Incidentes no deseados, en una prueba de ingeniería social

June 29, 2016 Registro incidentes

En el libro “El Arte de la Intrusión”, el consultor Whurley (su nickname) es contratado para burlar la seguridad de un casino en Las Vegas. Luego, de algunos días de investigar al respecto del rubro a fin de definir su objetivo final de ataque, en pocos minutos logra burlar con suerte y habilidad la seguridad de acceso físico al casino, al vulnerar la sicología de dos guardias, durante un cambio de turno. Una vez dentro y algo perdido, aprovecha la misión fundamental de los guardias del centro de videocámaras al interactuar frescamente con ellos, y hacerse de su confianza total, para no ser advertido, y para conseguir más información para lograr su objetivo “el área de administración”. En su proceso, y persistiendo en el papel de un auditor contratado por auditoría interna, logró hacerse de la contraseña e información de la computadora de la secretaría de dirección de todos los directivos de la compañía, además de su tarjeta de acceso, en un falso ademán de estar auditando ya los equipos y las oficinas. En su plan de seguir avanzado, fue atrapado por el director de informática, quien lejos de denunciarlo, decidió escuchar de su boca, todos los puntos que había logrado vulnerar y cómo. Tan buen fue la conversación, que decidió invitarlo a almorzar, y seguirle platicándole más de sus sistemas (AS400). Incluso luego del refrigerio, el director de informática decidió presentarle a Larry, para que le hiciera un auditoría preliminar a su AS400, a fin de que no halle demasiadas cosas en la auditoría real que nuestro consultor Whurley iba (supuestamente) hacer en unos días. Whurley, solicitó el diagrama de red, las ACL del firewall a Larry, para sintetizar su auditoría, algo que el director aprobó se haga. A fin de retirar su backdoor inalámbrico dejado en la PC de la secretaría inicial, Whurley solicitó a Larry le prestara su tarjeta de acceso para poder reingresar al centro de datos, idea que el director informática perfeccionó aún más, al pedirle a sysadmin de AS400 que le diera de las que sobraban en el estante. El consultor, aprovechó demasiado de la confianza ganada e indirectamente asignada del director de informática, para localizar por su puesta la PC donde se asignaban los privilegios de las tarjetas de acceso, a fin de asignarse más privilegios aún, algo que hizo, también. Finalmente, con permiso de sysadmin del AS400 no sólo auditó la red, sino que la vulneró, al comprometer algunos sistemas Linux mal protegidos. Al retirarse, tuvo la genial idea (ya preconcebida) de fotografiarse con cada persona que ganó su confianza o al revés.
Al final de la historia, como ha suponerse, Whurley habría “abusado” de su asignación, y logró el disgusto e insatisfacción total del jefe de auditoría interna, que lo había contratado, porque aprovechó exageradamente de las personas. Algo que Whurley, no coincidía, porque justificaba como un escenario válido.

[Comentario] A nosotros, casi nos sucede algo igual de desastroso.
En un proceso de ingeniería social, no hay algo más desastroso que toparse con un ejecutivo de alto nivel, y abusar de él o de ella, a pesar de así no desearlo. Pero siendo honestos, a la inversa de la penetración en redes, en la ingeniería social, es más beneficioso y hasta cierto punto fácil atacar las cabezas, en vez de a los ejecutivos de mando menor. Cuando contrate, una ingeniería social, tenga cuidado, el ejercicio, puede ser ofensivo, y hasta provocar un incidente no deseado.