Eka, 06
2012
Aplikazioak, kontzeptuak, Pribatutasuna, Segurtasuna

Zifratzea, gure datu pribatuak babesteko

Gure informazioa gordetzeko erabiltzen dugun gailuren bat galtzen dugunean (smartphone, ordenagailu eramangarri, tableta, USB flash memoria edo disko gogorren bat), izaten dugun lehen nahigabea gailua bera galdu izana da. Baina izan daiteke gailuak gordetzen duen informazioa gailua bera baino askoz ere baliotsuagoa izatea. Gure gailuekin arduratsuak izanda ere, ezin dezakegu alde batera utzi gure informazioa nahi ez dugun baten atzaparretan erortzeko arriskua. Beraz, gure gailua galtzen badugu edo ebasten badigute, gure informazioa aurrez babestea da hartu beharreko neurri bat. Horretarako, datuak zifratu ditzakegu. Zifratzea erraz ezar daitekeen teknika bat da, eta, gainera, kasu gehienetan doan egin daitekeena. Computer key

Datuak zifratzeko, irakurgai den formatu batean dagoen datu bati algoritmo bat ezartzen zaio, eta, horren ondorioz, zifratze gakoa ez duen edonorentzat ulergaitza den datu bat sortzen da (datu zifratua). Zifratzeko prozedura fitxategi, dokumentu, karpeta, disko gogor edo flash moduko USB gailu batean ezar daiteke, eta, esan bezala, zifratze gakoa duenak bakarrik desegin ahal izango du datuari zifratze bidez jarritako giltzarrapoa.

Gailu eramangarrietan zifratzea erabiltzeak izan ditzakeen onurak erakusteko, bi adibide jarriko ditugu.

  • Lehenengoa: Lan jarduera dela eta, hegazkin bidaia egin beharrean gara, eta enpresaren ordenagailu eramangarria daramagu gurekin. Ordenagailu eramangarri horretan, bezero batekin izan ditugun harremanen berri ematen duten posta elektronikoko hainbat mezu eta fitxategi daude, guztiak ere oso sekretu eta isilpean gordetzekoak. Aireportuan itxaroten gaudela, momentu batez, eramangarria lurrean utzi eta ahaztu egin dugu. Gure eramangarria inork ostu eta martxan jartzen badu, eta gure eramangarri horren disko gogorra erabat zifratua badago, lapur horrek ez du bertan dagoen informazioa lortzeko modurik izango. Eramangarriaren disko gogorra bertatik atera eta beste ordenagailu batean konektatzen badu ere, ez da bertako informazioa lortzeko gai izango. Ordenagailu eramangarria aipatu badugu ere, berdin-berdin erabil genezake telefono adimendun bat edo tabletaren moduko gailuren bat ere.
  • Bigarrena: Gurekin eramaten ditugun zenbait gailu (flash memoriak, kanpoko disko gogorrak, telefono adimendunak) galdu eta bertan gordea dugun informazioa edonoren esku geldi daiteke. Gerta daiteke zenbait argazki txatxu besterik ez gordetzea gailu horietan. Edo benetan guretzat pribatu eta babestu beharreko informazioa eraman dezakegu bertan, inondik inora publiko egin ezin dena. Egoera horiek saihesteko, datuen enkriptazioa irtenbide ona izan daiteke.

Datuak enkriptatzeko orduan, gailuaren arabera hainbat aukera ditugu.

Mahai gaineko ordenagailuetan eta ordenagailu eramangarrietan, sistema eragileak gehienetan enkriptazio tresna propioak eskaintzen ditu. Microsoft Windows Vista eta Windows 7 sistema eragileetako bertsio jakin batzuetan, adibidez, BitLocker eskaintzen da. Tresna horiek ez dira libreak gehienetan, eta, horren ondorioz, ez dugu lana nola egiten duten jakiteko modurik. Zifratze software batek lana nola egiten duen jakiterik ez badugu, susma dezakegu zifratze software horrek datuak deszifratzeko modu bat ere eskain diezaiokeela defentsa edo segurtasun erakunderen bati. Iturburu kodea irekia duen software batek agerian uzten ditu bere zifratze metodoak. Beraz, azterketa bat egiteko gai den edonork beha dezake software horren lan egiteko modua, eta, printzipioz, haren algoritmo eta prozedurak publikoak direnez, haren zintzotasunaren gainean berme handiagoa izan dezakegu.

TrueCrypt da software libreak eskaintzen duen zifratze tresna ezagunenetako bat. Windows, Mac OS eta Linux sistema eragileetan erabil daiteke, eta doan eskaintzen da. TrueCrypt erabiliz, gure ordenagailuaren disko gogor osoa, zatiketa bat edo USB giltza bat zifratu dezakegu hainbat zifratze metodo erabiliz.

Beste gailu eramangarri batzuetan ere posible da datuen enkriptazioa burutzea. Apple enpresaren iPhone eta iPad tabletetan, haren tresna bat eskaintzen da datuak zifratzeko. Gailuaren ezarpenetan gaitzen da, eta datuen ezabaketa ere ezar daiteke hainbat aldiz pasahitz edo gako okerra sartzen bada. Android darabilten smartphone-etan ere bada enkriptatzeko aukerarik. Droid Crypt da ordainpeko aukeretako bat, eta WhisperCore betan —oraindik erabat amaitua ez dagoena— dagoen beste bat. Android darabilten tabletetan, 3.0 (Honeycomb) bertsiotik aurrera enkriptazio aukera propioa eskaintzen da. RIM enpresaren Blackberryek ere, Appleren gailuen moduan, beren enkriptazio tresna eskaintzen dute.

Ikusi dugunez, hainbat aukera dugu gure datuak enkriptatzeko orduan. Gure enkriptatzeko gakoak sortzerakoan, erasotzaile bati gauzak zailtzeko, inongo hiztegietan ez dagoen hitz luze eta korapilatsuren bat hautatzea komeni da: zenbaki eta letrak, maiuskula eta minuskulak nahasten dituena.

Mai, 09
2012
Internet, Pribatutasuna

Ingeniaritza soziala, gure pribatutasunaren etsai

Segurtasun informatikoaren esparruan, ingeniaritza sozialari buruz hauxe dio Wikipediak: ingeniaritza soziala erabiltzaileak manipulatuz isilpeko informazioa eskuratzean datza. Ingeniari sozialak Internet edo telefonoa erabiltzen du biktima engainatzeko eta, ondorioz, isilpeko informazioa lortzeko (pasahitzak, kontu korronte gakoak…) edo hark legez kanpoko zerbait egin dezan lortzeko.

Segurtasun informatikoari dagokionez, punturik ahulena erabiltzaileak direla esan ohi da. Hori dela eta, askotan erasorik errazena ere ingeniaritza soziala izan ohi da.

Interneten segurtasunaz ari garenean, garbi dugun gauza da ezer eta inor ez dagoela erabat salbu. Antibirus eraginkorrena izanda, ederto konfiguratutako suhesi bat erabiliz edo gure kontuetako pasahitzetan kate luze eta korapilatsuak erabilita ere, erabiltzaile gisa, gu gara segurtasun katean kate-mailarik ahulena.

Sistemei erasotzeko asmoarekin, gizakion ahulezia aprobetxatzen du ingeniari sozialak, eta, horretarako, hainbat teknika erabiltzen ditu. Ingeniaritza soziala arte bat dela ere esan daiteke; iruzurra eta nahasketa tresna gisa erabiltzen dituen ahalegina, hain zuzen ere.

Pirata informatikoek sistemetako softwarearen ahuleziak aprobetxatzen dituzten bezala, badira pertsonak limurtu eta maneiatzen trebeak direnak, eta gizakion ahuleziak aprobetxatuz, hainbat sistematarako sarbideak lortzen dituzte: sare sozialetako kontuak, posta elektroniko kontuak, kreditu txartelen zenbakiak eta, orokorrean, pribatua izan daitekeen edozein informazio.

Kevin Mitnick da ingeniari sozial ezagunenetako bat, eta, haren aburuz, ingeniaritza sozialaren ardatz nagusiak gizakiok ditugun lau joeratan oinarritzen dira: denok dugun laguntzeko joera, besteengan konfiantza izateko joera, ezetz esatea ez zaigula gustatzen, eta denoi laudatuak izatea gustatzen zaigula. Kevin Mitnicken bizitzan oinarritutako pelikula da Takedown, eta horretan, ingeniaritza sozialean erabiltzen diren hainbat teknika erakusten dira.

Eraso horiei aurre egiteko modurik eraginkorrena prebentzioa eta ezagutza direnez, hurrengo lerroetan, gure datuak eskuratzeko erabiltzen diren zenbait metodo azalduko ditugu: phishing, vishing eta baiting.

‘Phishing’

Phishing-a ingeniaritza sozialak gehien erabiltzen duen eraso modua dugu. Phishing erabile- ra ohikoena iruzur egiteko posta elektronikoa baliatzen duena da.

Horrelako eraso bat egiteko, normalean, biktima nahastuko duen Interneteko domeinu baten jabe egiten da erasotzailea. Adibidez, banketxe baten URL edo helbidearen antzekoa den beste helbide baten jabe egingo da erasotzailea, eta biktimak antzeko helbide horretara sartzera gonbidatuko ditu, aitzakiaren bat erabiliz. Antzeko helbide horretan, banketxearen orrien itxura berdina duen orri bat ikusiko du erasandako pertsonak, eta oharkabean, bere erabiltzaile izena eta pasahitzak sartuko ditu eta gure erasotzaileak erabiltzailearen datu pribatuak eskuratuko ditu.

Horrelako eraso saioak ugariak dira. Hainbat mezu elektroniko jasotzen ditugu, gehienbat bezero ez garen ustezko banketxeenak, eta haietan guztietan, gure erabiltzaile izena eta pasahitzak sartzeko eskatzen zaigu, egiaztatu behar direlako aitzakiarekin.

Zorionez, phishing-a atzemateko metodorik errazena ere bada, eta gehienetan, erabiltzen ditugun posta zerbitzuak iruzur mezu horiek iragazteko trebe izaten dira. Dena den, kontuan izan behar dugu, banketxeek behin eta berriro gogorarazten diguten bezala, ez digutela sekula bidaliko posta elektroniko bidez gure sarbideak egiaztatzeko eskakizunik.

‘Vishing’

Vishing izenekoa phishing-aren antzekoa da; helburua bera izanik, posta elektronikoa eta webgune faltsu bat erabili beharrean, telefono dei bat erabiltzen da.

Vishing modu arruntena hau da. Biktimak dei automatiza- tu bat jasotzen du, eta adieraz- ten zaio bere kreditu txartela berraktibatzeko telefono zenbaki batera deitu behar duela. Telefono dei bat jaso beharrean, posta elektronikoko mezu bat ere jaso daiteke, eta telefono zenbaki batera deitzeko gonbita egiten zaio.

Telefono deiari edo posta mezuari jaramon egiten dion pertsonak, jaso duen telefono zenbakira deitu, eta makina baten erantzuna jasoko du normalean, eta kreditu txartelaren datuak eskatuko dizkio.

Inkesta edo lortutako sari baten aitzakiarekin ere, erasotzaile batek gure datu pribatuak lortzeko hainbat galdera egin ahal dizkigu.

‘Baiting’

Metodo honek gizakiok dugun ahultasun edo bertuterik handienetako bat aprobetxatzen du: jakin-mina. Erasotzaile batek, nahita, USB giltza edo CD moduko disko bat utz dezake edozein izkinatan norbaitek aurki dezan. Gailua aurkitzen duen pertsonak ordenagailura konektatzen badu, gailu horretan dagoen software gaizto batek ordenagailua kutsa dezake, gure komunikazioak zelatatuko dituen programa ezkutu bat instalatuz.

Eguneratutako antibirus bat izatea baiting-aren kontrako neurri eraginkorra izan badaiteke ere, kontu handia izan behar da jatorri zalantzagarria duen edozein gailu ordenagailura konektatzeko orduan.

Abe, 20
2010
Pribatutasuna

Espioitza digitala

RFIDAsmakizun eta aurrerapen askorekin bezala, informazio eta komunikazio teknologiak, ez dira ez onak ez txarrak. Asmakizun bera baino, erabilera izan ahal da ona edo txarra. Izan ere, baliabide eta jakintza gehiago eduki ahal izatea ona izaten da. Baina baliabide eta jakintza horietaz baliatzen diren gizakiek batzuetan ez dute erabilera ona egiten. Informazio eta komunikazio garai honetan, edonoren eskura daude nahi beste informazio eta datu, «Interneten denetarik dago» esan ohi da. Baina babestu beharreko informazioa eta informazio pribatua ere askotan teknologia hauen eskura gelditzen da informazio horren jabearen jakin edo baimenik gabe.

Internet eta informatika enpresa erraldoiak

Beste batzuetan esan den bezala, sare sozialek beren erabiltzaileen inguruko informazio itzela gordetzen dute, erabiltzaileen datuak, gogoetak, egoerak, argazkiak, bideoak, loturak, ezagunak eta harremanak gordetzen dituzte esaterako. Erabiltzaileen kokapena ere gordetzen dute kasu askotan. Adibidez, Facebook, oso kritikatua izan da azken aldi honetan erabiltzaileen pribatutasuna ez zaintzeagatik behar beste.

Zer esanik ez Googleren inguruan, ia mundu osoko Internet erabiltzaileen kopuru izugarri baten bilaketak, bisitatutako webguneak, gustuak, mezu elektronikoak, kontaktuak, gogoko lekuak, dokumentuak, hitzorduak, gogoko artikuluak eta abarreko datuak gordetzen ditu. Era berean, erabiltzaileen ohitura digitalak eta noiz eta zenbat denboraz konektatuta dauden ere jakin lezake. Honez gain, egun, sakelako telefonoetarako Android, Googleren sistema eragilea, ere oso hedatuta dago, beraz, norberaren kokapena ere jakin lezake nahiz eta telefonoaren GPSa desgaituta izan.

Hala ere, informazio hau guztia oso delikatua eta erakargarria izan arren, sare sozialen kasuan batez ere, nolabait erabiltzaileek ematen duten informazioa da. Nahiz eta askotan ez izan oso kontziente ematen ari den informazio guztiaz. Baina, batzuetan erabiltzailearen baimenik gabe eskuratu ahal da informazioa. Hain zuzen ere, malware kopuru handi bat horretarako garatzen da, troiatarrak, spywarea, phising teknikak. Alabaina, malwaretzat jotzen ez diren aplikazio eta sistema eragileak ere erabiltzailearen baimenik gabe zurrupatu ahal dute informazio pribatua. Erabiltzaileak aplikazioa helburu zehatz baterako erabil dezake eta aplikazio honek ere beste gauza batzuk ere egin ditzake ezkutuan. Adibidez, musika entzuteko aplikazio batek erabiltzaileak entzuten duen musikaren inguruko informazioa bidal liezaioke enpresa edo pertsona zehatz bati. Mesfidantza edo zurrumurru hori informatika erabiltzaileen artean hedatu da hainbat alditan informatika enpresa erraldoien aplikazio eta sistemen inguruan, baina ezer frogatu gabe. Hala ere, hau gertatzen ez dela frogatzea errazagoa da software librearen kasuan software itxiaren kasuan baino, aplikazio eta sistema libreetan zehatz-mehatz zer egiten den aztertu daitekeelako.

ECHELON

Espioitza digitala aipatutakoan, ECHELON izena etorriko zaio burura jende askori. Izan ere, ECHELON espioitza nazioarteko sarerik handienatzat jotzen da. Hain zuzen ere, sare hau irrati, telefono, fax eta internet komunikazioak zurrupatzeko eta automatikoki aztertzeko gai da. AEBk, Erresuma Batuak, Kanadak, Australiak, Zeelanda Berriak kontrolatua omen da. ECHELON 1976.urtean aipatu zen lehen aldiz publikoki. Hona hemen informazio gehiago: http://eu.wikipedia.org/wiki/ECHELON

RFID

IzenaEspiotza digitalaren inguruan aipatu daitekeen beste gai bat RFID txipa da. RFID hitzak, Radio Frequency Identification esan nahi du ingelesez, alegia, irrati-maiztasunaren bidezko identifikazioa. RFIDren bitartez edozein motatako objektuak irrati-maiztasunaz (uhinen bitartez), hau da kontaktu zuzenik gabe, identifikatzeko sistema da.

RFID txartelen tamaina txiki-txikiari esker, leku ezkutuenetan ezar daitezke, eta eramangarriak dira. Pegatina baten itxura dute eta pegatinaren barnean espiral moduko bat ikus daiteke, hori RFIDren antena da. Espiral hau konektatuta dago erdian dagoen RFIDren txiparekin. Egun, leku eta artikulu askotan erabiltzen da eta Euskal Herriko edozein merkataritza-zentrotako produktuetan ikus daiteke. Artikuluei jartzen zaien RFID honek ahalbidetzen du lapurretez ohartaraztea edo stock eta produktuen kokapena automatizatzea, esaterako.

Alabaina, RFID sistemekin, posible da merkataritza-ikerketak egitea, erosleen jarraipena egitea eta kontsumitzaileen ohiturak aztertzea, bezeroaren inolako baimenik gabe.

RFID teknologia hau, merkataritza-produktuetan ez ezik, beste objektu are delikatuagoetan ere txerta daiteke, pasaporteetan, nortasun agiri elektronikoetan edo billeteetan, esaterako. Hemen ikus daiteke informazio gehiago: http://eu.wikipedia.org/wiki/RFID.

1 2 3