domingo, 24 de agosto de 2008

Herramientas para el entrenamiento y simulación de phishing segmentado

Repasando los feeds me he topado con un artículo de Xavi, en el que se habla de ataques phishing personalizados desde una perspectiva que, sin duda alguna, no es la tradicional.

Los ataques de este tipo, a los que yo prefiero llamar segmentados, como consecuencia del paralelismo más que evidente que existe entre la segmentación en marketing tradicional y los mecanismos para orientar los ataques de intento de robo de credenciales que comentamos, son responsables, según iDefense Labs, de al menos 15.000 ataques específicos contra víctimas corporativas en los últimos 15 meses. No es una cifra para tirarse de los pelos, al menos si contemplamos la tipología y montos derivados de la amalgama completa de fraudes que puede sufrir una organización, pero sí es una cifra que puede invitar a contemplar estrategias de mitigación.

Esta necesidad de promover técnicas de entrenamiento y concienciación provoca que con el paso del tiempo hayan aparecido herramientas que permiten gestionar y medir el grado de respuesta de una organización y sus integrantes ante ataques spear phishing, o de phishing segmentado. Primero fue PhishMe, una herramienta comercial dirigida al entrenamiento en este tipo de ataques, y ahora, muy recientemente, se ha anunciado la próxima liberación de Lunker, una herramienta con la misma finalidad, en formato de código abierto, que estará disponible para ser descargada y utilizada sin coste alguno.

Las herramientas de seguridad gozan de una peligrosa dualidad sobre la cual existe un eterno debate. Empleando el símil del cuchillo, podemos usarlo para cortar en rodajas un tomate, pero también podemos asestar una puñalada con él. En el caso de las herramientas de seguridad pasa exactamente igual, y el carácter imprimido al uso dependerá de quién las emplee y con qué finalidad. A buen seguro, la disponibilidad masiva de Lunker provocará que algunos usuarios, tentados con la idea de hacer dinero fácil, la usen para ejecutar ataques, aunque como es normal, existirán muchos usuarios que la emplearán para prevenir los incidentes dándole un uso adecuado.

En este debate, yo me posiciono en la parte que defiende la necesidad de que existan herramientas, aún con el riesgo de que pongan al alcance de los usuarios malintencionados medios para perpetrar un fraude. Si una organización ha utilizado una herramienta y se ha preparado y entrenado para mitigar el riesgo de fraude por robo de credenciales, no debería ser preocupante que un usuario malicioso emplee esa u otras herramientas para tratar de ejecutar un ataque. En caso de existir un buen entrenamiento y una correcta estrategia, los impactos deberían ser mínimos, ya que, al menos en mi juicio, el éxito de un ataque de phishing depende más del grado de conocimiento y la concienciación de las víctimas que de la calidad del mismo. Estoy firmemente convencido, y la experiencia así me lo ha demostrado, que el phishing, tradicional o vía troyanos, a través del conocimiento, la prudencia y la contemplación de unas medidas mínimas medidas de seguridad, no sólo puede ser mitigado, sino que puede anulado por completo. Por otro lado, los ataques siempre pueden ser lanzados sin la existencia de herramientas, cuyo riesgo potencial principal no es la ejecución en sí de las acciones maliciosas, sino, en todo caso, la facilitación de las mismas, y siempre dependiendo del caso.

Se prevé que Lunker se presente el mes que viene en la conferencia OWASP, y formará parte de la próxima versión de OWASP LiveCD. Los autores de Lunker han anunciado que estará igualmente disponible como herramienta standalone.

Fuente:
http://www.sahw.com/wp/archivos/2008/08/22/herramientas-para-el-entrenamiento-y-simulacion-de-phishing-segmentado-armas-de-doble-filo/

No hay comentarios: