{"id":531,"date":"2006-01-27T17:09:53","date_gmt":"2006-01-27T16:09:53","guid":{"rendered":"http:\/\/www.sahw.com\/wp\/archivos\/2006\/01\/27\/10-amenazas-a-su-seguridad-en-las-que-probablemente-no-ha-pensado\/"},"modified":"2006-01-27T17:09:53","modified_gmt":"2006-01-27T16:09:53","slug":"10-amenazas-a-su-seguridad-en-las-que-probablemente-no-ha-pensado","status":"publish","type":"post","link":"https:\/\/www.sahw.com\/wp\/2006\/01\/27\/10-amenazas-a-su-seguridad-en-las-que-probablemente-no-ha-pensado\/","title":{"rendered":"10 amenazas a su seguridad en las que probablemente no ha pensado"},"content":{"rendered":"

Os propongo una lectura para hoy. El documento se titula Ten Threats Your Probably Didn’t Make Plans<\/a> y est? escrito por Andrew Bycroft. La referencia la he tomado de Infosecwriters.com<\/a>.<\/p>\n

Es un PDF de 9 p?ginas, un white paper<\/em> en toda regla, y el objetivo que persigue el autor al redactarlo se centra b?sicamente en detallar diez prototipos de amenaza para las cuales normalmente no se establecen planes de seguridad de ning?n tipo.<\/p>\n

Bycroft da un giro m?s de tuerca, ya que el documento parte de la base de que por mucho que nuestras pol?ticas de seguridad est?n activas, por muy parcheados que est?n nuestros sistemas, por mucha formaci?n que se ofrezca a los empleados y por muchas medidas que tomemos, basta un despiste m?nimo para echar por tierra todo el trabajo de una planificaci?n de seguridad. Hay factores en los que no caemos habitualmente, y ?stos suelen ser fuente de problemas.<\/p>\n

La seguridad perfecta no existe. No es viable, ya que en ?ltima instancia siempre depende del ser humano y por tanto, de sus imperfecciones. Tener un nivel de seguridad de 95 puntos sobre 100 est? fenomenal, es mucho mejor que un sistema a un 40%, por ejemplo, pero ser?a mejor tener un 96%, o un 97% de posibles fuentes problem?ticas bajo nuestro control. El factor coste es importante cuando nos acercamos a estos l?mites, y eso hace dif?cil hallar el punto de equilibrio, pero eso no deja de suponer que la mejor seguridad es siempre interesante (salvo que sus efectos econ?micos lo desaconsejen)<\/p>\n

Los diez focos de inseguridad escasamente contemplados son los siguientes:<\/p>\n

    \n
  1. Shoulder Surfing:<\/strong> O el arte de mirar por encima dle hombro con cautela. Ejemplo t?pico: fisgar el PIN de un usuario en un cajero autom?tico, o figsar qu? clave teclea un operador en una consola determinada.<\/li>\n
  2. Observaci?n:<\/strong> T?cnica similar a la anterior, pero que involucra normalmente distancias mayores y comporta habitualmente la obtenci?n de informaci?n preliminar para perpetrar ataques. Controlar si hay o no hay alarmas en una sala de servidores, los horarios de los servicios de vigilancia, qui?n sale el ?ltimo de unas dependencias, qui?n entra primero, etc.<\/li>\n
  3. Eavesdropping:<\/strong> Esta t?cnica est? orientada a la captura de informaci?n privilegiada afinando el o?do cuando tenemos conversaciones privadas a nuestro alcance auditivo. Escuchar c?mo el sysadmin de una empresa le dice al otro \u00aboye, la clave que puse en el CRM es holahola\u00bb estando nosotros relativamente cerca no es tan infrecuente.<\/li>\n
  4. Dumpster Diving:<\/strong> El buceo en la basura es una t?cnica a la cual no se le suele prestar atenci?n, pero que comporta riegos. La basura suele ser destino final de muchas cosas: notas, documentos confidenciales, configuraciones, emails, memorandos internos, ordenadores en desuso, y un sinf?n de fuentes de informaci?n que un dumpster<\/em> podr?a extraer de ella.<\/li>\n
  5. Dispositivos m?viles perdidos:<\/strong> La informaci?n que se pued extraer de los dispositivos modernos es variopinta. Desde cuentas bancarias a informaci?n personal, pasando por notas confidenciales. Todo lo que podamos meter en un smartphone<\/em> o en una PDA puede ser recuperado por aquel que se la encuentre si la perdemos.<\/li>\n
  6. Escrutinio de noticias:<\/strong> Muchas veces nos enteramos de qu? infraestructura tiene una empresa determinada por la cobertura en los medios de comunicaci?n. \u00abTal empresa ha adquirido 1000 licencias de tal antivirus\u00bb, \u00abTal empresa ha comprado recientemente tal producto\u00bb, etc. Esa informaci?n puede ser en muchos casos determinante. Si por ejemplo se publica que una organizaci?n determinada ha adquirido infraestructura Lotus Domino, lo primero que un atacante podr?a explorar es si Lotus tiene o no acceso v?a Web, y tratar de explotar ese factor.<\/li>\n
  7. Foros online:<\/strong> Otro lugar donde se revela informaci?n sensible. \u00abHola, que tal, he instalado la rama 2.x de Apache en mi servidor y quiero meterle mod_python, ?d?nde puedo documentarme? Y justo al presionar enviar, resulta que nuestra IP queda expuesta como registro de acceso a dicho foro, cosa que en la que reparamos cuando vemos el art?culo publicado. Ya sabemos la IP, sabemos que usas Apache 2.x y por tanto, hay un vector de ataque claro.<\/li>\n
  8. Sitios Web:<\/strong> Revelan mucha m?s informaci?n de la que creemos. Probad a buscar esta cadena<\/a> y esta otra cadena<\/a> en Google. <\/li>\n
  9. Herramientas online:<\/strong> Cualquier esc?ner de vulnerabilidades<\/a> o un simple esc?ner de puertos<\/a> nos puede ofrecer informaci?n cuantiosa y jugosa sobre una IP determinada.<\/li>\n
  10. Ingenier?a social:<\/strong> El m?todo que nunca cambia<\/a>. El ser humano es est?pido por naturaleza, y este m?todo prueba la veracidad de esta teor?a.<\/li>\n<\/ol>\n

    La verdad, me tengo que sumar al autor del documento. Estoy totalmente de acuerdo con estos diez factores de riesgo para los cuales no se suele estar preparado.<\/p>\n","protected":false},"excerpt":{"rendered":"

    Os propongo una lectura para hoy. El documento se titula Ten Threats Your Probably Didn’t Make Plans y est? escrito por Andrew Bycroft. La referencia la he tomado de Infosecwriters.com. Es un PDF de 9 p?ginas, un white paper en toda regla, y el objetivo que persigue el autor al Leer texto completo<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-531","post","type-post","status-publish","format-standard","hentry","category-seguridad"],"_links":{"self":[{"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/posts\/531","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/comments?post=531"}],"version-history":[{"count":0,"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/posts\/531\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/media?parent=531"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/categories?post=531"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/tags?post=531"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}