Factor Humano en la Seguridad de la Informacin: Ingeniera Social

Ricardo Argello

Agenda

Cuan grande es el problema? Qu es la Ingeniera Social? Por qu la IS es tan efectiva? Anatoma de un ataque de IS Como mitigar el riesgo Conclusiones

Cuan grande es el problema?

Cuan grande es el problema?

Deloitte 2004 Global Security Survey

Instituciones financieras deben cumplir regulaciones 83% ha sufrido algn problema de seguridad

PWC/Department of Trade & Industry: information Security Breaches Survey 2004 (Inglaterra)

Nmero de ataques ha aumentado El costo de un ataque a una organizacin grande puede llegar hasta los $ 250.000

Cuan grande es el problema?

FBI

Denegacin de servicio el ms costoso Robo de propiedad intelectual segundo mas costoso El volumen de los ataques se ha doblado desde el 2001

2002-03 Australian Cyber Crime Survey

Cuan grande es el problema?

CSO 2003 Survey

Los que contestaron la encuesta y que sufrieron la mayor cantidad de daos debido a incidentes de seguridad eran dos veces mas propensos que el promedio a planificar disminuir sus gastos en seguridad el prximo ao. Aquellos que fueron mas afectados fueron la casi la mitad de propensos a listar el entrenamiento de sus empleados como unas de sus tres primeras prioridades.

Cuan grande es el problema?

Estadsticas CERT/CC (www.cert.org)

Vulnerabilidades por ao
4500 4000 3500 3000 2500 2000 1500 1000 500 0 1995
Vulnerabilidades

1996

1997

1998

1999

2000

2001

2002

2003

2004

2005

Cuan grande es el problema?

Cuan grande es el problema?

No sabemos! Falta de mtricas tiles La tendencia indica que se incrementa cada ao La perdida monetaria ha sido estimada entre $ 400 millones y $ 12 billones de dlares. Robo de identidad: La actividad criminal no violenta de mayor crecimiento Phishing parece estar al alza

Cuan grande es el problema?

Phishing:

Mensaje de correo fraudulento destinado a engaar a los destinatarios para que divulguen informacin de identificacin personal.

nombres de usuario, claves de acceso, nmeros de tarjetas de crdito, nmeros de seguridad social, claves de cajero, etc. Estos mensajes de correo lucen oficiales y los destinatarios creen en la marca y responden, resultando en prdidas financieras, robo de identidad y otras actividades fraudulentas

Ingeniera Social

Fenmeno Social/Psicolgico Definicin:

Aplicacin prctica de principios sociolgicos a problemas sociales particulares

No necesariamente negativo Persuasin:

Disonancia Cognitiva Teora de las Expectativas del Lenguaje

Ahora se ha vuelto un problema tecnolgico negativo

Ingeniera Social

Intentos, exitosos o no, de influenciar a una persona(s) a revelar informacin, o de actuar de manera que resulte en acceso no autorizado, uso no autorizado o divulgacin no autorizada, a un sistema de informacin, red o datos.

Rogers & Berti, 2001

IS: Por qu es tan efectiva?

El campo de la Seguridad de la Informacin est enfocado principalmente en seguridad tcnica Casi no se presta atencin a la interaccin mquina-persona Solo tan fuerte como el eslabn ms dbil Las personas son el eslabn mas dbil (Wetware) Por que gastar tanto tiempo atacando la tecnologa si una persona te puede dar acceso?

IS: Por qu es tan efectiva?

Extremadamente difcil de detectar. No existe IDS para falta de sentido comn o ms apropiadamente, ignorancia.

IS: Por qu es tan efectiva?

Dos factores bsicos

Naturaleza Humana Bsica Entorno de Negocio Util Que confa Inocente

Naturaleza Humana

IS: Por qu es tan efectiva?

Entorno de Negocio

Orientado a servicio Poco tiempo/muchas tareas Oficinas distribuidas Oficinas virtuales Fuerza de trabajo de alta rotacin

IS: Por qu es tan efectiva?

Muy similar a como las Agencias de Inteligencia se infiltran en sus objetivos Tres fases:

Fase 1: Recopilacin de inteligencia Fase 2: Seleccin de la vctima Fase 3: El Ataque

Usualmente muy metdico

Anatoma de un Ataque

Fase 1: Recopilacin de Inteligencia

Fuentes de informacin primaria

Basureros Pginas Web Ex-empleados Contratistas Vendedores Socios estratgicos

La base para la siguiente fase

Anatoma de un Ataque

Fase 2: Seleccin de la vctima

Se busca por debilidades en el personal de la organizacin

Help Desk Soporte Tcnico Recepcin Soporte Administrativo Etc.

Anatoma de un Ataque

Fase 3: El Ataque

Basado en rutas perifricas de persuasin:

Autoridad Similitud Reciprocidad Compromiso y consistencia

Usa la emocionalidad como una forma de distraccin

Anatoma de un Ataque

4 categoras generales de ataques:

Ataques Tcnicos Ataques al Ego Ataques de Simpata Ataques de Intimidacin

Anatoma de un Ataque

Ataque Tcnico (Autoridad/Consistencia)

No hay contacto directo interpersonal con las vctimas El atacante forja mensajes de email, websites, popups o algn otro medio Pretende ser soporte autorizado o un administrador de sistemas Trata de obtener informacin sensible de los usuarios (claves, nombres de usuario, nmeros de tarjeta de crdito, claves de cajero, etc). Muy exitoso

Anatoma de un Ataque

Ataque al Ego (Reciprocidad/Simpata)

El atacante apela a la vanidad o ego de la vctima Usualmente atacan a alguien que parezca frustrado con su situacin laboral La vctima trata de probar cuan inteligente o conocedor es y provee informacin o incluso acceso a sistemas o datos. El atacante puede pretender ser una autoridad de la ley, la vctima se siente honrado de ayudar La vctima usualmente nunca se da cuenta

Anatoma de un Ataque

Ataque de Simpata (Simpata/Compromiso)

El atacante pretende ser un nuevo empleado, contratista o vendedor Existe alguna urgencia de completar una tarea u obtener alguna informacin Necesita asistencia o perder su trabajo o estar en problemas Juego con la empata/simpata de la vctima El atacante pide ayuda hasta que encuentra alguien que pueda ayudarlo Ataque muy exitoso

Anatoma de un Ataque

Ataque de intimidacin (Autoridad)

El atacante pretende ser alguien con influencias (una figura de autoridad, oficial de la ley) Trata de utilizar su autoridad para forzar a la vctima a cooperar Si hay resistencia utiliza la intimidacin y amenazas (perdida del empleo, cargos criminales) Si pretende se un oficial de la ley dir que la investigacin es encubierta y no debe ser divulgada

Mitigando el riesgo

El impacto de la IS es usualmente alto La facilidad de un ataque es alta Controles tcnicos solamente no evitarn un ataque de IS Controles administrativos/operacionales tampoco lo harn Controles de medio ambiente tampoco lo prevendrn

Mitigando el riesgo

Necesitamos una combinacin de Principios Operacionales/Administrativos, Tcnicos (lgicos) y de Medio Ambiente (fsicos) Se puede reducir a:

Tecnologa Polticas Educacin Divulgacin Entrenamiento

Mitigando el riesgo

Todos los empleados deben tener una actitud hacia la seguridad y cuestionar las cosas. Necesitan reconocer los trucos Se deben tener procedimientos de respuesta a incidentes y equipos que mitiguen el dao si ocurre un ataque Se debe notificar a los involucrados Aplicar tecnologa donde sea posible Probar cuan listos estamos peridicamente

Conclusiones

Los ataque de Ingeniera Social son una amenaza muy seria Los ataque de Ingeniera Social son muy fciles y muy efectivos No se debe ignorar la interaccin personamaquina La seguridad de la informacin es un problema de hardware, software, firmware y peopleware La mejor defensa: Educacin combinada con tecnologa