/*codigo slider*\

martes, 25 de junio de 2013

Los siete pecados capitales de la ingeniería social

Los siete pecados capitales de la ingeniería social

Puede ser que uno no esté consciente que hay una escala de siete pecados capitales está relacionados con la ingeniería social. Los ataques de ingeniería social más mortíferos son los que tienen las tasas de éxito más grandes, a menudo aproximándose al 100%. ¿Cuál es el secreto de esos ataques?, ¿cómo llegan a hacerlo tan bien?

Sus propias observaciones le muestran que las personas son muy diferentes. Algunas siempre son entusiastas y deseosas de aprende algo nuevo. Otras son más conservadoras pero corteses con sus compañero de trabajo.  Un poquito más abajo de esta escala están las personas que parecen siempre estar aburridas con sus vidas y entonces al final son aquellos quienes justamente no se preocupan y están básicamente apáticos con todo.

Los ingenieros sociales exitosos determinan primero en que parte de la escala se ubican sus blancos, y luego seleccionan un ataque que pueda tener el más alto grado de éxito con aquella persona, intentando asemejar la mirada sobre la vida de su víctima.

Esta escala de vicios puede ser encarada tanto por el lado positivo como por el negativo. Uno puede llamarle tanto credulidad o puede llamarle confianza, avaricia o interés propio, pero como aquí hablamos de pecados, no atendremos a las etiquetas negativas.

Aqui hay siete ataques de ingeniería social que espero sean un buen ejemplo de cada uno de los pecados capitales, noten sin embargo que hay solapamientos y que las cosas no siempre son un caso claro. Al fin y al cabo ¡estamos tratando con seres humanos!

Curiosidad:
El atacante deja olvidado una memoria USB junto al lavatorio en el restaurant del piso donde están las oficinas ejecutivas y sus asistentes administrativos. Está claramente marcado "Actualización de Salarios 1er Trimestre".  La memoria USB tiene un malware modificado que se autoinstala y llama a casa desde cualquier PC en donde sea conectado. Este ataque fue 90% efectivo.

Cortesía:
El atacante se enfoca en el CEO de la compañía a la que tiene como objetivo. Hace su investigación, encuentra que el CEO tiene un familiar batallando con el cáncer y que participa activamente en una organización benéfica de lucha contra el cáncer. El atacante se hace pasar por alguien de esa organización, le pide al CEO su respuesta sobre una campaña de recaudación de fondos y adjunta un PDF infectado. Misión cumplida, la PC del CEO es capturada y pronto también caerá la red. Y por supuesto mantener la puerta abierta para un extraño con sus manos ocupadas llenas de cajas es un ejemplo clásico que todos conocemos de como montarse a cuestas de otro.

Credulidad
Los atacantes identifican a los gerentes adecuados de dos sucursales distintas de su banco objetivo. Compran un dominio que se parece mucho al del banco. Falsifican los correos de los ejecutivos del banco y envían correos falsos al gerente autorizando una transacción. Entraron con un cheque falsificado y una identificación falsificada, y salieron caminando con 25.000 en efectivo ... varias veces!

Codicia
¿Sabe que las estafas Nigerianas 419 actuales usan la palabra 'Nigeria' a propósito para calificar a los objetivos con que se enfrentan? Ahora es utilizada como un filtro para eliminar gente y agarrar a los incultos que son suficientemente codiciosos como para arriesgarse a responder por la jovencita huérfana de 26 años que tiene $12.500.000 en el banco, y que necesita alguien que la cuide y la ayude a transferir esos fondos.

Inconsciencia
La inteligencia de los ejércitos americanos e israelíes crearon el malware Stuxnet que saboteó la centrífugas iraníes de enriquecimiento de uranio en Natanz. Fue llevado a cabo mediante un sencillo ataque USB a uno de sus científicos. El Mossad deslizó una memoria USB al científico que luego la enchufó en el laptop en su casa, fue a trabajar y allí conectó el laptop en la red interna de Natanz. La ingeniería social salteó ese barrera gracias a un científico que debería haber sabido más.

Timidez
Alguien parecido a Brad Pitt se acerca a la recepción interna del departamento de recursos humanos de una multinacional francesa con oficinas en Boston. Se disculpa efusivamente de haber llegado unos minutos tarde y muestra un papel con manchas de café. Explica que volcó café en su curriculum y si la recepcionista "por favor con azúcar" puede imprimirle una copia nueva para su entrevista? Le entrega una memoria USB, la tímida recepcionista no lo confronta por las políticas de la compañía de no permitir dispositivos extraños en la red, rápidamente le imprime una nueva copia y le devuelve el USB. El joven desaparece hacia el baño y la red de esta manera fue tomada.

Apatía
P: ¿Que es lo más útil para la ingeniería social, la ignorancia o la apatía?
R: No lo sé y no me importa.

Los tres empleados de un departamento de despachos reciben todos el mismo correo de phishing genérico de UPS que les aparece en sus bandejas de entrada más o menos al mismo tiempo. Ninguno de ellos se toma el tiempo de pasar el cursor sobre el enlace y ver que en realidad lleva a un sitio de Eslovaquia con '.cz' al final. Más aún, ninguno de ellos asoma de su cubículo para advertirle a los demás. Dos de ellos hacen clic en el enlace e infectan su PC con un apestoso malware que requiere que se reinstale por completo sus equipos.

Como pueden ver el genio está fuera de la lámpara. El cibercrimen ha incorporado el concepto de ingeniería social y están usándolo. Así que, ¿que hacer?

Publicar y distribuir una política de seguridad integral.
Comprender que la política es el inicio para enfrentarse con el problema.
Reconocer que no hay implementación efectiva de una política que no incluya algún grado de capacitación.
Ser realista. La capacitación no significa hacer de los usuarios unos expertos en seguridad. Significa enseñarles todo lo que necesitan saber para usar de forma segura las computadoras.

Reconocimiento a David Harley, Kevin Mitnick, Chris Hadnagy, SANS, y muchos otros. Para mayor información y enlaces útiles sobre Ingeniería Social vea la página de Wikipedia y un gran artículo de David Harley en el sitio de cluestick.

Traducción: Raúl Batista - Segu-Info
Autor: Stu Sjouwerman
Fuente: Blog KnowBe4

Leer más: Segu-Info: Los siete pecados capitales de la ingeniería social http://blog.segu-info.com.ar/2013/06/los-siete-pecados-capitales-de-la.html#ixzz2XF7F7ug4 
Under Creative Commons License: Attribution Non-Commercial Share Alike 
Mucho más de Seguridad Informática Segu-Info

viernes, 14 de junio de 2013

Cambios en la nueva ISO 27001 2013 Draft (III)

Cambios en la nueva ISO 27001 2013 Draft (III)


En el post anterior se ha analizado los cambios entre la antigua ISO 27001 (publicado en 2005) y el proyecto de 2013. Naturalmente, los controles de la ISO 27001 Anexo A no pueden cambiar sin cambiar la ISO 27002 porque la esencia de estas dos normas deben estar alineadas.

Ahora, echemos un vistazo a los cambios que se proponen en la norma ISO 27002, según el sitio web de BSI). Como siempre es importante hacer notar que, dado que esto es sólo una versión DIS (Draft), la versión final de la norma ISO 27002:2013, diferirá un poco. Aquí me centraré principalmente en la forma en que los controles están estructurados, y no tanto en su descripción.

Número de secciones: como era de esperar, el número de secciones ha aumentado de 11 secciones que contienen los controles en el viejo estándar a 14 en el nuevo. De esta manera, el problema en la norma antigua, donde algunos controles se insertaban "artificialmente" en ciertas áreas adonde no pertenecían, ahora se ha resuelto.

Número de controles: sorprendentemente, el número de controles ha disminuido de 133 a sólo 113. Esto es debido a la eliminación de algunos controles que eran demasiado específicos o anticuados.

Estructura de secciones: criptografía se ha convertido en una sección separada (#10) y ya no es (lógicamente) parte del dominio de "Desarrollo y adquisiciones de sistemas". Algo similar ha sucedido con las "relaciones con los proveedores" y se han convertido en una sección aparte (#15). El dominio "Gestión de comunicaciones y operaciones" se dividió en "Operaciones de seguridad" (#12), y "Comunicaciones de seguridad" (#13). Las secciones ahora son:
  • 5 Security Policies
  • 6 Organization of information security
  • 7 Human resource security
  • 8 Asset management
  • 9 Access control
  • 10 Cryptography
  • 11 Physical and environmental security
  • 12 Operations security
  • 13 Communications security
  • 14 System acquisition, development and maintenance
  • 15 Supplier relationships
  • 16 Information security incident management
  • 17 Information security aspects of business continuity
  • 18 Compliance

Reubicación de controles

  • El control de dispositivos móviles y teletrabajo, previamente en el control de acceso, ahora es parte de la sección 6.2 Organización de la seguridad de la información.
  • Manipulación de los medios de comunicación que anteriormente era parte de Gestión de comunicaciones y operaciones, ahora forma parte de la gestión de activos 8.3.
  • El Control de acceso al sistema operativo, las aplicaciones y el control de acceso a la información, se han fusionado en el Sistema de control de aplicaciones y acceso (9.4).
  • El Control del software operativo, anteriormente un único control en el Sistema de información de la adquisición, desarrollo y mantenimiento, es ahora una categoría aparte 12.5 en la sección de Operaciones de seguridad.
  • Las consideraciones de Auditoría sistemas de información han pasado desde el dominio de Cumplimiento a la sección 12.7 de Seguridad de operaciones.
  • La categoría de acceso a la red se ha ido, y algunos de sus controles se han trasladado a la sección 13 la Seguridad en las comunicaciones.
  • La transferencia de información (anteriormente llamado Intercambio de información) es ahora parte de la sección 13.2 Seguridad en las comunicaciones.
  • La categoría controversial sobre el procesamiento correcto de información  en las aplicaciones, se ha ido.
  • Los servicios de comercio electrónico se fusionaron en el dominio 14.1 sobre Requisitos de seguridad de sistemas de información.
  • Dos categorías de la sección de Gestión de Incidentes se han unido en una sola.
  • En la sección de continuidad de negocio se ha agregado una nueva categoría, la 17.2 sobre la redundancia de datos.

Nuevos controles

  • 14.2.1 Política de desarrollo seguro - Reglas para el desarrollo de software y sistemas de información
  • 14.2.5 Los procedimientos del sistema de desarrollo - Principios para la ingeniería de sistemas
  • 14.2.6 entorno de desarrollo seguro - establecer y proteger el entorno de desarrollo
  • 14.2.8 Sistema de pruebas de seguridad - las pruebas de funcionalidad de seguridad
  • 16.1.4 Evaluación y decisión de los eventos de seguridad de información - esto es parte de la gestión de incidentes
  • 17.2.1 Disponibilidad de instalaciones de procesamiento de información - lograr redundancia

Controles que se han ido

  • 6.2.2 Abordar la seguridad al tratar con los clientes
  • 10.4.2 Controles contra código móvil
  • 10.7.3 Procedimientos de manejo de la información
  • 10.7.4 Seguridad de la documentación del sistema
  • 10.8.5 Sistemas de Información Empresarial
  • 10.9.3 Información pública
  • 11.4.2 Autenticación de usuario para conexiones externas
  • 11.4.3 Identificación de los equipos en las redes
  • 11.4.4 remoto puerto de diagnóstico y configuración de protección
  • 11.4.6 Red de control de la conexión
  • 11.4.7 Red de control de encaminamiento
  • 12.2.1 Validación de datos de entrada
  • 12.2.2 Control de procesamiento interno
  • 12.2.3 Integridad del mensaje
  • 12.2.4 Salida de validación de datos
  • 11.5.5 Tiempo de sesión
  • 11.5.6 Limitación del tiempo de conexión
  • 11.6.2 Aislamiento del sistema Sensitive
  • 12.5.4 Filtración de información
  • 14.1.2 Continuidad del negocio y evaluación de riesgos
  • 14.1.3 Desarrollo e implementación de planes de continuidad de negocio
  • 14.1.4 Continuidad del negocio marco de planificación
  • 15.1.5 Prevención del uso indebido de las instalaciones de procesamiento de información
  • 15.3.2 Protección de las herramientas de auditoría de sistemas de información
Dado que la estructura de la norma ISO 27002 está completamente alineada con los controles de la ISO 27001, todos estos cambios también son válidos para las nuevas ISO 27001 anexo A.

A primera vista, hay muchos cambios pero la mayoría de los mismos no son realmente fundamentales sino que muchos de ellos se han adaptado en una nueva estructura y se han añadido controles que faltaban desde el principio. Para concluir, la aplicación de esta nueva norma va a ser más fácil de implementar.

Leer más: Segu-Info: Cambios en la nueva ISO 27001 2013 Draft (III) http://blog.segu-info.com.ar/2013/02/cambios-nueva-iso-27001-2013-III.html#ixzz2WD7ABmcE 
Under Creative Commons License: Attribution Non-Commercial Share Alike 
Mucho más de Seguridad Informática Segu-Info

Related Posts Plugin for WordPress, Blogger...