1. Seguretat i alta disponibilitat
UF 1: Seguretat física, lògica i legislació
Part 1d
Enginyeria Social
Xavier Sala Pujolar
IES Cendrassos
2. Enganys
● Els humans s'enganyen els uns als altres des
de fa segles
Administració de Sistemes Informàtics i Xarxes
3. Enganys
● I encara es fa. No?
Administració de Sistemes Informàtics i Xarxes
4. Enginyeria Social
● En qualsevol sistema el
punt més dèbil sempre
són les persones
– En algun moment la
seguretat dependrà
d'algun usuari
– Poden fer més senzill
l'atac
Ex. és més fàcil aconseguir
dades per endevinar la
contrasenya d'un usuari que
atacar-la per força bruta
Administració de Sistemes Informàtics i Xarxes
5. Enginyeria Social
L'enginyeria social consisteix en
manipular les persones perquè facin
voluntàriament actes que no farien
normalment
Administració de Sistemes Informàtics i Xarxes
6. Enginyeria Social
● L'objectiu pot ser una organització, un individu,
un departament
● Abans de fer res cal que l'atacant obtinguin
tanta informació de l'objectiu com sigui possible
● La gent té una tendència natural a confiar en
una persona que sap informació que
“teòricament” no hauria de saber
– Xarxes socials, webs, ...
– Informació pública de l'empresa, ...
– Investigació al lloc, veïns, ...
Administració de Sistemes Informàtics i Xarxes
7. Enginyeria Social
● L'enginyeria social es concentra en quin és
objectiu s'ha d'aconseguir i no en com fer-ho
– Qualsevol sistema és vàlid sempre que
s'aconsegueixi l'objectiu
Aconseguir la contrasenya d'accés al banc d'en
NO Frederic Garcia
Aconseguir transferir anònimament diners del
SI compte d'en Frederic Garcia abans de les
compres de Nadal
Administració de Sistemes Informàtics i Xarxes
9. Enginyeria social
En l'enginyeria social en comptes de fer servir
tècniques de hacking s'enganya per que es facin
accions perilloses o que es divulgui informació
personal
Administració de Sistemes Informàtics i Xarxes
10. Enginyeria Social
● Poden fer servir medis tecnològics o no
Correu
Telèfon Disfresses
Suplantació d'identitat
SMS
Correu electrònic, servidors, ...
● Però combinar-ho amb programari és més
devastador
Administració de Sistemes Informàtics i Xarxes
11. Enginyeria Social
● Sovint es complementen les tècniques
d'enginyeria social amb programari maliciós
– Virus, troians, cucs, bombes lògiques, etc..
Administració de Sistemes Informàtics i Xarxes
12. Comportament humà
● S'aprofiten del comportament humà per
aconseguir els seus objectius.
– La gent sempre vol ajudar
– En el primer moment tothom confia...
– No agrada dir que no
– A tothom li agrada que l'alabin
● I solen explotar:
– La por, la curiositat, la cobdícia, l'empatia, la
innocència, l'orgull, etc ...
Administració de Sistemes Informàtics i Xarxes
13. Comportament humà
L'únic ordinador segur es el que està
desendollat.
Sempre es pot convèncer a
algú perquè el torni a endollar
Administració de Sistemes Informàtics i Xarxes
14. Condició humana: por
● Por: Aprofitar-se de la por a que passi alguna
cosa. Robatori, xantatge, pèrdua de feina, etc..
– En especial la por al robatori es fa servir molt en
atacs de phising
Simula l'aspecte
d'un correu
Hem rebut una petició de transferir 200.000€ del seu compte
legítim però les
a un banc de les illes Barbados. Si ha estat vostè qui ha fet dades s'envien a
la petició no cal que faci res més un servidor
En el cas de que no hagi estat vostè qui ha ordenat la controlat per
transferència entri en el seu compte bancari abans de 24 l'atacant!
hores per cancel·lar la transferència
Entra el teu ID Contrasenya Entrar
Administració de Sistemes Informàtics i Xarxes
15. Condició humana: curiositat
● Curiositat: Consisteix en oferir coses o
informació que pugui resultar atractives per la
víctima
Què hi deu haver en aquest CD que m'he trobat?
Administració de Sistemes Informàtics i Xarxes
16. Instal·lació de programari
● Cobdícia: Prometre premis si es fa una cosa
determinada, etc..
– Molt habitual és fer-lo instal·lar un programa
infectat
Vols
Vols
aconseguir tot
aconseguir tot
el que sempre
el que sempre
has somiat?
has somiat?
DESCARREGA
Aquest programa
Administració de Sistemes Informàtics i Xarxes
17. Condició humana: innocència
● Innocència: Aprofitar-se de la confiança i del
desconeixement
– La gent té tendència a confiar en les coses que
coneix o en el que considera habitual
Hi ha un programa
que protegeix de les
tempestes solars
L'any que ve n'hi ha
moltes de previstes!!
Administració de Sistemes Informàtics i Xarxes
18. Condició humana: empatia
● Empatia: La gent té tendència a confiar en
gent que té problemes
Si no em deixes
enviar un correu
electrònic em
despatxaran
Administració de Sistemes Informàtics i Xarxes
19. Condició humana: orgull
● Orgull: Els afalacs són sempre ben acceptats
per tothom...
Intel·ligent!
Guapo!
Si no fos
per tu ...!
Ets el millor!
Administració de Sistemes Informàtics i Xarxes
20. Condició humana: altres
● Constantment s'inventen noves formes
intel·lectuals per manipular a les persones i
comprometre les seves màquines
Administració de Sistemes Informàtics i Xarxes
21. Enginyeria Social
● L'objectiu de l'engany normalment és que la
gent reveli informació o faci alguna cosa que
pugui o ajudi a comprometre el sistema
● Per:
– Cometre fraus
– Entrar en sistemes i
xarxes
– Espionatge industrial
– Robatori d'identitat
– ...
Administració de Sistemes Informàtics i Xarxes
23. Mètodes
● L'ideal és que la víctima no se n'adoni del que
ha passat
– Ha revelat contrasenyes, ha passat informació
crítica, ha deixat fer servir el seu ordinador, Ha
infectat una màquina, ...
– Però no ho sap (almenys per ara)
● La idea de persuadir a la gent de fer el que
volem també es fa servir per vendre articles
– Un recurs interessant és:
http://www.cepvi.com/articulos/persuasion.shtml
Administració de Sistemes Informàtics i Xarxes
24. Mètodes
● Hi ha moltes tècniques que es fan servir en
enginyeria social
● Phising ● Pretexting
● Shoulder surfing ● Baiting
● Dumpster diving ● PiggyBacking
● Eavesdropping ● logpicking
● I qualsevol en pot inventar de noves...
● La imaginació per fer el mal no té límits :-)
Administració de Sistemes Informàtics i Xarxes
25. Mètodes
● Phising: Consisteix en aconseguir informació
confidencial de forma fraudulenta fent-se
passar per algú altre de confiança
– El més habitual sol ser enviar un correu electrònic
amb enllaços fraudulents que porta a pàgines
falsificades per capturar dades
Administració de Sistemes Informàtics i Xarxes
26. Enginyeria Social / Phishing
● Enllaços falsos CLICA! Entra al teu
compte de
Facebook
– S'ha d'anar molt amb compte amb les coses
que venen des de llocs desconeguts i revisar
les adreces:
http://www.faceb00k.com o http://facebooc.com
– Hi ha gent que n'és conscient i han registrat els
dominis que s'assemblen al legítim:
http://www.gogle.com o http://www.g00gle.com
http://www.gugle.com o http://www.gugel.com
Administració de Sistemes Informàtics i Xarxes
28. Phishing
● Hi ha tants llocs de phising que els navegadors
hi han posat filtres
Administració de Sistemes Informàtics i Xarxes
29. Mètodes
● Shoulder surfing: Consisteix en mirar què fan
els usuaris per sobre l'espatlla
● A pesar del que sembla és altament efectiva
– Contrasenyes, pins de caixers automàtics, etc..
Caixers automàtics
● Tothom cobreix el teclat mentre posa el PIN de la
targeta o entra la contrasenya del correu electrònic amb
algú present?
Administració de Sistemes Informàtics i Xarxes
30. Mètodes
● Dumpster diving: Literalment regirar
les escombraries per trobar informació
de l'objectiu:
– documents, factures, noms, dades
internes, telèfons, ...
● Les organitzacions es desfan de molta
informació i no sempre de forma
segura
● Ningú ha llençat factures, llistats de programes o
resums bancaris a les escombraries?
Administració de Sistemes Informàtics i Xarxes
31. Enginyeria Social
Un estudi del NAID (National Association for Information Destruction) ha
descobert que el 72% de la informació confidencial acaba a les
escombraries
Es troba informació en paper però també en discs durs vells
● La informació en paper sol estar estripada i els discs durs
esborrats. Però s'hi poden trobar dades privades!
● Per tant són conscients que la informació és confidencial!
De les empreses investigades tenen informació confidencial
sense destruir en les escombraries:
● El 75% dels bancs
● El 50% dels centres mèdics
● El 100% dels edificis del govern
http://www.naidonline.org/neur/es/consumer/news/606.html
Administració de Sistemes Informàtics i Xarxes
32. Mètodes
● Eavesdropping. Consisteix en escoltar la
informació que es passen els usuaris amb
privilegis d'un sistema parlant
Cafeteria
●Ningú parla mai de coses de la feina o personals
durant el dinar o per esmorzar?
Administració de Sistemes Informàtics i Xarxes
33. Mètodes
● Pretexting: Inventar-se una història per fer que
la víctima divulgui informació que normalment
no donaria
– Fer-se passar per un conegut, una autoritat, un
parent d'algú
– Situacions de risc, ...
Instal·lador d'ADSL fent proves
● Pot entrar en la casa de la víctima
● Rep una trucada
● Pot fer servir l'ordinador per enviar un correu
electrònic?
Administració de Sistemes Informàtics i Xarxes
34. Mètodes
● Quan algú es fa passar per un tècnic amb algú
que no ho és i només fa servir paraules
tècniques tothom sol contestar “si, si...”
– Ningú vol quedar com un ignorant
Segurament el que passa és
que un dels switch ha deixat un
dels servidors fora de l'array de
clusters i no pot accedir al pool
de discos SCASI
Administració de Sistemes Informàtics i Xarxes
35. Mètodes
● La gent confia més si se li dóna informació que
no s'hauria de saber
– Es pot aconseguir informació personal en
enquestes “innocents” amb familiars i amics
● Si es vol enviar un programa infectat abans
avisar per telèfon fent-se passar per algú
important
– Normalment la gent sol desconfiar del que rep
per correu electrònic (són molts anys
d'insistir...)
– Si saben que arribarà és més fàcil que
l'executin
Administració de Sistemes Informàtics i Xarxes
36. Mètodes
● Baiting: Consisteix en aprofitar-se de la
curiositat dels usuaris
– El més típic sol ser “oblidar” un CD o un Pendrive
amb malware en algun lloc perquè el trobin i
portats per la seva curiositat natural el posin en
un ordinador
Representant d'una empresa amb la que es treballa
● Porta un CD amb l'actualització de l'Antivirus
● Millora molt i no consumeix recursos
● Com que ets un bon client te'l regala o se l'oblida
● L'instal·laràs?
Administració de Sistemes Informàtics i Xarxes
37. Mètodes
● PiggyBacking: Consisteix en saltar-se els
controls de seguretat seguint o fent-se passar
per una persona autoritzada
– Sol tenir força èxit amb disfresses de dona de la
neteja, de personal de manteniment, ...
Treballador de Telefónica
● Ve a arreglar un problema en l'ADSL però els
d'Informàtica encara no han començat
● Si no s'arregla hi haurà problemes, ja han trucat
moltes vegades
● El conserge el deixarà entrar?
Administració de Sistemes Informàtics i Xarxes
38. Mètodes
● Logpicking: És l'art d'obrir panys sense que es
trenquin
– Fins i tot n'hi ha competicions www.lockpickingsport.com www.lockpicking.es
Administració de Sistemes Informàtics i Xarxes
40. Contramesures
● En general la solució contra l'enginyeria social
sol estar basada en dues coses:
Instal·lar solucions de
Formació dels usuaris
seguretat
Administració de Sistemes Informàtics i Xarxes
41. Formació
● La principal forma de defensar-se contra la
enginyeria social és formar els usuaris en les
polítiques de seguretat i assegurar-se que les
segueixen
Administració de Sistemes Informàtics i Xarxes
42. Problemes
● Problemes possibles:
– Infecció de màquines al entrar USB infectats
– Enllaços a web malicioses
● Es pot invertir en programari de seguretat però
al final l'usuari decideix...
Administració de Sistemes Informàtics i Xarxes
43. Formació
“Qualsevol que pensi que els programes de
seguretat per si sols ofereixen seguretat només
està comprant la il·lusió de seguretat”
Kevin Mitnick
Administració de Sistemes Informàtics i Xarxes
44. Formació
● I s'ha de fer formació per tothom!
Administració de Sistemes Informàtics i Xarxes
45. Contramesures
La seguretat millora amb la formació dels usuaris
però per si sola no és suficient
Administració de Sistemes Informàtics i Xarxes
46. Enginyeria Social
● Durant anys s'ha estat repetint als usuaris de
que desconfiïn dels emails
● Encara hi cau gent
✔ Cliquen els enllaços
✔ Descarreguen i
executen programes
● Però poca gent
desconfia del correu
ordinari!
✔ Enviar un CD per
correu ordinari
sembla molt més
“important”
Administració de Sistemes Informàtics i Xarxes
47. Sistemes de seguretat
● Cal tenir els sistemes de seguretat instal·lats i
actualitzats per si algú “se n'oblida”
Administració de Sistemes Informàtics i Xarxes
48. En general...
● Educar a tots els usuaris
● Analitzar tots els correus electrònics abans que els obri
ningú amb un antivirus actualitzat
● Mai executar programes de procedència desconeguda
encara que no s'hi detectin virus
● No informar per telèfon de característiques tècniques, ni de
persones, etc...
● Assegurar el control d'accés físic
● Destruir la informació abans de llençar-la
● Verificar les fonts abans de confiar en els missatges
● Vigilar què es posa en les xarxes socials
● Tenir contrasenyes segures
● Actualitzar completament els sistemes
Administració de Sistemes Informàtics i Xarxes
50. Enginyeria Social
● Les eines que es poden fer servir són molt
diverses i no sempre de programari
● Però s'han creat eines de programari
específiques per ajudar a l'enginyeria social
– El més normal és que les eines de programari
estiguin orientades a facilitar el phising
– I s'integrin amb eines amb exploits com Metasploit
Framework o Inmunity Canvas
Administració de Sistemes Informàtics i Xarxes
51. SET
● Social Engineer Tolkit (SET) és una eina que
permet clonar webs, enviament de correus
electrònics, etc.. combinant-ho amb Metasploit
Framework per atacar
Administració de Sistemes Informàtics i Xarxes
53. Exemples
Enginyeria Social en un banc
https://holename.wordpress.com/2011/01/22/ingenieria-social-en-un-banco-parte-1/
https://holename.wordpress.com/2011/03/04/ingenieria-social-en-un-banco-parte-2/
Enginyeria social en els hotels
https://holename.wordpress.com/2010/11/30/ingenieria-social-en-los-hoteles-parte1/
https://holename.wordpress.com/2010/11/30/ingenieria-social-en-los-hoteles-parte2/
Administració de Sistemes Informàtics i Xarxes