Expertos en seguridad informática explican cómo evalúan las defensas que usan las compañías para evitar ciberataques y dan pistas y consejos para protegerse.
Hay pocos empleos en los que uno podría salir airoso tras copiar las técnicas y los trucos utilizados por criminales. Uno de ellos es el de evaluador de intrusiones profesional.
Son hackers éticos, que utilizan métodos razonables -y otros no tanto-
para intentar vulnerar las defensas digitales que establecen las
empresas para mantener a raya los correos no deseados, y a estafadores y
otros tipos de cibervillanos.
Expertos en seguridad de las firmas Sentor y SpiderLabs le mostraron a la BBC algunas de las técnicas que utilizan los evaluadores de intrusiones.
Kalle Zetterlund, de Sentor, dijo que estos profesionales generalmente intentan persuadir a alguien dentro de la empresa de que cometan un error y, sin querer, le den acceso.
Explicó que este error puede ser a veces el elegir una contraseña muy débil, como password01, muy fácil de identificar por programas informáticos capaces de intentar miles de combinaciones por segundo.
Pero dijo que hay muchos otros errores que comete la gente y que, aunque a primera vista parecen inocuos, pueden ser peligrosos.
Profundo
Una de las técnicas desarrolladas por los investigadores de Sentor apunta a esos lugares fuera de la empresa donde se reúnen los trabajadores.
Algunas ideas de posibles objetivos también pueden tomarse de las redes sociales, donde la gente suele dar detalles de lo que hacen en su tiempo libre y de en qué sitios hablan de eso.
Los sitios web y foros de discusión que mencionan en relación a un deporte o un pasatiempo no suelen tener buenas defensas digitales, dijo Zetterlund.
Algunos de esos sitios permiten que utilizar una técnica que se llama cross-site scripting, en la que un atacante puede ejecutar su propio código en una de esas páginas.
Eso facilita enviar mensajes-trampa a un foro para capturar un objetivo.
En otros casos se hizo un mal trabajo a la hora de proteger el código de un sitio o un foro, lo que implica que al inspeccionarlo se pueden hallar claves sobre vulnerabilidades.
Otra ruta puede ser estar en algoritmos débiles utilizados para generar números al azar que sirven como raíz de una contraseña.
"Es un error bastante común", dijo Zetterlund. "Inclusive quienes usan buenos generadores de números al azar tienen tan poca intervención que se los puede usar para averiguarlos".
Estas debilidades pueden permitir que un atacante o un hacker ético tome posesión de un sitio y comience a colocar mensajes maliciosos en foros o, inclusive, poner directamente una trampa en el sitio.
Éstas funcionan mejor cuando la gente no mantiene actualizados los programas de Java o Adobe.
Un ataque desarrollado por Bjorn Johansson, de Sentor, se activa simplemente cuando el que parece un inocuo mensaje es visto en un foro que ha sido comprometido.
Si una computadora que corre una versión vieja de Java lo visita, corre el riesgo de ser víctima del código que se colocó detrás de las palabras del asunto del mensaje. El código de Johansson abre directamente una conexión con la máquina atacada.
"Puedo hacer cualquier cosa que puedes hacer tú frente a la computadora", dijo Johansson, quien para muestra encendió una webcam en la computadora comprometida para espiar a su dueño.
Con ese nivel de acceso, acceder a nombres de usuario y contraseñas de una red corporativa o robar documentos sería sencillo, dijo.
Navegador comprometido
No todas las técnicas dependen de invadir un sitio. Otras funcionan con mensajes de correo falsos que son enviados a algunas personas dentro de la compañía que se quiere atacar.
Para que se vean convincentes, dijo Michele Orru, de SpiderLabs, los evaluadores de intrusiones pueden enviar una consulta legítima a una empresa, para obtener una respuesta formal.
El mensaje que reciben contendrá todas las imágenes y otro tipo de detalles que hacen falta para que un correo falso se vea como auténtico.
Si esto se combina con una página web falsa que parece ser la versión web del correo electrónico de la compañía, puede convertirse en un poderoso truco para que la gente termine entregando sus nombres de usuario y contraseñas.
Aún si logran darse cuenta de que es falsa, podrían terminar siendo víctimas de otro ataque desarrollado por Orru, uno que se activa cuando visitan la página.
"Tan pronto como ingresan en nuestra página, podemos ver una lista de información sobre ellos", dijo Orru. Esa lista es generada tras "preguntarle" a la computadora atacada qué programas está utilizando. Eso puede dar a conocer ciertas vulnerabilidades que los hackers éticos pueden aprovechar.
Además, la herramienta desarrollada por Orru puede generar falsos mensajes que le piden a la víctima que de claves de acceso a ciertos sitios o redes sociales.
Cualquier cosa que la víctima escriba en esas ventanas puede ser capturado por el atacante y utilizado para robar aún más información.
"Nos basamos en la ingeniería social o en trucos que lleven a la gente a hacer clic en alguna parte y hacer algo por nosotros", djo.
Métodos físicos
Pero no todas las pruebas de intrusión se basan en conocimientos técnicos.
Algunas consisten en usar métodos físicos.
Estas técnicas incluyen el diseminar dispositivos de memoria externa con trampas en estacionamientos de empresas o dejar en la entrada CDs que tienen escrita alguna palabra tentadora, como "salarios".
Pocos pueden resistirse a abrirlos para ver qué contienen.
Una vez que lo hacen, el código contenido en esos dispositivos se activa y le da acceso al atacante a la computadora invadida.
Christian Angerbjorn, quien trabajó como experto en seguridad en un gran banco de Reino Unido, dijo que solía documentar cuán lejos podía ingresar a un edificio utilizando la cámara de un teléfono móvil metido dentro de una taza de café de plástico agujereada.
Los expertos en intrusiones suelen tener en mente un lugar específico cuando seleccionan un edificio como objetivo.
Llegar al escritorio del director de informática sin ser detenido suele ser suficiente para dejar las cosas claras.
Otros expertos dicen que se pueden pasar de la recepción con tan sólo quitarse la chaqueta, arremangarse y cargar una gran caja.
Pero a veces sólo hace falta tener suerte.
Angerbjorn contó cómo en un trabjo él y su equipo tenían que lograr entrar a un gran centro de datos en Estados Unidos.
El primer día llegaron todos juntos para hacer tareas de reconocimiento y comenzaron a preguntarse cómo lograrían entrar en un edificio tan bien custodiado.
Mientras hacían sus observaciones sonó una alarma y todos los empleados salieron del edificio; era un ensayo de incendio. El equipo de Angerbjorn salió del coche y se metió tras la masa de empleados que volvían a entrar.
"Lo único que pensaba es: '¿Ahora qué vamos a hacer el resto de la semana?'", contó Angerbjorn.
Consejos de seguridad
• Mantener actualizados los programas Java y de Adobe.
• Usar contraseñas que incluyan números, y letras en mayúscula y minúscula.
• Nunca usar las mismas contraseñas para sitios sensibles que para otros de bajo riesgo.
• Utilizar antivirus, firewalls y filtros de correo no deseado; y mantenerlos actualizados.
• Recibir con sospecha mensajes no deseados, aún cuando vienen de conocidos.
Expertos en seguridad de las firmas Sentor y SpiderLabs le mostraron a la BBC algunas de las técnicas que utilizan los evaluadores de intrusiones.
Kalle Zetterlund, de Sentor, dijo que estos profesionales generalmente intentan persuadir a alguien dentro de la empresa de que cometan un error y, sin querer, le den acceso.
Explicó que este error puede ser a veces el elegir una contraseña muy débil, como password01, muy fácil de identificar por programas informáticos capaces de intentar miles de combinaciones por segundo.
Pero dijo que hay muchos otros errores que comete la gente y que, aunque a primera vista parecen inocuos, pueden ser peligrosos.
Profundo
Una de las técnicas desarrolladas por los investigadores de Sentor apunta a esos lugares fuera de la empresa donde se reúnen los trabajadores.
Algunas ideas de posibles objetivos también pueden tomarse de las redes sociales, donde la gente suele dar detalles de lo que hacen en su tiempo libre y de en qué sitios hablan de eso.
Los sitios web y foros de discusión que mencionan en relación a un deporte o un pasatiempo no suelen tener buenas defensas digitales, dijo Zetterlund.
Algunos de esos sitios permiten que utilizar una técnica que se llama cross-site scripting, en la que un atacante puede ejecutar su propio código en una de esas páginas.
Eso facilita enviar mensajes-trampa a un foro para capturar un objetivo.
En otros casos se hizo un mal trabajo a la hora de proteger el código de un sitio o un foro, lo que implica que al inspeccionarlo se pueden hallar claves sobre vulnerabilidades.
Otra ruta puede ser estar en algoritmos débiles utilizados para generar números al azar que sirven como raíz de una contraseña.
"Es un error bastante común", dijo Zetterlund. "Inclusive quienes usan buenos generadores de números al azar tienen tan poca intervención que se los puede usar para averiguarlos".
Estas debilidades pueden permitir que un atacante o un hacker ético tome posesión de un sitio y comience a colocar mensajes maliciosos en foros o, inclusive, poner directamente una trampa en el sitio.
Éstas funcionan mejor cuando la gente no mantiene actualizados los programas de Java o Adobe.
Un ataque desarrollado por Bjorn Johansson, de Sentor, se activa simplemente cuando el que parece un inocuo mensaje es visto en un foro que ha sido comprometido.
Si una computadora que corre una versión vieja de Java lo visita, corre el riesgo de ser víctima del código que se colocó detrás de las palabras del asunto del mensaje. El código de Johansson abre directamente una conexión con la máquina atacada.
"Puedo hacer cualquier cosa que puedes hacer tú frente a la computadora", dijo Johansson, quien para muestra encendió una webcam en la computadora comprometida para espiar a su dueño.
Con ese nivel de acceso, acceder a nombres de usuario y contraseñas de una red corporativa o robar documentos sería sencillo, dijo.
Navegador comprometido
No todas las técnicas dependen de invadir un sitio. Otras funcionan con mensajes de correo falsos que son enviados a algunas personas dentro de la compañía que se quiere atacar.
Para que se vean convincentes, dijo Michele Orru, de SpiderLabs, los evaluadores de intrusiones pueden enviar una consulta legítima a una empresa, para obtener una respuesta formal.
El mensaje que reciben contendrá todas las imágenes y otro tipo de detalles que hacen falta para que un correo falso se vea como auténtico.
Si esto se combina con una página web falsa que parece ser la versión web del correo electrónico de la compañía, puede convertirse en un poderoso truco para que la gente termine entregando sus nombres de usuario y contraseñas.
Aún si logran darse cuenta de que es falsa, podrían terminar siendo víctimas de otro ataque desarrollado por Orru, uno que se activa cuando visitan la página.
"Tan pronto como ingresan en nuestra página, podemos ver una lista de información sobre ellos", dijo Orru. Esa lista es generada tras "preguntarle" a la computadora atacada qué programas está utilizando. Eso puede dar a conocer ciertas vulnerabilidades que los hackers éticos pueden aprovechar.
Además, la herramienta desarrollada por Orru puede generar falsos mensajes que le piden a la víctima que de claves de acceso a ciertos sitios o redes sociales.
Cualquier cosa que la víctima escriba en esas ventanas puede ser capturado por el atacante y utilizado para robar aún más información.
"Nos basamos en la ingeniería social o en trucos que lleven a la gente a hacer clic en alguna parte y hacer algo por nosotros", djo.
Métodos físicos
Pero no todas las pruebas de intrusión se basan en conocimientos técnicos.
Algunas consisten en usar métodos físicos.
Estas técnicas incluyen el diseminar dispositivos de memoria externa con trampas en estacionamientos de empresas o dejar en la entrada CDs que tienen escrita alguna palabra tentadora, como "salarios".
Pocos pueden resistirse a abrirlos para ver qué contienen.
Una vez que lo hacen, el código contenido en esos dispositivos se activa y le da acceso al atacante a la computadora invadida.
Christian Angerbjorn, quien trabajó como experto en seguridad en un gran banco de Reino Unido, dijo que solía documentar cuán lejos podía ingresar a un edificio utilizando la cámara de un teléfono móvil metido dentro de una taza de café de plástico agujereada.
Los expertos en intrusiones suelen tener en mente un lugar específico cuando seleccionan un edificio como objetivo.
Llegar al escritorio del director de informática sin ser detenido suele ser suficiente para dejar las cosas claras.
Otros expertos dicen que se pueden pasar de la recepción con tan sólo quitarse la chaqueta, arremangarse y cargar una gran caja.
Pero a veces sólo hace falta tener suerte.
Angerbjorn contó cómo en un trabjo él y su equipo tenían que lograr entrar a un gran centro de datos en Estados Unidos.
El primer día llegaron todos juntos para hacer tareas de reconocimiento y comenzaron a preguntarse cómo lograrían entrar en un edificio tan bien custodiado.
Mientras hacían sus observaciones sonó una alarma y todos los empleados salieron del edificio; era un ensayo de incendio. El equipo de Angerbjorn salió del coche y se metió tras la masa de empleados que volvían a entrar.
"Lo único que pensaba es: '¿Ahora qué vamos a hacer el resto de la semana?'", contó Angerbjorn.
Consejos de seguridad
• Mantener actualizados los programas Java y de Adobe.
• Usar contraseñas que incluyan números, y letras en mayúscula y minúscula.
• Nunca usar las mismas contraseñas para sitios sensibles que para otros de bajo riesgo.
• Utilizar antivirus, firewalls y filtros de correo no deseado; y mantenerlos actualizados.
• Recibir con sospecha mensajes no deseados, aún cuando vienen de conocidos.
0 comentarios:
Publicar un comentario