::   ::   ::   ::   ::
 
 

Foros de discusión HispaSeti
Unión de los grupos Hispanos de Seti@Home
 
 RegistrarseRegistrarse 
 FAQFAQ   BuscarBuscar   MiembrosMiembros   Grupos de UsuariosGrupos de Usuarios   RegistrarseRegistrarse   Volver a la Web principalVolver a HispaSeti.org
 PerfilPerfil   Entre para ver sus mensajes privadosEntre para ver sus mensajes privados   LoginLogin 

el factor humano: el peor enemigo

 
Publicar nuevo tema   Responder al tema    Foros de discusión -> Informática y Ordenadores
Ver tema anterior :: Ver tema siguiente  
Autor Mensaje
Oldno7
Administrador del Foro
Administrador del Foro


Registrado: 22 Mar 2002
Mensajes: 1829

MensajePublicado: Jue 15 Jun 2006 12:40:29    Asunto: el factor humano: el peor enemigo Responder citando

Os paso una noticia de HispaSec.
HispaSec, para aquellos que no lo conozcais, es un servicio de aviso y una empresa que se dedica a la seguridad de los
sistemas informaticos. Yo estoy suscrito desde sus comienzos a su "una al dia" y es una de mis referencias de mayor peso a la hora de valorar una amenaza informatica.
Podeis visitar su sitio web en http://www.HispaSec.com
ver mas informacion en:

la seguridad no importa a los usuarios
http://www.hispasec.com/unaaldia/2676

Social Engineering, the USB Way
http://www.darkreading.com/document.asp?doc_id=95556&WT.svl=column1_1

Office workers give away passwords for a cheap pen
http://www.theregister.co.uk/2003/04/18/office_workers_give_away_passwords/

y opinar sobre la noticia en

http://www.hispasec.com/unaaldia/2790/comentar



Hoy, Sergio de los Santos nos hace llegar el siguiente texto.


Memorias USB abandonadas para infectar sistemas
-----------------------------------------------

Steve Stasiukonis ha escrito un artículo sobre la ingeniería social
basada en las cada vez más populares unidades de memoria USB. En
el texto "Social Engineering, the USB Way" demostraba lo sencillo
que había sido obtener contraseñas de los usuarios de una empresa
utilizando las memorias USB como reclamo. Aunque sea un método
curioso, no es nada nuevo.

Según cuenta en su artículo, fue contratado para realizar una auditoría
de seguridad en una compañía. Se le pidió expresamente que hiciese
hincapié en el escabroso asunto de la ingeniería social, más incluso que
en el aspecto técnico. Esto resulta una buena idea, pues a menudo son
los usuarios la mayor amenaza para la seguridad de una empresa.

Si anteriormente lo que solía hacer era un acercamiento físico a las
personas, de manera que se las engatusaba de alguna forma para que
revelaran información importante, en esta ocasión debía ser diferente.
Los trabajadores estaban alerta, pues ya conocían que se iba a llevar a
cabo una auditoría donde ser realizarían técnicas de ingeniería social.
Fue entonces cuando Stasiukonis cambió de técnica.

Recolectó memorias USB obsoletas e introdujo en ellas un troyano que
enviaría las contraseñas y demás información sensible al atacante. En
vez de intentar de nuevo convencerlos de que usaran aquellas memorias
antiguas y de poca capacidad, pensó en abandonarlas casualmente en el
aparcamiento, zonas para fumadores y demás áreas frecuentadas por los
trabajadores. La curiosidad hizo el resto y poco después el atacante
estaba recibiendo decenas de contraseñas. En concreto 15 de las 20
memorias fueron introducidas en un ordenador del trabajo y quedaron
infectados.

Este suceso no se diferencia de otras noticias conocidas del pasado.
En la "InfoSecurity Europe 2003 conference" se dieron a conocer unas
escalofriantes cifras. El 95% de los hombres y el 85% de las mujeres
revelaron sus contraseñas a cambio de un bolígrafo barato. También, como
ya se habló en un boletín de una-al-día anterior, el experimento de
autopromoción llevado a cabo por "The Training Camp" no ofrecía dudas.
Bajo la excusa de que el disco contenía información sobre una promoción
especial, se iba regalando un CD a los ejecutivos que acudían a su
trabajo en Londres. Los compactos no contenían en realidad tal oferta,
sino un simple código que permitía informar a la compañía de quién había
ejecutado el programa en su interior. Entre ellos, según la noticia, se
encontraba personal de grandes bancos y aseguradoras multinacionales.

La solución definitiva, aunque imprescindible, no pasa por utilizar más
seguros o mejores sistemas operativos. En este caso concreto, fue el
propio usuario el que ejecutó de forma consciente las supuestas imágenes
almacenadas en el interior de la memoria. Un sistema operativo con
restricciones de privilegios o bien protegido sólo habría mitigado el
problema, no lo habría hecho desaparecer. ¿Cómo luchar contra la
naturaleza humana?

Las conclusiones son las de siempre, aunque con matices. Este nuevo
acercamiento a la ingeniería social supone una novedad en la medida en
la que desvincula completamente a un atacante. No es necesario entrar
físicamente en las oficinas, hablar con ningún empleado o regalar
objetos que puedan ser rastreados más tarde, ni siquiera enviar un email
que podría ser filtrado como correo basura. Basta abandonar un objeto
anónimo que llame la atención para que sean los propios usuarios los
que acudan al anzuelo.

También se puede reflexionar sobre la calidad de la formación que se
le presta a los usuarios. Si resulta imprescindible una formación y
concienciación para usuarios que trabajan a diario con sistemas de
información sensible, cabe preguntarse si se está prestando la formación
adecuada. Teniendo en cuenta que estos experimentos siguen evidenciando
año tras año importantes deficiencias en la educación sobre seguridad en
entornos laborales.

Por ejemplo, los administradores llevan años advirtiendo sobre la
peligrosidad de los adjuntos en los correos, pero quizás nadie ha
explicado de forma profesional por qué debe evitarse esta práctica, que
no es más que una forma concreta de controlar, en general, la ejecución
indiscriminada de archivos. Limitar la "formación" a recomendaciones
informales o "sermones" esporádicos no es suficiente por sí mismo. Más
que inculcar una serie de reglas, hacer comprender el peligro a través
de un programa de formación adecuado y respetar una estricta política
de seguridad resultan en una prevención mucho más efectiva.

Así se podrá evitar que desde el punto de vista de los atacantes, si
muchos usuarios han aprendido a no ejecutar cualquier programa que les
llegue por correo, no haya más que cambiar el método y distribuir los
archivos infectados a través de cualquier otro medio para que vuelvan
a tropezar en la misma piedra. Memorias USB abandonadas para infectar
sistemas no deja de ser una manera más (ni la primera ni la última) de
aprovechar el desconocimiento inherente del usuario no especializado y
la morbosa curiosidad del usuario en general.


_________________
Ojala vivas en tiempos interesantes.
(antigua maldicion china)
Volver arriba
Ver perfil de usuario Enviar mensaje privado Enviar email Visitar sitio web del autor Yahoo Messenger
pedrovega
Extraterrestre
Extraterrestre


Registrado: 24 Abr 2003
Mensajes: 1414

MensajePublicado: Jue 15 Jun 2006 13:15:21    Asunto: que ladinos son estos informaticos Responder citando

Pero que ladinos son estos informáticos.
Esto me recuerda a la anécdota bíblica (aunque parece ser que trajo graves consecuencias para la humanidad) de la manzana del edén. Pero como se va a resistir una persona normal, con sus apetitos carnales intactos, a la tentación de meter en el ordenador una memoria USB de esas tan chulas que parecen un boligrafo o un pintalabios. Si no quieren que metamos nada en el ordenador pues coño que no inventen esa pijadas tan chulas e irresistiblemente utiles, que haces así, la METES y ¡¡¡¡hala!!!!! ya ha copiado las 2000 fotos y las 3000 canciones que tenía almacenadas. ¡¡¡¡¡Y solo en un abrir y cerrar de ojos!!!!
Joer, es que estos informáticos ya no saben lo que inventar para tentarnos.
_________________
La Tierra, nuestra casa, desde el espacio parece una exótica y maravillosa perla palpitante.

Como ocurre en las estaciones de esquí, que están llenas de chicas buscando marido y de maridos buscando chicas, la situación no es tan simétrica como parece a primera vista.
Volver arriba
Ver perfil de usuario Enviar mensaje privado
pedrovega
Extraterrestre
Extraterrestre


Registrado: 24 Abr 2003
Mensajes: 1414

MensajePublicado: Jue 15 Jun 2006 14:49:21    Asunto: entrevista con el ex-hacker más famoso Responder citando

Un art. que trata sobre estos mismos temas con una intersante entrevista con el ex-hacker más famoso. Puede que en el entrevistado, esté basado alguno de los personajes de "Operación Swordfish" (o algo por el estilo). Desde luego si a mi me
mandaran a Halle Berry para sacarme información (como en la susodicha peli), estoy seguro que al menos resistiría durante 5 minutos.

http://www.elpais.es/articulo/sociedad/gente/entrenada/engano/traves/tecnologia/elpporsoc/20060615elpepisoc_9/Tes/
_________________
La Tierra, nuestra casa, desde el espacio parece una exótica y maravillosa perla palpitante.

Como ocurre en las estaciones de esquí, que están llenas de chicas buscando marido y de maridos buscando chicas, la situación no es tan simétrica como parece a primera vista.
Volver arriba
Ver perfil de usuario Enviar mensaje privado
Mostrar mensajes de anteriores:   
Publicar nuevo tema   Responder al tema    Foros de discusión -> Informática y Ordenadores Todas las horas son GMT + 2 Horas
Página 1 de 1

 
Cambiar a:  
Puede publicar nuevos temas en este foro
Puede responder a temas en este foro
No puede editar sus mensajes en este foro
No puede borrar sus mensajes en este foro
No puede votar en encuestas en este foro


Powered by phpBB © 2001, 2004 phpBB Group
 

Página alojada en http://www.Oldno7.org


Fotomaf - Galeria de fotos de Mauro A. Fuentes