base64_encode(pack(‘H*’,md5($newuser_plaintext_password)));

A continuación paso el código para hacer éste tipo especial de cifrado para usarlo con OpenLDAP, la salida de éste codigo sería algo similar a esto: {md5}bdwy04RS4xMDGVi1n/H36Q==

Algunas advertencias finales a tener en cuenta:
- todo esto no funciona con Active Directory donde las contraseñas son solo creadas usando conecciones SSL y los hashes es muy probable que trabajen de manera distinta.

$ds = ldap_connect($serverAddress);
if ($ds) {
ldap_set_option($ds, LDAP_OPT_PROTOCOL_VERSION, 3);

$r = ldap_bind($ds, $managerDN, $managerPassword);
$ldaprecord['cn'] = $newuser_username;
$ldaprecord['givenName'] = $newuser_firstname;
$ldaprecord['sn'] = $newuser_surname;

$ldaprecord['objectclass'][0] = “person”;
$ldaprecord['objectclass'][1] = “organizationalPerson”;
$ldaprecord['objectclass'][2] = “inetOrgPerson”;
$ldaprecord['mail'] = $newuser_email_address;
$ldaprecord['telephoneNumber'] = $newuser_phone_number;

// aqui viene el truquito:
$ldaprecord['userPassword'] = ‘{MD5}’ . base64_encode(pack(‘H*’,$newuser_md5hashed_password));

// Este seria el truco si tienen la contraseña en texto plano
// entonces se pasaría a MD5, luego a binario y recien Base64:
// $ldaprecord['userPassword'] = ‘{MD5}’ .
// base64_encode(pack(‘H*’,md5($newuser_plaintext_password)));

$r = ldap_add($ds, $base_user_dn, $ldaprecord);
} else { die “cannot connect to LDAP server at $serverAddress.”; }

Credits:
José Marin de la Fuente
www.marindelafuente.com.ar

Los “grandes activos” de las empresas hoy no solo comprenden bienes materiales, sino tambien bienes intangibles: software en desarrollo, códigos fuente, librerías propias, know how, proyectos en gestión, etc.; y en este orden son las empresas IT unas de las más suceptibles de ser victimas de este delito.

Actualmente para cometer actividades ilegales de sustracción de secretos comerciales y robo de información no se necesita ingresar de noche “camuflado”, violar las cerraduras de la empresa y eludir el sistema de alarmas para copiar en un disco o fotocopiar la información como ocurría en el antiguo espionaje industrial; sino que simplemente bastaría en muchos casos con un solo click de un empleado en el botón de “Enviar” para fugar vía email la información confidencial protegida.

Veamos como contempla nuestra legislación este tipo de situaciones, que se puede considerar “secretos comerciales” o información confidencial, y que recaudos contractuales se deben tomar.

Contenido completo en CXO Community

Por Leandro González Frea (Abogado especilista en Derecho Informático y Nuevas Tecnologías)

Colin Greenless, consultor de seguridad de Siemens Enterprise Communications, llevó a cabo durante una semana una investigación especial en uno de los clientes de su empresa para ver qué información podía obtener usando tácticas de ingeniería social. Sin el uso de ningún equipamiento especial, Greenless fue capaz de entrar en las oficinas de la compañía sin ser abordado por el personal de seguridad para, posteriormente, instalarse en una sala de la tercera planta donde trabajó durante varios días.

El consultor también accedió libremente a diferentes pisos, almacenes, archivos y pudo ver datos confidenciales dejados sobre una mesa. Asimismo, se infiltró en los datos financieros de la compañía, que figura en el FTSE 100 del Financial Times, y en su red de telecomunicaciones y TI.

Haciéndose pasar por un trabajador del departamento de informática, Greenless utilizó el sistema de telefonía interno para llamar a los empleados y pedirles información. Durante el experimento, 17 de 20 trabajadores le proporcionaron sus nombres de usuario y claves, dando a Greenless fácil acceso a los datos electrónicos.

“Lo más llamativo es que fue bastante simple. Es sólo cuestión de confianza. Utilizando el truco de pegarse a alguien cuando cruza una puerta operada mediante tarjetas magnéticas o llevando dos tazas de café y esperando a que la gente te abra la puerta”, explica este consultor. Durante la semana que pasó en la empresa financiera, Greenless se hizo amigo de varios empleados, ganándose incluso la confianza del guardia de seguridad.

La ingeniería social, o las trampas basadas en la confianza del usuario, forman parte del arte de manipular a las personas para que divulguen información o realicen acciones que proporcionan acceso a los datos al que comete el fraude. “Los sistemas de protección de alta tecnología son completamente inefectivos contra este tipo de ataques, donde la mayoría de los empleados son, en última instancia, inconscientes de que están siendo manipulados”, apunta el consultor de Siemens.

Fuente: CSO

Consiste en la ejecución de maniobra con el objetivo de incitar a las personas a que voluntariamente realicen actos que normalmente no harían. Un intruso habitualmente utiliza esta técnica con el fin de conseguir información (usuarios y claves de acceso) para ingresar al sistema de una organización.

Los ingenieros sociales son personas que a través de engaños, gran ingenio y manipulación psicológica, influencian a los empleados para que les develen datos elementales que les permitirán penetrar a un sistema informático o acceder a información confidencial que puede estar disponible en diferentes formatos.

Puede tratarse de hackers, empleados disgustados, criminales e incluso espías industriales.

Es habitual que el intruso cuente con una meta concreta, como puede ser obtener un código fuente, una lista de clientes, datos financieros, planes de marketing e incluso planos de un desarrollo como ocurre en el espionaje industrial.

Para cumplir con estos objetivos, los atacantes recurren a diferentes métodos, como descubrir o cambiar contraseñas a un valor conocido, crear cuentas de usuario o administrador, inducir la ejecución de programas, como ser Keyloggers, Troyanos, Spywares, e inclusive hacer uso de técnicas como el Phishing y el Pharming.

Se recurre a técnicas de ingeniería social porque estas tienen gran probabilidad de éxito, su efectividad es cercana al 100%. No hay dispositivos que puedan detectar o detener este tipo de ataques. Además, el costo es bajo (dependerá del tiempo y dedicación asignado al objetivo), y el riesgo para el atacante es menor porque no deja huellas auditables.

Este tipo de amenazas son muy efectivas porque la gente no está enterada de su existencia, en realidad nos las espera. No hay conciencia acerca del valor real de la información y de las consecuencias que una organización puede experimentar si sufre este tipo de ataques.

Hay información que por sí sola puede parecer insignificante, pero que si se la complementa con otra es extremadamente valiosa. Porciones aisladas de datos funcionando colectivamente pueden se letales.

Es el ambiente de negocio lo que determina la exposición de las empresas a este tipo de ataques. El trabajo con personal externo que tiene acceso a recursos de la organización, la existencia de muchas sucursales y la interacción virtual con socios de negocios son algunos de los factores que tornan vulnerables a las organizaciones.

La ingeniería social es una ciencia que requiere preparación. Por ejemplo, cuando uno se plantea conseguir la información de una compañía, lleva a cabo un estudio previo para identificar los hábitos y gustos de las víctimas, para saber por donde iniciar los acercamientos y comenzar, lentamente, a ganar su confianza.

Aquellos ataques con mayor planificación son los que causan mayor impacto o daño. Para recolectar información relevante es común utilizar Internet con el propósito de obtener datos disponibles, revisar archivos corporativos y cosechar información del personal. Es común que el atacante vulnere un sitio público de Internet que no tiene ninguna relación con la empresa objetivo, con el fin de obtener información de alguna persona de la compañía, es un ejemplo los foros, los blogs e incluso los sitios de e-business.

Otra técnica utilizada con este fin es revisar cuáles son las ofertas laborales que tiene vigentes la compañía y a través del análisis de las mismas detectar cómo funcionan determinadas áreas de la empresa o que sistemas utilizan para realizar procesos puntuales. Otro método usual, es hacerse pasar por un colaborador del área de sistemas, encargado de ofrecer soporte a los usuarios internos de la compañía.

Otra fuente de información, menos común pero muchas veces más efectiva, es la denominada Dumpster Diving o revisión de basura y desechos. Revolviendo lo que los empleados descartan se pueden encontrar planes de negocio, correspondencia, manuales, calendarios, memos, propuestas comerciales e incluso listas de usuarios y contraseñas.

En cuanto al modo de identificar un posible ataque, se recomienda estar alerta cuando se perciben requerimientos de información fuera de lo común, a través del correo, telefónicamente e incluso personalmente. Cuando se reciben ofrecimientos de ayuda para resolver problemas descocidos y cuando se experimenta una amabilidad excesiva por parte de alguna persona que no se manifiesta habitualmente de ese modo.

Entre las recomendaciones básicas para evitar ataques de Ingeniería Social en las empresas se encuentran: poseer una clara política de seguridad, la cual deberá estar vigente y comunicada en toda la organización. Concientizar a los empleados en materia de seguridad, analizar las vulnerabilidades de la compañía, e identificar el grado de exposición de la misma. Contar con activos de información inventariada, realizar campañas que comprometan al personal de la empresa, evitar la fuga de información, recompensar a los empleados que cumplan los lineamientos de seguridad y realizar actividades de simulación de ataques a través de técnicas de ingeniería social.

Marcelo Giménez
Director de Seguridad de Operaciones y Tecnología de Global Crossing para América Latina y el Caribe

Fuente:  www.identidadrobada.com/site/nota.php?idNota=2168