Reconocimiento en Pruebas de Penetración Físicas

Se debe estudiar cualquier potencial objetivo antes de intentar una prueba de penetración física. Mientras la mayoría de actividades para el reconocimiento se relacionan hacia los datos de una red, las herramientas para observar las entidades físicas son las mismas, como Google Maps o Google Earth. También se debe evaluar físicamente por adelantado los activos en el lugar. Si es posible, fotografiar potenciales entradas sin llamar la atención, estas fotos serán útiles para la planificación del ataque. Se debe acercar lo suficiente para determinar el tipo de controles para la seguridad física en el lugar, siendo esto muy útil para planificar un intento de subvertirlos.

La entrada principal hacia cualquier edificio suele ser la más vigilada, siendo también la más utilizada, lo cual puede ser una oportunidad. Las entradas secundarias como puertas conduciendo hacia el área de fumadores, y las áreas para la descarga, generalmente ofrecen una buena oportunidad para el ingreso, al igual de los ascensores y entradas de servicio.

Algunas veces, las puertas para fumadores o áreas de carga pueden distinguirse en las imágenes satelitales disponibles en Google Maps por ejemplo.

Cuando se inspecciona un sitio web objetivo, se debe observar como las personas entran y salen del edificio. ¿Requieren utilizar una tarjeta o ingresar un código para abrir la puerta exterior?. También se deben anotar detalles como las puertas del lugar para la descarga se dejan abiertas, incluso si no hay una descarga de un camión. Se debe examinar de manera cercana la puerta de entrada y el vestíbulo; se debe elegir a alguien del equipo de evaluación para ingrese, y entregue por ejemplo menús para llevar de un restaurante cercano. Esto proporcionará una idea de cuan sofisticados son sus controles de seguridad, y donde están ubicados.

Por ejemplo, se puede ingresar al vestíbulo no asegurado con un escritorio de recepción, y ver si los empleados utilizan una tarjeta para ingresar más allá del vestíbulo dentro del edificio. O se podría encontrar con una puerta exterior cerrada y un guardia quien lo saluda en un escritorio de seguridad. Se debe observar todo lo posible, como si el guardia de seguridad está mirando la pantalla de una computadora con fotos de identificación de las personas quienes utiliza sus tarjetas para abrir la puerta. Se debe considerar, esto expone a un miembro del equipo con el empleado de la organización objetivo, quien puede reconocerlo si lo encuentra otra vez. Si se ha encontrado un guardia profesional de seguridad, él recordará los rostros, porque ha sido entrenado como parte de su trabajo. Lo más probable es también existan cámaras de seguridad en la organización.

Algunas veces las puertas para los fumadores o entradas secundarias, estarán detrás de un área con vallas o ubicada en un lado del edificio, lejos de la calle o el área para el estacionamiento. Para la evaluar la entrada cercanamente, se deberá mimetizarse con la zona. El lograr esto realmente depende del sitio y puede requerir ser creativo. Algunas técnicas utilizadas con éxito en el pasado son las siguientes:

  • Utilizando una cinta métrica, portapapeles, y un asistente, medir la distancia entre los postes de electricidad detrás de un patio de camiones cercano para evaluar las áreas para descarga de un objetivo. Si se es confrontado, únicamente se podría ser un contratista quien trabaja para la empresa de teléfonos o electricidad.
  • Con un rociador de bomba barato, se puede caminar por el perímetro de un edificio rociando los arbustos con agua mientras se busca la puerta para fumadores o una entrada lateral.
  • Puede llevar una bolsa con el almuerzo, sentarse fuera y almorzar con el equipo quien realizar el mantenimiento del terreno. Ellos creerán está trabajando para la organización, se podrá ver entonces el objetivo de cerca durante media hora o menos. Incluso se puede conocer algo a través de la conversación.

Además de los potenciales puntos de ingreso, se requerirá aprender tanto como sea posible sobre las personas quienes trabajan en la organización, particularmente como están vestidos y cual tipo de identificador de seguridad utilizan. Esto puede ayudar a mantenerse alejado de problemas una vez se esté en el edificio. A menos la organización objetivo sea lo suficientemente grande para tener su propia cafetería, los empleados frecuentarán los negocios locales para el almuerzo o el café de la mañana. Esta es una gran oportunidad para ver como son sus distintivos y como lo usan. Se debe tener en consideración la orientación de los distintivos (horizontal o vertical), la posición de cualquier logo o fotografía, el color y el tamaño del texto. También se debe considerar si la tarjeta tiene un chip o una banda magnética.

Se necesita crear un distintivo convincente para usar cuando se esté en las instalaciones del objetivo. Esto es fácil de hacer con una impresora de color, y algunos simples suministros. Si el distintivo incluye un logotipo de la empresa, es muy probable se pueda encontrar una versión digital del logotipo en un sitio web público. Además de crear el distintivo, se deberá utilizar una vestimenta similar a los observados durante el reconocimiento.

Conociendo ahora los potenciales puntos de acceso, algunos de sus controles de acceso, como son los distintivos de seguridad, y la vestimenta de los empleados, es momento de idea una manera para entrar.

Fuentes:

https://www.csoonline.com/article/2133330/social-engineering/social-engi...
https://purplesquadsec.com/podcast/episode-20-physical-penetration-testi...

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Correo Electrónico: ReYDeS@gmail.com
Twitter: @Alonso_ReYDeS
LinkedIn: pe.linkedin.com/in/alonsocaballeroquezada
Facebook: https://www.facebook.com/alonsoreydes
Resumen de mi CV: http://www.reydes.com/d/?q=node/1