sábado, 10 de noviembre de 2012

Privacidad en Internet para escolares Parte 1

Pienso que la esencia de la enseñansa de defensa personal en Internet es una combinación de varios elementos

  • Conocer como funcionan las cosas
  • Conocer las amenazas
  • Conocer cómo atacar
  • Saber entonces que y como hacer y que no hacer


Fiel a mi estricta adherencia al principio:


Regala un pescado a una persona hambrienta y le darás alimento para un día, enséñale a pescar y le salvarás la vida.

no voy a reproducir una guía de seguridad, ni dar un curso, voy a mostrar mis criterios para hacerlo.

Más abajo menciono unos "links apestosos" ¿Para qué poner esos links? Es porque si alguien hiciera una búsqueda llegaría tarde o temprano a estos sitios, mejor cuento con que se va a encontrar. Quiero además compartir cual es mi criterio de “apestoso” y la metodología que usé.


Manos a la obra


Este post es resultado de mi experiencia de estos últimos meses en los que he dado una serie de micro charlas a escolares entre quinto y séptimo grado. Cuando algún docente me ha pedido más información, me puse a investigar y acá estamos. De paso cuento un poco de la experiencia.

Antes, si quisiera hacer una comparación con cruzar la calle (los niños pueden buscar las palabras resaltadas como simpático ejercicio), sería así:

Cómo funcionan las cosas


  • Las reglas de los colores de los semáforos
  • Algunas leyes de tránsito
  • Los autos necesitan tiempo/espacio para frenar, fenómeno conocido como inercia.
  • Pasa un tiempo desde el momento en que el cerebro percibe vía los ojos algo, lo considera un obstáculo, decide que acción tomar y envía los impulsos nerviosos a los músculos para que actúen. Esto se llama tiempo de reacción
  • Cuando una rueda pisa agua, una porción de esta puede quedar entre el piso y la rueda, provocando un efecto llamado “hidroplaneo” que se potencia con la velocidad y que provoca pérdida de adherencia o reduce la fricción.
  • La transmisión del movimiento del motor a las ruedas pasa por un dispositivo llamado embrague, que permite interrumpir y reanudar esa transmisión.

Amenazas


  • Pasa un tiempo desde que un conductor ve algo y pisa el freno
  • El piso mojado aumenta el tiempo/espacio de frenado
  • El piso recién mojado lo aumenta más aún (¿Por qué? ¡Bien esa actitud crítica!)
  • Un auto con el cambio puesto y el pie en el embrague es un peligro por que se puede patinar el pie.
  • Cuando en un semáforo un auto/moto/bici arranca, el resto arranca independientemente de que haya cambiado el semáforo, no sé si llamarlo "efecto rebaño", "efecto largada" o "a mi no me vas a ganar".
  • Si te pisan fuera de la senda peatonal, te pueden llegar a culpar.
  • Hay personas dispuestas a pelear por sus puntos de vista tengan o no razón.
  • Muchos conductores no saben, no recuerdan o no les importa la prioridad del peatón al doblar.
  • En ciertos barrios a ciertas horas, los semáforos no se respetan por temor a asaltos. 

Conocer como atacar (ponerse en el lugar del conductor)

  • Si se apunta el auto al peatón y se le hacen luces y se toca la bocina, éste suele correrse le corresponda o no el paso.
  • Si se participa de un accidente con las percepciones alteradas, las penas suelen atenuarse (ridículo).
  • Es fácil llevar un arma en el auto, desde un matafuegos a un revolver.
  • Aunque de poca precisión, el auto en sí es un arma formidable.

Saber entonces que y como hacer y que no hacer


  • Mirar a ambos lados al cruzar
  • No confiar en el semáforo, mirar de todos modos al cruzar.
  • No usar auriculares pues pueden ocultar el sonido de algún vehículo acercándose.
  • Tras alguna ofensa, no insultar al conductor o arrojar algún objeto a menos que se esté dispuesto a llegar a las piñas, con riesgo de tiroteo.
  • En ciertos horarios con un mayor porcentaje de conductores ébrios, hay que duplicar la precaución.
  • Partir de la premisa de que el conductor es imbécil, no confiar nuestra vida a un error de cálculo ajeno.

Aunque no es una lista completa ni tenemos que estar de acuerdo y los elementos cambien, este es el estado mental de la seguridad en Internet que considero apropiado.

Aplicado a las charlas que he dado en escuela primaria

Esta fué la estructura subyacente:

Cómo funcionan las cosas

  • GPS
  • Geolocación por red celular
  • Metadata
  • Cómo funciona un sitio para intercambiar mensajes
  • Borrado lógico de registros
  • Fortaleza de contraseñas
  • Almacenamiento de contraseñas
  • Hashing de contraseñas
  • Extracción de información mediante ingeniería social
  • Identificación biométrica
  • Tráfico de Internet

Amenazas

  • Geolocación embebida en metadata
  • Robo de identidad
  • Compromiso de contraseñas
  • Corte de dedo
  • Sniffing

Conocer como atacar

  • Hay un billete en el piso, vamos a medias dame $50, te enchufé un billete falso de $100
  • Hola, cómo te llamás? Y tu padre, madre, hermanos?
  • Ataque por diccionario a sistemas de autenticación

Saber entonces que y como hacer y que no hacer

  • Contraseñas fuertes y distintas para cada sitio
  • No contestar.
  • Ante la duda mentir
  • Desconfiar
  • Saber que el mail puede ser leido
  • Saber que los mensajes pueden existir para siempre
  • Reflexionar antes de publicar cualquier información, debido a lo irreversible de tal acción.


Todo esto en tres charlas de cerca de media hora cada una, nada mal, ¿no? Obviamente todo fué tratado con gran superficialidad, pero usé diagramas iguales a los que hubiera utilizado con un público técnico. No quiero ofender a nadie, pero cuando les expliqué (con otras palabras) el hashing de contraseñas, les aclaré que si no entendian no se preocuparan, mucho profesionales tampoco lo entienden.

 

Logística

La primera charla a séptimo, sexto y quinto y la segunda a séptimo y sexto las dí juntando los dos grados por sugerencia o piedad de parte de la escuela, para ir menos veces. Cuando los de quinto me desbordaron cambiamos a grados separados para la segunda de quinto y las terceras. El resultado fué mucho mejor, ya que hubo un grado mayor de atención.

Es conveniente evitar dejar espacio para que los docentes intervengan, a menos que no haya limitaciones de tiempo. Les ofrecí a los docentes ir en otra ocasión como "consultor".

Esta experiencia continúa dos años despues en http://seguridad-agile.blogspot.com/2014/04/privacidad-en-internet-para-escolares_22.html

 

Referencias útiles


Para poder aprovechar los links que cito a continuación, o cualquier otro de seguridad, es absolutamente fundamental tener una actitud completamente crítica, desconfiada. No de soberbia “a mi no me pasan esas cosas”, si no “esta solución me parece insuficiente”, “¿cómo funciona ese ataque?” o “¿Cómo se justifica?”.  Hay que ponerse en sintonía con el que ataca. Es fundamental ser acompañado por alguien que sepa.

La verdad es que algunos de los links apestan por los siguientes motivos:

Técnicos

Tienen muchos links rotos, ya sea por dominios que no existen, por videos cuyas cuentas se han deshabilitado, documentos rotos, páginas de registro que no funcionan. Hay además documentos comprimidos para bajar en lugar de ver online, cosa que al menos a mi me produce una cierta desconfianza y al usuario inexperto una dificultad extra.

Presentación

Hay mucho material con un gustito corporativo o de prédica fundamentalista que me repele, pero esa es una sensación mía.

Habla con tus padres

Con respecto al trillado “habla con tus padres”, me parece casi contraproducente. Aun así, un adulto puede no saber nada de informática e Internet, pero si suele saber de engaños y estafas, así que no deja de ser una buena guía.

Esto me ha llevado que muchos otros links ni los incluyera.

Los no apestosos

Jefatura de Gabinete de Ministros


http://www.jgm.gov.ar/paginas.dhtml?pagina=353

No recuerdo como lo obtuve. Son videos bastante instructivos, bien hechos, pero hacen arder mi rebeldía adolescente, por el aire condescendiente de algunos. No sé como le caerá a un niño de verdad. A mi me resultan muy claros y amenos de todos modos.

Argentina Cibersegura


http://www.argentinacibersegura.org/

Llegué aquí por Hernán Racciatti, que expone habitualmente en distintos eventos y medios como OWASP Day, Ekoparty, en una radio, Twitter.

http://www.argentinacibersegura.org/contenidos/

De los contenidos vale la pena ver:

“Breve ayuda de seguridad en redes sociales”

En general los 10 consejos me parecen bien, aunque algunos tienen excesivo tecnicismos como:

“Evitar el usuario “Administrador” para el uso general del sistema, ya que no suele ser necesario.”

Que se me ocurre difícil que la mayoría entienda y aplique. Además hay muchas frases “habla con tus padres”, de lo cual ya he opinado.

ISECOM HackerHighSchool


http://www.hackerhighschool.org/

Es un sitio bastante técnico, donde enseñan a defenderse comprendiendo como se ataca. Está en varios idiomas, así que sirve para practicarlos. Es para personas que quieran entender bastante más de lo necesario para la navegación común. Si el sitio se llama "hacker" algo, quizás sea por algo...

http://www.hackerhighschool.org/lessons/lessons-es.html

Hasta aquí hay suficiente material para empezar. Consideraría no seguir adelante, ya que las ramificaciones de los links comienzan a apartarse de fuentes más o menos confiables.

Los apestosos


Segu-kids


http://segu-kids.org/

No está separado de algún modo el acceso de niños vs padres y docentes, de modo tal que un niño relativamente pequeño queda expuesto a conocer una serie de amenazas quizás antes de tiempo. Hubiese puesto algún tipo de registro para las secciones de padres y docentes.

Hay muchos links rotos, pero lo que más me preocupa es el que conduce a

http://www.escuelaslibres.org.ar/descarga/referencia/ADB-SL.pdf

que está roto. ¿Un pdf roto? ¡Qué raro!

Plataforma Educativa ESET


http://edu.eset-la.com/

Llegué aquí desde argentina cibersegura, no pude ver los cursos ni eventos. Quise registrarme sin éxito. ¿Será un honeypot?

No hay comentarios:

Publicar un comentario