Академический Документы
Профессиональный Документы
Культура Документы
CARRION
ESCUELA DE FORMACION PROFESIONAL DE SISTEMAS Y
COMPUTACION
SISTEMAS OPERATIVOS II
INTRODUCCIÓN
C
on frecuencia se suele afirmar, y no es una exageración que el punto
más débil de cualquier sistema informático son las personas
relacionadas en mayor o menor medida con él; desde un
administrador sin una preparación adecuada o sin la suficiente experiencia,
hasta un guardia de seguridad que ni siquiera tiene acceso lógico al sistema,
pero que deja acceder a todo el mundo a la sala de operaciones, pasando por
supuesto por la gran mayoría de usuarios, que no suelen conscientes de que
la seguridad también les concierne a ellos. Frente a cada uno de estos grupos
(administradores, usuarios y personal externo al sistema) un potencial
atacante va a comportarse de una forma determinada para conseguir lograr
sus objetivos, y sobre cada uno de ellos ha de aplicarse una política de
seguridad diferente: obviamente podemos exigir a un administrador de
sistemas unos conocimientos más o menos profundos de temas relacionados
con la seguridad informática, pero esos conocimientos han de ser diferentes
para el guardia de seguridad (sus conocimientos serían referentes a la
seguridad física del entorno), y se convierten en simples nociones básicas si
se trata de un usuario medio.
ATAQUES POTENCIALES
Administradores, usuarios y personal
INGENIERÍA SOCIAL
La ingeniería social consiste en la manipulación de las personas para
que voluntariamente realicen actos que normalmente no harían aunque a
nadie le gusta ser manipulado, en algunos casos no es excesivamente
perjudicial (por ejemplo un vendedor puede aplicar ingeniería social para
conocer las necesidades de un cliente y ofrecer así mejor sus productos), si
las intenciones de quien la pone en práctica no son buenas se convierte
quizás el método de ataque más sencillo, menos peligroso para el atacante y
por desgracia en uno de los más efectivos. Ese atacante puede aprovechar el
desconocimiento de unas mínimas medidas de seguridad por parte de
personas relacionadas de una u otra forma con el sistema para poder
engañarlas en beneficio propio. Por ejemplo, imaginemos que un usuario de
una máquina Unix recibe el siguiente correo electrónico:
Administrador
SHOULDER SURFING
Otro tipo de ataque relacionado con la ingenuidad de los usuarios del
sistema (pero también con el control de acceso físico) es el denominado
shoulder surfing. Consiste en `espiar' físicamente a los usuarios, para obtener
generalmente claves de acceso al sistema. Por ejemplo, una medida que
lamentablemente utilizan muchos usuarios para recordar sus contraseñas es
apuntarlas en un papel pegado al monitor de su PC o escribirlas en la parte
de abajo del teclado; cualquiera que pase por delante del puesto de trabajo,
sin problemas puede leer el login, password e incluso el nombre de máquina
a la que pertenecen. Esto, que nos puede parecer una gran tontería, por
desgracia no lo es, y se utiliza más de lo que muchos administradores o
responsables de seguridad piensan; y no sólo en entornos `privados' o con un
control de acceso restringido, como pueda ser una sala de operaciones de un
centro de cálculo, sino en lugares a los que cualquiera puede llegar sin
ninguna acreditación: personalmente, hace unos años pude leer claramente
`post-it' pegados a los monitores de los PCs utilizados por el personal de
información de unos grandes almacenes de Valencia, en los que aparecían el
nombre de usuario, la clave y el teléfono de varios sistemas de la empresa;
cualquiera que se acercase al mostrador podía leer y memorizar esta
información sin problemas.
MASQUERADING
El ataque denominado de masquerading o mascarada consiste
simplemente en suplantar la identidad de cierto usuario autorizado de un
sistema informático o su entorno; esta suplantación puede realizarse
electrónicamente - un usuario utiliza para acceder a una máquina un login y
password que no le pertenecen - o en persona. En este punto hablaremos
brevemente de este último caso, la suplantación en persona, un ataque
relativo tanto a la seguridad física del entorno de operaciones como a la
seguridad del personal.
BASUREO
La técnica del basureo (en inglés, scavenging) está relacionada tanto con
los usuarios como con la seguridad física de los sistemas, de la que hemos
hablado en el anterior capítulo; consiste en obtener información dejada en o
alrededor de un sistema informático tras la ejecución de un trabajo. El
basureo puede ser físico, como buscar en cubos de basura (trashing,
traducido también por basureo) listados de impresión o copias de
documentos, o lógico, como analizar buffers de impresoras, memoria
liberada por procesos, o bloques de un disco que el sistema acaba de marcar
como libres, en busca de información.
ACTOS DELICTIVOS
Bajo este nombre englobamos actos tipificados claramente como delitos
por las leyes españolas, como el chantaje, el soborno o la amenaza. Esto no
implica que el resto de actividades no sean (o deban ser) delitos, sino
simplemente que en la práctica a nadie se le castiga `legalmente' por pasear
por una sala de operaciones en busca de claves apuntadas en teclados, pero
sí que se le puede castigar por amenazar a un operador para que le permita
el acceso al sistema.
ENLACES
Mitnick concluía: "Las empresas gastan millones de dó lares en cortafuegos, cifrado
y mecanismos de seguridad, y es dinero malgastado porque ninguna de estas
medidas se dirige al eslabó n má s débil: la gente que utiliza, administra y cuida los
sistemas donde está la informació n protegida".
Hoax Info
http://hoaxinfo.com
CERT: Social Engineering Atacks Via IRC
http://www.cert.org/incident_notes/IN-2002-03.html
Cómo conseguir una cuenta con ingeniería social
http://members.easyspace.com/hackuma/textos/glide.txt
Bernz's Social Engineering Page
http://packetstorm.decepticons.org/docs/social-
engineering/socintro.html
Kevin Mitnick
http://www.kevinmitnick.com
esCERT
http://escert.upc.es
Método 3
http://www.metodo3.es
SIA
http://www.sia.es
SANS. Social Engineering. What is it?
http://rr.sans.org/social/social.php
Social Engineering Fundamentals
http://www.securityfocus.com/infocus/1527
Social Engineering
http://www.isr.umd.edu/gemstone/infosec/ver2/papers/socialeng.html
DMS - Social Engineering
http://hackpalace.com/hacking/social-engineering/psychology%20of
%20social%20engineering.html
Social Engineering Tools
http://www4.ncsu.edu/~jkwilli2/main/soceng.html
"Underground"
http://www.underground-book.com
SET
http://www.set-ezine.net
Raregazz
http://raregazz.com.ar
Maria> El otro día me dijiste que había que poner la contraseña que te
da el proveedor en la casilla de abajo, pero salen asteriscos y no se
ve nada
JLuis> Sí, en el mío también salen. Mira, por ejemplo mi configuración
es: Usuario: JLuis@X, Clave... Bueno, eso no te lo digo.
[casi...]
*EN EL CHAT
"Aquí no te ven ni te oyen, puedes hacerte pasar por una persona
totalmente opuesta y soltar la mentira más gorda, ya que no perciben
tu reacción al mentir. Empieza por donde se reúna la gente que no
controle mucho. Ante una chica o novato, se debe mostrar seguridad,
aparentando un cargo importante. Al tratar con "chulillos", hay que
cambiar de estrategia, debe creer que no tienes ni idea. Así se hará
el listo, hasta que suelte algo importante. Ser convincente, no
parecer dudoso, hacerle hablar de lo que le guste, para que se confíe
y, cuando esté despistado, le sueltas la pregunta gorda. Promete cosas
a cambio, contraseñas, una cita, un fichero".