Ingeniería Social y Oficiales de Policía

12

La historia:

Ayer, a las 12 de la noche, un vecino mío estaba entrando en su camino de entrada y vio que la ventana trasera de su camioneta estaba destrozada. Bueno, este vecino y yo hemos tenido algunos problemas entre nosotros en el pasado (solo quejas de ruido) porque él está en una banda y toca en su garaje; Sin embargo, no fui yo quien rompió el vidrio de la camioneta. Tan pronto como llegó a casa, inmediatamente me hizo cruzar la calle mientras yo hacía ejercicio en mi garaje. Al llegar, levanta la voz y, presumiblemente, amenaza con llamar a la policía a pesar de que no tenía idea de quién lo hizo en primer lugar. Yo, siendo responsable, le dije que no lo había hecho y le mostraré pruebas en video (tengo una cámara montada encima de mi garaje). Como mi cámara cubre casi cinco casas, puede ver claramente su casa. Entonces, cuando regreso de la casa con el USB a mano, un policía camina hacia mí desde su casa y mi vecino me señala. Sin dudarlo, le dije al policía que podría tener evidencia en video de quién lo hizo. Estaba interesado en las imágenes, así que sin pensárselo dos veces, lo conectó directamente a su computadora portátil (con Windows XP), y no había nada útil (la luz estaba en el lugar correcto y en el momento adecuado) . Así que simplemente me devolvió la unidad de memoria flash y le dijo a mi vecino que no podía hacer nada al respecto, con respecto a la evidencia. El día terminó allí.

Conclusión:

Sin embargo, anoche me senté pensando en lo que había sucedido y en el hecho de que me odia. Sin embargo, no me llamó la atención que el policía enchufó el dispositivo a su computadora portátil en el auto de la policía, el que usa cuando está de guardia. Pensé para mis adentros ... ¿podría haber sido todo esto una configuración y podrían haber sido comprometidos los datos confidenciales?

Preguntas:

  1. ¿Debería un oficial conectar directamente un dispositivo USB "externo" directamente a sus computadoras portátiles de servicio?

  2. Si se trata de un problema, ¿qué problemas de seguridad plantea y qué daño podría haber causado?

  3. ¿La mayoría de los oficiales de policía reciben capacitación para prevenir la ingeniería social?

También, perdón por la historia detallada, pero ayuda a entender lo que está pasando. Soy un estudiante de Ciencias de la Computación, pero solo conozco los conceptos básicos de seguridad (para programación). Siendo esta una historia de la vida real que sucedió ayer, realmente me gustaría entender el riesgo que esto puede haber generado para los demás.

    
pregunta Jake 14.07.2014 - 09:41
fuente

1 respuesta

11

Si bien es posible que existiera alguna configuración, es muy poco probable, pero es mucho más probable que sea exactamente como parece. Usted se ofreció a mostrarle al oficial algo que podría ayudar en una investigación, y él se ocupó de ello. Tu vecino tendría poco que ganar tratando de jugar con el oficial. Según sus preguntas:

  • ¿Debe un oficial conectar directamente un dispositivo USB externo? NO! No se sabe qué malware hay en una memoria USB con el potencial de exponer información confidencial. Debería haberlo tomado y entregado a un técnico para que lo abriera en algún tipo de entorno de espacio aislado.
  • Hay 2 problemas de seguridad aquí. Una es que la computadora del oficial podría haber sido comprometida, dando acceso a los registros policiales y bases de datos. La otra preocupación es que pudo haber detectado malware que estaba en la máquina del oficial. Eso permitiría a los delincuentes acceder a sus datos.
  • ¿Los oficiales de policía reciben capacitación para prevenir la ingeniería social? Sí, extenso. Piense en su trabajo: un oficial de policía tendrá contacto diario con muchas personas que tienen un interés en diseñar la policía. Los perversos están desesperados por hacer que la policía piense que no fueron ellos, y algunas personas intentan usar a la policía como una herramienta acusando a otros de delitos que quizás no hayan cometido. La mayoría de los oficiales de policía desarrollan rápidamente una sensibilidad a la manipulación y aprenden a no confiar en los motivos de las personas. En cuanto a si tienen capacitación específica sobre TI, depende de dónde se encuentre, algunos PD tienen capacitación y otros no

En cuanto a cuál es el riesgo real, probablemente sea muy bajo. Parece que nadie tiene mucho que ganar en esta situación.

Además, puede ser mejor revisar las leyes locales para la vigilancia de cámaras, en muchos lugares del mundo es ilegal tener una cámara sin un permiso o algún tipo de aviso publicado. No desea exponerse, incluso si parece inofensivo, o incluso útil.

    
respondido por el GdD 14.07.2014 - 14:33
fuente

Lea otras preguntas en las etiquetas