Hackeando CérebrosO Problema do mundo são as pessoas.

Diego Neveshttp://diegoneves.eti.brdiego@mucurilivre.org

diego@diegoneves.eti.brfb.com/diegoaceneves

@diegoaceneves

Sobre mim...

●Analista de Sistemas.●Graduado em Sistemas de Informação.●Amante da Liberdade e de Software Livre.●Amante de Filmes, Animais, Rock e Cerveja.

Segurança da Informação

Segundo a wikipedia:A segurança da informação está relacionada com proteção de

um conjunto de dados, no sentido de preservar o valor que possuem para um indivíduo ou uma organização. São características básicas da segurança da informação os atributos de confidencialidade, integridade, disponibilidade e autenticidade, não estando esta segurança restrita somente a sistemas computacionais, informações eletrônicas ou sistemas de armazenamento. O conceito se aplica a todos os aspectos de proteção de informações e dados. O conceito de Segurança Informática ou Segurança de Computadores está intimamente relacionado com o de Segurança da Informação, incluindo não apenas a segurança dos dados/informação, mas também a dos sistemas em si.

Engenharia Social

Segundo a wikipedia:Em Segurança da informação, chama-se Engenharia Social as

práticas utilizadas para obter acesso a informações importantes ou sigilosas em organizações ou sistemas por meio da enganação ou exploração da confiança das pessoas. Para isso, o golpista pode se passar por outra pessoa, assumir outra personalidade, fingir que é um profissional de determinada área, etc. É uma forma de entrar em organizações que não necessita da força bruta ou de erros em máquinas. Explora as falhas de segurança das próprias pessoas que, quando não treinadas para esses ataques, podem ser facilmente manipuladas.

Resumindo:

A arte de fazer com que pessoas façam coisas que normalmente não fariam para um estranho -

e sendo pago para fazer isso.Kevin D. Mitnick

Como Atacam:● Atacam o lado mais fraco do sistema (o fator humano).● Mostra-se prestativo e se torna confiável.● Passa-se por alguém da empresa que nunca foi visto, como um secretário de um dos diretores.● Intercala em seu questionamento, perguntas inofensivas, para não levantar suspeita, usando alguns termos técnicos e jargões comuns.

Por que atacar o fator humano?

● Muitas empresas investem muito dinheiro na parte de segurança, Hardwares, Softwares, Câmeras...Ou seja, o invasor gastaria muito tempo ($$)

para conseguir acessar a informação que necessita.● O Investimento em treinamento pessoal quase nunca é levado a sério.Muitas vezes só é preciso pedir com jeitinho...

Vamos Atacar?

● Levantando os dados da vítima:● Nomes de Domínios e Ips

● WhoIs: Cadastro de registros endereços eletrônicos: ● http://registro.br● :~/$ whois

Tipos de Ataque

● Ataques por Ego● Ataques por Simpatia● Ataques por Intimidação● Análise do Lixo● Invasão de Instalações

Ataques por Ego

● O Atacante apela para as características humanas mais básicas, o ego e vaidade.

"A vaidade é meu pecado predileto!". (Devil, The - The Devil Advocate)

● O Atacante se coloca como um receptivo ouvinte que as vítimas possuem para mostrar o quanto sabem.● As vítimas normalmente são pessoas que se sentem desvalorizadas na empresa.● Na maioria dos casos, as vÍtimas não tem ideia de que fizeram algo errado.

Ataques por Simpatia

● O atacante finge ser um funcionário camarada, geralmente recém-contratado, com um problema real e urgente, a urgência faz com que a vítima não tenha tempo para seguir todos os procedimentos de segurança.

Ataques por Intimidação

● O atacante se passa por alguém de autoridade ou influência no cenário em questão, ou ainda um agente da lei. Cria razões plausíveis, para fazer algum pedido como troca de senha ou alguma alteração em conta de usuários. Caso encontre resistência por parte da vítima, tenta uma intimidação por parte de sanções contra ela, como demissão ou prisão.

Analise de Lixo

● Muitos empregados não dão importância para o que jogam fora, não sabendo o valor de todas as anotações, senhas, tarefas feitas, compromissos marcados...● Isso é um prato cheio para quem tem acesso ao lixo empresarial.

Invasão das Instalações

● É possível que o invasor tenha acesso físico a empresa, analisando o fluxo de pessoal, conseguindo uniformes, conversando com pessoas nos pontos de ônibus● Se passando por pessoal de empresas terceirizadas, como limpeza, manutenção de ar-condicionado, etc...

E se eu não sou um bom ator?

● Ataques virtuais costumam dar muito certo...● Conversas em Chats● FakeMail● Redes Sociais

Boas Práticas de Segurança

Gerais:● Sempre relatar ligações suspeitas.● Utilização de crachás de identificação.● Destruir documentos sigilosos (triturador ou incinerar).● Utilização de identificação pessoal.● Nunca divulgar informações.

Boas Práticas de Segurança

Uso do Computador● Funcionários nunca devem inserir comandos ou baixar e instalar aplicativos solicitados por terceiros.● Nunca divulgar nomes internos de sistemas, BDs.● Nunca enviar senhas via e-mail.● Controle de Acessos com hierarquia de prioridades.● Nunca inserir nenhuma mídia de origem desconhecida (pendrive, cd, etc).● Funcionários devem assinar contrato de confidencialidade.

Considerações Finais

● A Engenharia Social explora o lado mais frágil do sistema.● Na grande maioria das vezes, o atacado só descobre o que aconteceu quando já não é mais possível corrigir a falha.● A atenção sempre constante pode evitar muitas falhas, ter um pouco de maldade não faz mal a ninguém.

Perguntas?

Diego Neveshttp://diegoneves.eti.brdiego@mucurilivre.org

diego@diegoneves.eti.brfb.com/diegoaceneves

@diegoaceneves