trabalho de segurança da informação

Trabalho de Segurança da Informação

Anderson Zardo

Parte I: O Elo mais fraco da Segurança

O seu investimento e a qualidade dos seus recursos de segurança podem não ser efetivos.

A segurança pode ser um sentimento adquirido com a confiança que temos nos sistemas que utilizamos.

Segurança não é um produto, é um processo.

A segurança não é um problema para a tecnologia — ela é um problema para as pessoas e a direção.

Enquanto a tecnologia avança mais e mais, os atacantes começam a se voltar para o fator humano.

O Fator Humano

A maioria dos sistemas comercias não protegem contra um ataque com alvo bem definido objetivando informações de qualidade e valor.

Computador seguro é computador desligado, mas e se alguém for convencido a ligá-lo?

Os engenheiros sociais enganam os empregados para desviar da tecnologia da segurança.

Práticas fraudulentas

Vivemos e idealizamos um mundo onde há amor ao próximo e probabilidade de alguém ser enganado é muito pequena.

Pessoas têm necessidade se sentirem úteis, e acabam sem se dar conta fornecendo informações aos mal-intencionados.

Motivação dos atacantes: Geralmente ego e/ou algum ganho de valor.

O nosso caráter e a nossa inocência

Parte II: Tiras e LadrõesJovens demais para entender as consequências

de seus atos...

Costa e Matt se conheceram através de um BBS Começaram a desenvolver um gosto por

Phreaking (hacking direcionado ao sistema de telefonia)

Ao revirarem o lixo de uma torre de telefonia, descobriram uma lista de números daquela torre com os respectivos ESN (Eletronic Serial Number), inclusive números de teste.

Compraram dois celulares e os programaram com os números de teste.

Phreaking

Frequentemente deixavam o computador fazendo war-dialing (discagem ininterrupta) procurando por modems que pudessem ser conectados a sistemas à serem invadidos

Podiam Verificar até 1200 números por dia. Descobriram um computador do Juizado

Federal de primeira instância, onde o acesso era usuário: public senha:public

Conseguiram um arquivo com as senhas dos juízes no sistema

Indo para o tribunal

Após uma “diversão” envolvendo um hotel local, Matt e Costa se voltaram novamente aos seus computadores para ver o que mais poderiam fazer.

A empresa que desenvolvia o software para o Juizado usava uma linha corporativa para enviar os patchs para a empresa.

Através do computador do Fórum, foi enviado um Cavalo de Tróia para a empresa desenvolvedora, capaz de captar também todas as senhas e escrevê-las num arquivo secreto, além de permitir livre acesso

Indo para o tribunal

Eles não esperavam que essa ação lhe entregassem todas as senhas dos clientes da empresa desenvolvedora, inclusive uma empresa gigante na qual o pai de Matt trabalhava, a Boeing Aircraft.

Por coincidência, ao discarem para uma linha da Boeing, havia uma shell do Unix aberta.

Indo para o tribunal

E por falar em coincidência, naquele momento, Don Boelling estava supervisionando a sessão de um treinamento sobre Segurança em Computadores que a Boeing estava promovendo.

O Público incluía desde funcionários da empresa até membros do serviço secreto de agências americanas.

A segurança da Boing era igual a de qualquer outro local, praticamente nula, e Don vinha tentando convencer a direção da empresa a fazer os investimentos necessários.

Vigiando as Barricadas

Foi feita uma “troca de conhecimento” entre as pessoas envolvidas, talvez o embrião dos aspectos legais envolvidos em fraudes cibernéticas

O pager de Don parou de funcionar, o servidor estava rodando um programa de Crack pra tentar descobrir senhas.

As senhas violadas não eram da Boeing, eram do Juizado de primeira instância.

Ao comunicar isso aos oficiais presentes no treinamento, houve pânico. Hora do treinamento prático.

Vigiando as Barricadas

O acesso dos garotos estava vindo de um supercomputador em um laboratório de propulsão a jato da Nasa.

Tiveram a idéia de rastrear o acesso a linha telefônica como os técnicos da companhia telefônica (eles concordaram, já que conheciam Don dos treinamentos de segurança)

Foi conectado Impressoras na estação, tudo o que eles faziam era impresso em tempo real, e os participantes do treinamento assinavam como prova.

Vigiando as Barricadas

Após tudo isso, ainda houve uma denuncia anônima de que um dos rapazes estavam vendendo computadores roubados, supostamente foi a namorada de um deles por ciume.

Os policiais foram na casa de um deles e não acharam nada, porem acharam um papel com um numero que um dos agentes reconheceu como um ESN.

Consultaram a companhia telefônica, aquela era uma linha de teste, que estava sendo investigada por fraude.

A Sorte Acabou

Fim!