Política de contrasenyes: garantia de seguretat

Al Jordi li acaben d’entregar el seu portàtil i ha d’assignar-se una nova contrasenya per iniciar sessió, en Jordi tria una de fàcil per poder-se recordar, en el nostre exemple, el nom del seu gat: “Perla”. Comprovem quan trigaria un atacant informàtic (hacker) en endevinar la seva contrasenya:

taulaDesxContr– Temps màxims (*) per desxifrar contrasenyes segons el seu grau de complexitat –

(*)Temps necessari empleat per un ordinador amb doble processador  (prova de 100.000.000  de contrasenyes per segon) . Font: Lockdown.co.uk

Les dades demostren que l’ús de contrasenyes febles facilita que aquestes puguin ser desxifrades d’una manera trivial en un període curt de temps.

Disposar d’una política robusta de contrasenyes aplicable als sistemes de la informació i aplicacions és una necessitat i una garantia de seguretat i privacitat.

La definició de la política de contrasenyes de la UB aplica les següents directives:

  • Els usuaris estan obligats a canviar la contrasenya com a mínim cada 6 mesos. Si abans de finalitzar aquest termini no s’ha fet el canvi, el sistema ens demanarà un canvi obligatori de contrasenya.
  • La longitud de la nova contrasenya serà de 8 caràcters com a mínim i d’un màxim de 16.
  • La nova contrasenya ha de disposar de com a mínim, una lletra en majúscula i una en minúscula, un caràcter numèric i un caràcter especial.
  • Els canvis de contrasenyes demanats seran generats automàticament amb les característiques recomanades per la UB i es comunicaran a l’usuari, el qual haurà de canviar-la en el primer ús que faci del compte o servei.
  • No es podrà repetir cap de les 6 contrasenyes anteriors utilitzades.

Addicionalment es recomana a l’usuari que eviti fer servir contrasenyes generades a partir de la informació personal: data de naixement, DNI, matrícula del cotxe, número de telèfon…

contr123456Totes aquestes mesures de seguretat són inefectives si l’usuari:
  • Dóna a conèixer la seva contrasenya per voluntat o per negligència.
  • Escriu la contrasenya en un post-it a la vista.
  • Comparteix el seu compte.

Si sospiteu o detecteu qualsevol intromissió en les dades del vostre equip o un ús indegut de la vostra identitat, si us plau, contacteu immediatament amb el Punt d’Atenció a l’Usuari.

Nou sistema d’identificació web

Durant el pròxim mes de maig  es posarà en marxa el nou sistema d’identificació web que millorarà les prestacions de l’actual sistema.

Un sistema d’identificació (en anglès conegut amb les sigles SSO de Single Sign On) és un mètode que permet a l’usuari identificar-se amb les seves credencials una única vegada  per accedir a diverses aplicacions o serveis web durant un període de temps determinat. Per exemple, si accedim a la Intranet, no cal tornar a entrar les nostres credencials per accedir al Campus Virtual, el sistema ja ens reconeix i ho fa de manera automàtica.

Des de l’Àrea de Tecnologies ja estem treballant en l’adaptació de totes les aplicacions web corporatives i altres serveis comuns que fan servir l’actual sistema d’identificació UB. Si teniu desenvolupaments propis que facin servir la identificació UB, cal que sapigueu que:

  • Si fan servir un accés diferent de l’estàndard, no funcionarà el nou sistema. Contacteu amb el PAU per saber que heu de fer.

 Exemple d’accés NO estàndard d’identificació
No funcionarà

 Accés estàndard d’identificació
  Sí funcionarà

 sso1  sso2
  • Així mateix, és necessari que el nou sistema conegui l’adreça web (URL) de l’aplicació que requereix identificació UB. Contacteu amb el PAU si voleu verificar que la vostra aplicació ja hi consta.

El nou sistema incorpora, entre altres, les següents funcionalitats:

  • Possibilitat de registrar-se amb diferents identificadors com DNI o UID, identificador local o adreça de correu electrònic.
  • Identificar-se amb certificat electrònic.
  • Ús de protocols d’autenticació estàndards.
  • Integració amb l’autenticació del núvol de Microsoft.

Per qualsevol dubte contacteu amb el servei del Punt d’Atenció a l’Usuari.

Equips desatesos: un risc a evitar

Un empleat d’una organització, amb accés a informació confidencial, rep una trucada  urgent que l’obliga a abandonar el seu lloc de treball, l’usuari marxa sense bloquejar l’equip, tot i que aquest es bloqueja de manera automàtica després 15 minuts, què podria passar en aquest interval de temps on l’equip no està bloquejat?

Possibles conseqüències:

  • Accés al correu:
    • Consulta de correus confidencials.
    • Enviament de correus ofensius a tercers sota el nom de l’usuari propietari del compte.
    • Cancel·lació de possibles reunions planificades.
  • Accés a informació confidencial sense permisos autoritzats.
    • La informació podria ser llegida, manipulada, eliminada o copiada per divulgar de manera il·legal i fer-ne un ús fraudulent en nom de l’usuari afectat.
  • Instal·lació d’un virus o qualsevol altra aplicació fraudulenta.
  • Fer ús dels recursos de la companyia de forma inadequada: impressores, sobrecàrrega de la xarxa …
  • Accedir a serveis de la Intranet amb el perfil de l’usuari.

bloqPC3Sempre que abandoneu el vostre lloc de treball, protegiu-lo envers accessos indeguts: bloquegeu l’equip! Feu servir el menú per blocar l’equip o la combinació de tecles Ctrl-Alt-Supr

bloqPC2

No serveix de res disposar de bons mecanismes de control d’accés, si un cop ja hem accedit, deixem l’equip sense protecció, accessible per qualsevol.

Si sospiteu o detecteu qualsevol intromissió en les dades del vostre equip o un ús indegut de la vostra identitat, si us plau, contacteu immediatament amb el Punt d’Atenció a l’Usuari.

Què són els pegats de seguretat de Microsoft i per què els haig d’aplicar?

Els pegats permeten mantenir actualitzats el sistema operatiu (Windows) i els programes de Microsoft com l’Office. Garanteixen la seguretat a mesura que es van descobrint vulnerabilitats i errades del sistema. Aquests forats de seguretat poden provocar, que en molts casos, atacants externs puguin accedir al nostre ordinador, a través de Windows, per prendre el control.

Els pegats de seguretat són fonamentals pel bon funcionament del nostre ordinador.

Existeixen diversos tipus d’actualitzacions:

  • Crítiques o importants
    • Ajuden a mantenir la seguretat i la privacitat de l’equip. Corregeixen errades crítiques del sistema.
  • Recomanades
    • Ajuden a mantenir el programari actualitzat i el rendiment òptim de l’equip.
  • Opcionals
    • Inclouen actualitzacions i programari addicional no imprescindible com fitxers d’idioma, controladors, etc. Poden ser instal·lats manualment.

Els segosn dimarts de cada mes, Microsoft agrupa les actualitzacions i, els equips d’una forma aleatòria, les descarreguen. De forma puntual, es poden distribuir pegats crítics en qualsevol moment, si hi ha un virus o un grup d’atacants aprofita una vulnerabilitat. Amb la versió 10 de Windows, aquest esquema ha canviat una mica. Els equips amb l’edició Home es descarreguen les actualitzacions automàticament i l’usuari no té control. En les versions professionals, encara es poden fer actualitzacions controlades.

pegats1La millor manera d’obtenir actualitzacions de seguretat de manera desatesa és activant les actualitzacions automàtiques.

Si tenim Windows 7, per exemple, hem d’anar a Inicio -> Tauler de control -> Sistema i seguretat -> Windows Update -> Cambiar configuración.

Recomanen l’opció de descarregar les actualitzacions i escollir quan instal·lar-les. L’opció totalment automàtica fa un reinici de l’equip sense avisar. Les actualitzacions es descarregaran en segon pla i depenent dels tipus de connexió que disposem, la mida i el nombre d’actualitzacions que s’estiguin descarregant, podem notar un alentiment de l’equip.

Sempre podem verificar si tenim actualitzacions pendents amb l’opció Buscar actualizaciones del menú de l’esquerra.

pegats2

No és recomanable desactivar les actualitzacions automàtiques malgrat que en algun moment puguin alentir l’equip.

Informació addicional:

Sophos: final de suport per a les versions Mac OS X 10.6 i 10.7

sophosMac2La versió de Sophos Endpoint Security and Control que distribueix la UB per a ordinadors Macinstosh, no tindrà suport del fabricant  a partir de la data 31 d’octubre de 2015 per a les versions 10.6 (Snow Leopard) i 10.7 (Snow) del sistema operatiu Mac OS X. És possible que durant un temps breu encara es facin actualitzacions de seguretat.

Les versions 10.8, 10.9 i 10.10 de Mac OS X no tenen una data definida de final de suport per part del fabricant Sophos.

La versió 9.x per Mac Home Edition  disponible a la seva web, suporta des de la versió Mac OS X 10.6 en endavant. El producte és gratuït per a instal·lacions particulars. La seva instal·lació no té cap cost però, no té cap mena de suport per part del fabricant.

Des de l’ Àrea TIC recomanem que si teniu ordinadors amb aquestes versions (10.6 i 10.7), us instal·leu la versió gratuïta.

Nous instal·ladors Sophos

sophos-1En la pàgina d’antivírics teniu les noves versions dels instal·ladors de l’antivíric corporatiu Sophos. Aquesta versió suporta la nova versió Windows 10 de Microsoft, així com les versions anteriors Vista, 7 i 8.1.

Recordeu que tenir un antivíric instal·lat i actualitzat es obligatori als equips de la UB. Teniu diferents instal·ladors segons els equips siguin del PAS o PDI, si els equips son portàtils corporatius o pels vostres ordinadors particulars. Recordeu també, que el correu i determinades pàgines web son ara la principal font d’infecció dels equips. Si us plau, no obriu missatges de correu sospitosos i no cliqueu enllaços que no siguin de llocs reconeguts.

 

 

Vigilem amb les apps!

Des de RedIRIS ens han donat avís de que en Google Play Store,  que és la plataforma de distribució digital d’aplicacions (apps) per als dispositius mòbils amb sistema operatiu Android, s’han detectat apps que simulen aplicacions desenvolupades per les universitats de l’estat espanyol, entre altres, la Universitat de Barcelona.

La UB actualment té publicades diferents apps a la Google Play Store:

googlePlay1Si anem a qualsevol d’elles veiem que l’aplicació és propietat de la UB perquè el nom de la universitat apareix sota el nom de l’aplicació. És tracta doncs d’una aplicació totalment fiable que ens podem descarregar.

googlePlay2 googlePlay4

Aquesta app, de la qual us prevenim, en canvi, no és propietat de la UB tot i fer servir un disseny, logo i imatges de la Universitat. El propietari no és “Universitat de Barcelona” sinó “Business Stock Exchange Corporation”.

googlePlay3

Amb l’avís rebut, la UB  i altres institucions afectades han denunciat aquesta aplicació i Google Play Store ja l’ha retirada del mercat.

El nostre consell és que desconfieu d’aquestes aplicacions que no són de la Universitat i que en cap cas hi accediu posant les vostres credencials. Tot i que descarregar-se l’aplicació sembla que no té cap efecte nociu més enllà de publicitat no desitjada, és  preocupant la facilitat per confondre a l’usuari d’on i què s’està descarregant.

Ara potser només és publicitat no desitjada però no sabem si demà la finalitat d’aquestes apps sigui més malintencionada.

Millora de la seguretat als servidors hostatjats al CPD de la UB

Els servei d’hostatgeria d’infraestructures d’ordinadors servidors permet a l’usuari col·locar un servidor a la sala CPD de la UB amb el serveis de:

  • Alimentació elèctrica
  • Aire condicionat
  •  Xarxa i Internet
  • Infraestructura de Seguretat

secServidorsDegut a la gran quantitat de vulnerabilitats i intents d’explotar aquestes vulnerabilitats detectades als servidors hostatjats al CPD de la UB, s’ha fet una actuació de millora de manera que el tràfic dirigit a aquests servidors s’analitza amb un tallafocs que aplica una política de seguretat a la xarxa sobre aquests.

La política de seguretat consta de regles bàsiques de seguretat pel funcionament normal del servidor i regles específiques de seguretat.

Les regles específiques de seguretat es consensuaran pròximament amb cadascú dels responsables per tal de publicar a la xarxa exterior de la UB els mínims serveis necessaris i, a la vegada, estar protegits d’amenaces alienes.

Si vostè és un responsable d’un servidor hostatjat al CPD de la UB, rebrà un correu electrònic amb un formulari on especificar els serveis que es volen protegir i els que no es volen publicar a l’exterior.

És important omplir aquest formulari per no quedar exposat a atacs aliens i possibles problemes de seguretat futurs.

Avisos de certificats no segurs

Des de fa un temps, en obrir l’OWA des del navegador Chrome, potser us ha aparegut un avís d’identitat no verificada.

certificatChromeUn certificat digital és un document digital mitjançant el qual un tercer confiable (una autoritat de certificació) garanteix la vinculació entre la identitat d’un subjecte o entitat i la seva clau pública. En el cas de servidors web, els certificats s’utilitzen per encriptar la comunicació entre el servidor i el client web i garantir la identitat del lloc.

A la UB, l’autoritat emissora és Terena, que des d’octubre de 2014 ha canviat la seva cadena de certificats per fer-la més segura. Els certificats anteriors a aquesta data, que són els que tenim actualment, es consideren insegurs en navegadors més restrictius com Chrome (altres navegadors també actuaran de la mateixa manera en un futur).

A l’Àrea de Tecnologies  ja hem iniciat el procés de sol·licitud dels nous certificats que s’aniran implementat de manera progressiva i procurant que l’impacte en el servei sigui el mínim per l’usuari. En el cas concret del correu cal instal·lar el nou certificat  a cadascuna de les màquines que formen part de la infraestructura del servei de correu electrònic.

Informar-vos que, tot i l’avís, podeu accedir a l’OWA o a altres serveis amb seguretat, es tracta d’un avís informatiu, en cap cas restrictiu.

Per saber-ne més:

 

Fi del suport NPAPI a Google Chrome

chrome42Amb l’ última actualització del navegador Chrome (versió 42 del 16 d’abril de 2015),  s’ha deshabilitat el suport als connectors NPAPI per defecte. La Màquina Virtual Java i el connector Microsoft Silverlight són alguns dels connectors afectats.

Google addueix problemes de seguretat i de bloquejos amb aquests connectors que perjudiquen el rendiment i augmenten la complexitat del codi.

L’actualització de Google Chrome, en una instal·lació estàndard, es realitza de manera automàtica, per la qual cosa molts usuaris poden haver-se trobat ja amb el problema.

A la Universitat de Barcelona l’afectació no és menor: la Màquina Virtual Java és utilitzada per algunes aplicacions d’administració electrònica, especialment  les que impliquen l’ús de la signatura electrònica basada en certificats digitals. A més, el gestor de correu web OWA (Outlook Web Access) que dóna servei a PDI, PAS i personal extern fa servir  Microsoft Silverlight en alguna de les seves funcionalitats, com adjuntar fitxers.

Des de gener del 2015 ja es va deshabiltar el suport a la majoria de connectors NPAPI, però es va allargar el funcionament per als connectors més emprats (Java, Silverlight, Facebook Video, Google Earth, …) demanant a l’usuari l’aprovació explicita per a la seva execució. A partir d’aquesta última actualització, el bloqueig es permanent sense avís a l’usuari. Fins al setembre de 2015 hi ha la possibilitat d’activar aquest tipus de connectors de manera manual. A partir d’aquesta data ja no es podran fer servir més. Val a dir que el suport a aquest tipus de connectors ja es va deshabilitar per a la versió linux del navegador Chrome al maig del 2014.

Recomanem, pel bon funcionament de les aplicacions que requereixin aquests connectors, utilitzar altres navegadors com Mozilla Firefox, Internet Explorer o Safari.

Més informació: