Impresiones sin dueño. Vulnerabilidad en las Empresas


Desde securityartwork.es hemos leído un artículo escrito por Jose L. Villalón, bastante interesante donde exponen que las empresas pueden ser vulnerables por lo que imprimen sus empleados. A continuación el texto completo del artículo.





Titulo Original: Los papeles sin dueño

Hace ya algún tiempo, Toni Villalón nos hacia referencia a una técnica habitual en las auditorías de seguridad hace algunos años, el basureo (trashing), a partir de la cual podíamos obtener gran cantidad de información a partir de una papelera o cubo de basura. Sin embargo, ¿por qué ir rebuscando en la basura (que es algo sucio, desagradable y no sabemos con que podemos encontrarnos) si existen maneras mucho más fáciles, cómodas y limpias de obtener información? Además, sin ir muy lejos ni que te miren raro.

¿Dónde? En su impresora más cercana. Levántese, diríjase a ella y observe la documentación que nadie recoge, bien porque la envió a imprimir y olvidó que la había enviado, porque ya no la necesita, o por cualquier otra razón que se le ocurra. En realidad, el porqué no nos importa, lo que nos interesa es la información que contiene. Cójala y llévela a su sitio. Quizá le preocupe que su dueño legítimo aparezca de repente y le vea hacerlo, pero no se preocupe; lo más probable es que la haya abandonado, y en cualquier caso si acude a la impresora y ve que no está, la volverá a mandar imprimir, y probablemente volverá a olvidarla.

Una vez en su sitio, observe detalladamente la información que acaba de obtener. Con un poco de suerte, a lo largo de un par de semanas, habrá podido hacerse con información como la siguiente:

Contratos para la prestación de servicios a clientes junto con sus acuerdos de confidencialidad. También ofertas para el suministro de material, donde indicaba precios y tarifas ofertadas.
Listado de nombres, apellidos, teléfonos y correo electrónico de todo el personal de la empresa.
Manuales de instalación de software junto con sus números de licencia.
Informes para clientes, correos electrónicos impresos, correspondencia postal, etc.
Documentación generada por los clientes de la empresa, donde aparecen las incidencias reportadas.

Además, si tiene la fortuna de que la impresora dispone de funciones de fax y servidor de correo electrónico, también podrá obtener sin demasiados problemas los listados de faxes enviados y recibidos durante los últimos meses, con los teléfonos de destino, cuentas de correo y nombres de usuario, junto con algunos reportes de faxes enviados, donde aparece la propia información enviada de forma parcial.

Quizá le parezca que la información que le comento no tiene apenas valor, pero lo cierto es que piensa eso porque probablemente no la tenga para usted. Ese es, entre otros, el propósito de un sistema de clasificación de la información: identificar y clasificar la información en base a criterios objetivos, evitando que cada uno valore la información con la que trabaja según le afecte más o menos. Ahora, para acabar esta pequeña simulación, imagine ahora que usted no trabaja allí. Usted es “sólo” un externo que trabaja allí de manera temporal. Dentro de un par de semanas se irá de allí, con una carpeta llena de información que nadie jamás echará de menos (sus dueños piensan, extrañamente, que se la comió la impresora, por lo que la volvieron a imprimir).

La conclusión lógica a este pequeño episodio es que dedicamos muchos esfuerzos en implantar medidas de seguridad técnicas, como cortafuegos, controles de acceso lógico, sistemas de monitorización, o detectores de intrusos, para asegurarnos de que las personas no autorizadas puedan acceder a información sensible de la empresa. Sin embargo, muchas veces nos olvidamos o dedicamos menos esfuerzos en la implantación de medidas menos técnicas y más organizativas, como podrían ser destructoras de papel, controles de acceso físico, políticas para el uso correcto de las impresoras y faxes, política de mesas limpias…

Ahora, acérquese a su impresora. Quizá descubra algún tesoro oculto sin dueño.

Leído en:
http://www.securityartwork.es/



Otras noticias de interés:

Asturix la distribución GNU/Linux de Asturias
Una de las distros españolas, con alrededor de 2000 usuarios y acompañada de una comunidad de desarrolladores. Asturix viene en 3 versiones para que elijas: ...
Hackean el sitio Web de PlayStation
Según informa la empresa de seguridad Sophos, el sitio Web de Sony PlayStation ha sido víctima de un ataque de inyección SQL. Los atacantes han logrado introducir código que al ser ejecutado muestra un supuesto antivirus en línea, el cual aparen...
Microsoft actualiza un parche para el RAS de Windows que bloqueaba la conexión con VPN
Microsoft ha comunicado que un parche que solucionaba un fallo de seguridad del RAS (Remote Access Service) en varias versiones de Windows tiene un agujero que puede impedir que los usuarios realicen conexiones VPN (Virtual Private Network). ...
Caminantes aleatorios, la próxima revolución P2P.
La próxima generación de programas de pares podría alcanzar nuevos niveles de estabilidad y eficiencia gracias al desarrollo de un nuevo algoritmo de búsqueda basado en los caminantes aleatorios....
Google podría funcionar cinco veces más rápido
Los internautas son fieles a Google debido en parte a su rapidez en las búsquedas. Sin embargo, un equipo de investigadores de la Universidad de Stanford ha encontrado formas de aumentar su velocidad hasta cinco veces más que sus posibilidades actu...
Manifestación en Oslo contra OOXML
Al mediodía del día 09/04/2008 tuvo lugar en Oslo (Noruega) una manifestación contra la reciente y polémica aprobación de Microsoft Office Open XML (OOXML) como estándar ISO....
La maldición de la pregunta secreta
Nos ha pasado a todos: nos inscribimos en alguna cuenta on-line, elegimos una contraseña difícil de recordar y de adivinar, y luego se nos presenta una pregunta secreta a contestar. Hace veinte años sólo existía una pregunta secreta: ¿Cuál ...
Desconectar gente de internet es inaceptable
Hay una peligrosa tendencia en internet, dijo el inventor de la World Wide Web, Tim Berners Lee: Los gobiernos se están otorgando a sí mismos el derecho de apagar internetEl segundo es el derecho a la privacidad y al sentirse seguro al navegar....
Splogs - La basura inunda la blogosfera
Son la nueva y, por desgracia, emergente forma de basura: los splogs (spam + blogs) están inundando la blogosfera. ...
Adobe soluciona problemas críticos PDF (actualizar inmediatamente)
La compañía Adobe acaba de actualizar su programa Adobe Reader y Adobe Acrobat con sendas versiones 9.2 y 8.1.7 para Windows y 7.1.4 para Mac OS y Linux, que soluciona 28 problemas, incluyendo el problema grave de seguridad que se podía explotar c...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • dueno
  • empresas
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • impresiones
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidad
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra