"He tomado sobre mis espaldas el monopolio de mejorar sólo a una persona, esa persona soy yo mismo, y sé cuán difícil es conseguirlo"

[Mahatma Gandhi - Político y Pensador Indio - 1869-1948]

Boletín 40 - Ingenieria Social (II) - 08/04/2006


PRÓLOGO:

La curiosidad NO mata al usuario. Secciones del sitio actualizadas.

www.segu-info.com.ar busca colaboradores.

No hablaré de las nuevas vulnerabilidades de IE. Ya no son noticia.
http://seguinfo.blogspot.com/2006/04/barra-de-direcciones-falsa-en-internet.html

Segu-Info candidato a mejor sitio informativo. VOTENOS !!

http://www.diadeinternet.org/2006/index.php?body=premios_votar&ctr=203



1. Artículo propio del día: Ingeniería Social (II)
2. Entrevista a Pete Herzog
3. Al fin sucedió
4. Estándares y más estándares
5. Revistas gratis
6. Eventos, seminarios y cursos
7. JA de la semana



1. Artículo Propio del día: Ingeniería Social (II)


Los seres humanos con frecuencia solemos pecar de vanidosos. La vanidad es la que no nos permite ver lo sencillo que puede resultar engañarnos. La vanidad no nos permite ver lo obvio: nosotros sabemos algo que por algún motivo puede ser útil para alguien más.

La vanidad está relacionada con la Seguridad Informática ya que es harto conocido el dicho "que una computadora apagada es un computadora segura", y si la computadora está apagada adivine quien es el objetivo: nosotros.

No hay un sólo sistema en el mundo que no dependa de un ser humano, lo cual es una vulnerabilidad independiente de la plataforma tecnológica.

En palabras de Kevin Mitnick, uno de los crackers más famosos del mundo por conocidas estafas utilizando Ingeniería Social como principal arma y actual dueño de una consultora de seguridad que lleva su nombre: "Usted puede tener la mejor tecnología, Firewalls, sistemas de detección de ataques, dispositivos biométricos, etc. Lo único que se necesita es un llamado a unempleado desprevenido e ingresar sin más. Tienen todo en sus manos".

Dejando el parafraseo de lado es hora de entrar de lleno en el tema de hoy: la Ingeniería Social. Dícese de una acción o conducta social destinada a conseguir información de las personas cercanas a un sistema. Es el arte de conseguir lo que nos interese de un tercero por medio de habilidades sociales. Estas prácticas están relacionadas con la comunicación entre seres humanos. Las acciones realizadas suelen aprovecharse de engaños, tretas y artimañas para lograr que un usuario autorizado revele información que, de alguna forma, compromete al sistema.

Las personas padecemos las mismas debilidades dentro y fuera de la red, y las técnicas conocidas sólo deben ser adaptadas al nuevo medio deseado.

Las cualidades que pueden ser utilizadas son propias de la persona, como sus relaciones personales, inocencia, credibilidad, curiosidad, ambición, conocimiento, etc. Parece poco creíble que preguntando a una persona por la información en la que estamos interesados, obtengamos lo que nosotros deseamos; sin embargo esta habilidad es desarrollada y utilizada por personas corrientes, hackers, ladrones, timadores y estafadores para lograr que otra persona ejecute una acción que generalmente repercute en un beneficio para el atacante.

Este arte puede ser utilizado en todos los niveles, desde un vendedor averiguando necesidades de sus compradores para ofrecerle un servicio más personalizado (quizás éticamente correcto), llamar a alguien a su casa para averiguar si se encuentra y hasta engañar a un usuario para que revele su contraseña de acceso a un sistema (algo éticamente cuestionable).

En el mundo de la seguridad informática, este arte es utilizado, entre otros, para dos fines específicos:

La Ingeniería Social es ampliamente utilizada por creadores de Malware y estafadores debido al alto nivel de eficacia logrado engañando al usuario.

Y aquí notamos otra característica importante: la excelente relación costo-beneficio obtenida de su aplicación, ya que a un costo ínfimo (una llamada telefónica o un correo electrónico) corresponde un beneficio incalculable (acceso a la información o a un sistema).

Si bien podríamos entrar en particularidades de cada caso es fundamental comprender que no hay tecnología capaz de protegernos contra la Ingeniería Social, como tampoco hay usuarios ni expertos que estén a salvo de esta forma de ataque. La Ingeniería Social no pasa de moda, se perfecciona y sólo tiene nuestra imaginación como límite.

Así mismo existe una única y efectiva forma de estar protegido contra ella: LA EDUCACIÓN. En este caso no estamos hablando de una educación estrictamente técnica sino más bien una capacitación social que alerte a la persona cuando está por ser blanco de este tipo de ataque. Si el atacante tiene la experiencia suficiente, puede engañar fácilmente a un usuario en beneficio propio, pero si este usuario conoce estas tretas no podrá ser engañado. Además la educación de los usuarios suele ser una importante técnica de disuasión.

Paradójica y lamentablemente nuestra vanidad no nos permite ver que el ser humano es el elemento permanente, y más débil en todo sistema. El ser humano es el objetivo y el medio para acceder a ese sistema, por eso es sumamente importante la capacitación y entender que todos somos un eslabón en la cadena de la seguridad.


Agregar a del.icio.usdel.icio.us Agregar a Diggdigg Agregar a Technorati Agregar a Furl

2. Entrevista a Pete Herzog


Una entrevista muy entretenida a Pete Herzog el creador de "Open Source Security Testing Methodology" (OSSTM) o Manual de la Metodología Abierta de Testeo de Seguridad.

El objetivo del manual es crear un estándar y una metodología de testeo de seguridad en cualquier entorno desde el exterior hacia el interior. Incluye las mejores prácticas, con los pasos a realizar, la forma de documentar, legislación, evaluación de riesgo. Recomiendo su lectura.

La entrevista: http://www.securityfocus.com/columnists/395

El manual puede ser descargado de nuestra sección de políticas o desde el sitio oficial del Institute for Security and Open Methodology (ISECOM):

http://www.isecom.org/



3. Al fin sucedió


Esta es una lista de sucesos que hace tiempo tenía ganas que ocurran porque considero que son positivos para la realidad que nos toca vivir.

  1. 'Crazy' alcanza el número uno de las listas británicas antes de que el disco exista. La prueba cabal de que las discográficas no son necesarias o al menos no con sus márgenes de ganancias actuales.
    http://www.elmundo.es/navegante/2006/04/03/cultura/1144081668.html
    http://www.gnarlsbarkley.com/

  2. Entrevista imperdible a Egberto Gismonti. Si todos pensáramos así la verdadera cultura existiría.
    http://www.clarin.com/suplementos/cultura/2006/03/25/u-01163988.htm
    Rescato esta parte de la nota:
    "Estoy por concretar un sueño muy grande utilizando Internet. Hace tres años trabajo para conseguir la autorización de que las grandes sociedades recaudadoras de derechos como la estadounidense ASCAP (The American Society of Composers, Authors y Publishers) o la alemana GEMA (Society for musical performing and mechanical reproduction rights) permitan a la gente bajar gratuitamente toda mi obra. ¿Y por qué quiero dar gratis toda mi producción? Porque después de más de treinta años trabajando profesionalmente sé que los verdaderos responsables de esto son las personas que gozan de la música y fueron a los conciertos y compraron los discos, y no las compañías discográficas que sólo los producen. Lucho para que las cosas se consigan oficialmente, dándoselas gratis a las personas porque existen otras maneras de ganar dinero. Pretendo que la música (no sólo la mía, pero no puedo hablar de la música de los demás artistas) y los libros cuesten muy poco. En Brasil, un disco vale el equivalente a veinte dólares. Eso es absurdo. Como productor sé que un disco no puede costar tanto. En un mundo difícil como el actual, la única manera de producir nuestro arte es quitándole importancia a la cuestión financiera."

  3. Un portátil con Linux preinstalado. Felicitaciones !
    http://blog.pc-actual.com/blogpca/2006/03/un_portatil_con.html
  4. 10% del mercado de navegadores es de FireFox. Sigamos creciendo.
    http://marketshare.hitslink.com/report.aspx?qprid=0

4. Estándares y más estándares


Vicente Aceituno Canal nos cuenta que se ha lanzado una nueva versión de Information Security Management Maturity Model (ISM3), un estándar para Sistemas de Gestión de la Seguridad de la Información (SGSI).

Corresponde a la versión 1.20 y aquí puede verse su contenido.
http://www.kriptopolis.org/node/2093
El mismo es un estándar abierto y se puede descargar de nuestra sección de políticas o de su sitio oficial: http://www.ism3.com.



5. Revistas gratis


Mensualmente se publican dos revistas relacionadas con la seguridad.
La primera de ellas es chilena:
Begins: "La Revista de software libre y código abierto" y puede obtenerse de
http://www.softwarelibre.cl/drupal/?q=node/608


La otra es argentina y va por su sexto número.
Ware: "La tecnología gratuita" y puede obtenerse de
http://www.revistaware.com/

Felicitaciones a sus creadores por la iniciativa.



6. Eventos, seminarios y cursos


Si conoces eventos y deseas publicarlos comúnicate con nosotros.

NOTA: www.segu-info.com.ar no está relacionado con la organización de
los eventos mencionados.



7. JA de la semana


Advertencia: Esto NO es gracioso.
¿Modificamos las estadísticas a nuestra conveniencia?
http://elreydelabaraja.blogspot.com/2006/03/fuentes-interesadas.html

Advertencia: Esto SI es muy gracioso.
Manteros piden ayuda a discográficas.
http://www.cortell.net/2006/04/05/tanta-tonteria-junta-da-risa-manteros-piden-ayuda-a-discograficas/


Actualidad

Virus-Antivirus

Hosting by