A facilidade com que os invasores comprometem os usuários por meio de ataques pelo lado do cliente (por meio do computador do usuário) ou engenharia social, além dos ataques por esforços Bring your own device (Byod), são claros indicadores de que o perímetro de segurança não é o suficiente para proteger os dados corporativos. Isso não é o mesmo que dizer que não há motivo para as empresas melhorarem seu perímetro de defesa. Entretanto, as estratégias precisam ser atualizadas para abranger as mudanças dos cenários de ameaças.
Curta, no Facebook, a Fan Page do IT Web
A natureza do uso de computadores corporativos mudou os limites para desktops e dispositivos móveis dos usuários. A interação constante dos usuários com serviços de nuvem e sites de redes sociais estão arrefecendo a defesa tradicional. Para se adaptar, os profissionais de segurança deverão encontrar novos desafios de segurança ao considerar suas medidas defensivas da mesma forma que um invasor as encara.
Como? Partindo para a ofensiva.
Quando observa-se o processo típico de ataque, ele inclui: reconhecimento, escaneamento, exploração, acesso de manutenção e limpeza. Para os invasores terem sucesso, têm duas opções. Podem acessar um alvo de oportunidade que é fácil e não exige muita preparação (geralmente algo que eles simplesmente encontram), ou podem optar por um ataque direcionado, que exige pesquisa e, muitas vezes, paciência.
O reconhecimento, apesar de comumente ignorado e deixado de lado, é uma fase fundamental para a realização de ataques direcionados bem-sucedidos (e testes de penetração) com informação sobre o alvo. Muitas vezes chamado de Osint (open source intelligence, ou inteligência de open source) porque usa fontes disponíveis publicamente, a fase de reconhecimento é qualquer coisa que possa ajudar o invasor a chegar ao seu objetivo. Os profissionais de segurança podem usar as mesmas ferramentas e técnicas que os invasores para identificar dispositivos expostos na internet e usuários vazando informações sensíveis por meio de sites de redes sociais, e então abordar esses problemas antes que sejam usados durante um ataque.
Onde começar? O ponto inicial mais simples são os mecanismos de pesquisa da internet, como o Google, Bing e Yahoo. Pesquisas por nomes de empresas, nomes de arquivos, número de funcionários e outras informações podem revelar arquivos vazados, dados jogados no Pastebin ou planos de atacar a empresa. Durante anos, vi pesquisas transformarem em tudo, desde divulgações acidentais de informações de pacientes e funcionários em sites de empresas a evidências de comprometimento de credenciais de usuários e nomes de servidores em um quadro de avisos online.
É importante observar que o uso de mecanismos de pesquisa não pode ser feito apenas uma vez, porque o conteúdo muda constantemente. Talvez o mecanismo não tenha achado o site com o conteúdo ou o conteúdo pode ainda não ter sido publicado. De qualquer forma, não é um trabalho de horas e pronto, e é por isso que pesquisadores da Stach & Liu desenvolveram um suite de ferramentas chamado ?Search Diggity?, para ajudar profissionais de segurança com pesquisas com maior objetivo que podem ser automatizadas.
Os sites de redes sociais contribuíram bastante para a mudança no perímetro e a habilidade de funcionários postarem informações reveladoras e interagirem praticamente com qualquer pessoa, incluindo invasores, do mundo todo. Algumas das coisas interessantes incluem nomes de colegas de trabalho, localização do escritório, imagens de dentro das instalações da empresa (como data centers) e informações pessoais (como aniversário, estado civil, nome dos filhos). Invasores podem então usar essa informação por meio de engenharia social para convencer os usuários a abrir mão de senhas ou conseguir as questões exigidas para deletar uma senha.
Tim Tomes, consultor sênior da Black Hills Information Security, falou sobre o processo de reconhecimento durante sua palestra ?Next Generation Reconnaissance” (A próxima geração do reconhecimento), no Hack3rCon 2012. Durante a discussão, ele lançou o Push Pin, uma ferramenta de reconhecimento que tem como alvo específico informações postadas em sites de redes sociais como Twitter, YouTube, Flickr, Picasa, Instagram e Oodle.
O aspecto mais fascinante sobre o PushPin é que ele pesquisa os sites não por um termo específico, mas por localização. Quer buscar informações postadas por funcionários de um local específico? Entre as coordenadas de GPS do escritório e receba postagens do Twitter, imagens do Flickr e Instagram e vídeos do YouTube. Tim disponibilizou sua ferramenta gratuita com base em Python aqui.
Outras fontes de dados incluem DNS e informações de rede publicadas em sites como Robtex, onde endereços de IP, intervalos da rede e nomes de domínio podem ser pesquisados. Há também o excelente mecanismo de pesquisa Shodan, que contém banners de serviços de servidores acessíveis na internet por todo o mundo. Os profissionais de segurança podem achar todo tipo de informação, como redes internas e nomes de hospedagem expostos por meio de DNS ou serviços expostos sem intenção que o Shodan achou sem escanear ou tocar a rede alvo.
Além das interfaces de rede para esses sites, existem várias ferramentas para tornar as consultas mais rápidas e passíveis de scripts. A Dnsrecon é um exemplo excelente de pesquisa DNS e a ferramenta PushPin também consulta Shodan com base em informação de localização. Além disso, há o módulo shodan_search module em Metasploit, e um aplicativo iOS desenvolvido por Erran Carey.
Assim como todas essas fontes podem ser usadas para o mal, as equipes de segurança das empresas devem tirar vantagem delas para segurar suas redes. Informações publicadas em sites de redes sociais podem ser removidas rapidamente e a pessoa responsável identificada e aconselhada sobre o uso correto de tais sites. Serviços expostos descobertos por meio do Shodan podem ser tirados do ar ou bloqueados com uma rápida mudança de firewall.
Essas fontes estão por aí e são usadas por invasores e testadores de penetração. Por que não fazer o mesmo e usá-las antes que possam ser usadas contra você?
Tradução: Alba Milena, especial para o IT Web | Revisão: Adriele Marchesini
O Sberbank, maior banco da Rússia, está oferecendo modelos de inteligência artificial (IA) a países…
A Palo Alto Networks registrou forte aumento na procura de clientes por orientações sobre segurança…
O iFood confirmou nesta terça-feira (03) o vazamento de dados cadastrais de aproximadamente 1,2 milhão…
O CEO da OpenAI, Sam Altman, participará da cúpula do G7 na França em junho,…
A segurança digital passou a ocupar posição central na decisão dos brasileiros ao escolher uma…
A terceirização das operações de segurança cibernética vem se consolidando como estratégia predominante entre as…