Physical Security Controls ans Assessment Techniques

1. - SEGURIDAD FISICA -
MIRA MAMA, COMO
JASON BOURNE
Alejandro Hernández H. CISSP, GPEN
http://twitter.com/nitr0usmx
http://www.ioactive.com
http://chatsubo-labs.blogspot.com
http://www.brainoverflow.org
1

2. Sobre mí…
 Consultor de Seguridad Senior de IOActive
 10 años involucrado en Seguridad
 Rompo cosas
 Ah! Y soy CISSP…
2

3. 3

4. Tabla de Contenidos
 Esta presentación será un collage de
conceptos, experiencias propias y
clips de video
 ¿Qué proteger físicamente?
 Controles de seguridad física
comúnmente utilizados
 Mientras tanto en México…
 Técnicas de evaluación de seguridad
física (infiltración, ingeniería social
cara-a-cara, etc.)
 Conceptos interesantes e inusuales
4

5. INTRO VIDEO CLIP
Jason Bourne - Stealing the Blackbriar Files
5

6. ¿Qué proteger físicamente?
 Personas
 Terremotos
 Ingeniería Social
 Etc.
 Datos e información
 Documentos impresos (contratos, facturas, etc.)
 Post-its
 Etc.
 Infraestructura tecnológica
 Centro de datos
 Robots en plantas industriales
6
 Etc.

7. Controles de seguridad física
comúnmente utilizados
7

8. Controles de seguridad física
comúnmente utilizados
8

9. Controles de seguridad física
comúnmente utilizados
9

10. Mientras tanto en México…
 Acceso de equipo de cómputo a edificios
 Bitácora en papel con hora de entrada/salida?
 Revisión de guardias de seguridad?
 Acceso físico
 “Estampita” de visitante
 Acceso por estacionamientos?
 GENTE AMABLE (“Permítame ! Le abro la puerta”)
 Guardias con sobrepeso o somnolientos
 Seguridad de Infraestructura
 Contraseñas por default (CCTV, puertas de “Alta Seguridad”)
 Matriz de control de acceso deficiente
 Puertas de madera…
 Etc. Etc. Etc.
10

11. BITCH PLEASE !!!
11

12. VIDEO CLIP
Jason Bourne - Evacuation Plan
Cierta información puede ser utilizada en tu contra
12

13. Técnicas de Evaluación
 Infiltración e Ingeniería Social
 Creación de gafetes falsos
 Banners y colores corporativos en el sitio Web
 Nombres/No de empleados (Open Source
Intelligence)
 Mica de papelería = $10.00 pesos
 Impresión de hoja de “autorización”
 Lo mismo de arriba, pero con firma de „CEO‟ ;-D
 Seguridad personal al estar frente al guardia de
seguridad (Ingeniería Social y DETERMINACIÓN)
13

14. Técnicas de Evaluación
 Infiltración e Ingeniería Social
 Uno de 2011...
14

15. Técnicas de Evaluación
 Infiltración e Ingeniería Social
 Otro de 2008…
15

16. Técnicas de Evaluación
 Piggybacking
 Cuando una persona se
„pega‟ a otra para pasar
ciertos puntos de
seguridad, p.e. una puerta
sin pasar una tarjeta de
acceso
16

17. Técnicas de Evaluación
 Lock Picking
 El arte de abrir manipular
los elementos mecánicos
de una cerradura para
realizar su apertura sin
llave
17

18. IOActive Lock Picking session @ Mt. Baker
[Enero 2013]
18

19. VIDEO CLIP
Lock Picking 101
Puertas y cajas fuertes también vulnerables
19

20. VIDEO CLIP
Vina F in Gringo Warrior
Lock Picking y diversión en DEFCON (Gringo Warrior Game)
20

21. Técnicas de Evaluación
 Contraseñas por
default
 A veces se requiere del
software del fabricante
(Demo?) para hablar el
mismo lenguaje
(protocolo)
21

22. VIDEO CLIP
Spaceballs super password XD
Dispositivos de seguridad física también tienen contraseñas
por default
22

23. VIDEO CLIP
Control de 48 cámaras de Seguridad de un edificio de México DF
DVRs y Cámaras CCTV también tiene contraseñas por
default
23

24. VIDEO CLIP
Acceso a un Centro de Datos de “Alta Seguridad” en México DF
utilizando el panel de administración (sin contraseña) del
dispositivo biométrico
La mayoría de dispositivos biométricos están bien diseñados y
desarrollados… Pero son mal configurados/implementados.
24

25. Técnicas de Evaluación
 Plantas Industriales
 Separación ‘física’ de redes de datos e industriales
 Puertos USB (des)habilitados
25

26. 26

27. DoD Looking to „Jump the
Jan 15th, 2013
Gap‟ Into Adversaries‟ Closed Networks
Iranian President Mahmoud Ahmadinejad visits the Natanz
uranium enrichment facilities, where a “closed”
computer network was infected by malware
introduced via a small flash drive.
http://www.defensenews.com/article/20130115/C4ISR01/301150010/DoD-Looking-8216-
Jump-Gap-8217-Into-Adversaries-8217-Closed-Networks
27

28. 28

29. Conceptos interesantes e
inusuales cerca de Toluca…
 En algún lugar
 Puertas Antibombas
 Grandes montículos de arena alrededor (para qué?)
29

30. Conceptos interesantes e
inusuales
 Urban Exploration
 Evaluación Ninja
 Often shortened as urbex or UE. It may also be
referred to as Infiltration, Building Hacking,
draining (when exploring drains), urban rock climbing
 Exploration of man-made structures, usually
abandoned ruins or not usually seen components of
the man-made environment
30

31. Conceptos interesantes e
inusuales
 Urban Exploration
31

32. Conceptos interesantes e
inusuales
 Urban Exploration
 En México…
32

33. Conceptos interesantes e
inusuales
 Urban Exploration
 http://www.infiltration.org
33

34. 34

35. Conceptos interesantes e
inusuales
 Conceptos de uno de
los mejores libros que
he leído
 Críticas sin fundamentos
en 3..2..1
35

36. Conceptos interesantes e
inusuales
36

37. Conceptos interesantes e
inusuales
37

38. Conceptos interesantes e
inusuales
38

39. Conceptos interesantes e
inusuales
39

40. Conceptos interesantes e
inusuales
 Lo he visto muuuuchas veces en
40
México…

41. Conceptos interesantes e
inusuales
41

42. Agradecimientos
 BugCON por permitirme estar
aquí 5 años consecutivos
 Chr1x a.k.a s0n0fg0d !
 B33rc0n (hkm, calderpwn, Carlos
Ayala, Daemon, dex)
 Al t0c4y0 => alt3kx
 LightOS, beck, crypk3y, nahual,
nediam, Rolman, Sandino, tr3w,
bucio, wengyep, moften, Xava,
dr_fdisk^, etc. Etc. Etc.e e.t .x,..
.x,
42

43. - GRACIAS -
Alejandro Hernández H. CISSP, GPEN
http://twitter.com/nitr0usmx
http://www.ioactive.com
http://chatsubo-labs.blogspot.com
http://www.brainoverflow.org
43