Raul Barral Tamayo's Blog

Pasen Y Vean [R]

El arte de la intrusión de Kevin D. Mitnick – Apuntes Breves

Posted by Raul Barral Tamayo en Lunes, 17 de octubre, 2011


El arte de la intrusión ha sido incluso más dificil de escribir que nuestro último libro.

En lugar de utilizar nuestros talentos creativos combinados para desarrollar historias y anécdotas que ilustren los peligros de la ingeniería social y qué pueden hacer las empresas para mitigar los riesgos, Bill Simon y yo hemos trabajado principalmente sobre las entrevistas de ex hackers, phreakers y hackers convertidos a profesionales de la seguridad.

Queríamos escribir un libro que fuera a un mismo tiempo una novela de misterio y un manual que abra los ojos a las empresas y les ayude a proteger su información confidencial y sus recursos informáticos.

Creemos firmemente que sacando a la luz las metodologías y las técnicas más comunes que utilizan los hackers para penetrar en sistemas y redes, podemos ejercer influencia en todo el ámbito para abordar correctamente los riesgos y las amenazas que suponen estos adversarios audaces.

Kevin D. Mitnick es un célebre hacker que ha “enderezado su camino” y ahora consagra sus considerables habilidades a ayudar a empresas, organizaciones y organismos gubernamentales a protegerse de los tipos de ataques descritos en este libro y en su anterior bestseller, The Art of Deception. Es confundador de Defensive Thinking, una consultoría de seguridad informática.

Algunas de las cosillas que aprendí leyendo este libro que no tienen porque ser ni ciertas ni falsas ni todo lo contrario:

  • Alex Mayfield: “Siempre que algún ingeniero de software dice, ‘nadie se complicaría tanto como para hacerlo’, hay algún chaval en Finlandia dispuesto a complicarse”.
  • Cuando alguien gana más de 1.200 dólares, el casino pide identificación y pasa nota a Hacienda.
  • Una de la normas era no llevarse demasiado dinero, ni actuar durante demasiado tiempo, ni demasiados días consecutivos en un mismo sitio.
  • Los casinos no quieren hacer público que tienen vulnerabilidades de este tipo. Normalmente, te piden que salgas de la ciudad antes del atardecer y si estás de acuerdo en no volver a poner un pie en una casino otra vez, te dejan marchar.
  • Para las compañías que utilizan software y productos basados en ordenadores es peligrosos dar por hecho que la gente que construye sus sistemas ha pensado en todas las vulnerabilidades.
  • Obstaculizar el acceso al firmware. Compre chips diseñados para ofrecer protección contra ataques. Utilice el encapsulado chip on-board. Selle el chip a la placa con epoxy. Utilice un diseño BGA, ball grid array, resulta difícil, por no decir imposible, capturar el flujo de señales del chip. Raye cualquier información de identificación que haya en el chip.
  • Utilice la suma de control (hash), una rutina de suma de control en el software. Si el programa ha sido modificado, la suma de control no será correcta.
  • No es difícil suponer que cualquier programa de un tamaño descomunal no podría evitar tener vulnerabilidades que un hacker entregado acabará descubriendo.
  • Mucha gente confía en una sola contraseña para todos los usos.
  • Hace diez años, tenía control absoluto sobre la mayoría de las centralitas gestionadas por las compañías Pacific Bell, Sprint y GTE, entre otras. Imaginen el caos que un grupo terrorista con recursos habría podido causar con el mismo nivel de acceso.
  • Para los jóvenes hackers, las debilidades de la seguridad continúa siendo una invitación.
  • Es crucial mantenerse alerta de las novedades e instalar todos los parches o soluciones relacionados con la seguridad. Siempre que haya disponible un nuevo parche, deberá instalarse tan pronto como sea posible.
  • Defensa en profundidad. Debemos dar por hecho que nuestros sistemas de acceso público serán vulnerables a ataques de día cero en un momento u otro. Debemos crear un entorno que minimice los potenciales daños que podría causar un malintencionado. DMZ, los sistemas a los que el público tiene acceso estan aislados de los sistemas que manejan información confidencial de la red de la empresa.
  • Las empresas pued vigilar que la red o los hots individuales no registren actividades inusuales o sospechosas.
  • Una de mis recomendaciones básicas es utilizar una forma más segura de autentificación que las contraseñas fijas.
  • William: “No creo que haya nada que se pueda decir a un chico joven para que cambie, sino que se valoren a sí mismos y que nunca tomen el camino más corto”.
  • Uno de los desafíos más urgentes y que menos se abordan en la sociedad estadounidense actual, la mayoría de los delincuentes que salen de prisión se encuentran con el obstáculo casi insalvable de encontrar un trabajo, en especial, un trabajo suficientemente remunerado para mantener una familia.
  • No se debe fomentar que se comparta la información de cuentas de usuario o, mejor todavía, debe prohibirse por completo.
  • Pocos trabajadores cierran los ordenadores cuando salen del área de trabajo o utilizan contraseñas para el savapantallas o para el inicio.
  • Las contraseñas de los empleados no deben seguir un patrón que sea fácil de predecir.
  • Forme a sus empleados para que sepan enfrentarse con confianza a personas cuando no estén seguros de su identidad, especialmente en áreas restringidas.
  • Piense en deshabilitar todos los enchufes de red que no se utilicen para evitar accesos anónimos o no autorizados.
  • Todo empleado al que se haya entregado la carta de despido debe considerarse como un riesgo potencial.
  • Una norma de seguridad que prohíba la introducción de componentes de hardware sin previa autorización por escrito, aunque esté justificada en algunas circunstancias, es difícil de controlar.
  • Deben realizarse inspecciones periódicas para comprobar que no se haya conectado a las máquinas dispositivos inalámbricos, componentes registradores de tecleo o módems no autorizados, y que no se haya instalado otro software más que el autorizado.
  • Considere la posibilidad de utilizar software comercial para identificar programas malintencionados: spycop, pestpatrol y adware.
  • Reglas de “menos privilegios”, los usuarios y los programas deben disponer del mínimo posible de privilegios para realizar sus funciones.
  • No espere que todo el mundo vaya a respetar las reglas.
  • No olvide seguir buscando algo que haya podido pasar por alto. Hay quien cuenta con sus descuidos.
  • Los hackers siguen un camino dedicando una cantidad desorbitada de tiempo estudiando los sistemas informáticos, el software de los sistemas operativos, los programas de aplicaciones, las redes, etc. En su mayoría son autodidactas.
  • No quiero imaginar cúantos consultores en seguridad tienen un pasado secreto de hacker negro.
  • Cualquier que intente entrar en este campo sólo con lo que aprenda en clase requerirá mucha práctica, porque competirá con consultores que comenzaron su formación en este área a los 8 o 10 años.
  • Toda persona que esté en el campo de la seguridad tiene mucho que aprender de los hackers, los cuales pueden desvelar debilidades del sistema que serían embarazosas de reconocer y costosas de solucionar.
  • Muchos “profesionales” de la seguridad han sido hackers anteriormente.
  • Basta configurar incorrectamente un componente para provocar una grieta en la pared.
  • No utilizar nunca la misma contraseña, ni siquiera similar, en más de un sistema.
  • Cambiar las configuraciones predeterminadas.
  • El hacking es una habilidad. Cualquier puede adquirir esta habilidad de forma autodidacta.
  • Adrian: “El hacking gira enteramente en torno al ego. Tiene que ver con el potencial de tener una cantidad enorme de poder en las manos”.
  • Es necesario establecer un servidor dns interno para resolver los nombres de host de la red interna y, al mismo tiempo, establecer otro externo que contenga los registros de los hosts que el público utiliza.
  • La información del encabezado de un email puede ofrecer un tesoro de información.
  • Los servidores proxy deben configurarse para atender únicamente a la interfaz interna o una lista autorizada de direcciones externas ip de confianza.
  • Un servidor proxy mal configurado puede ser el mejor amigo de un hacker.
  • Dustin Dykes: “Los sistemas de seguridad tienen que ganar siempre, al atacante le basta con ganar sólo una vez”.
  • Cualquier empresa que pida una prueba de penetraciones y esper que los resultados confirmen que su seguridad está intacta y perfecta, con toda probabilidad tropezará con una amarga sorpresa.
  • Las empresas no ejercen la diligencia suficiente para proteger su información de propietario y sus sistemas informáticos.
  • Los cortafuegos de empresas rara vez están configurados para bloquear el tráfico saliente.
  • Si deseas entrar en un área segura, no hay nada mejor que mezclarse con un grupo de empleados conversadores cuando vuelven de la comida.
  • Revisar cuidadosamente todas las reglas de los cortafuegos para garantizar que cumplen la política de seguridad de la empresa. Recuerde que cualquiera puede suplantar fácilmente un puerto de origen. Cuando se escribe una regla basada en el puerto de origen se debe configurar el cortafuegos para permitir la conexión sólo con determinados servicios.
  • Es muy importante garantizar que tanto los directorios como los archivos tengan los permisos adecuados.
  • Una empresa nunca sabrá realmente cómo es de vulnerable hasta que autorice una prueba a escala global y sin obstáculos para la que se autorice la ingeniería social, la entrada física y los asaltos técnicos.
  • Juhan: “Si intentas que tus sistemas sean a prueba de tontos, siempre habrá otro tonto más ingenioso que tú”.
  • La seguridad en muchos de los bancos e instituciones financieras no es tan buena como los responsables imaginan.
  • Mucha gente, no sólo los particulares que no entienden de redes sino, incluso, los profesionales de informática, implementan una unidad nueva sin pensar si quiera en cambiar la contraseña predeterminada.
  • Restrinja los registros de usuario interactivos a las horas de trabajo.
  • Habilite auditorías al iniciar y al cerrar la sesión en cualquier sistema al que se pueda acceder de forma inalámbrica, por acceso telefónico por Internet o extranet.
  • Compruebe los sistemas a los que se pueda acceder desde el exterior para saber si hay software de control remoto.
  • Inspeccione minuciosamente todos los accesos que utilicen Windows Terminal Service o Citrix Metaframe.
  • La triste realidad es que mucho de los ataques no son ni ingeniosos ni inteligentes. Han logrado sus objetivos porque una parte notable de las redes de empresas no están correctamente protegidas.
  • Erik: “Si algo no funcionaba, intentaba otra cosa, porque sabía que habría algo que funcionaría. Siempre hay algo que funciona. Sólo hay que encontra lo que es”.
  • Los crackers habitan en un mundo oscuro y oculto en el que la moneda en circulación es el software robado. El robo de propiedad intelectual alcanza dimensiones que probablemente aturdan y asusten.
  • No son sólo los grandes los que te matan.
  • Erik pertenece a esa camada especial de hackers que ponen los ojos en la intrusión de un lugar concreto y persiguen esa tarea hasta conseguirla … aunque les lleve meses o años.
  • La gente es muy predecible a la hora de elegir nombres, de modo que es bastante sencillo encontrar los servidores.
  • Un denominador común en la mayoría de nosotros es que, cuando queremos hacer una copia de seguridad, buscamos que sea de una forma que nos resulte cómoda.
  • Ante un hacker lo suficientemente competente, decidido y dispuesto a dedicar todo el tiempo que haga falta resulta casi imposible mantenerlo alejado.
  • Erik: “Cuando alguien entra en tu red tan lejos como yo llegué en aquella red, nunca, nunca, jamás podrás sacarlo. El hacer estará allí para siempre”.
  • Los cortafuegos deben configurarse de modo que sólo permitan el acceso a los servicios esenciales, en función de las necesidades de cada actividad. El administrador deberá revisar periódicamente la configuración y los registros para verificar que no se hayan realizado cambios no autorizados.
  • Cuando sea conveniente, piense en la posibilidad de controlar el acceso a la VPN basada en la dirección ip del cliente.
  • Muchas organizaciones instalan tecnologías para prevenir y detectar intrusiones y esperan que la gestión de la tecnología sea automática y directa.
  • Será importante verificar regularmente la integridad de las herramientas de seguridad, de los scripts y de cualquier dato y que se utilice en combinación.
  • Muchas intrusiones son resultado directo de configuraciones incorrectas de los sistemas.
  • Muchos atacantes van acumulando numerosos avances nimios hasta llegar a comprometer todo el sistema.
  • El sondeo de puertos en Estados Unidos y en la mayoría de países es legal, por lo que el derecho a recurrir a los tribunales es muy limitado.
  • Deben realizarse tareas de gestión de sistemas para:
    • Inspeccionar la lista de procesos con el propósito de detectar si hay algún proceso extraño o desconocido.
    • Examine la lista de los programas autorizados para detectar que no se hayan añadido nuevos programas o realizado cambios no autorizados.
    • Examine el sistema de archivos para ver si se ha añadido o modificado algún archivo binario del sistema, script o programa de aplicaciones.
    • Investigue las posibles reducciones no justificadas del espacio libre en disco.
    • Compruebe todas las cuentas del sistema o de usuario que haya activas y elimine las cuentas no utilizadas o desconocidas.
    • Compruebe que las cuentas especiales instaladas por defecto están configuradas para denegar los accesos interactivos o procedentes de la red.
    • Compruebe que los directorios y archivos del sistema y tienen permisos de acceso adecuados.
    • Compruebe si hay actividades extrañas en los registros del sistema.
    • Analice los registros de servidor Web para identificar los posibles solicitudes de acceso a archivos no autorizados.
  • No confíe en las configuraciones predeterminadas cuando instale software de terceros.
  • La práctica más recomendable consiste en proteger suficientemente todos los recursos compartidos de la red que contengan información confidencial.
  • Durante el desarrollo de un programa, escriba código que no genere consultas SQL dinámicas.
  • Custodiar el perímetro electrónico de las redes de su empresa no es suficiente.
  • Coloque todos los sistemas de acceso público en su propio segmento de la red y filtre con cuidado el tráfico hacía segmentos de la red más confidenciales.
  • Mi constancia rendái frutos, porque siempre encontraba una grieta.
  • El arte de la guerra: “Conócete a tí mismo y conoce a tu enemigo, y en cien batallas nunca estarás en peligro”.
  • Aunque la presión de encontrar una respuesta inmediata puede justificar el uso de mañas tecnológicas provisionales, una empresa no se puede permitir que “temporal” signifique “definitivo”.
  • Es una locura tomar una decisión de seguridad basada en la “oscuridad”.
  • Garantizar que se filtran todas las redes que no sean de confianza en todos los puntos de acceso a todos los sistemas y dispositivos, evidentes o no.
  • Todas las contraseñas predeterminadas de los dispositivos deben cambiarse antes de que el producto o sistema entre en producción.
  • Con demasiada frecuencia se observa una tendencia a pasar por alto la seguridad de los portátiles y los ordenadores que tienen los empleados en casa para acceder a la red corporativa; deben ser seguros, de lo contrario, el sistema informático del empleado podría ser el punto débil que aprovechen los hackers.
  • Resumen de las vulnerabilidades más comunes:
    • Desarrollar un proceso para la gestión de los parches que garantice que se aplican a tiempo todas las soluciones de seguridad necesarias.
    • Para el acceso remoto a información o a los recursos informáticos utilizar métodos más fiables de autentificación que las contraseñas estáticas.
    • Cambiar todas las contraseñas predeterminadas.
    • Utilizar un modelo de defensa en profundidad para que una sola deficiencia no ponga en peligro la seguridad y poner a prueba periódicamente este modelo.
    • Fortalecer todos los sistemas clientes que accedan a información confidencial o a los recuros informáticos.
    • Utilizar dispositivos de detección de intrusiones para identificar el tráfico sospechoso o los intentos de explotar las vulnerabilidades conocidas.
    • Habilitar funciones de auditoría del sistema operativo y de las aplicaciones cruciales. Asegurar que los registros se conservan en un host seguro que no tenga otros servicios y que el número de cuentas de usuario es mínimo.
  • Dr Brad Sagarin, psicólogo social: “El ingeniero social emplea las mismas técnicas de persuasión que utilizamos todos los demás a diario pero el ingeniero social aplica estas técnicas de una manera manipuladora, engañosa y un poco ética, a menudo con efectos devastadores”.
  • El tipo de ataque más difícil de detectar y del que defenderse. El ingeniero social, o atacante diestro en el arte del engaño, se alimenta de las mejores cualidades de la naturaleza humana: nuestra tendencia natural a servir de ayuda y de apoyo, a ser educado, a colaborar y el deseo de concluir un trabajo.
  • Cuando te diriges a las personas de frente, casi siempre están más a la defensiva que si las dejas pasar a tu lado antes de dirigirte a ellas.
  • Muchos de nosotros tendemos a completar las lagunas de información cuando sólo recibimos algunas características de un rol, por ejemplo, si vemos a un hombre vestido de ejecutivo, suponemos que es inteligente, centrado y de confianza.
  • ¿Cuánta información hace falta hasta que la gente empiece a extraer conclusiones? No demasiada.
  • Establecer la credibilidad constituye el primer paso en la mayoría de los ataques de ingeniería social.
  • Llamar a alguien cinco minutos antes de que se acabe la jornada de trabajo, contando con que la ansiedad por salir a su hora de la oficina haga que la víctima acceda a una petición que, de otra forma, se habría cuestionado.
  • El factor humano es el punto débil de la seguridad de la información desde siempre.
  • Si todos los usuarios mejoraran sus contraseñas esta noche, y nos las dejaran apuntadas en un sitio fácil de encontrar, mañana amaneceríamos, de repente, en un mundo mucho más seguro.

Enlaces relacionados:

raul

3 comentarios to “El arte de la intrusión de Kevin D. Mitnick – Apuntes Breves”

  1. […] Últimos Posts Más Vistos Instrucciones del Sellado por Internet del Inem – Marzo 2009Mi Lucha de Adolf Hitler – Apuntes BrevesEl camino de las lágrimas de Jorge Bucay – Apuntes BrevesEl INEM accesible por Internet & Portal de Empleo de la Comunidad de MadridSelección de vídeos de YouTube [16]: Emilio Duró: El Coeficiente de OptimismoCómo vivir con un neurótico del Dr. Albert Ellis – Apuntes BrevesLos diez secretos de la Abundante Felicidad de Adam J. Jackson – Apuntes BrevesVivir hasta despedirnos de Elisabeth Kübler-Ross – Apuntes BrevesEmilio Duró: El Coeficiente de Optimismo – Apuntes BrevesEl arte de la intrusión de Kevin D. Mitnick – Apuntes Breves […]

  2. […] El arte de la intrusión de Kevin D. Mitnick. […]

  3. […] El arte de la intrusión de Kevin D. Mitnick. […]

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

 
A %d blogueros les gusta esto: