Engenharia social: o impacto empresarial

Abstract

A tecnologia está em constante evolução e issto acaba refletindo diretamente no desenvolvimento de mecanismos e ferramentas para o uso doméstico e corporativo, muitas delas planejadas para segurança da informação, algo que contribui muito para a segurança das pessoas e da organização, mas o principal ativo e, na grande maioria, a maior vulnerabilidade a ser explorada continua a mesma: Pessoas. Todo sistema necessita de uma equipe ou pessoas específicas para realizar ajustes e monitoramento, isto torna esses responsáveis em vítimas potenciais da engenharia social. Neste trabalho será apresentado alguns pontos importantes sobre a Segurança da Informação no meio organizacional, também será discutido sobre a Engenharia Social, algumas técnicas e meios utilizados por hackers, crackers e profissionais da Tecnologia da Informação com intuito de identificar e evitar esse tipo de ataque com mais precisão e assertividade. Serão apresentadas três vulnerabilidades conhecidas, que já foram exploradas, solucionadas e posteriormente divulgadas pelo CVE, afim de compreender como essas vulnerabilidades foram exploradas e o que foi necessário para que a exploração tenha sido efetiva. Essas vulnerabilidades exploradas possuem um mesmo padrão básico de efetividade que é a necessidade de aplicação da Engenharia Social, desta forma será abordado dois cenários diferentes: original e personalizado, onde o primeiro cenário, original, trata-se das características intrínsecas da vulnerabilidade e o segundo cenário, personalizado, é uma simulação da vulnerabilidade modificada manualmente retirando as características que envolvam a necessidade da Engenharia Social para explorar com êxito a vulnerabilidade. Neste contexto a Engenharia Social funcionará como um filtro nos dois cenários, comprovando a eficiência de ter conhecimento sobre o assunto para mitigar um ataque ou exploração de alguma vulnerabilidade e a compração entre um cenário que não há treinamentos sobre o tema com um cenário que esteja mais preparado, treinado e conscientizado. Esses dados serão mensurados com auxílio da Calculadora de Vulnerabilidade do CVSS.

Technology is constantly evolving and this ends up directly reflecting on the development of mechanisms and tools for domestic and corporate use, many of them designed for information security, something that contributes a lot to the security of people and the organization, but the main asset and for the most part, the biggest vulnerability to be exploited remains the same: People. Every system needs a team or specific people to perform adjustments and monitoring, this makes those responsible potential victims of social engineering. This work will present some important points about Information Security in the organizational environment, it will also be discussed about Social Engineering, some techniques and means used by hackers, crackers and Information Technology professionals in order to identify and avoid this type of attack with more accuracy and assertiveness. Three known vulnerabilities will be presented, which have already been exploited, resolved and later disclosed by CVE, in order to understand how these vulnerabilities were exploited and what was necessary for the exploitation to be effective. These exploited vulnerabilities have the same basic standard of effectiveness, which is the need to apply Social Engineering, thus two different scenarios will be addressed: original and personalized, where the first scenario, original, deals with the intrinsic characteristics of the vulnerability and the second scenario, customized, is a simulation of the vulnerability modified manually, removing the characteristics that involve the need for Social Engineering to successfully exploit the vulnerability. In this context, Social Engineering will work as a filter in both scenarios, proving the efficiency of having knowledge on the subject to mitigate an attack or exploitation of some vulnerability and the comparison between a scenario where there is no training on the subject with a scenario that is more prepared, trained and aware. These data will be measured using the CVSS Vulnerability Calculator