sábado, 7 de fevereiro de 2009

Como funcionam as redes e o acesso à internet

As redes de computadores seguem padrões específicos de montagem e de administração. A profundidade da configuração de segurança e a relevância dos dados que circularão pelo meio digital é que ditam as diferenças entre redes grandes e pequenas, detalhadíssimas ou muito simples. Em redes ponto a ponto não há um servidor para gerenciar tudo que acontece no meio. Cada máquina tem um nome específico e um número IP (espécie de CPF), que serve para que as máquinas se reconheçam e "conversem" entre si. Todas são registradas em um grupo de trabalho que as represente - um grupo chamado WEB poderia representar todos os computadores de uma sala de aula onde ocorrem cursos de WebDesign - e os números IP determinados para cada IP seguem uma relação direta com uma identificação chamada máscara de sub-rede. Ver exemplo abaixo:

Nome do PC----------computador1----------computador2
Endereço IP----------192.168.0.1----------192.168.0.2
Máscara----------255.255.255.0----------255.255.255.0
Grupo de trabalho----------WEB----------WEB

Em ambientes corporativos predominam as redes cliente/servidor, onde todos os computadores daquela rede são administrados por um servidor, que é um computador robusto, onde fica instalado o sistema operacional de gerenciamento de rede que mantém tudo sob controle. Os sistemas operacionais mais utilizados são o windows 2000server e o windows 2003 server, além das distribuições Linux. As configurações dos computadores são quase as mesmas de uma rede ponto a ponto, com a adição do endereço do servidor, com alguns de seus recursos específicos, como o DNS e o DHCP. O DNS é o recurso do sistema servidor onde ficam cadastrados todos os usuários da rede, com seu perfil detalhando dados pessoais e direitos dentro do ambiente. Quando você faz o acesso utilizando sua senha pessoal a informação vai até o servidor DNS para que seja feita a verificação dos seus direitos dentro da rede e a autenticação da sua senha, se esta houver sido digitada corretamente. Em caso de erro de digitação há uma negativa ao acesso. Em caso de autenticação bem sucedida você é autorizado a navegar pelos recursos da rede e os seus passos estarão sendo registrados em relatório específico do seu perfil. O grau de liberdadade de utilização e o nível de monitoramento dos seus passos dependerão das diretivas onde seu perfil se encaixa.O DHCP é outro recurso bem usado e sua função é gerar IP´s automaticamente para que os computadores de uma rede possam se "enxergar" e se comunicar. Quando há algum erro e o endereço IP não é liberado para sua máquina, esta fica impossibilitada de acessar os recursos da rede até que o problema seja sanado.
Computadores são interligados por cabos, placas de redes instaladas em cada PC e por concentradores de sinal, como HUBs ou Switches, que administram a comunicação entre os componentes da rede, recebendo e encaminhando o sinal e os dados de uma máquina a outra. Cada rede pode ter suas próprias características e em uma empresa você pode ter várias rede no mesmo meio físico, separadas por configurações ou por Switches.
Para acessar a internet conectamos o Switch de uma rede a um modem e este nos conecta com os roteadores. Os roteadores fazem a interligação entre todas as redes, de cada domicílio, empresa ou região e assim nasce a comunicação global da grande rede.
A internet é um mundo virtual, paralelo ao nosso, com tudo de bom e ruim, nos mesmos padrões que temos na vida real. Não há limites e tudo depende do lugar onde escolhemos ir, das coisas que escolhemos ver e das pessoas que aceitamos para nosso convívio. Se somos muito precavidos em nossos relacionamentos virtuais e se nos protegemos mais com programas específicos, as chances de sermos prejudicados ou de termos nossos computadores tomados por vírus e outras pragas são menores. O oposto disso pode nos trazer muitos problemas, hoje ou daqui a algum tempo. Procure conhecer melhor sobre a internet, sobre programas, sobre engenharia social e sobre sua própria máquina de uso cotidiano. Proteja-se e proteja suas crianças. Os níveis de vulnerabilidade e de acesso a sites altamente prejudiciais para a formação do indivíduo podem ir do menor grau até o limite máximo aceitável em um clique. As redes de relacionamento social são fastásticas, se bem utilizadas. Quando utilizadas para o mal, transformam-se um uma arma carregada com munição altamente letal para os conceitos - já bem frágeis - que norteim a sociedade humana do século 21.

Conhecimento e informação te darão muito poder!

terça-feira, 3 de fevereiro de 2009

O que é Engenharia Social?

A Engenharia Social e seus usos fraudulentos

Uma tendência mundial nas técnicas para iniciar, estruturar ou executar fraudes, é o uso da dita "Engenharia Social".
Uma boa definição é a seguinte: Engenharia social é aquele conjunto de métodos e técnicas que tem como objetivo obter informações sigilosas e importantes através da exploração da confiança das pessoas, de técnicas investigativas, de técnicas psicológicas, de enganação etc.... Para isso, o "engenheiro social" pode se passar por outra pessoa, assumir outra personalidade, vasculhar lixo ou outras fontes de informações, fazer contato com parentes e amigos da vítima etc.
Por mais incrível que possa parecer, o método mais simples, mais usado e, infelizmente, mais eficiente para descobrir informações confidenciais (tipo uma senha ou dados sensíveis que possam ser usados na montagem de algum tipo de golpe) é... adivinha ? Perguntar !!
Para isso é preciso alguém com bom papo, com habilidades na comunicação, voz profissional ou simpática conforme os casos, poucos escrúpulos, fantasia, reação rápida e bom domínio de algumas técnicas psicológicas. Aí basta esta pessoa perguntar a um funcionário ou outro interlocutor despreparado que ele contará tudo o que precisar. Tudo vai depender de quão bom é o "Engenheiro Social", e quantas informações sobre a vítima ele já possui na hora da pergunta. Quanto mais melhor, uma das bases da engenharia social é justamente juntar informações aos poucos, explorando o que já se sabe para se chegar a saber tudo. O engenheiro social precisa se preparar bem para os seus ataques, precisa saber quem tem as informações que ele quer, como chegar até tal pessoa, como ter informações que façam com que esta pessoa acredite nele e lhe passe o que quer saber etc. Por isso muitas vezes os "engenheiros sociais" vão por etapas. Primeiro usam suas técnicas para coletar informações, muitas vezes aparentemente inocentes (tipo número do RG/CPF, data de nascimento, endereço, nome dos pais...), sobre a vítima de maneira a se preparar para quando for a hora de perguntar algo mais pesado (e/ou tiverem que se passar pela vítima com terceiros). Nesta hora um dos golpistas, por exemplo, vai ligar alegando ser alguém que tem "direito" a fazer perguntas por alguma razão e mostrando que já conhece muitas informações sobre a vítima para comprovar que ele é realmente quem afirma ser.

Um exemplo prático de como tudo pode acontecer

Um telefonema típico vai ser algo do seguinte tipo (G.: golpista V.: vítima):

G. - Bom dia, sou Fulano gerente de relacionamento do banco X, falo com o senhor Cicrano titular da conta n° 123456 ? (o número da conta pode ter pego de mil maneiras, por exemplo numa fila de banco ou por alguém ter deixado algum papelzinho num dos caixas de atendimento automático ou com a cumplicidade de algum funcionário de lojas onde foram feitas compras com cheque).
V. - Sim sou eu ...
G. - Estamos recadastrando os clientes no novo sistema do banco por razões de segurança e estou ligando para confirmar seus dados ... o senhor nasceu em DD/MM/AAAA (existem várias maneiras para se ter este dado, mas não vou sugerir aqui), mora na rua YYY (pegou esta informação na lista telefônica, ou em documentos que estavam em suas mãos na fila do banco ou novamente de algum funcionário de loja, por exemplo), o seu telefone é ainda o 123456 (idem como antes), o seu CPF é o 98765443 (também existem várias maneiras para terem conseguido isso, num cheque por exemplo) e o RG é 456789 (idem) ??
V. - Sim os dados são corretos. (nesta altura, tendo visto quanta coisa o interlocutor já sabe sobre ele, a vítima não duvida que se trate mesmo do gerente do banco).
G. - Pode me confirmar o número do seu cartão de crédito (ou do banco) ?
V. - Sim, o número é 123456789 ...
G.- Correto, muito bem os seus dados foram atualizados. Só falta o senhor confirmar tudo através das suas senhas. Vou lhe passar a central de autenticação onde o senhor poderá digitar as senhas diretamente no seu aparelho de telefone. (aí passa uma espécie de sistema automático com voz registrada que pede, para confirmar o cadastro, primeiro para digitar no aparelho a senha do cartão e depois a senha do "internet banking").

Pronto, a vítima terá fornecido a um golpista hábil, usando técnicas de "engenharia social", todas as informações e senhas necessárias para esvaziar a sua conta. De quebra, o golpista ainda poderá usar as informações obtidas para criar cheques e documentos falsos, em nome da vítima, e sair aplicando outros golpes, sujando o nome dela.
Se você já ligou para uma central de atendimento (de cartão de crédito, telefone, banco etc...), já deve ter percebido que freqüentemente o método usado por estas centrais, para se certificar de quem está do outro lado do telefone, é extremamente falho. Preste atenção no tipo de informação que sai da sua casa ou empresa, nos papéis jogados no lixo, nos telefonemas estranhos, no comportamento de funcionários de lojas ou outras empresas aos quais está passando seus dados, assim como em eventuais visitas ou acessos aos seus locais de pessoas estranhas. Um prato cheio para se praticar a engenharia social contra uma empresa é encontrar um organograma da mesma. A partir daí, o intruso vai saber exatamente com quem está falando ou com quem precisa falar.

As diferentes modalidades de ataque
Existem dois tipos de ataques de engenharia social, os ataques diretos e indiretos.

Diretos
São aqueles em que o atacante entra diretamente em contato com a vítima por e-mail, telefone, ou pessoalmente, diferentemente dos ataques indiretos os ataques diretos tem alvo fixo ou seja o engenheiro social sabe exatamente quem atacar, como e porque.

Indiretos
São aqueles que não tem um alvo específico, um ótimo exemplo é um trecho retirado do livro "A arte de enganar" de Kevin Mitinick: "Você está em um elevador quando de repente um disquete cai no chão, você olha tem um logotipo de uma grande empresa e a frase "histórico salarial", movido pela curiosidade você abre o disquete em sua casa e talvez haja um ícone para o Word então ao clicar aparece a frase 'ocorreu um erro ao tentar abrir o arquivo', você não sabe mas um backdoor foi instalado em sua máquina. Você imediatamente leva o disquete até o setor responsável em devolvê-lo ou guardá-lo, o setor por sua vez também abrirá o disquete, agora o hacker tem acesso a dois computadores"... esse é um exemplo de ataque indireto, ou seja, não teve uma vítima definida desde o início.

***

Quando falamos do assunto em questão ficamos sempre procurando a forma mais fácil de entendimento e como muito tem sido escrito e falado sobre o assunto no meio da tecnologia nos últimos 6 anos julgamos mais coerente manter o texto original a partir do site da empresa, complementando com alguma informação adicional que aproxime o usuário desta "realidade". Este artigo, que publicamos na íntegra - por seu formato limpo e bem explicado - foi postado a partir de uma das maiores e mais bem qualificadas empresas de segurança da América Latina, e expressa uma forma de atuação que está presente em todos os níveis da sociedade, em todos os países. Se fossemos resumir Engenharia Social, seria inteligente dizer que é pura malandragem.

Conhecimento é poder!

Folga off-line garantida?

Fonte:  http://www.correiobraziliense.com.br/app/noticia/eu-estudante/tf_carreira/2017/09/10/tf_carreira_interna,624717/folga-off-line-garan...