– root@injetionsec:~#

Dumpster Diving

13.07.2015 (1:47 pm) – Filed under: Segurança da Informação ::

9781581603699

Quem assistiu o filme(listaWho Am I percebeu uma técnica  usada dentre muitas no filme o dumpster diving  refere-se ao uso de vários métodos para obter informações sobre o usuário. Em geral envolve pesquisar através do lixo algo útil, isso geralmente é feito para descobrir informações úteis que podem ajudar um indivíduo a ganhar acesso a alguma empresa, organização etc .

Essa técnica foi realmente muito popular na década de 1980, devido a uma menor segurança do que existe hoje , essa coleta de informação e útil  para atacantes maliciosos e/ou curiosos que podem encontrar manuais, arquivos de senhas, disquetes, CD/DVDs.documentos sensíveis, números de cartões de crédito, recibos ou relatórios que foram jogados fora.Estes dados podem ser utilizados para realizar outros tipos de ataques em sistemas, podendo basear-se em em engenharia social.Como sabemos a coleta de informações, ou reconhecimento, ocorre antes de um ataque, de modo que o atacante tem uma base de dados sobre um alvo para poder traçar um melhor perfil de seu alvo, estas informação pública disponível gratuitamente pode vir de motores de busca, ferramentas, engenharia social, dumpster diving  e etc.

Empresas investem milhões em tecnologias para se manter seguras e  treinamentos para aprender a usar essas novas tecnologias, porém nem todas se preocupam em fornecer o devido treinamento aos funcionários quando o assunto é o descarte adequado de documentos ou qualquer outro tipo de material que contenha informações sensíveis ao funcionamento da organização, e onde entra o perigo.

O problema não e somente o lixo e sim o que você ira coloca-lo nele, muitas empresas descartam arquivos sigilosos  e muitos aparecem pela rua que pode utilizar essas informações, uma outra questão seria a economia, muitas organizações reaproveitando folhas que já foram utilizadas para imprimir outras informações que podem ter dados que parecem ser irrelevantes como telefone, email, endereço etc,  isso na mão de criminosos pode ser uma vantagem para conseguir acesso a algum sistema ,um grande engenheiro social que já usou essa técnica e relata em um dos seus livros[1] é o Kevin Mitnick.

Nós mesmos podemos tomar cuidados simples, como evitar imprimir informações confidenciais sem necessidade ou ainda imprimi-las e deixá-las esquecidas na impressora, encomendas de correio muitas pessoas acabam deixando quando jogam as caixa fora nela temos informações do remetente e destinatário como (cod. postagem,rg,cpf,endereço,telefone,cidade,estado,pais) uma boa prática é rasgar em vários pedaços qualquer dessas informações colocando em lixos separados, uma medida que faço sempre. [meus pais me chamam de louco e paranóico..hehhe]

Descarte correto

Para papeis o método mais utilizado é o triturador que é uma forma barata e de fácil acesso, em algumas  empresas é utilizado o incineração de documentos, um método mais caro porem efetivo.Se você quiser mais informações sobre esse assunto, recomendo fazer a leitura do item 10.7.2 e 10.7.3 da norma ISO IEC/NBR 27002:2005.

 

Referências
[1]http://www.livrariasaraiva.com.br/produto/182835/a-arte-de-invadir
Guidelines for Media Sanitization – National Institute of Standards and Technology (NIST)
DoD 5220.22-M
Lixo Eletrônico, Descarte e Vazamento de Informações
Gerenciamento de Documentos