SEGURETAT A INTERNET

Els vigilants de les xarxes

Els 380 CERT/CSIRT de tot el món es coordinen com a centres de resposta davant un atac informàtic

Governs, universitats i empreses de tot el món mantenen les patrulles del ciberespai

zentauroepp39167207 barcelona 4 7 2017  los responsables del centro de respuesta170709173315

zentauroepp39167207 barcelona 4 7 2017 los responsables del centro de respuesta170709173315 / JULIO CARBO

4
Es llegeix en minuts
CARMEN JANÉ / BARCELONA

Si les xarxes informàtiques són el nou canal pel qual es mou la informació i l’economia mundial, també tenen els seus vigilants que s’encarreguen que tothom pugui navegar i fer transaccions sense problemes des de fa gairebé 30 anys. Són els Equips de Resposta davant Incidents de Seguretat Informàtica (en anglès CSIRT, com se’ls coneix a Europa, o CERT per als nord-americans), creats per governs, universitats i empreses per intentar mantenir el trànsit de les xarxes net de virus, atacs de denegació de servei, 'malware' o 'spam' massiu. I els últims virus massius, com Wannacry o el Petya/NotPetya els han posat a prova. Els esCERT són, generalment, llocs modestos.

Als CERT-UPC, de la Universitat Politècnica de Catalunya (UPC), el més veterà d’Espanya, una espera trobar-hi un local ple de pantalles que mostrin en directe el flux d’atacs informàtics del món sobre un mapamundi en la més pura estètica Jocs de guerra. Però el que hi ha és un soterrani amb ordinadors com els de qualsevol empresa, ple de cartells amb bromes informàtiques i amb set persones treballant-hi.

«Hi ha qui ha de controlar més informació, avisos, de moltes fonts... i necessiten les pantalles», afirma el catedràtic Manel Medina, fundador i director de l’esCERT-UPC des del 1994. Altres CERT, com els dels bancs, són en aparença més sofisticats. Perquè, en informàtica, la realitat és el que des de fora no es veu. I en aquest soterrani es fan auditories de seguretat (s’intenta veure els punts febles dels sistemes informàtics d’altres), anàlisis forenses (què ha passat i per què) o ajuda davant incidents d’administracions locals, universitats i pimes. I sempre amb una orella virtual posada en els fòrums de seguretat i el que es cou en el món 'underground', segons Me­dina.

380 CENTRES DE VIGILÀNCIA

Hi ha més de 380 CERT arreu del món, segons la xarxa FIRST, en la qual s’autocoordinen a nivell mundial i intercanvien informació centres creats per governs (fins i tot  Bhutan té el seu), empreses com Amazon, Apple, Caixabank, BBVA, Google, Airbus, Bank of America, Paypal, Telefónica..., que s’autofinancen, i organismes d’investigació, que reben fons de governs. Només la Unió Europea destina més de 10,8 milions d’euros a reforçar la xarxa CSIRT, que es coordina també pel fòrum Abuses a nivell espanyol, en el qual participen els proveïdors de serveis d’internet.

A Espanya, el CERT més important és el CNN-CERT, que depèn del Centre Nacional de l’Intel·ligència i emet els nivells d’alerta en ciberseguretat. A Catalunya, Cesicat exerceix com a   CERT de l’Administració catalana, entitats locals i empreses.

Quan els incidents de seguretat exigeixen persecució de la delinqüència, el tema deriva a l’European Cybercrime Center (EC3), en què participa Europol, l’organització de les policies europees. Igual que a escala nacional, perquè els vigilants de la xarxa denuncien però no detenen. I després hi ha ENISA, l’agència europea de seguretat informàtica.

La cooperació porta els CERT a compartir informació, que flueix a través d’una llista de correu restringida i amb missatges encriptats i informes ultraconfidencials. «Hi ha quatre nivells de confidencialitat, des del de divulgació general, fins al que solament el pot llegir qui pot executar ordres concretes, el 'només per als seus ulls'. Perquè hi ha dades que no es poden difondre fins que es prenen mesures perquè podria desactivar tota l’operació contra un atac», diu Antonio Rodríguez, responsable de ciberseguretat de l’esCERT-UPC.

MÉS COMPLEX QUE UN VIRUS

Davant un atac com el del 'ransomware' Wannacry, que aprofitava una fallada de seguretat a Windows que Microsoft ja havia reparat però que molts administradors de sistemes no havien actualitzat, van haver de fer treballs extra. El seu dia a dia inclou lidiar amb intents d’intrusió, atacs, virus, correus amb arxius fraudulents o 'spam'. I avisar quan hi ha alguna cosa anòmala. «Les alertes dels antivirus ja no salten gaire, ara són coses més complexes», assenyala Rodríguez.

Notícies relacionades

«Potser perquè algú vol copiar articles protegits per 'copyright', intents d’entrada en servidors no autoritzats, usar les màquines per allotjar porno infantil, el que vulguin... A vegades te n’assabtentes perquè et venen els Mossos. Una xarxa universitària, com que té molta capacitat, és un objectiu preferent per enviar des d’aquí un atac a altres», assenyala Manel Rodero, tècnic d’esCERT-UPC. «Cada vegada més gent es connecta des d’altres llocs als ordinadors de la UPC, així que això també s’ha d’assegurar», afegeix Antonia Gómez, responsable de l’àrea de sistemes d’inLab.

SISTEMES DE DETECCIÓ

Llavors s’ha de recopilar informació sobre les entrades a les màquines, les sondes en punts delicats de la xarxa, encreuar dades i analitzar-les. I per a això és molt valuós tenir automatitzats els sistemes de detecció. «A vegades la informació sobre el que està passant no la tens en directe, sinó que s’han de cotejar eines per fer-te’n una idea. N’hi ha de comercials i de pròpies, de propietàries i de 'software' lliure», assenyala Gómez. «La d’analista de dades és una professió de futur, perquè s’ha de ser capaç d’interpretar què passa abans de prendre una decisió», afirma Rodero.