Historia de la vida real II: Una triste historia

Así como las habilidades características de las personas, y el conocimiento, pueden ser empleados con el fin de aportar y cuidar el mundo, o bien desembocarlo en una catástrofe, el bien y el mal son relativos, tal cual pasa con las armas, estas por si solas no hacen nada, todo depende con el fin que se empuñen, y esta historia es de esas que no me gusta que pasen y no me gusta contarla, pero creo que es necesario, ya que casos como este se ven muy a menudo. 

Esta historia no me sucedió mi (afortunadamente), pero si a una persona cercana, un buen día llegó una persona con una caja grande y simulando ser un empleado de una empresa de correo a una casa, timbró y afirmó que debía hacer entrega del paquete de manera urgente, al señor <inserte nombre ficticio acá> la persona, este personaje dijo la dirección del predio exacta y repitió que era urgente, quien lo atendía confundida por el hecho, mencionó el nombre de un habitante de la casa, y preguntó que si el paquete no iba para él, nuestro avivato personaje, revisó los supuestos papeles de la entrega, e indicó que el paquete también estaba a nombre de él, la víctima abrió la puerta, y ya se imaginarán el resto, ingresó de manera abusiva al lugar, ya dentro ingresaron mas personajes y solo fue cuestión de tiempo para hurtar los elementos de valor.

Como podrán ver, el peligro está en todas partes, solo basta de un descuido, lo mismo sucede en la internet, no son cientos, ni miles sino millones de atacantes maliciosos, esperando esa pequeña oportunidad, esos 10 o 15 segundos en los que la seguridad de una empresa o de un hogar se ve fuertemente comprometida, y pasa a ser irrumpida.

Con esto cerramos el ciclo de ingeniería social, falta poco para comenzar con lo realmente divertido y práctico, solo me resta decirles que tengan especial cuidado con su información personal, y con los datos que cruzan verbalmente a diario, son una ventana abierta a un ataque mayor. 

¡Saludos!

Historia de la vida real I: Obteniendo una dirección de una persona.

La ingeniería social (y todo el conocimiento en el mundo) es como un arma, un arma no hace daño a nadie, todo depende de como sea usada, con un arma puedes salvar una vida o sesgarla, les narraré en tres entradas, tres experiencias vividas con la ingenería social, verán como resultó de sencillo lograr el objetivo propuesto.

Objetivo: Obtener la dirección de residencia de una persona conocida.
Escenario: Se cuenta únicamente con el nombre completo de la persona, y su número de celular.
Modus operandi: Si un desconocido llama a su número de celular preguntando de buenas a primeras la dirección de residencia ustedes no darán la información tan fácil (en algunos casos tristemente aún funciona) así que decidí hacer uso de mi experiencia como empleado de la mesa de ayuda de un ISP en Colombia y la cercanía con la terminología de la empresa para poder cumplir mi objetivo, para evitar llamadas "de vuelta" y poder desentenderme de incómodas preguntas a futuro, me he dirigido a una cabina telefónica que tiene una particularidad, el número registrado en el identificador de llamadas del receptor de la llamada aparece algo como 1 93 XXX, tomé el teléfono marqué y después de escuchar el típico "Aló" inició la tarea, muy seguro comencé con voz calmada:

- Buenas tardes, habla Felipe Benedetti* de -inserte aquí el ISP de su preferencia- ¿Con quién tengo el gusto de hablar?

- Habla con Angélica Suárez*.

FB: Señorita AS el motivo de mi llamada es para confirmar la instalación exitosa de su servicio de internet banda ancha, televisión digital plus y telefonía con salida a llamadas celular por un costo de $170.000 mensuales.

AS: No estoy interesada en promociones.

FB: Tal vez no me hice entender, yo soy el técnico instalador, y quería confirmarle que este servicio ya quedó instalado, me comunico para confirmar que todo esté funcionando correctamente.

AS: Se ha equivocado, aquí no se ha pedido ninguna instalación.

FB: Acá tengo registrado que usted ha solicitado la instalación de los servicios, y ya recibió los equipos en su casa.

AS: Eso no puede ser cierto, ¿Con qué documento está registrado eso?

FB: Por motivos de seguridad, la empresa no me brinda esos datos, ya que son sensibles, la información que tengo consignada es que la instalación está a nombre de AS en la dirección High Way To Hell*.

AS: No, esa no es la dirección.

FB: Claro, entiendo, ya me pasó algo similar con un usuario de este sector, la empresa equivocó los datos y no tienen registros de los originales. ¿Me podría confirmar la dirección correcta para actualizar el registro?

AS: Si claro, -Inserte aquí una dirección real-

FB: (Bingo) Si, hay un error definitivamente, disculpe los inconvenientes señorita Angélica, le habló FB de -Acá cambié el nombre del ISP dado al inicio a propósito- Que tenga un buen día.

Post ataque: A los pocos minutos me comuniqué nuevamente con esa persona, desde mi casa, haciendole ver los errores cometidos, por los cuales quedó altamente sorprendida, y lo que mas me ha agradado de esto, es que en la "encuesta de credibilidad" me he sacado un 5.

Como verán, muchos factores pudieron ser los factores que permitieron que esta prueba se realizara de forma exitosa, la recomendación es siempre estar alerta y tener certeza de cuando se comuniquen a nombre de una empresa de servicios, en realidad es un empleado de la misma.

Ya nos veremos con otra historia para contarles.

El eslabón más débil de la cadena

Siento contradecir a aquellos que afirman que las máquinas podrán igualar e incluso superar a los humanos, yo no lo creo así, porque no hay ningún sistema en el mundo, que no dependa de la intervención humana, por sencillo que sea el rol del ser humano, siempre le permitirá estar un paso adelante de las máquinas, y esto, queridos amigos, es lo que hace a los sistemas potencialmente inseguros, ¿Por qué? para nadie es un secreto que la mente es susceptible a todo tipo de agentes internos o externos, la influencia de los sentidos y, a demás es altamente manejable. 

Sin entrar en áreas que se encargan de la psique humana iré al grano, voy a hablar un poco de la ingeniería social, que mas que una técnica de "hacking", es toda una ciencia, y la podemos ver casi que a diario en todos los campos, desde el niño que hace una pataleta para conseguir lo que quiere, el agente de ventas que pretende hacer que compren algo, la ama de casa que pide una rebaja en el supermercado y un sin fin de situaciones que se pueden dar. 

El objetivo de esta entrada y de las siguientes no es el enseñar el uso de la ingeniería social, a quienes decepcioné con la afirmación anterior dejo este completo framework donde se explican minuciosamente diferentes técnicas, sino mostrar cual vulnerable es la información personal, que tan fácil es obtenerla y como un lobo se puede disfrazar de una linda, inocente y lanuda ovejita. 

(Nadie sospecharía de lo que planea este macabro sujeto)

Dejaré una recopilación de ejemplos de uso de ingeniería social recopilados en la red, y en mis próximas dos entradas unos cuantos ejemplos hechos por este humilde servidor para no hacer mas largo esto.

Tres ejemplos de hacking humano

Ingenieria social [ejemplos] + Tesis de Kevin Mitnick

Ojalá les sea de utilidad, ¡Hasta la próxima!

Profundizando en Kali

¡Buen día, tarde o noche a todos!

Continuando con la línea de entradas acerca de Kali, nos adentraremos en las características de esta distribución y haré una pequeña comparación con su antecesor backtrack, ya que me parece incorrecta la afirmación "Kali es el backtrack 6" puesto que Kali se ha construido desde 0 y con otro sistema como base.

Las características relevantes son: 

• Sistema base: Kali viene basado en Debian, backtrack tenía como sistema base Ubuntu, y aunque Ubuntu es basado en Debian, dejaré acá un interesante post donde se explican algunas de sus diferencias, y donde comienzan a bifurcarse los caminos de lo que era backtrack y a donde apunta Kali. Con este cambio, también se abre paso al aumento de arquitecturas de procesadores soportadas, por ejemplo AMR.

• Wifi: Actualización de los parches del Kernel y el aumento de soporte a dispositivos inalámbricos, ahora me permite hacer inyección de paquetes y obtener "datas" al momento de auditar una red inalámbrica, sino que me permite conectarme con una red inalámbrica con el SSID oculto y autenticación LEAP.

Inyección Kali

Inyección Bactrack

Conexión wifi

• Distribución y acceso de aplicaciones: Todas las aplicaciones se han añadido a la variable de entorno $PATH, lo que significa, que ya no es necesario saber la ruta absoluta del script, basta con teclear el nombre de la aplicación y ya la tendremos disponible, a diferencia de backtrack, donde todo se encontraba en la ruta /pentest y allí se encontraban subcarpetas por categorías.

Kali

Backtrack

• Arranque: Kali tiene un arranque optimizado y una disminución notable en el inicio de sesión debido a que ningún servicio se arranca al inicio del sistema, ni un puertos abiertos por defecto. 

Kali

Backtrack

(Acá hay unos servicios que yo he agreado)

• Personalización: A diferencia de Backtrack, una imágen personalizada de esta distribución tenía cierto costo, en Kali basta con seguir las instrucciones de este link para disfrutar de las ventajas de "armar" Kali a su gusto.

Estos son los pilares básicos y las razones por las cuales sigo sosteniendo que Kali no es una simple nueva versión de Backtrack, sino un verdadero renacimiento, un cambio de 180º en el cual los señores de Offensive Security mantengan y eleven la fama que les dió Backtrack. 

No siendo mas, me despido, los invito a dejar sus comentarios y opiniones sobre este artículo. 

¡Hasta la próxima!