jul 6 2012

Segurança – Engenharia Social

Segurança:

Estado de proteção, em que estamos “livres” de perigos e incertezas.

Segurança da informação é o processo de proteger a informação de diversos tipos de ameaças externas e internas para garantir a continuidade dos negócios, minimizar os danos aos negócios e maximizar o retorno dos investimentos e as oportunidades de negócio.Segurança se faz protegendo todos os elos da corrente, ou seja, todos os ativos (físicos, tecnológicos e humanos) que compõem seu negócio.

Na grande maioria das vezes o elo mais vulnerável dessa corrente, trata do fator humano. Neste contexto, irei abordar  através de três tópicos, um pouco sobre Engenharia Social!


O que e quais são as características e os tipos de engenharias sociais no contexto de segurança de sistemas?

Engenharia Social é a ciência que estuda como o conhecimento do comportamento humano pode ser utilizado para induzir uma pessoa a atuar segundo seu desejo. Não se trata de hipnose ou controle da mente, as técnicas de Engenharia Social são amplamente utilizadas por detetives (para obter informação) e magistrados (para comprovar se um declarante fala a verdade). Também é utilizada para lograr todo tipo de fraudes, inclusive invasão de sistemas eletrônicos.

Abaixo, são mostrados os tipos de engenharias sociais:

  • Telefone ou VolP (voz sobre IP) – passar-se por alguém que não é seria um dos típicos ataques de engenharia social, como na personificação – help-desk;
  • Internet (coleta de informações) – como, por exemplo, sites que fornecem id;
  • Intranet (acesso remoto) – Por exemplo, por acesso remoto, capturando-se o micro de determinado usuário da rede e se passando por alguém que na verdade não é.
  • E-mail – (Fakemail, e-mails falsos, os famosos phishing scam);
  • Pessoalmente (In Person Social Engineering) – poder de persuasão, habilidade em saber conversar, tipo de ataque mais raro.
  • Chats (bate papo) – Fazer-se passar por alguém que na verdade não é fica muito mais fácil pelos canais de bate-papo.
  • Fax – Primeiramente, obter o número do fax da pessoa física ou jurídica para que se possa começar o ataque.
  • Cartas/correspondência  – Não é o meio mais moderno sem dúvida, mas, acredite, é um recurso poderoso que faz como uma das maiores vítimas as pessoas mais velhas.
  • Spyware  – Software “espião” usado para monitorar de modo oculto as atividades do computador de um alvo;
  • Mergulho no lixo (“Dumpster diving”) –  Várias coisas que são descartadas para o lixo muitas vezes contêm informações essenciais ao suposto engenheiro social;
  • Surfar sobre os ombros – É o ato de observar uma pessoa digitando no teclado do computador para descobrir e roubar sua senha ou  outras informações de usuário.

 Como evitar ataques provocados por engenharias sociais?

É importante salientar que, independente do hardware, software e plataforma utilizada, o elemento mais vulnerável de qualquer sistema é o ser humano, o qual possui traços comportamentais e psicológicos que o torna susceptível a ataques de engenharia social. No entanto, existem mecanismos através dos quais uma organização pode implementar a fim de detectar e prevenir ataques de engenharia social. Tais medidas visam, principalmente, atenuar a participação do componente humano. Essas medidas compreendem:

  • Educação e Treinamento – Importante conscientizar as pessoas sobre o valor da informação que elas dispõem e manipulam, seja ela de uso pessoal ou institucional. Informar os usuários sobre como age um engenheiro social.
  • Segurança Física – Permitir o acesso a dependências de uma organização apenas às pessoas devidamente autorizadas, bem como dispor de funcionários de segurança a fim de monitorar entrada e saída da organização.
  • Política de Segurança – Estabelecer procedimentos que eliminem quaisquer trocas de senhas. Por exemplo, um administrador jamais deve solicitar a senha e/ou ser capaz de ter acesso a senha de usuários de um sistema. Estimular o uso de senhas de difícil descoberta, além de remover contas de usuários que deixaram a instituição.
  • Controle de Acesso – Os mecanismos de controle de acesso tem o objetivo de implementar privilégios mínimos a usuários a fim de que estes possam realizar suas atividades. O controle de acesso pode também evitar que usuários sem permissão possam criar/remover/alterar contas e instalar software danosos a organização.

Exemplo de Engenharia Social

Kevin Mitnick, um dos hackers mais famosos do mundo, em seu livro: A Arte de Enganar, Mitnick chama de engenharia social a habilidade de se manipular pessoas para obter informações necessárias para conseguir acessar um sistema, roubar dados de bancos ou qualquer outra coisa.

Exemplo:

“Um usuário recebe uma mensagem e-mail, onde o remetente é o gerente ou alguém em nome do departamento de suporte do seu banco. Na mensagem ele diz que o serviço de Internet Banking está apresentando algum problema e que tal problema pode ser corrigido se o usuário executar o aplicativo que está anexado à mensagem. A execução deste aplicativo apresenta uma tela análoga àquela que o usuário utiliza para ter acesso à conta bancária, aguardando que você digite sua senha. Na verdade, este aplicativo está preparado para furtar à senha de acesso a conta bancária e enviá-la para o atacante.”

Neste caso, podemos observar que foi explorada a falha humana, de confiar e abrir um e-mail deste tipo.

Conhece alguma situação parecida?

Anúncios
por italodiego
0

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Gravatar
Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Cancelar

Conectando a %s