RSS |

Blog de Omar

Just another WordPress weblog

Advertisement

Posts Tagged ‘ pdf ’

En todas las presentaciones, talleres o cursos que he dictado, he tratado siempre de dar el valor que se merece a la ingeniería social, un gran valor, un valor alto. Pongámoslo de esta esta manera, el objetivo final de un hacker malicioso (cracker) es poder robar o acceder a información confidencial de una organización y para ellos el fin justifica los medios, ellos no repararán en el método para poder hacerse de información; si tenemos esto presente la manera más fácil de poder de llegar al objetivo es atacar aquello que es más vulnerable, aquello que tiene emociones y sentimientos (las computadoras no las tienen), atacar aquello que no siempre actúa de manera racional, el eslabón más débil de la cadena de seguridad, LAS PERSONAS.

Hoy voy a tratarles de mostrar como aprovechas las vulnerabilidades tecnológicas (software) combinado con la ingeniería social; ambos me parecen un arma muy fuerte de conseguir acceso no autorizado. Antes de comenzar sólo para aquellos que aún no están familiarizados con el término: Ingeniería Social.

¿Cómo se puede definir la ingeniería social?

Nadie tiene todavía una definición que haya sido aceptada de manera estandarizada, la Wikipedia lo define como “ ….. la práctica de obtener información a través de usuarios legítimos…… unas técnicas que pueden usar ciertas personas, tales como investigadores privados, criminales, delincuentes computaciones para obtener acceso o privilegios en sistemas de información….. ”, otros lo definen como “conjunto de técnicas psicológicas y habilidades sociales utilizadas de forma consciente y muchas veces premeditada para la obtención de información de terceros”, ambas definiciones me parecen correctas sin embargo ambas también, por lo menos a mí, me parecen incompletas y hasta podría decir que son complementarias.

Me voy animar a ensayar una definición de ingeniería social en una especie de versión “beta” que seguramente puedo definir mejor en otro momento y donde todos los lectores de este blog pueden colaborar y hacer criticas constructivas, la ingeniería social se puede definir como:

“El conjunto de técnicas psicológicas y habilidades sociales que realizan un estudio del comportamiento de las personas en el normal funcionamiento de un proceso, esto realizado en un tiempo prudencial hasta comprender su funcionamiento y las debilidades de seguridad (tecnológicas y de personas) que se encuentran presentes en la misma, con el objetivo de explotar dichas vulnerabilidades (de las personas y del proceso) y acceder a información no autorizada o privilegiada de terceros ”

Omar Palomino H.
El-palomo.com, 2012

Realizando ingeniería social con la ayuda de Adobe Acrobat Reader

Vamos a lo importante de este post, Adobe Acrobat Reader ha sido y sigue siendo el lector de archivos PDF más usado a nivel empresarial y sospecho que también es el más usado por aquellas personas cuyos conocimientos informáticos no han advertido todavía que existen mejores alternativas en cuanto a performance y seguridad de información. Basados en esto y del estudio que se debe haber realizado en un proceso de ingeniería social, vamos a suponer el siguiente escenario:

  • Todas las personas de la organización utilizan Adobe Acrobat Reader para revisar los archivos PDF.
  • He notado que la organización tiene cerca de 800 computadoras y el proceso de actualización de Adobe Acrobat Reader sólo se realiza cuando se formatea la misma.
  • También he notado que muchas personas no cierran las puertas de sus oficinas durante el horario de almuerzo y que la secretarias suelen dejar documentos o notas en los escritorios de los colaboradores de la organización en cualquier momento del día
  • Finalmente, he evaluado que la hora más fácil de acceder al edificio de la organización es entre la 13:00 horas y las 13:15 horas, debido a que un número importante de personas entra y sale del edificio por la hora de almuerzo, haciendo imposible el control de personas que ingresan y salen de las instalaciones.
  • Otros detalles que hacen de la ingeniería social todo un arte.

Ahora que todas estas premisas están planteadas, vamos a utilizar Metasploit, explotar la vulnerabilidad presente en Adobe Acrobat Reader entre las versiones 8.2.4.- 9.3.4 y aprovechar un tema sensible como la renovación de contrato del colaborador.

Pueden descargar la presentación del video: [AQUÍ]

ie_full_1_flecha

ie_full_2_flecha

 

**********************************************************

Ahora suelo hacer también un resumen del video en inglés para aquellas personas que quieran ver sólo lo más importante del video completo:

Popularity: 13% [?]