DISCLAIMER:
Hola esta serie de entradas que veréis en las próximos días han sido aceptados para su difusión por parte del Hospital que nos contrato para esta auditoria.
Como veréis han sido eliminados nombres y datos que consideramos confidenciales, de todas formas agradeceremos que si nos colamos en algo nos lo hagáis saber.
La utilidad de este post y los siguientes creo que viene dado porque hemos realizado algo que es muy poco común en las auditorias entre ellas Ingeniería social y otros métodos poco comunes, eso si, todo ello con objeto de que aprendamos todos, yo también incluido.
***************
EMPEZAMOS
**************
Hola lectores,
Tal y como comente en el post anterior vamos a mostrar en diferentes entradas del blog la revisión del estado del arte de la seguridad de un Hospital .
Todo nace hace aproximadamente a mediados de Enero cuando el Consejo de Administración de este hospital (entenderéis que no de nombres) se da cuenta de una fuga importante de datos de pacientes y robo de material informático.
Tras una somera revisión por parte de los informáticos del centro se concluye que la desaparición consiste en diversos discos duros (pendrives), cintas de backup y dos portátiles. Ni que decir tiene que prácticamente se llevaron la información de la empresa.
Tras hablar con los responsables técnicos y el presidente del Consejo de Administración, se nos da vía libre para realizar una revisión que yo la clasifico como 'brutal' por el alcance que tiene dado que entre las revisiones típicas de seguridad, en esta ocasión vamos a emplear técnicas de ingenieria social.
Nuestro objetivo en esta primera parte de la auditoria consistía en tres elementos básicos:
1.- Obtener el máximo de información, de forma telefónica, suplantando la identidad de un conocido doctor del centro, esto incluye obtener perfiles, y contraseñas
2.- Obtención de accesos reservados solo para empleados, es decir acceso a diversas partes del portal de empleado (web)
3.- El paso más importante y divertido de la revisión, hacernos pasar por médicos del centro y acceder a zonas reservadas, entre ellas el CPD. Evidentemente queríamos comprobar los elementos de seguridad física del centro.
Para ello lo más sencillo y tras disponer de la autorización del consejo (en contrato y por escrito) nos disponemos a comenzar buscando en Google. En este ejemplo (que no es el caso que estamos tratando) proporciona tanta información a un supuesto atacante, que básicamente tiene todo el mapa de red. Cuidado con lo que se publica por internet
Ejemplo de google:
http://www.networkworld.es/La-sanidad-camina-con-Wi-Fi:-Hospital-de-La-Morale/seccion-/articulo-177043
Casi el 100% tiene publicado en su web la lista de médicos especialistas en la propia web corporativa de la empresa. Nosotros la obtenemos de otra web con objeto de no dejar rastro de IP's.
Nuestro objetivo es disponer de personalidades importantes dentro del hospital, para ello y no complicarnos la vida seleccionamos un conocido psicólogo del centro, (al cual ya pedimos perdones y excusas cuando finalizamos el trabajo.)
He aquí que me hago pasar por el excelentísimo Doctor Juan Aguirre (nombre falso en este post) ( por cierto Eduardo será el doctor en persona quien se persone en el centro, pero eso en la siguiente entrada)
Lo primero es llamar desde una cabina de teléfono (no vamos a dejar rastro de centralitas ni números personales ni nada de nada), también pensamos hacerlo desde un locutorio de esos que tantos existen.
NOTA: Tenemos la conversación grabada
Vamos a llamar al 'call center' 902 34 XX XX XX...
.- (operadora) Hola buenas tardes le atiende María, ¿en que le puedo atender?
.- (Yo) Humm. Hola buenas tardes soy el doctor Aguirre, responsable del área de psicología del centro.
.- (operadora) Ah, esto, hola Sr. Aguirre, ¿que desea?
.- (yo) Mira estoy en un congreso en aquí en Madrid en el San Antonio Breast Cancer Symposium, necesito recuperar un fichero del portal web y no recuerdo la contraseña.
http://www.congresos-medicos.com/congresos/conclusiones-del-32nd-san-antonio-breast-cancer-symposium-4380
.- (operadora) Ya ¿y no lo tiene anotado? (empiezo a alucinar, ¿anotado?),
.- (Yo) estooo ¿debería?, lo siento pero no. ¡¡ Señorita es muy urgente empiezo la conferencia en 35 minutos!!
.- (operadora) Es que no le puedo dar esta información por teléfono, lo siento
.- (Yo) (un poco borde lo se) ¡¡ Oiga, no se quien es usted pero necesito la contraseña YA!!, el éxito del centro depende de los datos que de y si usted no me lo proporciona, tendré que hablar con su responsable, por favor pongámonos al habla con el ahora mismo, ya!!
.- (operadora), Escuche señor, es imposible, no le puedo dar esos datos.
.- (yo) (mas borde), Mire ¿como dijo que se llama? ¿María?, me caguen la hostia si no me da ahora mismo esa contraseña, le hago culpable si no puedo tener esos datos ahora mismo, mire mi curriculum y mis datos dentro de portal, si quiere le digo mi DNI (ahí fue arriesgado, pero dudo que esos datos estén en el portal), si quiere le digo mi número de colegiado (ahí si que me pase).
.- (operadora) (muy compungida...pobre), Espere que pongo el manos libres y le paso con la responsable del servicio...(unos 40 segundos de espera)...
.- (responsable) Hola Doctor Aguirre, perdone por la espera, mi nombre es Lucia ¿donde dice que esta?
.- (yo) Señorita, estoy desesperado estoy en en el San Antonio Breast Cancer Symposium, compruébelo en mi agenda personal. (Aquí se acabo todo ,pensé)
.- (responsable) Lo siento, perdone no tengo acceso a su agenda, pero lamento todo y no se preocupe tome nota (¿que tome nota?) . La contraseña de su acceso a la red (vpn) es 'aguirre5656' y el acceso al portal es '5656aguirre'. De todos modos le informo que la conversación ha sido grabada por nuestros sistemas informáticos y que a su vuelta le será verificado por el sistema. (por cierto contraseña muy rebuscada)
.- (yo) (sin entender nada de lo que ha dicho)..uhmm gracias, señorita ha sido muy amable, da gusto el servicio prestado.
.- (responsable) Gracias buenas tardes.
Llegados a este paso solo nos queda configurar el acceso a la VPN (cosa muy sencilla dado que en su página web pública (craso error) explica como se realiza para todos los médicos interinos, y médicos asociados)
Una vez configurado el acceso por SSL con Open VPN, esto es lo que tenemos...
Pero esto lo vereis en el blog de eduardo
9 comentarios:
Jod..er Pedro, estarías de ver vestido de médico.
Un saludo,
Guillermo
Mi dios, ahora entiendo por lo de "Estaros atentos!!!", se han pasado!
En fin, espero con ansias la siguiente entrada :)
Saludos
Hola compañeros, buen post !
Ojo, a partir del listado de médicos (si no está falsificado) se puede llegar a concluir el centro auditado (Clínica ******).
Un saludo!
.ju
Parecen historias sacadas historias de los libros de Mitnick, viendo esta, me imagino como serán las otras, sobre todo las de acceso físico al hospital, :)
NaClu 2
Jaja! Me estoy imaginando a Eduardo con la bata blanca y las muletas rollo Dr. House.
Saludos
PD: Muy instructiva la entrada, como siempre.
Esto lo único que demuestra es que la gente (en este caso la operadora y su supervisora) tienen más miedo a una queja de un médico que a que les metan una multa por vulnerar la LOPD (si es que saben lo que es) o a comprometer la seguridad de algo tan "inocente" como un hospital.
Me parece que para evitar estas barbaridades la unica solución es primero la formación y luego que los jefes directos de esos "gestores telefónicos" (yo pertenezco al gremio) apoyen el respeto a las leyes y no se arruguen por amenazas de hablar con la "Dirección".
P.D: un saludo al pobre teleoperador que vio en riesgo su sueldo por un "Doctor" enajenado ;)
Qué cara puso el auténtico Juan Aguirre cuando le contastéis lo que habíais hecho?? xD
Saludos ;-)
Madre mia... No entiendo como esto puede funcionar!
En fin, se nota que no son teleoperadoras de empresas como telefónica, porque ya te digo que a la que le metas un grito te cuelga el teléfono ipso facto!
Saludos!
Newlog
Cuando segunda parte ?
Publicar un comentario en la entrada