El motivo de esta pequeño post es el de comentar ciertas impresiones que intercambie con un "futuro posible no cliente" de una auditoría de seguridad. 99% de que no acepte el trabajo propuesto, pero de esa reunión salieron cosas muy curiosas que merecen la pena comentar, y sobre todo, yo he aprendido bastante de como enfocar estas reuniones, o como no enfocarlas.
La reunión aparentemente era sencilla. Era un posible trabajo para una empresa con unos 300 trabajadores, una sede principal, y unas 8 delegaciones pequeñas, de unos 3/4 equipos. En ella estaba la persona de RRHH, el jefe de informática y el gerente, principal interesado en el asunto. Ya de primeras, a pesar de mis intentos de ser condescendiente con la misión crítica del responsable TIC, empezó siendo muy negativo. Los primeros instantes de la reunión me dedique a engrandecer el esfuerzo del departamento por la seguridad, y que la auditoría de seguridad no se centraba solo en aspectos técnicos, y que las deficiencias técnicas eran habituales por el "día a día" del departamento y el clásico "apagafuegos" y poco tiempo para el análisis y control.
El informático no paraba de "asegurar" (valiente ignorante... xD) que la empresa tenía un firewall perimetral mega guay ( creo que incluso era rosa !!!) y que su empresa contaba con todas las medidas técnicas oportunas. Otro argumento "de peso" fué el que en xx años de actividad, nunca habían tenido un incidente de seguridad, etc etc.
Una vez que comprendí que el trabajo iba a ser casi imposible de firmar, ya que la organización confiaba 100% en su director TIC decidí cambiar la estrategia, y ya que el gerente era el interesado, y estaba todo perdido, decidí "vacilarles" un poco, enseñando alguna de mis cartas ocultas, y además gratis.
Les comenté las típicas cuestiones que se comentan en estas reuniones. Pero decidí atacar donde mas le puede doler a un informático frente a un gerente moderno ( acostumbrado a políticas de calidad, procesos y esas palabras tan guays) el proceso y la ingeniería social.
En la ciudad en la que vivo hay una empresa que se encarga del despliegue de las ADSL de Telefónica ( este cliente usaba este ISP) y que casualmente tengo a dos personas de plena confianza trabajando allí. Le comenté que qué ocurriría en su empresa, si usando la dulce voz de mi querída mujer llamaba para informar, en nombre de telefónica, que estaban detectando perdidas en la señal de uno de los routers y que a lo largo de la mañana irán a reponerlo... Pero no en la sede central, donde está el informático, sino en una de esas sedes pequeñas, que NO TIENEN UN FIREWALL DE MAS DE 100 euros, es más, que no tienen firewall. Llego a las 13:45 con el uniforme de la empresa mantenedora, y les coloco un router pre-configurado. Además, por si está el informático, le dejo un router Cisco bonito y "caro". Como he hecho mi trabajo previo ya tengo ip´s internas gracias al e-mail, y abrir un puerto hacia ese pc, y habilitar un usuario en el router tal cual...
También les comenté que qué pasaría si compro 20 usb, los preparo para el hackeo, y los disemino por la organización. Está claro que aparte de unas fotos de mujeres ligeras de ropa, preparo algún pdf llamado "plan_regularizacion_personal_despidos_2013".¿Cuanta gente los abriría? En el mejor de los casos que la empresa tenga un antivirus, lo tendrá actualizado? ¿Permitirá la interacción del usuario?.
También les comenté que qué pasaría si envío un correo a todos los buzones, con el mismo pdf suculento, y en la dirección de origen aparece una dirección "legítima" de la empresa rrhh@dominiodelaempresa.com.
Les comenté que si bien la seguridad en la sede central estaba bien enfocada, o no... me iba a las delegaciones pequeñas a ver si por descuido, había algún router de telefónica con vulnerabilidades conocidas, o simplemente con el wi-fi por defecto...
Les comenté la posibilidad de falsear una candidatura perfecta para los puestos que constantemente publicaban en la web, y me presentaba en la entrevista con titulación falsa, o simplemente con la escusa de que los títulos están siendo compulsados... o cualquiera milonga. No sé si me contratarían o no, pero seguro que yo encaminaría la reunión a que me gustaría visitar la empresa un par de días, para ver el trabajo que realizaban en el departamento concreto, y que sin ningún compromiso, me gustaría analizar que puedo aportar como candidato al puesto, blablabalbalba.
Le comenté la posibilidad de usar un perfil falso de facebook/badoo/msn de una chica atractiva, pero normalita, y hasta donde llegaría la insinuación con algún empleado de los que ya tenía información previa gracias al escaneo pasivo...
IMAGINAROS LA CARA DE LA PEÑA !!!! Por cada ejemplo que les comentaba, alucinaban más. No me lo dijeron a la cara, pero seguro que pensaron que yo era un criminal, y que ni de coña iban a acceder a que una persona como yo trasteara en su información corporativa.
Creo que entendieron perfectamente que la visión ofensiva y criminal en un asunto como este es primordial, ya que cuando un juacker sentado en su sofa en China, Rusia, o cualquier otra parte del mundo, carece de ética, y si sus intenciones son oscuras, empleará estos métodos, y muchos mas, para conseguir su objetivo.
Todo este "despliegue social" no me costaría mas de un par de semanas organizarlo y depurarlo, y me aventuro a decir que con mucha probabilidad, alguno de estos vectores de ataque social conseguiría accesos privilegiados o simplemente un "pivot point" para vulnerar su mega-seguridad. En todo momento respeté que tenían un mega firewall bien configurado, para que entendiera que LA SEGURIDAD ES UN PROCESO CONSTANTE que requiere revisión, y no es cuestión de comprar unas licencias o un servicio a una empresa.
Espero que me comentéis que opináis al respecto, que "movidillas" como estas os han pasado en clientes incrédulos, o que otros vectores de ataque "social" se os ocurren. Yo mientras voy a terminar de escribir un par de artículos sobre phising y usb attacks que me llevan loco estas semanas.
gracias por leerme. !!!