Lunes, 25 de septiembre de 2006
...(Continuaci?n)


Aprovechando sentimientos tan variados como la curiosidad, la avaricia, el sexo, la compasi?n o el miedo, el v?ndalo interesado consigue su objetivo, una acci?n por parte del usuario.
Un claro ejemplo de Ingenier?a Social m?s com?n es el de alguien que llama por tel?fono a una empresa para decir que necesita ayuda o hablar con el administrador de la red porque hay que modificar alg?n aspecto de la configuraci?n. Durante la conversaci?n, y a trav?s de escogidas y cuidadas preguntas, el atacante obtendr? los datos (como los c?digos de acceso a los equipos) que necesita para vulnerar la seguridad de todo el corporativo.

La ingenier?a social es una acci?n muy simple, pero peligrosa. Los "hackers" llaman a los centros de datos y fingen ser un cliente que perdi? su contrase?a, o se dirigen a un sitio y esperan que alguien deje la puerta abierta. Otras formas de ingenier?a social no son tan obvias. Los "hackers" son conocidos por crear sitios Web, concursos o cuestionarios falsos que piden a los usuarios que ingresen una contrase?a. Si un usuario escribe la misma contrase?a que usa en su trabajo, el hacker puede ingresar en las instalaciones sin tener que descifrar ni siquiera una l?nea de c?digo.

Con el objetivo de infectar el mayor n?mero posible de equipos, cada vez son m?s los gusanos que recurren a la Ingenier?a Social, habitualmente empleada por los creadores de c?digo malicioso para enga?ar a los usuarios. En la Ingenier?a Social no se emplea ning?n programa de software o elemento de hardware, s?lo grandes dosis de ingenio, sutileza y persuasi?n para as? lograr obtener informaci?n a trav?s de otra persona sin que se d? cuenta de que est? revelando informaci?n importante con la que, adem?s, el atacante puede da?ar su computadora.

En la pr?ctica, los autores de virus (gusanos o troyanos) emplean la Ingenier?a Social para que sus creaciones se propaguen r?pidamente. Para ello atraen la atenci?n del usuario y consiguen que realice alguna acci?n que, normalmente, consiste en inducirlo a que abra alg?n archivo que es el que procede a realizar la infecci?n. De hecho, la mayor?a de las p?rdidas provocadas por los efectos de los c?digos maliciosos tienen su origen en la ignorancia u omisi?n de pol?ticas de seguridad.


El personal de una empresa deber?a de seguir las siguientes recomendaciones para evitar caer v?ctima de las trampas de la Ingenier?a Social:

1. - Antes de abrir los correos analizarlos con un antivirus eficaz y debidamente actualizado, ya que cualquier mensaje de correo electr?nico puede contener c?digos maliciosos aunque no le acompa?e el s?mbolo de datos adjuntos.

2. - Nunca ejecutar un programa de procedencia desconocida, aun cuando previamente sea verificado que no contiene virus. Dicho programa puede contener un troyano o un sniffer que reenv?e nuestra clave de acceso.

3. - Los usuarios no necesitan tener acceso a todo tipo de ficheros ya que no todos son necesarios para su trabajo habitual, por ello puede ser conveniente por parte del administrador bloquear la entrada de ficheros con extensiones ".exe",".vbs", etc.

4. - Nunca informe telef?nicamente de las caracter?sticas t?cnicas de la red, sus localizaciones espaciales o personas a cargo de la misma. En su lugar lo propio es remitirlos directamente al responsable del sistema.

5.- Controlar los accesos f?sicos al lugar donde se hallan los servidores o terminales desde los que se puede conectar con los servicios centralizados de control.

6.- Nunca tirar documentaci?n t?cnica a la basura, sino destruirla.

7.- Verificar previamente la veracidad de la fuente que solicite cualquier informaci?n sobre la red, su localizaci?n en tiempo y espacio y las personas que se encuentran al frente de la misma.

8.- En caso de existir, instalar los parches de actualizaci?n de software que publican las compa??as para solucionar vulnerabilidades. De esta manera se puede hacer frente a los efectos que puede provocar la ejecuci?n de archivos con c?digos maliciosos.

10.- Controlar que las anteriores instrucciones se cumplen sistem?ticamente.



Por Arnoldo Moreno P?rez

::FUENTE: MICROASIST :::
www.microasist.com.mx

__Zameex Web Mexico__
www.zameex.tk
Publicado por zameex @ 1:47 PM  | [email protected]
Comentarios (0)  | Enviar
Comentarios