La destructora de papel que copia documentos

Mucho tiempo tienen algunos para que se les ocurran las maldades a las que estamos asistiendo en la Red. Los vectores de ataque cambian a una velocidad de vértigo. Incluso hemos visto, en un ataque en marcha, cambiar el vector de ataque buscando resultados positivos ante el fallo de la estrategia inicial.

En algunas ocasiones, como es el caso de los ataques vividos por VISA, MasterCard, la SGAE o por la Generalitat Valenciana hace poco, lanzados desde Anonymous (21/03/11: al parecer, excepto en el caso de GVA), el problema es la cantidad, no tanto la calidad. En otros casos, como se puede deducir del título del post, el problema es la calidad y no la cantidad. ¿Qué creen ustedes que es más peligroso? ¿Qué preferimos, cantidad o calidad?

La verdad es que no sé muy bien que responder ante una disyuntiva de este calibre. Creo que, si pudiese elegir, me quedaría con un ataque masivo donde tuviese el enemigo de frente y pudiese preparar mis defensas de cara a hacerle frente. Eso es lo que paso, con bastante éxito en este caso para los defensores, en los ataques lanzados contra GVA.

Vectores de ataque diferentes que requieren estrategias diferentes y al igual que los atacantes aplican mucha imaginación, y buenas dosis de innovación, los que nos dedicamos a defender a nuestros clientes de estos grupos organizados tenemos que aplicar también buenas dosis de imaginación y métodos innovadores.

¿Cómo podemos luchar contra un ataque de negación de servicio distribuido como los que puede organizar Anonymous? Aplicando, al margen de las estrategias clásicas de defensa, las mismas técnicas que aplica este grupo: guerra de guerrillas y mucha ingeniería social. Evidentemente para esto hace falta un equipo muy bien configurado, con perfiles heterogéneos, no únicamente técnicos, y con una capacidad de reacción bien estudiada. Son equipos de intervención rápida preparados para actuar en el caso de incidentes de seguridad.

Si tenemos un objetivo de ataque discreto identificado, el vector de ataque es mucho más complejo, pero también son más complejas las estrategias de defensa. Desde el diseño de troyanos con un ADN definido, hasta un ataque físico a través de un keylogger implantado en el equipo de nuestro objetivo, pasando por el diseño de un destructor de papeles que a la vez que destruye documentos los escanea y almacena en una memoria fácilmente extraíble o los remite a través de una conexión inalámbrica.

¿Cómo podemos luchar contra un ataque dirigido contra un objetivo muy concreto y localizado? ¿Cómo podemos luchar contra un ataque de este tipo si el Objetivo, nuestro TOP, es una persona o un grupo muy reducido de personas en un entorno de una organización grande?

Evidentemente hay formas de hacerlo pero para ello es fundamental el papel de las auditorías de seguridad periódicas desde una óptica global que cubra tanto los aspectos lógicos necesarios, como los aspectos físicos, legales y organizativos. Mediante auditorías dirigidas a un objetivo debemos ser capaces de identificar los puntos débiles de una estrategia de defensa de nuestro TOP (objetivo de protección) y desarrollar los planes de acción necesarios para que no sea posible la instalación de un keylogger contra nuestro TOP o la instalación de un dispositivo infernal como el del título de esta entrada.

Comments

  1. http://Anónimo says

    El titulo no tiene nada que ver con el contenido

  2. http://Kobol says

    Coincido en que el título no refleja el contenido.
    Pensaba enviarlo a mis clientes pero después de leerlo desistí de hacerlo.

  3. http://Anónimo says

    No tiene nada que ver el título con el contenido

  4. http://Mortanauta says

    Efectivamente, ¿a donde vas?, manzanas traigo

  5. http://José%20Rosell says

    Bueno, yo creo que si que tiene que ver y os explico mi punto de vista. Tal vez haya omitido algunos detalles del entorno cuando escribí este post, hace ya unas semanas.

    Lo que fundamentalmente quería decir con este breve post es que si alguien tiene un objetivo muy concreto, como una persona o un organismo específico con sus recursos muy identificados, es muy difícil intentar evitar un vector de ataque muy bien pensado y totalmente dirigido, porque la imaginación de algunos no tienen fronteras. Por eso ponía el ejemplo de la destructora de papel que escaneaba documentos. Acababa de leer un artículo de un cacharro con estas características y me pareció un ejemplo muy adecuado. Desde luego es una forma de intercepción de información original y complicada de detectar una vez está montada.

    Desde el punto de vista de una auditoría de un sistema de gestión de la seguridad de la información este ejemplo intenta ilustrar la forma en la que se pueden presentar las amenazas sobre nuestro objetivo de protección, en este caso la información. En mi opinión, cuando desarrollamos una auditoría, debemos intentar no pasar nada por alto en función de las posibilidades del proyecto, y este me pareció un buen ejemplo de una amenaza que desde luego creo que no es habitual tener en cuenta.

    Evidentemente en este caso la probabilidad de que se materialice un incidente es muy baja, aunque, si se presenta, el impacto podría ser muy alto en función de la información que se destruya en esta “destructora-escaneadora” de papel y por tanto en algunos casos el RIESGO sería calificado como ALTO.

    Son simplemente ejemplos del catálogo de amenazas que deberíamos mantener para hacer nuestras auditorías de seguridad, sobre todo cuando el TOP, objeto de auditoría, maneje información MUY sensible.

    Un saludo a tod@s

  6. http://usuario says

    creo que aunque el contenido no parece tener nada que ver con el titulo es muy curioso y da una visión bastante interesante de una amenaza no esperada.

  7. http://Otro%20Anónimo says

    Coincido con los otros cuatro foreros anteriores: el título induce a engaño. Menuda manera de promover la seguridad…

  8. Discrepo en que el título no tenga que ver nada con el contenido. Por otro lado, resulta del todo curioso que, a excepción de “usuario”, ninguno de los anteriores haya aportado nada en absoluto sobre el contenido de la entrada. En fin.

    «Bendito sea el hombre que no teniendo nada que decir, se abstiene de demostrárnoslo con sus palabras» (George Eliot)

  9. http://pedrete says

    Me parece bien el contenido del post.

    En cuanto a lo del titulo discrepo. Tambien lo podias haber llamado Angelina en bolas y luego en el contenido decir “que ante un ataque tan especifico te puedes quedar en bolas como Angelina” y asi tambien tendria mas lecturas, que creo que es lo que buscaba ese titulo

  10. Pedrete,

    Aunque no soy el autor del post, te puedo garantizar que buscar lecturas no es en ningún caso una motivación para poner uno u otro título.

  11. Agradecería que si alugno ha encontrado este producto en el mercado, lo hiciese constar, dado que estoy interesada en un escaner-destructor.

  12. Agradecería que si alguno ha encontrado este producto en el mercado, lo hiciese constar, dado que estoy interesada en un escaner-destructor.

  13. El titulo del post reconozco que me ha despertado la curiosidad, pero el contenido del mismo me ha permitido reflexionar sobre lo que creo que era el objetivo de su autor. Gracias autor.

    Pero discrepo del Sr. Benet. Yo creo que cuando cualquier persona que escribe debe pensar en un título para su obra, sea esta una enciclopedia o un post, se enfrenta a un reto muy importante e intenta condensar, de la mejor manera posible, el mensaje que le quiere dar al lector. Y por supuesto que él, desde su humildad (o no), desea que sea leído por el mayor número de personas.

    Tambien creo que existen personas, como el Sr. Benet, que independientemente de los títulos que pongan a sus obras, sabes que las debes leer porque merecen la pena, estés de acuerdo con ellas o no.

Trackbacks

  1. […] juntar los trozos de papel resultantes para ver el documento, pues bien, imaginaos que alguien pone una destructora de papel que a la vez escanea el documento para enviárnoslo […]