Informática

Hoy 17 de Mayo, día mundial de Internet, no me queda otro remedio que dedicarle un post. Se puede definir Internet como la revolución de las telecomunicaciones, la red de redes, el invento del siglo... lo hemos acogido tan alegre y cómodamente en nuestras casas, en nuestras familias, que muchas veces no nos damos cuenta de sus inconvenientes. ¿Quién no se ha cagado en Internet cuando.....?

Noche anterior a la entrega de un trabajo/proyecto. Ahora está muy de moda hacer los trabajos con tus compañeros "on-line", bien, cada uno hace su parte, nos la mandamos, lo juntamos, nos leemos todo y mañana por la mañana lo llevamos a imprimir. Hasta aquí todo perfecto. El problema llega cuando a las 4 a.m. una vez terminada tu parte, redactas el e-mail a tus compañeros (o en su defecto empiezas a transferirla por clientes de correo instantáneo) y CHOF!!! De repente te has quedado sin conexión. Miras a tu izquierda, a tu derecha y por fin lo ves: Todas las lucecitas del router mofándose de tí al unísono. 4:30 am, tu router sigue sin coger IP, tus compañeros te abrasan a perdidas al móvil y tu corazón está a punto de salirse del pecho.... La espera se hace una agonía.... hasta que la tecnología decida volver a su lugar.

Te encuentras en plena discusión vía cliente de mensajería instantánea con tu colega/novi*/amig*-que-te-quieres-pinzar, todo vale. Al otro lado de la red, la otra persona está pillando todo al revés; si pones un smiley simpático, se piensa que le estás vacilando. Si haces una broma para quitar hierro al asunto, te reprochan que eres un payaso con menos madurez que un mono.En el momento en que la conversación adopta el tono más subido, de repente, el protocolo que utilice tu programa, empieza a dar problemas y te caes. Al cabo de 5 minutos, cuando logras volver a entrar, tu compañero de discusión se ha pirado y entonces escuchas un "pipi-pipi". ¿? Ah, el móvil. Ufff, espérate lo peor. Lees el susodicho mensaje que te comunica que para que veas que hay gente más chula que tú, no quiere volver a saber nada de tí en mucho tiempo. Toma papelón, a ver que haces ahora...

Una noche de fiesta conoces a alguien, hablais, os conoceis y decidís quedar para otro día. Resulta que el o ella no tiene móvil (que es lo que se suele intercambiar normalmente) osea que te pide tu e-mail. Tu te vas de vacaciones una semana, y ella te jura y te perjura que cuando vuelvas te encontrarás un e-mail suyo. Vuelves de tus vacaciones con una ilusión enorme por ver su e-mail, pero cuando entras en tu correo, resulta que dos días más tarde de marcharte se te petó el buzón con spam y los e-mails de los últimos días han sido borrados del servidor de tu ISP. Juras que nunca más utilizarás VIAGRA, empiezas a desarrollar un odio (más profundo si cabe) por los PENNIS largos y te autoconvences de no volver a meter tu dirección de correo electrónico en ninguna subscripción de revistas "guarrillas" de la red. Despues de esto, te pones a organizar un plan de búsqueda y captura para el sábado siguiente.

Ni que decir tiene que tu odio hacia Internet se fomenta aún más en el momento en que se difunde información tuya o en tu nombre a gente que no se tenía que haber enterado nunca de ciertas cosas. Que se lo cuenten a las chicas de Villanueva de la Cañada o tantas y tantas personas que han sido despedidas por mandar mails de dudoso contenido a compañeros de curro y enviar también sin querer, una copia a los jefazos de turno.

Por eso y por otras muchas cosas, no podemos vivir sin tí, Internet. Felicidades y que cumplas muchos más!!!

Larga vida a la ret :D

_______________________________________________________________________________

Según la Wikipedia: En el campo de la seguridad, ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es decir, que si nuestro ordenador está apagado, o lo tenemos bien protegido, o nuestro atacante no quiere comerse mucho el tarro para hackear nuestro sistema, entonces nosotros, como personas, como usuarios, podemos ser el blanco perfecto.

No voy a escribir un artículo/tesis super técnico como si controlase del tema; todo lo contrario, mi intención es únicamente desde este pequeño rincón de la red, intentar explicar y concienciar a los usuarios más inexpertos (y no tan inexpertos) de prevenir estos ataques.

Empezando por el principio de los tiempos, no se puede saber a ciencia cierta cuando comenzaron los primeros ataques basados en ingeniería social. Esto es algo que existe desde que existe la tecnología, y es que, estos ataques no necesitan que exista un ordenador de por medio, basta con tener un cajero automático, o incluso una caja fuerte; cualquier tipo de información confidencial (claves, passwords, nombres de usuario, números de cuenta..) que le sea sonsacada al usuario de forma maliciosa es considerada una forma de ingeniería social.

Y como no hace falta ser un lumbreras, ni tener pasta para realizar este tipo de ataques, aquí van una serie de ejemplos txorras dónde los haya:

1) ATAQUE PERSONAL

Acabas de conocer a una persona que se proclama a los 4 vientos como alguien que odia los ordenadores, internet y todo eso que tenga que ver con tecnología. "Yo como mucho entro a hotmail a leer mi correo, ah y al messenger claro, para hablar con mis coleguitas". Entonces, una semana más tarde te pica la curiosidad por hackear su sistema (no digo que esto sea lo más normal del mundo, pero el cyberterrorismo es algo que existe). Estas podrían ser unas formas de Ing Social...

Ejemplo 1:

Atacante: Hombre, (Póngase aquí el nombre de la víctima) !!! Oye, FELICIDADES, eh?
Víctima: Pero que dices tío, si hoy no es mi cumpleaños!
A: Ah, no?
V: Que va! Mi cumple es el XX de XX
A: Ah, perdona tío, me habré informado mal...

El atacante se va pensando. "De puta madre, ya tengo el 50% de posibilidades de saber tu contraseña".

Ejemplo 2:

Simulas que necesitas que este usuario te meta su contraseña, y cuando lo hace, le dices:

Atacante: "Oye, que largo es tu cumpleaños" (por ejemplo)
Víctima: "Claro, como que no es mi cumpleaños, es mi DNI"

Zas! Otro que ha caído! Vía libre...

En ambos ataques, la víctima te esta diciendo indirectamente su contraseña, pero él no lo sabe. Sin embargo, existen usuarios, que te la dicen sin la más mínima contemplación, tan sólo hay que saber manipularlos debidamente. Veamos alguno ejemplo de estos casos:

Ejemplo 3:

Vuelves a simular que necesitas la password de la víctima y esperas al momento en que esté lo más ocupado posible y muy lejos de tí. Ese puede ser el mejor momento para atacar. Si pides a alguien que inserte su password en el momento que más le joda, es MUY probable que tu ataque funcione:

Atacante: Oye tío, mete aquí tu contraseña para acceder a ... (lo que sea) ??
Víctima: Joder, ahora??? Pff no puedo, métela tú: mi password es *********.

Te has lucido, majo...

2) ATAQUE POR VÍA TELEFÓNICA

Este tipo de ataque se puede realizar tanto a usuarios del sistema como a un administrador. Pongamos el caso de un administrador del sistema para que suene un poco más jugoso...

Administrador: Buenos dias, aquí área de sistemas, en qué podemos ayudarle?
Atacante: Hola, soy José Luis Pérez, llamaba porque no consigo recordar mi password en la máquina sistema.upv.es.
Administrador: Un momento, me puede decir su nombre de usuario?
Atacante: Sí, claro, es jlperez.
Administrador: Muy bien, la nueva contraseña que acabo de asignarle es abejaruco. Por favor, nada más conectar, no olvide cambiarla.
Atacante Por supuesto. Muchas gracias, ha sido muy amable.
Administrador De nada, un saludo.

Y ya está hecho. Al mismo caso se le podría dar la vuelta llamando a un usuario haciendose pasar por el administradord del sistema y pidiéndole la password,,,

3) ATAQUE VÍA CORREO ELECTRÓNICO O PHISING

Según Wikipedia (otra vez) Phising se define como es un término utilizado en informática con el cual se denomina el uso de un tipo de ingeniería social, caracterizado por intentar adquirir información confidencial de forma fraudulenta, como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria. El estafador, mejor conocido como phisher se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico Pongamos ahora algunos ejemplos sobre Phising.

Ejemplo 1:

Seguro que tod*s habeis recibido alguna vez un e-mail de alguien que parece ser el administrador de vuestro banco informandoos de que se está construyendo una nueva BD, o se está haciendo una migración de datos, o han perdido vuestros datos. Entonces, te pasan el link a un formulario que parece ser de la web de tu banco, pidiendo que los confirmes. Aquí pongo unos enlaces a ejemplos de páginas falsas. En el momento que introduces tus datos y pulsas "Aceptar", ya te han "pescao".

- Phising a Caja Madrid: http://196.217.33.149/oi.cajamadrid.es/CajaMadrid/oi/pt_oi/Login/login.html
- Phising al Grupo Santander http://196.217.33.149/gruposantander.es/particulares/entrar.php

(Por poner algunos ejemplos porque han sido muchísimas más las entidades bancarias que han sufrido este tipo de ataques...)

Ejemplo 2: Nuevos Scam, ofertas de trabajo falsas.

Ofrecemos trabajo bien pagado.

Nuestra compañia se llama Magnat Trading Group.

Nuestra especializacion es ayudar a empresarios a vender o comprar el articulo en la subasta mundial Ebay. Como un resultado del trabajo intenso la compania en 4 años pudo lograr el nivel mundial y segun los expertos ser una de las 20 mas influyentes companias, que proponen los servicios de comercio.

En España empezamos a trabajar recientemente y en relacion con eso tenemos una vacancia de manager financiero supernumerariom, quien va a ser representante de nuestra compania en Espana.

Los requerimientos basicos son los siguientes:
- conocimiento de los sistemas electronicos de pago (por ejemplo - Western Union) - computador, internet, e-mail, telefono
- la cuenta bancaria en Espana

Por buen cumplimiento del deber prometemos alto nivel de beneficio, tiempo de
trabajo flexible.

El pago se comete sin retraso.
Le pagamos a Usted 150-500 euro por cada operacion .

Si esta Usted interesado en nuestra proposicion, puede recibir mas detalles por e-mail:

magnat_group@km.ru

Introduciendo tus datos bancarios en lo que parece una oferta de empleo verdadera, vuelves a liarla.

Ejemplo 3:

Me he tomado la libertad de coger un testimonio que comentaba DayDream hace un tiempo en Barrapunto...

«Hace unos días recibí un mensaje en el que me comentaban que si quería podía tener la posibilidad de obtener cualquier contraseña de Hotmail o Yahoo previo pago de 15 dólares americanos. Esta cantidad sólo se abonaba si se obtenía la contraseña solicitada. Como tenía curiosidad por saber cómo lo hacían, decidí investigar por mi cuenta.

Decidí abrir una cuenta en Yahoo! y seguidamente escribí al individuo un mensaje en el que le pedía por favor que me proporcionara la contraseña de la cuenta de mi novia , es decir la contraseña de la cuenta que yo acababa de abrir. Para evitar ataques sencillos puse a esa cuenta una contraseña difícil de averiguar. Después de hacer un seguimiento de la mencionada cuenta recibo un email en ella en que se me dice que me han enviado una postal electrónica y que debo pulsar en un enlace para ver el contenido de la misma. Concretamente lo que recibí fue esto:
Date: 4 Apr 2005 01:57:23 -0000
To: xxxxxxxx@yahoo.es
Subject: ¡Has recibido una tarjeta en Gusanito.com!
From: "Gusanito.com"

¡Hola! Hay una tarjeta disponible en Gusanito.com de parte de Gusanito.com. Para verla, hacer click en el siguiente enlace:

http://gusanito.com/g/gusanito/retrieveCard.jsp?sCardCode=3AWEF458S45S1F4A8S46D5

Te recordamos que si eres Gusuario Premium tu tarjeta estará disponible en todo momento durante la vigencia de tu membresía; si no lo eres, estará disponible dos semanas a partir de la fecha en que la envíes.

Pero la sorpresa viene al hacer click en el enlace para recoger la tarjeta. Obviamente no apunta a www.gusanito.com sino a la página:

http://xecsx.com/004d5e345634400d234/0212456gsder6 2sd2.php?212SSa11q2212sasa34Hgfgg=ewed55645ff45343 1223d33&a3dwe43ws099120=xxxxxxxx@yahoo.es&ws120a30 99dwe43=xxxxxxxx

(nótese que la URL está modificada pues he omitido la identificación de la cuenta que usé para desenmascarar el ataque)

y que curiosamente es una copia casi perfecta de la página de Yahoo en la que te dicen eso de:

¿Por qué me piden mi contraseña?
Para proteger la seguridad de tu cuenta, de vez en cuando pediremos que escribas tu contraseña. [...] Únicamente puedes entrar en una cuenta por sesión. Si no eres "xxxxxxxx", ingresa con tu propia ID. [...]

Es de notar que estos tipos de ataques decentemente elaborados, tienen una fiabilidad del 90%. En mi opinión, la tendrían del 100% si no fuera por ciertos detalles que pasan desaparecidos para todos los usurios.

Para la gente que sepa del tema, estos son casos muy simples pero a la vez muy típicos de la ingeniería social. Es por eso que me ha parecido buena idea recogerlos todos, ya que aunque al leerlos suenen a txorrada, en el momento puede que la inercia nos juegue una mala pasada. Sin embargo, hay otros casos que no son tan fáciles de reconocer. La ingeniería social va avanzando día a día con técnicas nuevas, tretas y artimañas cada vez más difíciles de detectar. Estos ataquen tienen sólo como límite la imaginación de cada uno, por lo que contra ella, no existen ningún tipo de protección. Como barrera a la ingeniería social únicamente se puede poner la EDUCACIÓN para que todos nos concienciemos de que la protección de nuestros datos, nuestros bienes, es nuestra obligación.

Fuentes de la noticia:

Barrapunto -> www.barrapunto.com
Wikipedia -> es.wikipedia.org
Asociación de Internautas -> www.internautas.org

_______________________________________________________________________________