A IMPORTÂNCIA DA ENGENHARIA SOCIAL NA SEGURANÇA DA INFORMAÇÃO E SUAS APLICAÇÕES-POR BRUNO WILLE

05-06-2014 23:12

               Faculdade de Tecnologia Senac Rio

Pós graduação em Gestão de Segurança nas Organizações

 

 

 

 

 

A IMPORTÂNCIA DA ENGENHARIA SOCIAL NA SEGURANÇA DA INFORMAÇÃO E SUAS APLICAÇÕES

 

 

 

Autor: Bruno Wille

 

 

 

 

 

 

                                               RIO DE JANEIRO

                                           FEVEREIRO  DE 2009

 

 

            Faculdade de Tecnologia Senac Rio

Pós graduação em Gestão de Segurança nas Organizações

 

 

 

 

 

A IMPORTÂNCIA DA ENGENHARIA SOCIAL NA SEGURANÇA DA INFORMAÇÃO E SUAS APLICAÇÕES

 

 

 

 

 

 

Projeto de Monografia apresentado à Faculdade de Tecnologia SENAC, como requisito Parcial para obtenção do título de especialista em Gestão de Segurança nas Organizações.

 

 

                                                 RIO DE JANEIRO

ABRIL DE 2009

 

                                         

 

                                  DEDICATÓRIA

 

 

 

 

 

 

 

 

Aos meus familiares e amigos que tanto me apoiaram nesta jornada,

A Deus, O Grande Criador do Universo.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

                                AGRADECIMENTOS

 

 

 

 

 

 

 

 

Agradeço a todos que direta ou indiretamente, contribuíram para o

Desenvolvimento deste trabalho.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

                                            EPÍGRAFE

 

 

 

 

 

 

 

 

Aqueles que abrem mão da liberdade essencial por um pouco de segurança temporária não merecem nem liberdade nem segurança.

 

Benjamin Franklin

 

 

 

 

 

 

 

 

 

 

 

 

1-Resumo

 

 

 

 

 

 

 

Com o advento da internet há alguns anos, ocorreu uma reviravolta no

formato com que a sociedade em geral lida com a informação. Por outro lado,

paralelamente, veio a necessidade de segurança para a informação transitada

pelas milhões de conexões, transações, e acessos na rede. O surgimento,

desenvolvimento e melhoria dos métodos tecnológicos de segurança da informação

são notáveis, mas não tão eficazes quando lidam com um aspecto humano, a

Engenharia Social. Mesmo com todo um cenário eletrônico-computacional que

uma grande empresa possa ter, ela não estará livre da ação humana interpessoal

pré-existente antes mesmo do nascimento dos computadores.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

SUMÁRIO

 

1. Resumo.

 

2. Introdução a segurança da informação.

2.1. Definições e Conceitos chave, Vulnerabilidades dos Sistemas de

Informação.

 

3. Introdução a segurança da informação.

3.1. Definições e Conceitos chave, Vulnerabilidades dos Sistemas de Informação.

 

 

8. Engenharia Social.

8.1. Tipos de Ataque, Fraudes, Métodos Utilizados.

8.2. Casos Reais.

9. Conclusão

 

10.Referências

 

 

 

 

 

 

 

 

 

  1. iNTRODUÇÃO

 

 

Este trabalho tem o objetivo de esclarecer, discutir e informar que por mais poderosos e bem configurados sejam os Firewalls, Anti- Vírus, passaportes biométricos e toda gama de tecnologias, tudo se mostra totalmente ineficaz a um ataque de engenharia social.

Com as atenções voltadas para ferramentas de novíssima geração, e as preocupações baseadas na infra-estrutura de conectividade, soluç~oes de criptografia, detecção de intrusos, entre outros aparatos tecnológicos, é natural, mas não recomendado que cuidados elementares como os fatores humanos continuam permanecendo em segundo plano

Um dos principais problemas que a segurança da informação deve tratar é o investimento nas pessoas. A cooperação dos usuários é essencial para a eficácia da segurança.Como observou o consultor de segurança Bruce Schneier, "a segurança não é um produto, ela é

um processo". Além disso, a segurança não é um problema para a tecnologia — ela é um problema

para as pessoas e a direção.

A medida que os especialistas contribuem para o desenvolvimento contínuo de melhores tecnologias

de segurança, tornando ainda mais difícil a exploração de vulnerabilidades técnicas, os atacantes

se voltarão cada vez mais para a exploração do elemento humano. Quebrar a "firewall humana" quase

sempre é fácil, não exige nenhum investimento além do custo de uma ligação telefônica e envolve

um risco mínimo.

 

 

 

1. Coleta de informações

Vivemos em um mundo globalizado, a informação está dispersa nos mais variados

meios de comunicação seja ele, impresso, na televisão ou na internet. Este último, pela

sua natureza, consegue abranger todos os setores, todas as classes e culturas. Vivemos

em um momento onde a popularização de blogs, fóruns e principalmente comunidades

sociais é evidente. Nos grandes sites de buscas é possível encontrar respostas para a

grande maioria, senão todas as perguntas do mundo contemporâneo. Dados, a priori,

sigilosos estão completamente expostos na grande rede. Com um simples resultado de

vestibular ou concurso público, é possível descobrir dados pessoais dos participantes,

tais como CPF, RG, e etc. Os dados estão na rede, e mesmo que os próprios sites não

existam mais, eles podem ser arquivados pelos mecanismos de busca, tais como o

Google. Nessa mesma linha vemos que os próprios usuários não medem esforços em

disseminar seus dados pessoais, como nome completo, dos seus familiares, endereço,

gostos musicais, livros e filmes prediletos como em sites de relacionamento como é o

Orkut, do mesmo Google.

A coleta de informações pode ser considerada como o primeiro passo para um

efetivo sucesso de ataque. Já que, conhecendo bem a vítima (sendo ela uma pessoa ou

um sistema) será mais fácil se utilizar de outros meios como a descoberta de senhas

respondendo às perguntas, supostamente secretas. Os usuários mal treinados costumam

cadastrar senhas óbvias como fatos ou dados da sua vida pessoal. Os mais famosos,

amplamente usados, são datas de nascimento, o próprio nome, iniciais, etc. Aliando-se à

fraqueza de segurança no qual os sistemas são implementados, como por exemplo,

permitir que o usuário utilize o seu próprio nome como parte da senha, os que usam da

Engenharia Social, podem facilmente descobrir, redefinir uma senha antes, protegida.

Pela sua essência, a Coleta de Informações vem antes de qualquer tipo de

segurança, uma vez que o local que o indivíduo guarda suas informações pessoais, se

diz respeito exclusivamente a ele. Guardando em local inseguro, como no celular,

agenda ou como em um caderno, afastará a possibilidade de gerência de segurança

oferecida por um sistema tecnológico.

2. Falsa autoridade

A Falsa Autoridade é uma das mais clássicas e simples formas de ataque. Consistindo

na ação em que um indivíduo usa o poder do seu cargo e/ou autoridade para conseguir

informações privilegiadas. Porém, o uso do poder não é executado pelo detentor da

posição, e sim por aquele que se faz passar por ele, um impostor. Usualmente executada

de maneira não pessoal, como telefonemas ou, até por emails, onde o atacante se faz

passar por um gerente, administrador de redes, e que vai até o subordinado á procura da

informação desejada.

Usada em conjunto com a Coleta de Informações, a Falsa Autoridade é muito

forte quando utilizada com usuários despreparados. Pois o atacante já sabe onde agir,

sabe de antemão os pontos fracos, as formas de persuasão que deverão ou não ser

utilizadas a fim de intimidar ou convencer a vítima na execução de tarefas ou na busca

de informações.

3. Falsa autoridade por telefone

Um dos ataques mais comuns hoje em dia é feito por telefone. Pessoas mal

intencionadas se fazem passar por empresas conhecidas e confiáveis, e se aproveitam da

ingenuidade de outras para conseguirem informações importantes. É comum vermos

reportagens onde, por exemplo, uma pessoa liga dizendo que é da operadora de cartão

de crédito, informado à pessoa responsável pelo cartão que ela foi sorteada e para

receber o premio é necessário informar alguns dados, dentre eles, a senha. Algumas

 

 

 

pessoas realmente estão participando de alguma promoção e na euforia nem percebem

que acabam por informar sua senha. Vemos aqui mais uma forma em que a Coleta de

Informações é fundamental para um ataque bem executado.

Outro alvo são os call centers, onde os atendentes são treinados para sempre

falar bem e esclarecer quaisquer dúvidas. É nesse contexto que entra o “hacker”, que

através destas ligações pode conseguir valiosas informações de algum atendente

despreparado pra um ataque desse tipo.

A partir da Coleta de Informações o número de telefone de uma empresa pode

ser facilmente conseguido e conseqüentemente os ramais também. Como algumas

empresas aceitam ligações diretas para os ramais, os “hackers” ligam dizendo ser da sua

empresa, da área de suporte, por exemplo, e acabam conseguindo informações

importantes, tanto sobre as pessoas, quanto sobre a própria empresa.

4. Lixo

Outra forma popular de engenharia social é a coleta de informações através do lixo das

empresas. Isso porque ele pode conter agendas telefônicas, organogramas, calendários

de reuniões, manuais de sistemas, memorandos, relatórios, papéis com login e senha

escritos, dentre outros. Esses materiais provêem diversos tipos de informações

importantes para os “hackers”.

Os organogramas, por exemplo, podem indicar pessoas em posições mais altas

na empresa, facilitando o ataque por Falsa Autoridade, citada no item 2. As agendas

telefônicas indicam os ramais dos funcionários, facilitando o ataque por telefone, citado

no item 3. Os manuais de sistema podem até indicar como acessar informações

importantes da empresa. Por isso, o lixo das empresas constitui uma fonte valiosa de

informação para pessoas má intencionadas.

5. Engenharia social on-line e senhas

Não se pode deixar de falar sobre a engenharia social on-line e senhas. Como dito

anteriormente, no item 1, as informações estão dispersas em diversos meios,

principalmente na internet. Saber escolher uma boa senha, usar a pergunta secreta

corretamente e utilizar diferentes senhas ajuda a reduzir o risco de ataque da engenharia

social on-line.

Um dos principais fatores que contribuem para este tipo de ataque é que os

usuários normalmente usam a mesma senha para quase, senão todos, seus serviços,

sites, entre outros. Portanto, basta o “hacker” descobrir uma senha pra ter acesso a

diversas contas do usuário. E não é difícil conseguir essa senha. O “hacker” pode se

utilizar da resposta de uma pergunta secreta ou até enviando emails falsos para o

usuário, pedindo que o mesmo informe sua senha no email.

Outras formas de realizar este tipo de ataque são as salas de bate papo, onde o

“hacker” se passa por uma pessoa bem intencionada e se aproveita do sentimento alheio.

Também podemos citar o envio de email com vírus que quando instalados no

computador podem captar todo tipo de informação digitada.

6. Eavesdropping

Como diz um ditado popular, “as paredes têm ouvido”. O termo em Inglês pode ser

definido como: ouvir alguém, um grupo, uma reunião secretamente. O atacante que usa

essa técnica, não faz nada mais do que escutar e observar as ações que acontecem em

seu ambiente. Eles observam as discussões que estão ocorrendo, vai tomando nota de

tudo que possa ser útil. Ele tem a vantagem de estar obtendo dados fundamentalmente

reais, uma vez que está capturando direto da fonte. Evidentemente, nem toda escuta

pode ser útil, mas pode facilmente ser utilizada com sucesso juntamente com outras

técnicas de Engenharia Social.

7. Medo

Em se tratando de Engenharia Social jamais podemos esperar que o atacante tenha uma

boa índole. Da mesma forma, não devemos achar que ele se encontra distante da nossa

empresa, do nosso time ou do projeto em que trabalhamos. O ser humano é passível de

erro, todos nós erramos e nem sempre a repercussão de um erro é bem assimilada por

todos. Também, não muito raro, erramos e julgamos que tal problema não merece ser

difundido. Preferimos guardá-lo ao invés de deixá-lo transparente a todos. Porém,

muitas vezes esquecemos que alguém pode perceber esse erro e usá-lo num futuro

próximo para obtenção de informações.

Em um cenário real poderíamos executar alguma ação verdadeiramente proibida

como acessar o setor financeiro do sistema da empresa, ou mesmo bater o ponto de casa

todos os dias através do uso de alguma ferramenta remota. Alguém, descobrindo fatos

como esses, pode muito facilmente lhe enviar um email anônimo, requerendo-lhe

informações privilegiadas como a senha de acesso a alguma área de um sistema

gerenciado. Caso você não o responda, ele lhe entregará. Você não pensa duas vezes, e

fornece a informação requerida. Desse modo, o atacante pode conseguir o que precisa

sem sequer ser reconhecido, de maneira totalmente transparente.

8. Falsa autoridade pessoalmente

Embora mais rara, a falsa autoridade onde uma pessoa se passa por outra fisicamente é

perfeitamente possível. Como simplesmente algum executivo bem trajado indaga sua

secretária alegando que tem uma reunião com seu chefe. A empresa não tem nenhum

dispositivo de cadastro físico, como registro de pessoal de quem acessa o escritório ou

registro via fotos, já muito comum em fábricas. Pela persuasão, o atacante consegue

coletar informações, ou mesmo ter acesso aos interiores do escritório.

Esse tipo de abordagem também pode burlar um verdadeiro aparato tecnológico

instalado em prédios ou empresas. Muitas vezes os atacantes, nesse caso é mais comum

uma ação em grupo, também se utiliza da figura feminina, que a partir das suas

características fenotípicas consegue entrar sem nenhum transtorno. Nesse caso, vemos

claramente que a questão de treinamento é fundamental para o sucesso do sistema

implantado. Uma vez que não adianta investir milhares em equipamentos quando se

esquece do treinamento para usá-lo.

9. Como diminuir o risco?

9.1 Criptografia

O avanço da tecnologia e, por conseguinte, dos sistemas mudaram a forma de troca de

informação entre os setores corporativos. Em empresas maiores é permitido o uso de

programas mensageiros até mesmo em formato corporativo. Quando se usa uma

ferramenta como essa, pouca gente toma nota do que está ocorrendo. A grande maioria

dos softwares mais utilizados não oferece uma forma de criptografar as mensagens.

Desse modo, toda a conversa está trafegando livremente pela rede interna da empresa. A

simples instalação de um analisador de pacotes, conhecido como sniffer, pode

interceptar as conversas em formato de texto. Percebe-se que não é necessário ser um

perito em informática para conseguir informações privilegiadas. O uso de criptografia

pode facilmente impedir esse acesso oculto. Por outro lado podem surgir outros

problemas dependendo da forma que os são encriptados.

Uma solução aceitável é o desenvolvimento de criptografia baseada em chaves

público-privadas. Cada participante, ou seja, cada usuário do programa mensageiro teria

uma chave pública que seria distribuída para todos os demais, enquanto a chave privada

deve ser conhecida apenas pelo seu dono.

Usando um algoritmo de criptografia, uma mensagem que é criptografada com a

chave pública pode somente ser decifrada pela sua chave privada correspondente. Do

mesmo modo, uma mensagem cifrada com a chave privada pode somente ser decifrada

pela sua chave pública correspondente.

Isso garantiria você ter certeza que está falando com o seu amigo de trabalho e

ainda saber que sua conversa está oculta. Pois mesmo que o atacante capture os dados

via rede, não teria como decifrá-los uma vez que não possui a chave privada.

Porém, esse método nos remete a uma questão: como, e onde guardar a chave

privada? Esses programas muitas vezes utilizam de uma senha pessoal para acesso. Um

atacante pode primeiramente coletar informações sobre a vítima. Uma vez coletada, ele

parte para um ataque no sentindo de adivinhar a senha da vítima. A vítima, mal treinada,

define sua senha, dica de senha, resposta da pergunta de redefinição de senha como

sendo uma informação óbvia. Muitas vezes não é culpa dela, pois os próprios sistemas,

algumas vezes não permitem que os usuários definam suas próprios perguntas/respostas

secretas. O atacante consegue redefinir a senha, efetua o acesso no programa

mensageiro em qualquer máquina.

Depois disso, utilizando de Falsa Autoridade, conversa com a vítima e a envia

outra chave pública (pois a anterior estava na estação de trabalho do usuário com a

senha roubada). A vítima não percebe aceita e conversa naturalmente com o atacante.

Agora, além de ver com os próprios olhos a conversa, pode o atacante interceptar os

dados via rede e decifrar-los. Desse modo, o esquema de criptografia adotado foi

vencido.

Isso não significa que o formato utilizado não seja eficaz. Para melhorar a

segurança, uma boa idéia já em uso, é a utilização de um token junto com a senha. Esse

mecanismo consiste em um dispositivo físico que fica com o detentor das chaves e

muda periodicamente. Quando o usuário partir para sua autenticação do sistema ele teria

que informa sua senha e também um número randômico gerado pelo token. Agora nesse

caso só com um roubo permitiria um atacante um sucesso, pois sequer ele poderia logar

no sistema.

9.2 Segurança

Apesar de todos os ataques vistos, onde os mesmos não dependem de toda segurança

lógica e física adotadas pelas empresas, é possível diminuir o risco com educação,

treinamentos pessoais. O primeiro passo é fazer com que segurança seja um assunto

onde todos os funcionários se preocupem e procurem ficar atentos no desenvolvimento

de qualquer sistema.

Através da educação, os funcionários podem perceber a importância da

segurança da informação e que existem pessoas preparadas para se beneficiar de

qualquer fragilidade apresentada pelos sistemas. É importante apresentar os dois lados

da história, a respeito de segurança computacional. Dessa maneira, as pessoas são

menos suscetíveis a serem dissuadidas de sua posição, e estando elas envolvidas com

segurança, essa posição é estar do lado da segurança dos seus dados.

Existem outros tipos de cuidado, mas que são mais desprezíveis pelas pessoas. A

capacidade de lidar com estresse e autoconfiança são alguns exemplos. Pessoas menos

submissas tendem a lidar melhor com estresse e possuem razoável autoconfiança. Lidar

com estresse e autoconfiança, são habilidades que podem ser ensinadas, ou pelo menos,

melhoradas. Treinamentos desse tipo são usados para melhorar a conduta, auto estima,

dentre outras qualidades, das pessoas.

Também é importante para as empresas manter seus funcionários atualizados e

principalmente estimulados. Funcionários desestimulados são um grande perigo para a

segurança dos dados. Isso porque eles passam a não se preocupar mais com a empresa e

num momento de raiva podem acabar divulgando senhas, brechas ou até mesmo

excluindo dados importantes.

Conclusão

A segurança da informação deve estar sempre em primeiro plano, tanto segurança física

quanto lógica. Porém, a engenharia social se concentra no lado mais fraco dos sistemas

computacionais, os seres humanos. Somos suscetíveis a erros.

Talvez por não vermos os bits e bytes sendo transferidos e não percebermos que

pessoas podem estar de olho em nossas informações, acabamos não dando valor a

pequenas atitudes. Estas atitudes podem ser desde a definição de uma senha forte à

omissão de certos dados em redes sociais, por exemplo.

Existem vários tipos de ataques. Para cada um deles, existe uma forma de se

prevenir. Mas todas as pessoas, sem exceção, são alvos potenciais desse tipo de ataque,

ou seja, não existe um grupo específico que seja alvo. Por isso, não há como afirmar que

nossos dados estarão sempre seguros. As empresas podem diminuir o risco treinando

seus funcionários. Já para outras pessoas, é necessário cuidado, conscientização e

informação. O uso bem feito da informação é o que faz a diferença.

Referências

BRENNER, Susan “The Psychology of Social Engineering”

POPPER, Marcos Antônio e BRIGNOLI, Juliano Tonizetti “Engenharia Social, um

perigo eminente” – Instituto Catarinense de Pós Graduação - ICPG

GRANGER, Sarah “Social Engineering Fundamentals, Part I: Hacker tatics” –

http://online.securityfocus.com/infocus/1527.

GRANGER, Sarah “Social Engineering Fundamentals, Part II:

 

 

 

 

 

 

 

 

 

 

  1. SCHNEIEIER, Bruce, Segurança.Com, -ed campus 2001
  2. GOMES, Olavo. Segurança Total- Ed. Makron 2000
  3. NBR ISSO/IEC 17799:2001 da ABNT –Publicada em Agosto de 2001 e válida desde 30/09/2001
  4. MITNICK, Kevin D. & SIMON, Wiliam L. – A arte de Enganar. – Ed Makron Books
  5. SPINETTI, Leonardo – Inteligência nas Empresas- Ed rio
  6. ULBRICH,Henrique César- Universidade Hacker- Ed. Digerati
  7. OLIVEIRA,Wilson José- Dossiê Hacker -Ed. Digerati
  8. CARDOSO,Alberto - Os 13 Momentos da Arte da Guerra – Ed. Record
  9. TZU,Sun – A Arte da Guerra – Ed Record
  10. MITNICK, Kevin D. & SIMON, Wiliam L. – A arte de invadir. – Ed Makron Books

 

  1. Outras Normas Brasileiras sobre Segurança da Informação e legislação pertinente.