Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                

Seguridad Informatica

Descargar como ppt, pdf o txt
Descargar como ppt, pdf o txt
Está en la página 1de 126

ESP.

CARLOS ENRIQUE
RODRIGUEZ DOMINGUEZ
1. Seguridad Informática
2. Hacking Ético
3. Seguridad en Redes Inalámbricas
3. Administración y Supervisión de
Redes
4. Ingeniería Social
• Fenómeno del procesamiento electrónico de
datos,
• Utilización de las comunicaciones virtuales
• Uso de los productos que brinda esta
tecnología
• Nuevas Modalidades de trabajo
• Nuevos Hábitos vitales de la sociedad
SEGURIDAD
INFORMATICA
Conceptos
Como consecuencia de la amplia difusión de la tecnología informática, la información:
información

Puede utilizarse para fines poco éticos.

Puede divulgarse sin autorización de su propietario.

Puede estar sujeta a robos, sabotaje o fraudes.

Puede ser alterada, destruida y mal utilizada.


Conceptos

La Seguridad Informática (S.I.) es la disciplina que se ocupa


de diseñar las normas, procedimientos, métodos y técnicas,
orientados a proveer condiciones seguras y confiables, para
el procesamiento de datos en sistemas informáticos.
informáticos

La decisión de aplicarlos es responsabilidad de cada usuario.

Las consecuencias de no hacerlo … también.


Principios de Seguridad Informática
Para lograr sus objetivos, la seguridad informática se
fundamenta en tres principios, que debe cumplir todo
sistema informático:

Confidencialidad

Integridad

Disponibilidad
Principios de Seguridad Informática
Confidencialidad
Se refiere a la privacidad de los elementos de información
almacenados y procesados en un sistema informático.

Basándose en este principio, las herramientas de seguridad


informática deben proteger al sistema de invasiones,
intrusiones y accesos, por parte de personas o programas no
autorizados.
Principios de Seguridad Informática
Integridad

Se refiere a la validez y consistencia de los elementos de


información almacenados y procesados en un sistema
informático.

Basándose en este principio, las herramientas de seguridad


informática deben asegurar que los procesos de actualización
estén sincronizados y no se dupliquen, de forma que todos los
elementos del sistema manipulen adecuadamente los mismos
datos.
Principios de Seguridad Informática
Disponibilidad

Se refiere a la continuidad de acceso a los elementos de


información almacenados y procesados en un sistema
informático.

Basándose en este principio, las herramientas de Seguridad


Informática deben reforzar la permanencia del sistema
informático, en condiciones de actividad adecuadas para que
los usuarios accedan a los datos con la frecuencia y dedicación
que requieran.
Factores de riesgo
Ambientales:
Ambientales factores externos, lluvias,
Impredecibles - Inciertos inundaciones, terremotos, tormentas, rayos,
suciedad, humedad, calor, entre otros.

Tecnológicos:
Tecnológicos fallas de hardware y/o
software, fallas en el aire acondicionado, falla
en el servicio eléctrico, ataque por virus
informáticos, etc.
Predecibles
Humanos:
Humanos hurto, adulteración, fraude,
modificación, revelación, pérdida, sabotaje,
vandalismo, crackers, hackers, falsificación,
robo de contraseñas, intrusión, alteración,
etc.
Factores tecnológicos de riesgo

Virus informáticos: Definición

Un virus informático es un programa (código) que se replica,


replica
añadiendo una copia de sí mismo a otro(s) programa(s).

Los virus informáticos son particularmente dañinos porque


pasan desapercibidos hasta que los usuarios sufren las
consecuencias, que pueden ir desde anuncios inocuos hasta la
pérdida total del sistema.
Factores tecnológicos de riesgo

Virus informáticos: Características

Sus principales características son:

Auto-reproducción:
Auto-reproducción Es la capacidad que tiene el programa de
replicarse (hacer copias de sí mismo),
mismo sin intervención o
consentimiento del usuario.

Infección:
Infección Es la capacidad que tiene el código de alojarse en
otros programas,
programas diferentes al portador original.
Factores tecnológicos de riesgo
Virus informáticos: Propósitos

Afectar el software:
software Sus instrucciones agregan nuevos archivos
al sistema o manipulan el contenido de los archivos existentes,
eliminándolo parcial o totalmente.

Afectar el hardware:
hardware Sus instrucciones manipulan los
componentes físicos. Su principal objetivo son los dispositivos
de almacenamiento secundario y pueden sobrecalentar las
unidades, disminuir la vida útil del medio, destruir la estructura
lógica para recuperación de archivos (FAT) y otras
consecuencias.
Factores tecnológicos de riesgo
Virus informáticos: Clasificación

La inmensa cantidad de virus existentes, sus diferentes


propósitos,
propósitos sus variados comportamientos y sus
diversas consecuencias,
consecuencias convierten su clasificación en
un proceso complejo y polémico.
Factores tecnológicos de riesgo
Virus informáticos: Clasificación

Virus genérico o de archivo:


archivo Se aloja como un parásito dentro
de un archivo ejecutable y se replica en otros programas
durante la ejecución.

Los genéricos acechan al sistema esperando que se satisfaga


alguna condición (fecha del sistema o número de archivos en
un disco). Cuando esta condición “catalizadora” se presenta, el
virus inicia su rutina de destrucción.
Factores tecnológicos de riesgo
Virus informáticos: Clasificación

Virus mutante:
mutante En general se comporta igual que el virus
genérico, pero en lugar de replicarse exactamente, genera
copias modificadas de sí mismo.
mismo

Virus recombinables:
recombinables Se unen, intercambian sus códigos y
crean nuevos virus.

Virus “Bounty Hunter”


Hunter (caza-recompensas): Están diseñados
para atacar un producto antivirus particular.
Factores tecnológicos de riesgo
Virus informáticos: Clasificación

Virus específicos para redes:


redes Coleccionan contraseñas de
acceso a la red, para luego reproducirse y dispersar sus rutinas
destructivas en todos los ordenadores conectados.

Virus de sector de arranque:


arranque Se alojan en la sección del disco
cuyas instrucciones se cargan en memoria al inicializar el
sistema. El virus alcanza la memoria antes que otros programas
sean cargados e infecta cada nuevo pendrive que se coloque,
Factores tecnológicos de riesgo
Virus informáticos: Clasificación

Virus de macro:
macro Se diseñan para infectar las macros que
acompañan a una aplicación específica.

Una macro es un conjunto de instrucciones que ejecutan una


tarea particular, activada por alguna aplicación específica como
Word o Excel.
Factores tecnológicos de riesgo
Virus informáticos: Clasificación
Virus de Internet:
Internet Se alojan en el código subyacente de las páginas web. Cuando el
usuario accede a esos sitios en Internet, el virus se descarga y ejecuta en su sistema,
pudiendo modificar o destruir la información almacenada.

Son de rápida y fácil dispersión, puesto que se alojan y viajan en un medio de


acceso multitudinario: Internet.
Factores humanos de riesgo
Hackers

Los hackers son personas con avanzados conocimientos


técnicos en el área informática y que enfocan sus
habilidades hacia la invasión de sistemas a los que no
tienen acceso autorizado.

En general, los hackers persiguen dos objetivos:


Probar que tienen las competencias para invadir un
sistema protegido.
Probar que la seguridad de un sistema tiene fallas.
Factores humanos de riesgo
Crackers

Los crackers son personas con avanzados conocimientos


técnicos en el área informática y que enfocan sus
habilidades hacia la invasión de sistemas a los que no
tienen acceso autorizado.

En general, los crackers persiguen dos objetivos:


Destruir parcial o totalmente el sistema.
Obtener un beneficio personal (tangible o intangible)
como consecuencia de sus actividades.
Mecanismos de Seguridad
Informática
Conceptos

Un mecanismo de seguridad informática es una técnica


o herramienta que se utiliza para fortalecer la
confidencialidad, la integridad y/o la disponibilidad de
un sistema informático.
Mecanismos de Seguridad
Informática
Clasificación según su función

Preventivos:
Preventivos Actúan antes de que un hecho ocurra y su función
es detener agentes no deseados.

Detectivos:
Detectivos Actúan antes de que un hecho ocurra y su función
es revelar la presencia de agentes no deseados en algún
componente del sistema. Se caracterizan por enviar un aviso y
registrar la incidencia.

Correctivos:
Correctivos Actúan luego de ocurrido el hecho y su función es
corregir las consecuencias.
Mecanismos de Seguridad
Informática
Ejemplos orientados a fortalecer la confidencialidad

Encripción o cifrado de datos:


datos Es el proceso que se
sigue para enmascarar los datos,
datos con el objetivo de
que sean incomprensibles para cualquier agente no
autorizado.
Mecanismos de Seguridad
Informática
Ejemplos orientados a fortalecer la integridad

Software anti-virus: Ejercen control preventivo,


detectivo y correctivo sobre ataques de virus al
sistema.

Software “firewall”: Ejercen control preventivo y


detectivo sobre intrusiones no deseadas a los
sistemas.
Mecanismos de Seguridad
Informática
Ejemplos orientados a fortalecer la disponibilidad

Planes de recuperación o planes de contingencia:


contingencia Es un
esquema que especifica los pasos a seguir en caso de que se
interrumpa la actividad del sistema, con el objetivo de
recuperar la funcionalidad.

Dependiendo del tipo de contingencia, esos pasos pueden


ejecutarlos personas entrenadas, sistemas informáticos
especialmente programados o una combinación de ambos
elementos.
Mecanismos de Seguridad
Informática
Ejemplos orientados a fortalecer la disponibilidad

Respaldo de los datos:


datos Es el proceso de copiar los elementos de
información recibidos, transmitidos, almacenados, procesados
y/o generados por el sistema.

Existen muchos mecanismos para tomar respaldo, dependiendo


de lo que se quiera asegurar. Algunos ejemplos son: Copias de
la información en dispositivos de almacenamiento secundario,
ordenadores paralelos ejecutando las mismas transacciones,
etc.
Mecanismos de Seguridad
Informática
Seguridad física

¿Qué debemos proteger?

Todos los dispositivos que componen el hardware: Procesador,


memoria principal, dispositivos de entrada y de salida,
dispositivos de almacenamiento …

... y los respaldos


Mecanismos de Seguridad
Informática
Seguridad física

¿Cómo? (Algunos ejemplos)

Restringir el acceso a las áreas de computadoras


Restringir el acceso a las impresoras
Instalar detectores de humo y extintores (fuego)
Colocar los dispositivos lejos del piso (agua)
Colocar los dispositivos lejos de las ventanas (lluvia)
Colocar pararrayos (rayos)
Proteger las antenas externas (vientos)
Mecanismos de Seguridad
Informática
Un mecanismo correctivo para factores de riesgo
humano: Sanciones legales.

La legislación española se ocupa de sancionar a las personas que incurran en


cualquier delito relacionado con sistemas informáticos a través de la

Ley Especial Contra Delitos Informáticos


LEY 1273 DE 2009
LEY 201 DE 2012
•Vulnerabilidad (Vulnerability)

 Debilidad de un activo o control que puede ser explotada por una


•amenaza (ISO 27000:2009. Overview and Vocabulary).
 Posibilidad de que una amenaza se materialice sobre un activo.

 Es una vía de ataque potencial.


 Ejemplos:
 Defectos en HW o SW

 Buffer overflow, consultas no


•parametrizadas, ...
 Carencia de políticas y procedimientos
 Falta de formación en seguridad por parte de los
usuarios, controles de acceso no definidos, ...

•6
•Amenaza (Threat)

 Una posibilidad de violación de la seguridad, que existe cuando se da una circunstancia,


capacidad, acción o evento que pudiera romper la seguridad y causar perjuicio. Es decir, una
amenaza es un peligro posible que podría
•explotar una vulnerabilidad. (RFC 2828)

 Posible causa de un incidente no deseado, que puede resultar en daños a un sistema u


organización. (ISO 27000:2009. Overview and Vocabulary)

•13
•Amenaza (Threat)

REVERSE TROJAN (Server-to-Client)

TIME BOMB

BOTS

KEY LOGGERS

SNIFFERS

BACKDOORS

ROOTKITS

VIRUS

WORM

SPYWARE

TROJAN HORSE

•14
•Amenaza

• Stuxnet
oGusano/virus informático descubierto en junio de 2010

oPrimer gusano conocido que espía y reprograma sistemas industriales, en concreto


sistemas SCADA de control y monitorización de procesos, pudiendo afectar a
infraestructuras críticas como centrales nucleares
oEl 60% de los ordenadores contaminados por el gusano se encuentran en Irán

oEl objetivo más probable del gusano pudieron ser infraestructuras de alto valor
pertenecientes a Irán y con sistemas de control de Siemens
oAlgunos medios han atribuido su autoría a los servicios secretos estadounidenses e
israelíes

•15
•Ataque (Attack)

 Cualquier acción que comprometa la seguridad de la información de


•una organización (Stallings).

 Un asalto a la seguridad del sistema, derivado de una amenaza


•inteligente; es decir, un acto inteligente y deliberado (especialmente
•en el sentido de método o técnica) para eludir los servicios de
•seguridad y violar la política de seguridad de un sistema (RFC 2828).

•16
•Ataque (Attack)

Brute Force: Fuerza Bruta

Cache Poisoning: Envenenamiento de Caché

DNS Poisoning: Envenenamiento de DNS

Cross-Site Request Forgery (CSRF) o Falsificación de petición en sitios cruzados

Cross-Site Scripting (XSS) o Secuencias de comandos en sitios cruzados


Denial of Service (DoS)

LDAP injection
Man-in-the-middle

Session hijacking attack

SQL Injection: Inyección SQL

•17
•Ataques pasivos

 Muy difíciles de detectar, ya que no implican alteraciones en los


•datos
 Contra estos ataques se debe poner más énfasis en la prevención
•que en la detección
 Posible solución: cifrado

•22
•Ataques pasivos

 Obtención del contenido del mensaje

•23
•Ataques pasivos

 Análisis del tráfico


 Aún con protección mediante cifrado, un oponente puede observar el
•patrón de los mensajes, determinar la localización y la identidad de los
•servidores que se comunican y descubrir la frecuencia y la longitud de los mensajes
que se están intercambiando.
 Esta información puede ser útil para averiguar la naturaleza de la comunicación que
está teniendo lugar.

•24
•Ataques activos

 Intentan alterar los recursos del sistema o afectar a su


•funcionamiento
 Implican alguna modificación del flujo de datos o la creación de un
•flujo falso
 Presentan características opuestas a los pasivos:  Son difíciles de prevenir

por completo
 El objetivo es detectarlos y recuperarse de ellos
 La detección tiene efecto disuasivo -> contribuye a la prevención

 Se pueden dividir en cuatro categorías

•25
•Ataques activos

 Suplantación de identidad
 Se produce cuando una entidad finge ser otra

 Un ataque de este tipo incluye habitualmente una de las otras formas de ataque
activo. Por ejemplo, las secuencias de autenticación pueden ser capturadas y repetidas
después de que una secuencia válida haya tenido lugar

•26
•Ataques activos

 Repetición
 Implica la captura pasiva de una unidad de datos y su retransmisión posterior para
producir un efecto no autorizado

•27
•Ataques activos

 Modificación de mensajes
 Una parte de un mensaje es alterada, o los mensajes se han retrasado o
reordenado, para producir un efecto no autorizado

•28
•Ataques activos

 Interrupción del servicio


 Impide el uso o la gestión normal de las utilidades de comunicación

•29
IDS/IPS

DMZONE

switch
DNS APACHI WEB

servers
Clients
Ethical Hacking

Enfoque penetration tester.

Metodología de Penetration Test.


Objetivo Ethical Hacking

• Simulación externa de un ataque para verificar la


seguridad de la red así como para encontrar
vulnerabilidades.
• Obtención de evidencias concretas.
» Obtención de algún tipo de archivo de los
servidores o redes
» Sembrado de pruebas en los servidores
» Captura de paquetes, limitación del servicio
del recurso, etc.
Diferencias
• El Hacker termina cuando rompe la seguridad
del sistema (suficiente con una vulnerabilidad).
Su tiempo para realizar un ataque es infinito.
• El trabajo del “penetrator tester” termina cuando
encuentra todas las vulnerabilidades del sistema
tanto en el Gateway como en el firewall o como
en cualquier componente de la red que está
analizando. Además tiene tiempo limitado para
realizar el test. Elaboración de informe de
seguridad y documentación así como soluciones
a los problemas encontrados.
¿Por qué hacer un
Penetration Test?

• Encontrar máquinas mal configuradas que el

cliente no había notado.

• Verificar que sus mecanismos de seguridad

funcionen.

• Estar tranquilo.

• Recuerde 99.9% seguro = 100% ¡vulnerable!


Reglas de Compromiso

La primera regla :“No dañar”


Reporte
• Los reportes deben...
– No deben tener falsos positivos
– Resultados que establezcan prioridades
– Secciones técnica y ejecutiva por separado
– Establecer qué recursos son necesarios
– Recomendaciones para el mundo real
OSSTMM
• OSSTMM – Open-Source Security Testing
Methodology Manual
• Version 2.0 at www.osstmm.org (redirects to
http://www.isecom.org/projects/osstmm.htm)
• Desarrollado por Pete Herzog, es un documento
vívido sobre cómo hacer un penetration test.
• Define como proceder en un pen test, pero no
habla sobre las herramientas actuales.
Técnica – Penetration Testing

• Recoger Información
• Scan direcciones IP
• Evaluar la información
• Explotar servicios vulnerables
• Elevar el acceso
• Repetir
INGENIERIA
SOCIAL
Mundial de fútbol Brasil 2014: una campaña buscaba robar
información bancaria prometiendo entradas para asistir a
los partidos de la Copa.
Supuesto video íntimo de la hija de Sebastián Piñera: un
correo electrónico promocionaba un video de Magdalena, la
hija del expresidente chileno, que sólo descargaba un
troyano.
Alerta de terremoto en Ecuador: un email prometía
imágenes satelitales que sólo descargabanmalware.
¡Michael Jackson está vivo!: el falso archivo sólo
descargaba un troyano diseñado para convertir la
computadora en un zombi que formará parte de una botnet.
Romance entre Shakira y Alexis Sánchez: el falso video
descargaba un troyano que modificaba los
archivos hosts de la computadora afectada para hacer
redirecciones.
Contenido
• Ingeniería Social en Perspectiva:
– Definiciones.
– Objetivos.
• Técnicas y Herramientas de Ingeniería
Social:
– Invasivas o Directas o Físicas.
– Seductivas y/o Inadvertidas.
• Como Defenderse:
– Tips Simples para Defenderse.
– Como Identificar al “Hacker Social”.
– Estrategias de Combate.
• Recursos para saber más.
Contenido
• Ingeniería Social en Perspectiva:
– Definiciones.
– Objetivos.
• Técnicas y Herramientas de Ingeniería
Social:
– Invasivas o Directas o Físicas.
– Seductivas y/o Inadvertidas.
• Como Defenderse:
– Tips Simples para Defenderse.
– Como Identificar al “Hacker Social”.
– Estrategias de Combate.
• Recursos para saber más.
Una buena manera de esconder
algo es mostrarlo.
Anónimo.

Si necesitas algo, solo pídelo. El


secreto del éxito en obtenerlo
está en la manera de pedirlo.
Anónimo.
Definiciones
• La ingeniería social consiste en la manipulación de las personas
para que voluntariamente realicen actos que normalmente no
harían.
– Carole Fennelly.
– The human side of computer security.
– SunWorld, Julio 1999.

• Término usado entre crackers y samurais para referirse a las


técnicas de violación que se sustentan en las debilidades de las
personas mas que en el software. El objetivo es engañar a la
gente para que revele contraseñas u otra información que
comprometa la seguridad del sistema objetivo.
– Traducción moderada de THE COMPLETE SOCIAL ENGINEERING FAQ!
– http://packetstorm.linuxsecurity.com/docs/social-engineering/socialen.txt
Contenido
• Ingeniería Social en Perspectiva:
– Definiciones.
– Objetivos.
• Técnicas y Herramientas de Ingeniería
Social:
– Invasivas o Directas o Físicas.
– Seductivas y/o Inadvertidas.
• Como Defenderse:
– Tips Simples para Defenderse.
– Como Identificar al “Hacker Social”.
– Estrategias de Combate.
• Recursos para saber más.
Objetivos (¿Qúe Quieren Hacer?)*
• Los objetivos básicos de la Ingeniería Social son
los mismos del “hacking” o “cracking”
(dependiendo de quien lo haga) en general: ganar
acceso no autorizado a los sistemas, redes o a la
información para...
• Cometer Fraude,
• Entrometerse en las Redes,
• Espionaje Industrial,
• Robo de Identidad (de moda),
• Irrumpir en los Sistemas o Redes. *Definiciones de Sara Granger
http://www.sairy.com/bio.html
Objetivos (¿A Quien Van
Dirigidos?)*
• Las víctimas típicas incluyen
– Empresas Telefónicas
– Servicios de Helpdesk
– Corporaciones Renombradas
– Agencias e Instituciones Gubernamentales y Militares
– Instituciones Financieras
– Hospitales.
• El boom de la internet tuvo su parte de culpa en la
proliferación de ataques a pequeños “start-up´s”, pero en
general, los ataques se centran en grandes compañias.

*Definiciones de Sara Granger


http://www.sairy.com/bio.html
Contenido
• Ingeniería Social en Perspectiva:
– Definiciones.
– Objetivos.
• Técnicas y Herramientas de Ingeniería
Social:
– Invasivas o Directas o Físicas.
– Seductivas y/o Inadvertidas.
• Como Defenderse:
– Tips Simples para Defenderse.
– Como Identificar al “Hacker Social”.
– Estrategias de Combate.
• Recursos para saber más.
Técnicas y Herramientas de
Ingeniería Social

Invasivas o Directas o Físicas


Técnicas de Ingeniería Social
(Invasivas o Directas o Físicas)

• El Teléfono
• El Sitio de Trabajo
• La Basura
• La Internet-Intranet
• El Acceso Wireless
• Fuera de la Oficina
El Teléfono
• Personificación Falsa y Persuación
– Tretas Engañosas: Amenazas, Confusiones Falsas.
– Falsos Reportes de Problemas.
• Personificación Falsa en llamadas a HelpDesks y
Sistemas CRM
– Completando los Datos Personales
• Robo de Contraseñas o Claves de Acceso
Telefónico:
– Consulta de buzones de voz.
– Uso fraudulento de líneas telefónicas.
– Uso de Sistemas Internacionales de Voz sobre IP.
El Sitio de Trabajo
• Entrada a los sitios de trabajo
– Acceso Físico no Autorizado
– Tailgating (puerta trasera)
• Oficina
– “Shoulder Surfing” (ver por encima del hombro), Leer al
revés.
– Robar, fotografiar o copiar documentos sensibles.
– Pasearse por los pasillos buscando oficinas abiertas
– Intentos de ganar acceso al cuarto de PBX y/o servidores
para:
• Conseguir acceso a los sistemas,
• Instalar analizadores de protocolo escondidos, sniffers o,
• Remover o robar pequeños equipos con o sin datos.
La Basura
• “Dumpster Diving” o ¿Qué hay en nuestra
basura?:
– Listados Telefónicos.
– Organigramas.
– Memorandos Internos.
– Manuales de Políticas de la Compañia.
– Agendas en Papel de Ejecutivos con Eventos y Vacaciones.
– Manuales de Sistemas.
– Impresiones de Datos Sensibles y Confidenciales.
– “Logins”, “Logons” y a veces... contraseñas.
– Listados de Programas (código fuente).
– Disquettes y Cintas.
– Papel Membretado y Formatos Varios.
– Hardware Obsoleto.
La Internet-Intranet
• Si en algo es consistente un usuario es en
repetir passwords.
• “Password Guessing”
– Placa del Carro.
– Nombre de la HIJA + 2005.
– Fecha de nacimiento.
• Encuestas, Concursos, Falsas
Actualizaciones de Datos (Phising).
• Anexos con Troyanos, Exploits, Spyware,
Software de Navegación remota y Screen
Rendering.
Phising...(extraido de Wikipedia)
• ...engañar a un usuario llevándolo a pensar que uno es un
administrador del sistema y solicitando una contraseña para
varios propósitos.
– "crear una cuenta",
– "reactivar una configuración",
– Actualización de datos;
• Los usuarios de estos sistemas deberían ser advertidos
temprana y frecuentemente para que no divulguen
contraseñas u otra información sensible a personas que
dicen ser administradores.
• Los administradores de sistemas informáticos raramente (o
nunca) necesitan saber la contraseña de los usuarios.
• En una encuesta realizada por la empresa InfoSecurity,
el 90% de los empleados de oficina de la estación
Waterloo de Londres reveló sus contraseñas a cambio
de un bolígrafo barato.
Los “USB Memory Dongles”
• Excelente para invadir o
inyectar virus,
keygrabbers, etc.
• Excelente para robar
información.
• Fácil de introducir en
entornos empresariales.
• Fácil de sacar, casi
indetectable.
El Acceso Wireless
• Extensión de la Oficina (hasta 93
Metros alrededor).
• War-Driving.
• De nada sirve tener la red
protegida si la gente no es
consciente de la privacidad de la
clave.
• Una red abierta es puerta a
delitos informáticos.
• El punto de partida a “hacking”
tradicional.
War Driving
en Bogotá...
War Driving
en Bogotá...
Fuera de la Oficina
• Almuerzos “De Negocios” de Viernes, que
terminan en volada de oficina y “Happy Hours”,
con potenciales consecuencias desastrosas:
– Sesiones de confesión de contraseñas, extensiones,
direcciones de correo electrónico. Al otro dia, la
víctima no se acuerda.

• Conexiones “de oficina a Oficina”:


– ¿Puedo leer mi e-mail desde aqui?
– Eso está en la Intranet de la Empresa, pero (en tono
jactancioso) yo puedo entrar desde aqui.
• Lo que no sabe la victima es de la existencia de
“KeyGrabbers”
• Solución: One Time Passwords.
Contenido
• Ingeniería Social en Perspectiva:
– Definiciones.
– Objetivos.
• Técnicas y Herramientas de Ingeniería
Social:
– Invasivas o Directas o Físicas.
– Seductivas y/o Inadvertidas.
• Como Defenderse:
– Tips Simples para Defenderse.
– Como Identificar al “Hacker Social”.
– Estratégias de Combate.
• Recursos para saber más.
Técnicas y Herramientas de
Ingeniería Social

Seductivas y/o Inadvertidas.


Técnicas de Ingeniería Social
(Seductivas y/o Inadvertidas.)
• Autoridad
• Carisma
• Reciprocidad
• Consistencia
• Validación Social
Autoridad
• Pretender estar con la gente de TI o
con un alto ejecutivo en la Empresa o
Institución.
• Puede usar un tono de voz:
– Intimidante
– Amenazante
– Urgente
Carisma
• Se usan modales amistosos,
agradables.
• Se conversa sobre intereses comunes.
• Puede usar la adulación para ganar
información del contexto sbre una
persona, grupo o producto.
Reciprocidad
• Se ofrece o promete ayuda,
información u objetos que no
necesariamente han sido requeridos.
• Esto construye confianza, dá la
sensación de autenticidad y
confiabilidad.
Consistencia
• Se usa el contacto repetido durante
un cierto período de tiempo para
establecer familiaridad con la
“identidad” del atacante y probar su
confiabilidad.
Validación Social
• Acecha el comportamiento normal de
tratar de satisfacer un requerimiento.
• Se puede tomar ventaja de esta
tendencia al actuar como un
compañero de trabajo necesitando
información, contraseñas o
documentos para su trabajo.
• La victima usualmente es una
persona con cierto potencial de ser
segregada dentro de su grupo, o que
necesita “ser tomada en cuenta”.
Ingeniería Social Reversa
• Ocurre cuando el Hacker crea una
persona que parece estar en una
posición de autoridad de tal modo
que le pedirán información a él, en
vez de que él la requiera.
• Las tres fases de los ataques de ISR:
– Sabotaje.
– Promoción.
– Asistencia.
Ingeniería Social Reversa
• ¿Como opera?
– El Hacker sabotea una red o sistema,
ocasionando un problema.
– Este Hacker entonces promueve que él
es el contacto apropiado par
solucionar el problema, y entonces,
cuando comienza a dar asistencia en el
arreglo el problema, requiere pedacitos
de información de los empleados y de
esa manera obtiene lo que realmente
quería cuando llegó.
– Los empleados nunca supieron que él
era un hacker, porque su problema se
desvaneció, él lo arreglo y todo el
mundo está contento.
Contenido
• Ingeniería Social en Perspectiva:
– Definiciones.
– Objetivos.
• Técnicas y Herramientas de Ingeniería
Social:
– Invasivas o Directas o Físicas.
– Seductivas y/o Inadvertidas.
• Como Defenderse:
– Tips Simples para Defenderse.
– Como Identificar al “Hacker Social”.
– Estratégias de Combate.
• Recursos para saber más.
Tips Simples
para
Defenderse
Tips Simples para Defenderse
• Mantenga una actitud cautelosa y
revise constantemente sus tendencias
de ayudar a personas que no conoce.
Ojo: No tiene que volverse una persona
huraña y paranóica.

• Verifique con quien habla,


especialmente si le estan preguntando
por contraseñas, datos de empleado u
otra información sensitiva.
•Tips Simples
Al teléfono, para
obtenga Defenderse
nombres e
identidades (Nro. De Empleado, por
ejemplo). Corrobórelos y llámelos a su
pretendida extensión.
• No se deje intimidar o adular para
terminar ofreciendo información.
• No le permita a una persona
desconocida “descrestarlo” con su
aparente conocimiento.
– Ejemplo: Aquellos que conocen detalles
técnicos o usan acrónimos o la jerga
propia de la empresa o industria.
Tips Simples para Defenderse
• Muchos pueden sonar como parte de
“la-cosa-real”, pero pueden ser parte de
la conspiración.
• Sea cauteloso (de nuevo, no paranóico)
en las encuestas, concursos y ofertas
especiales via internet, teléfono y
correo electrónico y convencional.
• Estas son formas comunes de cosechar
direcciones de correo electrónico,
contraseñas y otros datos personales.
...y...

¡Por Favor...!!!
¡¡¡NO
RESPONDA
MENSAJES EN
CADENA...!!!
En un solo mensaje en cadena...
Contenido
• Ingeniería Social en Perspectiva:
– Definiciones.
– Objetivos.
• Técnicas y Herramientas de Ingeniería
Social:
– Invasivas o Directas o Físicas.
– Seductivas y/o Inadvertidas.
• Como Defenderse:
– Tips Simples para Defenderse.
– Como Identificar al “Hacker Social”.
– Estratégias de Combate.
• Recursos para saber más.
Como Identificar al “Hacker Social”.
• Trata (y lo logra...) de ser creíble, luce
como un profesional.
• Permanece en calma. Actúa como si
perteneciera a la empresa.
• Conoce a sus víctimas y como
reaccionarán.
• Reconoce al personaje alerta y lo
evita.
• Sabe retirarse discretamente si algo
comienza a fallar.
Como Identificar al “Hacker Social”.
• En los ataques telefónicos, se aprovechan del
hecho de la mayor credibilidad de la mujer.
• Utilizan “marcas de agua” cuando usan correo
convencional falso.
• Usan tarjetas de negocio y nombres (ambos)
falsos. Verifíquelos antes de involucrarse.
• Tratan de manipular a las personas menos
afortunadas, segregadas, a las menos agraciadas
y en general a todos los que buscan validación
social.
• Si el desafío es muy grande, trabajan en equipo.
Contenido
• Ingeniería Social en Perspectiva:
– Definiciones.
– Objetivos.
• Técnicas y Herramientas de Ingeniería
Social:
– Invasivas o Directas o Físicas.
– Seductivas y/o Inadvertidas.
• Como Defenderse:
– Tips Simples para Defenderse.
– Como Identificar al “Hacker Social”.
– Estratégias de Combate.
• Recursos para saber más.
Estratégias de Combate:
• Area de Riesgo • Estratégia de
– La Internet-Intranet Combate
– Refuerzo contínuo del
• Tácticas del Hacker conocimiento de los
> “Password Guessing” cambios a los sistemas
> Encuestas, Concursos, Falsas y redes.
Actualizaciones de Datos. – Entrenamiento en el
> Anexos con Troyanos, uso de contraseñas
Exploits, Spyware, Software – Inducción en la
de Navegación remota y creación de
contraseñas “fuertes”
Screen Rendering.
Estratégias de Combate:
• Area de Riesgo • Estratégia de
– Acceso Wireless Combate
– Esconder SID
• Tácticas del Hacker – Usar Mecanismos de
encripción:
> War Driving • WEP
> “Password Cracking” • WPA, WPA2
> “Screen Cloning” • RADIUS
> Exploits, Spyware, Software – Cambiar la clave con
frecuencia.
de Navegación remota y
– Usar listas autorizadas
Screen Rendering. de MAC-ADRESSES.
– No chicanear con su
nuevo router wireless.
Estratégias de Combate:
• Area de Riesgo • Estratégia de Combate
– Teléfono (PBX) – Entrenar a los empleados
y helpdesk en el sentido de
• Tácticas del Hacker nunca dar passwords u
• Personificación Falsa y otra información
confidencial por teléfono
Persuación
– Todos los empleados
• Personificación Falsa en deben tener un PIN
llamadas a HelpDesks y específico al HelpDesk
CRM´s. – Controlar llamadas larga
distancia, seguir llamadas,
• Robo de Contraseñas o rehusarse a transferencias
Claves de Acceso sospechosas
Telefónico:
Estratégias de Combate:
• Area de Riesgo • Estratégia de Combate
– Sitio de Trabajo – Entrenamiento en uso del
carnet de acceso. Presencia
de Vigilantes.
• Tácticas del Hacker – No escriba contraseñas con
alguien viendo
> Acceso Físico no Autorizado – Restrinja uso de
> Tailgating fotocopiadoras, escaners,
cámaras digitales.
> “Shoulder Surfing”, Leer al
– Requiera que las visitas sean
revés. escoltadas
> Robar, fotografiar o copiar – Cierre y monitorée la oficina
de correspondencia, cuartos
documentos sensibles. de servidores y PBX.
> Pasearse por los pasillos – Marque la información
> Intentos de ganar acceso al confidencial y manéjela
apropiadamente
cuarto de PBX y/o servidores
Estratégias de Combate:
• Area de Riesgo • Estratégia de Combate
– La Basura – Mantenga toda la basura
en áreas aseguradas y
monitoreadas.
– Destruya datos sensibles
en papel,
– Borre y destruya medios
• Tácticas del Hacker magnéticos (diskettes y
> “Dumpster Diving” o cintas) y raye los médios
“nadar en la basura” ópticos (CD-ROMS,
DVD´s).
– Borre los discos de
equipos obsoletos.
Estratégias de Combate:
• Area de Riesgo • Estratégia de
– Fuera de la Oficina Combate
– Mantenga a los
empleados alerta a
• Tácticas del Hacker través de
> Reuniones fuera de la entrenamientos
oficina con uso de bebidas contínuos de
alcoholicas. conocimiento y
> Conexiones “de oficina a reforzamiento de
Oficina” políticas de seguridad,
tácticas y tretas de los
Hackers sociales.
Contenido
• Ingeniería Social en Perspectiva:
– Definiciones.
– Objetivos.
• Técnicas y Herramientas de Ingeniería
Social:
– Invasivas o Directas o Físicas.
– Seductivas y/o Inadvertidas.
• Como Defenderse:
– Tips Simples para Defenderse.
– Como Identificar al “Hacker Social”.
– Estratégias de Combate.
• Recursos para saber más.
Recursos para saber más.
• (Oficinistas revelan contraseñas por un
bolígrafo) (en inglés). The Register.
• http://www.theregister.co.uk/2003/04/18/
office_workers_give_away_passwords/

• Kevin D. Mitnick, William L. Simon, Steve


Wozniak.
– The Art of Deception: Controlling the Human
Element of Security.
• John Wiley & Sons, 2002. ISBN 0471237124.
Salon de la Fama
• El Hacker Social mas famoso: Kevin
Mitnick
• Kevin Lee Poulsen
• Hermanos Badir

También podría gustarte