RareGaZz nº18:(rgz_04):23/12/2001 << Back To RareGaZz nº 18
: :.:..:...:....:.....:......:.......:........:.........:..........: : : :::: : : : : RGZ_04 Ingenieria Social Conceptos Basicos Angel Protector : :.:..:...:....:.....:......:.......:........:.........:..........: : : :::: 1. Introduccion. 2. Utilidad de la Informacion Recolectada. 3. Tipos de Ataques 4. Descripcion de un Ataque. 5. Descripcion de un Ataque via Correo Postal. 6. Utilizacion de "Ingenieria Social" On-Line. 7. Conclusion. 1. Introduccion ~~~~~~~~~~~~~~~ El termino de "Ingenieria Social" aplicado al tema de la seguridad informatica en general, es utilizado para describir una serie de procedimientos o metodologias especificas (Por lo general involucradas con la manipulacion de personas), que servirian por ejemplo a un atacante para obtener informacion vital sobre el sistema a atacar. Los ataques mediante tecnicas de "Ingenieria Social" suelen gozar de un alto grado de eficacia. En muchos de los casos, la misma esta dada por el poco tiempo dedicado o la poca importancia que se le da en las empresas y en los departamentos de IT a este problema. Conceptualmente la "Ingenieria Social" no es considerada un ataque en si misma. Sucede que al ser la informacion de la victima, un elemento basico a utilizar en la intrusion de sistemas, cualquier tecnica que ayude a su obtencion debe ser considerada seriamente. 2. Utilidad de la Informacion Recolectada ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ La informacion recolectada por medio de la utilizacion de alguna de las "Tecnicas de Ingenieria Social" por lo general es utilizada para: -Realizar Compras con Medios de Terceros Por ejemplo alguien que conozca mucho acerca de usted (Sus datos personales, tarjeta de credito, direccion, etc.) podria utilizar la informacion obtenida para comprar via Internet o telefonicamente. -Acceder a Internet Gratuitamente Esto se lograria en caso de que parte de la informacion obtenida de un usuario particular, comprenda su nombre de usuario y password de acceso a la red. -Acceder a Instalaciones Restringidas En el caso de que la informacion obtenida sea por ejemplo los datos personales, y laborales del empleado de determinada planta industrial Conociendo estos datos un atacante podria imprimir una tarjeta como la que normalmente utilizan los operarios de limpieza, para acceder a por ejemplo la sala de servidores de la administracion con la cual ya habria logrado ni mas ni menos que acceso fisico!!. -Acceder a Sistemas Restringidos Informacion tal como: numeros de telefonos de modems, nombres de usuario, passwords, tipos de sistemas operativos, marca y modelo de los routers, marca y modelo de los switches, rango de direcciones IP, nombres de servidores o dominios, etc., son elementos sumamente utiles al momento de decidir el tipo de ataque a utilizar en la victima. 3. Tipos de Ataques ~~~~~~~~~~~~~~~~~~~ Los metodos utilizados relacionados con la "Ingenieria Social" pueden ser de lo mas variados y dependen en gran parte de la inventiva que posea el atacante. Herramientas tales como un telefono para realizar llamadas o la propia utilizacion del correo postal comun son instrumentos validos para obtener informacion de una victima potencial. Tampoco se descarta la utilizacion de mails con dominios falsos, los cuales son una herramienta excepcional para quienes buscan perpetrar ataques masivos. 4. Descripcion de un Ataque Telefonico ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ A continuacion le propongo un escenario mediante el cual podremos representar un ataque tipico de "Ingenieria Social", el cual creo sera de utilidad para entender lo comentado hasta este punto. Victima : Empresa de productos alimenticios. Aproximadamente 280 empleados en su sitio central. 5 Personas de soporte tecnico de sistemas. Fecha : Dia de Pago a proveedores (Por ejemplo) Objetivo: Obtener los datos minimos necesarios para realizar una intrusion. Tactica : Pasar por un empleado de Help Desk. Paso 1: Conseguir algun telefono de la corporacion. Para este primer contacto es facil identificar alguno de los telefonos de atencion al cliente provistos en cualquiera de sus productos (Bolsas, envases, cajas, etc.). Paso 2: Comunicarse a este telefono y argumentando ser un proveedor que reclama un pago, solicitar el telefono del sector de pagos. Paso 3: Habiendo obtenido el telefono de uno de los sectores de la empresa del cual se cree participaran usuarios con acceso a la red, el atacante podria utilizar un argumento tan simple como el que se muestra a continuacion: -Usuario : Hola? -Atacante : (Denotando prisa y fastidio) Si, buenos dias habla Marcelo de aca de sistemas... -Usuario : Marcelo?... de sistemas? -Atacante : Si(con voz segura), tenes algun problema con tu usuario de red? porque aca figura que hay algun problema! -Usuario : Mira que yo sepa no. -Atacante : Bueno puede ser un error nuestro, haber... decime tu... nombre de usuario... o tu direccion de mail... -Usuario : Si.. ehh.. es.. "agonzalez"... -Atacante : mmm, seguro... haber... agonzalez... agonzalez... aha si aca estas ok, ahora dame tu actual contrase~a asi la cambiamos por una nueva para no tener mas problemas. -Usuario : Si... es "marina". -Atacante : Ok, gracias hasta luego... -Fin del Dialogo Lo expresado en el dialogo anterior puede sonar extra~o y bastante estupido pero creame que existe un alto porcentaje de probabilidades de que un atacante con un dialogo similar alcance el objetivo que se propone. Si usted es un oficial de seguridad informatica, deberia probar esto ya mismo. Bueno, demas esta decir que conociendo el usuario y password de un empleado del sistema victima, las cosas seran mucho mas facil para el atacante. 5. Descripcion de un Ataque via Correo Postal ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Si el atacante requiriera informacion en abundancia de una victima en particular, seguramente pondria en marcha un ataque utilizando alguna casilla de correo postal tradicional. Paso 1: El atacante contrata una casilla de correo. Paso 2: Toma como patron alguna promocion que haya visto circular por su zona (Por ejemplo las tipicas suscripciones a revistas, cupones de descuento, los famosos sorteos de Readers Digest, o similar) y genera los formularios correspondientes tratando en lo posible de imitar con la mayor fidelidad posible los originales, modificando solo la direccion original por la de la casilla de correo por la del atacante. Obviamente la propuesta debe llamar realmente la atencion para de esta forma provocar al menos la curiosidad por parte de la victima. De ser posible el atacante intentara solicitar a la victima incluir algun tipo de clave en el formulario argumentando que esta podria servirle para reclamar su premio. (Esto debido a que esta comprobado que el usuario promedio siempre utiliza el mismo juego de claves para todo, sus tarjetas, bancos, acceso a Internet, acceso a la PC de su trabajo, etc.) Paso 3: El atacante designara la zona en la que se implementara el ataque via mailing. (Seguramente tratara de enviar las cartas a la zona de la compa~ia a atacar, obviamente cuando esto sea aplicable) Paso 4: La victima recibe la correspondencia dejada bajo la puerta por el atacante y con un poco de suerte completa los datos y los envia directo a la casilla establecida. Paso 5: El atacante retira de su casilla de correo los formularios que han sido completados por la victima. Ya con la informacion en su poder el atacante procedera con toda tranquilidad a planear la concrecion del ataque. 5. Ataque via Mail (Correo Electronico) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Este tipo de ataques son posibles gracias a la efectividad que tienen en los usuarios normales los mails provenientes de entidades publicas o servicios privados. Existen en Internet una gran cantidad servidores que permiten a una persona enviar un mail desde la web sin involucrar su cuenta original ya que el mensaje llegaria a su receptor encabezado con la cuenta de mail provista por el servicio de estos servidores (Remailers). Ahora si de temer se trata, los ataques mas efectivos se podrian lograr utilizando programas del tipo "Ghost Mail" el cual permite generar encabezados de mails de lo mas ingeniosos, con nombres de dominio tan variados, como: "pepito@presidencia.gov", "laura@ciudad.com.ar", etc. Otra posibilidad mas elegante elegida por el perfil de atacantes mas bien tecnicos, es la utilizacion de algunos defectos en varias de las implementaciones corrientes de SMTP. Cualquiera de estas tecnicas se podria utilizar para lograr que la victima envie informacion como ser datos personales o cualquier otro tipo de informacion de utilidad para el atacante. Por ejemplo, que haria usted si recibiera un mail de este tipo: -----Mensaje original----- De: ffiorella@ciudad.com.ar [mailto:ffiorella@ciudad.com.ar] Enviado el: Wednesday, July 5, 2000 3:46 PM Para: victima@servidordelavictima.com Asunto: Invitacion de Ciudad Internet Nos dirigimos a usted, con la intencion de otorgarle el privilegio de formar parte de las 2000 personas seleccionadas para evaluar nuestro nuevo servicio de acceso a Internet por cable. Nuestra intencion es la de brindarle un servicio de "Cable Modem" sin cargo por el termino de tres meses, tiempo en el cual debera evaluar la calidad del servicio ofrecido. Por este motivo es que le solicitamos nos envie este mismo mail con el correspondiente formulario completo. Desde ya muchas gracias, Fiorella Diaz Atencion al Cliente Nombre y Apellido [ ] Actual Proveedor de Internet [ ] Nombre de Usuario asignado por el proveedor [ ] Clave asignada por el proveedor [ ] -----Fin del Mensaje----- Ok, si usted esta leyendo este documento quizas usted no sea el mejor ejemplo de "victima" pero seguramente entre cientos de mails, alguno le dara al atacante el resultado esperado. 6. Utilizacion de "Ingenieria Social" On-Line ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ De todas las formas anteriormente expuestas, la "Ingenieria social On-Line" es quizas la que se practica con mayor frecuencia. Los medios por excelencia donde se dan este tipo de ataques, suelen ser los canales de IRC dedicados a los principiantes del chat. #iniciados, #ayuda, #newbies, #irchelp son algunos de los sitios utilizados por los atacantes para encontrar personas sin experiencia en Internet, que sean faciles de enga~ar. El sistema por excelencia, es sin duda aquel en que un atacante se hace pasar por una ni~a con Nicknames del tipo Paola28, Sexygirl18, o cualquier otro que inspire curiosidad. La tactica pasara por conversar con la victima de forma tal de ganar su confianza y provocarle el interes necesario como para que no pare de querer hablar con la supuesta "se~orita" enamorada. Un buen ataque puede llevarle al atacante un par de dias. Al final cuando la victima este totalmente enganchada con el atacante, este seguramente argumentara algo como esto en su proxima sesion de chat: Start of Pedro buffer: Fri Jul 07 18:04:25 2000 Session Ident: Pedro (~Pedro@200.47.xx.xxx) <Pedro> Hola Paola28!! como estas te extra~e! que paso? <Paola28> Nada solo que esta por expirar mi acceso a Internet, es por eso que estoy hablandote desde la cuenta de un amigo. <Pedro> Eso significa que quizas no hablemos mas? <Paola28> Y si... al menos hasta que pueda pagar una. <Pedro> Es una lastima me encantaria seguir chateando contigo! <Paola28> Mira, lo que se me ocurre es conseguir alguien que me preste su nombre de cuenta para poder acceder al chat y seguir charlando contigo!! <Pedro26> Y por que no usas la mia? <Paola28> sic... Bien, es cierto que la informacion recopilada no es demasiado importante, pero seguramente a quien la obtuvo, le proporcionara un tiempo valioso de conexion para seguir con sus Hackeos, asi como una cuenta "limpia" desde la cual actuar. Asi mismo, no deberiamos descartar que ataques de este tipo podrian ser perpetrados incluso en peque~as corporaciones con un esquema de seguridad absolutamente deficiente, los cuales dejen libradas las conexiones de Internet de sus dos o tres empleados, a su buena fe. Si esto sucediera, existiria un alto porcentaje de probabilidades que dichos usuarios utilicen el servicio de chat de Internet en sus tiempos laborales ociosos. 7. Conclusion ~~~~~~~~~~~~~ Si al terminar de leer este peque~o articulo usted sintio al menos una peque~a cuota de curiosidad o preocupacion, el objetivo del mismo estara cumplido. Los riesgos de la "Ingenieria Social", deberian ser tenidos en cuenta en los programas de seguridad de su empresa, asi como tambien en su propio hogar, ya que estos pueden ser el punto de partida de un ataque mas sofisticado. Uno de los mayores problemas a los que se enfrentan los oficiales de seguridad al implementar un plan integral, es sin lugar a duda el de lograr el apoyo de la comunidad que debe ser protegida (Usuarios de los sistemas, empleados de la empresa, etc.) Para que la aplicacion de un esquema de seguridad sea exitoso, debe contar con el entendimiento absoluto por parte de los usuarios de las normas a aplicar, asi como tambien de los riesgos y da~os potenciales en los que se podrian ver envueltos los sistemas de la compa~ia. <<::RareGaZz::>>