Interneten erabiltzaile garenez, xaloak gara. Espainiako internauten %46,1ek gero eta seguruagoa den sare batean sinesten du. Horixe erakusten du Espainiako etxeen zibersegurtasunari eta konfiantzari buruzko azken azterlanak, Telekomunikazioen eta Informazioaren Gizartearen Behatoki Nazionalak (ONTSI) egina. Baina, egia esan, iaz errekor guztiak hautsi ziren zibererasoetan. Izan ere, inkestatutako gehienek (% 66) segurtasun-arazoren bat izan zuten. Zabor-posta elektronikoa jasotzea da ohikoena, baina malware-kasuak (birus informatikoak edo beste kode maltzur batzuk), sare sozialetan eta posta elektronikoan identitatea ordezkatzea (phishing) eta gailuetara baimenik gabe sartzea ere gero eta ugariagoak dira. Zer egin dezakegu zibereraso horietatik babesteko? Lehenik eta behin, gure pasahitzekin zer ohitura txar hartzen ditugun jakitea, eta zibergaizkileei errazago jartzea.
“Arriskuez eta bere ekintzek segurtasun-gorabeherekin lotura zuzena dutela konturatzen bagara ere, erlaxatzeko joera dago, bai segurtasun-tresnak erabiltzean, bai zuhurtziazko ohituretan”. Zer esan nahi du aipatutako txostenak zibersegurtasuneko ohar honekin? WiFi sare seguruak erabiltzea, publikoak zein pribatuak, telefono mugikorrak desblokeatzeko gakoekin edo lapurreten aurkako aplikazioekin babestea eta posta elektronikoarekin zenbait neurri hartzea phishinga saihesteko, besteak beste, arlo horretan ez lasaitzeko. Baina gehiago dago.
Zer egiten dugun gaizki pasahitzekin
Oso neurri gomendagarria da pasahitzei arreta jartzea, gure datu pertsonal guztiak eskuratzeko giltza baita. Eta ez dugu egiten. Erresuma Batuko Zibersegurtasun Nazionaleko Zentroak (NCSC) adierazten du internauten % 15ek bakarrik erabiltzen dituela metodo seguruak; gehien erabiltzen diren gakoen artean top ten-ean —eta ez hain seguruetan—, berriz, zenbaki-segida sinpleena (123456), zenbaki luzeagoak (123456789), teklatuaren lehen letrak (11werty), “password” (11swdigitu). Oso ohikoak dira, halaber, izen propioa edo futbol-taldeena, musika-taldeena edo fikziozko pertsonaia gogokoenena, baita “iloveyou” (maite zaitut) bezalako esaldiak ere.
Ezagutzen duzu? Bada, gaizki ari zara egiten, oso gaizki. Agian pentsa dezakezu ez zarela garrantzitsua hackerrentzat, edo arazoak dituzula gako konplexuak buruz ikasteko, eta pasahitz hauengatik edo beste batzuengatik esaten duzula, hala nola ezkontza-eguna, hitz erraz bat beste hizkuntza batean, edozein mugikor, leku edo zure seme-alabaren baten urtebetetzea; gako horiek guztiak erraz egiten dira, eta askotan sare sozialetan nahi gabe zabaltzen ditugu. Ez da gomendagarria, halaber, zenbait elementuren kateaziotik sortutakoak erabiltzea, hala nola izen bat eta jaiotze-urtea (Jose1958).
Pasahitz ez oso sendoak erabiltzeaz gain, oso gomendagarriak ez diren ohiturak hartzen ditugu, Zibersegurtasunaren Institutu Nazionalak (Incibe) eta Internautaren Segurtasun Bulegoak (OSI) gogorarazten dutenez:
- gakoak partekatzea: postita ordenagailuan itsatsitako pasahitzarekin, egin behar ez denaren adibide klasikoa da. Bi pertsonak edo gehiagok partekatutako gako bat ez da segurua.
- lehenetsitako pasahitzak erabiltzea. Kontu edo ekipo berri batera sartzen garen lehen aldian, guk hautatutako beste batekin aldatu behar dugu. Horrela, sarrera ez da onartuko.
- pasahitzen gogorarazlea erabiltzea. Hori egiteak, batez ere web nabigatzaileetan, baimendu gabeko langileei sarbidea erraztu diezaieke.
- gako bera erabiltzea hainbat zerbitzutan edo birziklatua (karaktereren bat aldatuz). OSIren blogean gogorarazten dutenez, “gako bat lapurtuz gero, guztiok sartu ahal izango gara”. Izan ere, zerbitzu guztietarako (posta, sare sozialak, on line banka…) erabiltzen duzun pasahitz bakarra horietako bakar batean konprometitzen bada, zure “etxe” digitala ondo irekita utziko duzu zibergaizkileentzat. Eta kontuz! Zerbitzu batzuek ez dute gure pasahitza zifratuta gordetzen zerbitzarietan; beraz, nahi gabe, zerbitzu horiekin partekatzen ari gara, eta datu-base horretara sarbidea duen edonork gure kredentzialak ezagutu eta erabil ditzake. Horregatik da ezinbestekoa gako bera ez erabiltzea. Nola identifika ditzakegu gune horiek? Pista bat: alta ematean gure gakoa zein den esaten badigute edo “ez dut nire pasahitza gogoratzen” sakatzean posta elektronikoz bidaltzen badigute, aldatzeko esteka bat eman beharrean.
- ez aldatu hiru edo sei hilabetean behin. Orain arte, komeni zen maiztasun jakin batekin aldatzea, zerbitzuaren garrantziaren arabera. Eta oraindik ere gomendatzen da. Hala ere, berriki egindako ikerketa zientifikoek zalantzan jartzen dituzte pasahitzen iraungitze-politikak. Izan ere, bi edo hiru hilabetean behin pasahitz berria pentsatzera behartzen dute erabiltzailea, eta, oro har, aurrekoaren oso antzekoa da, ez ahazteko. Microsoft-ek ere bat egin du segurtasun-sistema hori ezabatzearekin. “Pasahitz bat inoiz lapurtzen ez bada, ez dago iraungitzeko beharrik”, diote.
Irudia: kalhh
Nola sartzen diren zibergaizkileak gure giltzarrietara
Akats horiek errazago egiten dizkiete zibergaizkileei, gure pasahitzak eskuratzeko eta nahi dutena lortzeko edozein metodo erabiltzen baitute. Entelgy Innotec Securityko adituek bost formatan laburbiltzen dituzte Sarearen bidez gure gakoak lapurtzeko erabiltzen dituzten ohikoenak:
- Indar gordina. Ziberkriminalak zorizko konbinazioekin pasahitzak probatzeko programak erabiltzen ditu, zuzena aurkitu arte, arruntenetatik hasita. Eta horrek funtzionatzen ez badu, sare sozialen profiletan arrastoren bat lortzen saiatuko da. Horregatik, komeni da erabiltzen ditugun sareen pribatutasun-aukerak konfiguratzea, informazio pertsonala publikoki ez partekatzea eta ezezagunen adiskidetasun-eskaerak ez onartzea (adibidez, Facebook-en), artikulu honetan zehazten ditugun beste aholku batzuen artean.
- Hiztegi-erasoa. Software batek ematen du pasahitza. Horretarako, hiztegira bota. Hasi “a” letrarekin, eta jarraitu hitz konplexuagoekin probatzen, banan-banan, hiztegian dauden hitz guztiekin saiatu arte. Gure pasahitza hitz ezaguna bada (“arkatza”, “hodeia” edo “txokolatea”), azkenean hitza emango du.
- Spidering-a. Zibergaizkileak oso zoritxarreko praktika batez baliatzen dira: bizitza pertsonalarekin edo lanarekin lotutako pasahitzak sortzeaz. Teknika honetan “bilaketa-armiarma” bat erabiltzen da; hau da, web orriak arakatzen dituen, horien edukia ikuskatzen duen, informazio garrantzitsua gordetzen duen (hala nola, helbide elektronikoak, estekak edo inprimakietako datuak), eta, ondoren, orri horretako estekak zeharkatzen ditu, eta prozesua errepikatu egiten du hurrengo orriekin.
- Keylogger-en erasoa. Oharkabean, erabiltzaileak malware bat (keylogger) instalatzen du esteka batera sartzean edo Interneteko fitxategi bat deskargatzean. Hortik aurrera, teklatuarekin egiten diren pultsazio guztiak erregistratzen ditu programak, pasahitzak barne, eta zibergaizkileei bidaltzen dizkie. Keylogger-ak oharkabean pasatzeko diseinatuta daude, eta, beraz, nekez detekta daitezke. Eguneratutako antibirus edo suebaki indartsu bat edo Spybot edo Malwarebytes bezalako programak babes gisa erabiliko dituzu. Eta sarean nabigatzeko zentzu komunak ere funtzionatzen du: guretzat ez diren mezuak eta mezuak ezabatzea; zalantzazko sinesgarritasuna duten orrietako edukia ez deskargatzea, eta esteketan ez klikatzea; bidaltzailea ezezaguna bada, ez ditugu posta elektronikoari erantsitako fitxategiak deskargatuko eta, zalantzarik izanez gero, erantsitako fitxategi guztiak egiaztatuko ditugu Birus Osoa bezalako zerbitzuekin; eta, jakina, ez instalatu software pirata.
- Phishing-a . Ziberkriminalek biktima engainatzen dute saio-hasierako kredentzialak iruzurrezko formulario batean sar ditzan. Formulario horretara sartu da erabiltzailea posta elektronikoaren, sare sozialen edo berehalako mezularitzako aplikazioen bidez bidalitako esteka batean klik egitean. Phishing-mezu horrek erakunde edo enpresa garrantzitsu baten identitatea ordezten du, erabiltzaileak konfiantza duen web orri batean dagoela pentsa dezan. Iruzurra detektatzeko modurik errazena URL helbidea da, eta helbide hori ez da erreala. Horregatik, komeni da nabigatzailean bisitatu nahi dugun gunearen helbidea idaztea, esteka bati jarraitu beharrean, batez ere orrialde delikatuak direnean (adibidez, banku baten ataria). Garrantzitsua da, halaber, bankuek inoiz ez dutela eskatzen informazio konfidentziala edo datu pertsonalak posta elektronikoaren bidez.
Irudia: geralt
Zer egin dezakete haiekin?
Ez dago beti helburu ekonomikorik pasahitzak lapurtzeko. Pertsona horiekin sartzen den lekuaren araberakoa izango da, OSIn adierazten den bezala:
- Bandalismoa. Gure posta-kontura sartu eta haren eduki guztia irakurri, aldatu edo ezaba dezakezu, edo sare sozial batean bertan ematen ditugun kontaktuak edo informazioa ezabatu.
- Espioitza. Sare sozialetan edo berehalako mezularitzan, posta elektronikoetan edo banku-mugimenduetan elkarrizketa pribatuak izatea. Hori egiteko motibazioen artean daude, besteak beste, estortsioa, xantaia, besteen intimitatean nahasteko plazera eta informazio pertsonala ezagutuz mina egiteko gogoa.
- Identitatea ordezkatzea. Gure ordez egingo genuke. Gure izenean mezuak bidal ditzakezu, edo gure posta-kontua erabil dezakezu spama bidaltzeko; postak eta iruzkinak idatzi eta argazkiak eta bideoak argitaratu gure izenean; eta pasahitza aldatu ere egin dezakezu sartu eta zerbitzua erabili ahal izateko. Gure izen ona kaltetu egin liteke, eta xantaiaren bat ere egin genezake.
- Lapurreta ekonomikoa. Identitatea ordezkatzeak ekar lezake pasahitzak erabiltzea erosketak on line egiteko, gure banku-kontuan sartzeko eta ziberkriminalerako transferentziak egiteko.
