Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
OWASP
Education Project
David Montero Abujas OWASP Andalucia Chapter Leader Grupo iSoluciones david.montero@owasp.org Twiitter:@raistlinthemage
Copyright 2007 The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License.
Ingeniera social
Acerca ma
CISA, CISM, CRISC, ISMS Lead Auditor Socio fundador Grupo iSoluciones, Jerez de la Frontera (Cdiz) OWASP Andalucia Chapter Leader Security Researcher en Malware Intelligence BankingITSec, Hackin9, ENISE,
OWASP
Ingeniera social
Perfiles de usuario
Usuarios confiados Usuarios desconfiados que no razonan Usuarios desconfiados que razonan
OWASP
Ingeniera social
Perfiles de usuario
Aparece una ventana al navegar que dice:
Presione el botn Aceptar si quiere ver un mono de dos cabezas bebiendo una botella de Grog (Monkey Island).
Aceptar
OWASP
Ingeniera social
Perfiles de usuario
Presione el botn Aceptar si quiere ver un mono de dos cabezas bebiendo una botella de Grog (Monkey Island).
Aceptar
OWASP
Ingeniera social
Perfiles de usuario
Presione el botn Aceptar si quiere ver un mono de dos cabezas bebiendo una botella de Grog (Monkey Island).
Aceptar
OWASP
Ingeniera social
Perfiles de usuario
Presione el botn Aceptar si quiere ver un mono de dos cabezas bebiendo una botella de Grog (Monkey Island).
Aceptar
Usuarios desconfiados que razonan. Las ventanas emergentes en Internet suelen ser publicitarias, es francamente improbable que exista un mono de dos cabezas, y menos bebiendo bebidas alcohlicas. Es publicidad, timo o malware, mejor no pulso Aceptar.
OWASP
7
Ingeniera social
Que s?
Aprovechar las habilidades sociales de los atacantes para obtener privilegios o informacin ante una persona u organizacin. El phishing es una forma de ingeniera social, engaar a los usuarios para acceder a una pgina de banca electrnica fraudulenta.
OWASP
Ingeniera social
Perfil ideal
Profesional de las tecnologas de la informacin con conocimientos y experiencia en gestin TI. Conocimientos y experiencia en gestin empresarial. Habilidades sociales (elocuencia, empata,) a un nivel alto. Experto en seguridad de la informacin. Imaginacin.
OWASP
9
Ingeniera social
Historia
La ingeniera social existe desde tiempo inmemoriales, pero a nivel TIC su mximo precursor fue Kevin Mitnick Condor. Mitnick afirmaba que la ingeniera social funcionaba por cuatro preceptos:
Todos queremos ayudar. El primer movimiento es siempre de confianza hacia el otro. No nos gusta decir No. A todos nos gusta que nos alaben.
OWASP
10
Ingeniera social
Por qu funciona?
Falta de concienciacin en seguridad por parte de los trabajadores de las empresas, a todos los niveles. La confianza mueve el mundo. Determinadas caractersticas y situaciones generan mayor confianza hacia la vctima (halagos, empata,) Deslocalizacin de ubicaciones facilita la creacin de falsos perfiles internos, no necesariamente tienen que ser grandes empresas.
OWASP
11
Ingeniera social
Medios
Fsico. Suplantacin de identidad, Electrnico. Phishing, e-mails falsos,
OWASP
12
Ingeniera social
Marco de proyectos
Objetivo
Anlisis
Generar vector
Ejecutar vector
OWASP
13
Ingeniera social
Marco de proyectos
Objetivo
Ingeniera social
Marco de proyectos
Objetivo
Anlisis
Obtener datos corporativos pblicos (Google, DNS, visitas, colaboradores) Identificar potenciales usuarios o personas destinatarias del ataque
OWASP
15
Ingeniera social
Marco de proyectos
Objetivo
Anlisis
Generar vector
Ingeniera social
Marco de proyectos
Objetivo
Anlisis
Generar vector
Ejecutar vector
Ingeniera social
Caso 1 Asaltando un banco
Objetivo: Obtener informacin de infraestructura TIC privada en bsqueda de vulnerabilidades para explotar de forma externa
OWASP
18
Ingeniera social
Caso 1 Asaltando un banco
Objetivo: Obtener informacin de infraestructura TIC privada en bsqueda de vulnerabilidades para explotar de forma externa Anlisis
Deslocalizacin de oficinas -> Usuarios alejados geogrficamente no se suelen conocer. Confianza y amabilidad de los directores de oficina ante clientes potenciales. Usuarios de sistema de informacin de nivel bajo y poco concienciados en seguridad de la informacin. Problema idiomtico.
OWASP
19
Ingeniera social
Caso 1 Asaltando un banco
Vector de ataque.
Paso 1
Visita a una oficina del banco Convencer al director de la oficina de la potencialidad de una operacin financiera para generar confianza Envo de documentacin para la operacin financiera por medio electrnico Solicitud de acuse de recibo
Paso 2
Paso 3
OWASP
20
Ingeniera social
Caso 1 Asaltando un banco
Ejecucin del vector.
Obtuvimos nombre y versin exacta del gestor de correo electrnico. Obtuvimos datos de los enrutadores, DMZ y de la gestin del trfico de red. Se mont posteriormente un ataque exitoso contra el gestor de correo.
OWASP
21
Ingeniera social
Caso 2 Amigos de los animales
Objetivo: Suplantar la identidad de socios de un zoolgico y acceder a la intranet.
OWASP
22
Ingeniera social
Caso 2 Amigos de los animales
Objetivo: Suplantar la identidad de socios de un zoolgico y acceder a la intranet. Anlisis
Desconocimiento de los nombres de los socios. Socios tienen acceso a una Intranet corporativa. Oficina tcnica del Zoo centralizada. Confianza y amabilidad del personal del Call Center. Zoo promueve diversos eventos con gran inters y difusin. N.B.: generacin de confianza mediante halagos? Problema idiomtico -> ataque medio electrnico, no fsico. Grupos de Facebook de amigos del Zoo. Poltica de calidad del Zoo orientada hacia el servicio a los clientes y socios.
OWASP
23
Ingeniera social
Caso 2 Amigos de los animales
Vector de ataque.
Paso 1
Buscar en los grupos de Facebook de amigos del Zoo nombres de personas que geogrficamente se encuentren cerca de la localidad del zoo.
Paso 2
Seleccionar nombres de amigos de Facebook Crear direcciones de gmail con esos nombres
Paso 3
Mensaje por correo electrnico notificando el cambio de direcciones de correo de contacto y felicitando al zoo por el ltimo evento celebrado. Mensaje a los tres das solicitando cambio de contrasea del acceso del usuario a la intranet
OWASP
24
Ingeniera social
Caso 2 Amigos de los animales
Ejecucin del vector.
Seleccionamos dos mujeres casadas con hijos del grupo de Facebook que vivan cerca de las instalaciones del Zoo. Resultaron ser socias y desde el Contact Center nos cambiaron las cuentas de contacto mediante el envo de correos electrnicos desde dichas cuentas falsas. Se felicit tambin al Zoo por el paseo nocturno y los fuegos artificiales. A los das se envo un correo solicitando el cambio de contrasea para el acceso a la Intranet.
OWASP
25
Ingeniera social
Caso 3 Fans de los expertos en seguridad
Objetivo: Suplantar la identidad de expertos en seguridad informtica y directivos de grandes empresas.
OWASP
26
Ingeniera social
Caso 3 Fans de los expertos en seguridad
Objetivo: Suplantar la identidad de expertos en seguridad informtica y directivos de grandes empresas. Anlisis
Los expertos en seguridad informtica ligan bastante, eso de la seguridad engancha a las mujeres. Los expertos en seguridad y directivos suelen dar tarjetas de visita a los asistentes a congresos. Los jvenes universitarios que asisten a los congresos de seguridad, especialmente hombres, les gusta ligar, especialmente si son solteros. En Dinamarca y pases limtrofes, casi con toda probabilidad, no conozcan a los expertos y directivos de Espaa.
OWASP
27
Ingeniera social
Caso 3 Fans de los expertos en seguridad
Vector de ataque.
Paso 1
Paso 2
Modificar las tarjetas de visita con Photoshop para cambiar los nombres de los titulares de las tarjetas. Viajar a Dinamarca en un Erasmus y ligar con dos modelos danesas dndole las tarjetas de visita como directivos de Google o Microsoft.
Paso 3
OWASP
28
Ingeniera social
Caso 3 Fans de los expertos en seguridad
Ejecucin del vector.
En la OWAND11 Granada un joven universitario pide una tarjeta de visita al ponente. El joven universitario cambia el nombre de la tarjeta de visita mediante escaneo y Photoshop, y aparece como Fulano Perez, CISA, CISM, CRISC, director gerente de un grupo de empresas especializado en seguridad. El joven universitario viaja a Dinamarca en Erasmus y en un bar conoce una modelo danesa rubia de 1,90m, y se arriesga con la estrategia. El joven universitario chapurrea en ingls un par de frases de seguridad informtica, le comenta que est de visita, y convence a la modelo para echar una noche de juerga. La modelo a la semana llama a la oficina de la empresa, mi mujer se entera que he ligado con una modelo danesa y me pega una ostia.
OWASP
29
Ingeniera social
Conclusiones
Es una herramienta muy efectiva que golpea la seguridad de las organizaciones por su eslabn ms dbil, las personas. La ingeniera social es un excelente complemento de los pentesting. La mejor frmula para minimizar los riesgos de ataques de ingeniera social son la elaboracin e implantacin de planes de concienciacin. Es necesario seguir un marco de trabajo para conseguir objetivos concretos y realistas.
OWASP
30
Ingeniera social
OWASP
31