Sabemos que algumas técnicas utilizadas por atacantes surpreendem não necessariamente pela novidade ou elaboração técnica, mas por nos mostrar que muitas vezes podemos ser atacados de maneiras realmente criativas e inusitadas.
Vou apresentar brevemente 3 técnicas para ilustrar as afirmações acima - serve de exercício para imaginar como as suas iniciativas de segurança atuais (IPS, FW, DLP, Filtro de conteúdo, etc) seriam capazes de deter estes ataques:
1 - Ram Scraping:
O conceito é extremamente simples e todos que já efetuaram análise de dumps memória sabem exatamente do que se trata - por mais que as informações estejam criptografadas na rede, no banco de dados ou no sistema de arquivos, quando são manipuladas pelos programas/processos e memória RAM em vários momentos elas estarão em claro - e por isto mesmo podem ser capturadas pela técnica de RAM Scraping.
O assunto está em pauta devido ao uso em ataques muito bem sucedidos recentes em que foram capturados números de cartões de crédito e outros detalhes transacionais diretamente de sistemas utilizados em pontos de venda (POS) .
Mais informações aqui, aqui e aqui.
2 - Coordenadas GPS via exploração de falha XSS no roteador:
"É só um Cross Site Scripting..". Talvez você já tenha ouvido (ou pensado) isto durante a apresentação de resultados de um teste de segurança WEB. Pois no caso do roteador FiOS da Verizon (e talvez outros), o XSS permite que um atacante consiga determinar a localização física (coordenadas GPS) do usuário que estiver utilizando a rede em questão, utilizando o serviço "Google Location Service" e "Location-Aware" do Firefox.
Veja mais aqui (prova de conceito) e mais detalhes aqui e aqui.
3 - Usos inusitados das suas impressoras:
Este é a mais antiga das 3 abordagens, mas não deixa de impressionar - afinal, quem troca o password padrão das impressoras? O pessoal da Phenoelit pulicou há muitos , muitos anos atrás uma ferramenta que serve de " console" para conexão a impressoras HP - o que permite a um atacante uma miríade de coisas, inclusive guardar arquivos dentro do disco interno da impressora, ler os ultimos trabalhos enviados para ela e alterar configurações administrativas.
Mais informações aqui.
Estes 3 exemplos poderiam ser 30, 300 ou 3000. Somando a isto a nossa certeza da desvantagem natural da defesa contra o ataque (quem defende uma infra-estrutura complexa sabe que atacantes precisam apenas achar algumas poucas brechas para obter resultados não autorizados), teremos uma noção exata do porque apenas investimentos (de tempo, gente, fios de cabelo e dinheiro) em prevenção / detecção não são suficientes para assumir uma postura corporativa madura em segurança da informação.
Dito isto, fica claro que uma reação bem executada deve gerar feedback de alta qualidade (famosa "análise post-mortem") para os processos de prevenção e detecção, para que a postura de segurança seja adequada à realidade dos ataques realmente sofridos pela corporação.
CARAMBA! Testei esta 3a aqui e assombrei a galera da minha empresa. rsrsrs. Já até trocamos a autenticação das impressoras!!!
ReplyDelete