RSA atua em diversos setores de segurança; entre eles, a fabricação de tokens de senhas. (Foto: Bruno Cordioli / Flickr / CC-BY)

Um especialista em engenharia social obteve acesso ao evento de segurança RSA 2012, sem qualquer credencial ou convite autêntico. Na verdade, ele usou um crachá pessoal de outro evento – da B-Sides.  A informação é do site CSO Online.

A conferência RSA acontece anualmente e é conhecida por tratar de assuntos ligados a segurança da informação, como criptografia e apresentação de produtos do setor. É um evento tradicional e respeitado, organizado pela empresa de mesmo nome, fundada em 1982.

Já o intruso é parte da equipe organizada do evento da B-Sides, que ocorre próximo ao da RSA.

Após examinar o local, os pontos de acesso e os seguranças do evento, o especialista esperou por um grupo grande de pessoas para entrar no evento.

Em seguida, ao ver um segurança destinar-se a outro ponto de entrada que precisava de apoio, o penetra viu sua chance. “Eu comecei a andar em meio a um grande número de pessoas. Eu levantei meu crachá e cobri o logotipo da B-Sides com o dedão, e disse: ‘sou da equipe’, e continuei, sem perder um passo”, disse o penetra – que preferiu não se identificar, à CSO Online.

O penetra participou de duas apresentações programadas, sem ter qualquer registro no evento.

O próximo objetivo do engenheiro social foi acessar o centro de exposições do evento, que continha diversas apresentações sobre produtos destinados à segurança da informação. Ao notar que apenas um segurança protegia a saída, enquanto todos os outros protegiam o acesso de entrada, e ao notar a distração do guarda responsável pela saída, aproveitou a oportunidade, e obteve acesso ao salão. “Nesse ponto você pode roubar crachás, camisas e bonés, para agir como se estivesse trabalhando para alguma empresa. Se eles têm computadores da companhia externos e ativos, eu poderia facilmente instalar um keylogger a partir de um dispositivo USB,” explicou ele.

O último objetivo foi obter um crachá para o evento, mesmo sem ter se registrado. Fora do prédio, procurou em sites de busca por códigos RSVP  (usados em eventos para que os participantes confirmem sua presença antes da data) destinados a usuários e empresas de forma gratuita. Com um código de inscrição livre encontrado online e um nome falso, conseguiu um crachá do evento, tendo como único trabalho ligar seu smartphone para mostrar uma cópia do e-mail de confirmação, que usava o código livre.

Nenhum documento de identidade foi solicitado.

Segundo o profissional em “pentesting humano”, o maior problema nesses casos é o treinamento dos seguranças. “Eles precisam de conscientização nos treinamentos em relação aos crachás e uma compreensão do que é permitido e o que não é. Os engenheiros sociais vão tirar proveito da multidão e do caos. Mas isso é algo com que os seguranças devem estar preparados para lidar”, afirma.

 

Anúncios

Escrito por Giovane Martins

Licenciado em Filosofia pela Pontifícia Universidade Católica do Rio Grande do Sul (PUCRS). Mestrando em Filosofia pela Pontifícia Universidade Católica do Rio Grande do Sul (PUCRS) com bolsa da Coordenação de Aperfeiçoamento de Pessoal de Nível Superior (CAPES). Estudante de especialização em Educação, com ênfase em Ensino de Filosofia pela Universidade Federal de Pelotas (UFPel). Editor adjunto da revista Redescrições. Membro do GT da ANPOF "Semiótica e Pragmatismo" e membro associado da The Richard Rorty Society. Finalista do Prêmio JOTA/Inac de Combate à Corrupção do ano de 2016. Participou da organização do XIV Congresso Internacional da Société Internationale pour l'Étude de la Philosophie Médiévale (SIEPM). Atua nas seguintes linhas de pesquisa: Tolerância no Liberalismo Moderno; Liberdade de Expressão; Pluralismo de Valores; Liberalismo; Socialismo; Social-Democracia; Filosofia Política e Social; Filosofia Moderna.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.