0 évaluation0% ont trouvé ce document utile (0 vote)
189 vues8 pages
O documento discute engenharia social, incluindo como os hackers exploram características humanas como vontade de ser útil, busca por novas amizades e persuasão para obter informações confidenciais através de relacionamentos falsos. Também fornece recomendações para evitar engenharia social, como educação, segurança física e política de segurança.
O documento discute engenharia social, incluindo como os hackers exploram características humanas como vontade de ser útil, busca por novas amizades e persuasão para obter informações confidenciais através de relacionamentos falsos. Também fornece recomendações para evitar engenharia social, como educação, segurança física e política de segurança.
O documento discute engenharia social, incluindo como os hackers exploram características humanas como vontade de ser útil, busca por novas amizades e persuasão para obter informações confidenciais através de relacionamentos falsos. Também fornece recomendações para evitar engenharia social, como educação, segurança física e política de segurança.
Entendendo e Evitando a Engenharia Social: Protegendo Sistemas e Informaes - Gesto de Projetos
Escrito por Sandra Regina da Luz Incio
Engenharia social, dentro da rea de segurana de sistemas computacionais, um termo utilizado para qualificar os tipos de intruso no tcnica, que coloca nfase na interao humana e, freqentemente, envolve a habilidade de enganar pessoas objetivando violar procedimentos de segurana. Um aspecto relevante da engenharia social compreende a inaptido dos indivduos manterem-se atualizados com diversas questes pertinentes a tecnologia da informao, alm de no estarem conscientes do valor da informao que eles possuem e, portanto, no terem preocupao em proteger essa informao. importante salientar que, independente do hardware, software e plataforma utilizada, o elemento mais vulnervel de qualquer sistema o ser humano, o qual possui traos comportamentais e psicolgicos que o torna susceptvel a ataques de engenharia social. Dentre essas caractersticas, pode-se destacar: 1) Vontade de ser til O ser humano, comumente, procura agir com cortesia, bem como ajudar outros quando necessrio. 2) Busca por novas amizades O ser humano costuma se agradar e sentir-se bem quando elogiado, ficando mais vulnervel e aberto a dar informaes. 3) Propagao de responsabilidade Trata-se da situao na qual o ser humano considera que ele no o nico responsvel por um conjunto de atividades. 4) Persuaso Compreende quase uma arte a capacidade de persuadir pessoas, onde se busca obter respostas especficas. Isto possvel porque as pessoas tm caractersticas comportamentais que as tornam vulnerveis manipulao. Importante observar que o sucesso da engenharia social depende da compreenso do comportamento do ser humano, alm da habilidade de persuadir outros a disponibilizarem informaes ou realizarem aes desejadas pelo engenheiro social. Perceba ainda que o medo de perder seu emprego ou vontade de ascender pode resultar na entrega de informao de natureza proprietria. Nesse sentido, observa-se que a engenharia social possui uma seqncia de passos na qual um ataque pode ocorrer: 5) Coleta de informaes O hacker ou engenheiro social busca as mais diversas informaes dos usurios como nmero de CPF, data de nascimento, nomes dos pais, manuais da empresa, etc. Essas informaes ajudaro no estabelecimento de uma relao com algum da empresa visada. 1 / 8 Entendendo e Evitando a Engenharia Social: Protegendo Sistemas e Informaes - Gesto de Projetos Escrito por Sandra Regina da Luz Incio 6) Desenvolvimento de relacionamento O engenheiro social explora a natureza humana de ser confiante nas pessoas at que se prove o contrrio. 7) Explorao de um relacionamento O engenheiro social procura obter informaes da vtima ou empresa como, por exemplo, senha, agenda de compromissos, dados de conta bancria ou carto de crdito a serem usados no ataque. 8) Execuo do ataque O hacker ou engenheiro social realiza o ataque empresa ou vtima, fazendo uso de todas as informaes e recursos obtidos. Evitando a Engenharia Social Especialistas afirmam que medida que nossa sociedade torna-se cada vez mais dependente da informao, a engenharia social tende a crescer e constituir-se numa das principais ameaas aos sistemas de segurana das (grandes) organizaes. Entretanto, embora as situaes apresentadas acima sejam um tanto indesejveis e at certo ponto assustadoras, h mecanismos atravs dos quais uma organizao pode implementar a fim de detectar e prevenir ataques de engenharia social. Tais medidas visam, principalmente, atenuar a participao do componente humano. Essas medidas compreendem: 1) Educao e Treinamento Importante conscientizar as pessoas sobre o valor da informao que elas dispem e manipulam, seja ela de uso pessoal ou institucional. Informar os usurios sobre como age um engenheiro social. 2) Segurana Fsica Permitir o acesso a dependncias de uma organizao apenas s pessoas devidamente autorizadas, bem como dispor de funcionrios de segurana a fim de monitorar entrada e sada da organizao. 3) Poltica de Segurana Estabelecer procedimentos que eliminem quaisquer trocas de senhas. Por exemplo, um administrador jamais deve solicitar a senha e/ou ser capaz de ter acesso senha de usurios de um sistema. Estimular o uso de senhas de difcil descoberta, alm de remover contas de usurios que deixaram instituio. 2 / 8 Entendendo e Evitando a Engenharia Social: Protegendo Sistemas e Informaes - Gesto de Projetos Escrito por Sandra Regina da Luz Incio 4) Controle de Acesso Os mecanismos de controle de acesso tem o objetivo de implementar privilgios mnimos a usurios a fim de que estes possam realizar suas atividades. O controle de acesso pode tambm evitar que usurios sem permisso possam criar/remover/alterar contas e instalar software danosos organizao. Temos observado que gasto milhares de reais na aquisio de ferramentas de segurana (deteco de intruso, firewalls, etc, a fim de dotarem seus sistemas de maior segurana). Todavia, a maioria das empresas acredita que a soluo, unicamente, tcnica garantem a segurana dos sistemas. Embora eu concorde que a soluo tcnica seja necessria, ela por si s no suficiente. preciso tambm considerar o componente humano de um sistema de segurana da informao a fim de minimizar ou qui minimizar a vulnerabilidade de sistemas. As tcnicas de engenharia social exigem uma preparao psicolgica profunda e contnua. O candidato a invasor deve estar pronto para estudar o comportamento do seu alvo e entender melhor seu modelo de operar, incluindo at o monitoramento de horrios. Mesmo com investimentos pesados na rea de segurana, grande parte das empresas (seno todas) no est preparada para lidar com esse fator. Lembre-se de que o espio usar boa vontade, a cortesia, a ingenuidade das pessoas e mesmo as normas da empresa para enganar a vtima. Tipos de ataque Existem basicamente dois tipos de ataques: o direto e o indireto. A eficincia deles depende das habilidades pessoais do hacker e do quanto ele se identifica com os processos. Normalmente, necessrio utilizar uma combinao de ambos para obter o resultado desejado. Para chegar abordagem direta, o invasor deve ter conseguido uma bela coleo de informaes obtidas de modo indireto. S assim poder "saber do que est falando" quando abordar um funcionrio do teleatendimento para conseguir uma senha de acesso ao sistema ou enviar aquele fax dizendo que o gerente da filial solicitando informaes. a) Ataque indireto O ataque indireto consiste basicamente na utilizao de ferramentas de invaso (como cavalos de tria e sites com cdigo malicioso) e de impostura (como cartas, e-mails e sites falsos com a aparncia dos verdadeiros) para obter informaes pessoais. Os usurios individuais de quem o hacker extrai os dados so apenas vetores para a coleta de informaes de uma entidade maior - empresa, organizao ou governo. sua inteno no atacar cada um desses usurios, e sim o organismo maior ao qual elas pertencem. b) Ataque direto So caracterizados pelo contato pessoal. Geralmente so feitos por fax ou telefone (embora hackers mais confiantes ousem faz-los pessoalmente...) e exigem planejamento detalhado e 3 / 8 Entendendo e Evitando a Engenharia Social: Protegendo Sistemas e Informaes - Gesto de Projetos Escrito por Sandra Regina da Luz Incio antecipado, vrios planos de emergncia para cada uma das fases do ataque previamente planejadas e um pouco de dom artstico. Sim, um bom invasor tem a obrigao de ser bom ator. Este deve ser bem articulado para que seu plano no seja desmascarado, e tambm ter raciocnio rpido para encontrar sadas caso algo fora do planejado d errado. Mtodos utilizados bvio que todo esse falatrio sobre ataques diretos e indiretos extremamente vago. Na prtica, existem algumas tticas simples que deve ser usadas na elaborao do procedimento de ataque. As principais armas de um engenheiro no social podem ser divididas em dois grandes grupos: pesquisa e impostura. Comecemos pela pesquisa. A aquisio de material, como relatrios anuais e lista de pagamento, pode dar uma tima viso da hierarquia adotada na empresa. Isso ajuda muito na hora da seleo dos alvos pontuais (lembre-se: um pedacinho de informao extrado de cada usurio ressalta em um bolo valiosssimo quando reunido s outras pequenas informaes extradas dos outros usurios). O hacker pode descobrir quem detm o material necessrio para a invaso e outras informaes importantes para o ataque, como departamento em que a pessoa trabalha, softwares utilizados, sistemas operacional, hardware e sistemas empresariais. Observe que nem sempre os dados teis esto escritos: uma anlise dos resultados de sua busca, compreendendo combinaes e cruzamento de informaes, importantssima. "Ler nas entrelinhas" nunca foi to necessrio... Mesmo assim, a pesquisa s o comeo. Depois de descobrir quem guarda as informaes e quais so elas, o hacker deve pensar nos meios que utilizar para extrair mais dados. nesse ponto que entra a impostura: o hacker deve se fazer passar por outras pessoas (seja da prpria empresa, sejam clientes, fornecedores, seja at agentes do governo) para, de posse das informaes j "garimpadas", angariarem dados e documentos mais srios, especficos e, principalmente, valiosos. A seguir amos falar sobre mtodos utilizados para a aquisio de dados vitais das empresas, tanto em ataques diretos como indiretos. Disfarces 4 / 8 Entendendo e Evitando a Engenharia Social: Protegendo Sistemas e Informaes - Gesto de Projetos Escrito por Sandra Regina da Luz Incio Como um bom espio, o engenheiro social deve dispor de diversos disfarces para alcanar seus objetivos. Entre eles deve constar desde se passar por faxineiro at consultor em visita. Certas empresas adoram receber consultores de empresas famosas. Para tanto, basta apenas que o hacker tenha um terno, boa lbia e um crach. O fator idade no mais um problema to grande, pois o perfil do profissional de informtica cada vez mais jovem, basta apenas tratar um pouco da aparncia e da linguagem a ser utilizada. A incorporao do personagem um fator de grande importncia para o sucesso. Imagine um hacker disfarado de faxineiro. Ele simplesmente no vai andar at a lata de lixo, separar os papis de seu interesse, e virar as costas, ser at estranho se ningum suspeitar. Ele deve fazer todo o servio, desde limpar a mesa at varrer o cho, conseguindo mais oportunidades para entender o que acontece ao seu redor. Depois de certo tempo, as pessoas passam a confiar mais e o invasor pode tranqilamente limpar as mesas repletas de material importante para o desenvolvimento de um ataque bem-sucedido. O lixo rico! O lixo de um escritrio , potencialmente, umas das maiores fontes de informaes para o hacker. Geralmente nele que as pessoas jogam aqueles pedaos de papis em que anotam suas senhas antes de memoriz-las ou transcrever para uma agenda. Alm disso o lixo de uma grande empresa recebe dezenas de relatrios que podem parecer banais mas que, na verdade, guardam informaes sobre o patrimnio da empresa, funcionrios cadastrados e aspectos dos sistemas. A falta de preocupao s com esse fator isolado pode render uma invaso bem-sucedida e ainda ajudar o invasor a limpar seus rastros. Muitas vezes, ele mesmo pode estar l para recolher o lixo da sala do administrador. Obviamente, isso depende muito da percia do hacker e do quanto ele realmente precisa das informaes, caso contrrio, ele pode esperar at que o material seja posto para coleta, o que no seria muito recomendado. Funcionrios descontentes e redes de contatos Talvez seja a forma mais fcil de conseguir informaes dentro de uma empresa. Muitas vezes pode custar certo valor (nem sempre em dinheiro...), mas isso vai depender do teor de insatisfao do funcionrio para com a empresa em questo. Explorar a fragilidade de pessoas insatisfeitas com as condies de trabalho muito mais simples do que podemos imaginar. muito fcil para o administrador insatisfeito com o salrio falar algo que possa prejudicar seus 5 / 8 Entendendo e Evitando a Engenharia Social: Protegendo Sistemas e Informaes - Gesto de Projetos Escrito por Sandra Regina da Luz Incio superiores de alguma forma. Nem sempre eles so teis aps sarem ou serem demitidos, pois a poltica das empresas a de trocar as senhas. No se deve esquecer que os funcionrios de uma empresa possuem uma rede de contatos, dentro e fora dela. Isso tambm vlido para os descontentes, que podem fornecer ao hacker informaes valiosas sobre outras pessoas e sobre caminhos para chegar a mais dados. O apelo sentimental O invasor pode incorporar outra pessoa, com muito mas facilidade, no mundo virtual. Vamos supor que o hacker quer invadir um computador qualquer na internet. Ele procura uma sala de chat e observa silenciosamente a conversa por um tempo. Depois, sai da sala e entra novamente com algum apelido de sexo oposto ao da vtima escolhida. A partir desse ponto fcil conquistar a confiana que todos ns conhecemos e que, mesmo assim, funcionam. Observe que homens e mulheres possuem maneiras diferentes de serem conquistados e seduzidos. Programao neurolingistica Ao se comunicar com qualquer pessoa, possvel utilizar tcnicas de programao neurolingistica para confundir a pessoa e faz-la concordar com voc. Consegue-se isso de diversas formas, sendo a mais bvia (e que funciona em quase 100% dos casos) fazer com que a vtima acredite que na verdade a idia foi dela. Uma das tcnicas para confundir a vtima a acompanha-acompanha-acompanha-comanda: o hacker imita o jeito de escrever, de falar e at a gesticulao de seu interlocutor. Faz isso por um bom tempo durante a conversa, at que um elo de intimidade se forme e a vtima pense que est no comando, baixando a guarda. A partir da, o hacker pode comandar a conversa sem que a vtima perceba e sugar dela tudo o que for necessrio. A utilizao da Internet Uma forma eficaz de conseguir as informaes desejadas atravs de formulrios e cadastros na Internet. sites que oferecem brindes para quem se cadastrar e promoes que prometem os mais variados tipos de prmios podem no passar de instrumentos utilizados pelos hackers para conseguir uma vasta quantidade de informaes sobre os internautas. Entre elas, esto 6 / 8 Entendendo e Evitando a Engenharia Social: Protegendo Sistemas e Informaes - Gesto de Projetos Escrito por Sandra Regina da Luz Incio dados pessoais e dicas sobre o comportamento da futura vtima. essa tcnica utilizada principalmente para a obteno de nmeros de cartes de crdito e dados como CPF e RG. O fator sorte H muitos casos em que os procedimentos de engenharia social so facilitados por descuidos dos usurios e dos administradores do parque de informaes das empresas. s vezes, mesmo empresas muito seguras deixam escapar uma, e apenas uma, informao no bvia. Se o hacker tiver sorte de tropear nessa informao, seu processo de engenharia social poder ser abreviado em vrios dias, s vezes semanas. Navegando pelo mar proibido Mesmo depois de invadidos, um computador, um site ou uma empresa so um quebra-cabea complicado para o invasor. At ento este possua as informaes sobre a periferia. Agora ele tem acesso irrestrito a todas as reas do local invadido, mas que para ele se parece mais com um labirinto. O controle de acesso e usurios internos de empresas, por exemplo, normalmente menos rigoroso que os procedimentos de segurana das partes visveis externamente (site, e-mail, gateways, Internet). Mas ainda assim, uma vez dentro, o invasor dever quebrar senhas, contornar dispositivos de segurana ou mesmo utilizar novamente a engenharia social para obter informaes cada vez mais prximas do ncleo. (Este um processo sem fim ;-) Casos reais Abraham Abdallah, em 2002, o hacker e lavador de pratos Abraham Abdallah recebeu acusaes de fraudes da ordem de US$ 80 milhes. Utilizando-se da revista Forbes, que publicou uma lista com as 400 pessoas mais ricas dos EUA, ele roubou o nmero de diversos cartes de crdito das pessoas famosas. Utilizando tcnicas de engenharia social, Abdallah enganou bancos e empresas de crdito para conseguir as informaes para o seu golpe. Chegou a montar uma rede de caixas postais para receber as encomendas que fazia com o dinheiro roubado. Foi descoberto pela polcia ao tentar retirar uma quantia acima do saldo existente de Thomas Siebel, fundador da empresa de e-commerce chamada Siebel Systems. Kevin Mitnick, j foi um dos criminosos mais procurados pelo FBI, devido aos crimes digitais que cometeu. Aps ganhar a liberdade, ajudou a fundar uma empresa de consultoria 7 / 8 Entendendo e Evitando a Engenharia Social: Protegendo Sistemas e Informaes - Gesto de Projetos Escrito por Sandra Regina da Luz Incio especializada em segurana, a Defensive Thinking. Esse um fato que chega a surpreender muito, pois Mitnick tornou-se um smbolo da engenharia social ao planejar e realizar seus ataques aos sistemas de grandes empresas pelo mundo. Ele usou as artimanhas da engenharia social pela primeira vez nos anos 70, ao conhecer um estudante que lidava com "phreaking" (o hackerismo de linhas telefnicas). Ele percebeu como os phreakers agiam, fazendo-se passar por funcionrios das companhias telefnicas. Comeou a tentar com amigos e professores e sentiu-se motivado aps notar que tinha facilidade em conseguir informaes confidenciais. Ele foi evoluindo suas tticas at o ponto em que nenhuma empresa estava mais segura contra os seus ataques. Sua lista de ataques inclui desde telefonemas inocentes ao setor de suporte at a incorporao de funcionrios importantes para conseguir informaes como senhas para obter acesso a grandes sistemas da empresa. dessa forma, Mitnick tornou-se uma lenda para a populao hacker ao redor do mundo. Alm desses, podemos citar, com louvor, outros hakers que se utilizaram de engenharia social para atingir seus objetivos: Poderamos preencher completamente esta matria citando diversos hackers famosos (inclusive brasileiros). Apenas estes exemplos, entretanto, mostram como as estruturas de segurana, que j so ruins no campo tecnolgico, ficam piores quando o fator humano entra em campo. 8 / 8