Español | English
rss facebook linkedin Twitter

Web 2.0. Potenciando antiguos sistemas casi olvidados

En el mundo de los servicios, se establece una relación por la cual, alguien ofrece un servicio o producto y otra persona, adquiere el producto o usa el servicio. En todo tipo de transacciones entre personas, se establece una relación de confianza entre ellas, que da lugar a que se pueda establecer esa relación comercial. Entonces tenemos un usuario cliente, un usuario que oferta, un producto y una relación de confianza.

A nivel de seguridad informática, siempre se busca la optimización de los recursos para generar una seguridad alrededor de lo que queramos proteger, las cosas nunca están 100% seguras, creo que eso es una falta de perspectiva, y cuando hay que probar la seguridad de un sistema, hay que barajar todas las posibilidades posibles para optimizar esas comprobaciones.

En principio, cuando hay que proteger un sistema, tenemos varios factores que debemos comprobar, el primero es la seguridad que hay que otorgarle al sistema, en caso de ser un terminal que ofrece servicios, hay que contemplar que es lo que deja al aire y puede ser sujeto de ser explotado, problemas en el diseño/desarrollo de la aplicación y por otro lado, medidas ajenas al propio sistema, como posibles accesos físicos a la máquina, lo cual convertiría la seguridad en algo tremendamente volátil y, una serie de cosas en base al nivel que se establezca como objetivo para lo que queramos proteger.

Sin embargo, desde siempre, hay una rama llamada ingeniería social, que se centra en atacar a la parte más débil de la seguridad, que son las personas alrededor de lo que queremos proteger. El ser humano por defecto es muy confiado, y una vez que se ha establecido una relación de confianza, es muy complicado que esta se rompa, pudiendo aprovechar esa debilidad para abrir brecha en la seguridad.

Desde siempre ha habido personas que conseguían información para planear ataques, robos de información y demás fines (véase el caso del famoso Kevin Mitnick), mediante la obtención de datos de usuarios despreocupados y confiados, simplemente haciendo una llamada de teléfono e identificándote medianamente, con algo de imaginación y capacidad de reacción, puedes obtener información de la topología de una red, IPs de servidores, versiones de software instalados e incluso agujeros de seguridad que aún no han sido solucionados, del estilo de:

- Buenos días soy X, del Servicio técnico contratado por su empresa, estamos haciendo un control de equipos, ya que debido a una falla reciente en uno de los servidores, se han perdido datos sobre el mapeo de unidades, usuarios y contraseñas etc… entonces he sido designado para reestablecer el correcto funcionamiento, de hecho, habrá comprobado que estos días ha tardado más de lo normal en poder conectarse a sus ordenadores bla bla bla…

El usuario, si no entiende mucho, puede empezar a soltar información como un cosaco, evidentemente hay que estar medianamente informado de la estructura de la empresa para hacer preguntas más concretas que aporten confianza y obtener información útil, pero casi nada que no se pueda conseguir con unas llamadas de teléfono sobre un objetivo confiado o saturado de la información de un técnico.

A eso, se le conoce como ingeniería social en particular, se cataloga como Pretexting, como ya nos comentó Álvaro del Hoyo en otro post, puede complicarse de muchas formas, profundizando más, buscando personas que puedan tener más/mejor información y, de hecho estas técnicas son de ámbito bidireccional, ya que un usuario avispado, puede pedir por ejemplo un cambio de contraseña de otro usuario haciéndose pasar por él y cogiendo con la guardia baja al administrador de sistemas o encargado de las cuentas.

Este tipo de herramientas también es susceptible de recibir ataques Phising, debido a que es bastante simple el emular su apariencia y mandar invitaciones a grupos, a actividades, agregar amigos, etc. teniendo una aplicación que centralice la información y emule el funcionamiento de la herramienta en sí., pero realmente la meta es la misma, obtener la máxima cantidad de información posible.

La cuestión, es que con la implementación de las nuevas tecnologías, se puede aplicar estos mismos sistemas dentro de las nuevas redes sociales como Facebook, MySpace, Twitter entre otras. Realmente para que estas técnicas optimicen su funcionamiento, habría que obtener la mayor cantidad de información de la victima para hacer que la relación de confianza fuese lo más fuerte posible, permitiendo así obtener una mejor calidad de la información. En Facebook para ser exactos, se pueden mostrar mucha información, del estilo de donde se trabaja, donde se vive, ver mensajes que se escriben entre compañeros de trabajo, y teniendo en cuenta que los muros son semipúblicos, toda la información que hay en ellos, hay incluso empresas, que organizan grupos en Facebook para sus usuarios o clientes. Hay que recordar lo que comentaba David Barroso sobre las redes sociales y el posible peligro que entrañan, la información es poder ¿no?

Haciendo una pequeña investigación filtrando los usuarios de cierta empresa, podremos leer conversaciones entre ellos, vamos una multitud de formas de obtener la información fresca es por decirlo de alguna forma, un sistema de Webtrashing (recopilar información colgada en Internet, suele ser base para los ataques tácticos) . Existen herramientas diseñadas con el fin de realizar minerías de datos o simplemente recolectar información en la red (Maltego, Pantera)

Ahora sólo queda el suponer que con toda la información que podemos obtener de la empresa objetivo, podremos establecer un perfil de trabajador, para empezar con la prueba de seguridad humana.

Al haber comprobado los perfiles se puede extrapolar uno que pueda incluirse fácilmente en el grupo, obtener imágenes e información para generar dicho perfil e intentar la entrada en el grupo de confianza, una vez conseguido, se puede hacer lo que se quiera, desde hacer fakes de la alguna web y forzar a que los compañeros actualicen sus credenciales, siendo esta web un servicio nuestro y, por lo tanto obteniendo todos los credenciales, hasta ingresar en el grupo de la empresa, listas de correo, y profundizando entonces hasta el nivel que se quiera.

Con respecto a los fakes, a nivel más práctico, la gente de insegure.org ha hecho un ataque a dos bandas, humano y técnico sobre una empresa objetivo. Ha nivel técnico, encontraron vulnerabilidades XSS (Cross Site Scripting) y prepararon un entorno en el cual, con una página Fake, se emulaba una conexión segura (https) que aparentemente formaba parte de la web del objetivo.

Para poder ejecutar este sistema, necesitaban un perfil y en base a los que habían leído (Hombres de entre 20-40 años) crearon a una atractiva mujer de 28 años que, con fotos obtenidas buscando en www.google.es por ejemplo, y con experiencias de trabajo obtenidas de los perfiles de los empleados en Facebook y generaron a una trabajadora creíble y confiable.

Llegados a este punto, “ella” en 3 días estaba integrada, hablando de trabajo, pasando links, etc, siendo justo ahí, cuando les pasaba el fake, de esta forma, informaban al usuario que sus cuentas podían estar comprometidas y debían verificar sus credenciales, en el momento en el cual, esos datos se enviaban a un servidor externo a la empresa y se trataban los credenciales.

Antes, la ingeniería social obligaba a llamar por teléfono y de ellos era la principal arma en las artes de Phreaking (Como ya había posteado Patxi Astiz aquí) o establecer una relación cara a cara con el objetivo, ahora, no hace falta ni eso, simplemente utilizar el Web 2.0 con un poco de sentido común, lo cual resulta bastante fácil por la naturaleza humana. Al final, la mejor forma de evitarlo es una buena concienciación y preparación del personal, o bien establecer todo el hermetismo que se pueda, para evitar que la información de la empresa salga de ella y en el caso de que lo haga, que tenga la menor repercusión posible, si esto no se consigue, las utilidades de retención de datos sobre servidores y equipos de la red, de poco valdrá.

Sobre todo para Parallels y algunos de sus empleados como nos recuerda David Barroso haciendo referencia al anonimato en la web .

Juan Manuel Sanesteban
S21sec labs

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login