Baixe o app para aproveitar ainda mais
Prévia do material em texto
UNIÃO EDUCACIONAL MINAS GERAIS S/C LTDA FACULDADE DE CIÊNCIAS APLICADAS DE MINAS Autorizada pela Portaria no 577/2000 – MEC, de 03/05/2000 BACHARELADO EM SISTEMAS DE INFORMAÇÃO A VULNERABILIDADE HUMANA NA SEGURANÇA DA INFORMAÇÃO EDUARDO EDSON DE ARAUJO UBERLÂNDIA - MG 2005 � � � � EDUARDO EDSON DE ARAUJO A VULNERABILIDADE HUMANA NA SEGURANÇA DA INFORMAÇÃO Trabalho de Final de curso submetido à UNIMINAS como parte dos requisitos para a obtenção do grau de Bacharel em Sistemas de Informação. Orientador: Prof. Esp. Flamaryon Guerin Gomes Borges UBERLÂNDIA - MG 2005 EDUARDO EDSON DE ARAUJO A VULNERABILIDADE HUMANA NA SEGURANÇA DA INFORMAÇÃO Trabalho de Final de curso submetido à UNIMINAS como parte dos requisitos para a obtenção do grau de Bacharel em Sistemas de Informação. Orientador: Prof. Esp. Flamaryon Guerin Gomes Borges Banca Examinadora: Uberlândia, 17 de Dezembro de 2005. Prof. Esp. Flamaryon Guerin Gomes Borges (Orientador) Prof. Dr. Mauro Hemerly Gazzani Prof. MSc Gilson Marques Silva UBERLÂNDIA - MG 2005 � � � ����������� ��� ������������������� �� ���������������� ��� ������������� � � �� �� ���� �� ������������������������� ��� �� ������������������ �� �������� ��� ����� �� � �� ���� ������� �� ���� �������� � ����� ��� ������������� �������� ���������� ��� �������������������� �������� � ������ ��������� ����� ������������� �������� ��� � ������������ ������� �� ������� ������ ��� ����� �� �� ��� �������� �� ���������������������� �� ���� � ������� ������������ ����������� ���� �� �� �� ������ ��� � �������� ������� � ������������� ������ ����� � �� ���� !������ ����� ����������� �������� ������ � � ��� ���������"������ ������������ #� �������� ���� �������� � ����$� � ��� %��� � ����������"��������� ���� � ����� �� �� � ������� ��� ������� ������ ���� �� ������ ������ AGRADECIMENTOS Ao meu orientador, Prof. Esp. Flamaryon braço amigo de todas as etapas deste trabalho (valeu bichão). A toda a minha família, pela confiança, incentivo e motivação ao longo dessa realização. A minha namorada Miriam, pela paciência, a compreensão, amor e principalmente por entender a importância da minha dedicação e esteve presente em todas as etapas desse aprimoramento. Aos amigos que me incentivaram e sempre me deram força para que eu pudesse vencer esse desafio. As minhas funcionárias que sempre acreditaram na minha capacidade e conseguiram abrir os meus olhos para a importância dessa graduação. A todos os professores do curso de Sistemas de Informação que foram fundamentais para o meu aprendizado e formação profissional. A todos os colegas de sala que infelizmente somente no final do curso é que resolveram se unir e curtir esse grande momento que é a formação acadêmica. RESUMO Este trabalho consiste em contribuir para os profissionais que lidam com a Segurança da Informação, principalmente os da área de TI (Tecnologia da Informação) que terão como responsabilidade desenvolver, melhorar ou aplicar uma Política de Segurança da Informação, reforçar principalmente a importância de se ter um programa de conscientização para todos os colaboradores de uma organização e que não há como garantir a Segurança da Informação nas organizações somente investindo em equipamentos e recursos de TI, como firewalls, sistemas de detecção de intrusos, antivírus, etc. Com base em avaliações executadas em um ambiente corporativo e estudos em vários conceitos voltados para a Segurança da Informação, o trabalho apresenta as melhores práticas e recomendações a serem tomadas no desenvolvimento de um programa de conscientização. Para isso o trabalho foi dividido em duas etapas: a pesquisa bibliográfica para um nivelamento de conceitos, definindo o que vem a ser informação e engenharia social e como ela funciona e qual o papel do usuário na segurança da informação, e uma pesquisa nos processos de conscientização e os procedimentos e cuidados utilizados por uma grande Corporação. ABSTRACT This work consists in contributing with the professionals who deals with Security Information principally on IT (Technologic Information) area will have as responsibilities the development, enhancement or application of a Security Information Policy, mainly reinforcing the importance of having an education program for all collaborators of an organization and that there is not a way of guaranteeing the Security of the Information at the organizations by only investing in equipments and IT resources such as firewalls, intruder detector systems, anti-virus etc. Based on experiences executed in a corporative environment and studies in various concepts about Security Information, the work presents the best practices and recommendations to be taken in the development of an educational program. For this, the work was divided into two phases: a bibliographical research to level the concepts, defining what comes to be information Social Engineering and how it works and its role in the Security Information, and a research in the educational process and the procedures and cares taken by a big corporation. LISTA DE FIGURAS Figura 1 - Adequação a Legislação (MODULO, 2003)________________________2 Figura 2 - Departamentos que interagem no dia-a-dia (MODULO, 2003) _________3 Figura 3 - Prejuízos contabilizados (MODULO, 2003) ________________________4 Figura 4 - Ocorrência de ataques e invasões (MODULO, 2003) ________________4 Figura 5 - Principais ameaças (MODULO, 2003)____________________________5 Figura 6 - Utilização de Política de Segurança (MODULO, 2003) _______________5 Figura 7 - Principais medidas de segurança adotadas (MODULO, 2003) _________6 Figura 8 - PPT - Pessoas, Processos e Tecnologias (MODULO, 2003) _________16 Figura 9 - Ambiente sem políticas de Segurança (MODULO, 2003) ____________23 Figura 10 - Os três pólos da Segurança__________________________________24 Figura 11 - Fórmula de Marcos Sêmola __________________________________25 Figura 12 - Estrutura de Ataque ________________________________________42 Figura 13 - Dinâmica de entrega de informações___________________________44 Figura 14 - Os quatro domínios do COBIT (MODULO, 2005) _________________52 Figura 15 - TI como Habilitador do Negócio (MODULO, 2005) ________________53 Figura 16 - Gráfico COBIT (MODULO, 2005)______________________________56 Figura 17 - O elo mais fraco (MODULO, 2003) ____________________________59 Figura 18 - Certificado do treinamento Security Awareness Training____________72 LISTA DE ABREVIATURAS E SÍMBOLOS 1 ABNT - Associação Brasileira de Normas Técnicas 2 ISO - International Standartization Organization 3 COBIT - Control Objectives for Information and Related Technology 4 TI - Tecnologia da Informação 5 CERT.br - Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil 6 Malware - Malicious software 7 CAIS - Centro de Atendimento a Incidentes de Segurança 8 CSO - Chief Security Officer 9 COSO - Committee of Sponsoring Organizations 10 ISACF - The Information System Audit and Control Foundation 11 ITIL - The IT Infrastructure Library 12 RH - Recursos Humanos 13 CEO - Chief Executive Officer 14 CD - Compact Disc 15 HD - Hard Disc 16 DVD - Digital Video Player 17 CPD - Centro de Processamento de Dados SUMÁRIO 1 INTRODUÇÃO.....................................................................................................2 1.1 CENÁRIO DA SEGURANÇA NAS CORPORAÇÕES ......................................................21.2 IDENTIFICAÇÃO DO PROBLEMA .............................................................................4 1.3 OBJETIVOS DO TRABALHO....................................................................................6 1.4 JUSTIFICATIVA PARA A PESQUISA..........................................................................7 1.5 ORGANIZAÇÃO DO TRABALHO ..............................................................................9 2 A IMPORTÂNCIA DA INFORMAÇÃO ..............................................................11 2.1 DADO, INFORMAÇÃO E CONHECIMENTO ..............................................................11 2.2 A INFORMAÇÃO COMO RECURSO DA ORGANIZAÇÃO .............................................12 2.3 CLASSIFICAÇÃO DE INFORMAÇÕES......................................................................14 2.4 O QUE É SEGURANÇA DA INFORMAÇÃO? .............................................................15 2.4.1 As tríplices da Segurança da Informação................................................16 2.4.2 Objetivos da Segurança de Informação ..................................................17 2.4.3 Política de Segurança .............................................................................19 2.4.4 Desenvolvimento de uma Política de Segurança ....................................20 2.5 O QUE É UMA VULNERABILIDADE?.......................................................................20 2.5.1 Diferenciando Ameaça de Vulnerabilidade..............................................21 2.5.2 Teste com “O JOGO DA SEGURANÇA”.................................................22 2.6 ASPECTOS DA SEGURANÇA................................................................................23 2.6.1 Risco de Segurança ................................................................................24 2.7 SECURITY OFFICER ...........................................................................................25 3 ENGENHARIA SOCIAL.....................................................................................26 3.1 PERFIL DO ENGENHEIRO SOCIAL ........................................................................27 3.1.1 As ferramentas do Engenheiro Social .....................................................28 3.2 A ARTE DO ENGENHEIRO SOCIAL E SUAS TÉCNICAS..............................................29 3.2.1 Informações inofensivas x valiosas .........................................................29 3.2.2 Criando a confiança.................................................................................30 3.2.3 Simplesmente pedindo ............................................................................31 3.2.4 Técnica do “Posso Ajudar ?” ...................................................................32 3.2.5 Técnica do “Você pode me ajudar ?”.......................................................32 3.3 A ENGENHARIA SOCIAL NA INTERNET..................................................................33 3.3.1 Internet Banking ......................................................................................36 3.4 PONTOS FRACOS EXPLORADOS PELO ENGENHEIRO SOCIAL ..................................37 3.4.1 Checando o lixo.......................................................................................39 3.5 ESTRUTURA DIAGRAMÁTICA E OBJETIVA DO PROCESSO DE ATAQUE DO ENGENHEIRO SOCIAL....................................................................................................................41 3.6 DINÂMICA DE COMO EVITAR OU DIFICULTAR A ENTREGA DE INFORMAÇÕES..............43 4 ENGENHEIRO SOCIAL VERSUS SECURITY OFFICER .................................46 4.1 SEGURANÇA É ADMINISTRAR RISCOS .................................................................47 4.2 PROPOSTAS DE UM SECURITY OFFICE ................................................................48 4.3 DIFICULTANDO A VIDA DO ENGENHEIRO SOCIAL ...................................................49 4.4 O COBIT COMO REFERÊNCIA PARA UMA GESTÃO DE SEGURANÇA........................51 4.4.1 O COBIT – Modelos e Componentes......................................................52 4.4.2 O COBIT – Objetivos e Benefícios ..........................................................54 4.4.3 O COBIT – Público Alvo ..........................................................................56 4.4.4 O COBIT – Referências para Auxílio no dia-a-dia ...................................57 4.4.5 Aplicando o COBIT..................................................................................57 5 A IMPORTÂNCIA DA CONSCIENTIZAÇÃO ....................................................59 5.1 PLANO DE TREINAMENTO CONTRA O ENGENHEIRO SOCIAL ...................................62 5.1.1 Exemplos para Reforçar a Conscientização............................................63 5.1.2 Estudo de Caso: A Conscientização na American Express ....................65 6 CONCLUSÕES E TRABALHOS FUTUROS.....................................................75 6.1 CONCLUSÕES ...................................................................................................76 6.2 TRABALHOS FUTUROS .......................................................................................79 7 GLOSSÁRIO......................................................................................................81 8 REFERÊNCIAS BIBLIOGRÁFICAS..................................................................83 2 1 INTRODUÇÃO 1.1 Cenário da Segurança nas Corporações Na 9º Pesquisa Nacional de Segurança da Informação realizada no 1º semestre de 2003 (MODULO, 2003), pode-se afirmar que o ano de 2003 foi de grande importância para a Segurança da Informação e pode-se dizer que ele marca o início da fase madura do setor. As equipes de segurança das empresas encontram-se estruturadas ou em fase avançada de estruturação. Um dos mais importantes resultados desta 9º pesquisa é referente à adequação com legislação, regulamentação e normas. Este estudo mostra que por um lado a ISO 17799 tem sido adotada fortemente como referência técnica pelas equipes de Segurança, seguida pelo COBIT, muitas vezes em conjunto, mas, por outro lado, cada segmento tem também adotado as regulamentações específicas como, por exemplo, resoluções do Banco Central (conforme Figura 1) e decretos do Governo Federal. Figura 1 - Adequação a Legislação (MODULO, 2003) Esta tendência de uso de normas e regulamentações é fortalecida com o novo Código Civil, que traz maior responsabilidade para os administradores das empresas e autoridades do Governo. Tudo isso têm se destacado como uma grande oportunidade para os profissionais de Segurança da Informação nos 3 próximos anos, uma vez que a matéria se aproxima a cada dia da sua atividade principal e dos executivos da organização. Outro aspecto importante da pesquisa mostra que o profissional está interagindo cada vez mais com os departamentos de sua organização e que, a cada dia, deixa de se relacionar apenas com TI e Auditoria, e passa a ser interlocutor de departamentos como Jurídico, RH e Comunicação. Departamentos que interagem no dia a dia: Figura 2 - Departamentos que interagem no dia-a-dia (MODULO, 2003) Em temos técnicos, a pesquisa ratifica os desafios principais de hoje: • A preocupação com vírus, funcionários insatisfeitos e senhas como principais ameaças. • O aumento do uso da Internet como meio de fraudes e vazamento de informações, acompanhando o desenvolvimento dos negócios eletrônicos. • O desafio de conscientizar os executivos, motivar os usuários e capacitar a equipe, assim como demonstrar o retorno sobre o investimento da segurança. • A necessidade de realizar análise de riscos e revisar periodicamente a política de segurança. • O crescimento dos problemas de segurança a cada ano, acompanhando o crescimento dos ataques, a evolução da tecnologia e o aumento dos investimentos no setor.4 1.2 Identificação do Problema Na 9º Pesquisa Nacional de Segurança da Informação realizada no 1º semestre de 2003 (Modulo, 2003), afirma-se que os ataques deverão aumentar em 2004 e que 42% das empresas tiveram problemas com Segurança da Informação nos seis meses anteriores à pesquisa. Nota-se também que: • 35% das empresas reconhecem que tiveram perdas financeiras. Já o percentual de empresas que não conseguiram quantificar essas perdas diminuiu de 72% em 2002, para 65%, em 2003. Figura 3 - Prejuízos contabilizados (MODULO, 2003) • O percentual de empresas que afirmam ter sofrido ataques e invasões subiu de 43%, em 2002, para 77%, em 2003. Figura 4 - Ocorrência de ataques e invasões (MODULO, 2003) • Vírus (66%), funcionários insatisfeitos (53%), divulgação de senhas (51%), acessos indevidos (49%) e vazamento de informações (47%) foram apontados como as cinco principais ameaças à segurança das informações nas empresas. 5 Figura 5 - Principais ameaças (MODULO, 2003) • 60% das empresas indicam a Internet como principal ponto de invasão em seus sistemas. • 63,5% dos entrevistados adotam a ISSO 17799 como a principal norma que norteia suas empresas. • Política de Segurança já é realidade em 68% das organizações. Figura 6 - Utilização de Política de Segurança (MODULO, 2003) Comparando as informações retiradas da 9º Pesquisa Nacional de Segurança da Informação, pode-se afirmar que o fator humano é o principal desafio para se ter uma boa e segura conduta de Segurança da Informação, pois mesmo tendo 68% de empresas que possuem uma Política de Segurança, os ataques continuam subindo comparando 2002 com 2003 e ainda afirmam que os ataques poderiam subir em 2004. A parte técnica da segurança da informação nas grandes corporações está em um bom caminho comparando os dados da 9º pesquisa. Softwares de antivírus melhores, instalações de firewall, implementações de Política de Segurança e capacitação técnica se estruturando a cada dia. 6 Figura 7 - Principais medidas de segurança adotadas (MODULO, 2003) As cinco principais ameaças à segurança das informações nas empresas estão relacionadas à vulnerabilidade humana. Vale reforçar que o elo mais fraco da segurança é o fator humano. O cientista mais respeitado do mundo no século XX, Albert Einstein, disse certa vez: “Apenas duas coisas são infinitas: o universo e a estupidez humana, E eu não tenho certeza se isso é verdadeiro para o primeiro”. 1.3 Objetivos do Trabalho Este trabalho propõe a realização de um estudo e de uma pesquisa, analisando de forma exploratória, práticas relacionadas à gestão de conscientização sobre a Segurança da Informação, e fornecendo contribuições ao estudo do assunto, através da caracterização de um cenário sobre o programa de conscientização da American Express do Brasil, localizada em Uberlândia. O objetivo desse trabalho é analisar os modelos para a gestão de conscientização em uso na organização, propondo um modelo mais eficaz e obtendo dicas importantes sobre como conduzir um programa de conscientização. O foco do trabalho é reforçar a importância de se ter um programa de conscientização e as melhores formas de conduzi-lo. Dada à existência de vários arranjos nos programas de conscientização, busca-se também identificar relações que influenciem a escolha de um determinado modelo de gestão. Mais especificamente, considera-se possível a existência de relações 7 entre a escolha do modelo de gestão e determinados objetivos estratégicos da organização, assim como também com fatores econômicos da organização, por exemplo, custos de produção e disponibilidade financeira. Por fim, o trabalho também procura identificar determinadas características dos modelos adotados que tiveram uma maior adesão e participação do público alvo, os colaboradores e executivos das organizações. 1.4 Justificativa para a Pesquisa A Segurança da Informação para o ambiente corporativo atual é vital para manter não só a visão como também a missão da mesma, pois no ramo de cartão de crédito toda e qualquer informação pertencente a um associado, deve manter um alto nível de segurança, não só os dados cadastrais como também informações relativas aos gastos dos mesmos. As normas e procedimentos devem fornecer claramente todas as orientações necessárias para a condução segura dos negócios da organização. É importante que elas sejam estruturadas de forma a proteger os ativos de informação. Convém dizer que a definição, os procedimentos e os motivos para cada usuário ou grupo de usuários possuírem qualquer tipo de acesso à informação devem estar especificados no documento corporativo Política de Segurança da Informação. Nele estão definidas, pelo principal executivo da organização, todas as regras de controle de acesso em vigor, treinamento, conscientização e os procedimentos para a classificação das informações (uso interno, pública, ou confidencial). Todo este esforço visa controlar e evitar os acessos não autorizados aos recursos de TI. Os executivos que, pelo menos, contemplarem adequadamente em suas políticas todas as fases do ciclo de vida de uma informação, que vai desde a sua criação e correta classificação até sua definitiva exclusão, podem minimizar os custos com sua proteção. A garantia de que uma organização possuirá um grau de segurança 8 razoável está diretamente relacionado ao nível de conscientização de seus colaboradores, ou seja, a segurança somente será eficaz se todos tiverem pleno conhecimento do que lhes é esperado e de suas responsabilidades. Eles devem saber por que são utilizadas diversas medidas de segurança (como portas sempre trancadas e uso de identificadores pessoais) e as devidas sanções caso sejam violadas. É necessário investir na conscientização de todos (colaboradores e executivos) que devem ter em mente que as informações por eles manuseadas têm valor e podem causar grandes prejuízos para a organização em que trabalham, tendo até seus empregos ameaçados devido à impossibilidade da organização realizar seus negócios e se perpetuar no tempo. O treinamento e a conscientização em segurança são considerados controles preventivos. Por meio deste processo, todos tomam ciência de suas responsabilidades em preservar a segurança física e lógica da organização. Não obstante, pode-se dizer que o treinamento e conscientização também são controles detectivos, uma vez que, ele encoraja os colaboradores a identificar e reportar as possíveis violações de segurança. O treinamento deve começar com a orientação do novo colaborador. A constante conscientização (dele e de todos) pode ser alcançada utilizando-se boletins informativos ou campanhas elaboradas pela área de marketing, realizando provas periódicas ou entrevistas para avaliar o grau de conhecimento atingido. Vale lembrar que a comunicação é um fator crítico de sucesso para a correta disseminação das políticas corporativas, já que esta provoca alterações no status quo de praticamente todos os colaboradores. Conseqüentemente obriga a mudança na forma de trabalho e qualquer mudança gera resistência, sendo a comunicação, a melhor maneira de reduzir os conflitos inerentes à mudança. Desse modo este trabalho irá avaliar e demonstrar as grandes dificuldades que as empresas passam no dia a dia com relação à comunicação e a conscientização de seus colaboradores. 9 1.5 Organização do Trabalho O capítulo dois apresenta a fundamentação teórica usada para o desenvolvimento do estudo e da pesquisa, baseada em uma revisão da bibliografia existente sobre dado, informação e conhecimento, a informação como recurso da organização, o que é segurança da informação, como a informação pode ser classificada, os objetivos da segurança da informação, política de segurança, como desenvolver uma política de segurança,o que é uma vulnerabilidade, diferenciação entre ameaça e vulnerabilidade, os aspectos da Segurança e seus riscos. Neste capítulo refere-se também os aspectos de como administrar a segurança da informação bem como o papel dos responsáveis pelas normas e Políticas de Segurança. O capítulo três discorre sobre a Engenharia Social, mostrando como ela está presente em nosso cotidiano, com o objetivo de alertar que o elo mais fraco que rege em todas as empresas de qualquer setor é o fator humano. A pesquisa realizada sobre este tema é baseada em uma revisão bibliográfica existente sobre perfil do engenheiro social, as ferramentas do engenheiro social, a arte do engenheiro social e suas técnicas, pontos fracos explorados pelo engenheiro social, checando o lixo e uma dinâmica de como evitar ou dificultar a entrega de informações. No capítulo quatro será feita uma “junção” da Engenharia Social com a Segurança da Informação, destacando as vulnerabilidades e ameaças existentes que a engenharia social traz consigo, afetando assim a segurança das informações, perante a “luta” propriamente dita entre Engenharia Social versus Security Office e a utilização do COBIT como uma referência na gestão da Segurança da Informação. O capítulo cinco trata do estudo realizado no modelo de conscientização existente em uma das grandes corporações da Uberlândia: A American Express, com o intuito de levantar algumas oportunidades encontradas para auxiliar a qualquer desenvolvedor de um programa de conscientização, contribuindo para um melhor resultado, tendo o objetivo de atingir os três públicos: auditivo, visual e o sinestésico. Estes diversos assuntos são apresentados e discutidos por serem 10 elementos indispensáveis para a criação de um quadro de referência, que permita a compreensão dos vários aspectos envolvendo o problema de pesquisa. Por fim no capítulo seis, será apresentada a conclusão do trabalho desenvolvido. 11 2 A IMPORTÂNCIA DA INFORMAÇÃO Desde os tempos primitivos o ato de se comunicar por mais arcaico que fosse, era um meio de transmitir informação. Hoje não há mais a necessidade de olhar nos olhos para transmitir uma informação íntegra confidencial e disponível. Muita coisa mudou e com a acelerada transformação de recursos, idéias e ideais o homem percebeu e está descobrindo cada vez mais que a informação é como o ar que respiramos: essencial. A informação de uma empresa é o seu principal patrimônio. O Código de prática para a gestão da segurança da informação diz que: “A informação é um ativo que, como qualquer outro, importante para os negócios, tem um valor para a organização. A segurança da informação da informação protege a informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos ao negócio e maximizar o retorno dos investimentos e as oportunidades de negócios”. (NBR ISSO/IEC 17799:2001, pág.2). A informação é mais um dos recursos a serem administrados pela organização. Neste sentido, aborda-se a seguir aspectos relevantes sobre a informação e seu valor para as organizações. 2.1 Dado, Informação e Conhecimento Para definir informação, diversos autores buscam discernir os termos, dado, informação e conhecimento. Esta distinção entre os termos é difícil, mas, mesmo imprecisa, é necessária para a compreensão do tema. Durante anos, as pessoas se referiram a dados como informação; agora vêem-se obrigadas a lançar mão de conhecimento para falar sobre a informação. Em seguida é apresento de modo sintético o significado de cada termo. 1) DADO: Simples observações sobre o estado do mundo, é facilmente estruturado, facilmente obtido por máquinas, freqüentemente quantificado e facilmente transferível. 2) INFORMAÇÃO: Dados dotados de relevância, requer unidade de 12 análise, exigem consenso em relação ao significado e exige necessariamente a mediação humana. Informação vem da palavra latina informare, que significa ‘dar forma’. Os filósofos antigos usaram esta palavra por acreditar que a mente humana é que dá forma aos dados para criar a informação e o conhecimento. Essa concepção permanece até hoje na cultura ocidental. Convém definir informação como “o conjunto de dados aos quais seres humanos deram forma para torná-los significativos e úteis”, e conhecimento como “o conjunto de ferramentas conceituais e categorias usadas pelos seres humanos para criar, colecionar, armazenar e compartilhar a informação”. 3) CONHECIMENTO: Informação valiosa da mente humana. Inclui reflexão, síntese e contexto. De difícil estruturação, difícil captura em máquinas, freqüentemente tácito e de difícil transferência. Observa-se que os conceitos apresentados convergem no sentido de caracterizar os dados como elemento bruto, que precisam da intervenção humana para transformar-se em informação. Ao contrário dos dados, apenas a informação e o conhecimento têm condições de interferir ou modificar o comportamento de uma organização. A nossa sociedade contemporânea, uma sociedade de caráter pós- industrial, refere-se freqüentemente como sendo uma “Economia da Informação”, ou a uma “Era da Informação”. Em nível mais simplista, isso significa que, mais e mais, o que as pessoas produzem está ligado à informação do que aos bens físicos (Davenport e Prusak, 2000, p.18). 2.2 A Informação como Recurso da Organização É preciso entender as organizações como sistemas. Os recursos de que a organização dispõe são elementos desse sistema que serão processados e transformados em produtos ou serviços. São eles: recursos financeiros, recursos materiais, recursos humanos e recursos de informação. A informação é um recurso que não se deteriora nem se deprecia; é infinitamente reutilizável e tem seu valor determinado exclusivamente pelo usuário. 13 A Informação é o único recurso que não se perde com o uso ou com a disseminação. A informação só se perde quando se torna obsoleta. É um tipo especial de recurso útil às organizações e que precisa ser administrado. O propósito básico da informação é o de habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos disponíveis, nos quais se inserem pessoas, materiais, equipamentos, tecnologia, dinheiro, além da própria informação. Mediante o quadro crítico que se encontra todo tipo de organização ao tratar suas informações sejam elas confidenciais ou não, torna-se fundamental não tão somente ao profissional da área de Tecnologia da Informação, mas também os demais responsáveis por algum tipo de informação que comprometa a empresa, serem orientados, instruídos e comprometidos ao melhor tratamento e cuidados com as informações. (Rangel, 2003). Na época em que as informações eram armazenadas em papel, a segurança era relativamente simples. Com as mudanças tecnológicas e o uso do mainframe, a estrutura de segurança ficou mais sofisticada, possuindo controles centralizados. Com a chegada dos computadores pessoais e das redes que conectam o mundo inteiro, os aspectos de segurança atingiram tamanha complexidade, que há a necessidade do desenvolvimento de equipes cada vez mais especializadas para sua implementação e gerenciamento. Para garantir a segurança da informação de qualquer empresa é necessário que haja Normas e Procedimentos claros, que deverão ser seguidos por todos os usuários da empresa. A maior dificuldade das grandes empresas é garantir que todos os usuários conheçam e sigam as normas e procedimentos da mesma e entendam a sua importância. A utilização de controles de segurança para garantir o adequado acesso a programas, arquivos de dados, aplicações e redes deve ser cuidadosamente tratada pelos gestores de todas as áreas da organização e, principalmente, pela Alta Administração em função das leis em vigor impostas por órgãos regulatórios e políticas internas. Os executivos que, ao menos, contemplarem adequadamente em suas políticas todas as fasesdo ciclo de vida de uma informação, que vai desde a 14 sua criação e correta classificação até sua definitiva exclusão, podem minimizar os custos com sua proteção (Modulo, 2005). 2.3 Classificação de Informações De acordo com POLÍTICA... (2002, p.2)[4], todo tipo de documento de uma corporação deve exibir, de maneira clara, o respectivo grau de acessibilidade, ou seja, seu grau de sigilo, o que requer classificar todas as informações segundo o seu grau de criticidade e âmbito de acesso: 1) Informações Confidenciais: só podem ser disseminadas para empregados previamente nomeados. 2) Informações Corporativas: sua divulgação restringe-se ao âmbito da Empresa. 3) Informações Públicas: podem ser disseminadas dentro e fora da Empresa. Convém que informações e resultados de sistemas que processam dados classificados sejam rotulados de acordo com seu valor e sua sensibilidade para a organização. Também pode ser apropriado rotular a informação em termos quão crítica ela é para a organização como, por exemplo, em termos de integridade e disponibilidade. A informação freqüentemente deixa de ser sensível ou crítica após certo período de tempo, por exemplo, quando a informação se torna pública. Sugere-se que estes aspectos sejam levados em consideração, pois uma classificação, superestimada pode levar à custos adicionais desnecessários. Pede-se que as regras de classificação previnam e alertem para o fato de que um determinado item de informação não tem necessariamente uma classificação fixa, podendo sofrer modificação de acordo com alguma política predeterminada. 15 2.4 O que é Segurança da Informação? Segundo alguns conceitos básicos publicados pela Modulo Security e para fundamentação do trabalho, a Segurança da Informação é o conjunto de dados, imagens, textos e outras formas de representação usadas para os valores da Companhia, associados ao seu funcionamento ou manutenção das suas vantagens competitivas. Conforme POLÍTICA... (2002, p. 1-4)[4], os conceitos podem ser definidos como: 1) Recursos de informação: são todos os meios usados para obtenção, geração, armazenamento e transporte das informações. Inclui: os recursos do ambiente de tecnologia da informação (instalações e equipamentos e informática e telecomunicações, sistemas operacionais, aplicativos e sistemas de informações usados nesses equipamentos) e outros recursos convencionais (arquivos, papel, microfilme, mapas, etc.). 2) Sistema de Informação: é um conjunto de processos e recursos do ambiente de tecnologia da informação organizados para prover, de modo sistemático, informações para a Companhia. 3) Órgão Proprietário da Informação: é o órgão da empresa responsável pelas informações de uma determinada área de atividade da Companhia. 4) Proprietário da Informação: empregado, designado pelo Órgão Proprietário da Informação, para responder perante a Companhia pela classificação das informações e definição das suas necessidades de segurança. 5) Comitê de Segurança de Informações: é o comitê constituído pela Diretoria Executiva da empresa com a finalidade de implantar e garantir o cumprimento da Política de Segurança da Informação no âmbito da Companhia. 6) Gerente de Segurança de Informações do Órgão: empregado designado pelo órgão da Companhia, como responsável pelo cumprimento da Política de Segurança de Informações no âmbito do órgão, servindo de interface entre gerentes, proprietários, usuários, custodiantes, Gerência de Tecnologia da 16 Informação do Órgão e o Comitê de Segurança de Informações. 2.4.1 As tríplices da Segurança da Informação A segurança das informações jamais será alcançada se a tríplice PPT - Pessoas, Processos e Tecnologias – não for aplicada à estratégia de segurança. A Figura 8 ilustra a forma tridimensional (uma variação) que a estratégia de segurança deve ter para que seja efetiva. Figura 8 - PPT - Pessoas, Processos e Tecnologias (MODULO, 2003) O ponto de equilíbrio mostrado na Figura 8 poderá, ou deverá variar de empresa para empresa, ou até mesmo de um processo de negócio para outro dentro da mesma empresa. O que não deve ser acontecer jamais é este ponto ficar sobre um dos eixos cartesianos, ou tendendo a zero, pois não estaria contemplando uma das partes da tríplice, e consequentemente tornando a estratégia falha. Explorando um pouco mais esta tríplice teremos: 1) Pessoas: educação – o que fazer; treinamento – como fazer e conscientização – por que fazer. Já virou jargão no ramo da segurança: o elo mais fraco da corrente da segurança são as pessoas. É nas pessoas que começa e termina a segurança, basta que uma, na cadeia de processos, não esteja preparada para que o risco de incidente aumente consideravelmente. 2) Processos: estes devem ser flexíveis até o ponto que não afete a segurança das informações, a partir daí devem ser tratados de forma rígida e 17 metódica. Processos não podem ser engessados pelos controles e tecnologias, pois acabaria por causar a perda da agilidade e dinâmica da empresa, mas esta não deve ser mantida em detrimento da segurança. O equilíbrio deve ser buscado sempre. 3) Tecnologias: A tecnologia só deverá ser aplicada onde puder suportar a Política de Segurança das Informações, as Normas e os Processos definidos para cumprimento da estratégia de segurança, e para reforçar o elo mais fraco da corrente, as pessoas. Se a norma diz que a estação de trabalho deve ser bloqueada na ausência do usuário, aplica-se a tecnologia para que o bloqueio seja automático em caso de falha humana (esquecimento do Ctrl+Alt+Del – Bloquear Computador), por exemplo. Qualquer estratégia de segurança que não complete esta tríplice, não assegurará o nível necessário de segurança das informações, assim como a dosagem errada de cada parte também não o fará. Este é um dos verdadeiros desafios do Security Officer: dosar e aplicar cada parte desta tríplice, buscando investimentos, quebrando paradigmas, derrubando as resistências às mudanças e formando um exército de usuários colaboradores, para que a tão esperada segurança seja efetiva. 2.4.2 Objetivos da Segurança de Informação Quando se pensa em Segurança da Informação, a primeira idéia que nos vem à mente é a proteção da mesma não importando onde ela esteja. Um sistema computacional é considerado seguro se houver uma garantia do que é capaz de atuar exatamente como esperado. Porém, segurança é um conceito que vai muito além disso. Espera-se que a informação armazenada em um sistema computacional permaneça lá, sem que pessoas não tenham acesso a seu conteúdo, ou seja, é expectativa de qualquer usuário que as informações estejam em local adequado, disponíveis no momento desejado, que sejam confiáveis, corretas e permaneçam protegidas contra acessos indesejados. Essas expectativas correspondem aos objetivos da segurança. 18 Destacam-se entre os objetivos da segurança, SEGURANÇA DA TECNOLOGIA... (2002): 1) Confidencialidade ou privacidade: proteger as informações contra acesso de qualquer pessoa não autorizada pelo gestor da informação. Este objetivo envolve medidas como controle de acesso e criptografia. 2) Integridade dos dados: evitar que dados sejam apagados, ou alterados sem a permissão do gestor da informação. 3) Legalidade: estado legal da informação, em conformidade com os preceitos da legislação em vigor. 4) Disponibilidade: garantir o provimento do serviço de informática, sob demanda, sempre que necessário aos usuários autorizados. As medidas relacionadas a esse objetivo podem ser duplicações de equipamentos/sistemas e backup. Um bom exemplo de ataque contra disponibilidade é a sobrecarga provocada por usuários ao enviar enormes quantidades de solicitação de conexão com o intuito de provocar pane nos sistemas. 5) Consistência: certificar-se de que o sistema atua de acordo com a expectativa dos usuários. 6)Isolamento ou uso legítimo: controlar o acesso ao sistema. Garantir que somente usuários autorizados possuam acesso ao sistema. 7) Auditoria: proteger os sistemas contra erros e atos cometidos por usuários autorizados. Para identificar autores e ações, são utilizadas trilhas de auditorias e logs, que registram o que foi executado o sistema, por quem e quando. 8) Confiabilidade: – garantir que, mesmo em condições adversas, o sistema atuará conforme esperado. Antes de implementar um programa de segurança de informações, é aconselhável responder às seguintes questões: a) O que proteger? b) Contra que ou quem? c) Quais as ameaças mais prováveis? d) Qual a importância de cada recurso? e) Qual o grau de proteção desejado? 19 f) Quanto tempo, recursos humanos e financeiros se pretendem gastar para atingir os objetivos de segurança desejados? g) Quais as expectativas dos usuários e clientes em relação à segurança de informações? h) Quais as conseqüências para a instituição se seus sistemas e informações forem violadas ou roubadas? Tendo a resposta a essas perguntas, é definida a Política de Segurança da Informação e analisadas as ameaças, fazendo-se uma análise de riscos. A tecnologia de segurança a ser implantadas deve atender aos requisitos da política. Por fim, para administrar os sistemas, é necessário implantar uma gerência de segurança. Segurança de Informação é a conjugação de uma estratégia e de ferramentas específicas que atendam as necessidades corporativas para a manutenção de um ambiente saudável. Considerada um item vivo, a política de segurança nunca está acabada e deve ser desenvolvida e atualizada durante toda a vida da empresa (COLTRO, 2002, p.26). 2.4.3 Política de Segurança Uma política de segurança é um conjunto de regras e práticas que regulam como uma organização gerência, protege e distribui suas informações e recursos. As políticas devem fornecer claramente todas as orientações necessárias para a condução segura dos negócios da organização. É importante que elas sejam estruturadas de forma a proteger os ativos de informação. A Política de Segurança deve incluir regras detalhadas, definindo como as informações e os recursos da organização devem ser manipulados. Deve definir, também, o que é o e que não é permitido em termos de segurança, durante a operação de um dado sistema. Existem dois tipos de políticas: 20 1) Política baseada em regras: as regras deste tipo de política utilizam os rótulos dos recursos e processos para determinar o tipo de acesso que pode ser efetuado. No caso de uma rede de computadores, os dispositivos que implementam os canais de comunicação, quando é permitido transmitir dados nesses canais, etc. 2) Política baseada em segurança: o objetivo deste tipo de política é permitir a implementação de um esquema de controle de acesso que possibilite especificar o que cada indivíduo pode ler, modificar ou usar para desempenhar suas funções na organização. 2.4.4 Desenvolvimento de uma Política de Segurança • Pesquisar o conteúdo que terá a política. • Minutar o texto que descreve a política. • Obter a aprovação dos altos escalões da administração da organização. • Disseminar a política de segurança em todos os escalões da organização. Todo esforço de criação de uma Política de Segurança é evitar ou tratar qualquer vulnerabilidade. 2.5 O que é uma Vulnerabilidade? Uma vulnerabilidade é considerada uma falha que expõe o sistema sob algum dos aspectos da segurança. Uma vulnerabilidade pode comprometer um sistema como um todo ou parte dele. Uma vulnerabilidade torna-se um risco em potencial. Existem vários tipos de vulnerabilidades, a que será tratada neste trabalho será: 21 Vulnerabilidade Humana: • Falta de treinamento. • Compartilhamento de informações confidenciais. • Desobediência ou não execução de rotinas de segurança. • Falta de comprometimento dos funcionários. 2.5.1 Diferenciando Ameaça de Vulnerabilidade Para conseguir um melhor entendimento sobre tal diferença, imagine o seguinte: Quando você se sente ameaçado seja por qualquer tipo de fator ou circunstância, não necessariamente você se sente vulnerável. Mas quando você se considera vulnerável a alguma situação ou momento, instintivamente você se vê, ou se acha ameaçado. Não é uma regra, mas vale principalmente no contexto do que se diz respeito as informações. As ameaças são muitas das vezes conseqüências das vulnerabilidades existentes, provocando assim perdas de confidencialidade, integridade e disponibilidade. E podem ser divididas em: 1) Ameaças naturais: fenômenos da natureza. 2) Ameaças involuntárias: ocorre mais devido o desconhecimento, ou acidentes, erros dentre outros. 3) Ameaças voluntárias: a que mais se relaciona com a Engenharia Social. Causadas por hacker, invasões, espiões, disseminadores de vírus de computador. São ameaças propositais, de ocorrência humana. As vulnerabilidades são frutos também de ameaças generalizadas e exploradas afetando assim a segurança das informações. As vulnerabilidades podem ser: 1) Físicas: salas de CPD mal planejadas, estrutura de segurança fora dos padrões exigidos. 2) Naturais: computadores são propensos a sofrerem danos naturais, como tempestades, incêndio, além, por exemplo, de falta de energia, acúmulo de poeira, aumento da umidade e temperatura. 22 3) Hardware: desgaste do equipamento, obsolescência ou má utilização. 4) Software: má instalação, erros de configuração, vazamento de informações dependendo do caso, perda de dados ou indisponibilidade de recursos. 5) Mídias: disquetes, CDs podem ser perdidos ou danificados, onde a radiação eletromagnética pode causar danos as vezes irreparáveis nas mídias. 6) Comunicação: acessos não autorizados ou perda de comunicação. 7) Humanas: que serão tratadas nos próximos capítulos, como por exemplo, das técnicas de engenharia social, as vulnerabilidades referindo-se ao fator humano, como falta de treinamento, conscientização e o não seguimento das políticas de segurança. 2.5.2 Teste com “O JOGO DA SEGURANÇA” A empresa Módulo Security Solutions líder em Segurança da Informação na América Latina, trouxe inúmeros outros artigos que sempre divulga em seu portal, um também muito interessante e bastante didático desenvolvido pelo Módulo Education Center, relativo à Segurança da Informação, no ambiente corporativo. Que é: “O jogo da segurança”. Na Figura 9 apresentada a seguir, faz uma demonstração de um ambiente de trabalho, ainda muito presente nos dias de hoje, onde se encontra inúmeras falhas de segurança no âmbito físico, técnico e humano, reforçando o que já foi relatado neste capítulo. Detectaram-se algumas falhas agravantes, como também simples de serem resolvidas, seguindo políticas de segurança e condutas educativas por parte dos funcionários da empresa. 23 Figura 9 - Ambiente sem políticas de Segurança (MODULO, 2003) Como percebido na Figura 9, realmente muitas medidas deverão ser tomadas para se não resolver todas, ao menos minimizar tamanha desordem, imprudência e insegurança. 2.6 Aspectos da Segurança Deve-se ter em mente que o alicerce que assegura os princípios básicos da segurança da informação (confidencialidade/integridade/disponibilidade) tange como principais questionamentos quando da ocorrência de alguma ameaça surgida, três aspectos: Segurança Física; Segurança Tecnológica; Segurança Humana. Sendo esta última citada como o fator que se deve dar uma atenção especial. Pois se cobrindo de cuidados perante ela, pode evitar com que as outras duas venham ser evitadas ou diminuir a probabilidade de ocorrência. Um esboço claro do ciclo de vida das informações diante os processos decorrentes ao negócio da empresa, transparecendo a ocorrência de ameaças, perante os três aspectos citados acima, é mostrada naFigura 10. 24 Figura 10 - Os três pólos da Segurança 2.6.1 Risco de Segurança A existência da insegurança é fato. E a inexistência da segurança é preocupante! A verdade é que, medidas de segurança devem realmente ser inseridas como quesito básico e primordial a toda empresa. Sabendo-se que o risco não é literalmente levado a zero. O risco de segurança tenderá sempre a zero, ou seja, coerente com que já foi mencionado acima, onde 100% seguro não estará, mas ao menos deixar em um nível baixo de insegurança isso é possível. A figura abaixo mostra uma fórmula que exemplifica bem o que seria esse risco de segurança tendendo a zero, segundo Marcos Sêmola (SÊMOLA, Marcos, 2003): 25 Figura 11 - Fórmula de Marcos Sêmola 2.7 Security Officer Resumidamente, o papel do Security Officer é ser responsável pela coordenação dos processos inerentes à segurança da Informação. Onde este chefe de segurança junto com um plano diretor de segurança tomará os devidos cuidados quanto ao tratamento de dispor e descartar informações baseando-se nas políticas de segurança impostas e estruturadas conforme as necessidades que cada organização tem em particular. Muito importante ressaltar que o Security Officer estará respeitando todas as características peculiares de cada nível que será inserida as condutas de segurança da informação (nível Executivo, nível Tático e nível Operacional), passando pelas chamadas fases para aplicabilidade de atividades que são: 1) Planejar: onde se definirá os planos de segurança e negócios assim como as políticas a serem seguidas. 2) Analisar: verificam-se vulnerabilidades, ameaça e impactos existentes, que podem comprometer o negócio da empresa. (Analise de riscos e testes de invasão). 3) Implementar: fase que materializa as ações tidas como necessárias no diagnóstico e organizadas pelo planejamento, fazendo a implementação, por exemplo, dos controles de segurança assim como o treinamento e sensibilização em segurança por parte dos funcionários. 4) Coordenar: nada mais é que a fase de gerir tudo o que foi feito com os três itens citados anteriormente, administrando ou monitorando todas as ações de segurança, percebendo mudanças em âmbito físico, tecnológico e humano com uma equipe para respostas e incidentes. 26 3 ENGENHARIA SOCIAL Com o crescimento da inclusão digital em toda parte do mundo, o acesso à informação está mais fácil. O reflexo deste novo panorama traduz-se em episódios cada vez mais freqüentes de saques eletrônicos indevidos; clonagem de cartões de crédito; acesso a bases de dados confidenciais, dentre inúmeras outras ameaças. A segurança da informação vem sendo tema de grande debate neste novo milênio. As organizações estão buscando soluções práticas e efetivas, que possam trazer otimização de suas atividades, mas ao mesmo tempo segurança em operar seus mecanismos de trabalho. A forma como a organização deverá gerir este desafio, irá se deparar em duas frentes: a segurança da informação em âmbito físico e técnico. Mas abstendo-se quase que somente a preocupar-se com a tecnologia e toda a estrutura a ser empregada, esquecem do elo mais fraco que rege em todas as empresas de qualquer setor: O FATOR HUMANO. A chamada engenharia social. Agora além dos hackers e vírus, o funcionário insatisfeito e o vazamento de informações indevidas, passam a fazer parte do rol de preocupações. A engenharia social em si, propriamente dita, está inserida como um dos desafios (se não o maior deles), mais complexos no âmbito das vulnerabilidades encontradas na gestão da Segurança da Informação. O sucesso no ataque de engenharia social ocorre geralmente quando os alvos são as pessoas ingênuas ou aquelas que simplesmente desconhecem as melhores práticas de segurança. De acordo com a cartilha de segurança do CERT/BR (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil), a engenharia social é “um método de ataque onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações”. Fernando Nicolau Freitas Ferreira (MODULO, 2005) Levando-se em conta o significado das palavras supostamente separadas, têm-se: 1) Engenharia: arte de aplicar conhecimentos científicos e empíricos e certas habilitações específicas à criação de estruturas, dispositivos e processos que 27 se utilizam para converter recursos naturais em formas adequadas ao atendimento das necessidades humanas. 2) Social: da sociedade, ou relativo a ela. Sociável. Que interessa à sociedade. Muitos são os significados e interpretações dadas a “Engenharia Social”, Mas uma das melhores encontradas segundo a Konsultex Informática, empresa de software especializada em gerenciamento de projetos, é a seguinte: Engenharia Social é a ciência que estuda como o conhecimento do comportamento humano pode ser utilizado para induzir uma pessoa a atuar segundo seu desejo. Não se trata de hipnose ou controle da mente, as técnicas de Engenharia Social são amplamente utilizadas por detetives (para obter informação), e magistrados (para comprovar se um declarante fala a verdade). Também é utilizada para lograr todo tipo de fraudes, inclusive invasão de sistemas eletrônicos. (KONSULTEX, 2003) Ou segundo um dos maiores especialistas na arte da engenharia social, Kevin Mitnick: “É um termo�diferente�para�definir�o uso de persuasão para influenciar as pessoas a concordar com um pedido” (MITNICK, 2003). 3.1 Perfil do Engenheiro Social Geralmente o engenheiro social é um tipo de pessoa agradável. Ou seja, uma pessoa educada, simpática, carismática. Mas, sobretudo criativa, flexível e dinâmica. Possuindo uma conversa bastante envolvente. Embora existam inúmeros “engenheiros sociais” espalhados pelo mundo, exercendo propositalmente esta arte para o bem ou para o mal, assim como pessoas que mesmo sem o conhecimento prévio desta designação, já cometeram o ato de engenharia social, de alguma forma ocasionalmente em suas rotinas diárias; dois personagens merecem destaques relevantes no contexto da engenharia social: Frank Abagnale W. Jr e Kevin D. Mitnick. 28 3.1.1 As ferramentas do Engenheiro Social Como principais ferramentas utilizadas pelo praticante de engenharia social têm-se: • Telefone - (se passar por alguém que não é, seria um dos típicos ataques de engenharia social, como na personificação – help-desk). • Internet - (coleta de informações – como, por exemplo, sites que fornecem id e passwords default, sites clonados etc,). • E-mail - (Fakemail, e-mail falsos). • Pessoalmente - (poder de persuasão, habilidade em saber conversar, tipo de ataque mais raro). • Chats (bate papo) – assim como no telefone, fazer-se passar por alguém que na verdade não é, fica muito mais fácil pelos canais de bate-papo. Pois além de tudo, mandar fotos fica bem mais atrativo e seduz mais facilmente a conseguir informações que deseja. • Cartas/correspondência – não é o meio mais moderno sem dúvida, mas acredite e um recurso poderoso que faz como uma das maiores vítimas, pessoas mais velhas. Não somente idosos, mas principalmente aquelas que têm certa resistência à tecnologia. É muito fácil hoje elaborar cartas – documentos com logomarcas e tudo mais, dando-se a impressão de que se trata realmente daquela origem. • Spyware – software especializado usado para monitorar de modo oculto as atividades do computador de um alvo. • Mergulho no lixo – (várias coisas que são descartadas para o lixo, muita das vezes contem informações essenciais ao suposto engenheiro social). • Surfar sobre os ombros – é o ato de observar uma pessoa digitando no teclado do computador para descobrir e roubar sua senha ou outras informações de usuário. 29 3.2 Aarte do Engenheiro Social e suas técnicas As técnicas utilizadas por um engenheiro social estão em constante evolução. Procuram sempre buscar algo inovador, diferente do tradicional para conseguir atingir seus objetivos. Mas mesmo perante tais transformações e mudanças no segmento da arte de enganar, modificando ou incrementando seus ataques, o engenheiro social utiliza-se sempre de alguns aspectos clássicos de ataque, que serão vistos a seguir. 3.2.1 Informações inofensivas x valiosas Quando as informações não são inofensivas? Pergunta difícil de ser respondida partindo-se do ponto de vista “funcionário despreparado”. Como um jogo de quebra-cabeça, as informações são postas como “pedaços” importantes, que se juntando aos outros “pedaços” formarão o resultado final do que se espera. Assim, informações que parecem ser irrelevantes ou tão pouco consideradas como importantes, quando juntadas a outras também assim consideradas tomam forma diferente daquilo que imaginávamos ser inofensivo. E passa a ser a chave que o engenheiro social precisava para abrir o “reino encantado” e ter acesso a informações que até então eram confidenciais. Fica a atenção que deve prevalecer a qualquer tipo de informação que for repassada. O funcionário deve pensar antes se realmente aquilo que lhe foi pedido é inofensivo ou não. Vale a seguinte regra: Não dê nenhuma informação pessoal ou interna da empresa, nem identificadores para ninguém, a menos que a sua voz seja conhecida e o solicitante tenha necessidade de saber a informação. Segundo Kevin Mitnick: Como diz o ditado: até mesmo os verdadeiros paranóicos provavelmente têm inimigos. Devemos assumir que cada empresa também tem os seus – os atacantes que visam à infra-estrutura da rede para comprometer os segredos da empresa. Não acabe sendo uma estatística nos crimes de computadores; está mais do que na hora de armazenar as defesas necessárias implementando controles adequados por meio de políticas de segurança e procedimentos bem planejados.(MITNICK, 2003) 30 Portanto, neuroses e paranóias a parte, nunca é demais prevenir, educar e estar cada vez mais atento. Pois aquelas informações que você acha aparentar serem inofensivas podem ser as chaves para os segredos mais valiosos que a empresa guarda. 3.2.2 Criando a confiança Pode parecer estranho acreditar que praticamente todas as pessoas estão sujeitas a serem enganadas a qualquer momento em qualquer lugar. Segurança parece estar muito próximo da confiança. O que realmente é uma verdade. Segundo Yamagishi: “... a confiança generalizada é a expectativa básica de um comportamento não-explorador da contraparte, até prova em contrário”. (LUDASEN, 2002). Confiança não é transitiva: Eu confio em Maria, e Maria confia em João, não significa que eu confio em João. Por exemplo, Maria pode acessar dados secretos para o seu trabalho; então ela pode copiá-los para a sua área e dar a João acesso a eles! Agora João tem acesso a dados secretos (uma cópia deles pelo menos!). O problema, porém, foi causado por Maria, que era a depositária da nossa confiança, e “nos traiu”. Seria desejável que este tipo de vazamento pudesse ser contido. O que o engenheiro social nada mais faz é simplesmente adquirir primeiro esta confiança para que depois de reforçado esse “vínculo” de amizade criado, possa então atacar e conseguir as informações. Ele prepara toda a teia de situações que pode vir a ocorrer, como questionamentos e perguntas das quais ele possa ter que responder no ato, sem gaguejar ou demonstrar insegurança, a ponto da vitima não ter motivo de desconfiar de algo estranho nessa conversa. A princípio é que quando as pessoas não têm um determinado motivo para suspeitar, é onde o engenheiro social ganha a confiança mais facilmente. O hábito de aprendermos a nos educar cada vez mais a observar, pensar e questionar 31 a autoridade que aparenta ser no momento é de fundamental importância para ao menos dificultar a entrega de informações preciosas, ou até mesmo de informações que achamos não ser importantes serem compartilhadas. O cuidado que se deve tomar vale para todos os aspectos e situações inerentes ao tipo de atacante que venha a nos persuadir. Quando éramos crianças, nossos pais nos ensinavam a não confiar em estranhos. Talvez todos devessem adotar esse antigo princípio no ambiente de trabalho. 3.2.3 Simplesmente pedindo Considerada literalmente a técnica mais simples de se conseguir informação. Quando você tem alguma dúvida ou quer saber alguma informação, o que você faz naturalmente é pedir. Então nada mais prático e simples é solicitar o pedido da informação interessada para a suposta vítima. Sem dúvida alguma, o engenheiro social tem truques fabulosos a ponto de conseguir absorver da mais simples a suposta impossível fonte de informações que uma determinada empresa guarda. Mas pode acreditar que este simples e dito ataque de pedir as informações funciona. Primeiramente o engenheiro social deve sim ter ao menos conhecimento de alguns jargões comumente utilizados naquele ambiente que se pretende o ataque. O saber da linguagem de uma empresa e de sua estrutura corporativa, bem como os departamentos ali existentes e suas funções, fazem parte da bagagem essencial de truques que um engenheiro social bem sucedido deve ter consigo. Após ter em mãos tais conhecimentos fica mais fácil ter a confiança da pessoa que disponibilizará a informação. Segundo Kevin Mitnick em sua entrevista aqui no Brasil para a Information Week Brasil (revista especializada em assuntos tecnológicos), existem seis características do comportamento humano que podem ser explorados pelo engenheiro social, onde duas delas é destaque neste contexto da técnica do ‘simplesmente pedindo’. Que são: a autoridade e o medo. Autoridade, devido o que fora mencionado anteriormente com relação à credibilidade. Ou seja, após ter conhecimento suficiente para demonstrar que 32 sabe do que está falando além da confiança com quem está falando (na mesma linguagem transposta os jargões comuns utilizados) e, sobretudo aonde que chegar, manipulando de forma segura e convicta, faz com que a vítima seja quase sufocada a dispor a informação requisitada. Levando-se em conta também o fator conseqüente da outra característica do comportamento humano: o medo. 3.2.4 Técnica do “Posso Ajudar ?” Dispondo-se desta técnica do “posso ajudar?” o atacante (engenheiro social) com sua habilidade nata de persuasão conseguem criar um problema para você. E aproveitando desse eventual problema criado, o engenheiro social, passa a ser definitivamente a solução exata destes seus problemas. Aí é onde mora o perigo. Um dos pratos prediletos do engenheiro social é justamente conseguir as informações partindo da gratidão imposta pelo favor executado por ele. “O atacante cria uma teia para convencer o alvo de que ele tem um problema que na verdade não existe – ou, como neste caso, de um problema que ainda não aconteceu, mas que o atacante sabe que acontecerá porque ele vai causá-lo”. Em seguida, ele se apresenta como a pessoa que pode fornecer a solução (MITNICK, 2003). Esse tipo de ataque, ou esta técnica utilizada, conhecida como engenharia social inversa, é extremamente poderosa. Pois parte-se da premissa de que o engenheiro social tem absoluta credibilidade para conseguir as informações que deseja. Portanto caso alguém venha lhe fazer um favor e mais tarde vier pedir outro em troca, não vá imediatamente retribuir, sem ao menos pensar cuidadosamente as conseqüências daquilo que lhe pediu, possa vir a trazer no presente momento, ou futuramente se transtornos às vezes irreparáveis. 3.2.5 Técnica do “Você pode me ajudar ?” Parecido com a técnica do “simplesmente pedindo”, pois se baseia no fato de estar também solicitando um pedido de informação. Uma das diferenças é a 33 questão da utilização da dramaticidadejuntamente com a humildade pela qual o atacante (engenheiro social) faz o pedido. Sem dúvida, um dos métodos mais poderosos utilizados pelos engenheiros sociais é o golpe simples de fingir que precisa de ajuda. Levando-se em conta que o funcionário novo ou velho de casa vendo a necessidade simplória de poder ajudar um “companheiro de trabalho”, que acabara de requisitar uma informação, não hesitara em cooperar e assim fornecer o que deseja. Deve-se então ficar atento que no ensejo desta boa vontade de poder ajudar o próximo, fica a grande chance de o engenheiro social poder explorar esse tipo de vulnerabilidade, aproveitando assim essa disposição de ajudar, para então conseguir atingir seu objetivo. 3.3 A Engenharia Social na Internet Sem sombra de dúvidas a Internet é um excelente recurso para coleta de informações assim como para “incrementar” a finalização de um ataque de engenharia social. Armadilhas como sites clonados, mensagens enganosas que chegam a nosso correio eletrônico – fakemail (e-mails falsos) com anexos aparentemente inofensivos, chats (bate-papos), são ferramentas freqüentemente utilizadas pelo engenheiro social. Os aparentes “programinhas inofensivos”, mas muito maldosos que são inseridos nos computadores, na maioria das vezes por nós mesmos persuadidos ou induzidos por alguém (engenheiro social) ou por algum motivo (anúncios atraentes de algo que nos interessa, via e-mail) são exemplos de transtornos que podem surgir, se não ficar atento e assim prevenir que qualquer tipo do chamado malware – abreviação de Malicious software seja executada dando acesso total ao seu computador, como se o atacante estivesse sentado em frente a sua máquina usando seu teclado. Mensagens de e-mails com títulos familiares, podem fazer com que você acredite ser de alguém que na verdade não é. Portanto, muita atenção ao sair abrindo anexos e clicando em links sem o prévio cuidado necessário de segurança. “Chorar o leite derramado” não vai fazer com que volte o tempo e previna-se do 34 acontecido. Lembre-se sempre: Na dúvida não faça nada! Pare, pense e se necessário confirme a procedência de alguma forma, ao ponto de lhe dar a firme segurança de poder abrir ou executar o que fora recebido. Links que lhe direcionam para determinada página que na verdade não é a original, é outro ponto a ser destacado de vital importância neste contexto na arte de enganar. Esteja atento para onde está sendo redirecionado o link que você clicou. Se realmente está coerente ao domínio ao qual pertence o hiperlink acessado. Sempre que estiver navegando, ou seja, visitando algum site, verifique se a conexão está autenticada e criptografada. Não vá clicando diretamente em “Sim” em nenhuma caixa de diálogo que possa indicar uma questão de segurança, como por exemplo, um certificado digital inválido ou vencido. Muito cuidado quanto a isso, pois um site Web que não usa um protocolo seguro, não se convém passar informações confidenciais, tais como seu endereço, telefone, nome, número de cartões de crédito dentre outras informações. Quanto à segurança em relação a vírus, regra básica: ter um anti-virus instalado. Como também se possível deixar ativado o firewall do Sistema Operacional (no caso do Windows XP, que vem com um simples, mas que supre a necessidade “caseira” do usuário “doméstico”), ou instalar algum disponível facilmente na Internet. Melhor anti-virus? Aquele que esteja sempre atualizado. Não atualizado anualmente, ou mensalmente. Mas sim diariamente ou no muito semanalmente. Completamente seguro, com certeza ninguém está. Mas dificultar a entrada de vírus, trojans dentre outros inconvenientes, isso não só pode como deve ser feito se quiser preservar ao menos um pouco da privacidade de seus dados que julga ser confidencial. A Symantec também dá algumas orientações relevantes a esse contexto (SYMANTEC, 1995): • Estabeleça uma política de utilização da Internet. Permita que os funcionários conheçam as regras da empresa a respeito do uso pessoal do e-mail e da Internet. Desenvolver políticas de utilização da Internet ajudará também os gerentes de TI a configurar e monitorar soluções de segurança da rede com 35 maior eficiência. • Utilize uma tecnologia que permita uma verificação de conteúdo impróprio nos e-mails e anote as atividades da Internet que estejam fora dos parâmetros determinados pela gerência. • Especialistas jurídicos afirmam que monitorar os conteúdos dos e-mails e Internet utilizada pelos funcionários ajuda a proteger a empresa no caso de um processo legal. Tenha uma política e uma solução de monitoramento de conteúdos para mostrar seus esforços em proteger os funcionários de ataques, por exemplo. • Treine seus usuários para que eles saibam quando e como fazer download das mais recentes atualizações dos antivírus, bem como reconhecer um possível vírus. Ensine-os a fazer uma verificação nos documentos antes de abri-los. • Atualize o antivírus, de modo a evitar as brechas de segurança conhecidas dos softwares reduzindo assim as chances de uma entrada de vírus pelas páginas da Web ou por e-mail. • Desenvolva uma política para senhas, requisitando freqüentes mudanças nas mesmas e educando os usuários nas táticas de engenharia social. Reforcem que eles nunca devem informar suas senhas, Softwares para descobrir senhas estão disponíveis e ajudam a encontrar senhas fracas de usuários na sua rede. De qualquer modo, o software não protegerá a companhia contra o comportamento negligente de um usuário. Muitas vezes, educar os funcionários é o suficiente. • Determine a necessidade de cada funcionário de acessar informações delicadas, e restrinja o acesso somente para o que for necessário a cada função na empresa. • Informe os funcionários sobre os perigos de fazer download de softwares e protetores de tela gratuitos (SYMANTEC, 1995). O hacker pode ser considerado o primo longe do engenheiro social. Nem todo engenheiro social é um hacker, mas em alguns casos o hacker chega a ser um engenheiro social, com condutas semelhantes à captura de informações. Pois o hacker age de forma a explorar muito mais as vulnerabilidades técnicas, 36 enquanto o engenheiro social as vulnerabilidades humanas. 3.3.1 Internet Banking Com o advento da Internet, muita coisa mudou e melhorou. E a evolução da Internet inserida aos bancos, ao qual, atividades antes ditas extremamente cansativas, como ficar em uma fila para tão somente tirar um extrato ou fazer uma transferência, agora não mais é necessário. Os perigos quanto às compras on-line e transações bancárias via Internet mediante a disponibilização dos números do cartão de crédito existem, assim como também a utilização de seu cartão pessoalmente em lojas, bares, restaurantes, postos, padarias e oficinas. Qualquer funcionário mal intencionado relativo ao estabelecimento que utilizara o cartão poderá guardar o cupom ou recibo emitido após efetuar o pagamento, já contendo seu nome, e dados do cartão utilizado, tal como usar um dispositivo facilmente disponível na Internet, um dispositivo de varredura, que armazena os dados de qualquer cartão de crédito que é passado por ele para recuperação posterior (MITNICK, 2003). De acordo com o CAIS – Centro de Atendimento a Incidentes de Segurança; dentre as principais condutas que todo usuário de Internet banking deve ter seriam (REDE NACIONAL DE ENSINO E PESQUISAS (RNP) 2004): • Manter bem guardadas e seguras suas senhas bancárias, seguindo as recomendações de seu banco. • Não fornecer detalhes de sua conta bancária ou senhas a terceiros quando abordados por qualquer meio, seja pessoalmente, telefone ou e-mail. • Usar senhas fortes e não triviais, trocar as senhas com frequência, seguindo as normas e recomendações de seu banco. • Ao acessar o site de seu banco, dedicar algum tempo para verificar a página, propagandas e dados solicitados, em busca de algo suspeito.Recomenda-se também verificar se o endereço mostrado pelo navegador corresponde ao endereço acessado, por exemplo: www.banco.com.br. • Ficar atento aos comunicados oficiais do seu banco. Alguns bancos têm destacado nos seus sites, mensagens de advertência sobre recentes tentativas de fraude. 37 • Ao ser alvo de situações suspeitas (e-mails do banco, contatos telefônicos solicitando senha ou conta bancária, erros consecutivos no acesso ao site do banco), notificar o ocorrido ao serviço de suporte ao usuário do respectivo banco. • Manter sempre atualizado o navegador utilizado, por exemplo, Netscape e Internet Explorer. • Verificar o certificado digital do site do banco, confirmando se este foi realmente emitido para o referido banco e seu prazo de validade. Recomenda-se também ficar atento às mensagens emitidas pelo seu navegador, verificando se este reconheceu a autoridade certificadora que emitiu o certificado ao site que você está acessando. • Não descartar automaticamente as mensagens de aviso geradas pelo navegador em relação a certificados digitais e páginas criptografadas. A prática recomendada é ler atentamente tais mensagens e em caso de dúvidas interromperem o processo, consultando o serviço de suporte ao usuário do banco (REDE NACIONAL DE ENSINO E PESQUISAS (RNP), 2004). 3.4 Pontos fracos explorados pelo Engenheiro Social Se todo funcionário fosse tão questionador como uma criança, demonstrando interesse nos mínimos detalhes, ouvindo mais, estando fortemente antenado a tudo a sua volta, e principalmente fazendo o uso dos poderosos “porquês”, com certeza as empresas transformariam os frágeis cadeados em legítimos dispositivos dificultantes de segurança da informação. É claro que se deve ter cuidado ao responder aos “porquês”, pois funcionários insatisfeitos ou mal intencionados podem utilizar as respostas para fins não profissionais e sim pessoais. É preciso ter muito cuidado para identificar as intenções de quem está questionando. 38 Segundo Kevin D Mitnick: “Quando um engenheiro social sabe como as coisas funcionam dentro da empresa-alvo, ele pode usar esse conhecimento para desenvolver a confiança junto aos empregados. As empresas precisam estar preparadas para os ataques da engenharia social vindos de empregados atuais ou ex-empregados, que podem ter um motivo de descontentamento. As verificações de histórico podem ser úteis para detectar os candidatos ao emprego que tenham uma propensão para esse tipo de comportamento. Mas, na maioria dos casos, é difícil detectar essas pessoas. A única segurança razoável nesses casos é implantar e auditar os procedimentos de verificação de identidade, incluindo o status de emprego da pessoa, antes de divulgar qualquer informação para qualquer um que não se conheça pessoalmente e, portanto, não se sabe se ainda está na empresa”. (MITNICK, 2003) O Engenheiro Social trabalha como ninguém os pontos relativos à psicologia humana. Explora sentimentos como o medo e a insegurança da vítima. Utiliza-se também a simpatia para conseguir convencer. Ou até mesmo a culpa, como forma de se pensar “A coitadinho dele, eu já passei por isso também” ou “realmente é difícil ou constrangedora a situação dele”. Assim também como foram de intimidação, proporcionando o medo ou a insegurança de que se não fornecer aquela informação naquele momento, terá a sensação que poderá se comprometer gravemente em seu emprego, especificamente com seus superiores. É típico do usuário, não ter a concreta noção de que se ele está trabalhado como um computador, e nesta máquina se guardam documentos, texto, planilhas, slides e todo tipo de arquivo importante de seu setor, fica mais do que nunca sujeito a dispor facilmente dessas informações se não tiver o costume de perceber quão é importante àquilo que guarda em sua máquina. O engenheiro social explora precisamente esse tipo de alvo. O funcionário desatento com seus dados; ou seja, que tem pouca compreensão de como são valiosas as informações que ele pode fornecer a um estranho. Segundo Kevin D Mitnick: “É incrível como é fácil para um engenheiro social convencer as pessoas a fazerem as coisas com base no medo como ele estrutura a solicitação. A tese é acionar uma resposta automática como base nos princípios psicológicos e utilizar os atalhos mentais que as pessoas usam quando percebem que o interlocutor é um aliado”. (MITNICK, 2003) 39 Portanto o prévio conhecimento de quem estará recebendo a informação é imprescindível. A conferência seja de forma pessoal ou de diferentes níveis de autenticação para disponibilização da informação dever ser levada a sério. “Em uma partida de futebol, o assistente do juiz é orientado a deixar o lance seguir e não marcar impedimento do atacante caso ele fique em dúvida, DESCONFIE!” (MODULO, 2005). Segundo Kevin D Mitnick: “As pessoas manipuladoras em geral têm personalidades muito atraentes. Elas são rápidas e bem articuladas. Os engenheiros sociais também são habilidosos para distrair os processos de pensamento das pessoas para que elas cooperem. Pensar que determinada pessoa não é vulnerável a essa manipulação é subestimar a habilidade e o instinto mortal do engenheiro social. Um bom engenheiro social, por sua vez, nunca subestima o seu adversário”.(MITNICK, 2003) 3.4.1 Checando o lixo Como dito anteriormente uma das ferramentas que um engenheiro social (geralmente aquele que está disposto a qualquer coisa em busca da informação) utiliza é a busca no lixo. Ou seja, vasculhar detalhadamente todo tipo de objeto ou documentos que sejam suspeitos de fornecer preciosas informações. (Cadernetas com telefones; memorandos; manuais com políticas internas da empresa; calendários com informações sobre eventos, cursos ou férias; manuais dos sistemas utilizados; qualquer coisa que contenha nome de usuários e senhas; disquetes, CDs ou HDs aparentemente inutilizáveis; papel timbrado da empresa, etc.) Portanto trate o lixo com mais respeito. Parece engraçado, mas é verdade. Sem perceber muitas pessoas jogam fora aquilo que com toda tranqüilidade acham ser desnecessário, inútil, eventualmente um lixo. Esquecem de ao menos quebrar, picotar, separar em outros lixos. E não se esqueça do lixo digital. Isso mesmo! Aquele que você com certeza pede para esvaziar de vez enquando. Medidas simples, mas importantíssimas e que fazem uma grande diferença se tratando dessa maneira. 40 A seguir os chamados “oito segredos” para tratar o lixo com mais sabedoria (MITNICK, 2003): • Classificar todas as informações confidenciais com base no grau de confidencialidade. • Estabelecer procedimentos em toda a empresa para descartar as informações confidenciais. • Insistir em que todas as informações confidenciais descartadas passem primeiro pela máquina cortadora de papel e fornecer um modo seguro de se livrar das informações importantes em pedaços de papel que são pequenos demais e passam pela máquina. As máquinas não devem ser muito baratas, as quais resultam em tiras de papel que podem ser montadas novamente por um atacante determinado e com paciência. Elas devem ser do tipo que faz cortes cruzados ou do tipo que transforma a saída em resultado inútil. • Fornecer um modo de inutilizar ou apagar completamente a mídia de computador – os disquetes, discos Zip, CDs e DVDs usados para armazenar arquivos, fitas removíveis ou unidades de disco rígido antigas e outras mídias de computador antes de descartá-la. Lembre-se de que os arquivos apagados não são realmente removidos; eles ainda podem ser recuperados – como descobriram os executivos da Enron e muitos outros. Jogar simplesmente a mídia de computador no lixo é um convite para o seu “vira-lata” o local de plantão. • Manter um nível de controle apropriado sobre a seleção das pessoas da sua equipe de limpeza usando a verificação de antecedentes, se for apropriado; • Fazer com que os empregados
Compartilhar