Memorias USB abandonadas para infectar sistemas


Steve Stasiukonis ha escrito un artículo sobre la ingeniería social basada en las cada vez más populares unidades de memoria USB. En el texto "Social Engineering, the USB Way" demostraba lo sencillo que había sido obtener contraseñas de los usuarios de una empresa utilizando las memorias USB como reclamo. Aunque sea un método curioso, no es nada nuevo.





Según cuenta en su artículo, fue contratado para realizar una auditoría
de seguridad en una compañía. Se le pidió expresamente que hiciese
hincapié en el escabroso asunto de la ingeniería social, más incluso que
en el aspecto técnico. Esto resulta una buena idea, pues a menudo son
los usuarios la mayor amenaza para la seguridad de una empresa.

Si anteriormente lo que solía hacer era un acercamiento físico a las
personas, de manera que se las engatusaba de alguna forma para que
revelaran información importante, en esta ocasión debía ser diferente.
Los trabajadores estaban alerta, pues ya conocían que se iba a llevar a
cabo una auditoría donde ser realizarían técnicas de ingeniería social.
Fue entonces cuando Stasiukonis cambió de técnica.

Recolectó memorias USB obsoletas e introdujo en ellas un troyano que
enviaría las contraseñas y demás información sensible al atacante. En
vez de intentar de nuevo convencerlos de que usaran aquellas memorias
antiguas y de poca capacidad, pensó en abandonarlas casualmente en el
aparcamiento, zonas para fumadores y demás áreas frecuentadas por los
trabajadores. La curiosidad hizo el resto y poco después el atacante
estaba recibiendo decenas de contraseñas. En concreto 15 de las 20
memorias fueron introducidas en un ordenador del trabajo y quedaron
infectados.

Este suceso no se diferencia de otras noticias conocidas del pasado.
En la "InfoSecurity Europe 2003 conference" se dieron a conocer unas
escalofriantes cifras. El 95% de los hombres y el 85% de las mujeres
revelaron sus contraseñas a cambio de un bolígrafo barato. También, como
ya se habló en un boletín de una-al-día anterior, el experimento de
autopromoción llevado a cabo por "The Training Camp" no ofrecía dudas.
Bajo la excusa de que el disco contenía información sobre una promoción
especial, se iba regalando un CD a los ejecutivos que acudían a su
trabajo en Londres. Los compactos no contenían en realidad tal oferta,
sino un simple código que permitía informar a la compañía de quién había
ejecutado el programa en su interior. Entre ellos, según la noticia, se
encontraba personal de grandes bancos y aseguradoras multinacionales.

La solución definitiva, aunque imprescindible, no pasa por utilizar más
seguros o mejores sistemas operativos. En este caso concreto, fue el
propio usuario el que ejecutó de forma consciente las supuestas imágenes
almacenadas en el interior de la memoria. Un sistema operativo con
restricciones de privilegios o bien protegido sólo habría mitigado el
problema, no lo habría hecho desaparecer. ¿Cómo luchar contra la
naturaleza humana?

Las conclusiones son las de siempre, aunque con matices. Este nuevo
acercamiento a la ingeniería social supone una novedad en la medida en
la que desvincula completamente a un atacante. No es necesario entrar
físicamente en las oficinas, hablar con ningún empleado o regalar
objetos que puedan ser rastreados más tarde, ni siquiera enviar un email
que podría ser filtrado como correo basura. Basta abandonar un objeto
anónimo que llame la atención para que sean los propios usuarios los
que acudan al anzuelo.

También se puede reflexionar sobre la calidad de la formación que se
le presta a los usuarios. Si resulta imprescindible una formación y
concienciación para usuarios que trabajan a diario con sistemas de
información sensible, cabe preguntarse si se está prestando la formación
adecuada. Teniendo en cuenta que estos experimentos siguen evidenciando
año tras año importantes deficiencias en la educación sobre seguridad en
entornos laborales.

Por ejemplo, los administradores llevan años advirtiendo sobre la
peligrosidad de los adjuntos en los correos, pero quizás nadie ha
explicado de forma profesional por qué debe evitarse esta práctica, que
no es más que una forma concreta de controlar, en general, la ejecución
indiscriminada de archivos. Limitar la "formación" a recomendaciones
informales o "sermones" esporádicos no es suficiente por sí mismo. Más
que inculcar una serie de reglas, hacer comprender el peligro a través
de un programa de formación adecuado y respetar una estricta política
de seguridad resultan en una prevención mucho más efectiva.

Así se podrá evitar que desde el punto de vista de los atacantes, si
muchos usuarios han aprendido a no ejecutar cualquier programa que les
llegue por correo, no haya más que cambiar el método y distribuir los
archivos infectados a través de cualquier otro medio para que vuelvan
a tropezar en la misma piedra. Memorias USB abandonadas para infectar
sistemas no deja de ser una manera más (ni la primera ni la última) de
aprovechar el desconocimiento inherente del usuario no especializado y
la morbosa curiosidad del usuario en general.

Más información:

La seguridad no importa a los usuarios
http://www.hispasec.com/unaaldia/2676

Social Engineering, the USB Way
http://www.darkreading.com/document.asp?doc_id=95556&WT.svl=column1_1

Office workers give away passwords for a cheap pen
http://www.theregister.co.uk/2003/04/18/office_workers_give_away_passwords/

Fuente:
Sergio de los Santos
hispasec.com



Otras noticias de interés:

Alerta: Exploits para la vulnerabilidad en PDF
Se ha reportado un exploit activo para la vulnerabilidad en archivos PDF que permite la ejecución remota de código a través de la simple visualización de un archivo en ese formato. ...
Actualización de seguridad de iTunes
Apple ha publicado la versión 9.0.1 que soluciona un grave problema de seguridad que sucedía si un usuario intentaba visualizar un archivo .pls especialmente manipulado. Esta nueva versión también soluciona otros problemas importantes y mejora la...
La identificación por radiofrecuencia (RFID) puede guiar a los terroristas
Las tarjetas RFID, con toda la información personal de un individuo, puede ser leída a distancia gracias a lectores piratas y servir para cometer atentados terroristas, advierte la Real Academia de Ingeniería de Londres. En un informe sobre los di...
Los phishers amplían sus redes
Un nuevo informe de RSA descubre que en diciembre de 2009 fueron atacadas un 21% más de empresas....
El fraude del Scam
Lamentablemente día a día recibimos en nuestra bandeja de entrada docenas de correos electrónicos cuya finalidad es intentar estafarnos. Un ejemplo de ello es el scam....
Desarrollador antivirus pide que Internet sea regulada por los gobiernos
Policías, licencias para poder utilizar Internet, y estrictas reglas de uso bajo el control de los gobiernos, son las medidas propuestas por el desarrollador de antivirus Kaspersky para evitar que los gusanos y ataques informáticos acaben con Inter...
Informática en el aula: revés inesperado de los nativos digitales
Los docentes están desconcertados por el bajo rendimiento en la materia; faltan objetivos claros en el plan de estudios....
Más privacidad en Internet
La Casa Blanca señala que las nuevas reglas de privacidad en internet son un balance entre la protección a la privacidad y el desarrollo económico....
Vulnerabilidad en Mozilla Firefox 1.5 Beta 1 IDN Buffer Overflow
Según reporta Tom Ferris de security-protocols.com, la vulnerabilidad provocada por un desbordamiento de búfer en la función "NormalizeIDN", cuando se procesan ciertas URIs especialmente modificadas, afecta ...
¿Microsoft no sabe que inventar? // Workspaces. Lo nuevo de Microsoft.
Microsoft acaba de presentar sobre Internet un nuevo site, con el que pretende captar la atención de la comunidad de desarrolladores libres. ¿Será que el gigante del software se ha dado cuenta del poderío del software libre? ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • abandonadas
  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • infectar
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • memorias
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • sistemas
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • usb
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra