martes, 27 de junio de 2017

Seguridad, Confianza y Garantía en la Nube [Actualizado]

Seguridad, Confianza y Garantía en la Nube [Actualizado]


Recientemente, en SMARTFENSE, hemos dado un gran paso en el compromiso con la Seguridad de la Información de nuestra plataforma, dándonos de alta en el programa CSA STAR (CSA Security, Trust & Assurance Registry).

Dicho programa, es el programa más potente de la industria para garantizar la seguridad en la nube, y abarca los principios clave de transparencia, auditoría y armonización de normas.

STAR consta de tres niveles de aseguramiento, y se basa en una lista completa de objetivos de control centrados en la nube, que recibe el nombre de Cloud Controls Matrix (CCM). CCM es el único meta-marco de controles de seguridad específicos de la nube, y está mapeado a los principales estándares, las mejores prácticas y regulaciones. Esto lo convierte en la herramienta por excelencia para las organizaciones que buscan obtener la estructura, detalle y claridad necesarios en relación con la Seguridad de la Información en la nube.

Beneficios para los usuarios de servicios en la nube

Este programa, accesible al público, está diseñado para que los usuarios de servicios en la nube evalúen a sus proveedores de nube, proveedores de seguridad y empresas de servicios de asesoría y evaluación para tomar las mejores decisiones de adquisición.

De esta manera, todas las personas interesadas en la plataforma SMARTFENSE, tendrán una fuente confiable y objetiva de información para poner sobre la balanza a la hora de evaluar la adopción de la plataforma.

Acerca de la CSA

La Cloud Security Alliance (CSA) Es una organización sin fines de lucro con la misión de promover el uso de las mejores prácticas para ofrecer garantías de seguridad en “Cloud Computing” y proporcionar educación sobre los usos de la computación en la nube, a fin de que las empresas puedan adoptar el concepto en sus organizaciones.

Cloud Security Alliance (CSA) está dirigida por una amplia coalición de corporaciones, asociaciones y profesionales de la industria.

SMARTFENSE Sponsor de la CSA SUMMIT 2017

De la misma manera que el pasado año, el capítulo de Argentina de la CSA vuelve a organizar una conferencia de alto nivel para aprender sobre el progreso de las empresas en el cambio de la Computación en la Nube y las nuevas tendencias clave en Seguridad de la Información.

Como no podía ser de otra manera, para remarcar nuestro compromiso con la seguridad en la nube, hemos decidido ser sponsors de este gran evento, que se llevó a cabo en la ciudad de Buenos Aires el 29 de Junio del corriente año.

Algunas fotos del evento

 

 
 
 

Leer Más

miércoles, 7 de junio de 2017

El Arte de Engañar al Usuario - Parte 3: Ataques locales

El Arte de Engañar al Usuario - Parte 3: Ataques locales


EN ESTA TERCERA ENTREGA DE LA SERIE “EL ARTE DE ENGAÑAR AL USUARIO” ANALIZAREMOS LOS TIPOS DE ATAQUES UTILIZADOS POR LOS INGENIEROS SOCIALES DE MANERA LOCAL, DIFERENCIÁNDOLOS ASÍ DE LOS ATAQUES REALIZADOS DE MANERA REMOTA, TEMA CORRESPONDIENTE A LA PARTE 4.

Cuándo se utilizan

Tanto durante la fase de “Desarrollo de la relación” como así también la de “Explotación de la relación” el Ingeniero Social puede utilizar diferentes tipos de técnicas y ataques.

Una forma de clasificar los ataques es dividiendo los mismos entre aquellos que se realizan en forma remota, a través de internet, teléfono, u otro medio a distancia, y aquellos que se realizan en forma local.

En este post nos enfocaremos en los ataques realizados por el Ingeniero Social en forma local, es decir, personalmente.

Pretexting / Impersonate

Estas técnicas van de la mano y pueden usarse tanto en los ataques locales como así también en los remotos
Un claro ejemplo puede darse cuando el atacante se hace pasar por un empleado de soporte técnico de la empresa en la cual trabaja la víctima (impersonate), tratando de generar empatía para ganar credibilidad.
Acto seguido presenta algún tipo de excusa o pretexto (pretexting) como por ejemplo alertar a la víctima de un comportamiento inadecuado en su equipo, el cual requiere de su intervención, dando de esta manera instrucciones específicas que terminarán en la instalación de algún tipo de Malware, concretando así su objetivo (tomar el control del equipo, obtener datos sensibles, etc). 

Tailgating

Este tipo de ataque se aprovecha de la solidaridad y la buena voluntad.
Generalmente suele ejecutarse cuando un empleado (la víctima) está ingresando a su empresa, la cual posee algún tipo de restricción en su acceso físico, como por ejemplo: tarjetas RFID, molinetes, etc.
El atacante irá corriendo con una gran “sonrisa” detrás de la víctima (justo antes de que esta termine de ingresar) haciendo un gesto de haber olvidado su tarjeta de acceso o en caso de existir un molinete, ingresará junto con la víctima disculpándose por su “torpeza”. 

Baiting

El Baiting (señuelo) es una técnica muy efectiva. Generalmente se utilizan pendrives con software malicioso los cuales se dejan en el escritorio de la víctima o en el camino que la misma realice (por ejemplo en el estacionamiento, ascensor, etc). 
Para asegurarse del éxito en la explotación se estudia a la víctima previamente detectando así la vulnerabilidad a ser explotada.

Falla en controles físicos de seguridad

Este es quizás unos de los más usados ya que existen muchas empresas con fallas en sus controles físicos. 
Para graficarlo mejor supongamos que en la recepción se encuentra un guardia de seguridad o recepcionista, el/la cual solicita nombre, apellido, número de documento y el área a la cual se quiere dirigir “la visita”, pero este guardia o recepcionista no solicita el documento físico ni tampoco llama al empleado que está siendo “visitado”.
Este tipo de ataque es muy efectivo para realizar Baiting, ya que si el control falla desde el inicio es muy probable que se pueda llegar hasta las oficinas de interés para el atacante. 

Dumpster Diving

Aunque no lo crean una de las técnicas muy utilizadas es revisar la basura, ya que muchas - pero muchas - veces se arrojan papeles con información sensible sin haberlos destruidos previamente (usuarios y contraseñas que fueron anotadas en algún Postit, números de cuentas, emails impresos, etc.)
También se suelen encontrar distintos medios de almacenamiento sin su debida destrucción como pueden ser: CDs, discos rígidos, etc.

Shoulder Surfing

Esta es una técnica muy utilizada por los Ingenieros Sociales (y los curiosos también :) ). No es ni más ni menos que espiar por encima del hombro de las personas, en muchos casos para poder observar qué está tecleando la víctima y así poder dilucidar su password, PIN y patrones de desbloqueos en teléfonos, etc.

Distracción

Conocida también como Misdirection (desorientar) esta técnica es la piedra fundamental de la Magia y el Ilusionismo
Es utilizada para llevar la atención de la víctima a algo irrelevante mientras el atacante puede obtener todo lo contrario (información valiosa), pudiendo por ejemplo: sacar una foto de la pantalla o papeles con datos importantes, robar un Token, Pendrive o algún dispositivo de almacenamiento, etc.

Sobre esta serie

Este es el tercero de una serie de posts sobre la Ingeniería Social. En las próximas publicaciones hablaremos acerca de los diferentes tipos de ataques que llevan a cabo los Ingenieros Sociales en forma remota. Además, conoceremos las medidas de protección que las organizaciones deben tener en cuenta para proteger a su personal de esta gran amenaza y algunos datos curiosos sobre reconocidos Ingenieros Sociales.
Leer Más