin zien.
Gertaera honi erantzunez, Twitter-ek azkar jokatu zuen, zuzenean kaltetutako kontuen jabeekin harremanetan jarriz eta orientazioa eskainiz. Erabiltzaileei eskatu diete bi faktoreko autentifikazioa ezartzeko ezinbesteko babes gisa beren kontuetara baimenik gabe sartzearen aurka.
Hacker etikoak
Lehen esan bezala, teknologiaren alorrean hackerren gorakadak erakundeek beren sistemaren segurtasuna areagotzeko irtenbideak pentsarazi zituen.
Hala, sistema horiek berrikustea eta ahuleziak detektatzea ordainduko zuten lanpostuak edo lanpostuak aurkitu behar izan zituzten haiek adabaki edo konpondu ahal izateko. Jarrera hauek hartzen ari diren pertsonak hacker etiko deitzen ditugunak dira.
Hacking etikoa bi kategoria nagusitan banatzen da
-
Segurtasun iraingarria: Sartze proba edo hacking etiko gisa ere ezagutzen dena, erakunde baten sistemetan zibererasoak simulatzeko praktika da ahultasunak eta ahuleziak identifikatzeko. Segurtasun iraingarriaren helburu nagusia segurtasun-arazoak modu proaktiboan deskubritzea eta konpontzea da aktore gaiztoek ustiatu aurretik.
-
Defentsarako segurtasuna: Erakunde baten sistemak, datuak eta sareko azpiegiturak mehatxu potentzialetatik babestean oinarritzen da. Bere helburu nagusia baimenik gabeko sarbideak, datu-hausteak eta bestelako segurtasun-gertaerak saihestea da.
Hacking etikoak, oro har, ikuspegi edo talde desberdinak hartzen ditu sistema bat ziurtatzeko orduan; hauetako batzuk hauek dira:
-
Talde gorria: erakunde baten sistemen, prozesuen eta defentsaren segurtasuna probatzeko eta ebaluatzeko ikuspegi egituratu eta sistematikoa da. Zibererasoak eta beste mehatxu batzuk simulatzen ditu erakunde baten segurtasun jarrera, ahultasunak eta erresilientzia orokorra ebaluatzeko. Red Teaming-en helburu nagusia erakunde baten segurtasun-gaitasunen balorazio alboragarri eta errealista bat eskaintzea da eta segurtasun-proba tradizionalen metodoen bidez agerikoak ez diren ahultasunak identifikatzea.
-
Blue Teaming: Blue Teams erakunde baten aktibo digitalak, sistemak eta datuak ziber-mehatxuetatik babesteaz arduratzen dira, eta, aldi berean, segurtasun-gorabeherak detektatzeko eta horiei erantzuteko lan egiten dute. Talde gorrien aldean, erasoak eta aurkako jarduerak simulatzen dituztenak, talde urdinak erakundearen segurtasun jarrera mantentzeaz eta hobetzeaz arduratzen dira batez ere.
-
Purple teaming: zibersegurtasunaren ikuspegi kolaboratiboa eta integratua da, talde gorrien eta talde urdinen ahaleginak konbinatzen dituena erakunde baten barruan. Talde morearen helburua erakunde baten segurtasun-jarrera orokorra hobetzea da, bi talde horien arteko komunikazioa, ezagutza partekatzea eta proba bateratuak erraztuz.
Badaude beste talde mota batzuk espezializatuagoak, beheko irudiak erakusten duen bezala
Informazioaren munduan duten eginkizunaren garrantziari dagokionez, hainbat erakunde eta enpresa daude infosec arloan zerbitzuak eskaintzen espezializatuak, hala nola sartze-probak eta aplikazioen berrikuspena.
Arlo honetako erakundeek ez ezik, autonomoek gorakada interesgarria izan dute Bug Bounty Hunting programak (enpresek abian jarritako programak beren sistemetan aurkitzen dituzten ahultasunak salatzeagatik saritzen dituztenak).
Ondorioa
Ondorio gisa, adierazi behar dugu hacker etikoen eta etikoen arteko gerra ez dela amai daitekeen zerbait, informazio digitala baliabide kritikoa izaten jarraitzen duen bitartean.
Guztiek jakin beharko lukete ezagutza teknikorik behar ez duten informazioaren segurtasun-praktiken berri. Eta zibersegurtasunean karrera bat izatea pentsatzea aukera interesgarria da, hacker etikoak oso exijituak baitaude, eta baliabide asko daude berehala ikasten hasteko! Beraz, artikulu honi amaiera emateko, galdera bat dugu zuretzat. Inoiz izan al zaizu phishing bezalako zibererasoren batek eraginda, edo jadanik ransomware edo birus batek eragin dizu? Eman iezaguzu horren berri!
Bihurtu zibersegurtasuneko aditu ziurtatua. Code Labs Academy-ren Cybersecurity Bootcamp karrera arrakastatsua abiarazteko behar dituzun ziurtagiriak eta trebetasun praktikoak prestatzen zaitu.