[HACK] lectura de verano I

[merce at grn.es]

18:57 30/04/02


INGENIERÍA SOCIAL: MENTIRAS EN LA RED


Mercè Molist
Otoño  de  2001  en  el  proveedor  America  Online.  Alguien llama al
servicio de ayuda y está una hora hablando con un operador. Durante la
conversación menciona, de paso, que quiere vender su coche. El técnico
se  muestra  interesado  y el hacker le envía una foto. Al abrirla, se
ejecuta  un  programa  que  crea  una  conexión pirata, traspasando el
cortafuegos  de la compañía. Así, el intruso accede a la red interna y
a las cuentas de 200 clientes.

La mentira ha adquirido nuevo nombre y dimensión en Internet, donde el
riesgo  para quien engaña es menor que cara a cara. Las estrategias se
han  complicado,  "ingenierizado", en un terreno fértil que iguala los
datos  al  dinero  como  objeto de deseo. Profesionales del tocomocho,
espías  industriales, 'crackers', escritores de virus, bromistas y, en
general,  la  estructura abierta y confiada de la red han convertido a
la Ingeniería Social (IS) en el crimen más difícil de combatir.

Su  uso  para la introducción de "troyanos" (programas que simulan ser
otra  cosa mientras a escondidas ejecutan las órdenes del atacante) es
la  punta  del  iceberg.  El caso masivo más conocido fue el gusano "I
Love  You".  Y cada semana aparecen nuevas ideas que, como aquella, se
aprovechan  de  la  ignorancia, buena fe y psicología de la gente para
que  ejecute  algo  que  le llega en un mensaje, creyendo que será una
carta de amor o una imagen divertida de "Operación Triunfo".

El  Centro  de  Respuesta a Emergencias (CERT) norteamericano difundía
recientemente su enésima alerta contra los "troyanos" que circulan por
el  chat,  usando  técnicas  de IS: se ofrece a la víctima un archivo.
Ésta  lo abre y, sin saberlo, envía sus datos al atacante o le permite
tomar  control  del  ordenador.  Según  el  CERT, gozan de buena salud
técnicas  veteranas  como mandar un mensaje automático a toda la gente
conectada  a una red de chat: "Está infectado con un virus, le sugiero
que vaya a mivirus.es y se instale el antivirus o le echaremos".

Una  variante  son  los  avisos  de  falsos virus por correo, llamados
"hoaxes",  entre  los  que  destacan  los  "virus manuales", al estilo
"sulfnbk.exe", que alerta contra un programa con este nombre, que debe
borrarse  si  se  detecta  en el ordenador. En realidad, es un archivo
legítimo  del  sistema  Windows.  Una  versión  socarrona es el "virus
gallego",  con este mensaje: "Como los gallegos no tenemos experiencia
en programación, este virus trabaja basado en un sistema de honor. Por
favor:  borre  todos los archivos de su disco duro manualmente y envíe
este mensaje a todos los miembros de su lista de correo".


Enredos bíblicos
Pero  la  IS  va  más  allá y se hace arte en manos de algunos hackers
elegidos.  En  la  Brenz's  Social  Engineering  Page,  se remontan al
Genésis: "Jacob quería una información de su padre, sobre sus derechos
de  nacimiento.  El padre quería darlos a su hermano. Jacob simuló ser
el  hermano y confundió al padre, consiguiendo los derechos". El menos
bíblico  Kevin Mitnick fue, según Brenz, un gran hacker de la mentira:
"Hacía  la mayor parte de su trabajo usando ingeniería social. Sólo el
último  15%  era  con  ordenador. Engañar a secretarias, correo falso,
saltar muros... Todo era válido y funcionaba".

La  IS  se  usa,  básicamente, para conseguir acceso a sistemas. En la
época  de  las BBSs, para llamar sin pagar. Después, el chat fue campo
abonado  para el robo de códigos de entrada a Internet. No hay revista
"underground" que no le haya dedicado algún artículo. Como "Raregazz":
"Hay  varias  formas  de  IS: conseguir datos de alguien y llamar a su
proveedor  diciendo que has perdido la contraseña, o llamar al usuario
diciendo que eres el proveedor. Un buen método es pedir la dirección a
novatos  y  enviarles  un  correo diciendo que eres el administrador y
necesitas sus datos".

El  diccionario  "Jargon File" define la IS como: "Término usado entre
"crackers"  y  "samurais"  para  las técnicas que se aprovechan de las
debilidades  de las personas y no de los programas, con el objetivo de
conseguir  sus  contraseñas  u  otra  información  que  comprometa  la
seguridad  del  sistema.  Un  truco clásico es telefonear a la víctima
diciendo  que  eres  un  técnico con un problema urgente". Al ser este
mundo desconocido para la mayoría, es fácil creer lo que diga un falso
experto.

La  definición  del  mexicano  Martín  Humberto  Hoz  es  más precisa:
"Inducción  a  la  comisión  de  actos que favorecen un ataque. Que la
víctima  haga  algo,  diga  algo  o  deje  de  hacer  algo". Entre los
clásicos,  el  ejecutivo que ha perdido la contraseña y quiere acceder
urgentemente  a  su cuenta; llamar a una empresa, haciéndose pasar por
vendedor,  para  conocer  datos  sobre  su  red; espiar por la espalda
cuando  alguien  teclea;  buscar  información desechada en la basura o
conseguir trabajo en la empresa.


"Intenta ser una mujer"
Esta  "ciencia  de hacer que la gente cumpla tus deseos" está muy bien
considerada entre los "hackers" como método seguro y rápido de obtener
información.  Conocimientos  técnicos  y psicológicos son el principal
requisito.  Y,  según  los  manuales:  "Ser  profesional,  conocer  al
enemigo,  no  meterse  con  gente  más  lista, crear una ilusión en la
víctima,  ser  amable, confidente, persuasivo, hacerle creer que tiene
el control de la situación, mantener la calma, planear la escapada con
antelación e intentar ser una mujer".

El  ataque  puede  consistir  en  una  pregunta  directa  o  crear una
situación  para que la víctima relaje sus defensas y adopte la actitud
psicológica  deseada, como querer quedar bien o cumplir una obligación
moral. El teléfono e Internet son los medios mayoritarios. El de mayor
riesgo,  el  mundo  real,  cuando  la  persona  se  desplaza al sitio,
disfrazada  de  técnico, empleado o inocente paseante. Un ataque suele
consistir  en  series  encadenadas  de  IS, que suman información a la
obtenida con programas de reconocimiento en Internet.

Como  dice  Lester, maestro de hackers, aún hay clases: "El timo de la
estampita  y  la ingeniería social no tienen mucho que ver porque ésta
se  basa  en  amplios  conocimientos  de  psicología aplicada y de las
tecnologías  sobre  las  que  se  quiere  obtener  información. En las
empresas  donde  se  desarrollan proyectos reservados, la calificación
técnica  necesaria, para entender la información que se quiere obtener
y  para  ser  considerado  un  igual al que respetar, es muy alta. Las
operaciones   de   este   nivel   pueden   llevar   meses  de  cuidada
planificación".


Altos vuelos
Entre  los  golpes maestros destaca la Ingeniería Social Inversa: "Las
tres  partes del ataque son: sabotaje, anuncio y asistencia. El hacker
sabotea  la red causando un problema. Después, anuncia de alguna forma
a  la  empresa  que  tiene la solución y, cuando le llaman para que lo
arregle,  recolecta  la  información  que  busca entre los empleados",
explica  un  artículo  de "SecurityFocus". El tiempo de preparación de
estos ataques es mucho mayor, pero también su efectividad a la hora de
conseguir información y no dejar huellas.

Francisco  Marco  Fernández, director de la oficina en Barcelona de la
agencia  de  detectives  Método 3, recuerda algunos casos: "Uno de los
primeros  fraudes  que  investigó  la  Policía Tecnológica fue de este
tipo, acabó como un burdo chantaje de 500.000 pesetas para arreglar el
problema. Las acusaciones a las multinacionales de programas antivirus
de  crear  virus  para luego paliarlos no deja de ser también la misma
técnica".

En  el  CERT  de la Universitat Politècnica de Catalunya (UPC) conocen
también  la  IS:  "Es  muy  peligrosa  si se tiene la suficiente cara.
Usualmente  se  practica a bajo nivel, es muy popular como herramienta
fácil  para  acceder  a  una  máquina  en  cuestión de minutos. En los
ataques  espectaculares, cuando no sabes cómo lo han hecho, es que han
usado  ingeniería  social".  Fernando Vega, director de consultoría de
seguridad  de  SIA,  añade:  "Es  una  herramienta fundamental en todo
ataque bien organizado, pero no la principal".

Según  el  director  de  Método  3,  "el 80% de ataques tienen un alto
contenido  de  IS.  El  más  frecuente,  que  hemos investigado, es la
entrada  inconsentida en el ordenador de un alto directivo. Pocos días
antes su esposa había contestado una encuesta donde le preguntaban los
nombres  y edades de los hijos. La contraseña era la combinación de un
nombre  y  la  fecha  de  nacimiento  del hijo mayor. También es común
hacerse  pasar por el proveedor de mantenimiento de una empresa, en un
control rutinario remoto, y pedir las contraseñas a las secretarias".


El factor humano
En   el  congreso  "Access  All  Areas"  de  1997,  un  conferenciante
aseguraba:  "Aunque  se  dice  que el único ordenador seguro es el que
está   desenchufado,  los  amantes  de  la  ingeniería  social  gustan
responder  que  siempre  se  puede  convencer  a  alguien  para que lo
enchufe.  El  factor  humano  es  el eslabón más débil de la seguridad
informática.  Y no hay un sólo ordenador en el mundo que no dependa de
un  ser  humano, es una vulnerabilidad universal e independiente de la
plataforma tecnológica".

Rick  Nelson,  en  un  estudio  sobre el tema, añade: "Su uso es común
debido  a  que  muchas veces funciona mejor y se invierte menos tiempo
que  en  un  ataque  por fuerza bruta. No importa lo seguro que sea un
sistema,  el  conocimiento  extraído manipulando a uno de sus usuarios
puede   hacerlo   inoperable".   Ira   Winkler,  asesora del  gobierno
estadounidense  en  Infoguerra, lo confirma: "La experiencia demuestra
que  más  del  90%  de  los  empleados divulgarían información bajo un
ataque".

A  pesar  de  ello, la IS es desconocida para usuarios y empresas que,
según Marco, "no le dan la importancia que merecería. Se centran en la
protección  tecnológica  y se olvidan de las personas". Coincide Óscar
Conesa:  "No  se  tiene  en  cuenta  ni  en  las  auditorías ni en las
políticas de seguridad. Como máximo, se da un cursillo a la gente y se
espera  que  no  se  dejen  engañar.  La  única  solución es una mayor
educación  y  no  fiarse ni de los de dentro". Discrepa Marco: "Cerrar
las  puertas es absurdo. Lo mejor es crear un manual de actuación ante
estas técnicas".


¿Cómo saber que te engañan?
El  Computer  Security  Institute  explica en su web cómo reconocer un
ataque  de ingeniería social: "El interlocutor se niega a dar datos de
contacto,  tartamudea,  nos  intimida,  comete pequeños errores o pide
información  prohibida".  Alfons Cano, jefe de la Unidad de Delitos en
Tecnologías  de  la  Información  de  los  Mossos d'Esquadra, añade un
apéndice  para  niños:  "Si  alguien te pide una foto o el teléfono de
buenas  a primeras, o muchos dados personales, desconfía. Y no aceptes
nada de quien no conoces".

Fernando Vega aporta su fórmula para empresas: "Ante ataques técnicos,
lo lógico es implantar controles técnicos y revisar periódicamente que
estén realizando su función. Con la ingeniería social, una buena forma
de comprobar si se están realizando ataques sería recoger estadísticas
de incumplimiento de procedimientos, por ejemplo el número de personas
que  han  llamado  a  un  "helpdesk"  y  a  los  que  no se ha dado la
información    porque   no   proporcionaban   todos   los   datos   de
identificación.  Y  concienciar  a  los  empleados  de  que  avisen de
cualquier pregunta o actitud sospechosa".

Kevin  Mitnick  explicó  hace dos años, ante el Senado Norteamericano,
cómo  violó  sistemas de servicios financieros y de la administración,
simplemente  "hackeando"  a  humanos:  "Llamé  a  empleados  y utilicé
ingeniería  social  para conocer su sistema y los comandos de acceso a
información protegida de un contribuyente. Cuando me familiaricé, pude
engañar  a  otros, usando la información obtenida de los primeros para
pretextar  ser un compañero de trabajo con problemas. Tuve tanto éxito
que pocas veces usé el ordenador".

Mitnick   concluía:  "Las  empresas  gastan  millones  de  dólares  en
cortafuegos, cifrado y mecanismos de seguridad, y es dinero malgastado
porque  ninguna  de  estas  medidas se dirige al eslabón más débil: la
gente  que  utiliza,  administra  y  cuida  los sistemas donde está la
información protegida".


Hoax Info
http://hoaxinfo.com
CERT: Social Engineering Atacks Via IRC
http://www.cert.org/incident_notes/IN-2002-03.html
Cómo conseguir una cuenta con ingeniería social
http://members.easyspace.com/hackuma/textos/glide.txt
Bernz's Social Engineering Page
http://packetstorm.decepticons.org/docs/social-engineering/socintro.html
Kevin Mitnick
http://www.kevinmitnick.com
esCERT
http://escert.upc.es
Método 3
http://www.metodo3.es
SIA
http://www.sia.es
SANS. Social Engineering. What is it?
http://rr.sans.org/social/social.php
Social Engineering Fundamentals
http://www.securityfocus.com/infocus/1527
Social Engineering
http://www.isr.umd.edu/gemstone/infosec/ver2/papers/socialeng.html
DMS - Social Engineering
http://hackpalace.com/hacking/social-engineering/psychology%20of%20social%20engineering.html
Social Engineering Tools
http://www4.ncsu.edu/~jkwilli2/main/soceng.html
"Underground"
http://www.underground-book.com
SET
http://www.set-ezine.net
Raregazz
http://raregazz.com.ar