SlideShare a Scribd company logo

Enginyeria social

Xavier Sala Pujolar
Xavier Sala Pujolar

Què és la enginyeria social?

Technology
1 of 53
Download to read offline
Seguretat i alta disponibilitat UF 1: Seguretat física, lògica i legislació Part 1d Enginyeria Social Xavier Sala Pujolar IES Cendrassos
Enganys ● Els humans s'enganyen els uns als altres des de fa segles Administració de Sistemes Informàtics i Xarxes
Enganys ● I encara es fa. No? Administració de Sistemes Informàtics i Xarxes
Enginyeria Social ● En qualsevol sistema el punt més dèbil sempre són les persones – En algun moment la seguretat dependrà d'algun usuari – Poden fer més senzill l'atac Ex. és més fàcil aconseguir dades per endevinar la contrasenya d'un usuari que atacar-la per força bruta Administració de Sistemes Informàtics i Xarxes
Enginyeria Social L'enginyeria social consisteix en manipular les persones perquè facin voluntàriament actes que no farien normalment Administració de Sistemes Informàtics i Xarxes
Enginyeria Social ● L'objectiu pot ser una organització, un individu, un departament ● Abans de fer res cal que l'atacant obtinguin tanta informació de l'objectiu com sigui possible ● La gent té una tendència natural a confiar en una persona que sap informació que “teòricament” no hauria de saber – Xarxes socials, webs, ... – Informació pública de l'empresa, ... – Investigació al lloc, veïns, ... Administració de Sistemes Informàtics i Xarxes
Enginyeria Social ● L'enginyeria social es concentra en quin és objectiu s'ha d'aconseguir i no en com fer-ho – Qualsevol sistema és vàlid sempre que s'aconsegueixi l'objectiu Aconseguir la contrasenya d'accés al banc d'en NO Frederic Garcia Aconseguir transferir anònimament diners del SI compte d'en Frederic Garcia abans de les compres de Nadal Administració de Sistemes Informàtics i Xarxes
Enginyeria Social Com funciona? Administració de Sistemes Informàtics i Xarxes
Enginyeria social En l'enginyeria social en comptes de fer servir tècniques de hacking s'enganya per que es facin accions perilloses o que es divulgui informació personal Administració de Sistemes Informàtics i Xarxes
Enginyeria Social ● Poden fer servir medis tecnològics o no Correu Telèfon Disfresses Suplantació d'identitat SMS Correu electrònic, servidors, ... ● Però combinar-ho amb programari és més devastador Administració de Sistemes Informàtics i Xarxes
Enginyeria Social ● Sovint es complementen les tècniques d'enginyeria social amb programari maliciós – Virus, troians, cucs, bombes lògiques, etc.. Administració de Sistemes Informàtics i Xarxes
Comportament humà ● S'aprofiten del comportament humà per aconseguir els seus objectius. – La gent sempre vol ajudar – En el primer moment tothom confia... – No agrada dir que no – A tothom li agrada que l'alabin ● I solen explotar: – La por, la curiositat, la cobdícia, l'empatia, la innocència, l'orgull, etc ... Administració de Sistemes Informàtics i Xarxes
Comportament humà L'únic ordinador segur es el que està desendollat. Sempre es pot convèncer a algú perquè el torni a endollar Administració de Sistemes Informàtics i Xarxes
Condició humana: por ● Por: Aprofitar-se de la por a que passi alguna cosa. Robatori, xantatge, pèrdua de feina, etc.. – En especial la por al robatori es fa servir molt en atacs de phising Simula l'aspecte d'un correu Hem rebut una petició de transferir 200.000€ del seu compte legítim però les a un banc de les illes Barbados. Si ha estat vostè qui ha fet dades s'envien a la petició no cal que faci res més un servidor En el cas de que no hagi estat vostè qui ha ordenat la controlat per transferència entri en el seu compte bancari abans de 24 l'atacant! hores per cancel·lar la transferència Entra el teu ID Contrasenya Entrar Administració de Sistemes Informàtics i Xarxes
Condició humana: curiositat ● Curiositat: Consisteix en oferir coses o informació que pugui resultar atractives per la víctima Què hi deu haver en aquest CD que m'he trobat? Administració de Sistemes Informàtics i Xarxes
Instal·lació de programari ● Cobdícia: Prometre premis si es fa una cosa determinada, etc.. – Molt habitual és fer-lo instal·lar un programa infectat Vols Vols aconseguir tot aconseguir tot el que sempre el que sempre has somiat? has somiat? DESCARREGA Aquest programa Administració de Sistemes Informàtics i Xarxes
Condició humana: innocència ● Innocència: Aprofitar-se de la confiança i del desconeixement – La gent té tendència a confiar en les coses que coneix o en el que considera habitual Hi ha un programa que protegeix de les tempestes solars L'any que ve n'hi ha moltes de previstes!! Administració de Sistemes Informàtics i Xarxes
Condició humana: empatia ● Empatia: La gent té tendència a confiar en gent que té problemes Si no em deixes enviar un correu electrònic em despatxaran Administració de Sistemes Informàtics i Xarxes
Condició humana: orgull ● Orgull: Els afalacs són sempre ben acceptats per tothom... Intel·ligent! Guapo! Si no fos per tu ...! Ets el millor! Administració de Sistemes Informàtics i Xarxes
Condició humana: altres ● Constantment s'inventen noves formes intel·lectuals per manipular a les persones i comprometre les seves màquines Administració de Sistemes Informàtics i Xarxes
Enginyeria Social ● L'objectiu de l'engany normalment és que la gent reveli informació o faci alguna cosa que pugui o ajudi a comprometre el sistema ● Per: – Cometre fraus – Entrar en sistemes i xarxes – Espionatge industrial – Robatori d'identitat – ... Administració de Sistemes Informàtics i Xarxes
Enginyeria Social Mètodes Administració de Sistemes Informàtics i Xarxes
Mètodes ● L'ideal és que la víctima no se n'adoni del que ha passat – Ha revelat contrasenyes, ha passat informació crítica, ha deixat fer servir el seu ordinador, Ha infectat una màquina, ... – Però no ho sap (almenys per ara) ● La idea de persuadir a la gent de fer el que volem també es fa servir per vendre articles – Un recurs interessant és: http://www.cepvi.com/articulos/persuasion.shtml Administració de Sistemes Informàtics i Xarxes
Mètodes ● Hi ha moltes tècniques que es fan servir en enginyeria social ● Phising ● Pretexting ● Shoulder surfing ● Baiting ● Dumpster diving ● PiggyBacking ● Eavesdropping ● logpicking ● I qualsevol en pot inventar de noves... ● La imaginació per fer el mal no té límits :-) Administració de Sistemes Informàtics i Xarxes
Mètodes ● Phising: Consisteix en aconseguir informació confidencial de forma fraudulenta fent-se passar per algú altre de confiança – El més habitual sol ser enviar un correu electrònic amb enllaços fraudulents que porta a pàgines falsificades per capturar dades Administració de Sistemes Informàtics i Xarxes
Enginyeria Social / Phishing ● Enllaços falsos CLICA! Entra al teu compte de Facebook – S'ha d'anar molt amb compte amb les coses que venen des de llocs desconeguts i revisar les adreces: http://www.faceb00k.com o http://facebooc.com – Hi ha gent que n'és conscient i han registrat els dominis que s'assemblen al legítim: http://www.gogle.com o http://www.g00gle.com http://www.gugle.com o http://www.gugel.com Administració de Sistemes Informàtics i Xarxes
Enllaços web Administració de Sistemes Informàtics i Xarxes
Phishing ● Hi ha tants llocs de phising que els navegadors hi han posat filtres Administració de Sistemes Informàtics i Xarxes
Mètodes ● Shoulder surfing: Consisteix en mirar què fan els usuaris per sobre l'espatlla ● A pesar del que sembla és altament efectiva – Contrasenyes, pins de caixers automàtics, etc.. Caixers automàtics ● Tothom cobreix el teclat mentre posa el PIN de la targeta o entra la contrasenya del correu electrònic amb algú present? Administració de Sistemes Informàtics i Xarxes
Mètodes ● Dumpster diving: Literalment regirar les escombraries per trobar informació de l'objectiu: – documents, factures, noms, dades internes, telèfons, ... ● Les organitzacions es desfan de molta informació i no sempre de forma segura ● Ningú ha llençat factures, llistats de programes o resums bancaris a les escombraries? Administració de Sistemes Informàtics i Xarxes
Enginyeria Social Un estudi del NAID (National Association for Information Destruction) ha descobert que el 72% de la informació confidencial acaba a les escombraries Es troba informació en paper però també en discs durs vells ● La informació en paper sol estar estripada i els discs durs esborrats. Però s'hi poden trobar dades privades! ● Per tant són conscients que la informació és confidencial! De les empreses investigades tenen informació confidencial sense destruir en les escombraries: ● El 75% dels bancs ● El 50% dels centres mèdics ● El 100% dels edificis del govern http://www.naidonline.org/neur/es/consumer/news/606.html Administració de Sistemes Informàtics i Xarxes
Mètodes ● Eavesdropping. Consisteix en escoltar la informació que es passen els usuaris amb privilegis d'un sistema parlant Cafeteria ●Ningú parla mai de coses de la feina o personals durant el dinar o per esmorzar? Administració de Sistemes Informàtics i Xarxes
Mètodes ● Pretexting: Inventar-se una història per fer que la víctima divulgui informació que normalment no donaria – Fer-se passar per un conegut, una autoritat, un parent d'algú – Situacions de risc, ... Instal·lador d'ADSL fent proves ● Pot entrar en la casa de la víctima ● Rep una trucada ● Pot fer servir l'ordinador per enviar un correu electrònic? Administració de Sistemes Informàtics i Xarxes
Mètodes ● Quan algú es fa passar per un tècnic amb algú que no ho és i només fa servir paraules tècniques tothom sol contestar “si, si...” – Ningú vol quedar com un ignorant Segurament el que passa és que un dels switch ha deixat un dels servidors fora de l'array de clusters i no pot accedir al pool de discos SCASI Administració de Sistemes Informàtics i Xarxes
Mètodes ● La gent confia més si se li dóna informació que no s'hauria de saber – Es pot aconseguir informació personal en enquestes “innocents” amb familiars i amics ● Si es vol enviar un programa infectat abans avisar per telèfon fent-se passar per algú important – Normalment la gent sol desconfiar del que rep per correu electrònic (són molts anys d'insistir...) – Si saben que arribarà és més fàcil que l'executin Administració de Sistemes Informàtics i Xarxes
Mètodes ● Baiting: Consisteix en aprofitar-se de la curiositat dels usuaris – El més típic sol ser “oblidar” un CD o un Pendrive amb malware en algun lloc perquè el trobin i portats per la seva curiositat natural el posin en un ordinador Representant d'una empresa amb la que es treballa ● Porta un CD amb l'actualització de l'Antivirus ● Millora molt i no consumeix recursos ● Com que ets un bon client te'l regala o se l'oblida ● L'instal·laràs? Administració de Sistemes Informàtics i Xarxes
Mètodes ● PiggyBacking: Consisteix en saltar-se els controls de seguretat seguint o fent-se passar per una persona autoritzada – Sol tenir força èxit amb disfresses de dona de la neteja, de personal de manteniment, ... Treballador de Telefónica ● Ve a arreglar un problema en l'ADSL però els d'Informàtica encara no han començat ● Si no s'arregla hi haurà problemes, ja han trucat moltes vegades ● El conserge el deixarà entrar? Administració de Sistemes Informàtics i Xarxes
Mètodes ● Logpicking: És l'art d'obrir panys sense que es trenquin – Fins i tot n'hi ha competicions www.lockpickingsport.com www.lockpicking.es Administració de Sistemes Informàtics i Xarxes
Enginyeria Social Com evitar-ho? Administració de Sistemes Informàtics i Xarxes
Contramesures ● En general la solució contra l'enginyeria social sol estar basada en dues coses: Instal·lar solucions de Formació dels usuaris seguretat Administració de Sistemes Informàtics i Xarxes
Formació ● La principal forma de defensar-se contra la enginyeria social és formar els usuaris en les polítiques de seguretat i assegurar-se que les segueixen Administració de Sistemes Informàtics i Xarxes
Problemes ● Problemes possibles: – Infecció de màquines al entrar USB infectats – Enllaços a web malicioses ● Es pot invertir en programari de seguretat però al final l'usuari decideix... Administració de Sistemes Informàtics i Xarxes
Formació “Qualsevol que pensi que els programes de seguretat per si sols ofereixen seguretat només està comprant la il·lusió de seguretat” Kevin Mitnick Administració de Sistemes Informàtics i Xarxes
Formació ● I s'ha de fer formació per tothom! Administració de Sistemes Informàtics i Xarxes
Contramesures La seguretat millora amb la formació dels usuaris però per si sola no és suficient Administració de Sistemes Informàtics i Xarxes
Enginyeria Social ● Durant anys s'ha estat repetint als usuaris de que desconfiïn dels emails ● Encara hi cau gent ✔ Cliquen els enllaços ✔ Descarreguen i executen programes ● Però poca gent desconfia del correu ordinari! ✔ Enviar un CD per correu ordinari sembla molt més “important” Administració de Sistemes Informàtics i Xarxes
Sistemes de seguretat ● Cal tenir els sistemes de seguretat instal·lats i actualitzats per si algú “se n'oblida” Administració de Sistemes Informàtics i Xarxes
En general... ● Educar a tots els usuaris ● Analitzar tots els correus electrònics abans que els obri ningú amb un antivirus actualitzat ● Mai executar programes de procedència desconeguda encara que no s'hi detectin virus ● No informar per telèfon de característiques tècniques, ni de persones, etc... ● Assegurar el control d'accés físic ● Destruir la informació abans de llençar-la ● Verificar les fonts abans de confiar en els missatges ● Vigilar què es posa en les xarxes socials ● Tenir contrasenyes segures ● Actualitzar completament els sistemes Administració de Sistemes Informàtics i Xarxes
Enginyeria Social Eines Administració de Sistemes Informàtics i Xarxes
Enginyeria Social ● Les eines que es poden fer servir són molt diverses i no sempre de programari ● Però s'han creat eines de programari específiques per ajudar a l'enginyeria social – El més normal és que les eines de programari estiguin orientades a facilitar el phising – I s'integrin amb eines amb exploits com Metasploit Framework o Inmunity Canvas Administració de Sistemes Informàtics i Xarxes
SET ● Social Engineer Tolkit (SET) és una eina que permet clonar webs, enviament de correus electrònics, etc.. combinant-ho amb Metasploit Framework per atacar Administració de Sistemes Informàtics i Xarxes
Enginyeria Social Exemples Administració de Sistemes Informàtics i Xarxes
Exemples Enginyeria Social en un banc https://holename.wordpress.com/2011/01/22/ingenieria-social-en-un-banco-parte-1/ https://holename.wordpress.com/2011/03/04/ingenieria-social-en-un-banco-parte-2/ Enginyeria social en els hotels https://holename.wordpress.com/2010/11/30/ingenieria-social-en-los-hoteles-parte1/ https://holename.wordpress.com/2010/11/30/ingenieria-social-en-los-hoteles-parte2/ Administració de Sistemes Informàtics i Xarxes

Recommended

Tic definitiu grup 7
Tic definitiu grup 7Tic definitiu grup 7
Tic definitiu grup 7Ninesuib
 
Presentació grup3 móntic
Presentació grup3 mónticPresentació grup3 móntic
Presentació grup3 mónticnfernandezgarn
 
Cfakepathdboraibarbenaticailesnovestecnologies 100512111327-phpapp02
Cfakepathdboraibarbenaticailesnovestecnologies 100512111327-phpapp02Cfakepathdboraibarbenaticailesnovestecnologies 100512111327-phpapp02
Cfakepathdboraibarbenaticailesnovestecnologies 100512111327-phpapp02ricardgl
 
Anrijase Pac4
Anrijase Pac4Anrijase Pac4
Anrijase Pac4anrijase
 
Anrijase Pac4
Anrijase Pac4Anrijase Pac4
Anrijase Pac4anrijase
 
Delictes Informatics
Delictes InformaticsDelictes Informatics
Delictes Informaticsigarciadel_
 
DELICTES A LA XARXA
DELICTES A LA XARXADELICTES A LA XARXA
DELICTES A LA XARXAcarlajara
 
Seguretat
SeguretatSeguretat
SeguretatVicente Fernández
 

Recommended

Tic definitiu grup 7
Tic definitiu grup 7Tic definitiu grup 7
Tic definitiu grup 7Ninesuib
 
Presentació grup3 móntic
Presentació grup3 mónticPresentació grup3 móntic
Presentació grup3 mónticnfernandezgarn
 
Cfakepathdboraibarbenaticailesnovestecnologies 100512111327-phpapp02
Cfakepathdboraibarbenaticailesnovestecnologies 100512111327-phpapp02Cfakepathdboraibarbenaticailesnovestecnologies 100512111327-phpapp02
Cfakepathdboraibarbenaticailesnovestecnologies 100512111327-phpapp02ricardgl
 
Anrijase Pac4
Anrijase Pac4Anrijase Pac4
Anrijase Pac4anrijase
 
Anrijase Pac4
Anrijase Pac4Anrijase Pac4
Anrijase Pac4anrijase
 
Delictes Informatics
Delictes InformaticsDelictes Informatics
Delictes Informaticsigarciadel_
 
DELICTES A LA XARXA
DELICTES A LA XARXADELICTES A LA XARXA
DELICTES A LA XARXAcarlajara
 
Seguretat
SeguretatSeguretat
SeguretatVicente Fernández
 
Jornada ciberseguretat base CiberTECCH cat
Jornada ciberseguretat base CiberTECCH catJornada ciberseguretat base CiberTECCH cat
Jornada ciberseguretat base CiberTECCH catJordi Garcia Castillon
 
èTica I Les Noves Tecnologies
èTica I Les Noves TecnologiesèTica I Les Noves Tecnologies
èTica I Les Noves TecnologiesDebora Fuente Vaquero
 
guia_habits_cibersaludables.pdf
guia_habits_cibersaludables.pdfguia_habits_cibersaludables.pdf
guia_habits_cibersaludables.pdfPatrciaAdan
 
Presentació Grup Poirot. pptx
Presentació Grup Poirot. pptxPresentació Grup Poirot. pptx
Presentació Grup Poirot. pptxIrene Carrero
 
Xerrada Ampa. Per una infància protegida. Seguretat a la xarxa
Xerrada Ampa. Per una infància protegida. Seguretat a la xarxaXerrada Ampa. Per una infància protegida. Seguretat a la xarxa
Xerrada Ampa. Per una infància protegida. Seguretat a la xarxatamorques
 
Presentació 3
Presentació 3Presentació 3
Presentació 3Rafael Burgos
 
Los Hackers
Los HackersLos Hackers
Los Hackersyerzonn
 
C1 Cultura, participació i civisme digital
C1 Cultura, participació i civisme digitalC1 Cultura, participació i civisme digital
C1 Cultura, participació i civisme digitalDigital Granollers
 
Identitat digital Mabel & Sheila
Identitat digital Mabel & SheilaIdentitat digital Mabel & Sheila
Identitat digital Mabel & SheilaMabel Martin Flores
 
Criptografia
CriptografiaCriptografia
CriptografiaXavier Sala Pujolar
 
Navega però no t'enfonsis
Navega però no t'enfonsisNavega però no t'enfonsis
Navega però no t'enfonsisaneta1990
 
Navega però no t'enfonsis-1
Navega però no t'enfonsis-1Navega però no t'enfonsis-1
Navega però no t'enfonsis-1aneta1990
 
Navega però no t'enfonsis
Navega però no t'enfonsisNavega però no t'enfonsis
Navega però no t'enfonsisaneta1990
 
Navega però no t'enfonsis.2
Navega però no t'enfonsis.2Navega però no t'enfonsis.2
Navega però no t'enfonsis.2aneta1990
 
Navega però no t'enfonsis
Navega però no t'enfonsisNavega però no t'enfonsis
Navega però no t'enfonsisaneta1990
 
Navega però no t'enfonsis
Navega però no t'enfonsisNavega però no t'enfonsis
Navega però no t'enfonsisaneta1990
 
Navega però no t'enfonsis
Navega però no t'enfonsisNavega però no t'enfonsis
Navega però no t'enfonsisaneta1990
 
Navega però no t'enfonsis
Navega però no t'enfonsisNavega però no t'enfonsis
Navega però no t'enfonsisaneta1990
 
C1 Cultura, participació i civisme digital
C1 Cultura, participació i civisme digitalC1 Cultura, participació i civisme digital
C1 Cultura, participació i civisme digitalDigital Granollers
 
Ciber Talks
Ciber TalksCiber Talks
Ciber TalksBarcelona Activa
 
Fer App mòbils amb tecnologia web
Fer App mòbils amb tecnologia webFer App mòbils amb tecnologia web
Fer App mòbils amb tecnologia webXavier Sala Pujolar
 
Expressions regulars en Java
Expressions regulars en JavaExpressions regulars en Java
Expressions regulars en JavaXavier Sala Pujolar
 

More Related Content

Similar to Enginyeria social

Jornada ciberseguretat base CiberTECCH cat
Jornada ciberseguretat base CiberTECCH catJornada ciberseguretat base CiberTECCH cat
Jornada ciberseguretat base CiberTECCH catJordi Garcia Castillon
 
guia_habits_cibersaludables.pdf
guia_habits_cibersaludables.pdfguia_habits_cibersaludables.pdf
guia_habits_cibersaludables.pdfPatrciaAdan
 
Presentació Grup Poirot. pptx
Presentació Grup Poirot. pptxPresentació Grup Poirot. pptx
Presentació Grup Poirot. pptxIrene Carrero
 
Xerrada Ampa. Per una infància protegida. Seguretat a la xarxa
Xerrada Ampa. Per una infància protegida. Seguretat a la xarxaXerrada Ampa. Per una infància protegida. Seguretat a la xarxa
Xerrada Ampa. Per una infància protegida. Seguretat a la xarxatamorques
 
Los Hackers
Los HackersLos Hackers
Los Hackersyerzonn
 
C1 Cultura, participació i civisme digital
C1 Cultura, participació i civisme digitalC1 Cultura, participació i civisme digital
C1 Cultura, participació i civisme digitalDigital Granollers
 
Identitat digital Mabel & Sheila
Identitat digital Mabel & SheilaIdentitat digital Mabel & Sheila
Identitat digital Mabel & SheilaMabel Martin Flores
 
Navega però no t'enfonsis
Navega però no t'enfonsisNavega però no t'enfonsis
Navega però no t'enfonsisaneta1990
 
Navega però no t'enfonsis-1
Navega però no t'enfonsis-1Navega però no t'enfonsis-1
Navega però no t'enfonsis-1aneta1990
 
Navega però no t'enfonsis
Navega però no t'enfonsisNavega però no t'enfonsis
Navega però no t'enfonsisaneta1990
 
Navega però no t'enfonsis.2
Navega però no t'enfonsis.2Navega però no t'enfonsis.2
Navega però no t'enfonsis.2aneta1990
 
Navega però no t'enfonsis
Navega però no t'enfonsisNavega però no t'enfonsis
Navega però no t'enfonsisaneta1990
 
Navega però no t'enfonsis
Navega però no t'enfonsisNavega però no t'enfonsis
Navega però no t'enfonsisaneta1990
 
Navega però no t'enfonsis
Navega però no t'enfonsisNavega però no t'enfonsis
Navega però no t'enfonsisaneta1990
 
Navega però no t'enfonsis
Navega però no t'enfonsisNavega però no t'enfonsis
Navega però no t'enfonsisaneta1990
 
C1 Cultura, participació i civisme digital
C1 Cultura, participació i civisme digitalC1 Cultura, participació i civisme digital
C1 Cultura, participació i civisme digitalDigital Granollers
 

Similar to Enginyeria social (20)

Jornada ciberseguretat base CiberTECCH cat
Jornada ciberseguretat base CiberTECCH catJornada ciberseguretat base CiberTECCH cat
Jornada ciberseguretat base CiberTECCH cat
 
èTica I Les Noves Tecnologies
èTica I Les Noves TecnologiesèTica I Les Noves Tecnologies
èTica I Les Noves Tecnologies
 
guia_habits_cibersaludables.pdf
guia_habits_cibersaludables.pdfguia_habits_cibersaludables.pdf
guia_habits_cibersaludables.pdf
 
Presentació Grup Poirot. pptx
Presentació Grup Poirot. pptxPresentació Grup Poirot. pptx
Presentació Grup Poirot. pptx
 
Xerrada Ampa. Per una infància protegida. Seguretat a la xarxa
Xerrada Ampa. Per una infància protegida. Seguretat a la xarxaXerrada Ampa. Per una infància protegida. Seguretat a la xarxa
Xerrada Ampa. Per una infància protegida. Seguretat a la xarxa
 
Presentació 3
Presentació 3Presentació 3
Presentació 3
 
Los Hackers
Los HackersLos Hackers
Los Hackers
 
C1 Cultura, participació i civisme digital
C1 Cultura, participació i civisme digitalC1 Cultura, participació i civisme digital
C1 Cultura, participació i civisme digital
 
Identitat digital Mabel & Sheila
Identitat digital Mabel & SheilaIdentitat digital Mabel & Sheila
Identitat digital Mabel & Sheila
 
Criptografia
CriptografiaCriptografia
Criptografia
 
Navega però no t'enfonsis
Navega però no t'enfonsisNavega però no t'enfonsis
Navega però no t'enfonsis
 
Navega però no t'enfonsis-1
Navega però no t'enfonsis-1Navega però no t'enfonsis-1
Navega però no t'enfonsis-1
 
Navega però no t'enfonsis
Navega però no t'enfonsisNavega però no t'enfonsis
Navega però no t'enfonsis
 
Navega però no t'enfonsis.2
Navega però no t'enfonsis.2Navega però no t'enfonsis.2
Navega però no t'enfonsis.2
 
Navega però no t'enfonsis
Navega però no t'enfonsisNavega però no t'enfonsis
Navega però no t'enfonsis
 
Navega però no t'enfonsis
Navega però no t'enfonsisNavega però no t'enfonsis
Navega però no t'enfonsis
 
Navega però no t'enfonsis
Navega però no t'enfonsisNavega però no t'enfonsis
Navega però no t'enfonsis
 
Navega però no t'enfonsis
Navega però no t'enfonsisNavega però no t'enfonsis
Navega però no t'enfonsis
 
C1 Cultura, participació i civisme digital
C1 Cultura, participació i civisme digitalC1 Cultura, participació i civisme digital
C1 Cultura, participació i civisme digital
 
Ciber Talks
Ciber TalksCiber Talks
Ciber Talks
 

More from Xavier Sala Pujolar

Fer App mòbils amb tecnologia web
Fer App mòbils amb tecnologia webFer App mòbils amb tecnologia web
Fer App mòbils amb tecnologia webXavier Sala Pujolar
 
Validació de Documents XML amb XSD
Validació de Documents XML amb XSDValidació de Documents XML amb XSD
Validació de Documents XML amb XSDXavier Sala Pujolar
 
Llei de Serveis de la Societat de la Informació (LSSI)
Llei de Serveis de la Societat de la Informació (LSSI)Llei de Serveis de la Societat de la Informació (LSSI)
Llei de Serveis de la Societat de la Informació (LSSI)Xavier Sala Pujolar
 
Llei de Protecció de dades de caràcter personal (LOPD)
Llei de Protecció de dades de caràcter personal (LOPD)Llei de Protecció de dades de caràcter personal (LOPD)
Llei de Protecció de dades de caràcter personal (LOPD)Xavier Sala Pujolar
 

More from Xavier Sala Pujolar (20)

Fer App mòbils amb tecnologia web
Fer App mòbils amb tecnologia webFer App mòbils amb tecnologia web
Fer App mòbils amb tecnologia web
 
Expressions regulars en Java
Expressions regulars en JavaExpressions regulars en Java
Expressions regulars en Java
 
Selenium web driver in Java
Selenium web driver in JavaSelenium web driver in Java
Selenium web driver in Java
 
Introducció a Docker
Introducció a DockerIntroducció a Docker
Introducció a Docker
 
Introducció a Java Collections
Introducció a Java CollectionsIntroducció a Java Collections
Introducció a Java Collections
 
Git
GitGit
Git
 
Validació de Documents XML amb XSD
Validació de Documents XML amb XSDValidació de Documents XML amb XSD
Validació de Documents XML amb XSD
 
Subversion
SubversionSubversion
Subversion
 
RIP
RIPRIP
RIP
 
OSPF
OSPFOSPF
OSPF
 
Openldap
OpenldapOpenldap
Openldap
 
Llei de Serveis de la Societat de la Informació (LSSI)
Llei de Serveis de la Societat de la Informació (LSSI)Llei de Serveis de la Societat de la Informació (LSSI)
Llei de Serveis de la Societat de la Informació (LSSI)
 
Llei de Protecció de dades de caràcter personal (LOPD)
Llei de Protecció de dades de caràcter personal (LOPD)Llei de Protecció de dades de caràcter personal (LOPD)
Llei de Protecció de dades de caràcter personal (LOPD)
 
Cloud computing
Cloud computingCloud computing
Cloud computing
 
Virtualització (2 part)
Virtualització (2 part)Virtualització (2 part)
Virtualització (2 part)
 
Virtualització
VirtualitzacióVirtualització
Virtualització
 
Css en XML
Css en XMLCss en XML
Css en XML
 
Creació de documents xml
Creació de documents xmlCreació de documents xml
Creació de documents xml
 
Introducció a xml
Introducció a xmlIntroducció a xml
Introducció a xml
 
Programació de sockets amb C++
Programació de sockets amb C++Programació de sockets amb C++
Programació de sockets amb C++
 

Enginyeria social

  • 1. Seguretat i alta disponibilitat UF 1: Seguretat física, lògica i legislació Part 1d Enginyeria Social Xavier Sala Pujolar IES Cendrassos
  • 2. Enganys ● Els humans s'enganyen els uns als altres des de fa segles Administració de Sistemes Informàtics i Xarxes
  • 3. Enganys ● I encara es fa. No? Administració de Sistemes Informàtics i Xarxes
  • 4. Enginyeria Social ● En qualsevol sistema el punt més dèbil sempre són les persones – En algun moment la seguretat dependrà d'algun usuari – Poden fer més senzill l'atac Ex. és més fàcil aconseguir dades per endevinar la contrasenya d'un usuari que atacar-la per força bruta Administració de Sistemes Informàtics i Xarxes
  • 5. Enginyeria Social L'enginyeria social consisteix en manipular les persones perquè facin voluntàriament actes que no farien normalment Administració de Sistemes Informàtics i Xarxes
  • 6. Enginyeria Social ● L'objectiu pot ser una organització, un individu, un departament ● Abans de fer res cal que l'atacant obtinguin tanta informació de l'objectiu com sigui possible ● La gent té una tendència natural a confiar en una persona que sap informació que “teòricament” no hauria de saber – Xarxes socials, webs, ... – Informació pública de l'empresa, ... – Investigació al lloc, veïns, ... Administració de Sistemes Informàtics i Xarxes
  • 7. Enginyeria Social ● L'enginyeria social es concentra en quin és objectiu s'ha d'aconseguir i no en com fer-ho – Qualsevol sistema és vàlid sempre que s'aconsegueixi l'objectiu Aconseguir la contrasenya d'accés al banc d'en NO Frederic Garcia Aconseguir transferir anònimament diners del SI compte d'en Frederic Garcia abans de les compres de Nadal Administració de Sistemes Informàtics i Xarxes
  • 8. Enginyeria Social Com funciona? Administració de Sistemes Informàtics i Xarxes
  • 9. Enginyeria social En l'enginyeria social en comptes de fer servir tècniques de hacking s'enganya per que es facin accions perilloses o que es divulgui informació personal Administració de Sistemes Informàtics i Xarxes
  • 10. Enginyeria Social ● Poden fer servir medis tecnològics o no Correu Telèfon Disfresses Suplantació d'identitat SMS Correu electrònic, servidors, ... ● Però combinar-ho amb programari és més devastador Administració de Sistemes Informàtics i Xarxes
  • 11. Enginyeria Social ● Sovint es complementen les tècniques d'enginyeria social amb programari maliciós – Virus, troians, cucs, bombes lògiques, etc.. Administració de Sistemes Informàtics i Xarxes
  • 12. Comportament humà ● S'aprofiten del comportament humà per aconseguir els seus objectius. – La gent sempre vol ajudar – En el primer moment tothom confia... – No agrada dir que no – A tothom li agrada que l'alabin ● I solen explotar: – La por, la curiositat, la cobdícia, l'empatia, la innocència, l'orgull, etc ... Administració de Sistemes Informàtics i Xarxes
  • 13. Comportament humà L'únic ordinador segur es el que està desendollat. Sempre es pot convèncer a algú perquè el torni a endollar Administració de Sistemes Informàtics i Xarxes
  • 14. Condició humana: por ● Por: Aprofitar-se de la por a que passi alguna cosa. Robatori, xantatge, pèrdua de feina, etc.. – En especial la por al robatori es fa servir molt en atacs de phising Simula l'aspecte d'un correu Hem rebut una petició de transferir 200.000€ del seu compte legítim però les a un banc de les illes Barbados. Si ha estat vostè qui ha fet dades s'envien a la petició no cal que faci res més un servidor En el cas de que no hagi estat vostè qui ha ordenat la controlat per transferència entri en el seu compte bancari abans de 24 l'atacant! hores per cancel·lar la transferència Entra el teu ID Contrasenya Entrar Administració de Sistemes Informàtics i Xarxes
  • 15. Condició humana: curiositat ● Curiositat: Consisteix en oferir coses o informació que pugui resultar atractives per la víctima Què hi deu haver en aquest CD que m'he trobat? Administració de Sistemes Informàtics i Xarxes
  • 16. Instal·lació de programari ● Cobdícia: Prometre premis si es fa una cosa determinada, etc.. – Molt habitual és fer-lo instal·lar un programa infectat Vols Vols aconseguir tot aconseguir tot el que sempre el que sempre has somiat? has somiat? DESCARREGA Aquest programa Administració de Sistemes Informàtics i Xarxes
  • 17. Condició humana: innocència ● Innocència: Aprofitar-se de la confiança i del desconeixement – La gent té tendència a confiar en les coses que coneix o en el que considera habitual Hi ha un programa que protegeix de les tempestes solars L'any que ve n'hi ha moltes de previstes!! Administració de Sistemes Informàtics i Xarxes
  • 18. Condició humana: empatia ● Empatia: La gent té tendència a confiar en gent que té problemes Si no em deixes enviar un correu electrònic em despatxaran Administració de Sistemes Informàtics i Xarxes
  • 19. Condició humana: orgull ● Orgull: Els afalacs són sempre ben acceptats per tothom... Intel·ligent! Guapo! Si no fos per tu ...! Ets el millor! Administració de Sistemes Informàtics i Xarxes
  • 20. Condició humana: altres ● Constantment s'inventen noves formes intel·lectuals per manipular a les persones i comprometre les seves màquines Administració de Sistemes Informàtics i Xarxes
  • 21. Enginyeria Social ● L'objectiu de l'engany normalment és que la gent reveli informació o faci alguna cosa que pugui o ajudi a comprometre el sistema ● Per: – Cometre fraus – Entrar en sistemes i xarxes – Espionatge industrial – Robatori d'identitat – ... Administració de Sistemes Informàtics i Xarxes
  • 22. Enginyeria Social Mètodes Administració de Sistemes Informàtics i Xarxes
  • 23. Mètodes ● L'ideal és que la víctima no se n'adoni del que ha passat – Ha revelat contrasenyes, ha passat informació crítica, ha deixat fer servir el seu ordinador, Ha infectat una màquina, ... – Però no ho sap (almenys per ara) ● La idea de persuadir a la gent de fer el que volem també es fa servir per vendre articles – Un recurs interessant és: http://www.cepvi.com/articulos/persuasion.shtml Administració de Sistemes Informàtics i Xarxes
  • 24. Mètodes ● Hi ha moltes tècniques que es fan servir en enginyeria social ● Phising ● Pretexting ● Shoulder surfing ● Baiting ● Dumpster diving ● PiggyBacking ● Eavesdropping ● logpicking ● I qualsevol en pot inventar de noves... ● La imaginació per fer el mal no té límits :-) Administració de Sistemes Informàtics i Xarxes
  • 25. Mètodes ● Phising: Consisteix en aconseguir informació confidencial de forma fraudulenta fent-se passar per algú altre de confiança – El més habitual sol ser enviar un correu electrònic amb enllaços fraudulents que porta a pàgines falsificades per capturar dades Administració de Sistemes Informàtics i Xarxes
  • 26. Enginyeria Social / Phishing ● Enllaços falsos CLICA! Entra al teu compte de Facebook – S'ha d'anar molt amb compte amb les coses que venen des de llocs desconeguts i revisar les adreces: http://www.faceb00k.com o http://facebooc.com – Hi ha gent que n'és conscient i han registrat els dominis que s'assemblen al legítim: http://www.gogle.com o http://www.g00gle.com http://www.gugle.com o http://www.gugel.com Administració de Sistemes Informàtics i Xarxes
  • 27. Enllaços web Administració de Sistemes Informàtics i Xarxes
  • 28. Phishing ● Hi ha tants llocs de phising que els navegadors hi han posat filtres Administració de Sistemes Informàtics i Xarxes
  • 29. Mètodes ● Shoulder surfing: Consisteix en mirar què fan els usuaris per sobre l'espatlla ● A pesar del que sembla és altament efectiva – Contrasenyes, pins de caixers automàtics, etc.. Caixers automàtics ● Tothom cobreix el teclat mentre posa el PIN de la targeta o entra la contrasenya del correu electrònic amb algú present? Administració de Sistemes Informàtics i Xarxes
  • 30. Mètodes ● Dumpster diving: Literalment regirar les escombraries per trobar informació de l'objectiu: – documents, factures, noms, dades internes, telèfons, ... ● Les organitzacions es desfan de molta informació i no sempre de forma segura ● Ningú ha llençat factures, llistats de programes o resums bancaris a les escombraries? Administració de Sistemes Informàtics i Xarxes
  • 31. Enginyeria Social Un estudi del NAID (National Association for Information Destruction) ha descobert que el 72% de la informació confidencial acaba a les escombraries Es troba informació en paper però també en discs durs vells ● La informació en paper sol estar estripada i els discs durs esborrats. Però s'hi poden trobar dades privades! ● Per tant són conscients que la informació és confidencial! De les empreses investigades tenen informació confidencial sense destruir en les escombraries: ● El 75% dels bancs ● El 50% dels centres mèdics ● El 100% dels edificis del govern http://www.naidonline.org/neur/es/consumer/news/606.html Administració de Sistemes Informàtics i Xarxes
  • 32. Mètodes ● Eavesdropping. Consisteix en escoltar la informació que es passen els usuaris amb privilegis d'un sistema parlant Cafeteria ●Ningú parla mai de coses de la feina o personals durant el dinar o per esmorzar? Administració de Sistemes Informàtics i Xarxes
  • 33. Mètodes ● Pretexting: Inventar-se una història per fer que la víctima divulgui informació que normalment no donaria – Fer-se passar per un conegut, una autoritat, un parent d'algú – Situacions de risc, ... Instal·lador d'ADSL fent proves ● Pot entrar en la casa de la víctima ● Rep una trucada ● Pot fer servir l'ordinador per enviar un correu electrònic? Administració de Sistemes Informàtics i Xarxes
  • 34. Mètodes ● Quan algú es fa passar per un tècnic amb algú que no ho és i només fa servir paraules tècniques tothom sol contestar “si, si...” – Ningú vol quedar com un ignorant Segurament el que passa és que un dels switch ha deixat un dels servidors fora de l'array de clusters i no pot accedir al pool de discos SCASI Administració de Sistemes Informàtics i Xarxes
  • 35. Mètodes ● La gent confia més si se li dóna informació que no s'hauria de saber – Es pot aconseguir informació personal en enquestes “innocents” amb familiars i amics ● Si es vol enviar un programa infectat abans avisar per telèfon fent-se passar per algú important – Normalment la gent sol desconfiar del que rep per correu electrònic (són molts anys d'insistir...) – Si saben que arribarà és més fàcil que l'executin Administració de Sistemes Informàtics i Xarxes
  • 36. Mètodes ● Baiting: Consisteix en aprofitar-se de la curiositat dels usuaris – El més típic sol ser “oblidar” un CD o un Pendrive amb malware en algun lloc perquè el trobin i portats per la seva curiositat natural el posin en un ordinador Representant d'una empresa amb la que es treballa ● Porta un CD amb l'actualització de l'Antivirus ● Millora molt i no consumeix recursos ● Com que ets un bon client te'l regala o se l'oblida ● L'instal·laràs? Administració de Sistemes Informàtics i Xarxes
  • 37. Mètodes ● PiggyBacking: Consisteix en saltar-se els controls de seguretat seguint o fent-se passar per una persona autoritzada – Sol tenir força èxit amb disfresses de dona de la neteja, de personal de manteniment, ... Treballador de Telefónica ● Ve a arreglar un problema en l'ADSL però els d'Informàtica encara no han començat ● Si no s'arregla hi haurà problemes, ja han trucat moltes vegades ● El conserge el deixarà entrar? Administració de Sistemes Informàtics i Xarxes
  • 38. Mètodes ● Logpicking: És l'art d'obrir panys sense que es trenquin – Fins i tot n'hi ha competicions www.lockpickingsport.com www.lockpicking.es Administració de Sistemes Informàtics i Xarxes
  • 39. Enginyeria Social Com evitar-ho? Administració de Sistemes Informàtics i Xarxes
  • 40. Contramesures ● En general la solució contra l'enginyeria social sol estar basada en dues coses: Instal·lar solucions de Formació dels usuaris seguretat Administració de Sistemes Informàtics i Xarxes
  • 41. Formació ● La principal forma de defensar-se contra la enginyeria social és formar els usuaris en les polítiques de seguretat i assegurar-se que les segueixen Administració de Sistemes Informàtics i Xarxes
  • 42. Problemes ● Problemes possibles: – Infecció de màquines al entrar USB infectats – Enllaços a web malicioses ● Es pot invertir en programari de seguretat però al final l'usuari decideix... Administració de Sistemes Informàtics i Xarxes
  • 43. Formació “Qualsevol que pensi que els programes de seguretat per si sols ofereixen seguretat només està comprant la il·lusió de seguretat” Kevin Mitnick Administració de Sistemes Informàtics i Xarxes
  • 44. Formació ● I s'ha de fer formació per tothom! Administració de Sistemes Informàtics i Xarxes
  • 45. Contramesures La seguretat millora amb la formació dels usuaris però per si sola no és suficient Administració de Sistemes Informàtics i Xarxes
  • 46. Enginyeria Social ● Durant anys s'ha estat repetint als usuaris de que desconfiïn dels emails ● Encara hi cau gent ✔ Cliquen els enllaços ✔ Descarreguen i executen programes ● Però poca gent desconfia del correu ordinari! ✔ Enviar un CD per correu ordinari sembla molt més “important” Administració de Sistemes Informàtics i Xarxes
  • 47. Sistemes de seguretat ● Cal tenir els sistemes de seguretat instal·lats i actualitzats per si algú “se n'oblida” Administració de Sistemes Informàtics i Xarxes
  • 48. En general... ● Educar a tots els usuaris ● Analitzar tots els correus electrònics abans que els obri ningú amb un antivirus actualitzat ● Mai executar programes de procedència desconeguda encara que no s'hi detectin virus ● No informar per telèfon de característiques tècniques, ni de persones, etc... ● Assegurar el control d'accés físic ● Destruir la informació abans de llençar-la ● Verificar les fonts abans de confiar en els missatges ● Vigilar què es posa en les xarxes socials ● Tenir contrasenyes segures ● Actualitzar completament els sistemes Administració de Sistemes Informàtics i Xarxes
  • 49. Enginyeria Social Eines Administració de Sistemes Informàtics i Xarxes
  • 50. Enginyeria Social ● Les eines que es poden fer servir són molt diverses i no sempre de programari ● Però s'han creat eines de programari específiques per ajudar a l'enginyeria social – El més normal és que les eines de programari estiguin orientades a facilitar el phising – I s'integrin amb eines amb exploits com Metasploit Framework o Inmunity Canvas Administració de Sistemes Informàtics i Xarxes
  • 51. SET ● Social Engineer Tolkit (SET) és una eina que permet clonar webs, enviament de correus electrònics, etc.. combinant-ho amb Metasploit Framework per atacar Administració de Sistemes Informàtics i Xarxes
  • 52. Enginyeria Social Exemples Administració de Sistemes Informàtics i Xarxes
  • 53. Exemples Enginyeria Social en un banc https://holename.wordpress.com/2011/01/22/ingenieria-social-en-un-banco-parte-1/ https://holename.wordpress.com/2011/03/04/ingenieria-social-en-un-banco-parte-2/ Enginyeria social en els hotels https://holename.wordpress.com/2010/11/30/ingenieria-social-en-los-hoteles-parte1/ https://holename.wordpress.com/2010/11/30/ingenieria-social-en-los-hoteles-parte2/ Administració de Sistemes Informàtics i Xarxes