Upload
eugenio-montes
View
37
Download
3
Tags:
Embed Size (px)
Citation preview
Copyright 2007 © The OWASP FoundationPermission is granted to copy, distribute and/or modify this document under the terms of the OWASP License.
The OWASP Foundation
OWASP
http://www.owasp.org
OWAND’11 Granada
Ingeniería social
David Montero AbujasOWASP Andalucia Chapter LeaderGrupo [email protected]:@raistlinthemage
Education Project
OWASP 2
Ingeniería social
Acerca mía
� CISA, CISM, CRISC, ISMS Lead Auditor
� Socio fundador Grupo iSoluciones, Jerez de la Frontera (Cádiz)
� OWASP Andalucia Chapter Leader
� Security Researcher en Malware Intelligence
� BankingITSec, Hackin9, ENISE,…
OWASP 3
Ingeniería social
Perfiles de usuario
� Usuarios confiados
� Usuarios desconfiados que no razonan
� Usuarios desconfiados que razonan
OWASP 4
Ingeniería social
Perfiles de usuario
� Aparece una ventana al navegar que dice:
Presione el botón Aceptar si quiere ver un mono de doscabezas bebiendo una botella de Grog (Monkey Island©).
Aceptar
OWASP 5
Ingeniería social
Perfiles de usuario
Presione el botón Aceptar si quiere ver un mono de doscabezas bebiendo una botella de Grog (Monkey Island©).
� Usuarios confiados. !Flipa! Seguro que el mono es trending topic mañana…
Aceptar
OWASP 6
Ingeniería social
Perfiles de usuario
Presione el botón Aceptar si quiere ver un mono de doscabezas bebiendo una botella de Grog (Monkey Island©).
� Usuarios desconfiados. Seguro que es un timo y me quierenvender un seguro…
Aceptar
OWASP 7
Ingeniería social
Perfiles de usuario
Presione el botón Aceptar si quiere ver un mono de doscabezas bebiendo una botella de Grog (Monkey Island©).
� Usuarios desconfiados que razonan. Las ventanas emergentesen Internet suelen ser publicitarias, es francamente improbable queexista un mono de dos cabezas, y menos bebiendo bebidasalcohólicas. Es publicidad, timo o malware, mejor no pulso Aceptar.
Aceptar
OWASP 8
Ingeniería social
¿Que és?
� Aprovechar las habilidades sociales de los atacantes para obtenerprivilegios o información ante una persona u organización.
� El phishing es una forma de ingeniería social, engañar a los usuariospara acceder a una página de banca electrónica fraudulenta.
OWASP 9
Ingeniería social
Perfil ideal
� Profesional de las tecnologías de la información con conocimientos yexperiencia en gestión TI.
� Conocimientos y experiencia en gestión empresarial.
� Habilidades sociales (elocuencia, empatía,…) a un nivel alto.
� Experto en seguridad de la información.
� Imaginación.
OWASP 10
Ingeniería social
Historia
� La ingeniería social existe desde tiempo inmemoriales, pero a nivelTIC su máximo precursor fue Kevin Mitnick “Condor”.
� Mitnick afirmaba que la ingeniería social funcionaba por cuatropreceptos:
� Todos queremos ayudar.
� El primer movimiento es siempre de confianza hacia el otro.
� No nos gusta decir No.
� A todos nos gusta que nos alaben.
OWASP 11
Ingeniería social
¿Por qué funciona?
� Falta de concienciación en seguridad por parte de los trabajadoresde las empresas, a todos los niveles.
� La confianza mueve el mundo. Determinadas características ysituaciones generan mayor confianza hacia la víctima (halagos,empatía,…)
� Deslocalización de ubicaciones facilita la creación de falsos perfilesinternos, no necesariamente tienen que ser grandes empresas.
OWASP 12
Ingeniería social
Medios
� Físico. Suplantación de identidad,…
� Electrónico. Phishing, e-mails falsos,…
OWASP 15
Ingeniería social
Marco de proyectos
� Obtener datos corporativos públicos (Google, DNS, visitas, colaboradores…)
� Identificar potenciales usuarios o personas destinatarias del ataque
Objetivo Análisis
OWASP 16
Ingeniería social
Marco de proyectos
� Usuario/s objetivo, recursos necesarios, medio físico / electrónico
� Timing, contingencias
Objetivo AnálisisGenerar vector
OWASP 17
Ingeniería social
Marco de proyectos
� Ejecución del vector de ataque y comprobación de resultados
Objetivo AnálisisGenerar vector
Ejecutar vector
OWASP
Ingeniería social
�Caso 1 – Asaltando un banco
�Objetivo: Obtener información de infraestructura TIC privadaen búsqueda de vulnerabilidades para explotar de forma externa
18
OWASP
Ingeniería social
�Caso 1 – Asaltando un banco
�Objetivo: Obtener información de infraestructura TIC privadaen búsqueda de vulnerabilidades para explotar de forma externa
�Análisis� Deslocalización de oficinas -> Usuarios alejados geográficamente no se
suelen conocer.
� Confianza y amabilidad de los directores de oficina ante clientes potenciales.
� Usuarios de sistema de información de nivel bajo y poco concienciados enseguridad de la información.
� Problema idiomático.
19
OWASP
Ingeniería social
�Caso 1 – Asaltando un banco
�Vector de ataque.
20
Paso 1
• Visita a una oficina del banco
• Convencer al director de la oficina de la potencialidad de una operación financiera para generar confianza
• Visita a una oficina del banco
• Convencer al director de la oficina de la potencialidad de una operación financiera para generar confianza
Paso 2
• Envío de documentación para la operación financiera por medio electrónico
• Solicitud de acuse de recibo
• Envío de documentación para la operación financiera por medio electrónico
• Solicitud de acuse de recibo
Paso 3• Recopilar y contrastar información del acuse de recibo• Recopilar y contrastar información del acuse de recibo
OWASP
Ingeniería social
�Caso 1 – Asaltando un banco
�Ejecución del vector.
� Obtuvimos nombre y versión exacta del gestor de correo electrónico.
� Obtuvimos datos de los enrutadores, DMZ y de la gestión del tráfico de red.
� Se montó posteriormente un ataque exitoso contra el gestor de correo.
21
OWASP
Ingeniería social
�Caso 2 – Amigos de los animales
�Objetivo: Suplantar la identidad de socios de un zoológico yacceder a la intranet.
22
OWASP
Ingeniería social
�Caso 2 – Amigos de los animales
�Objetivo: Suplantar la identidad de socios de un zoológico yacceder a la intranet.
�Análisis� Desconocimiento de los nombres de los socios.
� Socios tienen acceso a una Intranet corporativa.
� Oficina técnica del Zoo centralizada.
� Confianza y amabilidad del personal del Call Center.
� Zoo promueve diversos eventos con gran interés y difusión. N.B.:¿generación de confianza mediante halagos?
� Problema idiomático -> ataque medio electrónico, no físico.
� Grupos de Facebook de amigos del Zoo.
� Política de calidad del Zoo orientada hacia el servicio a los clientes y socios.
23
OWASP
Ingeniería social
�Caso 2 – Amigos de los animales
�Vector de ataque.
24
Paso 1• Buscar en los grupos de Facebook de amigos del Zoo nombres de personas que geográficamente se encuentren cerca de la localidad del zoo.
• Buscar en los grupos de Facebook de amigos del Zoo nombres de personas que geográficamente se encuentren cerca de la localidad del zoo.
Paso 2• Seleccionar nombres de amigos de Facebook
• Crear direcciones de gmail con esos nombres
• Seleccionar nombres de amigos de Facebook
• Crear direcciones de gmail con esos nombres
Paso 3
• Mensaje por correo electrónico notificando el cambio de direcciones de correo de contacto y felicitando al zoo por el último evento celebrado.
• Mensaje a los tres días solicitando cambio de contraseña del acceso del usuario a la intranet
• Mensaje por correo electrónico notificando el cambio de direcciones de correo de contacto y felicitando al zoo por el último evento celebrado.
• Mensaje a los tres días solicitando cambio de contraseña del acceso del usuario a la intranet
OWASP
Ingeniería social
�Caso 2 – Amigos de los animales
�Ejecución del vector.
� Seleccionamos dos mujeres casadas con hijos del grupo de Facebook quevivían cerca de las instalaciones del Zoo.
� Resultaron ser socias y desde el Contact Center nos cambiaron las cuentasde contacto mediante el envío de correos electrónicos desde dichas cuentasfalsas.
� Se felicitó también al Zoo por el paseo nocturno y los fuegos artificiales.
� A los días se envío un correo solicitando el cambio de contraseña para elacceso a la Intranet.
25
OWASP
Ingeniería social
�Caso 3 – Fans de los expertos en seguridad
�Objetivo: Suplantar la identidad de expertos en seguridadinformática y directivos de grandes empresas.
26
OWASP
Ingeniería social
�Caso 3 – Fans de los expertos en seguridad
�Objetivo: Suplantar la identidad de expertos en seguridadinformática y directivos de grandes empresas.
�Análisis� Los expertos en seguridad informática ligan bastante, eso de la seguridad
engancha a las mujeres.
� Los expertos en seguridad y directivos suelen dar tarjetas de visita a losasistentes a congresos.
� Los jóvenes universitarios que asisten a los congresos de seguridad,especialmente hombres, les gusta ligar, especialmente si son solteros.
� En Dinamarca y países limítrofes, casi con toda probabilidad, no conozcan alos expertos y directivos de España.
27
OWASP
Ingeniería social
�Caso 3 – Fans de los expertos en seguridad
�Vector de ataque.
28
Paso 1• Buscar en un congreso directivos y expertos en
seguridad que den tarjetas de visita.• Buscar en un congreso directivos y expertos en
seguridad que den tarjetas de visita.
Paso 2• Modificar las tarjetas de visita con Photoshop para
cambiar los nombres de los titulares de las tarjetas.• Modificar las tarjetas de visita con Photoshop para
cambiar los nombres de los titulares de las tarjetas.
Paso 3
• Viajar a Dinamarca en un Erasmus y ligar con dosmodelos danesas dándole las tarjetas de visita comodirectivos de Google o Microsoft.
• Viajar a Dinamarca en un Erasmus y ligar con dosmodelos danesas dándole las tarjetas de visita comodirectivos de Google o Microsoft.
OWASP
Ingeniería social
�Caso 3 – Fans de los expertos en seguridad
�Ejecución del vector.
� En la OWAND’11 Granada un joven universitario pide una tarjeta de visita alponente.
� El joven universitario cambia el nombre de la tarjeta de visita medianteescaneo y Photoshop, y aparece como Fulano Perez, CISA, CISM, CRISC,director gerente de un grupo de empresas especializado en seguridad.
� El joven universitario viaja a Dinamarca en Erasmus y en un bar conoce unamodelo danesa rubia de 1,90m, y se arriesga con la estrategia.
� El joven universitario chapurrea en inglés un par de frases de seguridadinformática, le comenta que está de visita, y convence a la modelo paraechar una noche de juerga.
� La modelo a la semana llama a la oficina de la empresa, mi mujer se enteraque he ligado con una modelo danesa y me pega una ostia.
29
OWASP 30
Ingeniería social
Conclusiones
� Es una herramienta muy efectiva que golpea la seguridad de lasorganizaciones por su eslabón más débil, las personas.
� La ingeniería social es un excelente complemento de los pentesting.
� La mejor fórmula para minimizar los riesgos de ataques deingeniería social son la elaboración e implantación de planes deconcienciación.
� Es necesario seguir un marco de trabajo para conseguir objetivosconcretos y realistas.