SlideShare uma empresa Scribd logo

Hackeando Cérebros: Explorando o elo mais fraco da segurança

GDGFoz
GDGFoz

O documento discute como ataques de engenharia social exploram a fraqueza humana na segurança da informação. Ele descreve vários tipos de ataques, incluindo ataques por ego, simpatia e intimidação, além de analisar lixo e invadir instalações. O documento também fornece dicas sobre boas práticas de segurança.

Tecnologia
1 de 20
Baixar para ler offline
Hackeando Cérebros Explorando o elo mais fraco da segurança. Diego Neves diego@diegoneves.eti.br @diegoaceneves
~$ whoami ● Consultor de Tecnologia; ● Linux Sysadmin; ● Especialista em Redes de Computadores; ● Bacharel em Sistemas de Informação; ● Trabalho com Software Livre desde 2006; ● Membro do time de tradução do Debian para pt_BR; ● Amante de Rock n’ Roll, Hambúrguer e Cerveja.
Segurança da Informação Segundo a wikipedia: A segurança da informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor que possuem para um indivíduo ou uma organização. São características básicas da segurança da informação os atributos de confidencialidade, integridade, disponibilidade e autenticidade, não estando esta segurança restrita somente a sistemas computacionais, informações eletrônicas ou sistemas de armazenamento. O conceito se aplica a todos os aspectos de proteção de informações e dados. O conceito de Segurança Informática ou Segurança de Computadores está intimamente relacionado com o de Segurança da Informação, incluindo não apenas a segurança dos dados/informação, mas também a dos sistemas em si.
Engenharia Social Segundo a wikipedia: Em Segurança da informação, chama-se Engenharia Social as práticas utilizadas para obter acesso a informações importantes ou sigilosas em organizações ou sistemas por meio da enganação ou exploração da confiança das pessoas. Para isso, o golpista pode se passar por outra pessoa, assumir outra personalidade, fingir que é um profissional de determinada área, etc. É uma forma de entrar em organizações que não necessita da força bruta ou de erros em máquinas. Explora as falhas de segurança das próprias pessoas que, quando não treinadas para esses ataques, podem ser facilmente manipuladas.
Resumindo A arte de fazer com que pessoas façam coisas que normalmente não fariam para um estranho - e sendo pago para fazer isso. Kevin D. Mitnick
Como atacam: ● Atacam o lado mais fraco do sistema (o fator humano); ● Mostram-se prestativos e se tornam confiáveis ● Passam-se por alguém da empresa que nunca foi visto, como um secretário de um dos diretores; ● Intercalam em seus questionamentos, perguntas inofensivas, para não levantar suspeitas, usando alguns termos técnicos e jargões comuns.
Por que atacar o fator humano? ● Muitas empresas investem muito dinheiro na parte de segurança, Hardwares, Softwares, Câmeras... Ou seja, o invasor gastaria muito tempo ($$) para conseguir acessar a informação que necessita. ● O Investimento em treinamento pessoal quase nunca é levado a sério. Muitas vezes só é preciso pedir com jeitinho...
Vamos Atacar? ● Levantando os dados da vítima: ● Nomes de Domínios e IPs ● WhoIs: Cadastro de registros endereços eletrônicos: ● http://registro.br ● :~$ whois
Tipos de Ataque ● Ataques por Ego ● Ataques por Simpatia ● Ataques por Intimidação ● Análise do Lixo ● Invasão de Instalações
Ataques por Ego ● O Atacante apela para as características humanas mais básicas, o ego e a vaidade. "A vaidade é meu pecado predileto!" (Devil, The - The Devil Advocate) ● O Atacante se coloca como um receptivo ouvinte que as vítimas possuem para mostrar o quanto sabem. ● As vítimas normalmente são pessoas que se sentem desvalorizadas na empresa. ● Na maioria dos casos, as vítimas não tem ideia de que fizeram algo errado.
Ataques por Ego
Ataques por Simpatia ● O atacante finge ser um funcionário camarada, geralmente recém-contratado, com um problema real e urgente, a urgência faz com que a vítima não tenha tempo para seguir todos os procedimentos de segurança.
Ataques por Intimidação ● O atacante se passa por alguém de autoridade ou influência no cenário em questão, ou ainda um agente da lei. Cria razões plausíveis, para fazer algum pedido como troca de senha ou alguma alteração em conta de usuários. Caso encontre resistência por parte da vítima, tenta uma intimidação por parte de sanções contra ela, como demissão ou prisão.
Analise de Lixo ● Muitos empregados não dão importância para o que jogam fora, não sabendo o valor de todas as anotações, senhas, tarefas feitas, compromissos marcados... ● Isso é um prato cheio para quem tem acesso ao lixo empresarial.
Invasão das Instalações ● É possível que o invasor tenha acesso físico a empresa, analisando o fluxo de pessoal, conseguindo uniformes, conversando com pessoas nos pontos de ônibus ● Se passando por pessoal de empresas terceirizadas, como limpeza, manutenção de ar- condicionado, etc...
Invasão das Instalações
Boas Práticas de Segurança ● Gerais: ● Sempre relatar ligações suspeitas. ● Utilização de crachás de identificação. ● Destruir documentos sigilosos (triturar ou incinerar). ● Utilização de identificação pessoal. ● Nunca divulgar informações.
Boas Práticas de Segurança ● Uso do Computador ● Funcionários nunca devem inserir comandos ou baixar e instalar aplicativos solicitados por terceiros. ● Nunca divulgar nomes internos de sistemas, BDs. ● Nunca enviar senhas via e-mail. ● Controle de Acessos com hierarquia de prioridades. ● Nunca inserir nenhuma mídia de origem desconhecida (pendrive, cd, etc). ● Funcionários devem assinar contrato de confidencialidade.
Considerações Finais ● A Engenharia Social explora o lado mais frágil do sistema. ● Na grande maioria das vezes, o atacado só descobre o que aconteceu quando já não é mais possível corrigir a falha. ● A atenção sempre constante pode evitar muitas falhas, ter um pouco de maldade não faz mal a ninguém.
Perguntas? Diego Neves diego@diegoneves.eti.br @diegoaceneves

Recomendados

Palestra Segurança da Informação
Palestra Segurança da InformaçãoPalestra Segurança da Informação
Palestra Segurança da Informaçãomastroianni oliveira
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da InformaçãoMarco Mendes
 
Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”Jefferson Costa
 
Docência na Educação Profissional com a Temática Segurança da Informação
Docência na Educação Profissional com a Temática Segurança da InformaçãoDocência na Educação Profissional com a Temática Segurança da Informação
Docência na Educação Profissional com a Temática Segurança da Informaçãomastroianni oliveira
 
Segurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalSegurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalJefferson Costa
 
Palestra Sobre Engenharia Social
Palestra Sobre Engenharia SocialPalestra Sobre Engenharia Social
Palestra Sobre Engenharia SocialDavi Rodrigues
 
Segurança dos sistemas de informação
Segurança dos sistemas de informaçãoSegurança dos sistemas de informação
Segurança dos sistemas de informaçãoRodrigo Gomes da Silva
 
Aula02 conceitos de segurança
Aula02 conceitos de segurançaAula02 conceitos de segurança
Aula02 conceitos de segurançaCarlos Veiga
 

Recomendados

Palestra Segurança da Informação
Palestra Segurança da InformaçãoPalestra Segurança da Informação
Palestra Segurança da Informaçãomastroianni oliveira
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da InformaçãoMarco Mendes
 
Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”Jefferson Costa
 
Docência na Educação Profissional com a Temática Segurança da Informação
Docência na Educação Profissional com a Temática Segurança da InformaçãoDocência na Educação Profissional com a Temática Segurança da Informação
Docência na Educação Profissional com a Temática Segurança da Informaçãomastroianni oliveira
 
Segurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalSegurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalJefferson Costa
 
Palestra Sobre Engenharia Social
Palestra Sobre Engenharia SocialPalestra Sobre Engenharia Social
Palestra Sobre Engenharia SocialDavi Rodrigues
 
Segurança dos sistemas de informação
Segurança dos sistemas de informaçãoSegurança dos sistemas de informação
Segurança dos sistemas de informaçãoRodrigo Gomes da Silva
 
Aula02 conceitos de segurança
Aula02 conceitos de segurançaAula02 conceitos de segurança
Aula02 conceitos de segurançaCarlos Veiga
 
Proteja-se de um Insider Threat
Proteja-se de um Insider ThreatProteja-se de um Insider Threat
Proteja-se de um Insider ThreatMarcos Silva
 
Engenharia social senai - ppt
Engenharia social senai - pptEngenharia social senai - ppt
Engenharia social senai - pptCarlos Melo
 
CHEFE, O PENTEST FINALIZOU! … E AGORA?
CHEFE, O PENTEST FINALIZOU! … E AGORA?CHEFE, O PENTEST FINALIZOU! … E AGORA?
CHEFE, O PENTEST FINALIZOU! … E AGORA?iBLISS Segurança & Inteligência
 
Pen Test, Afinal o que é ? - FLISOL 2010
Pen Test, Afinal o que é ? - FLISOL 2010Pen Test, Afinal o que é ? - FLISOL 2010
Pen Test, Afinal o que é ? - FLISOL 2010Paulo Renato Lopes Seixas
 
5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidades5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidadesHumberto Xavier
 
Boas Práticas em Segurança da Informação
Boas Práticas em Segurança da InformaçãoBoas Práticas em Segurança da Informação
Boas Práticas em Segurança da InformaçãoRodrigo Bueno Santa Maria, BS, MBA
 
Segurança dos sistemas de informação parte 2
Segurança dos sistemas de informação parte 2Segurança dos sistemas de informação parte 2
Segurança dos sistemas de informação parte 2Rodrigo Gomes da Silva
 
Segurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de SegurançaSegurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de SegurançaGilberto Sudre
 
Engenharia Social
Engenharia SocialEngenharia Social
Engenharia Socialelliando dias
 
Aula01 introdução à segurança
Aula01 introdução à segurançaAula01 introdução à segurança
Aula01 introdução à segurançaCarlos Veiga
 
Triforsec segurança da informação
Triforsec segurança da informaçãoTriforsec segurança da informação
Triforsec segurança da informaçãoGeraldaDuarte
 
Tendências na segurança da informação
Tendências na segurança da informaçãoTendências na segurança da informação
Tendências na segurança da informaçãoFabio Leandro
 
Engenharia social
Engenharia socialEngenharia social
Engenharia socialMarlos Cesar
 
Aula import seg
Aula import segAula import seg
Aula import segJorgewfAlves
 
Como hackear tudo! na Campus Party BSB 2
Como hackear tudo! na Campus Party BSB 2Como hackear tudo! na Campus Party BSB 2
Como hackear tudo! na Campus Party BSB 2Alcyon Ferreira de Souza Junior, MSc
 
Honeypot para a Aquisição de Feeds de Ameacas
Honeypot para a Aquisição de Feeds de AmeacasHoneypot para a Aquisição de Feeds de Ameacas
Honeypot para a Aquisição de Feeds de AmeacasJefferson Macedo
 
Aula.revisao av2 gsi
Aula.revisao av2 gsiAula.revisao av2 gsi
Aula.revisao av2 gsiThais Oliveira
 
Seguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoSeguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoLuiz Arthur
 
Engenharia social
Engenharia socialEngenharia social
Engenharia socialKurte Wagner
 
Offensive security, o que é isso?
Offensive security, o que é isso?Offensive security, o que é isso?
Offensive security, o que é isso?Paulo Renato Lopes Seixas
 
FIREWALL 04.pptx
FIREWALL 04.pptxFIREWALL 04.pptx
FIREWALL 04.pptxADASVIEIRAArmazmPara
 
Segurança dos sistemas de informação
Segurança dos sistemas de informaçãoSegurança dos sistemas de informação
Segurança dos sistemas de informaçãoRodrigo Gomes da Silva
 

Mais conteúdo relacionado

Mais procurados

Proteja-se de um Insider Threat
Proteja-se de um Insider ThreatProteja-se de um Insider Threat
Proteja-se de um Insider ThreatMarcos Silva
 
Engenharia social senai - ppt
Engenharia social senai - pptEngenharia social senai - ppt
Engenharia social senai - pptCarlos Melo
 
5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidades5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidadesHumberto Xavier
 
Segurança dos sistemas de informação parte 2
Segurança dos sistemas de informação parte 2Segurança dos sistemas de informação parte 2
Segurança dos sistemas de informação parte 2Rodrigo Gomes da Silva
 
Segurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de SegurançaSegurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de SegurançaGilberto Sudre
 
Aula01 introdução à segurança
Aula01 introdução à segurançaAula01 introdução à segurança
Aula01 introdução à segurançaCarlos Veiga
 
Triforsec segurança da informação
Triforsec segurança da informaçãoTriforsec segurança da informação
Triforsec segurança da informaçãoGeraldaDuarte
 
Tendências na segurança da informação
Tendências na segurança da informaçãoTendências na segurança da informação
Tendências na segurança da informaçãoFabio Leandro
 
Honeypot para a Aquisição de Feeds de Ameacas
Honeypot para a Aquisição de Feeds de AmeacasHoneypot para a Aquisição de Feeds de Ameacas
Honeypot para a Aquisição de Feeds de AmeacasJefferson Macedo
 
Seguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoSeguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoLuiz Arthur
 

Mais procurados (20)

Proteja-se de um Insider Threat
Proteja-se de um Insider ThreatProteja-se de um Insider Threat
Proteja-se de um Insider Threat
 
Engenharia social senai - ppt
Engenharia social senai - pptEngenharia social senai - ppt
Engenharia social senai - ppt
 
CHEFE, O PENTEST FINALIZOU! … E AGORA?
CHEFE, O PENTEST FINALIZOU! … E AGORA?CHEFE, O PENTEST FINALIZOU! … E AGORA?
CHEFE, O PENTEST FINALIZOU! … E AGORA?
 
Pen Test, Afinal o que é ? - FLISOL 2010
Pen Test, Afinal o que é ? - FLISOL 2010Pen Test, Afinal o que é ? - FLISOL 2010
Pen Test, Afinal o que é ? - FLISOL 2010
 
5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidades5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidades
 
Boas Práticas em Segurança da Informação
Boas Práticas em Segurança da InformaçãoBoas Práticas em Segurança da Informação
Boas Práticas em Segurança da Informação
 
Segurança dos sistemas de informação parte 2
Segurança dos sistemas de informação parte 2Segurança dos sistemas de informação parte 2
Segurança dos sistemas de informação parte 2
 
Segurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de SegurançaSegurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de Segurança
 
Engenharia Social
Engenharia SocialEngenharia Social
Engenharia Social
 
Aula01 introdução à segurança
Aula01 introdução à segurançaAula01 introdução à segurança
Aula01 introdução à segurança
 
Triforsec segurança da informação
Triforsec segurança da informaçãoTriforsec segurança da informação
Triforsec segurança da informação
 
Tendências na segurança da informação
Tendências na segurança da informaçãoTendências na segurança da informação
Tendências na segurança da informação
 
Engenharia social
Engenharia socialEngenharia social
Engenharia social
 
Aula import seg
Aula import segAula import seg
Aula import seg
 
Como hackear tudo! na Campus Party BSB 2
Como hackear tudo! na Campus Party BSB 2Como hackear tudo! na Campus Party BSB 2
Como hackear tudo! na Campus Party BSB 2
 
Honeypot para a Aquisição de Feeds de Ameacas
Honeypot para a Aquisição de Feeds de AmeacasHoneypot para a Aquisição de Feeds de Ameacas
Honeypot para a Aquisição de Feeds de Ameacas
 
Aula.revisao av2 gsi
Aula.revisao av2 gsiAula.revisao av2 gsi
Aula.revisao av2 gsi
 
Seguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoSeguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - Novo
 
Engenharia social
Engenharia socialEngenharia social
Engenharia social
 
Offensive security, o que é isso?
Offensive security, o que é isso?Offensive security, o que é isso?
Offensive security, o que é isso?
 

Semelhante a Hackeando Cérebros: Explorando o elo mais fraco da segurança

Segurança dos sistemas de informação
Segurança dos sistemas de informaçãoSegurança dos sistemas de informação
Segurança dos sistemas de informaçãoRodrigo Gomes da Silva
 
Engenharia Social - A arte de enganar
Engenharia Social - A arte de enganarEngenharia Social - A arte de enganar
Engenharia Social - A arte de enganarAnderson Zardo
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicosGuilherme Neves
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicosGuilherme Neves
 
Apresentação Senac - FLISOL - TO 2012
Apresentação Senac - FLISOL - TO 2012Apresentação Senac - FLISOL - TO 2012
Apresentação Senac - FLISOL - TO 2012Anderson Menezes
 
SEGURANÇA DE REDES.ppt
SEGURANÇA DE REDES.pptSEGURANÇA DE REDES.ppt
SEGURANÇA DE REDES.pptAgostinho9
 
iNTRODUCAO-A-ENGENHARIA-SOCIAL-PRATICA-pdf - Copia.pdf
iNTRODUCAO-A-ENGENHARIA-SOCIAL-PRATICA-pdf - Copia.pdfiNTRODUCAO-A-ENGENHARIA-SOCIAL-PRATICA-pdf - Copia.pdf
iNTRODUCAO-A-ENGENHARIA-SOCIAL-PRATICA-pdf - Copia.pdfHelenaReis48
 
ENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdf
ENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdfENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdf
ENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdfHelenaReis48
 
E-book sobre Engenharia Social
E-book sobre Engenharia SocialE-book sobre Engenharia Social
E-book sobre Engenharia SocialMiguel Reis
 
Segurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente VirtualSegurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente VirtualBruno Felipe
 
3º SICT-Sul Minicurso Técnicas para segurança computacional
3º SICT-Sul Minicurso Técnicas para segurança computacional3º SICT-Sul Minicurso Técnicas para segurança computacional
3º SICT-Sul Minicurso Técnicas para segurança computacionalLucas Mellos Carlos
 
Segurança em banco de dados
Segurança em banco de dadosSegurança em banco de dados
Segurança em banco de dadosCIJUN
 
Aula 18 segurança da informação
Aula 18 segurança da informaçãoAula 18 segurança da informação
Aula 18 segurança da informaçãoLuiz Siles
 
Tcvb2 andre borges_joao_rodriges_nº1/13_segurança_informática
Tcvb2 andre borges_joao_rodriges_nº1/13_segurança_informáticaTcvb2 andre borges_joao_rodriges_nº1/13_segurança_informática
Tcvb2 andre borges_joao_rodriges_nº1/13_segurança_informáticaAndré bogas
 

Semelhante a Hackeando Cérebros: Explorando o elo mais fraco da segurança (20)

FIREWALL 04.pptx
FIREWALL 04.pptxFIREWALL 04.pptx
FIREWALL 04.pptx
 
Segurança dos sistemas de informação
Segurança dos sistemas de informaçãoSegurança dos sistemas de informação
Segurança dos sistemas de informação
 
Palestra Segurança da Informação e Servidores
Palestra Segurança da Informação e ServidoresPalestra Segurança da Informação e Servidores
Palestra Segurança da Informação e Servidores
 
Engenharia Social - A arte de enganar
Engenharia Social - A arte de enganarEngenharia Social - A arte de enganar
Engenharia Social - A arte de enganar
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos
 
Apresentação Senac - FLISOL - TO 2012
Apresentação Senac - FLISOL - TO 2012Apresentação Senac - FLISOL - TO 2012
Apresentação Senac - FLISOL - TO 2012
 
SEGURANÇA DE REDES.ppt
SEGURANÇA DE REDES.pptSEGURANÇA DE REDES.ppt
SEGURANÇA DE REDES.ppt
 
iNTRODUCAO-A-ENGENHARIA-SOCIAL-PRATICA-pdf - Copia.pdf
iNTRODUCAO-A-ENGENHARIA-SOCIAL-PRATICA-pdf - Copia.pdfiNTRODUCAO-A-ENGENHARIA-SOCIAL-PRATICA-pdf - Copia.pdf
iNTRODUCAO-A-ENGENHARIA-SOCIAL-PRATICA-pdf - Copia.pdf
 
ENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdf
ENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdfENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdf
ENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdf
 
E-book sobre Engenharia Social
E-book sobre Engenharia SocialE-book sobre Engenharia Social
E-book sobre Engenharia Social
 
Segurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente VirtualSegurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente Virtual
 
Aula 1 semana
Aula 1 semanaAula 1 semana
Aula 1 semana
 
Cybersecurity.pdf
Cybersecurity.pdfCybersecurity.pdf
Cybersecurity.pdf
 
3º SICT-Sul Minicurso Técnicas para segurança computacional
3º SICT-Sul Minicurso Técnicas para segurança computacional3º SICT-Sul Minicurso Técnicas para segurança computacional
3º SICT-Sul Minicurso Técnicas para segurança computacional
 
Segurança em banco de dados
Segurança em banco de dadosSegurança em banco de dados
Segurança em banco de dados
 
Aula 18 segurança da informação
Aula 18 segurança da informaçãoAula 18 segurança da informação
Aula 18 segurança da informação
 
Abin aula 01-1
Abin aula 01-1Abin aula 01-1
Abin aula 01-1
 
Tcvb2 andre borges_joao_rodriges_nº1/13_segurança_informática
Tcvb2 andre borges_joao_rodriges_nº1/13_segurança_informáticaTcvb2 andre borges_joao_rodriges_nº1/13_segurança_informática
Tcvb2 andre borges_joao_rodriges_nº1/13_segurança_informática
 
Conceitos TI
Conceitos TIConceitos TI
Conceitos TI
 

Mais de GDGFoz

Apresentação GDG Foz 2023
Apresentação GDG Foz 2023Apresentação GDG Foz 2023
Apresentação GDG Foz 2023GDGFoz
 
Desenvolvimento de um Comedouro para cães com Acionamento Automático e Remoto
Desenvolvimento de um Comedouro para cães com Acionamento Automático e RemotoDesenvolvimento de um Comedouro para cães com Acionamento Automático e Remoto
Desenvolvimento de um Comedouro para cães com Acionamento Automático e RemotoGDGFoz
 
Introdução do DEVSECOPS
Introdução do DEVSECOPSIntrodução do DEVSECOPS
Introdução do DEVSECOPSGDGFoz
 
Aquisição de dados IoT com Event Sourcing e Microservices
Aquisição de dados IoT com Event Sourcing e MicroservicesAquisição de dados IoT com Event Sourcing e Microservices
Aquisição de dados IoT com Event Sourcing e MicroservicesGDGFoz
 
Robótica Sucational
Robótica SucationalRobótica Sucational
Robótica SucationalGDGFoz
 
A nova era do desenvolvimento mobile
A nova era do desenvolvimento mobile A nova era do desenvolvimento mobile
A nova era do desenvolvimento mobile GDGFoz
 
Qualidade em Testes de Software
Qualidade em Testes de SoftwareQualidade em Testes de Software
Qualidade em Testes de SoftwareGDGFoz
 
WebAssembly além da Web - Casos de Uso em IoT
WebAssembly além da Web - Casos de Uso em IoTWebAssembly além da Web - Casos de Uso em IoT
WebAssembly além da Web - Casos de Uso em IoTGDGFoz
 
Dart e Flutter do Server ao Client Side
Dart e Flutter do Server ao Client SideDart e Flutter do Server ao Client Side
Dart e Flutter do Server ao Client SideGDGFoz
 
UX: O que é e como pode influenciar a vida do desenvolvedor?
UX: O que é e como pode influenciar a vida do desenvolvedor?UX: O que é e como pode influenciar a vida do desenvolvedor?
UX: O que é e como pode influenciar a vida do desenvolvedor?GDGFoz
 
Dicas de como entrar no mundo do DevSecOps
Dicas de como entrar no mundo do DevSecOpsDicas de como entrar no mundo do DevSecOps
Dicas de como entrar no mundo do DevSecOpsGDGFoz
 
Angular >= 2 - One Framework Mobile & Desktop
Angular >= 2 - One Framework Mobile & DesktopAngular >= 2 - One Framework Mobile & Desktop
Angular >= 2 - One Framework Mobile & DesktopGDGFoz
 
Automação Residencial Extrema com Opensource
Automação Residencial Extrema com OpensourceAutomação Residencial Extrema com Opensource
Automação Residencial Extrema com OpensourceGDGFoz
 
Brasil.IO COVID-19: Dados por Municípios. Quais os Desafios?
Brasil.IO COVID-19: Dados por Municípios. Quais os Desafios?Brasil.IO COVID-19: Dados por Municípios. Quais os Desafios?
Brasil.IO COVID-19: Dados por Municípios. Quais os Desafios?GDGFoz
 
Desmistificando a programação funcional
Desmistificando a programação funcionalDesmistificando a programação funcional
Desmistificando a programação funcionalGDGFoz
 
Microsserviços com Kotlin
Microsserviços com KotlinMicrosserviços com Kotlin
Microsserviços com KotlinGDGFoz
 
Autenticação de dois fatores
Autenticação de dois fatores Autenticação de dois fatores
Autenticação de dois fatores GDGFoz
 
Fique em casa seguro (ou tente)!
Fique em casa seguro (ou tente)!Fique em casa seguro (ou tente)!
Fique em casa seguro (ou tente)!GDGFoz
 
Hooks em React: o novo jeito de fazer componentes funcionais
Hooks em React: o novo jeito de fazer componentes funcionaisHooks em React: o novo jeito de fazer componentes funcionais
Hooks em React: o novo jeito de fazer componentes funcionaisGDGFoz
 
Angular, React ou Vue? Comparando os favoritos do JS reativo
Angular, React ou Vue? Comparando os favoritos do JS reativoAngular, React ou Vue? Comparando os favoritos do JS reativo
Angular, React ou Vue? Comparando os favoritos do JS reativoGDGFoz
 

Mais de GDGFoz (20)

Apresentação GDG Foz 2023
Apresentação GDG Foz 2023Apresentação GDG Foz 2023
Apresentação GDG Foz 2023
 
Desenvolvimento de um Comedouro para cães com Acionamento Automático e Remoto
Desenvolvimento de um Comedouro para cães com Acionamento Automático e RemotoDesenvolvimento de um Comedouro para cães com Acionamento Automático e Remoto
Desenvolvimento de um Comedouro para cães com Acionamento Automático e Remoto
 
Introdução do DEVSECOPS
Introdução do DEVSECOPSIntrodução do DEVSECOPS
Introdução do DEVSECOPS
 
Aquisição de dados IoT com Event Sourcing e Microservices
Aquisição de dados IoT com Event Sourcing e MicroservicesAquisição de dados IoT com Event Sourcing e Microservices
Aquisição de dados IoT com Event Sourcing e Microservices
 
Robótica Sucational
Robótica SucationalRobótica Sucational
Robótica Sucational
 
A nova era do desenvolvimento mobile
A nova era do desenvolvimento mobile A nova era do desenvolvimento mobile
A nova era do desenvolvimento mobile
 
Qualidade em Testes de Software
Qualidade em Testes de SoftwareQualidade em Testes de Software
Qualidade em Testes de Software
 
WebAssembly além da Web - Casos de Uso em IoT
WebAssembly além da Web - Casos de Uso em IoTWebAssembly além da Web - Casos de Uso em IoT
WebAssembly além da Web - Casos de Uso em IoT
 
Dart e Flutter do Server ao Client Side
Dart e Flutter do Server ao Client SideDart e Flutter do Server ao Client Side
Dart e Flutter do Server ao Client Side
 
UX: O que é e como pode influenciar a vida do desenvolvedor?
UX: O que é e como pode influenciar a vida do desenvolvedor?UX: O que é e como pode influenciar a vida do desenvolvedor?
UX: O que é e como pode influenciar a vida do desenvolvedor?
 
Dicas de como entrar no mundo do DevSecOps
Dicas de como entrar no mundo do DevSecOpsDicas de como entrar no mundo do DevSecOps
Dicas de como entrar no mundo do DevSecOps
 
Angular >= 2 - One Framework Mobile & Desktop
Angular >= 2 - One Framework Mobile & DesktopAngular >= 2 - One Framework Mobile & Desktop
Angular >= 2 - One Framework Mobile & Desktop
 
Automação Residencial Extrema com Opensource
Automação Residencial Extrema com OpensourceAutomação Residencial Extrema com Opensource
Automação Residencial Extrema com Opensource
 
Brasil.IO COVID-19: Dados por Municípios. Quais os Desafios?
Brasil.IO COVID-19: Dados por Municípios. Quais os Desafios?Brasil.IO COVID-19: Dados por Municípios. Quais os Desafios?
Brasil.IO COVID-19: Dados por Municípios. Quais os Desafios?
 
Desmistificando a programação funcional
Desmistificando a programação funcionalDesmistificando a programação funcional
Desmistificando a programação funcional
 
Microsserviços com Kotlin
Microsserviços com KotlinMicrosserviços com Kotlin
Microsserviços com Kotlin
 
Autenticação de dois fatores
Autenticação de dois fatores Autenticação de dois fatores
Autenticação de dois fatores
 
Fique em casa seguro (ou tente)!
Fique em casa seguro (ou tente)!Fique em casa seguro (ou tente)!
Fique em casa seguro (ou tente)!
 
Hooks em React: o novo jeito de fazer componentes funcionais
Hooks em React: o novo jeito de fazer componentes funcionaisHooks em React: o novo jeito de fazer componentes funcionais
Hooks em React: o novo jeito de fazer componentes funcionais
 
Angular, React ou Vue? Comparando os favoritos do JS reativo
Angular, React ou Vue? Comparando os favoritos do JS reativoAngular, React ou Vue? Comparando os favoritos do JS reativo
Angular, React ou Vue? Comparando os favoritos do JS reativo
 

Hackeando Cérebros: Explorando o elo mais fraco da segurança

  • 1. Hackeando Cérebros Explorando o elo mais fraco da segurança. Diego Neves diego@diegoneves.eti.br @diegoaceneves
  • 2. ~$ whoami ● Consultor de Tecnologia; ● Linux Sysadmin; ● Especialista em Redes de Computadores; ● Bacharel em Sistemas de Informação; ● Trabalho com Software Livre desde 2006; ● Membro do time de tradução do Debian para pt_BR; ● Amante de Rock n’ Roll, Hambúrguer e Cerveja.
  • 3. Segurança da Informação Segundo a wikipedia: A segurança da informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor que possuem para um indivíduo ou uma organização. São características básicas da segurança da informação os atributos de confidencialidade, integridade, disponibilidade e autenticidade, não estando esta segurança restrita somente a sistemas computacionais, informações eletrônicas ou sistemas de armazenamento. O conceito se aplica a todos os aspectos de proteção de informações e dados. O conceito de Segurança Informática ou Segurança de Computadores está intimamente relacionado com o de Segurança da Informação, incluindo não apenas a segurança dos dados/informação, mas também a dos sistemas em si.
  • 4. Engenharia Social Segundo a wikipedia: Em Segurança da informação, chama-se Engenharia Social as práticas utilizadas para obter acesso a informações importantes ou sigilosas em organizações ou sistemas por meio da enganação ou exploração da confiança das pessoas. Para isso, o golpista pode se passar por outra pessoa, assumir outra personalidade, fingir que é um profissional de determinada área, etc. É uma forma de entrar em organizações que não necessita da força bruta ou de erros em máquinas. Explora as falhas de segurança das próprias pessoas que, quando não treinadas para esses ataques, podem ser facilmente manipuladas.
  • 5. Resumindo A arte de fazer com que pessoas façam coisas que normalmente não fariam para um estranho - e sendo pago para fazer isso. Kevin D. Mitnick
  • 6. Como atacam: ● Atacam o lado mais fraco do sistema (o fator humano); ● Mostram-se prestativos e se tornam confiáveis ● Passam-se por alguém da empresa que nunca foi visto, como um secretário de um dos diretores; ● Intercalam em seus questionamentos, perguntas inofensivas, para não levantar suspeitas, usando alguns termos técnicos e jargões comuns.
  • 7. Por que atacar o fator humano? ● Muitas empresas investem muito dinheiro na parte de segurança, Hardwares, Softwares, Câmeras... Ou seja, o invasor gastaria muito tempo ($$) para conseguir acessar a informação que necessita. ● O Investimento em treinamento pessoal quase nunca é levado a sério. Muitas vezes só é preciso pedir com jeitinho...
  • 8. Vamos Atacar? ● Levantando os dados da vítima: ● Nomes de Domínios e IPs ● WhoIs: Cadastro de registros endereços eletrônicos: ● http://registro.br ● :~$ whois
  • 9. Tipos de Ataque ● Ataques por Ego ● Ataques por Simpatia ● Ataques por Intimidação ● Análise do Lixo ● Invasão de Instalações
  • 10. Ataques por Ego ● O Atacante apela para as características humanas mais básicas, o ego e a vaidade. "A vaidade é meu pecado predileto!" (Devil, The - The Devil Advocate) ● O Atacante se coloca como um receptivo ouvinte que as vítimas possuem para mostrar o quanto sabem. ● As vítimas normalmente são pessoas que se sentem desvalorizadas na empresa. ● Na maioria dos casos, as vítimas não tem ideia de que fizeram algo errado.
  • 12. Ataques por Simpatia ● O atacante finge ser um funcionário camarada, geralmente recém-contratado, com um problema real e urgente, a urgência faz com que a vítima não tenha tempo para seguir todos os procedimentos de segurança.
  • 13. Ataques por Intimidação ● O atacante se passa por alguém de autoridade ou influência no cenário em questão, ou ainda um agente da lei. Cria razões plausíveis, para fazer algum pedido como troca de senha ou alguma alteração em conta de usuários. Caso encontre resistência por parte da vítima, tenta uma intimidação por parte de sanções contra ela, como demissão ou prisão.
  • 14. Analise de Lixo ● Muitos empregados não dão importância para o que jogam fora, não sabendo o valor de todas as anotações, senhas, tarefas feitas, compromissos marcados... ● Isso é um prato cheio para quem tem acesso ao lixo empresarial.
  • 15. Invasão das Instalações ● É possível que o invasor tenha acesso físico a empresa, analisando o fluxo de pessoal, conseguindo uniformes, conversando com pessoas nos pontos de ônibus ● Se passando por pessoal de empresas terceirizadas, como limpeza, manutenção de ar- condicionado, etc...
  • 17. Boas Práticas de Segurança ● Gerais: ● Sempre relatar ligações suspeitas. ● Utilização de crachás de identificação. ● Destruir documentos sigilosos (triturar ou incinerar). ● Utilização de identificação pessoal. ● Nunca divulgar informações.
  • 18. Boas Práticas de Segurança ● Uso do Computador ● Funcionários nunca devem inserir comandos ou baixar e instalar aplicativos solicitados por terceiros. ● Nunca divulgar nomes internos de sistemas, BDs. ● Nunca enviar senhas via e-mail. ● Controle de Acessos com hierarquia de prioridades. ● Nunca inserir nenhuma mídia de origem desconhecida (pendrive, cd, etc). ● Funcionários devem assinar contrato de confidencialidade.
  • 19. Considerações Finais ● A Engenharia Social explora o lado mais frágil do sistema. ● Na grande maioria das vezes, o atacado só descobre o que aconteceu quando já não é mais possível corrigir a falha. ● A atenção sempre constante pode evitar muitas falhas, ter um pouco de maldade não faz mal a ninguém.