En todas las presentaciones, talleres o cursos que he dictado, he tratado siempre de dar el valor que se merece a la ingeniería social, un gran valor, un valor alto. Pongámoslo de esta esta manera, el objetivo final de un hacker malicioso (cracker) es poder robar o acceder a información confidencial de una organización y para ellos el fin justifica los medios, ellos no repararán en el método para poder hacerse de información; si tenemos esto presente la manera más fácil de poder de llegar al objetivo es atacar aquello que es más vulnerable, aquello que tiene emociones y sentimientos (las computadoras no las tienen), atacar aquello que no siempre actúa de manera racional, el eslabón más débil de la cadena de seguridad, LAS PERSONAS.
Hoy voy a tratarles de mostrar como aprovechas las vulnerabilidades tecnológicas (software) combinado con la ingeniería social; ambos me parecen un arma muy fuerte de conseguir acceso no autorizado. Antes de comenzar sólo para aquellos que aún no están familiarizados con el término: Ingeniería Social.
¿Cómo se puede definir la ingeniería social?
Nadie tiene todavía una definición que haya sido aceptada de manera estandarizada, la Wikipedia lo define como " ….. la práctica de obtener información a través de usuarios legítimos…… unas técnicas que pueden usar ciertas personas, tales como investigadores privados, criminales, delincuentes computaciones para obtener acceso o privilegios en sistemas de información….. ", otros lo definen como "conjunto de técnicas psicológicas y habilidades sociales utilizadas de forma consciente y muchas veces premeditada para la obtención de información de terceros", ambas definiciones me parecen correctas sin embargo ambas también, por lo menos a mí, me parecen incompletas y hasta podría decir que son complementarias.
Me voy animar a ensayar una definición de ingeniería social en una especie de versión "beta" que seguramente puedo definir mejor en otro momento y donde todos los lectores de este blog pueden colaborar y hacer criticas constructivas, la ingeniería social se puede definir como:
"El conjunto de técnicas psicológicas y habilidades sociales que realizan un estudio del comportamiento de las personas en el normal funcionamiento de un proceso, esto realizado en un tiempo prudencial hasta comprender su funcionamiento y las debilidades de seguridad (tecnológicas y de personas) que se encuentran presentes en la misma, con el objetivo de explotar dichas vulnerabilidades (de las personas y del proceso) y acceder a información no autorizada o privilegiada de terceros "
Omar Palomino H.
El-palomo.com, 2012
Realizando ingeniería social con la ayuda de Adobe Acrobat Reader
Vamos a lo importante de este post, Adobe Acrobat Reader ha sido y sigue siendo el lector de archivos PDF más usado a nivel empresarial y sospecho que también es el más usado por aquellas personas cuyos conocimientos informáticos no han advertido todavía que existen mejores alternativas en cuanto a performance y seguridad de información. Basados en esto y del estudio que se debe haber realizado en un proceso de ingeniería social, vamos a suponer el siguiente escenario:
Todas las personas de la organización utilizan Adobe Acrobat Reader para revisar los archivos PDF.
He notado que la organización tiene cerca de 800 computadoras y el proceso de actualización de Adobe Acrobat Reader sólo se realiza cuando se formatea la misma.
También he notado que muchas personas no cierran las puertas de sus oficinas durante el horario de almuerzo y que la secretarias suelen dejar documentos o notas en los escritorios de los colaboradores de la organización en cualquier momento del día
Finalmente, he evaluado que la hora más fácil de acceder al edificio de la organización es entre la 13:00 horas y las 13:15 horas, debido a que un número importante de personas entra y sale del edificio por la hora de almuerzo, haciendo imposible el control de personas que ingresan y salen de las instalaciones.
Otros detalles que hacen de la ingeniería social todo un arte.
Ahora que todas estas premisas están planteadas, vamos a utilizar Metasploit, explotar la vulnerabilidad presente en Adobe Acrobat Reader entre las versiones 8.2.4.- 9.3.4 y aprovechar un tema sensible como la renovación de contrato del colaborador.
No hay comentarios:
Publicar un comentario