RSA atua em diversos setores de segurança; entre eles, a fabricação de tokens de senhas. (Foto: Bruno Cordioli / Flickr / CC-BY)

Um especialista em engenharia social obteve acesso ao evento de segurança RSA 2012, sem qualquer credencial ou convite autêntico. Na verdade, ele usou um crachá pessoal de outro evento – da B-Sides.  A informação é do site CSO Online.

A conferência RSA acontece anualmente e é conhecida por tratar de assuntos ligados a segurança da informação, como criptografia e apresentação de produtos do setor. É um evento tradicional e respeitado, organizado pela empresa de mesmo nome, fundada em 1982.

Já o intruso é parte da equipe organizada do evento da B-Sides, que ocorre próximo ao da RSA.

Após examinar o local, os pontos de acesso e os seguranças do evento, o especialista esperou por um grupo grande de pessoas para entrar no evento.

Em seguida, ao ver um segurança destinar-se a outro ponto de entrada que precisava de apoio, o penetra viu sua chance. “Eu comecei a andar em meio a um grande número de pessoas. Eu levantei meu crachá e cobri o logotipo da B-Sides com o dedão, e disse: ‘sou da equipe’, e continuei, sem perder um passo”, disse o penetra – que preferiu não se identificar, à CSO Online.

O penetra participou de duas apresentações programadas, sem ter qualquer registro no evento.

O próximo objetivo do engenheiro social foi acessar o centro de exposições do evento, que continha diversas apresentações sobre produtos destinados à segurança da informação. Ao notar que apenas um segurança protegia a saída, enquanto todos os outros protegiam o acesso de entrada, e ao notar a distração do guarda responsável pela saída, aproveitou a oportunidade, e obteve acesso ao salão. “Nesse ponto você pode roubar crachás, camisas e bonés, para agir como se estivesse trabalhando para alguma empresa. Se eles têm computadores da companhia externos e ativos, eu poderia facilmente instalar um keylogger a partir de um dispositivo USB,” explicou ele.

O último objetivo foi obter um crachá para o evento, mesmo sem ter se registrado. Fora do prédio, procurou em sites de busca por códigos RSVP  (usados em eventos para que os participantes confirmem sua presença antes da data) destinados a usuários e empresas de forma gratuita. Com um código de inscrição livre encontrado online e um nome falso, conseguiu um crachá do evento, tendo como único trabalho ligar seu smartphone para mostrar uma cópia do e-mail de confirmação, que usava o código livre.

Nenhum documento de identidade foi solicitado.

Segundo o profissional em “pentesting humano”, o maior problema nesses casos é o treinamento dos seguranças. “Eles precisam de conscientização nos treinamentos em relação aos crachás e uma compreensão do que é permitido e o que não é. Os engenheiros sociais vão tirar proveito da multidão e do caos. Mas isso é algo com que os seguranças devem estar preparados para lidar”, afirma.

 

Anúncios

Escrito por Giovane Martins

Acadêmico de Filosofia - Licenciatura pela Pontifícia Universidade Católica do Rio Grande do Sul (PUCRS). Bolsista de Iniciação Científica do Conselho Nacional de Desenvolvimento Científico e Tecnológico (CNPq), sendo membro do grupo de pesquisas Filosofia e Interdisciplinaridade, sob a orientação do prof. Dr. Agemir Bavaresco. Realiza pesquisas nos seguintes temas: Opinião Pública, Democracia e Representação Política. É pesquisador do Centro de Estudos em Filosofia Americana (CEFA), sob a orientação do prof. Dr. Paulo Ghiraldelli Jr., participando do grupo de pesquisa Filosofia e Subjetividade, da Universidade Federal Rural do Rio de Janeiro (UFRRJ), trabalhando com o tema da teoria das esferas do filósofo alemão Peter Sloterdijk. Membro do GT da ANPOF "Semiótica e Pragmatismo" e membro associado da The Richard Rorty Society. Site pessoal: http://www.giovanemartins.com.br/

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

w

Conectando a %s