Ingenieria Social: Una tecnica no tan tecnica (PampaSeg 2010 - La Pampa, Argentina)

Ingeniería Social…

Una técnica no tan Técnica

Maximiliano Solere-Mail:Twitter: @maxisoler

Ingeniería Social: Una técnica no tan Técnica

2

Presentación


3

Quien soy?

Maximiliano Soler, actualmente trabajando como Sr. Analista de Seguridad en un banco internacional, además realizo consultoría externa con compañías internacionales.

Participo y apoyo diferentes proyectos como OWASP, WASSEC, Security-Database, Zero Science Lab.

Fanático de los estándares abiertos como CVE, CWE, OVAL, CCE.

He descubierto vulnerabilidades en diferentes aplicaciones Web y en productos de Microsoft.


4

Objetivo de la Charla

Realizar una introducción a la Ingeniería Social, demostrando a través

de ejemplos claros y experiencias vividas el potencial de esta

técnica que no es tan técnica. Sobre la cual poco se habla en las

organizaciones.


5

Información General


6

Introducción

Las decisiones se basan en Información o Conocimiento. Sin tener en cuenta estos dos factores, no estaremos aptos para poder tomar la correcta decisión en el momento indicado.

Ganar la confianza del usuario, es fundamental para llevar a cabo la tarea del Ingeniero Social. Los mecanismos de hacking tradicionales ya no son suficientes.


7

Deception?

Engaño o Deception (en inglés) ha sido utilizado desde tiempo inmemorables.

El propósito del engaño es crear una ilusión, la cual de algún modo beneficia a nuestro “ingenierio social”.

El engaño es básicamente la manipulación de información o una situación para producir una realidad deseada.


8

Un poco de historia…

Históricamente, los ataques de Ingeniería Social estaban limitados a una simple organización o un individuo en un determinado tiempo.

El incremento de los medios de comunicación, el impacto de Internet y crecimiento del eBusiness ha permitido desarrollar ataques de Ingeniería Social aplicados a nivel global.


9

¿Qué es Ingeniería Social?


10

¿Qué es Ingeniería Social?

Ingeniería Social es el arte y la ciencia de conseguir que las personas cumplan nuestros deseos. (Brenner, 2001)

En seguridad informática, Ingeniería Social es la práctica de obtener información confidencial por medio la manipulación de usuarios legítimos, es un tipo no-técnico de intrusión que involucra la interacción humana engañando a otras personas para que rompan los procesos normales de seguridad. (McDermott, 2005)


11

Lo interesante de este tipo de ataque, es que no requiere avanzado conocimiento técnico. Se basa en la confianza de la naturaleza humana.

Empleados y no empleados están relacionados a ataques de Ingeniería Social. Empleados 13% y No Empleados 87%.

Los ataques de Ingeniería Social, puede ser de diferentes formas, incluyendo: phishing, pharming, espionaje industrial y gubernamental, staff impersonation, dumpster diving, shoulder surfing, entre otros.

La Ingeniería Social, puede ser obvia y otras veces no. Como por ejemplo, los cuestionarios. Facebook y otras redes sociales utilizan cuestionarios para "divertir" y entretener a los usuarios finales.


12

¿Por qué utilizar Ingeniería Social?

Podemos responderlo con dos frases:

» Porque no existe parche para la estupidez humana.

» Las personas son la vulnerabilidad más grande en cualquier red.


13

Categorías de Ingenieros Sociales


14

Categorías de Ingenieros Sociales

» Hackers.» Espías Industriales / Agentes de Espionaje Industrial.» Gobiernos Extranjeros / Agentes del Gobierno Extranjeros.» Ladrones de Identidad.» Empleados enojados.» Recolectores de Inteligencia Empresarial.» Agentes de Información / Investigadores Privados.» Criminales.» Terroristas.


15

Tipos de Ingeniería Social

Existen dos tipos de categorías principales, en las cuales cualquier ataque de Ingeniería Social puede ser clasificado:

» Basados en el uso de Tecnología: Consiste en hacerle creer a la persona que está interactuando realmente con un programa u ordenador con el fin de que nos provea información valiosa.

» Basados en el engaño Humano: Utilizar la naturaleza humana de ser útil, eficiente o caer bien a través de una persona con autoridad.


16

Framework de Ingeniería Social

Reconocimiento Virtual Físico

Recolección

Relación

Utilización


17


» 0x01 Reconocimiento: Existen varios métodos relacionados a Ingeniería Social, sobre cómo la información puede ser obtenida:

Virtual: Este tipo de reconocimiento está relacionado a infectar ordenadores con spyware o código malicioso. Por ejemplo a través de emails, tratando de causar la infección.

Físico: Este tipo de reconocimiento está relacionado a recolectar información a través de medios electrónicos. Por ejemplo analizar blogs, listas de correo, etc.


18


» 0x02 Recolección de Información: Una vez que la etapa de Reconocimiento finalizó, se debe transmitir toda la información disponible a través de los medios mencionados.

» 0x03 Relación de Información: Durante un período de tiempo, la información se relacionará y establecerán los canales de comunicación estableciendo las conexiones.

» 0x04 Usando la Información: Llegó el momento de realizar el ataque y este puede ocurrir de diferentes maneras. Robo de Identidad, por ejemplo intentando ganar la información de una organización a través de esa ID.


19

Ataques de Ingeniería Social


20

Ataques de Ingeniería Social

» Telefónico.

» Dumpster Diving (Trashing).

» Phishing.

» Drive-by Infection.

» eMail.

» Curiosidad (Hardware).

» Suplantación ID.

» Shoulder Surfing.

» Office Snooping.

» IS Inversa.


21

» Telefónico

Un atacante llama por teléfono y trata de intimidar a alguien en la posición de autoridad o relevancia, de esa forma obtiene información.

Los Centros de Ayuda (HelpDesk) son generalmente vulnerables a este tipo de ataque.


22

» Dumpster Diving (Trashing)

También conocido como "Trashing" (Buscar en la Basura), es otro método de Ingeniería Social. Mucha información puede ser encontrada en la basura.

Ejemplos: Anotaciones, Manuales, Políticas, Memos, CONTRASEÑAS!


23

» Phishing

Una de las principales vulnerabilidades es que muchos usuarios utilizan la misma contraseña para diferentes servicios.

Una técnica conocida es a través de formularios o pantallas de login falsas. Donde se le pide al usuario que valide sus datos de acceso sobre un sitio Web manipulado por el atacante.


24

» Drive-by Infection

Cuando uno descarga "soluciones de seguridad" desde sitios Web es posible infectarse con diferentes variedades de Malware o Troyanos.

A)- Intencionalmente: Aceptando la descarga desde el sitio Web.B)- Involuntariamente: Explotando una vulnerabilidad en el navegador (0 day).


25

» eMail

Los emails enviados pueden contener información interesante para los usuarios y ser bastante llamativos como la imaginación lo permita. Desde fotos de famosas hasta cómo construir un reactor nuclear.

En los archivos adjuntos pueden existir virus, gusanos, backdoors, etc. permitiendo tener acceso total al atacante.


26

» Curiosidad (Hardware)

El atacante deja un dispositivo de almacenamiento como pendrive, CD, memoria flash en un lugar donde pueda ser encontrado, mientras espera a que la víctima introduzca el dispositivo para infectarse con el código malicioso.

A través de la curiosidad humana es posible llevar a cabo este tipo de ataque.


27

» Suplantación ID

Consiste en caracterizar a una persona, un rol. Generalmente los roles más empleados son soporte técnico y gerente, etc.

En empresas grandes es difícil conocer a todos los empleados y falsificar las ID resulta Muy Simple!


28

» Shoulder Surfing

Consiste en entablar una conversación y realizar notas mentales sobre las teclas que presiona el usuario al momento de ingresar sus datos de acceso a un sistema.


29

» Office Snooping

Muchos usuarios no dejan bloqueadas sus terminales cuando se levantan de sus escritorios o peor aún cuando se retiran del trabajo, por lo tanto es posible acceder a sus datos sin necesidad de identificarse.


30

» IS Inversa

Es el modo avanzado de la Ingeniería Social, conocido como "Ingeniería Social Inversa".

El atacante trata de parecer alguien de autoridad, para que le pregunten a él y así obtener información.

Requiere mucha preparación, investigación y saber relacionarse con las personas.


31

La mejor forma de obtener información en un ataque de Ingeniería Social es, simplemente, ser amistoso.


32

Algunas Preguntas Interesantes

In House IT Support? Computer Make and Model

Trash Handling? Wireless On-Site?

How are Documents Disposed of? ESSID Name?

Who Does Offsite Back-Up? Days of Months Paid?

Employee Schedules? Duration of Employment?

PBX System? Shipping Supplier?

Name of PBX? Time Deliveries Are Made?

Employee Termination Process Browser?

New Hire Process? Version of Browser?

Open a Fake URL PDF Reader?

What OS Used? Version of PDF Reader?

What Service Pack? Websites Blocked?

Mail Client? VPN In Use?

Version of Mail client? VPN Software?

Anti-Virus Used? Badges for Bldg Access?

Is there a Cafeteria? Who Supplies Food?


33

Ejemplos Reales


34

Ejemplo N° 1

15 DÍAS (Rodrigo Cortés, 2000)Cortometraje


35

15 DÍAS (Rodrigo Cortés, 2000)

La historia de un español, llamado Castor Vicente Zamacois, que no utiliza dinero y vive de las compras telefónicas. Se moviliza por diferentes países de Europa.

¿Lo curioso? Devuelve los productos que adquiere luego de los 15 días. Tiempo en el cual las empresas aceptan que sí uno no está satisfecho pueda devolver lo adquirido.

¿Técnica? Aparentando ser quién no es, realizando apuestas y jugando a esconderse. Adaptación al medio, autocapacitación y recopilación indiscriminada de información.

¿Qué llevaba? Un CD con el control de los productos adquiridos, dónde ir, qué empresas quedan pendientes de estafar, etc.


36

Ejemplo N° 2

Extraño en el EdificioCASO REAL

Una mañana de hace unos meses atrás, un extraño ingresó a las instalaciones de un banco ubicado en la zona de microcentro y

obtuvo acceso completo a la red corporativa de este.


37

Extraño en el Edificio

¿Cómo lo hizo? Obtuvo poca información de las actividades realizadas, paso a paso, desde diferentes empleados.

¿Qué le sirvió? Aprendió que los empleados de la marca "Soporte X" ingresaban directamente por un sector, sin exigirles credenciales.

Llegó a un área segura, le alcanzó con sonreír y un amigable empleado le abrió la puerta.

Cerca de la impresora, existía una antena de Wifi. Dejando que la red sea accedida desde afuera del edificio.

Utilizó herramientas tradicionales de hacking, elevó privilegios y ganó acceso al dominio, base de datos y no fue detectado.


38

Simples métodos para evadir un ataque


39

Simples métodos para evadir un ataque

» "No" es lo primero, en algunas situaciones puede ser flexible, disuasivo y eficaz. Los "NO" son más fuertes cuando estamos seguros de tener razón.

» Sí el conocimiento es un arma, la ignorancia es una armadura. No dar mucha información o detalles sobre lo que nos preguntan.

» Las políticas son buenas defensas contra la ingeniería social.

» Lo mejor manera de aumentar nuestras defensas es disminuir la posibilidad de evadirlas. Utilizar seguridad física, biometría y restringir el acceso físico.


40

Desarrollo del Firewall Humano

» 01 Inventario de Recursos de Información.

» 02 Estableciendo un Sistema de Clasificación de Información.

» 03 Desarrollo de una Política de Seguridad.

» 04 Programas de Concientización de Seguridad.

» 05 Limitando la fuga de Información.

» 06 Utilización de la Tecnología.

» 07 Pen-Testing usando Ingeniería Social.

» 08 Respuesta ante Incidentes.


41

Conclusiones


42

Conclusiones

» La IS no puede ser eliminada completamente, es un serio problema y es uno de los más grandes en las organizaciones.

» La IS es un tema conocido en el ámbito de la seguridad, pero que poco se habla en las organizaciones sobre su prevención.

» La educación y capacitación, continua y dinámica, es el método más eficiente para prevenir los ataques de Ingeniería Social.

» Las organizaciones deben establecer una clara y fuerte política, incluyendo estándares, procesos y procedimientos para ayudar a reducir la amenaza.


43

Conclusiones

La idea fundamental, es que los empleados sean capaces de identificar un ataque para que puedan minimizar los efectos o

consecuencias del mismo.


44

¿Cómo ampliar el Conocimiento?


45

Social Engineer Toolkit (SET)

Orientado a realizar ataques avanzados de Ingeniería Social.

Vectores de Ataque

» Spear-Phishing Attack Vector» Java Applet Attack Vector» Metasploit Browser Exploit Method» Credential Harvester Attack Method» Tabnabbing Attack Method» Man Left in the Middle Attack Method» Web Jacking Attack Method» Multi-Attack Web Vector» Infectious Media Generator» Teensy USB HID Attack Vector

http://www.social-engineer.org/


46

Social Engineering Frameworkhttp://www.social-engineer.org

The Art of Deception: Controlling the Human Element of SecurityISBN-10: 0471237124

No Tech Hacking: A Guide to Social Engineering, Dumpster Diving, and Shoulder SurfingISBN-10: 1597492159


47

Preguntas…


48

Muchas Gracias!

Maximiliano Solere-Mail:Twitter: @maxisoler

Ingenieria Social: Una tecnica no tan tecnica (PampaSeg 2010 - La Pampa, Argentina)

Business

Transcript of Ingenieria Social: Una tecnica no tan tecnica (PampaSeg 2010 - La Pampa, Argentina)