en la seguridad de la información: ingeniería social · nombres de usuario, claves de acceso,...
TRANSCRIPT
Agenda
● ¿Cuan grande es el problema?● ¿Qué es la Ingeniería Social?● ¿Por qué la IS es tan efectiva?● Anatomía de un ataque de IS● Como mitigar el riesgo● Conclusiones
¿Cuan grande es el problema?
● Deloitte 2004 Global Security Survey– Instituciones financieras deben cumplir
regulaciones– 83% ha sufrido algún problema de seguridad
● PWC/Department of Trade & Industry: information Security Breaches Survey 2004 (Inglaterra)– Número de ataques ha aumentado– El costo de un ataque a una organización
grande puede llegar hasta los $ 250.000
¿Cuan grande es el problema?
● FBI– Denegación de servicio el más costoso– Robo de propiedad intelectual segundo mas
costoso● 2002-03 Australian Cyber Crime Survey
– El volumen de los ataques se ha doblado desde el 2001
¿Cuan grande es el problema?
● CSO 2003 Survey– Los que contestaron la encuesta y que sufrieron
la mayor cantidad de daños debido a incidentes de seguridad eran dos veces mas propensos que el promedio a planificar disminuir sus gastos en seguridad el próximo año.
– Aquellos que fueron mas afectados fueron la casi la mitad de propensos a listar el entrenamiento de sus empleados como unas de sus tres primeras prioridades.
¿Cuan grande es el problema?
● Estadísticas CERT/CC (www.cert.org)
1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 20050
500
1000
1500
2000
2500
3000
3500
4000
4500
Vulnerabilidades por año
Vulnerabilidades
¿Cuan grande es el problema?
● No sabemos!● Falta de métricas útiles● La tendencia indica que se incrementa cada
año● La perdida monetaria ha sido estimada entre
$ 400 millones y $ 12 billones de dólares.● Robo de identidad: La actividad criminal no
violenta de mayor crecimiento● Phishing parece estar al alza
¿Cuan grande es el problema?
● Phishing:– Mensaje de correo fraudulento destinado a
engañar a los destinatarios para que divulguen información de identificación personal.● nombres de usuario, claves de acceso, números de
tarjetas de crédito, números de seguridad social, claves de cajero, etc.
● Estos mensajes de correo lucen “oficiales” y los destinatarios creen en la marca y responden, resultando en pérdidas financieras, robo de identidad y otras actividades fraudulentas
Ingeniería Social
● Fenómeno Social/Psicológico● Definición:
– Aplicación práctica de principios sociológicos a problemas sociales particulares
● No necesariamente negativo● Persuasión:
– Disonancia Cognitiva– Teoría de las Expectativas del Lenguaje
● Ahora se ha vuelto un problema tecnológico negativo
Ingeniería Social
● “Intentos, exitosos o no, de influenciar a una persona(s) a revelar información, o de actuar de manera que resulte en acceso no autorizado, uso no autorizado o divulgación no autorizada, a un sistema de información, red o datos.”– Rogers & Berti, 2001
IS: ¿Por qué es tan efectiva?
● El campo de la Seguridad de la Información está enfocado principalmente en seguridad técnica
● Casi no se presta atención a la interacción máquina-persona
● Solo tan fuerte como el eslabón más débil –Las personas son el eslabón mas débil (Wetware)
● Por que gastar tanto tiempo atacando la tecnología si una persona te puede dar acceso?
IS: ¿Por qué es tan efectiva?
● Extremadamente difícil de detectar.● No existe IDS para “falta de sentido común”
o más apropiadamente, ignorancia.
IS: ¿Por qué es tan efectiva?
● Dos factores básicos– Naturaleza Humana Básica– Entorno de Negocio
● Naturaleza Humana– Util– Que confía– Inocente
IS: ¿Por qué es tan efectiva?
● Entorno de Negocio– Orientado a servicio– Poco tiempo/muchas tareas– Oficinas distribuidas– Oficinas virtuales– Fuerza de trabajo de alta rotación
IS: ¿Por qué es tan efectiva?
● Muy similar a como las Agencias de Inteligencia se infiltran en sus objetivos
● Tres fases:– Fase 1: Recopilación de inteligencia– Fase 2: Selección de la “víctima”– Fase 3: El Ataque
● Usualmente muy metódico
Anatomía de un Ataque
● Fase 1: Recopilación de Inteligencia– Fuentes de información primaria
● Basureros● Páginas Web● Ex-empleados● Contratistas● Vendedores● Socios estratégicos
– La base para la siguiente fase
Anatomía de un Ataque
● Fase 2: Selección de la “víctima”– Se busca por debilidades en el personal de la
organización● Help Desk● Soporte Técnico● Recepción● Soporte Administrativo● Etc.
Anatomía de un Ataque
● Fase 3: El Ataque– Basado en rutas periféricas de persuasión:
● Autoridad● Similitud● Reciprocidad● Compromiso y consistencia
– Usa la emocionalidad como una forma de distracción
Anatomía de un Ataque
● 4 categorías generales de ataques:– Ataques Técnicos– Ataques al Ego– Ataques de Simpatía– Ataques de Intimidación
Anatomía de un Ataque
● Ataque Técnico (Autoridad/Consistencia)– No hay contacto directo interpersonal con las
víctimas– El atacante forja mensajes de email, websites,
popups o algún otro medio– Pretende ser soporte autorizado o un
administrador de sistemas– Trata de obtener información sensible de los
usuarios (claves, nombres de usuario, números de tarjeta de crédito, claves de cajero, etc).
– Muy exitoso
Anatomía de un Ataque
● Ataque al Ego (Reciprocidad/Simpatía)– El atacante apela a la vanidad o ego de la
víctima– Usualmente atacan a alguien que parezca
frustrado con su situación laboral– La víctima trata de probar cuan inteligente o
conocedor es y provee información o incluso acceso a sistemas o datos.
– El atacante puede pretender ser una autoridad de la ley, la víctima se siente honrado de ayudar
– La víctima usualmente nunca se da cuenta
Anatomía de un Ataque
● Ataque de Simpatía (Simpatía/Compromiso)– El atacante pretende ser un nuevo empleado,
contratista o vendedor– Existe alguna urgencia de completar una tarea u
obtener alguna información– Necesita asistencia o perderá su trabajo o estará
en problemas– Juego con la empata/simpatía de la víctima– El atacante pide ayuda hasta que encuentra
alguien que pueda ayudarlo– Ataque muy exitoso
Anatomía de un Ataque
● Ataque de intimidación (Autoridad)– El atacante pretende ser alguien con influencias
(una figura de autoridad, oficial de la ley)– Trata de utilizar su autoridad para forzar a la
víctima a cooperar– Si hay resistencia utiliza la intimidación y
amenazas (perdida del empleo, cargos criminales)
– Si pretende se un oficial de la ley dirá que la investigación es encubierta y no debe ser divulgada
Mitigando el riesgo
● El impacto de la IS es usualmente alto● La facilidad de un ataque es alta● Controles técnicos solamente no evitarán un
ataque de IS● Controles administrativos/operacionales
tampoco lo harán● Controles de medio ambiente tampoco lo
prevendrán
Mitigando el riesgo
● Necesitamos una combinación de Principios Operacionales/Administrativos, Técnicos (lógicos) y de Medio Ambiente (físicos)
● Se puede reducir a:– Tecnología– Políticas– Educación– Divulgación– Entrenamiento
Mitigando el riesgo
● Todos los empleados deben tener una actitud hacia la seguridad y cuestionar las cosas.
● Necesitan reconocer los “trucos”● Se deben tener procedimientos de respuesta
a incidentes y equipos que mitiguen el daño si ocurre un ataque
● Se debe notificar a los involucrados● Aplicar tecnología donde sea posible● Probar cuan listos estamos periódicamente
Conclusiones
● Los ataque de Ingeniería Social son una amenaza muy seria
● Los ataque de Ingeniería Social son muy fáciles y muy efectivos
● No se debe ignorar la interacción persona-maquina
● La seguridad de la información es un problema de hardware, software, firmware y peopleware
● La mejor defensa: Educación combinada con tecnología