Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - engel lex

#10251
Foro Libre / Historia de ing Social
3 Julio 2015, 06:28 AM
Dejo una historia muy agradable que vi


Ingeniería Social en un Banco (parte 1)
A pedido de mi ahijado, continuo con otra anecdota de Ingeniería Social pero esta vez en un banco.

Durante un test de intrusion a un cliente, en particular un Banco, se nos solicito realizar diferentes pruebas de Ingeniería Social. Una de ellas, consistia en ingresar fisicamente al edificio central y tratar de llegar hasta las oficinas del Gerente.

Antes de diseñar el ataque, decidi verificar como eran los controles del lugar visitando al Jefe de Seguridad de la Información, con la excusa de mostrarle el avance del test de intrusion externo e interno que estábamos llevando a cabo. Podia haber elegido al Jefe de Tecnologia para mostrarle algún nuevo producto, al de RRHH para mostrarle un plan de capacitación para el personal...cualquier excusa y cualquier contacto dentro del edificio hubiera servido.

Al llegar al edificio, a las 8 am en punto, me encuentro con personal de seguridad fuertemente armado en la puerta que me detiene, y me redirige al edificio vecino en busca de una acreditación. Al ir al edificio vecino, me encuentro con que la entrada no era muy diferente al anterior, dos hombres armados me abren una puerta de vidrio, detrás de la cual había un pequeño mostrador con un señor registrando a los visitantes. Muy amablemente, le comente a este ultimo que venia a visitar al Jefe de Seguridad de la Informacion, y que tenia una reunion con el.   

El señor, me pidio mi identificacion y me dio una tarjeta de acceso.   Mientras estaba esperando, observe un detalle no menor, el hombre aun tenia puesto el abrigo, es decir que acaba de ingresar a su puesto de trabajo.

Con mi tarjeta en la mano, me dirigi al edificio original, al que debía ir, y al tratar de entrar, la misma persona de seguridad que al principio no me dejo entrar, me volvió a frenar, tomo mi tarjeta, abrió la puerta con ella y llamo a otra persona de seguridad que me acompaño en el ascensor hasta las oficinas.   

No puedo obviar contarles que al salir del ascensor no había ninguna oficina abierta, todas estaban cerradas con puertas y controles de acceso biometricos. En el pasillo solo podían verse algunas plantas y algunas impresoras de red, esas multifunción grandotas. Otro detalle importante, es que apenas se sale del ascensor, hay un cartel indicando que oficinas se encuentran en el piso, cuales a la derecha y cuales a la izquierda. A su vez, también observe las puertas de las salidas de emergencia, vecinas al ascensor, estaban abiertas (quizás porque muchos las usan para ir a fumar en esos lugares).

Finalmente, ingrese a la oficina del Jefe de Seguridad y me reuni con el. Mientras conversaba, note sobre su escritorio que tenia regalos de un proveedor, por lo que al salir investigue que relación tenia el Banco con esta empresa de servicios, y descubrí algo maravilloso: La empresa de servicios brinda outsourcing de Seguridad desde hace casi 4 años con el Banco.

Entonces, ahora si. A planificar el ataque.

Primero seleccionar quien seria el Ingeniero Social, para este caso donde son tantos guardias armados, la mejor opción fue elegir a una mujer... Converse con una de mis consultoras y la asesore sobre cada uno de los controles y como evadirlos:

Primero y principal, el personal de seguridad del edificio 2, entra a trabajar a las 8 am. . Pero que sucede si tenemos que entrar antes de ese horario?  Así que le pedi que se presente antes del horario, a las 7:30 am.   

Nuestra consultora se acerco y le indico a las personas armadas que debía ver al Jefe de Seguridad. El guardia pregunto de donde venia, para lo cual, la consultora de mi equipo saco una tarjeta impresa por nosotros el dia anterior, donde se podia leer su nombre y supuesto cargo, junto a los logos del proveedor que habíamos detectado...

Como el guardia de seguridad vio el logo conocido, le dijo:

"Mire, no la podemos registrar porque aun no llega mi compañero, pero igualmente pase por aquí..."

y abriendo la puerta la dejo entrar en el ascensor, donde el otro guardia esperaba. Este ultimo, la llevo hasta el piso del Jefe de Seguridad, y cuando estaba por bajar, nuestra consultora le dijo:

"...no se preocupe buen hombre, conozco el camino, vengo seguido...yo les golpeo la puerta."

a lo que el guardia respondió sonriendo y permitiendole bajar del ascensor (definitivamente, fue una buena idea elegir una mujer para esta tarea).

Nuestra consultora primero recorrió el piso observando que había en cada impresora de red como le había indicado, y con su teléfono celular (una blackberry, tomo fotos de algunos documentos y otros los guardo en su cartera), obviamente se encontró con algunos documentos "poco importantes" : el mapa de red, el estándar de seguridad de los servidores Unix, etc etc...

Luego utilizo las puertas de las salidas de emergencia para moverse entre pisos, ya que como era de esperar, estaban abiertas...y así llego al piso indicado por un cartel como: "Oficinas del Directorio", como creyó que era un buen lugar para quedarse, se quedo.

Su rol ahora, debía cambiar, por lo cual le indique que cuando hable con la secretaria del Gerente, se presente como personal de soporte del proveedor de servicios y que debíamos revisar su estación de trabajo (para ello presento otra tarjeta impresa por su nombre donde solo cambiaba el puesto en relación a la anterior). Nuestra consultora siguió al pie de la letra las indicaciones y la respuesta de la secretaria fue encantadora, le dejo su PC para que tome los datos necesarios, le permitió colocar un pendrive e instalar un programita "para hacer mas rápida la maquina" y finalmente, le ofreció abrirle la puerta de la oficina del Gerente y acceder a la PC con la clave del director que ella misma conocía, para solucionarle los problemas al jefe...

Podemos decir en este preciso punto: GameOver

Lo curioso de este caso, es que los controles era fuertes, pero se debilitaron ante una supuesta reunion fuera de horario, una tarjeta de presentación falsa (bueno, dos) y la amabilidad del Ingeniero Social. Tanto las armas de fuego, como las personas de seguridad, o hasta el mismo control biometrico dejaron de ser efectivos debido a la falta de concientización del personal.

fuente:https://holename.wordpress.com/2011/01/22/ingenieria-social-en-un-banco-parte-1/
#10252
Redes / Re: Mi PC como servidor web
3 Julio 2015, 01:09 AM
ese es tu modem y router? o solo modem?
#10253
y que? te damos la tarea lista?

este es un lugar de aprendizaje, no de vagos
#10254
Exacto, lo que buscas se llama whois...

te en cuenta algo, muchas empresas simplemente hacen un diccionario y compran miles de dominios, luego los venden al precio que se les plazca (normalmente más de 500$)

allí es que la revolución bolivariana debería internacionalizarse y prohibir eso XD (acaparamiento de mercancía sin fin util, explotación de servicios y de clientes, especulación de precios)
#10255
Programación General / Re: Duda Brainfuck
2 Julio 2015, 20:09 PM
Cita de: Spectatorem en  2 Julio 2015, 19:52 PM
Mier.da!! Estas bien demente para entender esto  Elektro xD

se llega un momento que uno aprende estas locuras por ocio, tambien ayudan a aprender a pensar :P por un tiempo estuve programando en eso XD
#10256
te leíste los 2 links que dejé? no estás proporcionando información, no somos adivinos... imagina que un amigo te llama y te dice "en mi pc, abro la consola y escribo parse, le doy a enter y me dice que el comando no existe, una vez lo usé", eso es lo que estás haciendo aquí... lee los 2 links y piensa bien que información debes dar para poder ayudarte
#10257
muestra tu código
#10258
Citarteniendo las medidas de dos de sus lados y un ángulo

sin trigonometría no te sirve de nada el ángulo, para lo que pides, minimo creo que debes aplicar ley de senos...

en otro caso,podrías hacerlo descriptivamente (no analitico), es decir, dibujarlo y medir
#10259
empezemos por... tienes msfpayload instalado?
#10260
Dudas Generales / Re: VPN desde Cuba
2 Julio 2015, 17:47 PM
estás seguro haber puesto la clave correcta de vpnbook? la cambian semanalmente