Saltar para: Posts [1], Pesquisa [2]

Miúdos Seguros Na Net - Promover a Segurança de Crianças e Jovens na Internet

Minimizar Riscos, Maximizar Benefícios.

Miúdos Seguros Na Net - Promover a Segurança de Crianças e Jovens na Internet

Minimizar Riscos, Maximizar Benefícios.

Dia #5 – Engenharia Social e Sensibilização Sobre os Vasculhadores de Lixo

Tito de Morais, 08.10.07
Não vou entrar aqui em grandes detalhes sobre o que é a Engenharia Social, para além de transcrever aqui o primeiro parágrafo da definição fornecida pela versão portuguesa da Wikipédia, cuja leitura recomendo verdadeiramente:
"Em Segurança da informação, chama-se Engenharia Social práticas utilizadas para obter acesso à informações importantes ou sigilosas em organizações ou sistemas por meio da enganação ou exploração da confiança das pessoas. Para isso, o golpista pode se passar por outra pessoa, assumir outra personalidade, fingir que é um profissional de determinada área, etc. É uma forma de entrar em organizações que não necessita da força bruta ou de erros em máquinas. Explora as falhas de segurança das próprias pessoas que, quando não treinados para esses ataques, podem ser facilmente manipuladas".

Em função desta informação, parece-me fácil de perceber que os especialistas afirmem que, no que toca à segurança da informação, as pessoas são o elo mais fraco.

Po outro lado, relativamente aos "vasculhadores de lixo", recorro mais uma vez à definição disponível na Wikipedia - infelizmente apenas em inglês - onde se explica que o termo "information diving", "é a prática de recuperar dados técnicos, por vezes confidenciais ou secretos, de material descartado. Recentemente, estes dados são obtidos a partir de dispositivos de armazenamento de dados em computadores descartados, nomeadamente através da recuperação de dados armazenados em discos rígidos".

Relativamente a dicas sobre este assunto a nível organizativo - mas não só - recomendo a leitura das dicas publicadas sobre este assunto pelo Internet Storm Center do SANS (SysAdmin, Audit, Network, Security) Institute. A nível familiar, refiro-me geralmente à engenharia social no âmbito do aliciamento de crianças e jovens. Sobre isso recomendo a leitura destes dois artigos:

Dica #4 - Capacitando o "Guerreiro da Estrada"

Tito de Morais, 07.10.07
O "Guerreiro da Estrada", nas empresas, é geralmente o utilizador móvel que usa computadores portáteis e que ,em muitas circunstâncias, representam uma verdadeira dor de cabeça para os responsáveis pela segurança das redes informáticas empresariais. Estes utilizadores, que por vezes estão ausentes da empresa por longos períodos de tempo, geralmente necessitam de privilégios de administração dos computadores que usam para poderem desempenhar as suas funções com eficácia. No entanto, tal tende a expor as suas máquinas a riscos que, quando se ligam às redes internas das empresas, expõem as redes internas a toda uma série de ameaças.

Se bem que esta realidade também se possa verificar, se bem que com menor acuidade, noutros locais, a nível doméstico o termo "Guerreiro da Estrada" assume todo um outro significado. Há dias, numa acção de sensibilização com alunos do 2º ciclo, questionava-os sobre as suas maiores precupações ao nível da segurança na Internet. Um dos miúdos prontamente respondeu: "A minha maior preocupação é o meu irmão mais novo que cada vez que usa o computador lá de casa me apaga ficheiros, muda-os de sítio, etc." Para os pais, o "Guerreiro da Estrada" pode ser representado por um email que em tempos recebi de uns pais: "O maior problema é com o adolescente que usa muito um programa para fazer downloads. Isso tem trazido problemas porque andamos sempre com problemas no sistema. Neste momento nem conseguimos abrir as janelas de marcação de código para aceder às caixas de correio, banco, etc..."

Se as suas preocupações com o "Guerreiro da Estrada" se verificam sobretudo a nível doméstico, sugiro a leitura deste artigo onde aponto algumas soluções educacionais e tecnológicas que ajudarão a lidar com o tipo de problemas acima referidos:
Se as suas preocupações com o "Guerreiro da Estrada" se verificam sobretudo a nível organizacional, esta dica no Internet Storm Center do SANS (SysAdmin, Audit, Network, Security) Institute sugere-lhe algumas formas de lidar com o problema.

Dica #3 - Envolvendo o "Chefe"

Tito de Morais, 07.10.07
Dado ter tido necessidade de me ausentar por uns dias, procuro recuperar durante este fim de semana prolongado as dicas devidas nos dias anteriores desta primeira semana do Mês Nacional de Sensibilização Para a Ciber Segurança.

Ao nível dos programas de sensibilização para a segurança da informação em empresas e organizações, envolver o chefe ou o patrão é essencial para o sucesso de qualquer programa. Sem o envolvimento da liderança de topo da organização, qualquer programa, por muito bem intencionado que seja, está condenado ao fracasso. Mas esta é uma realidade que não é exclusiva das empresas. O mesmo acontece em organizações não-governamentais, organismos governamentais, escolas, universidades, bibliotecas, espaços de acesso à Internet e, claro está, em casa.

Para que um programa de sensibilização para a ciber segurança funcione, o chefe, seja ele o pai, a mãe ou patrão lá na empresa, tem de desempenhar o papel de modelo a seguir. Tem de se envolver no assunto. Não pode dizer "olhem para o que eu digo e não para o que eu faço". As regras que se aplicam aos outros (filhos, empregados, utentes, etc.), têm também de ser observadas pelos "chefes", sob pena de ninguém acreditar no programa que, se assim não for, estará fadado ao fracasso.

Dica #2 - Ferramentas Multimédia, Formação Online e Websites Úteis

Tito de Morais, 07.10.07
Na sequência da agenda definida neste blogue para o Mês Nacional de Sensibilização Para a Ciber Segurança, hoje venho trazer-vos referências a alguns recursos em língua portuguesa no domínio da formação online (infelizmente poucos) e websites úteis (incluindo ferramentas multimédia) para a sensibilização para a ciber segurança.

Formação Online
Websites Úteis
Estes são apenas alguns dos recursos em língua portuguesa sobre segurança nas tecnologias de informação e comunicação de que tenho conhecimento. Estou certo que muitos outros existem. Acrescentem-nos nos comentários ou façam-mos chegar através deste formulário que acrescentarei as suas sugestões a esta listagem.

Dica #1 – Ultrapassar a Atitude “Isto Não se Aplica a Mim”

Tito de Morais, 01.10.07

“Isto não se aplica a mim” ou frases do género são das mais recorrentes quando se fala de ciber segurança. Esta não é uma dor de cabeça apenas para quem tem de implementar um programa de sensibilização e formação dos utilizadores sobre segurança informática. Quem tem filhos ou alunos adolescentes, sabe bem do que falo: “Tá descansado! Eu tomo todas as precauções”. Pois, as coisas más só acontecem os outros! Na realidade, estou em crer que a generalidade dos especialistas em segurança informática são unânimes em considerar as pessoas, e não as tecnologias, como o elo mais fraco da corrente.


Para ilustrar esta ideia, Peter Alexander, um dos Vice-Presidente da Cisco Systems, Inc., conta o caso de uma grande empresa de serviços financeiros. Com vastos recursos ao nível da segurança de redes, a empresa revelou que um dos seus computadores portáteis, contendo os números de segurança social de mais de 200,000 pessoas havia sido roubado. Um empregado da empresa estava a jantar com colegas num restaurante e tinha o portátil fechado na mala do carro. Durante o jantar, um dos colegas da empresa tinha ido ao veículo buscar algo e esquecera-se de voltar a fechar o carro à chave. Quis o destino que, por coincidência, ocorresse uma vaga de assaltos a automóveis na zona e aquela hora. E lá se foi o portátil com os dados pessoais de 200,000 pessoas!


E lá diz o amigo da onça: “Mas eu nem tenho portátil?!”. Pois não, mas nem precisa. Como diz Bruce Scheiner, um guru da segurança informática, os piratas amadores “hackam” sistemas, mas os profissionais “hackam” pessoas. Assim, por muito bem protegidos que os sistemas estejam, com as tecnologias mais recentes e mais desenvolvidas, basta o descuido de uma pessoa para que, de repente, se fique sem segurança nenhuma. É por isso que, em tratando-se de ciber segurança, tudo se aplica a mim, a si, a ele, a todos nós. Afinal, o elo mais fraco somos todos nós.


 

Amanhã, a Dica #2.

Mês Nacional de Sensibilização Para a Ciber Segurança

Tito de Morais, 01.10.07

Ao decidir passar a promover anualmente para os países de língua oficial portuguesa o Mês Nacional de Sensibilização Para a Ciber Segurança, o Blogue Oficial do Projecto MiudosSegurosNa.Net irá fornecer uma dica diária de sensibilização para a ciber segurança, seguindo para o efeito a estrutura sugerida pelo artigo de Marcus H. Sachs, Director do SANS (SysAdmin, Audit, Network, Security) Institute Internet Storm Center. Desta forma, procurarei fornecer informação útil que sirva para sensibilizar e educar os utilizadores.


Todos aqueles que desejem contribuir para este esforço poderão fazê-lo, enviando-nos as suas dicas e sugestões através deste formulário. Para tal, sugerimos que dê uma vista de olhos à listagem de tópicos diários que figura abaixo:

  • Semana 1 – Estabelecer um Programa de Sensibilização e Formação dos Utilizadores
    • Dia 1 – Ultrapassar a Atitude “Isto Não se Aplica a Mim”
    • Dia 2 – Ferramentas Multimédia, Formação Online e Websites Úteis
    • Dia 3 – Envolvendo o Chefe
    • Dia 4 – Capacitando o Guerreiro da Estrada
    • Dia 5 – Engenharia Social e Sensibilização Sobre os Vasculhadores de Lixo
    • Dia 6 – Desenvolver e Distribuir Políticas de Segurança da Informação
  • Semana 2 – Boas Práticas
    • Dia 7 – Firewalls e Filtragem (Host-Based)
    • Dia 8 – Anti-Vírus, Anti-Spyware e Outros Tipos de Software de Protecção
    • Dia 9 – Controlo de Acessos, Incluindo Wireless, Modems, VPNs e Acessos Físicos
    • Dia 10 – Mecanismos de Autenticação (Palavras-Chave, Tokens, Biometria, Kerberos, NTLM, Radius)
    • Dia 11 – Cópias de Segurança de Ficheiros do Sistema
    • Dia 12 – Gerir e Compreender Logs no PC Portátil ou de Secretária (Anti-Vírus, Firewall ou Logs do Sistema)
    • Dia 13 – Patches e Actualizações
  • Semana 3 – Lockdown do Hardware/Software
    • Dia 14 – Encriptação de Dados
    • Dia 15 – Protecção de PCs Portáteis
    • Dia 16 – Protecção de Meios Portáteis tais como Drives USB, iPods, PDAs e Telemóveis
    • Dia 17 – Dicas Para o Windows XP/Vista
    • Dia 18 – Dicas para Mac
    • Dia 19 – Dicas para Linux
    • Dia 20 – Autenticidade do Software (Assinaturas Digitais, MD5, etc.)
  • Semana 4 – Utilização Segura da Internet
    • Dia 21 – Compreender as Ameaças Online, Phishing, Fraude e Keystroke Loggers
    • Dia 22 – Detectar e Evitar Bots e Zombies
    • Dia 23 – Usar Browsers, SSL e Nomes de Domínio
    • Dia 24 – Usar o Email, PGP, Certificados X509 e Anexos
    • Dia 25 – Usar o Instant Messaging e IRC
    • Dia 26 – Troca de Ficheiros em Segurança
    • Dia 27 – Jogos Online e Mundos Virtuais
  • Semana 5 – Privacidade e Protecção da Propriedade Intelectual
    • Dia 28 – Cookies
    • Dia 29 – Ameaças Internas
    • Dia 30 – Blogues e Redes Sociais
    • Dia 31 – Sensibilização Legal (Regulamentar, Estatuária, etc.)
Envie-nos as suas dicas em função da listagem acima e esforce-se para que sejam breves, objectivas e em linguagem simples para serem entendidas pelo comum dos mortais e não apenas por informáticos.