Aviso Legal Este Fórum foi publicado com propósitos educacionais para ensinar às pessoas como os malfeitores podem rastreá-las ou monitorá-las ou obter informações de suas credenciais, não somos responsáveis pelo uso ou pelo escopo que possa ter as pessoas através deste projeto. Estamos totalmente convencidos de que, se ensinarmos como as coisas são vulneráveis, podemos tornar a Internet um lugar mais seguro.
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
ESTE MATERIAL FOI CAPTADO VIA BOT'S E NÃO SABEMOS SUA REAL ORIGEM E VERACIDADE!
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
ESTE MATERIAL FOI CAPTADO VIA BOT'S E NÃO SABEMOS SUA REAL ORIGEM E VERACIDADE!
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
- Código:
Segurança de TI: pense como
um hacker
De briefings militares a vestiários de atletas, qualquer
equipe usa a mesma estratégia: conheça seu inimigo. Preveja
seus movimentos. Faça o que eles acham que você não fará.
Diante do seu principal oponente – os hackers – os gerentes de
TI devem adotar a mesma abordagem. Anos de experiência
ensinaram generais e treinadores a enganar seus adversários,
mas, em uma indústria relativamente nova, de que maneira um
gerente de TI pode começar a compreender, prever e evitar os
ataques de um hacker?
Conheça o processo: como você se atacaria?
Uma pesquisa recente revelou que 19% das empresas já foram
vítimas de uma Ameaça Persistente Avançada, e 37% admitem que
seus funcionários já perderam dados da empresa. Com números
assim, é hora da verdade. Se você precisasse roubar seus
próprios dados, o que você faria?
Primeiro, se coloque na posição de alvo. O que você tem que
vale a pena ser roubado? Obviamente, um fabricante de
equipamentos de defesa militar é um alvo muito mais desejado
do que uma loja virtual de sapatos, mas nem tudo é dinheiro.
Qualquer coisa que possa ser monetizada, de números de cartão
de crédito até listas de clientes, é uma commodity de valor
para um hacker.
A propriedade intelectual é outro grande alvo. Pense em suas
metas de vendas ou nos planos de marketing para 2012 e em
quanto a concorrência pagaria por esses documentos
confidenciais. Dados de pesquisa? Ideias de desenvolvimento de
produtos novos? Resultados financeiros? Aplicações para um
patente? A lista é interminável e todos esses itens têm algum
valor para alguém, em algum lugar.O outro aspecto de “conhecer o processo” é conhecer o inimigo.
Quais são suas preferências? Quais técnicas eles já usaram?
Assim como o treinador de um time estuda as estratégias do
adversário durante seus últimos jogos, um gerente de TI deve
saber como os hackers se preparam, quais recursos têm ao seu
dispor e, mais importante, as últimas tendências. Sabe-se que
a “superfície de ataque” – a variedade de possíveis pontos de
entrada em redes corporativas – cresceu bastante, e isso
aumenta com a compra de cada smartphone, tablet e laptop. Além
disso, em anos passados um malware sofisticado demorava anos
antes de chegar ao mercado negro comum. Agora, é um processo
de apenas algumas semanas. Por cerca de US$ 25, você pode
comprar kits instantâneos e verificados para driblar as
defesas tradicionais. É claro que as empresas precisam se
armar com soluções de segurança de última geração para evitar
que seus dados caiam nas mãos erradas.
2. Conheça seus pontos fracos: tecnologia, pessoas e cultura
É uma tarefa fácil descobrir seus pontos fracos: eles sempre
estão perto do Caminho da Menor Resistência, ou seja, a via de
acesso escolhido pelo hacker é a de menor custo, menor risco,
ou menor tempo.
Os sistemas atuais normalmente estão localizados em diversos
locais e são acessados por milhares de pessoas através de uma
variedade inacreditável de dispositivos. Segundo Dan Hubbard,
diretor de tecnologia da Websense, qualquer coisa exposta à
Internet é vulnerável,** “Uma coisa que sabemos pela explosão
de brechas, pela expansão do malware avançado e pela
propagação dos kits de exploração é que o fator comum é, muito
simplesmente, a Internet. Com a adoção em grande escala de
tecnologias móveis, sociais e de nuvem, a turma do mal vai
agir rapidamente para aproveitar desse novo cenário”. Se a
Internet é um ponto fraco, a próxima pergunta é qual o nível
de integração dos seus sistemas? Uma vez ‘dentro’, uma pessoa
pode passear livremente por seus bancos de dados, e você
monitora, registra e verifica os dados manuseados?A Wi-fi pública deve ser considerada outro ponto fraco quando
o funcionário usa seu tablet ou smartphone em uma cafeteria ou
quarto de hotel. Em um ambiente relaxado, possivelmente fora
do horário de expediente, será que as pessoas ainda se
preocupam com a segurança? Será que os toques do teclado e as
senhas podem ser interceptados ou, mais simples ainda, vistos
da mesa ao lado?
Mesmo depois de muitos anos ensinando noções de informática
aos funcionários e fornecedores, as pessoas sempre serão um
elo fraco em qualquer sistema. Elas levam materiais para casa,
esquecem pendrives no trem, deixam suas telas ativas para
qualquer pessoa ver, conversam sobre assuntos confidenciais em
redes sociais e são vulneráveis à coerção, ganância... e
economizam com a verdade. Apenas um em cada cem funcionários
admite** ter publicado informações confidenciais em uma rede
social, mas 20% dos gerentes de TI dizem que isso já aconteceu
em suas empresas. Um entre 50 funcionários revela que
adicionou malware à rede – mas 35% dos gerentes de TI já viram
isso acontecer.
A mudança da cultura social é uma fraqueza relativamente
recente que merece a atenção do gerente de TI. Com o volume
crescente de e-mails, redes sociais e dispositivos pessoais
portáteis, o número de pessoas que comunicam, compartilham
informações e organizam suas vidas disparou, e a divisa entre
a vida pessoal e profissional é cada vez menos nítida. Outra
previsão para 2012* diz que sua identidade em redes sociais
pode ser mais valiosa para o hacker do que seus cartões de
crédito. Qualquer rede social é baseada em confiança, e se
alguém com más intenções rouba seu login, existe uma grande
chance dele manipular seus amigos. O primeiro método de ataque
combinado adotado na maioria dos ataques avançados será de
tentar atingir o alvo através dos seus “amigos” em redes
sociais, dispositivos móveis e da nuvem.
Em 2012, os Jogos Olímpicos de Londres e as eleições
presidenciais nos Estados Unidos são eventos que os hackersdevem usar para atacar usuários nos lugares onde se sentem
mais a vontade, como sites criados para fingir de serviços de
notícias, feeds do Twitter, posts do Facebook, atualizações do
LinkedIn, comentários do YouTube e conversas em
fóruns. “Durante o próximo ano, muitos dos ataques contra
empresas e governos provavelmente não dependerão da
complexidade do código”, diz Dan Hubbard, “mas da habilidade
do hacker de convencer vítimas desatentas a clicar em seus
links”.
3. Saiba o que você precisa fazer: investir e treinar
A dificuldade de corrigir pontos fracos está no nome. Eles são
pontos – não falhas básicas do projeto ou da operação. Mas,
algumas das soluções mais eficientes são as mais óbvias e
simples.
Senhas mais fortes ainda são uma solução muito fácil para
fortalecer a segurança. Senhas mais robustas requerem
praticamente nenhum investimento, mas você deve investir
bastante em treinamento e educação para ajudar o departamento
de TI a resolver os problemas que acompanham a adoção de
senhas mais complexas e que são alterada com maior frequência,
de uma estratégia para sair de todas as sessões com um único
logout e até sistemas que exigem a autenticação dupla. Com
isso a segurança será mais forte, mas você deve se preparar
para lidar com usuários irritados e muitas chamadas ao
helpdesk!
Em alguns casos esquecemos da necessidade de manter um sistema
básico de segurança física para proteger os escritórios e data
centers. Por exemplo, se um visitante pode acessar áreas de
hotdesk onde existem conexões de rede abertas, essa pessoa
consegue baixar dados para um pendrive rapidamente? Não é
preciso hackear, fraudar ou ludibriar a segurança se os dados
procurados podem ser facilmente roubados em um canto menos
frequentado do escritório.Uma rotina de implementar atualizações e patches deve ser uma
peça chave de qualquer sistema de segurança. Esse processo
pode ser classificado como manutenção, mas quando uma falha
existe, ela é um ponto fraco pronto para ser explorado. E em
casos de crise, a sua empresa mantém uma CERT (Equipe de
Assistência Emergencial de TI) de prontidão ou você tem acesso
à sua experiência.
As previsões da Websense para 2012 revelam que, antigamente,
as defesas tradicionais se concentravam em manter o cibercrime
e o malware longe da empresa, mas hoje, as empresas devem
implementar sistemas para inspecionar dados saindo da rede e
focar em adaptar suas tecnologias de prevenção para conter
qualquer ataque, cortando as comunicações e mitigando a perda
de dados após uma infecção inicial. De acordo com a pesquisa,
a maioria dos gerentes de TI já está implementando diversas
mudanças: mais de 40% voltaram suas atenções para dentro da
empresa para testar e avaliar as políticas existentes,
implementar soluções novas e aplicar novas restrições aos
usuários.
Afinal, vencer o hacker significa saber onde seus dados mais
valiosos estão localizados, quando esses dados são manipulados
e quem está os manipulando. A pesquisa revela a aceitação
dessa abordagem, já que quase um quarto dos gerentes de TI
começou ou agilizou um projeto completo de DLP.
Lembre-se da terceira ponta da estratégia principal – “Faça o
que eles acham que você não vai fazer?” Os hackers são
acostumados a explorar as fraquezas e as inconsistências, ou
seja, uma solução integrada de DLP pode ser exatamente o que
eles menos esperam!
* Carl Leonard é gerente Sênior do Websense Security Labs
Fonte: IT Web