Social Lab

¿Que es Social Lab?

Aunque tenga la apariencia de una red social, Social Lab en realidad es un WarGame de Ingeniería Social, es decir un juego donde deberemos superar distintos desafíos para ganar. El objetivo aprender que estrategias se utilizan en Ingeniería social.

 

Acerca de Social Lab privacy wargame

Términos de uso de Social Lab 

Seguridad a lo Jabalí para Todos!!

Libros: The Art of Intrusion

El arte de la Ingeniería Social podría definirse como una serie de técnicas sociales para sobrepasar la seguridad de un sitio, en el campo de la seguridad informática es quizás una de las demostraciones más eficaces de la teoría del eslabón más débil, es decir, el usuario. Kevin Mitnick es seguramente el exponente más relevante, uno de los pioneros en este tipo de técnicas y el autor de este libro.

El arte de la intrusión está dividido en distintas historias sobre la intrusión de un sitio, en cada capítulo se narran las acciones que realizaron los atacantes para conseguir el acceso a los datos y al final una serie de reflexiones de seguridad del propio Mitnick, indicando porque los intrusos tuvieron éxito y como se podría mejorar la seguridad en ese caso concreto.

Aunque personalmente me hubiera gustado alguna explicación técnica un poco más detallada, en general el libro está bastante bien, nos hace reflexionar sobre algunos aspectos de las personas que influyen en la seguridad y que todos deberíamos tener en cuenta a la hora de realizar una política de seguridad.

Seguridad a lo Jabalí para Todos!!

Tentación Vs Sensatez

Una de las referencias a seguridad mas común es el esfuerzo por informar e instruir a los usuarios repecto a las amenazas de seguridad, el conocimiento de que hacer click un una url, abrir un archivo adjunto o saltarse el aviso del navegador sobre un certificado puede marcar la diferencia entre abrir toda una brecha de seguridad en una empresa ....

Pero aun teniendo la formacion que te permite saber si una acción es peligrosa, queda un factor determinante en esta ecuación, la Tentación, la mayor parte de las campañas de difusión de troyanos aprovechan deseos inseparables del ser humano, la curiosidad, el deseo, la ambición.

El aspecto humano debe ser tenido en cuenta en cualquier plan de seguridad, y cualquier sistema puede sucumbir ante un buen ataque de Ingeniería Social.

El uso de campañas informativas para los usuarios y la formacion en centros de trabajo debe complementarse con políticas de seguridad bien definidas, donde se indica, "que se puede o no hacer", respaldadas por los departamentos de Recursos humanos y la Alta Dirección, especificando las consecuencias y sanciones en caso de violar estar restricciones.

Porque a fin de cuentas .... "Si la Tentación es grande ....."

Seguridad a lo Jabali para Todos!!

Invertir en Seguridad

Muchas veces se comenta que la seguridad se ve mas como un gasto que como una inversión, en lo que respecta a los responsables de la empresa. Para los usuarios es simplemente una molestia que tratan de eludir para navegar, descargar películas o entrar en Facebook un ratito.

Los medios de comunicacion no ayudan, mas o menos todo el mundo se imagina que un ataque informático va realizarlo una mujer del tipo Lara Croft, con unos dispositivos carisimos que solo maneja el agente 007.

Así que mientras las personas esperan que Jolie venga con las pistolas, los malos se cuelan sin ningún tipo de molestia y son ayudados por los propios empleados.

Para ilustrar con un ejemplo la realidad relatare una historia ficticia, o quizás no tanto ?

La Empresa de Seguros X ha decidido, sobre todo porque necesitan una certificacion (al menos el sello) de la Iso27001, contratar una empresa de seguridad informática.

Micaela de la empresa de seguridad tiene una reunión inicial con la alta dirección de la empresa, que no es muy grande (menos de 200 empleados), a las 11:00 le espera el director, un responsable del departamento de finanzas y el de recursos humanos.

Después de informar al guardia de seguridad de la entrada, que no tiene ningún registro de las visitas, y tampoco lo confirma mediante teléfono o pc, Micaela se dirige a la reunión en la quinta planta de la compañía aseguradora.

En un punto de la reunión, se comenta que la adecuación de la empresa al plan de seguridad debe contener un plan de formación e instrucción de los empleados, la alta dirección indica que ese gasto de tiempo no es justificable ni necesario ....

"todos los empleados de la empresa recibirán una copia de la política de seguridad y sera suficiente".

Después de diferir en esta y muchas otras cuestiones, y dada la insistencia de la aseguradora en que parte de las medidas de seguridad ya están funcionando .... se decide hacer una prueba de Ingeniería Social.

Micaela solicita el nombre de un gerente de cualquier departamento que este trabajando en su despacho en ese instante y que además dicho responsable no tenga constancia de la reunión que se esta celebrando.

Utilizando su propio teléfono móvil y desde el despacho de dirección Micaela llama a un numero publico de la empresa.

-"Hola soy Micaela de Seguridad estoy aquí con Marcos el Gerente y tenemos un gran problema, ¿podrias pasarme con Jorge de Contabilidad, es urgente?"

Después de utilizar el nombre del director y la palabra "gran problema" la telefonista solo quiere derivar esa llamada donde sea ... en este caso al pobre Jorge (gerente de contabilidad).

-"Hola Jorge mira, Micaela de Seguridad, estoy aquí con Marcos, hay unos informes que no cuadran eres tan amable de subir al despacho de dirección un momento".

Mientras Jorge sube al despacho solo esta pensando en que puede que pierda el empleo y además seguramente por los errores que cometió otro empleado. Micaela sin conocer el edificio baja hacia el despacho de Jorge .....

Una empleada ese piso hace ademán de levantarse de la silla Micaela se anticipa, se dirige firme hacia ella,

-"Micaela de la Nueva Empresa de Seguridad Informática, vengo del despacho del director Marcos".

-"Tenemos Problema Urgente!!, una fuga de información alguien instalo algo en la maquina de Jorge".

-"El despacho del reponsable de contabilidad!, ¿es aquel?".

Micaela encuentra el despacho abierto, el ordenador esta encendido, la sesión abierta y el cliente de correo también, envía un mail al director desde la cuenta del pobre Jorge de contabiliad .....

-" Soy Micaela, necesitáis seguridad !!! ".

¿Que sucedería si esto pasara en tu empresa? ¿Ganaria Micaela?

Seguridad a lo Jabali para Todos!!

Un poquito de por favor.........

Como decía aquel personaje de todos conocido (aquí en España),hoy quiero tratar un tema escabroso,la relación social entre los aficionados a la tecnología (geek) y el resto de los mortales.

El otro dia leyendo un libro sobre Seguridad Informática "Blindaje de redes" John Mallery,Jason Zann,Patrcik Kelly y alguno mas.... llego a un capitulo que habla del problema de seguridad desde una perspectiva,cuanto menos curiosa,define mas o menos que las relaciones sociales entre los entendidos de informática y el resto de compañeros de otros departamentos influyen en la seguridad.

Así hoy en día existen arquetipos como los siguientes.......

El Informático Prepotente:Un compañero avisa al encargado del departamento técnico,que su software,que necesita para realizar su labor no funciona.El técnico arregla el problema y cuando se dispone a irse,le preguntan¿Que era lo que tenia?-El problema estaba entre la silla y el teclado,y se va con una sonrisa burlona.

El Usuario Desentendido:El mismo problema desde otra perspectiva,el informático advierte que el problema es derivado de un uso incorrecto del usuario,y trata de explicarle al compañero que si utiliza así el software,se podría repetir el error.Cuando el informático empieza a explicarle el compañero le contesta:-Si,si si vuelve a pasar ya te aviso,ahora estoy muy ocupado,si me disculpas.......

Es cierto que a veces la comunicación es difícil ,se emplean términos complejos o técnicos ,como .....el problema esta en la petición del navegador al puerto de esa url,no esta permitido en una acl por el firewall de la empresa,y ese servicio no te va a funcionar.

Seria mas fácil decir que hay un dispositivo de seguridad que bloquea ese acceso,que puede ser un riesgo para la seguridad de la empresa.Por supuesto,esta definición es menos exacta,pero quizás cumple mejor la función de comunicarse.Y esto es importante porque cada día,esta mas claro que la seguridad es una cuestión de Equipo,de nada sirve todo lo que implementes,lo buena que sea la política de seguridad,si al final no es cumplida por todos los usuarios.A veces,los expertos en tecnología,explican las cosas de manera tan técnica que se pierde el contenido del mensaje,pero en su defensa,yo personalmente opino que es el afán de compartir el conocimiento que tienen.Quizás si se prestara mas atención a los Administradores de Sistemas,a los Programadores y a los Expertos en Seguridad,se preguntara lo que no se entiende,o indicarles que utilicen símiles u otra terminologia dejarían de verse como en la ilustración.Empezando a verlos como un compañero mas que se apasiona de su trabajo y esta deseoso de compartir sus conocimientos.Con todo esto mejoraría la Seguridad en las empresas,y sobre todo las relaciones humanas.

Así que un poquito de por favor......entre ambas partes.El dibujo no deja de ser muy gracioso! 

Seguridad para todos!

Ingeniería Social

Muchas son las veces que se escucha este termino "y mediante ingeniería social consiguió...."; hace ya tiempo Bruce Schneier experto en criptografía,cifrado ,creador del método RSA,con frases celebres como "La seguridad es un proceso no un producto" ya opinaba en su libro Secretos y mentiras, que un negocio que utilice el algoritmo de cifrado para proteger sus datos  manejados por empleados tiene fallos .Una solución de seguridad actual que incluya tecnología,debe tener en cuenta ,los equipos,los programas  y a los usuarios.

La ingeniería Social :Seria la técnica o ciencia de engañar a un usuario legitimo para conseguir una información,claves,accesos abra un mail o que pulse sobre el enlace a una url(hacia una pagina maliciosa).

Una de las teorías de cualquier estrategia es la frase "Una cadena es tan fuerte como el eslabón mas débil ",que en nuestro caso seria el usuario de la empresa con menos conocimientos técnicos,o el que por motivos de carácter sea mas confiado. 

La solución ,formar a los trabajadores y documentar políticas de seguridad claras,respecto a que se puede hacer en el lugar de trabajo y como hacerlo de forma segura.

Kevin Mitnick en su obra  "El Arte del Engaño",hace varias referencias al termino,Mitnick uno de los hacker mas conocidos relataba  en una de sus conferencias, como accedió al código de un móvil en desarrollo, incluso antes de su anuncio en el mercado, con sólo seis llamadas telefónicas.

Kevin Mitnick relata que se fundamenta en cuatro principios básicos del ser humano .

• Todos queremos ayudar.
• El primer movimiento es siempre de confianza hacia el otro.
• No nos gusta decir No.
• A todos nos gusta que nos alaben.
• Yo,añadiría que nos importa menos,cuando el recurso no es nuestro,y si de la empresa.

Y de eso se habla con ingeniería social,de engañar,ni mas ni menos...y recordar que no deja de ser un método,ni bueno ni malo,según como se utilice,en marketing los estudios sobre las preferencias de la gente y las formas para manipular eso y mejorar las ventas son una realidad.

En un  curso para formar al personal,el instructor de la empresa de seguridad propuso un concurso y en un saco todos debían poner un papel con usuario/contraseña y la gente lo hizo..........les mostró de forma practica,como había conseguido los accesos a una empresa,y no se había identificado,nadie sabia si realmente era de la empresa de seguridad........es un buen ejemplo.

En el articulo Hackea a tu Hijo Capitulo 2 ,hablamos un poco de como usarla para algo positivo.

Seguridad para Todos!!!