Incidentes de segurança da informação: Empregados como factor de sucesso

CONTEÚDO

• Os sítios Web são como livros abertos
• Simples é o mais perigoso
• Endereços de correio electrónico: O "capital" do phishing
• Sensibilização para a Segurança: O cavalo de Tróia aparece oficialmente
• Incidentes de Segurança da Informação: Um exemplo da vida real
• Segurança da informação: Empregados como factor de sucesso
• O todo e o fim de tudo: Sensibilizar os empregados para os ataques
• ISO 27001: Sensibilização como parte do catálogo de medidas
• Um incidente de segurança da informação geralmente significa caos
• A porta traseira para o seu sistema
• Falta de sensibilização: perfeito para um ataque direccionado
• Minimizar a probabilidade de ocorrência

Os sítios Web são como livros abertos

Sabe-se que a segurança informática e a segurança da informação são dois pares de sapatos bastante diferentes, mas as linhas ainda podem ficar desfocadas. Claramente, os incidentes de segurança informática conduzem regularmente a incidentes de segurança da informação. Claro, se eu for um hacker a comprometer uma rede corporativa, teria de estar sentado em frente ao ecrã com os olhos fechados convulsivamente para evitar apanhar uma ou outra informação que não era destinada a mim.

Contudo, também é possível que os ciber criminosos recolham inicialmente informações que, a longo prazo, lhes permitam atacar os sistemas informáticos da sua vítima escolhida em primeiro lugar.

Na plataforma de verificação de segurança greenhats.com, o nosso trabalho quotidiano é piratear empresas, identificar vulnerabilidades, e corrigi-las antes que os criminosos as encontrem.

Fiel ao lema "Vamos apenas falar sobre isso", neste artigo gostaria de vos explicar em pormenor um método de ataque que afecta toda a gente. E, juntamente convosco, gostaria de abordar a questão: Porque é que lhe estou realmente a dizer tudo isto?

Incidentes de Segurança da Informação: Simples é o mais perigoso

Estamos a falar, claro, do chamado "ataque de phishing" - não se preocupe, vou tentar poupar-lhe mais palavras estrangeiras e vocabulário informático. Nem sequer preciso delas, porque o phishing não é um ataque técnico, mas um ataque ao elo mais fraco da cadeia de (quase) todos os conceitos de segurança. Um ataque a pessoas.

Vamos supor que quero atacar-vos. Então não me sento ao acaso no meu caderno e começo a escrever em consolas pretas. Não, primeiro preciso... exactamente! Informação e dados pessoais. Isto inclui:

• Endereços de e-mail da sua empresa
• Nomes do seu pessoal informático
• Assinaturas por e-mail
• Informação sobre a sua identidade corporativa
• Um tópico interessante para os seus empregados

Assumindo que não sei nada a não ser o nome da vossa empresa, vou naturalmente primeiro ao website, leio e aprendo tudo o que há para aprender. Acima de tudo, estou interessado nos endereços de e-mail e nas pessoas de contacto das vossas IT. Porque no ataque seguinte, quero enviar um e-mail falso ao maior número possível de empregados (cujos endereços preciso), evitando ao mesmo tempo enviar o máximo possível para as IT também.

Endereços de correio electrónico: O "capital" de um ataque de phishing.

Quando encontro alguns endereços de correio electrónico, obtenho o padrão. Por exemplo, "firstname.lastname@samplecompany.com". Por isso, tento disfarçar a lógica de como o endereço de e-mail do funcionário pode ser deduzido do seu nome.

Depois vou de novo para a Internet - desta vez para as redes sociais. Não estou a falar dos jogadores "maus" como o Facebook & Co. XING e LinkedIn são muito mais interessantes.

Aí procuro a vossa empresa e vejo quais as pessoas que declaram trabalhar para esta empresa. Desta forma obtenho uma lista de nomes a partir da qual podemos obter endereços utilizando o padrão identificado. Ao mesmo tempo, já posso dizer a partir dos perfis nas redes sociais qual dos vossos colegas poderia potencialmente reconhecer o meu próximo ataque com base na sua experiência profissional e interesses informáticos.

Estes colegas não receberão qualquer correio falso da minha parte.

Sensibilização para a segurança: O cavalo de Tróia aparece oficialmente

Agora que conheço o meu alvo de ataque, quero imitar-me a mim próprio como funcionário da vossa empresa. Para o fazer, primeiro estabeleço contacto convosco. Através dos canais oficiais, por exemplo, como potencial cliente. Escrevo-lhe um e-mail e peço-lhe uma citação. Responde - idealmente com uma carteira de produtos ou similar.

A sua resposta fornece-me informações valiosas:

• Como é que é a sua assinatura de e-mail?
• Que tipos de letra utilizam?
• Onde colocam o vosso logótipo em documentos?
• Como é que destacam as rubricas?
• Que cores utilizam?
• E, e, e...

Até agora, não é ciência de foguetes. Mas cuidado - aí vem o truque. Vamos supor que a sua empresa se chama "SampleCompany" e pode ser encontrada na Internet em "samplecompany.com". Depois procuro agora um endereço na Internet, que se assemelha muito ao seu endereço. Por exemplo "samplecompany.eu". Eu compro este endereço (custa realmente apenas alguns euros) e posso agora construir o meu ataque sobre ele.

Porque a partir de "firstname.lastname@samplecompany.eu" posso enviar e-mails com a vossa assinatura que parecem ter vindo directamente de vós. Não me interessa que nomes ou sinónimos utilizo como remetente, porque tecnicamente não faz diferença.

Incidentes de segurança da informação: Um exemplo da vida real

O seu gestor de negócios não é o seu gestor de negócios

Isto pode ser realmente perigoso se eu fingir ser o administrador das vossas IT, por exemplo. Escrevo-lhe um e-mail e a todos os seus colegas, no qual chamo a sua atenção, por exemplo, para um novo portal de vídeo para reuniões à distância, onde todos os funcionários devem autenticar-se uma vez para verificar se os contactos existentes foram transferidos.

Ou quando vos escrevo como assistente do vosso director-geral e explico que a festa de Natal foi cancelada devido à pandemia, mas em vez disso cinco iPhones novinhos em folha estão a ser sorteados pela direcção. Para garantir que todos acabem no pote da lotaria apenas uma vez, peça a cada empregado que se autentique uma vez no portal anexo - os vencedores serão então anunciados no final de Dezembro.

Área de login falsa: Jogo de criança em tempos de digitalização

Independentemente do método que eu escolher - tenho de lhe enviar um link que leve ao dito "portal". Este poderá então ser "raffle.samplecompany.eu" ou "portal.samplecompany.eu".

Também neste momento posso dar rédea solta à minha criatividade. Uma vez que sou dono da página correspondente, só tenho de construir ali algo que pareça digno de confiança para si e para os seus colegas. No caso do concurso, por exemplo, uma agradável área de login no desenho da sua empresa, com o seu logotipo e talvez um pequeno Pai Natal. Ou algumas estrelas cadentes.

As senhas acabam com o atacante - em texto simples

Claro, a segurança é uma prioridade máxima no meu portal! Tudo está excelentemente encriptado e torna-se impossível para terceiros ler os seus dados. Afinal de contas, está a introduzir nomes de utilizador e palavras-passe, que são informações sensíveis. De um ponto de vista técnico, tudo isto é absolutamente sério. Os seus dados são transferidos com segurança e acabam nas melhores mãos - as minhas.

A propósito, a complexidade da sua palavra-passe é completamente irrelevante em tal ataque; acaba em texto simples com o atacante. E tenha em mente que (mesmo que minimamente mais complexo) uma grande variedade de soluções de 2 factores pode ser "phishing" se eu adaptar o meu portal em conformidade.

Segurança da informação: Empregados como factor de sucesso

Prometi-lhe esclarecer a questão mais importante no final: Porque é que vos estou a dizer tudo isto? A resposta é: Quem mais?

É importante compreender que o ataque que estou a descrever é - de um ponto de vista puramente técnico - não é de todo um ataque. Estou a escrever-vos um e-mail a partir de um endereço que me pertence realmente. Não tem sequer um anexo, quanto mais malware. É redireccionado para uma página na Internet que não tenta comprometer o seu sistema. E como descrevi anteriormente, este site é também perfeitamente seguro e todo o tráfego é codificado de forma óptima.

É assim com outros sites (respeitáveis) a que se liga. E tal como introduz a sua senha privada no LinkedIn ou XING para se autenticar, introduza-a agora no meu sítio.

É importante compreender que, do ponto de vista técnico, não estou a forjar um e-mail. Estou a forjar a vossa empresa inteira.

E é exactamente por isso que as medidas de protecção técnica não funcionam. A solução está em detectar e prevenir o ataque - e isso depende de si. Tal como as medidas apropriadas para sensibilizar os funcionários neste sentido.

Porque, se eu criar este cenário de forma limpa, a detecção do ataque só é possível se notar a diferença no endereço, portanto, no nosso caso, o ".eu" em vez do seu ".com". Estou ciente de que um ou outro de vós tem agora a certeza absoluta de ter a visão geral necessária para o fazer, mesmo no vosso stressoso trabalho quotidiano. Por isso, gostaria de dar aos mais avançados de vós um pouco de reflexão:

Reconheceriam também a "samplecompany.com" como uma falsificação? Uma pequena dica: O "l" não é um L, mas sim a letra grega "Iota". Para o olho humano não há diferença entre eles, o seu computador provavelmente vê-o de forma um pouco diferente. Posso assegurar-vos que em todos os ataques de phishing que simulámos para empresas, não houve um único cliente em que nenhum empregado tenha revelado os seus dados.

O todo e o fim de tudo: Sensibilizar os empregados para os ataques

Por isso, a questão não é se os seus colegas cairiam em tal ataque. A questão é muito mais: quantos empregados irão reconhecer o ataque, com que rapidez irão denunciá-lo às IT, e quanto tempo as IT têm de responder.

É exactamente aqui que o funcionário se torna um factor de sucesso para uma maior segurança da informação e segurança das IT em termos de sensibilização para a segurança.

Não quero ser um daqueles hackers brancos que guardam as suas estratégias para si próprios e desfrutam dos resultados desastrosos de tais ataques. Gostaria de contribuir muito mais convosco para tornar a vossa empresa um pouco mais segura.

Agora é a sua vez: O que acabo de vos descrever é apenas um exemplo das muitas formas em que as pessoas e o seu tratamento por vezes negligente da informação podem ser exploradas e utilizadas para obter lucro como atacantes. Os departamentos de IT só podem proteger contra isto de forma limitada ou nem sequer o podem fazer; essa é a sua função. Pense em ataques você mesmo, pense em como poderia sequestrar os seus colegas e fazer disso um tópico na mesa de almoço (virtual).

ISO 27001: Sensibilização como parte do catálogo de medidas

E depois, ponha a sua empresa à prova regularmente e faça com que o conhecimento faça parte do seu plano de segurança. Lendo um pouco nas entrelinhas, também encontrará isto na norma internacionalmente reconhecida para um sistema de gestão de segurança da informação (ISMS).

AISO/IEC 27001, por exemplo, exige que assegure o conhecimento e, assim, a sensibilização do elo mais fraco da cadeia sobre como lidar com a informação da sua empresa (Capítulo 7.3 e Anexo 7.2.2). Isto começa com algo tão simples como um endereço de correio electrónico. Outros requisitos regulamentares ou legais, tais como a GDPR, também visam a abordagem preventiva da prevenção de incidentes.

Satisfazer os requisitos da norma com medidas de sensibilização, tais como directrizes, formação, comunicação sobre notícias em curso, ou mesmo ataques simulados de phishing, tal como fazemos para os nossos clientes. E: Seja honesto consigo mesmo e pergunte-se o sucesso das suas medidas de formação anteriores na sua preparação para uma emergência como a que acabo de descrever.

Um incidente de segurança da informação geralmente significa caos

Já que estamos a falar de honestidade: Como reagiria realmente a um incidente de segurança da informação desencadeado por um ataque cibernético? É certo que o tema da segurança reactiva é sempre um pouco desconfortável, mas é algo de que se deve falar.

As pessoas gostam de pensar nisso como um exercício de alarme de incêndio - a dada altura durante as horas de trabalho, um sino toca inesperadamente, todos saem do edifício de forma ordeira e calma, esperam lá fora um pouco e conversam com os colegas sobre o tempo, e depois de algum tempo todos podem voltar a entrar e a caminho de tomar um café.

Mas não é bem assim.

A minha equipa já foi contactada por um par de empresas onde houve um ataque, e posso prometer-vos: É o caos. Mesmo vários dias após o evento propriamente dito. Entre outras razões, é porque os hackers modernos tiram partido da arrogância das suas vítimas.

Quero explicar-vos isto, por isso vamos voltar ao nosso ataque de phishing. Digamos que eu, como atacante, consigo ligar-me remotamente a um dos sistemas informáticos de um dos vossos colegas usando a sua palavra-passe. Acha que eu não saberia que alguém na sua empresa repara que houve aqui um ataque e o reporta às IT? Na melhor das hipóteses, sabe pessoalmente, estou plenamente ciente disso.

Incidentes de Segurança da Informação: A porta de trás para o seu sistema

É por isso que eu faço duas coisas: Primeiro, faço algo óbvio que irrita a sua empresa e que lhe dá algo para fazer. Por exemplo, envio e-mails de spam aos vossos clientes em nome do vosso colega. Isso destaca-se e dá-lhe a si e ao seu departamento de IT algo a fazer. Agora pode retirar todos os seus planos de contingência do armário e trabalhar através da imagem do incidente de segurança da informação - perfeito com os seus representantes de IT. Incluindo medidas de marketing sofisticadas que irão polir a imagem manchada para um novo brilho elevado e talvez fazê-lo parecer ainda melhor como um "sobrevivente" do que antes. Os profissionais podem fazer isto.

Mas ao mesmo tempo, como atacante, estou a tentar criar uma porta traseira para um sistema que a sua IT não notará em todo o burburinho. É como entrar numa joalharia, derrubar a maior vitrina, e colocar secretamente todos os anéis e relógios caros no meu bolso enquanto toda a gente está a verter sobre as peças partidas.

Escusado será dizer que a minha porta traseira é extremamente difícil de encontrar se não se souber o que se está à procura. E então eu não faço nada. Durante semanas, durante meses.

Agora estou a tentar trabalhar silenciosamente através da vossa rede corporativa. Sem quaisquer scanners de software "ruidosos", que irão esgotar a vossa rede e alertar os vossos sistemas de segurança. Completamente manual, quase da velha guarda. A propósito, é aqui que o trigo é separado do joio do lado do hacker. Se a sua rede só foi exposta a scanners de segurança em cenários de teste, isso não o ajudará em nada agora. Eu espalho-me e espero - pacientemente. Tento identificar quando e como são feitos os backups, quem comunica com quem, e onde a sua organização é mais sensível. No nosso exemplo, provavelmente faço isto à noite - ou pelo menos depois das horas centrais de trabalho, quando tenho ainda menos probabilidades de ser observado. E, claro, eu cubro os meus rastos todos os dias.

E depois - meses depois - ocorre o grande incidente de segurança da informação. Completamente do nada para a sua empresa. Por exemplo, utilizo então um dos numerosos Trojans de encriptação para o chantagear. "Coincidentemente", contudo, devido ao meu trabalho preliminar, corre sob os mais altos privilégios, contorna as suas medidas de segurança, e espalha-se primeiro para os sistemas com os seus ficheiros mais relevantes. E se, em todo o tempo que tive, reparei numa fraqueza no seu sistema de backup. Como já disse, o caos.

Falta de consciência: perfeito para um ataque direccionado

Sim, ainda estamos no nosso exemplo, mas isto não é Hollywood, de forma alguma. Esta é uma prática comum e uma razão chave pela qual ainda ouvimos e lemos tão frequentemente sobre empresas que lutam com tais Trojans de encriptação. Há alguns anos, estas foram mais ou menos desencadeadas na Internet, e apenas as ovelhas mais fracas do rebanho foram vítimas delas: as empresas que tinham uma fraca segurança técnica no exterior.

Hoje em dia as coisas são diferentes. A falta de consciência dos empregados é utilizada para atingir as empresas e só quando a vítima é totalmente controlada é que o software de ataque automatizado é implantado.

Continuo a acreditar que medidas proactivas de segurança informática e, em particular, uma forte consciência de segurança são os blocos de construção mais importantes no conceito de segurança informática de qualquer empresa - há simplesmente demasiados exemplos e casos concretos para sustentar isto. No entanto, uma consciência de segurança bem desenvolvida inclui também o entendimento de que é possível ser afectado. Incluo-me nisto. E, se isso acontecer, deve estar preparado.

Minimizar a probabilidade de ocorrência

Incluí deliberadamente o exemplo do alarme de incêndio nas minhas observações. Isto prepara a empresa para o evento que, apesar de todas as medidas pró-activas, um incêndio deflagra efectivamente. Algumas empresas também têm algo parecido para incidentes de segurança da informação e incidentes de segurança informática. E se isso for demasiado bom para si (depende sempre da empresa em cada caso individual), ainda tenho uma dica para si:

Se implementar testes de penetração ou outras simulações de ataque como parte das suas medidas de segurança proactivas, não se contente com a simples reparação das vulnerabilidades que encontrar. Faça sempre a pergunta: Será que esta vulnerabilidade foi explorada no passado? Já foram instalados backdoors?

Ou, dito de outra forma, tratar cada "descoberta" com a seriedade de um incidente real de segurança da informação. Dessa forma, minimizam-se as probabilidades de ocorrência, ao mesmo tempo que se põe à prova os planos de segurança reactivos - que sinceramente desejo que nunca precisem -. Como o alarme de incêndio.

Tudo isto faz parte da consciência e, ao mesmo tempo, apenas uma parte do todo. Com este importante componente, no entanto, esperemos que possam sorrir para mim quando eu vos perguntar: "Se amanhã me decidir a fazê-lo, poderei apanhar-vos com o pé errado? Esperemos que sim.

Confiança e perícia

Os nossos textos e brochuras são escritos exclusivamente pelos nossos peritos em normas ou auditores com muitos anos de experiência. Se tiver alguma dúvida sobre o conteúdo do texto ou sobre os nossos serviços ao autor, não hesite em contactar-nos.