cultura, política e engenharia social: revelando algumas ...
AP Tisafe Engenharia Social
-
Upload
leoskinner -
Category
Documents
-
view
218 -
download
0
description
Transcript of AP Tisafe Engenharia Social
TTéécnicas de Engenharia Socialcnicas de Engenharia Social
www.tisafe.com
Termo de IsenTermo de Isençção de Responsabilidadeão de Responsabilidade
A TI Safe não se responsabiliza pelo mal uso das informações
aqui prestadas
Aproveite esta apresentação para ampliar seus conhecimentos
em Segurança da Informação e usá-los com responsabilidade.
www.tisafe.com
AgendaAgenda
•Engenharia SocialDefinições
O Engenheiro Social
Tipologia dos atacantes
•Riscos à Segurança da Informação
•O Fator Humano
•Por que a Engenharia Social funciona?
•Seqüência de um ataqueLevantamento de dados da vítima
•Tipos de AtaqueAtaques no Mundo Real
Ataques pela Internet
•Defesas contra ataques de Eng. Social
www.tisafe.com
DefiniDefiniççõesões
“Tentativas, com sucesso ou não, de influenciar pessoas em revelar informações ou agir de uma determinada maneira que resulte em acesso não autorizado a, ou uso não autorizado de, ou liberação não autorizada de um sistema, rede ou dados”
CISSP Official Guide
“ A arte de fazer com que pessoas façam coisas que normalmente não fariam para um estranho – e sendo pago para fazer isto”
Kevin D. Mitnick
www.tisafe.com
O Engenheiro SocialO Engenheiro Social
Ataca o lado mais fraco do sistema
Torna-se confiável
Passa-se por um colega de trabalho que nunca foi
visto, secretário de um superior...
Mistura em seu questionário perguntas inofensivas
para não levantar suspeitas (parte do princípio
que para saber, basta perguntar na maioria das
vezes)
Mais do que uma pessoa de tecnologia, é um
mestre nas relações interpessoais
www.tisafe.com
Tipologia dos atacantesTipologia dos atacantes
www.tisafe.com
Quem pode atacar a rede?Quem pode atacar a rede?
www.tisafe.com
AgendaAgenda
Engenharia SocialDefinições
O Engenheiro Social
Tipologia dos atacantes
Riscos à Segurança da Informação
O Fator Humano
Por que a Engenharia Social funciona?
Seqüência de um ataqueLevantamento de dados da vítima
Tipos de AtaqueAtaques no Mundo Real
Ataques pela Internet
Defesas contra ataques de Eng. Social
www.tisafe.com
RelatRelatóório do rio do GartnerGartner, 2005, 2005
www.tisafe.com
Impacto das violaImpacto das violaçções de seguranões de seguranççaa
www.tisafe.com
Pesquisa do CSI/FBI 2005Pesquisa do CSI/FBI 2005
www.tisafe.com
Vulnerabilidades de redeVulnerabilidades de rede
www.tisafe.com
AgendaAgenda
Engenharia SocialDefinições
O Engenheiro Social
Tipologia dos atacantes
Riscos à Segurança da Informação
O Fator Humano
Por que a Engenharia Social funciona?
Seqüência de um ataqueLevantamento de dados da vítima
Tipos de AtaqueAtaques no Mundo Real
Ataques pela Internet
Defesas contra ataques de Eng. Social
www.tisafe.com
Pessoas confiam demais...Pessoas confiam demais...
www.tisafe.com
O elo mais fraco das empresas: o fator humanoO elo mais fraco das empresas: o fator humano
O Fator humano é o elo mais fraco da segurança
Na maioria dos casos, os engenheiros sociais só precisam “pedir” as senhas às pessoas corretas
De nada adiantam investimentos em soluções de segurança se não treinarmos os funcionários contra engenharia social
Objetivo de um engenheiro social: encontrar um modo de enganar um usuário de confiança para que ele revele informações ou...
Enganar alguém importante para que ele forneça o acesso desejado
www.tisafe.com
AgendaAgenda
Engenharia SocialDefinições
O Engenheiro Social
Tipologia dos atacantes
Riscos à Segurança da Informação
O Fator Humano
Por que a Engenharia Social funciona?
Seqüência de um ataqueLevantamento de dados da vítima
Tipos de AtaqueAtaques no Mundo Real
Ataques pela Internet
Defesas contra ataques de Eng. Social
www.tisafe.com
Por que a Engenharia Social funciona?Por que a Engenharia Social funciona?
Natureza Humana
Ambiente de Trabalho
www.tisafe.com
Natureza HumanaNatureza Humana
Pessoas confiam e cooperam por natureza
Quase toda pessoa pode ser influenciada a agir de uma maneira específica e divulgar informações
Pessoas que possuem autoridade (ou aparentam possuir) intimidam outras pessoas
www.tisafe.com
Ambiente de TrabalhoAmbiente de Trabalho
Constantes fusões e aquisições de empresas e avanços na tecnologia facilitam a engenharia social nas empresas
Hoje pessoas trabalham em cooperação com outras que nunca viram pessoalmente através de SKYPE, MSN e outros
www.tisafe.com
AgendaAgenda
Engenharia SocialDefinições
O Engenheiro Social
Tipologia dos atacantes
Riscos à Segurança da Informação
O Fator Humano
Por que a Engenharia Social funciona?
Seqüência de um ataqueLevantamento de dados da vítima
Tipos de AtaqueAtaques no Mundo Real
Ataques pela Internet
Defesas contra ataques de Eng. Social
www.tisafe.com
SequênciaSequência de um ataquede um ataque
www.tisafe.com
Selecionando AlvosSelecionando Alvos
www.tisafe.com
Levantamento de dados da vLevantamento de dados da víítimatima
Tão importante quanto o ataque é saber como fazê-lo e contra quem
O que procurar?
•Nomes de domínios e endereços IP
•Serviços “disponíveis”
•Arquitetura da rede
•Mecanismos de controle de acesso
•Sistemas de detecção de intrusos (IDSs)
•Listagem de usuários, logins, senhas e permissões
•Mecanismos de autenticações (VPNs, Intranets...)
www.tisafe.com
whoiswhois
Cadastro dos registros de endereços eletrônicos
Dá as seguintes informações do registrado:
– Nome do domínio
– Razão social ou nome
– Registro (CNPJ, CPF...)
– Endereço completo
– Telefone
– Status do servidor DNS
– Contato do administrador
www.registro.brwww.arin.net/whois*
www.tisafe.com
TelelistasTelelistas e 102 e 102 TelemarTelemar
www.tisafe.com
TelelistasTelelistas e 102 e 102 TelemarTelemar
www.tisafe.com
TelelistasTelelistas e 102 e 102 TelemarTelemar
www.tisafe.com
TelelistasTelelistas e 102 e 102 TelemarTelemar
www.tisafe.com
OrkutOrkut
www.tisafe.com
OrkutOrkut
www.tisafe.com
Perigos do Perigos do OrkutOrkut
Responsabilidade Legal: se um desconhecido obtiver acesso à suasenha e seu perfil, poderá agir em seu nome, enviando mensagens, criando comunidades e assim, podendo cometer crimes de apologia às drogas, à pedofilia ou ainda crime de racismo e muitos outros.
Roubo de Identidade: sem a existência de processos fortes de identificação e autenticação de novos usuários quando da criação de novos perfis e comunidades, nada impede que alguém crie um novo perfil copiando e utilizando suas fotos, seu nome, seus dados pessoais e detalhes de sua vida acessíveis através do perfilverdadeiro.
Crime Contra a Honra: ainda de posse de acesso à edição de seuperfil, o fraudador pode se inserir em comunidades que indiquemdistúrbios de comportamento, opções sexuais, gostos duvidosos e assim, associar você a interesses que influenciem no julgamento queseus amigos fazem de você e de sua honra.
www.tisafe.com
Perigos do Perigos do OrkutOrkut (cont.)(cont.)
Chantagem: expondo detalhes demais de sua vida e de sua família, você podeestar potencializando os golpes de chantagem, seqüestro falso ou qualqueroutro em que conhecer o nome de seus familiares ou simplesmente ondepassou suas últimas férias, poderá fazê-lo acreditar na veracidade do golpee assim, ser alvo fácil.
Fraude Financeira: em função do conceito primário da rede de herança de confiança entre amigos, onde o amigo de um grande amigo seu passa a ter, supostamente, a sua confiança, você poderá ser levado a acreditarcegamente nele, sem, no entanto se lembrar de que não existe nenhumcritério sério de avaliação e aceitação de amigos na rede. Desta forma, pedidos falsos de ajuda financeira, caridade ou qualquer outro passam a tergrandes índices de aceitação.
Phishing: a rede de relacionamentos pode até nem ser o ambiente de um golpe, mas sim uma fonte de informações valiosas para viabilizar outrosgolpes como o phising via email. Um email de phishing com um link falsomencionando dados e fatos pessoais será sem dúvida muito mais eficaz aopersuadi-lo.
www.tisafe.com
Sites com baixa proteSites com baixa proteçção a dados de usuão a dados de usuááriosrios
www.tisafe.com
Pesquisa por CurrPesquisa por Curríículosculos
www.tisafe.com
Dados completamente expostos...Dados completamente expostos...
www.tisafe.com
AgendaAgenda
Engenharia SocialDefinições
O Engenheiro Social
Tipologia dos atacantes
Riscos à Segurança da Informação
O Fator Humano
Por que a Engenharia Social funciona?
Seqüência de um ataqueLevantamento de dados da vítima
Tipos de AtaqueAtaques no Mundo Real
Ataques pela Internet
Defesas contra ataques de Eng. Social
www.tisafe.com
Ataques de Engenharia SocialAtaques de Engenharia Social
www.tisafe.com
Ataques no mundo realAtaques no mundo real
Ataques por Ego
Ataques por Simpatia
Ataques por Intimidação
Análise do Lixo
Invasão de Instalações
www.tisafe.com
Ataques por EgoAtaques por Ego
O atacante apela para as características humanas mais básicas, o ego e a vaidade
O atacante se coloca como um receptivo ouvinte que as vítimas possuem para mostrar o quanto sabem
As vítimas normalmente são pessoas que se sentem desvalorizadas na empresa
Na maioria dos casos, as vítimas não tem idéia de que fizeram algo errado
www.tisafe.com
Estudo de caso: O CaEstudo de caso: O Caçça Promoa Promoççõesões
O Invasor entra numa empresa dizendo ter uma reunião marcada com um funcionário (que ele já sabe o nome, pesquisado anteriormente)
Elogia o trabalho da secretária que o recebeu e a faz perceber o quanto é útil
Se aproveitando deste elogio, pede à secretária para usar a Internet da sala de reunião
A secretária permite e, em menos de 15 minutos, ele já havia roubado os dados da empresa que precisava
www.tisafe.com
Ataques por SimpatiaAtaques por Simpatia
O atacante finge ser um funcionário camarada (usualmente um recém-contratado), um tercerizado, ou um novo empregado de um parceiro estratégico da empresa, que aparenta estar com um problema real e precisa de ajuda imediata para tarefas que tem que ser realizadas com urgência.
O senso de urgência é normalmente parte do cenário pois isto fornece a desculpa para que os procedimentos corretos de segurança sejam burlados por seus “amigos”de trabalho.
www.tisafe.com
Estudo de caso: Obtendo o nEstudo de caso: Obtendo o núúmero do cartãomero do cartão
O Invasor liga para a vítima pedindo ajuda e dizendo ser um amigo da outra filial da mesma empresa
Repete os pedidos de ajuda por várias vezes, sempre sendo muito amistoso e agradável
Inventa um acidente que deixou sua empresa sem Internet e acesso ao banco de dados de clientes
Pede para que a amiga da outra loja verifique os dados de um cliente específico (a vítima) e ela lhe passa todos os dados, inclusive o número do cartão de crédito
www.tisafe.com
Ataques por IntimidaAtaques por Intimidaççãoão
O atacante finge ser uma pessoa com autoridade na empresa, ou uma pessoa influente na organização ou, em alguns casos, um agente da lei
O Atacante cria razões plausíveis para fazer algum tipo de pedido como reinicialização de senha, alterações em contas de usuários, acesso a sistemas ou a informações sensíveis
Se o atacante for encarado com resistência pela vítima, ele tentará intimidá-lo com sanções contra ela, seja a demissão ou a prisão.
www.tisafe.com
Estudo de caso: O Sr. BIGG quer isso!Estudo de caso: O Sr. BIGG quer isso!
O Invasor liga para um funcionário da empresa-alvo dizendo ser de uma empresa de consultoria subcontratada
O Invasor pede ao funcionário o envio, com máxima urgência, de um relatório sigiloso, e informa que este é um pedido do CEO da empresa
O Funcionário, com medo de não atender a um pedido do CEO, entrega o relatório pedido
www.tisafe.com
AnAnáálise do Lixolise do Lixo
A Maioria das pessoas não dá atenção para aquilo que estão descartando
Relatórios, contas pessoais, senhas, anotações de tarefas e relacionadas com o trabalho, tudo é descartado
Os empregados tem que ter consciência que invasores olham o lixo para obter informações com as quais possam se beneficiar
www.tisafe.com
O Lixo de uma empresa pode guardar documentos com informações sensíveis. No caso foi encontrado papel
com usuário e senha anotados
AnAnáálise do Lixolise do Lixo
www.tisafe.com
Caso real: AnCaso real: Anáálise de Lixolise de Lixo
www.tisafe.com
Senhas anotadasSenhas anotadas
www.tisafe.com
1/3 dos funcion1/3 dos funcionáários anotam senhasrios anotam senhas
www.tisafe.com
Invasão de instalaInvasão de instalaççõesões
É possível usar truques da engenharia social para invadir instalações físicas de empresas
Neste caso o invasor se faz passar por um funcionário da empresa de forma tão convincente que até mesmo as pessoas que se preocupam com segurança são enganadas
Ex-funcionários podem guardar credenciais que os permitam entrar de novo na empresa
A Invasão também pode ser feita através de empresas terceiras (limpeza, consultores, etc)
www.tisafe.com
Caso real: Invasão de InstalaCaso real: Invasão de Instalaççõesões
www.tisafe.com
Ataques pela InternetAtaques pela Internet
Ataques por Vírus
Ataques por SCAM
Ataques por Chat
Ataques pelo Orkut
www.tisafe.com
Ataques por VAtaques por Víírusrus
Normalmente feitos através de e-mail ou via serviço de troca instantâneade mensagens (MSN, Skype, etc)
O texto da mensagem procura atrair a atenção, seja por curiosidade, porcaridade ou pela possibilidade de obter alguma vantagem(normalmente financeira)
O texto da mensagem também pode indicar que a não execução dos procedimentos descritos acarretarão conseqüências mais sérias, como, a inclusão do nome no SPC/SERASA, o cancelamento de um cadastro, da conta bancária ou do cartão de crédito, etc.
A mensagem, então, procura induzir a vítima a clicar em um link, parabaixar e abrir/executar um arquivo que instalará o vírus ou keyloggerem seu computador.
A maioria dos ataques por vírus faz uso de uma técnica comum entre hackers que visa embutir arquivos dentro de outros, o Additional Data Stream
www.tisafe.com
TTéécnica cnica AdditionalAdditional Data Data StreamStream (ADS)(ADS)
• As Additional Data Streams são também conhecidas como AlternateData Streams e Multiple Data Streams.
• Elas foram criadas originalmente para que dados para a descrição dos arquivos [Meta Data] pudessem ser inseridos facilmente no disco.
• Elas estão disponíveis em qualquer disco formatado com o NTFS, destemodo nada do que está aqui se aplica para FAT ou para Windows 9x/ME.
• Cada arquivo ou pasta, que está presente na Stream principal, podepossuir várias streams ‘adicionais’.
•Cada stream adicional tem um nome, que pode ser qualquer coisa.
www.tisafe.com
ADS no WindowsADS no Windows
O Windows cria ADS quandovocê insere dados de descrição no arquivo.
Clique com o botão direito emqualquer arquivo, então clique em Propriedades e procure pela aba Resumo.
www.tisafe.com
ADS na PrADS na Prááticatica
Crie uma pasta com o nome de Streams na sua unidade C:\. Agora abra um Prompt de Comandoe digite o seguinte:
CD C:\streams Depois de cada comando, aperte a tecla ENTER para confirmar. Você deve estar agora na pasta C:\streams>. Digite o seguinte comando:
echo conteudo normal > ads.txtAgora abra o arquivo C:\streams\ads.txt no Bloco de Notas. Você deve ver o ‘conteudo normal’ na
tela. Feche o Bloco de Notas e volte para o Prompt de Comando e digite: dir
Temos o ads.txt com 18 bytes
www.tisafe.com
ADS na PrADS na Práática (Cont.)tica (Cont.)
Agora digite o seguinte comando no Prompt: echo conteudo em ads > ads.txt:simples
Os dois pontos separam o nome do arquivo do nome da ADS. No nosso caso, criamos uma stream adicional com o nome de simples. Agora o arquivoads.txt possui uma stream chamada ’simples’ ligada a ele. Abra novamenteo arquivo no Bloco de Notas e você deve ver somente o “conteudo normal”ainda. Digite novamente o comando dir:
dir
Sim, 18 bytes. O tamanho do arquivoainda não foi modificado.
www.tisafe.com
ADS na PrADS na Práática (Cont.)tica (Cont.)
Agora tente o seguinte comando no Prompt: more < ads.txt:simples
Isso mesmo! Você tem o conteúdo da sua ADS, simples, na tela. Se você olharno Windows Explorer não poderá ver qualquer diferença se o arquivo possuiou não um ADS, sendo necessário apagar o ads.txt para remover a stream.
www.tisafe.com
ADS na PrADS na Práática (Final)tica (Final)
Note que as ADS podem possuir mais do que texto, inclusive, códigoexecutável (programas).
Como o Windows não possui nenhum programa para lidar com ADS, trojans começaram a utilizar ADS para dificultar sua remoção, assim se adicionando como ADS em arquivos cruciais aoWindows.
Desta forma não basta apenas remover o arquivo infectado, énecessário o uso de ferramentas adicionais, o que aumenta o trabalho e o tempo gastos para a resolução do problema.
www.tisafe.com
Caso real de ataque por VCaso real de ataque por Víírusrus
www.tisafe.com
Ataques por SCAMAtaques por SCAM
O scam (ou "golpe") équalquer esquema ouação enganosa e/oufraudulenta que, normalmente, tem comofinalidade obtervantagens financeiras.
O Atacante faz uso de ferramentas de fake mail, ou contas de usuários falsos
www.tisafe.com
FakeFake MailMail
É a técnica de se enviar e-mails “falsos” se fazendo passar poroutra pessoa.
Pode ser realizado por clientes instalados na máquina ouatravés de web sites
Geralmente, o servidor de envio de e-mails de um provedor(SMTP) faz algumas checagens antes de enviar um e-mail. Checa se o endereço IP realmente pertence ao provedor e se a pessoa que está mandando a mensagem estáconectada ali (é raro servidores de envio de e-mail suportarem relay, que é permitir que pessoas de fora do provedor consigam mandar mensagens).
Existem servidores SMTP que permitem relay, e ainda garantemo anonimato. É uma questão de pesquisar.
www.tisafe.com
Fraude de antecipaFraude de antecipaçção de pagamentos (FAP)ão de pagamentos (FAP)
Neste ataque, a vítima recebe um e-mail em nome de umainstituição governamental (por exemplo, o Banco Central) de um país distante
Neste email é solicitado que a vítima atue como intermediárioem uma transferência internacional de fundos
O valor mencionado na mensagem normalmente correspondea dezenas ou centenas de milhões de dólares
Como recompensa, a vítima terá direito de ficar com umaporcentagem (normalmente alta) do valor mencionado
Para completar a transação é solicitado que seja pagoantecipadamente uma quantia para arcar com taxas de transferência de fundos e custos com advogados
www.tisafe.com
Exemplo de FAP IExemplo de FAP I
www.tisafe.com
Exemplo de FAP IIExemplo de FAP II
www.tisafe.com
FAP por cartaFAP por carta
Nova vertente do ataque de FAP
A vítima recebe uma carta com instruções para acesso à site na Web e depósito do dinheiro
www.tisafe.com
Levantamento de dados por Levantamento de dados por AutoAuto--ReplyReply
www.tisafe.com
Ataques por CHATAtaques por CHAT
www.tisafe.com
Ataques pelo Ataques pelo OrkutOrkut
Ataques via Orkut são cada dia mais frequentes
Criminosos usam a ingenuidade e simpatia do Brasileiro para prática de fraudes
Mensagens falsas com links para sites com vírus e malwares são colocadas como scraps no Orkut das vítimas
www.tisafe.com
AgendaAgenda
Engenharia SocialDefinições
O Engenheiro Social
Tipologia dos atacantes
Riscos à Segurança da Informação
O Fator Humano
Por que a Engenharia Social funciona?
Seqüência de um ataqueLevantamento de dados da vítima
Tipos de AtaqueAtaques no Mundo Real
Ataques pela Internet
Defesas contra ataques de Eng. Social
www.tisafe.com
Defesas contra ataques de Engenharia SocialDefesas contra ataques de Engenharia Social
Mecanismos de defesas são divididos em 3 categorias:
Segurança Física
Segurança Lógica
Segurança Administrativa
www.tisafe.com
SeguranSegurançça Fa Fíísicasica
Os componentes físicos da segurança são osmais fáceis de compreender e também osmais fáceis de executar
A segurança física engloba a proteção contra roubo, vandalismo, catástrofes, danosnaturais, desastres (deliberados ouacidentais), condições ambientais instáveistais como a elétrica, a temperatura, a umidade, e outras
www.tisafe.com
SeguranSegurançça La Lóógicagica
As medidas de segurança lógicas sãoaquelas que empregam uma soluçãotécnica para proteger a informação
Exemplos: firewall, controle do acesso, sistemas da senha, IDS e criptografia
Controles eficazes mas confiam em um elemento humano ou em umainteração para funcionar com sucesso
www.tisafe.com
SeguranSegurançça Administrativaa Administrativa
Os controles de segurançaadministrativa são aqueles queenvolvem políticas, procedimentos, boas práticas, etc
Exemplos: políticas da segurança da informação, programas da conscientização, e verificaçõesprofundas para novosfuncionários, etc
www.tisafe.com
ContramedidasContramedidas
Como a engenharia social ataca o elemento humano, as medidas protetoras necessitam ser concentradas nas de segurança administrativa
As contramedidas eficazes devem ter políticas detalhadas de segurança da informação que são comunicadas através de sua organização
Um plano contínuo de conscientização é muito importante
A Intranet da empresa pode ser um poderoso veículo para divulgação de boas práticas de segurança
www.tisafe.com
Boas Boas prprááticasticas de de seguranseguranççaa
As boas práticas dos slides a seguir são sugestões a todos os funcionários de qualquer empresa
Não são uma política de segurança completa, pois esta possui diretrizes detalhadas e segmentadas por departamento
As boas práticas a seguir são divididas em: de uso geral, de uso do computador, de uso do correio eletrônico, de uso do telefone, de uso do fax, voice mail, senhas e orkut
www.tisafe.com
GeraisGerais
Sempre relatar ligações suspeitas
Documentar as ligações suspeitas
Nunca divulgar números para acesso discado à empresa
Sempre usar crachás de identificação
Questionar pessoas desconhecidas sem crachá
Nunca permitir que entre e nem abrir a porta para nenhum desconhecido
Destruir documentos sigilosos usando trituradora
Usar identificadores pessoais para validar empregados
Nunca divulgar organogramas da empresa
Nunca divulgar informações particulares de empregados
www.tisafe.com
Para uso do computadorPara uso do computador
Funcionários nunca devem inserir comandos em um computador sob solicitação de outra pessoa, a menos que o solicitante tenha sido previamente verificado
Funcionários não devem divulgar nomes internos de sistemas ou bancos de dados sem que o solicitante tenha sido previamente verificado
Funcionários não devem executar nenhum aplicativo ou programa sob solicitação de outra pessoa, a menos que o solicitante tenha sido previamente verificado
Funcionários nunca devem fazer download ou instalar software sob solicitação de outra pessoa, a menos que o solicitante tenha sido previamente verificado
www.tisafe.com
Para uso do computador (cont.)Para uso do computador (cont.)
As senhas não devem ser enviadas por correio eletrônico, a menos que estejam criptografadas
Funcionários nunca devem remover ou desativar antivírus, firewall ou outro software relacionado à segurança sem prévia autorização do departamento de TI
Nenhum modem pode estar conectado a nenhum computador sem prévia autorização do departamento de TI
Todos os desktops com modems aprovados pelo TI devem ter o recurso de resposta automática desativado
Funcionários não devem fazer o download nem usar ferramentas de software criadas para anular os mecanismos de proteção de software
www.tisafe.com
Empregados não devem divulgar nenhum detalhe relativo ao Hardware ou Software da empresa em newsgrouppúblicos, fóruns ou bulletin boards
Se uma mídia qualquer, tal como disquetes e CD-ROMs for deixada na sua mesa e tenha origem desconhecida, ela não deve ser inserida em nenhum computador
Antes de descartar mídia eletrônica que já conteve informações sigilosas, esta mídia deverá ser destruída
Todos os usuários devem possuir senhas para proteção de tela e limite de inatividade para bloqueio do computador após tempo sem uso
Todos os empregados devem assinar um contrato de confidencialidade com a empresa
Para uso do computador (cont.)Para uso do computador (cont.)
www.tisafe.com
Para uso do correio eletrônicoPara uso do correio eletrônico
Os anexos de correio eletrônico não devem ser abertos, a menos que seja esperado ou tenha sido enviado por uma pessoa de confiança
Deve ser proibido o encaminhamento automático de mensagens recebidas por correio eletrônico para um endereço de correio eletrônico externo
Toda solicitação de uma pessoa não verificada para transferir uma mensagem de correio eletrônico para outra pessoa não verificada exige a confirmação da identidade do solicitante
www.tisafe.com
Para uso do telefonePara uso do telefone
Os empregados não devem participar de pesquisas nem responder perguntas de qualquer organização ou pessoa estranha. Estas solicitações devem ser encaminhadas para o departamento de relações públicas ou para uma pessoa designada na empresa
Se uma pessoa não verificada pedir a um empregado o seu número de telefone, ele deve primeiro determinar se a divulgação do telefone é necessária para a condução dos negócios da empresa
É proibido deixar mensagens que contenham informações de senha na caixa postal do voice mail de alguém
www.tisafe.com
Para uso do FAXPara uso do FAX
Nenhum fax deve ser recebido e encaminhado para outra parte sem verificação da identidade do solicitante
Antes de executar instruções pedidas por fax, o remetente deve ser confirmado como empregado ou pessoa de confiança
Sempre deve-se tomar cuidado ao enviar fax para uma área pública da empresa e incluir página de rosto com informações do destinatário.
Senhas nunca podem ser enviadas por fax
www.tisafe.com
Para uso do Para uso do VoiceVoice MailMail
As senhas de voice mail nunca devem ser divulgadas e devem ser sempre alteradas a cada 90 dias
Os usuários de voice mail não devem usar a mesma senha em outro telefone ou sistema de computador
Os usuários e administradores devem criar senhas de voice mailque sejam difíceis de adivinhar
Se alguma mensagem de voice mail que ainda não foi ouvida não estiverem marcadas como “nova”, o administrador do voicemail deverá ser notificado
Informações confidenciais ou particulares não devem ser divulgadas em uma mensagem de voice mail
www.tisafe.com
Para uso de senhasPara uso de senhas
Nunca divulgar senhas por telefone
Nunca divulgar sua senha de acesso à rede para ninguém, exceto sob pedido escrito de seu chefe
Nunca usar senha de acesso à Internet igual à senha de seu login na empresa
Nunca usar senha igual ou semelhante em mais de um sistema da empresa
Nunca manter a mesma senha por mais de 18 meses
Usar senhas fortes (mínimo de 8 caracteres, letras maiúsculas e minúsculas, números e caracteres especiais)
www.tisafe.com
Para uso do Para uso do OrkutOrkutNÃO TENHA ORKUT. Mas se você quiser insistir, observe as medidas preventivas abaixo:
1. Evite utilizar senhas óbvias ou fáceis demais e sempre a substitua com regularidade ou sempre que desconfiar de sua confidencialidade.
2. Evite publicar informações muito pessoais, que em geral, só sua família oupessoas muito próximas deveriam ou poderiam saber.
3. Evite informar telefones de contato e endereços físicos, a não ser que exista um interesse comercial no uso do serviço.
4. Evite exibir fotografias que exponham detalhes de sua residência ou trabalho, ouainda, fotografias que permitam dupla interpretação.
5. Evite publicar fotografias que exponham outras pessoas de seu convívio, especialmente familiares, a menos que previamente autorizadas.
6. Evite autorizar pessoas desconhecidas, mesmo que lhe pareçam familiar ou lhetenham enviado uma mensagem de solicitação. Lembre-se do conceito de herança de confiança, isso poderá representar uma ameaça aos seus amigos.
7. Evite criar e entrar em comunidades de gosto duvidoso ou simplesmente com título e descrição que são sejam inteiramente alinhadas ao seu perfil. Você podeser mal interpretado.
www.tisafe.com
Para uso do Para uso do OrkutOrkut (cont.)(cont.)
8. Evite utilizar fotografias em seu perfil que simbolizem algo muito diferente do que você realmenteé. Desta forma, evitará atrair pessoas mal intencionadas ou compatíveis com o simbolismoequivocado transmitido pela imagem.
9. Habilite o recurso de identificação do visitante. É uma boa forma de conhecer o perfil de quem tem se interessado em conhecer você e assim, lhe permitirá identificar possíveis equívocos nadefinição do seu perfil e na escolha das fotografias.
10. Não clique em links enviados através da rede de relacionamentos, pois além de não haverqualquer razão aparente para se usar este recurso, esses têm sido alvos de ataques de phising.
11. Nunca confie inteiramente no que é escrito e disponibilizado na rede de relacionamentos. A fragilidade dos processos de identificação não garante a autenticidade dos usuários e a integridade das mensagens.
12. Não haja como se a Internet e o próprio ambiente da rede de relacionamentos fossem um playground onde tudo é brincadeira. Tome cuidado ao criar e entrar em comunidades que feremdireitos, que tenham qualquer associação ao crime ou representem gostos duvidosos.A suaescolha reflete uma vontade e um pensamento e você poderá, mesmo que inconscientemente, ser confundido.
www.tisafe.com
AgendaAgenda
Engenharia SocialDefinições
O Engenheiro Social
Tipologia dos atacantes
Riscos à Segurança da Informação
O Fator Humano
Por que a Engenharia Social funciona?
Seqüência de um ataqueLevantamento de dados da vítima
Tipos de AtaqueAtaques no Mundo Real
Ataques pela Internet
Defesas contra ataques de Eng. Social
www.tisafe.com
ConclusãoConclusão
A Engenharia Social explora vulnerabilidades humanas;
Pode ou não utilizar tecnologia;
Na maior parte das vezes a vítima não percebe que está sendomanipulada;
Os ataques de Engenharia Social são reais e acontecem no dia-a-dia;
A maioria dos ataques de Engenharia Social tiram proveito de factores psicológicos que inibem uma resposta adequada;
É possível minorar os efeitos de Engenharia Social através de contínuo treinamento, conscientização e implementação de regras de segurança;
www.tisafe.com
Para pensar...Para pensar...
“O computador mais seguro do mundo teria de estar guardado num cofre, desligado, no fundo do oceano...
Guardado por tubarões, exércitos e porta-aviões... E mesmo assim seria possível convencer alguém que o estivesse guardando a ligá-lo....”
Kevin Mitnick
www.tisafe.com
ReferênciasReferências
Livro “A Arte de Enganar”
Autores: Kevin D. Mitnick & William L. Simon
Editora: Makron Books
Livro “Official (ISC)2 Guide to the CISSP Exam”
Autores: Susan Hansche, John Berti & Chris Hare
Editora: Auerbach
Livro “O Pirata Eletrônico e o Samurai - A Verdadeira História de Kevin Mitnick e do Homem que o Caçou na Estrada Digital”
Autor: Jeff GOODELL
Editora Campus, 1996
www.tisafe.com
Referências Referências -- FilmesFilmes
Filme baseado na estória real
da captura de Kevin Mitnick
www.tisafe.com
Curso de FormaCurso de Formaçção de Analistas de Seguranão de Analistas de Seguranççaa
Curso com o objetivo de formar analistas de segurança da informação
Compreende todos os 7 domínios que compoem o SSCP umadas melhores certificações internacional de segurança da informação
Dividido em 3 macromódulos, de 24 horas cada, mais um módulo final com um simulado de preparação para o SSCP com duração de 8 horas
Curso 100% desenvolvido pela TI Safe
Já implementado (versão 80 horas com preparatório para a certificação SSCP) no Instituto Infnet – detalhes em http://www.infnet.edu.br/formacao/analista_seg.htm
Lâmina promocional
CFAS Rápido - Versão em 40 horas (1 semana) em horário comercial para empresas, ministrado on site
www.tisafe.com
DDúúvidas?vidas?