A maior parte do meu tempo no trabalho é gasta invadindo organizações e ensinando como se proteger melhor. Aqui estão alguns dos problemas mais comuns que vejo na maioria das organizações. A organização que implementa essas medidas de segurança estará à frente do jogo.
- Autenticação de dois fatores - Como já foi mencionado, as senhas são fáceis de obter ou adivinhar. Infelizmente, ter senhas complexas não é suficiente. É importante usar a autenticação de dois fatores para todo o acesso externo. Por exemplo, se uma empresa tiver um portal para funcionários acessível à Internet, a empresa deve garantir que o acesso ao portal exija mais do que apenas uma senha para acessá-lo. Pode ser um código enviado para o telefone do funcionário ou um token especial gerado por um dispositivo ou aplicativo. Com a autenticação de dois fatores, o invasor não conseguiria acessar o aplicativo da Web apenas com uma senha roubada. Nota lateral rápida: ataques sofisticados de phishing são bem-sucedidos em 25% do tempo. Em outras palavras, 1 em cada 4 funcionários enviados por e-mail desistirá de suas credenciais.
- Macros do Microsoft Office - Um dos meus métodos favoritos de invadir uma organização é enviar a alguém um documento do Word com uma macro "mal-intencionada". Quando o funcionário abre meu documento, eles são apresentados com o seguinte botão amarelo:
Se o funcionário clicar nesse botão, meu "malware" será instalado instantaneamente em seu computador. Depois, a cada 30 minutos, o computador se conecta ao meu servidor e permite que eu tenha acesso total ao computador. Do ponto de vista do usuário, não há indicação de que o computador está sendo controlado remotamente.
- Pass-the-Hash - os computadores Microsoft Windows geralmente possuem contas de domínio e contas locais. Os funcionários geralmente têm uma conta de domínio. Isso permite que eles acessem seu próprio computador, bem como recursos externos, como o compartilhamento de arquivos da empresa. As contas locais existem apenas no computador do usuário e não têm nenhuma permissão especial fora do computador local - daí o nome de contas locais. As contas locais mais comuns são Administrador e Convidado. O Microsoft Windows mantém uma cópia criptografada da senha das contas locais armazenadas no disco rígido. Em 90% + das organizações, a maioria dos computadores tem o mesmo administrador localsenha. Infelizmente, o hash da senha de uma conta local pode ser usado no lugar da senha para entrar no computador. O resultado é que eu posso usar o hash de senha para pular de um computador para outro rapidamente, mesmo sem conhecer a senha do Administrador local .
- Mimikatz - Mimikatz é uma ferramenta que permite que um invasor extraia a senha de um usuário de domínio diretamente da memória de um computador com Microsoft Windows. Em outras palavras, se o funcionário que abriu meu documento mal-intencionado do Word tiver uma senha muito complexa, como "MyVoiceIsMyPassport!", Poderei descobrir essa senha usando o Mimikatz. Se a organização não usa autenticação de dois fatores, posso fazer login em qualquer site da Internet acessível ao funcionário. Certas implementações de mimikatz são lançadas diretamente na memória e não tocam no disco rígido. Isso torna invisível para o software antivírus.
Efetivamente, isso significa que, quando eu estiver no seu computador, posso usar o hash de senha do Administrador local para se conectar a outros computadores próximos. Com o Mimikatz, eu posso roubar as senhas dos funcionários que estão logados nos computadores que eu posso acessar. Se eu puder encontrar o computador de um Administrador de Domínio, posso roubar sua senha e obter acesso completo a todo o ambiente. Tudo isso pode acontecer em questão de horas.
Então o que você deveria fazer?
- Implemente a autenticação de dois fatores para qualquer aplicativo que seja acessível à Internet. Isso inclui o Outlook Web Access.
- Verifique se o seu sistema de e-mail pode filtrar documentos do Microsoft Office com macros.
- Assegure-se de que cada servidor e estação de trabalho tenham senhas de administrador local diferentes . Outra alternativa é impedir que as contas locais sejam autenticadas na rede. Implementar isso tornará muito difícil obter acesso a outras partes da rede.
Se sua organização puder fazer essas coisas, você estará à frente do jog