Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Carlos A. Biscione
Technical Account Manager North of Latin America Sun Microsystems
Contenido
Ingeniera Social en Perspectiva:
> Definiciones. > Objetivos.
Como Defenderse:
> Tips Simples para Defenderse. > Como Identificar al Hacker Social. > Estratgias de Combate.
Contenido
Ingeniera Social en Perspectiva:
> Definiciones. > Objetivos.
Como Defenderse:
> Tips Simples para Defenderse. > Como Identificar al Hacker Social. > Estratgias de Combate.
Si necesitas algo, solo pdelo. El secreto del xito en obtenerlo est en la manera de pedirlo.
Annimo.
Definiciones
La ingeniera social consiste en la manipulacin de las personas para que voluntariamente realicen actos que normalmente no haran.
Carole Fennelly. The human side of computer security. SunWorld, Julio 1999.
Trmino usado entre crackers y samurais para referirse a las tcnicas de violacin que se sustentan en las debilidades de las personas mas que en el software. El objetivo es engaar a la gente para que revele contraseas u otra informacin que comprometa la seguridad del sistema objetivo.
Contenido
Ingeniera Social en Perspectiva:
> Definiciones. > Objetivos.
Como Defenderse:
> Tips Simples para Defenderse. > Como Identificar al Hacker Social. > Estratgias de Combate.
Contenido
Ingeniera Social en Perspectiva:
> Definiciones. > Objetivos.
Como Defenderse:
> Tips Simples para Defenderse. > Como Identificar al Hacker Social. > Estratgias de Combate.
El Telfono
Personificacin Falsa y Persuacin
> Tretas Engaosas: Amenazas, Confusiones Falsas. > Falsos Reportes de Problemas.
El Sitio de Trabajo
Entrada a los sitios de trabajo
> Acceso Fsico no Autorizado > Tailgating
Oficina
> > > >
Shoulder Surfing (ver por encima del hombro), Leer al revs. Robar, fotografiar o copiar documentos sensibles. Pasearse por los pasillos buscando oficinas abiertas Intentos de ganar acceso al cuarto de PBX y/o servidores para:
> Conseguir acceso a los sistemas, > Instalar analizadores de protocolo escondidos, sniffers o, > Remover o robar pequeos equipos con o sin datos.
La Basura
Dumpster Diving o Qu hay en nuestra basura?:
> > > > > > > > > > > >
Listados Telefnicos. Organigramas. Memorandos Internos. Manuales de Polticas de la Compaia. Agendas en Papel de Ejecutivos con Eventos y Vacaciones. Manuales de Sistemas. Impresiones de Datos Sensibles y Confidenciales. Logins, Logons y a veces... contraseas. Listados de Programas (cdigo fuente). Disquettes y Cintas. PapelMembretado y Formatos Varios. Hardware Obsoleto.
La Internet-Intranet
Si en algo es consistente un usuario es en repetir passwords. Password Guessing
> Placa del Carro. > Nombre de la HIJA + 2005. > Fecha de nacimiento.
Encuestas, Concursos, Falsas Actualizaciones de Datos. Anexos con Troyanos, Exploits, Spyware, Software de Navegacin remota y Screen Rendering.
Fuera de la Oficina
Almuerzos De Negocios de Viernes, que terminan en volada de oficina y Happy Hours, con potenciales consecuencias desastrosas:
> Sesiones de confesin de contraseas, extensiones,
> Lo que no sabe la victima es de la existencia de KeyGrabbers > Solucin: One Time Passwords.
Contenido
Ingeniera Social en Perspectiva:
> Definiciones. > Objetivos.
Como Defenderse:
> Tips Simples para Defenderse. > Como Identificar al Hacker Social. > Estratgias de Combate.
Autoridad
Pretender estar con la gente de TI o con un alto ejecutivo en la Empresa o Institucin. Puede usar un tono de voz:
> Intimidante > Amenazante > Urgente
Carisma
Se usan modales amistosos, agradables. Se conversa sobre intereses comunes. Puede usar la adulacin para ganar informacin del contexto sobre una persona, grupo o producto.
Reciprocidad
Se ofrece o promete ayuda, informacin u objetos que no necesariamente han sido requeridos. Esto construye confianza, d la sensacin de autenticidad y confiabilidad.
Consistencia
Se usa el contacto repetido durante un cierto perodo de tiempo para establecer familiaridad con la identidad del atacante y probar su confiabilidad.
Validacin Social
Acecha el comportamiento normal de tratar de satisfacer un requerimiento. Se puede tomar ventaja de esta tendencia al actuar como un compaero de trabajo necesitando informacin, contraseas o documentos para su trabajo. La victima usualmente es una persona con cierto potencial de ser segregada dentro de su grupo, o que necesita ser tomada en cuenta.
Contenido
Ingeniera Social en Perspectiva:
> Definiciones. > Objetivos.
Como Defenderse:
> Tips Simples para Defenderse. > Como Identificar al Hacker Social. > Estratgias de Combate.
Contenido
Ingeniera Social en Perspectiva:
> Definiciones. > Objetivos.
Como Defenderse:
> Tips Simples para Defenderse. > Como Identificar al Hacker Social. > Estratgias de Combate.
Contenido
Ingeniera Social en Perspectiva:
> Definiciones. > Objetivos.
Como Defenderse:
> Tips Simples para Defenderse. > Como Identificar al Hacker Social. > Estratgias de Combate.
Estratgias de Combate:
Area de Riesgo
> La Internet-Intranet
Estratgia de Combate
> Refuerzo contnuo del
Falsas Actualizaciones de Datos. > Anexos con Troyanos, Exploits, Spyware, Software de Navegacin remota y Screen Rendering.
conocimiento de los cambios a los sistemas y redes. > Entrenamiento en el uso de contraseas > Induccin en la creacin de contraseas fuertes
Estratgias de Combate:
Area de Riesgo
> Telfono (PBX)
Estratgia de Combate
> Entrenar a los empleados
Tcticas del Hacker Personificacin Falsa y Persuacin Personificacin Falsa en llamadas a HelpDesks y CRMs. Robo de Contraseas o Claves de Acceso Telefnico:
y helpdesk en el sentido de nunca dar passwords u otra informacin confidencial por telfono > Todos los empleados deben tener un PIN especfico al HelpDesk > Controlar llamadas larga distancia, seguir llamadas, rehusarse a transferencias sospechosas
Estratgias de Combate:
Area de Riesgo
> Sitio de Trabajo
Estratgia de Combate
> Entrenamiento en uso del carnet > > > > >
revs. > Robar, fotografiar o copiar documentos sensibles. > Pasearse por los pasillos > Intentos de ganar acceso al cuarto de PBX y/o servidores
de acceso. Presencia de Vigilantes. No escriba contraseas con alguien viendo Restrinja uso de fotocopiadoras, escaners, cmaras digitales. Requiera que las visitas sean escoltadas Cierre y monitore la oficina de correspondencia, cuartos de servidores y PBX. Marque la informacin confidencial y manjela apropiadamente
Estratgias de Combate:
Area de Riesgo
> La Basura
Estratgia de Combate
> Mantenga toda la basura en
nadar en la basura
reas aseguradas y monitoreadas. > Destruya datos sensibles en papel, > Borre y destruya medios magnticos (diskettes y cintas) y raye los mdios pticos (CD-ROMS, DVDs). > Borre los discos de equipos obsoletos.
Estratgias de Combate:
Area de Riesgo
> Fuera de la Oficina
Estratgia de Combate
> Mantenga a los
empleados alerta a travs de entrenamientos contnuos de conocimiento y reforzamiento de polticas de seguridad, tcticas y tretas de los Hackers sociales.
Contenido
Ingeniera Social en Perspectiva:
> Definiciones. > Objetivos.
Como Defenderse:
> Tips Simples para Defenderse. > Como Identificar al Hacker Social. > Estratgias de Combate.
Carole Fennelly. SunWorld, Julio 1999. Tambien se consigue en: http://sunsite.uakom.sk/sunworldonline/swol-071999/swol-07-security.html http://www.kevinmitnick.com/ http://www.perantivirus.com/sosvirus/hackers/kevin.htm
http://packetstorm.linuxsecurity.com/docs/socialengineering/