Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Hackeando Cérebros Explorando o elo mais fraco da segurança.

34 views

Published on

Hackeando Cérebros - Explorando o elo mais fraco da segurança.
Diego Neves

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Hackeando Cérebros Explorando o elo mais fraco da segurança.

  1. 1. Hackeando Cérebros Explorando o elo mais fraco da segurança. Diego Neves diego@diegoneves.eti.br @diegoaceneves
  2. 2. ~$ whoami ● Consultor de Tecnologia; ● Linux Sysadmin; ● Especialista em Redes de Computadores; ● Bacharel em Sistemas de Informação; ● Trabalho com Software Livre desde 2006; ● Membro do time de tradução do Debian para pt_BR; ● Amante de Rock n’ Roll, Hambúrguer e Cerveja.
  3. 3. Segurança da Informação Segundo a wikipedia: A segurança da informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor que possuem para um indivíduo ou uma organização. São características básicas da segurança da informação os atributos de confidencialidade, integridade, disponibilidade e autenticidade, não estando esta segurança restrita somente a sistemas computacionais, informações eletrônicas ou sistemas de armazenamento. O conceito se aplica a todos os aspectos de proteção de informações e dados. O conceito de Segurança Informática ou Segurança de Computadores está intimamente relacionado com o de Segurança da Informação, incluindo não apenas a segurança dos dados/informação, mas também a dos sistemas em si.
  4. 4. Engenharia Social Segundo a wikipedia: Em Segurança da informação, chama-se Engenharia Social as práticas utilizadas para obter acesso a informações importantes ou sigilosas em organizações ou sistemas por meio da enganação ou exploração da confiança das pessoas. Para isso, o golpista pode se passar por outra pessoa, assumir outra personalidade, fingir que é um profissional de determinada área, etc. É uma forma de entrar em organizações que não necessita da força bruta ou de erros em máquinas. Explora as falhas de segurança das próprias pessoas que, quando não treinadas para esses ataques, podem ser facilmente manipuladas.
  5. 5. Resumindo A arte de fazer com que pessoas façam coisas que normalmente não fariam para um estranho - e sendo pago para fazer isso. Kevin D. Mitnick
  6. 6. Como atacam: ● Atacam o lado mais fraco do sistema (o fator humano); ● Mostram-se prestativos e se tornam confiáveis ● Passam-se por alguém da empresa que nunca foi visto, como um secretário de um dos diretores; ● Intercalam em seus questionamentos, perguntas inofensivas, para não levantar suspeitas, usando alguns termos técnicos e jargões comuns.
  7. 7. Por que atacar o fator humano? ● Muitas empresas investem muito dinheiro na parte de segurança, Hardwares, Softwares, Câmeras... Ou seja, o invasor gastaria muito tempo ($$) para conseguir acessar a informação que necessita. ● O Investimento em treinamento pessoal quase nunca é levado a sério. Muitas vezes só é preciso pedir com jeitinho...
  8. 8. Vamos Atacar? ● Levantando os dados da vítima: ● Nomes de Domínios e IPs ● WhoIs: Cadastro de registros endereços eletrônicos: ● http://registro.br ● :~$ whois
  9. 9. Tipos de Ataque ● Ataques por Ego ● Ataques por Simpatia ● Ataques por Intimidação ● Análise do Lixo ● Invasão de Instalações
  10. 10. Ataques por Ego ● O Atacante apela para as características humanas mais básicas, o ego e a vaidade. "A vaidade é meu pecado predileto!" (Devil, The - The Devil Advocate) ● O Atacante se coloca como um receptivo ouvinte que as vítimas possuem para mostrar o quanto sabem. ● As vítimas normalmente são pessoas que se sentem desvalorizadas na empresa. ● Na maioria dos casos, as vítimas não tem ideia de que fizeram algo errado.
  11. 11. Ataques por Ego
  12. 12. Ataques por Simpatia ● O atacante finge ser um funcionário camarada, geralmente recém-contratado, com um problema real e urgente, a urgência faz com que a vítima não tenha tempo para seguir todos os procedimentos de segurança.
  13. 13. Ataques por Intimidação ● O atacante se passa por alguém de autoridade ou influência no cenário em questão, ou ainda um agente da lei. Cria razões plausíveis, para fazer algum pedido como troca de senha ou alguma alteração em conta de usuários. Caso encontre resistência por parte da vítima, tenta uma intimidação por parte de sanções contra ela, como demissão ou prisão.
  14. 14. Analise de Lixo ● Muitos empregados não dão importância para o que jogam fora, não sabendo o valor de todas as anotações, senhas, tarefas feitas, compromissos marcados... ● Isso é um prato cheio para quem tem acesso ao lixo empresarial.
  15. 15. Invasão das Instalações ● É possível que o invasor tenha acesso físico a empresa, analisando o fluxo de pessoal, conseguindo uniformes, conversando com pessoas nos pontos de ônibus ● Se passando por pessoal de empresas terceirizadas, como limpeza, manutenção de ar- condicionado, etc...
  16. 16. Invasão das Instalações
  17. 17. Boas Práticas de Segurança ● Gerais: ● Sempre relatar ligações suspeitas. ● Utilização de crachás de identificação. ● Destruir documentos sigilosos (triturar ou incinerar). ● Utilização de identificação pessoal. ● Nunca divulgar informações.
  18. 18. Boas Práticas de Segurança ● Uso do Computador ● Funcionários nunca devem inserir comandos ou baixar e instalar aplicativos solicitados por terceiros. ● Nunca divulgar nomes internos de sistemas, BDs. ● Nunca enviar senhas via e-mail. ● Controle de Acessos com hierarquia de prioridades. ● Nunca inserir nenhuma mídia de origem desconhecida (pendrive, cd, etc). ● Funcionários devem assinar contrato de confidencialidade.
  19. 19. Considerações Finais ● A Engenharia Social explora o lado mais frágil do sistema. ● Na grande maioria das vezes, o atacado só descobre o que aconteceu quando já não é mais possível corrigir a falha. ● A atenção sempre constante pode evitar muitas falhas, ter um pouco de maldade não faz mal a ninguém.
  20. 20. Perguntas? Diego Neves diego@diegoneves.eti.br @diegoaceneves

×