Prof. Carlos José Giudice dos Santos
Frequentemente ouvimos relatos de crimes que
são cometidos utilizando meios digitais. Inúmeros
filmes já exploraram o assunto: Hackers, Hackers
2: a Operação Takedown, A rede, Inimigo do
Estado, entre outros. Busca de informações e
invasão de privacidade são ingredientes de
sucesso de qualquer um destes filmes.
Os questionamentos que se fazem aqui são:
• Até que ponto estes filmes relatam a nossa
realidade?
• O que é Engenharia Social e o que ela tem a ver
com a Segurança Digital?
Nem todos os filmes listados anteriormente
pertencem à ficção, e mesmo aqueles que são
ficcionais, estão baseados na realidade.
A Engenharia Social é uma ciência que estuda o
modo como a humanidade se comporta sob o ponto
de vista procedimentos lógicos (ao contrário das
ciências humanas, que possuem um viés subjetivo).
Assim, é possível prever (com cálculos), que
atitudes uma grande massa de pessoas pode tomar
frente a alguns fatos que são impostos.
A Engenharia Social também é um meio pelo qual
induzimos as pessoas a fazer o que queremos (por
exemplo, nos dar informações).
A Engenharia Social existe há muito tempo, muito
antes do advento das tecnologias digitais. O filme
“Prenda-me se for capaz” mostra um caso típico
de um falsário que abusou da Engenharia Social
para obter o que queria: dinheiro e aventuras.
O advento das tecnologias da informação e da
comunicação potencializou os métodos e técnicas
utilizadas na Engenharia Social.
Por este motivo, é importante conhecermos os
princípios básicos de segurança digital. Também é
importante perceber que a segurança funciona
melhor a partir do momento que sabemos
identificar as principais técnicas de Engenharia
Social, ou seja, uma área complementa a outra.
O que é Segurança Digital?
O conceito de Segurança Digital é muito mais amplo
do que qualquer coisa que uma pessoa comum possa
imaginar em uma abordagem inicial.
Não se trata apenas de se proteger computadores –
este conceito engloba tudo que tem tecnologia
digital hoje – ou seja – quase tudo!
Segurança não é um produto! A melhor analogia
para segurança é imaginarmos como se ela fosse
uma corrente.
A Segurança Digital é um dos elos da
corrente. Não é o elo mais forte – e
não é o elo mais fraco. A segurança
depende do conjunto de todos os elos.
Segurança é um sistema!
Este sistema compreende três processos principais:
1. Prevenção
2. Detecção
3. Reação
Segurança é um sistema!
Sistemas: quando pensamos em segurança, temos que pensar
em processos envolvendo sistemas. O grande problema é que
“sistema” é um conceito relativamente novo e ainda não tão
bem assimilado para a ciência.
“A vida era simples antes da Segunda Guerra Mundial.
Depois disso vieram os sistemas.” Almirante Grace Hooper
Os sistemas possuem quatro
características
fundamentais.
Dentre as quatro características,
duas delas são exclusivas dos
sistemas:
1. Complexidade
2. Interação
3. Propriedades emergentes
4. Bugs
Características dos Sistemas:
1. Complexidade:
Quando você começa a conceituar sistemas, vai verificar que é
sempre possível projetar ou montar um sistema em uma escala
de maior complexidade.
Estilingue
Cabana
Bala de Revólver
Casa
Edifício
Bala de Canhão
Arranha-Céu
Míssil
Características dos Sistemas:
2. Interatividade:
A interatividade permite que um sistema possa interagir com
outros, formando sistemas ainda maiores.
Exemplos:
Internet
1. Qualquer pessoa com um mínimo de habilidade em
eletrônica é capaz de projetar e montar um semáforo – o
projeto e implementação de um sistema de tráfego, além
da complexidade, exige muita, muita interatividade.
2. A programação orientada a objetos divide grandes
sistemas em sistemas menores, de modo a se lidar
melhor com a sua complexidade. A comunicação entre
cada pequeno sistema exige muita interatividade.
Características dos Sistemas:
3. Propriedades emergentes:
Os sistemas fazem coisas que não foram antecipadas pelos
projetistas e usuários. Isto são propriedades emergentes.
O sistema telefônico mudou o modo como as pessoas se
comunicam atualmente. Alexander Graham Bell inventou o
telefone como um modo de avisar que um telegrama estava para
chegar, e jamais imaginou que seria utilizado como um
mecanismo de comunicação pessoal.
A Internet está repleta de propriedades emergentes. Só para citar
alguns exemplos, pense em: e-commerce
Sexo virtual
Educação à distância
Autoria colaborativa Jogos em rede
Net
Delivery
Características dos Sistemas:
4. Bugs:
Bug é uma propriedade emergente não desejável. É bem
diferente de defeito. Se alguma coisa apresenta defeito, ela
deixa de funcionar como antes. Quando algo possui um bug,
ele se comporta mal de uma certa maneira particular, muitas
vezes inexplicável e sem possibilidade de repetição.
Os bugs são exclusivos dos sistemas. Uma máquina ou
ferramenta pode quebrar, falhar, deixar de funcionar, mas
somente um sistema pode apresentar bugs.
Algumas conclusões antes de
estudarmos as ameaças digitais:
“A segurança pode ser considerada um sistema que interage
com outros sistemas maiores”
“Existem muitas soluções teóricas para segurança: anti-vírus,
firewalls, criptografia, VPN´s (Redes Virtuais Particulares),
IDS´s (Sistemas de Detecção de Intrusos) e autenticação
biométrica. Na prática, estas soluções falham”
“Em teoria, não existe diferença entre teoria e prática.
Na prática, existe.” Yogi Berra
Filosofia da Segurança Digital:
Se algum dia alguém chegar até você e falar algo do tipo “Este
computador é seguro” ou “Este programa é seguro” ou
“Esta rede é segura”, quais perguntas, por exemplo, você
poderia fazer ? Vamos virar “filósofos”!
1. É mesmo? Em qual contexto?
2. É seguro contra o quê? Ou contra quem (hackers)?
3. É seguro contra uma granada de mão jogada em cima?
4. É seguro contra uma câmara apontada por alguém
diretamente para o monitor?
5. É seguro contra um insider sem caráter e com privilégios
de acesso?
A Segurança Digital:
As perguntas anteriores mostram, mais uma vez, que a
segurança não é um produto (este computador é seguro, ou
esta rede é segura). Tudo depende do contexto. Segurança não
é um produto, mas um sistema interagindo com outro
sistemas.
Quando se falar que algo é seguro, devemos expor o quanto
estamos dispostos a gastar para proteger. Isto envolve custos,
iniciais e operacionais. E não são poucos....
Vamos agora conhecer um pouco do mundo...
O mundo perigoso...
O mundo é um local perigoso. Assaltantes estão atentos para levarem a
sua carteira, seu celular ou mais alguma coisa, se você descer pela rua
escura errada, ou atravessar uma passarela em hora imprópria.
Trapaceiros, fraudadores e estelionatários estão aguardando uma chance
de lhe aplicar um golpe.
Sindicatos do crime organizado espalham corrupção, drogas, medo.
Fecham o comércio. Subvertem a ordem. Espalham o pânico.
Existem terroristas loucos, ditadores malucos e seguidores fanáticos com
muito mais determinação e poder de fogo do que bom senso.
Parece incrível que tenhamos sobrevivido o bastante para construir uma
sociedade estável o suficiente para discutirmos segurança!
O mundo seguro...
Acredite... O mundo é um local seguro! Apesar de todos os casos que
citei no slide anterior, estes casos são exceções. Parece difícil acreditar
nisso? Então me diga qual das próximas duas possíveis manchetes
mostradas a seguir venderia mais jornal:
1. Estudante é estuprada e morta dentro de casa!
2. Cerca de 4.500.000 pessoas da Grande BH passam um dia
normal e calmo.
Entenderam a idéia? A maioria das pessoas caminham diariamente pela
rua sem serem assaltadas. Poucas pessoas morrem por causa de uma bala
perdida. Poucas pessoas são fraudadas ou enganadas por algum tipo de
espertalhão. Ou seja, os ataques, sejam eles criminosos ou não, são
exceções. São eventos que pegam a pessoa de surpresa. O que podemos
fazer então para não sermos pegos de surpresa?
Semelhanças entre o mundo real e o mundo digital:
O mundo digital (ou mundo virtual ou ciberespaço) quase não tem
nenhuma diferença do mundo físico ou real. Se removermos os termos
tecnológicos, as máquinas e conexões, é a mesma coisa. É uma extensão
do mundo real. É um espelho. Vejamos o que acontece no mundo digital:
1. Assim como no mundo físico, pessoas o povoam. Pessoas interagem
umas com as outras, formam relacionamentos sociais, afetivos,
comerciais, vivem e morrem.
2. Existem acordos, contratos, atos de desrespeito e delitos assim como
no mundo físico.
3. As ameaças digitais são espelhos das ameaças reais: se uma fraude
ou desfalque é uma ameaça no mundo físico, também será uma
ameaça no mundo digital. Se um banco pode ser roubado, um banco
digital também pode ser roubado. Invasão de privacidade, roubo,
sexo, extorsão, vandalismo, pedofilia, espionagem.... Esqueci algo?
Semelhanças entre o mundo real e o mundo digital:
Que tal mais algumas semelhanças que espelhem “a natureza imutável
dos ataques”? Vejamos:
1. Invasão de privacidade: registros públicos (espionagem – satélites),
informações financeiras (rastros de cartão de débito e crédito), informações
médicas (seguros de saúde), informações familiares e pessoais via imprensa
(ex: fraudes da guerra), sistemas telemétricos, trojans e backdoors.
2. Pornografia adulta e infantil
3. Danos físicos que podem causar mortes
4. Seitas esquisitas (Igreja Virtual)
5. Lavagem de dinheiro (ações de empresas .com – e uma boa idéia)
Assim como máquinas e ferramentas são extensões do homem, a Internet
é a extensão de nossa sociedade... com tudo que ela tem de bom e ruim!
Felizmente, os ataques são exceções, assim como acontece no mundo
real. Entretanto, devemos ficar espertos. Querem saber o porquê?
Diferenças entre o mundo real e o mundo digital:
Apesar das muitas semelhanças, o mundo digital possui três
características novas que o tornam particularmente diferente e
assustador. Qualquer uma delas sozinha já é ruim; as três
juntas são horripilantes. São elas:
1. Automação (ex: roubo infalível – ataque salame)
2. Ação à distancia (ex: caixa da padaria)
3. Propagação da técnica (ex: decodificador de TV)
“Se você acredita que a tecnologia pode resolver os
seus problemas de segurança, então você não conhece
os problemas e tampouco a tecnologia.”
Alguns poucos exemplos:
•
Roubo de cerca de 3.000 registros de cartão de crédito da empresa
SalesGate.com. Os registros mais relevantes foram publicados na
Internet.
•
A Agência Central de Inteligência dos EUA (CIA) foi acusada de
espionagem eletrônica utilizando o sistema ECHELON.
•
A Agência de Inteligência Japonesa teve que adiar a distribuição de
um novo sistema de defesa, ao descobrir que o software tinha sido
desenvolvido com a participação de alguns membros da seita
Verdade Suprema.
Mais alguns exemplos:
•
Foi descoberto (pela Novell) uma grave falha de segurança no Active
Directory do Windows 2000 Server. Não se sabe ainda se é um bug ou uma
falha na implementação do projeto (2000). Hoje, sabemos!
•
Um casal italiano (Giuseppe Russo e sua esposa Sandra Elazar) foi preso
em flagrante após roubo (e uso) de mais de 1.000 registros de cartões de
crédito.
•
Hackers árabes conseguiram paralisar por algumas horas o site israelita da
Microsoft com ataques DoS (Denial of Service – Negação de serviços).
•
Um hacker americano adolescente (codinome Coolio) foi indiciado por
conseguir invadir os sistemas da empresa especializada em segurança
criptografada RSA Security, sistemas DNS e sistemas do DoD.
•
Kevin Mitnick, o mais famoso hacker do mundo, concede entrevista na
prisão em que cumpre pena, contando que várias de suas invasões bem
sucedidas ocorreram porque ele fingiu ser outra pessoa, e, através de e-mail
ou telefone, conseguiu informações privilegiadas.
Mais alguns exemplos:
•
A página do UNI-BH foi deformada por um hacker, utilizando uma falha (bug)
descoberta e publicada na Internet, do IIS (Internet Information Server) da
Microsoft, rodando sob Windows NT.
•
Um hacker brasileiro afirma ter roubado informações confidenciais de uma
empresa automotiva e vendido para outra concorrente. Esta informações
seriam utilizadas em uma mala direta selecionada.
•
Um conhecida minha teve algumas de suas fotos de suas férias em Trancoso –
BA roubadas e publicadas. Ela foi avisada pelo “amigo” que conseguiu o feito
após conhece-la através do ICQ.
•
Durante um chat, sábado à tarde no UOL, em sala de adolescentes (15-20
anos), recebi, durante o espaço de cerca de uma hora, mais de 40 varreduras
procurando vulnerabilidades, e duas tentativas bastante determinadas de
invasão, que incluíam tentativa de acesso à pilha do SO e outros truques de
hackers habilidosos. Fui obrigado a me desconectar para prevenir a invasão
(anonimato é importante).
•
E-mails “correntes” disfarçadas, e-mails com “conselhos” tecnológicos,
banners maliciosos, disquetes suspeitos.
Algumas conclusões sobre segurança:
Para que segurança seja algo que funcione, ela precisa ser vista como um
sistema e como um processo. Para que a segurança seja completa (nunca
perfeita, pois isso é impossível), ela passa por três fases distintas:
Prevenção
Detecção
Reação
Nesta palestra abordamos pouquíssima coisa apenas da primeira fase.
Uma abordagem mais aprofundada sobre a primeira fase e, após, sobre as
outras fases, exigiria praticamente um curso.
Alguns cuidados essenciais sobre prevenção:
• Usar um programa antivírus, e atualiza-lo com freqüência.
• Usar um firewall, e, se possível, ficar atento ao tráfego de rede.
• Saber a diferença entre vírus, vermes e trojans, e como evitá-los.
• Sempre fazer backup! Backup desatualizado é flashback! Dúvidas?
Esta palestra está terminando. Entretanto, este assunto
ainda está muito longe de ser esgotado. A título de
curiosidade, listarei aqui alguns tópicos que podem ser
vistos em um outro momento, com mais profundidade.
Ataques criminosos:
Tipos de Ataque:
• Criminosos
• Por publicidade
• Legais
• Fraude
• Esquemas
• Destrutivos
• Roubo de propriedade intelectual
• Roubo de identidade
• Roubo de marca
• Invasão de privacidade.
Invasão de Privacidade:
Ataques por publicidade:
• Vigilância
• Ataques de negação de serviço
• Datawarehouse
• Deformação de sites
• Análise de tráfego
• Vigilância em massa (ECHELON)
Ataques Legais: descoberta de falhas em um sistema alvo com alta
possibilidade de geração de processos de indenização.
Os adversários: lammers, hackers, crackers, insiders maliciosos, script kids,
crime organizado, agências governamentais de inteligência, imprensa, espiões
industriais, terroristas.
Níveis de Segurança: anonimato, segurança pública, segurança privada,
assuntos confidenciais, segurança nacional.
Ataques famosos:
Defesas :
• Envenenamento de cache
• Firewalls
• Pacotes TCP maliciosos
• VPN´s
• Traceroute furtivos
• IDS´s
• Inundação SYN
• Autenticação e criptografia
• Sondagens de porta
• Certificados e credenciais
• Sondagens de host
• Políticas de segurança
• Ataques explorando IMAP
• WinNuke, OOBNuke e Land.
• Estouros de pilha
• As backdoors
• A Engenharia Reversa
HIMANEN, Pekka. A ética dos hackers e o espírito da era da informação: a
diferença entre o bom e mau hacker. Rio de Janeiro: Campus, 2001.
KASANOFF, Bruce. Atendimento personalizado e o limite da privacidade: até que
ponto as empresas devem usar informações pessoais para lucrar na Internet. Rio de
Janeiro: Campus, 2002.
NORTHCUTT, Stephen et al. Segurança e prevenção em redes. São Paulo: Berkeley
Brasil, 2001.
SCHNEIER, Bruce. Segurança.com: segredos e mentiras sobre a proteção na vida
digital. Rio de Janeiro: Campus, 2001.
TALBOTT, Strobe e CHANDA, Nayan (Org.) A era do terror: o mundo depois de 11
de setembro – reflexões e alertas para o futuro. Rio de Janeiro: Campus, 2002.
TORVALDS, Linus e DIAMOND, David. Só por prazer: Linux – os bastidores de sua
criação. Rio de Janeiro: Campus, 2001.