Falhas de Segurança – Como encontrar?

Falha de segurança em loja do shopping

Recentemente estava passeando pelo Shopping aqui da cidade e entrei numa grande loja de eletromésticos com o intuito de descobrir possíveis falhas de segurança. No andar de baixo, constatei que existem vários terminais para visualização de preços e geração de vendas por parte dos vendedores. Contudo, todos estavam em tela de login e senha e existem muitos vendedores que com toda a certeza perceberiam a ação de uma pessoa não autorizada a um terminal. Com isso percebi que seria difícil alguem conseguir alguma infomação e ou sair com alguma mercadoria, visto que nas saídas possuem sensores de código de barras instalados.

Mas para minha surpresa, no pavimento superior, não encontrei nenhum vendedor, nem mesmo um segurança ou qualquer pessoa que estivesse ali para garantir a segurança do estabelecimento. Com isso pude constar as seguintes falhas de seguranças:

1-Não existiam pessoas ligadas a empresa no setor;
2-Encontrei um armário embaixo da mesa com a chave;
3-Notei que existiam 2 terminais ligados;
4-Um dos terminais estava com o gabinete exposto e
5-O quadro de energia estava a vista e sem cadeado.

Vamos análisar cada falha:

1)Não existiam pessoas ligadas a empresas no setor:

Esta falha pode ser considerada como alta, visto que a falta de alguem ligado a empresa em um setor, propicia a investigação por parte de um atacante e possivelmente a instalação de equipamentos de escuta, de video ou qualquer outro dispositivo que possa ser utilizado para um futuro roubo de equipamentos ou até mesmo de informação. Tendo em consideração que o atacante pode simplismente instalar uma camera para observar as senhas que são digitadas no terminal, para posteriormente podê-las usa-las.

2)Encontrei um armário embaixo da mesa com a chave;

Esta falha também pode ser considerada como alta, pois, normalmente se colocam informações em gavetas de escritório. Estas informações podem ser: senhas, valores de preços, comprovantes de clientes, numero de fornecedores, dados bancários, etc. Um atacante pode extrair tais informações e usa-las a favor de uma tentativa de estelionato, podendo se passar por alguem, simplismente por ter os dados da pessoa.

3)Notei que existiam 2 terminais ligados;

Esta falha pode ser considerada como leve, mas nem por isso deve ser desconsiderada. Caso alguem consiga a senha de um vendedor ou até mesmo de um gerente, pode perfeitamente entrar no sistema e fazer várias compras, com isso o sistema ficaria parcialmente inoperante, pois, com um excesso de vendas o estoque estaria zerado e ninguem conseguira fazer uma venda naquele instante. Isso geraria um descontentamento por parte dos clientes e uma dor de cabeça para o administrador do sistema.

4)Um dos terminais estava com o gabinete exposto;

Esta falha pode ser considerada como grave, pois, tendo acesso físico a uma maquina, um atacante pode facilmente instalar um pen-drive com um vírus do tipo TROJAN, fazendo com que ele envie informações por meio da internet ou extraia informações para o pen-drive. Tambem, hoje existem modens de internet móvel que vem com entrada USB, com um desses em mãos, o atacante pode criar um ponto de internet para acessar a maquina remotamente, fazendo assim uma invasão ao sistema. Com isso, cada pessoa que digitar ali estará enviando para uma outra máquina as informações digitadas.

5)  O quadro de energia estava a vista e sem cadeado;

Esta falha pode ser considerada como grave, pois, com apenas 2 pessoas pode-se levar um equipamento da loja sem que ninguem veja, visto que sem energia, os sensores de código de barra não funcionarão e com toda certeza não será possivel ver alguem saindo da empresa com um equipamento. Também sem energia os clientes sairiam da empresa assustados e isso geraria uma perda de prestígio por parte da loja.

Falamos de cada falha e suas deficiencias. Agora vamos ver como corrigi-las.

1-Não existiam pessoas ligadas a empresa no setor;

Esta falha é possivel de ser corrida de maneira muito simples. Cada possivel cliente deve ter um vendedor com ele, caso tenha muitos clientes, os vendedores terão que estar posicionados em setores, não sendo permitidos nenhum setor ficar sem alguem. Também pode ser resolvido com a contratação de seguranças em pontos estratégicos.
As duas medidas podem ser feitas ao mesmo tempo, isso vai depender do nível de gravidade que cada setor pode ter.
2-Encontrei um armário embaixo da mesa com a chave;

Esta com toda certeza deve ser evitada apenas com a concientização das pessoas que possuem mesas em lugares que circulam clientes, que jamais deixem gavetas, mesas, armários ou qualquer outro meio de se guardar documentos, abertos ou com chave exposta. Cada um deve ter conciência dos maleficios do não cumprimento da medida e as penalidades.

3-Notei que existiam 2 terminais ligados;

Os terminais devem estar ligados para que as vendas possam ser feitas, mas com toda certeza deve-se ter um vendedor por perto para que o mesmo nao seja utilizado por outra pessoa.
4-Um dos terminais estava com o gabinete exposto

Com toda a certeza os terminais devem ser fechados dentro de caixas de aço com cadeado, mas uma norma deve ser estabelecida a equipe de suporte e concientizado o cumprimento dela.
5-O quadro de energia estava a vista e sem cadeado.

O quadro deve com certeza esta em lugar de dificil visualização e com cadeado. Caso o mesmo ja tenha sido feito em lugar de livre visualização, um cadeado deve ser colocado e a chave a um responsável. Isso tudo através de uma norma.

Bem, averiguamos as falhas e através de uma análise branda, averiguamos a necessidade de criação de normas para que sejam solucionadas e evitadas. Com isso, podemos concluir que uma criação de política de segurança nessa empresa seria viável e pode ser iniciada através de normas pré-estabelecidas pela diretoria.

Explore posts in the same categories: Falha de segurança

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s


%d blogueiros gostam disto: