Segurança I

Continuando o assunto o comentário sobre segurança, quero agora mostrar alguns exemplos dos tópicos que expliquei acima relacionados à segurança de redes. 

Primeiramente e simples de exemplificar é a tática do engano, milhares de pessoas recebem constante diversos emails falsos com propagandas de produtos, respostas sem ao menos elas perguntarem e etc. - essa prática é chamada de phishing que é uma espécie de pescaria eletrônica, pois utiliza assuntos chamativos para atrair a atenção e levá-lo a abrir páginas que podem roubar dados importantes do leitor, além disso ela utiliza o spam (envio de emails em massa) para propagar essas mensagens. O phishing é destinado a um ponto fraco da segurança, o usuário, pois a curiosidade humana é extremamente vulnerável. Agora visando o engano das máquinas podemos apontar algumas técnicas de ataque: ARP Spoofing, IP Spoofing, DNS Spoofing, redirecionamento de emails, SQL Injection e etc. Sobre a tática da força, pode-se citar os ataques de buffer overflow, DDoS entre outros.

Comentário sobre segurança

Eu estava pensando sobre segurança relacionada a prevenção contra ataques, e conclui algo que entendo como relevante. Para um atacante ou intruso (depende da sua forma de pensar) dizer que quebrou um sistema de segurança, ele só pode utilizar duas ferramentas: engano (engenharia social) e força. O atacante deverá enganar e/ou forçar algum componente envolvido no sistema de segurança para conseguir penetrar no sistema, sendo que uma ação pode implicar na outra. Por exemplo, se uma pessoa tem o objetivo de penetrar em um prédio restrito, onde há vários seguranças, dispositivos identificadores, protocolos de segurança e etc., elea primeiramente irá estudar todo o funcionamento do sistema como também as peças que o compõem. Como esse sistema envolve seres humanos, há uma grande tendência da utilização da tática de engano, como: se passar por outra pessoa importante, apelar para o emocional dos funcionários, conquistar e abusar da confiança dos funcionários durante o período fora do prédio, simular tragédias e etc., o atacante poderá também utilizar a força física e forçar alguém a lhe passar informações importantes ou facilitar o seu acesso (algumas tentativas acabam em tragédia). 

Portanto, quando pensamos na prevenção de ataques devemos "imunizar" nosso sistema contra os enganos, ou seja, instruir os funcionários sobre métodos para identificar se as pessoas estão tentando enganá-las para obter informações importantes, pois a falha humana (distração, falsa confiança e etc) é uma porta pouco vigiada e por ela saem as mais importantes informações de uma organização. Outro fator importante é instruir os funcionários sobre como se comportar quando forem forçados (sequestros, torturas, ameaças e etc) a fim de preservarem principalmente a sua vida e também as informações da organização.   : )

Lembrete: "Não existe, debaixo do sol, algum sistema de segurança com eficácia 100%, mas com constante manutenção pode-se aproximar."