Serão os profissionais de Recursos Humanos o elo mais fraco da segurança nas empresas? Convidei o Sérgio Silva para nos falar sobre o tema!
O Sérgio tem mais de 20 anos de experiência na Administração Pública Portuguesa, é especializado em Cyber Intelligence, Opensource e Ethical Hacking. Tendo passado por vários projetos da comissão europeia, atualmente é Chefe de Divisão do Conselho Superior da Magistratura, sendo um dos oradores mais requisitados em Portugal, para sessões de consciencialização para a temática da segurança da informação. Já contribuiu para a identificação e resolução de centenas de vulnerabilidades criticas em empresas e instituições portuguesas e internacionais.
Recursos Humanos
Por definição os profissionais recursos humanos de determinada organização são um ponto de convergência de informação, tanto interna como externa. Do lado interno temos todos os dados dos colaboradores da organização, desde os vencimentos até ao historial médico, por sua vez do lado externo, temos toda a informação de candidatos a vagas de emprego na organização.
Ora isto faz dos recursos humanos e das pessoas que trabalham neste sector o alvo prefeito para executar um ataque à organização, se conseguirmos comprometer os recursos humanos temos acesso a informação critica e confidencial da empresa, que podem ser usados por exemplo em ataques de engenharia social.
Um exemplo disto foi no inicio de 2017 o ransomware GoldenEye, que consistia no envio de uma candidatura por e-mail com dois ficheiros, um pdf com um CV normal e um outro em formato excel, que continha o código malicioso que cifrava todo o disco sendo depois necessário pagar um resgate para voltar a aceder aos dados.
Uma outra vulnerabilidade usada no final deste ano contra empresas de recursos humanos foi a descrita no CVE-2017-8759 que pode ser vista em https://nvd.nist.gov/vuln/detail/CVE-2017-8759, resumidamente através de um documento word era possível executar um código malicioso e tomar conta da estação de trabalho onde o e-mail era recebido.
Tudo é mais complicado tendo em conta que os recrutadores esperam receber e-mails de desconhecidos e ficheiros com candidaturas e o normal é abrirem esses ficheiros normalmente, faz parte dos procedimentos de receção de candidaturas.
Agora como podemos proteger os profissionais de recursos humanos destes ataques?
Aqui deixo algumas medidas simples.
- Terem as máquinas com sistemas operativos sempre atualizados.
- Usar uma VM para abrir os documentos, ou seja uma maquina virtual que se for comprometida não tem nada de confidencial ou critico e pode ser simplesmente eliminada, ou então usar uma sandbox, como a https://comparite.ch/sandboxing , que faz com que as aplicações corram numa parte isolada da máquina não afetando o sistema principal se forem atacadas.
- Não publicarem e-mails pessoais dos colaboradores dos recursos humanos no sites onde anunciam as vagas, um email pessoal dá muita informação sobre o formato dos e-mails internos e das pessoas que lá trabalham, o ideal será usar algo inócuo como por exemplo candidatos@empresa.pt.
- Consciencializar é a palavra de ordem, mostrar os perigos, onde não se deve carregar e o que não se deve fazer, por exemplo por uma pen USB de um candidato diretamente numa maquina na empresa sem a passar por um sistema de deteção de malware.
- Testar a organização com ataques simulados de engenharia social e de propagação de malware.