Archivo

Posts Tagged ‘banco’

Ethical Hacking , Analisis de Vulnerabilidades, pruebas de penetracion?

agosto 2, 2011 Deja un comentario

La tarea más importante como profesionales de seguridad dentro de nuestra organización es proteger y asegurar la información de manera efectiva. Existen muchos factores y tareas específicas pero básicamente la premisa es esa. Una vez que logramos tener un nivel aceptable de seguridad, esto es siguiendo un marco de referencia o estándar internacional, contar con políticas y procesos claros, responsabilidades asignadas e identificadas, entre otros, se debe evaluar el punto de vista de un atacante.

Una prueba de penetración o pentest simula los pasos a seguir para tomar control de los activos críticos de nuestra organización. Esto puede tener diferentes perspectivas, ya que muchas veces, dicho atacante puede ser un trabajador interno, un competidor, un externo con motivaciones sociales y políticas o parte de un grupo del crimen organizado.

De acuerdo con cifras del “2010 Data Breach Investigations Report,” que toma en cuenta más de 900 fugas de información y 900 millones de registros personales comprometidos realizado por Verizon y el Servicio Secreto de Estados Unidos, encontró que 69% de los incidentes estaban ligados a elementos externos, mientras que el resto, 49%, a personal dentro de la organización.

Hace 10 años, los análisis de vulnerabilidades se realizaban de manera mucho más directa. Inicialmente se detectaba un error de configuración o falla en aplicaciones y sistemas operativos. Posteriormente se atacaba con códigos y programas típicamente obtenidos de manera gratuita. Una vez que se lograba el acceso al equipo y de ahí a la red interna, se copiaban archivos y se dejaban algunas pruebas, como evidencia. Este era un proceso eficiente, ya que la mayoría de las ocasiones las herramientas correctas hacían el trabajo.

Las organizaciones en la actualidad tienen tecnología como detectores de intrusos, antivirus, firewalls, encripción y protocolos más seguros, por tanto los criminales han buscado nuevos vectores de ataque que les permiten atacar a grandes organizaciones identificando sus puntos débiles. Es importante desarrollar cualidades y capacidades en las personas encargadas de la administración de redes, programadores y usuarios finales de todos niveles.

A continuación algunos de los puntos clave para realizar una prueba de penetración en nuestra organización:

  • Identificar activos: Listar cada una de los valores del negocio, estos incluyen el capital humano, equipos, aplicaciones, documentación, entre muchos otros activos que se deben conocer y analizar de manera objetiva.
  • Asignar valores: ¿Cómo cumple su misión la organización? La organización debe ser consciente de la importancia de cada una de las piezas y analizar algunos casos extremos donde se deba prescindir de ciertas capacidades.
  • Administrar riesgos: ¿Existe manejo y administración de riesgos?, ¿Se encuentran los controles para mitigar riesgos?, ¿Qué es lo peor que puede pasar? Conocer las amenazas reales del negocio.
  • Entrevistar al personal: ¿Cuentan con capacitación para realizar sus funciones?, ¿Cuál es su nivel de conocimiento acerca de las políticas y reglas de la organización?, ¿Conoce cuáles son los riesgos del negocio? Es importante evaluar su desempeño, actitud hacia el trabajo y objetivos a corto y largo plazo.
  • Mejora continua: Se debe tener un proceso continuo de evaluaciones, donde se tenga un ciclo de planeación, implementación y revisión de resultados que permita ajustar los objetivos de tecnología con los del negocio.

 

Ataca con todo tus propios sistemas!!!!

 

Anuncios

Vishing y Smishing

septiembre 7, 2010 Deja un comentario

Conceptos:

Vishing: Esquema de robo de identidad parecido al phishing, solo que en esta modalidad se utiliza la voz (por ello la V de Voice en la palabra)

Smishing: Esquema de robo de identidad parecido al phishing, solo que en esta modalidad se utilizan los mensajes cortos de texto vía celular SMS.

El modus operandi es el siguiente, el cliente de la entidad financiera (banco, mutual, cooperativa, etc), recibe una llamada (en el caso de vishing) o un mensaje de texto en su celular (en el caso de smishing), pidiendo se contacte a u numero especifico para regularizar los datos que se tienen registrados.

Si el cliente llama o mensajea al numero entregado con intenciones fraudulentas, una maquina contestadora, luego de identificarse como un servicio de voz o SMS,  le pedirá ingrese sus datos de acceso ya sea a banca por internet o banca móvil.

Listo, el delincuente tiene los datos con los que puede realizar transferencias entre cuentas y vaciar la cuenta del cliente.

Tendencias y enfoques de contención de ataques:

Lo complicado en este caso, es que algunos bancos, realmente utilizan contestadores que llaman para promociones, o envían SMS’s instándote a llamar para algún tema (en un intento precisamente de evitar el pishing).

En todo caso, las recomendaciones son las habituales para este tipo de cosas:

  • Desconfía en todo caso si en el correo te piden alguna información, o si el mensaje no es claro.
  • Colgemos y llamemos nosotros. Utilizar siempre números de teléfono de nuestra confianza, los habituales en nuestra relación con la compañía. Si el banco dispone de un teléfono de atención, llamemos nosotros siempre a ese número y confirmemos la llamada recibida. En la web del banco o de la compañía (por supuesto, la web que conocemos, no la que ponga el correo) suele aparecer un número de teléfono de atención al cliente.

En estos casos la educación del cliente sigue siendo el mejor remedio. Sin embargo nuestra responsabilidad como profesionales de seguridad esta en la adecuada protección de las bases de datos de clientes, pues estos ataques son mucho menos efectivos si son genéricos.

Alvaro Cuadros

Certified Information Systems  Security Professional