Vía Slashdot llego a esta interesante entrevista en CNN con Kevin Mitnick, el mítico hacker que a mediados de los ’90 puso en pie de guerra a todo el FBI y protagonizó una caza del hombre enormemente publicitada. Kevin acabó cumpliendo cinco años de cárcel tras declararse culpable de fraude y robo de información, y en la actualidad tiene su propia empresa de hacking ético. Tras su liberación, pasó una temporada de supervisión en la que, por mandato judicial, tuvo que mantenerse alejado de toda tecnología que no fuese una línea de teléfono (en una serie de TV hizo un cameo interpretando a un hacker de la CIA, y hasta el ordenador que le pusieron en el plató era de figuración).
En la entrevista, aporta mucha información sobre lo que hubo de verdad y de mito en su historia: en realidad, nunca fue el «Osama Bin Mitnick» que algunos pretendían que era, nunca llegó a entrar – ni a intentarlo – en el NORAD (North American Aerospace Defense Command), ni a realizar escuchas al propio FBI. Sí robó código de empresas como Motorola y Nokia por curiosidad, y sí fue ese hacker que sorprendía a sus compañeros de estudios: ninguno de los que le conocían podía explicarse como una persona de limitadas capacidades técnicas era capaz de entrar en sistemas tan avanzados. La respuesta, que se estudia hoy en las escuelas de negocios, era la llamada «ingeniería social«, de la que sí que Mitnick es un nombre mítico: llegar a obtener información confidencial mediante la manipulación no de las máquinas, sino de las personas. Kevin, por ejemplo, obtuvo muchísima información sobre vulnerabilidades en VMS simplemente entrando en el sistema de voice mail de los ingenieros de Digital, o se hacía pasar por servicio técnico para solicitar contraseñas por teléfono. Esa realidad que hoy explicamos en clase y que se define en la frase «el usuario es el eslabón más débil».
Estoy de acuerdo en todo el espíritu de lo que comentas. Creo que ya comente que el phising se ha cebado, sobre todo, entre los propios empleados de las entidades financieras. Los piratillas lo tienen más facil:
* Si estás en tu puesto de trabajo se crea un ámbiente de confianza para correos supuestamente corporativos.
* Colaboras de forma más rápida y con un sentido de solidaridad con los que tienen que administrar la seguridad.
Esto debe replantear las formas de relación entre las empresas y sus empleados en este entorno.
Sobre el tema de los password en internet hay mucho escrito. Os pongo cosas que he sacado
Muchos de los usuarios no cambian el password que viene por default en muchos de los sistemas de seguridad. Listas de estos password están disponibles en el Internet.
Una contraseña puede ser determinada si un usuario elige como password una pieza de información personal que sea fácil de descubrir (por ejemplo: numero de ID de estudiante, el nombre del novio/a, el día de cumpleaños, numero telefónico, etc.). Los datos personales sobre individuos están ahora disponibles en diferentes fuentes, muchas de ellas están en-línea, y pueden ser obtenidas frecuentemente por alguien que use técnicas de ingeniería social, como actuar como un trabajador social que realiza encuestas.
Una contraseña es vulnerable su puede ser encontrada en una lista. Los diccionarios (frecuentemente de forma electrónica) están disponibles en muchos lenguajes, y existen listas de passwords comunes.
En pruebas sobre sistemas en vivo, los ataques de diccionarios están rutinariamente acertados, por lo que el software implementado en este tipo de ataques ya se encuentra disponible para muchos sistemas. Una contraseña muy corta, quizás elegida por conveniencia, es mas vulnerable si un hacker puede obtener la versión criptográfica del password. Las computadoras son en la actualidad suficientemente rápidas para intentar todos los password en orden alfabético que sean más cortos de 7 caracteres.
aqui podeis ver una lista de los password mas utilizados por la gente
http://www.phenoelit.de/dpl/dpl.html
tambien aqui
http://www.cirt.net/cgi-bin/passwd.pl
saludos
«Ingeniría social», eso sí que es arte, a ver cuando te animas Quique y te atreves a profundizar sobre este apasionante tema.
Un gran ingeniero social puede ser un gran comercial.
Hacking mind people…