enginyeria social

Seguretat i alta disponibilitat

Enginyeria Social

Xavier Sala PujolarIES Cendrassos

UF 1: Seguretat física, lògica i legislacióPart 1d

http://creativecommons.org/licenses/by-nc-sa/3.0/deed.ca

Administració de Sistemes Informàtics i Xarxes

Enganys● Els humans s'enganyen els uns als altres des

de fa segles


Enganys● I encara es fa. No?


Enginyeria Social● En qualsevol sistema el

punt més dèbil sempre són les persones

– En algun moment la seguretat dependrà d'algun usuari

– Poden fer més senzill l'atac

Ex. és més fàcil aconseguir dades per endevinar la contrasenya d'un usuari que atacar-la per força bruta


Enginyeria Social

L'enginyeria social consisteix en manipular les persones perquè facin voluntàriament actes que no farien

normalment


Enginyeria Social● L'objectiu pot ser una organització, un individu,

un departament● Abans de fer res cal que l'atacant obtinguin

tanta informació de l'objectiu com sigui possible● La gent té una tendència natural a confiar en

una persona que sap informació que “teòricament” no hauria de saber

– Xarxes socials, webs, ...

– Informació pública de l'empresa, ...

– Investigació al lloc, veïns, ...


Enginyeria Social● L'enginyeria social es concentra en quin és

objectiu s'ha d'aconseguir i no en com fer-ho– Qualsevol sistema és vàlid sempre que

s'aconsegueixi l'objectiu

NO Aconseguir la contrasenya d'accés al banc d'en Frederic Garcia

SIAconseguir transferir anònimament diners del compte d'en Frederic Garcia abans de les compres de Nadal


Enginyeria Social

Com funciona?


Enginyeria social

En l'enginyeria social en comptes de fer servir tècniques de hacking s'enganya per que es facin accions perilloses o que es divulgui informació

personal


Enginyeria Social● Poden fer servir medis tecnològics o no

● Però combinar-ho amb programari és més devastador

Disfresses

Suplantació d'identitat

CorreuTelèfon

Correu electrònic, servidors, ...SMS


Enginyeria Social● Sovint es complementen les tècniques

d'enginyeria social amb programari maliciós– Virus, troians, cucs, bombes lògiques, etc..


Comportament humà● S'aprofiten del comportament humà per

aconseguir els seus objectius. – La gent sempre vol ajudar

– En el primer moment tothom confia...

– No agrada dir que no

– A tothom li agrada que l'alabin

● I solen explotar:– La por, la curiositat, la cobdícia, l'empatia, la

innocència, l'orgull, etc ...


Comportament humà

L'únic ordinador segur es el que està desendollat.

Sempre es pot convèncer a algú perquè el torni a endollar


Condició humana: por● Por: Aprofitar-se de la por a que passi alguna

cosa. Robatori, xantatge, pèrdua de feina, etc.. – En especial la por al robatori es fa servir molt en

atacs de phising

Hem rebut una petició de transferir 200.000€ del seu compte a un banc de les illes Barbados. Si ha estat vostè qui ha fet la petició no cal que faci res més

En el cas de que no hagi estat vostè qui ha ordenat la transferència entri en el seu compte bancari abans de 24 hores per cancel·lar la transferència

Entra el teu ID EntrarContrasenya

Simula l'aspecte d'un correu

legítim però les dades s'envien a

un servidor controlat per

l'atacant!


Condició humana: curiositat● Curiositat: Consisteix en oferir coses o

informació que pugui resultar atractives per la víctima

Què hi deu haver en aquest CD que m'he trobat?


Instal·lació de programari● Cobdícia: Prometre premis si es fa una cosa

determinada, etc.. – Molt habitual és fer-lo instal·lar un programa

infectat

Vols aconseguir tot el que sempre has somiat?

Vols aconseguir tot el que sempre has somiat?

DESCARREGAAquest programa


Condició humana: innocència● Innocència: Aprofitar-se de la confiança i del

desconeixement– La gent té tendència a confiar en les coses que

coneix o en el que considera habitual

Hi ha un programa que protegeix de les

tempestes solars

L'any que ve n'hi ha moltes de previstes!!


Condició humana: empatia● Empatia: La gent té tendència a confiar en

gent que té problemes

Si no em deixes enviar un correu

electrònic em despatxaran


Condició humana: orgull● Orgull: Els afalacs són sempre ben acceptats

per tothom...

Guapo!Intel·ligent!

Si no fos per tu ...!Ets el millor!


Condició humana: altres● Constantment s'inventen noves formes

intel·lectuals per manipular a les persones i comprometre les seves màquines


Enginyeria Social

● L'objectiu de l'engany normalment és que la gent reveli informació o faci alguna cosa que pugui o ajudi a comprometre el sistema

● Per:– Cometre fraus

– Entrar en sistemes i xarxes

– Espionatge industrial

– Robatori d'identitat

– ...


Enginyeria Social

Mètodes


Mètodes● L'ideal és que la víctima no se n'adoni del que

ha passat– Ha revelat contrasenyes, ha passat informació

crítica, ha deixat fer servir el seu ordinador, Ha infectat una màquina, ...

– Però no ho sap (almenys per ara)

● La idea de persuadir a la gent de fer el que volem també es fa servir per vendre articles– Un recurs interessant és:

http://www.cepvi.com/articulos/persuasion.shtml

http://www.cepvi.com/articulos/persuasion.shtml


Mètodes

● Phising● Shoulder surfing● Dumpster diving● Eavesdropping

● Pretexting● Baiting● PiggyBacking● logpicking

● Hi ha moltes tècniques que es fan servir en enginyeria social

● I qualsevol en pot inventar de noves... ● La imaginació per fer el mal no té límits :-)


Mètodes● Phising: Consisteix en aconseguir informació

confidencial de forma fraudulenta fent-se passar per algú altre de confiança– El més habitual sol ser enviar un correu electrònic

amb enllaços fraudulents que porta a pàgines falsificades per capturar dades


Enginyeria Social / Phishing● Enllaços falsos

– S'ha d'anar molt amb compte amb les coses

que venen des de llocs desconeguts i revisar les adreces:

http://www.faceb00k.com o http://facebooc.com

– Hi ha gent que n'és conscient i han registrat els dominis que s'assemblen al legítim:

http://www.gogle.com o http://www.g00gle.com

http://www.gugle.com o http://www.gugel.com

Entra al teu compte de Facebook

CLICA!

http://www.faceb00k.com/

http://facebooc.com/

http://www.gogle.com/

http://www.g00gle.com/

http://www.gugle.com/

http://www.gugel.com/


Enllaços web


Phishing● Hi ha tants llocs de phising que els navegadors

hi han posat filtres


Mètodes● Shoulder surfing: Consisteix en mirar què fan

els usuaris per sobre l'espatlla● A pesar del que sembla és altament efectiva

– Contrasenyes, pins de caixers automàtics, etc..

Caixers automàtics

● Tothom cobreix el teclat mentre posa el PIN de la targeta o entra la contrasenya del correu electrònic amb algú present?


Mètodes● Dumpster diving: Literalment regirar

les escombraries per trobar informació de l'objectiu:

– documents, factures, noms, dades internes, telèfons, ...

● Les organitzacions es desfan de molta informació i no sempre de forma segura

● Ningú ha llençat factures, llistats de programes o resums bancaris a les escombraries?


Enginyeria Social

Un estudi del NAID (National Association for Information Destruction) ha descobert que el 72% de la informació confidencial acaba a les escombraries

Es troba informació en paper però també en discs durs vells● La informació en paper sol estar estripada i els discs durs esborrats. Però s'hi poden trobar dades privades!● Per tant són conscients que la informació és confidencial!

De les empreses investigades tenen informació confidencial sense destruir en les escombraries:

● El 75% dels bancs ● El 50% dels centres mèdics● El 100% dels edificis del govern

http://www.naidonline.org/neur/es/consumer/news/606.html

http://www.naidonline.org/neur/es/consumer/news/606.html


Mètodes● Eavesdropping. Consisteix en escoltar la

informació que es passen els usuaris amb privilegis d'un sistema parlant

Cafeteria

● Ningú parla mai de coses de la feina o personals durant el dinar o per esmorzar?


Mètodes● Pretexting: Inventar-se una història per fer que

la víctima divulgui informació que normalment no donaria

– Fer-se passar per un conegut, una autoritat, un parent d'algú

– Situacions de risc, ...

Instal·lador d'ADSL fent proves

● Pot entrar en la casa de la víctima● Rep una trucada● Pot fer servir l'ordinador per enviar un correu electrònic?


Mètodes● Quan algú es fa passar per un tècnic amb algú

que no ho és i només fa servir paraules tècniques tothom sol contestar “si, si...”– Ningú vol quedar com un ignorant

Segurament el que passa és que un dels switch ha deixat un dels servidors fora de l'array de clusters i no pot accedir al pool

de discos SCASI


Mètodes● La gent confia més si se li dóna informació que

no s'hauria de saber– Es pot aconseguir informació personal en

enquestes “innocents” amb familiars i amics

● Si es vol enviar un programa infectat abans avisar per telèfon fent-se passar per algú important

– Normalment la gent sol desconfiar del que rep per correu electrònic (són molts anys d'insistir...)

– Si saben que arribarà és més fàcil que l'executin


Mètodes● Baiting: Consisteix en aprofitar-se de la

curiositat dels usuaris– El més típic sol ser “oblidar” un CD o un Pendrive

amb malware en algun lloc perquè el trobin i portats per la seva curiositat natural el posin en un ordinador

Representant d'una empresa amb la que es treballa

● Porta un CD amb l'actualització de l'Antivirus● Millora molt i no consumeix recursos● Com que ets un bon client te'l regala o se l'oblida● L'instal·laràs?


Mètodes● PiggyBacking: Consisteix en saltar-se els

controls de seguretat seguint o fent-se passar per una persona autoritzada

– Sol tenir força èxit amb disfresses de dona de la neteja, de personal de manteniment, ...

Treballador de Telefónica

● Ve a arreglar un problema en l'ADSL però els d'Informàtica encara no han començat● Si no s'arregla hi haurà problemes, ja han trucat moltes vegades● El conserge el deixarà entrar?


Mètodes● Logpicking: És l'art d'obrir panys sense que es

trenquin

– Fins i tot n'hi ha competicions www.lockpickingsport.com www.lockpicking.es

http://www.lockpickingsport.com/

http://www.lockpicking.es/


Enginyeria Social

Com evitar-ho?


Contramesures● En general la solució contra l'enginyeria social

sol estar basada en dues coses:

Instal·lar solucions de seguretat Formació dels usuaris


Formació● La principal forma de defensar-se contra la

enginyeria social és formar els usuaris en les polítiques de seguretat i assegurar-se que les segueixen


Problemes● Problemes possibles:

– Infecció de màquines al entrar USB infectats

– Enllaços a web malicioses

● Es pot invertir en programari de seguretat però al final l'usuari decideix...


Formació

“Qualsevol que pensi que els programes de seguretat per si sols ofereixen seguretat només

està comprant la il·lusió de seguretat”

Kevin Mitnick


Formació● I s'ha de fer formació per tothom!


Contramesures

La seguretat millora amb la formació dels usuaris però per si sola no és suficient


Enginyeria Social● Durant anys s'ha estat repetint als usuaris de

que desconfiïn dels emails● Encara hi cau gent

✔ Cliquen els enllaços✔ Descarreguen i

executen programes

● Però poca gent desconfia del correu ordinari!✔ Enviar un CD per

correu ordinari sembla molt més “important”


Sistemes de seguretat● Cal tenir els sistemes de seguretat instal·lats i

actualitzats per si algú “se n'oblida”


En general...● Educar a tots els usuaris

● Analitzar tots els correus electrònics abans que els obri ningú amb un antivirus actualitzat

● Mai executar programes de procedència desconeguda encara que no s'hi detectin virus

● No informar per telèfon de característiques tècniques, ni de persones, etc...

● Assegurar el control d'accés físic

● Destruir la informació abans de llençar-la

● Verificar les fonts abans de confiar en els missatges

● Vigilar què es posa en les xarxes socials

● Tenir contrasenyes segures

● Actualitzar completament els sistemes


Enginyeria Social

Eines


Enginyeria Social● Les eines que es poden fer servir són molt

diverses i no sempre de programari● Però s'han creat eines de programari

específiques per ajudar a l'enginyeria social– El més normal és que les eines de programari

estiguin orientades a facilitar el phising

– I s'integrin amb eines amb exploits com Metasploit Framework o Inmunity Canvas


SET● Social Engineer Tolkit (SET) és una eina que

permet clonar webs, enviament de correus electrònics, etc.. combinant-ho amb Metasploit Framework per atacar


Enginyeria Social

Exemples


Exemples

Enginyeria Social en un banc

https://holename.wordpress.com/2011/01/22/ingenieria-social-en-un-banco-parte-1/https://holename.wordpress.com/2011/03/04/ingenieria-social-en-un-banco-parte-2/

Enginyeria social en els hotels

https://holename.wordpress.com/2010/11/30/ingenieria-social-en-los-hoteles-parte1/https://holename.wordpress.com/2010/11/30/ingenieria-social-en-los-hoteles-parte2/

https://holename.wordpress.com/2011/01/22/ingenieria-social-en-un-banco-parte-1/

https://holename.wordpress.com/2011/03/04/ingenieria-social-en-un-banco-parte-2/

https://holename.wordpress.com/2010/11/30/ingenieria-social-en-los-hoteles-parte1/

https://holename.wordpress.com/2010/11/30/ingenieria-social-en-los-hoteles-parte2/

enginyeria social

Technology