Cómo celebrar el día de seguridad de la información

Hoy es el trigésimo Día Internacional de la Seguridad de la Información. Hablamos sobre la historia de las vacaciones y las formas de celebrarlo.


/ foto Joe Grand CC BY

Dashing 80s: los orígenes de las vacaciones

En 1988, la organización sin fines de lucro ISSA (Information Systems Security Association) declaró el 30 de noviembre como Día Internacional de la Seguridad de la Información. Su idea principal es recordar la importancia de la ciber higiene.

La fiesta nació en 1988 no por casualidad, luego se produjo la primera distribución masiva del virus del gusano. Hace treinta años, los usuarios de APRANET , una red que era el prototipo de la Internet moderna, descubrieron que los programas en sus computadoras comenzaron a cargar lentamente, mientras que las máquinas no respondían ni siquiera a los comandos más simples. El culpable del colapso, que "paralizó" 6 mil computadoras (10% de toda la red), fue el gusano de la red Morris. Este fue el primer ataque cibernético masivo exitoso.

El ataque no fue deliberado; fue el resultado de un experimento que se salió de control. El creador del malware es el estudiante graduado de la Universidad de Cornell, Robert Morris. Trabajó en un programa que explotó una serie de vulnerabilidades conocidas de la época.

El virus Morris atacó las cuentas de correo electrónico de los usuarios de la red ARPANET, seleccionando contraseñas para el diccionario. El diccionario era pequeño, unas cuatrocientas palabras, pero era suficiente. En ese momento, pocas personas pensaban en la seguridad informática, y para muchos, el nombre de usuario a menudo coincidía con una contraseña.

Tras obtener acceso a la cuenta, el gusano utilizó una vulnerabilidad en el servidor de correo Sendmail para copiarse a través de la red. Sin embargo, se cometió un error lógico en el código, lo que llevó al hecho de que las computadoras fueron infectadas por el gusano muchas veces. Todo esto ralentizó su trabajo, agotando los recursos ya pequeños de los sistemas informáticos de la época.

Comenzaron a resolver el problema en el Instituto Berkeley. Los mejores expertos en protección de datos de Estados Unidos se reunieron allí. Comenzaron a analizar el código del gusano y neutralizar las consecuencias. Hoy, el disquete de malware se encuentra en el Museo de Ciencias de Boston, y el código se puede encontrar en el dominio público .

El daño total infligido por el gusano Morris se acercó a cien millones de dólares. Además del daño financiero, el incidente de noviembre tuvo otras consecuencias:

• Robert Morris se convirtió en el primer acusado en la nueva Ley de Abuso y Fraude Informático , aprobada solo cuatro años antes del incidente del gusano. Morris recibió tres años de libertad condicional.
• El ataque de gusanos primero atrajo la atención de los principales medios estadounidenses a las amenazas de red.
• Se creó la organización CERT (Equipo de respuesta ante emergencias informáticas). Funciona hasta el día de hoy, aceptando información sobre posibles agujeros y hacks en el sistema y publicando recomendaciones para su prevención.

Al mismo tiempo, el ataque del gusano Morris reveló el problema principal (que no ha perdido su relevancia hasta el día de hoy): las personas usan contraseñas simples. Quedó claro que era necesario crear conciencia sobre los problemas de seguridad de la información. Por lo tanto, se propuso un nuevo feriado internacional sobre el tema de la seguridad de la información.

Como celebrar este dia

Aunque las vacaciones ni siquiera están en el calendario de eventos de la AISS, a menudo se usan como una excusa para actualizar el conocimiento de los empleados de la compañía sobre la seguridad cibernética y para "inculcar" la higiene cibernética. Por ejemplo, aquí hay algunas "actividades" que deben llevarse a cabo en el trabajo (y en el hogar):

• Actualiza todo el software. Este simple paso ayuda a reducir el riesgo de piratear el sistema, ya que en la mayoría de los casos, los hackers explotan vulnerabilidades conocidas. Por ejemplo, podría haberse evitado una violación masiva de datos del buró de crédito Equifax: un parche para la vulnerabilidad que los ciberdelincuentes usaron fue lanzado dos meses antes del ataque .
• Cambiar contraseñas La contraseña más común sigue siendo "123456". Vale la pena usar una contraseña con letras de diferentes registros, así como números y caracteres especiales. Establecer y recordar contraseñas complejas fue más fácil, puede recurrir a aplicaciones especiales como LastPass o 1password.
• Discuta las reglas para trabajar con correo y mensajería instantánea. Por ejemplo, hable sobre la importancia de separar la correspondencia personal y laboral y discuta los peligros de la ingeniería social. Como referencia, puedes usar esta historia en Habré .

Si vas un poco mas lejos

Anteriormente, el Día de la Seguridad de la Información tenía un sitio web en el que los entusiastas reunían ideas para eventos corporativos para las vacaciones. Una opción es hacer una presentación y discutir temas de seguridad informática en una escuela o universidad local. Junto con los estudiantes, puede ver películas o programas de televisión relacionados con problemas de seguridad de la información.

Algunas compañías usan el Día de la Seguridad de la Información como una oportunidad para compartir información de protección de datos no solo con los estudiantes, sino también con el mundo. Por ejemplo, Springer publica acceso gratuito a literatura relacionada en este día.


/ foto Travis Isaacs CC BY

Si hay un deseo de hacer algo "duro", entonces el día de la seguridad de la información puede ser una ocasión para organizar concursos para piratear sistemas informáticos al estilo de Capture the Flag (CTF) .

En tales competiciones, dos equipos reciben un servidor o computadora portátil con varias aplicaciones y servicios. Estos servicios tienen una cierta cantidad de vulnerabilidades. Sabiendo esto, los participantes deben proteger la información en su sistema y capturar datos de la computadora del enemigo.

También se celebran competiciones de piratería de velocidad. Por ejemplo, un evento similar se lleva a cabo en la conferencia de hackers DEFCON. Este año, se pidió a los participantes que piratearan equipos de votación conectados a copias de sitios web oficiales. La victoria de este año fue ganada por Audrey Jones, de once años, evitando la defensa en 10 minutos.

En general, dicha actividad ayudará a atraer más atención a la alfabetización cibernética y le recordará la importancia de la higiene digital.

---

PD Varias publicaciones relacionadas de nuestro blog corporativo:

• Características de la autenticación de dos factores: ¿funciona en la nube IaaS?
• Efecto GDPR: cómo la nueva regulación ha afectado el ecosistema de TI
• Cómo probar la seguridad de las soluciones en la nube

PPS Sobre tecnologías de nube y virtualización de nuestro canal de Telegram:

• Por qué un buen proveedor de IaaS no construye su centro de datos
• Cómo elegir un proveedor de IaaS
• Cómo manejar la EP en Rusia y Europa