Espero que ya sepáis lo que es Q2K16, ni más ni menos que la Con de Seguridad más importante de Córdoba. Y por ello se llama Qurtuba, por alusión a su nombre ancestral. En estas conferencias se habla mucho de seguridad y penetración de sistema, se realizan talleres, se programan retos y hasta se venden libros que hablan de diferentes técnicas. Hoy quiero haceros un resumen de cuales son las principales técnicas de penetración, defensa y reporte de vulnerabilidades.
Se me ocurrió este artículo después de la mesa redonda de la Con en la que participaron @SuDigitalLawyer, @CiberPoliEs, @D_mas_I, @Miguel_Arroyo76, @eduSatoe y Oscar de la Cruz; y sobretodo después de hablar con @ingenieroinformatico sobre el tema.
Existen diferentes técnicas de penetración que vamos a ver de más “sencilla” a más difícil o elaborada.
INGENIERIA SOCIAL
Esta técnica permite a personas no técnicas realizar la penetración en los sistemas de forma fácil y rápida. Se trata de engañar a las personas para que nos permita el acceso y esta técnica debe adecuarse a la dificultad del sistema a introducir.
Primero hay que estudiar a los titulares del sistema a testear , una vez que se conozca su personalidad, engañarle con algo que no nos delate.
Una de las técnicas más utilizadas es llamar a la puerta y decir que vienes a realizar algún tipo de trabajo que de no realizarse, pondría en peligro su vida. Uno de los servicios más utilizados es hacerse pasar por “revisor del gas”. Aquí hay que tener cuidado de no decir que vienes a revisar el butano cuando en la entrada se encuentran los contadores del gas ciudad.
Suele dar bastante resultado y la mayoría de las personas nos permiten el paso e incluso nos dejan solos en el interior.
Para protegerse de este ataque basta con comprobar las credenciales en un servicio de confianza.
FUERZA BRUTA (http)
El test de fuerza bruta tiene dos variantes. El “fuerza bruta” puro consiste en vigilar los accesos que observemos puedan ser vulnerables a un ataque y utilizar los espacios de entrada o salida del personal, para introducirnos en el interior a nuestro antojo.
Depende de la configuración de seguridad del sistema, podremos introducirnos en el mismo utilizando únicamente este ataque, dependiendo de nuestra velocidad y agilidad, o en ocasiones resulta muy efectivo combinado con el ataque de ingeniería social (un “buenos días” al entrar desconcierta al de seguridad).
Para protegerse de este ataque basta con impedir el paso a quien no conozcas.
FUERZA BRUTA CON COCOA-BREAKFAST (http)
Este ataque es realizado cuando el protocolo de seguridad no deja el acceso con el ataque de fuerza bruta simple. Es efectivo cuando la configuración de seguridad no está cerrada, siendo la explotación del mismo a realizar con un bote de cola-cao, una radiografía o, en caso de urgencia y falta de herramientas, una simple tarjeta de crédito. NOTA: Si utilizas una tarjeta de crédito se recomienda no utilizar la propia, se han dado casos de pérdida en el lugar.
Para protegerse de este ataque basta con cerrar con llave. (https)
BUMPING (https)
En 2006 se liberó esta vulnerabilidad. Se data su conocimiento en el año 1970, únicamente por expertos ingenieros.
Consiste en romper la seguridad de las cerraduras utilizando una llave maestra y unos golpecitos en la misma. Esta vulnerabilidad afecta a todos los sistemas pese a la protección extra de que dispongan.
Para protegerse de este ataque basta con poner una cerradura antibumping o un cerrojo interior convencional.
REPORTE DE VULNERABILIDADES
Lo anteriormente descrito puede ser reportado de una de las siguiente formas:
DIRECTA: “Hola, me he metido en tú sistema y cualquiera puede hacerlo”
A TRAVES DE PROXY: “Señor agente, me he colado en una casa mientras el propietario salía. Eso es una vulnerabilidad grave.”
CONCLUSIONES FINALES
Las técnicas anteriormente descritas no constituyen ilícito penal por sí solos, si bien son actos descritos en el código penal que llevan a la consecución de un delito de los en el descritos y que por tanto, se entiende que su ejecución está destinado al ilícito penal que lo requiere. Por lo tanto se castiga al autor único en su grado de tentativa, o al autor de estos actos como coautor siempre que el ilícito penal se realizara por otra persona.
Hagamos test de penetración sobre sistemas virtuales, o sobre sistemas sobre los que estamos autorizados.
Creo que todos los gestores te agradecerán el test si haberlo solicitado.
Fuente: Escrito por @nicky69es para el blog jfabello.es