Monday, October 31, 2011

[news] Como espionar uma empresa: uma volta pelo mundo da engenharia social

Muito interessante esta reportagem que lí no site da IDG Now. Tomei a liberdade de reproduzir aqui.



Especialista em segurança conta como é fácil obter informações e senhas de um escritório ao simplesmente se passar por alguém com autoridade.


Por Jim Stickley*, CSO / EUA



Se uma empresa te contrata para um serviço de engenharia social, normalmente ela quer que você entre e acesse suas fitas de backup, ou os dados na sua sala de documentos.
Vamos dizer que estou fingindo ser um inspetor de segurança de incêndio. A primeira coisa que terei ao lado do meu distintivo e do meu uniforme é um walkie-talkie, como todos os bombeiros. Do lado de fora, teremos “o cara do carro”. É a pessoa que senta no automóvel, e basicamente seu trabalho no começo é enviar conversa mole para os nossos rádios. Teríamos uma gravação de todo esse papo que você ouve nos walkie-talkies. Ele senta no carro, toca o conteúdo e envia pros nossos rádios.
Nós entramos no local e nos certificamos de que a conversa está bem barulhenta nos walkie-talkies para que sejamos imediatamente o centro das atenções. Quando entro, quero que todos saibam. Meu rádio comunicador está alto e todos olham enquanto peço desculpas e abaixo o volume.
Mostro meu distintivo para a pessoa na mesa da frente. Eles perguntarão “Oi, como você está?”, ao que responderei “Bem, estou aqui para uma inspeção de incêndio”. Eles dizem “Ótimo” e chamam alguém para nos acompanhar. Geralmente é uma pessoa simpática. Começo a falar com eles, flertar com elas, o que for preciso fazer. Começamos então a andar pelo escritório.
Enquanto falo com a pessoa que nos acompanha, meu parceiro sabe que o trabalho dele é “fugir” de nós. Por isso, meu colega começará a se desviar imediatamente. Na maioria dos casos nossa acompanhante dirá “Você pode voltar aqui? Preciso manter vocês juntos.” Nós então dizemos “É claro, desculpe.” Mas na verdade isso não quer dizer nada para a gente. Tudo o que significa é que vamos continuar fazendo até a pessoa desistir. Meu parceiro vai dar uma fugida mais umas duas ou três vezes e seremos repreendidos até que ela finalmente desista. Ela acha que ele é só um bombeiro e pensa “Vamos apenas deixá-los fazer o que precisam.” 
A espionagem
Neste ponto, a tarefa do meu colega é começar a roubar tudo o que puder e colocar na sua mala. Ele também precisa entrar debaixo das mesas de qualquer funcionário que conseguir e instalar pequenos loggers (pendrives com um software) de teclado. Eu fico com a nossa acompanhante e meu único dever agora é mantê-la entretida. Continuo andando pelas salas, dando conselhos sobre como manter o local seguro contra incêndios, mesmo que não tenha a mínima ideia do que esteja falando. Invento algumas coisas e provavelmente dou os piores conselhos da história. Pego alguns fios e digo “Isso parece um pouco perigoso”. Faço comentários sobre os aquecedores. Estou “viajando” completamente.
Há alguns anos comprei um aparelho na Home Depot (rede varejista dos EUA de materiais para casa). É como uma fita métrica, mas não uma comum. Ela tem um ponta com laser e faz um barulho de estalo. Esse aparelho é como o Tricorder da série “Jornada nas Estrelas”. Posso fazer praticamente qualquer coisa com ele. Coloco em frente a uma meia e digo “Isso aqui parece ter muita corrente (elétrica).” E as pessoas simplesmente acreditam. É incrível as coisas estúpidas que posso fazer. São as bugigangas que importam e as pessoas querem ver que você tem produtos.
Enquanto isso, meu parceiro está entrando debaixo das mesas. Se os funcionários estão lá, ele diz “Ei, você se importa seu entrar debaixo da sua mesa por um minuto? Estou apenas checando se há algum tipo de perigo de incêndio.” Se a pessoa perguntar “Que tipo de perigo pode ter embaixo da minha mesa?”, ele então dirá “Você sabe aquele ventilador na parte de trás do seu computador? Se ele parar de girar, pode se tornar um risco de incêndio.” Esse tipo de explicação parece razoável.
Meu colega vai para trás do computador e em sua bolsa ele tem vários dongles (dispositivos usados para autorizar o funcionamento de determinados programas). Ele facilmente instala um no computador do funcionário e agora todos os dados estão indo para esse aparelho. Obviamente que, enquanto meu parceiro está fazendo isso, a pessoa não consegue ver e normalmente apenas vai dar uma volta e tomar um café.
A essa altura, nós normalmente nos encontramos de novo e discutimos entre nós de modo barulhento todos os lugares em que já estivemos. Assim temos uma boa ideia do que já foi feito e ele pode ir para lugares em que não pude roubar nada por causa da minha acompanhante. Ele dirá “Já passei por todas as mesas.” Então falo “Você pode me fazer um favor e voltar e checar novamente esse local?” e menciono algum lugar em que possa ter visto algo interessante.
Saída estratégica
Em nossa saída, não queremos que saibam que já terminamos. O objetivo é poder voltar em outro momento. É aí que o nosso “cara do carro” faz uma ligação falsa para o walkie-talkie e diz que precisa que respondamos a um chamado. Olho para a minha acompanhante e digo “Ei, desculpe, nós voltaremos.”
Voltamos nos próximos dias, fazemos uma nova verificação rápida, entramos de novo e pegamos os dongles de volta dos computadores. Damos outra olhada rápida em tudo, dizendo que perdemos nosso formulário original de inspeção. E como já fizemos tudo, a segunda visita é rápida. Dizemos que terminamos e que enviaremos um relatório pelo correio.
Ao terminarmos, conseguimos roubar coisas e obter logins e senhas porque ficamos gravando essas informações com os aparelhos de key logging, seja em sites da web ou contas locais no sistema deles. Estivemos na rede wireless deles e também conseguimos invadi-la. 
Depois de fazer tudo que precisávamos, a última coisa que fazemos é um “mergulho” nas lixeiras. É algo miserável, mas é incrível o quanto isso é lucrativo. Aparecemos com luvas de borracha e começamos a abrir os sacos. Impressionante a quantidade de informações confidenciais que acabam no lixo.
Quando voltamos após o trabalho para apresentar o que encontramos, geralmente há um olhar de choque total no rosto dos funcionários. Mas é uma experiência de aprendizado que esperamos que os ensine algo. É algo que nunca pensaram que ia acontecer. Se você falasse com eles uma semana antes, nunca pensariam que cairiam em algumas das coisas que fizemos. Mas agora eles veem que pode acontecer, e com eles.
*dono da empresa TraceSecurity, o americano Jim Stickleyescreveu como autor convidado e é um especialista em segurança online e engenharia social

Thursday, October 20, 2011

[CNASI 2011] - Palestra: Introdução a Computação Forense com Ferramentas Avançadas

Compartilho aqui no blog minha palestra, apresentada ontem, 19/10/2011, na 20a. edição do CNASI, no Centro de Convenções Frei Caneca.




Agradeço a todos que estiveram presente no evento e prestigiaram a palestra. Confesso que fiquei surpreso quando ví o auditório lotado =)

[OAB/SP Convida] - Criminal Compliance e Gestão de Riscos em TI


Wednesday, October 19, 2011

Intel Next Generation Center - Cursos Gratuitos!

O Next Generation Center da Intel é uma iniciativa que tem como proposta a formação de profissionais com nível de gerência intermediária, em temas associados à tecnologia e negócios, por meio de cursos modulares e com certificação on-line. Muito útil, pode-se estudar em qualquer lugar e ainda imprimir o material do curso.



É possível encontrar no site da Intel cursos na área de Aplicativos de Gerenciamento, Tecnologia, Negócios Online, Educação e outros, todos gratuitos e com certificado de conclusão! O candidato precisa ler todos os módulos e responder as questões com uma semana para finalizar cada módulo.

No Next Generation Center, é possível realizar alguns cursos introdutórios de Segurança de Informação, com direito a certificado e tudo (se você acertar 90% das respostas), muito interessante para quem quer começar a estudar os conceitos de SI e não tem dinheiro/tempo disponível para freqüentar um curso:

Segurança da Informação
Armazenamento de informações estratégicas e confidenciais, senhas, dados pessoais, cadastros e tudo o que pode ser alvo de ataques precisa estar devidamente seguro para garantir a integridade de corporações e pessoas. Quais as Políticas de Segurança que um CSO (Chief Security Officer) desenvolve e adota para se prevenir contra o bombardeio desses e outros fatores? As respostas estão no seu curso de Segurança, com o qual você fica por dentro dos cuidados com as redes sem fio, camada de segurança e muito mais.

Segurança II
Armazenamento de informações estratégicas e confidencias, senhas, dados pessoais, cadastros e tudo o que pode ser alvo de hackers precisa estar devidamente seguro para garantir a integridade de corporações e pessoas. Mas ainda existe outro desafio: a segurança de TI para equipamentos móveis, como notebooks e smart phones, cada vez mais presentes na vida das corporações.

Certificação Digital
Uma das tecnologias em que a indústria financeira investe, nos últimos tempos, é a Certificação Digital. Neste módulo você vai aprender como ela é capaz de garantir autenticidade, confidencialidade e integridade às informações que circulam no ambiente web. Seu ponto central é o certificado digital, documento eletrônico que contém nome e um número público exclusivo, denominado chave pública, entre outros dados que atestam a autenticidade de documentos, mensagens e identidades, de pessoas, empresas e instituições. Saiba como a Certificação Digital ajuda as empresas, de diferentes setores, a evitar um prejuízo anual declarado que chega a US$ 1,5 bilhão, nos Estados Unidos (número calculado pelos órgãos de defesa norte-americanos).


Tuesday, October 18, 2011

[CNASI 2011] - Palestra: Introdução a Computação Forense com Ferramentas Avançadas

Começou hoje a 20a. edição do CNASI - Congresso Latinoamericano de Auditoria de TI, Segurança da Informação e Governança. Este ano, o CNASI tem como tema central: “O novo Futuro: A maturidade da Segurança da Informação”, que contemplará entre outros assuntos as Mídias Sociais, Indicadores de Gestão e a Propriedade Intelectual.



Amanhã, dia 19/10, a partir das 13:30, estarei palestrando no evento, falando um pouco sobre Computação Forense utilizando Ferramentas Avançadas. Será uma ótima oportunidade para falarmos um pouco sobre  computação forense e o cenário atual no Brasil, além de falarmos também sobre as melhores ferramentas de computação forense disponíveis hoje no mercado!

Maiores informações no site do evento.

Thursday, October 13, 2011

Dennis Ritchie - 1941-2011


Post atrasado para homenagear Dennis Ritchie, pai do C e do UNIX. Com certeza, sem ele, o mundo da computação não seria nada do que nós conhecemos hoje...

Definitivamente, outubro não foi um bom mês para os geeks  =(

Friday, October 7, 2011

[Dra. Gisele Truzzi] - Internet não é terra sem lei!

Assista a entrevista da Dra. Gisele Truzzi, advogada especialista em direito digital e direito criminal, ao canal web VEEENN, sobre direitos autorais na internet, crimes informáticos, decisões judiciais, casos e dicas.

Muito bom, recomendo!





Com informações do blog da Dra. Gisele Truzzi: truzzi.com.br
Acompanhe também o canal da Dra. Gisele Truzzi no YouTube!