Un concurso de hacking este fin de semana realizado en Las Vegas demostró una de las grandes razones por las cuales las grandes empresas parecen ser victimas faciles para los ciber criminales: sus trabajadores están pobremente entrenados en el aspecto de seguridad.En medio de una ola de ataques cibernéticos de alto nivel sobre los objetivos que van desde Sony Corp hasta el Fondo Monetario Internacional, uno podría pensar que muchas empresas estan prestando especial atención a la seguridad en estos días.
Pero para los hackers tomaron parte en la competencia este viernes y sábado pareció algo ridículamente fácil, en algunos casos para engañar a los empleados de algunas de las mayores empresas de EE.UU. a revelar información que puede ser utilizado en la planificación de ataques cibernéticos en contra de ellos.
Los concursantes también inducieron a los empleados para utilizar sus computadoras para navegar por sitios web sugeridos por los hackers. Estos podrían haber sido hackers mal intencionados, y en los sitios web podría haberse cargado un software malicioso en los PC.
En un caso, un concursante pretendía trabajar para el departamento de TI de una empresa y persuadió a un empleado que le diera información sobre la configuración de su PC, los datos que podrían ayudar a un hacker a decidir qué tipo de malware podría funcionar mejor en un ataque.
"Para mí fue una llamada de miedo, porque estaba tan dispuesto a cumplir", dijo Chris Hadnagy, uno de los organizadores del concurso en la conferencia Defcon en Las Vegas.
"Mucho de esto podría facilitar los ataques graves si es utilizado por las personas adecuadas", dijo Hadnagy.
Defcon esta organizado por hackers benévolos, en parte para promover la investigación sobre las vulnerabilidades de seguridad con el fin de presionar a las empresas para solucionarlos. El concurso fue patrocinado por los llamados hackers de sombrero blanco para mostrar la debilidad de las empresas es su seguridad y alentar a educar mejor a sus empleados sobre los riesgos de la piratería.
La compañía, cuyos empleados entregaron la mayoría de los datos fue Oracle Corp, de acuerdo con Hadnagy. Uno de los fabricantes más grandes del mundo de software, Oracle tiene su inicio hace más de 30 años mediante la venta de bases de datos seguras a la Agencia Central de Inteligencia.
El portavoz de Oracle, Deborah Hellinger declinó hacer comentarios.
Otros blancos para los ataques incluyeron Apple, AT & T Inc., ConAgra Foods Inc, Delta Air Lines Inc, Corp Symantec, Sysco Corp, Continental Airlines Holdings Inc Unidos y Verizon Communications Inc.
Fue el segundo año que Defcon realizó un concurso de "ingeniería social", o la práctica donde los piratas informáticos entregan información o la adopción de medidas tales como la descarga de software malicioso.
La ingeniería social se utiliza con frecuencia en los ataques que los hackers envían un "spear phishing" e-mail en el que hacerse pasar por un amigo del destinatario y pídale a abrir un archivo contaminado o visitar un sitio web malicioso.
Expertos en seguridad dicen que se han llevado muchos ataques spear phishing en el último año, incluyendo contratistas de la defensa de EE.UU., el FMI, EMC Corp, la división de seguridad RSA y agencias gubernamentales de todo el mundo.
"Es mejor siempre que sea posible obtener los datos no conflictivamente", dijo Johnny Long, un consultor de las compañías sobre redes de datos, utilizando herramientas tales como la ingeniería social, para identificar las debilidades.
Los concursantes fueron acusados de obtener información específica de sus objetivos, incluyendo información sobre cómo la compañía respalda y asegura sus datos, el uso de la red inalámbrica, y los nombres de las compañías que proporcionan en el sitio de seguridad, el tóner y el papel de fotocopiadora.
Tomado de Reuters - Oracle, other companies 'punkd' in hacking contest
No hay comentarios:
Publicar un comentario