[HACK] CURSO INGENIERIA SOCIAL 4-2

LeStEr ThE TeAcHeR lgros at airtel.net
Wed Oct 23 12:58:08 CEST 2002 

Tras en paréntesis motivado por la entrada en vigor de la LSSI sigo con este
tema del que aun hay mucho que leer.
Espero que os parezca interesante.

Capitulo IV - II

Técnicas Pasivas

Si se plantea  la pregunta ¿ Que información interesa a un ingeniero social?
obtendremos la respuesta : "Toda la información". El aprendizaje de una
persona en el campo de la IS es constante y hay muchos ámbitos de
conocimiento que le serán de utilidad, desde conocimientos de historia,
ingenierías, arquitectura, electrónica, etc.

Cuanta mayor sea su cultura mas posibilidades tendrá de ofrecer diferentes
perfiles a terceros cometiendo el menor numero de errores. Existe un proceso
conocido como realimentación que consiste en  la utilización de unos pocos
conocimientos de un tema determinado para obtener otros muchos que no se
tienen, un ejemplo practico.

Imaginemos una conversación con un arquitecto en la que el ingeniero social
se hace pasar por un igual. Este último apenas sabe de arquitectura pero
conoce algunos temas concretos, por ejemplo la nueva legislación sobre el
seguro decenal de la construcción y la normativa EH de composición del
hormigón. Bien usados estos conocimientos someros de temas tan dispares, que
en teoría debería conocer cualquier arquitecto, ayudan a crear un perfil
personal ajustado a lo que se supone que se es. Luego y conforme avanza la
conversación aprenderá de su interlocutor sobre la marcha y se
"realimentará" de estos nuevos conocimientos que podráutilizar cuando séa
necesario.

La realimentación es, en electrónica, el proceso por el que se consigue que
un transistor amplifique una señal ( perdonadme los que entendais el
concepto de forma mas profunda, lo escribo así para que todos lo
comprendan).

El primer paso en Ingeniería Social es muy simple pero a su vez nada
sencillo, aprender a observar. La observación de un acontecimiento concreto,
de un lugar, de una persona o grupos de personas va mas allá del concepto de
"ver lo que pasa". Observar con detenimiento pero a la vez sin despertar
sospechas. Fomentar capacidades como la "memoria visual" es muy importante
para obtener de una situación la mayor cantidad de datos en el menor tiempo
posible.

Si el objetivo es un lugar al cual se quiere acceder, es necesario conocer
sus medidas de seguridad, sus accesos, el personal que lo vigila, la
situación de los sistemas de alarma, si los despachos usan o no llave, si
hay salidas sencillas o complicadas, si hay sistemas de grabación y si
realmente se usan o no. Un punto a muy interesante a estudiar en seguridad
perimetral son los caminos de una sola dirección en un edificio. Son, casi
siempre,   una opción muy válida para entrar en un lugar.

¿ que es esto?. Un ejemplo simple son las salidas de emergencia. En general
no se pueden abrir desde fuera pero podemos esperar que nos la abran desde
dentro, esto vale para las salidas de personal de muchos edificios, por
ellas no se puede entrar pero podemos esperar que salgan y casi nunca dirán
nada. Pensemos también en las puertas de "llegadas" de un aeropuerto. Casi
nadie se fijará si uno entra para saludar a un viejo amigo que llega en
avión o si lo que se pretende es llegar a la pista. En general las pistas
son accesibles desde estas zonas.

Si el objetivo es una persona, antes de abordarla por otros medios se debe
analizar toda la información disponible de esa persona por métodos "no
intrusivos"

La observación es el camino para crear la mayoría de las situaciones
casuales que ayudan al ingeniero social a obtener una información, unos
ejemplos de informaciones obtenidas por simple observación  :

* Recordemos la anécdota de la contraseña del PC puesta en un post-it en la
pantalla del ordenador.

* Conozco el caso de una entidad bancaria en la cual los mensajeros
responsables de llevar las tarjetas de crédito a correos para su envío pasan
andando con ellas en cajas por el lugar donde está la impresora que imprime
los números secretos. ¿que pasaría si uno de estos vigilantes se llevara una
tira de números secretos al pasar llevando las tarjetas?

* En cierta ocasión en la que se desarrollaba un proyecto en una importante
empresa española en la que había todo tipo de controles de seguridad en las
puertas principales del edificio ( vigilantes, cámaras, tornos con tarjetas,
detectores de metales) no existía ninguna vigilancia en el ascensor que
llevaba al parking del edificio. Era prácticamente imposible meter o sacar
un disquete del edificio pero si lo bajabas a tu coche podías vaciar una
oficina entera y nadie sabría como fue.

* Cuantas veces habéis visto que un cierto servidor queda abierto con el
prompt de root en su pantalla porque su administrador "salió un momento".O
si utilizáis cibers, ¿nunca os encontrasteis una sesión de IRC abierta en el
PC que os ha tocado, o de un webmail cualquiera, o el messenger?.Un
porcentaje alto de las perdidas de contraseñas o de accesos no permitidos a
servidores ocurren así.

Este tipo de errores de seguridad son muy normales, no solo ocurre a nivel
informático sino en seguridad perimetral y de accesos. Si se observa con
detenimiento se detectan muchos de estos fallos garrafales. Si simplemente
miramos sin analizar lo que vemos estaremos perdiendo una valiosa
información.

¿ Porqué se cometen estos fallos?

En cualquier situación, la adopción de más medidas de seguridad supone un
incremento en costes económicos y en tiempo. Un sistema corriendo bajo
seguridad C2 (Véase el texto original del "Libro naranja"
http://www.radium.ncsc.mil/tpep/library/rainbow/5200.28-STD.html) es más
complejo de administrar y también más lento y, aunque parezca mentira,
cuanto más alto es el nivel de seguridad implementado en un sistema  se
encuentran puertas mas grandes para entrar, casi siempre por dejadez. Eso es
fruto de la tendencia a la "Ley del mínimo esfuerzo" ya que con el tiempo
las medidas tienden a relajarse.

Imaginemos que tenemos en la puerta de nuestra casa 12 candados que ponemos
cuando cerramos porque al vecino de arriba le robaron 2 veces. Con el paso
del tiempo dejaremos de ponerlos todos al salir a hacer cosas de corta
duración y un día solo usaremos uno, pues "no han vuelto a robar en la
zona". Así un día que bajamos 10 mins a comprar algo entran en nuestra casa
y se lo llevan casi todo. Este mismo fenómeno ocurre muchas veces
administrando sistemas cuando no se tiene clara conciencia del problema de
la seguridad.


--
    LeStEr ThE TeAcHeR
    FrOm ThE DaRk SiDe
http://lestertheteacher.cjb.net
Aqui encontrareis los capitulos anteriores

More information about the hacking mailing list