terça-feira, 5 de novembro de 2013

Existe um artigo recentemente publicado e muito acessado no Network World sobre isso. Esta é a história de como experientes pentesters testaram uma organização européia "segura", usando um ataque de engenharia social bem convincente para se infiltrar na empresa alvo. Não qualquer empresa, mas uma "especializada em offensive cybersecurity e proteção de segredos", de acordo com o artigo.
Os pentesters criaram uma personagem chamada Emily Williams. Criaram perfis para ela como tendo 28 anos e formada no MIT, com 10 anos de experiência na área. Criaram perfis no Facebook e LinkedIn e postaram nos fóruns do MIT com este nome. Resumindo, transformaram a personagem no mais real possível, com conhecimentos que naturalmente atrairiam a atenção de pessoas da empresa.
Nas primeiras 15 horas da existência da Emily, ela já tinha 60 contatos adicionados no Facebook e 55 no LinkedIn da empresa alvo. Em 24 horas ela até já tinha recebido algumas propostas de emprego.
Sendo a mulher sociável que ela demonstrava ser, Emily criou um cartão digital de natal e distribuiu pelos seus perfis nas redes sociais. O cartão continha um payload que dava acesso aos pentesters às máquinas das pessoas que abrissem o cartão. Uma vez dentro da rede da empresa, os atacantes conseguiram permissões administrativas, roubaram senhas e documentos, e instalaram seus softwares. Os pentesters até se depararam com o código fonte dos desenvolvedores. Eles também enviaram uma mensagem falsa de parabéns para o CSO e infectaram sua máquina.
No fim das contas, os pentesters conseguiram atingir suas metas, acessando a rede da empresa teoricamente segura em apenas uma semana, mas eles poderiam sem problemas ficar meses vagando sem serem descobertos para ver o que mais poderiam coletar. Eles basicamente tinham as chaves da cidade.
Este cenário nos dá uma bela lição de engenharia social e confiança. Não faz diferença quão treinados em segurança nos somos, ainda assim vamos confiar em alguém que pode dizer ser outra pessoa, ou parecer ser outra pessoa. Este é também um lembrete que a melhor solução de segurança que existe não vai segurar todos os ataques. As pessoas por trás da Emily poderiam muito bem ser cyber criminosos ou espiões de outras empresas em vez de pentesters contratados.

0 comentários:

Postar um comentário

Subscribe to RSS Feed Follow me on Twitter!