Agujero de seguridad ::Ingenieria social Inversa ::

Introduccion

El termino de “Ingenieria Social” aplicado al tema de la seguridadinformatica en general, es utilizado para describir una serie de
procedimientos o metodologias especificas (Por lo general involucradas con la manipulacion de personas), que servirian por ejemplo a un atacante para
obtener informacion vital sobre el sistema a atacar.

Los ataques mediante tecnicas de “Ingenieria Social” suelen gozar de un alto grado de eficacia. En muchos de los casos, la misma esta dada por el poco
tiempo dedicado o la poca importancia que se le da en las empresas y en los departamentos de IT a este problema.

Conceptualmente la “Ingenieria Social” no es considerada un ataque en si misma. Sucede que al ser la informacion de la victima, un elemento basico a
utilizar en la intrusion de sistemas, cualquier tecnica que ayude a su obtencion debe ser considerada seriamente.

Son varios los métodos que un atacante puede utilizar para conseguir que le demos información o que le facilitemos un acceso a un sistema restringido, aunque lo más normal es que el atacante utilice una mezcla de todos los métodos existentes.

Comenzaremos explicando el método conocido como “autoridad falsa”:

Esta técnica es usada muy a menudo y se basa en intentar convencer a la victima de que el atacante esta en una posición en la que esa información le es necesaria haciéndose pasar por un superior.

Está técnica puede ser usada en empresas muy grandes, donde lo más normal es que un empleado no conozca a todos sus superiores, con lo que un atacante puede hacerse pasar por un superior y solicitar la información que necesite.

Con lo que muchas veces no es necesario hacer muchos esfuerzos para conseguir la información.

Un ejemplo de este tipo de ataques podrí­a ser el siguiente:
Supongamos que un atacante entra a una compañí­a de software y se hace pasar por un empleado del departamento de seguridad, y explica a los jefes que tiene que instalar un nuevo fichero para evitar que los ordenadores de todos los empleados se infecten con un virus que acaba de salir y que para hacer eso es necesario que los empleados le faciliten las contraseñas de acceso a sus ordenadores, con lo que el atacante ya podrí­a hacer lo que quisiera con los ordenadores de los empleados.(Es muy utilizada en corporaciones de mas de 50 empleados)

Aunque es un ejemplo muy simple, podemos ver que el atacante haciéndose pasar por otra persona a conseguido con relativa facilidad las contraseñas de todos los empleados de la empresa.

Recomendaciones :
Es muy importante capacitar al usuario(empleado y superiores) en reconocer a este tipo de personas , siempre se le debe solicitar la identificacion , y preferentemente   tener un protocolo de trabajo (por ejemplo si se realizará una actualiacion de software , enviar 24hs antes un email a todos los empleados avisando que pasará el tecnico a realizar el trabajo.)

Ahora veremos   la “suplantación” :

Aunque se parece mucho a la autoridad falsa, no es lo mismo, es decir, la suplantación se parece a la autoridad falsa en el hecho de que se intenta engañar a una persona haciéndose pasar por alguien que tiene más derechos en el sistema.
La diferencia radica que la suplantación se basa en hacerse pasar por una persona que realmente existe.

En está técnica el atacante se hace pasar por otra persona de distintos modos, por ejemplo podrí­a imitar la voz de la persona a suplantar, usar un chat o incluso imitar su estilo de escritura leyendo sus correos, es decir, que un atacante podrí­a recabar información sobre una persona y hacerse pasar por ella.

Una vez que el atacante ha conseguido convencernos que es quien dice ser sólo le quedará pedirnos la información que desea obtener para acceder a nuestros sistemas.

Recomendaciones :
Es muy importante capacitar al usuario(empleado y superiores) en reconocer a este tipo de personas , nunca se debe dar informacion confidencial por chat ni por telefono ,se debe seguir un protocolo de trabajo .El peor error de las empresas es confiar en que nunca sucederá en su empresa.
Por ejemplo si se debe entregar informacion confidencial   :debe ser personalmente, si debe ser enviada por email :encriptada , y si es un archivo por chat : comprimido y encriptado con claves de acceso   que las 2 personas conocen o compartan(puede   ser llave pgp).

Hay muchas tecnicas mas de ingenieria social que un cracker o timador   pueden utilizar para obtener informacion confidencial.En proximas notas veremos otras tecnicas.

Ahora veremos   el   “Ataque Telefonico” :

Objetivo: Obtener los datos minimos necesarios para realizar una intrusion. Tactica utilizada : Pasar por un empleado de Help Desk.

Las empresas grandes generalmente terciarizan el servicio de help desk , esnormal que haya cambios de personal sin que la empresa lo sepa.

Recomendacion:

Solicitar siempre a la empresa   una lista actualizada de empleados   activos y recordarle a los empleados   quien es su helpdesk semanalmente.

El tipico y muy utilizado por estafadores “chamullo via Mail (Correo Electronico)” :

Este tipo de ataques es posible gracias a la efectividad que tienen en los usuarios normales los mails provenientes de entidades publicas o servicios privados.
Existen en Internet una gran cantidad servidores que permiten a una persona enviar un mail desde la web sin involucrar su cuenta original ya que el mensaje llegaria a su receptor encabezado con la cuenta de mail provista por
el servicio de estos servidores (Remailers).

Aunque actualmente muchos servidores que chequean esto y no permiten que llegue el email   , hay aún una gran cantidad de servidores que no lo han implementado .

Recomendacion :

Verificar siempre las direcciones de email   , chequear si existen los dominios . Nunca llenar un formulario via email . Parecerá algo que no tiene valor , pero la gran mayoria de los estafadores utiliza esta tecnica para hacerse de numeros de tarjetas de credito principalmente.

“Ingenieria Social” On-Line   :

De todas las formas anteriormente expuestas, la “Ingenieria social On-Line” es quizas la que se practica con mayor frecuencia. Los medios por excelencia donde se dan este tipo de ataques, suelen ser los
canales de IRC dedicados a los principiantes del chat.   La informacion recopilada no es demasiado importante,
pero seguramente a quien la obtuvo, le proporcionara un tiempo valioso de conexion para seguir con sus Crackeos, asi como una cuenta “limpia” desde la cual actuar.

No debemos descartar que ataques de este tipo podrian ser perpetrados incluso en peque~as corporaciones con un esquema de seguridad absolutamente deficiente, los cuales dejen libradas las conexiones de
Internet de sus dos o tres empleados.

Recomendación :

Trata de no hablar de más con personas que no conoces , nunca sabes quien esta del otro lado .

Bueno hasta aqui llego , espero les haya interesado   mi articulo. Seguire con otros temas mas adelante.

¿Cuáles son los bancos “on line” más seguros?

En la Argentina millones de personas utilizan  el “home banking”  y acceden a sus cuentas bancarias a través de Internet y de la telefoní­a móvil, una práctica consolidada en las  sociedades con fuerte penetración de las tecnologías de la información y la comunicación.

El informe, denominado “Uso de Internet: contenidos y transacciones – Segmento individuos 2008″, indica que el mayor crecimiento de usuarios de IB(Internet Banking)   se registró en los segmentos medios, donde también se observó un fuerte aumento de las conexiones de banda ancha.

Una investigación comparó los “home banking” de 13 instituciones crediticias locales y 12 del exterior. Apenas uno solo de la Argentina superó la mitad del puntaje posible. También hay problemas con el acceso a la banca a través de la telefoní­a móvil.

Principales conclusiones en seguridad de acceso a Homebanking:

• Los sitios argentinos distan de la resolución a dicha problemática que se da en otros paí­ses. Del í­ndice que elaboró TBI Unit, el mejor banco nacional logró 53 puntos sobre 100, siendo el Banco Galicia, seguido por el Citibank y el SantanderRí­o, estando estos y el resto de los bancos analizados debajo de los 50 puntos.
• En cuanto a los bancos que operan en el exterior, el mejor ubicado fue el Bank Of América con 84 puntos sobre 100, llegando a la categorí­a de “inesperado” o 5 estrellas por poseer factores atractivos y sorprendentes que lo diferencian fuertemente de sus competidores y comparables.
• Una de las barreras para operar on-line sigue siendo la obtención de la password inicial para operar. Los bancos en el exterior lo permiten sin producir disrupciones, ya sea desde la página del banco, un sms o desde la manera que el cliente prefiera; mientras la mayorí­a de los bancos nacionales solicitan como único canal el cajero automático, excepto el Citibank de Argentina, Itaú y Galicia.
• Ante la desconfianza que algunos usuarios poseen en la realización de operaciones a través de plataformas de HB, los bancos en el exterior ofrecen de forma bien destacada la garantí­a de reintegro por todas las operaciones realizadas, mientras en ningún banco nacional se muestra o se aclara.
• Seguimientos y alertas: en los bancos del exterior se hace un seguimiento del perfil del cliente para detectar operaciones que se encuentran fuera de lo normal y de esta manera le avisan mediante alertas. Esta opción es un servicio más destacado de los bancos que operan en el exterior frente a los locales.
• Los medios adicionales de seguridad (Token, tarjetas de coordenadas, etc) en general implican la incomodidad de llevar cosas extras, en los bancos del exterior se resuelven de manera más sencilla con imágenes y nombres, preguntas adicionales, programas que garantizan la conexión con el banco, aplicaciones en el celular o mensajes de texto. No por ello volviéndose más inseguros.

En Cuanto al Home Banking Movil

En cuanto al mercado de servicios de Mobile banking, siendo el que más potencial de crecimiento tiene, se han detectado como falencias a nivel local:

• Difí­cil acceso a la información relativa a Mobile Banking en los sitios de bancos locales.
• Pocas explicaciones del servicio con links que escapan a la página de la entidad y van hacia Banelco o Link
• No se especifican parámetros de seguridad
• En muchos casos las demos de su operación no aparecen
• Algunos bancos ni siquiera lo nombran

Ficha técnica: Benchmarking de seguridad de acceso a home banking y servicios de Mobile banking "“ Agosto 2008
Bancos analizados a nivel local: Citibank, Comafi, Francés, Galicia, HSBC, Itau, Macro, Nación, Patagonia,

Provincia, SantanderRio, Standardbank y Supervielle (13 bancos) y 12 a nivel internacional.

Consejos

Antes de ingresar a la cuenta bancaria por la red, conviene verificar  que el antivirus esté actualizado , lo mismo que el sistema operativo y el navegador de Internet(en caso de que utilice windows).

Es imprescindible usar un cortafuegos (”firewall”), un software dedicado a bloquear la entrada de intrusos. Y si está disponible, usar teclado virtual cuando se hace “homebanking”.El teclado virtual se utiliza para evitar keylogging , en caso de que la PC este infectada con algun troyano o keylogger , (software utilizado para capturar todo lo que uno escribo, algunos envian mails automaticamente cada cierto periodo a la persona que lo instalo en su PC)

También se sugiere cambiar las claves de acceso al banco cada uno o dos meses y no ingresar a la cuenta desde un locutorio o cibercafé.

En caso de abrir su cuenta bancaria desde un email que ha llegado a su casilla con publicidad   , verificar el url de la misma antes de ingresar datos de acceso a su cuenta, hay muchos estafadores que utilizan tecnicas de “Phishing” para capturar sus datos personales.

fuentes : infobaeprofesional.com y otras.

Linux en Iphone

Un proyecto realizado por desarrolladores   amantes del celular y de Linux, ha logrado que el sistema operativo funcione en el iPhone.

Aunque solamente es a traves de una capa de sistema operativo ,   y aun es poco funcional , el proyecto aún no está maduro, se trata de un primer paso puesto que     aun   no se puede ni escribir en la memoria del teléfono, ni utilizar la pantalla multitouch, ni la red, ni el sonido, ni el acelerómetro.

Se ha testeado en la instalacion la distribución BusyBox . El proyecto logro iniciar sus primeros pasos mediante un sistema de doble arranque, manteniendo el que trae iPhone. De esta forma se puede elegir el sistema de arranque.

Cabe destacar que esto se puede realizar en los iphone de la generacion anterior , aun no hay datos sobre test en los Iphone3G   que salieron al mercado en estos ultimos meses.

Nació una nueva Red Social en Argentina!!!

Mapeados.com se trata de una nueva red social argentina, para mayores de 30 años que permite a sus integrantes compartir información, opiniones y fotos con familiares, amigos, compañeros y colegas de una manera rápida y divertida.

 

En Mapeados podés

Contactar y ubicar geográficamente a:

• Familiares y amigos en otras ciudades,

• Ex compañeros de escuela, colegio o universidad,

• Ex compañeros de trabajo.

 

Buscar y crear grupos según tus intereses:

• Deportes,

• Música,

• Viajes.

 

Diseñar tu Blog personal con información y fotos que vos desees.

 

Divertirte con los juegos online más entretenidos, solo o contra otros miembros.

 

Brinda atractivos premios a los usuarios más activos.

Registrate en 30 segundos y entérate como ganar muy fácilmente una Cámara Digital Canon ¡!!

• Siguenos

  
  
  

• Categorías

  • 7gnews
  • Aplicaciones
  • BSD
  • Celuares
  • Derecho Informatico
  • Eventos
  • Gadgets
  • Hardware
  • Juegos
  • Laboratorio 7G
  • Linux
  • Mac
  • Manuales
  • Netbooks
  • Programacion
  • Redes Sociales
  • Seguridad
  • SEO
  • Servidores
  • Software Libre
  • Tecnologia
  • Varios
  • VoIP

• Enlaces

  • Conciencia Digital
  • Flowmark
  • Technorati Profile

• Páginas

  • Acerca de
  • Eventos Regionales

• Ultimas noticias

  • Los servidores de Ubisoft en problemas
  • Nautilus Flickr Uploader y Desktop Flickr Organizer
  • MacStation Argentina se prepara para el iPad
  • Coby presenta su netbook economica
  • Marvell anunció el primer procesador ARM Quad-Core

• Notas 7G para otros Blog

  • Comenzando a optimizar campañas Adwords
  • Avanzando hacia la realidad aumentada
  • Fidelización a través del Email Marketing
  • Marcadores sociales: una tendecia para compartir información
  • Batallas en la red de redes
  • Analizadores de Trafico Web
  • El LinkBuilding aplicado a tu sitio web
  • SEO o PPC
  • Aplicaciones de la web 2.0 en función de necesidades y preferencias
  • Se extiende el uso de blogs y wikis

• Nube de Etiquetas

  8 nucleos AMD Apple ARM auditorias wi-fi BlackBerry CeBIT 2010 Ebay Firefox 3.5 FPS Gamer gmail HD-DVD HTML 5 inseguridad en wi-fi intel iPad Joltid juegos linux Kohjinsha Linux lista de tareas live dvd Mac OS X Marvell mejoras en Openffice microSD Microsoft MyBlackberry Nokia OpenOffice 3.1 PHP PHP 5.3.0 Proyecto Renaissance Redes Sociales red social BlackBerry Sandisk Skype SuperGamer tecnología de 32 nanómetros todo list Ubuntu Vector Linux VIA wepbuster