Saiba o que é dumpster diving e qual o nível de fragmentação você deve usar

Saiba o que é dumpster diving e qual o nível de fragmentação você deve usar.  A sua lixeira tem um tesouro escondido, rico e cheio de informações que podem e serão usadas contra a sua empresa. 

Com o aumento das condições regulatórias e aperto da LGPP em relação á proteção de informações pessoais, o dumpster diving ganhou uma atenção especial, por outro lado a fragamentação de informações ainda é mau compreendida e muitas empresas erram ao escolher picotadoras inadequadas para o risco de suas informações. este artigo vemos um pouco do que é o dumpster diving  e os critérios interacionais que regem o nível de fragmentação necessário para cada tipo de informação e mídia.

Dumpster diving é a mesma coisa que procurar um tesouro no lixo de outra pessoa. No mundo da tecnologia da informação (TI), o dumpster diving é uma técnica usada para recuperar informações que poderiam ser usadas para realizar um ataque ou obter acesso a uma rede de computadores a partir de itens descartados.

O mergulho em lixeiras não se limita a vasculhar o lixo em busca de tesouros óbvios, como códigos de acesso ou senhas anotadas em post-its. Informações aparentemente inocentes, como lista de telefones, calendário ou organograma, podem ser usadas para ajudar um invasor usando técnicas de engenharia social para obter acesso à rede.

Para evitar que os caçadores de lixo aprendam algo valioso com o lixo, os especialistas recomendam que as empresas estabeleçam uma política de descarte onde todo o papel – incluindo impressos – seja triturado em uma trituradora de corte transversal antes de ser reciclado, toda a mídia de armazenamento seja apagada e toda a equipe seja treinada sobre o perigo de lixo não rastreado.

Hardware de computador descartado pode ser uma mina de ouro para invasores. As informações podem ser recuperadas da mídia de armazenamento, incluindo unidades que foram formatadas ou apagadas incorretamente. Isso inclui senhas armazenadas e certificados confiáveis. Mesmo sem a mídia de armazenamento, o equipamento pode incluir dados do Trusted Platform Module ( TPM ) ou outros IDs de hardware que são confiáveis ​​por uma organização. Um invasor também pode usar o hardware para identificar o fabricante do equipamento e criar explorações em potencial.

Registros médicos e pessoais podem ter consequências legais se não forem descartados de maneira adequada. Os documentos que contêm informações de identificação pessoal, regulados pela LGPD, devem ser destruídos, ou a organização pode ser exposta a violações e multas potenciais. 

As empresas precisam descartar com segurança as informações confidenciais para evitar que os caçadores de lixo roubem informações não autorizadas.

 

Dumpster diving e ataques de engenharia social

A engenharia social está usando a interação humana para enganar outra pessoa para que forneça acesso ou execute uma ação para o invasor. O principal objetivo da engenharia social é estabelecer confiança entre o invasor e o alvo. Dumpster diving é uma forma de os invasores obterem informações que usam para estabelecer confiança. Embora os invasores também levem qualquer equipamento de computador que encontrarem, normalmente o foco principal de um ataque de lixeira é obter informações sobre uma organização. Mesmo documentos inócuos podem ser usados ​​por um invasor.

Uma lista de nomes – como um diretório ou lista de telefones – pode ser usada de várias maneiras por um invasor. Os nomes dos funcionários podem ser usados ​​para adivinhar o nome de usuário do computador, para atacar suas contas pessoais na web ou para roubo de identidade. Uma lista de nomes também pode ser usada como parte de uma campanha geral de phishing contra uma organização ou um ataque de spear phishing contra um executivo.

Os números de telefone podem ser usados ​​com falsificação de identificação de chamadas para coagir um funcionário a revelar outras informações em um ataque de phishing de voz ( vishing ). Um invasor poderia usar isso para ligar para um funcionário com uma história como: “Olá, aqui é John da contabilidade. O chefe de finanças, Bill, precisa de alguns números até esta noite. Perguntei a Debbie e ela pediu para falar com você. Pode Ajude-me?

Ataques de engenharia social usam informações coletadas em lixeiras. Se os invasores encontrarem um recibo de um serviço de reabastecimento de máquina de venda automática, eles podem fingir ser funcionários do serviço com um crachá no mesmo dia e horário de uma entrega prevista para obter acesso a áreas que não são abertas ao público. Os invasores podem usar esse acesso para fazer um ataque de shoulder surfing (espiar sobre o ombro) ou instalar um keylogger para obter acesso à rede.

Qual o nível de segurança que necessita?

As fragmentadoras de papel possuem várias especificações relacionadas ao tamanho do papel pós picotamento, sendo que quanto menor o tamanho do papel, maior será a segurança visando a dificuldade de recuperação do documento fragmentado. Os níveis de segurança são definidos por números, um padrão internacional de segurança determina os estilos de corte e o tamanho máximo das tiras ou partículas, classificando-as em 5 níveis sendo o Nível 1 e 2 para corte em tiras, Nível 3 e 4 para corte em partículas, Nível 5 para corte em confete (micro-partículas).

Quanto maior a confidencialidade do material que será fragmentado, menores serão as partículas geradas para a fragmentadora de papel, garantindo que não seja possível recuperar esse material. Quanto mais vitais são as informações, maior é a segurança necessária.

A Norma DIN 66399 estabelece as dimensões máximas e os níveis de segurança das informações contidas nos fragmentos (pedaços) resultantes da destruição física de “portadores de dados”. Como “portadores de dados”, consideramos: papeis e seus derivados, cd-rom, dvd-rom, disquetes, cartões magnéticos, fitas magnéticas, fitas de impressão, pen-drives (USB-stick) e discos rígidos de computadores.

A norma divide todos os meios de armazenamento de dados diferentes em 6 categorias.

A Norma DIN 66399 considera 3 classes de proteção em 7 diferentes Níveis de Segurança.

Proteção 1: Segurança básica de dados internos. (Nível 1 – Nível 2 – Nível 3) – A publicação não autorizada ou a divulgação destas informações traria um impacto negativo limitado sobre a empresa. Proteção de dados pessoais deve ser assegurada para evitar risco para a posição e situação financeira das pessoas afetadas.

Proteção 2: Alta segurança para dados confidenciais. (Nível 3 – Nível 4 – Nível 5) – A publicação não autorizada ou a divulgação destas informações traria um impacto negativo considerável sobre a empresa com possíveis infrações à legislação de proteção de dados de terceiros. A proteção dos dados pessoais devem cumprir requisitos rigorosos para evitar riscos consideráveis para a posição e situação financeira das pessoas afetadas.

Proteção 3: Total segurança para dados confidenciais e secretos. (Nível 5 – Nível 6 – Nível 7) – A publicação não autorizada ou a divulgação destas informações traria um impacto negativo de sérias ou até fatais consequências, infringindo legislações e obrigações comerciais de preservação de sigilo. É essencial que a confidencialidade dos dados pessoais esteja totalmente preservada, sob o risco de comprometer a saúde, a segurança e até mesmo a liberdade pessoal das pessoas afetadas.

A Norma DIN 66399 estabelece 7 níveis de segurança. Quanto maior o nível de segurança, menor deverão ser os fragmentos resultantes da destruição.

O Nível de segurança 3 está situado entre a classe de segurança básica e de alta segurança.

O Nível de Segurança 5 está situado entre alta segurança e a segurança total. Uma informação de valor mais alto vai trazer o nível de segurança para uma classe de proteção menor e uma informação de valor mais baixo vai trazer o nível de segurança para uma proteção menor.

 
O valor da informação está normalmente associado ao faturamento da empresa ou ao comprometimento político da informação.

O padrão internacional determina o tamanho máximo das tiras ou partículas que são classificadas nos 7 níveis abaixo:

NÍVEL 1: Tira 12 mm – Informações gerais e documentos devem ficar parcialmente ilegíveis ou canceladas e impróprias para reutilização.

NÍVEL 2: Tira 6 mm – Informações ou documentos de uso interno devem estar com remontagem dificultada ou cancelados para reutilização.

NÍVEL 3: Partícula 320 mm² – Informações ou documentos com dados sensíveis e confidenciais, bem como dados pessoais sujeitos a altos requisitos de proteção.

NÍVEL 4: Partícula 160 mm² – Informações ou documentos com dados altamente sensíveis e confidenciais, bem como dados pessoais sujeitos a altos requisitos de proteção.

NÍVEL 5: Partícula 30 mm² – Informações ou documentos com dados confidenciais de fundamental importância para uma pessoa, empresa ou instituição.

NÍVEL 6:  Partícula 10 mm² – Informações ou documentos com dados que requeiram medidas de segurança extraordinárias.

NÍVEL 7:  Partícula 5 mm² – Informações ou documentos secretos, sem meios possíveis de recuperação das informações.

Portadores de Dados (mídias) e os níveis de segurança

O nível de segurança que a fragmentadora produz depende do seu sistema de corte (geometria dos cilindros de corte).

O quadro a seguir mostra os seis tipos de mídias e os sete níveis de segurança.

 

Como evitar um ataque de lixeira

Embora possa parecer muito trabalhoso cuidar adequadamente do lixo, processos podem ser implementados para ajudar a prevenir um ataque de lixeira. Isso deve ser documentado e claramente explicado aos funcionários.

  • Tenha um processo de descomissionamento de equipamento documentado. Certifique-se de que todas as informações identificáveis ​​sejam removidas do equipamento de computador antes de descartá-lo ou vendê-lo. Isso inclui o apagamento seguro dos dados dos discos rígidos e a limpeza dos dados TPM. Remova quaisquer fatores de confiança em bancos de dados organizacionais, como relações de confiança de domínio, autenticação de endereço de controle de acesso à mídia (MAC) ou certificados de confiança expirados.
  • Use o processo de exclusão de mídia de armazenamento seguro apropriado. Isso pode incluir o apagamento seguro das unidades de disco, a destruição de discos compactos (CDs) e a desmagnetização do armazenamento magnético.
  • Tenha uma política de retenção de dados e use certificados de destruição para dados confidenciais. As políticas de retenção de dados devem determinar por quanto tempo os documentos e dados devem ser mantidos e como devem ser descartados. Um certificado de destruição deve ser criado e arquivado para rastreamento legal.
  • Faça a trituração conveniente. Forneça acesso fácil aos trituradores próximos às latas de reciclagem ou use lixeiras seguras para triturar ao lado de cada lata de lixo. Para os funcionários que trabalham em casa, forneça trituradores de papel domésticos. Lembre-se de avaliar a tritura na classificação adequada de que necessita para sua empresa.
  • Eduque os funcionários. Forneça informações sobre o descarte adequado e métodos típicos de engenharia social. Não permita que os funcionários levem impressos para casa e não dê equipamentos de informática antigos aos funcionários.
  • Lixo seguro. Use lixeiras e lixeiras para reciclagem trancadas ou mantenha o lixo em uma área segura até que esteja pronto para ser coletado. Use recicladores de equipamentos confiáveis.
Fonte: TechTarget & DIN66399

Veja também:

Sobre mindsecblog 2399 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

3 Trackbacks / Pingbacks

  1. 1º vazamento de dados cadastrais do Pix
  2. CVC sofre ataque hacker e diz que reservas não foram afetadas
  3. O que é o BGP (Border Gateway Protocol) que afetou o Whastapp

Deixe sua opinião!