terça-feira, dezembro 14, 2004

Engenharia social: fortalecendo o elo mais fraco - parte 2




Fonte:


Técnicas de defesa
Rafael Cardoso dos Santos

Dando seqüência ao primeiro artigo, e lembrando os casos citados como exemplo, gostaria de perguntar a você leitor: caso um Engenheiro Social seja contratado para adquirir alguma informação preciosa de sua empresa, o que vai impedi-lo de conseguir?

O firewall de última geração, configurado por especialistas caríssimos e auditado pela consultoria "extra-super-mega conceituada"? Os sistemas de IDS, ou melhor, IPS? Seu sistema de antivírus super atualizado com alertas centralizados? Seu filtro de e-mail? Sua ferramenta anti-spam? Acho que posso afirmar sem medo de errar: NÃO!

A utilização de tecnologia pode dificultar a invasão tecnológica. Pode impedir que adolescentes "script kiddies" descubram em sua rede uma vulnerabilidade e a explorem lhe causando algum prejuízo superficial. Porém, "a verdade é que não existe uma tecnologia no mundo que evite o ataque de um Engenheiro Social" (aliás, esta frase não é minha, embora eu a utilize muitas vezes. Ela é de autoria do Kevin Mitnick, no capítulo 15 de seu livro "A Arte de Enganar").

Se não existe tecnologia para impedir o ataque de um Engenheiro Social, então nada pode ser feito? Errado! As empresas pouco se preocupam com esta ameaça em potencial. Por isso esta ameaça é tão perigosa e representa tanto risco. Afinal é difícil ou quase impossível detectar se a empresa foi alvo de um ataque desta natureza até ser tarde demais.

Poucas estatísticas ajudam aos Engenheiros Sociais a se manterem como a maior ameaça às informações das empresas, pois devido à quase que total falta de informações sobre o assunto, os executivos pouco podem fazer nas tomadas de decisão.

Relendo o livro do Mitnick esta semana, deparei-me com mais uma frase de efeito: "Em testes de invasão onde são empregadas técnicas de Engenharia Social o índice de sucesso tem sido de quase 100%". Em conversas informais com colegas que trabalham em consultorias, tive essa confirmação. Quando tudo o mais falha, vem a Engenharia Social e consegue burlar os controles implementados.

A Segurança da Informação é sempre associada a uma corrente e a escolha do elo mais fraco desta corrente é uma unanimidade: o usuário. Para conseguir mitigar o risco da Engenharia Social é necessário combatê-la como ameaça grave, fortalecendo o elo mais fraco.

Para conseguir esta façanha, gostaria de recorrer a nossa conhecida ISO/IEC 17799:2000. Em suas primeiras páginas são encontradas dicas importantíssimas que se forem seguidas fortalecerão as empresas no combate à Engenharia Social. Vejamos então os controles considerados essenciais:

- Proteção de dados e privacidade de informações pessoais;

- Salvaguarda de registros organizacionais;

- Direitos de propriedade intelectual.

A ISO 17799 fala em sua primeira página: "A informação é um ativo que, como qualquer outro ativo importante para os negócios, tem um valor para a organização e conseqüentemente precisa ser protegida". Assumindo esta afirmação como verdade, pergunto: as empresas têm se preocupado em proteger sua lista de ramais internos? Será que está sendo empregada alguma medida de segurança para não divulgação do nome da secretária do presidente da empresa?

Acho que em muitas empresas estes exemplos chegam direto ao alvo. Lembra dos controles essenciais apontados pela amiga ISO? A lista de ramais ou o nome da secretária do presidente não seriam registros organizacionais? O nome da secretária do presidente não seria uma informação pessoal ou privada?

Simplesmente o nome dela não, mas o nome dela associado à sua função pode ser uma informação útil para um Engenheiro Social. Juntamente com uma lista de ramais internos, muito pode ser conseguido. Mesmo parecendo inofensivas estas informações, elas não são se forem usadas em um ataque de Engenharia Social.

Pense: quantos funcionários de sua empresa dariam informações, até sigilosas, a alguém que saiba o ramal do presidente, se diga a mando de sua secretária - mencionando seu nome? Imagine-se recebendo uma ligação: "Alô, aqui quem fala é José. Estou ligando para saber se é o Sr. X quem trata de assuntos referentes a TI. Sou de uma consultoria abc e estou trabalhando a mando do Sr. Fulano (Presidente). Inclusive acabo de falar com D. Maria (secretária do presidente) que me disse o seu ramal e falou que você poderia me ajudar. Poderia me dar algumas informações?" Será que você daria alguma informação? Seja sincero...

Continuando a linha de raciocínio da ISO, vemos na mesma página três os controles considerados melhores práticas para a Segurança da Informação:

- Política de Segurança da Informação;

- Definição de Responsabilidades;

- Educação e Treinamento em Segurança da Informação;

- Relatório dos incidentes de segurança;

- Gestão da Continuidade do Negócio.

Como podemos ver, os três primeiros controles considerados como melhores práticas de Segurança da Informação são, em conjunto, a chave para o fortalecimento do elo mais fraco, inclusive seguindo-se em ordem cronológica. A ISO ainda fala mais. Entre os fatores críticos para o sucesso da implementação da Segurança da Informação estão:

- Comprometimento e apoio visível da alta administração;

- Divulgação eficiente da segurança para todos os funcionários;

- Distribuição das diretrizes sobre as normas e política de segurança da informação para todos os funcionários e parceiros;

- Proporcionar educação e treinamento adequados.

Pronto. Seguindo apenas as primeiras páginas da ISO já podemos ter uma boa noção de como fortalecer nosso elo mais fraco: através da arte da conscientização. Conscientizar é criar uma consciência. É ganhar a confiança do usuário a fim de fazê-lo colaborar com a segurança das informações.

Como mencionei no meu artigo "Policiais Corporativos", nossa melhor ferramenta de segurança é o usuário. Transformar o usuário em um agente de segurança, em um "Policial Corporativo" é nosso desafio. Desafio este que se conseguido trará bons frutos. O prêmio é um ambiente infinitamente mais seguro. Se a equipe de Segurança da Informação conseguir ganhar um funcionário de cada setor, aumentará e muito o nível de segurança da corporação. Vai conseguir multiplicar as informações de forma muito mais proveitosa e a consciência de segurança estará fazendo parte do dia-a-dia.

Tendo como base a ISO, gostaria de propor um modelo simples e que pode variar de corporação para corporação. Este modelo precisa de alguns requisitos fundamentais:

- Política de segurança bem definida;

- Processos críticos mapeados;

- Análise de risco concluída;

- Seleção de controles aplicada;

- Definição clara das responsabilidades.

Com estes passos concluídos é preciso expandir a equipe de segurança. Ganhar os usuários se faz necessário. Isso se iniciará quando a Política de Segurança começar a ser divulgada. Entra em jogo a Engenharia Social Corporativa, também mencionada no artigo "Policiais Corporativos": a utilização desta técnica proporcionará melhor integração entre você, profissional de segurança, e sua nova ferramenta: o usuário.

O leitor deve estar se perguntando: mas então para se defender de ataques de Engenharia Social eu preciso utilizar também a Engenharia Social? De certa forma sim, pois nenhuma tecnologia vai obter 100% de sucesso caso seus usuários estejam lutando contra a equipe de Segurança da Informação.

O Engenheiro Social tem como objetivo ganhar a confiança de seu usuário para que ele, com os acessos concedidos a ele, realizem tarefas que um atacante não conseguiria. Ele busca obter informações com seu usuário que só conseguiria se fizesse parte de sua empresa ou realizasse uma invasão.

O maior objetivo do Engenheiro Social é fazer de seu usuário uma porta de acesso que burle todos os controles tecnológicos de segurança implementados. Passam pelo Firewall, enganam o IPS, não tomam conhecimento do Antivírus e tudo isso porque utilizam acessos válidos. Concedidos gentilmente pelo seu usuário.

Muitas tecnologias podem fortalecer a segurança de sua empresa. Hoje em dia uma ferramenta cada vez mais útil para este tipo de defesa são os filtros de conteúdo, tanto de web quanto de e-mail. Outra ferramenta importante é o anti-spam. Além de ferramentas computacionais, recursos como identificador de chamadas podem ajudar e muito no combate à Engenharia Social. A implementação de controles como ligação de retorno para identificar se a origem é verdadeira podem ser muito úteis.

Imagine-se recebendo uma ligação destas empresas de pesquisa de mercado, ou melhor, imagine-se recebendo uma ligação da Módulo para a pesquisa anual de segurança da informação. Como saber se quem está fazendo as perguntas é quem diz ser? Uma boa saída é ligar de volta para ver se o telefone é da empresa mesmo.

Mas nenhuma delas terá o efeito esperado caso você, profissional de segurança, não tenha a mais importante delas: o usuário. Por isso algumas técnicas de Engenharia Social devem ser empregadas para que o usuário mude de lado. Jogue junto com você.

A Política de Segurança deve ser divulgada para todos os funcionários da empresa. Assim como o Engenheiro Social que está tentando te atacar, você deve identificar os diferentes tipos de usuário, seja por personalidade, seja por função, seja por nível hierárquico. Saber com quem está lidando é fundamental para conseguir dar o recado. E não somente isso, ganhar o usuário. Transformá-lo em uma ferramenta em suas mãos.

Pense: como fazer com que um Diretor realize alguns cliques a mais para aumentar a segurança? Pois é, coisa difícil é mudar a rotina do alto escalão. Mas são eles os principais alvos. A informação é sua aliada. Utilize exemplos de ataques e golpes utilizando a Engenharia Social. Crie uma caixa postal e um ramal específicos para que sejam reportados os incidentes. E, principalmente, sempre dê retorno a quem reportou o incidente. Um incidente de segurança reportado que não tenha um retorno vai fazer o seu usuário se voltar contra você e sua equipe.

Para outro grupo de usuários, utilize programas de premiação. Crie controle que permitam a você ter estatísticas sobre incidentes reportados, ataques impedidos e consultas realizadas. Isso mesmo, você deve estimular seu usuário a realizar consultas a fim de aumentar seu conhecimento.

Implemente seminários periódicos, onde sejam apresentados novos ataques, estatísticas e muita informação. Sempre de forma descontraída, mas sem esquecer da formalidade. Todo seminário deve ter sua lista de presença e um termo de compromisso. O usuário deve sair dali compromissado com a segurança das informações a que tem acesso.

Crie um rápido treinamento para todo funcionário que for contratado. Todos devem ter conhecimento de suas responsabilidades. Direitos e deveres. E lembre-se: premiação é melhor do que punição. Se um usuário descumpriu algum ponto da Política de Segurança, chame-o para uma conversa. Mostre a ele os motivos que fizeram a empresa criar a política de segurança e os perigos a que ele e a empresa estão sujeitos com o descumprimento da mesma. Documente o incidente e se comprometa a não levar o incidente a frente caso o funcionário se comprometa com a segurança das informações. Pronto! Tenho certeza que assim sua equipe ganhará mais um "Policial Corporativo".

Mas fique atento, pois reincidência deve ser punida. E mais, após a punição, os comentários boca-a-boca são bem vindos. Cada funcionário que ficar sabendo do caso ficará mais atento para não receber o mesmo castigo. Porém cuidado, este boca-a-boca não pode começar de forma oficial. Deve surgir em comentários informais e sempre que questionado, você deve fornecer o máximo de informações, não condenando, sempre conscientizando.

Finalmente, gostaria de deixar um questionamento: o usuário que sabe dos perigos da Engenharia Social, sabe como agem os atacantes e principalmente sabe como se defender é ou não é uma poderosa ferramenta para a Equipe de Segurança? Cabe a você profissional de Segurança da Informação transformar seus usuários nestas ferramentas poderosas.


Links:
- Engenharia social: atacando o elo mais fraco - parte 1
- Policiais corporativos

Nenhum comentário:

Postar um comentário

Aúncio