Dumpster diving: em cibersegurança, lixo para alguns é ouro para outros!

Embora muitas vezes ignorado, o descarte apropriado de informações físicas pode impedir que dados sensíveis e privilegiados caiam nas mãos de atacantes que estão, literalmente, dispostos a revirar a sua lixeira.

Você já ouviu falar do termo “dumpster diving”? Em uma tradução livre para o português, poderíamos chamar o conceito de “mergulhar na lixeira”. Ele foi originalmente criado para descrever, de fato, um ato muito comum em diversos países ao redor do mundo: vasculhar latas e contêineres de lixo alheio em busca de itens que, embora tenham sido descartados por seus donos originais, ainda podem ter algum uso útil para terceiros.

Porém, não é desse dumpster diving que iremos tratar aqui. Assim como o tailgating, o termo foi adaptado para a área de segurança da informação e passou a se referir à atividade criminosa praticada por atores maliciosos de revirar o lixo, especificamente de corporações, em busca de restos de informações privilegiadas que possam ser usadas para ataques direcionados. Sabe o que é pior? Eles costumam obter sucesso nessa empreitada, visto que muitas corporações não descartam adequadamente dados sensíveis armazenados em mídias físicas!

Revirando seus restos

Pare por um segundo e imagine tudo o que a sua empresa pode estar jogando fora sem cogitar a possibilidade de existir um “espião” de olho na lata de lixo: relatórios impressos, cadernetas com listas de contatos, CDs e DVDs contendo propriedades intelectuais e até mesmo computadores inteiros, muitas vezes com seus respectivos discos de armazenamento (HDs ou SSDs) ainda lá dentro, sem a devida “higienização”. Mesmo se a máquina tiver sido formatada antes do descarte, se tal formatação não for feita da forma correta, ainda é possível recuperar senhas, arquivos e muitos outros materiais preciosos para o atacante.

Às vezes, o problema está na falta de higiene cibernética do colaborador, que não pensa duas vezes antes de amassar um relatório em papel e jogá-lo no lixo. Em outras ocasiões, o problema está na falta de uma política corporativa que oriente os empregados sobre como descartar informações de acordo com o tipo de mídia usada para armazená-las. Independentemente de onde reside o erro, o fato é que as consequências podem ser desastrosas, facilitando desde o vazamento de credenciais até golpes de extorsão para a não divulgação de dados preciosos.

O que fazer?

Claro, descartar mídias físicas adequadamente pode não ser uma tarefa fácil. No entanto, uma vez que as políticas e processos estejam estabelecidos, a prática se torna natural, tal como qualquer outro hábito de higiene cibernética. Aí vão algumas dicas preciosas:

Documentos impressos: o mais fácil de todos. Basta usar uma fragmentadora, dispositivo que é relativamente barato e que é capaz de “picotar” papéis de forma a torná-los inúteis. Existem diversos modelos disponíveis no mercado — basta escolher aquele que mais se adequa às necessidades.
CDs e DVDs: podemos simplesmente quebrá-los ou também triturá-los. Algumas pessoas utilizam um objeto afiado para riscar o disco a ponto de que nenhum dispositivo leitor consegue rodá-lo.
Discos rígidos, pendrives e outras mídias físicas: o mais recomendado é usar a técnica conhecida como “desmagnetização”, que literalmente “queima” o campo magnético desse tipo de mídia e a torna totalmente inútil. Existem, no mercado, dispositivos específicos para esse processo.

Contudo, lembre-se: todas essas operações e processos devem estar documentadas em processos claros e disponíveis para todos os colaboradores da companhia, de forma que ninguém possa alegar desconhecimento dos protocolos ao descartar inadequadamente uma fonte de informações.

Produção: Equipe de Conteúdo da Perallis Security

Conteúdo relacionado: Hacker Rangers - Gamificação para conscientização em cibersegurança