clic aqui para descargar conferencia "Ingenieria Social"

Download Report

Transcript clic aqui para descargar conferencia "Ingenieria Social" 

“Seguridad, un servicio que genera valor para su empresa”
Guillermo Santos Calderón
[email protected]
“Se puede gastar una fortuna
adquiriendo tecnología y
servicios...y su infraestructura
de IT puede seguir siendo
vulnerable a manipulaciones
tradicionales.”
-Kevin Mitnick
“No hay ningún parche
o actualización para la
ingenuidad o estupidez
del ser humano.”
¿Que es Ingeniería Social?
“Es el arte y la ciencia de hacer que las personas
cumplan con sus deseos”
“Una forma de hackear basada en la influencia, decepción
y/o manipulación sicológica para convencer a una persona
a cumplir con una solicitud”
4
¿Porque los Hackers usan
Ingeniería Social?
 Los computadores, redes y aplicaciones se han




5
endurecido -“hardened”El ser humano se ha convertido en el eslabón más
débil en la cadena de seguridad informática
Más fácil que hackear un sistema
No los detienen los sistemas para detección de
intrusión
Muy poco riesgo para el hacker
¿Porque los Hackers usan
Ingeniería Social?





6
Muy poco riesgo para el hacker
Funciona en todas las plataformas de S/O
Sin bitácoras que puedan ser auditadas
Efectividad de casi el 100%
Poca gente tiene conciencia de este tipo de ataques
¿Cómo funciona la
Ingeniería Social?
 Los Ingenieros Sociales se apoyan en la confianza,
ganas de ayudar, educación, conocimiento de procesos
y de información confidencial, suplantación de
autoridades y tecnología
 Frecuentemente realizan ataques pequeños para
obtener información que les permita hackear una red o
un sistema
 Se apoya en seis características del ser humano que lo
hacen vulnerable a ataques de Ingeniería Social
Seis tendencias del Ser Humano
que lo Hacen Vulnerable
 La Autoridad
 Hacer algo porque alguien con autoridad lo solicita
 La Empatía
 Realizar algo solicitado por alguien con quien se tiene
muy buena empatía
 La Reciprocidad
 Realizar algo por obtener un producto o un beneficio a
cambio
8
Seis tendencias del Ser Humano
que lo Hacen Vulnerable
 El Compromiso
 Hacer algo después de que se pactó un compromiso
para realizarlo
 La Validación social
 Hacer algo que está de moda, que es muy popular y
bien recibido por la sociedad
 La Escasez
 Realizar algo para obtener un producto o beneficio
que está escaso o disponible por poco tiempo
9
El Firewall Humano
 La ilusión de la invulnerabilidad (“eso nunca me va a





pasar a mi”)
La tendencia frecuente de confiar en terceros (“el
beneficio de la duda”)
La pereza de aplicar los protocolos de seguridad
La subestimación del valor de la información
La naturaleza de ayudar a los demás
No entender cuales son las consecuencias de algunas
acciones
10
Recolección de Inteligencia
 Algunas técnicas importantes:
 Uso de Internet
 Información libre
 Barrido de basuras
Pequeñas piezas de información cuando se juntan
se pueden convertir en información muy valiosa
11
Reconocimiento de Empresas
 Sitio Web de la empresa




Nombres de empleados/Organigrama y estructura
Boletines de la empresa
Directorio telefónico de la empresa
Lenguaje interno, terminología y nombres de los
servidores
12
Reconocimiento de Empresas
 Vacantes, candidatos a empleos/nuevos empleados
 Empleados/terceros que utilizan recursos de la
empresa en forma remota
13
Reconocimiento del Personal





Teléfonos y correos electrónico
Título y cargo en la empresa
Responsabilidades/deberes (a que tiene acceso)
Aficiones o intereses especiales
Educación y colegios
14
Reconocimiento del Personal
 Páginas web personales/blogs/Biografías/Hojas de
vida/publicaciones
 Cédula y otras identificaciones personales
 Programación de licencias/vacaciones/viajes
15
Algunas Técnicas
 Pretexto
 Se inventa un escenario y se usa el teléfono para
obtener acceso a información
 El pretexto es el escenario que sea crea con poca
información para obtener más

16
Cédula, nombre de los padres, ciudad de nacimiento
Phishing
 Por email o por teléfono
 Aparenta ser de un negocio legal (banco, etc.) que el
atacado esté usando
 Siempre dan sensación de urgencia
 Amenazan la seguridad personal o de sus recursos
 Solicitan reconfirmar datos personales
Otro Phishing
 Correos o llamadas de alto nivel
 Simulan ser de alguien conocido
 Jefe de un departamento
 Un compañero de trabajo
 El centro de ayuda o soporte
 Esta es otra forma de hacer phishing
Phishing IVR/Teléfono
 Usted es convencido de llamar a un teléfono
 El IVR aparece ser legítimo
 El IVR solicita ingreso de datos personales
 PIN, clave, cédula
 Puede terminar hablando con un “agente”, parte de
la trampa
Trojanos
 Utiliza la curiosidad o las ganas de las personas para
hacer que baje (download) un “malware”
 Simula ser algo gratis
 Anexo a un mail

Screen Saver, antivirus, fotos, enlaces
 Abrirlo baja un troyano
 Expone lo que se teclea, agendas de direcciones, datos
financieros
Shoulder surfing
 Se usa en aviones, aeropuertos, cafeterías, areas con
Wi-Fi público y otros sitios públicos
 Se observa la entrada de usuarios y claves y hasta se
pueden grabar
 Se descubren tarjetas de crédito y otra información
confidencial
Sumergirse en Basura
 Es sumergirse en la basura de alguien
 ¿Que se busca?



Información confidencial, bancos, tarjetas de crédito,
estrategias, nombres de proyectos, correspondencia
Nombres de empleados, correos electrónicos, directorios
telefónicos, manuales, servidores y aplicaciones, agendas,
papel empresarial, memorandos, apuntes, usuarios y
palabras claves
Discos duros eliminados
Manzanas Bajitas
 Se basa en medios físicos
 CD, DVD, floppy, USB Flash Drive
 Rotuladas para llamar la atención
 “Aumento salarios”
 “Reducción Personal”
 “Estrategias confidenciales”
 Una vez se instala en el PC, el “autorun” baja un
troyano, virus o keylogger
Quid pro quo
 La trampa del “algo por algo”
 Dos ejemplos:
 Suplantación de soporte o help desk
 Regalos a cambio de información
 Encuestas demuestran que la gente cambia
información privada por datos confidenciales
Encuesta
 Siete de diez (70%) trabajadores dieron la palabra
clave de su computador de la oficina a cambio de un
chocolate.
 Esto sucedió en la Estación Waterloo en Londres.
 El año anterior el resultado había sido del 90%
Tomado del Libro “El Arte de la Decepción” de Kevin Mitnick (2005)
25
Como reconocer ataques de
Ingeniería Social
 Sentirse incómodo es un síntoma al que hay que
ponerle atención
 Negación para dar información de contactos o
personal
 Solicitudes extrañas o inusuales
 Demasiadas muestras de hacerse pasar como una
persona confiable o para ganar amistad o confianza
26
Como reconocer ataques de
Ingeniería Social
 Uso de posiciones autoritarias
 Generalmente estas carácterísticas no son fáciles de
reconocer. Lo clave es entrenar a la gente para seguir
protocolos de seguridad en lugar de convertirlos en
“detectores de mentiras”
27
Barreras anti-Ingeniería Social
 MUY IMPORTANTE el apoyo de la alta directiva de
la empresa
 Demostrar vulnerabilidades personales (Juegos de
roles orientados por expertos y sicólogos). Sugerir
métodos para contrarrestar/proteger estas
vulnerabilidades
 Hacer que las personas puedan sentir lo que se
siente cuando se es manipulado
28
Barreras anti-Ingeniería Social
 Motivar el uso de los protocolos de seguridad
explicándolos y diciendo como protegen a la
emporesa
 Desarrollar reglas simples para definir que es
información sensible y confidencial
 Enseñar que está bien DECIR QUE NO!
29
Defensas contra la Ingeniería Social
 Políticas/procedimientos/procesos de seguridad
 Clasificación de los datos/manejo de información
sensible
 El Método del Beso – respuesta fácil sin mucho que
pensar
 Educar a los empleados y reforzar la conciencia de la
seguridad informática
30
Defensas contra la Ingeniería Social
 Realizar pruebas de ingeniería social
 Búsquedas periódicas en las basuras de la empresa
 Entrenamiento frecuente de seguridad informática
 Incorporar ingeniería social en el plan de respuesta a
incidentes
31
Conclusiones
La Ingeniería Social es la amenaza más
sencilla y más efectiva para la seguridad informática
Para mitigar esta amenaza se requiere de una vigilancia
permanente
Las medidas anti-Ingeniería Social más efectivas son las
políticas, procedimientos y procesos de seguridad, el
entrenamiento para evitarla y las pruebas frecuentes
Ejemplos
 Ejemplo 1 (tinyurl.com/3gluswy):
 Hadnagy, Auditor de SE, fue contratado para hackear
los servidores de una compañía
 Encontró dirección de servidores, direcciones IP,
correos, teléfonos, servidores de correo, nombres de
empleados y sus cargos
33
Ejemplos
 Ejemplo 1:
 Supo que el CEO tenía un familiar que tuvo cáncer y
sobrevivió
 El CEO estaba interesado en recolección de recursos
para investigaciones para combatir el cáncer
 Encontró información adicional sobre el CEO como
restaurantes favoritos, equipos favoritos, etc, en
Facebook
34
Ejemplos
 Ejemplo 1:
 Hadnagy se hizo pasar por un miembro de una
entidad recaudadora de fondos para combatir el
cáncer y le ofreció al CEO boletas para partidos de su
equipo favorito y bonos para sus restaurantes favoritos
 El CEO le pidió más información que le envío en un
archivo PDF
35
Ejemplos
 Ejemplo 1:
 Inclusive el CEO dijo que versión de PDF tenía para
que pudiera leer el PDF
 Al abrir el PDF, se instaló un programa (shell) que le
abrió su computador a Hadnagy
 Hecho esto el sistema pudo haber sido hackeado el
sistema
36
Ejemplos
 Ejemplo 2
 Caso del hacker de un banco
Ejemplos
 Ejemplo 3
 Convencer a un amigo que se le puede arreglar y
actualizar su computador
 Se le arreglan problemas menores en el
computador y se le instala un troyano
 Se tiene acceso total al computador de la
persona que confío en el favor que se le iba a
hacer
Recursos de Información
 The Art of Deception by Kevin D. Mitnick
 The Art of Intrusion by Kevin D. Mitnick
 Influence by Robert B. Cialdini
 Confidential by John Nolan
 The Human Firewall Council
 www.humanfirewall.org
 Dr. Kelton Rhoads
 www.workingpsychology.com