Impresiones sin dueño. Vulnerabilidad en las Empresas


Desde securityartwork.es hemos leído un artículo escrito por Jose L. Villalón, bastante interesante donde exponen que las empresas pueden ser vulnerables por lo que imprimen sus empleados. A continuación el texto completo del artículo.





Titulo Original: Los papeles sin dueño

Hace ya algún tiempo, Toni Villalón nos hacia referencia a una técnica habitual en las auditorías de seguridad hace algunos años, el basureo (trashing), a partir de la cual podíamos obtener gran cantidad de información a partir de una papelera o cubo de basura. Sin embargo, ¿por qué ir rebuscando en la basura (que es algo sucio, desagradable y no sabemos con que podemos encontrarnos) si existen maneras mucho más fáciles, cómodas y limpias de obtener información? Además, sin ir muy lejos ni que te miren raro.

¿Dónde? En su impresora más cercana. Levántese, diríjase a ella y observe la documentación que nadie recoge, bien porque la envió a imprimir y olvidó que la había enviado, porque ya no la necesita, o por cualquier otra razón que se le ocurra. En realidad, el porqué no nos importa, lo que nos interesa es la información que contiene. Cójala y llévela a su sitio. Quizá le preocupe que su dueño legítimo aparezca de repente y le vea hacerlo, pero no se preocupe; lo más probable es que la haya abandonado, y en cualquier caso si acude a la impresora y ve que no está, la volverá a mandar imprimir, y probablemente volverá a olvidarla.

Una vez en su sitio, observe detalladamente la información que acaba de obtener. Con un poco de suerte, a lo largo de un par de semanas, habrá podido hacerse con información como la siguiente:

Contratos para la prestación de servicios a clientes junto con sus acuerdos de confidencialidad. También ofertas para el suministro de material, donde indicaba precios y tarifas ofertadas.
Listado de nombres, apellidos, teléfonos y correo electrónico de todo el personal de la empresa.
Manuales de instalación de software junto con sus números de licencia.
Informes para clientes, correos electrónicos impresos, correspondencia postal, etc.
Documentación generada por los clientes de la empresa, donde aparecen las incidencias reportadas.

Además, si tiene la fortuna de que la impresora dispone de funciones de fax y servidor de correo electrónico, también podrá obtener sin demasiados problemas los listados de faxes enviados y recibidos durante los últimos meses, con los teléfonos de destino, cuentas de correo y nombres de usuario, junto con algunos reportes de faxes enviados, donde aparece la propia información enviada de forma parcial.

Quizá le parezca que la información que le comento no tiene apenas valor, pero lo cierto es que piensa eso porque probablemente no la tenga para usted. Ese es, entre otros, el propósito de un sistema de clasificación de la información: identificar y clasificar la información en base a criterios objetivos, evitando que cada uno valore la información con la que trabaja según le afecte más o menos. Ahora, para acabar esta pequeña simulación, imagine ahora que usted no trabaja allí. Usted es “sólo” un externo que trabaja allí de manera temporal. Dentro de un par de semanas se irá de allí, con una carpeta llena de información que nadie jamás echará de menos (sus dueños piensan, extrañamente, que se la comió la impresora, por lo que la volvieron a imprimir).

La conclusión lógica a este pequeño episodio es que dedicamos muchos esfuerzos en implantar medidas de seguridad técnicas, como cortafuegos, controles de acceso lógico, sistemas de monitorización, o detectores de intrusos, para asegurarnos de que las personas no autorizadas puedan acceder a información sensible de la empresa. Sin embargo, muchas veces nos olvidamos o dedicamos menos esfuerzos en la implantación de medidas menos técnicas y más organizativas, como podrían ser destructoras de papel, controles de acceso físico, políticas para el uso correcto de las impresoras y faxes, política de mesas limpias…

Ahora, acérquese a su impresora. Quizá descubra algún tesoro oculto sin dueño.

Leído en:
http://www.securityartwork.es/



Otras noticias de interés:

Nueva versión Ubuntu Tweak 0.4.3
Apenas unos días después de liberar la versión 0.4.2 ya tenemos disponible para la descarga una nueva versión de Ubuntu Tweak, el muy buen software que nos hace fácil la configuración de Ubuntu....
Inyección de exploits puede dañar la reputación de su empresa
En los últimos días ha sido detectada una nueva inyección de código masiva a sitios web, que ingresó un script malicioso en miles de sitios web de empresas vulnerables (se estima que alrededor de 56 mil)...
Costes "ocultos" de los problemas de seguridad
Un estudio realizado por Forrester Research, y del que se ha hecho eco CNET News.com, revela que los consumidores están perdiendo la confianza en la seguridad de las transacciones online. Las empresas, por su parte, no son conscientes de todas las c...
Se publica el kernel Linux 2.4.21
Hace unos días se publicó la versión 2.4.21 del kernel Linux, que da solución a numerosos problemas de seguridad anunciados en las últimas semanas....
Las primeras vulnerabilidades del SP2 de Windows XP
Dos fallos recientemente detectados, podrían permitir que escritores de virus y piratas informáticos, eludan algunas de las nuevas características de seguridad implementadas en el flamante Service Pack 2 de Windows XP, afirman unos investigadores ...
AOL Instant Messenger permite ejecución de código
AOL Instant Messenger (AIM), permite el uso Mensajes de Disponibilidad, Away Messages, para que un usuario configure su correo de modo que responda automáticamente a mensajes recibidos mientras se encuentre de vacaciones o no tenga acceso a su...
Interesante tutorial sobre Diffie-Hellman y criptografía asimétrica
Jack Dennon ha publicado un extenso, detallado y excelente tutorial sobre criptografía de clave pública, más concretamente el algoritmo Diffie-Hellman....
IBM acerca Linux a sus servidores.
El gigante azul acaba de anunciar una versión especial de su servidor p630 que funciona bajo el sistema operativo Linux con procesadores IBM Power4 RISC....
BitDefender lanza nueva herramienta gratuita
Esta herramienta puede eliminar el virus informático Carberp, un peligroso troyano bancario. Revise y limpie su pc del peligroso virus Carberp (peligroso troyano bancario), eliminandolo con la novedosa herramienta gratuita BitDefender ...
Hackeado sitio web de la Presidencia de Ecuador
La página electrónica de la Presidencia de Ecuador fue intervenida el jueves, le colocaron el siguiente mensaje [con Colombia no se metan] y bloqueó el acceso a la información oficial, informó una fuente de la casa gubernamental....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • dueno
  • empresas
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • impresiones
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidad
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra