Selecção de dois artigos da SNOsoft Research...

... sobre técnicas de ataque muito bem sucedidas e cuja leitura recomendo vivamente. Mesmo (!) (Leia-se, técnicas de penetração em redes e sistemas de informação, através de metodologias que misturam componentes tecnológicas e ataques sociais, no âmbito de testes de segurança contratados). São os seguintes:

O mix das várias técnicas torna-se imparável. Não vou estragar as histórias começando pelo fim mas, para quem tiver interesse e quiser bater umas bolas, deixo aqui estas ideias:

  1. A componente de sensibilização dos colaboradores é essencial mas, parece-me, só vai ter efeitos a longo prazo — é necessária uma mudança cultural; leva o seu tempo;
  2. O efeito de um canal inverso pela exploração de uma vulnerabilidade num programa, ou através da execução de um cavalo-de-troia, só podem ser mitigados se (i) houver uma gestão efectiva das actualizações de todo o software corporativo e (ii) forem activados controlos que impeçam a execução de programas e macros que não tenham sido previamente aprovados, e instalados, pelas equipas responsáveis pelo IT;
  3. Enquanto for possível usar credenciais fracas nos processos de autenticação críticos (leia-se, passwords), cujo utilização pode ser replicada por qualquer pessoa, a partir de qualquer lugar, enquanto isso for possível, pouco ou nada há a fazer — precisamos autenticação forte. E, no caso concreto destas histórias, seriam necessários smartcards para travar os ataques.

Os comentários são bem vindos. Be my guests.