Engenharia Social Explorando o elos mais fraco

Aguinaldo Fernandes Rosa

Curso de Ps-graduao Lato Sensu em Gesto da Segurana da Informao em Redes
de Computadores Faculdade de Tecnologia SENAI Florianpolis
Rodovia SC 401, 3730 Saco Grande Florianpolis SC Brasil
agfero@gmail.com
Resumo: Com o advento da internet e a necessidade do uso da tecnologia
crescendo exponencialmente nas organizaes, as empresas esto investindo
muito na modernizao de seus parques tecnolgicos e esto deixando de lado
o fator humano. A engenharia social que consiste numa srie de tcnicas
utilizadas a fim de obter acesso e informaes importantes ou sigilosas em
organizaes ou sistemas por meio da enganao ou explorao da confiana
vem para explorar justamente esta vulnerabilidade deixada pelas empresas.
Esta resenha crtica vem apresentar a idia de alguns autores sobre os
conceitos, tcnicas de ataque, formas de preveno, plano de resposta de
incidentes entre outros, sobre a engenharia social.
1 Introduo
Este trabalho tem o objetivo de discutir, esclarecer e informar que por mais
poderosos e bem configurados os firewalls, ids, passaportes biomtricos e toda gama de
tecnologias, tudo se mostra ineficaz a um ataque de engenharia social bem feito.
Com as atenes voltadas para consoles de administrao de ferramentas de
novssima gerao, e as preocupaes baseadas na infra-estrutura de conectividade,
solues de criptografia, deteco de intrusos, entre outros aparatos tecnolgicos,
natural, mas no recomendado, que cuidados elementares com os fatores humanos
permaneam em segundo plano.
Um dos principais problemas que a segurana da informao deve tratar a
segurana em pessoas. A cooperao dos usurios essencial para a eficcia da
segurana. Eles exercem um forte impacto sobre a confidencialidade, a integridade e a
disponibilidade da informao, pois, por exemplo, o usurio que no mantiver a
confidencialidade da senha, no evitar o registro da mesma em papis que no esto
guardados em locais seguros, no utilizar senhas de qualidade ou ainda que compartilhe
senhas individuais, compromete a segurana da informao.
Neste trabalho sero discutidos os diversos pontos de vista dos autores sobre a
engenharia social. Os autores resenhados foram Saran Granger, que escreveu o artigo
Social Engineering Fundamentals, Part I: Hacker Tactics, Rafael Cardoso dos Santos,
que escreveu o artigo Engenharia Social: Fortalecendo o elo mais fraco, Malcolm
Allen, com o artigo Social Engineering: A Means to violate a Computer System,
Marcelo Coradassi Eiras, com a monografia Engenharia social e Estelionato
eletrnico, e Kevin Mitnick que escreveu o livro A arte de enganar.
2. Reviso Bibliogrfica
2.1 Segurana da Informao
A Segurana da Informao est relacionada com a proteo existente ou
necessria sobre dados que possuem valor para algum ou uma organizao. Possui
aspectos bsicos como confidencialidade, integridade e disponibilidade da informao
que nos ajuda a entender as necessidades de sua proteo. Por esses e outros motivos,
antes de qualquer coisa, todos os usurios devem saber o que a informao para sua
empresa, qual a sua importncia e por que a segurana da informao fundamental.
A segurana da informao pode ser caracterizada pela preservao de trs
fatores:
Confidencialidade: Garantia de que a informao acessvel somente por pessoas
autorizadas a terem acesso;
Integridade: Exatido, completeza da informao e dos mtodos de processamento;
Disponibilidade: Garantia de que os usurios autorizados obtenham acesso
informao e aos ativos correspondentes sempre que necessrio.
A informao um ativo que, como qualquer outro,
importante para os negcios, tem um valor para a organizao.
A segurana da informao protege a informao de diversos
tipos de ameaas para garantir a continuidade dos negcios,
minimizar os danos ao negcio e maximizar o retorno dos
investimentos e as oportunidades de negcios.
(NBR ISO/IEC 17799:2001, pg. 2)
2.2 Engenharia Social
A arte de trapacear, construir mtodos e estratgias de enganar em cima de
informaes cedidas por pessoas ou ganhar a confiana para obter informaes, so
aes antigas, oriundas dos tempos mais remotos, ganharam um novo termo:
Engenharia Social.
Engenharia por que constri, em cima de informaes, tticas de acesso a sistemas e
informaes sigilosas, de forma indevida. Social por que se utiliza de pessoas que
trabalham e vivem em grupos organizados.
Podemos dizer que a engenharia social um tipo de ataque utilizado por
hackers, onde a principal arma utilizada a habilidade de lidar com pessoas,
induzindo-as a fornecer informaes, executar programas e muitas vezes, fornecer
senhas de acesso.
Dentre as vrias formas de furto de informaes da engenharia social, em
Mitnick (2003) destaca-se:
[...] Em vez de ficar se descabelando para encontrar uma falha
no sistema, o hacker pode largar no banheiro um disquete
infectado, com o logotipo da empresa e uma etiqueta bem
sugestiva: 'Informaes Confidenciais. Histrico Salarial 2003'.
provvel que algum o encontre e insira na mquina.
O ataque do engenheiro social pode ocorrer atravs de um bom papo, numa mesa
de bar, ao telefone ou, em casos mais sofisticados, atravs da seduo. O sucesso deste
ataque est no fato de o usurio abordado nem sequer se dar conta do que acabou de
acontecer.
2.2.1 Tcnicas de Ataque
As tcnicas mais costumeiras, que podem ser usadas de maneira individual ou
combinadas, so: [1].
Contatos telefnicos, simulando atendimento de suporte ou uma ao de
emergncia;
Contato atravs de e-mail, atuando como estudante com interesse em pesquisa
sobre determinado assunto ou como pessoa com interesse especfico em assunto
de conhecimento da vtima;
Contato atravs de ferramentas de Instant Messaging (Yahoo Messenger, MS
Messenger, Mirabilis ICQ, etc), simulando pessoa com afinidades coma vtima;
Obteno de informaes vazadas por parte da administrao de rede e
funcionrios em geral em listas de discusso ou comunidades virtuais na
Internet, o que motivaria tambm um contato posterior mais estruturado;
Uso de telefone pblico, para dificultar deteco;
Varredura do lixo informtico, para obteno de informaes adicionais para
tentativas posteriores de contato;
Disfarce de equipe de manuteno;
Visita em pessoa, como estudante, estagirio ou pessoa com disfarce de
ingenuidade.
2.2.2 Formas de Preveno
Humanos so imperfeitos e situaes de risco modificam os comportamentos
naturais e decises sero fortemente baseadas em confiana ou grau de criticidade da
situao.
Em funo desses fatores, sempre existiro brechas em seu carter ou
comportamento pouco consciente com relao segurana, onde a Engenharia Social
poder ser plenamente eficaz, segundo Mitnick (2003):
[..] A verdade que no existe tecnologia no mundo que evite o
ataque de um engenheiro social.
Para minimizao dessas brechas, algumas medidas podem ser tomadas[1]:
Implementao de uma Poltica de Segurana na organizao, e sua ampla
divulgao;
Conscientizao especfica dos funcionrios em geral no que se refere s
ameaas associadas Engenharia Social;
Classificao das informaes e armazenamento das informaes conforme
o nvel definido para seu acesso;
Implementao de mecanismos de segurana fsica (ex: circuitos de
televiso, mecanismos de biometria ou smart cards, nveis diferenciados de
acesso);
Monitorao constante da utilizao de mecanismos de acesso a reas
crticas, centrais telefnicas internas, entre outros;
Identificao visual e com verificao de documento fsico dos visitantes e
prazo de expirao do crach fornecido;
Acompanhamento de visitantes s instalaes da empresa por funcionrio
custo diante, sem excees;
No manuseio de informaes corporativas fora dos permetros da empresa,
sobretudo em conversas (reais e virtuais);
No fornecimento de informaes de cunho pessoal ou secreto (ex: senhas,
telefones de acesso restrito), com cuidados especiais em ambiente de call
center e help-desk. Caso necessrio fornea apenas detalhes incompletos (ex:
nome, mas no sobrenome, atividade genrica desempenhada);
Remoo de evidncias visuais de informaes sigilosas (endereos de
mquinas, senhas de acesso, nmeros de telefone restritos), em qualquer
ambiente;
Proteo do lixo informtico, com cuidados especiais em tritur-lo;
Implementao de regras de descarte de informaes armazenadas em
quaisquer meios (papel, mdias magnticas).
2.3 Artigos e livros Analisados
2.3.1 Social Engineering Fundamentals, Part I: Hacker Tactics
Neste artigo a autora Saran Granger comea dando uma definio de engenharia
social e dizendo que a meta de um hacker obter a informao que o permitir ganhar
acesso no autorizado a um sistema e a informao que nele residem. Ela define alguns
tpicos do processo da engenharia social e explana mais detalhadamente como cada um
deles pode ser usado.
Para Saran Granger nenhum artigo sobre engenharia social pode ser considerado
completo sem mencionar o notrio Kevin Mitnick e conclui o seu artigo com uma
citao do mesmo que diz o seguinte: Voc poderia gastar uma fortuna na compra de
tecnologia e servios... e sua infra-estrutura ainda assim permaneceria vulnervel a um
ataque de engenharia social.
2.3.3 Engenharia Social: Fortalecendo o elo mais fraco
Os ataques de engenharia social so muito freqentes, no s na Internet, mas no
dia-a-dia das pessoas. Rafael Cardoso dos Santos que consultor de segurana da
Modulo Security destaca neste artigo as principais formas de preveno contra as
tcnicas de engenharia social. Ele comea citando que a segurana da informao
sempre associada a uma corrente e a escolha do elo mais fraco desta corrente uma
unanimidade: o usurio. Destaca tambm que para conseguir a faanha de fortalecer o
elo mais fraco devemos recorrer norma ISO/IEC 17799:2001, destacando alguns
controles considerados essenciais para isto.
2.3.2 Social Engineering: A means to violate a computer system
Este artigo escrito por Malcolm Allen est disponvel no site do Sans Institute e
tambm relata os vrios mtodos que a engenharia social utiliza para tentar quebrar as
defesas de segurana da informao de uma organizao. Ele tambm demonstra
claramente o ciclo de ataque de um engenheiro social, conforme figura abaixo.
Figura 1: O ciclo de ataque
O artigo tambm demonstra algumas formas para prevenir o ataque e destaca a
importncia da poltica de segurana, bem como a educao e treinamentos dos usurios
no intuito de minimizar ao mximo a eficcia das tcnicas de engenharia social.
2.3.4 Engenharia Social e Estelionato Eletrnico
O autor Marcelo Coradassi Eiras coloca neste trabalho que tudo se mostra
ineficaz a um ataque de engenharia social bem feito e mostra tambm outras tcnicas de
engenharia social como o SPAM, SCAM e mtodos persuasivos de todo tipo. Marcelo
tambm destaca que por mais extraordinrio que possa parecer, o mtodo mais simples,
mais usado e, infelizmente o mais eficiente de se descobrir uma senha perguntando.
Basta algum de boa lbia perguntar a um funcionrio despreparado que ele acaba
falando. Pode at no ser a senha, mas ele vai contar o tipo de sistema, o tipo de
computador, e o que mais ele vir pela frente. Tudo vai depender de quo bom o
"Engenheiro Social" e quantos conhecimentos sobre a empresa ele possui.
2.3.5 A arte de Enganar
Kevin Mitnick descreve neste excelente livro A Arte de Enganar toda a sua
trajetria de engenheiro social. O hacker mais famoso do mundo fornece orientaes
especficas para o desenvolvimento de protocolos, programas de treinamento e manuais
para garantir que o investimento em segurana tcnica sofisticada de uma empresa no
seja em vo e d conselhos sobre como evitar as vulnerabilidades de segurana.
3 Discusso das idias
No artigo, Social Engineering Fundamentals, Part I: Hacker Tactics podemos
notar que a autora Sara Granger mostrou os aspectos conceituais da engenharia social
contemplando informaes bastante relevantes sobre o assunto tal como as principais
tcnicas de ataque. Podemos verificar tambm que este artigo no fez meno alguma a
formas de preveno contra os ataques de engenharia social, bem como, a nenhum dado
estatstico com relao engenharia social, por exemplo, poderiam ser mostrados
grficos sobre percentuais de ataques nas empresas, quais as tcnicas mais utilizadas,
entre outros. A autora finalizou o artigo relembrando uma citao de Kevin Mitinick
que diz que no importa o quanto voc gaste com tecnologia ou servios de segurana
que voc ainda assim estar vulnervel a algum ataque de engenharia social.
Em complemento ao artigo de Sara Granger podemos citar o artigo de Malcolm
Allen, A means to violate a computer system, que mostra o ciclo de ataque de um
engenheiro social. O autor coloca que a engenharia social uma ameaa que sempre
existir e que no pode ser contida atravs de software de antivrus, ids, firewalls entre
outros. Malcolm vai mais a fundo nos conceitos de engenharia social e demonstra
tambm uma lista de dicas que servem como forma de minimizar os possveis ataques
atravs da engenharia social, porm tambm enftico em afirmar que sempre haver a
possibilidade do fator humano ser influenciado.
Estes primeiros artigos analisados s vm cada vez mais confirmar que o fator
humano uma das maiores causas de invases e ataques na rede, sejam por uma senha
fraca ou pelo esquecimento de algum cuidado bsico de segurana. Por isso devemos
voltar nossa ateno para os "ataques" de engenharia social, que muitas vezes podem
dar acesso com privilgios de usurio administrador para um cracker em menos de 10
minutos, dependendo da habilidade do mesmo. Um ataque de engenharia social muito
mais popular do que se pensa, uma vez que, se bem aplicado, praticamente
indetectvel.
O artigo escrito por Marcelo Coradassi Eiras, Engenharia social e estelionato
eletrnico mostrou algumas outras tcnicas de engenharia social e que poderamos
dizer que so algumas das mais usadas nos dias atuais que so o spam e scam. Com
certeza a grande maioria de vocs que esto lendo esta resenha agora j recebeu
inmeros e-mails com propagandas, pedindo confirmao de usurio de senhas de
banco, e-mail de cartes virtuais ou que voc ganhou prmios por ter acessado
determinado endereo, etc. Todas essas tcnicas de engenharia social esto circulando a
todo instante no mundo todo e algumas milhares de pessoas sendo enganadas, tendo a
segurana comprometida ou pior, muitas vezes um nico individuo acaba
comprometendo a segurana de uma corporao inteira.
O livro de Kevin Mitnick, A arte de enganar vem para complementar o
conhecimento geral sobre engenharia social, pois demonstra cenrios realistas de
conspiraes, falcatruas e ataques aos negcios e as suas conseqncias. Mitnick no se
ateve a conceitos e sim a vrios exemplos das inmeras formas de aplicao da
engenharia social levando o leitor a se colocar no papel do atacante e a entender porque
to difcil identificar e deter um ataque de engenharia social. O livro tambm
contempla um captulo sobre recomendaes para poltica de segurana de informaes
corporativas, descrevendo cada ao a ser tomada. Um dos pontos de destaque tambm
a parte de classificao de dados. Uma poltica de classificao dos dados
fundamental para proteger as informaes de uma organizao e para estabelecer as
categorias repensveis pela liberao das informaes confidenciais.
Como informao final, porm no menos importante que as demais temos o
artigo de Rafael Carlos dos Santos da Modulo Security, Engenharia Social:
Fortalecendo o elo mais fraco que fala sobre seguir dicas importantssimas da ISO/IEC
17799:2000, como por exemplo, os controles:
Proteo de dados organizacionais;
Salvaguarda de registros organizacionais;
Definio de responsabilidades;
Educao e treinamento em segurana da informao, entre outros.
Podemos ver ao longo dos artigos que todos os autores foram unnimes em
afirmar que muito difcil identificar e prevenir ataque de engenharia social,entretanto
tabem foram unnimes em apontar a conscientizao, educao, treinamento e poltica
de segurana bem definida com o ponto crucial para a proteo das informaes.
4 Concluso
A maior parte dos desastres e incidentes de segurana da informao tem como
fator predominante a interveno humana. As empresas que realizam testes de
penetrao de segurana relatam que tentativas de invadir os sistemas de computadores
de uma empresa cliente com mtodos da engenharia social tm um ndice de sucesso de
quase 100%.
Segurana tem a ver com pessoas e processos, antes de ter a ver com tecnologia.
Falar em segurana da informao no se restringe a falar das mais novas tecnologias de
firewall, antivrus ou outras inmeras ferramentas de configuraes avanadas e que
custam milhares de reais. As tecnologias podem dificultar este tipo de ataque,
entretanto, o nico meio verdadeiramente efetivo usar a conscientizao para a
segurana juntamente com uma poltica bem definida e com um treinamento adequado.
As ferramentas de engenharia esto de posse de todas as pessoas; o uso
planejado e consciente delas que vai fazer a diferena entre a proteo e a invaso.
Quanto mais bem preparados estiverem os colaborados de uma empresa, mais segura
ela ser. Vale lembrar mais uma vez que no existe uma tecnologia no mundo capaz de
evitar um ataque de engenharia social.
5 Bibliografia
[1] MODULO SECURITY SOLUTIONS. Engenharia Social: Fortalecendo o elo mais
fraco em: <www.modulo.com.br>. Acesso em: 08 de novembro de 2005.
[2] MITNICK, Kevin D.; SIMON, William L. A. A arte de Enganar: Ataque de
Hackers: Controlando o Fator Humano na Segurana da Informao. Traduo: Ktia
Aparecida Roque. So Paulo: Pearson Education do brasil, 2003. 278 p.
[3] NORMA ISO/IEC 17799. Cdigo de Prtica para Gesto da segurana da
Informao nas Empresas. ABNT Associao Brasileira de Normas Tcnicas. 01 de
dezembro de 2000.
[4] Agncia Folha Entrevista com Kevin Mitnick. Disponvel em: <
http://www1.folha.uol.com.br/folha/informatica/ult124u13942.shtml>. Acesso em: 08
de novembro de 2005.
[5] GRANGER, Sarah. Social Engineering Fundamentals, Part I: Hacker Tactics.
Atualizado em 18 de Dezembro de 2001. Disponvel em:
<http://online.securityfocus.com/infocus/1527>. Acesso em 02 de Novembro de 2005
[6] ALLEN, Malcolm. Social Engineering: A Means to Violate a Computer System.
Disponvel em: <http://www.sans.org/reading_room/whitepapers/engineering/529.php>.
Acesso em 02 de Novembro de 2005.
[7] EIRAS, Marcelo Coradassi. Engenharia Social e Estelionato Eletrnico. IBPI.
Fevereiro de 2004.