Ingeniería social y “políticas de confianza” en entornos profesionales

lado oscuro usb

Le voy a contar un secreto. Este artículo que he publicado esta mañana no se acaba de escribir. De hecho, lo estoy escribiendo hace dos días, en un rato libre que tengo entre las reuniones de esta mañana y un evento de “bloggers” que tengo por la tarde.

Y lo escribo desde la cafetería del Campus de Google, sentado con el brillo de la pantalla al mínimo mientras aquí al lado tengo a unas chicas inglesas explicándole a otra su estrategia con Mazda (uno de sus clientes), y de fondo suena Scorpions.

La camarera se afana en recoger la barra mientras a nuestro alrededor, muchos “entrepreneur” trabajan, bajo el cobijo de un espacio muy usable, que empuja a sentirte afortunado.

Por razones que ahora no vienen al caso he trabajado ya en varias oficinas distintas de coworking (si esto podemos llamarlo coworking, que esa es otra…), y tengo que reconocer que pese a todo, la seguridad de estas instalaciones es mayor a la que habitualmente existe en otras “oficinas” de este tipo.

O quizás no sea tanto como parece, después de todo.

Seguridad física

Al campus de Google solo puedes entrar de dos maneras:

  • O estás invitado, en cuyo caso la persona o empresa que te invitó tiene que bajar a buscarte.
  • O estás registrado, cosa que te deja entrar únicamente a la primera planta.

En la entrada, generalmente, está situado el guarda de seguridad, acompañado de alguno de los chicos de recepción. No es la primera vez que vengo por estos lares, y queda patente que las cosas se hacen “como deben hacerse” únicamente cuando el guarda está al frente. En caso contrario, no es raro que te permitan entrar mientras esperas a quien viene a buscarte, o incluso que gente entre contigo a la vez sin pasar su tarjeta.

La línea que separa seguridad de experiencia de usuario/cliente ya sabemos hacia dónde suele tender.

Descontando el hecho de que el registro no se compulsa con tu documento de identidad, por lo que en la práctica, puede entrar quien quiera (haciéndose pasar por quien quiera).

¿Dentro? WiFi gratuita, que compartimos todos, y cuya contraseña incluso te entregan vía papelito en la mesa.

pass fisico

La distribución del espacio anima a que te sientes donde quieras, para favorecer el coworking…, y el trabajo de un cibercriminal.

Hago un inciso para recomendar al chico que se ha sentado a mi lado que se anime de una vez a hablar con Caren del MWC, que seguro que tiene posibilidad de sacar adelante ese proyecto.

Y por cierto, amiga de la mesa de enfrente, responde a ese email de un afiliado de una vez, que ya me lo sé de memoria.

El shoulder surfing resulta demasiado cómodo de hacer en un entorno tan abierto como éste. El que el brillo de la pantalla esté, generalmente, al máximo, también ayuda, y mucho, a no tener que dejarse los ojos o acercarse más de la cuenta al objetivo.

En fin, que la presencia de ese guarda hace, como suele ocurrir en estos casos, un efecto indeseado. A tres metros de distancia hay, desde hace veinte minutos, un portátil abierto. Ahí, usurpando una mesa hasta que su dueño vuelva mientras algunos esperan su turno. La pantalla se ha apagado ya, claro está, pero viendo que el dueño no ha tenido problema alguno ya no solo de abandonar a su suerte el dispositivo, sino de dejar abierta la sesión, me da que lo mismo tendrá metida la contraseña por defecto.

Esto, cuando un servidor trabajaba en Telefónica I+D, era asegurarse un ataque David Hasselhoff de guión, cuando no directamente alguna putada mayor (invertir el movimiento del ratón, poner un pantallazo del escritorio como fondo y borrarte todos los iconos, darle la vuelta a la orientación de la pantalla,…).

ataque david hasselhoff

Y se hacía no solo por joder (que también, :D), sino por política de empresa (aunque quizás no estuviera escrita en ningún lado…), ya que un dispositivo abierto es en esencia un vector de ataque para comprometer la seguridad y privacidad de todo el colectivo.

El acercarme con un USB corrupto, pincharlo unos segundos, e irme, no me lo quita nadie. Ni siquiera el que haya un guarda rondando por la zona, incapaz, como cabría esperar, de saber de quién es cada dispositivo.

Pero vamos a seguir.

El acceso al resto de plantas resulta, a priori, relativamente sencillo. No hay seguridad humana (o yo al menos no la he visto). Lo que sí tienes son unas puertas que solo se abren cuando alguien pasa su acreditación, que es distinta, como cabría esperar, de las de los registrados.

Un poco de ingeniería social (¡Ay perdona! ¿Me puedes abrir, que me he dejado la tarjeta dentro para ir al baño?) y raro será que un interesado no pudiera colarse. Me pasó un par de veces en Telefónica, y nunca me ha dicho nadie que no. Me extrañaría que fuera distinto en un espacio en el que no todos tienen por qué conocerse.

El sueño húmedo del Road Apple Attack

Obviando el escaneo de tráfico (sinceramente, quiero pensar que en algún sitio hay un equipo encargado de monitorizar y avisar a la seguridad física en cuanto descubran que hay un wireshark esnifando red), me pregunto qué pasaría si dejara por aquí tirado uno de esos USBs de Darth Vader que regalé hace unos meses a mis patronos (Ah, ¿que todavía no lo eres? ¡¿a qué estás esperando?!).

El USB es demasiado chuli como para obviarlo. Casi parece que te anima a que lo pruebes. Y sirve de perfecta alegoría del ataque.

Por si no lo sabe, todos los USBs tiene dos lados. El lado que el usuario puede ver cuando lo conecta, y “El Lado Oscuro”, invisible a la mayoría de mortales, que alberga, como vimos recientemente a colación de las tipologías de ataques basadas en hardware, información del propio dispositivo y los controladores necesarios para ejecutarse.

Un firmware que puede ser modificado para que de paso, instale un troyano, un ransomware, un keyloger o demás fauna malware.

Viendo que en mi alrededor hay, como mínimo, un par de WindowsXP (una versión de sistema operativo aún terriblemente habitual y sin soporte y actualizaciones de seguridad oficiales desde hace ya unos cuantos meses), estoy casi seguro que encontrar un grupo de vulnerabilidades explotables resultaría bastante sencillo para alguien con conocimientos.

¿Para el resto de casos? Una RaspberryPi Zero, un Rubber Ducky, o cualquier otro hardware con apariencia de USB y plena autonomía.

Y hablamos de un entorno a priori profundamente tecnológico. La mayoría de los que están aquí son startuperos, ojo. Lo mismo es que los que de verdad sacan adelante el producto están arriba trabajando, y quienes están tomando algo mientras consultan Facebook y GMail son los CEOs, marketeros y ventas.

Profesionales de departamentos objetivo para un ataque específico (¿para qué nos vamos a molestar en comprometer la seguridad de alguien de IT, cuando seguramente el jefe o la chica de marketing/RRHH sea un objetivo más sencillo, con pleno acceso a la mayoría de información crítica de la empresa?).

Que lo mismo soy yo, que soy un mal pensado. Pero es que no ocurren más desgracias por pura casualidad.

Bastaría ese USB cargado con un regalito para sembrar el caos en este coworking y en la mayoría de oficinas. A partir de un dispositivo infectado, podemos infectar el resto de USBs que conectemos, expandiendo el ataque, hasta que lleguemos al objetivo que buscábamos, o simplemente recaudemos los datos o dispositivos que necesitemos para llevar a cabo el objetivo del ataque.

A fin de cuentas, si está dentro, es que es de alguien “confiable”, ¿verdad?

A fin de cuentas, aquí tenemos seguridad física, por lo que podemos estar tranquilos.

A fin de cuentas, ¿qué malo nos puede hacer echarle un ojo a lo que tiene ese USB? O llevárnoslo a nuestra casa para nuestro hijo/pareja. No hay constancia histórica de que un USB sea un riesgo real para nuestra seguridad/privacidad, ni mucho menos para la de la empresa donde trabajamos…

¿…O quizás sí?