Las pruebas de intrusión física tienen como objetivo evaluar las medidas de seguridad, vulnerabilidades, procedimientos y riesgos que podrían comprometer la organización in situ, es decir, desde la infraestructura física de la organización.

Estas pruebas se desarrollan en entornos reales y pretenden simular escenarios que utilizarían atacantes en el mundo real, sin conocimiento de las personas que se encuentran en la organización (únicamente aquellas personas responsables de la ejecución del proyecto, como el responsable de seguridad).

Para la ejecución de las pruebas, se deberá evaluar la seguridad física de la infraestructura con el objetivo de acceder al interior del edificio o sedes objetivo. Para ello, se tratan de explotar las deficiencias en las medidas de seguridad físicas establecidas o ausencia de estas, en conjunto con los puntos débiles de las personas por medio de técnicas de ingeniería social.

Estas pruebas se adaptarán de acuerdo al entorno, contexto y elementos de los activos dentro del alcance. Por ello, como en toda prueba de intrusión, y más en una intrusión física, la fase más importante es la enumeración.

Modelos de documentos de autorización

Información del documento

El documento de autorización, deberá contener, como mínimo, la siguiente información:

• Nombre y CIF de la empresa objetivo y empresa ejecutora del proyecto.

• Información del responsable que autoriza la prueba, contacto en caso de que el auditor/a sea detectado y auditor/as responsables de la ejecución.

  • Nombre y apellidos.

  • DNI / NIF / Pasaporte.

  • Cargo en la empresa.

  • Número de teléfono.

• Localizaciones y sedes dentro del alcance.

• Acciones permitidas dentro de la ejecución del proyecto.

Ejemplos de documentos de autorización

• https://www.trustedsec.com/tools/physical-security-assessment-documentation/

• https://github.com/trustedsec/physical-docs

Herramientas

• Raspberry Pi o dispositivo de C2C.

• Rubber Ducky, digispark o Input Stick RAT.

• Kit de ganzúas.

• Tarjeta de acceso y/o colgante estándar. Preferiblemente de apariencia similar a la que tienen en la empresa objetivo.

• Documentación o autorizaciones falsificadas para apoyar el pretexto elegido.

• Llaves allen y destornillador con distintos cabezales.

• Móvil con buena cámara para las evidencias. (el propio móvil xD)

Raspberry Pi

• Raspberry Pi 4B: https://www.amazon.es/gp/product/B0899VXM8F/

• Carcasa: https://www.amazon.es/gp/product/B07V3Z7QM6/

• Tarjeta MicroSD: https://www.amazon.es/gp/product/B08GYBBBBH/

Rubber Ducky con Digispark

• Digispark: https://www.amazon.es/AZDelivery-Digispark-Rev-3-Kickstarter-Parent/dp/B01N7SGC1I?th=1

• Duck2Spark: https://github.com/mame82/duck2spark

Metodología

Existen distintas metodologías que pueden ser utilizadas para las pruebas de intrusión física o pentesting físico. Los marcos estándar aceptados por la industria a nivel mundial son el NIST-SP.800-171 (Publicación especial del NIST para la ejecución de pruebas de intrusión física) y el capítulo 8 del OSSTMM:

• NIST-SP.800-171: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-171r2.pdf

• OSSTMM - Cap.8: https://www.isecom.org/OSSTMM.3.pdf

A continuación, se propone una metodología de intrusión física o "Pentest Físico" que se basa en las metodologías anteriores y la propia experiencia:

1. Reconocimiento.

2. Pretexto/s.

3. Acceso.

4. Ingeniería social.

5. Explotación.

6. Evidencias.

7. Informe.

1. Reconocimiento

Se realiza una primera fase de reconocimiento de la organización y del entorno físico exterior e interior. En esta fase, se trata de enumerar todos los elementos, puntos de entrada, personal, procedimientos, seguridad, personal externo con acceso, tiempos de descanso, días de mayor o menor ocupación del edificio (teletrabajo o día de ir a la oficina), entre otros.

Para ello, puede realizarse un primer reconocimiento vía técnicas de OSINT y mapeo de las redes, o realizarse in situ. Se deberá dedicar, como mínimo un día de reconocimiento in situ y como máximo, todo el necesario hasta obtener la información deseada para identificar los puntos débiles y pretextos más adecuados a la naturaleza de la organización.

Según el nivel de acceso, los elementos del reconocimiento variarán. Será útil contar con un mapa de las ubicaciones dentro del alcance.

El nivel de acceso podría dividirse en 5 capas:

1. Perímetro o exterior.

2. Espacios públicos interiores.

3. Espacios de trabajo.

4. Espacios con información confidencial o sensible.

5. Espacio de servidores o críticos para el negocio.

1. Perímetro o exterior

• Identificación de accesos:

  • Puertas de acceso comunes.

  • Puertas de acceso de personal.

  • Puertas de acceso traseras.

  • Puestas de acceso a un local que conecte con el local objetivo.

• Identificación de elementos de seguridad:

  • Cámaras de vigilancia.

  • Sensores.

  • Sistemas de acceso: tarjetas, huella, registro en recepción.

  • Personal de vigilancia.

• Observación y análisis de horarios:

  • Entrada y salida del edificio.

  • Cambios de turno.

  • Descansos para desayunar o comer.

• Identificación de exposición de activos:

  • Puntos de acceso en zonas comunes o poco vigiladas.

  • Conexiones de ethernet en zonas comunes o poco vigiladas.

• Suplantación de correos electrónicos:

  • Registros SPF, DKIM y/o DMARC no establecidos adecuadamente. (útil como apoyo para los pretextos)

2. Espacios públicos interiores

• Identificación de espacios interiores con acceso a zonas restringidas.

• Identificación de puntos de red de fácil alcance.

• Identificación de sistemas de control de acceso.

3. Espacios de trabajo

• Política de escritorios limpios:

  • Documentos confidenciales disponibles.

  • Dispositivos externos disponibles.

  • Pantallas sin bloquear con o sin vigilancia.

  • Post-It con información confidencial o contraseñas.

4. Espacios con información confidencial o sensible

• Lo mismo que en "espacios de trabajo".

• Acceso a información restringida.

• Códigos de acceso o llaves a zonas restringidas.

5. Espacio de servidores o críticos para el negocio

• Accesibilidad de la sala de servidores.

• Sistemas de control de acceso o ausencia de ellos.

• Sistemas de vigilancia.

• Registros de acceso.

2. Pretexto

Una vez se haya obtenido toda la información posible, se creará una batería de posibles pretextos ordenados por la probabilidad de éxito que puedan tener en cada uno de los distintos escenarios y/o localizaciones objetivo. En muchas ocasiones, en entornos similares, el pretexto podría ser el mismo.

Algunos posibles ejemplos podrían ser:

• Técnico/a de operadora (Telefónica, Vodafone, Orange, etc.).

• Limpiadora/or.

• Electricista.

• Fontanero/a.

• Empleado nuevo.

• Estudiante en prácticas.

• Jefe de otra sede.

• Auditor.

  • Auditor de normativa.

  • Auditor de seguridad. Ejecución de un proyecto de pruebas de seguridad en las redes internas e inalámbricas.

3. Acceso

De acuerdo a la información obtenida del reconocimiento, como las medidas de seguridad, viabilidad de acceso con o sin seguridad, personas y procedimientos internos establecidos. Es recomendable entrar primero desde el lugar donde mayor probabilidad de éxito podría haber, dado que si se es descubierto, las probabilidades de ser detectado/a en el resto de sedes, aumentan.

El acceso puede realizarse de múltiples maneras, bien por medio de técnicas que exploten las deficiencias en la seguridad física de la infraestructura y/o tecnológica o por medio de técnicas de ingeniería social. Este último tiene una mención especial, puesto que las técnicas de ingeniería social se encuentran durante toda la ejecución del ejercicio, desde que se realiza el reconocimiento, hasta que se sale del edificio o se es detenido/a por los guardias de seguridad o policía (donde ya quedaría al descubierto el pastel y sería mejor mostrar la autorización y contacto original, a no ser que se desee dormir en el calabozo xD).

Evasión de sistemas de acceso

El acceso por medio de la explotación de deficiencias en la seguridad física pueden ser:

• Lockpicking (aka. Forzar cerraduras).

• RFID. Clonación de tarjetas RFID.

• Evasión de cámaras y/o alarmas.

4. Ingeniería social

Durante todo el reconocimiento, acceso y posterior persistencia, se utilizarán técnicas de ingeniería social. Estas técnicas tendrán distintos objetivos de acuerdo al reconocimiento realizado.

Aunque variará según el pretexto, perfil de la empresa objetivo y demás variables dentro de la ecuación. En términos generales, se recomienda tratar de mantenerse lo más neutral posible, sin generar mucha presencia, pero tampoco tratando de ser "invisible".

Por ejemplo, mantener conversaciones genéricas, con simpatía y sin dar muchos detalles o cambiando la conversación a temas banales o relacionados con la persona con la que se establezca una conversación (haciendo preguntas). De esta forma, se gana confianza sin necesidad de dar información de uno/a mismo/a, y evitando levantar sospechas.

Durante toda la prueba, es recomendable dar la mínima información que se estime viable cuando se establezca una conversación con personal de la organización.

Por ejemplo: Siendo el pretexto "Realización de una prueba de seguridad en las redes internas e inalámbricas", se dirá en primera instancia "Prueba en las redes" y se irá dando información a lo largo de la conversación en caso de ser necesario. Con ello, se minimiza la posibilidad de generar sospecha o dudas del pretexto establecido.

Toda conversación que se establezca debe ser lo más cerca de la realidad posible y con total seguridad, de forma que el personal no detecte duda alguna en las palabras y sea más difícil ponerse nervioso/a.

Presencia y/o acceso

Teniendo ya un pretexto, se podría realizar un pre-acceso o preparación de las personas de la organización interactuando con ellas previamente al acceso. Para ello, se podría frecuentar la cafetería, entrada del edificio en momentos de descanso, puertas traseras en momentos de descanso, baños, etc. Con ello, se pretende tener un aspecto más familiar y ganar simpatía con los empleados.

Esto puede ser útil por varios motivos. Por un lado, para ganar acceso si estos se encuentran cerca de la entrada y ofrecieran la entrada al edificio, y por otro lado, en caso de estar una vez dentro y ser pillados, al conocer a alguien interno, se genere mayor credibilidad o se refuerce el pretexto.

Además, de la misma forma, si aún no se cuenta con un pretexto, y se quiere obtener mayor información sobre el personal externo, se pueden frecuentar de igual forma el entorno, con un pretexto temporal o sin necesidad de dar un pretexto (siendo esta segunda, mejor opción a no ser que sea necesario), con el objetivo de sacar información de los empleados. Por ejemplo, en el descanso de las/os limpiadoras/es, hacerse pasar por un empleado nuevo y sacar conversación con el objetivo de preguntar el nombre de la empresa, horarios, etc.

Salida del edificio

Cuando se desee salir, siempre que sea posible, intentar salir por la misma zona de entrada o zona principal de salida si se encuentra sin vigilancia. En caso de que esto no sea posible debido a que la entrada se ha realizado de forma premeditada o esta cuenta con medidas de seguridad que no puedan volver a ser saltadas, se puede intentar buscar una vía secundaria.

Para ello, una posible opción es acercarse a puertas de salida, y en caso de no haber generado sospechas con la propia presencia, una posible opción es preguntar al personal del edificio sobre entradas alternativas utilizando pretextos que no generen sospecha.

Además, como última opción, esperar cerca de la salida y salir integrado/a con un grupo de personas, simulando naturalidad y con paso firme, con suerte, el propio guardia de seguridad habilitará la salida del edificio (basado en hechos reales).

5. Explotación

Una vez se ha ganado acceso y se consigue mantener persistencia dentro de la sede o edificio objetivo. Se podrán realizar varias acciones según los objetivos de la intrusión.

Pueden ser, por ejemplo:

• Realizar el acceso a los espacios críticos o de relevancia:

  • Cuartos de servidores.

  • Cuartos de archivos confidenciales.

  • Elementos de relevancia del negocio.

• Conectarse a la red de la organización.

  • Realizar una prueba de visibilidad.

  • Realizar escáneres y acciones varias dentro de la red.

  • Esconder un dispositivo y utilizarlo para obtener persistencia.

• Prueba de detección y respuesta.

  • Realizar acciones que pueden ser identificadas como sospechosas.

  • Frecuentar lugares de acceso restringido.

  • Mantener persistencia dentro del edificio.

Esta última, se podría realizar como prueba de resistencia una vez se hayan finalizado el resto de acciones a realizar durante las pruebas, con el objetivo de medir la capacidad del personal de la organización para identificar y responder ante un posible acceso no autorizado o sospechoso.

6. Evidencias

Como evidencia y registros de la intrusión, se deberá:

• Tomar fotos de:

  • Todos los lugares a los que se ha obtenido acceso.

    • Acceso al interior.

    • Espacios de relevancia.

    • Salida del edificio.

  • Información confidencial a la que se ha obtenido acceso.

  • Conexión a la red.

• Registrar la fecha y hora de intrusión y/o realización de acciones de relevancia durante la ejecución.

7. Informe

Por ejemplo, un informe de prueba de intrusión física podría tener, como mínimo, las siguientes secciones:

1. Introducción.

2. Metodologías.

3. Resumen ejecutivo.

4. Vulnerabilidades.

5. Intrusión física.

   1. Pretexto.

   2. Ejecución.

Referencias

• https://startingelectronics.org/tutorials/arduino/digispark/digispark-windows-setup/

• https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-171r2.pdf

• https://www.isecom.org/OSSTMM.3.pdf