Dumpster Diving[1] é a expressão empregada para descrever o ato de vasculhar o lixo alheio com o objetivo de recuperar algo de valor. Quando focada nos resíduos descartados pelas grandes empresas, essa prática pode render informações de caráter sensível ou sigiloso a pessoas mal intencionadas.
Empresas investem milhões em tecnologias para se manter seguras e em treinamentos para aprender a usar essas novas tecnologias, porém nem todas se preocupam em fornecer o devido treinamento aos funcionários quando o assunto é o descarte adequado de documentos ou qualquer outro tipo de material que contenha informações sensíveis ao funcionamento da organização. Nesses casos, mal sabem elas que no lixo também mora o perigo.
Devo me preocupar com o lixo? Na verdade o problema não é o lixo em si e sim o que vai para ele. O modo com que as empresas descartam arquivos sigilosos pode ser muito perigoso. Imagine essa situação: estratégias para o crescimento de sua empresa vão para o lixo comum que geralmente fica na rua, qualquer um poderia obter essas informações e utilizá-las contra você. Um outro problema é que as empresas tentam economizar reaproveitando folhas que já foram utilizadas para imprimir outras informações, e na maioria dos casos nem olham se tem alguma informação importante contida no verso. Dados que parecem ser irrelevantes como telefone, email, endereço etc, na mão de pessoas que desejam obter algum tipo vantagem ilícita são de grande serventia para conseguir acessos maiores, como senhas dos servidores. E não são apenas com papéis que devem-se tomar cuidado. Discos rígidos (HDs), pendrives e cartões MicroSD contém muitas informações que, na maioria das vezes podem ser recuperadas totalmente, mesmo após serem formatados.
Esse tipo de ataque é utilizado na engenharia social[2], para conseguir acesso a organização sem utilizar-se de falhas de computadores. Um grande engenheiro social que já usou essa técnica e relata em um dos seus livros[3] é o Kevin Mitnick[4].
Por que não manter esses arquivos dentro da empresa? Simples! O espaço que seria utilizado para guardar esses documentos poderia ser utilizado para outros fins, fora os custos para manter esses arquivos por muitos anos.
Um caso interessante foi de dois estudantes de graduação do Laboratório de Ciência da Computação do Massachusetts Institute of Technology (MIT), Simson Garfinkel e Abhi Shelat. Eles encontraram aproximadamente 5 mil números de cartões de crédito, além de registros pessoais e de empresas, informações médicas e milhares de endereços eletrônicos. Isso tudo quando vasculharam 158 discos descartados[5].
Uma série que retrata a engenharia social é a Tiger Team[6], que tenta se infiltrar nas organizações e utilizam muito da engenharia social incluído o Dumpster Diving, a série é um pouco antiga e pode ser encontrada no Youtube.
A Clavis que é uma parceira da Conviso, executou a primeira edição do War Trashing Day, que visa demostrar a importância no descarte de informações. No video[7], podemos ver que em pouco tempo foi encontrado dados considerados sigilosos como nomes completos, Cpfs, assinaturas etc.
Como descartar corretamente
Para documentos como papeis, o método mais utilizado é o triturador que é uma forma barata e de fácil acesso. Outra opção são empresas que trabalham com incineração dos documentos, um método mais caro porem efetivo.
E para os do tipo hardware, como Discos rígidos (HDs) o recomendado é sobrescrever totalmente o equipamento. Uma opção é a ferramenta Darik’s Boot and Nuke[8] um disco de boot com um utilitário que apaga os dados sobrescrevendo cada setor do disco com dados aleatórios várias vezes. Pode se utilizar também a incineração, mas como comentado anteriormente o método é pouco acessível para a maioria das empresas.
Referências:
Links Úteis:
