El Blog de Enrique Dans

11oct
2005

Kevin Mitnick: mitos y realidades

Escrito a las 9:01 am
4

ImagenVía Slashdot llego a esta interesante entrevista en CNN con Kevin Mitnick, el mítico hacker que a mediados de los ’90 puso en pie de guerra a todo el FBI y protagonizó una caza del hombre enormemente publicitada. Kevin acabó cumpliendo cinco años de cárcel tras declararse culpable de fraude y robo de información, y en la actualidad tiene su propia empresa de hacking ético. Tras su liberación, pasó una temporada de supervisión en la que, por mandato judicial, tuvo que mantenerse alejado de toda tecnología que no fuese una línea de teléfono (en una serie de TV hizo un cameo interpretando a un hacker de la CIA, y hasta el ordenador que le pusieron en el plató era de figuración).

En la entrevista, aporta mucha información sobre lo que hubo de verdad y de mito en su historia: en realidad, nunca fue el “Osama Bin Mitnick” que algunos pretendían que era, nunca llegó a entrar – ni a intentarlo – en el NORAD (North American Aerospace Defense Command), ni a realizar escuchas al propio FBI. Sí robó código de empresas como Motorola y Nokia por curiosidad, y sí fue ese hacker que sorprendía a sus compañeros de estudios: ninguno de los que le conocían podía explicarse como una persona de limitadas capacidades técnicas era capaz de entrar en sistemas tan avanzados. La respuesta, que se estudia hoy en las escuelas de negocios, era la llamada “ingeniería social“, de la que sí que Mitnick es un nombre mítico: llegar a obtener información confidencial mediante la manipulación no de las máquinas, sino de las personas. Kevin, por ejemplo, obtuvo muchísima información sobre vulnerabilidades en VMS simplemente entrando en el sistema de voice mail de los ingenieros de Digital, o se hacía pasar por servicio técnico para solicitar contraseñas por teléfono. Esa realidad que hoy explicamos en clase y que se define en la frase “el usuario es el eslabón más débil”.

, , , ,

Publicidad

1 trackbacks

001
El usuario es a veces el peor enemigo de su PC
12.10.2005 a las 22:42 Permalink

[...] Leo a través del blog de Enrique Dans que han hecho una entrevista en cnn.com a Kevin Mitnick, el hacker que antaño era el ídolo de muchos jóvenes que, en su subconsciente, tenían unas ganas enormes de emular películas que nos marcaron de pequeños, com… [...]

3 comentarios

001
JFT
11.10.2005 a las 15:52 Permalink

Estoy de acuerdo en todo el espíritu de lo que comentas. Creo que ya comente que el phising se ha cebado, sobre todo, entre los propios empleados de las entidades financieras. Los piratillas lo tienen más facil:
* Si estás en tu puesto de trabajo se crea un ámbiente de confianza para correos supuestamente corporativos.
* Colaboras de forma más rápida y con un sentido de solidaridad con los que tienen que administrar la seguridad.

Esto debe replantear las formas de relación entre las empresas y sus empleados en este entorno.

002
jose luis portela
11.10.2005 a las 22:26 Permalink

Sobre el tema de los password en internet hay mucho escrito. Os pongo cosas que he sacado

Muchos de los usuarios no cambian el password que viene por default en muchos de los sistemas de seguridad. Listas de estos password están disponibles en el Internet.
Una contraseña puede ser determinada si un usuario elige como password una pieza de información personal que sea fácil de descubrir (por ejemplo: numero de ID de estudiante, el nombre del novio/a, el día de cumpleaños, numero telefónico, etc.). Los datos personales sobre individuos están ahora disponibles en diferentes fuentes, muchas de ellas están en-línea, y pueden ser obtenidas frecuentemente por alguien que use técnicas de ingeniería social, como actuar como un trabajador social que realiza encuestas.
Una contraseña es vulnerable su puede ser encontrada en una lista. Los diccionarios (frecuentemente de forma electrónica) están disponibles en muchos lenguajes, y existen listas de passwords comunes.
En pruebas sobre sistemas en vivo, los ataques de diccionarios están rutinariamente acertados, por lo que el software implementado en este tipo de ataques ya se encuentra disponible para muchos sistemas. Una contraseña muy corta, quizás elegida por conveniencia, es mas vulnerable si un hacker puede obtener la versión criptográfica del password. Las computadoras son en la actualidad suficientemente rápidas para intentar todos los password en orden alfabético que sean más cortos de 7 caracteres.

aqui podeis ver una lista de los password mas utilizados por la gente
http://www.phenoelit.de/dpl/dpl.html
tambien aqui
http://www.cirt.net/cgi-bin/passwd.pl

saludos

003
gorkaff
12.10.2005 a las 11:01 Permalink

“Ingeniría social”, eso sí que es arte, a ver cuando te animas Quique y te atreves a profundizar sobre este apasionante tema.

Un gran ingeniero social puede ser un gran comercial.

Hacking mind people…

Dejar un comentario

Los comentarios en esta página están moderados, no aparecerán inmediatamente en la página al ser enviados. Evita, por favor, las descalificaciones personales, los comentarios maleducados, los ataques directos o ridiculizaciones personales, o los calificativos insultantes de cualquier tipo, sean dirigidos al autor de la página o a cualquier otro comentarista. Estás en tu perfecto derecho de comentar anónimamente, pero por favor, no utilices el anonimato para decirles a las personas cosas que no les dirías en caso de tenerlas delante. Intenta mantener un ambiente agradable en el que las personas puedan comentar sin temor a sentirse insultados o descalificados. No comentes de manera repetitiva sobre un mismo tema, y mucho menos con varias identidades (astroturfing) o suplantando a otros comentaristas. Los comentarios que incumplan esas normas básicas serán eliminados.

XHTML: Puedes utilizar estas etiquetas: A ABBR ACRONYM B BLOCKQUOTE CITE CODE DEL EM I Q STRIKE STRONG IMG

Publicidad

Enrique Dans

Publicidad

Suscripción
Safe Creative #1202030043081
Mis Fotos
Archivos
Facebook
Mis Fuentes Diarias
mis fuentes diarias
Cosas que leo
Logotipo de Creative Commons
Logotipo de Blogestudio Logotipo de Acens