ingenieria social: una tecnica no tan tecnica (pampaseg 2010 - la pampa, argentina)
DESCRIPTION
PampaSeg 2010 3-4 Diciembre @ Auditorio Honorable Concejo Deliberante www.pampaseg.org Jornadas de Software Libre y Seguridad Informática 15 DÍAS (Rodrigo Cortés, 2000) ---------------------------------------- [1/3] http://www.youtube.com/watch?v=bSLga82HWag [2/3] http://www.youtube.com/watch?v=xMSfQii624s [3/3] http://www.youtube.com/watch?v=CzY1h1_B8z8 ---------------------------------------- @maxisolerTRANSCRIPT
Ingeniería Social…
Una técnica no tan Técnica
Maximiliano Solere-Mail:Twitter: @maxisoler
Ingeniería Social: Una técnica no tan Técnica
2
Presentación
Ingeniería Social: Una técnica no tan Técnica
3
Quien soy?
Maximiliano Soler, actualmente trabajando como Sr. Analista de Seguridad en un banco internacional, además realizo consultoría externa con compañías internacionales.
Participo y apoyo diferentes proyectos como OWASP, WASSEC, Security-Database, Zero Science Lab.
Fanático de los estándares abiertos como CVE, CWE, OVAL, CCE.
He descubierto vulnerabilidades en diferentes aplicaciones Web y en productos de Microsoft.
Ingeniería Social: Una técnica no tan Técnica
4
Objetivo de la Charla
Realizar una introducción a la Ingeniería Social, demostrando a través
de ejemplos claros y experiencias vividas el potencial de esta
técnica que no es tan técnica. Sobre la cual poco se habla en las
organizaciones.
Ingeniería Social: Una técnica no tan Técnica
5
Información General
Ingeniería Social: Una técnica no tan Técnica
6
Introducción
Las decisiones se basan en Información o Conocimiento. Sin tener en cuenta estos dos factores, no estaremos aptos para poder tomar la correcta decisión en el momento indicado.
Ganar la confianza del usuario, es fundamental para llevar a cabo la tarea del Ingeniero Social. Los mecanismos de hacking tradicionales ya no son suficientes.
Ingeniería Social: Una técnica no tan Técnica
7
Deception?
Engaño o Deception (en inglés) ha sido utilizado desde tiempo inmemorables.
El propósito del engaño es crear una ilusión, la cual de algún modo beneficia a nuestro “ingenierio social”.
El engaño es básicamente la manipulación de información o una situación para producir una realidad deseada.
Ingeniería Social: Una técnica no tan Técnica
8
Un poco de historia…
Históricamente, los ataques de Ingeniería Social estaban limitados a una simple organización o un individuo en un determinado tiempo.
El incremento de los medios de comunicación, el impacto de Internet y crecimiento del eBusiness ha permitido desarrollar ataques de Ingeniería Social aplicados a nivel global.
Ingeniería Social: Una técnica no tan Técnica
9
¿Qué es Ingeniería Social?
Ingeniería Social: Una técnica no tan Técnica
10
¿Qué es Ingeniería Social?
Ingeniería Social es el arte y la ciencia de conseguir que las personas cumplan nuestros deseos. (Brenner, 2001)
En seguridad informática, Ingeniería Social es la práctica de obtener información confidencial por medio la manipulación de usuarios legítimos, es un tipo no-técnico de intrusión que involucra la interacción humana engañando a otras personas para que rompan los procesos normales de seguridad. (McDermott, 2005)
Ingeniería Social: Una técnica no tan Técnica
11
Lo interesante de este tipo de ataque, es que no requiere avanzado conocimiento técnico. Se basa en la confianza de la naturaleza humana.
Empleados y no empleados están relacionados a ataques de Ingeniería Social. Empleados 13% y No Empleados 87%.
Los ataques de Ingeniería Social, puede ser de diferentes formas, incluyendo: phishing, pharming, espionaje industrial y gubernamental, staff impersonation, dumpster diving, shoulder surfing, entre otros.
La Ingeniería Social, puede ser obvia y otras veces no. Como por ejemplo, los cuestionarios. Facebook y otras redes sociales utilizan cuestionarios para "divertir" y entretener a los usuarios finales.
Ingeniería Social: Una técnica no tan Técnica
12
¿Por qué utilizar Ingeniería Social?
Podemos responderlo con dos frases:
» Porque no existe parche para la estupidez humana.
» Las personas son la vulnerabilidad más grande en cualquier red.
Ingeniería Social: Una técnica no tan Técnica
13
Categorías de Ingenieros Sociales
Ingeniería Social: Una técnica no tan Técnica
14
Categorías de Ingenieros Sociales
» Hackers.» Espías Industriales / Agentes de Espionaje Industrial.» Gobiernos Extranjeros / Agentes del Gobierno Extranjeros.» Ladrones de Identidad.» Empleados enojados.» Recolectores de Inteligencia Empresarial.» Agentes de Información / Investigadores Privados.» Criminales.» Terroristas.
Ingeniería Social: Una técnica no tan Técnica
15
Tipos de Ingeniería Social
Existen dos tipos de categorías principales, en las cuales cualquier ataque de Ingeniería Social puede ser clasificado:
» Basados en el uso de Tecnología: Consiste en hacerle creer a la persona que está interactuando realmente con un programa u ordenador con el fin de que nos provea información valiosa.
» Basados en el engaño Humano: Utilizar la naturaleza humana de ser útil, eficiente o caer bien a través de una persona con autoridad.
Ingeniería Social: Una técnica no tan Técnica
16
Framework de Ingeniería Social
Reconocimiento Virtual Físico
Recolección
Relación
Utilización
Ingeniería Social: Una técnica no tan Técnica
17
Framework de Ingeniería Social
» 0x01 Reconocimiento: Existen varios métodos relacionados a Ingeniería Social, sobre cómo la información puede ser obtenida:
Virtual: Este tipo de reconocimiento está relacionado a infectar ordenadores con spyware o código malicioso. Por ejemplo a través de emails, tratando de causar la infección.
Físico: Este tipo de reconocimiento está relacionado a recolectar información a través de medios electrónicos. Por ejemplo analizar blogs, listas de correo, etc.
Ingeniería Social: Una técnica no tan Técnica
18
Framework de Ingeniería Social
» 0x02 Recolección de Información: Una vez que la etapa de Reconocimiento finalizó, se debe transmitir toda la información disponible a través de los medios mencionados.
» 0x03 Relación de Información: Durante un período de tiempo, la información se relacionará y establecerán los canales de comunicación estableciendo las conexiones.
» 0x04 Usando la Información: Llegó el momento de realizar el ataque y este puede ocurrir de diferentes maneras. Robo de Identidad, por ejemplo intentando ganar la información de una organización a través de esa ID.
Ingeniería Social: Una técnica no tan Técnica
19
Ataques de Ingeniería Social
Ingeniería Social: Una técnica no tan Técnica
20
Ataques de Ingeniería Social
» Telefónico.
» Dumpster Diving (Trashing).
» Phishing.
» Drive-by Infection.
» eMail.
» Curiosidad (Hardware).
» Suplantación ID.
» Shoulder Surfing.
» Office Snooping.
» IS Inversa.
Ingeniería Social: Una técnica no tan Técnica
21
» Telefónico
Un atacante llama por teléfono y trata de intimidar a alguien en la posición de autoridad o relevancia, de esa forma obtiene información.
Los Centros de Ayuda (HelpDesk) son generalmente vulnerables a este tipo de ataque.
Ingeniería Social: Una técnica no tan Técnica
22
» Dumpster Diving (Trashing)
También conocido como "Trashing" (Buscar en la Basura), es otro método de Ingeniería Social. Mucha información puede ser encontrada en la basura.
Ejemplos: Anotaciones, Manuales, Políticas, Memos, CONTRASEÑAS!
Ingeniería Social: Una técnica no tan Técnica
23
» Phishing
Una de las principales vulnerabilidades es que muchos usuarios utilizan la misma contraseña para diferentes servicios.
Una técnica conocida es a través de formularios o pantallas de login falsas. Donde se le pide al usuario que valide sus datos de acceso sobre un sitio Web manipulado por el atacante.
Ingeniería Social: Una técnica no tan Técnica
24
» Drive-by Infection
Cuando uno descarga "soluciones de seguridad" desde sitios Web es posible infectarse con diferentes variedades de Malware o Troyanos.
A)- Intencionalmente: Aceptando la descarga desde el sitio Web.B)- Involuntariamente: Explotando una vulnerabilidad en el navegador (0 day).
Ingeniería Social: Una técnica no tan Técnica
25
Los emails enviados pueden contener información interesante para los usuarios y ser bastante llamativos como la imaginación lo permita. Desde fotos de famosas hasta cómo construir un reactor nuclear.
En los archivos adjuntos pueden existir virus, gusanos, backdoors, etc. permitiendo tener acceso total al atacante.
Ingeniería Social: Una técnica no tan Técnica
26
» Curiosidad (Hardware)
El atacante deja un dispositivo de almacenamiento como pendrive, CD, memoria flash en un lugar donde pueda ser encontrado, mientras espera a que la víctima introduzca el dispositivo para infectarse con el código malicioso.
A través de la curiosidad humana es posible llevar a cabo este tipo de ataque.
Ingeniería Social: Una técnica no tan Técnica
27
» Suplantación ID
Consiste en caracterizar a una persona, un rol. Generalmente los roles más empleados son soporte técnico y gerente, etc.
En empresas grandes es difícil conocer a todos los empleados y falsificar las ID resulta Muy Simple!
Ingeniería Social: Una técnica no tan Técnica
28
» Shoulder Surfing
Consiste en entablar una conversación y realizar notas mentales sobre las teclas que presiona el usuario al momento de ingresar sus datos de acceso a un sistema.
Ingeniería Social: Una técnica no tan Técnica
29
» Office Snooping
Muchos usuarios no dejan bloqueadas sus terminales cuando se levantan de sus escritorios o peor aún cuando se retiran del trabajo, por lo tanto es posible acceder a sus datos sin necesidad de identificarse.
Ingeniería Social: Una técnica no tan Técnica
30
» IS Inversa
Es el modo avanzado de la Ingeniería Social, conocido como "Ingeniería Social Inversa".
El atacante trata de parecer alguien de autoridad, para que le pregunten a él y así obtener información.
Requiere mucha preparación, investigación y saber relacionarse con las personas.
Ingeniería Social: Una técnica no tan Técnica
31
La mejor forma de obtener información en un ataque de Ingeniería Social es, simplemente, ser amistoso.
Ingeniería Social: Una técnica no tan Técnica
32
Algunas Preguntas Interesantes
In House IT Support? Computer Make and Model
Trash Handling? Wireless On-Site?
How are Documents Disposed of? ESSID Name?
Who Does Offsite Back-Up? Days of Months Paid?
Employee Schedules? Duration of Employment?
PBX System? Shipping Supplier?
Name of PBX? Time Deliveries Are Made?
Employee Termination Process Browser?
New Hire Process? Version of Browser?
Open a Fake URL PDF Reader?
What OS Used? Version of PDF Reader?
What Service Pack? Websites Blocked?
Mail Client? VPN In Use?
Version of Mail client? VPN Software?
Anti-Virus Used? Badges for Bldg Access?
Is there a Cafeteria? Who Supplies Food?
Ingeniería Social: Una técnica no tan Técnica
33
Ejemplos Reales
Ingeniería Social: Una técnica no tan Técnica
34
Ejemplo N° 1
15 DÍAS (Rodrigo Cortés, 2000)Cortometraje
Ingeniería Social: Una técnica no tan Técnica
35
15 DÍAS (Rodrigo Cortés, 2000)
La historia de un español, llamado Castor Vicente Zamacois, que no utiliza dinero y vive de las compras telefónicas. Se moviliza por diferentes países de Europa.
¿Lo curioso? Devuelve los productos que adquiere luego de los 15 días. Tiempo en el cual las empresas aceptan que sí uno no está satisfecho pueda devolver lo adquirido.
¿Técnica? Aparentando ser quién no es, realizando apuestas y jugando a esconderse. Adaptación al medio, autocapacitación y recopilación indiscriminada de información.
¿Qué llevaba? Un CD con el control de los productos adquiridos, dónde ir, qué empresas quedan pendientes de estafar, etc.
Ingeniería Social: Una técnica no tan Técnica
36
Ejemplo N° 2
Extraño en el EdificioCASO REAL
Una mañana de hace unos meses atrás, un extraño ingresó a las instalaciones de un banco ubicado en la zona de microcentro y
obtuvo acceso completo a la red corporativa de este.
Ingeniería Social: Una técnica no tan Técnica
37
Extraño en el Edificio
¿Cómo lo hizo? Obtuvo poca información de las actividades realizadas, paso a paso, desde diferentes empleados.
¿Qué le sirvió? Aprendió que los empleados de la marca "Soporte X" ingresaban directamente por un sector, sin exigirles credenciales.
Llegó a un área segura, le alcanzó con sonreír y un amigable empleado le abrió la puerta.
Cerca de la impresora, existía una antena de Wifi. Dejando que la red sea accedida desde afuera del edificio.
Utilizó herramientas tradicionales de hacking, elevó privilegios y ganó acceso al dominio, base de datos y no fue detectado.
Ingeniería Social: Una técnica no tan Técnica
38
Simples métodos para evadir un ataque
Ingeniería Social: Una técnica no tan Técnica
39
Simples métodos para evadir un ataque
» "No" es lo primero, en algunas situaciones puede ser flexible, disuasivo y eficaz. Los "NO" son más fuertes cuando estamos seguros de tener razón.
» Sí el conocimiento es un arma, la ignorancia es una armadura. No dar mucha información o detalles sobre lo que nos preguntan.
» Las políticas son buenas defensas contra la ingeniería social.
» Lo mejor manera de aumentar nuestras defensas es disminuir la posibilidad de evadirlas. Utilizar seguridad física, biometría y restringir el acceso físico.
Ingeniería Social: Una técnica no tan Técnica
40
Desarrollo del Firewall Humano
» 01 Inventario de Recursos de Información.
» 02 Estableciendo un Sistema de Clasificación de Información.
» 03 Desarrollo de una Política de Seguridad.
» 04 Programas de Concientización de Seguridad.
» 05 Limitando la fuga de Información.
» 06 Utilización de la Tecnología.
» 07 Pen-Testing usando Ingeniería Social.
» 08 Respuesta ante Incidentes.
Ingeniería Social: Una técnica no tan Técnica
41
Conclusiones
Ingeniería Social: Una técnica no tan Técnica
42
Conclusiones
» La IS no puede ser eliminada completamente, es un serio problema y es uno de los más grandes en las organizaciones.
» La IS es un tema conocido en el ámbito de la seguridad, pero que poco se habla en las organizaciones sobre su prevención.
» La educación y capacitación, continua y dinámica, es el método más eficiente para prevenir los ataques de Ingeniería Social.
» Las organizaciones deben establecer una clara y fuerte política, incluyendo estándares, procesos y procedimientos para ayudar a reducir la amenaza.
Ingeniería Social: Una técnica no tan Técnica
43
Conclusiones
La idea fundamental, es que los empleados sean capaces de identificar un ataque para que puedan minimizar los efectos o
consecuencias del mismo.
Ingeniería Social: Una técnica no tan Técnica
44
¿Cómo ampliar el Conocimiento?
Ingeniería Social: Una técnica no tan Técnica
45
Social Engineer Toolkit (SET)
Orientado a realizar ataques avanzados de Ingeniería Social.
Vectores de Ataque
» Spear-Phishing Attack Vector» Java Applet Attack Vector» Metasploit Browser Exploit Method» Credential Harvester Attack Method» Tabnabbing Attack Method» Man Left in the Middle Attack Method» Web Jacking Attack Method» Multi-Attack Web Vector» Infectious Media Generator» Teensy USB HID Attack Vector
http://www.social-engineer.org/
Ingeniería Social: Una técnica no tan Técnica
46
Social Engineering Frameworkhttp://www.social-engineer.org
The Art of Deception: Controlling the Human Element of SecurityISBN-10: 0471237124
No Tech Hacking: A Guide to Social Engineering, Dumpster Diving, and Shoulder SurfingISBN-10: 1597492159
Ingeniería Social: Una técnica no tan Técnica
47
Preguntas…
Ingeniería Social: Una técnica no tan Técnica
48
Muchas Gracias!
Maximiliano Solere-Mail:Twitter: @maxisoler