Este post quiere concientizar a los usuarios sobre las amenazas existentes a la seguridad fisica de las empresas. No es de ninguna manera una apologia de los metodos aqui mostrados.En la DEFCON 15 realizada en Las Vegas, Johnny Long presento su libro No Tech-Hacking " Una guia sobre Ingenieria Social,Dumpster Diving y Shoulder Surfing".
En su presentacion, muestra la vision que tiene un hacker "fisico", es decir como hace para obtener informacion apartir de su entorno y sin utilizar la tecnologia. ( al menos no la tipica ).
Esto tipo de hacking va mas alla de la Ingenieria Social que hable en un post anterior, digamos que es una reconocimiento del terreno para luego avanzar en un objetivo especifico.
Los ejemplos de reconocimiento de Johnny pasan por mostrar las diferencias entre lo que ve una persona normal cuando ve un auto, y lo que ve un especialista. Calcos, papeles dentro del vehiculo o hasta patentes dan un perfil de la persona que lo conduce.
, shockwave-flash@http://www.youtube.com/v/5CWrzVJYLWw&hl=en&fs=1" href="http://www.youtube.com/v/5CWrzVJYLWw&hl=en&fs=1" id="">
Incluso, la ropa , el corte de cabello, permiten formar una idea de la ocupacion de y gustos de un sujeto.
Entre las tecnicas de invasion que se muestran se encuentran las siguientes :
Tailgating es el metodo de acceder a un local restricto ubicandose detras de una persona con acceso. Teniendo un perfil de un empleado, facilmente se puede conseguir vestimenta de acceso y clonar con sus respectivos logos .
En sitio http://www.brandsoftheworld.com/ se pueden encontrar logos de diferentes empresas.
Hoy es comun la utilizacion de tarjetas de acceso contact-less, estas tarjetas segun su tecnologia pueden ser clonadas, y en general dan mucha informacion sobre el poseedor. Una foto, un logo y nombre de la persona.
LockBumping y Lockpicking es el arte de abrir cerraduras, digamos que se necesita acceder a un documento que olvidamos en un cajon cerrado con un candado.
Mediante esta tecnica se pueden abrir diferentes cerrojos, dependiendo de la complejidad las herramientas disponibles. Desde papel higienico
, shockwave-flash@http://www.youtube.com/v/as-CPdf-rKI&hl=en&fs=1" href="http://www.youtube.com/v/as-CPdf-rKI&hl=en&fs=1" id="">
hasta una banana
, shockwave-flash@http://www.youtube.com/v/0PXIjs4VUqg&hl=en&fs=1" href="http://www.youtube.com/v/0PXIjs4VUqg&hl=en&fs=1" id="">
y terminando con las clasicas herramientas de cerrajero. Estas herramientas solo son vendidas a gente con la debida licencia, para quienes no la tienen existe Youtube.
, shockwave-flash@http://www.youtube.com/v/auQbi_fkdGE&hl=en&fs=1" href="http://www.youtube.com/v/auQbi_fkdGE&hl=en&fs=1" id="">
El Dumpster Diving o la busqueda de informacion entre la basura, es algo muy conocido y que no deja de utilizarse ya que las empresas continuan arrojando a la basura documentos de todo tipo.
Quienes vivan en Buenos Aires saben que es algo tradicional el arrojar documentos y papeles desde las ventanas de los edificios de oficinas a fin de año.
Por ultimo el Shoulder surfing es el hecho de espiar por encima de los hombros cuando otra persona ingresa datos, aunque tambien se puede utilizar para ver que programas ejecuta en su maquina, que version de SO utiliza, privilegios que tiene....( foto flickr )
En la foto original se puede ver que la maquina utilizada es un Lenovo T60p, tiene windows XP y el navegador es Firefox. Parece ser una persona que trabaja en seguridad informatica, ya que tiene bookmarks a sitios de steanografia, decoders, al sitio de seguridad sans.org ( foto flickr )
Los cajeros automaticos del Banco Itau en Brasil son perfectos para ser victimas de este tipo de actividades. A menos de tener la espalda de Schwarzenegger es imposible evitar que alguien vea la seña, la misma se presenta en un teclado virtual de fondo de pantalla.
Si bien hay dos digitos por boton y estos varian , la posibilidad que alguien lo vea es muy grande.Por lo tanto seguridad fisica es tan importante como la seguridad logica, la educacion del usuario es fundamental y por supuesto contar con una politica de seguridad de la informacion que contemple estas amenazas.
No comments:
Post a Comment