Universidad Autnoma de Nuevo Len Facultad de Ciencias Fsico Matemticas

Ingeniera Social

Profesor: Ing. Juan Carlos Maldonado Cant

ENSAYO CASOS DE KEVIN MITNICK

Nombre del alumno: Jess Jonathan Rodrguez Prez Matricula: 1549297

Monterrey, Nuevo Len a 07 de Octubre de 2013

ndice

Introduccin.3 Contenido.4 Conclusiones7 Referencias.......8

Introduccin

Este ensayo hace referencia a la lectura de uno de los casos que comenta el famoso ingeniero social Kevin Mitnick en su libro El arte de la intrusin,

especficamente el caso llamado SU BANCO ES SEGURO, NO?. Vamos a analizarlo, y a comentar cuales fueron los errores cometidos por las victimas, asi como los aciertos de los atacantes.
Kevin Mitnick nos cuenta dos historias de personajes diferentes, sucedidas en diferentes lugares, pero con un enfoque comn: la seguridad bancaria.

La primera historia habla sobre un joven, que con algunos conocimientos sobre programacin, en un da realmente aburrido decide investigar en el cdigo de una pgina web de un banco. Como preludio, el joven nos comenta que en este pas (Estonia) nadie utiliza cheques o papeles al momento de realizar transacciones bancarias, todo lo hacen ya sea por medio de internet, o con tarjeta de crdito. Investigando, se encuentra con que el sistema de archivos que manejaba el banco era Unix, con lo cual el deduce los ataques que intentara utilizar.

Analizando el cdigo, se dio cuenta de que poda visualizar las contraseas, y que estas se encontraban en su forma cifrada normal. Utilizando un programa para crackear contraseas (John the ripper) y un diccionario, tard solo 15 minutos en obtener la contrasea para descifrar el formulario.

Dentro de este formulario el joven se encuentra con la contrasea de superusuario, obteniendo as privilegios de administrador para un servidor de transacciones bancarias. En este caso, esta persona decidi no hacer mal uso de sus conocimientos, ya que l era trabajador de seguridad en informtica en una empresa, el inform a sus superiores, quienes a su vez informaron al banco, el cual le hizo una oferta al joven para que continuara buscando errores y la forma de solucionarlos.

La segunda historia habla sobre un Canadiense que termin penetrando un banco del sur de Estados Unidos. Primero el joven busco en internet los cdigos IP correspondientes a instituciones de gobierno /bancos, encontrando la direccin de un Banco de Estados Unidos. Al investigar mas sobre este banco, descubri que era un banco con muchos contactos en el pas y tambin en el extranjero, de igual forma descubri que los servidores del banco ejecutaban Citrix MetaFrame, un software que permite acceder a los servidores de forma remota. El saba por experiencia que la mayora de los sistemas que utilizan servicios Citrix no tenan contraseas seguras. Sabiendo esto, el realizo un escaneo de puertos, en toda ocasin que pudo acceder a un ordenador realizaba un escaneo buscando la palabra contrasea, y aunque no siempre tena xito, llego a encontrar algunas notas tipo La contrasea del correo es Felizdia. Continuando con su infiltracin, fue a dar con la contrasea del Firewall del banco, e intento conectarse algn router, sabiendo que a veces estos tienen la contrasea predeterminada admin, y que muchas veces nunca la cambian. Una vez que logro acceder a un router, cambio la configuracin para lograr tener acceso a la red.

Al tener acceso a los equipos descubri entre los archivos que a la empresa le haban hecho una auditora recientemente, que estos haban dejado un informe con todas las vulnerabilidades del sistema, de esta forma fue posible aduearse del resto de la red. Al investigar sobre el servidor principal del banco y conocer su modelo, el atacante descarga un manual de Microsoft, en el cual se inclua la contrasea predeterminada administrador que result ser la contrasea del servidor.

Despus de instalar un Keylogger en el sistema, solo fue cuestin de esperar para que algn administrador introdujera su cuenta y contrasea. Ya armado con las contraseas y ms, decidi leer los manuales que se encontraban en lnea, y as termino llegando a conocer la forma en que el banco realizaba transferencias a otras instituciones. En este caso, el atacante tampoco decidi hacer dao al banco, en cambio se inscribi en un programa de seguridad de la universidad. Segn el testimonio, el banco contaba con muchas medidas de seguridad fsicas, pero la seguridad de sus servidores dejaba mucho que desear.

Conclusiones A veces son los detalles ms simples los que terminan siendo nuestra mayor debilidad, en este caso, tener contraseas dbiles pudo haberse convertido en el fin de estas compaas de banco, que por cosas tan tontas como dejar los passwords que tienen por defecto algunos aparatos, se convirtieron el punto de acceso para los atacantes. Afortunadamente no sucedi nada realmente grave, ya que quienes comprometieron el sistema solo se dedicaron a observar, a pesar de que pudieron llegar ms all no lo hicieron. Algunas medidas que se deben tomar en cuenta para evitar que cosas as sucedan incluyen: Cambiar las contraseas por defecto de los servidores, routers, etc. Realizar auditoras de seguridad de forma peridica Atender inmediatamente cualquier desperfecto (en el caso del banco que aparentemente no soluciono sus vulnerabilidades). Tener antivirus y realizar anlisis de forma peridica.

Si intentas que tus sistemas sean a prueba de tontos, siempre habr otro tonto ms ingenioso que t. Juhan

Ficha Bibliogrfica Mitnick, Kevin y Simn, William. El arte de la Intrusin (2007). Alfaomega Grupo Editor S.A de C.V, Mxico.