Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Ricardo Argello
Agenda
Cuan grande es el problema? Qu es la Ingeniera Social? Por qu la IS es tan efectiva? Anatoma de un ataque de IS Como mitigar el riesgo Conclusiones
Instituciones financieras deben cumplir regulaciones 83% ha sufrido algn problema de seguridad
PWC/Department of Trade & Industry: information Security Breaches Survey 2004 (Inglaterra)
Nmero de ataques ha aumentado El costo de un ataque a una organizacin grande puede llegar hasta los $ 250.000
FBI
Denegacin de servicio el ms costoso Robo de propiedad intelectual segundo mas costoso El volumen de los ataques se ha doblado desde el 2001
Los que contestaron la encuesta y que sufrieron la mayor cantidad de daos debido a incidentes de seguridad eran dos veces mas propensos que el promedio a planificar disminuir sus gastos en seguridad el prximo ao. Aquellos que fueron mas afectados fueron la casi la mitad de propensos a listar el entrenamiento de sus empleados como unas de sus tres primeras prioridades.
1996
1997
1998
1999
2000
2001
2002
2003
2004
2005
No sabemos! Falta de mtricas tiles La tendencia indica que se incrementa cada ao La perdida monetaria ha sido estimada entre $ 400 millones y $ 12 billones de dlares. Robo de identidad: La actividad criminal no violenta de mayor crecimiento Phishing parece estar al alza
Phishing:
Mensaje de correo fraudulento destinado a engaar a los destinatarios para que divulguen informacin de identificacin personal.
nombres de usuario, claves de acceso, nmeros de tarjetas de crdito, nmeros de seguridad social, claves de cajero, etc. Estos mensajes de correo lucen oficiales y los destinatarios creen en la marca y responden, resultando en prdidas financieras, robo de identidad y otras actividades fraudulentas
Ingeniera Social
Ingeniera Social
Intentos, exitosos o no, de influenciar a una persona(s) a revelar informacin, o de actuar de manera que resulte en acceso no autorizado, uso no autorizado o divulgacin no autorizada, a un sistema de informacin, red o datos.
El campo de la Seguridad de la Informacin est enfocado principalmente en seguridad tcnica Casi no se presta atencin a la interaccin mquina-persona Solo tan fuerte como el eslabn ms dbil Las personas son el eslabn mas dbil (Wetware) Por que gastar tanto tiempo atacando la tecnologa si una persona te puede dar acceso?
Extremadamente difcil de detectar. No existe IDS para falta de sentido comn o ms apropiadamente, ignorancia.
Naturaleza Humana
Entorno de Negocio
Orientado a servicio Poco tiempo/muchas tareas Oficinas distribuidas Oficinas virtuales Fuerza de trabajo de alta rotacin
Muy similar a como las Agencias de Inteligencia se infiltran en sus objetivos Tres fases:
Anatoma de un Ataque
Anatoma de un Ataque
Anatoma de un Ataque
Fase 3: El Ataque
Anatoma de un Ataque
Anatoma de un Ataque
No hay contacto directo interpersonal con las vctimas El atacante forja mensajes de email, websites, popups o algn otro medio Pretende ser soporte autorizado o un administrador de sistemas Trata de obtener informacin sensible de los usuarios (claves, nombres de usuario, nmeros de tarjeta de crdito, claves de cajero, etc). Muy exitoso
Anatoma de un Ataque
El atacante apela a la vanidad o ego de la vctima Usualmente atacan a alguien que parezca frustrado con su situacin laboral La vctima trata de probar cuan inteligente o conocedor es y provee informacin o incluso acceso a sistemas o datos. El atacante puede pretender ser una autoridad de la ley, la vctima se siente honrado de ayudar La vctima usualmente nunca se da cuenta
Anatoma de un Ataque
El atacante pretende ser un nuevo empleado, contratista o vendedor Existe alguna urgencia de completar una tarea u obtener alguna informacin Necesita asistencia o perder su trabajo o estar en problemas Juego con la empata/simpata de la vctima El atacante pide ayuda hasta que encuentra alguien que pueda ayudarlo Ataque muy exitoso
Anatoma de un Ataque
El atacante pretende ser alguien con influencias (una figura de autoridad, oficial de la ley) Trata de utilizar su autoridad para forzar a la vctima a cooperar Si hay resistencia utiliza la intimidacin y amenazas (perdida del empleo, cargos criminales) Si pretende se un oficial de la ley dir que la investigacin es encubierta y no debe ser divulgada
Mitigando el riesgo
El impacto de la IS es usualmente alto La facilidad de un ataque es alta Controles tcnicos solamente no evitarn un ataque de IS Controles administrativos/operacionales tampoco lo harn Controles de medio ambiente tampoco lo prevendrn
Mitigando el riesgo
Necesitamos una combinacin de Principios Operacionales/Administrativos, Tcnicos (lgicos) y de Medio Ambiente (fsicos) Se puede reducir a:
Mitigando el riesgo
Todos los empleados deben tener una actitud hacia la seguridad y cuestionar las cosas. Necesitan reconocer los trucos Se deben tener procedimientos de respuesta a incidentes y equipos que mitiguen el dao si ocurre un ataque Se debe notificar a los involucrados Aplicar tecnologa donde sea posible Probar cuan listos estamos peridicamente
Conclusiones
Los ataque de Ingeniera Social son una amenaza muy seria Los ataque de Ingeniera Social son muy fciles y muy efectivos No se debe ignorar la interaccin personamaquina La seguridad de la informacin es un problema de hardware, software, firmware y peopleware La mejor defensa: Educacin combinada con tecnologa