Professional Documents
Culture Documents
www.tisafe.com
No precisa copiar...
Apresentao no site: www.tisafe.com/ppt
www.tisafe.com
Agenda
Engenharia Social
Definies O Engenheiro Social Tipologia dos atacantes
Riscos Segurana da Informao O Fator Humano Por que a Engenharia Social funciona? Seqncia de um ataque
Levantamento de dados da vtima
Tipos de Ataque
Ataques no Mundo Real Ataques pela Internet
www.tisafe.com
Definies
Tentativas, com sucesso ou no, de influenciar pessoas em revelar informaes ou agir de uma determinada maneira que resulte em acesso no autorizado a, ou uso no autorizado de, ou liberao no autorizada de um sistema, rede ou dados CISSP Official Guide
A arte de fazer com que pessoas faam coisas que normalmente no fariam para um estranho e sendo pago para fazer isto Kevin D. Mitnick
www.tisafe.com
O Engenheiro Social
Ataca o lado mais fraco do sistema Torna-se confivel Passa-se por um colega de trabalho que nunca foi visto, secretrio de um superior... Mistura em seu questionrio perguntas inofensivas para no levantar suspeitas (parte do princpio que para saber, basta perguntar na maioria das vezes) Mais do que uma pessoa de tecnologia, um mestre nas relaes interpessoais
www.tisafe.com
www.tisafe.com
www.tisafe.com
Agenda
Engenharia Social
Definies O Engenheiro Social Tipologia dos atacantes
Riscos Segurana da Informao O Fator Humano Por que a Engenharia Social funciona? Seqncia de um ataque
Levantamento de dados da vtima
Tipos de Ataque
Ataques no Mundo Real Ataques pela Internet
www.tisafe.com
www.tisafe.com
www.tisafe.com
www.tisafe.com
Vulnerabilidades de rede
www.tisafe.com
Agenda
Engenharia Social
Definies O Engenheiro Social Tipologia dos atacantes
Riscos Segurana da Informao O Fator Humano Por que a Engenharia Social funciona? Seqncia de um ataque
Levantamento de dados da vtima
Tipos de Ataque
Ataques no Mundo Real Ataques pela Internet
www.tisafe.com
www.tisafe.com
O Fator humano o elo mais fraco da segurana Na maioria dos casos, os engenheiros sociais s precisam pedir as senhas s pessoas corretas De nada adiantam investimentos em solues de segurana se no treinarmos os funcionrios contra engenharia social Objetivo de um engenheiro social: encontrar um modo de enganar um usurio de confiana para que ele revele informaes ou... Enganar algum importante para que ele fornea o acesso desejado
www.tisafe.com
Agenda
Engenharia Social
Definies O Engenheiro Social Tipologia dos atacantes
Riscos Segurana da Informao O Fator Humano Por que a Engenharia Social funciona? Seqncia de um ataque
Levantamento de dados da vtima
Tipos de Ataque
Ataques no Mundo Real Ataques pela Internet
www.tisafe.com
www.tisafe.com
Natureza Humana
Pessoas confiam e cooperam por natureza Quase toda pessoa pode ser influenciada a agir de uma maneira especfica e divulgar informaes Pessoas que possuem autoridade (ou aparentam possuir) intimidam outras pessoas
www.tisafe.com
Ambiente de Trabalho
Constantes fuses e aquisies de empresas e avanos na tecnologia facilitam a engenharia social nas empresas Hoje pessoas trabalham em cooperao com outras que nunca viram pessoalmente atravs de SKYPE, MSN e outros
www.tisafe.com
Agenda
Engenharia Social
Definies O Engenheiro Social Tipologia dos atacantes
Riscos Segurana da Informao O Fator Humano Por que a Engenharia Social funciona? Seqncia de um ataque
Levantamento de dados da vtima
Tipos de Ataque
Ataques no Mundo Real Ataques pela Internet
www.tisafe.com
Sequncia de um ataque
www.tisafe.com
Selecionando Alvos
www.tisafe.com
www.tisafe.com
whois
Cadastro dos registros de endereos eletrnicos D as seguintes informaes do registrado: Nome do domnio Razo social ou nome Registro (CNPJ, CPF...) Endereo completo Telefone Status do servidor DNS Contato do administrador
www.registro.br www.arin.net/whois*
www.tisafe.com
www.tisafe.com
www.tisafe.com
www.tisafe.com
www.tisafe.com
Orkut
www.tisafe.com
Orkut
www.tisafe.com
Perigos do Orkut
Responsabilidade Legal: se um desconhecido obtiver acesso sua senha e seu perfil, poder agir em seu nome, enviando mensagens, criando comunidades e assim, podendo cometer crimes de apologia s drogas, pedofilia ou ainda crime de racismo e muitos outros. Roubo de Identidade: sem a existncia de processos fortes de identificao e autenticao de novos usurios quando da criao de novos perfis e comunidades, nada impede que algum crie um novo perfil copiando e utilizando suas fotos, seu nome, seus dados pessoais e detalhes de sua vida acessveis atravs do perfil verdadeiro. Crime Contra a Honra: ainda de posse de acesso edio de seu perfil, o fraudador pode se inserir em comunidades que indiquem distrbios de comportamento, opes sexuais, gostos duvidosos e assim, associar voc a interesses que influenciem no julgamento que seus amigos fazem de voc e de sua honra.
www.tisafe.com
www.tisafe.com
www.tisafe.com
www.tisafe.com
www.tisafe.com
Agenda
Engenharia Social
Definies O Engenheiro Social Tipologia dos atacantes
Riscos Segurana da Informao O Fator Humano Por que a Engenharia Social funciona? Seqncia de um ataque
Levantamento de dados da vtima
Tipos de Ataque
Ataques no Mundo Real Ataques pela Internet
www.tisafe.com
www.tisafe.com
www.tisafe.com
www.tisafe.com
www.tisafe.com
www.tisafe.com
www.tisafe.com
www.tisafe.com
www.tisafe.com
Anlise do Lixo
A Maioria das pessoas no d ateno para aquilo que esto descartando Relatrios, contas pessoais, senhas, anotaes de tarefas e relacionadas com o trabalho, tudo descartado Os empregados tem que ter conscincia que invasores olham o lixo para obter informaes com as quais possam se beneficiar
www.tisafe.com
Anlise do Lixo
O Lixo de uma empresa pode guardar documentos com informaes sensveis. No caso foi encontrado papel com usurio e senha anotados
www.tisafe.com
www.tisafe.com
Senhas anotadas
www.tisafe.com
www.tisafe.com
Invaso de instalaes
possvel usar truques da engenharia social para invadir instalaes fsicas de empresas Neste caso o invasor se faz passar por um funcionrio da empresa de forma to convincente que at mesmo as pessoas que se preocupam com segurana so enganadas Ex-funcionrios podem guardar credenciais que os permitam entrar de novo na empresa A Invaso tambm pode ser feita atravs de empresas terceiras (limpeza, consultores, etc)
www.tisafe.com
www.tisafe.com
www.tisafe.com
www.tisafe.com
Cada stream adicional tem um nome, que pode ser qualquer coisa.
www.tisafe.com
ADS no Windows
O Windows cria ADS quando voc insere dados de descrio no arquivo. Clique com o boto direito em qualquer arquivo, ento clique em Propriedades e procure pela aba Resumo.
www.tisafe.com
ADS na Prtica
Crie uma pasta com o nome de Streams na sua unidade C:\. Agora abra um Prompt de Comando e digite o seguinte: CD C:\streams Depois de cada comando, aperte a tecla ENTER para confirmar. Voc deve estar agora na pasta C:\streams>. Digite o seguinte comando: echo conteudo normal > ads.txt Agora abra o arquivo C:\streams\ads.txt no Bloco de Notas. Voc deve ver o conteudo normal na tela. Feche o Bloco de Notas e volte para o Prompt de Comando e digite: dir
www.tisafe.com
www.tisafe.com
Isso mesmo! Voc tem o contedo da sua ADS, simples, na tela. Se voc olhar no Windows Explorer no poder ver qualquer diferena se o arquivo possui ou no um ADS, sendo necessrio apagar o ads.txt para remover a stream.
www.tisafe.com
www.tisafe.com
www.tisafe.com
www.tisafe.com
Fake Mail
a tcnica de se enviar e-mails falsos se fazendo passar por outra pessoa. Pode ser realizado por clientes instalados na mquina ou atravs de web sites Geralmente, o servidor de envio de e-mails de um provedor (SMTP) faz algumas checagens antes de enviar um e-mail. Checa se o endereo IP realmente pertence ao provedor e se a pessoa que est mandando a mensagem est conectada ali ( raro servidores de envio de e-mail suportarem relay, que permitir que pessoas de fora do provedor consigam mandar mensagens). Existem servidores SMTP que permitem relay, e ainda garantem o anonimato. uma questo de pesquisar.
www.tisafe.com
www.tisafe.com
Exemplo de FAP I
www.tisafe.com
Exemplo de FAP II
www.tisafe.com
www.tisafe.com
www.tisafe.com
www.tisafe.com
www.tisafe.com
Agenda
Engenharia Social
Definies O Engenheiro Social Tipologia dos atacantes
Riscos Segurana da Informao O Fator Humano Por que a Engenharia Social funciona? Seqncia de um ataque
Levantamento de dados da vtima
Tipos de Ataque
Ataques no Mundo Real Ataques pela Internet
www.tisafe.com
www.tisafe.com
Segurana Fsica
Os componentes fsicos da segurana so os mais fceis de compreender e tambm os mais fceis de executar A segurana fsica engloba a proteo contra roubo, vandalismo, catstrofes, danos naturais, desastres (deliberados ou acidentais), condies ambientais instveis tais como a eltrica, a temperatura, a umidade, e outras
www.tisafe.com
Segurana Lgica
As medidas de segurana lgicas so aquelas que empregam uma soluo tcnica para proteger a informao Exemplos: firewall, controle do acesso, sistemas da senha, IDS e criptografia Controles eficazes mas confiam em um elemento humano ou em uma interao para funcionar com sucesso
www.tisafe.com
Segurana Administrativa
Os controles de segurana administrativa so aqueles que envolvem polticas, procedimentos, boas prticas, etc Exemplos: polticas da segurana da informao, programas da conscientizao, e verificaes profundas para novos funcionrios, etc
www.tisafe.com
Contramedidas
Como a engenharia social ataca o elemento humano, as medidas protetoras necessitam ser concentradas nas de segurana administrativa As contramedidas eficazes devem ter polticas detalhadas de segurana da informao que so comunicadas atravs de sua organizao Um plano contnuo de conscientizao muito importante A Intranet da empresa pode ser um poderoso veculo para divulgao de boas prticas de segurana
www.tisafe.com
www.tisafe.com
Gerais
Sempre relatar ligaes suspeitas Documentar as ligaes suspeitas Nunca divulgar nmeros para acesso discado empresa Sempre usar crachs de identificao Questionar pessoas desconhecidas sem crach Nunca permitir que entre e nem abrir a porta para nenhum desconhecido Destruir documentos sigilosos usando trituradora Usar identificadores pessoais para validar empregados Nunca divulgar organogramas da empresa Nunca divulgar informaes particulares de empregados
www.tisafe.com
www.tisafe.com
www.tisafe.com
www.tisafe.com
www.tisafe.com
www.tisafe.com
www.tisafe.com
www.tisafe.com
www.tisafe.com
1. 2. 3. 4. 5. 6.
Evite utilizar senhas bvias ou fceis demais e sempre a substitua com regularidade ou sempre que desconfiar de sua confidencialidade. Evite publicar informaes muito pessoais, que em geral, s sua famlia ou pessoas muito prximas deveriam ou poderiam saber. Evite informar telefones de contato e endereos fsicos, a no ser que exista um interesse comercial no uso do servio. Evite exibir fotografias que exponham detalhes de sua residncia ou trabalho, ou ainda, fotografias que permitam dupla interpretao. Evite publicar fotografias que exponham outras pessoas de seu convvio, especialmente familiares, a menos que previamente autorizadas. Evite autorizar pessoas desconhecidas, mesmo que lhe paream familiar ou lhe tenham enviado uma mensagem de solicitao. Lembre-se do conceito de herana de confiana, isso poder representar uma ameaa aos seus amigos. Evite criar e entrar em comunidades de gosto duvidoso ou simplesmente com ttulo e descrio que so sejam inteiramente alinhadas ao seu perfil. Voc pode ser mal interpretado.
7.
www.tisafe.com
9.
10.
11.
12.
www.tisafe.com
Agenda
Engenharia Social
Definies O Engenheiro Social Tipologia dos atacantes
Riscos Segurana da Informao O Fator Humano Por que a Engenharia Social funciona? Seqncia de um ataque
Levantamento de dados da vtima
Tipos de Ataque
Ataques no Mundo Real Ataques pela Internet
www.tisafe.com
Concluso
A Engenharia Social explora vulnerabilidades humanas; Pode ou no utilizar tecnologia; Na maior parte das vezes a vtima no percebe que est sendo manipulada; Os ataques de Engenharia Social so reais e acontecem no diaa-dia; A maioria dos ataques de Engenharia Social tiram proveito de factores psicolgicos que inibem uma resposta adequada; possvel minorar os efeitos de Engenharia Social atravs de contnuo treinamento, conscientizao e implementao de regras de segurana;
www.tisafe.com
Para pensar...
O computador mais seguro do mundo teria de estar guardado num cofre, desligado, no fundo do oceano... Guardado por tubares, exrcitos e porta-avies... E mesmo assim seria possvel convencer algum que o estivesse guardando a lig-lo....
Kevin Mitnick
www.tisafe.com
Referncias
Livro A Arte de Enganar Autores: Kevin D. Mitnick & William L. Simon Editora: Makron Books Livro Official (ISC)2 Guide to the CISSP Exam Autores: Susan Hansche, John Berti & Chris Hare Editora: Auerbach Livro O Pirata Eletrnico e o Samurai - A Verdadeira Histria de Kevin Mitnick e do Homem que o Caou na Estrada Digital Autor: Jeff GOODELL Editora Campus, 1996
www.tisafe.com
Referncias - Filmes
www.tisafe.com
Contato
Eletrnico www.tisafe.com contato@tisafe.com Skype: ti-safe (somente voz) Telefones Rio de Janeiro: (21) 2577-0658 So Paulo: (11) 3013-3152 Florianpolis: (48) 3223-6918 Belo Horizonte: (31) 3231-5965 Porto Alegre: (51) 3273-5403
www.tisafe.com