1

Universidade Estadual de Maring UEM Departamento de Informtica DIN Especializao em Desenvolvimento de Sistemas para We !urma "

EN#EN$%&I% S'(I%) N%S &EDES S'(I%IS

&EIN%)D' )E'*')DIN' (%+%)(%N!I ,&-

*rof- Dra- )uciana %ndr.ia /ondazzi Martimiano 0'rientadora1

Maring2*& 3455

&EIN%)D' )E'*')DIN' (%+%)(%N!I ,&-

EN#EN$%&I% S'(I%) N%S &EDES S'(I%IS

Monografia apresentada ao Departamento de Informtica (DIN) da Universidade Estadual de Maring (UEM) como parte dos requisitos para obteno do t tulo de Especialista em Desenvolvimento de !istemas para "eb#

*rof- Dra- )uciana %ndr.ia /ondazzi Martimiano 0'rientadora1

Maring2*& 3455

A eficcia de um sistema de segurana medida pelo elo mais fraco da corrente, Kevin Mitnick

Esta monografia dedicada Vanessa Olivia Chiarelli, ue eu reencontrei por meio do Or!ut depois de "# anos e ho$e minha esposa%

AGRADECIMENTOS

A produo desta monografia contou com a ajuda inestimvel de diversas pessoas. Em primeiro lugar, ao coordenador do curso de Especializao em Desenvolvimento de Sistemas da UEM, esle! "omo, por ter dado a oportunidade a um jornalista # &e'designer$ de fazer parte de uma turma formada por profissionais veteranos em informtica. Em segundo, lugar % min&a orientadora, 'uciana Martimiano por me ensinar como se faz uma monografia e evitar (ue tudo isso a(ui ficasse com cara de jornal. Em terceiro, aos meus pais e sogros, pelo apoio financeiro, log)stico e moral durante um ano e meio de longas viagens de madrugada para c&egar e voltar de Maring. Aos meus compan&eiros de sala, pelas incontveis noites de cerveja e pizza, onde eram ensinados os #macetes digitais$ (ue nen&uma sala de aula ensina. Aos professores, por terem suportado a interminvel en*urrada de perguntas +,vias e deslocadas da realidade com ,om &umor e paci-ncia. E por .ltimo, mas no menos importante, % min&a esposa, /anessa 0&iarelli, pelo amor, apoio, paci-ncia e dedicao durante toda a durao do curso.

RESUMO

1s servios de redes sociais, como o 1r2ut, encontraram terreno f3rtil entre os internautas ,rasileiros. 0om,inando o crescimento econ4mico do pa)s, o acesso do p.,lico % tecnologia mais ,arata e a natureza social do povo ,rasileiro, esses sites se tornaram um dos destinos mais visitados na 5nternet do pa)s. Mas com a novidade da tecnologia tam,3m veio o perigo6 criminosos virtuais, usando t3cnicas psicol+gicas avanadas c&amadas de engen&aria social, vascul&am perfis sociais mal protegidos para o,ter informa7es pessoais e privadas para us8 las contra suas v)timas em crimes como tru(ues de confiana, furto ou rou,o de identidade. 1 o,jetivo deste estudo 3 analisar este pro,lema, e propor uma poss)vel soluo para evitar este tipo de fal&a de segurana (ue no est relacionada % tecnologia em si, mas 3 inerente ao comportamento &umano. Palavras Chaves: Engen&aria Social, "edes Sociais, Segurana

ABSTRACT
Social 9et:or2ing Services, li2e 1r2ut, too2 ;razilian 5nternet users li2e a storm. 0om,ining t&e economic gro:t& of t&e countr!, t&e pu,lic<s access to c&eaper tec&nolog! and t&e social nature of t&e ;razilian people, t&ese :e, services ,ecame one of t&e most visited destinies over t&e countr!<s 5nternet. ;ut :it& t&e novelt! of t&e tec&nolog! also came danger6 c!,er criminals, using advanced ps!c&ological tec&ni(ues called social engineering, scavenged poorl! secured social profiles for personal and private information to use against t&eir victims in crimes as confidence tric2s, ,urglar! and identit! t&eft. =&e aim of t&is stud! is to anal!ze t&is pro,lem, and propose a possi,le solution to avoid t&is t!pe of securit! ,reac& t&at is unrelated to t&e tec&nolog!, ,ut in&erent to t&e &uman ,e&avior. Keywords: Social Engineering, Social 9et:or2s, Securit!

)IS!% DE #&6/I('S

#rfico 5- N7mero de pessoas 8ue aceitaram convite#####################################################$% #rficos 3 e 9- Diviso de se:o entre usurios 8ue aceitaram convite##########################$& #rfico ;- /ai:a etria dos usurios 8ue aceitaram convite de primira12######################$& #rfico <- /ai:a etria dos usurios 8ue aceitaram convite de adrimoraes12##############'( #rfico =- *orcentagem de usurios 8ue possuem perfil pessoal completo#################'( #rfico "- *orcentagem de usurios 8ue possuem fotos privadas################################'( #rfico >- *orcentagem de usurios 8ue possuem comunidades descritivas##############'( #rfico ?- *orcentagem de usurios agrupados por ran@ing##########################################)$

)IS!% DE IM%#ENS

/igura 5A E:emplo de Captchas utilizados pelo 'r@ut#####################################################*$ /igura 3A *erfil de B*riscila MirandaB################################################################################$$ /igura 9A *erfil de B%driano MoraesB#################################################################################$' /igura ;A E:emplo de *ermisso pr.2ativada e a rangente############################################$+ /igura <A Segundo E:emplo de *ermisso pr.2ativada###################################################$+

10

SUM6&I'

5- IN!&'DUCD'################################################################################################################## )) 5-5 ' Eetivos######################################################################################################################## )* 5-3 ,ustificativa#################################################################################################################### )$ 3- /UND%MEN!%CD' !EF&I(%########################################################################################), 3-5 % origem e a e:panso das &edes Sociais Digitais###################################################), 3-3 % Gegemonia do 'r@ut no Hrasil e seu impacto social##############################################)+ 3-9 (aracterIsticas e tendJncias das redes sociais##########################################################)% 3-; 's pro lemas de segurana das redes sociais##########################################################*( 3-< EngenGaria socialA a psicologia como ferramenta para o crime###############################*$ 3-= EngenGaria social em sites de relacionamento##########################################################*9- % E+')UCD' D'S *&'(ESS'S DE SE#U&%NC% N%S &EDES S'(I%IS###############$( ;- ES!UD'S DE (%S'########################################################################################################$$ ;-5 %nlise dos sistemas de segurana dos perfis do 'r@ut##########################################$;-3 %nlise dos perfis acessados pelos usurios primira53 e adrimoraes53################$% <- ('N()USD'################################################################################################################### '$ &E/E&KN(I%S ################################################################################################################### '-

11

1. INTRODU !O
As redes sociais ou sites de relacionamentos podem ser considerados, &oje, uma das ferramentas mais versteis para fazer amigos, manter contatos e con&ecer pessoas por meio da 5nternet. A cada dia, mais usurios da :e, fazem parte dessas redes, graas ao ,ai*o custo dos e(uipamentos de informtica e de acesso % cone*o, como tam,3m por projetos de incluso digital. Sites como 1r2ut, >ace,oo2, =:itter, (ue possuem um grande n.mero de usurios, oferecem diversas ferramentas (ue facilitam as intera7es sociais de seus mem,ros. Seus usurios podem criar l,uns de fotos personalizados, perfis com uma enorme gama de informa7es pessoais, comunidades nas (uais os mem,ros podem discutir so,re temas de m.tuo interesse etc. =ais informa7es normalmente so de dom)nio p.,lico, a no ser (ue o usurio em (uesto restrinja o acesso das mesmas para serem compartil&adas apenas com seu c)rculo de amigos reais. ?ara os mem,ros (ue no fazem parte desse c)rculo de amizade, poucas so as informa7es as (uais se possui acesso, criando assim, uma #zona de segurana$ contra usurios descon&ecidos. Entra em cena a Engen&aria Social. Segundo @evin Mitnic2 ABCCDE, um Engen&eiro Social 3 uma pessoa (ue manipula a confiana de outra para ter acessos a informa7es consideradas privadas. Ele tam,3m pode, por meio das poucas informa7es a (ue tem acesso, montar um (uadro mais aprofundado de um alvo. Sem (ue o alvo sai,a, essas informa7es (ue ele considera irrelevantes do ao engen&eiro social a possi,ilidade de prejudicar seu alvo empresarialmente, socialmente, financeiramente ou psicologicamente. 9esta primeira d3cada do s3culo FF5, &ouve um aumento considervel de ata(ues (ue envolvem engen&aria social (ue partiram de redes de relacionamentos. Ata(ues como phishing Ao usurio 3 ludi,riado para acessar um site falso de uma instituio financeiraE, rou,o de identidades, rou,o de sen&as ,ancrias, stal!ing Aperseguio virtual ou f)sica de um alvoE tem se tornado um verdadeiro desafio para os responsveis pela segurana dessas redes.

12

1 desafio est no fato de (ue o pro,lema no reside na parte tecnol+gica dos sites, mas sim no #fator &umano$. Seja por ine*peri-ncia com uma nova tecnologia ou pelo instinto inerente de se socializar, so os pr+prios usurios (ue p7e suas informa7es em risco. 1 o,jetivo principal deste tra,al&o 3 analisar este pro,lema, definindo (uais so as principais reas de risco as (uais os usurios esto e*postos. Al3m disso, definir por meio de dados levantados, estat)sticas e estudos de casos, (uais so os principais ata(ues ar(uitetados pelos engen&eiros sociais e como esses ata(ues tem atingido os usurios de redes sociais. ?or fim, por meio dessa anlise, estudar as estrat3gias de segurana (ue os responsveis dessas redes usam para reduzir este pro,lema em seus sites. 9o intuito de alcanar esses o,jetivos, esta monografia foi dividida em sete diferentes cap)tulos. 9o 0ap)tulo B, so descritos os o,jetivos gerais e espec)ficos sendo acompan&ados, no 0ap)tulo G, pela justificativa geral da e*ecuo deste tra,al&o. 1 0ap)tulo D apresenta a fundamentao te+rica, ,em como os direcionamentos necessrios para a aplicao prtica deste tra,al&o. 1 0ap)tulo H descreve a evoluo do processo de segurana nas redes sociais. 9o 0ap)tulo I, a metodologia 3 descrita em detal&es com os passos (ue foram realizados para a e*ecuo da e*perimentao prtica. ?or fim, o 0ap)tulo J descreve detal&adamente o processo de e*perimentao e a anlise dos dados. Este cap)tulo 3 seguido pelo cap)tulo final, a 0oncluso, na (ual tudo o (ue foi discutido neste estudo 3 resumido e algumas solu7es so apresentadas. 1.1 O"#e$%vos =endo em vista a natureza instintivamente social do pro,lema da e*posio online, este estudo no pretende encontrar uma soluo definitiva para o pro,lema da engen&aria social. Do ponto de vista acad-mico, ele pretende, na verdade, traar lin&as de ao para minimizar a e*posi7es de informa7es pessoais sigilosas dos usurios dentro das redes sociais. Devido % vasta (uantidade de sites de relacionamentos, o foco deste projeto estar restrito ao 1r2ut. Segundo o site Ale*a.com, HI,GK dos usurios do 1r2ut so ,rasileiros, tornando8o a rede social mais utilizada no pa)s AA'EFA, BCLLE. Dentro dessa prerrogativa, pode8se dizer (ue os o,jetivos espec)ficos deste projeto so6

13

E*ecutar um levantamento estat)stico dentro de perfis pessoais, visando a definir padr7es nos dados (ue os usurios li,eram para divulgao p.,lica.

"ealizar levantamento literrio Aem livros, jornais e revistasE so,re situa7es em (ue a Engen&aria Social foi utilizada para prejudicar um ou mais usurios de sites de relacionamento.

Definir os tipos de ata(ues mais utilizados pelos Engen&eiros Sociais. 1.& '(s$%)%*a$%va A necessidade &umana de se socializar no 3 recente. Desde as primeiras tri,os, os seres &umanos se aglomeravam em grupos como forma de so,reviv-ncia. A recente e*ploso digital e o acesso dos &umanos a uma rede de comunicao interligada de propor7es glo,ais trou*eram toda uma mudana no paradigma do (ue 3 fazer parte de um grupo. 1s sites de relacionamento so apenas um refle*o dessa necessidade. 1ferecendo aos seus usurios uma gama diversa de possi,ilidades de fazer amigos, con&ecer pessoas e refinar o relacionamento com contatos j e*istentes, no 3 de se espantar (ue as redes sociais sejam listadas atualmente como os sites mais visitados da 5nternet. 1 pro,lema da Engen&aria Social tam,3m no 3 recente, mas encontrou nesses sites um terreno f3rtil onde um usurio mal intencionado pode o,ter informa7es privadas com facilidade e de forma an4nima. Mostos pessoais, endereos, n.meros de telefones, fotos de fam)lias, de viagens, de eventos, tudo pode ser acessado com apenas poucos cli(ues. ?or meio dessas informa7es, amizades podem ser esta,elecidas, neg+cios podem ser feitos, relacionamentos podem desa,roc&ar. 9o entanto, do outro lado da moeda, um usurio mal intencionado, um engen&eiro social, pode utilizar esses dados para prejudicar um usurio id4neo de diversas maneiras. A c&egada da segunda d3cada do s3culo FF5 viu um enorme aumento dos n.meros de confidence tric!s, ou ata(ues de confiana, nos (uais um criminoso virtual comete crimes se ,aseando apenas na ine*peri-ncia ou da necessidade de se socializar dos outros usurios. Seja no meio empresarial, na vida pessoal, financeira ou romNntica, os danos causados por um ata(ue ,em ar(uitetado pode colocar em risco a segurana de um usurio ine*periente.

14

?artindo do pressuposto de (ue todo ser &umano precisa se socializar, evitar esse tipo de ata(ue nas redes sociais 3 de grande importNncia. A prerrogativa ,sica deste estudo 3 analisar este processo. 1 pro,lema da engen&aria social no 3 de fcil soluo, por conta dessa necessidade ,sica dos seres &umanos de fazer parte de uma comunidade, de um grupo social. 1 (ue este tra,al&o pretende fazer 3 entender como esses ata(ues acontecem e por meio de dados estat)sticos, definir as reas de maior pro,lema nas redes de relacionamento. De posse dessas informa7es, pretende8se definir estrat3gias para reprimir este tipo de ata(ue ou ao menos, reduzir os danos aos (uais os usurios esto e*postos.

15

&. +UNDAMENTA !O TE,RICA

&.1 A or%-e. e a e/0a1s2o das Redes So*%a%s D%-%$a%s Apesar do conceito atual de Orede social digitalO ter surgido no comeo da primeira d3cada do s3c. FF5 com os sites de relacionamentos Ma2eoutclu,.com ABCCCE e o >riendster.com ABCCBE, a ideia de comunidade digital 3 ,em mais antiga. 0om ,ase na necessidade &umana de socializao e interao, os primeiros passos da evoluo da 5nternet sempre camin&aram juntos com o ideal de juntar pessoas e formar grupos. Mesmo no final do s3culo passado, (uando os microcomputadores ainda engatin&avam em direo a uma &egemonia domiciliar, alunos e acad-micos dentro de universidades e centros de pes(uisas j utilizavam redes de emails como a Usenet ALPQCE e ;;S ALPJPE para se comunicar em grupo. R fato (ue, em termos comparativos, tanto a interface, (uanto a usa,ilidade e a (uantidade de informa7es dispon)veis so,re um usurio diferiram radicalmente com o passar do tempo, por3m o conceito e a relevNncia dessas redes mais antigas so as mesmas se comparadas proporcionalmente com as de vinte anos depois. Suando Mic&ael e "onda Tau,en escreveram o livro (eti)ens em LPPH, discutindo os impactos das Oredes sociaisO da 3poca na sociedade &umana, eles no pouparam e*emplos de Oinova7esO nos relacionamentos sociais digitais (ue &oje 3 tomado por corri(ueiro. Segundo os autores, O...as cone*7es sociais (ue antes nunca seriam poss)veis, ou relativamente dif)cil de serem feitas, agora foram facilitadas pela 9et. 1 tempo e a geografia dei*aram de ser o,stculosO ATAU;E9 e TAU;E9, LPPHE. Eles afirmam, ainda, (ue graas a esse novo meio de comunicao, O...as limita7es sociais e conven7es no mais evitam uma potencial relao ou parceriaO e declaram (ue Oagora, as pessoas tem o poder de transmitir suas o,serva7es ou (uest7es por todo mundo e rece,er respostas de outras pessoas. As redes de computadores formam uma nova cone*o de ,ase (ue permite setores e*clu)dos da sociedade terem uma voz O. R poss)vel perce,er (ue j na d3cada de PC, na (ual gigantes sites de relacionamento como >ace,oo2, =:itter ou o 1r2ut nem e*istiam, o conceito de comunidade virtual j estava presente e em pleno funcionamento, apesar das dificuldades t3cnicas da 3poca.

16

Essas dificuldades, nas (uais se en(uadram velocidade de transmisso, capacidade de processamento e armazenamento, foram suplantadas com o passar do tempo, gerando oportunidades para (ue as redes de relacionamento virtuais oferecessem novas formas de interao entre os grupos. Aliando isso ao ,ai*o custo para a(uisio de tecnologia por parte dos usurios, o n.mero de mem,ros das comunidades virtuais cresceu e*ponencialmente. =endo em vista esses fatores, pode8se dizer (ue, conceitualmente, uma rede social digital 3 uma plataforma (ue permite a interao de pessoas por meio de grupos de discusso e relacionamento. 0omo dito no in)cio desta seo, apesar desse conceito parecer recente, ele e*iste desde a d3cada de QC do sec. FF. ?or3m, talvez o fato mais marcante dentro da evoluo das redes sociais aconteceu com a mudana do foco das discuss7es em grupo para a criao de perfis pessoais. Esse novo formato se popularizou na primeira d3cada do s3c. FF5 com o >riendster A@9A??, BCCIE. Usurios podiam criar pginas pessoais dentro das redes de relacionamento (ue contin&am informa7es so,re gostos pessoais, perfis musicais, vis7es pol)ticas e filos+ficas. Esses perfis gan&aram ainda mais relevNncia com a capacidade de postar fotos e criar listas de amigos, nas (uais o usurio agregava ao seu perfil, lin2s para os perfis de amigos, parentes e colegas de tra,al&o. Essa mudana de foco para o lado pessoal do usurio transformou os grupos de discusso dentro de uma temtica comum Acomo acontecia na UsenetE para grupos sociais de amigos em comum. >oi a partir da) (ue o conceito atual de rede social como 3 con&ecido &oje gan&ou seu momentum. Suando os gigantes das redes sociais comearam a surgir na primeira d3cada do s3c. FF5, a importNncia do Operfil pessoalO foi o fator (ue mais impulsionou a e*panso dos sites de relacionamento. Segundo Ellison et al% ABCCPE, no seu artigo A net&or!ed self, Oas redes sociais nos permitem representar digitalmente nossas cone*7es com outros usurios 8 o (ue significa (ue podemos usar esses sites para modelar nossa rede social de relacionamentosO. ?ara os autores, essa capacidade de virtualizar o OeuO das mais diversas formas dentro de uma rede social 3 o (ue fez os sites de relacionamento uma ferramenta to cotidiana na vida da sociedade atual6 O1 (ue verdadeiramente distingue sites de redes sociais de tecnologias anteriores 3 a rede social articulada (ue 3 o centro desses sistemas.O

17

>oi partindo dessa premissa de redes sociais centradas em redes de amigos, (ue &ouve um florescimento e e*panso dos sites de relacionamento na primeira d3cada do s3c. FF5. 1 j citado >riendster surgiu em BCCB e &oje conta com PC mil&7es de usurios, a maior em pa)ses asiticos. 1 &iH veio em BCCG, sendo ,astante popular na europa e no oriente m3dio, com QC mil&7es. 9o mesmo ano surgiram o M!space e o 'in2edln, este .ltimo com o foco em contatos profissionais e de neg+cios. Atualmente, am,as as rede possuem mais de LCC mil&7es de usurios demograficamente centrado na Am3rica do 9orte. 9o entanto, foi em BCCD (ue surgiu a maior rede social de todas6 o >ace,oo2. Atualmente, apenas esta rede possui mais de meio ,il&o de usurios espal&ados por todas as regi7es do planeta. /aria7es de sites de relacionamento dentro de uma temtica central como o deviantArt Aart)sticoE, o >lic2r AfotografiaE, o 'ast.fm Am.sicaE e o =:itter A micro'loggingE tam,3m gan&aram fora e &oje contam com centenas de mil&ares de usurios registrados. 9o ;rasil, a rede social (ue mais gan&ou desta(ue e o maior n.mero de adeptos foi o 1r2ut. Apesar de esta rede possuir mais de LCC mil&7es de usurios registrados de diversas partes do mundo, a grande maioria 3 de ,rasileiros. 9a pr+*ima seo, 3 discutida a evoluo desta rede no ;rasil. &.& A he-e.o1%a do Or3($ 1o Bras%l e se( %.0a*$o so*%al 1 1r2ut surgiu em BCCD durante o crescimento das redes sociais centradas em perfis pessoais. Seu nome 3 uma refer-ncia direta ao nome do criador do projeto, o funcionrio da Moogle 1r2ut ;U!U22V2ten. 0omo todas as redes dessa 3poca, grande parte do trfego de usurios provin&a dos Estados Unidos. Segundo o site Ale*a.com (ue compila estat)sticas de visitao, em BCCD, HCK dos usurios eram americanos AA'EFA, BCLLE. 9o entanto, com o passar dos anos, o flu*o de usurios migrou essencialmente para dois pa)ses6 ;rasil e Wndia. Em BCLC, o site de relacionamentos j era o LLX mais visitado do ;rasil e dos seus LCC mil&7es de usurios registrados, HJK eram ,rasileiros AA'EFA, BCLLE. Assim, 3 poss)vel dizer (ue pelo menos um (uarto da populao ,rasileira possuiu em algum momento um perfil pessoal no 1r2ut. 1 editor do site 5DM 9o:Y, Muil&erme >elitti, afirma em artigo datado de BCCQ, (ue a razo para esse sucesso entre os ,rasileiros se deveu a tr-s fatores principais6 primeiro, a falta de concorr-ncia do 1r2ut na 3poca do seu lanamento, segundo, a usa,ilidade do site era

18

simples e eficiente, ao contrrio de outros sites da 3poca, como o M!space. A terceira razo, no entanto, veio por conta da estrat3gia de mar2eting. 9o seu lanamento, apenas era poss)vel criar um perfil no site (uem tivesse sido convidado A>E'5==5, BCCQE. Segundo o >elitti, O...a necessidade de um convite para participar, o (ue instigava a curiosidade dos (ue ainda estavam de fora para entender (ual era o grande atrativo da rede social.O ?ara o autor, O5sso agiu como uma esp3cie de fermento para a vontade do internauta em fazer seu perfil.O 1 pr+prio criador do site, em entrevista % "evista >ol&a de BCCH, confirma o terceiro ponto citado por >elitti, mas tam,3m afirma (ue o sucesso pode ter vindo de (uest7es sociais6 O=alvez seja cultural, ten&a a ver com a personalidade de voc-s, (ue so con&ecidos como um povo amigvelO A>1'TA 19'59E, BCCHE. Em BCLC, o site de estat)sticas comScore afirmou (ue de cada (uatro internautas ,rasileiros, tr-s tin&am perfis no 1r2ut6 OEm agosto de BCLC, mais de GI mil&7es de usurios de 5nternet visitou um site de relacionamentos no ;rasil. 1 1r2ut 3 classificado como o destino mais visitado, atingindo BP,D mil&7es de visitantesO A01MS01"E, BCLCE. Essa &egemonia dentro de um pa)s como o ;rasil, (ue ainda engatin&a no sentido da incluso digital e (ue possui uma enorme desigualdade social, fez do 1r2ut se esta,elecer no pa)s como a principal rede de relacionamento e um item (uase (ue indispensvel na navegao diria do usurio comum ,rasileiro. 9a pr+*ima seo, so discutidas as caracter)sticas principais das redes sociais e as ferramentas (ue os usurios disp7em nesses sites para fazer amigos e formar grupos. &.4 Cara*$er5s$%*as e $e1d61*%as das redes so*%a%s 0omo dito na primeira seo, as caracter)sticas marcantes dos sites de relacionamento mudaram de foco com o passar dos anos. A ateno ao Operfil pessoalO fez surgir diversas ferramentas e implementa7es (ue permitiram aos usurios disponi,ilizar mais informa7es pessoais das mais diversas maneiras. A anlise dessas caracter)sticas 3 fundamental na compreenso do atual cenrio no (ual ocorre a intercomunicao dos usurios. Apesar do escopo deste estudo ser o site de relacionamento 1r2ut, todas ou (uase todas as caracter)sticas discutidas a seguir so comuns %s maiores redes sociais da 5nternet.

19

1 Per)%l Pessoal 3 o ponto de entrada principal dos usurios. 9ele, o usurio encontra sua lista de contatos, suas comunidades afiliadas, as atualiza7es feitas nos perfis de amigos, seu l,um de fotos e v)deos e sua pgina de scraps Amensagens curtas enviadas por outros usurios para o seu perfilE. A finalidade do perfil, como o nome j diz, 3 traar um perfil do usurio a partir de informa7es (ue ele disponi,iliza, como seu status de relacionamento Asolteiro, casado etcE, sua data de aniversrio, seu email pessoal, endereo residencial, cidade, estado. Al3m disso, o perfil permite ao usurio informar gostos pessoais e &,itos relevantes % formao de grupos de amigos como gosto musical, religio do usurio, opo se*ual, livros (ue gosta de ler, &,itos de sa.de e prtica de esporte. T tam,3m a possi,ilidade de informar dados tra,al&istas e acad-micos como empresas tra,al&adas, ramos de atuao, escolas e cursos feitos etc. ?or fim, & uma .ltima rea na (ual o usurio pode informar traos f)sicos como cor do ca,elo, dos ol&os, a presena de tatuagens ou piercings, etc. A variedade de detal&es pessoais poss)veis de se informar num perfil social cresceu com o passar dos anos, c&egando ao patamar atual em (ue (uase todos os traos de personalidade podem ser informados e divulgados para a rede. ?or meio dessas informa7es, teoricamente, novos amigos podero ter uma ideia de (uem o usurio 3, do (ue ele gosta e se e*iste uma compati,ilidade entre as duas pessoas. R tam,3m por meio desses dados (ue os mecanismos internos do site de relacionamento pes(uisam outros perfis % procura de traos de personalidade em comum e informa ao usurio as poss)veis compati,ilidades entre ele e novos usurios, so, o t)tulo de *ugest+o de Amigos. Seu scrapbook, ou cai*a de mensagens, 3 onde o usurio encontra todo o &ist+rico de mensagens trocadas entre ele e os outros usurios da rede. 1 (ue antes era apenas um lugar onde mensagens apareciam, &oje assumiu o formato de conversas, onde as mensagens so agrupadas por usurios e por data, possi,ilitando uma compreenso mel&or do flu*o de conversao entre duas pessoas. =odos os mem,ros pertencentes % lista de amigos do usurio podem ver parcial ou completamente o seu &ist+rico de conversas. 1 7l"(. de )o$os e v5deos surgiu com o aumento da ,anda de transmisso pela 5nternet. ?or meio dele os usurios possuem um espao virtualmente infinito para divulgar fotos e v)deos pessoais. Esses elementos multim,dia podem ser agrupados em grupos

20

temticos e ter permiss7es atri,u)das a eles, definindo (uais pessoas da rede social pode ter acesso e visualiz8los. 9ormalmente, a permisso padro para novos itens adicionados 3 Oapenas para amigosO, por3m esse status pode ser modificado para atingir um grupo menor ou maior de pessoas. Uma implementao recente ao l,um de fotos 3 a capacidade de adicionar tags Aou marcadoresE nas imagens, informando o lin2 do perfil das pessoas (ue estavam presentes na(uela foto. 5sso cria um elo entre o l,um de fotos e o perfil pessoal de outro usurio. As *o.(1%dades servem como um v)nculo ao modelo antigo das redes sociais de grupos de discusso. 9elas o usurio normalmente discute assuntos relacionados aos temas da comunidade com outros mem,ros, criando assim, uma lista de discusso similar aos f-runs, (ue (ual(uer mem,ro da rede tem acesso. Atualmente, o n.mero de comunidades dentro do 1r2ut supera os mil&7es. Elas esto divididas nas mais variadas temticas como Artes e Entretenimento, 9eg+cios, ?a)ses e "egi7es, 0ulturas e 0omunidade, >am)lia e 'ar, Moda e ;eleza, 0ulinria entre outros. E*iste tam,3m um enorme n.mero de Ocomunidades de afirmaoO (ue no pertencem a nen&um grupo espec)fico, mas tem como meta juntar usurios (ue possuem caracter)sticas pessoais em comum como Oodiar acordar cedoO, Oadorar lasanhaO, Oser ciumentoO, Oenrolar nas tarefas domsticasO, Oprocrastinar no tra'alhoO entre outros. Este .ltimo grupo de comunidades voltar a ser discutido mais % frente. 9o entanto, primeiro, so discutidos os principais pro,lemas de segurana (ue atingem os usurios do 1r2ut e por conse(u-ncia os usurios das redes sociais em geral. &.8 Os 0ro"le.as de se-(ra19a das redes so*%a%s 0omo toda nova tecnologia implementada e passiva de fal&as, os sites de relacionamento tiveram ao longo dos anos diversos pro,lemas com segurana. 1 rpido crescimento da ,ase de usurios, a concorr-ncia entre as diversas redes e a corrida para lanar uma nova ferramenta ou um novo recurso dentro desses sites, fizeram com (ue, a cada ano, mais e mais usurios sofressem por conta de rou,o de informa7es e fal&as na proteo % privacidade A01''59S, BCCQE. Esses pro,lemas com segurana se agravaram de diversas formas com o passar do tempo e com o aumento dos usurios de sites de relacionamento. As fal&as vo desde a (ue,ra

21

de privacidade, o rou,o de dados, o acesso a informa7es privadas por empresas de mar2eting, ata(ues de v)rus e de engen&eiros sociais A01''59S, BCCQE. Apesar do escopo deste projeto ser o site de relacionamentos 1r2ut, as fal&as discutidas nesta seo so comuns em (uase todas as outras redes sociais. Segundo ;arnes ABCCIE discute no seu artigo A .rivac/ .arado0, a mudana de foco das redes para os perfis pessoais tam,3m foi precursora de um dos maiores pro,lemas enfrentados pelos usurios de sites de relacionamento6 a (ue,ra de privacidade. 0om a possi,ilidade de postar te*tos, fotos, v)deos ou dei*ar comentrios e depoimentos, os mem,ros dessas redes viram nos sites de relacionamento uma plataforma prtica e rpida de divulgao pessoal. Essa divulgao no significa necessariamente uma propaganda pessoal, mas sim uma parte do processo de fazer novos amigos e con&ecer novos grupos sociais A;A"9ES, BCCIE. 9o entanto, esse flu*o de informa7es pessoais era acess)vel, at3 pouco tempo atrs, a todos os usurios da rede independentemente se &avia ou no algum v)nculo entre dois usurios em comum. 5sso significa (ue tudo (ue era postado, discutido, comentado ou dito por um usurio, podia ser plenamente acessado por (ual(uer mem,ro da rede. A .nica ,arreira (ue e*istia era apenas ser ou no usurio da rede social. Segundo ;ornatovs2! ABCCIE, o pro,lema 3 (ue Omuitos usurios, de certa forma, confiam cegamente Znessas redes[, muitas vezes por falta de con&ecimento, disponi,ilizando todos os seus dados pessoais e fotosO. ?ara ele o pro,lema se agrava, pois preenc&endo campos preesta,elecidos e no o,rigat+rios (ue traam completamente o c&amado #perfil do usurio$, os participantes dos sites de relacionamento no se davam conta de (ue essas informa7es podiam ser acessadas por (ual(uer usurio (ue tam,3m ten&a um perfil cadastrado. So in.meros os casos noticiados nos (uais essa divulgao pessoal e o acesso total a informao por parte dos outros mem,ros da rede se tornou prejudicial aos usurios. 0asamentos foram desfeitos, empregos foram perdidos, amizades foram separadas simplesmente por (ue a Ooutra parteO teve acesso demais a informa7es privadas de um determinado usurio.

22

Essa e*posio total de dados privados e pessoais tam,3m se tornou uma ferramenta para criminosos praticarem crimes, por e*emplo. Em not)cia datada de BG\CD\BCCI, o jornal online BDToras9e:s cita casos nos (uais falsos se(uestradores se utilizam de informa7es divulgadas pelas v)timas nos seus perfis pessoais para enganar parentes e amigos6
O?elo 1r2ut, os marginais sa,em, por e*emplo, onde a v)tima em potencial com,inou de ir % noite e, de posse dessa informao, podem ligar para os familiares para simular o falso se(uestro. Al3m disso, os ,andidos t-m como sa,er o c)rculo social da pessoa e o padro de vida, como (uantos carros e im+veis ela tem, facilitando na &ora de enganar os familiares.O ABDToras9e:s, BCCIE.

Al3m disso, mas num Nm,ito no criminal, & tam,3m a (uesto da minerao de dados Adata miningE, e*ecutado pelas empresas de mar2eting. Utilizando as ferramentas de ,uscas inclu)das nos pr+prios sites de relacionamentos, essas empresas procuravam por palavras c&aves nos perfis e nas comunidades afiliadas do usurio, para traar um perfil de um poss)vel cliente AE'@59S, BCCJE. A partir desses dados, as empresas utilizavam os pr+prios espaos de comunicao pessoal Aos scraps do 1r2utE para fazer propagandas dos seus produtos. 9o eram raros os casos de empresas (ue se utilizavam da prtica do spam Aemails de propaganda no solicitadosE para atingir os usurios AE'@59S, BCCJE. 1utro pro,lema ,astante corri(ueiro nas redes sociais eram os v)rus. Durante a fase de e*panso dos sites de relacionamento, a (uantidade de tecnologias novas implementadas a,ria espao para fal&as de segurana (ue permitiam criminosos virtuais disseminar programas maliciosos como v)rus, cavalos de troia Atro$ansE e sp/&ares% A t3cnica mais simples era infectar um usurio e dei*ar o v)rus se apoderar da sua lista de contatos para espal&ar mensagens contendo o v)rus. 0omo essas mensagens provin&am de um usurio con&ecido da lista, os outros usurios acreditavam (ue a(uela era uma mensagem aut-ntica e clicava nos lin2s ane*ados. 1 te*to das mensagens tam,3m era de cun&o enganoso, mascarando o verdadeiro conte.do dos lin2s. OVe$a as fotos ue n-s tiramos no ver+o1O, OOlha o ue eu achei so're voc2 na netO ou OOlha s- a nova m3sica de 4cantor famoso5 O so e*emplos de frases automticas (ue os v)rus postavam.

23

9o entanto, ,oa parte dos pro,lemas citados foi resolvida ou minimizada e*tensamente com a consolidao do desenvolvimento desses sites. 9ovas tecnologias de segurana ou mudana nos processos dentro das redes sanaram a maior parte dos pro,lemas. A maior ateno foi dada a (uesto das permiss7es, ingrediente (ue faltava no painel de controle de ,oa parte dos sites de relacionamento. 0om as permiss7es, os usurios podem agora escol&er (uem tin&a acesso para ver seus posts, fotos, v)deos e comentrios. Se um usurio (uiser, por e*emplo, ele pode ter um perfil pessoal e*tensamente povoado de informa7es pessoais, fotos e te*tos, mas apenas vis)veis a um grupo de amigos )ntimos. 1s outros contatos, (ue tam,3m so colegas ou con&ecidos do usurio, veem apenas parte dessas informa7es, pois sua permisso 3 de menor a,rang-ncia. 1 pro,lema dos v)rus tam,3m foi minimizado com a implementao de captchas, conforme e*emplos na >ig. L, ou confirma7es por escrito, (ue um usurio precisa interagir para postar mensagens com lin2s ane*os. 0omo essa interao normalmente re(uer uma leitura atenciosa dos captchas, a disseminao automtica dos v)rus perdeu ,astante fora.

6ig% "7 E0emplos de captchas usados pelo Or!ut

9o entanto, um dos pro,lemas citados ainda no possui soluo definitiva, pois de uma forma de outra, vai de encontro ao o,jetivo dos pr+prios sites de relacionamento6 a (uesto da engen&aria social. 1 (ue 3 a engen&aria social, como se aplica e como ela tem se tornado um crescente pro,lema nas redes sociais, sero os temas discutidos na pr+*ima seo. &.: E1-e1har%a so*%al: a 0s%*olo-%a *o.o )erra.e1$a 0ara o *r%.e 1 termo engen&aria social se aplica a diversas t3cnicas (ue permitem a (uem as utiliza conseguir acesso no autorizado a informa7es privadas e us8las contra um alvo. 1 (ue isola a engen&aria social como categoria .nica 3 o fato desse acesso ser conseguido por meio da psicologia contra o alvo AM11D0T5'D, BCLCE.

24

1 e*emplo dos falsos se(uestradores simplifica esse conceito6 de posse de informa7es p.,licas e privadas, criminosos ligavam para as v)timas simulando um se(uestro para conseguir um resgate. 9o & se(uestro propriamente dito e toda a simulao no passa de um engodo psicol+gico contra a v)tima, (ue 3 reforada pela posse de informa7es at3 ento consideradas privadas. 9o entanto, a t3cnica no se aplica apenas a falsos se(uestros6 fraudes, rou,os de identidade, acessos no autorizado a sistemas de informa7es, phishing, entre outras prticas criminosas, se apoiam fortemente em engen&aria social. 9o livro A Arte de Enganar, o e*8hac!er A&oje, consultor de seguranaE @evin Mitnic2 e*plica diversas situa7es nas (uais o fator &umano pode ser e*plorado pela engen&aria social para o,ter informa7es privadas ou acesso a dados proi,idos. Em um dos e*emplos, ele cita a situao na (ual uma pessoa o,t3m acesso % intranet de uma empresa, mas (ue 3 protegida por uma sen&a (ue muda diariamente. ?ara desco,rir a sen&a, ele aguarda por um dia de c&uva forte, liga para empresa fingindo ser um empregado preso em casa por conta da tempestade e convence o operador a revelar a sen&a da(uele dia. T tam,3m o caso no (ual uma pessoa gan&a acesso a uma rea restrita de um local, ficando % porta dessa rea carregando uma grande cai*a de livros, e contando com a propenso das pessoas para manter a porta a,erta para os outros nessa situao. 1s m3todos variam de criminoso para criminoso, mas sempre so focados no lado psicol+gico da v)tima. 1 pr+prio Mitnic2 passou cinco anos na priso por crimes de rou,o de informa7es e invaso de sistemas. Esses atos, segundo ele, foram cometidos utilizando t3cnicas de engen&aria social para enganar pessoas fazendo8as acreditar ser algu3m (ue ele no era. Al3m dos dois e*emplos citados, Mitnic2 cita m3todos padr7es (ue os engen&eiros sociais usam para enganar suas v)timas, dentre eles esto6 Entrar em contato com a v)tima Aempresa ou pessoaE fingindo ser um jornalista ou

um escritor e fazer perguntas diversas so,re a empresa ou ramo de atuao, incluindo no meio das perguntas uma (ue e*traia a informao (ue o criminoso deseja conseguir. E*.6 #Sue

25

interessanteY Mas durante a noite no aumentam os riscos de assalto] 0omo voc-s cuidam dessa parte]$ Entrar em contato com a v)tima dizendo ser do ,anco, compan&ia el3trica, etc.,

re(uerendo informa7es para fazer um recadastramento da v)tima no sistema. E*.6 #Sua conta de ,anco sofreu uma tentativa de invaso e precisamos (ue o Sr. confirme seus dados para poder des,lo(ue8la$. Entrar em contato com a v)tima dizendo ser de outro setor da mesma empresa (ue

ela tra,al&a, para tirar #d.vidas$ so,re um novo processo de segurana. E*.6 #=, a tela de login eu j entendi, mas eu no sei (ue sen&a essa (ue eles esto pedindo agora. Eles s+ fazem isso para complicar a nossa vidaY$ =odos esses m3todos possuem um .nico prop+sito6 gan&ar a confiana da v)tima e faz-8la revelar uma informao confidencial (ue o engen&eiro social precisa como parte do seu plano criminoso. Segundo 'ari,ee ABCCIE, o ponto fraco de (ual(uer sistema de segurana, seja ele f)sico ou virtual, so as pessoas (ue fazem parte dele. R e*plorando a confiana dessas pessoas (ue um engen&eiro social o,t3m acesso a informa7es restritas sem precisar lidar com o sistema de segurana em si. 'ari,ee ABCCIE cita, ainda, na sua dissertao de mestrado, uma pes(uisa realizada em BCCG por uma empresa de segurana da 5nglaterra, a 5nfoSec. 9a pes(uisa, funcionrios de uma empresa preenc&eram um formulrio com perguntas gen3ricas so,re o seu dia a dia no tra,al&o. Em troca, elas gan&ariam uma caneta de ,rinde por ter respondido o (uestionrio completo. 9o meio do (uestionrio &avia a seguinte pergunta6 Sual 3 a sen&a da sua estao de tra,al&o] Setenta e cinco porcento AJHKE dos entrevistados responderam % pergunta. Suando (uestionados por (ue eles responderam essa pergunta, os funcionrios disseram (ue foi por causa da caneta de ,rinde (ue (uem respondesse o (uestionrio gan&ava A=TE "EM5S=E", BCCGE. 0omo 3 poss)vel notar, o fator &umano possui interfer-ncia fundamental na esta,ilidade de um sistema de segurana e um engen&eiro social, com as t3cnicas certas, pode

26

comprometer esse sistema apenas forando a confiana entre ele e a v)tima. 1 pro,lema 3 (ue, at3 o in)cio desta d3cada, os engen&eiros sociais precisavam se e*por para conseguir as informa7es das suas v)timas. 9o entanto, com o crescimento das redes sociais e o vasto n.mero de usurios, esses criminosos encontraram um terreno f3rtil para seus levantamentos de dados, protegidos pelo anonimato da pr+pria rede. 9a pr+*ima seo 3 discutido como os engen&eiros sociais se utilizam das ferramentas e recursos dos sites de relacionamento para o,ter informa7es confidenciais so,re suas v)timas. &.; E1-e1har%a so*%al e. s%$es de rela*%o1a.e1$o A consolidao do uso das redes sociais entre os usurios de 5nternet a,riu um novo espao para o garimpo de informa7es por parte de um engen&eiro social. 9o mais dependente de se e*por Aou pessoalmente ou por telefoneE ou de dei*ar rastros Acontato por emailE, um criminoso (ue se utiliza das t3cnicas citadas na seo anterior pode levantar dados sigilosos de uma v)tima apenas visitando seu perfil social num site de relacionamento. 9o artigo #8 9hings to :eep Off *ocial (et&or!ing .rofiles Adatado de CP\CJ\BCLCE, a jornalista ^enniffer Mattern demonstra como os dados dos perfis sociais mostram muito mais so,re o usurio do (ue o pr+prio usurio imagina6
#...muita gente no 3 to cautelosa so,re o (ue coloca nesses perfis p.,licos. Eles realmente pensam (ue ningu3m, apenas os seus amigos e contatos pessoais t-m acesso % informao ali colocada. Ento, eles postam coisas est.pidas sem pensar 8 coisas (ue podem custar8l&es o emprego...$ AMA==E"9, BCLCE.

9o artigo MA==E"9 ABCLCE cita diversos pontos pro,lemticos de um perfil social, (ue podem e*por dados sigilosos so,re um usurio sem (ue ele ten&a consci-ncia6 >otos comprometedoras ou provocativas _ >otos deste tipo colocam em risco a integridade do usurio e oferecem uma ,rec&a % privacidade do usurio` 0r)ticas aos amigos ou aos colegas de tra,al&o _ 0omo a maioria dos comentrios possui acesso glo,al dos amigos do usurio, essas cr)ticas podem c&egar %s pessoas a (uem essa informao deveria permanecer sigilosa`

27

5nforma7es confidenciais _ 1 (ue se passa dentro do tra,al&o ou de casa deve permanecer sigiloso, pois essas informa7es podem se tornar arma na mo de usurios mal intencionados` Dados pessoais _ 1 usurio deve ter cuidado ao postar informa7es pessoais como endereo, local de tra,al&o, opo se*ual, entre outros, pelas mesmas raz7es do item anterior` ?ontos de vista controversos _ 1pini7es so,re racismo, religio, vis7es pol)ticas, podem ser usados contra o pr+prio usurio. 1s pontos citados so e*tremamente importantes (uando o assunto 3 proteo de identidade. ?or3m, o foco do artigo de Mattern 3 voltado para rela7es tra,al&istas apenas. Assim, a seguir, 3 discutido como as informa7es e*tra)das de diversos pontos de um perfil social podem comprometer a segurana do usurio. Um 0er)%l so*%al completo do 1r2ut possui locais para o usurio informar desde dados ,sicos so,re sua pessoa como nome, cidade, etc., como tam,3m dados adicionais como gostos pessoais, opo se*ual, local onde mora, endereo do tra,al&o, escolas e cursos (ue j cursou, vis7es pol)ticas e religiosas, entre outras. De posse desses dados, um engen&eiro social gan&a acesso ao )ntimo da v)tima, podendo usar contra elas em ata(ues como phishing e rou,o de identidade. 1 7l"(. de )o$os guarda muito mais informa7es do (ue aparenta. 0)rculo interno de amigos, lugares onde o usurio fre(uenta, local de tra,al&o e &,itos pessoais podem ser deduzidos por um engen&eiro social, colocando em risco a segurana do usurio. A l%s$a de *o.(1%dades a (ual o usurio 3 filiado tam,3m pode oferecer dados importantes so,re a personalidade e os &,itos de um usurio. Uma prtica ,astante comum entre os usurios do 1r2ut, por e*emplo, 3 se afiliar a #comunidades de afirmao$, como foi discutido em seo anterior. Essas comunidades no possuem o prop+sito de grupo de discusso, mas sim afiliar usurios (ue se en(uadram no t)tulo da comunidade. E*emplos como #Eu odeio acordar cedo, Eu adoro 'alada, Eu 'e'o at cair, Eu odeio meu tra'alho, Eu adoro loiras, entre outras, podem oferecer informa7es e*tremamente precisas so,re a personalidade de um usurio. Seus *o.e1$7r%os< "a$e=0a0os e de0o%.e1$os , servem para um engen&eiro social traar uma lista dos amigos )ntimos, marcao de encontros, compromissos e planos futuros

28

da v)tima. 0omo citado na mat3ria dos falsos se(uestradores, a anlise das conversas de um usurio pode servir para planejar um golpe se aproveitando do timing e das informa7es privadas a (ual o engen&eiro teve acesso. Em resumo, um perfil social completo de um usurio fornece a uma pessoa mal intencionada dados suficientes para atrair uma v)tima para um golpe. De posse de informa7es so,re gostos pessoais, &,itos cotidianos, opini7es so,re diversos temas, c)rculo interno de amigos e locais onde o usurio fre(uenta constantemente, um engen&eiro social possui, na ponta dos dedos, todos os dados (ue ele precisa para aplicar um golpe sem se e*por. Um caso noticiado pelo portal =ec&=udo, em jul&o de BCLL, e*emplifica um ata(ue de um engen&eiro social por meio de um site de relacionamento6
#Meorge ;ron2, BD anos, foi condenado a (uatro anos de cadeia por usar o >ace,oo2 para invadir a conta de muitas mul&eres. 1 morador da 0alif+rnia procurava, nos perfis da rede social, por pistas (ue o levassem a desco,rir as sen&as dos emails de suas v)timas. Assim (ue encontrava dados, o hac!er invadia os computadores e procurava por conte.do er+tico. ;ron2 c&egou a enviar imagens das mul&eres a seus maridos, namorados e colegas de tra,al&o. 1 jovem &ac2er fez de v)timas mul&eres em mais de LJ estados dos Estados Unidos.$ A=E0T=UD1, BCLLE.

1utro e*emplo (ue cita as ,rec&as de segurana presente nas redes sociais foi noticiado no jornal /alor Econ4mico em CG\CH\BCLC6
#"ecentemente, a empresa de segurana digital 0&ec2 ?oint fez um teste para medir os riscos das redes sociais. De forma aleat+ria, selecionou uma amostra de usurios do >ace,oo2 para simular um ata(ue de O phishingO. A t3cnica consiste em convidar o usurio a acessar uma pgina falsa 8 por vezes, imitando um site aut-ntico 8, para rou,ar informa7es confidenciais. Depois de criar um perfil falso e an4nimo no >ace,oo2, a empresa distri,uiu um email com uma frase comum nas mensagens de spam ou li*o eletr4nico6 O/en&a ver min&as fotos mais recentesO. 1 resultado mostrou (ue dos BCC usurios do >ace,oo2 (ue rece,eram a mensagem, JL clicaram no endereo. 5sto 3, mais de um tero das pessoas tentaram acessar a pgina, sem ter a menor ideia do (ue se tratava o lin2 ou de (uem era o remetente.$ A;1"MES, BCLCE.

29

Diante dos fatos supracitados, a confiana na segurana das redes sociais faz com (ue os usurios e*pon&am mais do (ue deveriam, se tornando assim, alvos para golpistas (ue usam t3cnicas de engen&aria social para cometer seus crimes. 9o pr+*imo cap)tulo, so descritos como os administradores de segurana das redes sociais tentam impedir esse tipo de ata(ue e (uais as defesas (ue foram criadas nesses sites para diminuir o acesso a informa7es privadas.

30

4. A E>O?U !O DOS PROCESSOS DE SEGURAN A NAS REDES SOCIAIS

A segurana ao acesso a informa7es privadas dos usurios de redes sociais 3 um ponto (ue sofre constante investimento e esforo por trs dos administradores desses sites. Durante a e*panso desses sites, a segurana foi um fator preponderante de evoluo, tendo em vista as constantes ameaas (ue surgia a cada dia. 0omo dito em seo anterior, (uando os sites de relacionamento surgiram, o .nico o,stculo (ue impedia uma pessoa mal intencionada a ter acesso completo aos dados de outro usurio, resumia8se apenas a ser um mem,ro da rede. 1 pr+prio 1r2ut seguia esse paradigma com os seus #convites$. ?ara ser mem,ro da rede do 1r2ut, um usurio precisava ser convidado. 9o &avia acesso livre a (ual(uer pessoa por meio de registro a,erto. ?or isso, partindo do princ)pio (ue algu3m s+ convidaria outra pessoa se ela fosse de confiana, a segurana das informa7es dentro de um perfil social no era alta. =udo mudou com a concorr-ncia e o surgimento de novas redes sociais. Suando o Moogle comprou o 1r2ut, a primeira medida tomada para aumentar o uso da rede social foi a,rir a possi,ilidade de ser mem,ro para (ual(uer usurio (ue tivesse conta no Mmail Aemail da MoogleE. Esse m3todo para aumentar a audi-ncia funcionaria em mo dupla6 de um lado, todos os mem,ros do 1r2ut teriam contas do Mmail e do outro, (ual(uer usurio de Mmail agora podia ser mem,ro do 1r2ut. Esse .ltimo ponto fez com (ue, tecnicamente, o 1r2ut se tornasse a,erto ao p.,lico, sem necessidade de convite. ;astava a,rir uma conta no Mmail e voc- faria parte da rede do 1r2ut. ?ara um p.,lico de mem,ros (ue estavam acostumados apenas com #usurios convidados$ acessando aos seus perfis, essa #en*urrada$ de novos usurios a,riu uma enorme ,rec&a de privacidade e segurana. 1 ha'itat seguro desses usurios comeou a se tornar &ostil. A a,ertura do acesso p.,lico ao 1r2ut coincidiu com o aumento de casos de phishing, rou,o de identidade e (ue,ra de identidade. >oi por meio do aumento dessas ameaas e das e*peri-ncias ,em sucedidas em outras redes sociais, (ue em BCCQ, o 1r2ut implementou um sistema de permiss7es de acessos.

31

Esse sistema de permiss7es 3 padro nas outras redes sociais mais utilizadas, como >ace,oo2 e M!space. Ela se ,aseia na mesma prerrogativa dos sistemas de permiss7es de outras redes utilizadas por um grupo de pessoas6 um usurio s+ tem acesso a determinada informao se for li,erado pelo pr+prio administrador da rede. 9o caso das redes sociais, o #administrador$ 3 o usurio dono da conta. A diferena entre o sistema de permiss7es de redes convencionais para o das redes sociais 3 (ue o n.mero de usurios 3 muito grande para se #administrar$ a n)vel individual. ?or isso, as redes sociais Aincluindo o 1r2utE tra,al&am com essas permiss7es em n)vel de grupo6 =odas as informa7es pessoais, fotos, v)deos e ,ate papos, so dispon)veis para visualizao apenas para outros mem,ros marcados como #amigos$. 1 acesso vai caindo de a,rang-ncia conforme a marcao do mem,ro for caindo de n)vel A#colega$, #con&ecido$, #tra,al&o$, #no con&eo$E. =am,3m 3 poss)vel ao usurio criar grupos espec)ficos, adicionar mem,ros de sua lista nesses grupos e atri,uir permiss7es espec)ficas. ?or e*emplo, um usurio pode criar um grupo c&amado #?arentes$, adicionar todos os mem,ros da sua lista (ue, segundo ele, pertencem a este grupo e ,lo(uear o acesso a fotos (ue so li,eradas, por e*emplo, para o grupo #Amigos Wntimos$. 0omo suporte a este novo sistema de permiss7es, todas as informa7es postadas pelo usurio na rede social tam,3m precisam rece,er uma marcao informando (ue tipo de permisso um mem,ro precisa ter para acessar a(uele post. Ainda seguindo o e*emplo acima, um v)deo marcado com a permisso #apenas para o grupo Amigos Wntimos$ no seria se(uer listado como dispon)vel para os mem,ros do grupo #?arentes$. Al3m do sistema de permiss7es, o 1r2ut implementou o uso de captchas Aconfirmao por escritaE em diversas reas de sua interface. Uma mensagem contendo lin2s e*ternos (ue 3 postada num scrap'oo! de outro usurio ou numa discusso de uma comunidade precisa passar por um captc&a antes de ser enviada. 5sso foi implementado visando reduzir ou a impedir o uso de 'ots Aprogramas de postagem em massaE e de spammers. 1utro uso de captchas visa reduzir os mass friendlers, programas automatizados (ue adiciona amigos a sua lista de forma automtica. A partir do d3cimo convite de amizade lanado por um usurio num curto espao de tempo AGC minutosE, captchas comearam a aparecer em fre(u-ncia maior, re(uerendo uma interao f)sica do usurio. A partir do trig3simo convite lanando em menos de meia &ora, &aver um novo captcha (ue precisar ser confirmado a cada novo convite. ?or .ltimo, dentro das configura7es de segurana do 1r2ut, & a opo de &a,ilitar uma confirmao de email para mem,ros (ue lancem convites de amizade para voc-. 1

32

modelo padro de convite s+ cont3m uma frase6 OZnome do mem,ro[, voc- (uer ser meu amigo no 1r2ut] Ass.6 Znome do usurio[O. 0om essa confirmao &a,ilitada, outro campo aparece em,ai*o do convite o,rigando o mem,ro a informar seu email de contato. 9o pr+*imo cap)tulo, esses sistemas de segurana so analisados com relao % usa,ilidade, clareza e eficcia.

33

8. ESTUDOS DE CASO
1 processo de e*perimentao deste estudo foi feito em duas etapas, am,as de forma relacionada e conse(uencial. A primeira delas se ,aseou na criao de dois perfis falsos dentro da rede do 1r2ut. Am,os os perfis foram utilizados para testar a interao entre dois usurios das mais diversas maneiras, emulando situa7es cotidianas entre dois usurios distintos dentro da rede. Essas situa7es cotidianas envolvem convidar como amigo, enviar mensagens, postar fotos, administrar permiss7es e grupos etc. 1 o,jetivo dessa etapa visou analisar os sistemas de segurana do 1r2ut, sua usa,ilidade, clareza e eficcia. A segunda etapa surgiu como decorr-ncia das fal&as de segurana encontradas na primeira etapa. 1s dois perfis falsos rece,eram atualiza7es para se parecem com perfis verdadeiros de usurios reais. Essas atualiza7es inclu)am a adio de fotos nos perfis, postagens fict)cias marcadas com diversos tipos de permisso, a adio de comunidades relacionadas % personalidade fict)cia desses dois usurios e por fim, o preenc&imento completo do Operfil pessoalO com dados e endereos falsos. Am,os os perfis foram marcados com a sigla "'0 no final dos seus nomes como refer-ncia ao autor deste tra,al&o.

6ig% ;7 .erfil de <.riscila =iranda<, primeiro usurio criado para a e0perimenta+o%

34

1 primeiro perfil mostrado na >igura B, da usuria O?riscila MirandaO Adoravante c&amada de primira";E, foi criado visualizando uma mul&er de BC anos, solteira, estudante, paulista e cat+lica. As comunidades (ue o usurio primira"; participa so6 O9om >o'imO, O=arisa =onteO, OEu usava aparelhosO, O?oveO e O=+e eu te amo muitoYO. 9o seu l,um de fotos & apenas uma foto de O?lutoO, seu cac&orro de estimao.

6ig% @7 .erfil de <Adriano =oraes<, segundo usurio criado para a e0perimenta+o%

1 segundo perfil mostrado na >igura G, do usurio OAdriano MoraesO Adoravante c&amado de adrimoraes";E, foi criado visualizando um &omem de BI anos, solteiro, estudante, paulista e cat+lico. As comunidades (ue o usurio adrimoraes"; participa so6 OEu adoro =cAonaldBsO, OCampimg CrasilO, O6ormula " CrasilO, OCaetano VelosoO e OEscalada e DapelO. 9o seu l,um de fotos & fotos de pessoas praticando rapel e & um v)deo onde supostamente o usurio aparece praticando o esporte. A partir de cada perfil, HC convites de amizade foram lanados para usurios reais do 1r2ut, BH &omens e BH mul&eres de diferentes fai*as etrias. 9o total, LCC convites foram lanados, HC para usurios do se*o masculino e HC para usurios do se*o feminino. 1s convites enviados foram os do modelo padro, informado no cap)tulo anterior. 9o &ouve nen&uma tentativa de facilitar a aceitao de um convite por meio de contatos ou tentativas su,se(uentes. =odos os LCC usurios foram escol&idos aleatoriamente dentro do painel de mem,ros da comunidade O;rasilO. Esta comunidade foi escol&ida por apresentar maior diversidade em

35

usurios de am,os os se*os, fai*a etria, localizao e grau de escolaridade A(uando informadosE. >oi dado um prazo de um m-s para os convites enviados pelos dois perfis serem aceitos ou rejeitados. Ap+s esse prazo, foi feito a ta,ulao das informa7es dispon)veis nos perfis (ue aceitaram o convite. As informa7es analisadas foram6

Per)%s _ 9ome, idade, local de resid-ncia e tra,al&o, estado civil e outros dados pessoais (ue possam oferecem uma identificao positiva de uma pessoa.

+o$os 0essoa%s _ T,itos sociais, amigos )ntimos, parentes, relacionamentos e locais de visita constante, como tra,al&o, escola, local de f3rias.

Co.(1%dades _ Mostos pessoais, &,itos, opo se*ual, locais de visita constante do usurio Aescolas, ,oates, faculdadesE. 0ruzando os dados encontrados com as refer-ncias de perigo a privacidade citadas por

Mitnic2 ABCCDE, Mattern ABCLCE e 'ari,ee ABCCIE, foi criado um Oran2ing de periculosidadeO no (ual cada perfil social foi en(uadrado. Este ran2ing possui uma escala de um a (uatro. 1s n)veis desse ran2ing so e*plicados a,ai*o.

Gra( 1: ?erfis sem nen&uma informao espec)fica so,re o usurio. Dif)cil definir se*o, data de nascimento, local de resid-ncia e\ou tra,al&o.

Gra( &: ?erfis com refer-ncias indiretas so,re gostos pessoais, locais de tra,al&o, resid-ncia ou estudo nas comunidades afiliadas, scrap'oo!s ou l,um de fotos. E*.6 Usurio inscrito em comunidades afirmativas ou possuir fotos (ue referenciem grupos musicais, times de fute,ol, atividades profissionais e\ou atividades de lazer.

Gra( 4: ?erfis com refer-ncias diretas so,re fam)lia, &,itos pessoais, locais de tra,al&o, resid-ncia ou estudo nas comunidades afiliadas, l,uns de fotos e scrap'oo!s. E*.6 al,um de fotos cont3m fotos e informa7es de parentes, fotos de local de tra,al&o, amigos pr+*imos e locais de comum fre(u-ncia.

Gra( 8: ?erfis com dados espec)ficos so,re usurios. E*.6 Sue conten&a endereo residencial, telefone residencial, email pessoal, celular e\ou c+digo de endereo postal As anlises dos resultados das duas fases da e*perimentao so apresentadas nas

pr+*imas se7es.

36

8.1 A17l%se dos s%s$e.as de se-(ra19a dos 0er)%s do Or3($ 0omo dito no 0ap)tulo H, o aumento de pro,lemas com privacidade dos usurios fez com (ue o 1r2ut implementasse diversas medidas de segurana visando a aumentar o controle dos usurios so,re o (ue os mem,ros da rede podem ter acesso nas informa7es postadas por eles. A primeira e mais importante medida de segurana foi o esta,elecimento de permiss7es, gerenciadas pelos pr+prios usurios donos dos perfis. A partir das permiss7es os usurios podem marcar n)veis de acessos diferentes para diferentes grupos de usurios (ue acessam seu perfil pessoal, seu scrap'oo! e seu l,um de fotos. 9os testes realizados para este estudo, verificou8se (ue o sistema funciona sem fal&as. 9o momento (ue um mem,ro rece,e permisso de n)vel suficiente para ter acesso % determinada informao, ela aparece dispon)vel no perfil do usurio. 1 sistema de permiss7es em grupo tam,3m funciona6 fotos, v)deos e outras postagens (ue no so permitidas a um determinado grupo se(uer aparecem como e*istentes no perfil do usurio. R poss)vel possuir um perfil rec&eado de informa7es detal&adas so,re todos os aspectos da vida de um usurio e permitir acesso a essas informa7es a apenas uma pessoa ou a um grupo. R poss)vel inclusive postar informa7es (ue no so acess)veis a ningu3m, a no ser o pr+prio usurio Ao (ue parado*almente vai de encontro % razo pela (ual postar determinada informaoE. 9o entanto, por meio da e*perimentao, foi perce,ido um pro,lema na usa,ilidade de tal sistema6 ele 3 contra intuitivo. Ao inv3s de (uando uma informao nova postada pelo usurio ser marcada com a permisso mais segura, ela aparece, por padro, com uma permisso de grande a,rang-ncia. A opo padro para novas postagens &a,ilita todos os mem,ros na lista de amigos do usurio ter acesso % informao postada. Al3m disso, como mostra a >igura D, a permisso j vem pr38ativada, reduzindo a importNncia dela como ferramenta de uso o,rigat+rio.

37

6ig% E7 E0emplo de permiss+o prFativada e a'rangente%

1 mesmo padro de pr38ativao 3 encontrado no scrap'oo!, nos v)deos e no pr+prio perfil pessoal. 0omo descrito anteriormente, isso 3 contra intuitivo, pois ao inv3s das permiss7es serem restritivas ou dependentes do usurio para marc8las, elas j aparecem pr38 ativadas em um n)vel ,em a,rangente, como est ilustrado na >igura H.

6ig% 87 Outro e0emplo de permiss+o prFativada%

Uma comparao prtica so,re o significado dessa fal&a seria o mesmo (ue em um sistema de usurios da rede de uma empresa, todo novo usurio rece,er a permisso pr38 ativada de Administrador e, s+ por meio da interfer-ncia ativa do responsvel pela rede, a permisso ser alterada para uma menor. Em um cenrio real, 3 e*atamente o contrrio (ue acontece. 1 sistema de captchas tam,3m foi testado e se mostrou eficiente apenas para programas (ue precisam traduzi8los para prosseguir. ?or3m, no caso de uma pessoa real ativamente enviando scraps com lin2s e*ternos ou enviando convites em massa para outros mem,ros, os scraps se tornaram apenas um leve inc4modo. Devido % natureza dos captchas utilizados pelo 1r2ut, eles so de fcil deduo e usam poucas letras, no impedindo (ue uma pessoa real mal intencionada seja atrapal&ada por eles, mas sim, retardada. E*emplo disso 3

38

(ue mesmo com os captchas aparecendo com e*trema fre(u-ncia, os LCC convites de amigos necessrios para a segunda fase da e*perimentao foram enviados em menos de GC minutos. >icou claro ento, nessa primeira fase, (ue as ferramentas passivas de segurana implementadas pelo 1r2ut so eficientes at3 certo ponto. Sem d.vida, um usurio e*terno tentando acessar dados de mem,ros (ue no fazem parte de sua lista de amigos ter pouco sucesso na sua empreitada. 9o entanto, ,asta ser OamigoO de um mem,ro e todos os dados adicionados por ele com a permisso de Ovis)vel para todos os amigosO se tornaro acess)veis. >oi a partir dessa desco,erta (ue a segunda fase dessa e*perimentao foi ,aseada. 8.& A17l%se dos 0er)%s a*essados 0elos (s(7r%os primira12 e adrimoraes12 Apesar de no estar inclu)da no escopo deste estudo, a primeira pergunta respondida depois do t3rmino do prazo de espera para os convites serem aceitos ou rejeitados foi6 (uantas pessoas aceitariam um convite de amizade enviado por um completo estran&o] 0omo mostrado no grfico L, das LCC pessoas (ue rece,eram um pedido de amizade dos dois perfis falsos criados para este e*perimento, HL mem,ros da rede do 1r2ut aceitaram. /ale ressaltar (ue foram enviados apenas convites na sua forma mais ,sica e (ue no foram feitas segundas tentativas. Al3m disso, 3 necessrio informar (ue das LCC pessoas convidadas, apenas LC tin&am &a,ilitado o sistema de confirmao de email citado no 0ap)tulo D.

9os grficos B e G foram separados os mem,ros (ue aceitaram o convite entre os dois usurios Aprimira"; e adrimoraes";E como tam,3m entre &omens e mul&eres.

39

/rios pontos interessantes surgem6 A usuria primira"; o,teve (uase o triplo de convites aceitos em comparao ao usurio adrimoraes";. >oram GJ convites aceitos contra apenas LD, respectivamente. 1utro ponto interessante 3 (ue en(uanto os convites enviados por primira"; foram aceitos de forma (uase e(uivalente entre am,os os se*os Aligeira vantagem das mul&eresE, nos convites enviados por adrimoraes";, o n.mero dos &omens (ue aceitaram convites foi (uase o do,ro. Um .ltimo ponto (ue merece meno 3 o fato de (ue am,os os perfis tiveram mais sucesso em ter seus convites aceitos por mem,ros do mesmo se*o (ue eles.

1 grfico D mostra a distri,uio de fai*a etria entre os usurios (ue aceitaram os convites do perfil primira";. Dentro de um universo de GJ usurios, onze tin&am entre LC a BC anos, sete entre BC a GC anos, nove entre GC a DC anos e seis tin&am mais de DC anos. Suatro perfis pessoais no informavam a idade do usurio.

40

1 grfico H mostra a distri,uio de fai*a etria entre os usurios (ue aceitaram os convites de amizade do perfil adrimoares";. 9o universo de LD usurios, tr-s tin&am entre LC a BC anos, cinco entre BC a GC anos, tr-s entre GC a DC anos e tr-s com mais de DC anos. Em am,os os grficos 3 poss)vel perce,er uma distri,uio &omog-nea das idades, o (ue indica (ue no e*iste um determinante etrio entre os usurios (ue aceitaram os convites de amizade. 1 passo seguinte da e*perimentao foi analisar detal&adamente os HL perfis % procura de informa7es pessoais, dados espec)ficos so,re local de resid-ncia, tra,al&o ou estudo ou outras informa7es privadas (ue, nas mos de um engen&eiro social, poderia ser usado contra os usurios.

1 grfico I mostra o Operfil pessoalO, tam,3m con&ecida como a Ofol&a de rostoO das contas dos HL usurios. Do universo analisado, BB mem,ros ADGKE possu)am o seu perfil preenc&ido de forma completa, contendo informa7es espec)ficas so,re os pontos citados anteriormente com permiss7es a,ertas para Otodos os amigosO. ?or outro lado, os outros BP

41

AHJKE usurios preenc&eram os perfis apenas de forma parcial ou &a,ilitaram permiss7es mais restritivas. Alguns casos merecem meno6 alguns usurios, al3m de preenc&erem completamente os seus perfis, ainda colocaram endereo residencial completo com o n.mero da casa e o 0E?. 1utros usurios tam,3m disponi,ilizaram dados sigilosos como emails pessoais e endereos de contas de ,ate papo. 1utro mem,ro, um jovem de LJ anos, postou seu telefone celular e o da sua resid-ncia. ?or .ltimo, & o caso de um ra,ino, (ue al3m de informar todos os dados citados acima, ainda postou o endereo da sinagoga onde tra,al&a.

9o grfico J 3 poss)vel perce,er (ue ao analisar os l,uns de fotos e v)deos dos HL usurios, JHK deles possu)am algum tipo de foto ou v)deo, ou mesmo suas descri7es, (ue caracterizavam uma ,rec&a de segurana. 9o & casos espec)ficos a serem mencionados, pois todos seguem o mesmo padro6 parentes so nomeados, amigos )ntimos so informados, locais de visitao constante como ,ares, ,oates, faculdades e escolas aparecem em desta(ue. Mesmo (ue os perfis pessoais desses usurios estivessem incompletos, as informa7es e*tra)das das fotos seriam o suficiente para colocar essas pessoas em riscos. 9o grfico Q, 3 poss)vel perce,er (ue uma porcentagem similar de usurios esto com a segurana dos seus perfis comprometidas por meio do e*cesso de comunidades descritivas as (uais so afiliados. Dos HL usurios (ue aceitaram os convites de amizade, DL deles AQCKE so afiliados a comunidades descritivas o suficiente para montar um perfil psicol+gico dessas pessoas. T casos em (ue um .nico usurio 3 afiliado a mais de DCC comunidades, (ue, na grande maioria, so comunidades afirmativas como OEu estudo no Colgio AngloO, O9odo s'ado vou na 'aladaO ou at3 mesmo OEu 'e'o at cairO.

42

?or .ltimo, os HL perfis foram analisados na sua totalidade e foram agrupados por graus de comprometimento segundo o ran2ing ela,orado na metodologia deste estudo.

9este grfico, 3 poss)vel perce,er (ue dos HL usurios (ue aceitaram os convites, apenas LC possu)am um perfil pessoal (ue no oferecesse riscos. Esses perfis possu)am poucas fotos, poucas comunidades afiliadas e poucas informa7es pessoais. ?or outro lado, DL perfis possu)am algum tipo de comprometimento6 tr-s possu)am riscos do Gra( &, por meio do (ual um engen&eiro social pode o,ter informa7es gen3ricas so,re a pessoa. Dezesseis estavam no Gra( 4, no (ual os dados fornecidos indicam locais de estudo, tra,al&o ou resid-ncia, como tam,3m o de parentes e amigos. 9o Gra( 8, no entanto, foi onde se encai*ou (uase metade dos mem,ros convidados ADGKE. Esses perfis ofereciam o maior grau de risco, com informa7es detal&adas so,re endereo residencial, lista de amigos )ntimos, local de tra,al&o, n.meros de telefone e email pessoais.

43

:. CONC?US!O
0omo disse Mitnic2 ABCCDE no seu livro A Arte de Enganar, o pro,lema da engen&aria social 3 dif)cil de ser resolvido pois no est agregado ao c+digo de programao ou ao hard&are da m(uina, mas sim %s fal&as inerentes ao comportamento &umano (ue podem ser e*ploradas. Durante este estudo foi visto (ue a maior parte dos pro,lemas gerados pela engen&aria social nos sites de relacionamento poderia ser evitada se tanto o usurio (uanto a plataforma tivessem, como ponto de partida, a ideia de (ue a segurana das informa7es 3 essencial. R claro (ue e*istem diversos fatores culturais, sociais e tecnol+gicos envolvidos, (ue, apesar de no ser do escopo deste estudo, interferem fundamentalmente na ,usca de uma soluo para o pro,lema. Al3m do mais, como disse o pr+prio Mitnic2, en(uanto o ser &umano for o elo mais fraco da corrente de segurana, a ,rec&a sempre vai e*istir. Segundo o pr+prio autor, Ono e*iste patch para a estupidez &umanaO. ?or mais (ue essa afirmao soe pesada, o fato de ela vir de um dos engen&eiros sociais mais procurados pela pol)cia americana na d3cada de PC faz com (ue ela, pelo menos, merea relevNncia. Apesar de tudo, mesmo (ue seja um fato de (ue a (uesto da engen&aria social 3 um pro,lema sem soluo, durante o desenvolvimento deste estudo, alguns procedimentos e a7es foram perce,idas, (ue, se fossem implementados, poderiam reduzir consideravelmente o pro,lema. Do lado t3cnico da plataforma Aneste caso o 1r2utE, a (uesto da OineficciaO do sistema de permiss7es poderia ser resolvida se o pro,lema da contra intuitividade fosse erradicado. Ao inv3s de ter como pr38definida uma permisso glo,al de grande a,rang-ncia, o ideal seria se as permiss7es viessem com uma a,rang-ncia restrita, ou, mel&or ainda, se a escol&a das permiss7es viesse como um passo su,se(uente ao envio das postagens. 1 fato de usurio participar ativamente do controle de permiss7es reduziria consideravelmente a possi,ilidade de todas as informa7es postadas por um usurio ser de acesso livre a Otodos os amigosO. 1utro ponto dentro da plataforma (ue poderia ser mel&orado 3 a (uesto dos captchas. ?or mais (ue a eficcia deles esteja direcionada aos programas de mensagens em massa, eles deveriam vir acompan&ados de outras restri7es de navega,ilidade para impedir (ue um usurio mal intencionado consiga e*ecutar a7es suspeitas dentro de uma rede. Um e*emplo

44

de uma ao suspeita seria enviar convites para LCC mem,ros de uma .nica comunidade em meia &ora. Um limitador de tempo ou uma limitao de n.mero de amigos por dia atrapal&aria a7es como essa de forma um pouco mais eficaz. R claro (ue nessas Osolu7esO no est sendo levada em conta a (uesto da praticidade ou da facilidade de uso por parte de usurio, nem (uest7es comerciais e de mar2eting como n.mero de usurios e a concorr-ncia com outras redes. 9o entanto, a segurana no deve ser dei*ada para segundo plano em favor de Opraticidade de usoO ou share de mercado. 1 outro lado da moeda, o fator &umano, 3 ,em mais complicado de se resolver. A segunda fase da e*perimentao dei*ou esse pro,lema evidente. Al3m do fato de (ue HCK dos perfis convidados por descon&ecidos aceitaram a solicitao, apenas LC desses perfis estavam livres de (ual(uer comprometimento de informa7es. >icou evidente tam,3m (ue a falta de segurana no atinge especificamente nen&um se*o ou fai*a etria em particular, sendo distri,u)do &omogeneamente entre a maioria dos perfis. 5sso dei*a evidente (ue, independentemente das (uest7es sociais, culturais e econ4micas, o pouco con&ecimento da ferramenta e da tecnologia favorece o aparecimento de fal&as nas mais ,em ar(uitetadas plataformas. 9o ;rasil, esse pro,lema se agrava ainda mais, pois o formato na (ual a incluso digital se ap+ia 3 fundamentalmente material6 os investimentos dos governos se focam apenas em a,rir o acesso da populao aos meios tecnol+gicos, como corte de impostos, a diminuio de preos de e(uipamentos eletr4nicos e a a,rang-ncia da co,ertura de ,anda larga. 9o entanto, pouco 3 visto com relao ao investimento da educao tecnol+gica. 9as escolas onde e*iste instruo na rea de 5nformtica, o foco 3 direcionado a Ocomo a tecnologia funcionaO, mas pouco 3 visto so,re Ocomo usar ,em a tecnologiaO. 1 ;rasil possui JP mil&7es de internautas, (uase metade da populao nacional segundo dados do 5,ope 9ielsen ABCLLE, por3m, poucos desses usurios possuem (ual(uer formao ,sica so,re Segurana da 5nformao. >ica evidente ento (ue, da maneira como se apresenta, a ,atal&a para a proteo de dados privados est fadada ao fracasso. ?or mais (ue certas implementa7es dentro da plataforma sejam necessrias para garantir maior segurana dos dados divulgados, nada disso ir funcionar sem uma participao ativa de todas as esferas da sociedade, sejam elas pol)ticas, educacionais ou familiares.

45

Apesar do processo de incluso digital ter conseguido transformar o ;rasil no (uinto pa)s com o maior n.mero de internautas, nada disso vale se no &ouver uma conscientizao, desde cedo, so,re a necessidade da segurana de dados pessoais. So li7es simples (ue podem ser dadas em sala de aula. 'i7es como Onunca divulgue numa rede de mil&7es de pessoas algo (ue voc- considera privadoO, Onunca pu,li(ue dados espec)ficos so,re sua pessoaO e Onunca, jamais aceite o convite de amizade de uma pessoa (ue voc- nunca viu na vidaO.

46

RE+ER@NCIAS
BDT1"AS9E S. ;andidos usam dados do 1r2ut para planejar falsos se(Uestros. ABCCIE b&ttp6\\:::.BD&orasne:s.com.,r\inde*.p&p]matcLJHDJId Acessado em LB\CQ\BCLL A'EFA.01M, ABCLLE 1r2ut.com Site 5nfo. Estat)sticas de /isitao.

b&ttp6\\:::.ale*a.com\siteinfo\ or2ut.comd Acessado em LH\CQ\BCLL ;A"9ES, Susan ;. ABCCIE. OA privac! parado*6 Social net:or2ing in t&e United StatesO. >irst Acessado em6 LG\CQ\BCLL ;1"MES, Andr3. Molpes da e, Migram para as redes sociais. ABCLCE. /alor Econ4mico. Monda!. b&ttp6\\firstmonda!.org\&t,in\cgi:rap\,in\ojs\inde*.p&p\fm\article\vie:Article \LGPD\LGLB d

b&ttp6\\:::.a,mn.com.,r\img\eventos\pdfBCLC\maioB\MolpesKBCemKBCredes KBCsociais.pdf d Acessado em LD\CQ\BCLL ;1"9A=1/S@5, Eros` S5'/A, ?eterson` 0A"'A, Diane` 0AM5''1, Samuel A.` ?1M;E5"1, 1rlei ABCCIE. 5nvaso de ?rivacidade por meio de "astreamento de 5nformao. Sociedade ?aranaense de Ensino e 5nformtica. ;1eD, Dana&` E''5S19, 9icole ABCCJE. OSocial 9et:or2 Sites6 Definition, Tistor!, and Sc&olars&ipO. ^ournal of 0omputer8Mediated 0ommunication LG. 01''59S, ;rendan ABCCQ.E ?rivac! and Securit! 5ssues in Social 9et:or2ing. >ast0ompan!.com b&ttp6\\:::.fastcompan!.com\articles\BCCQ\LC\social8net:or2ing8 securit!.&tmld Acessado em LH\CQ\BCLL 01MS01"E, 1r2ut 0ontinues to 'eadf;razilgs Social 9et:or2ing Mar2et. ABCLCE. b&ttp6\\:::.comscore.com\?ressfEvents\?ressf"eleases\BCLC\LC\1r2utf0ontinuesftof'ead f;razilfsfSocialf9et:or2ingfMar2etf>ace,oo2fAudiencefMro:sf>ivefoldd, Acessado em CQ\CQ\BCLL. E'@59S, Sara&, ABCCJE. A Social 9et:or2<s >au* ?as]. 9e:s:ee2.com, 9e:s,east. b&ttp6\\:::.t&edail!,east.com\ne:s:ee2\BCCJ\LL\CQ\a8social8net:or28s8fau*8pas.&tmld Acessado em LI\CQ\BCLL.

47

E''5S19, 9., 'AM?E, 0., S=E59>5E'D, 0., h /5=A@, ^. ABCCPE. A net:or2ed self6 5dentit!, communit! and culture on social net:or2 sites. 9e: eor26 "outledge. >E'5==5, Muil&erme. 1r2ut6 as raz7es para o sucesso da rede social do Moogle entre ,rasileiros. ABCCQE. Minist3rio da 0ultura. b&ttp6\\:::.cultura.gov.,r\site\BCCQ\CJ\LC\or2ut8 as8razoes8para8o8sucesso8da8rede8social8do8google8entre8,rasileiros\d LB\CQ\BCLL >1'TA DE Si1 ?AU'1, BCCH. 1r2ut no entende seu sucesso no ;rasil. b&ttp6\\:::L.fol&a.uol.com.,r\fol&a\din&eiro\ultPLuPJQHQ.s&tml d Acessado6 CB\CQ\BCLL. M11D0T5'D, CB\CQ\BCLL. TAU;E9, Mic&ael h TAU;E9, Melinda. =&e 9et and t&e 9etizens. ALPPHE. 0olum,ia Universit!. b&ttp6\\:::.colum,ia.edu\jr&LBC\c&LCI.*CL d Acessado em CL\CQ\BCLL. TU>>A@E", David A.` 0A'/E"= , Sandra '., ABCCHE. #Mender, identit!, and langugage use in teenage ,logs,$ ^ournal of 0omputer_Mediated 0ommunication, Avolume LC, num,er BE, b&ttp6\\jcmc.indiana.edu\volLC\issueB\&uffa2er.&tmld, Acessado em6 LH\CQ\BCLL. @9A??, E. ABCCIE. A ?arentgs Muide to M!space. Da!Dream ?u,lis&ers 'A"5;EE, 'ena. Development of Met&odical Social Engineering =a*onom! ?roject. ABCCIE. 9aval ?ostgraduate Sc&ool. b&ttp6\\facult!.nps.edu\ncro:e\oldstudents\lari,eet&esis.&tmd Acessado em LB\CQ\BCLL. MA==E"9, ^ennifer. H =&ings to @eep 1ff Social 9et:or2ing ?rofiles. ABCLCE. Social 5mplications. b&ttp6\\socialimplications.com\H8t&ings8to82eep8off8social8net:or2ing8profiles8 if8!oull8ever8,e8jo,8&unting8again\ d Acessado em LG\CQ\BCLL M5=950@, @evin. A Arte de Enganar. ABCCDE. ?earson. Lk Edio. "1SE9;'UM, David, ABCCJE. O &at An!one 0an @no:6 =&e ?rivac! "is2s of Social 9et:or2ing Sites,O 5EEE Securit! and ?rivac!, vol. H, no. G. ^oan. ABCLCE. Social Engineering6 =&e ;asics. Data ?rotection. em Acessado em

b&ttp6\\:::.csoonline.com\article\HLDCIG\social8engineering8t&e8,asicsd

Acessado

48

=E0T=UD1, Tomem (ue usou o >ace,oo2 para perseguir mul&eres em LJ estados 3 condenado. ABCLLE b http://www.techtudo.com.br/noticias/noticia/2011/07/homem- ue-usou-o!aceboo"-para-perse#uir-mu$heres-em-17-estados-e-condenado.htm$ d Acessado em LG\CQ\BCLL.

=TE "EM5S=E", 1ffice :or2ers give a:a! pass:ords for a c&eap pen. ABCCGE b&ttp6\\:::.t&eregister.co.u2\BCCG\CD\LQ\officef:or2ersfgivefa:a!fpass:ords\ % Acessado em LB\CQ\BCLL