No-Tech Hacking e Engenharia Social
E ai pessoal, vamos dar continuidade com nossa série de posts sobre o básico da Segurança da Informação. O tópico de hoje é a engenharia social e todos os outros métodos conhecidos como No-Tech hacking. No-Tech Hacking é o termo utilizado para ataques voltados para computadores, infraestruturas ou até mesmo o usuário, sem necessariamente usar de tecnologia para isso. Veremos alguns exemplos daqui a pouco.
Engenharia Social
Segundo a Wikipedia, engenharia social é:
Em Segurança da informação, chama-se Engenharia Social as práticas utilizadas para obter acesso a informações importantes ou sigilosas em organizações ou sistemas por meio da enganação ou exploração da confiança das pessoas. Para isso, o golpista pode se passar por outra pessoa, assumir outra personalidade, fingir que é um profissional de determinada área, etc. É uma forma de entrar em organizações que não necessita da força bruta ou de erros em máquinas. Explora as falhas de segurança das próprias pessoas que, quando não treinadas para esses ataques, podem ser facilmente manipuladas.
Basicamente, como explicado acima, engenharia social é a técnica que ataca o conhecido "elo mais fraco da corrente", o usuário. Se você pretende se aprofundar um pouco mais nesta nobre arte veja os posts Pentest Físico, onde falo um pouco sobre o Tiger Team, um grupo de pentesters que usa de engenharia social para invadir lugares altamente seguros, a indicação do livro Social Engineering: The Art of Human Hacking, e um pequeno exemplo demonstrado no livro, e o filme baseado na captura de um dos maiores se não o maior engenheiro social de todos os tempos Kevin Mitnick.
Mas para os preguiçosos, vou deixar aqui um exemplo que se não me engano foi o Luiz Vieira que deu em uma palestra no SegInfo.
Veja como é fácil entrar em uma empresa, onde na porta de entrada tem um dispositivo de segurança como um leitor de digital ou cartão. O ser humano tem quase como instinto ajudar um semelhante. Se alguém da empresa está na porta e você chegar com uma caixa grande aparentando ser algo pesado, após a pessoa se autenticar e passar ela vai se dispor a segurar a porta para você entrar e nisso ela acaba comprometendo a segurança física da empresa, isso se chama tailgating.
Outro exemplo bem interessante é uma livraria. Você entra com uma sacola da livraria e sem que ninguém perceba pega um livro da prateleira e coloca na sacola e se dirige ao caixa. Ao chegar, com muito bom humor cumprimenta a pessoa que está no caixa e diz que ganhou este livro e que não gostou ou já tinha e que gostaria de trocar. Independente se a resposta for positiva ou negativa, você agradece e sai da livraria. Com isso você acaba de conseguir um livro gratuitamente.
Mas engenharia social não é só isso de ir pessoalmente até o alvo e interagir diretamente com ele, isso é apenas uma das atividades de um engenheiro social. Ataques também podem ser feitos por telefone, veja o filme do Mitnick, ou até mesmo por computador. Você provavelmente já recebeu spam com alguma coisa aleatória informando que você ganhou algo ou que algum orgão importante está te procurando e te sugere clicar num link, isso se chama Phishing. Pishing é outra atividade de um engenheiro social, se passar por uma pessoa ou instituição, chamar sua atenção e fazer você baixar algum arquivo malicioso para acessar seu computador. Esse é um dos métodos mais efetivos e comuns de ataque hoje em dia. Existe também o phishing direcionado, feito especialmente para um alvo em específico, esta técnica é conhecida como Spear Phishing.
Dumpster Diving
O dumpster diving é o ato de literalmente catar no lixo do alvo por informações sensíveis que podem ser usadas em um ataque. Você já parou para olhar o que vai para o lixo e como é tratado o lixo onde você trabalha? Alguém anota uma senha nova num papel e assim que memoriza este papel vai para o lixo. Outro exemplo citado no livro que eu indiquei anteriormente é onde o autor está fazendo uma auditoria e como já vinha sendo feita por outra empresa ele encontrou poucas ou quase nenhuma vulnerabilidade nos sistema da empresa e teve que apelar para o lado mais no-tech. Com uma pequena pesquisada no lixo ele encontrou informações sobre uma terceira empresa que prestava serviços as máquinas no alvo. Até encontrou nomes de funcionários, um cartão da empresa prestadora de serviços e os horários que eles normalmente passavam por lá para conferir os sistemas.
De posse dessas informações o autor ligou para a empresa prestadora de serviços se passando por um funcionário do alvo avisando que fechariam mais cedo naquele dia e que não precisava mandar ninguém naquele dia. No horário que a monitoria deveria acontecer ele se passou pelo funcionário e foi até o alvo, apresentou o cartão achado no lixo e teve acesso irrestrito aos sistemas da empresa, podendo fazer o que fosse necessário para infectar os sistemas.
Lockpicking
Lockpick é a arte de abrir portas, cadeados, e tudo mais que pode ser trancado com uma chave. Com essas ferramentas com com um pouco de estudo sobre os mecanismos de segurança usados em fechaduras você pode ser capaz de abrir qualquer porta trancada ou cadeado que esteja bloqueando seu caminho até a sala do servidor. Sempre que se fala nas lockpicks, conhecidas como michas aqui no Brasil, já se vem a cabeça sobre leis e muitas pessoas alegam ser crime andar com elas por ai e pode te trazer problemas. Teoricamente elas até estejam certas, mas pelo que eu ouvi falar você só vai ter problemas se for visto arrombando alguma porta ou cadeado ou se já tiver passagem pela polícia por algo similar. Em alguns casos, destrancar uma porta pode ser mais simples e valioso do que hackear um sistema.
Proteção
E agora, nem imaginávamos que existisse métodos deste tipo empregados em segurança da informação, como vamos fazer para proteger nossas empresas desse tipo de ataque?
Primeiro de tudo, os funcionários da empresa precisam ser treinados para esse tipo de coisa, mas um pouco de bom senso também vai bem. No caso da porta com autenticação, se você nunca viu a pessoa antes e sabe que para entrar é necessário a autenticação na porta não sinta-se mal em fechar a porta na cara da outra pessoa, por mais que pareça rude pode salvar a empresa de um ataque, ou um dano maior apenas evitando o tailgating. Também é bom prestar a atenção se não tem ninguém olhando quando você digita alguma senha ou informação confidencial. Também não é recomendado conversar sobre assuntos internos de respeito apenas de funcionários em locais públicos. E o mais importante, aprenda a fazer o descarte seguro de suas informações em papel, seja com fragmentadoras de papel ou outra ferramenta.
0 comentários:
Postar um comentário