1

Com pujar el nivell de conscienciació als riscos de seguretat als centres d’ensenyament?

Les matèries que tractarem

1. Algunes dades d’on estan les amenaces
2. Contrasenyes: polítiques i aplicacions de gestió
3. Protecció del dispositius
4. Navegació i cerca segures
5. Mecanismes de seguretat a les wi-fi Públiques
6. Seguretat i privacitat als smartphones /tauletes
7. Els comportament i l’entorn escolar

Un planeta connectat que ja no s’entén sense Internet

FONT: World Development Report (WDR 2016)

43% del planeta connectat

3.200.000.000 usuaris

​

7.426.000.000 població

​

FONT: https://fbnewsroomus.files.wordpress.com/2016/02/state-of-connectivity-2015-2016-02-21-final.pdf

Un planeta connectat que ja no s’entén sense cobertura mòbil

Cada vegada més serveis i que van més ràpids

La ciberseguretat es fa cada cop més imprescindible arreu

Governs i grans empreses que s’han de protegir del sabotatge exterior a les infraestructures crítiques (energia, comunicacions, aigua, ...)

Bancs i empreses que han de protegir d’atacs cada cop més intensos i complexes als seus actius econòmics

Institucions públiques o privades que perden dades crítiques o reben ciberextorsions

econòmiques

Persones anònimes o celebritats que els prenen dades molt sensibles dels seus comptes

i és una situació a la que tots estem exposats dia a dia

Contrasenyes: Polítiques i aplicacions de gestió�

123456

password

12345

12345678

qwerty

123456789

1234

baseball

dragon

football

1234567

monkey

letmein

abc123

111111

mustang

access

shadow

master

michael

superman

696969

123123

batman

trustno1

123456

password

12345678

qwerty

abc123

123456789

111111

1234567

iloveyou

adobe123

123123

sunshine

1234567890

letmein

photoshop

1234

monkey

shadow

sunshine

12345

password1

princess

azerty

trustno1

000000

123456

password

12345678

qwerty

12345

123456789

football

1234

1234567

baseball

welcome

1234567890

abc123

111111

1qaz2wsx

dragon

master

monkey

letmein

login

princess

qwertyuiop

solo

passw0rd

starwars

2013

2014

2015

123456

password

12345

12345678

qwerty

123456789

1234

baseball

dragon

football

1234567

monkey

letmein

abc123

111111

mustang

access

shadow

master

michael

superman

696969

123123

batman

trustno1

123456

password

12345678

qwerty

12345

123456789

football

1234

1234567

baseball

welcome

1234567890

abc123

111111

1qaz2wsx

dragon

master

monkey

letmein

login

princess

qwertyuiop

solo

passw0rd

starwars

Contrasenyes: Polítiques i aplicacions de gestió�

FONT:http://xkcd.com/936/

� GUIT019-C Guia de contrasenyes

• Construcció de les contrasenyes
• Les contrasenyes hauran de tenir una longitud mínima 8 caràcters.
• Han de contenir obligatòriament almenys un caràcter de cada un dels següents grups:

numèric

alfabètic (majúscules i minúscules)

i, si el sistema ho permet, caràcters especials * + $ & # @ - ! % ^ * ; ( ) { } [ ] < > ? /_

• No poden ser formades únicament per paraules de diccionari o altres fàcilment predictibles o associables a l’usuari (identificador d’usuari, inicials o nom de l’usuari, noms de família, direccions, matrícules, etc.).

​

FONT: https://portal.cesicat.cat

Requisits mínims que garanteixin la robustesa del sistema:

D’obligat compliment en l’àmbit dels Serveis TIC de la Generalitat

{

� GUIT019-C Guia de contrasenyes

• Confidencialitat de les contrasenyes
• És responsabilitat de l’usuari mantenir les contrasenyes en secret.
• La contrasenya és d’ús exclusiu de l’usuari al qual pertany.
• No poden ser escrites ni enviades via correu electrònic sense xifrar.
• Si és necessari emmagatzemar les contrasenyes en un registre, aquest ha de ser xifrat i amb l’accés controlat només a les persones autoritzades.
• Mai no es donarà la contrasenya a un usuari administrador. Aquest disposa de les eines per canviar-la, sense necessitat de conèixer la contrasenya vigent.
• No utilitzar en l’àmbit professional les mateixes contrasenyes que es fan servir a nivell particular.

FONT: https://portal.cesicat.cat

Requisits mínims que garanteixin la robustesa del sistema:

D’obligat compliment en l’àmbit dels Serveis TIC de la Generalitat

� GUIT019-C Guia de contrasenyes

• Lliurament de les contrasenyes per persones autoritzades
• Les contrasenyes s’hauran d’entregar de manera segura als usuaris. No es podran usar missatges de correu electrònic sense xifrar. Son mètodes vàlids per l’entrega: Entrega personal, correu electrònic xifrat, correu postal o missatgeria, correu intern precintat.

FONT: https://portal.cesicat.cat

Requisits mínims que garanteixin la robustesa del sistema:

D’obligat compliment en l’àmbit dels Serveis TIC de la Generalitat

​

També seguir: Guia de gestió de comptes d’administració de sistemes

• Vigència i canvi de contrasenyes
• 90 dies. O períodes inferiors quan s’exposa a xarxes públiques o siguin vulnerables a atacs de força bruta.
• Cal avisar que la contrasenya caduca.
• No es poden reutilitzar les últimes 10 contrasenyes.
• Validar la qualitat de les contrasenyes abans d’acceptar-la.
• Cal canviar la contrasenya a la primera connexió que realitzi l’usuari al sistema, i sempre que s’hagi produït reinicialització de la contrasenya per part de l’administrador.

​

​

Contrasenyes: Polítiques i aplicacions de gestió�

13

APLICACIÓ AULA. Construïm una contrasenya robusta

OBJECTE PROPER

NOM DE LLOC

CONCEPTE ABSTRACTE

+

+

COMPROVA-HO!

https://howsecureismypassword.net/

ALGUNA MAJÚSCULA?

ALGUN NÚMERO?

ALGUN SÍMBOL ESPECIAL?

agenda

caixa

got

llibre

llit

mòbil

pinta

sabó

Besòs

Clot

Drassanes

Gornal

Montjuïc

Rambla

Sants

Sarrià

alegre

barat

divertit

grup

lila

savi

simple

vermell

8

8

8

8^{^}3= 512

Amb canvi ordre 6*8^{^}3= 3.072

SEGREGACIÓ DE FUNCIONS

Les operacions d’alt risc no haurien de poder ser realitzades de principi a fi per una sola persona.

ALTES I PERMISOS D’USUARIS

Decidits pel Responsable del servei i sempre aplicant el principi de “necessitat de saber”. Gestió de baixes i vacances.

CONSTÀNCIA D’AUTORITZACIONS

Cal guardar documents que autoritzen els permisos existents als usuaris per a sol·licituds d’auditors. Mai per telèfon.

BAIXA DE PERMISOS

No hem de demorar la baixa de persones que ja no hi són. Anualment cal fer una revisió dels permisos existents.

Gestió de comptes d’usuari i permisos

Protecció del dispositius

Normes en l’ús de les TIC - L’estació de treball

XARXA COMPARTIDA

Fes ús de les unitats de xarxa compartida i evita la unitat local.

BLOCA-LA!

No deixar-la mai desatesa. Si t’absentes del teu lloc de treball: BLOCA-LA!

ORIENTACIÓ DE L’ESTACIÓ DE TREBALL

En l’atenció al públic, cal orientar-la de manera que aquest no puguin visualitzar la informació i/o les dades personals.

AL FINAL DE LA JORNADA, APAGA-LA!

Amb el reinici s’apliquen les polítiques de seguretat noves.

USAR SEMPRE EINES CORPORATIVES

Si no disposem d’eines, demanem-les. (no usar p.e. DROPBOX)

Protecció del dispositius

• No s’ha de desactivar o inhabilitar l’antivirus. Fer cas dels seus avisos.
• No s’han de connectar a aplicacions de xats o qualsevol

aplicació interactiva “peer-to-peer” o p2p

• No s’ha de navegar per pàgines perilloses no necessàries per les funcions encomanades dins del centre.
• No s’ha de propagar fitxers que estiguin infectats des de / als sistemes del Departament.
• No s’ha de connectar a la xarxa del Servei i utilitzar una estació de treball sense tenir instal·lada la solució d’antivirus.
• No s’ha de treballar amb comptes amb privilegis d’administració sobre l’estació de treball per tal d’evitar que virus o troians utilitzin aquests permisos per propagar-se a través de la unitat de disc i la xarxa en general.

Precaucions respecte riscos de seguretat

Protecció del dispositius

ENGINYERIA SOCIAL

Mètode que consisteix en obtenir informació confidencial amb enganys als usuaris legítims d’aquesta informació.

​

Per augmentar la persuasió, els atacants obtenen prèviament informació de la víctima (mitjançant les dades públiques presents a internet o amb enganys previs). Pretenen guanyar confiança com si coneguessin l’Entitat, les operacions, unitats i persones.

PHISHING

És una pràctica exercida a través d'Internet consistent a suplantar la identitat electrònica d'una organització determinada amb l'objectiu de convèncer algú perquè reveli informació confidencial que posteriorment serà utilitzada amb finalitats fraudulentes.

Protecció del dispositius

APLICACIÓ AULA. Identifiques on hi ha la trampa?

http://bit.ly/xxxxxxx+

APLICACIÓ AULA. Identifiques on hi ha la trampa?

APLICACIÓ AULA. Identifiques on hi ha la trampa?

Navegació i cerca segures

AV Comparatives

http://chart.av-comparatives.org/awardslist.php

​

https://lignux.com/rompiendo-mitos-los-virus-en-gnu-linux-son-como-las-brujas-no-existen-pero-que-las-hay-las-hay-eso-es-seguro/

https://help.ubuntu.com/community/Antivirus

Navegació i cerca segures

www.google.cat/trends

www.google.cat/advanced_search

twitter.com/search-advanced

http://www.mywot.com/

​

App: Mobile Security & Protection

WOT services Ltd

Navegació i cerca segures

• Navegadors compatibles multi-dispositiu amb diferents versions en funció del sistema operatiu.

​

• Actualització de complements de navegació.

Qualys Browser Check

Mozilla Plugin Check

​

• Eines de validació: permeten validar l’estat d’actualització i vulnerabilitat dels programes instal·lats de forma fàcil i dóna accés als pedaços de programes necessaris.

FileHippo Update Checker

Opcions: Secunia PSI

Comodo Programs Manager

​

​

• Actualitzacions automàtiques:

WINDOWS Update

MAC (Apple Programs Update)

LINUX (gestor de paquets versions)

IOS App Store o itunes

ANDROID Google Play

FONT: StatCounter

Navegació i cerca segures

Ctrl+Maj+N (Windows, Linux i Chrome OS) i

⌘-Maj-N (Mac) 

Mode incògnic

Navegació i cerca segures

Els problemes:

​

• Els dispositius connectats a la xarxa estan exposades si l’atacant hi ha accedit.
• Els protocols de xifrat més utilitzats (WEP) es trenquen, fent totalment ineficaç l’ús d’aquest protocol de xifrat a la pràctica.
• La gran debilitat de les xarxes sense fils ve pel descobriment dels algoritmes utilitzats pels fabricants i proveïdors d’accés per generar la clau d’accés establerta per defecte.

Mecanismes de seguretat a les Wi-fi Públiques

Les solucions:

• Canviar la contrasenya establerta per defecte pel fabricant.
• Utilitzar xifrat WPA2 amb contrasenya robusta (llarga +16 caràcters, amb majúscules, minúscules, símbols). Si algun dispositiu de la xarxa no el suporta, utilitzar com a mínim WPA, però mai WEP.
• Canviar el nom de la xarxa sense fils (SSID). Dificulta a l’atacant conèixer la informació necessària per intentar introduir-se a la xarxa.
• És possible amagar la difusió d’SSID, cosa que evita que el router estigui enviant constantment paquets “sonda” (beacons) per anunciar l’existència de la xarxa a qualsevol que estigui escoltant. Això obliga a configurar manualment el nom de la xarxa en cada dispositiu que es vulgui connectar.
• El filtratge per adreça física (MAC) pot ajudar a aturar o retardar a atacants sense molts coneixements. Però cada vegada que es vulgui connectar un nou dispositiu cal saber l’adreça MAC i afegir-la manualment a la llista o amb pulsació d’un botó físic al router. Llista a Maintenance -> Wireless LAN -> Association list.
• Configurar rangs 192.168.x.x o com servidor DNS (per filtrar contingut o Ips malicioses OpenDNS o Norton DNS) per dificultar accessos a la xarxa a nivel lògic amb configuració del router.

Mecanismes de seguretat a les wi-fi Públiques

​

interfície web de configuració del router

FONT: http://internetsegura.cat/wp-content/uploads/2015/09/Assegura-el-router.pdf

IMPRESCINDIBLE

1. Apagar el router wi-fi quan no s’utilitzi la connexió
2. Reduir la potència de la xarxa sense fils
3. Protegir amb seguretat física al router

https://www.youtube.com/watch?v=bzoEy-t8Y-8

APLICACIÓ AULA? Quines connexions wi-fi són segures?

kati@gmail.com

3nS3unN1U

Llegiu les condicions del servei

i si xifra amb WPA

http://internetsegura.cat/wp-content/uploads/2015/09/Assegura-el-router.pdf

Aplicació de seguretat en els dispositius mòbils des del punt de vista de l’usuari final

Els virus mòbils: apps infectades de malware

• Quicksand

• XcodeGhost

• YouMi

• MobiSage

+24%

trimestre

Els virus mòbils: apps infectades de malware

Les Apps recopilen la teva informació

Ajustaments per defecte a ANDROID�

Apagar la recuperació automàtica de MMS

​

A través d’un video enviat per MMS es pot fer un atac pel mecanisme libStageFright que aprofita la preparació d’autoexecució dels vídeos per fer altres processos al mòbil sense el propietari saber-ho.

​

Els mòbils amb Android 4.0 o superiors ja no els afecta.

Actualització de l’smartphone amb regularitat�

• La implementació d'actualitzacions a mesura que estiguin disponibles és una de les millors maneres de protegir el dispositiu contra atacs.

Obrir els missatges només de coneguts

No acceptar missatges de text que provenen de persones desconegudes. Textos amb missatges desconeguts poden intentar infectar-nos amb enllaços.

SMiShing (SMS phishing)

Obrir missatges només de coneguts

Textos de nombres desconeguts poden ser intents d'infectar el dispositiu o explorar alguna vulnerabilitat desconeguda.

RANSOMWARE

RATs (Remote Access Tool)

APTs (advanced persistent threat)

Utilitza botigues oficials d’Apps i de confiança

• És important informar-se de la seguretat, la invasió de la privacitat i la fuita de dades de cada aplicació que s’usa. Cal llegir condicions d’ús i aspectes legals associats.

Pren precaució si t’enganyen al mòbil

• L’enginyeria social també actua com a element de confusió i atac. No hem de clicar enllaços en correus electrònics o SMS que no esperem rebre.
• Cal tenir present que sovint s’usen sistemes d’enviar missatges a través d’usuaris coneguts/legítims però que al ser infectats no saben que propaguen malware a coneguts.

Esquers usats de forma més freqüents.

Les marques que s'han usat per fer clic (phishing) i prendre les credencials.

Utilitzem programes de seguretat integral

• Instal·lem programes antivirus per protegir-nos d’amenaces.
• Estem alertats d’aplicacions que fan activitats sospitoses des del punt de vista dels permisos del dispositiu.
• Informem-nos de connexions potencialment insegures. (wi-fi, Bluetooth...)

Predicció en l’ús d’apps al mòbil

https://www.lookout.com/

​

SECURETAT I ANTIVIRUS

• Escaneja Apps: protecció de virus, malware, adware i spyware

CÒPIA I RESTAURACIÓ

• Backup: fa una còpia amb els contactes de google

• Baixa contactes a un ordinador per passer-los a un nou dispositiu

TROBAR EL DISPOSITIU

• Localitzar i cridar: mapa d’on és i fer que soni

• Flama: guarda la localització quan la bateria és baixa

Funcions prèmium:

+ Lock & Wipe: remotament bloqueja el dispositiu, publica un avís o esborra dades

+ Safe Browsing: Bloca URLs perilloses

+ Privacy Advisor: veure què fan les aplicacions amb les dades personals del mòbil

Your Online Choices

APLICACIÓ AULA? Qui hi ha al darrera de les Apps i les cookies?

https://chrome.google.com/webstore/detail/youronlinechoices-persist/pbnjoahdkcfoagmplfghakflnofikibm.

https://addons.mozilla.org/en-US/firefox/addon/your-online-choices-plugin/

​

http://www.youronlinechoices.com/es/preferencias/

Els anuncis a Internet basades en el comportament: gestió de galetes

http://www.youronlinechoices.com/es/extension-del-navegador-beta/

Ús d’Internet, xarxes socials i comportaments

Penetració ús d’ordinador per edat i sexe

Ús d’Internet i xarxes socials per edat i sexe

47

Nois Noies 2n ESO 4t ESO

FONT: Sobrepantalles.net

J. Bernabeu i I. Plaza

Ús d’Internet i xarxes socials per edat i sexe

FONT: http://www.pewinternet.org/2015/04/09/teens-social-media-technology-2015/

Repte:��com�fer-los competents�digitals en múltiples aspectes

De l’entorn escolar: tothom n’espera molt

• Alumnes

​

• Docents

​

• Experts

​

• Famílies

​

• Editar un blog/web/perfil xarxes socials seguretat
• Cibermànagers: compartir/mantenir avisos al centre (panells, aules informàtica, fons de pantalla, pòsters)
• Organitzar un dia especial de reflexió sobre temàtiques debat entre famílies/docents/alumnes

• Proporcionar formació (seguretat i conscienciació) noves tendències i continguts en la matèria
• Dinamització de projectes intercentres i recerca
• Promoure estàndards de seguretat, alfabetització digital i auditar-los

• Control i seguiment de les activitats dels seus fills a la xarxa
• Desvetllament de riscos i creació mentalitat crítica d’usos TIC
• Extensió a casa de polítiques/regles IT fomentades al centre en aspectes acadèmics

• Autoformació en riscos i metodologia: aplicació polítiques IT a l’aula i al centre. Mesures tècniques i de contingut.
• Adaptació constant de la competència digital curricular: drets, protecció dades, identitat digital, comportaments...
• Comunicació amb famílies/alumnes per mantenir un adequat ciberambient: bones pràctiques i enquestes d’usos d’alumnes.

De l’entorn escolar: tothom pot aportar molt

COMUNICACIÓ

COL·LABORACIÓ

PENSAMENT CRÍTIC

CREATIVITAT

COMUNITAT

www.internetsegura.cat

Xarxes internetsegura.cat