0 évaluation0% ont trouvé ce document utile (0 vote)
203 vues0 page
O documento discute a engenharia social, que explora a vulnerabilidade humana deixada pelas empresas que investem muito na tecnologia e pouco no fator humano. Apresenta conceitos, técnicas de ataque comum como contato por telefone ou email fingindo ser outra pessoa, formas de prevenção como monitoramento e educação de funcionários, e analisa artigos e um livro sobre o tema.
O documento discute a engenharia social, que explora a vulnerabilidade humana deixada pelas empresas que investem muito na tecnologia e pouco no fator humano. Apresenta conceitos, técnicas de ataque comum como contato por telefone ou email fingindo ser outra pessoa, formas de prevenção como monitoramento e educação de funcionários, e analisa artigos e um livro sobre o tema.
Droits d'auteur :
Attribution Non-Commercial (BY-NC)
Formats disponibles
Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
O documento discute a engenharia social, que explora a vulnerabilidade humana deixada pelas empresas que investem muito na tecnologia e pouco no fator humano. Apresenta conceitos, técnicas de ataque comum como contato por telefone ou email fingindo ser outra pessoa, formas de prevenção como monitoramento e educação de funcionários, e analisa artigos e um livro sobre o tema.
Droits d'auteur :
Attribution Non-Commercial (BY-NC)
Formats disponibles
Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
Curso de Ps-graduao Lato Sensu em Gesto da Segurana da Informao em Redes de Computadores Faculdade de Tecnologia SENAI Florianpolis Rodovia SC 401, 3730 Saco Grande Florianpolis SC Brasil agfero@gmail.com Resumo: Com o advento da internet e a necessidade do uso da tecnologia crescendo exponencialmente nas organizaes, as empresas esto investindo muito na modernizao de seus parques tecnolgicos e esto deixando de lado o fator humano. A engenharia social que consiste numa srie de tcnicas utilizadas a fim de obter acesso e informaes importantes ou sigilosas em organizaes ou sistemas por meio da enganao ou explorao da confiana vem para explorar justamente esta vulnerabilidade deixada pelas empresas. Esta resenha crtica vem apresentar a idia de alguns autores sobre os conceitos, tcnicas de ataque, formas de preveno, plano de resposta de incidentes entre outros, sobre a engenharia social. 1 Introduo Este trabalho tem o objetivo de discutir, esclarecer e informar que por mais poderosos e bem configurados os firewalls, ids, passaportes biomtricos e toda gama de tecnologias, tudo se mostra ineficaz a um ataque de engenharia social bem feito. Com as atenes voltadas para consoles de administrao de ferramentas de novssima gerao, e as preocupaes baseadas na infra-estrutura de conectividade, solues de criptografia, deteco de intrusos, entre outros aparatos tecnolgicos, natural, mas no recomendado, que cuidados elementares com os fatores humanos permaneam em segundo plano. Um dos principais problemas que a segurana da informao deve tratar a segurana em pessoas. A cooperao dos usurios essencial para a eficcia da segurana. Eles exercem um forte impacto sobre a confidencialidade, a integridade e a disponibilidade da informao, pois, por exemplo, o usurio que no mantiver a confidencialidade da senha, no evitar o registro da mesma em papis que no esto guardados em locais seguros, no utilizar senhas de qualidade ou ainda que compartilhe senhas individuais, compromete a segurana da informao. Neste trabalho sero discutidos os diversos pontos de vista dos autores sobre a engenharia social. Os autores resenhados foram Saran Granger, que escreveu o artigo Social Engineering Fundamentals, Part I: Hacker Tactics, Rafael Cardoso dos Santos, que escreveu o artigo Engenharia Social: Fortalecendo o elo mais fraco, Malcolm Allen, com o artigo Social Engineering: A Means to violate a Computer System, Marcelo Coradassi Eiras, com a monografia Engenharia social e Estelionato eletrnico, e Kevin Mitnick que escreveu o livro A arte de enganar. 2. Reviso Bibliogrfica 2.1 Segurana da Informao A Segurana da Informao est relacionada com a proteo existente ou necessria sobre dados que possuem valor para algum ou uma organizao. Possui aspectos bsicos como confidencialidade, integridade e disponibilidade da informao que nos ajuda a entender as necessidades de sua proteo. Por esses e outros motivos, antes de qualquer coisa, todos os usurios devem saber o que a informao para sua empresa, qual a sua importncia e por que a segurana da informao fundamental. A segurana da informao pode ser caracterizada pela preservao de trs fatores: Confidencialidade: Garantia de que a informao acessvel somente por pessoas autorizadas a terem acesso; Integridade: Exatido, completeza da informao e dos mtodos de processamento; Disponibilidade: Garantia de que os usurios autorizados obtenham acesso informao e aos ativos correspondentes sempre que necessrio. A informao um ativo que, como qualquer outro, importante para os negcios, tem um valor para a organizao. A segurana da informao protege a informao de diversos tipos de ameaas para garantir a continuidade dos negcios, minimizar os danos ao negcio e maximizar o retorno dos investimentos e as oportunidades de negcios. (NBR ISO/IEC 17799:2001, pg. 2) 2.2 Engenharia Social A arte de trapacear, construir mtodos e estratgias de enganar em cima de informaes cedidas por pessoas ou ganhar a confiana para obter informaes, so aes antigas, oriundas dos tempos mais remotos, ganharam um novo termo: Engenharia Social. Engenharia por que constri, em cima de informaes, tticas de acesso a sistemas e informaes sigilosas, de forma indevida. Social por que se utiliza de pessoas que trabalham e vivem em grupos organizados. Podemos dizer que a engenharia social um tipo de ataque utilizado por hackers, onde a principal arma utilizada a habilidade de lidar com pessoas, induzindo-as a fornecer informaes, executar programas e muitas vezes, fornecer senhas de acesso. Dentre as vrias formas de furto de informaes da engenharia social, em Mitnick (2003) destaca-se: [...] Em vez de ficar se descabelando para encontrar uma falha no sistema, o hacker pode largar no banheiro um disquete infectado, com o logotipo da empresa e uma etiqueta bem sugestiva: 'Informaes Confidenciais. Histrico Salarial 2003'. provvel que algum o encontre e insira na mquina. O ataque do engenheiro social pode ocorrer atravs de um bom papo, numa mesa de bar, ao telefone ou, em casos mais sofisticados, atravs da seduo. O sucesso deste ataque est no fato de o usurio abordado nem sequer se dar conta do que acabou de acontecer. 2.2.1 Tcnicas de Ataque As tcnicas mais costumeiras, que podem ser usadas de maneira individual ou combinadas, so: [1]. Contatos telefnicos, simulando atendimento de suporte ou uma ao de emergncia; Contato atravs de e-mail, atuando como estudante com interesse em pesquisa sobre determinado assunto ou como pessoa com interesse especfico em assunto de conhecimento da vtima; Contato atravs de ferramentas de Instant Messaging (Yahoo Messenger, MS Messenger, Mirabilis ICQ, etc), simulando pessoa com afinidades coma vtima; Obteno de informaes vazadas por parte da administrao de rede e funcionrios em geral em listas de discusso ou comunidades virtuais na Internet, o que motivaria tambm um contato posterior mais estruturado; Uso de telefone pblico, para dificultar deteco; Varredura do lixo informtico, para obteno de informaes adicionais para tentativas posteriores de contato; Disfarce de equipe de manuteno; Visita em pessoa, como estudante, estagirio ou pessoa com disfarce de ingenuidade. 2.2.2 Formas de Preveno Humanos so imperfeitos e situaes de risco modificam os comportamentos naturais e decises sero fortemente baseadas em confiana ou grau de criticidade da situao. Em funo desses fatores, sempre existiro brechas em seu carter ou comportamento pouco consciente com relao segurana, onde a Engenharia Social poder ser plenamente eficaz, segundo Mitnick (2003): [..] A verdade que no existe tecnologia no mundo que evite o ataque de um engenheiro social. Para minimizao dessas brechas, algumas medidas podem ser tomadas[1]: Implementao de uma Poltica de Segurana na organizao, e sua ampla divulgao; Conscientizao especfica dos funcionrios em geral no que se refere s ameaas associadas Engenharia Social; Classificao das informaes e armazenamento das informaes conforme o nvel definido para seu acesso; Implementao de mecanismos de segurana fsica (ex: circuitos de televiso, mecanismos de biometria ou smart cards, nveis diferenciados de acesso); Monitorao constante da utilizao de mecanismos de acesso a reas crticas, centrais telefnicas internas, entre outros; Identificao visual e com verificao de documento fsico dos visitantes e prazo de expirao do crach fornecido; Acompanhamento de visitantes s instalaes da empresa por funcionrio custo diante, sem excees; No manuseio de informaes corporativas fora dos permetros da empresa, sobretudo em conversas (reais e virtuais); No fornecimento de informaes de cunho pessoal ou secreto (ex: senhas, telefones de acesso restrito), com cuidados especiais em ambiente de call center e help-desk. Caso necessrio fornea apenas detalhes incompletos (ex: nome, mas no sobrenome, atividade genrica desempenhada); Remoo de evidncias visuais de informaes sigilosas (endereos de mquinas, senhas de acesso, nmeros de telefone restritos), em qualquer ambiente; Proteo do lixo informtico, com cuidados especiais em tritur-lo; Implementao de regras de descarte de informaes armazenadas em quaisquer meios (papel, mdias magnticas). 2.3 Artigos e livros Analisados 2.3.1 Social Engineering Fundamentals, Part I: Hacker Tactics Neste artigo a autora Saran Granger comea dando uma definio de engenharia social e dizendo que a meta de um hacker obter a informao que o permitir ganhar acesso no autorizado a um sistema e a informao que nele residem. Ela define alguns tpicos do processo da engenharia social e explana mais detalhadamente como cada um deles pode ser usado. Para Saran Granger nenhum artigo sobre engenharia social pode ser considerado completo sem mencionar o notrio Kevin Mitnick e conclui o seu artigo com uma citao do mesmo que diz o seguinte: Voc poderia gastar uma fortuna na compra de tecnologia e servios... e sua infra-estrutura ainda assim permaneceria vulnervel a um ataque de engenharia social. 2.3.3 Engenharia Social: Fortalecendo o elo mais fraco Os ataques de engenharia social so muito freqentes, no s na Internet, mas no dia-a-dia das pessoas. Rafael Cardoso dos Santos que consultor de segurana da Modulo Security destaca neste artigo as principais formas de preveno contra as tcnicas de engenharia social. Ele comea citando que a segurana da informao sempre associada a uma corrente e a escolha do elo mais fraco desta corrente uma unanimidade: o usurio. Destaca tambm que para conseguir a faanha de fortalecer o elo mais fraco devemos recorrer norma ISO/IEC 17799:2001, destacando alguns controles considerados essenciais para isto. 2.3.2 Social Engineering: A means to violate a computer system Este artigo escrito por Malcolm Allen est disponvel no site do Sans Institute e tambm relata os vrios mtodos que a engenharia social utiliza para tentar quebrar as defesas de segurana da informao de uma organizao. Ele tambm demonstra claramente o ciclo de ataque de um engenheiro social, conforme figura abaixo. Figura 1: O ciclo de ataque O artigo tambm demonstra algumas formas para prevenir o ataque e destaca a importncia da poltica de segurana, bem como a educao e treinamentos dos usurios no intuito de minimizar ao mximo a eficcia das tcnicas de engenharia social. 2.3.4 Engenharia Social e Estelionato Eletrnico O autor Marcelo Coradassi Eiras coloca neste trabalho que tudo se mostra ineficaz a um ataque de engenharia social bem feito e mostra tambm outras tcnicas de engenharia social como o SPAM, SCAM e mtodos persuasivos de todo tipo. Marcelo tambm destaca que por mais extraordinrio que possa parecer, o mtodo mais simples, mais usado e, infelizmente o mais eficiente de se descobrir uma senha perguntando. Basta algum de boa lbia perguntar a um funcionrio despreparado que ele acaba falando. Pode at no ser a senha, mas ele vai contar o tipo de sistema, o tipo de computador, e o que mais ele vir pela frente. Tudo vai depender de quo bom o "Engenheiro Social" e quantos conhecimentos sobre a empresa ele possui. 2.3.5 A arte de Enganar Kevin Mitnick descreve neste excelente livro A Arte de Enganar toda a sua trajetria de engenheiro social. O hacker mais famoso do mundo fornece orientaes especficas para o desenvolvimento de protocolos, programas de treinamento e manuais para garantir que o investimento em segurana tcnica sofisticada de uma empresa no seja em vo e d conselhos sobre como evitar as vulnerabilidades de segurana. 3 Discusso das idias No artigo, Social Engineering Fundamentals, Part I: Hacker Tactics podemos notar que a autora Sara Granger mostrou os aspectos conceituais da engenharia social contemplando informaes bastante relevantes sobre o assunto tal como as principais tcnicas de ataque. Podemos verificar tambm que este artigo no fez meno alguma a formas de preveno contra os ataques de engenharia social, bem como, a nenhum dado estatstico com relao engenharia social, por exemplo, poderiam ser mostrados grficos sobre percentuais de ataques nas empresas, quais as tcnicas mais utilizadas, entre outros. A autora finalizou o artigo relembrando uma citao de Kevin Mitinick que diz que no importa o quanto voc gaste com tecnologia ou servios de segurana que voc ainda assim estar vulnervel a algum ataque de engenharia social. Em complemento ao artigo de Sara Granger podemos citar o artigo de Malcolm Allen, A means to violate a computer system, que mostra o ciclo de ataque de um engenheiro social. O autor coloca que a engenharia social uma ameaa que sempre existir e que no pode ser contida atravs de software de antivrus, ids, firewalls entre outros. Malcolm vai mais a fundo nos conceitos de engenharia social e demonstra tambm uma lista de dicas que servem como forma de minimizar os possveis ataques atravs da engenharia social, porm tambm enftico em afirmar que sempre haver a possibilidade do fator humano ser influenciado. Estes primeiros artigos analisados s vm cada vez mais confirmar que o fator humano uma das maiores causas de invases e ataques na rede, sejam por uma senha fraca ou pelo esquecimento de algum cuidado bsico de segurana. Por isso devemos voltar nossa ateno para os "ataques" de engenharia social, que muitas vezes podem dar acesso com privilgios de usurio administrador para um cracker em menos de 10 minutos, dependendo da habilidade do mesmo. Um ataque de engenharia social muito mais popular do que se pensa, uma vez que, se bem aplicado, praticamente indetectvel. O artigo escrito por Marcelo Coradassi Eiras, Engenharia social e estelionato eletrnico mostrou algumas outras tcnicas de engenharia social e que poderamos dizer que so algumas das mais usadas nos dias atuais que so o spam e scam. Com certeza a grande maioria de vocs que esto lendo esta resenha agora j recebeu inmeros e-mails com propagandas, pedindo confirmao de usurio de senhas de banco, e-mail de cartes virtuais ou que voc ganhou prmios por ter acessado determinado endereo, etc. Todas essas tcnicas de engenharia social esto circulando a todo instante no mundo todo e algumas milhares de pessoas sendo enganadas, tendo a segurana comprometida ou pior, muitas vezes um nico individuo acaba comprometendo a segurana de uma corporao inteira. O livro de Kevin Mitnick, A arte de enganar vem para complementar o conhecimento geral sobre engenharia social, pois demonstra cenrios realistas de conspiraes, falcatruas e ataques aos negcios e as suas conseqncias. Mitnick no se ateve a conceitos e sim a vrios exemplos das inmeras formas de aplicao da engenharia social levando o leitor a se colocar no papel do atacante e a entender porque to difcil identificar e deter um ataque de engenharia social. O livro tambm contempla um captulo sobre recomendaes para poltica de segurana de informaes corporativas, descrevendo cada ao a ser tomada. Um dos pontos de destaque tambm a parte de classificao de dados. Uma poltica de classificao dos dados fundamental para proteger as informaes de uma organizao e para estabelecer as categorias repensveis pela liberao das informaes confidenciais. Como informao final, porm no menos importante que as demais temos o artigo de Rafael Carlos dos Santos da Modulo Security, Engenharia Social: Fortalecendo o elo mais fraco que fala sobre seguir dicas importantssimas da ISO/IEC 17799:2000, como por exemplo, os controles: Proteo de dados organizacionais; Salvaguarda de registros organizacionais; Definio de responsabilidades; Educao e treinamento em segurana da informao, entre outros. Podemos ver ao longo dos artigos que todos os autores foram unnimes em afirmar que muito difcil identificar e prevenir ataque de engenharia social,entretanto tabem foram unnimes em apontar a conscientizao, educao, treinamento e poltica de segurana bem definida com o ponto crucial para a proteo das informaes. 4 Concluso A maior parte dos desastres e incidentes de segurana da informao tem como fator predominante a interveno humana. As empresas que realizam testes de penetrao de segurana relatam que tentativas de invadir os sistemas de computadores de uma empresa cliente com mtodos da engenharia social tm um ndice de sucesso de quase 100%. Segurana tem a ver com pessoas e processos, antes de ter a ver com tecnologia. Falar em segurana da informao no se restringe a falar das mais novas tecnologias de firewall, antivrus ou outras inmeras ferramentas de configuraes avanadas e que custam milhares de reais. As tecnologias podem dificultar este tipo de ataque, entretanto, o nico meio verdadeiramente efetivo usar a conscientizao para a segurana juntamente com uma poltica bem definida e com um treinamento adequado. As ferramentas de engenharia esto de posse de todas as pessoas; o uso planejado e consciente delas que vai fazer a diferena entre a proteo e a invaso. Quanto mais bem preparados estiverem os colaborados de uma empresa, mais segura ela ser. Vale lembrar mais uma vez que no existe uma tecnologia no mundo capaz de evitar um ataque de engenharia social. 5 Bibliografia [1] MODULO SECURITY SOLUTIONS. Engenharia Social: Fortalecendo o elo mais fraco em: <www.modulo.com.br>. Acesso em: 08 de novembro de 2005. [2] MITNICK, Kevin D.; SIMON, William L. A. A arte de Enganar: Ataque de Hackers: Controlando o Fator Humano na Segurana da Informao. Traduo: Ktia Aparecida Roque. So Paulo: Pearson Education do brasil, 2003. 278 p. [3] NORMA ISO/IEC 17799. Cdigo de Prtica para Gesto da segurana da Informao nas Empresas. ABNT Associao Brasileira de Normas Tcnicas. 01 de dezembro de 2000. [4] Agncia Folha Entrevista com Kevin Mitnick. Disponvel em: < http://www1.folha.uol.com.br/folha/informatica/ult124u13942.shtml>. Acesso em: 08 de novembro de 2005. [5] GRANGER, Sarah. Social Engineering Fundamentals, Part I: Hacker Tactics. Atualizado em 18 de Dezembro de 2001. Disponvel em: <http://online.securityfocus.com/infocus/1527>. Acesso em 02 de Novembro de 2005 [6] ALLEN, Malcolm. Social Engineering: A Means to Violate a Computer System. Disponvel em: <http://www.sans.org/reading_room/whitepapers/engineering/529.php>. Acesso em 02 de Novembro de 2005. [7] EIRAS, Marcelo Coradassi. Engenharia Social e Estelionato Eletrnico. IBPI. Fevereiro de 2004.