blog.dennyroger.com.br

Por Denny Roger

Está chegando mais um final de semana. A hora de lazer dos Crackers.

Atualmente muitas empresas estão trabalhando aos finais de semana, principalmente as financeiras. Lembre-se que são aos finais de semana que ocorrem os “feirões” de carros com super financiamentos, por exemplo. Conseqüência disso são DBAs trabalhando aos finais de semana para garantir que o banco de dados não irá parar, equipes de suporte técnico fazendo plantões para eventuais emergências na rede ou sistema, gerentes de departamentos trabalhando remotamente para conferir a meta dos trabalhos durante os finais de semana.

Opa! Quer dizer que todos estão remotos? Isso mesmo, toda a equipe de tecnologia da informação e gestores dos departamentos estão acessando a rede de forma remota. Ou seja, através de uma conexão VPN.

Graças a evolução dos programas espiões (Trojan/cavalo de Tróia), as conexões VPN tornaram-se uma excelente porta de entrada para os Crackers. Na prática, após instalado um programa espião, remotamente o Cracker conecta ao computador infectado e utiliza a conexão VPN já estabelecida entre este computador e a rede da empresa para acessar as informações corporativas.

Muitas empresas estão sofrendo ataques combinando engenharia social + pen drive + programa espião. O Cracker infecta um pen drive com o programa espião e entrega de presente a algum funcionário de uma empresa ou simplesmente deixa o dispositivo jogado na calçada no momento em que as pessoas estão chegando para trabalhar. Quando o pen drive é conectado ao computador, o programa espião é instalado na máquina.

Outra forma é “mascarar” um determinado arquivo. Escrevi um artigo há algum tempo tratando sobre o assunto. Acesse http://blog.dennyroger.com.br/2007/06/05/tecnicas-para-ocultar-informacoes-e-identificar-ataques-no-windows/. A técnica consiste em transformar dois arquivos em um só. Por exemplo, podemos adicionar um programa espião a um arquivo de música. Quando executada a música, automaticamente é instalado o programa espião.

Mas vamos voltar a questão das VPNs. Caso você seja administrador da sua rede ou você seja responsável pela segurança da informação da sua empresa pense no seguinte:

Você tem relatórios de quais usuários acessaram a rede através da VPN?

Por quanto tempo cada um dos usuários ficaram conectados a rede?

Qual foi o tráfego na VPN de cada usuário?

Quais foram os sistemas, arquivos, etc, acessados por cada usuário através da VPN?

Será que o pessoal do suporte técnico deixou a conexão da VPN ativa e foi para a balada? Inclusive, será que deixaram a conexão VPN ativa e também o eMule, por exemplo, baixando música da Internet?

Poderia escrever dezenas de perguntas sobre o assunto. Acredite, é muito provável que algum Cracker esteja pegando uma carona na sua VPN.

Caso o tráfego seja muito grande, é muito provável que alguém esteja copiando algumas informações da sua rede. Existe também a possibilidade de ser algum vírus sendo disseminado pela conexão VPN.

Considere a utilização de algum sistema para correlação de logs. Escolha um dos finais de semana e faça uma auditoria na sua conexão VPN. Como sempre digo, quem procura acha.

Abraços e bom final de semana,

Denny Roger

www.epsec.com.br
denny@epsec.com.br

A EPSEC é uma empresa brasileira especializada em desenvolvimento de campanhas de conscientização em Segurança da Informação.

Fundada em 2008 por profissionais com vasta experiência em projetos de alta complexidade em Segurança da Informação, Auditoria e Controles Internos, a EPSEC é reconhecida pelo mercado através de suas palestras inovadoras e por sua capacidade em disseminar a cultura sobre Segurança da Informação com alto valor agregado ao negócio de seus clientes.

Sem comentários »