INGENIERIA SOCIAL RESÚMEN DEL LIBRO HACKING ÉTICO DE

CARLOS TORI

2011

Alumno: Javier García Cambronel Segundo de Asir

27/10/2011

INGENIERIA SOCIAL 27 de

octubre de 2011

1

INGENIERIA SOCIAL 27 de

octubre de 2011

2

¿QUÉ ES LA INGENIERÍA SOCIAL?

La ingeniería social es un método basado en engaño y persuasión, utilizado para obtener

información significativa o lograr que la víctima realice un determinado acto.

ANTECEDENTES E INTRODUCCIÓN A LA INGENIERÍA SOCIAL.

¿A QUIÉN ESTÁ DIRIGIDO?

INGENIERÍA SOCIAL +INFORMATION GATHERING

El hombre padece los engaños desde tiempos remotos. Desde los antiguos mercaderes que vendían productos falsos, charlatanes de feria y hasta supuestos alquimistas que juraban convertir el plomo en oro. También hubo muchos con conocimientos de prestidigitación que se hacían pasar por magos para robar joyas; o regalos con sorpresa como el Caballo de Troya, hasta espías de ejército en la antigua China u otra poderosa potencia, que apelaban al engaño como recurso para conseguir aquello que buscaban. La ingeniería social apunta a explotar el factor humano en la infraestructura de la organización (considerado por muchos la parte más débil del sistema) y es un método que puede llevarse a cabo a través de canales tecnológicos (impersonal vía Internet o teléfono) o bien en persona, cara a cara, según la osadía de quien la comete o intente. Worms: que hacen que pinches en un sitio concreto. Phising: de bancos… donde se nos pide que coloquemos nuestros datos en una página muy parecida a la verdadera. Postales electrónicas: que requieren de nuestra validación. Dejando Archivos: en diferentes tipos de soporte USB, CD… que al introducirlos infectan nuestro PC. Servicios Hosting.

• Una organización objetivo. • Una organización al azar. • Determinado empleado. • Un grupo de empleados. • Un usuario. • Todo aquel relacionado con éstos.

Aún sin el suficiente conocimiento técnico como para cometer una intrusión a través de la seguridad de red

(firewalls, IDS, control de accesos), un manipulador hábil puede lograr su ingreso recabando información

mediante algunas llamadas telefónicas o e-mails. ¿Cómo? Obteniendo los datos de un usuario legítimo a través de

una previa recolección de información interna sobre procedimientos, datos concretos (tipos de formularios o

códigos) y nombres.

El intruso informático seguramente va a buscar información utilizando ingeniería social y por eso es tan

importante, tanto para una organización como para nosotros -usuarios de internet-, tratar de no dar información

confidencial o personal a extraños. Y ante algún suceso inesperado (como recibir una consulta de un desconocido

o haber encontrado un pendrive en su escritorio), deberíamos desconfiar.

INGENIERIA SOCIAL 27 de

octubre de 2011

3

¿QUÉ HACE ESPECIAL A UN INGENIERO SOCIAL?

Hoy en día, con la actual expansión de Internet, el intruso que desea hacer ingeniería social

cuenta con muchos recursos. Hay fuentes casi públicas de información ejecutiva en los

círculos sociales o de contactos profesionales como Lynkedin, en el cual alguien puede

publicar un currículum vítae muy interesante a nombre de cualquiera y, desde allí, ponerse a

contactar con gente cercana a la organización objetivo o componentes de ésta.

EJEMPLOS SOBRE LA INGENIERIA SOCIAL

Teléfono

Fax

• Éste adopta la identidad que desea o la suplanta.

• Ajusta la retórica o su modo de comunicarse al receptor, a sus sentimientos y a su rol dentro de la

organización formal.

• Genera la trama o excusa que conviene a su propósito.

• Hace interactuar personajes reales y ficticios entre sí.

• Expone a su víctima a trampas, voluntades de ayuda, seducción y preocupación con tal de obtener

cierto dato o una acción precisa (o desencadenamiento de actos).

–Hola Agustina. Te llamo de Sistemas, soy Diego Pérez. ¿Podrías ayudarme un segundo? Estamos mejorando el tema del correo electrónico en la empresa y tengo que generar un archivo de tu cliente de correo. Son dos pasos solamente. ¿Estás con la máquina encendida? –Eh. Hola, sí. –Abrí Outlook por favor, andá a Herramientas, luego a Cuentas... No hace falta mucho guión para hacerle exportar a una secretaria sin muchos

conocimientos de PC el archivo .iaf de su cuenta y hacer que lo envíe para revisarlo. Este archivo posee toda la configuración de la cuenta de e-mail de Outlook, incluso password, servidor SMTP y POP3, etcétera.

El engaño consiste, simplemente, en hacer un reclamo mediante fax a la institución que maneja el dominio a nombre del actual y real propietario solicitándole algún cambio de dato de registro u otro dato que permita luego utilizarlo para redireccionarlo hacia cualquier IP de Internet. En la página de preguntas frecuentes de Nic.ar (www.nic.ar/faq3.html), podemos ver el modelo de nota (formato) que detallan para el fax. Así, un simple fax puede dejar a una organización sin su plataforma de comunicación y marketing online o bien, puede utilizarse para otros delitos informáticos que no vamos a detallar en este libro. En este caso, el ingeniero social se expone a falsificación de documento público (lo cual está penado) y a otras cosas, y depende de la organización que esté detrás del dominio en cuestión y de la reacción de ésta en caso de ser víctima

INGENIERIA SOCIAL 27 de

octubre de 2011

4

Mensajería

Instantánea

Correo

El mensajero instantáneo es un medio con mucha llegada al usuario común, aunque en épocas anteriores no había tanta gente conectada como sucede ahora con MSN Live. Suplantar la identidad en MSN es relativamente fácil y los mensajes pueden utilizarse de diversas formas: • Se le puede inventar alguna historia. • Se puede enviar archivos directamente. • Se puede pasar un link de página (ésta puede tener archivos infectados o links hacia archivos ejecutables, o algo que le saque determinada cookie o una imagen que deja el log de la dirección IP de la víctima).

El e-mail es el principal canal de ingeniería social en estos días. Lo utilizan los estafadores, los spammers, los intrusos y los gusanos (programas que, al ser ejecutados por el usuario o habiendo ingresado en nuestro sistema por algún servicio vulnerable, infectan la máquina para luego enviar un e- mail a todos los miembros de nuestra lista de contactos. Por ejemplo, VBS/LoveLetter worm). Recordemos que el e-mail permite suplantación de la identidad (el que dice que es anónimo, no conoce los medios de intercepción y rastreo). El e-mail posee tres particularidades interesantes para combinar con la ingeniería social: • Se puede falsear el remitente (sender o quien lo envía).

• Se puede confeccionar en html. Esto lo hace menos visible a los links maliciosos o, hacia cosas maliciosas. • Se puede declarar hacia qué casilla será enviada la respuesta del e-mail

original.

INGENIERIA SOCIAL 27 de

octubre de 2011

5

EJEMPLOS PRÁCTICOS EXTERNOS AL LIBRO

MITNICK, EL RÁPIDO

Kevin trabajaba en una oficina de Denver administrando sistemas, pero pasaba la mayor parte del tiempo llamando a

empresas, para ponerse a prueba. Una noche que nevaba, al salir del trabajo, paseando de camino a su casa, llamó desde el

teléfono móvil a un directorio de números 800 de una gran compañía de celulares. Antes de haber cruzado la manzana ya

había conseguido un número interno del departamento de ingenieros. Llamó y, al momento, estaba hablando con un técnico

sobre el código fuente de unos programas y dándole una dirección donde enviárselo. Cuando llegó a casa, con el frío en los

huesos, en su ordenador tenía el código propietario completo del teléfono móvil de una de las mayores compañías

electrónicas del mundo. Cinco manzanas andando, un móvil y una directorio de números 800, todo lo que necesitó.

Fuente: Brian Martin, en el juicio de Kevin Mitnick

TAMPOCO HOY FUNCIONA LA RED

-Buenas tardes, llamo de la red X. ¿Tuvo problemas con su cuenta últimamente?

La respuesta era obvia, ya que la red nunca funcionaba bien.

-Sí, el otro día traté de acceder y me decía CLR NC y un número.

-¡Otro caso! Exactamente lo que suponíamos. El problema es que se borraron algunas claves de nuestra máquina, por eso las

estamos ingresando a mano. ¿Puede darnos su contraseña?

-Sí, como no. N91...

El usuario confiaba en la voz del teléfono. Si hubiese leído el manual que le entregaron con su cuenta, hubiera sabido que CLR

NC significaba que la red estaba congestionada.

Fuente: "Llaneros solitarios". Raquel Roberti

¿CUÁL ES SU CONTRASEÑA?

Mendax había encontrado en la red una lista parcial de usuarios del sistema Minerva. Ya tenía dos años y era incompleta,

pero había unas treinta páginas de nombres de usuario, direcciones y teléfonos. Algunos sería aún válidos.

Necesitaba sonido de fondo de oficina para ser creíble. Grabó una cinta en su casa, con teléfonos, impresoras, teclados y

voces del televisor, y empezó con la lista hasta que encontró un número válido.

-Soy John Keller, operador de la red Minerva. Uno de nuestros DO90 se ha estropeado. Hemos recuperado los datos y

creemos que tenemos la información correcta, aunque puede haberse corrompido. ¿Podríamos comprobarla?

-Sí, por supuesto

Mendax leyó la información que tenía en su lista, pero dio, con intención, un número de fax incorrecto. La víctima le avisó del

error y le dio el correcto. Había llegado el momento de la Gran Pregunta.

-Bien, tenemos su número de usuario pero no su contraseña. ¿Cuál es?

-Sí, es: L-U-R-C-H

Fuente: "Underground". Suelette Dreyfus y Julian Assange

INGENIERIA SOCIAL 27 de

octubre de 2011

6

INTRODUCCION Y EXPLICACION DE MEDIDAS CONTRA EL ENGAÑO

En las organizaciones serias que utilizan recursos y recaudos en cuanto a seguridad de la información, la ingeniería social es tomada como una potencial amenaza a su activo: la información. A través del hacking ético, un profesional de seguridad intentará emular en la organización estos ataques -como supimos al principio- a fin de lograr lo mismo que podría alcanzar esta vez un ingeniero social o intruso (ya sea un empleado descontento o ex empleado, hacker, espía industrial, competencia). El propósito de esto es descubrir cuáles son los errores que se cometen en el trato con las personas en cuanto a divulgación de información supuestamente inofensiva y agentes externos a través de los medios de comunicación o en persona, es decir, desde el momento en que se la recibe en la empresa. Veamos ahora algunas medidas para mejorar este aspecto. Se entrena a la gente mediante charlas (especialmente a las recepcionistas que trabajan en mesa de entrada, a las telefonistas, al personal de seguridad, a las secretarias y a los ejecutivos) acerca de esta fuga de información. También se desarrollan políticas para el manejo interno de la información, su clasificación y la no descentralización de ésta por fuera del protocolo. Se llevan a cabo testeos éticos de seguridad (que no tendrán impacto en la organización, sino que darán una noción de cómo está resguardada ante este tipo de amenaza) como el que detallamos anteriormente, se realizarán pruebas como la de los pendrives-trampa y otros métodos más intrusivos. La finalidad de todo esto es que sirven tambien para mejorar el nivel de seguridad relacionado a accesos físicos. En síntesis, los integrantes de todo el sistema deberían contar con estos elementos: • Concientización institucional acerca de la ingeniería social. • Políticas internas que contemplen la descentralización de datos y el resguardo de la información. • Políticas acerca del buen uso de recursos de comunicación e informáticos, por parte de todos los empleados. • Lucidez mental. De no ser así, es muy probable que el ingeniero social que tome a esa organización como objetivo, tarde o temprano consiga su fín y la comprometa. Lo más importante dentro de la organización es integrar a la gente que se desempeña en el sistema como parte del planeamiento estratégico de seguridad de la información y concientizarla periódicamente a partir del mismo reclutamiento.

INGENIERIA SOCIAL 27 de

octubre de 2011

7

CUADRO EXPLICATIVO RIESGO, TÁCTICA INTRUSIVA Y ESTRATEGIA CONTRA EL ENGAÑO