Você acha plausível uma mulher de 58 anos, que passou a vida toda trabalhando na área de alimentação, invadir os computadores de um sistema prisional? Para um hacker, isso parece fichinha, mas para a senhora em questão foi uma aventura daquelas – tudo para provar um ponto, é claro.
Esse caso é real e envolveu John Strand, especialista em testar sistemas de segurança, e sua mãe, Rita Strand, que topou o desafio. Sua função: entrar no presídio e plugar pen drives maliciosos em diversos computadores, inclusive na máquina do diretor do local. Com histórico de profissional de inspeção sanitária, crachá falso e muita coragem, a mulher completou com louvor a missão.
Tudo isso, é claro, com o aval e suporte da Black Hills Information Security, empresa especializada em testes de invasão, onde o filho de Rita trabalha. A ideia é verificar a facilidade de invadir sistemas, tanto de maneira online quanto offline – e esta última tem sido bem negligenciada, diga-se de passagem
Travas e correntes
Não negligencie a segurança física! Essa é uma das principais dicas de Strand, que, além da invasão virtual, especializou-se em entrar em espaços supostamente seguros. Assim como nas invasões digitais, a física pode não deixar rastros e, por isso, demorar ser descoberta.
Para pequenas e médias empresas, nas quais as seguranças físicas tendem a ser menores, o estrago pode ser muito grande. Mesmo organizações financeiras e jurídicas, que costumam ser mais precavidas, não estão livres dos problemas.
Em 2019, no meio da madrugada, um teste de penetração teve o tribunal de Iowa, nos EUA, como “alvo”. Os especialistas encontraram portas de segurança com travas digitais apenas encostadas e tiveram que trancá-las antes de tentar invadir. É mole?
A farra do compartilhamento
São várias as possibilidades de falhas físicas: problemas na identificação de visitantes ou prestadores de serviço, roubo de credenciais, uso de documentos vencidos, compartilhamento de senhas de acesso e muito mais. Isso tudo permite invasões inclusive durante o dia, com a empresa cheia de funcionários.
O roubo de credenciais, para se ter uma ideia, aumentou 65%, em 2022, e deve gerar prejuízos na casa dos USD 4 a 5 bilhões. Mas esse valor pode estar subestimado, porque as empresas ainda têm dificuldades em calcular danos causados por problemas internos de segurança.
Pensar em tudo
A segurança física e digital devem ser feitas em conjunto, para garantir mais confiabilidade. Mesmo com os cibercrimes tendo maior potencial de dano, muitas vezes eles acontecem por meros descuidos presenciais, como falamos ali em cima. Dados de acesso e de vigilância costumam ser analisados de forma independente, sendo que dizem respeito à mesma coisa: a segurança dos negócios.
E por mais que o mundo esteja se tornando cada vez mais digital, é preciso criar um cercadinho em torno de suas estruturas. Vale lembrar que mesmo fechaduras com senha podem sofrer invasões digitais. Então, que caminho tomar? Enxergar a segurança como algo mais amplo.
A Infomach possui um Red Team, que realiza trabalhos de hacker ético, em empresas e instituições. O objetivo deste time é descobrir falhas de segurança, antes que sejam exploradas por criminosos. A maioria das empresas contrata teste de intrusão e análise de vulnerabilidade de seus sistemas e ambientes digitais, mas tem crescido a demanda por testar também a segurança fisíca.
E você já contratou um teste de intrusão para sua empresa? Fale com nossos especialistas e contrate um PenTest, Análise de Vulnerabilidade ou melhore a segurança de sua empresa. Acesse https://info.infomach.com.br/contato_especialista
Fonte do Artigo: The Brief
