5 de agosto de 2010

A Engenharia Social


Por Jorge Paulino

Engenheiro Eletricista e de Produção

A Engenharia Social é a técnica que consiste na obtenção de informações de caráter sigiloso ou a habilidade de enganar pessoas objetivando violar os procedimentos de seguranças, o termo vem do inglês “social engineering”, que designa a arte de contornar dispositivos de segurança, podemos também defini-la como uma técnica de roubo de informações importantes por descuido, persuasão de pessoas ou despreparo da equipe técnica e/ou funcionários.

É a habilidade em obterem-se informações através de manipulação, obtenção de dados ou informações privilegiadas / sigilosas por acesso indevido a determinado ambiente ou sistemas - Organogacionais ou Computacionais.

Os Principais alvos de um ataque e as Estratégias de Proteção
Com todo os aparatos de segurança disponíveis e várias empresas especializadas, dificilmente encontraremos alguma empresa ou organização que não tenha sido vítima de um ataque de engenharia social.
No nosso próprio dia a dia, quem nunca se viu questionado sobre um assunto e, acabou falando dados sem a percepção do conteúdo dito.
Quem nunca falou sobre algum emprego, vaga e oportunidades de compra e, alguém da nossa relação acaba se beneficiando dessa informação e nos questionamos - mas como ele sabia?
Imagina isso em grandes organizações, empresas, órgãos do governo, instituições financeiras, militares e etc...
São situações idênticas, porem envolvem pessoas preparadas, e as formas de ataque são cada vez mais audaciosas e altamente eficazes, e dificilmente deixam rastros, ou quando o deixam é de difícil rastreabilidade que acabam dificultando as ações de combate e a mensuração dos prejuízos.
Área de Risco
Técnica de Ataque
Estratégia de Segurança
Portarias
Acesso físico de pessoas não autorizadas
Treinar os funcionários envolvidos na área de segurança para não permitirem o acesso de pessoas sem o crachá de identificação ou autorizados e ainda checarem a informação
Prédios
Livre acesso às dependências do prédio inclusive as de caráter restrito
Os visitantes deverão estar sempre acompanhados por um funcionário da empresa; nunca digitar senhas na presença de pessoas estranhas ao setor.
Manter todos os documentos ou relatórios longe do alcance de pessoas não autorizadas e de preferência em envelopes lacrados.
CPD, Informática (suporte/
manutenção), Central Telefônica e Call Centers
Instalação de programas espiões e analisadores de protocolo para conseguirem burlar a segurança e obter informações confidenciais como senhas da Internet ou Intranet; remoção de equipamentos; roubo de senhas de acesso a linhas telefônicas.
Criar senhas fortes e fazer uso consciente da mesma, alterando-a periodicamente.
Manter CPD e sala dos servidores sempre trancadas, e no caso de necessidade restringir o acesso aos técnicos da área, manter o inventário de equipamentos atualizado; controle de acesso às linhas telefônicas; desenvolver uma política de constante alteração das senhas e emitir constantes alertas aos funcionários para manterem em sigilo as suas senhas e evitarem o transito de informações confidenciais por telefone.
Depósito de lixo
Vasculhar o lixo buscando
de informações privilegiadas, por descartes simples sem a observância de medidas de segurança.
Guardar o lixo da empresa em lugar seguro, triturar todo documento, e destruir todo o tipo de mídia magnética descartada.
Como ocorre a Engenharia Social:
1- Os Estudos Preliminares - O engenheiro social, busca as mais diversas informações dos usuários como, por exemplo, o número de CPF, data de nascimento, nomes dos pais, manuais da empresa, etc.; informações estas, que ajudarão no estabelecimento de uma relação com alguém da empresa ou indivíduo visado.
2- A abordagem inicial - Exploração de um relacionamento – O engenheiro social procura obter informações da vítima ou empresa como, por exemplo, senha, agenda de compromissos, dados de conta bancária ou cartão de crédito a serem usados no ataque. O ser humano costuma se agradar e sentir-se bem quando elogiado, ficando mais vulnerável e aberto a dar informações, sem perceber o conteúdo da sua fala.
3- O Planejamento – com base nas informações coletadas, são exploradas todas as variáveis possíveis e construído todo um planejamento através dos dados obtidos.
4- A Simulação do Ataque – O Engenheiro Social testa a eficiência do plano, a execução ocorre até a completa assimilação de todos os envolvidos.
5- A ação – com base na estratégia de ação, são analisados os fatores humanos, psicológicos e físicos da estratégia, e a partir daí são colocados em práticas os movimentos iniciais da ação.
As formas de prevenção e proteção
A melhor estratégia de proteção à Engenharia Social é a utilização do bom senso, as empresas investem na manutenção de sistemas, em novas tecnologias, porem esquece de investir em palestras e treinamentos dos funcionários.
As palestras e treinamentos devem ser extensivos a toda a empresa e de forma hierarquizada, de acordo com o seu grau de envolvimento, porem em comum é o fato de quando houver indícios de “ataque”, deverá haver um alerta imediato.
Principais Medidas para a Prevenção e Proteção
Estratégias de Segurança
Abordagem
Treinamentos e Palestras
Conscientização dos funcionários do valor e da responsabilidade da informação que elas tem acesso, tanto as de aspecto pessoal quanto as institucionais.
Política de Segurança Patrimonial
Dispor de funcionários de segurança treinados a fim de monitorar entrada e saída da organização e com os controles de acesso as dependências do prédio.
Política de Segurança de Informações/ Controles de Acesso à Internet/intranet
Estabelecer procedimentos que eliminem quaisquer trocas de senhas.
Estimulo ao uso de senhas de difícil descoberta evitando as óbvias e imediata remoção das contas de usuários que não mais façam parte da instituição.
Criação de mecanismos de controle de acesso e restrição de acessos evitando privilégios a mínimos a usuários, de acordo com a sua área/setror - a fim de que estes possam realizar suas atividades.
Criar o controle de acesso restringindo a permissão de usuários que possam criar/remover/alterar contas e instalar software danosos à organização.
A engenharia social explora as vulnerabilidades, e grande parte dos incidentes tem como fator predominante a intervenção humana.
Muitas vezes, os investimentos em segurança não acompanham o crescimento das empresas, a segurança tem a ver com atualizações tecnológicas, de pessoas e dos processos.
É recomendável uma política de segurança centralizada, investimentos no fator humano e nas atualizações tecnológicas e em casos de ataque, possuir um plano de contingência (o Plano B)-evitando em casos de ataque a descontinuidade dos processos.
Fontes:
A Arte de Enganar , Kevin D. Mitnick e William L. Simon
Engenharia Social - Um Perigo Eminente, Marcos Antonio Popper e Juliano Tonizetti Brignoli, Monografia (Conclusão de Pós-Graduação – ICPG -Gestão Empresarial e Estratégias de Informática da Universidade da Região de Joinville.
Sugiro o excelente vídeo A Arte de Enganar com a Engenharia Social - Palestra realizada por Marcos Flávio Araújo Assunção, onde ele apresenta os principais tipos de golpes e fraudes realizados pelos chamados Engenheiros Sociais, disponível no Canal Engenharia ver em http://engenharianodiaadia.blogspot.com/p/engenharia-em-videos.html.
Autorizada a reprodução total ou parcial deste Artigo, desde que citada a fonte. Vedada a memorização e/ou recuperação total ou parcial, bem como a inclusão de trechos ou partes, em qualquer sistema de processamento de dados.

5 comentários:

  1. Por conta da minha área, educacional, estranhei que o termo tivesse os significados que pontuou. O termo, Social, tem sempre outras conotações e aqui me deparei com o avesso de todos eles. Gostaria de assistir ao vídeo que sugere, mas não há o link.

    Estou mesmo envolvido numa "reengenharia" gerencial de uma unidade educacional e as dicas serão observadas.

    Se souber o link, seria proveitoso.

    Forte abraço!

    ResponderExcluir
  2. Caro amigo Gilmar, não localizei no comentário o seu email, mas o vídeo está na Página Canal Engenharia, só clicar na Câmera do Canal Engenharia-Lado direito no alto, que lá está disponível a página de vídeos incluindo o link da Palestra.

    "Sugiro o excelente vídeo A Arte de Enganar com a Engenharia Social - Palestra realizada por Marcos Flávio Araújo Assunção, aonde ele apresenta os principais tipos de golpes e fraudes realizados pelos chamados Engenheiros Sociais, disponível no Canal Engenharia."

    Verei uma forma de facilitar esse entendimento, no texto creio que vc tocou num ponto da dificuldade de achar os vídeos, pois eu acho que vídeos informativos e educativos são excelentes complementos na capacitação e informação dos leitores.

    Fica aqui o meu agradecimento pelo comentário e qualquer dúvida ou leitura complementar, estarei a disposição para discutirmos.
    Um grande abraço.

    Eng. Jorge Paulino

    jorgefpaulino@hotmail.com
    eng.jorgepaulino@hotmail.com
    www.meadiciona.com/jorgefpaulino
    engenharianodiaadia.blogspot.com

    ResponderExcluir
  3. Inteligente teu espaço, caro!
    te seguirei, abs

    ResponderExcluir
  4. Valeu Cristiano, espero sempre contar com comentários, que é uma excelente ferramenta de avaliação do trabalho.

    Abç

    ResponderExcluir
  5. Hi,how are you today?I have surfed your blog serveral times, your blog is great. If you have time, you can visit my blog and feel free give me some comment, more important thing is being my follower! Thank you very much.

    (My blog is share-how-why.blogspot.com)

    ResponderExcluir

A Engenharia no Dia a Dia - No ar desde Maio de 2009

Navegando no Conhecimento

Top Sites Elétrica / Tecnologia

O Brasil Sustentável

Na Blogsfera

Mary PopPowered by BannerFans.com
create your own banner at mybannermaker.com!Quanta Besteira - Humor sem FrescuraCinema Jogos

Entre Amigos

Minha lista de blogs

Googlando pela Web

GOOGLE ART PROJECT Tour pelos Museus do Mundo GOOGLE MAPS Rotas, Ruas e Trânsito GOOGLE LIVROS Livros a um Clique GOOGLE SCHOLAR A sua Fonte de Pesquisa em Trabalhos Acadêmicos

Rodapé

Share |
original feed A Engenharia em Feed
Link-Me20 Minutos
This website has page rank 3. Information provided by WebmasterHandyTools.com Creative Commons License
Termos de Uso
Copyright © 2009 - 2010
Engenharia no dia a dia / por Engenheiro Jorge Paulino
Melhor visualizado com Firefox - 1024x768
<< Voltar ao Início da Página
Related Posts with Thumbnails