Archive for the 'segurança' Category

Um pouco mais sobre Social Engineering

Bom dia,
Mais um artigo falando um pouco sobre engenharia social(de forma muito básica), na verdade é um vídeo de pouco mais de 2 min que vale a pena conferir os grandes erros das pessoas. Com um pouco de malandragem e ingenuidade das pessoas, o repórter consegue um punhado de senhas e minutos.

Claro, foi uma forma muito básica, mas da para refletir o que seria capaz de fazer com TEMPO hábil e notar como as pessoas são o elo mais fraco quando falamos em Segurança da Informação.
Espero que gostem!

Falando em DRP – Disaster Recovery Plan

Vamos falar um pouco sobre esse tema ainda pouco adotado em empresas no Brasil.
Inicando com um descritivo do Wikipedia:
plano de recuperação de desastres é composto, por cenários e procedimentos, que deverão ser aplicados sempre que ocorrer uma falha devido a alguma inconsistência provocada em virtude de ameaças como incêndios, inundações, vandalismo, sabotagem ou falhas de tecnologia.

É conhecido como DRP – disaster recovery plan, os planos normalmente são desenvolvidos pelos gestores de ativos, muitas vezes por exigências de regulamentações internacionais como a lei Sarbanes-OxleyBacen 3380ISO 27000, ou devido a exigências de acionistas ou do próprio negócio.

Geralmente é composto de três fases

  • Programa de Administração de Crise
Plano desenvolvido em conjunto, com definição de atividade, pessoas, dados lógicos e físicos
  • Plano de Continuidade Operacional
Possui diretivas do que fazer em cada operação em caso de desastres
  • Plano de Recuperação de Desastres
É a aplicação na prática do plano de continuidade operacional

disaster-recovery-plan-2

Bem, essa é uma definição curta porém muito completa sobre uma abordagem geral do DRP.
Aqui colocarei diversos temas relacionados a isso e a vivência que passo nas empresas e devido a isso tentarei não criar artigos extensos e cansativos.
Existem 5 Etapas a serem seguidas para elaboração de um DRP, são elas:
* Analisar seu Negócio
* Avaliar os Riscos
* Desenvolver um Estratégia
* Desenvolver um Plano
* Ensaiar o Plano
Futuramente irei extratificar todos esses pontos em um Artigo separado.
Outro artigo que será extratificado futuramente serão os 6 modelos de Sites de DR segundo a CISSP:
* Hot Site
* Warm Site
* Cold Site
* Mobiles Sites
* Multiple Processing center
* Remote work arrangements
Bem, espero que tenham gostado da Introdução ao assunto que é bem amplo.
Até a próxima!

Você sabe o que é a deep web?

Vídeo muito interessante sobre a Deep Web. Vale a pena confererir.

Vídeo do Olhar Digital: Deep Web

Exame de certificação CompTIA Security+ disponível em português

A CompTIA anunciou a disponibilidade da versão em português da sua
certificação CompTIA Security+. Mais de 230.000 profissionais de TI no
mundo todo já receberam o certificado. As habilidades abrangidas pela
certificação incluem:

– Segurança de rede
– Conformidade e segurança operacional
– Ameaças e vulnerabilidades
– Segurança de aplicativos, dados e host
– Controle de acesso e gerenciamento de identidade
– Criptografia

O exame da CompTIA Security+ contém 100 questões. Os candidatos possuem 90
minutos para concluir o exame. Para ser aprovado, o candidato deve atingir
uma pontuação de, no mínimo, 750 em uma escala de 100-900.

Além da nova versão em português, o exame da CompTIA Security+ também está
disponível em inglês, alemão, japonês, coreano, chinês simplificado e
chinês tradicional.

Para mais informações, acesse:
http://goo.gl/yQ9DU

Qual o perfil do profissional de segurança da informação desejado pelas empresas?

Os desafios foram intensificados com a mobilidade. A tradicional segurança teve de ser reforçada para poder lidar com o novo cenário e o profissional da área moldou-se para construir um arsenal de capacidades em linha com a demanda móvel. Afinal, qual é, hoje, o perfil do colaborador de segurança abalada com a presença marcante de smartphones e tablets?

Segundo Guilherme Maciel, consultor sênior da Korn/Ferry International, provedora global de soluções para a gestão de talentos, agora, companhias exigem do profissional de segurança flexibilidade para aprender rapidamente sobre os novos riscos e fortes habilidades técnicas. “Ele também deve ser capaz de ser criativo e inovador”, completa.

Jaime Orts y Lugo, presidente da Associação de Segurança em Sistemas de Informação (Issa) Brasil e CEO da Teknobank, diz que o profissional de segurança no universo móvel continua sendo o bom e velho conhecido da área, focado na análise de risco, visando identificar vulnerabilidades causadas por tendências como consumerização e Bring Your Own Device (BYOD).

A lista de características ganha reforço, segundo Lugo, com a presença de mais  conhecimento dos negócios. “Além de habilidade para treinar, educar e conscientizar os usuários para que a política de segurança seja seguida de forma consciente.” Para o profissional da área, prossegue, não há fronteiras temporais ou tecnológicas, ele “dança” conforme a TI se molda ao planejamento estratégico da corporação.

O perfil não muda muito porque a missão desse profissional continua sendo zelar pela segurança independentemente do cenário. Essa é a opinião de Christiane Mecca, Security Officer para a América Latina da Rhodia. “No entanto, ele deverá estar mais atento ao comportamento das pessoas que utilizam os dispositivos móveis, pois o risco para a informação sempre existirá”, acredita.

É preciso preparar-se

O presidente da Issa Brasil afirma que a busca por pessoal focado em segurança móvel está aquecida, promovendo uma verdadeira dança das cadeiras. “Há dificuldade de encontrar mão de obra especializada. Por outro lado, as empresas não sabem expressar o que realmente precisam”, analisa.

Para auxiliar na disseminação da cultura em segurança, a Issa tem investido em diversos treinamentos e formação para a área. A Issa acredita que especialização é credencial importante para atuar no segmento e tem sido bastante valorizada pelas organizações.

A certificação Certified Information Systems Security Professional (CISSP), por exemplo, é uma boa opção para quem quer atuar em gestão de segurança da informação. A Issa promove, em parceria com a Symantec, o Curso de Introdução à Certificação CISSP – CIC2, e junto com a Novell oferece um grupo de estudos voltado para a certificação Information Systems Security Management Professional (ISSMP).

Embora seja vital para a carreira, obter as certificações ainda é caro. A CISSP custa em torno de 600 dólares. “Infelizmente, o investimento não é pequeno. Os cursos de curta duração custam em torno de 4 mil reais”, lamenta.

Por outro lado, apostar em certificações pode ser ainda uma chance de garantir um salário acima da média de mercado. “TI vive um momento de alta e o salário continua a saltar. Profissionais de segurança também terão oportunidades”, acredita Maciel.

Fonte:

http://cio.uol.com.br/

http://www.sindpd.org.br/sindpd/noticia.jsp?id=1360152582342

Falando de Segurança – Engenharia Social

Quando hackers aparecem na ficção, normalmente eles são retratados como conhecedores da área de informática, que usam apenas falhas em sistemas para conseguir realizar uma invasão, o roubo de dados ou a destruição de um sistema. O hacker norte-americano Kevin Mitnick, que chegou a ser condenado por crimes de informática, conseguiu muita coisa manipulando pessoas – e não bits.

No livro que publicou em 2002, “A Arte de Enganar”, Mitnick revela que boa parte das invasões que realizou só foi possível porque ele enganava pessoas para que lhe dessem as senhas dos sistemas. Com as senhas na mão, bastava “entrar pela porta da frente”.

ENTENDENDO A ENGENHARIA SOCIAL

Engenharia social compreende a inaptidão dos indivíduos de manterem-se atualizados com diversas questões pertinentes a tecnologia da informação, além de não estarem conscientes do valor da informação que eles possuem e, portanto, não terem preocupação em proteger essa informação conscientemente. É importante salientar que, a engenharia social é aplicada em diversos setores da segurança da informação independente de sistemas computacionais, software e ou plataforma utilizada, o elemento mais vulnerável de qualquer sistema de segurança da informação é o ser humano, o qual possui traços comportamentais e psicológicos que o torna suscetível a ataques de engenharia social. Dentre essas características, pode-se destacar:

Vaidade pessoal e/ou profissional: O ser humano costuma ser mais receptivo a avaliação positiva e favorável aos seus objetivos, aceitando basicamente argumentos favoráveis a sua avaliação pessoal ou profissional ligada diretamente ao benefício próprio ou coletivo de forma demonstrativa.

• Autoconfiança: O ser humano busca transmitir em diálogos individuais ou coletivos o ato de fazer algo bem, coletivamente ou individualmente, buscando transmitir segurança, conhecimento, saber e eficiência, buscando criar uma estrutura base para o início de uma comunicação ou ação favorável a uma organização ou individuo.

Formação profissional: O ser humano busca valorizar sua formação e suas habilidades adquiridas nesta faculdade, buscando o controle em uma comunicação, execução ou apresentação seja ela profissional ou pessoal buscando o reconhecimento pessoal inconscientemente em primeiro plano.

Vontade de ser útil : O ser humano, comumente, procura agir com cortesia, bem como ajudar outros quando necessário.

Busca por novas amizades : O ser humano costuma se agradar e sentir-se bem quando elogiado, ficando mais vulnerável e aberto a dar informações.

Propagação de responsabilidade : Trata-se da situação na qual o ser humano considera que ele não é o único responsável por um conjunto de atividades.

Persuasão : Compreende quase uma arte a capacidade de persuadir pessoas, onde se busca obter respostas específicas. Isto é possível porque as pessoas possuem características comportamentais que as tornam vulneráveis a manipulação.

O FATOR HUMANO

Segundo Kevin Mitnick:

Uma empresa pode ter adquirido as melhores tecnologias de segurança que o dinheiro pode comprar, pode ter treinado seu pessoal tão bem que eles trancam todos os segredos antes de ir embora e pode ter contratado guardas para o prédio na melhor empresa de segurança que existe. Mesmo assim essa empresa ainda estará vulnerável. Os indivíduos podem seguir cada uma das melhores práticas de segurança recomendadas pelos especialistas, podem instalar cada produto de segurança recomendado e vigiar muito bem a configuração adequada do sistema e a aplicação das correções de segurança. Esses indivíduos ainda estarão completamente vulneráveis.(MITNICK; SIMON, 2003, p. 3).

Em qualquer organização, por maior que seja a sua segurança, sempre haverá um fator de desequilíbrio chamado ”fator humano”. O velho ditado que diz que um segredo deixa de ser um segredo quando mais alguém sabe é uma das máximas existentes dentro da segurança da informação. Os maiores engenheiros sociais tiram proveito das fraquezas ou gostos pessoais de seus alvos para assim aproximar e conseguir alcançar seus objetivos.

Um dos maiores problemas hoje em dia na segurança da informação está relacionado ao ser humano e sua ignorância. Práticas que permitem o acesso não autorizado a dados, lugares, objetos e entre outros, fragiliza qualquer esquema de segurança da informação, uma vez que as pessoas acabam tendo acesso a informações indevidas, colocando em risco a segurança da informação. A questão comportamental pode afetar significativamente as demais medidas de segurança, por mais modernas que elas sejam.

Um dos grandes assuntos discutidos atualmente é a questão da inclusão do fator humano como um dos elementos base da segurança da informação. Existem propostas de modelos para inclusão desse fator primordial como um dos pilares fundamentais da segurança da informação, pois o modela atual considera o fator humano em um nível não base.

O fator humano é uma das maiores causas de invasões e ataques, devido a vários motivos que serão abordados de maneira mais profunda posteriormente, como por exemplo, a escolha de senhas fracas ou pelo esquecimento de algum cuidado básico de segurança.

FATOR HUMANO = ELO MAIS FRACO

MEIOS MAIS COMUNS PARA ATACAR

Os engenheiros sociais utilizam-se normalmente dos seguintes meios para atacar suas vítimas:

Telefone convencional ou VolP (voz sobre IP): O engenheiro social usa suas técnica e habilidades passando-se por alguém para ludibriar a vítima.

• Internet: Coletar informações sensíveis dos usuários como, por exemplo, login e senha ao serem digitados.

Intranet: Tem por objetivo acessar remotamente algum microcomputador da rede com o objetivo de se passar por alguém.

E-mail: Enviar e-mails falsos para induzir a vítima a clicar em links que instalarão vírus, Cavalos de Troia ou redirecionarão para páginas falsas que capturam dados digitados.

Pessoalmente: Tentar persuadir a vítima.

Chats: Tentar se passar por outra pessoa nas salas de bate-papo.

Fax: Obter informações primárias para posteriormente fazer um ataque melhor elaborado.

Correio convencional: Envia correspondências ou cartas falsas para as vítimas. É um método considerado nada atual, mas é muito utilizado para enganar pessoas mais antigas ou idosas.

Spyware: É um software espião que monitora o microcomputador sem que a vítima perceba.

Redes P2P (Peer-to-Peer): Essa é uma tecnologia que permite o compartilhamento de arquivos entre diversos computadores. O atacante usa essa tecnologia para espalhar vírus, Cavalos de Troia e muitas outras pragas, além de claro oferecer ajuda para suas vítimas a fim de trapaceá-las.

• Redes Sociais: Os sites de relacionamento são cada vez mais utilizados pelos usuários. O que muitos deles talvez não saibam e que esses sites deixam um rastro das informações de maneira que pessoas mal intencionadas podem se passar por outras pessoas, camuflando assim sua real identidade. Isso contribui bastante para o sucesso de um ataque de engenharia social.

TÉCNICAS DE ATAQUE MAIS COMUNS

Abaixo, encontram-se as técnicas e métodos de ataque mais comuns usados pelos engenheiros sociais:

• Pesquisa: Essa tática concerne no colhimento de materiais com a finalidade de descobrir quem são as pessoas que guardam as informações desejadas. O próximo passo será procurar meios para absorver as informações desejadas dessas pessoas.

Personificação e impostura: A personificação se baseia na criação de um personagem. Um exemplo clássico é aquele em que o engenheiro social faz uma ligação passando-se por alguém da área de informática da empresa e diz precisar da senha da pessoa ou se passar por um assistente da presidência ou gerencia e pedir informações em nome do seu chefe. Muitos engenheiros sociais chegam a estudar padrões de fala e o tipo de linguagem utilizada por suas vítimas, pois cada organização possui suas próprias linguagem e expressões. Isso acontece porque ao conversar com alguém utilizando a mesma linguagem, se torna mais fácil persuadi-lo, pois a vítima se sente mais segura. Em grandes empresas é difícil conhecer todos os funcionários e devido a isso, normalmente a vítima acaba cedendo.

Divisão de responsabilidades: A técnica da divisão de responsabilidades também é bem comum e se resume em convencer os funcionários a compartilharem as senhas com o objetivo de dividirem determinadas tarefas ou responsabilidades.

Spoofing: Uma nova técnica utilizada é o chamado Spoofing do número telefônico, que tem por objetivo defraudar o sistema de identificação de chamadas, fazendo com que o número exibido pelo identificador de chamadas seja aquele desejado pelo fraudador.

E-mails falsos: Essa técnica é uma das mais comuns aplicadas pelos engenheiros sociais para conseguirem dados alheios como, por exemplo, senhas, contas bancárias, cartões de crédito e etc. Normalmente esses e-mails falsos abordam assuntos que estão em alta na mídia, atualizações de segurança, recuperação de dados bancários, promoções, premiações ou qualquer outro assunto que venha despertar a curiosidade da vítima para que ela seja persuadida a clicar em links que instalarão vírus, cavalos de troia ou direcionarão para páginas falsas, que capturarão os dados da vítima ao serem digitados.

Phishing: Criação de sites falsos que possuem o endereço muito parecido com o site original, tirando assim proveito de erros de digitação comuns. Ao digitar informações nesse site, automaticamente os dados são enviados para os criminosos. Por isso a importância de ter certeza se o site é verdadeiro antes de enviar qualquer informação.

• Engenharia Social Inversa: A engenharia social inversa é uma técnica mais avançada e que exige muito mais preparação e pesquisa. Nessa técnica os papeis se invertem. O atacante finge ser uma autoridade, de maneira que os funcionários passarão a pedir informação para ele, até chegar um ponto que o criminoso extraíra informações valiosas sem que ninguém desconfie.

Footprint: Essa técnica tem por objetivo maior descobrir informações a respeito de algumas tecnologias usadas pela empresa, referentes principalmente ao acesso remoto, Internet e extranet. Essa técnica utiliza-se de softwares especiais para coletar as informações desejadas e é normalmente utilizada quando o invasor não consegue absorver as informações desejadas através de outras técnicas de persuasão devido à falta de conhecimento por parte das vítimas a respeito do assunto desejado pelo invasor.

Vasculhamento do lixo: Por incrível que pareça, o vasculhamento do lixo da empresa é um dos grandes métodos usados por esses criminosos para conseguirem acessar informações sensíveis, pois muitas empresas não se preocupam com o destino do seu lixo ou sequer utilizam máquinas fragmentadoras ou trituradoras de papel para que os diversos documentos sigilosos não sejam recuperados por pessoas mal intencionadas.

Olhar pessoas digitando: Essa técnica tem por objetivo descobrir as senhas das pessoas enquanto elas digitam no teclado.

Programação neurolinguística: Essa técnica se baseia em imitar o jeito de ser da vítima como, por exemplo, sua maneira de falar, se expressar, gestos e entre outros, por um determinado tempo para assim confundi-la, de maneira a formar certa intimidade, deixando a vítima pensar que está no comando da situação. Até que a partir de certo momento, o engenheiro social passa a comandar o dialogo sem que a vítima sequer perceba, capturando assim as informações desejadas.

Kevin Mitnick também ressalta que:

É prática comum pedir que um colega ou subordinado faça um favor. Os engenheiros sociais sabem como explorar o desejo natural das pessoas de ajudar e fazer parte de uma equipe. Um atacante explora esse traço humano positivo para enganar empregados desavisados para que executem ações que o coloquem mais perto de seu objetivo. É importante entender esse conceito simples para que você reconheça quando outra pessoa está tentando manipulá-lo. (MITNICK; SIMON, 2003, p. 163).

A tabela abaixo exibe as áreas de risco da empresa, a tática do invasor e a respectiva estratégia de combate, para assim evitar ser mais uma vítima.

Área de Risco

Tática do invasor

Estratégia de Combate

Suporte de Informática Representação e persuasão Desenvolver na empresa uma política de mudança frequente de senhas e treinar os demais funcionários para nunca passarem senhas ou outras informações confidenciais por telefone;
Entrada de edifícios Acesso físico não autorizado; Treinar os funcionários da segurança para não permitirem o acesso de pessoas sem o devido crachá de identificação e mesmo assim fazer uma verificação visual;
Escritórios Caminhar pelo ambiente; Não digitar senhas na presença de pessoas estranhas, a não ser que você consiga fazer isso rapidamente;
Suporte telefônico Usar de disfarces na hora de solicitar ajuda aos atendentes, geralmente se passando por outra pessoa; Os atendentes devem solicitar sempre um código de acesso, para só então prestarem o suporte solicitado;
Escritórios Caminhar pelos corredores à procura de salas desprotegidas; Todos os visitantes devem ser acompanhados por um funcionário da empresa;
Sala de correspondência Inserção de mensagens falsas; Fechar e monitorar a sala de correspondência;
Sala dos servidores Instalam programas analisadores de protocolo para conseguirem informações confidenciais, além da remoção de equipamentos; Manter sala dos servidores sempre trancada, e o inventário de equipamentos atualizado;
Central telefônica Roubar acesso a linhas telefônicas Controlar chamadas para o exterior e para longas distâncias, e recusar pedidos de transferências suspeitas;
Internet e intranet Criar e/ou inserir programas na Internet ou intranet para capturar senhas; Criar senhas fortes e fazer uso consciente da mesma, alterando-a periodicamente.
Depósito de lixo Vasculhar o lixo; Guardar o lixo da empresa em lugar seguro, triturar todo tipo de documento, e destruir todo o tipo de mídia magnética fora de uso;

COMO EVITAR

Quase todos esses ataques poderiam ser evitados se o empregado alvo seguisse estas etapas:

• Verificar a identidade da pessoa para ter certeza se ela é realmente quem diz ser.

• Certificar se a pessoa realmente possui autorização.

• Ficar sempre atento ao ser abordado por alguém, principalmente se você não conhece a pessoa. Independente se a abordagem foi feita através do telefone, carta ou e-mail, não forneça informações sensíveis, pessoais ou até mesmo da organização onde trabalha.

• Não clicar em links antes de verificar a autenticidade da solicitação. Várias são as vítimas de e-mails falsos. Para não ser mais uma vítima dessa armadilha, entre em contato com a fonte da solicitação seja ela uma pessoa, empresa, órgão público e etc.

• A melhor coisa a fazer enquanto estiver navegando na Web é ser cauteloso e manter o antivírus e detectores de pragas virtuais em geral sempre atualizados.

• Escolher senhas fortes e não compartilhar com outras pessoas.

CONCLUSÃO

A maioria dos incidentes envolvendo a segurança da informação está diretamente ligada ao fator humano, pois este está totalmente relacionado com a segurança da informação. A segurança da informação tem um inicio e termina nas pessoas. Segurança da informação está mais relacionada com processos do que com a própria tecnologia. Por isso não adiantará nada investir pesado em tecnologia e deixar de lado o fator humano. A conscientização é fundamental, sem ela a empresa corre um risco enorme, pois as vulnerabilidades humanas são evidentes e bem exploradas pelos engenheiros sociais.

O próprio Mitnick considerado o maior especialista em engenharia social do qual se tem notícias, em uma das suas raras vindas ao Brasil no final do ano de 2003, concedeu uma entrevista para a Information Week Brasil, onde declarou que foi vítima de engenharia social ao receber uma ligação de um jornalista dizendo que havia conversado com seu editor. Desatento, Mitnick confiou na palavra do jornalista e deu uma entrevista sobre o livro. Depois, quando a reportagem foi publicada o editor de Mitnick ligou para ele furioso, pois toda a estratégia para o lançamento do livro The Art of Deception (A arte de enganar) havia sido prejudicada por causa da entrevista, que o editor não havia autorizado.

Não existe solução técnica para engenharia social. É realmente preciso ter noção dos riscos de cada atitude e tentar confirmar a autenticidade de tudo – seja de um bilhete, de um torpedo promocional, de um e-mail, de um panfleto ou de uma chamada telefônica. Como será possível confirmar essa autenticidade dependerá das ferramentas e informações disponíveis. Mas, sabendo dos riscos de ser enganado, pender para a dúvida e desconfiar pode não ser uma má ideia. Esteja sempre atento!

REFERÊNCIAS E RECOMENDAÇÕES DE LEITURAS:

– Livro “A Arte de Enganar” – Kevin Mitnick

– Palestra – DefHack #8 – A Arte de Enganar com a Engenharia Social – http://www.youtube.com/watch?v=YYpD2JvGWxI

http://www.cert.br

http://g1.globo.com/platb/seguranca-digital/category/coluna/

http://monografias.brasilescola.com/computacao/seguranca-informacao-vs-engenharia-social-como-se-proteger.htm

http://www.tecmundo.com.br/msn-messenger/1078-cuidado-com-a-engenharia-social.htm


maio 2021
S T Q Q S S D
 12
3456789
10111213141516
17181920212223
24252627282930
31  

Siga-nos