1 - Domini versus hostatjament d'espai web
Necessitat:
Els gestors de dominis i proveïdors d'espai web hostatgen els continguts en Datacenters que disposen de mesures de seguretat sovint desconegudes per al client, i lluny de la protecció que un gran atac pot produir.
Prevenció:
La incardinació de la publicació d'espais web en servidors que donen un servei mundial i tenen les mesures més avançades de seguretat, és garantia per evitar caigudes d'aquesta mena. La manca de lligams polítics entre els propietaris del servidor emprat i els Estats que poden sentir-se amenaçats pel contingut de l'espai web -per molt democràtics i lícits que siguin-, és també un element de seguretat determinant.
Així doncs, si es tracta d'un proveïdor com Google que ha estat capaç de plantar cara tant a atacs informàtics d'arreu com a pressions polítiques (recordem el cas de la Xina), és prou garantia de seguretat desviar els continguts web del domini del client (en aquest cas assemblea.cat) a un domini de Google (blogspot.com).
2 - Procés d'inscripció
Necessitat:
Recol·lecció d'inscripcions via web, que no permeti de cap de les maneres comprometre la base de dades.
Prevenció:
La recolecció de dades a través d'un formulari web que enviés la informació a un servei de correu, potser pot semblar massa bàsic però ens permet tenir un 'sincronia asimètrica' entre dues bases de dades, a saber, la que es troba a Internet i la que es troba a Intranet. La base de dades (BBDD) d'Internet ha de rebre i buidar mitjançant un element pont off/on-line, tota la informació rebuda envers la BBDD d'Intranet, de tal manera que la interna no es trobi mai exposada a l'accés públic.
3 - Edició d'entrades
Necessitat:
L'edició d'entrades per document PDF comporta sempre la possibilitat de falsificació per part d'usuaris, gràcies a les cada cop més accessibles tecnologies de manipulació de la informació digital. Per tant, calia donar un element de discerniment informàtic a la validesa de la documentació que generava la inscripció i era rebuda en forma de 'Carta de Pagament - Entrada'.
Prevenció:
Si bé el sistema de catalogació d'entrades per 'Localitzador' no és nou i és el que s'emprà en l'edició de les entrades tal i com les empreses de transport fan servir habitualment, era necessari produir una variant que donés la possibilitat de verificació de codis. En aquest sentit, els localitzadors apareixien legibles mentre que el codi de barres que serviria per fer una lectura ràpida a l'hora de l'accés a l'acte no expressava els mateixos valors: el programari comptava amb un logaritme que relacionés dos localitzadors diferents, el llegible amb el del codi de barres, a partir de la recol·locació d'alguns dels vuit valors alfanumèrics que aparexien.
4 - Control d'accés
Necessitat:
La necessitat de disposar de la BBDD amb totes les inscripcions i l'estat de cadascuna d'elles, en una xarxa semipública com podia ser la unificació dels equips informàtics dels voluntaris, podia comprometre tant l'arquitectura de la xarxa de comunicació com la fuita de dades.
Prevenció:
La composició passava necessàriament per dos elements: protecció i engany.
La protecció va ser instal·lada en el propi accés a la BBDD del tal manera que l'ordinador servidor restés aliè a l'ús per part de cap usuari, i els terminals convidats treballessin directament sobre el disc dur de l'amfitrió.
L'engany es basava en una duplicitat de xarxes Wi-Fi. Els terminals havíen estat prèviament associats a una xarxa Wi-Fi anomenada 'exemple32' i autenticats; però el dia de l'accés a l'acte, l'ESSID o identificació i difusió pública de la xarxa Wi-Fi es trobava operativa però deshabilitada i, paral·lelament, es va publicar una segona xarxa Wi-Fi anomenada 'exemple_32'; fins i tot els usuaris voluntaris no pogueren discernir que la xarxa detectable era diferent a la qual ells realment tenien. Alhora, qualsevol atac extern a l'estabilitat del senyal seria adreçat contra una ESSID (o difusió del nom de la xarxa) independent i aliena al procés de validació d'entrades.
Sense intenció d'exhaurir l'explicació de totes i cadasquna de les tècniques emprades en tot el llarg procés des de la creació del MxI fins a la realització de la Conferència Nacional del dia 30/04/2011, resti exposat pel valor i interès professional que se'n derivi, el que pot entendre's com les grans línies de la política de seguretat informàtica aplicada a un esdeveniment com aquest.
1 comentaris:
La veritat és que el dia de la Conferència Nacional, tinc la impressió que tot va anar com una seda.
Gràcies Enric!
Publica un comentari