Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
INGENIERIA SOCIAL
RESMEN DEL LIBRO HACKING TICO DE CARLOS TORI
INGENIERIA SOCIAL
27 de octubre de 2011
INGENIERIA SOCIAL
27 de octubre de 2011
QU ES LA INGENIERA SOCIAL? La ingeniera social es un mtodo basado en engao y persuasin, utilizado para obtener informacin significativa o lograr que la vctima realice un determinado acto.
El hombre padece los engaos desde tiempos remotos. Desde los antiguos mercaderes que vendan productos falsos, charlatanes de feria y hasta supuestos alquimistas que juraban convertir el plomo en oro. Tambin hubo muchos con conocimientos de prestidigitacin que se hacan pasar por magos para robar joyas; o regalos con sorpresa como el Caballo de Troya, hasta espas de ejrcito en la antigua China u otra poderosa potencia, que apelaban al engao como recurso para conseguir aquello que buscaban. La ingeniera social apunta a explotar el factor humano en la infraestructura de la organizacin (considerado por muchos la parte ms dbil del sistema) y es un mtodo que puede llevarse a cabo a travs de canales tecnolgicos (impersonal va Internet o telfono) o bien en persona, cara a cara, segn la osada de quien la comete o intente. Worms: que hacen que pinches en un sitio concreto. Phising: de bancos donde se nos pide que coloquemos nuestros datos en una pgina muy parecida a la verdadera. Postales electrnicas: que requieren de nuestra validacin. Dejando Archivos: en diferentes tipos de soporte USB, CD que al introducirlos infectan nuestro PC. Servicios Hosting.
A QUIN EST DIRIGIDO?
Una organizacin objetivo. Una organizacin al azar. Determinado empleado. Un grupo de empleados. Un usuario. Todo aquel relacionado con stos.
INGENIERA SOCIAL +INFORMATION GATHERING An sin el suficiente conocimiento tcnico como para cometer una intrusin a travs de la seguridad de red (firewalls, IDS, control de accesos), un manipulador hbil puede lograr su ingreso recabando informacin mediante algunas llamadas telefnicas o e-mails. Cmo? Obteniendo los datos de un usuario legtimo a travs de una previa recoleccin de informacin interna sobre procedimientos, datos concretos (tipos de formularios o cdigos) y nombres. El intruso informtico seguramente va a buscar informacin utilizando ingeniera social y por eso es tan importante, tanto para una organizacin como para nosotros -usuarios de internet-, tratar de no dar informacin confidencial o personal a extraos. Y ante algn suceso inesperado (como recibir una consulta de un desconocido o haber encontrado un pendrive en su escritorio), deberamos desconfiar.
INGENIERIA SOCIAL
27 de octubre de 2011
QU HACE ESPECIAL A UN INGENIERO SOCIAL? ste adopta la identidad que desea o la suplanta. Ajusta la retrica o su modo de comunicarse al receptor, a sus sentimientos y a su rol dentro de la organizacin formal. Genera la trama o excusa que conviene a su propsito. Hace interactuar personajes reales y ficticios entre s. Expone a su vctima a trampas, voluntades de ayuda, seduccin y preocupacin con tal de obtener cierto dato o una accin precisa (o desencadenamiento de actos). Hoy en da, con la actual expansin de Internet, el intruso que desea hacer ingeniera social cuenta con muchos recursos. Hay fuentes casi pblicas de informacin ejecutiva en los crculos sociales o de contactos profesionales como Lynkedin, en el cual alguien puede publicar un currculum vtae muy interesante a nombre de cualquiera y, desde all, ponerse a contactar con gente cercana a la organizacin objetivo o componentes de sta. EJEMPLOS SOBRE LA INGENIERIA SOCIAL Telfono
Hola Agustina. Te llamo de Sistemas, soy Diego Prez. Podras ayudarme un segundo? Estamos mejorando el tema del correo electrnico en la empresa y tengo que generar un archivo de tu cliente de correo. Son dos pasos solamente. Ests con la mquina encendida? Eh. Hola, s. Abr Outlook por favor, and a Herramientas, luego a Cuentas... No hace falta mucho guin para hacerle exportar a una secretaria sin muchos conocimientos de PC el archivo .iaf de su cuenta y hacer que lo enve para revisarlo. Este archivo posee toda la configuracin de la cuenta de e-mail de Outlook, incluso password, servidor SMTP y POP3, etctera.
Fax
El engao consiste, simplemente, en hacer un reclamo mediante fax a la institucin que maneja el dominio a nombre del actual y real propietario solicitndole algn cambio de dato de registro u otro dato que permita luego utilizarlo para redireccionarlo hacia cualquier IP de Internet. En la pgina de preguntas frecuentes de Nic.ar (www.nic.ar/faq3.html), podemos ver el modelo de nota (formato) que detallan para el fax. As, un simple fax puede dejar a una organizacin sin su plataforma de comunicacin y marketing online o bien, puede utilizarse para otros delitos informticos que no vamos a detallar en este libro. En este caso, el ingeniero social se expone a falsificacin de documento pblico (lo cual est penado) y a otras cosas, y depende de la organizacin que est detrs del dominio en cuestin y de la reaccin de sta en caso de ser vctima
3
INGENIERIA SOCIAL
27 de octubre de 2011
Mensajera Instantnea
El mensajero instantneo es un medio con mucha llegada al usuario comn, aunque en pocas anteriores no haba tanta gente conectada como sucede ahora con MSN Live. Suplantar la identidad en MSN es relativamente fcil y los mensajes pueden utilizarse de diversas formas: Se le puede inventar alguna historia. Se puede enviar archivos directamente. Se puede pasar un link de pgina (sta puede tener archivos infectados o links hacia archivos ejecutables, o algo que le saque determinada cookie o una imagen que deja el log de la direccin IP de la vctima).
Correo
El e-mail es el principal canal de ingeniera social en estos das. Lo utilizan los estafadores, los spammers, los intrusos y los gusanos (programas que, al ser ejecutados por el usuario o habiendo ingresado en nuestro sistema por algn servicio vulnerable, infectan la mquina para luego enviar un e- mail a todos los miembros de nuestra lista de contactos. Por ejemplo, VBS/LoveLetter worm). Recordemos que el e-mail permite suplantacin de la identidad (el que dice que es annimo, no conoce los medios de intercepcin y rastreo). El e-mail posee tres particularidades interesantes para combinar con la ingeniera social: Se puede falsear el remitente (sender o quien lo enva). Se puede confeccionar en html. Esto lo hace menos visible a los links maliciosos o, hacia cosas maliciosas. Se puede declarar hacia qu casilla ser enviada la respuesta del e-mail original.
INGENIERIA SOCIAL
27 de octubre de 2011
INGENIERIA SOCIAL
27 de octubre de 2011
En las organizaciones serias que utilizan recursos y recaudos en cuanto a seguridad de la informacin, la ingeniera social es tomada como una potencial amenaza a su activo: la informacin. A travs del hacking tico, un profesional de seguridad intentar emular en la organizacin estos ataques -como supimos al principio- a fin de lograr lo mismo que podra alcanzar esta vez un ingeniero social o intruso (ya sea un empleado descontento o ex empleado, hacker, espa industrial, competencia). El propsito de esto es descubrir cules son los errores que se cometen en el trato con las personas en cuanto a divulgacin de informacin supuestamente inofensiva y agentes externos a travs de los medios de comunicacin o en persona, es decir, desde el momento en que se la recibe en la empresa. Veamos ahora algunas medidas para mejorar este aspecto. Se entrena a la gente mediante charlas (especialmente a las recepcionistas que trabajan en mesa de entrada, a las telefonistas, al personal de seguridad, a las secretarias y a los ejecutivos) acerca de esta fuga de informacin. Tambin se desarrollan polticas para el manejo interno de la informacin, su clasificacin y la no descentralizacin de sta por fuera del protocolo. Se llevan a cabo testeos ticos de seguridad (que no tendrn impacto en la organizacin, sino que darn una nocin de cmo est resguardada ante este tipo de amenaza) como el que detallamos anteriormente, se realizarn pruebas como la de los pendrives-trampa y otros mtodos ms intrusivos. La finalidad de todo esto es que sirven tambien para mejorar el nivel de seguridad relacionado a accesos fsicos. En sntesis, los integrantes de todo el sistema deberan contar con estos elementos: Concientizacin institucional acerca de la ingeniera social. Polticas internas que contemplen la descentralizacin de datos y el resguardo de la informacin. Polticas acerca del buen uso de recursos de comunicacin e informticos, por parte de todos los empleados. Lucidez mental. De no ser as, es muy probable que el ingeniero social que tome a esa organizacin como objetivo, tarde o temprano consiga su fn y la comprometa. Lo ms importante dentro de la organizacin es integrar a la gente que se desempea en el sistema como parte del planeamiento estratgico de seguridad de la informacin y concientizarla peridicamente a partir del mismo reclutamiento.
INGENIERIA SOCIAL
27 de octubre de 2011