Segures a Internet
@xeviknal
Escola Germans Corbella
Gener'21
Xavier Canal
@xeviknal
- Enginyer del Software a Red Hat (IBM)
- 10+ anys treballant a Internet
- 10+ anys vivint la seguretat des del desenvolupament d'aplicacions
INTERNET?
Què us
@xeviknal
ESPANTA A
Escriviu al xat conceptes de seguretat a Internet que us fan respecte
Phishing
Ransomware
Estafes
Identitat digital
Contrasenyes
Cookies
Catfish
Núvol
Malware
Restrejadors
Tens una contrasenya que conté la data del teu naixement?
Tens una o dues contrasenyes per a tots els comptes a internet?
T'identifiques amb Facebook/Google en comptes noves?
NO ESTAS SOL!
@xeviknal
- 71% de comptes estan protegides per contrasenyes usades en múltiples pàgines web
-
59% usuaris han inclòs un nom propi o una data de naixement en les seves contrasenyes
- Es necessiten menys de 10 minuts per desxifrar una contrasenya de 6 caràcters
📚
Et fixes en quin protocol utilitza una web? HTTP(s)
Et fixes bé en els enllaços que reps abans d'obrir-los?
Et fixes bé en els remitents dels teus correus?
Et fa mandra actualitzar l'anti-virus?
IMPACTE?
@xeviknal
Abans de protegir-nos hem de saber què volen de nosaltres
@xeviknal
- Transaccions econòmiques
- Dades de les nostres targetes
- Dades comptes bancàries
- Comptes de cripto-monedes
@xeviknal
Informació:
- Posició en una organització
- Patrons d'ús d'una tecnologia
- Dades d'accés a altres actius de valor
@xeviknal
El teu temps
@xeviknal
Atacs a Internet
@xeviknal
Ciber Estafes
@xeviknal
Xantatge
Ciber Estafes
- Anàlisis del remitent
- Cerca de part del missatge a google
- Contacte amb els mossos
- Canviar contrasenya correu
- Usar un e-mail per comptes no importants
Identificació
Prevensió
📚
Engany
Ciber Estafes
Engany
Ciber Estafes
- Google Image Search
- Correu a Spam
- Apel·la a la pena
Identificació
📚
Engany
Ciber Estafes
- Inspecció remitent
- Interacció
- Urgència
Identificació
- Investigar compte atacada
Prevenció
- Evita danys per robatori de contrasenyes
- Actiu en comptes importants
Autenticació multi-factor
Scareware
Ciber Estafes
📚
Scareware
Ciber Estafes
📚
Ciber Estafes
- Subjecte digital que promet un tangible de valor a canvi d' una transacció
-
Objectiu:
- Obtenir credencials
- Obtenir targetes financeres
- Obtenir pagament
- Incrementar audiència (e-mail, fb like, instagram/twitter follow)
- Dades socials
@xeviknal
https://bit.ly/pago-rapido
Quin e-mail
us fa dubtar?
Rosalia,
Suplantació d'identitat
@xeviknal
L'aniversari
Suplantació d'identitat
- Usuari fraudulent utilitza la identitat d'una altra persona/organització per enganyar a tercers.
- PHISHING: és l'atac més comú per suplantar identitats.
-
Objectiu:
- aconseguir credencials o dades de targetes financeres.
- incidir en la reputació per aconseguir un benefici propi.
@xeviknal
Suplantació d'identitat
(Prevenció)
@xeviknal
- Anàlisis d' enllaços
- Inspecció de la URL
- Ús de finestra incògnita
- Anàlisis del contingut
Suplantació d'identitat
(Inspecció de URLs)
@xeviknal
Suplantació d'identitat
(Inspecció de URLs: protocol)
@xeviknal
- HTTPS - Protocol Web de seguretat
- Incrementa notablement la probabilitat de no ser enganyat
Suplantació d'identitat
(Inspecció de URLs)
@xeviknal
- Domini: Nom únic registrat a una persona o entitat física.
- Aquest ha de ser sempre el de referència i confiança.
- Usat per enganyar i donar falsa seguretat.
- gmaii.com
- f.acebook.com
- concurso-addidas.com
Suplantació d'identitat
(Inspecció de URLs)
@xeviknal
- Sub-domini: grup/especificitat de l'organització del domini.
- Pot ser utilitzat per enganyar i donar falsa seguretat
- sorteos-ama.zon.es
- rebajas.adi.das.com
- nike.xzystros.com
Suplantació d'identitat
(Navegador mode incògnit)
@xeviknal
Chrome: Ctrl + Mayus + N
Firefox: Ctrl + Mayus + P
Edge: Ctrl + Mayus + P
- Està net de dades de navegació.
- Elimina dades de navegació al tancar.
- No incrementa la teva privadesa.
- Exemple de fals enllaç:
Suplantació d'identitat
(Anàlisis de contingut)
@xeviknal
Sospita quan:
- El missatge no és molt típic del remitent
- Hi ha fitxers adjunts amb extensions poc comunes
- Missatge alarmista i crea sentit d'urgència
- Conté enllaços estranys
- Hi ha ofertes increïbles difícils de rebutjar
📚
Malware
- Software instal·lat sense permís explícit que executa operacions amb fins nocius.
-
Objectiu:
- Obtenir credencials
- Obtenir targetes financeres
- Obtenir pagament
- Incrementar audiència (e-mail, fb like, instagram/twitter follow)
- Temps d'execució del teu dispositiu
@xeviknal
Malware
Els atacs de programari maliciós mai funcionen sense un component clau:
@xeviknal
TU
Malware
Phishing + Scareware + Cuc + Barra lliure
@xeviknal
Malware
- Botnets: infecció d'un dispositiu per cometre atacs a la carta contra usuaris/plataformes
@xeviknal
- Infecció
- Espera per atacar
- Atac a distància
Malware
- Adware: incrementar nombre de publicitat en el teu dispositiu
- Spyware: monitoritzar un dispositiu
- Virus / cucs: afectar dispositius i replicar-se
- Ransomware: segrest d' un dispositiu
- Keylogger: enregistrament del teclat
- Cryptomining malware: ús del dispositiu per minar
- Exploits: increment de privilegis mitjançant errors en programes.
@xeviknal
Protecció
Malware
@xeviknal
- Sentit comú i molta atenció
- Buscar recomanacions online
- Verificar els processos d'instal·lació
- Ull al instal·lar extensions per a navegadors
- Ús i actualització d' Anti-virus
- Ús de bloquejador d'anuncis
📚
Recomanacions d'ús
@xeviknal
Controls Parentals
@xeviknal
📚
- Deshabilitar descàrregues
- Deshabilitar compres in-app
- Restringir accés apps
- Restringir comunicació a contactes
- Restringir contingut web
- Restringir ús en jocs
- Restringir ús de fotografies
Recomanacions d'ús
Recomanacions d'ús
Recomanacions d'ús
Resolució conceptes inicials
@xeviknal
Recursos
- Guies i material per a la familia:
- Anti-virus:
- Gestor de contrasenyes:
- He estat víctima d'una filtració de dades:
- Bloqueig anuncis
- Targeta Pre-Pagament Correos:
- Deshabilitador de rastrejadors:
- Buscador per imatges:
Recursos
- Guies i material per a la família:
- Guia d'ús control parental Apple:
- Guia d'ús control parental Android:
- Guia d'ús d' Internet de Google per famílies:
- Reflexions per a videotrucades:
- Recursos xtec
Gràcies
@xeviknal
Empremta Digital
- El rastre que deixen totes aquelles accions que un usuari fa al interaccionar amb Internet
-
Galetes: responsables de identificar usuaris/navegadors
- First-party
- Third-party (rastrejadors)
- Objectiu: vigilància continua, obtenir patrons de comportament, gustos i, en general, qualsevol informació que ajudi a una organització a predir/manipular comportament d'un usuari.
@xeviknal
Empremta Digital
@xeviknal
Empremta Digital
- Privacy Badger EFF extensió navegador
- Refusar cookies innecessàries
- Demanar acció als estats (EU)
@xeviknal
@kialiProject
Identitat Digital
- En el món físic la nostra gestió d'identitat té dos components:
- Organismes públics
- Ministerio de Interior - DNI
- DGT - Carnet de conduir
- Empreses
- Entitat bancaria - Targeta de credit
- Supermercat - Carnet de client
- Gimnàs - Carnet de membre
- Organismes públics
@xeviknal
@kialiProject
Identitat Digital
- A Internet qui gestiona la Identitat de la cada Persona?
- Entitats públiques dels estats:
- Certificat digital - Ministerio del Interior
- Entitats públiques dels estats:
- Entitats privades:
- Cada web a internet mitjancant:
- email/nickname
- contrasenya
- OAuth - protocol de delegació d'accés
- Facebook / Google / Apple Connect
- Cada web a internet mitjancant:
@xeviknal
@kialiProject
Identitat Digital
Que implica l'ús dels botons de "Connect"?
- Únic punt de fallida: si obtenen accés al teu Google/Facebook tenen accés a tots els serveis enllacats.
- Estem delegant "gratuïtament" la funció de gestor d'identitats (Ministerio de Interior) a aquestes tecnològiques.
- Estem regalant informació d'ús de les nostres tecnologies i serveis a aquests gestors de identitats
- Quins serveis utilitza l'usuari?
- En quins moments en fa ús?
- Entre moltes d'altres
@xeviknal
@kialiProject
Eines de verificació
- Comprovar ús de HTTPS
- Analitzar la URL sempre
- exemple de fals enllaç: www.google.com
- concurso_amazon.es / con.curso-addidas.com
- Visitar la pagina "legal"/"empresa" per buscar els registres mercantil, NIF, o identificacions fiscals.
- https://haveibeenpwned.com/
- LastPass - pasword manager. Good Master password.
- Password rotation
- Conversacions honestes sobre us de tecnologies
- Targeta de prepagament (evitar sorpreses)
@xeviknal
Segures a Internet
By Xavier Canal Masjuan
Segures a Internet
La tecnologia esta evolucionant molt ràpidament. Tant, que no tenim temps a adaptar-nos a tot el que els nous contexts que crea. Anem a veure a quins riscs i perills ens exposem al conviure amb la tecnologia, i especialment, a Internet.
- 105