domingo, 14 de mayo de 2006

Morenas, anguilas y otros bichos...

Leo vía Sergio Hernando un post del blog de la gente de Hispasec relacionado con las técnicas de ingeniería social para camelarse al ingenuo usuario y hacer que ejecute código malicioso. En concreto, lo que se viene a comentar es que el sexo es uno de los anzuelos que más facilmente hace picar al usuario final.

El motivo del post es que en el blog hay una captura de video
de la demo realizada por el equipo de Microsoft (Padre Parada y Chema Alonso) para ese Security Days de Microsoft que utilizaba una foto de una "morena" impresionante para colar un troyano que permite hacer phishing de bancos brasileños.



El vídeo es curioso de ver para tener un ejemplo real de en qué consisten estas técnicas y qué efectos producen.
También quiero comentar lo interesante que son estos Security Days en el plan en que lo está haciendo Microsoft. Dado que saben que la seguridad a día de hoy es publicidad negativa para la compañía, creo que con buen acierto tratan de hacer ver que gran parte del problema reside en el factor humano y el desconocimiento técnico de las opciones de configuración que en materia de seguridad tienen los productos de Microsoft.
Fuera de la polémica sobre si es más o menos seguro Windows que Linux, evidentemente lo que si está claro es que un producto mal configurado o medio configurado es menos seguro que un producto correctamente parametrizado ya sea sobre plataforma Linux o sobre plataforma Microsoft.

Estos Techdays son eventos entretenidos, técnicamente interesantes y sobre todo muy prácticos, haciendo demostraciones reales y en vivo de las vulnerabilidades existentes, aunque ya no se si los asistentes van porque quieren proteger mejor sus sistemas o aprender a atacar a sus vecinos. En cualquier caso, la dinámica poli bueno-niño malo que desarrollan Padre Parada y Chema Alonso funciona muy bien, y los comentarios y la soltura de Chema Alonso a la hora de explicar y desmenuzar la complejidad técnica de algunos de estos experimentos hacen que la gente vea donde están los problemas y cuales son las correctas configuraciones. En cualquier caso, cualquier esfuerzo por motivar y concienciar al personal siempre es bienvenido. Creo que Microsoft da un paso muy certero con esta iniciativa y con todas las relacionadas con explicar y documentar cuales son las claves a la hora de instalar y configurar sus sistemas.
 
;