Sei sulla pagina 1di 0

Engenharia Social – Explorando o elos mais fraco

Aguinaldo Fernandes Rosa

Curso de Pós-graduação Lato Sensu em Gestão da Segurança da Informação em Redes de Computadores – Faculdade de Tecnologia SENAI Florianópolis

Rodovia SC 401, 3730 – Saco Grande – Florianópolis – SC – Brasil

agfero@gmail.com

Resumo: Com o advento da internet e a necessidade do uso da tecnologia crescendo exponencialmente nas organizações, as empresas estão investindo muito na modernização de seus parques tecnológicos e estão deixando de lado o fator humano. A engenharia social que consiste numa série de técnicas utilizadas a fim de obter acesso e informações importantes ou sigilosas em organizações ou sistemas por meio da enganação ou exploração da confiança vem para explorar justamente esta vulnerabilidade deixada pelas empresas. Esta resenha crítica vem apresentar a idéia de alguns autores sobre os conceitos, técnicas de ataque, formas de prevenção, plano de resposta de incidentes entre outros, sobre a engenharia social.

1 Introdução

Este trabalho tem o objetivo de discutir, esclarecer e informar que por mais poderosos e bem configurados os firewalls, ids, passaportes biométricos e toda gama de tecnologias, tudo se mostra ineficaz a um ataque de engenharia social bem feito.

Com as atenções voltadas para consoles de administração de ferramentas de novíssima geração, e as preocupações baseadas na infra-estrutura de conectividade, soluções de criptografia, detecção de intrusos, entre outros aparatos tecnológicos, é natural, mas não recomendado, que cuidados elementares com os fatores humanos permaneçam em segundo plano.

Um dos principais problemas que a segurança da informação deve tratar é a segurança em pessoas. A cooperação dos usuários é essencial para a eficácia da segurança. Eles exercem um forte impacto sobre a confidencialidade, a integridade e a disponibilidade da informação, pois, por exemplo, o usuário que não mantiver a confidencialidade da senha, não evitar o registro da mesma em papéis que não estão guardados em locais seguros, não utilizar senhas de qualidade ou ainda que compartilhe senhas individuais, compromete a segurança da informação.

Neste trabalho serão discutidos os diversos pontos de vista dos autores sobre a engenharia social. Os autores resenhados foram Saran Granger, que escreveu o artigo “Social Engineering Fundamentals, Part I: Hacker Tactics”, Rafael Cardoso dos Santos, que escreveu o artigo “Engenharia Social: Fortalecendo o elo mais fraco”, Malcolm Allen, com o artigo “Social Engineering: A Means to violate a Computer System”,

Marcelo Coradassi Eiras, com a monografia ”Engenharia social e Estelionato eletrônico”, e Kevin Mitnick que escreveu o livro ”A arte de enganar”.

2. Revisão Bibliográfica

2.1 Segurança da Informação

A Segurança da Informação está relacionada com a proteção existente ou

necessária sobre dados que possuem valor para alguém ou uma organização. Possui aspectos básicos como confidencialidade, integridade e disponibilidade da informação que nos ajuda a entender as necessidades de sua proteção. Por esses e outros motivos, antes de qualquer coisa, todos os usuários devem saber o que é a informação para sua

empresa, qual a sua importância e por que a segurança da informação é fundamental.

A segurança da informação pode ser caracterizada pela preservação de três

fatores:

Confidencialidade: Garantia de que a informação é acessível somente por pessoas autorizadas a terem acesso;

Integridade: Exatidão, completeza da informação e dos métodos de processamento;

Disponibilidade: Garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário.

“A informação é um ativo que, como qualquer outro, importante para os negócios, tem um valor para a organização. A segurança da informação protege a informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos ao negócio e maximizar o retorno dos investimentos e as oportunidades de negócios”.

(NBR ISO/IEC 17799:2001, pág. 2)

2.2 Engenharia Social

A arte de trapacear, construir métodos e estratégias de enganar em cima de

informações cedidas por pessoas ou ganhar a confiança para obter informações, são ações antigas, oriundas dos tempos mais remotos, ganharam um novo termo:

Engenharia Social.

Engenharia por que constrói, em cima de informações, táticas de acesso a sistemas e informações sigilosas, de forma indevida. Social por que se utiliza de pessoas que trabalham e vivem em grupos organizados.

Podemos dizer que a engenharia social é um tipo de ataque utilizado por hackers, onde a principal “arma” utilizada é a habilidade de lidar com pessoas,

induzindo-as a fornecer informações, executar programas e muitas vezes, fornecer senhas de acesso.

Dentre as várias formas de furto de informações da engenharia social, em Mitnick (2003) destaca-se:

Em vez de ficar se descabelando para encontrar uma falha

no sistema, o hacker pode largar no banheiro um disquete infectado, com o logotipo da empresa e uma etiqueta bem sugestiva: 'Informações Confidenciais. Histórico Salarial 2003'. É provável que alguém o encontre e insira na máquina.

] [

O “ataque” do engenheiro social pode ocorrer através de um bom papo, numa mesa de bar, ao telefone ou, em casos mais sofisticados, através da sedução. O sucesso deste “ataque” está no fato de o usuário abordado nem sequer se dar conta do que acabou de acontecer.

2.2.1 Técnicas de Ataque

As técnicas mais costumeiras, que podem ser usadas de maneira individual ou combinadas, são: [1].

Contatos telefônicos, simulando atendimento de suporte ou uma ação de emergência;

Contato através de e-mail, atuando como estudante com interesse em pesquisa sobre determinado assunto ou como pessoa com interesse específico em assunto de conhecimento da vítima;

Contato através de ferramentas de Instant Messaging (Yahoo Messenger, MS Messenger, Mirabilis ICQ, etc), simulando pessoa com afinidades coma vítima;

Obtenção de informações vazadas por parte da administração de rede e funcionários em geral em listas de discussão ou comunidades virtuais na Internet, o que motivaria também um contato posterior mais estruturado;

Uso de telefone público, para dificultar detecção;

Varredura do lixo informático, para obtenção de informações adicionais para tentativas posteriores de contato;

Disfarce de equipe de manutenção;

Visita em pessoa, como estudante, estagiário ou pessoa com disfarce de ingenuidade.

2.2.2

Formas de Prevenção

Humanos são imperfeitos e situações de risco modificam os comportamentos naturais e decisões serão fortemente baseadas em confiança ou grau de criticidade da situação.

Em função desses fatores, sempre existirão brechas em seu caráter ou comportamento pouco consciente com relação à segurança, onde a Engenharia Social poderá ser plenamente eficaz, segundo Mitnick (2003):

Para minimização dessas brechas, algumas medidas podem ser tomadas[1]:

Implementação de uma Política de Segurança na organização, e sua ampla divulgação;

Conscientização específica dos funcionários em geral no que se refere às ameaças associadas à Engenharia Social;

Classificação das informações e armazenamento das informações conforme o nível definido para seu acesso;

Implementação de mecanismos de segurança física (ex: circuitos de televisão, mecanismos de biometria ou smart cards, níveis diferenciados de acesso);

Monitoração constante da utilização de mecanismos de acesso a áreas críticas, centrais telefônicas internas, entre outros;

Identificação visual e com verificação de documento físico dos visitantes e prazo de expiração do crachá fornecido;

Acompanhamento de visitantes às instalações da empresa por funcionário custo diante, sem exceções;

Não manuseio de informações corporativas fora dos perímetros da empresa, sobretudo em conversas (reais e virtuais);

Não fornecimento de informações de cunho pessoal ou secreto (ex: senhas, telefones de acesso restrito), com cuidados especiais em ambiente de call center e help-desk. Caso necessário forneça apenas detalhes incompletos (ex:

nome, mas não sobrenome, atividade genérica desempenhada);

Remoção de evidências visuais de informações sigilosas (endereços de máquinas, senhas de acesso, números de telefone restritos), em qualquer ambiente;

Proteção do lixo informático, com cuidados especiais em triturá-lo;

Implementação de regras de descarte de informações armazenadas em quaisquer meios (papel, mídias magnéticas).

2.3 Artigos e livros Analisados

2.3.1 Social Engineering Fundamentals, Part I: Hacker Tactics

Neste artigo a autora Saran Granger começa dando uma definição de engenharia social e dizendo que a meta de um hacker é obter a informação que o permitirá ganhar acesso não autorizado a um sistema e a informação que nele residem. Ela define alguns

tópicos do processo da engenharia social e explana mais detalhadamente como cada um deles pode ser usado.

Para Saran Granger nenhum artigo sobre engenharia social pode ser considerado completo sem mencionar o notório “Kevin Mitnick” e conclui o seu artigo com uma

citação do mesmo que diz o seguinte: “Você poderia gastar uma fortuna na compra de

e sua infra-estrutura ainda assim permaneceria vulnerável a um

ataque de engenharia social”.

2.3.3 Engenharia Social: Fortalecendo o elo mais fraco

tecnologia e serviços

Os ataques de engenharia social são muito freqüentes, não só na Internet, mas no dia-a-dia das pessoas. Rafael Cardoso dos Santos que é consultor de segurança da Modulo Security destaca neste artigo as principais formas de prevenção contra as técnicas de engenharia social. Ele começa citando que a segurança da informação é sempre associada a uma corrente e a escolha do elo mais fraco desta corrente é uma unanimidade: o usuário. Destaca também que para conseguir a façanha de fortalecer o elo mais fraco devemos recorrer à norma ISO/IEC 17799:2001, destacando alguns controles considerados essenciais para isto.

2.3.2 Social Engineering: A means to violate a computer system

Este artigo escrito por Malcolm Allen está disponível no site do Sans Institute e também relata os vários métodos que a engenharia social utiliza para tentar quebrar as defesas de segurança da informação de uma organização. Ele também demonstra claramente o ciclo de ataque de um engenheiro social, conforme figura abaixo.

de ataque de um engenheiro social, conforme figura abaixo. Figura 1: O ciclo de ataque O

Figura 1: O ciclo de ataque

O artigo também demonstra algumas formas para prevenir o ataque e destaca a importância da política de segurança, bem como a educação e treinamentos dos usuários no intuito de minimizar ao máximo a eficácia das técnicas de engenharia social.

2.3.4

Engenharia Social e Estelionato Eletrônico

O autor Marcelo Coradassi Eiras coloca neste trabalho que tudo se mostra ineficaz a um ataque de engenharia social bem feito e mostra também outras técnicas de engenharia social como o SPAM, SCAM e métodos persuasivos de todo tipo. Marcelo também destaca que por mais extraordinário que possa parecer, o método mais simples, mais usado e, infelizmente o mais eficiente de se descobrir uma senha é “perguntando”. Basta alguém de boa lábia perguntar a um funcionário despreparado que ele acaba falando. Pode até não ser a senha, mas ele vai contar o tipo de sistema, o tipo de computador, e o que mais ele vir pela frente. Tudo vai depender de quão bom é o "Engenheiro Social" e quantos conhecimentos sobre a empresa ele possui.

2.3.5 A arte de Enganar

Kevin Mitnick descreve neste excelente livro “A Arte de Enganar” toda a sua trajetória de engenheiro social. O hacker mais famoso do mundo fornece orientações específicas para o desenvolvimento de protocolos, programas de treinamento e manuais para garantir que o investimento em segurança técnica sofisticada de uma empresa não seja em vão e dá conselhos sobre como evitar as vulnerabilidades de segurança.

3 Discussão das idéias

No artigo, “Social Engineering Fundamentals, Part I: Hacker Tactics” podemos notar que a autora Sara Granger mostrou os aspectos conceituais da engenharia social contemplando informações bastante relevantes sobre o assunto tal como as principais técnicas de ataque. Podemos verificar também que este artigo não fez menção alguma a formas de prevenção contra os ataques de engenharia social, bem como, a nenhum dado estatístico com relação à engenharia social, por exemplo, poderiam ser mostrados gráficos sobre percentuais de ataques nas empresas, quais as técnicas mais utilizadas, entre outros. A autora finalizou o artigo relembrando uma citação de Kevin Mitinick que diz que não importa o quanto você gaste com tecnologia ou serviços de segurança que você ainda assim estará vulnerável a algum ataque de engenharia social.

Em complemento ao artigo de Sara Granger podemos citar o artigo de Malcolm Allen, “A means to violate a computer system”, que mostra o ciclo de ataque de um engenheiro social. O autor coloca que a engenharia social é uma ameaça que sempre existirá e que não pode ser contida através de software de antivírus, ids, firewalls entre outros. Malcolm vai mais a fundo nos conceitos de engenharia social e demonstra também uma lista de dicas que servem como forma de minimizar os possíveis ataques através da engenharia social, porém também é enfático em afirmar que sempre haverá a possibilidade do fator humano ser influenciado.

Estes primeiros artigos analisados só vêm cada vez mais confirmar que o fator humano é uma das maiores causas de invasões e ataques na rede, sejam por uma senha fraca ou pelo esquecimento de algum cuidado básico de segurança. Por isso devemos voltar nossa atenção para os "ataques" de engenharia social, que muitas vezes podem dar acesso com privilégios de usuário administrador para um cracker em menos de 10

minutos, dependendo da habilidade do mesmo. Um ataque de engenharia social é muito mais popular do que se pensa, uma vez que, se bem aplicado, é praticamente indetectável.

O artigo escrito por Marcelo Coradassi Eiras, “Engenharia social e estelionato

eletrônico” mostrou algumas outras técnicas de engenharia social e que poderíamos dizer que são algumas das mais usadas nos dias atuais que são o spam e scam. Com certeza a grande maioria de vocês que estão lendo esta resenha agora já recebeu inúmeros e-mails com propagandas, pedindo confirmação de usuário de senhas de banco, e-mail de cartões virtuais ou que você ganhou prêmios por ter acessado determinado endereço, etc. Todas essas técnicas de engenharia social estão circulando a todo instante no mundo todo e algumas milhares de pessoas sendo enganadas, tendo a segurança comprometida ou pior, muitas vezes um único individuo acaba

comprometendo a segurança de uma corporação inteira.

O livro de Kevin Mitnick, “A arte de enganar” vem para complementar o

conhecimento geral sobre engenharia social, pois demonstra cenários realistas de conspirações, falcatruas e ataques aos negócios e as suas conseqüências. Mitnick não se ateve a conceitos e sim a vários exemplos das inúmeras formas de aplicação da engenharia social levando o leitor a se colocar no papel do atacante e a entender porque é tão difícil identificar e deter um ataque de engenharia social. O livro também contempla um capítulo sobre recomendações para política de segurança de informações corporativas, descrevendo cada ação a ser tomada. Um dos pontos de destaque também é a parte de classificação de dados. Uma política de classificação dos dados é fundamental para proteger as informações de uma organização e para estabelecer as

categorias repensáveis pela liberação das informações confidenciais.

Como informação final, porém não menos importante que as demais temos o artigo de Rafael Carlos dos Santos da Modulo Security, “Engenharia Social:

Fortalecendo o elo mais fraco” que fala sobre seguir dicas importantíssimas da ISO/IEC 17799:2000, como por exemplo, os controles:

Proteção de dados organizacionais;

Salvaguarda de registros organizacionais;

Definição de responsabilidades;

Educação e treinamento em segurança da informação, entre outros.

Podemos ver ao longo dos artigos que todos os autores foram unânimes em afirmar que é muito difícil identificar e prevenir ataque de engenharia social,entretanto tabem foram unânimes em apontar a conscientização, educação, treinamento e política de segurança bem definida com o ponto crucial para a proteção das informações.

4

Conclusão

A maior parte dos desastres e incidentes de segurança da informação tem como fator predominante a intervenção humana. As empresas que realizam testes de penetração de segurança relatam que tentativas de invadir os sistemas de computadores de uma empresa cliente com métodos da engenharia social têm um índice de sucesso de quase 100%.

Segurança tem a ver com pessoas e processos, antes de ter a ver com tecnologia. Falar em segurança da informação não se restringe a falar das mais novas tecnologias de firewall, antivírus ou outras inúmeras ferramentas de configurações avançadas e que custam milhares de reais. As tecnologias podem dificultar este tipo de ataque, entretanto, o único meio verdadeiramente efetivo é usar a conscientização para a segurança juntamente com uma política bem definida e com um treinamento adequado.

As ferramentas de engenharia estão de posse de todas as pessoas; o uso planejado e consciente delas é que vai fazer a diferença entre a proteção e a invasão. Quanto mais bem preparados estiverem os colaborados de uma empresa, mais segura ela será. Vale lembrar mais uma vez que não existe uma tecnologia no mundo capaz de evitar um ataque de engenharia social.

5 Bibliografia

[1] MODULO SECURITY SOLUTIONS. Engenharia Social: Fortalecendo o elo mais fraco em: <www.modulo.com.br>. Acesso em: 08 de novembro de 2005.

[2] MITNICK, Kevin D.; SIMON, William L. A. A arte de Enganar: Ataque de Hackers: Controlando o Fator Humano na Segurança da Informação. Tradução: Kátia Aparecida Roque. São Paulo: Pearson Education do brasil, 2003. 278 p.

[3] NORMA ISO/IEC 17799. Código de Prática para Gestão da segurança da Informação nas Empresas. ABNT – Associação Brasileira de Normas Técnicas. 01 de dezembro de 2000.

[4] Agência Folha Entrevista com Kevin Mitnick. Disponível em: < http://www1.folha.uol.com.br/folha/informatica/ult124u13942.shtml>. Acesso em: 08 de novembro de 2005.

[5] GRANGER, Sarah. Social Engineering Fundamentals, Part I: Hacker Tactics. Atualizado em 18 de Dezembro de 2001. Disponível em:

<http://online.securityfocus.com/infocus/1527>. Acesso em 02 de Novembro de 2005

[6] ALLEN, Malcolm. Social Engineering: A Means to Violate a Computer System. Disponível em: <http://www.sans.org/reading_room/whitepapers/engineering/529.php>. Acesso em 02 de Novembro de 2005.

[7] EIRAS, Marcelo Coradassi. Engenharia Social e Estelionato Eletrônico. IBPI. Fevereiro de 2004.