Seguridad Física - Mira Mamá, como Jason Bourne - BugCON 2013
43
1 - SEGURIDAD FISICA - MIRA MAMA, COMO JASON BOURNE Alejandro Hernández H. CISSP, GPEN http://twitter.com/nitr0usmx http://www.ioactive.com http://chatsubo-labs.blogspot.com http://www.brainoverflow.org
-
Upload
alejandro-hernandez -
Category
Technology
-
view
260 -
download
1
description
Physical Security Controls ans Assessment Techniques
Transcript of Seguridad Física - Mira Mamá, como Jason Bourne - BugCON 2013
1
- SEGURIDAD FISICA -
MIRA MAMA, COMO JASON BOURNE
Alejandro Hernández H. CISSP, GPEN
http://twitter.com/nitr0usmx
http://www.ioactive.comhttp://chatsubo-labs.blogspot.com http://www.brainoverflow.org
Sobre mí…
Consultor de Seguridad Senior de IOActive
10 años involucrado en Seguridad
Rompo cosas
Ah! Y soy CISSP…
2
3
Tabla de Contenidos Esta presentación será un collage de
conceptos, experiencias propias y clips de video
¿Qué proteger físicamente? Controles de seguridad física
comúnmente utilizados Mientras tanto en México… Técnicas de evaluación de seguridad
física (infiltración, ingeniería social cara-a-cara, etc.)
Conceptos interesantes e inusuales
4
INTRO VIDEO CLIP
Jason Bourne - Stealing the Blackbriar Files
5
¿Qué proteger físicamente? Personas Terremotos Ingeniería Social Etc.
Datos e información Documentos impresos (contratos, facturas, etc.) Post-its Etc.
Infraestructura tecnológica Centro de datos Robots en plantas industriales Etc.
6
Controles de seguridad física comúnmente utilizados
7
Controles de seguridad física comúnmente utilizados
8
Controles de seguridad física comúnmente utilizados
9
Mientras tanto en México… Acceso de equipo de cómputo a edificios Bitácora en papel con hora de entrada/salida? Revisión de guardias de seguridad?
Acceso físico “Estampita” de visitante Acceso por estacionamientos? GENTE AMABLE (“Permítame ! Le abro la puerta”) Guardias con sobrepeso o somnolientos
Seguridad de Infraestructura Contraseñas por default (CCTV, puertas de “Alta Seguridad”) Matriz de control de acceso deficiente Puertas de madera…
Etc. Etc. Etc.10
11
BITCH PLEASE !!!
VIDEO CLIP
Jason Bourne - Evacuation Plan
Cierta información puede ser utilizada en tu contra
12
Técnicas de Evaluación Infiltración e Ingeniería Social Creación de gafetes falsos
Banners y colores corporativos en el sitio Web Nombres/No de empleados (Open Source
Intelligence) Mica de papelería = $10.00 pesos
Impresión de hoja de “autorización” Lo mismo de arriba, pero con firma de ‘CEO’ ;-D
Seguridad personal al estar frente al guardia de seguridad (Ingeniería Social y DETERMINACIÓN)
13
Técnicas de Evaluación Infiltración e Ingeniería Social Uno de 2011...
14
15
Técnicas de Evaluación Infiltración e Ingeniería Social Otro de 2008…
Técnicas de Evaluación Piggybacking Cuando una persona se
‘pega’ a otra para pasar ciertos puntos de seguridad, p.e. una puerta sin pasar una tarjeta de acceso
16
Técnicas de Evaluación Lock Picking El arte de abrir manipular
los elementos mecánicos de una cerradura para realizar su apertura sin llave
17
18
IOActive Lock Picking session @ Mt. Baker [Enero 2013]
VIDEO CLIP
Lock Picking 101
Puertas y cajas fuertes también vulnerables
19
VIDEO CLIP
Vina F in Gringo Warrior
Lock Picking y diversión en DEFCON (Gringo Warrior Game)
20
Técnicas de Evaluación Contraseñas por
default A veces se requiere del
software del fabricante (Demo?) para hablar el mismo lenguaje (protocolo)
21
VIDEO CLIP
Spaceballs super password XD
Dispositivos de seguridad física también tienen contraseñas por default
22
VIDEO CLIP
Control de 48 cámaras de Seguridad de un edificio de México DF
DVRs y Cámaras CCTV también tiene contraseñas por default
23
VIDEO CLIP
Acceso a un Centro de Datos de “Alta Seguridad” en México DF utilizando el panel de administración (sin contraseña) del
dispositivo biométrico
La mayoría de dispositivos biométricos están bien diseñados y desarrollados… Pero son mal configurados/implementados.
24
Técnicas de Evaluación Plantas Industriales Separación ‘física’ de redes de datos e industriales Puertos USB (des)habilitados
25
26
27
Jan 15th, 2013 DoD Looking to ‘Jump the Gap’ Into Adversaries’ Closed Networks
Iranian President Mahmoud Ahmadinejad visits the Natanz
uranium enrichment facilities, where a “closed”
computer network was infected by malware introduced via a small flash drive.http://www.defensenews.com/article/20130115/C4ISR01/301150010/DoD-Looking-8216-Jump-Gap-8217-Into-Adversaries-8217-Closed-Networks
28
Conceptos interesantes e inusuales En algún lugar cerca de Toluca… Puertas Antibombas Grandes montículos de arena alrededor (para qué?)
29
Conceptos interesantes e inusuales Urban Exploration Evaluación Ninja Often shortened as urbex or UE. It may also be
referred to as Infiltration, Building Hacking, draining (when exploring drains), urban rock climbing
Exploration of man-made structures, usually abandoned ruins or not usually seen components of the man-made environment
30
Conceptos interesantes e inusuales Urban Exploration
31
Conceptos interesantes e inusuales Urban Exploration En México…
32
Conceptos interesantes e inusuales Urban Exploration http://www.infiltration.org
33
34
Conceptos interesantes e inusuales Conceptos de uno de
los mejores libros que he leído
Críticas sin fundamentos en 3..2..1
35
Conceptos interesantes e inusuales
36
Conceptos interesantes e inusuales
37
Conceptos interesantes e inusuales
38
Conceptos interesantes e inusuales
39
Conceptos interesantes e inusuales
40
Lo he visto muuuuchas veces en México…
Conceptos interesantes e inusuales
41
Agradecimientos
42
BugCON por permitirme estar aquí 5 años consecutivos
Chr1x a.k.a s0n0fg0d ! B33rc0n (hkm, calderpwn, Carlos
Ayala, Daemon, dex) Al t0c4y0 => alt3kx LightOS, beck, crypk3y, nahual,
nediam, Rolman, Sandino, tr3w, bucio, wengyep, moften, Xava, dr_fdisk^, etc. Etc. Etc.e e.t .x,.. .x,
43
- GRACIAS -Alejandro Hernández H. CISSP, GPEN
http://twitter.com/nitr0usmx
http://www.ioactive.comhttp://chatsubo-labs.blogspot.com http://www.brainoverflow.org
