Le voy a contar un secreto. Este artículo que he publicado esta mañana no se acaba de escribir. De hecho, lo estoy escribiendo hace dos días, en un rato libre que tengo entre las reuniones de esta mañana y un evento de “bloggers” que tengo por la tarde.
Y lo escribo desde la cafetería del Campus de Google, sentado con el brillo de la pantalla al mínimo mientras aquí al lado tengo a unas chicas inglesas explicándole a otra su estrategia con Mazda (uno de sus clientes), y de fondo suena Scorpions.
La camarera se afana en recoger la barra mientras a nuestro alrededor, muchos “entrepreneur” trabajan, bajo el cobijo de un espacio muy usable, que empuja a sentirte afortunado.
Por razones que ahora no vienen al caso he trabajado ya en varias oficinas distintas de coworking (si esto podemos llamarlo coworking, que esa es otra…), y tengo que reconocer que pese a todo, la seguridad de estas instalaciones es mayor a la que habitualmente existe en otras “oficinas” de este tipo.
O quizás no sea tanto como parece, después de todo.
Seguridad física
Al campus de Google solo puedes entrar de dos maneras:
- O estás invitado, en cuyo caso la persona o empresa que te invitó tiene que bajar a buscarte.
- O estás registrado, cosa que te deja entrar únicamente a la primera planta.
En la entrada, generalmente, está situado el guarda de seguridad, acompañado de alguno de los chicos de recepción. No es la primera vez que vengo por estos lares, y queda patente que las cosas se hacen “como deben hacerse” únicamente cuando el guarda está al frente. En caso contrario, no es raro que te permitan entrar mientras esperas a quien viene a buscarte, o incluso que gente entre contigo a la vez sin pasar su tarjeta.
La línea que separa seguridad de experiencia de usuario/cliente ya sabemos hacia dónde suele tender.
Descontando el hecho de que el registro no se compulsa con tu documento de identidad, por lo que en la práctica, puede entrar quien quiera (haciéndose pasar por quien quiera).
¿Dentro? WiFi gratuita, que compartimos todos, y cuya contraseña incluso te entregan vía papelito en la mesa.
La distribución del espacio anima a que te sientes donde quieras, para favorecer el coworking…, y el trabajo de un cibercriminal.
Hago un inciso para recomendar al chico que se ha sentado a mi lado que se anime de una vez a hablar con Caren del MWC, que seguro que tiene posibilidad de sacar adelante ese proyecto.
Y por cierto, amiga de la mesa de enfrente, responde a ese email de un afiliado de una vez, que ya me lo sé de memoria.
El shoulder surfing resulta demasiado cómodo de hacer en un entorno tan abierto como éste. El que el brillo de la pantalla esté, generalmente, al máximo, también ayuda, y mucho, a no tener que dejarse los ojos o acercarse más de la cuenta al objetivo.
En fin, que la presencia de ese guarda hace, como suele ocurrir en estos casos, un efecto indeseado. A tres metros de distancia hay, desde hace veinte minutos, un portátil abierto. Ahí, usurpando una mesa hasta que su dueño vuelva mientras algunos esperan su turno. La pantalla se ha apagado ya, claro está, pero viendo que el dueño no ha tenido problema alguno ya no solo de abandonar a su suerte el dispositivo, sino de dejar abierta la sesión, me da que lo mismo tendrá metida la contraseña por defecto.
Esto, cuando un servidor trabajaba en Telefónica I+D, era asegurarse un ataque David Hasselhoff de guión, cuando no directamente alguna putada mayor (invertir el movimiento del ratón, poner un pantallazo del escritorio como fondo y borrarte todos los iconos, darle la vuelta a la orientación de la pantalla,…).
Y se hacía no solo por joder (que también, :D), sino por política de empresa (aunque quizás no estuviera escrita en ningún lado…), ya que un dispositivo abierto es en esencia un vector de ataque para comprometer la seguridad y privacidad de todo el colectivo.
El acercarme con un USB corrupto, pincharlo unos segundos, e irme, no me lo quita nadie. Ni siquiera el que haya un guarda rondando por la zona, incapaz, como cabría esperar, de saber de quién es cada dispositivo.
Pero vamos a seguir.
El acceso al resto de plantas resulta, a priori, relativamente sencillo. No hay seguridad humana (o yo al menos no la he visto). Lo que sí tienes son unas puertas que solo se abren cuando alguien pasa su acreditación, que es distinta, como cabría esperar, de las de los registrados.
Un poco de ingeniería social (¡Ay perdona! ¿Me puedes abrir, que me he dejado la tarjeta dentro para ir al baño?) y raro será que un interesado no pudiera colarse. Me pasó un par de veces en Telefónica, y nunca me ha dicho nadie que no. Me extrañaría que fuera distinto en un espacio en el que no todos tienen por qué conocerse.
El sueño húmedo del Road Apple Attack
Obviando el escaneo de tráfico (sinceramente, quiero pensar que en algún sitio hay un equipo encargado de monitorizar y avisar a la seguridad física en cuanto descubran que hay un wireshark esnifando red), me pregunto qué pasaría si dejara por aquí tirado uno de esos USBs de Darth Vader que regalé hace unos meses a mis patronos (Ah, ¿que todavía no lo eres? ¡¿a qué estás esperando?!).
El USB es demasiado chuli como para obviarlo. Casi parece que te anima a que lo pruebes. Y sirve de perfecta alegoría del ataque.
Por si no lo sabe, todos los USBs tiene dos lados. El lado que el usuario puede ver cuando lo conecta, y “El Lado Oscuro”, invisible a la mayoría de mortales, que alberga, como vimos recientemente a colación de las tipologías de ataques basadas en hardware, información del propio dispositivo y los controladores necesarios para ejecutarse.
Un firmware que puede ser modificado para que de paso, instale un troyano, un ransomware, un keyloger o demás fauna malware.
Viendo que en mi alrededor hay, como mínimo, un par de WindowsXP (una versión de sistema operativo aún terriblemente habitual y sin soporte y actualizaciones de seguridad oficiales desde hace ya unos cuantos meses), estoy casi seguro que encontrar un grupo de vulnerabilidades explotables resultaría bastante sencillo para alguien con conocimientos.
¿Para el resto de casos? Una RaspberryPi Zero, un Rubber Ducky, o cualquier otro hardware con apariencia de USB y plena autonomía.
Y hablamos de un entorno a priori profundamente tecnológico. La mayoría de los que están aquí son startuperos, ojo. Lo mismo es que los que de verdad sacan adelante el producto están arriba trabajando, y quienes están tomando algo mientras consultan Facebook y GMail son los CEOs, marketeros y ventas.
Profesionales de departamentos objetivo para un ataque específico (¿para qué nos vamos a molestar en comprometer la seguridad de alguien de IT, cuando seguramente el jefe o la chica de marketing/RRHH sea un objetivo más sencillo, con pleno acceso a la mayoría de información crítica de la empresa?).
Que lo mismo soy yo, que soy un mal pensado. Pero es que no ocurren más desgracias por pura casualidad.
Bastaría ese USB cargado con un regalito para sembrar el caos en este coworking y en la mayoría de oficinas. A partir de un dispositivo infectado, podemos infectar el resto de USBs que conectemos, expandiendo el ataque, hasta que lleguemos al objetivo que buscábamos, o simplemente recaudemos los datos o dispositivos que necesitemos para llevar a cabo el objetivo del ataque.
A fin de cuentas, si está dentro, es que es de alguien “confiable”, ¿verdad?
A fin de cuentas, aquí tenemos seguridad física, por lo que podemos estar tranquilos.
A fin de cuentas, ¿qué malo nos puede hacer echarle un ojo a lo que tiene ese USB? O llevárnoslo a nuestra casa para nuestro hijo/pareja. No hay constancia histórica de que un USB sea un riesgo real para nuestra seguridad/privacidad, ni mucho menos para la de la empresa donde trabajamos…
Increíble Pablo. Al principio creí que encontraría un artículo relatando las extremas medidas de seguridad tanto físicas como virtuales del campus. Caemos fácilmente en la suposición de la seguridad absoluta por la reputación del lugar. Craso error.
Tal cual comentas Fernando. Y ojo, que dentro de lo malo, “es de lo menos malo que he visto”.
Aunque me preocupe esa delegación despreocupada que reinaba en el ambiente.
Creo que, para realmente infiltrarse en un lugar como ese y robar alguna informacion realmente secreta, hay que entrar desnudo, tanto de gadgets como de ropa, y haber pasado un par de horas dentro de un congelador. Ningun rastreo de ningun tipo.
Si, se que su yo malevolo le calentaba las neuronas para acercarse a ese ordenador con un usb…
Yo con solo tomarme una foto fuera del recinto y con el logo google por un lado seria feliz. (buscaria en la basura para hacer ingenieria social)
Muy buen artículo. La verdad que en la biblioteca de la universidad, más de una vez veía a alguien dejando el ordenador abierto y me volaba la imaginación con las “travesuras” que podrían hacérsele… Sin ir más lejos, recuerdo que una compañera se enfadó con otro compañero por que se marcho al baño y cuando volvió el otro estaba mirando en su facebook. El otro chico muchas luces no tenía, todo hay que decirlo, pero cuando me lo contó la dije: ¿y como dejas tú el ordenador sin bloquear encima de la mesa? Yo más de una vez me fui al baño dejando el ordenador en la biblioteca, pero siempre, SIEMPRE, bloqueando la sesión… Al menos que no me toquen la consola… jajaja.
Respecto a lo de la puerta que se te olvida la tarjeta de acceso, me has sacado una sonrisa. Actualmente trabajo en el CERN, y en dos ocasiones me he dejado la tarjeta de acceso en el despacho y me han abierto la puerta del edificio otras personas. He de decir que la primera vez me la abrió un compañero que sí que me conocía, por lo que en realidad no es un agujero de seguridad, si no un favor a un compañero. Sin embargo, la segunda, la persona que me abrió no me conocía (yo al menos no le conocía a él). El caso es que yo también lo habría hecho. Ese tipo de situaciones representan un gran agujero de seguridad física, lo que puede poner en riesgo la cibernética, pero, ¿cómo le niegas a alguien que te pide amablemente que le abras la puerta? Serías un paranoico, o un maleducado, sobretodo por que no es tu trabajo ni tu responsabilidad garantizar la seguridad en ese punto de acceso.
Es tal cual lo comentas. Es más, entiendo que en lugares de coworking como estos la cosa se agrava aún más. El mes que viene voy a SF a las oficinas centrales de Google. Ya veremos cómo anda el patio en la sede :D.