sexta-feira, 8 de junho de 2012

Invadindo a mente humana

Artigo no Alerta Total – http://www.alertatotal.net
Por Tomer Teller

O filme “Os Vigaristas” inclui uma cena em que o personagem principal, interpretado por Nicolas Cage, tem o seguinte diálogo com a atriz Alison Lohman:

Lohman: Você não parece ser um cara mau.

Cage: Por isso que sou bom nisso.

O diálogo captura a verdadeira essência de todos os jogos de confiança, sejam no mundo digital ou no real – a vida de um ladrão (e muito mais fácil quando sonega convencer alguém a baixar a guarda com um artifício inteligente). No jargão dos hackers, isso se chama engenharia social.

A engenharia social busca invadir a mente humana, algo que, de muitas formas, é muito mais fácil do que encontrar uma nova vulnerabilidade em um software para acessar sua empresa. Essas vulnerabilidades, chamadas de dia zero, podem custar milhares de dólares no submundo dos hackers – dinheiro que pode ser economizado ao convencer alguém à instalar um programa antivírus em seu PC. Afinal, você não precisa arrombar a porta quando é possível convencer alguém a deixar você entrar em casa.

Mas o que colabora para um bom ataque de engenharia social? O principal fator é a isca, que pode ser um post chamativo do Facebook sobre alguma celebridade ou até e-mails cuja linha de assunto se refere aos negócios da sua empresa. Um dos ataques que mais chamou atenção durante o ano passado foi o ataque à RSA, que começou quando um funcionário abriu um e-mail cujo assunto era ‘Plano de Recrutamento 2011’. Quando o colaborador abriu o arquivo em anexo, desencadeou uma série de eventos que levou ao comprometimento dos dados. Hackear um sistema requer conhecimento das vulnerabilidades de programação, enquanto hackear a mente humana requer um tipo diferente de conhecimento: quais tipos de e-mails ou links a vítima está mais propensa a clicar?

Uma forma de conseguir essa informação é agrupar as pessoas de acordo com suas profissões e interesses, e talvez a melhor fonte de dados nesse sentido são as redes sociais. Uma olhada no perfil do LinkedIn pode revelar o histórico profissional e os cargos de determinada pessoa; uma espiada nas contas do Facebook pode revelar seus amigos e hobbies. As redes sociais implementaram várias medidas nos últimos anos para aprimorar os controles de privacidade, mas muitos usuários não usam esses controles ou os usam de maneira inadequada, ‘adicionando’ pessoas que não conhecem de verdade. Uma pesquisa mostrou que um perfil falso no Facebook conseguiu uma média de 726 ‘amigos’ – cinco vezes mais do que muitos dos usuários típicos do site.

Mas também é possível invadir a mente humana de outras formas. A técnica preferida dos hackers, por exemplo, é a otimização de sites (SEO). O objetivo do SEO é melhorar a posição de seu site em portais de buscas, como o Google. Nas mãos certas, isso é totalmente legítimo, porém em mãos erradas isso pode aumentar a probabilidade de uma pessoa visitar um site malicioso. Também existem métodos muito menos técnicos, como a tradicional conversa por telefone para convencer a pessoa a baixar a guarda.

Recentemente, a Check Point patrocinou um estudo realizado pela Dimensional Research que mostrou que 43% dos 853 profissionais de TI que participaram da pesquisa foram alvos de esquemas de engenharia social. A pesquisa também revelou que funcionários novos são os mais suscetíveis a ataques, com 60% classificando as contratações recentes como “alto risco” para a engenharia social. Infelizmente, o treinamento não parece ser suficiente para conter as ameaças; apenas 26% dos participantes participam de treinamentos contínuos e 34% afirma que não fazem nada para educar seus funcionários. A boa notícia é que as tendências estão mudando e mais empresas estão informando seus funcionários das ameaças de segurança – e das técnicas de engenharia social que podem enfrentar.

A educação é um elemento essencial para se defender contra ataques, porém o processo começa com políticas apropriadas para proteger seus dados. Isso inclui controlar quem tem acesso a quais informações, e também estabelecer políticas obrigatórias que podem ser fiscalizadas e fomentam as operações da empresa. Depois, os funcionários devem receber treinamento sobre essas políticas e seus conhecimentos avaliados. A chave para tudo isso é compartilhar informações sobre os ataques detectados para informar os funcionários dos meios de ataque. Muitas vezes basta uma boa dose de cautela: ao receber algum e-mail pedindo informações confidenciais, verifique o suposto remetente para certificar-se da sua legitimidade.

Essa estrutura deve contar com redes e terminais protegidos pelas melhores práticas e pelos updates de segurança mais recentes, porém para evitar a invasão da mente humana, precisamos mais de uma mudança de atitude, e não só de armas tecnológicas. Se existe um antivírus para a mente humana, é o conhecimento mais atual das políticas corporativas e de como os hackers selecionam suas vítimas. A inclusão desse tipo de informação em um programa de treinamento pode ser a diferença entre uma falha de dados e uma noite calma no escritório.

Tomer Teller é evangelista e pesquisador de Segurança da Check Point Software Technologies.

Um comentário:

Anônimo disse...

A terrorista ofereceu a chavez um crédito do BNDES no valor de US$ 814 milhões, nosso dinheiro, para que ele possa adquirir 20 aviões da EMBRAER, mas esse fdp também canceroso vai gastar com sua campanha eleitoral US$ 2,5 bilhões!

Não tem dinheiro para comprar os nossos aviões mas tem para sua campanha eleitoral! Ninguém pede satisfações à terrorista grossa e mal encarada!

Mas chavez já investiu em compra de material militar, R$ 6 bilhões de uma linha de crédito concedida por Putin "se esquecendo" muito convenientemente de pagar a Putin esse dinheiro, tal como já fez com a PTtrobras na refinaria Abreu Lima em construção do Recife na qual ele deveria custear 40% dos custos e que ainda não pagou US$ 4 bilhões que está devendo mais os juros, negociado entre a PTrobras e a PDVSA.

Estas jogadas" todas têm a benção do fdp canceroso, o tal que afirmou que até elegia um "poste" para presidente, como, aliás, conseguiu através de urnas eletrônicas comprovadamente 100% manipuláveis e por Lei, sem direito a recontagem de votos.

Como è grande o rebanho brasileiro, 193 milhões de pacíficos bovinos conduzidos por petistas e soviéticos diretos para o matadouro!

A simbiose entre a terrorista desmiolada que odeia os homens e o fdp do canceroso, o tal que recentemente como um bom “capo”, ofereceu "proteção" a Gilmar Mendes, no âmbito da CPI do Cachoeira, uma vez que ele teria a comissão sob seu comando, um demente irascível e caprichoso, que sua historia se assemelha ao Imperador Calígula ou Caio Júlio César Augusto Germânico, também conhecido como Caio César, até o seu assassinato, pela guarda pretoriana (aqui è impossível, a nossa veste cor de rosa), pois este quis nomear o seu cavalo preferido, Incitatus, cônsul e sacerdote. O fdp canceroso demente irascível e caprichoso mais poderoso que Calígula, conseguiu fazer eleger um "poste" para que suas falcatruas políticas e não só, ficassem bem escondidas nos subterrâneos do Palácio do Planalto.

País de tolos governado por ratazanas vermelhas bolivarianas.

http://aluizioamorim.blogspot.com.br/2012/06/deputado-e-jornalista-denunciam-chavez.html

http://www.aereo.jor.br/2012/06/04/venezuela-cobra-concretizacao-de-compra-de-avioes-da-embraer/

http://brasilacimadetudo.lpchat.com/index.php?option=com_content&task=view&id=12522&Itemid=141

http://noticias.r7.com/economia/noticias/chavez-confirma-participacao-na-refinaria-abreu-e-lima-20110909.html