RSA atua em diversos setores de segurança; entre eles, a fabricação de tokens de senhas. (Foto: Bruno Cordioli / Flickr / CC-BY)
Um especialista em engenharia social obteve acesso ao evento de segurança RSA 2012, sem qualquer credencial ou convite autêntico. Na verdade, ele usou um crachá pessoal de outro evento – da B-Sides. A informação é do site CSO Online.
A conferência RSA acontece anualmente e é conhecida por tratar de assuntos ligados a segurança da informação, como criptografia e apresentação de produtos do setor. É um evento tradicional e respeitado, organizado pela empresa de mesmo nome, fundada em 1982.
Já o intruso é parte da equipe organizada do evento da B-Sides, que ocorre próximo ao da RSA.
Após examinar o local, os pontos de acesso e os seguranças do evento, o especialista esperou por um grupo grande de pessoas para entrar no evento.
Em seguida, ao ver um segurança destinar-se a outro ponto de entrada que precisava de apoio, o penetra viu sua chance. “Eu comecei a andar em meio a um grande número de pessoas. Eu levantei meu crachá e cobri o logotipo da B-Sides com o dedão, e disse: ‘sou da equipe’, e continuei, sem perder um passo”, disse o penetra – que preferiu não se identificar, à CSO Online.
O penetra participou de duas apresentações programadas, sem ter qualquer registro no evento.
O próximo objetivo do engenheiro social foi acessar o centro de exposições do evento, que continha diversas apresentações sobre produtos destinados à segurança da informação. Ao notar que apenas um segurança protegia a saída, enquanto todos os outros protegiam o acesso de entrada, e ao notar a distração do guarda responsável pela saída, aproveitou a oportunidade, e obteve acesso ao salão. “Nesse ponto você pode roubar crachás, camisas e bonés, para agir como se estivesse trabalhando para alguma empresa. Se eles têm computadores da companhia externos e ativos, eu poderia facilmente instalar um keylogger a partir de um dispositivo USB,” explicou ele.
O último objetivo foi obter um crachá para o evento, mesmo sem ter se registrado. Fora do prédio, procurou em sites de busca por códigos RSVP (usados em eventos para que os participantes confirmem sua presença antes da data) destinados a usuários e empresas de forma gratuita. Com um código de inscrição livre encontrado online e um nome falso, conseguiu um crachá do evento, tendo como único trabalho ligar seu smartphone para mostrar uma cópia do e-mail de confirmação, que usava o código livre.
Nenhum documento de identidade foi solicitado.
Segundo o profissional em “pentesting humano”, o maior problema nesses casos é o treinamento dos seguranças. “Eles precisam de conscientização nos treinamentos em relação aos crachás e uma compreensão do que é permitido e o que não é. Os engenheiros sociais vão tirar proveito da multidão e do caos. Mas isso é algo com que os seguranças devem estar preparados para lidar”, afirma.
Linha Defensiva 