Jorge Alberto Mussuto Sr.

Jorge Alberto Mussuto Sr.
Somewhere in Massachusetts ®

Wednesday, October 6, 2010

Acceso a recintos

Acceso a recintos: "
Para empezar la semana, hoy tenemos una entrada de uno de nuestros colaboradores habituales, Francisco Benet, sobre ingeniería social. Esperamos que les guste.

Imaginemos que queremos introducirnos en una oficina con el objetivo de robar datos, colocar artefactos de escucha o simplemente comprometer la seguridad de dicha empresa por motivos de auditoria o reputación. Empecemos por el traje y la corbata, vestimenta que suele ser muy efectiva ya que en la mayoría de los casos denota diferencia de clases entre el empleado y el jefe o cliente. Añadamos una nota adicional de status color que puede ser un iPhone, un Blackberry o el reciente iPad. Con estos pequeños detalles tenemos asegurada la pertenencia a un grupo tal vez superior.


En este momento estamos en disposición de encararnos al edificio, imaginémoslo céntrico y de oficinas, que nos llevará a nuestro objetivo. Durante la primera visita podemos recabar información sobre el lugar y la organización, determinando por ejemplo si poseen identificación y si la llevan consigo o no. Pasar unos minutos a primera hora de la mañana cerca de la entrada/salida del edificio en cuestión simulando hablar por teléfono debería ser suficiente. Suele ser habitual que los empleados que disponen de identificación permanezcan con las tarjetas visibles cuando bajan a fumar o almorzar a la calle, lo que nos proporciona información con la que pasar relativamente desapercibidos. Imaginemos que sí llevan identificaciones personalizadas con fotografia, nombre, apellidos, número de empleado y contienen un código de acceso. Imaginemos también que nuestro objetivo es una gran empresa de desarrollo de software que está en un proyecto X y tiene sucursales en dos grandes ciudades, o al menos tres.


Nos encontramos pues vestidos con corbata, traje, móvil ‘caro’, maletín y oportunidad. El siguiente punto a considerar es clave: los controles de acceso. Dependiendo de las oficinas, el control de acceso está basado en una o más de las siguientes combinaciones:


1.- Control de entrada (humano) al edificio.

2.- Control de entrada (humano) a la oficina.

3.- Sin control de entrada humano, control de entrada mediante chip o tarjeta.


Las dos primeras situaciones son las más complejas debido a que requieren habilidad para ingeniería social, ya que un registro en la entrada significa que existe un motivo por el cual se debe permitir el acceso a la zona interior (zona más relajada); un intento de pasar desapercibido en este tipo de situaciones puede dar lugar a un traspiés difícilmente salvable. Lo más aconsejable en estos casos es realizar un trabajo más exhaustivo en la zona (bares, restaurantes, etc.) intentando conocer algún aspecto personal de empleados para poder utilizar, más allá del típico disfraz de fontanero, etc… que es un recurso más cercano a Hollywood que a la vida real en España, donde el personal de las empresas de gas, luz y agua son bastante conocidas, al igual que Mantenimiento de ascensores, etc.. y requieren conocimientos técnicos de dichas disciplinas. No se les ocurra meterse en un despacho y tirar a su ocupante diciendo que tiene que desinfectarlo, porque lo más probable es que en cinco minutos tenga al personal de seguridad en la puerta esperándole. Es mejor pasar un tiempo en los ambientes más comunes de los trabajadores que nos proporcionen algo relacionado con los empleados que nos permita inventar alguna historia para pasar el control; esto puede llevar semanas o incluso meses.


No obstante existen otras opciones, como hacernos pasar por una empresa externa, consultor o similar y preguntar por el jefe de desarrollo, equipo, delegación o cargo equivalente (información de contacto que podemos obtener de la red, sin ir más lejos). En este punto, en muchos casos, se nos solicitará rellenar algún dato de entrada, pero no siempre enseñar el DNI (no es el caso de IBM), con lo que podemos dar datos falsos o indicar que hemos dejado la cartera en el coche o en casa, maldiciendo si fuese necesario. Para contrarrestar el problema se puede sacar una tarjeta made in house con un cargo, empresa y teléfono. Tras la llamada de recepción a nuestro contacto, que puede o no estar en la oficina (mejor si no está o no nos puede atender) podemos solicitar ir al baño, que se suele encontrar dentro de la oficina, siempre dejando nuestro portátil o maletín como señal de confianza. En ese momento disponemos de poco tiempo en general para realizar la primera acción, como puede ser instalar un pequeño micrófono o realizar fotografías del local. Si en algún caso nuestra solicitud de reunión se ve atendida, solo tenemos que presentar nuestra empresa como proveedora X del sector con unas slides que pueden ser incluso de una empresa real por la que nos hacemos pasar. Tras finalizar intercambiamos tarjetas, y una vez nos han despedido volvemos a la entrada para ir al baño, y lo más normal es que permitan la entrada de nuevo, ya que los controles una vez pasados la primera vez (y como cortesía) se relajan.


También puede suceder que los baños estén fuera de la oficina, para lo cual habrá que ser un poco más imaginativo.


En el caso de que no haya un control de entrada con registro, ayudados con el móvil, podemos simular ir acompañando a alguien, para que sea evidente que somos ‘conocidos’ y aprovecharnos de la entrada de esta persona para franquear el control de acceso ‘visual’. Entrar de manera decidida transmite un mensaje de importancia, que puede evitar las preguntas. Naturalmente debemos tener preparada la historia de ‘Vengo a ver al señor X’ por si hay alguna situación delicada, aunque si sabemos el piso, oficina o nombre del susodicho contacto es posible que se nos permita el paso sin más problema.


En el tercer supuesto no existe un control visual ‘oficial’, si bien pueden existir (como en el resto de casos) cámaras de vigilancia, aunque no deben preocuparnos excesivamente; excepto en el caso de que haya algún incidente, cualquier revisión de las cámaras se realizará a posteriori. Como nuestro objetivo es entrar, primero debemos valorar a que tipo de dispositivo electrónico nos enfrentamos. Comúnmente, este dispositivo es un lector de tarjetas, que irá acompañado de otro elemento, como puede ser una puerta con apertura electrónica o barras tipo ‘metro’, con lo que la dificultad reside en este segundo elemento de control de entrada. Lo primero que haremos será buscar una víctima, y en este caso la mejor hora para franquear el control es cuando hay mucha entrada o salida de personal, por lo que primera hora y mediodía son las mejores horas. Una vez en situación podemos usar dos técnicas, únicamente válidas cuando los controles de acceso se componen de un dispositivo electrónico y una puerta o similar, donde no esté vinculado el dispositivo electrónico al paso del personal (esto no sucede por ejemplo en los estadios de fútbol).


La primera técnica es ir acercándonos al punto de acceso de forma que podamos aprovecharnos del acceso no controlado que ejecuten otras personas. Lo normal es que durante el paso de varios empleados uno de ellos o varios vayan ’sosteniendo’ la puerta abierta mientras el resto entra, principalmente porque la hora de entrada suele ser estricta. Esperaremos simulando hablar con el móvil e incluso podemos acercarnos con éste en una mano y la otra mano ocupada con el maletín, simulando cierto agobio, para que alguien amablemente nos permita entrar. Pueden estar seguros de que la mayor parte de la gente no sospecha de una persona arreglada, trajeada, con maletín y cierto nivel de estrés.


La segunda técnica consiste en esperar a que alguien entre, para acceder cuando el control de acceso se está cerrando, abriéndolo de nuevo. Esto es lo que se considera tailgating: acceder con el acceso de otro individuo franqueando los controles al ir ‘pegado’ o cercano al mismo. En cualquier caso este tipo de acceso es fácilmente vulnerable debido a que es flexible en cuando a que el acceso una vez abierto no realiza control del número de individuos que pueden acceder.


En el caso de que el control de acceso se componga de un elemento electrónico y un elemento físico que esté capacitado para evitar la entrada de varios individuos al mismo tiempo (p.e. un campo de fútbol dispone de dichos controles) podemos entrar a utilizar técnicas de ingeniería social, básicas por lo general, para conseguir sobrepasar este punto, o recurrir a técnicas de seguridad lógica más avanzadas relacionadas con sistemas RFID.


En este artículo hemos expuesto de manera breve técnicas mediante las que cualquier persona puede obtener acceso a entornos restringidos que suponga la punta de lanza para colocar elementos de una intrusión mucho mayor: una cámara, un micrófono, un USB infectado o cualquier otra cosa que puedan imaginar. Aunque el ataque se desarrolle sin ningún tipo de conocimiento técnico, es necesario tener en cuenta que requiere habilidades que necesitan cierta práctica, así como una gran capacidad de reacción e improvisación. A pesar de que un ataque como el descrito basado en ingeniería social sea aparentemente más sencillo que un ataque de seguridad lógica, lo cierto es que implica una mayor exposición personal del atacante para la que hay que prepararse, tanto o más que en el caso de un ataque de seguridad lógica.


En resumen, conocido un objetivo conseguir acceder al recinto no es una acción compleja en si misma, ya que los principales controles de acceso tienen su mayor debilidad en las personas, habitualmente dispuestas a ayudar y a evitarse problemas haciendo preguntas impertinentes. Naturalmente no estamos hablando de complejos militares, pero sí de muchas empresas de todo tipo (y en general, cuanto más grandes mejor) que actualmente tienen sus controles de seguridad física muy relajados. Por supuesto, algunas conllevan el riesgo a ser descubierto, pero eso es inherente a actividades de este tipo, y en cualquier caso, las consecuencias legales (me atrevo a decir que) no serán demasiado relevantes. Otro día, con más tiempo, podemos dedicarnos a hablar de cómo acceder a un CPD y salir ilesos.

UEFI pronto remplazará al BIOS

UEFI pronto remplazará al BIOS: "

El estándar IBM PC BIOS que se ha utilizado durante años pronto será sustituido por UEFI, una nueva especificación diseñada para ser más flexible y permitir un booteo más rápido.

La especificación original de EFI (Extensible Firmware Interface) fue desarrollada por Intel, pero ahora ha evolucionado hasta convertirse en una norma que se conoce como UEFI. Esta norma es respaldada por la Unified EFI Forum, una corporación (sin fines de lucro) responsable de la gestión y promoción de esta especificación con el apoyo de AMD, American Megatrends, Apple Computer, Dell, Hewlett Packard, IBM, Insyde, Intel, Lenovo, Microsoft y Phoenix Technologies.

UEFI define una interfaz entre el firmware del hardware y el Sistema Operativo (similar a BIOS) con servicios de arranque y en tiempo de ejecución, que no se limitan a la arquitectura del procesador Intel x86. UEFI puede manejar arquitecturas de 32 bits (x86-32) o 64 bits (x86-64 e Itanium), esta última permite que las aplicaciones en el entorno de ejecución pre-boot tengan acceso directo a los 64 bits de direccionamiento de memoria. Claro que no es la única solución, ya que existen alternativas como Open Firmware y Coreboot, típicamente utilizadas en computadoras que no corren chips basados en arquitecturas X86.

“Con UEFI estamos consiguiendo un booteo más rápido, no es instantáneo todavía, pero es mucho mejor de lo que BIOS convencional puede manejar” dijo Mark Doran, director de UEFI Forum.

Doran dijo que el 2011 será el año que las ventas de máquinas UEFI comienzan a dominar el mercado.

Click aqui para ver el video.

Link: Change to ‘Bios’ will make for PCs that boot in seconds (BBC, vía Physorg)





Las 10 mejores infografías sobre las redes sociales

Las 10 mejores infografías sobre las redes sociales: "

Las infografías son un recurso que me apasiona: la posibilidad de resumir en una imagen o gráfico lo que sería necesario decir con muchas palabras. Su dinamismo y su posibilidad de viralizarlas con mayor facilidad que un texto les otorgan aún más valor. No cualquiera se pone a leer un documento, o estadísticas escritas en modo texto; pero es mucho más fácil sentirse atraído por una infografía. Ya hemos compartido anteriormente las 10 mejores infografías asociadas a Linux y las mejores sobre Twitter. Me costó mucho realizar el filtrado este, ya que hay decenas de infografías sobre las redes sociales, pero intenté elegir las que más me gustaron, y las comparto a continuación.


Así que aquí van, las 10 mejores infografías sobre las redes sociales (hagan clic en las imágenes para ir al enlace en tamaño completo):



  • Participación en la web social: un resumen de los usos de las redes sociales en 15 países, basado en los porcentajes de costumbres sobre subir fotos, subir videos, gestionar los perfiles, escribir en blogs y generar microblogging.


info1 Las 10 mejores infografías sobre las redes sociales




  • El prisma de la conversación: sólo eso, un prisma con todos los sitios para participar activamente en la web.


info2 Las 10 mejores infografías sobre las redes sociales



  • El mapa de las redes sociales: presentado en formato de mapamundi, algo siempre amigable.


info3 Las 10 mejores infografías sobre las redes sociales



  • Distribución etarea de las redes sociales: una comparativa de la cantidad de usuarios según al edad, en cada una de las redes sociales más populares.


info4 Las 10 mejores infografías sobre las redes sociales



  • ¿Qué está haciendo la gente en las redes sociales? Una infografía para conocer los distintos perfiles de usuarios y cómo participan en la web.


info5 Las 10 mejores infografías sobre las redes sociales



  • El aumento en el gasto en redes sociales: interesante infografía sobre otro componente clave en el crecimiento de las redes sociales.


info61 Las 10 mejores infografías sobre las redes sociales



  • ¿Cómo los teléfonos celulares están cambiando la web social?


info7 Las 10 mejores infografías sobre las redes sociales



  • Las seis Gs del marketing en redes sociales: ser genuino, generoso y gratificado; y no ser…


info8 Las 10 mejores infografías sobre las redes sociales


¿Cómo las redes sociales están cambiando los negocios? Interesantes datos sobre el uso de las redes sociales en las empresas.


info9 Las 10 mejores infografías sobre las redes sociales



  • 6 años de Facebook: aunque es del año anterior, una de las infografías más completas sobre la red social más popular.


info10 Las 10 mejores infografías sobre las redes sociales


Aquí terminó mi compilado, ¿cuál se la que más les gustó?


Las 10 mejores infografías sobre las redes sociales escrita en Bitelia el 5 October, 2010 por sbortnik

Enviar a Twitter | Compartir en Facebook



Blog Archive

Quilts

Where am I?