SEGINFOCIS

Tema genérico de Seguridad en las Tecnologías de la Información y las Comunicaciones: Ciberguerra, ciberespionaje, ciberdelito, redes sociales.
pituitaria
Jefe de Operaciones
Jefe de Operaciones
Mensajes: 860
Registrado: 09 Sep 2009 18:44

Re: Cifrado y Encriptación

Mensaje por pituitaria »

Si...estaba recordando una manera muy curiosa de encriptación.
La criptografía musical también ha sido utilizada en casos emblemáticos de espionaje.
Uno de los más famosos es el de la espía Mata-Hari.
En música, ya se había optado por la solución de utilizar letras para representar los sonidos antes de que se inventaran y difundieran los nombres que hoy día conocemos. Eso, ha llegado hasta el día de hoy, siendo las notaciones o denominaciones alfabéticas herederas, en buena medida, de aquellas notaciones alfabéticas de la Edad Media que fueron tan relevantes para el desarrollo de la música europea.

Utilizando este código se pueden escribir "melodías" que esconden frases y textos completos según la correspondencia establecida.
Quizá, en aquellos años, las máquinas no eran capaces de detectar las pequeñas variaciones en una melodía y el sistema se presentaba como algo hermético y de considerable dificultad a la hora de descifrar. Sin embargo, creo que hoy día, cualquier programa sería capaz de rastrear patrones y llegaría a descifrar el código. Quién sabe.
http://math88.com.ne.kr/crypto/picture/ ... cipher.jpg
kilo009
Administrador
Mensajes: 7691
Registrado: 13 Nov 2006 22:29
Ubicación: Foro de Inteligencia
Contactar:

Ingeniería Social

Mensaje por kilo009 »

Con el término ingeniería social se define el conjunto de técnicas psicológicas y habilidades sociales utilizadas de forma consciente y muchas veces premeditada para la obtención de información de terceros.

No existe una limitación en cuanto al tipo de información y tampoco en la utilización posterior de la información obtenida. Puede ser ingeniería social el obtener de un profesor las preguntas de un examen o la clave de acceso de la caja fuerte del Banco de España. Sin embargo, el origen del término tiene que ver con las actividades de obtención de información de tipo técnico utilizadas por hackers.

Un hecho importante es que el acto de ingeniería social acaba en el momento en que se ha conseguido la información buscada. Las acciones que esa información pueda facilitar o favorecer no se enmarcan bajo este término. En muchos casos los ingenieros sociales no tocan un ordenador ni acceden a sistemas, pero sin su colaboración otros no tendrían la posibilidad de hacerlo.

¿Por qué el "caballo de Troya" no es Ingeniería Social?

Existe una tendencia que trata la ingeniería social como una forma de engaño, equiparable al caballo de Troya o a cualquier forma de timo, como el de la estampita.

Tendremos en cuenta 2 factores al respecto: en primer lugar, en el caso de la IS puede no haber engaño de ningún tipo. Una persona le pide a otra su contraseña o cualquier otra información en un entorno de confianza y la otra se la da sin presión ni engaño alguno. Luego el mito de que la IS se basa en un engaño, no es correcto en todos los casos.

Y segundo: suele existir un componente técnico o tecnológico. El timo de la estampita y la ingeniería social no tienen mucho que ver porque ésta se basa en amplios conocimientos de psicología aplicada y de las tecnologías sobre las que se quiere obtener información.

Por ejemplo: en el mundo del underground, de los hackers, las relaciones se basan en el respeto. Son mundos bastante cerrados de gente que en algunos casos pueden realizar actividades ilegales. Para poder acceder a él hay que tener tantos conocimientos como ellos y así ser considerado como un "igual". Además deberán aportarse conocimientos a compartir que de forma clara permitan ganarse el respeto de estos grupos. Sólo de esta forma se tendrá acceso a determinadas informaciones.

Esto mismo ocurre en el mundo de las empresas de alta tecnología en las que se desarrollan proyectos reservados, donde la calificación técnica necesaria para entender la información que se quiere obtener es muy alta. Las operaciones de ingeniería social de este nivel pueden llevar meses de cuidada planificación y de evaluación de muchos parámetros, van más allá de una actuación puntual basada en una llamada con más o menos gracia o picardía.

Muchas veces, el Ingeniero Social simplemente observa el entorno y aprovecha datos que están a la vista cuando el sentido común indica que deberían guardarse en un lugar seguro. Es el caso de un servidor de una delegación de la Agencia Tributaria española cuya contraseña está puesta en un “post-it” en su pantalla. Sólo hay que tener capacidad de observación de este tipo de detalles.

¿Qué tiene que ver la Ingeniería Social con la seguridad informática?

La seguridad informática tiene por objetivo el asegurar que los datos que almacenan nuestros ordenadores se mantengan libres de cualquier problema, y que el servicio que nuestros sistemas prestan se realice con la mayor efectividad y sin caídas. En este sentido, la seguridad informática abarca cosas tan dispares como:
■ Los aparatos de aire acondicionado que mantienen los sistemas en las temperaturas adecuadas para trabajar sin caídas.
■ La calificación del equipo de administradores que deberá conocer su sistema lo suficiente como para mantenerlo funcionando correctamente.
■ La definición de entornos en los que las copias de seguridad han de guardarse para ser seguros y como hacer esas copias.
■ El control del acceso físico a los sistemas.
■ La elección de un hardware y de un software que no de problemas.
■ La correcta formación de los usuarios del sistema.
■ El desarrollo de planes de contingencia.

Debemos tener en cuenta que una gran parte de las intrusiones en sistemas se realizan utilizando datos que se obtienen de sus usuarios mediante diferentes métodos y con la intervención de personas especialmente entrenadas, los ingenieros sociales.

Técnicas de Ingeniería Social

Tres tipos, según el nivel de interacción del ingeniero social:
■ Técnicas Pasivas: ■ Observación

■ Técnicas no presenciales: ■ Recuperar la contraseña
■ Ingeniería Social y Mail
■ IRC u otros chats
■ Teléfono
■ Carta y fax

■ Técnicas presenciales no agresivas: ■ Buscando en La basura
■ Mirando por encima del hombro
■ Seguimiento de personas y vehículos
■ Vigilancia de Edificios
■ Inducción
■ Entrada en Hospitales
■ Acreditaciones
■ Ingeniería social en situaciones de crisis
■ Ingeniería social en aviones y trenes de alta velocidad
■ Agendas y teléfonos móviles
■ Desinformación

■ Métodos agresivos ■ Suplantación de personalidad
■ Chantaje o extorsión
■ Despersonalización
■ Presión psicológica

Cuándo nace la Ingeniería Social en España

Corre el año 1986/87, se empiezan a instalar algunos sistemas BBS en Madrid, Barcelona, Zaragoza. No había acceso a Internet mas allá de las universidades (en estas sólo el profesorado tenía acceso, es el nacimiento de RedIris) y de las conexiones UUCP que, más tarde, montaría la compañía Goya Servicios Telemáticos y que eran carísimas para la mayoría de usuarios. No existía Web, únicamente News, Mail y los protocolos de búsqueda de información tipo gopher o archie. Los servidores estaban instalados sobre todo en USA.

Lo que uno podía encontrar en una BBS de aquella época eran ficheros agrupados por temas y mensajes que corrían de unos usuarios a otros, utilizando la base de lo que después sería la red Fidonet u otras basadas en la misma tecnología.

En estas redes, las llamadas entre los nodos las realizaban usuarios "mecenas" que corrían con el precio de esas llamadas. Los módems eran muy lentos, 1200 o 2400 bps. los mas rápidos, y las llamadas eran muy caras. Esto tenía como consecuencia que un usuario no pudiera bajarse toda la información que quería ni conectarse a demasiadas BBS, so pena de arruinarse con la factura del teléfono... o arruinar a sus padres.

Así las cosas, era difícil compartir información propia con otros usuarios y más aún conseguir información técnica interesante que sí se podía encontrar en otros lugares de Europa y Estados Unidos. Los grupos de hackers buscaban formas de abaratar las llamadas de teléfono y conectarse a otros lugares. En su mayoría menores con edades entre los 11 y los 20 años, no disponían de más ingresos que la paga del domingo.

El phreaking era casi una necesidad y había en nuestro país verdaderos magos del sistema telefónico que proveían de "soluciones" para que los demás pudieran pasar el mayor tiempo posible conectados con el menor coste. Es importante entender que si un usuario español deseaba una información de una BBS finlandesa, debía llamar a Finlandia y conectarse a dicha BBS, ya que no había redes que compartieran la información de las BBS del Underground.

Se utilizaban muchas técnicas para no pagar las llamadas, desde el uso de "blue box", que eran útiles cuando el sistema de tarificación emitía para su control tonos en la "banda vocal", esto es, en la que se transmitía la voz, hasta accesos a través de sistemas PAD (Packet Assembler Dissasembler).

Sistemas casi siempre de grandes compañías que permitían, desde una conexión de teléfono normal, conectarse a redes de paquetes como la española X.25 y a los que se accedía desde números 900 (¿Cuántos hackers de la época utilizaron el famoso PAD de la Shell Oil?) y también números de tarjetas de teléfono americanas, las llamadas “callings cards” de MCI o de AT&T, que se conseguían de forma más o menos ilegal.

Virgin Boy era un danés que, con sus 15 años, había descifrado el algoritmo de creación de los códigos de 14 dígitos de las tarjetas de AT&T y se dedicó durante años a vender dichos números al módico precio de 100 dólares USA, hasta que desapareció de las redes hacia el año 1995.

En muchos casos, para conseguir informaciones de cómo utilizar ciertas funcionalidades de una central de telefónica, o el acceso a una red, era necesario el uso de ingeniería social. Así, algunos hackers comenzaron a especializarse en esas tareas. El abanico de posibilidades se multiplicó: no sólo el sistema telefónico sinó las configuraciones de servidores, contraseñas de sistemas, datos de compañías empezaron a ser objetivo de los ingenieros sociales, que al facilitárselos a otros hackers les facilitaban en mucho sus tareas, ya que se podían dedicar a lo que realmente les interesaba, aprender sistemas.

Son los tiempos en los que nacen !Hispahack, Apòstols, AFL, KhK Conspiradores y muchos otros grupos ya extinguidos. En cada uno de ellos hay por lo menos un experto en ingeniería social, o bien buscan a especialistas en esta materia para temas concretos.

Esto supone un importante cambio sociológico pues los hackers son, en su mayoría, autodidactas que han aprendido muchísimo en la soledad de su habitación, leyendo manuales, conectándose a lugares de los que aprendían; sin embargo, es cuando comienzan a trabajar en equipo cuando sus logros se hacen mas importantes y, aunque existe el celo por la información, dentro del grupo esta se comparte de una manera fluida.

Se produce un fenómeno interesante a este respecto: la práctica de técnicas de ingeniería social para conseguir información de otros grupos de hackers.

Estos grupos crecían de 2 formas: la primera porque los componentes estaban en la misma ciudad o eran usuarios de la misma BBS y, en reuniones de usuarios de las BBS, se conocían hablando de sus temas favoritos y se ponían a trabajar juntos.

La otra era cuando en alguno de esos grupos se te invitaba a entrar porque habían leído un documento escrito por ti en alguna BBS, o algún mensaje dejado en las áreas de hackers que estaban abiertas a todo el mundo. En casi todas las BBS se abrían áreas ocultas sólo para un grupo determinado de usuarios y otras abiertas que servían un poco como cantera o filtro.

Algunos ingenieros sociales españoles

■ Agnus Young
■ D-Orb
■ LeStEr ThE TeAcHeR
■ Omega
■ The Saint

Fuente: http://hackstory.net/Ingenier%C3%ADa_social
Saber para Vencer

Twitter

Facebook
Zigor
Jefe de Operaciones
Jefe de Operaciones
Mensajes: 4856
Registrado: 07 Ago 2007 15:51
Ubicación: Más allá de donde la vista se pierde sobre el horizonte

Re: Ingeniería Social

Mensaje por Zigor »

Un hilo apasionante, en las facultades de Psicología se debería tratar más :)
".............Jakitea irabazteko............."
JO TA KE, SUGEA ZAPALDU ARTE !!!
amtar
Analista Base
Analista Base
Mensajes: 215
Registrado: 19 Ago 2008 16:52

Re: Cifrado y Encriptación

Mensaje por amtar »

Buenas,

Después de leer el interasante libro del TCOL F.J. López-Brea Esplau y del ingeniero informático José Ramón Soler Fuensanta "SOLDADOS SIN ROSTRO" (Inedita Editores - 2008) sobre los servicios de información, espionaje y criptografía en la guerra civil española, me ha entrado el gusanillo sobre el tema.
La verdad es que no he encontrado o no he sabido hacerlo, jeje información sobre las máquinas de cifrado que se utilizan por el mundo en la actualidad, por lo que, agradecería información sobre el tema.
Creo que sería interesante más información en el foro sobre éste tema. Como se dice en el libro, "es probable que la criptografía y discreptación durante la IIGM produjeran más muertos que las dos bombas nucleares juntas" A ver si podéis echar una mano y nos ilustramos sobre el tema (al menos a los ignorantes en la materia, como un servidor)

saludos,
Avatar de Usuario
Jose Luis Mansilla
Jefe de Operaciones
Jefe de Operaciones
Mensajes: 780
Registrado: 15 Nov 2010 12:32
Ubicación: Levantando el Pais.

Re: Cifrado y Encriptación

Mensaje por Jose Luis Mansilla »

Buenas tardes Amtar.

En este enlace http://www.intypedia.com tienes 17 lecciones del tema que te interesa. Seguramente no serán todas de tu interés ,pero viendo los títulos habra alguna que te encaje para conocer como funciona hoy en día la encriptaciòn y los sistemas de seguridad , muy diferente de la "Enigma".

Saludos,
amtar
Analista Base
Analista Base
Mensajes: 215
Registrado: 19 Ago 2008 16:52

Re: Cifrado y Encriptación

Mensaje por amtar »

Buenos días José Luís:

Muchas gracias por la información, jeje. La verdad es que es una página interesante. Me refería más en cuestión a las máquinas de cifrado que se utilizan en las embajadas y sitios por el estilo.
La verdad es que me ha sorprendido que no haya salido esto antes en el foro. Es un tema de lo más interesante. Si uno piensa la cantidad de información obtenida a través de la descriptación a un precio mucho menor y menos peligroso que otras actividades... me recuerda a la ciberguerra que se ha desarrollado hace poco entre las dos coreas. A un coste infimo, C. del Norte deja en evidencia a C. del Sur atacando a medios de comunicación y bancos dejándolos fuera de juego por un tiempo.
A través de la red, se pueden ver las máquinas utilizadas durante la IIGM (Enigma, la Hagelin sueca, la Purpura japonesa,... y pienso que podríamos hacer un poco de inventario sobre las que se utilizan actualmente.
saludos,
Meigallo
Aprendiz
Aprendiz
Mensajes: 51
Registrado: 19 Oct 2011 14:52

Re: Cifrado y Encriptación

Mensaje por Meigallo »

Hola Amtar, te dejo una página que te puede servir. Tiene un listado no exhaustivo de máquinas de encriptación y descriptación utilizadas en el pasado y algunas un poco mas recientes, aunque cabe decir que no abundan mucho las mas modernas. Tienes razón que es un tema harto interesante, yo llevo algún tiempo buscando también alguna información sobre esto, aunque parece que no hay mucho en fuentes abiertas.

http://jproc.ca/crypto/menu.html

Un saludo
amtar
Analista Base
Analista Base
Mensajes: 215
Registrado: 19 Ago 2008 16:52

Re: Cifrado y Encriptación

Mensaje por amtar »

Buena página Meigallo, buena de verdad, jeje.
Es impresionante la cantidad de máquinas que hay y todo el trasiego que supone para cualquier servicio su comprensión, encriptación y desencriptado. Un trabajo enorme que no se reconoce lo sufieciente.
Como dices, es difícil obtener información al respecto. Haciendo memoria y, ahora mismo no recuerdo en que libro lo leí, aunque fue hace ya años, se comentaba que el CESID había entrado en una embajada y conseguido poner microfonos y copiado los códigos de la máquina de cifrado. Esas son jugadas maestras porque tienes un "infiltrado sin conocimiento" dentro de la delegación. Claro está, hasta que lo descubren :lol:
pituitaria
Jefe de Operaciones
Jefe de Operaciones
Mensajes: 860
Registrado: 09 Sep 2009 18:44

Re: Ingeniería Social

Mensaje por pituitaria »

kilo009 escribió:
Con el término ingeniería social se define el conjunto de técnicas psicológicas y habilidades sociales utilizadas de forma consciente y muchas veces premeditada para la obtención de información de terceros.

No existe una limitación en cuanto al tipo de información y tampoco en la utilización posterior de la información obtenida. Puede ser ingeniería social el obtener de un profesor las preguntas de un examen o la clave de acceso de la caja fuerte del Banco de España. Sin embargo, el origen del término tiene que ver con las actividades de obtención de información de tipo técnico utilizadas por hackers.

¿Por qué el "caballo de Troya" no es Ingeniería Social?

Existe una tendencia que trata la ingeniería social como una forma de engaño, equiparable al caballo de Troya o a cualquier forma de timo, como el de la estampita.



Técnicas de Ingeniería Social



Tres tipos, según el nivel de interacción del ingeniero social:
■ Técnicas Pasivas: ■ Observación

■ Técnicas no presenciales: ■ Recuperar la contraseña
■ Ingeniería Social y Mail
■ IRC u otros chats
■ Teléfono
■ Carta y fax

■ Técnicas presenciales no agresivas: ■ Buscando en La basura
■ Mirando por encima del hombro
■ Seguimiento de personas y vehículos
■ Vigilancia de Edificios
■ Inducción
■ Entrada en Hospitales
■ Acreditaciones
■ Ingeniería social en situaciones de crisis
■ Ingeniería social en aviones y trenes de alta velocidad
■ Agendas y teléfonos móviles
■ Desinformación

■ Métodos agresivos ■ Suplantación de personalidad
■ Chantaje o extorsión
■ Despersonalización
■ Presión psicológica
He encontrado estos enlaces, que espero sean de tu interés:

Como dijo aquel "la cadena es tan fuerte como el eslabón mas débil que la componga"

http://www.hackplayers.com/2012/10/soci ... t-set.html

http://www.noticiaspositivas.net/2013/01/23/13565/

http://www.viruslist.com/sp/glossary?glossid=153603109

http://searchdatacenter.techtarget.com/ ... revenirlas
La definición políticamente correcta de las técnicas de ingeniería social dice que se trata de combinar conocimientos de psicología, engaños y fallas en los procesos para obtener accesos no autorizados a información confidencial, sin necesidad de aplicar estudios avanzados de tecnología. Es decir, que en vez de vulnerar una aplicación para ganar un acceso, se trata directamente de conseguir el nombre de usuario y el password por otros medios.

Se puede decir que las técnicas de ingeniería social descansan, en su base, sobre la forma en que los seres humanos toman decisiones. En la jerga del hacking, se dice que la ingeniería social trabaja sobre las “vulnerabilidades de las personas”.

Aclaración: en este caso puntual, cuando hablamos de “algunas de las técnicas empleadas”, es importante recalcar la literalidad de la frase. Y es que sencillamente no existe una documentación completa de las técnicas de ingeniería social utilizadas porque al depender del ingenio humano y de la situación particular de cada ataque, es posible crear engaños nuevos todo el tiempo.
pituitaria
Jefe de Operaciones
Jefe de Operaciones
Mensajes: 860
Registrado: 09 Sep 2009 18:44

Re: linux vs win

Mensaje por pituitaria »

fyc escribió:Recomiendo Linux. Uso Ubuntu en mi portatil (y Windows, ya que tengo los dos en la misma máquina) y merece la pena. Al no necesitar antivirus va mucho más rápido.
Eres bueno...mira:


Imagen

Y es de hace dos años...ahora más.
Microsoft, la teórica “archienemiga” de todo linuxero -aunque en los últimos tiempos estén bastante más preocupados por Google- también hace uso de Linux y del Open Source para proporcionar sus servicios.
NASA migra equipos de Windows a Linux en la ISS

9/05/2013 | Juan Ranchal
La United Space Alliance, que gestiona junto a la NASA las computadoras a bordo de la Estación Espacial Internacional,
ha anunciado la migración de equipos desde Windows XP a Linux, en concreto a Debian 6:
“Hemos migrado funciones clave de Windows a Linux porque necesitábamos un sistema operativo que fuese estable y confiable, uno que nos diese el control sobre el mismo. Uno que podamos parchear, ajustar y adaptar en el caso de que lo necesitemos”.
http://uptime.netcraft.com/up/graph/?ho ... rosoft.com

http://www.akamai.com/html/customers/customer_list.html
Responder

Volver a “STIC”