Human Hacking: ataques tecnológicos para vulnerabilidades no tecnológicas


Siendo estrictos, es preciso diferenciar cuándo un ataque de ingeniería social (en adelante IS) es puramente digital o clásico, para poder percibir la gravedad de la presente situación. Con clásico nos referimos a aquel ataque de IS que emplea los medios de comunicación para alcanzar su fin (sin usar la tecnología), y por tanto, necesita una interacción voluntaria por parte de la víctima.





En cambio, en los casos de IS digital, la interacción suele producirse de forma que la víctima no es consciente (la información que recibe no va destinada a interpretación o lectura), pues cabe la posibilidad de ser manipulado sin siquiera percibirlo, lo cual constituye una amenaza muy seria. Ambos son engaños que emplean el descuido como vía de explotación, aunque con sutiles diferencias.

Antes de continuar, debemos introducir algunos conceptos más para entender la complejidad del asunto. Generalmente, con el fin de proteger nuestra red empresarial, se emplean diversos dispositivos y software actualizado, tales como firewalls y antivirus (genéricamente hablando para simplificar la exposición). Esto quiere decir que si alguien trata de introducir amenazas previamente conocidas como un virus, un troyano o simplemente entrar por alguno de los puertos, no tendrá éxito porque tanto el firewall, que en nuestro hipotético caso sólo permite tráfico por el puerto 80, como el antivirus, están realizando correctamente su trabajo, es decir, la red está blindada.

Para poder burlar este blindaje, se emplean distintos métodos, por lo que nos encontramos con diversas amenazas, destacando las “Subversive Multivector Threats” o SMT que son tácticas de ataque que combinan procedimientos físicos con digitales (a diferencia de las famosas APT que son estrictamente digitales), es decir, son obras maestras del espionaje corporativo. El caso es que son frecuentes, si uno dedica tiempo a su detección y estudio, aunque como sucede con el cáncer, hay que estar muy atento. Sin embargo, el grado de atención requerido es muy alto a la par que caro, al menos, durante esta transición en la que aún no se percibe la realidad digital como parte de la realidad global (física + digital).

El caso, es que en el 99% de los cursos que se imparten por el mundo sobre Test de Intrusión (PenTest), se usa el ejemplo del coleccionista, para evidenciar la simplicidad con la que puede accederse a una red corporativa sin gran esfuerzo (tanto las SMT como las APT son altamente complejas y requieren gran esfuerzo). Aunque en la mayoría de las ocasiones, en auditoría se “procura” emplear la IS sólo como último recurso, instintivamente sabiendo que casi seguro que funcionará, pues hace falta que sólo un empleado caiga en la trampa.

Lo más curioso, es que no es necesario tener unos amplios conocimientos para lanzar ataques de IS digital. Para ello ya existe el Social-Engineer Toolkit más conocido como SET, que es un conjunto de herramientas especialmente diseñadas para realizar ataques de IS. En concreto, usando el modo “Tabnabbing” podemos enviar a una posible víctima un enlace que, a través del puerto 80, (recuerden que en nuestro ejemplo, siempre está abierto para tener acceso a Internet) inicia en nuestro navegador una página que tarda en cargar. La tónica general es abrir otra pestaña o cambiarnos a la anterior mientras carga la pendiente, y es en ese momento, cuando aparece una página clonada de Facebook, Gmail o cualquier otra que solicite credenciales de acceso (que es lo que generalmente se persigue con este método en concreto).

Si tuviéramos el descuido de iniciar sesión en esa pestaña, habríamos regalado al atacante nuestras credenciales secretas. Según todo lo anterior y en vista del gran despliegue de medios para blindar las redes corporativas, es preciso recomendar que se incida en la prevención de este tipo de ataques, si queremos que nuestra inversión en seguridad proporcione un ROI (retorno de inversión), ya que si contamos con la vanguardia en medidas de protección de intrusión, pero seguimos sin prestar atención al eslabón más débil (el hombre), las pérdidas, tanto en reputación como en ingresos efectivos, no serán sostenibles.

Un enfoque sencillo (explotar hábitos de navegación en este caso) facilita la vida al hackpirata informátcias. Ese mismo enfoque podría evitar la pérdida de muchos euros. No hay que invertir más, pero sí mejor.


Fuente:
Eduardo J Orenes Nicolás (CISSP / Security+ / eCPPT / ACE) Jefe del Gabinete Criptográfico y Coordinador de la Oficina de Seguridad de la Información de la Armada
http://www.csospain.es/



Otras noticias de interés:

Nueva Version Freenet 0.5.1 al aire
Ian Clarke y su equipo ya han liberado la versión 0.5.1 de Freenet, la aplicación P2P específicamente diseñada para eliminar la posibilidad de censura....
Shell.Application, burla el parche de Microsoft
Todavía es posible lanzar programas en el sistema del usuario, sin que éste deba intervenir en el proceso, simplemente visitando un sitio Web. El exploit que permite utilizar esta vulnerabilidad, ya está disponibl...
I Encuentro Nacional de Comunidades del Software Libre
El Grupo de Usuarios de Gnu/Linux de Aragua (LUGMA) está invitando al I Encuentro Nacional de Comunidades del Software Libre, el cual se estará celebrando los días 30 de Junio y 1° de Julio de este año en la ciudad de Maracay del Estado Aragua....
MICROSOFT MUESTRA POR ERROR LA SEGUNDA BETA DE OFFICE 2003
Microsoft puso a disposición del público la segunda beta de Office 2003 en el sitio web de la red de desarrolladores de Microsoft (MSDN) el pasado miércoles, y la retiró unas horas después....
eZine Linux+ Octubre 2010
La gente de Linux+ ha publicado para su descarga la versión del mes de Octubre 2010 de su ezine....
El principio del fin para Windows NT... ¿Días contados?
Descubierta una vulnerabilidad en el servicio RCP Endpoint Mapper, presente por defecto en el puerto TCP/135 en Windows NT 4.0, 2000 y XP. Microsoft publica el parche para Windows 2000 y XP, mientras que deja a todos los sistemas Windows NT vulnerabl...
Revista Digital El Derecho Informático Nº 12
Está disponible la edición número 12 de la revista digital El Derecho Informático....
Un ordenador que observa al usuario
Investigadores canadienses han desarrollado un prototipo de ordenador que puede identificar a la persona que lo está utilizando. El objetivo es controlar quién se acerca a la máquina para enviar email, mensajes o realizar llamada, y su grado de oc...
Google soluciona falla que permite a hacker cosechar correos de Gmail
Google ha parchado una vulnerabilidad en Gmail que permita a un hacker cosechar las direcciones de correo almacenadas en una cuenta con simplemente hacer que usuario navegue por una página web especialmente diseñada, según MSNBC. Un joven de 21 a...
Ejecución de código no corregida por parche MS07-012
Una vulnerabilidad en el componente MFC (Microsoft Foundation Classes) de Microsoft, que permite la ejecución remota de código, podría ser explotada por un usuario malicioso, aún después de la instalación de un parche ya publicado (MS07- ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • ataques
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • human
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • tecnologicas
  • tecnologicos
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra