260 likes | 520 Vues
Ingeniería Social. Introducción “Se puede tener la mejor tecnología, firewalls, sistemas de detección de ataques, dispositivos biométricos, etc. Sin embargo lo único que se necesita para entrar en el equipo es un llamado a un empleado desprevenido y hay acceso sin más. Tienen todo en sus manos.".
E N D
Introducción “Se puede tener la mejor tecnología, firewalls, sistemas de detección de ataques, dispositivos biométricos, etc. Sin embargo lo único que se necesita para entrar en el equipo es un llamado a un empleado desprevenido y hay acceso sin más. Tienen todo en sus manos."
¿Qué es la ingeniería social?Bajo el nombre de Ingeniería Social (literalmente traducido del inglés Social Engineering) ACCIONES O CONDUCTAS útiles para conseguir información de las personas cercanas a un sistema. Es una disciplina que consiste, ni más ni menos en sacar información a otra persona sin que esta sé de cuenta de que te esta revelando "información sensible". Con este curioso término se engloba una serie de tretas, artimañas y engaños elaborados cuyo fin es confundir al usuario o, peor todavía, lograr que comprometa seriamente la seguridad de sus sistemas. Aprovecha sentimientos tan variados como curiosidad, la avaricia, el sexo, la compasión o el miedo, de esta forma se consigue el objetivo, una acción por parte del usuario.
¿Quiénes la usan? • Hackers • Espías • Ladrones o timadores • Detectives privados
El factor humano • En el congreso "Access All Areas" de 1997, un conferenciante aseguraba: "Aunque se dice que el único computador seguro es el que está desenchufado, los amantes de la ingeniería social gustan responder que siempre se puede convencer a alguien para que lo enchufe. El factor humano es el eslabón más débil de la seguridad informática. Y no hay un sólo computador en el mundo que no dependa de un ser humano, es una vulnerabilidad universal e independiente de la plataforma tecnológica".
Ingeniería social en los 80 • La gente era más inocente • Las contraseñas más débiles • Los sistemas más vulnerables • Las leyes menos rigurosas
Ingeniería social en nuestros tiempos • CASO 1: Practicando en casa CHAT IRCCANALCANAL DE CHICAS Objetivoconseguir videoconferencia con una chica Materiales: Capturadora de video, Ingeniería social, webcam
Nos damos de alta una cuenta en hotmail, con nombre de chica Creamos un perfil curioso Entramos a los chats y damos nuestro mail Somos la típica niña que recién se compró el ordenador y necesita Ayuda (damos confianza, y aumentamos el ego de la victima al ponerlo en el papel de nustro salvador, si le añadimos dulces piropos y besos virtuales, en cuestión de tendremos lo que buscamos, o estaremos en condiciones de enviarle un troyano que nos abra de par en par su ordenador, una vez conocido su sistema. • Caso 2: Seguir jugando:
Basura?? Familiares Círculos Amistades Internet Cuando se llega a los 30, ya no estamos para chatear o dedicarnos A robar fotos de usuarios de Internet. • Caso 3: Nos ponemos serios Fijamos un objetivo: Primer etapa: INFORMACIÓN
Ética ?? Justificaciones: El espía y el detective>>> es su trabajo. El gobierno >>>> por la seguridad de la nación. El timador >>>> su medio de vida (la pasta) El hacker >>>> curiosidad?!!!
Ordenando la información: • Al igual que al preparar un ataque a un sistema informático. • Versión, bug, etc. • Vamos elaborando una lista, sobre nuestro objetivo. • Gustos, vicios, marca de cigarrillos, matrícula del coche, modelo, móvil, DNI, nombre de los hijos, de la mujer, de la novia, figuras principales de en su vida, se elabora un perfil psicológico de la persona. • Fuente: Internet, basura, amigos, familiares, buscar siempre las personas mayores, abuelas, o niños, hijos, hermanos, etc.
Preparando la estrategia • Todo objetivo se vale de una estrategia para lograrlo. Ese es el fin mismo de la estrategia. • Antes debemos: SABER, QUERER Y PODER hacerlo.
La ingeniería social por excelencia • Ahora estamos preparados para poner la trampa. Conocemos todo de nuestra víctima, y podemos predecir como actuará frente a determinados estímulos. • Conocemos sus gustos sus deseos, y es fácil llevarlo por una conversación telefónica a donde queremos.
¿Hola, Raúl Pérez Padilla? • Le hablamos del servicio de marketing de TUFONICA, estamos ofreciendo una promoción especial a nuestros mejores clientes. Consiste en que las llamadas a un número fijo nacional de su elección, serán gratis durante un año sin tener que pagar nada. • Por favor, para poder hacer esto posible necesitamos que nos confirme una serie de datos…. • - …….
Vendedor de CABLE o INSTALADOR de INTERNET • ¿Que se podríalograr con esto? Entrar a una casa, una víctima quizás EJEMPLO: Llamada a nuestro móvil, nuestro jefe, necesitamos enviar un dato urgente, no nos dejaría el ordenador para enviarlo?
Un ejemplo extraído de una pagina cita textualmente; … conocido el ataque que sufrió la Web de la Guardia Civil 1999 • (http://www.guardiacivil.org/) dirigiéndola hacia un site. No se debió a ningún fallo de su sistema, sino a que el atacante, envió un correo como si se tratara del administrador del dominio guardiacivil.org a Network Solutions y estos cambiaron los DNS del registro del dominio por los que quiso el atacante, redirigiendo así la Web de la Guardia Civil a la Web.
Mezclar la IS con la tecnología hace que el conjunto en sí, sea un arma mortal, crear un keylog, o un troyano en VB, o C++, No requiere un gran esfuerzo. CD de regalos, archivos adjuntos, echar volar la imaginación. ¿Quién no compraría el último Cd de nuestro cantante favorito Por $500 a un alguien que puso una manta en el centro de la ciudad, como caído del cielo. ??? • IS COMO PIEZA DE UN PUZZLE MORTAL
Pistas: • Los técnicos, hablan en lenguajetécnico, la gentesuele no entender nada y decirsiemprequesi. • Encuestasinocentes a los familiares de lasvictimas, edades, nombres, etc. (Hacerunascuantasparatenersoltura). • Ofertaincreíbleenviarunaaplicaciónpor mail (ahí se introduce el troyano). Es un mail esperado, lo abriráseguro.
HOTMAIL HACKEABLE? Tecnológicamente es difícil tenemos que hackear los servidores de Micorsoft, para obtener ¿qué, una cuenta?. Es caro, lleva tiempo, y es casi imposible. Soy realista
Si analizamos el problema, vemosque lo quequeremosesunacuenta en concreto. • Si es de nuestranovia/o (esfácil), un compañero o amigo, virtual o no (esfácil), de una persona porencargo.(Requiere un procesofino de ingeniera social, objetivo, un keylog, y acceder al computador). ÉTICA? >>VIOLACIÓN DE LA PRIVACIDAD?>>> ????
Conclusiones: La ingeniería social NUNCA PASARÁ DE MODA. Deja la ética de lado el ingrediente necesario detrás de todo gran ataque. Tu red tiene firewall?. . Tiene antivirus??? Tus administradores estan entrenados para hablar con hackers y detectar sus intentos de ingeniería social?
Contramedidas La mejor manera de esta protegido pasa por el conocimiento. • Educar a las personas, en concreto a las personas que trabajan cerca de las terminales, desde los operarios, hasta personal de limpieza. • Analizar con antivirus todo los correos que reciban • No informar telefónicamente de las características técnicas de la red, ni nombre de personal a cargo, etc. • Control de acceso físico al sitio donde se encuentra los computadores. • Políticas de seguridad a nivel de Sistema Operativo.
Trabajo Grupal • Mecanismos de seguridad en Internet, intranet y Extranet • ¿Hay legislación vigente o proyectos en Chile con respecto a la seguridad de la información? • Estadísticas de contratación de internet en Chile (Cantidad de usuarios, por compañías VTR, Telefónica, Etc.) • Concepto de velocidad de internet. • Concepto de ancho de banda.