Carreira Dev

24 abr, 2009

A arte de HACKEAR pessoas

Publicidade

Esse artigo tem por objetivo ser a resenha do livro “A Arte de HACKEAR Pessoas”, de Antonio Marcelo e Marcos Pereira, editora Brasport. Uma apresentação que há na capa do livro diz o seguinte:

Um guia para conhecer a Engenharia Social, os crimes digitais, os ataques de phishing e de como os novos criminosos estão atacando na Internet.

Além de atuar e escrever artigos na área de Segurança em TIC, também atuo como psicoterapeuta já há alguns anos. Em meu “set terapêutico” uma técnica que não falta é a PNL. Para alguns colegas da área tecnológica esse termo é desconhecido, mas ao longo desse artigo/resenha explicarei melhor do que se trata e veremos que apesar de fazer parte da área de humanas, e ter como objetivo a excelência humana e alívio de sofrimentos existenciais, a PNL é uma técnica muito próxima da área de tecnologia, mesmo que apenas em suas origens e conceitos.

No livro “A Arte de HACKEAR Pessoas”, os autores procuram explicar como funcionam ataques típicos de engenharia social e como eles se encaixam nas leis penais que podem classificá-los como crimes e meio possíveis de se prevenir.

O livro está dividido em cinco capítulos, mais introdução e um apêndice, que descreve alguns phishings famosos, já que essa é uma modalidade de ataque via internet que se encaixa na tipologia de engenharia social.

Na Introdução, os autores já delineiam os capítulos e o apêndice assim:

  • Capítulo I – Hackeando Pessoas – relata as técnicas e exemplos famosos.
  • Capítulo II – Apresentando o Engenheiro Social – narra um caso completo de como os autores se viram à frente de um engenheiro verdadeiro.
  • Capítulo III – Engenharia Social para Diversão e Lucro – como podemos utilizar a Engenharia Social na prática.
  • Capítulo IV – Scripts de Ataque e Ataques Web – demonstração de como são feitos ataques via indivíduo e um phishing clássico.
  • Capítulo V – Boas Práticas e Ferramentas de Defesa – uma série de práticas e ferramentas para o dia a dia.
  • Apêndice – descreve os principais ataques de phishing no cenário nacional.

No primeiro capítulo, logo no início, há uma citação muito usada na área de SI que exemplifica o quão estamos expostos aos ataques de engenharia social:

Não há patch contra a burrice humana.

O objetivo desse capítulo é apresentar, de forma clara e sucinta, o que é a engenharia social e qual o perfil dos engenheiros sociais, aqueles que aplicam a ES (Engenharia Social) para obter acesso a informações importantes ou adquirir algum tipo de vantagem sobre outros indivíduos.

Os autores dividem os engenheiros sociais em duas categorias distintas: formados e notório-saber. Incluídos na primeira categoria estão os indivíduos que passaram por algum tipo de treinamento ou formação para saber como e quando aplicar a ES, tais como: policiais, detetives particulares e espiões. Já na segunda categoria, temos os indivíduos que, como os autores colocam, são frutos de nossa sociedade, dotados da capacidade de olhar uma situação sob vários prismas distintos, o que possibilita tal indivíduo saber agir de maneiras diversas de acordo com o que as variadas situações exigem.

Um exemplo citado como engenheiro social mundialmente conhecido é o caso de Frank Abgnale, cuja história foi contada no cinema, de forma hollywoodiana, através do filme “Prenda-me se for capaz”, com Leonardo Di Caprio e Tom Hanks. Depois de preso pelo FBI, Abgnale decidiu voltar atrás de suas escolhas como engenheiro social e passou a colaborar com o FBI em investigações de fraudes e falsificações bancárias. Atualmente, Frank Abgnale é consultor de instituições financeiras internacionalmente reconhecidas e dá treinamentos pelo mundo afora. Podemos ler um pouco mais sobre seu trabalho atual em seu site http://www.abgnale.com. Esse é um caso onde um engenheiro social da categoria notório-saber acabou aproveitando suas capacidades quando a situação tornou-se difícil para o seu lado e virou o jogo, decidindo atuar do lado daqueles que antes o caçavam.

Outras duas questões interessantes apresentadas nesse capítulo são: o ser humano como elo mais fraco na corrente que representa os processos e a PNL (programação neurolinguística).

A primeira questão aborda justamente o fato de que, na área de TIC, não adianta ter sistemas super protegidos, bem configurados e com profissionais altamente capacitados, além de uma boa política de segurança, se os funcionários não recebem o treinamento adequado para lidar com ataques de engenheiros sociais. E é justamente sobre esse elo mais fraco que o engenheiro social atua. Basta entrarmos em comunidade de redes sociais de determinadas empresas, por exemplo, para vermos funcionários discutindo assuntos que dizem respeito apenas ao recinto onde trabalham. Um engenheiro social, passando-se por um ex-funcionário pode extrair muitas informações de um estagiário desavisado que faz parte dessa comunidade.

Já a segunda questão é muito ampla para ser abordada em um livro que versa sobre outro assunto, por isso uma breve explicação é dada acerca de tal matéria. Quando perguntam-me o que é PNL, costumo responder o seguinte: se o cérebro humano tivesse um manual de como utilizá-lo corretamente, esse manual seria oferecido pela PNL. É uma técnica que pode levar qualquer pessoa à excelência ou ensiná-la como manipular a mente e os processos de raciocínio de outras pessoas. Quer ferramenta mais interessante para um engenheiro social do que essa?

Só para constar, um dos criadores da PNL, Richard Bandler, era matemático e programador. Já o co-autor da técnica, John Grinder, era um linguista que trabalhou para o serviço secreto realizando análise das estruturas de linguagem durante interrogatórios de possíveis suspeitos. Essa mistura explosiva nos deu uma das maiores técnicas no campo da consciência humana surgida no século XX.

No capítulo seguinte, os autores apresentam um caso verídico da ação de um engenheiro social com o qual se defrontaram. Tudo muito bem delineado, detalhando a ação do mesmo sobre suas vítimas previamente escolhidas para executar seu plano de ganhar dinheiro em cima delas. Porém, o mais interessante dessa parte do capítulo, além da descrição do caso, é a análise do mesmo separando-o por fases e descrevendo a forma de atuação, além de explicitar como o engenheiro social conseguiu seu intento, expondo aos olhos do leigo toda a estrutura psicológica e de planejamento por detrás do ataque tão bem arquitetado.

Ao longo desse segundo capítulo, os autores aprofundam-se um pouco mais na PNL, explicando algumas técnicas e teorias desenvolvidas por seus criadores, algumas delas, inclusive, que são utilizadas por engenheiros sociais para manipular o comportamento e influenciar as decisões de uma vítima em potencial.

O estudo da PNL apresentado, apesar de superficial – dada a extensão do arcabouço de conhecimento contido na PNL -, é muito interessante, principalmente para os leigos no assunto, pois apresenta sucintamente as técnicas utilizadas por terapeutas, engenheiros sociais, hipnotizadores, espiões etc. para influenciar qualquer indivíduo a seu bel prazer sem que o mesmo se dê conta disso.

Já no terceiro capítulo, cujo título é “Engenharia Social para diversão e lucro”, o assunto abordado é como utilizar a engenharia social para proveito próprio, sem necessariamente causar prejuízo para outrem. A engenharia social é uma faca de dois gumes, tanto podemos utilizá-la para conseguir o que queremos, manipular prejudicialmente outra pessoa, como podemos ser alvos de ataques bem elaborados com o objetivo pura e simplesmente do atacante alcançar ganhos financeiros às nossas custas. Nesse capítulo é justamente o primeiro aspecto que é abordado.

Como não poderia deixar de ser, a PNL é, mais uma vez, trazida à tona e algumas de suas ferramentas são analisadas um pouco mais, com atenção maior à questão da comunicação: o que dizemos e o que as outras pessoas dizem. Quando conseguimos compreender a estrutura básica da comunicação entre duas pessoas, desvelando as representações internas de cada um através daquilo que é transmitido pela palavra e expressões corporais, podemos entender o mundo interno da outra pessoa e influenciá-la, ou então, construir um mundo interno diferente, transmitido ao outro pela estrutura da linguagem, de acordo com o personagem criado por nós durante um ataque de engenharia social.

Na continuação, cada fase de um ataque é explicada pormenorizadamente, sendo elas:

  • Escolha/Aproximação
  • Aclimatação
  • Confiança
  • Cumplicidade
  • Planejamento
  • Execução
  • Finalização

E, na atualidade, um assunto abordado que não poderia ter sido deixado de fora é a engenharia social na era digital, onde os atacantes utilizam uma das técnicas mais conhecidas: phishing scam. Quem de nós nunca recebeu um e-mail de uma antiga colega do colégio dizendo que nos ama muito e nunca teve coragem de dizer? O mais interessante é que tal e-mail tem como remetente, um nome muito comum, mas você não consegue se lembrar de pessoas nenhuma com as características descritas. Por que será?!

Logo no início do capítulo quatro os autores nos brindam com mais um caso de ataque de engenharia social, detalhando o script de ataque utilizado pelo engenheiro social. Da maneira como o ataque é executado, podemos imaginar que isso ocorre todos os dias em diversos lugares do mundo. E esse é justamente o objetivo: alertar para a aparente banalidade de algumas perguntas ou conversas que, se forem somadas e reunidas num contexto maior, revelam muito do alvo. Como já se diz: uma mentira é muito mais aceita se apresentada entre duas verdades. Podemos, nesse caso, reescrever a frase: uma pergunta maliciosa sempre tem feedback se apresentada entre duas banais.

Adiante, o assunto phishing scam é retomado, assim como ataques análogos. Esse tipo de ataque é analisado mais detalhadamente, com a explicação dos autores de como age um scammer e quais as fases de preparação desse tipo de ataque, já que o mesmo visa explorar vulnerabilidades psicológicas existentes nos alvos humanos que receberão seus e-mails ou mensagens.

No quinto capítulo, são abordados justamente os métodos e ferramentas que proporcionam a possibilidade de nos protegermos de ataques de engenharia social (tanto ataques digitais, quanto ataques pessoais – sendo esses últimos os mais difíceis de nos protegermos). Nesse quesito, entra a análise das políticas corporativa e pessoal, boas práticas, principais ameaças, ferramentas importantes e como precaver-se dos diversos tipos de ataque existentes.

Uma questão levantada no final do capítulo é de suma importância, principalmente nas organizações, que é a seguinte: usuário conscientizado é a maior proteção contra ataques de engenharia social. Nunca é demais repetir isso, pois durante a implantação de políticas corporativas, principalmente na área de gestão e de segurança da informação, é muito importante realizar treinamentos que visam conscientizar os usuários do nível de importância daquilo que tem acesso todos os dias e que é o principal ativo da organização: a informação.

A última parte do livro, o apêndice, é rica em exemplos de ataque famosos que circularam por muito tempo pela rede. Os autores descrevem os ataques de phishing scam e analisam o conteúdo da mensagem, explicando como identificar esse tipo de mensagem e qual o objetivo de cada uma delas. É um apanhado muito interessante, posto que, se entendemos a dinâmica e a estrutura de um ataque do tipo, fica muito mais fácil identificar todos os outros, pois a maioria segue um padrão que dura um tempo relativamente longo.

Obviamente que não podemos ficar presos apenas aos exemplos dados nos livros. Existem na net alguns sites que catalogam, inclusive, todos os e-mails que circulam na web e são identificados como mensagens de phishing scam, basta procurarmos no Google.

Essa realmente é uma publicação pioneira na área, que intenta abordar o assunto de forma séria; e sou até mesmo ousado em dizer que é um livro que explica muito do que é explanado nos artigos e livros estrangeiros sobre engenharia social, com um diferencial: é um dos poucos livros brasileiros sobre o tema! Com isso em mente, só posso parabenizar os autores sobre a publicação.

Espero, com isso, que o assunto seja tratado com maior seriedade em nosso país e a conscientização dos usuários seja realizada a contento nas organizações, primeiro para que os riscos sejam minimizados e segundo para dificultar cada vez mais os mecanismos que os engenheiros sociais criam para burlar os sistemas, sejam humanos ou tecnológicos.