Maltego: Ferramenta para Pentest

O que é o Maltego?

O Maltego é uma plataforma única desenvolvida para fornecer uma imagem clara das ameaças contidas no ambiente de sua organização.O Maltego possui a vantagem de demonstrar a complexidade e gravidade dos pontos de falha, assim como as relações de confiança existentes em sua infra-estrutura.

O que o Maltego pode fazer?

O Maltego e um programa capaz de determinar os relacionamentos em links do mundo real como:

 

  • Pessoas
  • Grupos de pessoas (redes sociais)
  • Companhias
  • Organizações
  • Web Sites

Infraestruturas da internet como:

  • Domínios
  • Nomes de DNS
  • Netblocks
  • Endereços de IP

Por ter sido desenvolvido em Java o Maltego pode rodar em vários sistemas operacionais. Sua interface gráfica possibilita a visualização instantânea dos relacionamentos tornando possível descobrir conexões escondidas.

 

 

O desenvolvedor do Maltego disponibiliza um versão gratuita do software chamada de community version, estava versão pode ser baixada aqui.

 

Anúncios

Engenharia Social

Em tempos onde a informação se torna cada vez mais próxima tendo a internet como sua facilitadora, fraudes e golpes descobrem um novo horizonte de possibilidades. Os benefícios da internet no uso cotidiano são indiscutíveis trazendo praticidade às nossas tarefas do dia a dia. Com todo esse conforto gerado pela internet nos esquecemos que existem certo pontos negativos nesse contexto, dados pessoais são divulgados abertamente facilitando o acesso de pessoas mal intencionadas.

Segundo Guilherme Junior Engenharia social consiste em técnicas utilizadas por pessoas com o objetivo de obter acesso e informações importantes e/ou sigilosas em organizações ou sistemas por meio da ilusão ou exploração da confiança das pessoas.

É importante ressaltar que, independente do hardware, software e plataforma utilizada, o elemento de maior vulnerabilidade em qualquer sistema é o ser humano, por possuir traços comportamentais e psicológicos que o torna susceptível a ataques de engenharia social. Dentre essas características, podem-se destacar:

  • Vontade de ser útil: O ser humano, comumente, procura agir com cortesia, bem como ajudar outros quando necessário.
  • Busca por novas amizades: O ser humano costuma se agradar e sentir-se bem quando elogiado, ficando mais vulnerável e aberto a fornecer informações.
  • Propagação de responsabilidade: Trata-se da situação na qual o ser humano considera que ele não é o único responsável por um conjunto de atividades.
  • Persuasão: Compreende quase uma arte a capacidade de convencer pessoas, onde se busca obter respostas específicas. Isto é possível porque as pessoas têm características comportamentais que as tornam vulneráveis à manipulação.

Como se proteger da Engenharia Social

Bom senso

A vítima deve ficar sempre bem atenta ao receber qualquer tipo de abordagem, seja por telefone, e-mail, carta ou até mesmo pessoalmente, onde um pessoa (atacante) tenta o induzir a fornecer informações confidenciais pessoais e até mesmo sobre a empresa em que trabalha.

Informações sensíveis

Deve-se sempre estar antenado quando lhe for solicitado informações sensíveis como, por exemplo, números de cartões de crédito, senhas e etc. por pessoas estranhas. A vítima antes de tudo deve verificar a autenticidade da ligação que esta recebendo, do crachá que o atacante apresentou e etc.

Solicitações pela internet

Nunca fornecer informações pessoais, de empresas e etc antes de identificar e constatar a autenticidade do pedido. Por várias vezes, vítimas recebem e-mails contendo links falsos, informações não verdadeiras ou até mesmo solicitações de cadastro em empresas fantasmas. Para não cair nestas armadilhas a vítima deve, por exemplo, entrar em contato com a instituição que lhe fez a solicitação de cadastro, como por exemplo bancos, receita federal e etc, para garantir assim uma autenticidade do pedido, nunca clicar sobre links recebidos através de spams e etc.

Treinamento

Atualmente as empresas que querem evitar esse tipo de ataque, estão investindo alto em treinamento de funcionários, afim de evitar a vazão de informações sobre a estrutura da empresa.

O treinamento, estabelecimento da política de segurança da informação na empresa, baseia-se em educar os funcionários a sempre certificar-se de que a pessoa a quem vai fornecer as informações é realmente quem diz ser, a tomarem cuidado com o lixo pois este é uma grande fonte de informações, desconfiarem de pessoas em chats e etc.

Esta política de segurança da informação da empresa deve conter dentre outros tópicos, planos e ações de segurança como, por exemplo, plano de proteção física, continuidade dos negócios, análise de riscos, ações de engenharia, plano de contingência, plano de conscientização de todos os colaboradores, mesmo os terceirizados e etc.

Basicamente tudo se resume em reeducar toda a corporação a fim de implantar uma nova cultura cem por cento abrangente, cem por cento, pois qualquer falha põe novamente a corporação em risco iminente.