Anda di halaman 1dari 27

Ingeniera Social

Adrin Ramrez
adrian@dolbuck.com
Lecturas recomendadas

El gran juego-Carlos Martn Prez


The art of deception -Kevin Mitnick
Stealing the Network: How to Own the
Box

Pelculas: 9 REINAS (Director Bielinsky )


*Zona de descarga de la charla y algunos libros en pdf:
http://www.dolbuck.com
Introduccin

"Usted puede tener la mejor tecnologa, firewalls,


sistemas de deteccin de ataques, dispositivos
biomtricos, etc. Lo nico que se necesita es un llamado
a un empleado desprevenido e ingresan sin ms. Tienen
todo en sus manos." Kevin Mitnick.
Qu es la ingeniera social?

Bajo el nombre de Ingeniera Social (literalmente traducido del ingls Social


Engineering)

ACCIONES O CONDUCTAS tiles para conseguir informacin de las personas


cercanas a un sistema.

Es una disciplina que consiste, ni ms ni menos en sacar informacin a otra persona sin que
esta s de cuenta de que te esta revelando "informacin sensible".

Con este curioso trmino se engloba una serie de tretas, artimaas y engaos elaborados
cuyo fin es confundir al usuario o, peor todava, lograr que comprometa seriamente la
seguridad de sus sistemas.
Aprovecha sentimientos tan variados como curiosidad, la avaricia, el sexo, la compasin
o el miedo, de esta forma se consigue el objetivo, una accin por parte del usuario.
Quines la usan?
Hackers

Espas

Ladrones o timadores

Detectives privados
El factor humano
En el congreso "Access All Areas" de 1997, un
conferenciante aseguraba:
"Aunque se dice que el nico ordenador
seguro es el que est desenchufado,
los amantes de la ingeniera social gustan
responder que siempre se puede convencer a
alguien para que lo enchufe.
El factor humano es el eslabn ms dbil de la
seguridad informtica. Y no hay un slo ordenador
en el mundo que no dependa de un ser humano, es
una vulnerabilidad universal e independiente de la
plataforma tecnolgica".
Ingeniera social en los 80
La gente era ms inocente

Las contraseas ms dbiles

Los sistemas ms vulnerables

Las leyes menos rigurosas


Ingeniera social en nuestros tiempos

CASO 1: Practicando en casa

CHAT IRCCANALLESBIANAS

Objetivoconseguir videoconferencia con una lesbiana

Materiales: Capturadora de video, Ingeniera social, webcam


Caso 2: Seguir jugando:

Nos damos de alta una cuenta en hotmail, con nombre de chica


Creamos un perfil curioso
Entramos a los chats y damos nuestro mail
Somos la tpica nia que recin se compr el ordenador y necesita
Ayuda (damos confianza, y aumentamos el ego de la victima
al ponerlo en el papel de nustro salvador, si le aadimos dulces
piropos y besos virtuales, en cuestin de tendremos lo que
buscamos, o estaremos en condiciones de
enviarle un troyano que nos abra de par en par su ordenador, una vez
conocido su sistema.
Caso 3: Nos ponemos serios
Cuando se llega a los 30, ya no estamos para chatear o dedicarnos
A robar fotos guarrillas de usuarios de Internet que se hacen a ellos
mismos o a sus parejas.
NO TODO ES SEXO EN LA VIDA

Fijamos un objetivo:
Primer etapa: INFORMACIN

Internet Crculos Familiares Basura??


Amistades
tica ??
* Recomendado leer El gran Juego

Justificaciones:
El espa y el detective>>> es su trabajo.
El gobierno >>>> por la seguridad de la
nacin.
El timador >>>> su medio de vida (la pasta)
El hacker >>>> curiosidad?!!!
Ordenando la informacin:

Al igual que al preparar un ataque a un sistema informtico.


Versin, bug, etc.

Vamos elaborando una lista, sobre nuestro objetivo.

Gustos, vicios, marca de cigarrillos, matrcula del coche, modelo, mvil,


DNI, nombre de los hijos, de la mujer, de la novia, figuras principales
de en su vida, se elabora un perfil psicolgico de la persona.

Fuente: Internet, basura, amigos, familiares, buscar siempre las personas


mayores, abuelas, o nios, hijos, hermanos, etc.
Preparando la estrategia
Todo objetivo se vale de una estrategia para
lograrlo. Ese es el fin mismo de la
estrategia.

Antes debemos:
SABER, QUERER Y PODER hacerlo.
La ingeniera social por excelencia

Ahora estamos preparados para poner la


trampa. Conocemos todo de nuestra
vctima, y podemos predecir como actuar
frente a determinados estmulos.
Conocemos sus gustos sus deseos, y es fcil
llevarlo por una conversacin telefnica a
donde queremos.
Hola, Ral Prez Padilla?
Le hablamos del servicio de marketing de TUFONICA,
estamos ofreciendo una promocin especial a nuestros
mejores clientes. Consiste en que las llamadas a un
nmero fijo nacional de su eleccin, sern gratis durante
un ao sin tener que pagar nada.
Por favor, para poder hacer esto posible necesitamos que
nos confirme una serie de datos.
- .
Mi experiencia como comercial de
AUNA CABLE o INSTALADOR ADSL

Que logramos con esto?

Entrar a una casa, nuestra vctima quizs

EJEMPLO: Llamada a nuestro mvil, nuestro jefe,


necesitamos enviar un dato urgente, no nos dejara el ordenador
para enviarlo?
Un ejemplo extrado de una
pagina cita textualmente;
conocido el ataque que sufri la
Web de la Guardia Civil 1999
(http://www.guardiacivil.org/)
dirigindola hacia un site gay.
Como ha comentado la benemrita
en varias ocasiones, no se debi a
ningn fallo de su sistema, sino a
que el atacante, envi un correo
como si se tratara del administrador
del dominio guardiacivil.org a
Network Solutions y estos
cambiaron los DNS del registro del
dominio por los que quiso el
atacante, redirigiendo as la Web de
la Guardia Civil a la Web gay.
IS COMO PIEZA DE UN PUZZLE MORTAL

Mezclar la IS con la tecnologa hace que el conjunto en s, sea


un arma mortal, crear un keylog, o un troyano en VB, o C++,
No requiere un gran esfuerzo, incluso el control total de Pel,
tard tiempo en ser reconocido por los principales antivirus.

CD de regalos, archivos adjuntos, echar imaginacin.


Quin no comprara el ltimo Cd de nuestro cantante favorito
Por 1 a un tio que monto una manta en la puerta de nuestra
casa, como cado del cielo. ???
Pistas:
Si nos hacemos pasar por tcnicos, hablar en
lenguaje tcnico, la gente suele no entender nada y
decirnos siempre que si.
Encuestas inocentes a los familiares de las victimas,
edades, nombres, etc. (Hacer unas cuantas para
tener soltura).
Oferta increble enviaremos la ampliacin por mail
(ah introducimos el troyano). Es un mail
esperado, lo abrir seguro.
HOTMAIL HACKEABLE?
Tecnolgicamente es difcil
tenemos que hackear los
servidores de Micorsoft,
para obtener qu, una
cuenta?. Es caro, lleva
tiempo, y en mi caso es
imposible. Soy realista
Si analizamos el problema, vemos que lo
que queremos es una cuenta en concreto.
Si es de nuestra novia/o (esta tirado), un
compaero o amigo, virtual o no (tirado
tambin), de una persona por encargo.
(Requiere un proceso fino de ingeniera
social, objetivo, un keylog, y acceder 2
veces al ordenador) por ejemplo.

TICA? >>VIOLACIN DE LA PRIVACIDAD?>>> ????


Links de formas de hackear hotmail.

http://usuarios.lycos.es/unsafebytes/hackearh
otmail.htm

http://www.comunidadcmx.com/index.php
Conclusiones:
La ingeniera social NUNCA PASAR DE MODA.
Es un arte, el arte que deja la tica de lado
El ingrediente necesario detrs de todo gran ataque.

Tu red tiene firewall?. .


Tiene antivirus???
Tus administradores estan entrenados para hablar
con hackers y detectar sus intentos de ingeniera
social?
Y Mara la de la limpieza?

Ella tambin est preparada...?


Contramedidas
La mejor manera de esta protegido pasa por el conocimiento.

Educar a las personas, en concreto a las personas que trabajan


cerca de las terminales, desde los operarios, hasta personal de
limpieza.
Analizar con antivirus todo los correos que reciban
No informar telefnicamente de las caractersticas tcnicas de la
red, ni nombre de personal a cargo, etc.
Control de acceso fsico al sitio donde se encuentra los
ordenadores.
Polticas de seguridad a nivel de Sistema Operativo.
Lecturas recomendadas

El gran juego-Carlos Martn Prez


The art of deception -Kevin Mitnick
Stealing the Network: How to Own the
Box

Pelculas: 9 REINAS (Director Bielinsky )


*Zona de descarga de la charla y algunos libros en pdf:
http://www.dolbuck.com