Ingenieria Social: Una tecnica no tan tecnica (PampaSeg 2010 - La Pampa, Argentina)

6,246 views
5,976 views

Published on

PampaSeg 2010
3-4 Diciembre @ Auditorio Honorable Concejo Deliberante
www.pampaseg.org


Jornadas de Software Libre y Seguridad Informática

15 DÍAS (Rodrigo Cortés, 2000)
----------------------------------------
[1/3] http://www.youtube.com/watch?v=bSLga82HWag
[2/3] http://www.youtube.com/watch?v=xMSfQii624s
[3/3] http://www.youtube.com/watch?v=CzY1h1_B8z8
----------------------------------------

@maxisoler

Published in: Business, Technology
1 Comment
3 Likes
Statistics
Notes
No Downloads
Views
Total views
6,246
On SlideShare
0
From Embeds
0
Number of Embeds
13
Actions
Shares
0
Downloads
244
Comments
1
Likes
3
Embeds 0
No embeds

No notes for slide

Ingenieria Social: Una tecnica no tan tecnica (PampaSeg 2010 - La Pampa, Argentina)

  1. 2. <ul><li>Presentación </li></ul>
  2. 3. <ul><li>Quien soy? </li></ul><ul><li>Maximiliano Soler , actualmente trabajando como Sr. Analista de Seguridad en un banco internacional, además realizo consultoría externa con compañías internacionales. </li></ul><ul><li>Participo y apoyo diferentes proyectos como OWASP , WASSEC , Security-Database , Zero Science Lab . </li></ul><ul><li>Fanático de los estándares abiertos como CVE , CWE , OVAL , CCE . </li></ul><ul><li>He descubierto vulnerabilidades en diferentes aplicaciones Web y en productos de Microsoft. </li></ul>
  3. 4. <ul><li>Objetivo de la Charla </li></ul><ul><li>Realizar una introducción a la Ingeniería Social , demostrando a través de ejemplos claros y experiencias vividas el potencial de esta técnica que no es tan técnica . Sobre la cual poco se habla en las organizaciones. </li></ul>
  4. 5. <ul><li>Información General </li></ul>
  5. 6. <ul><li>Introducción </li></ul><ul><li>Las decisiones se basan en Información o Conocimiento. Sin tener en cuenta estos dos factores, no estaremos aptos para poder tomar la correcta decisión en el momento indicado. </li></ul><ul><li>Ganar la confianza del usuario , es fundamental para llevar a cabo la tarea del Ingeniero Social. Los mecanismos de hacking tradicionales ya no son suficientes. </li></ul>
  6. 7. <ul><li>Deception? </li></ul><ul><li>Engaño o Deception (en inglés) ha sido utilizado desde tiempo inmemorables. </li></ul><ul><li>El propósito del engaño es crear una ilusión , la cual de algún modo beneficia a nuestro “ingenierio social”. </li></ul><ul><li>El engaño es básicamente la manipulación de información o una situación para producir una realidad deseada. </li></ul>
  7. 8. <ul><li>Un poco de historia… </li></ul><ul><li>Históricamente, los ataques de Ingeniería Social estaban limitados a una simple organización o un individuo en un determinado tiempo. </li></ul><ul><li>El incremento de los medios de comunicación, el impacto de Internet y crecimiento del eBusiness ha permitido desarrollar ataques de Ingeniería Social aplicados a nivel global . </li></ul>
  8. 9. <ul><li>¿Qué es Ingeniería Social? </li></ul>
  9. 10. <ul><li>¿Qué es Ingeniería Social? </li></ul><ul><li>Ingeniería Social es el arte y la ciencia de conseguir que las personas cumplan nuestros deseos . (Brenner, 2001) </li></ul><ul><li>En seguridad informática, Ingeniería Social es la práctica de obtener información confidencial por medio la manipulación de usuarios legítimos, es un tipo no-técnico de intrusión que involucra la interacción humana engañando a otras personas para que rompan los procesos normales de seguridad. (McDermott, 2005) </li></ul>
  10. 11. <ul><li>Lo interesante de este tipo de ataque, es que no requiere avanzado conocimiento técnico . Se basa en la confianza de la naturaleza humana. </li></ul><ul><li>Empleados y no empleados están relacionados a ataques de Ingeniería Social. Empleados 13% y No Empleados 87% . </li></ul><ul><li>Los ataques de Ingeniería Social, puede ser de diferentes formas, incluyendo: phishing , pharming , espionaje industrial y gubernamental, staff impersonation , dumpster diving , shoulder surfing , entre otros. </li></ul><ul><li>La Ingeniería Social, puede ser obvia y otras veces no. Como por ejemplo, los cuestionarios . Facebook y otras redes sociales utilizan cuestionarios para &quot;divertir&quot; y entretener a los usuarios finales. </li></ul>
  11. 12. <ul><li>¿Por qué utilizar Ingeniería Social? </li></ul><ul><li>Podemos responderlo con dos frases: </li></ul><ul><li>» Porque no existe parche para la estupidez humana. </li></ul><ul><li>» Las personas son la vulnerabilidad más grande en cualquier red. </li></ul>
  12. 13. <ul><li>Categorías de Ingenieros Sociales </li></ul>
  13. 14. <ul><li>Categorías de Ingenieros Sociales </li></ul><ul><li>» Hackers. </li></ul><ul><li>» Espías Industriales / Agentes de Espionaje Industrial. </li></ul><ul><li>» Gobiernos Extranjeros / Agentes del Gobierno Extranjeros. </li></ul><ul><li>» Ladrones de Identidad. </li></ul><ul><li>» Empleados enojados. </li></ul><ul><li>» Recolectores de Inteligencia Empresarial. </li></ul><ul><li>» Agentes de Información / Investigadores Privados. </li></ul><ul><li>» Criminales. </li></ul><ul><li>» Terroristas. </li></ul>
  14. 15. <ul><li>Tipos de Ingeniería Social </li></ul><ul><li>Existen dos tipos de categorías principales, en las cuales cualquier ataque de Ingeniería Social puede ser clasificado: </li></ul><ul><li>» Basados en el uso de Tecnología : Consiste en hacerle creer a la persona que está interactuando realmente con un programa u ordenador con el fin de que nos provea información valiosa. </li></ul><ul><li>» Basados en el engaño Humano : Utilizar la naturaleza humana de ser útil, eficiente o caer bien a través de una persona con autoridad. </li></ul>
  15. 16. <ul><li>Framework de Ingeniería Social </li></ul>Reconocimiento Virtual Físico Recolección Relación Utilización
  16. 17. <ul><li>Framework de Ingeniería Social </li></ul><ul><li>» 0x01 Reconocimiento: Existen varios métodos relacionados a Ingeniería Social, sobre cómo la información puede ser obtenida: </li></ul><ul><li>Virtual: Este tipo de reconocimiento está relacionado a infectar ordenadores con spyware o código malicioso. Por ejemplo a través de emails, tratando de causar la infección. </li></ul><ul><li>Físico: Este tipo de reconocimiento está relacionado a recolectar información a través de medios electrónicos. Por ejemplo analizar blogs, listas de correo, etc. </li></ul>
  17. 18. <ul><li>Framework de Ingeniería Social </li></ul><ul><li>» 0x02 Recolección de Información: Una vez que la etapa de Reconocimiento finalizó, se debe transmitir toda la información disponible a través de los medios mencionados. </li></ul><ul><li>» 0x03 Relación de Información: Durante un período de tiempo, la información se relacionará y establecerán los canales de comunicación estableciendo las conexiones. </li></ul><ul><li>» 0x04 Usando la Información: Llegó el momento de realizar el ataque y este puede ocurrir de diferentes maneras. Robo de Identidad, por ejemplo intentando ganar la información de una organización a través de esa ID. </li></ul>
  18. 19. <ul><li>Ataques de Ingeniería Social </li></ul>
  19. 20. <ul><li>Ataques de Ingeniería Social </li></ul><ul><li>» Telefónico. </li></ul><ul><li>» Dumpster Diving (Trashing). </li></ul><ul><li>» Phishing. </li></ul><ul><li>» Drive-by Infection. </li></ul><ul><li>» eMail. </li></ul><ul><li>» Curiosidad (Hardware). </li></ul><ul><li>» Suplantación ID. </li></ul><ul><li>» Shoulder Surfing. </li></ul><ul><li>» Office Snooping. </li></ul><ul><li>» IS Inversa. </li></ul>
  20. 21. <ul><li>» Telefónico </li></ul><ul><li>Un atacante llama por teléfono y trata de intimidar a alguien en la posición de autoridad o relevancia, de esa forma obtiene información. </li></ul><ul><li>Los Centros de Ayuda ( HelpDesk ) son generalmente vulnerables a este tipo de ataque. </li></ul>
  21. 22. <ul><li>» Dumpster Diving (Trashing) </li></ul><ul><li>También conocido como &quot; Trashing &quot; ( Buscar en la Basura ), es otro método de Ingeniería Social. Mucha información puede ser encontrada en la basura. </li></ul><ul><li>Ejemplos: Anotaciones, Manuales, Políticas, Memos, CONTRASEÑAS ! </li></ul>
  22. 23. <ul><li>» Phishing </li></ul><ul><li>Una de las principales vulnerabilidades es que muchos usuarios utilizan la misma contraseña para diferentes servicios. </li></ul><ul><li>Una técnica conocida es a través de formularios o pantallas de login falsas . Donde se le pide al usuario que valide sus datos de acceso sobre un sitio Web manipulado por el atacante. </li></ul>
  23. 24. <ul><li>» Drive-by Infection </li></ul><ul><li>Cuando uno descarga &quot; soluciones de seguridad &quot; desde sitios Web es posible infectarse con diferentes variedades de Malware o Troyanos . </li></ul><ul><li>A)- Intencionalmente: Aceptando la descarga desde el sitio Web. </li></ul><ul><li>B)- Involuntariamente: Explotando una vulnerabilidad en el navegador (0 day). </li></ul>
  24. 25. <ul><li>» eMail </li></ul><ul><li>Los emails enviados pueden contener información interesante para los usuarios y ser bastante llamativos como la imaginación lo permita. Desde fotos de famosas hasta cómo construir un reactor nuclear . </li></ul><ul><li>En los archivos adjuntos pueden existir virus , gusanos , backdoors , etc. permitiendo tener acceso total al atacante. </li></ul>
  25. 26. <ul><li>» Curiosidad (Hardware) </li></ul><ul><li>El atacante deja un dispositivo de almacenamiento como pendrive, CD, memoria flash en un lugar donde pueda ser encontrado, mientras espera a que la víctima introduzca el dispositivo para infectarse con el código malicioso. </li></ul><ul><li>A través de la curiosidad humana es posible llevar a cabo este tipo de ataque. </li></ul>
  26. 27. <ul><li>» Suplantación ID </li></ul><ul><li>Consiste en caracterizar a una persona, un rol. Generalmente los roles más empleados son soporte técnico y gerente , etc. </li></ul><ul><li>En empresas grandes es difícil conocer a todos los empleados y falsificar las ID resulta Muy Simple! </li></ul>
  27. 28. <ul><li>» Shoulder Surfing </li></ul><ul><li>Consiste en entablar una conversación y realizar notas mentales sobre las teclas que presiona el usuario al momento de ingresar sus datos de acceso a un sistema. </li></ul>
  28. 29. <ul><li>» Office Snooping </li></ul><ul><li>Muchos usuarios no dejan bloqueadas sus terminales cuando se levantan de sus escritorios o peor aún cuando se retiran del trabajo, por lo tanto es posible acceder a sus datos sin necesidad de identificarse. </li></ul>
  29. 30. <ul><li>» IS Inversa </li></ul><ul><li>Es el modo avanzado de la Ingeniería Social, conocido como &quot; Ingeniería Social Inversa &quot;. </li></ul><ul><li>El atacante trata de parecer alguien de autoridad , para que le pregunten a él y así obtener información. </li></ul><ul><li>Requiere mucha preparación , investigación y saber relacionarse con las personas. </li></ul>
  30. 31. <ul><li>La mejor forma de obtener información en un ataque de Ingeniería Social es, simplemente, ser amistoso . </li></ul>
  31. 32. <ul><li>Algunas Preguntas Interesantes </li></ul>Who Supplies Food? Is there a Cafeteria? Badges for Bldg Access? Anti-Virus Used? VPN Software? Version of Mail client? VPN In Use? Mail Client? Websites Blocked? What Service Pack? Version of PDF Reader? What OS Used? PDF Reader? Open a Fake URL Version of Browser? New Hire Process? Browser? Employee Termination Process Time Deliveries Are Made? Name of PBX? Shipping Supplier? PBX System? Duration of Employment? Employee Schedules? Days of Months Paid? Who Does Offsite Back-Up? ESSID Name? How are Documents Disposed of? Wireless On-Site? Trash Handling? Computer Make and Model In House IT Support?
  32. 33. <ul><li>Ejemplos Reales </li></ul>
  33. 34. <ul><li>Ejemplo N° 1 </li></ul><ul><li>15 DÍAS (Rodrigo Cortés, 2000) </li></ul><ul><li>Cortometraje </li></ul>
  34. 35. <ul><li>15 DÍAS (Rodrigo Cortés, 2000) </li></ul><ul><li>La historia de un español, llamado Castor Vicente Zamacois , que no utiliza dinero y vive de las compras telefónicas. Se moviliza por diferentes países de Europa. </li></ul><ul><li>¿Lo curioso? Devuelve los productos que adquiere luego de los 15 días . Tiempo en el cual las empresas aceptan que sí uno no está satisfecho pueda devolver lo adquirido. </li></ul><ul><li>¿Técnica? Aparentando ser quién no es, realizando apuestas y jugando a esconderse. Adaptación al medio, autocapacitación y recopilación indiscriminada de información. </li></ul><ul><li>¿Qué llevaba? Un CD con el control de los productos adquiridos, dónde ir, qué empresas quedan pendientes de estafar, etc. </li></ul>
  35. 36. <ul><li>Ejemplo N° 2 </li></ul><ul><li>Extraño en el Edificio </li></ul><ul><li>CASO REAL </li></ul><ul><li>Una mañana de hace unos meses atrás, un extraño ingresó a las instalaciones de un banco ubicado en la zona de microcentro y obtuvo acceso completo a la red corporativa de este. </li></ul>
  36. 37. <ul><li>Extraño en el Edificio </li></ul><ul><li>¿Cómo lo hizo? Obtuvo poca información de las actividades realizadas, paso a paso, desde diferentes empleados. </li></ul><ul><li>¿Qué le sirvió? Aprendió que los empleados de la marca &quot; Soporte X &quot; ingresaban directamente por un sector, sin exigirles credenciales. </li></ul><ul><li>Llegó a un área segura , le alcanzó con sonreír y un amigable empleado le abrió la puerta. </li></ul><ul><li>Cerca de la impresora, existía una antena de Wifi. Dejando que la red sea accedida desde afuera del edificio. </li></ul><ul><li>Utilizó herramientas tradicionales de hacking, elevó privilegios y ganó acceso al dominio, base de datos y no fue detectado . </li></ul>
  37. 38. <ul><li>Simples métodos para evadir un ataque </li></ul>
  38. 39. <ul><li>Simples métodos para evadir un ataque </li></ul><ul><li>» &quot; No &quot; es lo primero, en algunas situaciones puede ser flexible, disuasivo y eficaz. Los &quot;NO&quot; son más fuertes cuando estamos seguros de tener razón. </li></ul><ul><li>» Sí el conocimiento es un arma, la ignorancia es una armadura . No dar mucha información o detalles sobre lo que nos preguntan. </li></ul><ul><li>» Las políticas son buenas defensas contra la ingeniería social. </li></ul><ul><li>» Lo mejor manera de aumentar nuestras defensas es disminuir la posibilidad de evadirlas . Utilizar seguridad física, biometría y restringir el acceso físico. </li></ul>
  39. 40. <ul><li>Desarrollo del Firewall Humano </li></ul><ul><li>» 01 Inventario de Recursos de Información. </li></ul><ul><li>» 02 Estableciendo un Sistema de Clasificación de Información. </li></ul><ul><li>» 03 Desarrollo de una Política de Seguridad. </li></ul><ul><li>» 04 Programas de Concientización de Seguridad. </li></ul><ul><li>» 05 Limitando la fuga de Información. </li></ul><ul><li>» 06 Utilización de la Tecnología. </li></ul><ul><li>» 07 Pen-Testing usando Ingeniería Social. </li></ul><ul><li>» 08 Respuesta ante Incidentes. </li></ul>
  40. 41. <ul><li>Conclusiones </li></ul>
  41. 42. <ul><li>Conclusiones </li></ul><ul><li>» La IS no puede ser eliminada completamente, es un serio problema y es uno de los más grandes en las organizaciones. </li></ul><ul><li>» La IS es un tema conocido en el ámbito de la seguridad, pero que poco se habla en las organizaciones sobre su prevención. </li></ul><ul><li>» La educación y capacitación , continua y dinámica, es el método más eficiente para prevenir los ataques de Ingeniería Social. </li></ul><ul><li>» Las organizaciones deben establecer una clara y fuerte política , incluyendo estándares, procesos y procedimientos para ayudar a reducir la amenaza. </li></ul>
  42. 43. <ul><li>Conclusiones </li></ul><ul><li>La idea fundamental, es que los empleados sean capaces de identificar un ataque para que puedan minimizar los efectos o consecuencias del mismo. </li></ul>
  43. 44. <ul><li>¿Cómo ampliar el Conocimiento? </li></ul>
  44. 45. <ul><li>Social Engineer Toolkit (SET) </li></ul><ul><li>Orientado a realizar ataques avanzados de Ingeniería Social. </li></ul><ul><li>Vectores de Ataque </li></ul><ul><li>» Spear-Phishing Attack Vector </li></ul><ul><li>» Java Applet Attack Vector </li></ul><ul><li>» Metasploit Browser Exploit Method </li></ul><ul><li>» Credential Harvester Attack Method </li></ul><ul><li>» Tabnabbing Attack Method </li></ul><ul><li>» Man Left in the Middle Attack Method </li></ul><ul><li>» Web Jacking Attack Method </li></ul><ul><li>» Multi-Attack Web Vector </li></ul><ul><li>» Infectious Media Generator </li></ul><ul><li>» Teensy USB HID Attack Vector </li></ul><ul><li>http://www.social-engineer.org/ </li></ul>
  45. 46. <ul><li>Social Engineering Framework </li></ul><ul><li>http://www.social-engineer.org </li></ul>The Art of Deception: Controlling the Human Element of Security ISBN-10: 0471237124 No Tech Hacking: A Guide to Social Engineering, Dumpster Diving, and Shoulder Surfing ISBN-10: 1597492159
  46. 47. <ul><li>Preguntas… </li></ul>
  47. 48. <ul><li>Muchas Gracias! </li></ul>Maximiliano Soler e-Mail: Twitter: @maxisoler

×