[HACK] CURSO INGENIERIA SOCIAL 4 - 3

LeStEr ThE TeAcHeR lgros at airtel.net
Mon Nov 4 09:02:04 CET 2002 

CAPITULO IV - III

Técnicas no presenciales

Muchas de las actuaciones de los ingenieros sociales se realizan a
distancia, utilizando ya sea el teléfono, el fax, las redes de datos o
incluso cartas tradicionales.

A lo largo de los años se han ido perfeccionando las formas de operar y
abriendo el abanico de las mismas a otros medios, he aquí algunas de ellas.

La contraseña perdida

Todos hemos leído muchas veces que no es bueno utilizar en las contraseñas
palabras que tengan significado, fechas que se relacionen con nosotros,
números de DNI, nombres de familiares, etc. Esta recomendación no siempre se
sigue, además de ello, existe una tendencia generalizada a utilizar la misma
contraseña en múltiples servicios y esto facilita mucho el trabajo a
aquellos que pretenden obtenerla de forma ilícita. No olvidare tampoco a
aquellos que guardan en sus agendas los números secretos de los cajeros (
ATM para los americanos ), contraseñas de los PC de casa u oficina, mail,
etc.

Para obtener una contraseña, y antes incluso que las de aplicaciones basadas
en el uso de diccionarios y la fuerza bruta, están los propios sistemas de
recuperación de contraseñas de casi todos los servicios de la red.

A veces creo que los analistas que desarrollan esos sistemas no los han
utilizado nunca.

Estudiemos  algunos con su nombre y apellidos :

Terra.es

En la sección de usuarios registrados de Terra hay una opción llamada "¿Ha
olvidado su contraseña? En la cual y una vez que se introduce un usuario
valido, presenta la pregunta que dicho usuario selecciono para recuperar la
contraseña. Por ejemplo ¿ como se llama mi perro? Y si tecleamos "toby" que
es como se llama el perro de nuestro usuario, el sistema muestra la
contraseña.

En esta caso el sistema es endeble pues depende únicamente de la calidad de
la pregunta que el usuario haya puesto.  Si cualquiera conoce la respuesta a
esta pregunta tendrá la contraseña del sistema y podrá suplantar a otro
usuario y lo peor de todo es que lo hará sin que nadie se de cuenta de ello.
Y es que se mantiene la misma configuración que nuestro usuario propietario
del buzón tenía.


Elistas.net

En ese sistema la opción de recuperar contraseña esta un poco mas escondida,
en la sección :"Mi cuenta" en la cual podemos leer "Sino recuerdas tu clave
de acceso averigua como conseguir una nueva" Tras esto y una vez que se
introduce un mail valido el sistema envía a dicho mail una nueva contraseña.

Esto es mucho mas seguro pues aun  sabiendo el login  de un usuario, no
recibiré dicha contraseña si no soy el propietario de la cuenta valida. Pero
esto tiene un inconveniente importante, veámoslo:  si un usuario que esta
registrado en el sistema ya no mantiene la cuenta con la que se dio de alta,
perderá el acceso a su cuenta ya que nunca recibirá la nueva contraseña. Una
curiosa forma de "denegación de servicio" basada en el conocimiento que un
tercero tiene de los datos que un cierto usuario utiliza para entrar en
E-listas.

Lycos Mail

En este caso se utiliza un sistema mixto en el cual un usuario puede recibir
su contraseña en su mail alternativo, que sufre del mismo problema que en
Elistas.net o contestar a la pregunta secreta, que como vimos antes es mucho
menos seguro. No es mala idea pero es algo así como que nos permitan elegir
el método por el que un ladrón entrara en casa ( pulse 1 para ventana, 2
para puerta blindada, 3 para escalera de incendio) .

Telepolis.com

Utiliza el esquema de realizar la pregunta que el usuario selecciono al
registrarse pero obliga a cambiar la contraseña si se acierta la respuesta.
Una vez mas alguien que conozca la respuesta a la pregunta podría no
solamente hacerse con la cuenta sino además dejar a otro usuario sin acceso
a ella  ¿ peor el remedio que la enfermedad? Vosotros juzgáis.

Hotmail.com

Personalmente creo que es un sistema razonablemente equilibrado. Realiza
varias preguntas al usuario como filtro antes de presentar la pregunta que
se  selecciono al registrarse, y solo después de haber respondido a varios
datos diferentes permite que se cambie la contraseña. Lo que se consigue es
que la información necesaria para realizar el cambio sea mucho mayor y eso
eleva el listón de la seguridad.

Tras estos ejemplos concretos lo que sabemos es que no existe un sistema
perfecto y que por lo tanto es casi siempre la imaginación del usuario lo
que hará que sea verdaderamente seguro dentro de lo que los diferentes
sistemas permiten.

Los sistemas mas seguros son aquellos que envían dicha contraseña a una
dirección postal ya que esta no suele cambiar. Sin embargo en estas
situaciones se pierde la posibilidad de anonimato del posible usuario.

Como recomendación a los usuarios tanto la contraseña como la pregunta de
recuperación deberían modificarse cada cierto tiempo y en ambos casos
utilizar como respuestas series pseudo aleatorias de letras y números sin
significado y con longitudes iguales o mayores a 8 caracteres, se que quizá
son mas complejas de recordar pero también será mucho mas complejo su
recuperación por personas no autorizadas. Por otro lado recordemos que es
importante utilizar una contraseña distinta para cada servicio. Una técnica
de "contraingenieria social"  es utilizar una respuesta falsa a la pregunta
de recuperación de contraseña. Un ejemplo "en que ciudad nací? = 275Hm-.".
Es sencillo utilizar reglas nemotecnicas para recordar las correspondencias.

    LeStEr ThE TeAcHeR
    FrOm ThE DaRk SiDe
http://lestertheteacher.cjb.net
( Aqui los capitulos anteriores)

More information about the hacking mailing list