Segurança de Redes - ajeitarakoisa.files.wordpress.com · Hedwio Carvalho e Silva, MSc. [email protected] Segurança de Redes Aula 2 – Riscos e tipos de ataque

Hedwio Carvalho e Silva, MSc.Hedwio Carvalho e Silva, [email protected]@gmail.com

Segurança de RedesSegurança de Redes

Aula 2 – Riscos e tipos de ataqueAula 2 – Riscos e tipos de ataque

BONS FILMES SOBRE ENGENHARIA SOCIAL

PERGUNTA...

• Muro alto• Cerca elétrica• Câmeras de monitoramento• Segurança particular• Sensores de movimento• Trancas em todas as portas e janelas• Cão de Guarda• Alarme• Cofre• Guarita

O PONTO FRACO EM QUALQUER PROCESSO...

“Engenharia Social: Porque não existe patch para a estupidez humana.”

(frase retirada da Internet)

ESTRUTURA DO ATAQUE (AMBIENTE CORPORATIVO)

ISE

ENGENHEIRO SOCIAL

Foco principal!

OE

OE – Organização / EmpresaISE – Informações Sigilosas da Empresa (Informações internas e confidenciais da empresa)IGD – Informações Gerais Disponíveis (Informações disponíveis na Internet, livros, revistas, jornais, ou até mesmo no LIXO)VA – Vítima Ativa (funcionários da empresa)VS – Vítima Superficial (parentes e/ou amigos da vítima ativa, ex-funcionários, serviços terceirizados, concorrentes)

Fonte: PEIXOTO, Mário César Pintaudi. Engenharia Social e Segurança da Informação na Gestão Corporativa

IGD

VA

VS

MÉTODOS DE AÇÃO DE UM ENGENHEIRO SOCIAL

Três maneiras básicas de agir (as mais comuns):

Por email ou carta;

Pessoalmente;

Por telefone.

HABILIDADES QUE UM ENGENHEIRO SOCIAL DEVE TER

• Seja profissional: Você não quer que a pessoa desconfie, já que está criando uma ilusão. Tente transparecer confiança.

• Fique calmo: Dê a impressão que você pertence àquele local.

• Conheça sua marca: Conheça seu inimigo. Saiba exatamente como ele irá reagir antes que o faça.

• Não tente enganar alguém esperto: Isso resultará em desastre. Sempre existem pessoas mais ingênuas.

• Planeje uma fuga: Se alguém suspeitou, não entre em pânico e corra. Salve a fonte.

• Tente parecer uma mulher: Está provado que as mulheres dão mais confiança ao telefone. Use isso como vantagem. Use a ajuda de uma mulher se necessário.

• Marcas d´água: Aprenda a fazê-las. São importantes em emails e correios falsos.

• Cartões de apresentação e nomes falsos: Use-os para impressionar e parecer profissional.

• Use um time se for necessário: Não seja arrogante e autoconfiante. Se precisar de ajuda, consiga.

COMO LIDAR COM PESSOAS DIFERENTES

Tipos de Pessoas

Como reconhecer Como lidar

Nervosos

Parecem cansados e com raiva. Inquietos, impacientes. Pisando duro. Falam muito e alto e reclamam demais.

Paciência, tranquilidade, consideração, educação, calma, presteza, agilidade e sangue frio. Empatia, atenção redobrada e bom humor. Use o medo se necessário

IndecisosApreensivos. Querem conversar mais sobre o assunto. Receosos de cometer erros. Falta-lhes segurança.

Moderação, calma, cortesia, confirme a opinião dele próprio. Demonstre conhecimento e paciência. Use a simpatia.

DesagradáveisCéticos (descrentes), perguntadores, conversadores, insultantes.

Franqueza, conhecimento, agilidade, cortesia, calma. Controle próprio. Também use o temor e medo.

DuvidososCríticos, indiferentes, silenciosos, perguntam demais.

Conhecimento da empresa, tato, perseverança. Ser convincente. Citar seu conhecimento de normas e seus limites.

SilenciososNão têm conhecimento. Podem ser pensadores. Podem estar fingindo saber. Podem estar infelizes.

Faça-lhes uma pergunta que os leve a responder algo que gere mais confiança. Espere pela resposta. Esteja atento às deixas. Tenha consideração e cortesia.

DependentesTímidos e sensitivos (sensíveis). Indecisos. Velhos, surdos e mudos. Infantis. Estrangeiros.

Fáceis de convencer. Gentileza, decisão. Use a simpatia, pense por eles, ajude-os, seja claro.

De bom senso Agradáveis e inteligentes.Faça o que eles esperam. Seja eficiente e eficaz. Cortesia e consideração. Conquiste-os rapidamente e use a curiosidade.

LEVANTAMENTO DE DADOS DA VÍTIMA

Tão importante quanto o ataque, é saber como fazê-lo e contra quem!!

O que procurar?

•Nomes de domínios e endereços IP•Serviços “disponíveis”•Arquitetura da rede•Mecanismos de controle de acesso•Sistemas de detecção de intrusos (IDSs)•Listagem de usuários, logins, senhas e permissões•Mecanismos de autenticações (VPNs, Intranets...)

REDES SOCIAIS E SEUS PERIGOS!

Responsabilidade Legal: se um desconhecido obtiver acesso à sua senha e seu perfil, poderá agir em seu nome, enviando mensagens, criando comunidades e assim, podendo cometer crimes de apologia às drogas, à pedofilia ou ainda crime de racismo e muitos outros.

Roubo de Identidade: sem a existência de processos fortes de identificação e autenticação de novos usuários quando da criação de novos perfis e comunidades, nada impede que alguém crie um novo perfil copiando e utilizando suas fotos, seu nome, seus dados pessoais e detalhes de sua vida acessíveis através do perfil verdadeiro.

Crime Contra a Honra: ainda de posse de acesso à edição de seu perfil, o fraudador pode se inserir em comunidades que indiquem distúrbios de comportamento, opções sexuais, gostos duvidosos e assim, associar você a interesses que influenciem no julgamento queseus amigos fazem de você e de sua honra.

Chantagem: expondo detalhes demais de sua vida e de sua família, você pode estar potencializando os golpes de chantagem, seqüestro falso ou qualquer outro em que conhecer o nome de seus familiares ou simplesmente onde passou suas últimas férias, poderá fazê-lo acreditar na veracidade do golpe e assim, ser alvo fácil.

Fraude Financeira: em função do conceito primário da rede de herança de confiança entre amigos, onde o amigo de um grande amigo seu passa a ter, supostamente, a sua confiança, você poderá ser levado a acreditar cegamente nele, sem, no entanto se lembrar de que não existe nenhum critério sério de avaliação e aceitação de amigos na rede. Desta forma, pedidos falsos de ajuda financeira, caridade ou qualquer outro passam a ter grandes índices de aceitação.

Phishing: a rede de relacionamentos pode até nem ser o ambiente de um golpe, mas sim uma fonte de informações valiosas para viabilizar outros golpes como o phising via email. Um email de phishing com um link falso mencionando dados e fatos pessoais será sem dúvida muito mais eficaz ao persuadi-lo.

REDES SOCIAIS E SEUS PERIGOS! (Cont.)

EXEMPLO DE EMAIL FAKE



MÃO NA MASSA!!!!

ESTRUTURANDO UM ATAQUE COM ENGENHARIA SOCIAL

Qual nosso alvo?


Localização da empresa no mapa


Informações sobre a empresa na Internet


Algumas informações iniciais...


Mais informações...


Mais informações...


E mais...


E mais...


E mais...


E mais...


E mais...

Razão Social: Maqpol Indústria e Comércio de Máquinas Texteis Ltda Endereço: Rua Luiza Lucas, 395 – Blumenau – Santa Catarina - BrazilCNPJ: 007.977.486/0001-61Contato do Administrador: Sebastião P. de Freitas Outros contatos:

•Paulo Alexandre da Silva ([email protected]) •Ricardo de Freitas ([email protected])

Dados pessoais dos envolvidos: Slide 21Telefone da empresa: (47) 3334 6145Emails da empresa: [email protected] / [email protected]ço IP: 200.234.213.203Localização servidor WEB:

•Av. Pres Juscelino Kubitschek, 1830, São Paulo - SP, 04543-000, 11 3073-1721

Versão Sistema Operacional: Windows 2003 Server SP2Versão Banco de Dados: Microsoft SQL Server 2000 SP4Versão Servidor WEB: Microsoft IIS 6.0Portas abertas para Internet: ftp, http, mssql, pop3, etc...


E finalmente... Algumas informações para iniciar um ataque de Engenharia Social

PARA PENSAR...

“O computador mais seguro do mundo teria de estar guardado num cofre, desligado, no fundo do oceano... Guardado por tubarões, exércitos e porta-aviões... E mesmo assim seria possível convencer alguém que o estivesse guardando a ligá-lo....”

Kevin Mitnick

ENGENHARIA SOCIAL

• PEIXOTO, Mário César Pintaudi. Engenharia Social e Segurança da Informação na Gestão Corporativa. Rio de Janeiro: Brasport,

Bibliografia

Documents

Segurança de Redes - ajeitarakoisa.files.wordpress.com · Hedwio Carvalho e Silva, MSc. [email protected] Segurança de Redes Aula 2 – Riscos e tipos de ataque