Ingeniería

Social

Introducción

"Usted puede tener la mejor tecnología, firewalls, sistemas de detección de ataques, dispositivos biométricos, etc. Lo único que se necesita es un llamado a un empleado desprevenido e ingresan sin más. Tienen todo en sus manos." Kevin Mitnick.

¿Qué es la ingeniería social?

Bajo el nombre de Ingeniería Social (literalmente traducido del inglés Social Engineering)

ACCIONES O CONDUCTAS útiles para conseguir información de las personas cercanas a un sistema.

La ingeniería social es una práctica que es usada para explotar las debilidades de una cadena de seguridad, considerando el factor humano.

La ingeniería social es muy usada no sólo en el ámbito laboral, también se utiliza en el mover diario de la gente. Básicamente es una manera de obtener información deseada de manera sutil y segura.

Es una disciplina que consiste, ni más ni menos en sacar información a otra persona sin que esta sé de cuenta de que te esta revelando "información sensible".

Aprovecha sentimientos tan variados como curiosidad, la avaricia, la compasión o el miedo, de esta forma se consigue el objetivo, una acción por parte del usuario.

• No se emplea ningún programa de software o elemento de hardware, sólo grandes dosis de ingenio, sutileza y persuasión para así lograr datos del usuario y/o dañar su sistema y propagarse rápidamente

• Alude a personajes famosos

• Se sirve de "ganchos" vinculados a las relaciones amorosas:

• "LOVE-LETTER-FOR-YOU.TXT"

• "LOVE-LETTER-FOR-YOU.TXT.VBS"

Extensiones de virus y gusanos• .scr .exe .pif .bat .reg .dll .vbs .scr .lnk .bmp

• .zip .rar .arc pueden tener virus en su interior

• Pueden tener dobles extensiones (la primera “inocente” y la segunda “culpable”):

• LOVE-LETTER-FOR-YOU.TXT.VBSContent-Type: application/x-msdownload; name="Glucemias con y sin LANTUS.xls.scr“Content-Transfer-Encoding: base64Content-Disposition: attachment; filename="Glucemias con y sin LANTUS.xls.scr"

¿Quiénes la usan?

• Hackers

• Espías

• Ladrones o timadores

• Detectives privados

El factor humano

• En el congreso "Access All Areas" de 1997, un conferenciante aseguraba:

"Aunque se dice que el único ordenador seguro es el que está desenchufado,

los amantes de la ingeniería social gustan responder que siempre se puede convencer a alguien para que lo enchufe.

El factor humano es el eslabón más débil de la seguridad informática. Y no hay un sólo ordenador en el mundo que no dependa de un ser humano, es una vulnerabilidad universal e independiente de la plataforma tecnológica".

Ingeniería social en los 80

• La gente era más inocente

• Las contraseñas más débiles

• Los sistemas más vulnerables

• Las leyes menos rigurosas

Ingeniería social en nuestros tiempos

• CASO 1: Practicando en casa

CHAT CANALPAREJAS

Objetivoconseguir videoconferencia con una PAREJAS

Materiales: Capturadora de video, Ingeniería social, webcam

• Caso 2: Seguir jugando:

Nos damos de alta una cuenta en hotmail, con nombre de chicaCreamos un perfil curiosoEntramos a los chats y damos nuestro mailSomos la típica niña que recién se compró el ordenador y necesitaAyuda (damos confianza, y aumentamos el ego de la victima al ponerlo en el papel de nustro salvador, si le añadimos dulces piropos y besos virtuales, en cuestión de tendremos lo quebuscamos, o estaremos en condiciones deenviarle un troyano que nos abra de par en par su ordenador, una vezconocido su sistema.

• Caso 3: Nos ponemos serios

Cuando se llega a los 30, ya no estamos para chatear o dedicarnosA robar fotos guarrillas de usuarios de Internet que se hacen a ellos mismos o a sus parejas.

NO TODO ES PLACER EN LA VIDA

Fijamos un objetivo:

Primer etapa: INFORMACIÓN

Círculos Amistades

Internet Familiares Basura??

• Ordenando la información:

• Al igual que al preparar un ataque a un sistema informático.• Versión, bug, etc.

• Vamos elaborando una lista, sobre nuestro objetivo.

• Gustos, vicios, marca de cigarrillos, matrícula del coche, modelo, móvil, DNI, nombre de los hijos, de la mujer, de la novia, figuras principales de en su vida, se elabora un perfil psicológico de la persona.

• Fuente: Internet, basura, amigos, familiares, buscar siempre las personas mayores, abuelas, o niños, hijos, hermanos, etc.

Preparando la estrategia• Todo objetivo se vale de una estrategia para

lograrlo. Ese es el fin mismo de la estrategia.

• Antes debemos:

SABER, QUERER Y PODER hacerlo.

La ingeniería social por excelencia• Ahora estamos preparados para poner la

trampa. Conocemos todo de nuestra víctima, y podemos predecir como actuará frente a determinados estímulos.

• Conocemos sus gustos sus deseos, y es fácil llevarlo por una conversación telefónica a donde queremos.

• ¿Hola, Raúl Pérez Padilla?

• Le hablamos del servicio de marketing de TUFONICA, estamos ofreciendo una promoción especial a nuestros mejores clientes. Consiste en que las llamadas a un número fijo nacional de su elección, serán gratis durante un año sin tener que pagar nada.

• Por favor, para poder hacer esto posible necesitamos que nos confirme una serie de datos….

• Mi experiencia como comercial de

• AUNA CABLE o INSTALADOR ADSL

• ¿Que logramos con esto?

Entrar a una casa, nuestra víctima quizás

EJEMPLO: Llamada a nuestro móvil, nuestro jefe, necesitamos enviar un dato urgente, no nos dejaría el ordenadorpara enviarlo?

• Un ejemplo extraído de una pagina cita textualmente; … conocido el ataque que sufrió la Web de la Guardia Civil 1999

• (http://www.guardiacivil.org/) dirigiéndola hacia un site gay. Como ha comentado la benemérita en varias ocasiones, no se debió a ningún fallo de su sistema, sino a que el atacante, envió un correo como si se tratara del administrador del dominio guardiacivil.org a Network Solutions y estos cambiaron los DNS del registro del dominio por los que quiso el atacante, redirigiendo así la Web de la Guardia Civil a la Web gay.

• IS COMO PIEZA DE UN PUZZLE MORTAL

Mezclar la IS con la tecnología hace que el conjunto en sí, sea un arma mortal, crear un keylog, o un troyano en VB, o C++,No requiere un gran esfuerzo, incluso el control total de Pelé, tardó tiempo en ser reconocido por los principales antivirus.

CD de regalos, archivos adjuntos, echar imaginación.Quién no compraría el último Cd de nuestro cantante favoritoPor 1€ a un tio que monto una manta en la puerta de nuestra casa, como caído del cielo. ???

• Pistas:

• Si nos hacemos pasar por técnicos, hablar en lenguaje técnico, la gente suele no entender nada y decirnos siempre que si.

• Encuestas inocentes a los familiares de las victimas, edades, nombres, etc. (Hacer unas cuantas para tener soltura).

• Oferta increíble enviaremos la ampliación por mail (ahí introducimos el troyano). Es un mail esperado, lo abrirá seguro.

Prevención primaria

• Utilizar un programa antivirus

• actualizado en forma semanal,

• residente en memoria (“centinela”),

• configurado para analizar archivos comprimidos, emails y texto plano,

• Analizar semanalmente todo el equipo

• Configurar un segundo programa antivirus

• Utilizar un programa “filtro” tipo MailWasher

• En conexiones continuas o prolongadas, utilizar un firewall

• Desactivar la “vista previa” del correo electrónico

• Demarcar la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

• Marcar la opción "Mostrar todos los archivos y carpetas ocultos”*

• Recomendaciones en archivos adjuntos:

• Tradicional: nunca abrir archivos adjuntos que envía un desconocido

• Actual: no abrir archivos adjuntos que no hayan sido anunciados y, ante la duda, consultar con el remitente

• De cualquier manera, no abrir adjuntos sin antes analizarlos por lo menos con dos antivirus (a veces lo que uno no detecta, lo hace el otro) y verificar la existencia de doble extensión

• Estar atentos a Alertas de sitios serios; instalar “parches” de seguridad:

Prevención primaria

Signos y síntomas

• En directorios y archivos:

• La cantidad de espacio disponible es cada vez menor.

• Aumento de tamaño de archivos

• Algunos archivos desaparecen del disco (borrados).

• El directorio muestra archivos desconocidos por el usuario.

• Los archivos son sustituidos por caracteres ilegibles.

• Alteración en la indicación de la hora de un archivo. *

Signos y síntomas

• En la ejecución de aplicaciones:

• Los programas tardan mas tiempo en cargarse o no son operativos.

• Algunas aplicaciones trabajan mas lentamente que lo normal.

• Al abrir un archivo aparecen errores que antes no existían.

• Al solicitar la apertura de un archivo aparecen en el menú drivers que no están instalados. *

Signos y síntomas

• Funcionamiento del sistema:

• Rendimiento del sistema reducido.

• La cantidad de memoria disponible cambia o disminuye continuamente.

• Arranque incompleto del sistema o fallo en el arranque.

• Escrituras inesperadas en una unidad.

• Mensajes de error extraños o no estándar.

• Actividad de pantalla no estándar (animaciones, etc.), fluctuaciones de pantalla.

• Sectores erróneos en disquetes y en discos duros.

• Cualquier operación extraña que su computadora no realizaba antes y que de un momento a otro comienza a ejecutar.

• Otros errores no justificados (ej. en la FAT, direccionador de archivos).

El gusano Sasser explota un fallo en el componente Local Security Authority Subsystem Service (LSASS) de Windows. Esta vulnerabilidad solo afecta a equipos con Windows XP y 2000 que no tengan instalado el parche que Microsoft había publicado y anunciado hacía ya bastantes días (13 de abril).

Los equipos infectados se reinician constantemente cada 60 segundos, las tareas de limpieza, incluida la descarga de antivirus, herramientas y parches de Microsoft, pueden verse dificultadas. Esto ha causado grandes estragos en la banca y otras actividades críticas.

Algunos ejemplos:Sasser (en sus 6 versiones

gusano de Internet

Aparecen en pantalla alguno de estos mensajes o similares:

Apagar el sistemaSe está apagando el sistema. Guarde todo trabajo en curso y cierre la sesión. Se perderá cualquier cambio que no haya sido guardado.

El apagado ha sido iniciado por NT AUTORITHY\SYSTEM

Tiempo restante para el apagado: xx:xx:xx

El proceso del sistema C:\WINNT\system32\lsass.exe terminó se forma inesperada indicando código 0 Windows debe reiniciar ahora.

•La aparición de la tres ultimas variantes del gusano (Sasser.D, E, F), puede significar un aumento notorio en su propagación. Mientras las versiones A, B y C no pueden ejecutarse correctamente en equipos con Windows 95, 98 y Me, la D, E y F si puede hacerlo, aunque no los infecta.

•La simple posibilidad de que el gusano corra en esos sistemas, permite que aumente su rango de propagación, ya que cada vez que se ejecuta, puede rastrear miles de máquinas vulnerables a las que luego se podrá copiar. La versión D es capaz de rastrear más de 200 direcciones IP por segundo, en busca de equipos vulnerables.

•Reportado el 16 de mayo de 2004, Bobax es un gusano del tipo Sasser, que utiliza la vulnerabilidad en el componente LSASS.EXE de Windows XP y 2000 para propagarse.

•El gusano escanea direcciones IP al azar en busca de computadoras vulnerables. Son afectadas todas aquellas que no tengan instalado el parche correspondiente (ver "MS04-011 Actualización crítica de Windows (835732)",

Bobax (variantes A, B y C)gusano de Internet

Kaspersky Labs informó la aparición de un nuevo troyano que se vale de archivos de imágenes BMP para infectar a los usuarios.El troyano habría sido enviado a una gran cantidad de usuarios, por medio del envío masivo de un mensaje no solicitado (spam), conteniendo una aparentemente inofensiva imagen en formato BMP.

El nuevo troyano puede infectar al usuario cuando éste pretende visualizar un gráfico en formato BMP.

Se vale de una vulnerabilidad en el Internet Explorer 5.0 y 5.5, la cual permite que un código malicioso sea activado al intentar visualizar un archivo BMP.

Agenttroyano

•Cuando un usuario abre el archivo BMP, el troyano se conecta de inmediato a un servidor remoto localizado en Libia, y descarga y ejecuta un segundo troyano llamado "Throd".

•"Throd" es un típico parásito del tipo spyware, que se copia en el registro del sistema de Windows y luego queda a la espera de las instrucciones de un usuario remoto.

Spam (Junk mail)

• Mensaje de correo electrónico no solicitado que publicita productos, servicios, sitios Web, etc.

• Tipos de Spam:

• comercial, políticos, religiosos, de hostigamiento, propuestas de ganancias económicas mediante cartas en cadena (“envía dinero a la primera persona de la lista, borra el nombre y pon el tuyo en su lugar, reenvía este mensaje a otras personas y te sorprenderás de la respuesta“), etc., etc.

• Remitente falso. Spam que engañosamente simula ser enviado por una persona u organización. *

Spam: lo que no se debe hacer

• Enviar un mensaje solicitando la baja de la "supuesta" lista: al responder se “blanquea” nuestra dirección.

• Enviar quejas a direcciones que no estemos seguros de que son las que realmente han distribuido el mensaje.

• Tratar con violencia al spammer: aparte de “blanquear” nuestra dirección, lo alienta a continuar.

• Distribuir el mensaje a otras personas o listas.

• Poner filtros en los programas de correo electrónico para borrar automáticamente el spam: se pueden perder mensajes que no sean Spam y lo spammers cambian periodicamente sus textos (Her bal V1agra" and ways to make "F*A*S*T C*A*S*H”) *

Criterio para filtrado y borrado automático:

Asunto: viagra

Falsos positivos: (lo toma como span y lo borra)

Asunto: [Pharma-PCVC]Uso de viagra en enfermos cardiópatas

Falso negativo: (lo da como valedero y no lo borra)

Asunto: Venta de v.i.a.g.r.a. sin receta

Spam: lo que se debe hacer

• Investigar la dirección del emisor o del responsable de la máquina o del dominio que ha permitido la difusión de dicho mensaje.

• Disponer de dos mensajes tipo en castellano y en inglés, para utilizarlos en una denuncia o queja.

• ¿Cómo localizar las direcciones a las que hay que enviar el mensaje de queja?: identificar los dominios implicados en la distribución del mensaje recibido y localizar las direcciones de los responsables que por defecto suelen estar en:

• * postmaster@dominio.xx

• * abuse@dominio.xx (donde xx corresponde a .es, .com, .net, etc.) *

Hoax

• Los hoax (mistificación, broma o engaño), son mensajes con falsas advertencias de virus, o de cualquier otro tipo de alerta o de cadena (incluso solidaria, o que involucra a nuestra propia salud), o de algún tipo de denuncia, distribuida por correo electrónico:

• Alerta, avise a todos sus conocidos!

• Urgenteeeeee!!! no lo borres, es muy importante !!!

• Salvemos a Brian, que padece una enfermedad incurable (rara dolencia que le impide crecer, pues desde hace cinco años mantiene la misma edad)

• Microsoft acaba de enviarme este aviso!

• Soy Madam Yogurto´ngue, viuda del General....

• Hay que borrarlos y no hay que reenviarlos ni responderlos

Hoax

Algunas caracteristicas de los hoax:Lenguaje que impresiona técnico (...el procesador de la computadora sera colocado en un bucle binario de enésima complejidad que puede dañarlo gravemente...)

Apelan a la sensibilidad y solidaridad de la gente (...necesitamos juntar 240 dadores de sangre para un científico reconocido mundialmente, afectado de una rara enfermedad...)

Utilizan la “credibilidad por asociación” (...este mensaje es una advertencia de la FCC – Federal Communication Comission...)

Spyware y Adware

• Spyware: programas que se instalan habitualmente sin advertir al usuarioSe ejecutan en segundo plano al conectarse a InternetMonitorean la actividad del usuario (“Big brother”) y envían la información a sus creadores:

• configuración del hardware y software instalado antiviruslibreta de direccionescontraseñas

• hábitos y costumbres (lectura del teclado)

• sitios adonde accede el usuario

• Adware: se instala en forma similar al Spyware.Permite visualizar anuncios publicitarios y obtiene datos del usuario. *

Proteger nuestro datos confidencialesen computadoras compartidas

Reglas básicas cuando trabajamos en computadoras ajenas:

No efectuar operaciones delicadas como bancarias o comerciales

En Hotmail, tildar la opción “No recordar mi dirección de correo electrónico en futuros inicios de sesión”

En Hotmail, No elegir la opción “Iniciar sesión automáticamente”

En Yahoo no tildar la opción “Recordar mi identidad en esta computadora”

En Yahoo, Seleccionar el modo seguro de envio de datos ( en Hotmail esto es automático)

Cerrar totalmente la sesión de correo (En hotmail seleccionar “Cerrar sesión”y en Yahoo “Salir” y luego “Salir por completo de Yahoo”)

Al iniciar una sesión de chat, no seleccionar “Recordar mi nombre y contraseña en este equipo”

Asegurarse de seleccionar la opción “Cerrar sesión” al finalizar dado que con solo cerrar la ventana, la sesión continúa abierta.

Eliminar todos los archivos que se bajan al finalizar la sesión.

Conclusiones:

La ingeniería social NUNCA PASARÁ DE MODA. Es un arte, el arte que deja la ética de lado

El ingrediente necesario detrás de todo gran ataque.

Tu red tiene firewall?. .Tiene antivirus???Tus administradores estan entrenados para hablarcon hackers y detectar sus intentos de ingenieríasocial?

ContramedidasLa mejor manera de esta protegido pasa por el

conocimiento.

• Educar a las personas, en concreto a las personas que trabajan cerca de las terminales, desde los operarios, hasta personal de limpieza.

• Analizar con antivirus todo los correos que reciban

• No informar telefónicamente de las características técnicas de la red, ni nombre de personal a cargo, etc.

• Control de acceso físico al sitio donde se encuentra los ordenadores.

• Políticas de seguridad a nivel de Sistema Operativo.