Your SlideShare is downloading. ×
Enginyeria social
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Enginyeria social

222
views

Published on

Què és la enginyeria social?

Què és la enginyeria social?

Published in: Technology

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
222
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
3
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Seguretat i alta disponibilitat UF 1: Seguretat física, lògica i legislació Part 1dEnginyeria Social Xavier Sala Pujolar IES Cendrassos
  • 2. Enganys● Els humans senganyen els uns als altres des de fa segles Administració de Sistemes Informàtics i Xarxes
  • 3. Enganys● I encara es fa. No? Administració de Sistemes Informàtics i Xarxes
  • 4. Enginyeria Social● En qualsevol sistema el punt més dèbil sempre són les persones – En algun moment la seguretat dependrà dalgun usuari – Poden fer més senzill latac Ex. és més fàcil aconseguir dades per endevinar la contrasenya dun usuari que atacar-la per força bruta Administració de Sistemes Informàtics i Xarxes
  • 5. Enginyeria Social Lenginyeria social consisteix enmanipular les persones perquè facinvoluntàriament actes que no farien normalment Administració de Sistemes Informàtics i Xarxes
  • 6. Enginyeria Social● Lobjectiu pot ser una organització, un individu, un departament● Abans de fer res cal que latacant obtinguin tanta informació de lobjectiu com sigui possible● La gent té una tendència natural a confiar en una persona que sap informació que “teòricament” no hauria de saber – Xarxes socials, webs, ... – Informació pública de lempresa, ... – Investigació al lloc, veïns, ... Administració de Sistemes Informàtics i Xarxes
  • 7. Enginyeria Social● Lenginyeria social es concentra en quin és objectiu sha daconseguir i no en com fer-ho – Qualsevol sistema és vàlid sempre que saconsegueixi lobjectiu Aconseguir la contrasenya daccés al banc den NO Frederic Garcia Aconseguir transferir anònimament diners del SI compte den Frederic Garcia abans de les compres de Nadal Administració de Sistemes Informàtics i Xarxes
  • 8. Enginyeria SocialCom funciona? Administració de Sistemes Informàtics i Xarxes
  • 9. Enginyeria social En lenginyeria social en comptes de fer servirtècniques de hacking senganya per que es facin accions perilloses o que es divulgui informació personal Administració de Sistemes Informàtics i Xarxes
  • 10. Enginyeria Social● Poden fer servir medis tecnològics o no Correu Telèfon Disfresses Suplantació didentitat SMS Correu electrònic, servidors, ...● Però combinar-ho amb programari és més devastador Administració de Sistemes Informàtics i Xarxes
  • 11. Enginyeria Social● Sovint es complementen les tècniques denginyeria social amb programari maliciós – Virus, troians, cucs, bombes lògiques, etc.. Administració de Sistemes Informàtics i Xarxes
  • 12. Comportament humà● Saprofiten del comportament humà per aconseguir els seus objectius. – La gent sempre vol ajudar – En el primer moment tothom confia... – No agrada dir que no – A tothom li agrada que lalabin● I solen explotar: – La por, la curiositat, la cobdícia, lempatia, la innocència, lorgull, etc ... Administració de Sistemes Informàtics i Xarxes
  • 13. Comportament humàLúnic ordinador segur es el que està desendollat. Sempre es pot convèncer a algú perquè el torni a endollar Administració de Sistemes Informàtics i Xarxes
  • 14. Condició humana: por● Por: Aprofitar-se de la por a que passi alguna cosa. Robatori, xantatge, pèrdua de feina, etc.. – En especial la por al robatori es fa servir molt en atacs de phising Simula laspecte dun correuHem rebut una petició de transferir 200.000€ del seu compte legítim però lesa un banc de les illes Barbados. Si ha estat vostè qui ha fet dades senvien ala petició no cal que faci res més un servidorEn el cas de que no hagi estat vostè qui ha ordenat la controlat pertransferència entri en el seu compte bancari abans de 24 latacant!hores per cancel·lar la transferència Entra el teu ID Contrasenya Entrar Administració de Sistemes Informàtics i Xarxes
  • 15. Condició humana: curiositat● Curiositat: Consisteix en oferir coses o informació que pugui resultar atractives per la víctima Què hi deu haver en aquest CD que mhe trobat? Administració de Sistemes Informàtics i Xarxes
  • 16. Instal·lació de programari● Cobdícia: Prometre premis si es fa una cosa determinada, etc.. – Molt habitual és fer-lo instal·lar un programa infectat Vols Vols aconseguir tot aconseguir tot el que sempre el que sempre has somiat? has somiat? DESCARREGA Aquest programa Administració de Sistemes Informàtics i Xarxes
  • 17. Condició humana: innocència● Innocència: Aprofitar-se de la confiança i del desconeixement – La gent té tendència a confiar en les coses que coneix o en el que considera habitual Hi ha un programa que protegeix de les tempestes solars Lany que ve nhi ha moltes de previstes!! Administració de Sistemes Informàtics i Xarxes
  • 18. Condició humana: empatia● Empatia: La gent té tendència a confiar en gent que té problemes Si no em deixes enviar un correu electrònic em despatxaran Administració de Sistemes Informàtics i Xarxes
  • 19. Condició humana: orgull● Orgull: Els afalacs són sempre ben acceptats per tothom... Intel·ligent! Guapo! Si no fos per tu ...! Ets el millor! Administració de Sistemes Informàtics i Xarxes
  • 20. Condició humana: altres● Constantment sinventen noves formes intel·lectuals per manipular a les persones i comprometre les seves màquines Administració de Sistemes Informàtics i Xarxes
  • 21. Enginyeria Social● Lobjectiu de lengany normalment és que la gent reveli informació o faci alguna cosa que pugui o ajudi a comprometre el sistema● Per: – Cometre fraus – Entrar en sistemes i xarxes – Espionatge industrial – Robatori didentitat – ... Administració de Sistemes Informàtics i Xarxes
  • 22. Enginyeria SocialMètodes Administració de Sistemes Informàtics i Xarxes
  • 23. Mètodes● Lideal és que la víctima no se nadoni del que ha passat – Ha revelat contrasenyes, ha passat informació crítica, ha deixat fer servir el seu ordinador, Ha infectat una màquina, ... – Però no ho sap (almenys per ara)● La idea de persuadir a la gent de fer el que volem també es fa servir per vendre articles – Un recurs interessant és: http://www.cepvi.com/articulos/persuasion.shtml Administració de Sistemes Informàtics i Xarxes
  • 24. Mètodes● Hi ha moltes tècniques que es fan servir en enginyeria social● Phising ● Pretexting● Shoulder surfing ● Baiting● Dumpster diving ● PiggyBacking● Eavesdropping ● logpicking● I qualsevol en pot inventar de noves...● La imaginació per fer el mal no té límits :-) Administració de Sistemes Informàtics i Xarxes
  • 25. Mètodes● Phising: Consisteix en aconseguir informació confidencial de forma fraudulenta fent-se passar per algú altre de confiança – El més habitual sol ser enviar un correu electrònic amb enllaços fraudulents que porta a pàgines falsificades per capturar dades Administració de Sistemes Informàtics i Xarxes
  • 26. Enginyeria Social / Phishing● Enllaços falsos CLICA! Entra al teu compte de Facebook – Sha danar molt amb compte amb les coses que venen des de llocs desconeguts i revisar les adreces: http://www.faceb00k.com o http://facebooc.com – Hi ha gent que nés conscient i han registrat els dominis que sassemblen al legítim: http://www.gogle.com o http://www.g00gle.com http://www.gugle.com o http://www.gugel.com Administració de Sistemes Informàtics i Xarxes
  • 27. Enllaços webAdministració de Sistemes Informàtics i Xarxes
  • 28. Phishing● Hi ha tants llocs de phising que els navegadors hi han posat filtres Administració de Sistemes Informàtics i Xarxes
  • 29. Mètodes● Shoulder surfing: Consisteix en mirar què fan els usuaris per sobre lespatlla● A pesar del que sembla és altament efectiva – Contrasenyes, pins de caixers automàtics, etc.. Caixers automàtics ● Tothom cobreix el teclat mentre posa el PIN de la targeta o entra la contrasenya del correu electrònic amb algú present? Administració de Sistemes Informàtics i Xarxes
  • 30. Mètodes● Dumpster diving: Literalment regirar les escombraries per trobar informació de lobjectiu: – documents, factures, noms, dades internes, telèfons, ...● Les organitzacions es desfan de molta informació i no sempre de forma segura ● Ningú ha llençat factures, llistats de programes o resums bancaris a les escombraries? Administració de Sistemes Informàtics i Xarxes
  • 31. Enginyeria SocialUn estudi del NAID (National Association for Information Destruction) hadescobert que el 72% de la informació confidencial acaba a lesescombrariesEs troba informació en paper però també en discs durs vells ● La informació en paper sol estar estripada i els discs durs esborrats. Però shi poden trobar dades privades! ● Per tant són conscients que la informació és confidencial!De les empreses investigades tenen informació confidencialsense destruir en les escombraries: ● El 75% dels bancs ● El 50% dels centres mèdics ● El 100% dels edificis del govern http://www.naidonline.org/neur/es/consumer/news/606.html Administració de Sistemes Informàtics i Xarxes
  • 32. Mètodes● Eavesdropping. Consisteix en escoltar la informació que es passen els usuaris amb privilegis dun sistema parlant Cafeteria ●Ningú parla mai de coses de la feina o personals durant el dinar o per esmorzar? Administració de Sistemes Informàtics i Xarxes
  • 33. Mètodes● Pretexting: Inventar-se una història per fer que la víctima divulgui informació que normalment no donaria – Fer-se passar per un conegut, una autoritat, un parent dalgú – Situacions de risc, ... Instal·lador dADSL fent proves ● Pot entrar en la casa de la víctima ● Rep una trucada ● Pot fer servir lordinador per enviar un correu electrònic? Administració de Sistemes Informàtics i Xarxes
  • 34. Mètodes● Quan algú es fa passar per un tècnic amb algú que no ho és i només fa servir paraules tècniques tothom sol contestar “si, si...” – Ningú vol quedar com un ignorant Segurament el que passa és que un dels switch ha deixat un dels servidors fora de larray de clusters i no pot accedir al pool de discos SCASI Administració de Sistemes Informàtics i Xarxes
  • 35. Mètodes● La gent confia més si se li dóna informació que no shauria de saber – Es pot aconseguir informació personal en enquestes “innocents” amb familiars i amics● Si es vol enviar un programa infectat abans avisar per telèfon fent-se passar per algú important – Normalment la gent sol desconfiar del que rep per correu electrònic (són molts anys dinsistir...) – Si saben que arribarà és més fàcil que lexecutin Administració de Sistemes Informàtics i Xarxes
  • 36. Mètodes● Baiting: Consisteix en aprofitar-se de la curiositat dels usuaris – El més típic sol ser “oblidar” un CD o un Pendrive amb malware en algun lloc perquè el trobin i portats per la seva curiositat natural el posin en un ordinador Representant duna empresa amb la que es treballa ● Porta un CD amb lactualització de lAntivirus ● Millora molt i no consumeix recursos ● Com que ets un bon client tel regala o se loblida ● Linstal·laràs? Administració de Sistemes Informàtics i Xarxes
  • 37. Mètodes● PiggyBacking: Consisteix en saltar-se els controls de seguretat seguint o fent-se passar per una persona autoritzada – Sol tenir força èxit amb disfresses de dona de la neteja, de personal de manteniment, ... Treballador de Telefónica ● Ve a arreglar un problema en lADSL però els dInformàtica encara no han començat ● Si no sarregla hi haurà problemes, ja han trucat moltes vegades ● El conserge el deixarà entrar? Administració de Sistemes Informàtics i Xarxes
  • 38. Mètodes● Logpicking: És lart dobrir panys sense que es trenquin – Fins i tot nhi ha competicions www.lockpickingsport.com www.lockpicking.es Administració de Sistemes Informàtics i Xarxes
  • 39. Enginyeria SocialCom evitar-ho? Administració de Sistemes Informàtics i Xarxes
  • 40. Contramesures● En general la solució contra lenginyeria social sol estar basada en dues coses: Instal·lar solucions de Formació dels usuaris seguretat Administració de Sistemes Informàtics i Xarxes
  • 41. Formació● La principal forma de defensar-se contra la enginyeria social és formar els usuaris en les polítiques de seguretat i assegurar-se que les segueixen Administració de Sistemes Informàtics i Xarxes
  • 42. Problemes● Problemes possibles: – Infecció de màquines al entrar USB infectats – Enllaços a web malicioses● Es pot invertir en programari de seguretat però al final lusuari decideix... Administració de Sistemes Informàtics i Xarxes
  • 43. Formació “Qualsevol que pensi que els programes deseguretat per si sols ofereixen seguretat només està comprant la il·lusió de seguretat” Kevin Mitnick Administració de Sistemes Informàtics i Xarxes
  • 44. Formació● I sha de fer formació per tothom! Administració de Sistemes Informàtics i Xarxes
  • 45. ContramesuresLa seguretat millora amb la formació dels usuaris però per si sola no és suficient Administració de Sistemes Informàtics i Xarxes
  • 46. Enginyeria Social● Durant anys sha estat repetint als usuaris de que desconfiïn dels emails ● Encara hi cau gent ✔ Cliquen els enllaços ✔ Descarreguen i executen programes ● Però poca gent desconfia del correu ordinari! ✔ Enviar un CD per correu ordinari sembla molt més “important” Administració de Sistemes Informàtics i Xarxes
  • 47. Sistemes de seguretat● Cal tenir els sistemes de seguretat instal·lats i actualitzats per si algú “se noblida” Administració de Sistemes Informàtics i Xarxes
  • 48. En general...● Educar a tots els usuaris● Analitzar tots els correus electrònics abans que els obri ningú amb un antivirus actualitzat● Mai executar programes de procedència desconeguda encara que no shi detectin virus● No informar per telèfon de característiques tècniques, ni de persones, etc...● Assegurar el control daccés físic● Destruir la informació abans de llençar-la● Verificar les fonts abans de confiar en els missatges● Vigilar què es posa en les xarxes socials● Tenir contrasenyes segures● Actualitzar completament els sistemes Administració de Sistemes Informàtics i Xarxes
  • 49. Enginyeria SocialEines Administració de Sistemes Informàtics i Xarxes
  • 50. Enginyeria Social● Les eines que es poden fer servir són molt diverses i no sempre de programari● Però shan creat eines de programari específiques per ajudar a lenginyeria social – El més normal és que les eines de programari estiguin orientades a facilitar el phising – I sintegrin amb eines amb exploits com Metasploit Framework o Inmunity Canvas Administració de Sistemes Informàtics i Xarxes
  • 51. SET● Social Engineer Tolkit (SET) és una eina que permet clonar webs, enviament de correus electrònics, etc.. combinant-ho amb Metasploit Framework per atacar Administració de Sistemes Informàtics i Xarxes
  • 52. Enginyeria SocialExemples Administració de Sistemes Informàtics i Xarxes
  • 53. Exemples Enginyeria Social en un banchttps://holename.wordpress.com/2011/01/22/ingenieria-social-en-un-banco-parte-1/https://holename.wordpress.com/2011/03/04/ingenieria-social-en-un-banco-parte-2/ Enginyeria social en els hotelshttps://holename.wordpress.com/2010/11/30/ingenieria-social-en-los-hoteles-parte1/https://holename.wordpress.com/2010/11/30/ingenieria-social-en-los-hoteles-parte2/ Administració de Sistemes Informàtics i Xarxes