lunes, 12 de junio de 2006

Ingeniería social vía memorias USB

Leo por dos vías diferentes la misma noticia relacionada con el uso de la ingeniería social y los dispositivos USB. Ya Bruce Schneier el año pasado advertía de los riesgos en materia de seguridad derivados de la pérdida de este tipo de dispositivos utilizados como medio de transporte de grandes volumenes de información a menudo sensible en el artículo Risk of losing.

Esta semana se hace eco también de una noticia también publicada en Microsiervos en relación a unas pruebas realizadas por una consultora Dark Reading en una auditoría de seguridad informática en donde han utilizado como técnica la ingeniería social y los dispositivos móviles.
La prueba ha sido sencilla. Tal como cuenta Microsiervos, "cogieron veinte memorias USB de propaganda, las llenaron con archivos de varios tipos, incluyendo un troyano que una vez ejecutado en un ordenador empezaría a enviar información a los ordenadores de Dark Reading, y los fueron dejando «olvidados» en el aparcamiento, zonas de fumadores y otros sitios de la empresa bajo auditoría. De las veinte memorias, quince fueron encontradas por empleados de la empresa en cuestión, y las quince terminaron por ser enchufadas en ordenadores conectados a la red de la empresa, ordenadores que en seguida empezaron a enviar datos a Dark Reading que les permitieron entrar en sus sistemas sin ningún problema.

Durante una auditoría de seguridad informática en una empresa que se dedica a conceder créditos en la que los responsables de ésta se mostraron especialmente preocupados por el factor humano y lo fácilmente que en el pasado sus empleados habían revelado claves o compartido información, así como el riesgo de seguridad que suponen las memorias USB, la gente de Dark Reading, la empresa que llevó a cabo la auditoría, consiguió entrar en los sistemas y averiguar todo tipo de información utilizando un truco la mar de sencillo.

La historia completa está en Social Engineering, the USB Way."

No se ya las veces que el factor humano ha sido objeto de post en este blog, pero es que las historias se repiten una y otra vez. Por un lado, desde los responsables de sistemas el atajo al problema pasa por empezar a inventariar y controlar los dispositivos que son autorizados a ser conectados en los sistemas de información de la empresa, pero por otro, todo usuario debe ser a estas alturas conscientes de que si no se permite la ejecución de archivos extraños que llegan por correo electrónico, mucho menos de archivos encontrados sobre dispositivos externos y ajenos.



Como siempre conviene aprender de los errores ajenos, a continuación y gracias al blog Gurú de Informática os adjunto tres brico-consejos de seguridad para evitar los riesgos anteriormente comentados:

PRIMERO: Evitar que suceda. Cómo bloquear dispositivos USB en Windows.
Los dispositivos USB de almacenamiento, son muy prácticos, pero pueden resultar un problema de seguridad, porque nos pueden infectar de virus o porque pueden ser un medio para llevar información critica del sistema, si queremos bloquear el uso de USB en algunas maquinas, como servidores o maquinas que posean información relevante o simplemente un terminal que usan muchos usuarios, aquí les dejo un articulo de la KB sobre como bloquear estés dispositivos en las plataformas Windows XP/2000/2003.


SEGUNDO: Evitar la contaminación de malware. Portable ClamWin
Una versión para llevar del antivirus ClamWin que ocupa 12,4 Mg, es totalmente gratuito y tiene la posibilidad de actualizarse por Internet, yo diría que es un imprescindible para llevar en la memoria o disco portátil USB. Este antivirus es compatible con las plataformas Windows 98/Me/2000/XP/2003. Es capaz de detectar virus y spyware, ademas es bastante rápido y muy eficaz para ser un antivirus portable.

TERCERO: Garantizar la confidencialidad de lo transportado.
A continuación indico varios programas de cifrado que caben en un disco USB y que permiten la creación de unidades virtuales cifradas o el cifrado directo de archivos. Los enlaces sobre los nombres:
-Picocrypt.
-Truecrypt.
-SKS.

1 comentarios:

Anónimo dijo...

interesante tu aporte, devido a gran parte de los problemas de seguridad son factores humanos y este tipo de dispositivos es fundamental para algunos.

 
;