Agujero de seguridad ::Ingenieria social Inversa ::

Introduccion

El termino de “Ingenieria Social” aplicado al tema de la seguridadinformatica en general, es utilizado para describir una serie de
procedimientos o metodologias especificas (Por lo general involucradas con la manipulacion de personas), que servirian por ejemplo a un atacante para
obtener informacion vital sobre el sistema a atacar.

Los ataques mediante tecnicas de “Ingenieria Social” suelen gozar de un alto grado de eficacia. En muchos de los casos, la misma esta dada por el poco
tiempo dedicado o la poca importancia que se le da en las empresas y en los departamentos de IT a este problema.

Conceptualmente la “Ingenieria Social” no es considerada un ataque en si misma. Sucede que al ser la informacion de la victima, un elemento basico a
utilizar en la intrusion de sistemas, cualquier tecnica que ayude a su obtencion debe ser considerada seriamente.

Son varios los métodos que un atacante puede utilizar para conseguir que le demos información o que le facilitemos un acceso a un sistema restringido, aunque lo más normal es que el atacante utilice una mezcla de todos los métodos existentes.

Comenzaremos explicando el método conocido como “autoridad falsa”:

Esta técnica es usada muy a menudo y se basa en intentar convencer a la victima de que el atacante esta en una posición en la que esa información le es necesaria haciéndose pasar por un superior.

Está técnica puede ser usada en empresas muy grandes, donde lo más normal es que un empleado no conozca a todos sus superiores, con lo que un atacante puede hacerse pasar por un superior y solicitar la información que necesite.

Con lo que muchas veces no es necesario hacer muchos esfuerzos para conseguir la información.

Un ejemplo de este tipo de ataques podrí­a ser el siguiente:
Supongamos que un atacante entra a una compañí­a de software y se hace pasar por un empleado del departamento de seguridad, y explica a los jefes que tiene que instalar un nuevo fichero para evitar que los ordenadores de todos los empleados se infecten con un virus que acaba de salir y que para hacer eso es necesario que los empleados le faciliten las contraseñas de acceso a sus ordenadores, con lo que el atacante ya podrí­a hacer lo que quisiera con los ordenadores de los empleados.(Es muy utilizada en corporaciones de mas de 50 empleados)

Aunque es un ejemplo muy simple, podemos ver que el atacante haciéndose pasar por otra persona a conseguido con relativa facilidad las contraseñas de todos los empleados de la empresa.

Recomendaciones :
Es muy importante capacitar al usuario(empleado y superiores) en reconocer a este tipo de personas , siempre se le debe solicitar la identificacion , y preferentemente   tener un protocolo de trabajo (por ejemplo si se realizará una actualiacion de software , enviar 24hs antes un email a todos los empleados avisando que pasará el tecnico a realizar el trabajo.)

Ahora veremos   la “suplantación” :

Aunque se parece mucho a la autoridad falsa, no es lo mismo, es decir, la suplantación se parece a la autoridad falsa en el hecho de que se intenta engañar a una persona haciéndose pasar por alguien que tiene más derechos en el sistema.
La diferencia radica que la suplantación se basa en hacerse pasar por una persona que realmente existe.

En está técnica el atacante se hace pasar por otra persona de distintos modos, por ejemplo podrí­a imitar la voz de la persona a suplantar, usar un chat o incluso imitar su estilo de escritura leyendo sus correos, es decir, que un atacante podrí­a recabar información sobre una persona y hacerse pasar por ella.

Una vez que el atacante ha conseguido convencernos que es quien dice ser sólo le quedará pedirnos la información que desea obtener para acceder a nuestros sistemas.

Recomendaciones :
Es muy importante capacitar al usuario(empleado y superiores) en reconocer a este tipo de personas , nunca se debe dar informacion confidencial por chat ni por telefono ,se debe seguir un protocolo de trabajo .El peor error de las empresas es confiar en que nunca sucederá en su empresa.
Por ejemplo si se debe entregar informacion confidencial   :debe ser personalmente, si debe ser enviada por email :encriptada , y si es un archivo por chat : comprimido y encriptado con claves de acceso   que las 2 personas conocen o compartan(puede   ser llave pgp).

Hay muchas tecnicas mas de ingenieria social que un cracker o timador   pueden utilizar para obtener informacion confidencial.En proximas notas veremos otras tecnicas.

Ahora veremos   el   “Ataque Telefonico” :

Objetivo: Obtener los datos minimos necesarios para realizar una intrusion. Tactica utilizada : Pasar por un empleado de Help Desk.

Las empresas grandes generalmente terciarizan el servicio de help desk , esnormal que haya cambios de personal sin que la empresa lo sepa.

Recomendacion:

Solicitar siempre a la empresa   una lista actualizada de empleados   activos y recordarle a los empleados   quien es su helpdesk semanalmente.

El tipico y muy utilizado por estafadores “chamullo via Mail (Correo Electronico)” :

Este tipo de ataques es posible gracias a la efectividad que tienen en los usuarios normales los mails provenientes de entidades publicas o servicios privados.
Existen en Internet una gran cantidad servidores que permiten a una persona enviar un mail desde la web sin involucrar su cuenta original ya que el mensaje llegaria a su receptor encabezado con la cuenta de mail provista por
el servicio de estos servidores (Remailers).

Aunque actualmente muchos servidores que chequean esto y no permiten que llegue el email   , hay aún una gran cantidad de servidores que no lo han implementado .

Recomendacion :

Verificar siempre las direcciones de email   , chequear si existen los dominios . Nunca llenar un formulario via email . Parecerá algo que no tiene valor , pero la gran mayoria de los estafadores utiliza esta tecnica para hacerse de numeros de tarjetas de credito principalmente.

“Ingenieria Social” On-Line   :

De todas las formas anteriormente expuestas, la “Ingenieria social On-Line” es quizas la que se practica con mayor frecuencia. Los medios por excelencia donde se dan este tipo de ataques, suelen ser los
canales de IRC dedicados a los principiantes del chat.   La informacion recopilada no es demasiado importante,
pero seguramente a quien la obtuvo, le proporcionara un tiempo valioso de conexion para seguir con sus Crackeos, asi como una cuenta “limpia” desde la cual actuar.

No debemos descartar que ataques de este tipo podrian ser perpetrados incluso en peque~as corporaciones con un esquema de seguridad absolutamente deficiente, los cuales dejen libradas las conexiones de
Internet de sus dos o tres empleados.

Recomendación :

Trata de no hablar de más con personas que no conoces , nunca sabes quien esta del otro lado .

Bueno hasta aqui llego , espero les haya interesado   mi articulo. Seguire con otros temas mas adelante.

Artículos Sugeridos

• Conociendo un poco al Zune HD
• Nuevo disco rigido Samsung Spinpoint N3U con interface USB integrada
• MySpace agrega descargas musicales
• Italia amplí­a su investigación contra Google
• OpenBlock S600, un servidor Linux mas que portatil

Comentarios

• Siguenos

  
  
  

• Categorías

  • 7gnews
  • Aplicaciones
  • BSD
  • Celuares
  • Derecho Informatico
  • Eventos
  • Gadgets
  • Hardware
  • Juegos
  • Laboratorio 7G
  • Linux
  • Mac
  • Manuales
  • Netbooks
  • Programacion
  • Redes Sociales
  • Seguridad
  • SEO
  • Servidores
  • Software Libre
  • Tecnologia
  • Varios
  • VoIP

• Enlaces

  • Conciencia Digital
  • Flowmark
  • Technorati Profile

• Páginas

  • Acerca de
  • Eventos Regionales

• Artículos Sugeridos

  • Dragon Age Origins para Mac
  • Coby presenta su netbook economica
  • Seguridad de Wifi en la mira
  • La tecnología de 32 nanómetros se impone!
  • FreeBSD 8.0 RC1 liberado

• Ultimas noticias

  • Los servidores de Ubisoft en problemas
  • Nautilus Flickr Uploader y Desktop Flickr Organizer
  • MacStation Argentina se prepara para el iPad
  • Coby presenta su netbook economica
  • Marvell anunció el primer procesador ARM Quad-Core

• Notas 7G para otros Blog

  • Facebook como herramienta publicitaria
  • Comenzando a optimizar campañas Adwords
  • Avanzando hacia la realidad aumentada
  • Fidelización a través del Email Marketing
  • Marcadores sociales: una tendecia para compartir información
  • Batallas en la red de redes
  • Analizadores de Trafico Web
  • El LinkBuilding aplicado a tu sitio web
  • SEO o PPC
  • Aplicaciones de la web 2.0 en función de necesidades y preferencias

• Nube de Etiquetas

  8 nucleos AMD Apple ARM auditorias wi-fi BlackBerry CeBIT 2010 Ebay Firefox 3.5 FPS Gamer gmail HD-DVD HTML 5 inseguridad en wi-fi intel iPad Joltid juegos linux Kohjinsha Linux lista de tareas live dvd Mac OS X Marvell mejoras en Openffice microSD Microsoft MyBlackberry Nokia OpenOffice 3.1 PHP PHP 5.3.0 Proyecto Renaissance Redes Sociales red social BlackBerry Sandisk Skype SuperGamer tecnología de 32 nanómetros todo list Ubuntu Vector Linux VIA wepbuster