Mais notíciasA tecnologia da informação (TI) está em um mundo perigoso, cheio de ciberataques criados para comprometer e tirar proveito de falhas de segurança. Mas ainda há uma persistente falta de consciência sobre ameaças específicas e qual a melhor maneira de enfrentá-las, de acordo com Rob Halvet, diretor de testes de penetração da Trustwave, fornecedora internacional de soluções de flexibilidade e segurança da informação.
A ironia, diz ele, é que não são necessariamente os malwares ou as técnicas de hack mais novas e assustadores que podem comprometer a empresa.
"Você vê as pessoas entrando em um frenesi sobre as técnicas mais recentes que exigem todos os tipos de habilidades técnicas para explorar enquanto ignoram perigos que estão por aí desde sempre. Um dos mais comuns que encontramos em uma rede interna é a política inadequada de senhas. É um absurdo usar 'admin' para uma senha administrativa, ou deixar que o código do sistema administrativo fique em branco."
Havelt escreveu a maior parte do estudo "Earth vs. The Giant Spider: Amazingly True Stories of Real Penetration Tests” apresentado nesta semana e diz que uma das atividades que estimulam os líderes de TI a perceber uma "pequena falha", como uma senha master padrão para uma troca PBX, podem "resultar em um sério impacto".
Essa é uma história verdadeira, aponta. Havelt realizou testes de invasão em que descreve como uma companhia financeira "muito segura", da lista das 500 maiores da revista Fortune, trocou um antigo telefone PBX Siemens Rolm. Apesar de a maioria das senhas padrão terem sido alteradas, "uma conta não mudou, o que nos deu algo melhor do que acesso administrativo, para que pudéssemos usar isso para nos passar por qualquer usuário."
Havelt e sua equipe clonaram caixas de e-mail do help desk (serviço de apoio a usuários) da companhia em questão, o que lhes deu acesso a qualquer mensagem de voz dos funcionários.
"Enquanto estávamos testando, uma nova mensagem de voz chegou de alguém que estava na estrada, cuja VPN (rede virtual privada) não estava funcionando. Sabia como resolver isso, por isso liguei para a pessoa e ela me deu nome de usuário, código pin e senha de domínio. Ajudei-o a resolver seu problema, mas com apenas uma senha de domínio é muito fácil incrementar seus privilégios. De lá, fomos para o gerenciamento de riquezas e a watch list do Departamento de Segurança dos EUA", explica.
"Tudo a partir de uma ligação"
Em outro caso, Havelt e sua equipe conseguiram, por meio de um hack, acessar o HD das câmeras de segurança de uma grande fabricante. Como podiam controlá-las, e uma vez que cinco ou seis delas estavam apontadas para mesas, "e elas tinham zoom óptico de dez vezes, pudemos aproximar a imagem dos teclados e mesas, descobrir as senhas e fazer login em outros sistemas".
Algumas vezes, as vulnerabilidades são, ou deveriam ser, ridiculamente óbvias. "Coisas como nomes de usuários e senhas que são os mesmos, ou uma conta de rede com uma senha 'admin'", afirma. "Gostaria de poder te dizer que esses são casos isolados, mas eles não são. Existem milhares.”
Então o que o gerente de TI prudente deveria fazer? Havelt diz que um problema é que “existe um número excessivo de organizações que se opõem a testes reais de invasão. Elas tentam limitar isso a algumas máquinas em momentos específicos. Mas não é assim que um ataque funciona."
"Entendo a realidade dos negócios", afirma. "Mas isso é como ir ao médico para um exame físico completo e dizer para ele olhar apenas as suas mãos."
Além disso, Havelt afirma que uma segurança melhor exige "carregar os perigos para fora da conclusão lógica – analisando uma vulnerabilidade e pensando sobre o que pode ser feito com ela". Ou, como dizia um CEO genial que nos deixou recentemente: "Pense diferente".
Site: Computerworld
Data: 24/10/2011
Hora: 15h27
Seção: Segurança
Autor: ------
Link: http://computerworld.uol.com.br/seguranca/2011/10/24/antigos-ataques-a-rede-ainda-funcionam-aponta-especialista
Destaques
