viernes, 23 de octubre de 2009

Vulnerabilidades

Como todos sabemos los programas y los sistemas operativos tienen vulnerabilidades. Y esas vulnerabilidades pueden ser explotadas por los villanos. Una vez se ha descubierto una determinada vulnerabilidad se busca la solución. Unas veces esa solución pasa por crear un parche que al ejecutarlo realiza una modificación en el programa / sistema para solucionar el problema. Pero... ¿las vulnerabilidades son siempre así?

Para responder a esta... Bueno. Mejor:
¿Qué haces si el Banco Banquero donde tú tienes tus ahorros de tu vida te manda un mail diciendo "Vamos a revisar que tu cuenta funciona: haz click para comprobarlo"? Tú vas confiado y lo haces.

Días más tarde vas a pagar la entrada para el pisito de tu vida (y digo pisito porque si ya hablamos de casa / chalet...) y... que no hay un duro en tu cuenta.

Para resumir: el phising que te han hecho no ha sido por una vulnerabilidad del banco. No es que alguien haya entrado en ese banco por una puerta trasera o por un SQL Injection como le sucedió a un banco en Bélgica. El problema es que uno no ha estado un tanto avispado. O porque no tiene los conocimientos suficientes para detectar que eso era un fraude. Es una vulnerabilidad humana explotada por personas sin escrúpulos.

Hace poco hice un artículo sobre un sitio de Sonicwall que permitía hacer un test para saber cuán hábiles somos a la hora de detectar mensajes de este estilo. Yo conseguí sacar un 8 sobre 10. Uno de los puse como phishing era bueno (no phinshing)... y el otro es que fui muy rápido y no seleccioné respuesta.

Todo esto lo pongo a raíz de un post que han puesto en S21sec sobre un mail de ingienería social en el que se instaba a hacer click sobre un enlace para bajarse un parche para un programa de Microsoft. Y ahí está la cosa, que la ingienería social también se vale de esa vulnerabilidad que tenemos los humanos.

No hay comentarios:

Publicar un comentario