Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Ingenieria Social - Hack04ndalus
Ingenieria Social - Hack04ndalus
Adrin Ramrez
adrian@dolbuck.com
Lecturas recomendadas
Introduccin
"Usted puede tener la mejor tecnologa, firewalls, sistemas de deteccin de ataques, dispositivos biomtricos, etc. Lo nico que se necesita es un llamado a un empleado desprevenido e ingresan sin ms. Tienen todo en sus manos." Kevin Mitnick.
Qu es la ingeniera social?
Bajo el nombre de Ingeniera Social (literalmente traducido del ingls Social Engineering) ACCIONES O CONDUCTAS tiles para conseguir informacin de las personas cercanas a un sistema.
Es una disciplina que consiste, ni ms ni menos en sacar informacin a otra persona sin que esta s de cuenta de que te esta revelando "informacin sensible".
Con este curioso trmino se engloba una serie de tretas, artimaas y engaos elaborados cuyo fin es confundir al usuario o, peor todava, lograr que comprometa seriamente la seguridad de sus sistemas. Aprovecha sentimientos tan variados como curiosidad, la avaricia, el sexo, la compasin o el miedo, de esta forma se consigue el objetivo, una accin por parte del usuario.
Quines la usan?
Hackers
Espas
Ladrones o timadores Detectives privados
El factor humano
En el congreso "Access All Areas" de 1997, un conferenciante aseguraba:
Internet
Crculos Amistades
Familiares
Basura??
tica ??
* Recomendado leer El gran Juego Justificaciones: El espa y el detective>>> es su trabajo. El gobierno >>>> por la seguridad de la nacin. El timador >>>> su medio de vida (la pasta) El hacker >>>> curiosidad?!!!
Ordenando la informacin: Al igual que al preparar un ataque a un sistema informtico. Versin, bug, etc. Vamos elaborando una lista, sobre nuestro objetivo. Gustos, vicios, marca de cigarrillos, matrcula del coche, modelo, mvil, DNI, nombre de los hijos, de la mujer, de la novia, figuras principales de en su vida, se elabora un perfil psicolgico de la persona. Fuente: Internet, basura, amigos, familiares, buscar siempre las personas mayores, abuelas, o nios, hijos, hermanos, etc.
Preparando la estrategia
Todo objetivo se vale de una estrategia para lograrlo. Ese es el fin mismo de la estrategia.
Mi experiencia como comercial de AUNA CABLE o INSTALADOR ADSL Que logramos con esto?
Entrar a una casa, nuestra vctima quizs EJEMPLO: Llamada a nuestro mvil, nuestro jefe, necesitamos enviar un dato urgente, no nos dejara el ordenador para enviarlo?
Un ejemplo extrado de una pagina cita textualmente; conocido el ataque que sufri la Web de la Guardia Civil 1999
(http://www.guardiacivil.org/) dirigindola hacia un site gay. Como ha comentado la benemrita en varias ocasiones, no se debi a ningn fallo de su sistema, sino a que el atacante, envi un correo como si se tratara del administrador del dominio guardiacivil.org a Network Solutions y estos cambiaron los DNS del registro del dominio por los que quiso el atacante, redirigiendo as la Web de la Guardia Civil a la Web gay.
Mezclar la IS con la tecnologa hace que el conjunto en s, sea un arma mortal, crear un keylog, o un troyano en VB, o C++, No requiere un gran esfuerzo, incluso el control total de Pel, tard tiempo en ser reconocido por los principales antivirus. CD de regalos, archivos adjuntos, echar imaginacin. Quin no comprara el ltimo Cd de nuestro cantante favorito Por 1 a un tio que monto una manta en la puerta de nuestra casa, como cado del cielo. ???
Pistas: Si nos hacemos pasar por tcnicos, hablar en lenguaje tcnico, la gente suele no entender nada y decirnos siempre que si. Encuestas inocentes a los familiares de las victimas, edades, nombres, etc. (Hacer unas cuantas para tener soltura). Oferta increble enviaremos la ampliacin por mail (ah introducimos el troyano). Es un mail esperado, lo abrir seguro.
HOTMAIL HACKEABLE?
Tecnolgicamente es difcil tenemos que hackear los servidores de Micorsoft, para obtener qu, una cuenta?. Es caro, lleva tiempo, y en mi caso es imposible. Soy realista
Si analizamos el problema, vemos que lo que queremos es una cuenta en concreto. Si es de nuestra novia/o (esta tirado), un compaero o amigo, virtual o no (tirado tambin), de una persona por encargo.(Requiere un proceso fino de ingeniera social, objetivo, un keylog, y acceder 2 veces al ordenador) por ejemplo.
TICA? >>VIOLACIN DE LA PRIVACIDAD?>>> ????
Conclusiones:
La ingeniera social NUNCA PASAR DE MODA. Es un arte, el arte que deja la tica de lado El ingrediente necesario detrs de todo gran ataque.
Tu red tiene firewall?. . Tiene antivirus??? Tus administradores estan entrenados para hablar con hackers y detectar sus intentos de ingeniera social?
Y Mara la de la limpieza?
Contramedidas
La mejor manera de esta protegido pasa por el conocimiento. Educar a las personas, en concreto a las personas que trabajan cerca de las terminales, desde los operarios, hasta personal de limpieza.
Lecturas recomendadas