Baixe o app para aproveitar ainda mais
Prévia do material em texto
Segurança em Ambientes de Redes Segurança em ambientes de redes Material Teórico Responsável pelo Conteúdo: Prof. Ms. Vagner da Silva Revisão Textual: Profa. Ms. Fatima Furlan 5 • Segurança usando biometria Você irá conhecer algumas tecnologias usadas em biometria e estudar as formas de ataques usando engenharia social. Você poderá notar que ter tecnologias avançadas não resolverá totalmente o problema se o elo mais fraco dos componentes de segurança continua sendo o ser humano. Para que consiga maior aproveitamento dos estudos, siga as orientações abaixo. O primeiro material a ser acessado é a contextualização, nele, você irá verificar que suas informações podem ser usadas em um ataque de engenharia social. Depois, acesse o conteúdo teórico, nele, você encontrará as principais tecnologias usadas em biometria e as técnicas mais usadas em ataques envolvendo engenharia social. Além de conhecer as técnicas, você terá oportunidade de conhecer também algumas formas de evitar ataques, pois os conhecendo temos como evitá-los. Após estudar o texto, você deverá ver o vídeo e a apresentação narrada, neles você poderá estudar os pontos relevantes sobre o assunto tratado nesta unidade. Com esses conceitos já desenvolvidos, você estará pronto para participar do fórum e da avaliação que é constituída pela atividade de reflexão e de sistematização. Recomendo que faça primeiramente a atividade de reflexão, depois a de sistematização. Participe do fórum de discussão regularmente, vamos usar esse ambiente para construirmos juntos os nossos conhecimentos! Nesta unidade, você irá estudar sobre um dos elos mais fraco dos componentes de redes em se tratando em segurança de redes e as principais técnicas usadas para obter informações. Além disso, você irá conhecer várias tecnologias desenvolvidas para evitar o acesso físico a determinadas áreas, utilizando a biometria. Segurança em ambientes de redes • Engenharia social 6 Unidade: Segurança em ambientes de redes Contextualização Explore A engenharia social pode ser aplicada de várias formas utilizando diversos meios para se atingir o alvo. Frequentemente, várias pessoas sofrem alguns tipos de ataques, veja no link abaixo mais algumas formas de ataques e aproveite para verificar se você não está disponibilizando mais informações que deveria. • http://pcworld.com.br/dicas/2009/03/23/engenharia-social-eles-sabem-seus-segredos-e- contam-para-todo-mundo/ http://pcworld.com.br/dicas/2009/03/23/engenharia-social-eles-sabem-seus-segredos-e-contam-para-todo-mundo/ http://pcworld.com.br/dicas/2009/03/23/engenharia-social-eles-sabem-seus-segredos-e-contam-para-todo-mundo/ 7 Segurança usando biometria A biometria tem como objetivo o estudo das características físicas ou comportamentais, portanto toda característica comportamental ou fisiológica relacionada ao ser humano é considerada uma biometria. Em segurança da informação, a biometria é usada para restringir acesso físico a determinados locais através de identificação ou autenticação. Portanto, as salas, laboratórios, cofres e determinados locais da empresa que exijam controle de acesso físico podem usar a biometria para permitir somente acesso às pessoas que tem direito. Conforme artigo “Como funcionam os sistemas de Biometria: um estudo geral”, o processo de garantir o acesso apenas à pessoa que o possui pod e ser feito de várias formas: • Por aquilo que se possui, tais como: crachá, cartão magnético ou matricula; • Por aquilo que o indivíduo sabe, por exemplo: senha ou frase secreta; • Por aquilo que se é ou que se faz, neste caso as características biométricas como, impressão digital ou dinâmica da assinatura. Algumas técnicas de biometria são bem antigas e foram sendo aperfeiçoadas conforme a evolução tecnológica. Abaixo serão apresentadas algumas destas tecnologias. Impressão Digital É uma das mais antigas formas biométricas disponível, esta técnica é a mais usada devido ao custo considerado baixo das ferramentas e tecnologias usadas para identificar impressões digitais. Embora tenha uma aceitação muito boa alguns cuidados devem ser tomados, pois materiais sintéticos ou até dedos decapitados podem ser usados para tentar burlar o sistema de segurança. Atualmente já existe scanner que consegue identificar o fluxo sanguíneo, desta forma uma digital sintética e um dedo decapitado não teriam efeito sobre este scanner. A impressão digital tem como objetivo identificar um determinado indivíduo pela formação dos sulcos formados nas pontas dos dedos, esta formação ocorre nos primeiros sete meses da gestação e cada indivíduo tem características diferentes um dos outros inclusive nos caso de gêmeos univitelinos. Atualmente, usa-se sistema biométrico composto de um scanner digital capaz de capturar, com bom grau de precisão, as características que definem a impressão digital. Esse dispositivo pode ser encontrado em notebooks, mouse e teclado, com tamanho reduzido e boa precisão. Veja, a seguir, os diversos tipos leitores: Figura 1: Exemplo de impressão digital. 8 Unidade: Segurança em ambientes de redes • Térmico: utiliza a temperatura emitida pelo dedo para conseguir extrair a impressão digital; • Ultrassônico: mapeia a digital através de sinais sonoros emitidos; • Piezelétrico: utiliza fibra óptica e cria um campo elétrico para extração da impressão digital; Uma vez feito o tratamento da imagem da digital, ela é armazenada em um banco de dados contendo pontos relevantes que possam identificar um indivíduo. Os programas desenvolvidos para filtrar e armazenar essas informações são de grande precisão e armazenam informações em forma de pontos conforme apresentado na figura abaixo. Figura 3: Fluxo completo da criação do template. Quando uma autenticação é solicitada através deste meio biométrico, a imagem capturada pelo scanner é trabalhada até chegar aos pontos formando grafos que por sua vez serão confrontados com os grafos que estão armazenados nos banco de dados. Geometria da mão Neste tipo de biometria as características como tamanho da mão, tamanho dos dedos, distância entre eles e o fluxo do sangue, são considerados. A coleta de informações nesse tipo de biometria usa um scanner diferente ao utilizado na impressão digital. Esse dispositivo tem uns pinos que são usados como guia para os dedos a fim de fazer a leitura de forma correta. Esse método não é considerado tão preciso, no entanto é bem aceito em situações com grande fluxo de pessoas. O uso de bijuterias como anéis influencia na leitura correta da mão, não permitindo acesso ao local preterido. Figura 2: Leitor digital da Microsoft. Figura 4: Dispositivo biométrico para leitura da mão. 9 Leitor das veias das mãos Esse tipo de scanner não é muito usado, ele tem como técnica a emissão de um infravermelho em direção a palma da mão para capturar, através de um sensor, o mapeamento das veias. As informações colhidas são confrontadas com informações armazenadas em banco de dados, caso as informações estejam semelhantes, o acesso é permitido. Por ser um sistema que se baseia no fluxo sanguíneo ele só pode ser usado em situações em que o indivíduo esteja presente e vivo. Iris A Iris, conforme apresentado na figura abaixo, é a parte colorida dos olhos. A complexidade em sua formação a tornou uma candidata a ser usada como biometria. O scanner e leitor de retina são caros, por este motivo são usados em locais específicos. Figura 6: Iris dos olhos. Para que se tenha uma leitura correta o indivíduo deve fixar os olhos em um determinado ponto do dispositivo, ele irá mapear e verificar se o formato esta conforme a um dos que estão armazenados no banco de dados. Figura 7: Modelo biométrico para possível cadastro, identificação ou verificação. Pelos estudos feitos, as únicas formas de alterar o padrão da Iris é em caso de acidente ou então cirurgias. Figura 5: Leitura das veias. 10 Unidade: Segurança em ambientesde redes Retina A retina é uma membrana localizada na parte posterior dos olhos, a figura abaixo ilustra a retina. Segundo Mandl e Vicentin, os padrões dos vasos sanguíneos presentes na retina são “lidos” por uma luz infravermelha que é auxiliada por um leitor óptico. É possível efetuar a leitura porque os vasos absorvem mais rápido a luz que o tecido ao redor, portanto, consegue-se formar uma imagem única que será analisada seguindo alguns pontos característicos. Essa técnica, como na leitura das veias das mãos exige que o indivíduo esteja vivo para que funcione adequadamente. Além disso, é uma técnica muito desconfortável, pois uma luz deve ser aplicada aos olhos para que o processo seja executado corretamente. O uso de óculos e lentes de contato influencia na leitura das informações. Outro fator que dificulta a implantação deste sistema é o custo. Figura 9: Leitor biométrico da retina. Face Os softwares desenvolvidos para serem usados com os dispositivos biométricos para mapeamento da face, basicamente estabelecem pontos que definem a simetria além de guardar tamanhos, distâncias e formas de cada elemento do rosto como olhos, nariz, boca, orelhas, queixo etc. A composição geral dessas características definem um indivíduo unicamente, inclusive pode identificar sósias como pessoas diferentes. Os softwares conseguem identificar uma pessoa mesmo que esteja usando barbas, bigodes e óculos, mudança de cor e corte diferenciado de cabelos. Uma vantagem desse sistema está no custo, pois basta ter uma boa webcam e um aplicativo instalado em um computador para que o reconhecimento seja feito. Figura 8: Localização da retina. Figura 10: Identificação da face. 11 Voz A voz é um dos componentes mais estudados e desenvolver sistemas que possam reconhecer a voz tem grandes aplicações como celulares, programas de computadores e outros dispositivos que sejam atrativos a sua implantação. O reconhecimento se dá pela vibração do ar ao falar, a captura do som é feita por microfones estrategicamente instalados nos dispositivos. Os ruídos externos podem influenciar nesse tipo de sistema biométrico e, portanto deve ser usado em locais com pouquíssimo ruído. Assinatura Nesse tipo de biometria, além da comparação da imagem, a dinâmica da assinatura também é avaliada, sendo assim, itens como direção do traçado, pressão exercida e a forma da assinatura são levadas em consideração no momento da comparação. As canetas ópticas e superfícies sensíveis são os dispositivos usados nesse tipo de biometria. Outros tipos de biometria estão sendo pesquisados e evoluindo de acordo com a tecnologia, um deles que já estava em fase de teste é a biometria considerando o odor, outras como a arquitetura da orelha, DNA, reconhecimento através das ondas cerebrais, já foram implantadas ou estão em fase de pesquisa para implementação. Engenharia social A engenharia social é um conjunto de técnicas utilizadas pela maioria dos estelionatários ou mesmo pessoas que realizam phishing na Internet ou em qualquer outro tipo de ataque com o objetivo de enganar, obter informações das pessoas manipulando os seus sentimentos e as aspirações contidas nos seres humanos. Não é uma técnica utilizada apenas por pessoas com más intenções, mas também muito utilizada por policiais para desvendar algum tipo de comportamento ilícito usado em sites na Internet. O facebook ou qualquer outro site de relacionamento são pesquisados frequentemente por policiais em busca de algum comportamento considerado estranho para então tomar providências usando , quando necessário, alguma técnica de engenharia social. Uma das técnicas, que veremos no decorrer deste texto refere-se a confiança, as autoridades tentam se aproximar de uma determinada pessoa para obter informações se passando por outra pessoa para criar certa afinidade. Existem várias técnicas utilizadas pelos estelionatários com o objetivo de manipular os sentimentos e podem ser praticadas tanto na Internet como fora dela. Se analisarmos os últimos cinco anos até os dias atuais, veremos que a tecnologia de segurança que tínhamos para manter os computadores longe de ataques não eram as mesmas utilizadas atualmente, pois os programas estão em constante aperfeiçoamento e desenvolvimento. Figura 11: Biometria usando assinatura. 12 Unidade: Segurança em ambientes de redes Pense Por que os ataques estão cada vez mais frequentes se as ferramentas estão cada vez mais avançadas e mais eficientes? Por exemplo, se formos comparar o Windows XP com o Windows 7 iremos perceber que novos recursos de segurança foram implementados. Portanto, voltando à questão, se a tecnologia está cada vez mais eficiente, se os investimentos em segurança são feitos pelas empresas, se temos softwares cada vez mais seguros e, consequentemente, redes de computadores protegidas, por que os ataques estão aumentando? Pode-se perceber que há uma contradição em relação ao exposto acima. A resposta é a seguinte: os atacantes perceberam que não adianta atacar a tecnologia, ou seja, o elo mais fraco de toda a segurança ainda é o ser humano, o usuário que está por trás dessas tecnologias. O fator humano é um problema gravíssimo, pois por mais que você tenha um sistema seguro, usando tecnologias de ponta, a maioria dos usuários não sabe lidar com o sistema de forma correta ou não recebe o treinamento ou uma instrução adequada ou subestima a possibilidade de sofrer um ataque, sendo assim o ser humano é facilmente enganado por um engenheiro social. O tema engenharia social não é considerado novo, pois convivemos com ele o tempo todo, isso pode ser visto normalmente no comportamento das pessoas sempre que alguém se utilizar de algum tipo de sentimento para obter algo em prol, isso é considerado engenharia social. É lógico que esse tipo de comportamento é totalmente diferente daqueles que você ira estudar neste texto. Existem os engenheiros sociais normais que agem intuitivamente e os engenheiros sociais que têm como objetivo cometer crimes. Portanto, a engenharia social consiste em atacar o elo mais fraco do sistema: o ser humano. Ela é conhecida como a arte de enganar, você consegue manipular as pessoas obtendo informações sigilosas manipulando-as. Várias técnicas de engenharia social foram demonstradas no filme chamado Explore: Hacker 2 Operação Takedown, esse filme se baseia na história do hacker Kevin Mitnik, ele foi cassado pelo FBI depois de aplicar vários ataques e conseguir informações sigilosas. Por este motivo, ele ficou preso durante cinco anos e proibido de usar computadores. Considerando as pessoas físicas, a engenharia social pode ser aplicada de várias formas, pode-se, por exemplo, conseguir os dados da conta corrente incluindo a senha. É comum você ver pessoas desatentas em caixa de banco solicitando informações a pessoas desconhecidas ou pessoas se aproximando de outras para poder oferecer ajuda tendo como objetivo obter a senha e outras informações. 13 Temos também os casos de sequestro e ataques de vigaristas. O site de relacionamento facebook é uma fonte rica de informações que pode ser utilizado com o objetivo de sequestrar alguém, pois muitas pessoas deixam os dados considerados confidenciais abertos para que qualquer outro possa acessar. Com isso fica fácil levantar características e informações para fazer um ataque de engenharia social, pois não é difícil arquitetar um ataque usando informações como, nome do namorado, ano de nascimento, álbum de fotos, recados, comunidades e outras que geralmente ficam expostas. Por incrível que pareça, ainda há muitos usuários desatentos ou com pouco conhecimento e acabam propiciando aos engenheiros sociais informações preciosas. Com essas informações alguém pode iniciar contatos, seja por telefone, e-mail ou até fisicamente e ganhar a confiança para posteriormente aplicar algum tipo golpe. No meio jurídico, as empresas devem se preocupar também com a engenharia social, inclusive colocando-acomo um dos itens de risco a segurança de rede, isso, infelizmente, nem sempre acontece nas empresas. Embora, muitas vezes não perceba, elas sofrem algum tipo de ataque usando a engenharia social. O vazamento de informações é outro problema encontrado pelas empresas, pois em uma conversa informal, um funcionário pode passar informações importantes e confidenciais que poderão ser utilizadas por empresas concorrentes. É costume, os funcionários se encontrarem após o expediente para um happy hour e trocar informações sobre o trabalho do dia a dia. Um indivíduo pode se aproveitar dessas informações e até tentar uma aproximação para obter mais informações. Neste caso, percebe-se que o funcionário não tem a maldade em prejudicar a própria empresa, no entanto ele acaba fazendo. Para que isso não aconteça, o funcionário deve ser instruído dos riscos que determinadas informações possam causar a empresa e a si mesmo caso sejam obtidas por outras pessoas. Com certeza, a perda financeira será a consequência desse vazamento de informação, portanto, conhecer os ataques e algumas técnicas usadas em engenharia social é de suma importância para todos aqueles que trabalham com informação. Como você poderá ver ao longo deste texto, alguns casos são bem conhecidos e outros ainda poderão surgir, o importante a ser notado é que, se mudam a forma de ataque, porém com objetivos semelhantes: a manipulação do ser humano. A engenharia social pode ser feita utilizando-se de alguns meios de ataque. Através da Internet ou telefone os seguintes ataques são possíveis. Em Síntese Os phishing consistem em um ataque onde são enviados e-mails para vários usuários. Este e-mail tem um conteúdo que irá chamar a atenção, fazendo com que você abra a mensagem e execute o que veio junto no anexo ou clique no Link que está no corpo do e-mail, com isso um programa será executado e, provavelmente, seu computador será infectado por um programa que irá roubar suas informações. Esse tipo de ataque é um dos mais utilizados pelos Hackers atualmente. O Pharming é outro tipo de ataque, ele consiste em manter vários phishing sobre sua custódia, Pharm significa fazenda, de criar, de manter os computadores infectados com phishing. 14 Unidade: Segurança em ambientes de redes O roubo de identidade é outro tipo de ataque utilizado, geralmente são usados com o envio de e-mail de pessoas conhecidas para prover confiança. O e-mail pode conter arquivos para execução ou então solicitar para você abrir uma apresentação ou ver uma imagem. O único problema é que embora o e-mail tenha o endereço da pessoa conhecida ele não foi enviado por ela e o conteúdo é malicioso. Por acreditar que é um e-mail de uma pessoa conhecida ele cria uma das principais características da engenharia social: a confiança. Dificilmente você deixará de ver o conteúdo enviado e irá contaminar sua máquina com programas que irão lhe monitorar e até roubar suas informações. A Engenharia social não usa apenas da tecnologia para atingir seus objetivos, ela pode ser feita pessoalmente, ou seja, presencialmente utilizando as seguintes técnicas: O Shoulder Surfing é a técnica em que uma pessoa fica observando a outra para obter dados como o login e a senha. Em bancos, eles ficam atrás das pessoas observando o que está sendo digitado, ou então, em laboratórios onde você está digitando uma senha e uma pessoa passa observando o que foi digitado. Muitos não dão tanta importância para esse tipo de técnica, no entanto já houve casos em que um banco foi roubado com a utilização dela. O Rush Authentication se utiliza da boa vontade de outra pessoa para ter acesso ao local ou então a informações. Exemplo. Um determinado local só pode ser acessado por quem tem acesso biométrico, para conseguir entrar neste local o engenheiro social pode simular que está carregando uma caixa pesada, espera que uma pessoa abra a porta e solicita a ela para segurar a porta para que você passe, pois está com as duas mãos ocupadas carregando a tal caixa. Muitas vezes esse tipo de técnica dá certo, pois há muitas pessoas que procuram ajudar outras em situações difíceis, possibilitando assim o acesso do engenheiro social ao local desejado sem a utilização da biometria. A confiança é muito explorada em engenharia social, o golpe da música do telefone procura adquirir confiança de uma determinada pessoa a qual se deseja atacar. Esse tipo de ataque consiste em gravar a música em espera que a empresa costuma usar. Ao fazer uma chamada telefônica para um determinado funcionário dessa empresa se passando por outro funcionário, o engenheiro social pode comentar que está recebendo outra chamada e pede para aguardar um pouco e nesse momento ele coloca o telefone em espera com a música em espera que a empresa costuma usar. O outro lado ouvindo a música irá pensar que tudo está ocorrendo dentro da empresa e irá ficar mais pró-ativo em ajudar em algo. Os boatos podem também trazer benefícios ao atacante. A bolsa de valores sofre frequentemente com os rumores de determinadas notícias e isso faz com que ela oscile para cima ou para baixo. Há algum tempo, bem antes de morrer, surgiu um boato sobre a saúde de Steve Jobs, e a Apple foi colocada em questão. Em consequência disso, as ações da empresa caíram. Caso esta notícia tivesse sido veiculada com esse propósito, então o atacante poderia aproveitar o momento de baixa das ações e comprar a quantidade que pudesse. Assim, quando o boato fosse esclarecido, as ações da empresa poderiam voltar ao patamar que estava ou até um pouco mais e com isso o atacante ganharia, pois havia comprou na baixa e venderia na alta. 15 O phishing, conforme já comentado, é um ataque em que é enviado e-mail para chamar a atenção do usuário através de conteúdo que o deixe curioso. Geralmente, o conteúdo é composto por mensagens relacionadas à promoção ou mensagens convidando você a visitar uma determinada página de relacionamento ou mensagens descrevendo que você ganhou algum prêmio. Embora existam várias mensagens com conteúdos diferentes, o objetivo é um só, ou seja, a descrição procura aguçar a curiosidade e fazer com que o usuário clique em um botão ou link para executar ou instalar e executar um programa na máquina. Quem pratica o phishing é chamado de phishing scammer. Um exemplo típico de phishing está representado na figura abaixo. Figura 12: Phishing do boticário. Fonte: http://www.quatrocantos.com/lendas/250_trojan_spy_boticario.html É um phishing muito bem feito, salvo que nenhuma empresa deve solicitar que o usuário faça download de qualquer tipo de página, programa ou imagem, isto é inadmissível, no entanto, as pessoas menos atentas, com menos conhecimento sobre esse tipo de ataque, que na verdade é a maioria, acabam caindo nesse tipo de golpe. http://www.quatrocantos.com/lendas/250_trojan_spy_boticario.html 16 Unidade: Segurança em ambientes de redes Outro phishing conhecido é o da Chevrolet, conforme pode ser visto na figura abaixo, a propaganda incentiva a pessoa a baixar um formulário para ser preenchido. Não se baixa formulário para preencher, os formulários são preenchidos em páginas da Internet da própria empresa. Uma vez baixado esse arquivo e executado, o seu computador será contaminado. Na maioria das vezes, esse tipo de ataque solicita que o usuário faça o download ou então clique em algum link para ser aceito na promoção, infelizmente a maioria das pessoas não têm o hábito de colocar o mouse sobre o link ou o botão de download para verificar o endereço completo. Se fizesse isso iria verificar que está executando um programa e os engenheiros sociais se aproveitam desta falha para instalar programas com códigos maliciosos, pois a maioria dos usuários não sabe diferenciar entre um programa e uma página de Internet. Figura 13: Phishing Chevrolet. Fonte: http://www.quatrocantos.com/lendas/301_chevrolet.htm http://www.quatrocantos.com/lendas/301_chevrolet.htm 17 O phishing é usado para atingirum determinado perfil de usuários e por este motivo, ele é transmitido para o maior número de pessoas possíveis. Algumas irão apagar, pois não têm interesse, outras irão acessar e possivelmente irão clicar e instalar o programa. Sendo assim, vários tipos de propagandas e anúncios surgem a todo o momento com o objetivo de contaminar grupo de pessoas que tenham interesse em determinadas promoções. Outro golpe vindo por e-mail é o Nigerian Scam ou fraude da Nigéria, que consiste em enviar um e-mail descrevendo histórias variadas, uma delas descreve que um parente distante morreu e deixou uma fortuna em dinheiro e que você precisa pagar um determinado valor, relacionado a custos com documentação, para que esta fortuna seja depositada em sua conta corrente. Muitas outras variações de histórias são inventadas, mas sempre com o mesmo objetivo, você deposita e tem a promessa que receberá o valor indicado. Esse tipo de golpe começou sendo praticado através do envio de carta e hoje o e-mail é utilizado para atingir maior quantidade de pessoas. Há casos mais avançados de engenharia social, cada exemplo visto anteriormente, utilizando o phishing, tinha como objetivo atingir um grupo específico de usuários tratando de aguçar a curiosidade. O objetivo do engenheiro social é conquistar e manipular o sentimento das pessoas e para chegar a esse objetivo ele pode usar o telefone, a Internet ou, até mesmo, o meio físico. Os pontos principais manipulados são a curiosidade, a confiança, a simpatia, a culpa, a intimidação e o orgulho, cada um tem técnicas totalmente diferentes que podem ser utilizadas com certa variação. Veja abaixo exemplos de cada uma delas. Pense A curiosidade é a forma mais fácil de obter sucesso na engenharia social, pois a curiosidade não é de um grupo específico, esta característica é específica de todo ser humano, somos movidos pela curiosidade. Portanto, se você fizer engenharia social através de um phishing, que tem a característica de utilizar o princípio da curiosidade, você vai, com certeza, fazer com que algumas pessoas executem o programa. Exemplo: se você visitar uma empresa e deixar um CD em um local de bastante trânsito de pessoas com a descrição “salário dos funcionários”, ou então “fotos da família do diretor X”, com certeza isso irá criar curiosidade por aqueles que tiverem acesso a esse CD e uma vez executado, o próprio auto run poderá infectar o computador dessa pessoa. A confiança é outro atributo que o engenheiro social pode utilizar. Quando há confiança, o engenheiro social age com mais facilidade. É o caso já citado sobre o e-mail enviado por um terceiro se colocando como se fosse uma pessoa conhecida. Muitas vezes, você irá clicar no link e até executar algum arquivo enviado, pois irá considerar que a mensagem está vindo de uma pessoa conhecida. A confiança é considerada primordial para os engenheiros sociais, portanto para que isto seja possível deve-se ter uma aproximação das pessoas para se estabelecer um contato mais próximo. 18 Unidade: Segurança em ambientes de redes A simpatia acaba atraindo muitas pessoas, adoramos pessoas simpáticas, por exemplo, quando você entra numa loja e um vendedor fica pressionando ou não te dá muita atenção ou ainda, lhe trata com certo mau humor, há grandes possibilidades de você não comprar nessa loja. Por outro lado, se um vendedor vem lhe atender usando da simpatia, sendo prestativo dificilmente você deixará de comprar o produto que necessita. É lógico que não estou colocando a questão de preço e qualidade do produto, só para exemplo didático estou considerando que as lojas têm os mesmos critérios de preço e qualidade. Para as pessoas simpáticas é mais difícil dizer não quando ela lhe pede um favor. A simpatia está diretamente ligada ao orgulho, pessoas que são orgulhosas gostam que outras falem bem de alguma coisa que fez. Os elogios feitos às pessoas orgulhosas pode ser a porta para uma aproximação. Portanto, a simpatia é muito utilizada em ataques a pessoas orgulhosas. A culpa também é explorada por engenheiros sociais, ela é um excelente meio a ser explorado para obter informações, principalmente de pessoas com baixa estima. Geralmente, essas pessoas se sentem culpadas por qualquer motivo e, consequentemente, podem ser manipuladas facilmente. Toda pessoa que se acha culpada está, intrinsecamente, interessada em ajudar e, intuitivamente a culpa pode se estabelecer por um simples serviço prestado. Por exemplo, caso alguém faça um favor para você, algumas vezes a pessoa pode usar a seguinte frase “você está me devendo uma”, isso significa que a culpa está sendo manipulada, pois uma hora ou outra ela poderá lhe cobrar por isso. A intimidação é diferente de tudo o que foi descrito até agora. Ela refere-se em você fingir que é o chefe ou estar no controle de uma determinada situação para atingir seu objetivo, ou seja, intimidar alguém. Geralmente, o tom de voz usado na intimidação é diferente em relação a outros tipos de ataques. Mas, por quais motivos uma pessoa acaba caindo nesses truques? Um deles é que as pessoas não desconfiam de muitas coisas que acontecem no dia a dia, como no caso dos e-mails enviados como forma de propagandas, os phishing, como vimos acima. Deve-se desconfiar de tudo que é enviado pela Internet, não executar nada que não seja de uma pessoa confiável e se não estiver esperando um e-mail e mesmo assim se receber seria interessante checar a veracidade. Caso acesse o conteúdo do e-mail, verifique com atenção o endereço que está no link ou botão, para isto basta posicionar o cursor sem clicar sobre o link ou botão e verificar no canto inferior esquerdo o endereço completo. Todos os documentos da empresa que estiverem em papel devem ser destruídos de tal forma que nenhuma informação fique visível. Caso isso não ocorra e o engenheiro social adquira esses documentos, ele poderá, com facilidade, saber o nome de determinadas pessoas e se aproveitar disso. Revelar dados sem consultas é outro caso usado pelos engenheiros sociais, por exemplo, uma determinada pessoa pode ligar e solicitar os dados do gerente com o argumento que precisa enviar uma determinada informação a ele. Um cuidado especial deve ser tomado nesses casos, se você não conhece a pessoa que está solicitando a informação, então não passe a ela. Acessar sistemas duvidosos como sites da Internet, pode trazer programas maliciosos que serão executados na sua máquina. 19 A curiosidade em se ter acesso a determinadas informações, como no caso do CD colocado propositalmente em um determinado local para que alguém o pegue e insira no computador, deve ser evitada, pois o próprio auto run poderá instalar arquivos maliciosos na máquina. Conversar sobre o dia a dia e dados confidenciais referentes à empresa estando fora dela também devem ser evitados, pois caso isso ocorra, tais informações poderão ser adquiridas por pessoas alheias que a usarão em benefício próprio. A melhor forma de se defender referente dos ataques que utilizam engenharia social é o treinamento, a participação em WorkShops e a divulgação dos tipos de ataque. A política é um dos recursos também utilizado para evitar a engenharia. 20 Unidade: Segurança em ambientes de redes Material Complementar Para aprofundar seus estudos sobre o assunto tratado nesta unidade, siga os links abaixo. No primeiro, você poderá ver um vídeo falando sobre biometria e no segundo, há uma apresentação sobre algumas manipulações usando Engenharia Social. http://www.youtube.com/watch?v=I4GzfgvBrPw http://www.youtube.com/watch?v=My-SizcEJok http://www.youtube.com/watch?v=I4GzfgvBrPw http://www.youtube.com/watch?v=My-SizcEJok 21 Referências MITNICK, K. D. A Arte de Enganar, São Paulo: Pearson Makron Books, 2006. NAKAMURA, E. T. Segurança de Redes em Ambientes Cooperativos. Sao Paulo: Novatec, 2007. 22 Unidade: Segurança em ambientes de redes Anotações www.cruzeirodosulvirtual.com.br Campus Liberdade Rua Galvão Bueno,868 CEP 01506-000 São Paulo SP Brasil Tel: (55 11) 3385-3000
Compartilhar