Para empezar la semana, hoy tenemos una entrada de uno de nuestros colaboradores habituales, Francisco Benet, sobre ingeniería social. Esperamos que les guste.
Imaginemos que queremos introducirnos en una oficina con el objetivo de robar datos, colocar artefactos de escucha o simplemente comprometer la seguridad de dicha empresa por motivos de auditoria o reputación. Empecemos por el traje y la corbata, vestimenta que suele ser muy efectiva ya que en la mayoría de los casos denota diferencia de clases entre el empleado y el jefe o cliente. Añadamos una nota adicional de status color que puede ser un iPhone, un Blackberry o el reciente iPad. Con estos pequeños detalles tenemos asegurada la pertenencia a un grupo tal vez superior.
En este momento estamos en disposición de encararnos al edificio, imaginémoslo céntrico y de oficinas, que nos llevará a nuestro objetivo. Durante la primera visita podemos recabar información sobre el lugar y la organización, determinando por ejemplo si poseen identificación y si la llevan consigo o no. Pasar unos minutos a primera hora de la mañana cerca de la entrada/salida del edificio en cuestión simulando hablar por teléfono debería ser suficiente. Suele ser habitual que los empleados que disponen de identificación permanezcan con las tarjetas visibles cuando bajan a fumar o almorzar a la calle, lo que nos proporciona información con la que pasar relativamente desapercibidos. Imaginemos que sí llevan identificaciones personalizadas con fotografia, nombre, apellidos, número de empleado y contienen un código de acceso. Imaginemos también que nuestro objetivo es una gran empresa de desarrollo de software que está en un proyecto X y tiene sucursales en dos grandes ciudades, o al menos tres.
Nos encontramos pues vestidos con corbata, traje, móvil ‘caro’, maletín y oportunidad. El siguiente punto a considerar es clave: los controles de acceso. Dependiendo de las oficinas, el control de acceso está basado en una o más de las siguientes combinaciones:
1.- Control de entrada (humano) al edificio.
2.- Control de entrada (humano) a la oficina.
3.- Sin control de entrada humano, control de entrada mediante chip o tarjeta.
Las dos primeras situaciones son las más complejas debido a que requieren habilidad para ingeniería social, ya que un registro en la entrada significa que existe un motivo por el cual se debe permitir el acceso a la zona interior (zona más relajada); un intento de pasar desapercibido en este tipo de situaciones puede dar lugar a un traspiés difícilmente salvable. Lo más aconsejable en estos casos es realizar un trabajo más exhaustivo en la zona (bares, restaurantes, etc.) intentando conocer algún aspecto personal de empleados para poder utilizar, más allá del típico disfraz de fontanero, etc… que es un recurso más cercano a Hollywood que a la vida real en España, donde el personal de las empresas de gas, luz y agua son bastante conocidas, al igual que Mantenimiento de ascensores, etc.. y requieren conocimientos técnicos de dichas disciplinas. No se les ocurra meterse en un despacho y tirar a su ocupante diciendo que tiene que desinfectarlo, porque lo más probable es que en cinco minutos tenga al personal de seguridad en la puerta esperándole. Es mejor pasar un tiempo en los ambientes más comunes de los trabajadores que nos proporcionen algo relacionado con los empleados que nos permita inventar alguna historia para pasar el control; esto puede llevar semanas o incluso meses.
No obstante existen otras opciones, como hacernos pasar por una empresa externa, consultor o similar y preguntar por el jefe de desarrollo, equipo, delegación o cargo equivalente (información de contacto que podemos obtener de la red, sin ir más lejos). En este punto, en muchos casos, se nos solicitará rellenar algún dato de entrada, pero no siempre enseñar el DNI (no es el caso de IBM), con lo que podemos dar datos falsos o indicar que hemos dejado la cartera en el coche o en casa, maldiciendo si fuese necesario. Para contrarrestar el problema se puede sacar una tarjeta made in house con un cargo, empresa y teléfono. Tras la llamada de recepción a nuestro contacto, que puede o no estar en la oficina (mejor si no está o no nos puede atender) podemos solicitar ir al baño, que se suele encontrar dentro de la oficina, siempre dejando nuestro portátil o maletín como señal de confianza. En ese momento disponemos de poco tiempo en general para realizar la primera acción, como puede ser instalar un pequeño micrófono o realizar fotografías del local. Si en algún caso nuestra solicitud de reunión se ve atendida, solo tenemos que presentar nuestra empresa como proveedora X del sector con unas slides que pueden ser incluso de una empresa real por la que nos hacemos pasar. Tras finalizar intercambiamos tarjetas, y una vez nos han despedido volvemos a la entrada para ir al baño, y lo más normal es que permitan la entrada de nuevo, ya que los controles una vez pasados la primera vez (y como cortesía) se relajan.
También puede suceder que los baños estén fuera de la oficina, para lo cual habrá que ser un poco más imaginativo.
En el caso de que no haya un control de entrada con registro, ayudados con el móvil, podemos simular ir acompañando a alguien, para que sea evidente que somos ‘conocidos’ y aprovecharnos de la entrada de esta persona para franquear el control de acceso ‘visual’. Entrar de manera decidida transmite un mensaje de importancia, que puede evitar las preguntas. Naturalmente debemos tener preparada la historia de ‘Vengo a ver al señor X’ por si hay alguna situación delicada, aunque si sabemos el piso, oficina o nombre del susodicho contacto es posible que se nos permita el paso sin más problema.
En el tercer supuesto no existe un control visual ‘oficial’, si bien pueden existir (como en el resto de casos) cámaras de vigilancia, aunque no deben preocuparnos excesivamente; excepto en el caso de que haya algún incidente, cualquier revisión de las cámaras se realizará a posteriori. Como nuestro objetivo es entrar, primero debemos valorar a que tipo de dispositivo electrónico nos enfrentamos. Comúnmente, este dispositivo es un lector de tarjetas, que irá acompañado de otro elemento, como puede ser una puerta con apertura electrónica o barras tipo ‘metro’, con lo que la dificultad reside en este segundo elemento de control de entrada. Lo primero que haremos será buscar una víctima, y en este caso la mejor hora para franquear el control es cuando hay mucha entrada o salida de personal, por lo que primera hora y mediodía son las mejores horas. Una vez en situación podemos usar dos técnicas, únicamente válidas cuando los controles de acceso se componen de un dispositivo electrónico y una puerta o similar, donde no esté vinculado el dispositivo electrónico al paso del personal (esto no sucede por ejemplo en los estadios de fútbol).
La primera técnica es ir acercándonos al punto de acceso de forma que podamos aprovecharnos del acceso no controlado que ejecuten otras personas. Lo normal es que durante el paso de varios empleados uno de ellos o varios vayan ‘sosteniendo’ la puerta abierta mientras el resto entra, principalmente porque la hora de entrada suele ser estricta. Esperaremos simulando hablar con el móvil e incluso podemos acercarnos con éste en una mano y la otra mano ocupada con el maletín, simulando cierto agobio, para que alguien amablemente nos permita entrar. Pueden estar seguros de que la mayor parte de la gente no sospecha de una persona arreglada, trajeada, con maletín y cierto nivel de estrés.
La segunda técnica consiste en esperar a que alguien entre, para acceder cuando el control de acceso se está cerrando, abriéndolo de nuevo. Esto es lo que se considera tailgating: acceder con el acceso de otro individuo franqueando los controles al ir ‘pegado’ o cercano al mismo. En cualquier caso este tipo de acceso es fácilmente vulnerable debido a que es flexible en cuando a que el acceso una vez abierto no realiza control del número de individuos que pueden acceder.
En el caso de que el control de acceso se componga de un elemento electrónico y un elemento físico que esté capacitado para evitar la entrada de varios individuos al mismo tiempo (p.e. un campo de fútbol dispone de dichos controles) podemos entrar a utilizar técnicas de ingeniería social, básicas por lo general, para conseguir sobrepasar este punto, o recurrir a técnicas de seguridad lógica más avanzadas relacionadas con sistemas RFID.
En este artículo hemos expuesto de manera breve técnicas mediante las que cualquier persona puede obtener acceso a entornos restringidos que suponga la punta de lanza para colocar elementos de una intrusión mucho mayor: una cámara, un micrófono, un USB infectado o cualquier otra cosa que puedan imaginar. Aunque el ataque se desarrolle sin ningún tipo de conocimiento técnico, es necesario tener en cuenta que requiere habilidades que necesitan cierta práctica, así como una gran capacidad de reacción e improvisación. A pesar de que un ataque como el descrito basado en ingeniería social sea aparentemente más sencillo que un ataque de seguridad lógica, lo cierto es que implica una mayor exposición personal del atacante para la que hay que prepararse, tanto o más que en el caso de un ataque de seguridad lógica.
En resumen, conocido un objetivo conseguir acceder al recinto no es una acción compleja en si misma, ya que los principales controles de acceso tienen su mayor debilidad en las personas, habitualmente dispuestas a ayudar y a evitarse problemas haciendo preguntas impertinentes. Naturalmente no estamos hablando de complejos militares, pero sí de muchas empresas de todo tipo (y en general, cuanto más grandes mejor) que actualmente tienen sus controles de seguridad física muy relajados. Por supuesto, algunas conllevan el riesgo a ser descubierto, pero eso es inherente a actividades de este tipo, y en cualquier caso, las consecuencias legales (me atrevo a decir que) no serán demasiado relevantes. Otro día, con más tiempo, podemos dedicarnos a hablar de cómo acceder a un CPD y salir ilesos.
[…] Acceso a recintos http://www.securityartwork.es/2010/10/04/acceso-a-recintos/ por Josechuc hace 2 segundos […]