COMPUTAÇÃO FORENSE

Prévia do material em texto

UNIVERSIDADE ESTÁCIO DE SÁ MBA EM SEGURANÇA DA INFORMAÇÃO
Fichamento de Estudo de Caso XXXXXXXXXXXXX
Trabalho da disciplina Computação Forense
Tutor: XXXXXXXX
XXXXXXXXX2020
O Perigo de Dentro
A maior ameaça à sua segurança cibernética pode ser um funcionário ou fornecedor.
O ataque cibernético de 2013 na Target, onde criminosos roubaram os números de cartões de pagamento de cerca de 40 milhões de clientes e dados pessoais de aproximadamente 70 milhões. Isto 
Gerou um impacto muito grande em lucros e demissões, principalmente do Presidente Executivoafetou a reputação da empresa, fez com seus lucros caíssem, e acarretou na demissão de seu Presidente Executivo e de seu Diretor de Tecnologia da Informação.
E o menos conhecido é que para que ocorresse esse fato, foi algo que os criminosos, entraram no sistema interno da empresa utilizando credenciais de pessoas de dentro, um fornecedor de refrigeração da empresa.
Mas ataques envolvendo empresas conectadas ou funcionários diretos representam uma ameaça mais perigosa. Funcionários podem causar dano muito mais grave que hackers externos.
Nos últimos dois anos, foi liderado um projeto de pesquisa internacional cuja meta é melhorar significativamente a habilidade das organizações detectarem e neutralizarem ameaças de funcionários. E isso foi patrocinado Centro de Proteção de Infraestrutura Nacional (CPNI), serviço de segurança do MI5 do Reino Unido, com vários academicos e especialistas em segurança computacional.
Muitas empresas agora tentam evitar que os funcionários usem computadores de trabalho para acessar sites não diretamente relacionados a seus trabalhos, como Facebook, sites de relacionamentos e sites políticos. Mas o que esses especialistas acham que, deveriam dar ao funcionário a liberdade de ir onde eles querem na web, mas usando software de segurança prontamente disponível para monitorar suas atividades, assim produzindo informações importantes sobre comportamentos e personalidades que ajudarão a detectar o perigo.
Um Risco Pouco Reconhecido
Ameaças de detentores de informações privilegiadas vêm de pessoas que exploram acesso legítimo a ativos cibernéticos de uma organização para fins não autorizados e maliciosos ou que criam vulnerabilidades involuntariamente. Eles podem ser funcionários diretos (desde faxineiros até funcionários de alto nível), contratados, ou fornecedores terceirizados de dados e serviços de computação. (Edward Snowden, conhecido por ter roubado informações confidenciais da Agência de Segurança Nacional (NSA) dos EUA, trabalhou como contratado da NSA.) Com este acesso legítimo, eles podem roubar, desestabilizar, ou corromper sistemas de computadores e dados sem detecção por soluções de segurança baseadas em perímetro comum - controles que focam em pontos de entrada em vez do que ou quem já está dentro.
A Ameaça
Ataques cibernéticos envolvendo fontes internas: como funcionários, fornecedores, ou outras empresas legitimamente conectadas a sistemas de computador de uma empresa e isso vem crescendo. Eles são responsáveis por mais de 20% de todos os ataques cibernéticos. Proteções amplamente usadas são ineficazes contra eles.
A Chave
Para reduzir sua vulnerabilidade a ataques internos, as empresas devem aplicar a mesma
abordagem que usaram para melhorar a qualidade e segurança: Fazer parte do trabalho de todos.
A Solução
Os funcionários devem ser monitorados rigorosamente e informados quais ameaças são prováveis para que eles possam relatar atividades suspeitas. Os fornecedores e distribuidores devem ser requeridos a minimizar os riscos e devem ser auditados regularmente. Os líderes devem trabalhar de perto com seus departamentos de TI para garantir que estes ativos cruciais sejam protegidos. 
sugere que a porcentagem continue crescendo. Além disso, ataques externos podem envolver assistência conhecida ou não de fontes internas. 
Causas do Crescimento
Inúmeros fatores na mudança do panorama de TI explicam esta ameaça crescente. Elas não são particularmente surpreendentes e este é justamente o ponto. Um dos fatores são as mudanças organizacional, sem ao menos ter um preparo e com isso deixam “brechas e portas” abertas. 
Um aumento dramático no tamanho da complexidade de TI. 
Precisamos ter a noção de quem está cuidando dos nossos serviçoes em nuvem, precisamos saber se os terceiros, pessoal de limpeza entre outros são pessoas de confiança. Em 2005, quatro titulares de conta no Citibank em Nova York foram lesados em quase $350.000 por colaboradores da central de atendimento baseada em Pune, Índia. Os culpados eram funcionários de uma empresa de software e serviços para a qual o Citibank terceirizou trabalho. Eles coletaram dados pessoais, números de identificação pessoal e números das contas dos clientes.
Sites da "Dark Web", onde homens de meia idade inescrupulosos vendem grandes quantidades de informações confidenciais, são abundantes atualmente. Tudo desde senhas dos clientes e informações de cartão de crédito até propriedade intelectual é vendido nestes sites clandestinos. Fontes internas geralmente querem fornecer acesso a estes ativos em troca de quantias vastamente menores que seu valor de mercado, contribuindo para a indústria de "crime cibernético como serviço".
Funcionários que usam dispositivos pessoais para o trabalho.
 Cada vez mais, fontes internas geralmente involuntariamente expõem seus empregadores a ameaças fazendo o trabalho em gadgets eletrônicos. Nossa equipe e outras descobriram que os grupos de segurança das empresas tentam acompanhar os perigos representados pela explosão destes dispositivos. De acordo com um relatório recente da Alcatel-Lucent, cerca de 11,6 bilhões de dispositivos móveis ao redor do mundo são infectados a qualquer momento, e infecções de malware móvel aumentaram 20% em 2013.
Smartphones e tables não são os únicos culpados: Os dispositivos podem ser simples como pendrives ou cartões de memória de telefone. "A melhor maneira de pegar uma empresa despreparada é espalhar dispositivos UBS infectados com a logomarca da empresa no estacionamento", diz Michael Goldsmith, membro de nossa equipe e diretor associado do Centro de Segurança Cibernética da Oxford, referindo-se ao ataque de 2012 no DSM, uma empresa química holandesa. "Algum funcionário inevitavelmente vai testar um deles."
Foi amplamente relatado que representantes presentes na cúpula do G20 perto de São Petersburgo em 2013 receberam um dispositivo de armazenamento USB e carregadores de telefone móvel carregado com malware projetado para ajudar a roubar informações. E o worm de computador Stucnet que sabotou a instalação de refinamento de urânio do Irã em 2008- 2010 foi reportadamente introduzido via dispositivos USB em sistemas não conectados à internet.
A explosão nas mídias sociais. 
As midias sociais também colaboram e muito por vazamento de informações que implica nas empresas; Com esse esquema os criminosos utilizam dados de recrutamento, para assim saber o que tem de Harware e Software para ateque na Corporação. O chamado golpe do romance, onde o funcionário é persuadido pelo criminoso para obter informações sigilosas da empresa. Outras estratégias incluem o uso de conhecimento obtido através de redes sociais para pressionar funcionários: Um chantagista cibernético pode ameaçar deletar arquivos de computador ou instalar imagens pornográficas no computador de trabalho de uma vítima a não ser que informações confidenciais sejam entregues.
Por Que Eles Fazem Isso
Um dos motivos são: lucro financeiro, vingança, desejo de reconhecimento e poder, resposta a chantagem, lealdade a outros na organização, e crenças políticas.
Exemplo é o ataque de 2014 por um litigante desdenhado em uma empresa de pequeno porte, mas crescente de treinamento virtual. Um gerente da mesma reclamou para seu superior sobre a pessoa em questão um administrador de sistemas que estava enviando flores para ele no trabalho e mandando mensagens de texto inapropriadas e estava dirigindo pela sua casa continuamente. Uma vez claramenterejeitado, o invasor corrompeu o banco de dados de vídeos de treinamento da empresa e tornou os backups inacessíveis. A empresa o demitiu. Mas sabendo que não havia prova de sua culpa, ele a chantageou em várias centenas de euros ameaçando publicar sua falta de segurança, o que poderia ter danificado um futuro IPO. Este incidente custoso - como a maiorias dos outros crimes internos - não foram reportados.
A colaboração de fontes internas com o crime organizado e grupos ativistas está se tornando cada vez mais comum. Muitos países agora estão operando equipe de resposta às emergências de computador (CERTs) para proteger a si mesmos contra este e outros tipos de ataque. Um dos 150 casos que foram analisados pelo Centro de Ameaça Interna do CERT na Carnegir Mellon University para seu relatório de 2012 Foco Em: Atividade de Fontes Internas Maliciosas e Crime Organizado, 16% tinha ligação com o crime organizado.
Monica Whitty, uma psicóloga da University of Leicester e
membro de nossa equipe, e muitos outros dizem que fontes internas que ajudam ou se envolvem voluntariamente em ataques cibernéticos sofrem de uma ou mais condições na "tríade obscura": Comprovando esta visão, um estudo de 2013 da CPNI descobriu que invasores internos geralmente têm alguma combinação destes traços de personalidade: imaturidade, baixa auto-estima, amoralidade ou falta de ética, superficialidade, uma tendência a fantasiar, inquietação e impulsividade, falta de conscientização, manipulação e instabilidade.
Roger Duronio, um administrador de sistemas da UBS Wealth Management condenado por usar uma "bomba lógica" maliciosa para danificar a rede de computadores da empresa em 2006, mostrou vários destes traços. 
Como Pensar No Problema
O gerenciamento de ameaças à segurança cibernética interna é semelhante ao gerenciamento de qualidade e segurança. Todos um dia foram responsabilidade de um departamento especializado. Mas as organizações não podem mais prever todo risco, pois o ambiente de tecnologia é complexo
e está sempre mudando. Assim os líderes e empresas de pequeno e grande porte precisam que todos na organização estejam envolvidos. 
Adote uma política interna sólida. 
A política deve ser concisa e fácil para todos - não apenas especialistas em segurança e tecnologia - entenderem, acessarem e aderirem. As regras devem se aplicar a todos os níveis da organização, incluindo a alta gerência. Um quadro fornecido pelo Estado de Illinois é um modelo. 
Os funcionários devem receber ferramentas para ajudá-los a aderirem à política. Por exemplo, sistemas podem ser projetados para sinalizar uma mensagem de alerta na tela quando alguém tentar logar em um subsistema que contém materiais confidenciais. O sistema pode perguntar se a pessoa está autorizada a estar lá e registrar e rastrear aqueles que não estão.
Violações à política devem incorrer em penalidades. Obviamente, um funcionário que cometer uma violação grave como vender dados pessoais de clientes ou conscientemente inserir malware nos sistemas da empresa.
Práticas Comuns Que Não Funcionam
Por que não funcionam, um dos motivos é que a técnica está ultrapassada, pois os cybers criminosos, se aperfeiçoaram de tal maneira que essas técnicas não são mais o suficiente. Um exemplo claro é a engenharia social, que é muito vulneravel.
CONTROLES DE ACESSO
Regras que proíbem as pessoas de usar
dispositivos corporativos para tarefas pessoais não irá evitar que elas roubem ativos.
GESTÃO DE VULNERABILIDADE
Patches de segurança e verificadores de vírus
não evitarão ou detectarão o acesso por funcionários ou terceiros autorizados mal intencionados usando credenciais roubadas.
ALTA PROTEÇÃO DE DELIMITAÇÃO
Colocar ativos críticos dentro de perímetro dificultado não evitará roubo por aqueles autorizados a acessar os sistemas protegidos.
POLÍTICA DE SENHA
Exigir senhas complexas ou sua alteração frequente significa que elas podem acabar em post-it - acesso fácil para alguém com acesso físico.
PROGRAMAS DE CONSCIENTIZAÇÃO
Apenas requerer que funcionários leiam a política de segurança de TI da empresa anualmente não conferirá magicamente conscientização cibernética a eles.	Nem irá prevenir que membros da equipe tomem ações danosas.
Conscientizar.
Esteja ciente das ameaças possíveis para que as pessoas possam detectá-las e ficar a postos contra qualquer um que tente conseguir sua assistência em um ataque. Personalize treinamento para levar em conta quais tipos de ataques os funcionários em uma operação particular podem encontrar. Phishing é uma maneira comum de conseguir acesso: E-mails falaciosos ludibriam funcionários a compartilhar detalhes pessoais ou acessar códigos ou clicar em um link que baixe malware. É possível testar a vulnerabilidade de sua equipe para estes ataques - tanto por conta própria ou empregando serviço de segurança externo.
Mesmo assim, pode ser difícil defender fontes internas contra uma determinada fonte externa. Em abril de 2013, uma empresa multinacional francesa foi objeto de um ataque esperto. Uma assistente administrativa do vice- presidente recebeu um e-mail que mencionava uma fatura em um serviço de compartilhamento de arquivo baseado na nuvem. Ela teve o bom senso de não abrir o arquivo, mas minutos depois ela recebeu um telefonema de alguém que convencidamente afirmou ser outro vice-presidente da empresa e a instruiu a baixar e processar a fatura. Ela obedeceu. A fatura continha um Trojan de acesso remoto que permitiu que a empresa criminosa aparentemente baseada na Ucrânia tomasse controle de seu PC, registrar o que ela teclava, e roubar propriedade intelectual da empresa.