Blog do faraohh

Assuntos diversos, inclusive tecnologia.

Engenharia Social

with one comment


1. Introdução

Esse artigo busca mostrar ao leitor os problemas e as soluções para os possíveis ataques de engenharia social, levando à reflexões sobre a real ameaça que esse tipo de invão pode causar.

Por mais extraordinário que possa parecer, o método mais simples, mais usado e, infelizmente, mais eficiente de se descobrir uma senha é perguntando. Basta alguém de boa lábia perguntar a um colaborador despreparado que a possibilidade de se obter com sucesso é quase certa, com essa destreza e enganando, é possível ter acesso a sistemas, controlar, escalar privilégios e causar muitos problemas.

Nos próximos capítulos você irá enteder como toda essa engenharia funciona, suas técnicas e porque ela é tão usada, é um tema indiscutivelmente apropriado para analistas de segurança, curiosos e usuários como forma de prevenção e esclarecimento.

2. A Engenharia Social.

2.1 O Conceito.

O conceito de engenharia social traduz a ação de uma pessoa mal intencionada se passar por uma ou mais pessoas, enganando os colaboradores de uma organização. Para poder fazer um “teatro” convincente, esta pessoa utiliza informações (nomes de usuários, administrador,

etc.) coletadas previamente. Com isto consegue obter informações privilegiadas (ex: senhas), ou induzir pessoas a executar ações que enfraqueçam a segurança, executando programas maliciosos, que finge realizar uma certa tarefa, e secretamente realiza uma outra tarefa, espondo seus sistema à usuários sem permissão.

2.2 Entendendo a Engenharia Social

Um aspecto relevante da engenharia social compreende a inaptidão dos indivíduos manterem-se atualizados com diversas questões pertinentes a tecnologia da informação, além de não estarem conscientes do valor da informação que eles possuem e, portanto, não terem preocupação em proteger essa informação. É importante salientar que, independente do hardware, software e plataforma utilizada, o elemento mais vulnerável de qualquer sistema é o ser humano, o qual possui traços comportamentais e psicológicos que o torna susceptível a ataques de engenharia social. Dentre essas características, pode-se destacar:

* Vontade de ser útil: O ser humano, comumente, procura agir com cortesia, bem como ajudar outros quando necessário.

* Busca por novas amizades: O ser humano costuma se agradar e sentir-se bem quando elogiado, ficando mais vulnerável e aberto a dar informações.

* Propagação de responsabilidade: Trata-se da situação na qual o ser humano considera que ele não é o único responsável por um conjunto de atividades.

* Persuasão: Compreende quase uma arte a capacidade de persuadir pessoas, onde se busca obter respostas específicas. Isto é possível porque as pessoas têm características comportamentais que as tornam vulneráveis a manipulação.

2.3 Técnicas

A maioria das técnicas de engenharia social consiste em obter informações privilegiadas enganando os usuários de um determinado sistema através de identificações falsas, aquisição de carisma e confiança da vítima. Um ataque de engenharia social pode se dar através de qualquer meio de comunicação. Tendo-se destaque para telefonemas, conversas diretas com a vítima, e-mail, internet e outros. Algumas dessas técnicas são:

2.3.1 Vírus que se espalham por e-mail

Criadores de vírus geralmente usam e-mail para a propagar de suas criações. Na maioria dos casos, é necessário que o usuário ao receber o e-mail execute o arquivo em anexo para que seu computador seja contaminado. O criador do vírus pensa então em uma maneira de fazer com que o usuário clique no anexo. Uma dos métodos mais usados é colocar um texto que desperte a curiosidade do usuário.

O texto pode tratar de sexo, de amor, de notícias atuais ou até mesmo de um assunto particular do internalta. Um dos exemplos mais clássicos é o vírus “I Love You”, que chegava ao e-mail das pessoas usando este mesmo nome. Ao receber a mensagem, muitos pensavam que tinham um(a) admirador(a) secreto(a) e na expectativa de descobrir quem era, clicavam no anexo e contaminam o computador. Repare que neste caso, o autor explorou um assunto que mexe com qualquer pessoa.

Alguns vírus possuem a característica de se espalhar muito facilmente e por isso recebem o nome de worms (vermes), problemas comumente notados em ambiente Microsoft Windows.

Aqui, a engenharia social também pode ser aplicada. Imagine, por exemplo, que um worm se espalha por e-mail usando como tema cartões virtuais de amizade. O internauta que acreditar na mensagem vai contaminar seu computador e o worm, para se propagar, envia cópias da mesma mensagem para a lista de contatos da vítima e coloca o endereço de e-mail dela como remetente. Quando alguém da lista receber a mensagem, vai pensar que foi um conhecido que enviou aquele e-mail e como o assunto é amizade, pode acreditar que está mesmo recebendo um cartão virtual de seu amigo. A tática de engenharia social para este caso, explora um assunto cabível a qualquer pessoa: a amizade.

2.3.2 E-mails falsos (spam)

Este é um dos tipos de ataque de engenharia social mais comuns e é usado principalmente para obter informações financeiras da pessoa, como número de conta-corrente e senha. Neste caso, o aspecto explorado é a confiança. Boa parte dos criadores desses e-mails são criminosos que desejam roubar o dinheiro presente em contas bancárias. Porém, os sistemas dos bancos são muito bem protegidos e quase que invioláveis.

Para o cracker é inviável tentar burlar a seguranças dos sistemas bancários, é mais fácil ao criminoso tentar enganar as pessoas para que elas forneçam suas informações bancárias. A tática usada é a seguinte: o criminoso adquire uma lista de e-mails usados para spam que contém milhões de endereços, depois vai a um site de um banco muito conhecido, copia o layout da página e o salva em um site provisório, que tem a endereço semelhante ao site do banco. Neste site, ele faz uma cópia idêntica a do banco e disponibiliza campos específicos para o usuário digitar seus dados confidenciais. O passo seguinte é enviar um e-mail à lista adquirida usando um layout semelhante ao do site. Esse e-mail é acompanhado por um link que leva ao site falso.

Para fazer com que o internauta clique no link, o texto da mensagem pode, por exemplo, sugerir uma premiação: “Você acaba de ser premiado com 10 mil reais. Clique no link para atualizar seu cadastro e receber o prêmio”. Como a instituição bancária escolhida geralmente é muito conhecida, as chances de que o internauta que recebeu o e-mail seja cliente do banco são grandes. Assim, ele pode pensar que de fato foi o banco que enviou aquela mensagem, afinal, o e-mail e o site do link tem o layout da instituição. Como conseqüência, a vítima ingenuamente digita seus dados e dias depois percebe que todo o dinheiro da sua conta sumiu.

A forma utilizada para convencer o usuário a fazer isso é uma tática de engenharia social.

3. Estudo de Caso

Mitnick, hacker mais famoso da história, volta à internet. [1]

Com um gesto quase prosaico, um dos bloqueios mais marcantes da história da internet: em 21 de janeiro, encerrou-se o prazo de liberdade condicional do hacker Kevin Mitnick, 39, que já foi considerado pelo governo dos EUA “o criminoso de informática mais perigoso de todos os tempos”.

Depois de invadir uma série de redes de computadores, inclusive as de grandes empresas de software e hardware e de uma agência de espionagem norte-americana, passar vários anos preso e sofrer restrições profissionais, Mitnick finalmente obteve autorização para acessar a internet.

Ele não comentou seus planos imediatos, mas sua namorada, a jornalista de tecnologia Darci Wood, declarou que o primeiro site a ser acessado pelo hacker seria o dela, um blog (diário virtual) cujo endereço é http://www.labmistress.com/lmblog/girlgeek.

Embora tenha sido capturado várias vezes nos anos 80, Mitnick sempre voltou a praticar invasões, em parte aproveitando as penas relativamente pequenas que recebeu. Mas, em 1994, ele foi finalmente derrotado: numa atitude que poderia ser considerada audaz para qualquer outro hacker, mas que para ele era até banal, invadiu os PCs do cientista e especialista em segurança Tsutomu Shimomura, que estava ganhando fama por sua colaboração com o governo dos EUA.

A caçada cibernética que se seguiu foi a desgraça de Mitnick: depois de algumas semanas, Shimomura e o FBI conseguiram localizar o hacker, que foi preso num apartamento alugado em Raleigh, na Carolina do Norte.

Naquela vez, as autoridades norte-americanas não deixaram barato: Mitnick ficou detido entre 1995 e 2000 sem julgamento, o que causou revolta entre seus fãs e ajudou a alimentar o mito do hacker na internet, que chegou a servir como meio para arrecadação de fundos para a defesa legal de Mitnick.

O Departamento de Justiça dos EUA diz que Mitnick causou prejuízos de US$ 1 milhão, mas os promotores que o acusaram falam em US$ 300 milhões, sem revelar mais detalhes.

Embora Mitnick fosse capaz de feitos tecnológicos consideráveis (como manipular redes de telefonia celular para acessar a internet sem ser detectado), sua principal estratégia para invadir computadores foi o que ele chama de “engenharia social”, ou seja, enganar funcionários de empresas de informática para conseguir senhas e contas de acesso.

Filho de pais separados, Mitnick cresceu em Los Angeles, na Califórnia, sem muitos recursos financeiros -a mãe começou a trabalhar como garçonete após o divórcio, que aconteceu quando o filho tinha três anos. Na adolescência, o hacker praticou seu primeiro truque: usando um furador de papel, descobriu como fraudar bilhetes de ônibus para viajar sem comprar passagens.

Embora tenha acessado redes altamente confidenciais, Mitnick não manifesta a agressividade muitas vezes associada aos invasores digitais: em sua trajetória, a destruição de arquivos alheios é uma atitude bastante rara. “Eu nunca danifiquei intencionalmente nenhum dos computadores que invadi”, afirma.

Mas a compulsão por acessar sistemas proibidos é uma constante na vida do hacker. Um exemplo: sua ex-mulher, Bonnie Vitello, era uma funcionária da companhia telefônica General Telephone que o ajudou a praticar invasões. Em 1987, quando namoravam, ambos foram presos pelo FBI. Bonnie acabou sendo liberada e se casou com o hacker poucos meses depois.

O hacker não se diz arrependido. No primeiro capítulo de seu livro, que pode ser consultado na internet, ele afirma: “O que fiz não era nem ilegal quando comecei, mas se tornou crime depois que nova legislação foi aprovada”. “Eu continuei mesmo assim.”

Ele aponta a “diversão” como principal motivo de suas ações: “Na verdade, tudo foi para saciar minha curiosidade, ver o que eu podia fazer e obter informações secretas sobre tudo o que me interessasse”. “De um menino que gostava de brincar com mágica, transformei-me no hacker mais famoso do mundo.”

4. Conclusão

Atualmente, informação constitui um bem de suma importância para as organizações dos mais variados segmentos.

A Internet popularizada ao longo dos anos 90 permitiu a troca e disponibilidade de informações por meio da WWW (World Wide Web). Outros mecanismos de comunicação e troca de informações como correio eletrônico também têm proporcionado benefícios no uso profissional e pessoal.

Informação compreende qualquer conteúdo que possa ser armazenado ou transferido de algum modo, servindo a determinado propósito e sendo de utilidade ao ser humano. Dentro do universo de informações, muitas delas têm valor pessoal ou mesmo organizacional.

Na grande maioria das situações, usuários de informações desconhecem seu valor e pode colocar a si ou uma instituição numa condição vulnerável, principalmente, quando diante de um engenheiro social, conforme abordado neste artigo.

5. Agradecimentos

A todas as fontes de informação que tornaram possíveis a criação desse artigos e a todos os incansáveis profissionais que buscam tornar os meios de comunicação mais viáveis, éticos e alcançáveis a todas a classes sociais.

6. Outras Informações

Um filme interessante que mostra exemplos de uso de Engenharia Social é Prenda-me se for capaz, dirigido por Steven Spielberg e estrelado por Leonardo DiCaprio e Tom Hanks. O filme retrata a história de Frank W. Abagnale, ex-fraudador e especialista em combate à falsificação, desfalques e documentos seguros. Uma entrevista com Abagnale pode ser lida em [2].

Um livro que pode também ser útil para maior compreensão do assunto é “The Art of Deception” (editado no Brasil com o nome de “A Arte de Enganar”), de autoria de Kevin Mittnick e William Simon. Já o livro “Cuckoo’s Egg: tracking a spy through the maze of computer espionage”, de Cliff Stoll trata da mesma temática em forma romanceada.[3]

7. Referências Bibliográficas

Wikipedia, URL: http://pt.wikipedia.org/wiki/Engenharia_social – Acesso em: 10/10/2006 ãs 16:50 hs

Espaço Acadêmico. URL: http://www.espacoacademico.com.br/043/43amsf.htm – Acesso em: 10/10/2006 às 16:32 hs

Info Wester, URL: http://www.infowester.com/col120904.php – Acesso em: 10/10/2006 às 17:09 hs

[1] GARATTONI BRUNO, Folha de São Paulo. 22/01/2006.

[2] http://www.codin.rn.gov.br/noticias.asp?idnoticia=5956 – Acesso em: 11/10/2006

[3] http://pt.wikipedia.org/wiki/Engenharia_social – Acesso em 11/10/2006

Outras inforamções

Você pode baixar o artigo em formato pdf em Artigo Engenharia Social

Written by Marcello Moura

04/01/2010 às 13:21

Publicado em geral

Tagged with , ,

Uma resposta

Subscribe to comments with RSS.

  1. Muito bom, artigo abordando bastante coisa sobre engenharia social, ela realmente e um perigo grande para empresas que não capacitam seus funcionários para liderem com ataques de seing.

    Esse artigo e uma excelente leitura complementar para o tema abordado no seu texto.

    http://0fx66.com/blog/pentest/entendo-a-engenharia-social/

    []’s

    VonNaturAustreVe

    01/03/2010 at 11:44


Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: