Date post: | 08-Jul-2015 |
Category: |
Technology |
Upload: | xavier-sala-pujolar |
View: | 248 times |
Download: | 4 times |
Seguretat i alta disponibilitat
Enginyeria Social
Xavier Sala PujolarIES Cendrassos
UF 1: Seguretat física, lògica i legislacióPart 1d
Administració de Sistemes Informàtics i Xarxes
Enganys● Els humans s'enganyen els uns als altres des
de fa segles
Administració de Sistemes Informàtics i Xarxes
Enganys● I encara es fa. No?
Administració de Sistemes Informàtics i Xarxes
Enginyeria Social● En qualsevol sistema el
punt més dèbil sempre són les persones
– En algun moment la seguretat dependrà d'algun usuari
– Poden fer més senzill l'atac
Ex. és més fàcil aconseguir dades per endevinar la contrasenya d'un usuari que atacar-la per força bruta
Administració de Sistemes Informàtics i Xarxes
Enginyeria Social
L'enginyeria social consisteix en manipular les persones perquè facin voluntàriament actes que no farien
normalment
Administració de Sistemes Informàtics i Xarxes
Enginyeria Social● L'objectiu pot ser una organització, un individu,
un departament● Abans de fer res cal que l'atacant obtinguin
tanta informació de l'objectiu com sigui possible● La gent té una tendència natural a confiar en
una persona que sap informació que “teòricament” no hauria de saber
– Xarxes socials, webs, ...
– Informació pública de l'empresa, ...
– Investigació al lloc, veïns, ...
Administració de Sistemes Informàtics i Xarxes
Enginyeria Social● L'enginyeria social es concentra en quin és
objectiu s'ha d'aconseguir i no en com fer-ho– Qualsevol sistema és vàlid sempre que
s'aconsegueixi l'objectiu
NO Aconseguir la contrasenya d'accés al banc d'en Frederic Garcia
SIAconseguir transferir anònimament diners del compte d'en Frederic Garcia abans de les compres de Nadal
Administració de Sistemes Informàtics i Xarxes
Enginyeria Social
Com funciona?
Administració de Sistemes Informàtics i Xarxes
Enginyeria social
En l'enginyeria social en comptes de fer servir tècniques de hacking s'enganya per que es facin accions perilloses o que es divulgui informació
personal
Administració de Sistemes Informàtics i Xarxes
Enginyeria Social● Poden fer servir medis tecnològics o no
● Però combinar-ho amb programari és més devastador
Disfresses
Suplantació d'identitat
CorreuTelèfon
Correu electrònic, servidors, ...SMS
Administració de Sistemes Informàtics i Xarxes
Enginyeria Social● Sovint es complementen les tècniques
d'enginyeria social amb programari maliciós– Virus, troians, cucs, bombes lògiques, etc..
Administració de Sistemes Informàtics i Xarxes
Comportament humà● S'aprofiten del comportament humà per
aconseguir els seus objectius. – La gent sempre vol ajudar
– En el primer moment tothom confia...
– No agrada dir que no
– A tothom li agrada que l'alabin
● I solen explotar:– La por, la curiositat, la cobdícia, l'empatia, la
innocència, l'orgull, etc ...
Administració de Sistemes Informàtics i Xarxes
Comportament humà
L'únic ordinador segur es el que està desendollat.
Sempre es pot convèncer a algú perquè el torni a endollar
Administració de Sistemes Informàtics i Xarxes
Condició humana: por● Por: Aprofitar-se de la por a que passi alguna
cosa. Robatori, xantatge, pèrdua de feina, etc.. – En especial la por al robatori es fa servir molt en
atacs de phising
Hem rebut una petició de transferir 200.000€ del seu compte a un banc de les illes Barbados. Si ha estat vostè qui ha fet la petició no cal que faci res més
En el cas de que no hagi estat vostè qui ha ordenat la transferència entri en el seu compte bancari abans de 24 hores per cancel·lar la transferència
Entra el teu ID EntrarContrasenya
Simula l'aspecte d'un correu
legítim però les dades s'envien a
un servidor controlat per
l'atacant!
Administració de Sistemes Informàtics i Xarxes
Condició humana: curiositat● Curiositat: Consisteix en oferir coses o
informació que pugui resultar atractives per la víctima
Què hi deu haver en aquest CD que m'he trobat?
Administració de Sistemes Informàtics i Xarxes
Instal·lació de programari● Cobdícia: Prometre premis si es fa una cosa
determinada, etc.. – Molt habitual és fer-lo instal·lar un programa
infectat
Vols aconseguir tot el que sempre has somiat?
Vols aconseguir tot el que sempre has somiat?
DESCARREGAAquest programa
Administració de Sistemes Informàtics i Xarxes
Condició humana: innocència● Innocència: Aprofitar-se de la confiança i del
desconeixement– La gent té tendència a confiar en les coses que
coneix o en el que considera habitual
Hi ha un programa que protegeix de les
tempestes solars
L'any que ve n'hi ha moltes de previstes!!
Administració de Sistemes Informàtics i Xarxes
Condició humana: empatia● Empatia: La gent té tendència a confiar en
gent que té problemes
Si no em deixes enviar un correu
electrònic em despatxaran
Administració de Sistemes Informàtics i Xarxes
Condició humana: orgull● Orgull: Els afalacs són sempre ben acceptats
per tothom...
Guapo!Intel·ligent!
Si no fos per tu ...!Ets el millor!
Administració de Sistemes Informàtics i Xarxes
Condició humana: altres● Constantment s'inventen noves formes
intel·lectuals per manipular a les persones i comprometre les seves màquines
Administració de Sistemes Informàtics i Xarxes
Enginyeria Social
● L'objectiu de l'engany normalment és que la gent reveli informació o faci alguna cosa que pugui o ajudi a comprometre el sistema
● Per:– Cometre fraus
– Entrar en sistemes i xarxes
– Espionatge industrial
– Robatori d'identitat
– ...
Administració de Sistemes Informàtics i Xarxes
Enginyeria Social
Mètodes
Administració de Sistemes Informàtics i Xarxes
Mètodes● L'ideal és que la víctima no se n'adoni del que
ha passat– Ha revelat contrasenyes, ha passat informació
crítica, ha deixat fer servir el seu ordinador, Ha infectat una màquina, ...
– Però no ho sap (almenys per ara)
● La idea de persuadir a la gent de fer el que volem també es fa servir per vendre articles– Un recurs interessant és:
http://www.cepvi.com/articulos/persuasion.shtml
Administració de Sistemes Informàtics i Xarxes
Mètodes
● Phising● Shoulder surfing● Dumpster diving● Eavesdropping
● Pretexting● Baiting● PiggyBacking● logpicking
● Hi ha moltes tècniques que es fan servir en enginyeria social
● I qualsevol en pot inventar de noves... ● La imaginació per fer el mal no té límits :-)
Administració de Sistemes Informàtics i Xarxes
Mètodes● Phising: Consisteix en aconseguir informació
confidencial de forma fraudulenta fent-se passar per algú altre de confiança– El més habitual sol ser enviar un correu electrònic
amb enllaços fraudulents que porta a pàgines falsificades per capturar dades
Administració de Sistemes Informàtics i Xarxes
Enginyeria Social / Phishing● Enllaços falsos
– S'ha d'anar molt amb compte amb les coses
que venen des de llocs desconeguts i revisar les adreces:
http://www.faceb00k.com o http://facebooc.com
– Hi ha gent que n'és conscient i han registrat els dominis que s'assemblen al legítim:
http://www.gogle.com o http://www.g00gle.com
http://www.gugle.com o http://www.gugel.com
Entra al teu compte de Facebook
CLICA!
Administració de Sistemes Informàtics i Xarxes
Enllaços web
Administració de Sistemes Informàtics i Xarxes
Phishing● Hi ha tants llocs de phising que els navegadors
hi han posat filtres
Administració de Sistemes Informàtics i Xarxes
Mètodes● Shoulder surfing: Consisteix en mirar què fan
els usuaris per sobre l'espatlla● A pesar del que sembla és altament efectiva
– Contrasenyes, pins de caixers automàtics, etc..
Caixers automàtics
● Tothom cobreix el teclat mentre posa el PIN de la targeta o entra la contrasenya del correu electrònic amb algú present?
Administració de Sistemes Informàtics i Xarxes
Mètodes● Dumpster diving: Literalment regirar
les escombraries per trobar informació de l'objectiu:
– documents, factures, noms, dades internes, telèfons, ...
● Les organitzacions es desfan de molta informació i no sempre de forma segura
● Ningú ha llençat factures, llistats de programes o resums bancaris a les escombraries?
Administració de Sistemes Informàtics i Xarxes
Enginyeria Social
Un estudi del NAID (National Association for Information Destruction) ha descobert que el 72% de la informació confidencial acaba a les escombraries
Es troba informació en paper però també en discs durs vells● La informació en paper sol estar estripada i els discs durs esborrats. Però s'hi poden trobar dades privades!● Per tant són conscients que la informació és confidencial!
De les empreses investigades tenen informació confidencial sense destruir en les escombraries:
● El 75% dels bancs ● El 50% dels centres mèdics● El 100% dels edificis del govern
http://www.naidonline.org/neur/es/consumer/news/606.html
Administració de Sistemes Informàtics i Xarxes
Mètodes● Eavesdropping. Consisteix en escoltar la
informació que es passen els usuaris amb privilegis d'un sistema parlant
Cafeteria
● Ningú parla mai de coses de la feina o personals durant el dinar o per esmorzar?
Administració de Sistemes Informàtics i Xarxes
Mètodes● Pretexting: Inventar-se una història per fer que
la víctima divulgui informació que normalment no donaria
– Fer-se passar per un conegut, una autoritat, un parent d'algú
– Situacions de risc, ...
Instal·lador d'ADSL fent proves
● Pot entrar en la casa de la víctima● Rep una trucada● Pot fer servir l'ordinador per enviar un correu electrònic?
Administració de Sistemes Informàtics i Xarxes
Mètodes● Quan algú es fa passar per un tècnic amb algú
que no ho és i només fa servir paraules tècniques tothom sol contestar “si, si...”– Ningú vol quedar com un ignorant
Segurament el que passa és que un dels switch ha deixat un dels servidors fora de l'array de clusters i no pot accedir al pool
de discos SCASI
Administració de Sistemes Informàtics i Xarxes
Mètodes● La gent confia més si se li dóna informació que
no s'hauria de saber– Es pot aconseguir informació personal en
enquestes “innocents” amb familiars i amics
● Si es vol enviar un programa infectat abans avisar per telèfon fent-se passar per algú important
– Normalment la gent sol desconfiar del que rep per correu electrònic (són molts anys d'insistir...)
– Si saben que arribarà és més fàcil que l'executin
Administració de Sistemes Informàtics i Xarxes
Mètodes● Baiting: Consisteix en aprofitar-se de la
curiositat dels usuaris– El més típic sol ser “oblidar” un CD o un Pendrive
amb malware en algun lloc perquè el trobin i portats per la seva curiositat natural el posin en un ordinador
Representant d'una empresa amb la que es treballa
● Porta un CD amb l'actualització de l'Antivirus● Millora molt i no consumeix recursos● Com que ets un bon client te'l regala o se l'oblida● L'instal·laràs?
Administració de Sistemes Informàtics i Xarxes
Mètodes● PiggyBacking: Consisteix en saltar-se els
controls de seguretat seguint o fent-se passar per una persona autoritzada
– Sol tenir força èxit amb disfresses de dona de la neteja, de personal de manteniment, ...
Treballador de Telefónica
● Ve a arreglar un problema en l'ADSL però els d'Informàtica encara no han començat● Si no s'arregla hi haurà problemes, ja han trucat moltes vegades● El conserge el deixarà entrar?
Administració de Sistemes Informàtics i Xarxes
Mètodes● Logpicking: És l'art d'obrir panys sense que es
trenquin
– Fins i tot n'hi ha competicions www.lockpickingsport.com www.lockpicking.es
Administració de Sistemes Informàtics i Xarxes
Enginyeria Social
Com evitar-ho?
Administració de Sistemes Informàtics i Xarxes
Contramesures● En general la solució contra l'enginyeria social
sol estar basada en dues coses:
Instal·lar solucions de seguretat Formació dels usuaris
Administració de Sistemes Informàtics i Xarxes
Formació● La principal forma de defensar-se contra la
enginyeria social és formar els usuaris en les polítiques de seguretat i assegurar-se que les segueixen
Administració de Sistemes Informàtics i Xarxes
Problemes● Problemes possibles:
– Infecció de màquines al entrar USB infectats
– Enllaços a web malicioses
● Es pot invertir en programari de seguretat però al final l'usuari decideix...
Administració de Sistemes Informàtics i Xarxes
Formació
“Qualsevol que pensi que els programes de seguretat per si sols ofereixen seguretat només
està comprant la il·lusió de seguretat”
Kevin Mitnick
Administració de Sistemes Informàtics i Xarxes
Formació● I s'ha de fer formació per tothom!
Administració de Sistemes Informàtics i Xarxes
Contramesures
La seguretat millora amb la formació dels usuaris però per si sola no és suficient
Administració de Sistemes Informàtics i Xarxes
Enginyeria Social● Durant anys s'ha estat repetint als usuaris de
que desconfiïn dels emails● Encara hi cau gent
✔ Cliquen els enllaços✔ Descarreguen i
executen programes
● Però poca gent desconfia del correu ordinari!✔ Enviar un CD per
correu ordinari sembla molt més “important”
Administració de Sistemes Informàtics i Xarxes
Sistemes de seguretat● Cal tenir els sistemes de seguretat instal·lats i
actualitzats per si algú “se n'oblida”
Administració de Sistemes Informàtics i Xarxes
En general...● Educar a tots els usuaris
● Analitzar tots els correus electrònics abans que els obri ningú amb un antivirus actualitzat
● Mai executar programes de procedència desconeguda encara que no s'hi detectin virus
● No informar per telèfon de característiques tècniques, ni de persones, etc...
● Assegurar el control d'accés físic
● Destruir la informació abans de llençar-la
● Verificar les fonts abans de confiar en els missatges
● Vigilar què es posa en les xarxes socials
● Tenir contrasenyes segures
● Actualitzar completament els sistemes
Administració de Sistemes Informàtics i Xarxes
Enginyeria Social
Eines
Administració de Sistemes Informàtics i Xarxes
Enginyeria Social● Les eines que es poden fer servir són molt
diverses i no sempre de programari● Però s'han creat eines de programari
específiques per ajudar a l'enginyeria social– El més normal és que les eines de programari
estiguin orientades a facilitar el phising
– I s'integrin amb eines amb exploits com Metasploit Framework o Inmunity Canvas
Administració de Sistemes Informàtics i Xarxes
SET● Social Engineer Tolkit (SET) és una eina que
permet clonar webs, enviament de correus electrònics, etc.. combinant-ho amb Metasploit Framework per atacar
Administració de Sistemes Informàtics i Xarxes
Enginyeria Social
Exemples
Administració de Sistemes Informàtics i Xarxes
Exemples
Enginyeria Social en un banc
https://holename.wordpress.com/2011/01/22/ingenieria-social-en-un-banco-parte-1/https://holename.wordpress.com/2011/03/04/ingenieria-social-en-un-banco-parte-2/
Enginyeria social en els hotels
https://holename.wordpress.com/2010/11/30/ingenieria-social-en-los-hoteles-parte1/https://holename.wordpress.com/2010/11/30/ingenieria-social-en-los-hoteles-parte2/