¿Mucha Seguridad?

Cuantos de nosotros hemos tenido que entrar a instituciones de gobierno donde la seguridad es "máxima", no lo se, ni se cuanta seguridad sea suficiente en nuestros días, y no se trata de caer en la paranoia americana de revisar hasta el último detalle a cada una de las personas que acceden a un lugar. Pero, alguien, alguna vez al firmar con su nombre en una de esas famosas "bitacoras" (Esos libros de diario mayor, de colores que son llenadas con todo tipo de datos) ah intentado registrarse como ¿Vicente Fox?, agluno de nuestros estimados policias estan listos para hacer una revisión y determinar ¿quienes fueron las personas que entraron al edificio?

Uno de los sistemas de seguridad con mas control que he visto, es el que esta en el palacio de Gobierno de gobierno del estado de Hidalgo, ahi tienes que entregar una credencial y no eres tu quien se registra, sino una persona atraves de un sistema, de esta forma, por lo menos se verifica que las personas que entran al edificio por esa puerta, son quienes dicen ser (A menos que consigas una de esas credenciales de elector falsas), sin embargo, pasar al edificio, implica pasar por un detector de metales.

De ahi en fuera, les invito a probar la seguridad de sus propios edificios, registrense con nombres de personajes y veran que las personas encargadas de esa seguridad, no tienen ni la menor idea de quien esta accediendo al lugar.

Suplantar identidad de correo electrónico

¿Es posible suplantar una dirección de correo electrónico?, la respuesta es si, en realidad es algo sencillo, y si ademas nos auxiliamos de la ingenieria social, resulta no solo en la suplantación de identidad, sino en la obtención de información sensible a traves del usuario.

¿Como es esto posible?, la mayoría de los usuarios al leer un correo ven que este proviene de una dirección de alguien que conocen y ya, incluso cuando responden sobre ese mismo correo, no se llegan a dar cuenta que la respuesta se dirige hacia una cuenta distinta a la que se origino. De esta forma, un atacante, puede obtener información sensible del usuario.

¿Como saber que un correo es autentico?, la mejor manera de saber que un correo es autentico, es utilizando firmas PGP, sin embargo, esto aún no es del dominio de los usuarios en general por lo que puede resultar una buena solución a nivel empresarial, donde se cuente con pernsonal que realice la configuración de los clientes PGP y realice la entrega y recepción de las llaves públicas y privadas.

¿Pero como un usuario normal puede verificar la autenticidad de un correo?, simple, si utiliza correo público como Hotmail, Yahoo, etc, en las opciones de visualización de correo, solo habilite las opciones encabezado avanzado, esto le permitira ver como parte del mensaje si es que el correo proviene realmente de la cuenta que dice venir.

¿Mas sencillo?, al dar Reply o Responder, verifique que la dirección a la que lo esta haciendo, corresponda a la que le esta enviando, de otra forma, inicie un nuevo mensaje y teclee la dirección de la persona a la que quiere dirigir el mensaje.

El eslabón más débil

En la actualidad las empresas e instituciones en nuestro país están empezando a invertir cantidades importantes en asegurar su información, sin embargo, los miles de pesos invertidos, muchas veces no son suficientes para detener a los atacantes, ¿la razón?, el eslabón mas débil en un esquema de seguridad somos nosotros, los usuarios.

Mientras que para cualquier sistema operativo o base de datos, o equipo de seguridad existen firmas y actualizaciones que garantizan que los equipos son confiables, para los seres humanos esto no es posible. De esta forma, tenemos usuarios cuyas vulnerabilidades al ser descubiertas no pueden ser del todo "parchadas" como decimos en este ambiente de la seguridad, y aunque para los que estamos dedicados a la seguridad no nos es difícil identificar cuando un usuario no ha recibido sus actualizaciones, para los administradores de red, resulta algo complicado.

Su trabajo se basa entonces en tratar de "parchar" (Léase en el sentido de aplicar una actualización de seguridad) al usuario que ya ha cometido un error. Así, es común que un usuario (algunos les decimos de cariño uzooarios) permita pasar un malware en su maquina, a pesar de las advertencias de seguridad que nuestro programa antivirus centralizado con análisis ehurístico de datos activado, firmas descargadas en tiempo y forma, si el usuario acepta la instalación del programa nada se puede hacer.

Hace poco, revisando una de las tantas cuentas de correo que manejo, resulta que recibo una de las famosas cadenas en las que Bill Gates va a regalar una parte de su fortuna por cada correo que sea reenviado desde cierta dirección. Además de que este tipo de correos no pueden ser rastreados al nivel de que Bill Gates les vaya de la noche a la mañana a notificar por ese medio que ya llevan acumulados $1000 USD, (Si se puede hacer un rastreo de un correo, sabiendo por que servidores paso con las cabeceras del mensaje) son solo cuentas de correo que hablan de una identidad en la red, no de la identidad de la persona en realidad, lo que nos lleva a otros puntos a analizar en otra ocasión.

El caso es que en este correo que me hicieron favor de reenviar, venían anexadas direcciones de gente de Gobierno del estado, incluso a nivel de secretarios de estado (Si quizá solo eran las direcciones oficiales, pero no dejan de estar en riesgo de sufrir denegación de servicio o suplantación de identidad, por que se puede generar un correo diciendo que viene del secretario de Gobierno del estado y la dirección será la correcta!)

Por esto, es importante que los administradores sepan (Bueno ok, se que ya lo deben saber, pero ahora es importante que los usuarios se enteren) que el eslabón mas débil en la cadena de seguridad de una empresa, es sin duda, el ser humano.

Pharming

Si hasta ahora uno de los fraudes más extendidos era el phishing, consistente en engañar a los usuarios para que efectúen operaciones bancarias en servidores web con el mismo diseño que un banco online, el pharming entraña aún mayores peligros. Básicamente, consiste en la manipulación de la resolución de nombres en Internet, llevada a cabo por algún código malicioso que se ha introducido en el equipo.

Cuando un usuario teclea una dirección en su navegador, ésta debe ser convertida a una dirección IP numérica. Este proceso es lo que se llama resolución de nombres, y de ello se encargan los servidores DNS (Domain Name Server). En ellos se almacenan tablas con las direcciones IP de cada nombre de dominio. A una escala menor, en cada computadora conectada a Internet hay un archivo en el que se almacena una pequeña tabla con nombres de servidores y direcciones IP, de manera que no haga falta acceder a los DNS para determinados nombres de servidor, o incluso para evitarlo.

El pharming consiste en modificar este sistema de resolución de nombres, de manera que cuando el usuario crea que está accediendo a su banco en Internet, realmente está accediendo a la IP de una página web falsa.

La estrategia del acecho

El phishing debe su éxito a la ingeniería social, aunque no todos los usuarios caen en estos trucos y su éxito está limitado. Y además, cada intento de phishing se debe dirigir a un único tipo de servicio bancario, por lo que las posibilidades de éxito son muy limitadas. Por el contrario, el pharming puede atacar a un número de usuarios muchísimo mayor.

Además, el pharming no se lleva a cabo en un momento concreto, como lo hace el phishing mediante sus envíos, ya que la modificación de DNS queda en una computadora, a la espera de que el usuario acceda a su servicio bancario. De esta manera, el atacante no debe estar pendiente de un ataque puntual, sino que el usuario mismo es quien decide el momento.

Phising en Banamex.com

Se esta distribuyendo en México un correo que dice provenir de una cuenta de Banamex, de hecho el correo dice provenir de: mailbanamex.com, sin embargo, si tenemos habilitados los encabezados avanzados en la cuenta de hotmail, o en nuestro Cliente de correo pedimos ver la codificación, podremos ver algo como lo siguiente:
------------------------------------------------------------------------
MIME-Version: 1.0
Received: from server1.wesped.com ([205.177.74.85]) by bay0-mc3-f8.bay0.hotmail.com with Microsoft SMTPSVC(6.0.3790.1830); Sun, 9 Apr 2006 13:41:55 -0700
Received: from amas by server1.wesped.com with local (Exim 4.52)id 1FSgjK-0004gK-Blfor rotoledo@hotmail.com; Sun, 09 Apr 2006 22:41:54 +0200
Sender:
X-Message-Info: JGTYoYF78jHS3c53r1R0nHCJUD+XyNXiYqxd9V/wYF8=
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname - server1.wesped.com
X-AntiAbuse: Original Domain - hotmail.com
X-AntiAbuse: Originator/Caller UID/GID - [32029 32030] / [47 12]
X-AntiAbuse: Sender Address Domain - server1.wesped.com
X-Source:
X-Source-Args:
X-Source-Dir:
Return-Path: amas@server1.wesped.com
X-OriginalArrivalTime: 09 Apr 2006 20:41:55.0683
---------------------------------------------------------------------
Con lo que podremos observar claramente que el correo en realidad proviene de un dominio llamado, wesped.com, que solo es un servidor sin configurar, y podemos ver que el correo al que se envia respuesta es: amas@server1.wesped.com

Sin embargo el mail a todas vistas parece legitimo, pero, cuando damos clic a uno de los vinculos de Banca Net, en realidad nos lleva al siguiente sitio:

htp://www.banaimex.com

Observe cuidadosamente, el sitio tiene una letra "i" de mas, pero si usted accesa al sitio, lo que sucede es que lo lleva al lugar donde se logea para hacer operaciones de banca por Internet.

¿Que sucede?, al momento en el que usted entra en el sitio falso, y teclea su nombre de usuario y contraseña, esta es enviada por un formulario a una dirección de Internet, y su navegador lo vuelve a dejar en el sitio de Logeo de Banamex, pero esta vez en el sitio valido.

Tenga mucho cuidado, que estos mensajes y el sitio, a la fecha, siguen funcionando.

Si desea mas información escribame a: rtoledo@techlink.com.mx

Ingeniería Social

El Arte de hacer que otras personas hagan lo que nosotros deseamos sin que ellos se den cuenta que lo estan haciendo.

Se que muchos diran, ¿a mi?, ¿quien me va a obligar a hacer algo que no quiero hacer?. Precisamente ese es el arte de la Inegniería Social.

En este sitio podrá encontrar información sobre los ataques a la seguridad basados en técnicas diversas de Ingeniería Social, una de las mas utilizadas en la actualidad para vulnerar la seguridad de las redes y las personas en Internet.

Los ataques ahora se estan basando en metódos orientados a los usuarios, debido a la poca atención que esto ponen a lo que realizan en Internet.

Esperemos este sitio sea de utilidad para todos aquellos que queremos hacer de Internet un lugar seguro para existir y co-existir, o como dice mi heramana (esse et co esse).

Lic. Rolando Calderón Toledo

Consultor en Tecnologías de Información.