Una Historia Verdadera...
Hace unos años, un grupo de extraños ingreso en las instalaciones de una Compañía y consiguieron acceso a toda la red interna de dicha Empresa. Como lo consiguieron? Obteniendo pequeñas cantidades de información, bit a bit de múltiples empleados de la compañía. Lo primero que hicieron fue conseguir información de la compañía por dos días seguidos antes de intentar ingresar a la Compañía. Consiguieron los nombres de los empleados relevantes de la Compañía por medio de Recursos Humanos, luego fingieron perder su llave de ingreso a la compañía, y otro empleado los dejo ingresar. Luego "perdieron" sus carnets de empleados cuando entraron al área segura del tercer piso, sonrieron y de nuevo otro empleado los dejo ingresar.
Los extraños sabían que el Gerente Financiero estaría fuera de la ciudad, así que pudieron ingresar a su oficina para obtener toda la información financiera sin encriptar o proteger de su computador. Revisaron toda la basura que salió de la compañía encontrando toda clase de información valiosa. Le pidieron a uno de los empleados de mantenimiento una de sus canecas y así pudieron salir del edificio con toda la información y documentos que encontraron. Estos extraños también pudieron imitar la voz del Gerente Financiero, hicieron una llamada simulando una emergencia y argumentando haber olvidado su clave de acceso. Ya con esta clave, utilizaron herramientas de hackeo y obtuvieron un acceso de súper usuario en el sistema.
Lo único positivo de esta historia, es que los extraños eran en realidad consultores realizando una auditoria para el Gerente Financiero sin que nadie más en la compañía lo supiera. Este equipo nunca recibió información privilegiada por parte de este Gerente pero obtuvieron todo el acceso que deseaban por medio de la Ingeniería Social.
Definiciones:
Definiciones de Ingeniería Social se pueden encontrar muchas: El arte y ciencia de hacer que la gente haga lo que se desea", o "Ataque realizado por un hacker con trucos psicológicos en usuarios de una red para que entreguen información de acceso al sistema" y para terminar "Conseguir información importante (un password por ejemplo) de una persona en lugar de intentar acceder a su PC". En realidad la Ingeniería social puede ser todo esto, dependiendo la óptica con que se mire. En lo único en que todas las personas coinciden es en que la Ingeniería Social es la manipulación de la tendencia humana de la confianza, y el objetivo de la persona que ejerce esta acción es obtener la información necesaria para acceder a la información sensible de una compañía.
La seguridad se fundamenta en la confianza: confianza en la protección y en la autenticación. Generalmente aceptado como el eslabón mas débil en la cadena de la seguridad, las personas y su tendencia a confiar en las demás personas abren las puertas a muchísimas vulnerabilidades. No importa cuantos artículos se publiquen sobre vulnerabilidades en redes, parches de actualización y firewalls, siempre podremos reducir las amenazas hasta Luisa en Ingeniería mantener la seguridad de las red en la Compañía.
Objetivos y ataques
El propósito básico de la Ingeniería Social es el mismo que el de un hacker: obtener acceso no autorizado a un sistema o a información con el propósito de cometer un fraude, una intrusión, espionaje industrial, robo de identidad, o simplemente inhabilitar los sistemas. Los blancos usuales de estos ataques incluyen proveedores de internet, grandes multinacionales, bancos, agencias militares y gubernamentales, y hospitales.
Encontrar buenos ejemplos de la vida real de ingeniería social es complicado. Las empresas que han sido víctimas de estos ataques pueden no querer admitirlo (una falla en seguridad no solo es vergonzoso, también afectaría el buen nombre de la compañía), y también es muy probable que el ataque no esté bien documentado por lo cual no hay forma de estar seguros de que haya sido un ataque de ingeniería social o no.
Los ataques de ingeniería social se ejecutan en dos niveles; físico y sicológico. Enfoquémonos inicialmente en la parte física de estos ataques: el sitio de trabajo, el teléfono, su cesta de basura, o inclusive ataques en línea. En el sitio de trabajo el hacker puede simplemente entrar por la puerta y simular ser un empleado de mantenimiento quien puede entrar a la Compañía. Una vez el intruso lograr acceder a la Compañía, simplemente con desplazarse por los corredores podrá encontrar escritos usuarios y contraseñas los cuales aprovechara desde la seguridad de su casa.
Ingeniería Social Telefónica
Este es el tipo de ingeniería social que más se realiza. Un atacante puede llamar e imitar la voz de un funcionario con cierto nivel de autoridad y obtener información de un supuesto subalterno. Los Helpdesk son particularmente vulnerables a este tipo de ataques. Los atacantes simulan llamar desde el interior de la compañía atacando el PBX o la compañía de teléfonos, con lo cual un identificador de llamadas queda burlado por completo.
Los Helpdesk son particularmente vulnerables por que su principal función es ayudar, un hecho que puede ser fácilmente explotado por un individuo buscando obtener acceso no autorizado. Los empleados de los Helpdesk están entrenados para ser amigables y entregar información, así que esta es una mina de oro para la Ingeniería Social. Muchos empleados de los Helpdesk son mínimamente entrenados en seguridad y mal pagos, así que tienden a responder preguntas listos para responder la siguiente y la siguiente llamada, convirtiéndose así en una enorme vulnerabilidad de seguridad.
Ingeniería Social en la red
Internet es el sitio predilecto por los atacantes que buscan obtener nombres de usuario y passwords. La debilidad principal de los usuarios es repetir el mismo password en todas las aplicaciones, páginas, etc que utilizan. Una vez que el atacante obtiene un password probablemente podrá acceder a múltiples sitios bajo la identidad de su víctima. Una forma que utilizan los atacantes para obtener passwords es a través de un formulario en línea en el cual le piden a la victima que digite sus datos como email y un password, y asi obtienen acceso a todos los sistemas, redes sociales, email corporativo, etc de dicha persona.
Persuasión
Los atacantes siempre realizan sus ataques enfatizando en crear el ambiente psicológicamente perfecto para el ataque. Métodos básicos de persuasión incluyen la suplantación, simular ser una persona muy agradable o la falsa amistad. Sin importar el método que se utilice, el objetivo principal es convencer a la victima de que el atacante es en realidad una persona a quien confiarle información sensible. Otro punto importante en estos ataques es que no buscan obtener toda la información en un solo ataque, pero si conseguirla toda en varios ataques en diferentes ocasiones.
La suplantación generalmente significa crear uno o varios personajes e interpretar sus roles. Entre mas sencillo el personaje, mejor. Usualmente los atacantes estudian a sus víctimas, esperando por ejemplo que se ausenten de la ciudad para suplantarlos al teléfono.
Algunos de los papeles mas comúnmente interpretados por los atacantes es el de un reparador, soporte en Sistemas, un Gerente, un tercero de toda confianza (por ejemplo, el presidente de una compañía) o un compañero de trabajo. En una compañía grande, esto no resulta tan difícil de realizar, pues no hay forma de conocer a todos los empleados, los carnets pueden ser falsificados, etc. Un factor común que se puede obtener de estas suplantaciones es el de personas con algún rango o posición jerárquica en la compañía, lo cual nos lleva a la complacencia. Todo empleado desea impresionar a su jefe, asi que suministrara sin problema cualquier información que le sea solicitada por un superior.
Espionaje Basura (Dumpster Diving)
El Espionaje Basura es otro popular método de ingeniería social. Una gran cantidad de información puede ser encontrada entre la basura de una compañía. Que información puede llegar allí? Agendas telefónicas, organigramas, manuales de las políticas de la compañía, agendas de trabajo, eventos o vacaciones, manuales de sistemas, planos de las instalaciones, impresiones de códigos fuente, CDs, DVDs, y hardware desactualizado.
Toda esta "basura" se puede constituir en una enorme fuente de información para el atacante. Las agendas telefónicas pueden dar información de posibles blancos o personas a suplantar. Los organigramas revelan quienes están en cargos con autoridad en la organización. Manuales de políticas pueden darle idea de que tan segura o insegura es una compañía. Los calendarios pueden indicar que empleado va a estar fuera de la oficina. Los manuales de sistemas pueden brindar información exacta de como desbloquear una red. El hardware desactualizado, por ejemplo discos duros pueden ser restaurados para obtener toda clase de información.
Ingeniería Social Inversa
Para terminar, el método mas avanzado de obtener acceso no autorizado a un sistema o información es conocido como "Ingeniería Social Inversa". Esta se realiza cuando el atacante suplanta a una persona que se encuentra en una posición con autoridad suficiente para que los empleados le pidan a el información en vez de el pedir información. Si se investiga, planea y ejecuta adecuadamente, este ataque puede brindarle al atacante mayores oportunidades de obtener información valiosa de los propios empleados; sin embargo este ataque requiere de un alto grado de preparación e investigación para culminarlo con éxito.
Este ataque frecuentemente se compone de 3 etapas: sabotaje, intromisión, y el ataque en si. Veamos como es el asunto: Un atacante sabotea una compañía de la cual quiere obtener información, ocasionando que se presente un problema. Al materializarse el problema, el mismo atacante se presenta en la Organización argumentando que es el candidato ideal para solucionar ese problema (Intromisión), y una vez que se le da acceso a la Organización realiza su ataque obteniendo la información, acceso a la red o lo que esté buscando. Lo más asombroso del ataque es que en la Organización víctima del ataque son incapaces de identificar al atacante como tal por que el problema del que fueron víctimas fue solucionado y se recupero la normalidad; o peor aún, no saben que fueron víctima de un ataque por que todo está operando normalmente.
Epilogo
Un artículo de Ingeniería Social no seria lo mismo sin mencionar a Kevin Mitchnick, así que finalizamos con una de sus frases: "Ud puede gastar una fortuna en tecnología y servicios mas actualizados de seguridad... pero su Organización aun puede ser vulnerable a ser manipulada a la antigua". Pendientes de una próxima entrada que será de Estrategias para intentar combatir la Ingeniería Social.
Hace unos años, un grupo de extraños ingreso en las instalaciones de una Compañía y consiguieron acceso a toda la red interna de dicha Empresa. Como lo consiguieron? Obteniendo pequeñas cantidades de información, bit a bit de múltiples empleados de la compañía. Lo primero que hicieron fue conseguir información de la compañía por dos días seguidos antes de intentar ingresar a la Compañía. Consiguieron los nombres de los empleados relevantes de la Compañía por medio de Recursos Humanos, luego fingieron perder su llave de ingreso a la compañía, y otro empleado los dejo ingresar. Luego "perdieron" sus carnets de empleados cuando entraron al área segura del tercer piso, sonrieron y de nuevo otro empleado los dejo ingresar.
Los extraños sabían que el Gerente Financiero estaría fuera de la ciudad, así que pudieron ingresar a su oficina para obtener toda la información financiera sin encriptar o proteger de su computador. Revisaron toda la basura que salió de la compañía encontrando toda clase de información valiosa. Le pidieron a uno de los empleados de mantenimiento una de sus canecas y así pudieron salir del edificio con toda la información y documentos que encontraron. Estos extraños también pudieron imitar la voz del Gerente Financiero, hicieron una llamada simulando una emergencia y argumentando haber olvidado su clave de acceso. Ya con esta clave, utilizaron herramientas de hackeo y obtuvieron un acceso de súper usuario en el sistema.
Lo único positivo de esta historia, es que los extraños eran en realidad consultores realizando una auditoria para el Gerente Financiero sin que nadie más en la compañía lo supiera. Este equipo nunca recibió información privilegiada por parte de este Gerente pero obtuvieron todo el acceso que deseaban por medio de la Ingeniería Social.
Definiciones:
Definiciones de Ingeniería Social se pueden encontrar muchas: El arte y ciencia de hacer que la gente haga lo que se desea", o "Ataque realizado por un hacker con trucos psicológicos en usuarios de una red para que entreguen información de acceso al sistema" y para terminar "Conseguir información importante (un password por ejemplo) de una persona en lugar de intentar acceder a su PC". En realidad la Ingeniería social puede ser todo esto, dependiendo la óptica con que se mire. En lo único en que todas las personas coinciden es en que la Ingeniería Social es la manipulación de la tendencia humana de la confianza, y el objetivo de la persona que ejerce esta acción es obtener la información necesaria para acceder a la información sensible de una compañía.
La seguridad se fundamenta en la confianza: confianza en la protección y en la autenticación. Generalmente aceptado como el eslabón mas débil en la cadena de la seguridad, las personas y su tendencia a confiar en las demás personas abren las puertas a muchísimas vulnerabilidades. No importa cuantos artículos se publiquen sobre vulnerabilidades en redes, parches de actualización y firewalls, siempre podremos reducir las amenazas hasta Luisa en Ingeniería mantener la seguridad de las red en la Compañía.
Objetivos y ataques
El propósito básico de la Ingeniería Social es el mismo que el de un hacker: obtener acceso no autorizado a un sistema o a información con el propósito de cometer un fraude, una intrusión, espionaje industrial, robo de identidad, o simplemente inhabilitar los sistemas. Los blancos usuales de estos ataques incluyen proveedores de internet, grandes multinacionales, bancos, agencias militares y gubernamentales, y hospitales.
Encontrar buenos ejemplos de la vida real de ingeniería social es complicado. Las empresas que han sido víctimas de estos ataques pueden no querer admitirlo (una falla en seguridad no solo es vergonzoso, también afectaría el buen nombre de la compañía), y también es muy probable que el ataque no esté bien documentado por lo cual no hay forma de estar seguros de que haya sido un ataque de ingeniería social o no.
Los ataques de ingeniería social se ejecutan en dos niveles; físico y sicológico. Enfoquémonos inicialmente en la parte física de estos ataques: el sitio de trabajo, el teléfono, su cesta de basura, o inclusive ataques en línea. En el sitio de trabajo el hacker puede simplemente entrar por la puerta y simular ser un empleado de mantenimiento quien puede entrar a la Compañía. Una vez el intruso lograr acceder a la Compañía, simplemente con desplazarse por los corredores podrá encontrar escritos usuarios y contraseñas los cuales aprovechara desde la seguridad de su casa.
Ingeniería Social Telefónica
Este es el tipo de ingeniería social que más se realiza. Un atacante puede llamar e imitar la voz de un funcionario con cierto nivel de autoridad y obtener información de un supuesto subalterno. Los Helpdesk son particularmente vulnerables a este tipo de ataques. Los atacantes simulan llamar desde el interior de la compañía atacando el PBX o la compañía de teléfonos, con lo cual un identificador de llamadas queda burlado por completo.
Los Helpdesk son particularmente vulnerables por que su principal función es ayudar, un hecho que puede ser fácilmente explotado por un individuo buscando obtener acceso no autorizado. Los empleados de los Helpdesk están entrenados para ser amigables y entregar información, así que esta es una mina de oro para la Ingeniería Social. Muchos empleados de los Helpdesk son mínimamente entrenados en seguridad y mal pagos, así que tienden a responder preguntas listos para responder la siguiente y la siguiente llamada, convirtiéndose así en una enorme vulnerabilidad de seguridad.
Ingeniería Social en la red
Internet es el sitio predilecto por los atacantes que buscan obtener nombres de usuario y passwords. La debilidad principal de los usuarios es repetir el mismo password en todas las aplicaciones, páginas, etc que utilizan. Una vez que el atacante obtiene un password probablemente podrá acceder a múltiples sitios bajo la identidad de su víctima. Una forma que utilizan los atacantes para obtener passwords es a través de un formulario en línea en el cual le piden a la victima que digite sus datos como email y un password, y asi obtienen acceso a todos los sistemas, redes sociales, email corporativo, etc de dicha persona.
Persuasión
Los atacantes siempre realizan sus ataques enfatizando en crear el ambiente psicológicamente perfecto para el ataque. Métodos básicos de persuasión incluyen la suplantación, simular ser una persona muy agradable o la falsa amistad. Sin importar el método que se utilice, el objetivo principal es convencer a la victima de que el atacante es en realidad una persona a quien confiarle información sensible. Otro punto importante en estos ataques es que no buscan obtener toda la información en un solo ataque, pero si conseguirla toda en varios ataques en diferentes ocasiones.
La suplantación generalmente significa crear uno o varios personajes e interpretar sus roles. Entre mas sencillo el personaje, mejor. Usualmente los atacantes estudian a sus víctimas, esperando por ejemplo que se ausenten de la ciudad para suplantarlos al teléfono.
Algunos de los papeles mas comúnmente interpretados por los atacantes es el de un reparador, soporte en Sistemas, un Gerente, un tercero de toda confianza (por ejemplo, el presidente de una compañía) o un compañero de trabajo. En una compañía grande, esto no resulta tan difícil de realizar, pues no hay forma de conocer a todos los empleados, los carnets pueden ser falsificados, etc. Un factor común que se puede obtener de estas suplantaciones es el de personas con algún rango o posición jerárquica en la compañía, lo cual nos lleva a la complacencia. Todo empleado desea impresionar a su jefe, asi que suministrara sin problema cualquier información que le sea solicitada por un superior.
Espionaje Basura (Dumpster Diving)
El Espionaje Basura es otro popular método de ingeniería social. Una gran cantidad de información puede ser encontrada entre la basura de una compañía. Que información puede llegar allí? Agendas telefónicas, organigramas, manuales de las políticas de la compañía, agendas de trabajo, eventos o vacaciones, manuales de sistemas, planos de las instalaciones, impresiones de códigos fuente, CDs, DVDs, y hardware desactualizado.
Toda esta "basura" se puede constituir en una enorme fuente de información para el atacante. Las agendas telefónicas pueden dar información de posibles blancos o personas a suplantar. Los organigramas revelan quienes están en cargos con autoridad en la organización. Manuales de políticas pueden darle idea de que tan segura o insegura es una compañía. Los calendarios pueden indicar que empleado va a estar fuera de la oficina. Los manuales de sistemas pueden brindar información exacta de como desbloquear una red. El hardware desactualizado, por ejemplo discos duros pueden ser restaurados para obtener toda clase de información.
Ingeniería Social Inversa
Para terminar, el método mas avanzado de obtener acceso no autorizado a un sistema o información es conocido como "Ingeniería Social Inversa". Esta se realiza cuando el atacante suplanta a una persona que se encuentra en una posición con autoridad suficiente para que los empleados le pidan a el información en vez de el pedir información. Si se investiga, planea y ejecuta adecuadamente, este ataque puede brindarle al atacante mayores oportunidades de obtener información valiosa de los propios empleados; sin embargo este ataque requiere de un alto grado de preparación e investigación para culminarlo con éxito.
Este ataque frecuentemente se compone de 3 etapas: sabotaje, intromisión, y el ataque en si. Veamos como es el asunto: Un atacante sabotea una compañía de la cual quiere obtener información, ocasionando que se presente un problema. Al materializarse el problema, el mismo atacante se presenta en la Organización argumentando que es el candidato ideal para solucionar ese problema (Intromisión), y una vez que se le da acceso a la Organización realiza su ataque obteniendo la información, acceso a la red o lo que esté buscando. Lo más asombroso del ataque es que en la Organización víctima del ataque son incapaces de identificar al atacante como tal por que el problema del que fueron víctimas fue solucionado y se recupero la normalidad; o peor aún, no saben que fueron víctima de un ataque por que todo está operando normalmente.
Epilogo
Un artículo de Ingeniería Social no seria lo mismo sin mencionar a Kevin Mitchnick, así que finalizamos con una de sus frases: "Ud puede gastar una fortuna en tecnología y servicios mas actualizados de seguridad... pero su Organización aun puede ser vulnerable a ser manipulada a la antigua". Pendientes de una próxima entrada que será de Estrategias para intentar combatir la Ingeniería Social.
No hay comentarios.:
Publicar un comentario