Siguiente: Programación segura
Subir: Fauna y otras amenazas
Anterior: Superzapping
Índice General
Las técnicas salami se utilizan para desviar pequeñas cantidades de
bienes - generalmente dinero - de una fuente con un gran cantidad de los
mismos; de la misma forma que de un salami se cortan pequeñas rodajas sin que
el total sufra una reducción considerable, un programa salami roba pequeñas
cantidades de dinero, de forma que su acción pasa inadvertida. Aunque su
efecto es especialmente
grave en entornos bancarios y no en sistemas habituales, en este trabajo vamos a
hablar brevemente de los programas salami ya que se pueden utilizar para atacar
equipos Unix dedicados a operaciones financieras, como la gestión de nóminas
de personal o la asignación de becas.
El principal problema de los programas salami es que son extremadamente
difíciles de detectar, y sólo una compleja auditoría de cuentas
puede sacar a la luz estos fraudes. Si un programador es lo suficientemente
inteligente como para insertar malware de este tipo en los sistemas de
un banco para el cual trabaja (si se tratara de un atacante externo la
probabilidad de ataque sería casi despreciable), seguramente conoce a la
perfección todos los entresijos de dicho banco, de forma que no le será
difícil desviar fondos a cuentas que no son la suya, comprobar si se
sobrepasa un cierto umbral en dichas cuentas - umbral a partir del cual el
banco `se interesaría' por el propietario de la cuenta - o incluso
utilizar nombres falsos o cuentas externas a las que desviar el dinero. Contra
esto, una de las pocas soluciones consiste en vigilar de cerca las cuentas de
los empleados y sus allegados, así como estar atentos a posibles cambios
en su modo de vida: un coche de lujo de una persona con un sueldo normal,
viajes caros, demasiadas ostentaciones...pueden ser signo de un fraude;
evidentemente, es necesario consultar con un gabinete jurídico la
legalidad o ilegalidad de estas acciones, que pueden constituir una invasión
a la privacidad del trabajador. Por supuesto, la solución ideal sería
comprobar línea a línea todo el software del banco, pero pocos
auditores tienen los conocimientos - y la paciencia - suficientes para
realizar esta tarea.
Un caso particular de programa salami lo constituyen los programas de redondeo
hacia abajo o round down. Este fraude consiste en aprovechar cálculos
de los sistemas bancarios que obtienen cantidades de dinero más pequeñas que
la moneda de menor valor (en el caso de España, cantidades de céntimos);
por ejemplo, imaginemos que alguien tiene ingresadas 123.523 pesetas a un
interés del 2'5%; los créditos le reditarán un total de 3088'075 pesetas,
que automáticamente para el banco se transformarán en 3088. Si esos 7'5
céntimos se acumulan en otro cálculo con cantidades igual de despreciables,
se llegará tarde o temprano a un punto en el que la cantidad total de dinero
sea lo suficientemente apetecible para un atacante dispuesto a aprovechar la
situación. Si pensamos que millones de estos cálculos se realizan
diariamente en todos los bancos de España, podemos hacernos una idea del poco
tiempo que tardará la cuenta de un pirata en llenarse.
Siguiente: Programación segura
Subir: Fauna y otras amenazas
Anterior: Superzapping
Índice General
2003-08-08