Manchete: Chinese Hackers Strike US Government Again – and we learn an old lesson over – “Governo dos EUA volta a ser atacado por hackers chineses – e aprende aquela velha lição…” 

Desta vez o alvo foram as informações pessoais dos funcionários públicos norte-americanos. O New York Times noticiou que hackers da China penetraram as redes do órgão que abriga dados de funcionários federais, incluindo dezenas de milhares que se candidataram para habilitações de segurança. Ou seja – agora que as minhas credenciais foram solicitadas, sem dúvida estes indivíduos possuem os meus dados. O que podem fazer com essa informação? Para começar, já são capazes de produzir ataques precisos e direcionados a fim de adquirir informações valiosas através de “spear phishing” e engenharia social.

Spear phishing é um termo usado para descrever um tipo de fraude eletrônica onde o fraudador se faz passar por uma pessoa ou empresa confiável enviando uma comunicação eletrônica oficial. Quando o alvo/destinatário clica em um campo executável, como um link ou uma imagem, códigos maliciosos são transferidos para o computador da vítima e demais informações podem ser obtidas.

Engenharia social se refere ao processo em que um indivíduo ganha a confiança da vítima e, posteriormente, a transforma em cúmplice involuntária para trabalhos sujos de rompimento de procedimentos de segurança. Por exemplo: se ligo para o seu ramal e digo ser do setor de Suporte, você pode desconfiar. Mas se menciono aplicativos que você já utiliza, nomes de conhecidos, ou até um projeto em que você esteja trabalhando você irá supor que sou um ‘insider’ confiável e, consequentemente, irá responder à todas as minhas perguntas. As informações prestadas em um formulário de habilitação de segurança são íntimas e profundas. Com esses dados, um hacker consegue lançar ataques massivos de ‘spear phishing’ e engenharia social, citando colegas de confiança, endereços antigos e projetos de trabalho.

Tal como o ex-chefe da Agência de Segurança Nacional (NSA), General Michael Hayden, disse em um discurso que presenciei há alguns anos: “Se um interveniente estatal quiser entrar na sua rede, provavelmente ele irá entrar.”

Password for Blog MENORC TEXTO

Estava conversando com um dos autores do “Verizon Data Breach Investigations 2014”, relatório de violação de dados da operadora americana Verizon, e ele me disse que a maioria desses grandes hacks estão indo atrás das formas mais básicas de informação: IDs de usuário e senhas. Ele explicou que hackear enormes sistemas de segurança dá muito trabalho e os controles de segurança são altamente eficazes hoje em dia. É por isso que os hackers miram o alvo para o elo mais fraco – as senhas. Se você conseguir uma senha você terá uma porta aberta para o controle de sistema e exfiltração de dados. Portanto, se o hacker realmente pretende se dar ao trabalho de hackear um sistema seguro, que seja um que abrigue grandes quantidades de informações de usuário. Essas informações são a chave para dados realmente valiosos tanto agora quanto no futuro.

Pode parecer engraçado que depois de tantos anos ainda ouçamos falar de hackers sofisticados que correm atrás de senhas. Ou, neste caso, hackers sofisticados que obtêm informações que, posteriormente, lhes permitam ter acesso a algumas senhas. Afinal, senhas não são consideradas credenciais simples? E credenciais não são a base de toda e qualquer segurança? E como a base de toda segurança, não deveriam ser a parte mais bem-feita, resistente e duradoura de uma infraestrutura de segurança? Vale a reflexão sobre no que realmente temos gasto o nosso dinheiro em todos estes anos e se ainda deixamos as chaves de portas e combinações de cofres espalhadas por aí.

Fonte: http://bit.ly/1tA8CuB

Steve Hunt

comptiaportraits2CEO da  Hunt Business Intelligence e analista do setor de Segurança da Informação. Reconhecido especialista em melhores práticas, tendências de segurança e tecnologias emergentes, Steve foi consultor para centenas de organizações ao redor do mundo, incluindo as Nações Unidas, a Casa Branca, EUA Departamento de Transporte, Boeing, Lockheed Martin, 3i Group, Bank of Montreal , Allstate Insurance, Grupo AXA, Aegon, Pfizer, Exxon Mobil, Société Générale, BP, Microsoft e IBM. Steve é ​​um palestrante em conferências de negócios e segurança em todo o mundo. Ele também participou como um analista de segurança interna na CNBC, Fox News, CNN e outros noticiários. Sua análise tem aparecido no Wall Street Journal, Financial Times, The New York Times, Business Week, e outras publicações globais e revistas comerciais. Ele é professor adjunto da Universidade DePaul.

 

 

Compartilhe conhecimentoShare on LinkedInShare on FacebookTweet about this on TwitterShare on Google+
http://segurancadainformacao.modulo.com.br/wp-content/uploads/2014/08/14.pnghttp://segurancadainformacao.modulo.com.br/wp-content/uploads/2014/08/14.pngSteve HuntSegurança da Informaçãoengenharia social,governança,hackers,segurança da informação
Manchete: Chinese Hackers Strike US Government Again – and we learn an old lesson over - “Governo dos EUA volta a ser atacado por hackers chineses – e aprende aquela velha lição...”  Desta vez o alvo foram as informações pessoais dos funcionários públicos norte-americanos. O New York Times noticiou que hackers...