Memorias USB abandonadas para infectar sistemas


Steve Stasiukonis ha escrito un artículo sobre la ingeniería social basada en las cada vez más populares unidades de memoria USB. En el texto "Social Engineering, the USB Way" demostraba lo sencillo que había sido obtener contraseñas de los usuarios de una empresa utilizando las memorias USB como reclamo. Aunque sea un método curioso, no es nada nuevo.





Según cuenta en su artículo, fue contratado para realizar una auditoría
de seguridad en una compañía. Se le pidió expresamente que hiciese
hincapié en el escabroso asunto de la ingeniería social, más incluso que
en el aspecto técnico. Esto resulta una buena idea, pues a menudo son
los usuarios la mayor amenaza para la seguridad de una empresa.

Si anteriormente lo que solía hacer era un acercamiento físico a las
personas, de manera que se las engatusaba de alguna forma para que
revelaran información importante, en esta ocasión debía ser diferente.
Los trabajadores estaban alerta, pues ya conocían que se iba a llevar a
cabo una auditoría donde ser realizarían técnicas de ingeniería social.
Fue entonces cuando Stasiukonis cambió de técnica.

Recolectó memorias USB obsoletas e introdujo en ellas un troyano que
enviaría las contraseñas y demás información sensible al atacante. En
vez de intentar de nuevo convencerlos de que usaran aquellas memorias
antiguas y de poca capacidad, pensó en abandonarlas casualmente en el
aparcamiento, zonas para fumadores y demás áreas frecuentadas por los
trabajadores. La curiosidad hizo el resto y poco después el atacante
estaba recibiendo decenas de contraseñas. En concreto 15 de las 20
memorias fueron introducidas en un ordenador del trabajo y quedaron
infectados.

Este suceso no se diferencia de otras noticias conocidas del pasado.
En la "InfoSecurity Europe 2003 conference" se dieron a conocer unas
escalofriantes cifras. El 95% de los hombres y el 85% de las mujeres
revelaron sus contraseñas a cambio de un bolígrafo barato. También, como
ya se habló en un boletín de una-al-día anterior, el experimento de
autopromoción llevado a cabo por "The Training Camp" no ofrecía dudas.
Bajo la excusa de que el disco contenía información sobre una promoción
especial, se iba regalando un CD a los ejecutivos que acudían a su
trabajo en Londres. Los compactos no contenían en realidad tal oferta,
sino un simple código que permitía informar a la compañía de quién había
ejecutado el programa en su interior. Entre ellos, según la noticia, se
encontraba personal de grandes bancos y aseguradoras multinacionales.

La solución definitiva, aunque imprescindible, no pasa por utilizar más
seguros o mejores sistemas operativos. En este caso concreto, fue el
propio usuario el que ejecutó de forma consciente las supuestas imágenes
almacenadas en el interior de la memoria. Un sistema operativo con
restricciones de privilegios o bien protegido sólo habría mitigado el
problema, no lo habría hecho desaparecer. ¿Cómo luchar contra la
naturaleza humana?

Las conclusiones son las de siempre, aunque con matices. Este nuevo
acercamiento a la ingeniería social supone una novedad en la medida en
la que desvincula completamente a un atacante. No es necesario entrar
físicamente en las oficinas, hablar con ningún empleado o regalar
objetos que puedan ser rastreados más tarde, ni siquiera enviar un email
que podría ser filtrado como correo basura. Basta abandonar un objeto
anónimo que llame la atención para que sean los propios usuarios los
que acudan al anzuelo.

También se puede reflexionar sobre la calidad de la formación que se
le presta a los usuarios. Si resulta imprescindible una formación y
concienciación para usuarios que trabajan a diario con sistemas de
información sensible, cabe preguntarse si se está prestando la formación
adecuada. Teniendo en cuenta que estos experimentos siguen evidenciando
año tras año importantes deficiencias en la educación sobre seguridad en
entornos laborales.

Por ejemplo, los administradores llevan años advirtiendo sobre la
peligrosidad de los adjuntos en los correos, pero quizás nadie ha
explicado de forma profesional por qué debe evitarse esta práctica, que
no es más que una forma concreta de controlar, en general, la ejecución
indiscriminada de archivos. Limitar la "formación" a recomendaciones
informales o "sermones" esporádicos no es suficiente por sí mismo. Más
que inculcar una serie de reglas, hacer comprender el peligro a través
de un programa de formación adecuado y respetar una estricta política
de seguridad resultan en una prevención mucho más efectiva.

Así se podrá evitar que desde el punto de vista de los atacantes, si
muchos usuarios han aprendido a no ejecutar cualquier programa que les
llegue por correo, no haya más que cambiar el método y distribuir los
archivos infectados a través de cualquier otro medio para que vuelvan
a tropezar en la misma piedra. Memorias USB abandonadas para infectar
sistemas no deja de ser una manera más (ni la primera ni la última) de
aprovechar el desconocimiento inherente del usuario no especializado y
la morbosa curiosidad del usuario en general.

Más información:

La seguridad no importa a los usuarios
http://www.hispasec.com/unaaldia/2676

Social Engineering, the USB Way
http://www.darkreading.com/document.asp?doc_id=95556&WT.svl=column1_1

Office workers give away passwords for a cheap pen
http://www.theregister.co.uk/2003/04/18/office_workers_give_away_passwords/

Fuente:
Sergio de los Santos
hispasec.com



Otras noticias de interés:

Retos en seguridad con IPv6
El lanzamiento global del protocolo IPv6 el próximo 6 de junio marcará el comienzo de una nueva era en la evolución y la adopción generalizada de la infraestructura de internet en todo el mundo. ...
Microsoft anuncia la muerte definitiva del famoso Clippy o Clippo
Microsoft anunció que el famoso clip del programa Microsoft Office será eliminado definitivamente en la nueva versión de la suite de productividad....
Vulnerabilidades antiguas usadas para infectar
Es muy común que nos consulten cuales son las tendencias en cuestión de seguridad de la información y malware y por supuesto nuestro Laboratorio cada día publica estas nuevas amenazas y las formas de prevención....
Los píratas informáticos atacan a los nuevos dispositivos
Parece que la seguridad en los aparatos móviles y otros gadgets sigue siendo una de las asignaturas pendientes para la mayoría de las empresas de tecnología....
Estandares de cifrado de datos
Existen muchos algoritmos de cifrado de datos. Y no todos están definidos por los estándares norteamericanos. Es cierto que el AES, DES, RSA y otros algoritmos de cifrado han copado el mercado, pero Europa y Japón tienen sus propios estándares, s...
Alemania reconoce que espia a sus ciudadanos
El gobierno alemán ha publicado un resumen de los gastos financieros del ministerio del Interior en el que se desvela que la policía se dedica a espiar las actividades de sus ciudadanos en internet....
¿Son los filtros antispam demasiado estrictos?
No faltan voces que aseguran que los filtros y programas de bloqueo del spam funcionan demasiado bien, lo cual puede llegar a ser un problema. Si AOL, por ejemplo, o cualquier otro ISP deciden que tal individuo es un spammer, ninguno de sus correos p...
La burbuja de VMWare
La virtualización supuso un boom y sin lugar a dudas el mayor protagonista, en cuanto a ganancias económicas y de usuarios fue VMWare. Pasado el boom de la virtualización, con las mejoras introducidas por las compañías de hardware, AMD e Intel e...
CUIDADO!!! TU COMPUTADOR TIENE VIRUS???
W32.Klez puede ocasionar problemas con el software W32.Klez.gen@mm y sus variantes son gusanos de envío masivo por correo electrónico que pueden afectar al rendimiento y a la funcionalidad de los productos de software de Symantec y otros fabricante...
Ciberamenazas, el enemigo más temido por empresas
67% de las compañías señala que los ataques cibernéticos constituyen el mayor riesgo empresarial. La movilidad, el uso de dispositivos propios en el trabajo y las redes sociales son las preocupaciones centrales de los sectores de seguridad inform...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • abandonadas
  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • infectar
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • memorias
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • sistemas
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • usb
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra