DEJA UN MENSAJE

COMUNITARIO

neobux

domingo, 15 de mayo de 2011

Breves conceptos sobre la Ingeniería Social

6:52 a. m.     Deje su Opinión

REPÚBLICA BOLIVARIANA DE VENEZUELA

Prensa Digital Notic Voz El Cajigalence


Prensa Digital Notic Voz El Cajigalence



POR: SeguridadInformatica.es


¿Que es la Ingeniería Social?
Básicamente se denomina ingeniería social a todo artilugio, tretas y técnicas más elaboradas a través del engaño de las personas en revelar contraseñas u otra información, más que la obtención de dicha información a través de las debilidades propias de una implementación y mantenimiento de un sistema.
El único medio para entender como defenderse contra esta clase de ataques es conocer los conceptos básicos que pueden ser utilizados contra usted o su compañía y que abren brechas para conseguir sus datos. Con este conocimiento es posible adoptar una aptitud más saludable que lo alerte sin convertirse en un ser paranoico.

¿Y en qué me afecta esto?
La ingeniería social se concentra en el eslabón más débil de cualquier cadena de políticas de seguridad. Se dice a menudo que la única computadora segura es aquella que nunca será encendida. El hecho que usted pudiera persuadir a alguien para que le suministre su numero de tarjeta de crédito, puede sonar como un algo poco factible, sin embargo suministra datos confidenciales diariamente en distintos medios, como el papel que arroja a la basura o el sticker adhesivo con su password (contraseña) debajo del teclado. También el factor humano es una parte esencial del juego de seguridad. No existe un sistema informático que no dependa de algún dato ingresado por un operador humano. Esto significa que esta debilidad de seguridad es universal, independiente de plataforma, el software, red o edad de equipo.
Cualquier persona con el acceso a alguna parte del sistema, físicamente o electrónicamente, es un riesgo potencial de inseguridad.

¿Un problema grande?
Constantemente los profesionales de seguridad indican que la seguridad a través de la oscuridad (se denomina así a la seguridad que se basa en el desconocimiento y el ocultamiento de fallas, en lugar de preverlas y solucionarlas) es la peor opción a elegir.
Casi cada ser humano tiene las herramientas para intentar una ingeniería social, "el ataque", la única diferencia es la habilidad y conocimientos al hacer el uso de estas herramientas.

Los métodos
Intentando persuadir a un individuo para completar un objetivo o tarea se pueden usar varios métodos:
El primero y más obvio es simplemente una demanda directa, donde a un individuo se le pide completar su tarea directamente. Aunque probablemente tenga menor éxito, éste es el método más fácil y el más sincero. El individuo sabe lo que usted quiere que ellos hagan exactamente.
El segundo método es ejecutado indirectamente en una situación previamente ideada donde el individuo es simplemente una parte de la misma. El mismo puede ser persuadido porque cree en las razones suministradas. Esto involucra mucho más trabajo para la persona que hace el esfuerzo de la persuasión, y casi ciertamente se involucra obteniendo un conocimiento extenso del ' objetivo'. Esto no significa que las situaciones no tienen que ser basadas en hecho real . Cuando menos falsedades, mayor la factibilidad de que el individuo en cuestión juegue el papel que le fue designado.
Una de las herramientas esenciales usadas para la ingeniería social es una buena recolección de los hábitos de los individuos.

Las situaciones
La ingeniería social se dirige a los individuos con menos conocimientos, dado que los argumentos y otros factores de influencia tienen que ser construidos generando una situación creíble que el individuo ejecute.
Algunos ejemplos que se pueden citar:
- La ejecución de un virus troyano por parte del usuario, adjunto a un correo electrónico enviado por una casilla que le es familiar o simplemente con un interesante título al destinatario como "es divertido, pruébalo", "mira a Anita desnuda", etc.
- La voz agradable de un hombre o mujer, que pertenece al soporte técnico de nuestra empresa o de nuestro proveedor de tecnología, que nos requiere telefónicamente de información para resolver un inconveniente detectado en nuestra red.
- El llamado de un usuario que necesita que se le asignen nuevamente su clave porque la ha cambiado durante el transcurso del día y no la recuerda.
Esto son burdos ejemplos, citados simplemente para graficar algunos conceptos anteriormente explicados. No es objetivo de este artículo un análisis profundo de este tema, sino simplemente presentar al lector un panorama general sobre los aspectos más simples que rodean al manejo de la información.

El envolvimiento
Sin embargo, el éxito depende mucho de cómo esté involucrada, la persona a la que Ud. le pida, en lo que esté haciendo. Nosotros podemos definir a los administradores del sistema, analistas de seguridad, técnicos, las personas a las que se le confían herramientas de trabajo esenciales o comunicación, están muy envueltas en los ataques diseñados por otros expertos de las computadoras.
Se clasifican las personas con nivel bajo si ellos tienen el interés muy pequeño en qué usted está pidiéndoles que hagan. Los ejemplos pertinentes podrían ser los guardias, limpiadores, o recepcionistas con acceso a computadora. Porque no es probable que las personas de bajo envolvimiento se sientan afectadas directamente por una demanda, ellos tienden a no molestarse analizando una petición. En cambio es común para una decisión estar de acuerdo con su demanda. Tal información podría ser simplemente el número de razones que el ingeniero social enumera, la urgencia clara de la demanda o el estado de la persona que intenta realizar la persuasión. Básicamente, las personas que no conocen el razonamiento de un ingeniero social, se persuadirán más por el número de argumentos o demandas en lugar de verificar la factibilidad de cómo deberán ser resueltas.
Afianzando contra los ataques humanos
Con toda esta información ¿cómo hacer a su computadora o su sistema más seguro?
Un buen primer paso es crear conciencia de la seguridad a todo quien forme parte del trabajo (aunque no tengan acceso a la computadora).
Sin embargo, la mejor defensa contra esto, como con la mayoría de las cosas, es la educación. Explicando a los empleados la importancia de la seguridad de la computadora y sus datos, advertirles que son responsables directos por su contraseña y lo que hagan con ella, es un eficaz y sabio primer paso.
Recuerde, dar ambos lados de la historia al educar a las personas sobre la seguridad de los datos. Esto no es sólo un prejuicio personal. Cuando los individuos conocen ambos lados de un argumento ellos probablemente pueden ser disuadidos y consultar ante una dudosa petición. Y si ellos están envueltos en la seguridad mínima de la computadora, su elección es probable que esté en el lado de afianzar sus datos.

La conclusión
Contrariamente a la creencia popular, es a menudo más fácil de utilizar a las personas, que explotar vulnerabilidades o malas implementaciones de un sistema. Pero toma más esfuerzo educar a los usuarios para que puedan prevenirse y descubrir los esfuerzos a la ingeniería social que afianzar la seguridad operativa con el administrador del sistema.
A los Administradores, no permita que el eslabón humano en su cadena de seguridad desgaste su trabajo.
Al lector y usuario medio, asesórese sobre políticas de seguridad para sus datos, como así también consulte si su empresa tiene implementadas tales medidas.
This posting includes an audio/video/photo media file: Download Now

Cómo proteger información confidencial mediante el cifrado de archivos con EFS
Posted: 14 May 2011 05:00 PM PDT
Quizás no sea suficientemente conocido el sistema de cifrado de archivos o carpetas incluido en los sistemas Windows bajo el nombre de EFS (Encryption File System).

La manera de proceder para cifrar información contenida en una partición NTFS no puede ser más sencilla y transparente para el usuario, que ni siquiera tiene que crear o recordar una contraseña para cifrar y descifrar los archivos.

Vamos a describir primero los pasos a seguir para cifrar el contenido de una carpeta (licencias) donde guardamos una copia de archivos de licencias de software.

1. Desde el explorador de archivos seleccionamos la carpeta a cifrar (en nuestro ejemplo "licencias") y pulsamos el botón derecho.

2. Pulsamos sobre opciones avanzadas

3. Marcamos el checkbox "cifrar contenido para proteger datos"

4. Aplicamos el cambio a la carpeta seleccionada y a todos las subcarpetas y archivos que contiene.

5. Al pulsar sobre aceptar en las pantallas siguientes, la carpeta ha quedado cifrada y como referencia es mostrada en color verde.

Para el usuario, el acceso a la carpeta y a los archivos que contiene es completamente transparente y de manera automática cualquier nuevo archivo o carpeta que sea añadido a la carpeta inicial (licencias) será cifrado.

Ahora bien, algunas de las preguntas que podemos platearnos pueden ser:

• ¿Están realmente cifrados los archivos?
• Si copiamos uno de estos archivos a un pendrive o lo enviamos por correo electrónico, ¿el archivo se copia o envía cifrado?
• ¿Cómo podrá entonces descifrarlo su destinatario?

La respuesta más general a estas preguntas sería entender que en realidad el sistema EFS "no cifra el archivo en sí", y su función es proteger el acceso al archivo para cualquier otro usuario que no sea el que realizó el proceso.

Por ello es muy importante tener en cuenta que si el archivo se copia a una partición no NTFS, una memoria USB o se envía por ejemplo por correo electrónico, ¡el archivo se descifra antes de realizarse la copia o movimiento! por lo que deja de estar cifrado.

Sin embargo, si iniciamos sesión con un usuario diferente o sin iniciar sesión, montamos en otro equipo el disco duro que contiene la carpeta cifrada, ¡no podremos recuperar su contenido! y solo inciando sesión en el sistema con el mismo usuario será posible acceder a la información.

¿Y si alguien tuviera acceso a nuestro equipo (por pérdida o robo del mismo) y consiguiera iniciar sesión como administrador a través de alguna utilidad en LiveCD de restablecimiento o eliminación de la contraseña del administrador?

En esta situación cabe pensar que, una vez de tener los permisos de administrador, bastaría con resetear la contraseña del usuario que aplicó el cifrado para así poder iniciar sesión con esa cuenta de usuario y acceder de forma transparente a la carpeta cifrada ¿No?.

El sistema EFS está preparado para prevenir esta situación, de manera que si se detecta un "forzado" del cambio de la contraseña del usuario (esto es, no es el propio usuario quien ha actualizado su contraseña) !No es posible acceder a los datos cifrados por el usuario hasta que se restaure la contraseña inicial del usuario en el momento del proceso de cifrado!.

¿Cómo funciona entonces EFS?


El cifrado EFS se basa en la combinación del cifrado simétrico, utilizando una clave para cifrar y descifrar el archivo y protegiendo esta clave mediante la utilización de cifrado asimétrico (clave pública/privada) mediante la generación automática de un certificado digital emitido a nombre del usuario.

Así, la primera vez que en nuestro equipo ciframos una carpeta o archivo, se produce el proceso siguiente:

1. Se genera una clave que se utilizará para el cifrado simétrico del archivo (con algoritmo AES de 256 bits), esta clave se llama FEK (File Encryption key) y se almacena físicamente con él.
2. Esta FEK es a su vez cifrada con la clave pública del usuario.

La claves públicas y privadas del usuario se generan de forma transparente la primera vez que se cifra un archivo y son registradas en un certificado emitido a nombre del usuario y almacenado en el almacen de certificados “personal”. Los certificados registrados son accesibles desde la consola certmgr.msc


Es importante tener en cuenta que es este certificado el que nos permitirá acceder a la clave simétrica generada por el sistema utilizada para cifrar/descifrar el archivo, por lo que si borramos este certificado ¡No podremos descifrar los archivos! a menos que hayamos realizado una copia de seguridad del certificado.

Este proceso de copia de seguridad del certificado puede realizarse desde la consola anterior (certmgr.msc) desde la opción “Todas las tareas-->Exportar” accesible con el menú del botón derecho sobre el certificado y seleccionando la opción “exportar clave privada”.
o a partir de Windows 7 mediante el asistente accesible desde el menú lateral de cuentas de usuario:

El fichero exportado tendrá la extensión .pfx (personal file exchange) y por seguridad lo guardaremos fuera del propio equipo (aunque su importación queda igualmente protegida por la necesidad de utilizar una contraseña definida por el usuario en el momento de la exportación).

De esta manera se protege información confidencial almacenada en nuestro equipo aplicandose el principio de SSO (Single Sign On) de forma que no sea necesario recordar otra contraseña o realizar otra segunda autenticación para descifrar los archivos, ya que simplemente por acceder al sistema con nuestra cuenta de usuario y contraseña tendremos un acceso transparente a nuestros archivos cifrados.

Una vez más debemos insistir en la importancia de seleccionar una contraseña larga y compleja para nuestra cuenta de usuario (se recomienda un mínimo de 12 caracteres que combinen letras, números y algún carácter especial), ya que esta contraseña será la única barrera para acceder al sistema y con ello a los archivos cifrados con EFS.

This posting includes an audio/video/photo media file: Download Now






Editor: Teólogo–Informático: Roberto Romero PRENSA DIGITAL NOTIC-VOZ "EL CAJIGALENCE" Yaguaraparo, Municipio Cajigal, Estado Sucre, Venezuela. Dirección Internet: http://robertoromeropereira.blogspot.com/

0 comentarios :

Publicar un comentario

PUEDES DEJARNOS SUS COMENTARIOS, GRACIAS.

Gana Dolares con Neobux