Pentest físico e seus objetivos
Embora muitos esforços de segurança cibernética se concentrem na segurança de sistemas e redes, é importante não esquecer que a segurança física desempenha um papel crítico em qualquer programa de segurança cibernética. É aqui que entra o pentest físico.
O pentest físico simula um cenário de ameaça do mundo real, onde um agente mal-intencionado tenta comprometer as barreiras físicas de uma empresa para obter acesso à infraestrutura, edifícios, sistemas e funcionários. O objetivo de um pentest físico é expor os pontos fracos nas defesas físicas gerais de uma empresa. Através da identificação destas fraquezas podem ser implementadas mitigações adequadas para fortalecer a postura da segurança física da empresa.
Neste artigo, vou compartilhar 13 métodos que nossos profissionais em pentest físico usam para contornar controles de segurança física de milhões de dólares em segundos. Ao final, você compreenderá melhor como proteger sua empresa contra uma violação física de sua rede.
Quais são os benefícios do pentest físico?
O principal benefício de um pentest físico é expor pontos fracos e vulnerabilidades em controles físicos (fechaduras, barreiras, câmeras ou sensores) para que as falhas possam ser resolvidas rapidamente. Além disso, o pentest físico imita cenários do mundo real para demonstrar o impacto que um agente mal-intencionado pode causar a uma organização.
O pentest físico, quando realizado adequadamente, irá fortalecer suas defesas de segurança e permitirão que você se concentre no lado digital da sua segurança. Não faz sentido gastar milhões de reais em ferramentas de segurança se um invasor puder entrar físicamente em empresa e escapar despercebido.
Quais métodos são usados durante o pentest físico?
Uma empresa não pode ter um programa de segurança cibernética resiliente em vigor sem garantir que os agentes mal-intencionados não possam contornar fisicamente o seu perímetro. É por isso que a realização do pentest físico é importante, e ter uma metodologia e estrutura para fazer isso é fundamental para garantir que você não perca nenhum aspecto crítico da sua segurança física.
A seguir estão uma série de etapas e métodos que você pode seguir para realizar um pentest físico:
1. Mapear as entradas e o perímetro
Comece mapeando todas as entradas possíveis no negócio para identificar pontos de entrada não seguros. Os invasores geralmente encontram entradas ocultas ou desprotegidas para obter acesso a área interna da empresa. Ao mapear portas, janelas e saídas de incêndio, você começa a definir as instalações que precisa proteger e que são suscetíveis a ataques.
Mapear o perímetro envolve a realização de uma análise aprofundada do entorno da localização física da empresa o que representa o equivalente a uma fase de reconhecimento, que é realizada em todos os outros tipos de pentest. Simplificando, o mapeamento completo do seu perímetro determinará a direção de todo o processo do pentest físico e consiste na identificação de portas, janelas, tipo de telhado, acesso ao porão, sua política de acesso físico e tipos de fechadura.
2. Lock Picking
Ainda hoje, uma das maneiras mais eficazes de passar por portas e saídas é usar técnicas de lock picking. A principal razão para isso são as fechaduras mecânicas que não evoluíram muito ao longo do tempo e podem ser facilmente arrombadas com um pouco de treinamento. É um método tão popular que o SANS Institue possui um curso de teste de pentest físico que inclui ferramentas para lock picking.
A maioria das empresas hoje usa fechaduras eletromagnéticas para eliminar o risco de arrombamento. No entanto, a digitalização e a duplicação de cartões de identificação usados para fechaduras eletromagnéticas exigem o mesmo esforço. Para evitar invasões, considere usar fechaduras eletromagnéticas com acesso autorizado por PIN.
Isso fornecerá um método duplo de autenticação. Algo que você possui (um cartão) e algo que você conhece (um número PIN).
3. Acesse informações confidenciais
Telefotografia é o ato de tirar fotos do interior de um edifício através de janelas a grande distância para visualizar informações confidenciais nos computadores dos funcionários. Embora pareça improvável, existem muitos edifícios comerciais feitos quase inteiramente de janelas de vidro que aumentam o risco deste tipo de ataque.
Simplesmente tentar tirar fotos dos computadores dos funcionários fora do escritório será suficiente para testar se o ataque foi bem-sucedido contra sua empresa.
4. Teste salas de servidores, fios e cabos
Os servidores representam a parte mais crítica de qualquer rede e, portanto, geralmente recebem um nível mais alto de atenção quando se trata de segurança. Se um invasor obtiver acesso à sua sala de servidores, toda a sua rede ficará comprometida. Com esse acesso, um invasor pode infectar seu sistema, desativá-lo completamente ou roubar seus dados mais confidenciais.
A maioria das empresas hospeda seus dados e sistemas em ambientes de nuvem ou possui sua infraestrutura, que normalmente é armazenada em data centers. Como os data centers hospedam sites e dados corporativos valiosos, eles geralmente exigem várias camadas de autenticação, incluindo leituras biométricas, crachás de identificação e números PIN para acesso. Além disso, os servidores são armazenados em racks que exigem uma chave ou PIN para obter acesso físico ao servidor.
Se o equipamento de rede estiver armazenado no local da empresa, considere camadas adicionais de autenticação ou, de preferência, mova seus sistemas para um data center ou trabalhe com um provedor de hospedagem terceirizado.
Ao garantir a segurança física dos seus servidores contra danos e ataques, você deve se concentrar em três pontos principais relativos à capacidade de inicialização dos seus servidores a partir de uma unidade USB, ao tipo de sistema RAID instalado e às câmeras de vigilância nas salas de servidores. O acesso também deve ser registrado e monitorado para manter a conscientização e responsabilizar os funcionários, informando quem acessou o quê e quando.
5. Teste sistemas de incêndio e ar-condicionado
Verificar seus sistemas de incêndio e resfriamento é importante para garantir a segurança física do equipamento do seu servidor caso ocorra um incêndio ou superaquecimento dentro da sala do servidor. Sem esses sistemas, você corre o risco de ter seus servidores indisponíveis, o que é pior do que ser vítima de um grande ataque distribuído de negação de serviço (DDoS).
Garantir que esses sistemas funcionem corretamente permitirá que você fique seguro em caso de perigo físico.
6. Interceptar ondas EM
As ondas eletromagnéticas são frequentemente usadas para transmitir dados de uma organização e são frequentemente vulneráveis à interceptação. Um invasor pode usar bugs de escuta telefônica para consertar o fio e captar as frequências posteriormente com o uso de uma antena e um receptor.
Isso pode causar danos significativos à empresa devido ao roubo de informações confidenciais. Se um invasor interceptar o tráfego fracamente criptografado, ele poderá colocar os dados off-line e tentar ataques de força bruta para quebrar as senhas. Ao colocar as senhas offline, o invasor consegue contornar quaisquer políticas de bloqueio de conta.
A única contramedida eficaz para este tipo de ataque seria o uso de algoritmos avançados de criptografia para proteger as comunicações.
7. Dumpster Diving
Como o nome sugere, mergulhar no lixo envolve vasculhar a empresa ou o lixo de seus funcionários em busca de qualquer informação que possa ser usada para penetrar ainda mais nas defesas da empresa.
Documentos em papel, livros, manuais, faturas e extratos bancários são algumas das coisas que um invasor procuraria para recuperar informações úteis. Portanto, é importante usar trituradoras de papel para todos os documentos que estão sendo descartados. Em alguns casos, você pode querer considerar a gravação de documentos confidenciais, pois existe software para reconstruir documentos fragmentados.
8. Quebra de criptografia de tags RFID
Etiquetas de identificação de radiofrequência são frequentemente usadas para proteger recursos portáteis e são rastreáveis através de ondas de rádio. Frequentemente usadas em caso de roubo, as etiquetas RFID podem ser identificadas e as informações delas recuperadas usando ferramentas RFID.
Para mitigar este ataque, a criptografia é geralmente usada para proteger a etiqueta RFID, mas ainda pode ser suscetível a um ataque. Se o invasor conseguir quebrar a criptografia, a tag poderá ser modificada.
9. Obtenha acesso físico não autorizado (Tailgating)
Tailgating é uma técnica usada para passar por entradas seguras onde apenas pessoal autorizado pode entrar. Os invasores conseguem isso seguindo a pessoa que está passando pela entrada e entrando sem credenciais.
Com esse ataque, o agente malicioso costuma usar táticas de engenharia social para pressionar o funcionário e entrar nas dependencias sem muitos questionamentos. Por exemplo, quem não deixaria um cara com as mãos cheias de donuts entrar no escritório? Se você parece pertencer, então você pertence. A partir daí, o invasor pode tentar obter acesso a áreas restritas fingindo ser uma pessoa autorizada.
Para evitar este tipo de ataque, as empresas implantam armadilhas humanas, ou pontos de verificação dentro do edifício, que impedem o acesso de pessoal não autorizado. Um conjunto de autenticação pode ser necessário para o primeiro ponto de verificação, como um cartão de acesso, enquanto uma segunda autenticação, como uma leitura biométrica, pode ser necessária no segundo ponto de verificação.
Catracas e guardas de segurança também são eficazes para dissuadir a utilização não autorizada. Além disso, os funcionários devem ser treinados e preparados para solicitar as credenciais de qualquer pessoa, caso elas não estejam claramente visíveis.
10. Teste as tomadas de rede
Outra etapa importante na metodologia de teste de penetração física é verificar as tomadas de rede ativas nas salas de reunião e no lobby da empresa. Muitas vezes esquecidos, os conectores de rede ativos não utilizados podem ser explorados conectando-se um ponto de acesso sem fio.
Para garantir que isso não aconteça, você deve identificar todas as tomadas de rede ativas nas salas de reuniões, áreas de lobby ou quaisquer espaços de reuniões locais e monitorá-las. Na maioria dos casos desejáveis, as tomadas de rede ficarão inacessíveis devido aos controles de acesso à rede implementados que impedem o funcionamento adequado de dispositivos não autorizados em seu ambiente. Por exemplo, uma porta pode ser configurada para permitir acesso apenas a um dispositivo usando um endereço MAC específico.
11. Verifique as salas de reunião
Os funcionários muitas vezes deixam documentos confidenciais, computadores desbloqueados ou senhas escritas em blocos de notas após as reuniões, o que representa um sério risco de segurança.
Para mitigar este risco, as empresas devem estabelecer e aplicar políticas de funcionários para verificar se há mídia eletrônica desacompanhada e/ou papéis confidenciais que os funcionários deixam nas salas de reunião. É importante também verificar se há anotações deixadas pelos funcionários que possam fornecer aos invasores uma visão geral de algumas das decisões de negócios mais importantes da empresa.
12. Shoulder Surfing
Como o nome indica, esse ataque envolve a simples observação do computador do funcionário para detectar nomes de usuário, senhas, propriedade intelectual, dados confidenciais e muito mais. Para testar esse ataque, os testadores de penetração devem simplesmente observar se conseguem detectar as credenciais de login digitadas pelos funcionários.
Os invasores não serão tão óbvios a ponto de ficar rondando sua estação de trabalho. Isso chamaria muita atenção. Em vez disso, eles podem se passar por faz-tudo, entregador ou “colega de trabalho” amigável. Se for bem-sucedida, a proteção de tela pode ser usada para diminuir significativamente a capacidade de um observador de captar as ações de digitação do funcionário.
13. Uso de engenheiros social
Engenharia social é a prática de extrair informações confidenciais dos funcionários de uma determinada empresa por meio do uso de práticas enganosas das quais o funcionário desconhece. Esses ataques exigem fortes habilidades sociais para serem bem-sucedidos e muitas vezes são muito eficazes quando executados corretamente. Na verdade, foi relatado que 98% dos ataques cibernéticos dependem da engenharia social como ponto de entrada nos sistemas de uma empresa.
Os invasores geralmente utilizam diversas táticas para ter sucesso na engenharia social de seus alvos. Uma das principais táticas utilizadas é autoridade e urgência. Por exemplo, um invasor pode se passar por um gerente solicitando a transferência de US$ 10.000 para uma “despesa” de emergência. Nesse ponto, a maioria dos funcionários perguntaria por que tanto dinheiro precisava ser transferido imediatamente.
O invasor pode então pressionar o funcionário dizendo que o prazo é apertado e que o vice-presidente não está satisfeito. Eles podem até ameaçar o emprego do funcionário se o pedido não for atendido.
Os invasores também costumam explorar o desejo natural de uma pessoa de ajudar, fazendo com que o funcionário abandone as melhores práticas e execute uma tarefa que não está autorizado a realizar. Muitas vezes, as vítimas desconhecem completamente que foram manipuladas e que o agressor consegue atingir com sucesso o seu objetivo principal.
Para testar seus funcionários, experimente contratar um engenheiro social profissional com o objetivo de ter acesso às instalações da sua empresa por meio da utilização de diversas técnicas que envolvem disfarces, ligações falsas para a recepção e manipulação de seguranças com identidades falsas.
A defesa mais eficaz contra ataques de engenharia social é a implementação de políticas e programas de formação de sensibilização para a segurança. Plataformas como a KnowBe4 oferecem às empresas testes simulados de phishing por e-mail. Quando os funcionários são vítimas de um ataque simulado, suas ações são registradas e eles são solicitados a fazer um treinamento de remediação.
Documente todas as descobertas
A etapa final da metodologia de teste de penetração de segurança física é documentar todas as descobertas. O especialista em segurança que realizou o teste de penetração escreve um relatório técnico detalhando todas as vulnerabilidades e fraquezas encontradas nas etapas acima.
O relatório deve incluir as conclusões relativas ao tipo de fechaduras nas portas e portões, especificações da sala de servidores, especificações dos sistemas de incêndio e refrigeração, documentos valiosos encontrados, acesso dos funcionários às instalações, resultados de engenharia social e todas as outras conclusões importantes.
Essas informações serão então usadas para criar um plano de ação para mitigar a exposição futura a deficiências de segurança física.
Conclusão
A maioria das empresas se sentem satisfeitas em justificar o gasto de dinheiro ou a alocação de recursos para proteger sua rede contra ataques cibernéticos. No entanto, a segurança física é frequentemente ignorada como ponto de entrada para agentes mal-intencionados.
Ao realizar testes de penetração física, as empresas podem revelar pontos fracos de segurança física em seu ambiente, ao mesmo tempo que demonstram como pode ser fácil para um invasor obter acesso físico aos sistemas.
Atenção especial deve ser dada à engenharia social, pois este é o método de ataque mais utilizado e mais bem-sucedido, pois testa a capacidade do seu funcionário de seguir procedimentos operacionais padrão. Por último, a documentação das conclusões abordará os pontos fracos que podem ser explorados e estabelecerá as bases para a preparação de um plano de remediação, seja através da adição de controlos de segurança física ou da implementação de formação de sensibilização dos funcionários.
