|
Comparte este artículo
Twitter
Digg
Del.icio.us
Slashdot
Furl
Yahoo
Technorati
Googlize this
Blinklist
Facebook
Wikio
Meneame
El enfoque usado por los expertos en tests de penetración Mike Bailey y Mike Murray se conoce con la frase: "cada minuto nace un tonto". Estos expertos, acostumbrados a usar exploits contra las debilidades en servidores y sitios web, prefieren usar técnicas de penetración “social”, más fiables y fáciles de usar para encontrar vulnerabilidades en las “fortalezas” construidas por los clientes. Este enfoque es válido incluso en aquellas organizaciones concienciadas en su seguridad, que incluso instruyen a sus empleados sobre las formas más comunes de engaño.
Bailey afirma que, aunque le gusta encontrar exploits que permitan realizar cosas grandiosas, por ejemplo a través de ataques de cross-site scripting(XSS) o cross-site request forgery(CSRF), en la actualidad casi nunca los usa en los tests de penetración porque todo lo que ha de hacer es mandar un simple enlace malicioso...
Su principal método de acción es muy simple: manda a los empleados correos electrónicos informándoles que están testeando la fortaleza de sus contraseñas de acceso a través de una nueva web. Se les indica que sigan un link incorporado en el correo y que introduzcan sus credenciales. La tasa de éxito: el 50%.
Este comportamiento no es algo nuevo. Se basa en la tendencia de los humanos a confiar en los demás; la supervivencia a lo largo de los milenios depende de nuestra habilidad de trabajar en grupos. Los hackers que saben esto pueden usarlo para acceder a los recursos más preciados de las empresas.
La parte social de la industria es la que nunca se parchea. Y no importa lo preparados que creamos estar: todos podemos caer. Y para muestra, lo que ocurrió el año pasado con Darren Berkovitz, CEO de StrongWebMail. Bailey y otros dos hackers ganaron 10.000$ al entrar en su cuenta de correo. La vulnerabilidad XSS que encontraron sólo podía ser explotada si la víctima pinchaba en un link cuando estaba logada en su cuenta. Lo consiguieron mandándole un correo con el siguiente tema: “pensamos que hemos ganado el concurso”, con el link de ataque en el cuerpo. Berkovitz mordió el anzuelo y ellos ganaron el premio.
