Nós somos o elo mais fraco.

 

Ataques de hackers contra as empresas estão crescendo e tornando-se maiores e mais ousados, a exemplo das violações de perfis de clientes vividos pela Sony Corp Inc., o Citigroup e outros. Mas lá se vão os dias em que hackers simplesmente encontravam falhas em redes corporativas para roubar dados valiosos. As grandes empresas ampliaram seus conhecimentos sobre a ameaça de pirataria, e passaram os últimos 30 anos endurecendo os perímetros de suas redes com tecnologia novas e atualizadas.

Agora, os criminosos não são apenas invasores de redes. Eles estão invadindo nós, os empregados.

“A brecha de segurança são usuários finais”, diz Kevin Mandia, executivo-chefe da empresa de segurança Mandiant Corp. A maioria das violações de segurança corporativa que estão sendo investigadas no momento pela empresa envolve hackers que tiveram acesso a redes corporativas, explorando funcionários bem-intencionados.

Um exemplo disso ocorreu em março na RSA, a divisão de segurança da EMC Corp, companhia americana de armazemanento de dados cujos equipamentos e serviços são usados por milhares de outras empresas. Um hacker enviou e-mails para dois pequenos grupos de funcionários que pareciam bastante inocentes, incluindo uma planilha intitulada “plano de recrutamento 2011”. A mensagem foi tão convincente que um empregado recuperou a mensagem da pasta de “lixo eletrônico” e, em seguida, abriu o anexo. Ao fazê-lo, introduziu um vírus na rede da RSA, que acabou por dar aos hackers acesso a dados confidenciais da empresa, e permitiu que mais tarde os ataques contra clientes da RSA acontecessem.

Empregados têm mais oportunidades do que nunca para comprometer as informações da empresa. Basta clicar em e-mails de hackers para baixar vírus, deixando-os contornar as barreiras de segurança dos sistemas da companhia. Ou abrir uma caixa de Pandora de problemas de segurança, ao contornar as regras da área de suporte técnico da empresas e fazer tarefas com dispositivos pessoais, fazer compras em serviços on-line, acessar e-mails pessoais e serviços de armazenamento de dados em nuvem.

Fechar esses buracos tem sido uma tarefa muito difícil, dizem especialistas em segurança. Mas as empresas continuam lutando. Para parar os hábitos de empregados potencialmente perigosos, as empresas estão testando novas ferramentas para acompanhar o que está acontecendo em suas redes e implantando programas de educação para seus funcionários.

Boa parte dessa nova vulnerabilidade tem a ver com a crescente utilização de sites de relacionamento social.

Blogs e redes profissionais como o LinkedIn são fontes particularmente úteis para os criminosos, dizem especialistas, já que muitas pessoas compartilham informações sobre suas tarefas no trabalho, o que pode ser usado para ajudar a determinar hierarquias corporativas, entre outras coisas. Isso torna fácil para um hacker disseminar, por exemplo, uma mensagem que supostamente é do chefe do alvo.

Com informações de perfis do LinkedIn na mão, hackers “enviam e-mails com aspecto tão confiável que os usuários terão uma alta probabilidade de abrir-los”, diz Dave Jevans, presidente do conselho da empresa de segurança IronKey Inc.

Hackers utilizam armadilhas perigosas nesses e-mails direcionados, tais como links que levam a malware, softwares malciosos, ou uma página web concebida para enganar o funcionário para que ele digite senhas. No ataque à RSA, os e-mails, incluíndo um anexo, se aproveitaram de uma brecha até então desconhecida no software Adobe Flash para introduzir um vírus nos sistemas da empresa.

Estes ataques são uma versão mais precisa da prática conhecida como phishing, aqueles e-mails, muitas vezes redigidos de forma estranha e como se fossem mensagens de bancos, por exemplo, ou da receita federal que aprendemos a ignorar. Esta nova geração de e-mails, chamadas de spear phishing, são mais difíceis de detectar: eles não têm erros reveladores como os problemas de digitação, como muitas vezes também podem incluir os nomes dos colegas e informacões específicas da empresa, e serem enviados de contas de colegas sem que eles saibam.

Às vezes, tentamos se mais espertos que os sistemas.

Conforme nos tornamos mais hábeis como usuários de tecnologia, nossas expectativas sobre como podemos usá-la no trabalho se multiplicam. Mas algumas medidas que tomamos para ser mais produtivos, como a criação de uma conta comum para a equipe envolvida em um serviço de armazenamento em nuvem, ou trazer um computador pessoal para o escritório, podem abrir buracos nas defesas corporativas.

Em particular, os hackers que estão em busca de dados corporativos miram o e-mail pessoal. Alguns funcionários preferem a facilidade e as características de contas de e-mail privado, como Gmail e Yahoo Mail, e encaminham algum e-mail do trabalho para a conta pessoal — ou até programam todos os e-mails de trabalho para serem automaticamente encaminhados para as contas pessoais. É uma má idéia: muitos serviços de e-mail pessoal não oferecem o mesmo tipo de proteção contra malware e phishing que os empregados têm no trabalho.

As empresas freqüentemente se vêem às voltas com violações de dados quando os funcionários perdem laptops e discos, mas o compartilhamento e armazenamento de documentos da companhia em serviços de nuvem de terceiros carregam seus próprios riscos, incluindo ataques de phishing. Além disso, às vezes, esses serviços deixam a desejar. Em junho, um erro de programação no sistema da companhia de armazenagem de dados on-line Dropbox Inc. temporariamente permitiu que qualquer senha fosse usada para acessar qualquer conta de usuário em seu site, embora a Dropbox diga que menos de cem contas foram afetadas.

A proliferação de serviços de mídia social também tem o potencial de ampliar as nossas decisões ruins. Em maio, um executivo da Hewlett-Packard Co. acidentalmente expôs planos estratégicos da empresa para a área de computação em nuvem no LinkedIn, atualizando seu perfil com detalhes sobre o que a empresa estava construindo. Bloggers (e possíveis concorrentes) notaram isso antes que o funcionário tivesse a chance de eliminar as informações.

Empregados desonestos poderiam causar ainda mais danos, diz Clara Shih, fundadora da Hearsay Sociais Inc., que produz sistemas para ajudar as empresas a definir políticas para o uso das mídias sociais pelos funcionários e acompanhar a sua utilização. “As empresas estão atentas para o fato de que, se não for controlada, a mídia social é de natureza inerentemente descentralizada e representa uma ameaça para tudo, desde anúncios e vazamento de segredos comerciais à violação de marca e leis”, diz ela.

A ascensão de aparelhos eletrônicos, como smartphones e tablets também traz o risco de introdução de falhas de segurança desconhecidas dentro de redes corporativas. Executivos de alto nível estão entre os mais culpados pela utilização desses aparelhos, diz Chris McKie, diretor de análise e relações públicas da empresa de segurança Watchguard Technologies Inc. “Como você garante que qualquer dispositivo que entra já não está infectado ou não vai expor outros recursos?”, diz ele.

Essas novas fragilidades para a segurança tecnológica das empresas estão exigindo formas de defesa igualmente inovadoras. Mas os problemas de segurança que se originam com os seres humanos não têm fácil solução técnica. Soluções humanas podem ser mais eficientes.

Com sistemas mais antigos, que estão baseado em barreiras de segurança falhas, a TI corporativa “precisa de uma nova doutrina de defesa”, diz o chefe da área de proteção de dados da RSA, Uri Rivner. “Você precisa ter cobertura de segurança dentro de sua organização, em vez de no seu perímetro. Você precisa entender o que os usuários estão fazendo, e, em seguida, detectar internamente qualquer tipo de atividade suspeita.”

Após o ataque de phishing na rede da RSA este ano, a companhia finalizou os planos para comprar uma empresa chamada Netwitness que monitora o tráfego da rede para procurar modelos suspeitos. Outras companhias têm investido em tecnologia para segregar numa rede separada atividades on-line de um funcionário que esteja, por exemplo, usando seu iPad pessoal — isso com o objetivo de tornar mais difícil que um empregado introduza sem querer um vírus num dos sistemas críticos da empresa.

A Dropbox afirma que está tentando trabalhar com os departamentos de segurança de empresas para desenvolver melhores controles e visibilidade de como as pessoas usam seus serviços para trabalhar.

Nenhuma dessas soluções pode substituir a vigilância dos funcionários sobre as formas como fraudadores podem tentar nos atacar, dizem especialistas em segurança. Algumas empresas enviam regularmente e-mails lembrando os funcionários sobre as melhores práticas, tais como nunca enviar e-mails com nome de usuário e senhas utilizados na empresa, mesmo se o pedido parece vir de um superior ou alguém do departamento de TI.

Outros lançam regularmente ataques contra seus próprios empregados para ensiná-los a serem mais conscientes. O ex-hacker Kevin Mitnick criou uma nova carreira ao oferecer treinamento em técnicas utilizadas por hackers. Ele faz ataques de teste em empresas para ajudar os diretores e funcionários a compreender o quanto são vulneráveis. “Há sempre uma maneira de manipular alguém mudando sua percepção do que é a realidade”, diz Mitnick.

Em uma recente palestra para uma empresa de serviços financeiros, Mitnick detalhou como ele convenceu muitos dos funcionários da empresa a abrirem um anexo de e-mail enviado por alguém fora da corporação, apelando ao desejo dos funcionários de ajudar a um colega em outro escritório.

“Algumas pessoas foram abaixando a cabeça e dizendo: ‘Fui eu”, diz o diretor de segurança da empresa, que não quis ser identificado. “Não era apenas alguém falando sobre algo que não lhes dizia respeito. Foi algo que eles podiam sentir na pele.”

 

#fonte: http://online.wsj.com/article/SB10001424052970204138204576601492734261736.html

Deixe uma resposta

VocÊ pode usar tags e atributos : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">