Engenharia Social Ian Mann
Lanรงamento 2011 ISBN: 978-85-212-0604-0 Pรกginas: 236 Formato: 17x24 cm Peso: 0,395 kg
Conteúdo
Introdução 9
hacking.indb 5
SEÇÃO 1: OS RISCOS
17
Capítulo Um: Que é Engenharia Social?
19
Ameaças da Engenharia Social Medição dos Controles de Segurança
23 28
Capítulo Dois: Compreendendo seus Riscos
31
Definição de Risco de Engenharia Social Abordagem de Base Abordagem Padronizada Abordagem Quantitativa
31 40 41 43
Capítulo Três: Pessoas, Seu Elo Mais Fraco
45
Vulnerabilidades de Engenharia Social Os Riscos Associados às Vulnerabilidades Ataques à CriticalX
45 49 52
Capítulo Quatro: Limitações à Mentalidade de Segurança Atual
67
Vendedores de Segurança da Informação Estrutura Organizacional
67 68
10/06/2011 12:30:56
6
Engenharia Social
Profissionais da Segurança 68 As Aventuras de HackerZ – continuação...
70
SEÇÃO 2: ENTENDENDO AS VULNERABILIDADES HUMANAS,
87
Capítulo Cinco: Confie em Mim
89
Confiança no Agressor
91
Truques que Constroem uma Conexão
93
Capítulo Seis: Lendo uma Pessoa Leitura da Mente Perfil de Personalidade
99 99 101
Capítulo Sete: Mente Subconsciente
117
Perfis com Programação Neurolinguística (PNL)
117
Entendendo o Subconsciente
119
O Poder dos Comandos
126
Linguagem Hipnótica
131
Um Melhor Modelo da Mente
132
Perfil de Personalidade Aperfeiçoado
133
Capítulo Oito: Pai, Adulto, Criança
137
Papéis do Engenheiro Social
137
Aplicação de Análise Transacional
141
SEÇÃO 3: MEDIDAS DEFENSIVAS
153
Capítulo Nove: Mapeamento de Vulnerabilidade
155
Comparação de Resistência do Sistema
157
Mapeando seus Sistemas
160
Técnicas para Estabelecimento de Perfil de Personalidade
161
Capítulo Dez: Sistemas de Proteção
167
Construção de Aperfeiçoamentos Sistêmicos
168
Modelo de Proteção Contra a Engenharia Social
176
Mapeamento de Ataque e Combinações de Proteção
177
Controles de Acesso
185
00_Abertura_00.indd 6
07/07/2011 12:43:37
Conteúdo
Capítulo Onze: Conscientização e Treinamento
7
193
Atividades de Conscientização
193
Visando a Conscientização e o Treinamento
198
Estratégias de Desenvolvimento de Conscientização sobre Engenharia Social
201
Capítulo Doze: Testes Níveis de Progressão
hacking.indb 7
209 209
Metodologia de Testes de Engenharia Social
211
Passes Livres para Fora da Cadeia
214
Testes Direcionados
218
O Poder da Caixa de Papelão – Uma Tarefa Típica de Testes
219
Desenvolvimento de Sistemas mais Fortes
227
Considerações Finais
229
Índice remissivo
233
10/06/2011 12:30:56
CAPÍTULO
Um Que é Engenharia Social?
Uma consulta rápida à Wikipedia oferece uma definição de engenharia social como “a prática de obter informações confidenciais através da manipulação de usuários legítimos.” Isso com certeza abrange alguns de seus elementos. Algumas vezes, a engenharia social pode ser usada para obter diretamente informações confidenciais, apesar de muitas vezes as informações não terem sido classificadas de nenhuma maneira; o alvo do ataque pode não ter nem mesmo reconhecido a natureza confidencial da informação que está revelando. No entanto, há outras ocasiões em que a ação que um agressor busca pode não ser diretamente planejada com o objetivo de manipular alguém para revelar informações. Enganar um guarda de segurança para que ele dê acesso ao prédio usando engenharia social não oferece informações confidenciais diretamente – o objetivo pode ser desativar uma instalação e negar acesso às informações. A manipulação de usuários legítimos pode desempenhar um papel importante em um ataque de engenharia social. No entanto, com frequência, você pode enganar um funcionário para que ele passe os direitos legítimos que tem como usuário, como uma rota para o seu objetivo de ataque. Assim, uma definição mais apropriada pode ser: “Manipular pessoas, enganando-as, para que forneçam informações ou executem uma ação.”
Essa definição capta os aspectos distintos de fazer as pessoas de alvos e manipulá-las, em conjunto com os dois principais desfechos – perda direta da informação e obtenção de alguma ação desejada pelo agressor.
hacking.indb 19
10/06/2011 12:30:57
CAPÍTULO
Dois
Compreendendo Seus Riscos
Eu acredito piamente em uma abordagem sólida e metódica para a avaliação de risco da segurança da informação. Muitas e muitas vezes, vejo buracos na segurança de uma organização e dinheiro desperdiçado em áreas que não foram devidamente planejadas. Uma abordagem de avaliação de risco eficaz permite que você vise recursos, proporcionalmente aos níveis de risco. Assim, é de nosso maior interesse compreender o risco da segurança da informação e fazer o melhor que pudermos para ajudar a administrá-lo, pelo menos para proteger nossas aposentadorias.
Definição de Risco de Engenharia Social Você verá que é útil pôr o desenvolvimento da segurança da informação em um contexto de risco. Isso é particularmente válido na hora de comunicar problemas aos executivos seniores. A norma ISO 27001 define risco como a “combinação da probabilidade de um evento e sua consequência”. O que é interessante é que isso não capta os resultados negativos que estamos associando a um risco de segurança da informação. Talvez uma definição mais apropriada de risco, como, por exemplo, a “possibilidade de que alguma coisa desagradável ou indesejada acontecerá”, ofereça um melhor ponto de partida em nossa exploração do risco da engenharia social. Dois componentes são essenciais para a compreensão do risco:
hacking.indb 31
1)
Impacto – precisa haver algum impacto sobre o sistema em questão. Você pode substituir a palavra impacto por dano. Sem impacto não há risco.
10/06/2011 12:30:57
CAPÍTULO
Três Pessoas, Seu Elo Mais Fraco
Vulnerabilidades de Engenharia Social A finalidade deste livro é ir além de simples ilustrações de cenários de risco de engenharia social, e ajudá-lo a compreender as fraquezas psicológicas subjacentes que levam aos riscos. Quais são algumas das principais vulnerabilidades humanas relacionadas à segurança da informação e que são frequentemente exploradas por um engenheiro social?
Seguindo instruções Apesar de as pessoas, em sua maioria, acreditarem ser pensadores independentes, a realidade é que é fácil fazer com que as pessoas sigam instruções. No último verão, participei da conferência anual de segurança da British Computer Society (BSC), em Birmingham. O horário da minha apresentação em particular era após um grande almoço, e era a última de um grupo de três. A sessão antes da minha, que achei muito interessante, foi uma atualização legal. Porém, ficou claro que o público essencialmente técnico de TI não tinha vindo para ouvir um advogado e muitos estavam começando a entrar em concentração profunda (do tipo que envolve ouvir intencionalmente com seus olhos fechados). Eu decidi que precisaria de alguma coisa um pouco diferente para obter a atenção de todos, então, quando fui apresentado, ao invés de ficar na tribuna, pulei para baixo e abordei o público. Considerando-se que o público era composto de aproximadamente 150 pessoas, era possível me ouvir sem o microfone. Comecei com: “Sei que muitos de vocês ouviram
hacking.indb 45
10/06/2011 12:30:59
CAPÍTULO
Quatro Limitações à Mentalidade de Segurança Atual
Como meu cargo envolve trabalhar com executivos de todos os níveis e muitas pessoas que trabalham com segurança da informação (e TI), tive muitas chances de observar por que a engenharia social é amplamente ignorada por tantas pessoas. Considerando-se os inúmeros exemplos do uso da engenharia social que estão ocorrendo, baseados em uma tradição de pessoas que traem a confiança, é difícil argumentar que o fenômeno é novo. Então, quais são os fatores que estão fazendo com que essa área importante obtenha tão pouca atenção?
Vendedores de Segurança da Informação Muitos vendedores de hardware, software e serviços atualmente falam sobre segurança da informação, em vez de somente segurança de TI. Infelizmente, isso pode ser só para ligar seus produtos às questões mais atuais, como a ISO 27001, para vender mais, do que um interesse genuíno na segurança da informação. Problemas de engenharia social, que muitas vezes demandam soluções humanas completas, simplesmente não são atraentes para a maioria das organizações que buscam ganhar dinheiro com produtos e serviços de segurança da informação. Assim, vemos um mercado dominado por soluções técnicas que prometem muito na área de segurança, enquanto, apesar das evidências para se fazer o contrário, ignoram o elemento humano.
hacking.indb 67
10/06/2011 12:31:00
CAPÍTULO
Cinco Confie em Mim
O objetivo primário de um engenheiro social é desenvolver a confiança para que ele possa executar seu ataque. Portanto, é essencial que entendamos muito bem os processos que compõem o desenvolvimento da confiança. Para que uma organização funcione de maneira eficaz, ela precisa armazenar informações entre pessoas em várias situações. Porém, para entendermos e nos protegermos dos ataques de engenharia social, é importante que entendamos onde devem ficar os limites da confiança. Vamos também demonstrar o quanto as bases da confiança podem ser frágeis e com que facilidade ela pode ser estabelecida com o alvo de um ataque de engenharia social. Confiança é importante para nós, mas pode ser muito arriscada em determinadas situações. O exemplo a seguir mostra como as pessoas podem ser crentes, mesmo quando as consequências são perigosas. É um exemplo interessante de como profissionais bem-educados podem ser levados a tomar ações específicas, indo contra todo seu treinamento e melhor discernimento, se aceitarem a autoridade da pessoa que está dando as instruções.
Incidente: Enfermeiras Matando Pacientes Uma experiência bem conhecida foi a conduzida por Stanley Milgram nos anos 1960, apresentada em Obedience to Authority, 1974. Milgram levou os participantes a acreditar que eles estavam fazendo parte de uma experiência com memória
hacking.indb 89
10/06/2011 12:31:01
CAPÍTULO
Seis Lendo uma Pessoa
Leitura da Mente Pode-se argumentar que o objetivo máximo na compreensão de como a mente humana funciona é conseguir ler a mente de alguém simplesmente olhando para o rosto da pessoa. Imagine se todas medidas defensivas de confidencialidade pudessem ser evitadas por alguém que conseguisse simplesmente ler a mente de um funcionário fundamental. Deixe-me dar um exemplo: Quando não estou ocupado resolvendo desafios de segurança da informação, tento passar o máximo de tempo possível com minha família. Minha mulher, Ravinder, e nossos três filhos Alec, Oscar e Mia (13, 11 e 8 no momento em que escrevi este livro) adoram jogar seus jogos familiares. Um deles, você provavelmente conhece muito bem, eles chamam de “Adivinha quem”. Basicamente, você escreve o nome de uma pessoa famosa em um pedaço de papel e gruda na testa de uma pessoa – todas as outras pessoas conseguem ver quem você é, menos você. Então você faz perguntas simples com respostas de “sim” ou “não” para uma pessoa de cada vez, até descobrir sua identidade. Por exemplo: “Sou homem?” – Sim “Sou esportista?” – Sim “Eu jogo futebol?” – Sim “Eu joguei pela Inglaterra?” – Sim “Meu nome é David Beckham?” – Sim
hacking.indb 99
10/06/2011 12:31:02
CAPÍTULO
Sete Mente Subconsciente
Perfis com Programação Neurolinguística (PNL) Parte do embasamento da Programação Neurolinguística, estabelecida por Richard Bandler e John Grinder, foi a formulação de teorias de representações internas dentro do cérebro e o trabalho do subconsciente. Uma parte interessante deste trabalho foi o uso de movimentos oculares observados, para dar uma indicação do funcionamento da mente. Esses movimentos raramente são percebidos pelo observador até que ele seja alertado sobre a presença deles. Nem todas as pessoas apresentam os mesmos movimentos e, em geral, eles são invertidos nas pessoas canhotas. Você pode verificá-los, correlacionando o que uma pessoa está descrevendo em comparação com os movimentos dos olhos dela. Por exemplo, olhar para cima e para a sua esquerda é comum quando você está invocando uma memória visual. Então, se você pedir a alguém para descrever a parte externa de sua casa e observar os movimentos dos olhos, poderá confirmar que é o que acontece. Os processos de memória indicados por movimentos oculares de curto prazo específicos são mostrados na Figura 7.1. Movimentando-se ao redor do círculo, começando da parte superior, à direita:
hacking.indb 117
• Imagens lembradas – trata-se de memórias visuais acessadas durante processos de pensamento.
• Áudio lembrado – lembranças de sons ou das palavras de alguém.
• Falar consigo mesmo – indicação de que um diálogo interno está acontecendo.
10/06/2011 12:31:04
CAPÍTULO
Oito Pai, Adulto, Criança
Imagine que um agressor de engenharia social está prestes a aplicar engenharia social em alguém. Ele observa cuidadosamente o alvo, próximo o suficiente para ouvi-lo interagir com outras pessoas. Ele agora tem uma decisão a tomar. Que papel vai adotar? À medida que as habilidades de engenharia social de um agressor e sua experiência se desenvolvem, ele pode chegar a um nível em que consegue mudar de papel em um instante, dependendo da situação. É isso que acho tão fascinante nesse campo de segurança da informação. Ao planejar testes de engenharia social, sempre me lembro de permanecer bem flexível e mudar as táticas se necessário. Por exemplo, em um teste recente, eu estava entrando em uma recepção para tentar passar pelos guardas de segurança e por um sistema de entrada com cartão magnético. Inicialmente, tentei persuadi-los (de maneira sutil) de que eu era um funcionário. Eles me desafiaram, pedindo para ver minha identificação. Então, mudei o papel para visitante e produzi minha credencial (falsa) de visitante. Isso me levou a enganar com sucesso seus sistemas. Essa capacidade de mudar de papel, dependendo da leitura do alvo, pode ser extremamente útil.
Papéis do Engenheiro Social Durante minhas apresentações anteriores sobre engenharia social, defini alguns papéis úteis para o engenheiro social.
hacking.indb 137
10/06/2011 12:31:07
CAPÍTULO
Nove Mapeamento de Vulnerabilidade
É comum agora que as empresas conduzam avaliações de vulnerabilidade técnica para seus sistemas de TI. Essas avaliações com frequência combinam escaneamento automatizado e ferramentas de auditoria com testes manuais. Hoje, é totalmente aceitável que testes feitos por terceiros sejam parte essencial do gerenciamento da segurança de TI. Porém, o que se tenta conseguir com testes? Revelar vulnerabilidades sobre as quais não se estava anteriormente ciente; alguma coisa que em geral as pessoas esquecem quando repetem os mesmos testes anuais de penetração (somente externa). Assim, o objetivo dos testes de penetração, como parte da sua provisão de segurança de TI, é revelar e compreender vulnerabilidades. O mesmo princípio de testes deveria ser aplicado ao elemento humano da sua segurança da informação. No capítulo final deste livro, exploraremos os testes de engenharia social em mais detalhes, porém, nesse estágio, quero explorar a compreensão mais ampla das vulnerabilidades e mensurar quão protegidos seus sistemas estão contra ataques de engenharia social. Com uma área de compreensão em estágio inicial de desenvolvimento e abrangência, você muitas vezes encontrará uma falta de estruturas viáveis disponíveis para ajudá-lo em sua análise; a engenharia social não é diferente. Para compreender as vulnerabilidades presentes em determinado sistema de informação, acho útil compreender a Resistência do Pessoal e a Resistência Sistêmica da segurança dentro do sistema. Defino essas duas variáveis de proteção contra engenharia social da seguinte maneira:
hacking.indb 155
10/06/2011 12:31:09
CAPÍTULO
Dez Sistemas de Proteção
Provavelmente, o maior erro que as pessoas cometem quando pensam em proteção contra engenharia social é pensar somente em termos de conscientização da equipe. Em nossa experiência, considerando-se que o estabelecimento de consciência tende a fortalecer somente os processos conscientes, as melhorias sistêmicas é que são mais eficientes na proteção das suas informações. Um bom exemplo de um sistema fácil, suscetível a ataque de engenharia social, é o de uma assistência por telefone de uma empresa de cartão de crédito. Nós nos deparamos com um incidente no qual um operador fez 17 perguntas para a pessoa que estava ligando, para autenticar sua identidade antes de dar acesso à conta dela. Sim, isso significa 16 respostas erradas ou não dadas e uma resposta correta. Considero isso 16 razões para não conceder acesso à pessoa contra uma razão para conceder acesso. Claramente, os sistemas do banco estavam dando ao operador opções demais, bem como davam muito peso à facilidade de uso em detrimento da segurança. Em outro exemplo relacionado, um operador perguntou ao cliente se ele poderia identificar sua última compra. Ele pediu uma pista (talvez isso devesse ter sido um gatilho de alerta!) e recebeu a seguinte resposta: “Parece que são tacos de golfe. Você sabe me dizer quantos foram?” O cliente disse que teria que verificar e ligar de volta. Mais tarde, outra ligação para um operador diferente foi feita pela mesma pessoa, que, ao receber a solicitação de identificar sua última compra, disse: “Ah, sim, foram os tacos de golfe.” É fácil, dessa forma, enganar um operador para dar a você informações que outro operador aceita depois como informação de autentica-
hacking.indb 167
10/06/2011 12:31:11
CAPÍTULO
Onze Conscientização e Treinamento
Nossos objetivos com conscientização e treinamento em segurança contra engenharia social são dois:
1) Promover a conscientização sobre a ameaça do ataque de engenharia social, para aumentar a probabilidade de um ataque ser detectado e impedido.
2) Treinar os usuários para cumprir e apoiar as medidas defensivas de segurança sistêmica que protegem as informações e sistemas de ataque. Para começar, eu gostaria de definir algumas das muitas e variadas atividades de conscientização que nossos clientes usam, muitas vezes com nossa ajuda. Muitas delas aplicam-se, em geral, à segurança da informação; o elemento de proteção de engenharia social dependerá das medidas de defesa e proteção específicas que você tiver desenvolvido dentro dessa estrutura.
Atividades de Conscientização Treinamento de adequação A maioria das organizações, presumindo até a abordagem mais básica à segurança da informação, terá elementos de conscientização e treinamento em seu programa de adequação para funcionários novos. Isso pode ser um complemento rápido para a adequação de TI dessas organizações, ou algo que seja parte dos procedimentos gerais, incluindo rotinas de segurança física.
hacking.indb 193
10/06/2011 12:31:15
CAPÍTULO
Doze Testes
Os testes de engenharia social são, frequentemente, uma tarefa nova para muitas organizações. Em situações em que não existe um histórico de testes para servir de base, recomendo, em geral, que seja feita uma progressão lógica com seus testes de engenharia social. Para muitos dos meus clientes, é a primeira vez que fazem testes sérios desse tipo e essa progressão faz sentido para eles. Você pode ter contratado uma empresa de testes de penetração tradicional que oferece elementos de engenharia social. No entanto, isso raramente é feito de maneira sistemática, de forma que possa levar a um programa de desenvolvimento efetivo. Pelo contrário: frequentemente, só explora uma ou duas aberturas óbvias e depois demonstra até onde elas podem ser violadas. Uma abordagem melhor é pensar em termos de três níveis de progressão.
Níveis de Progressão Nível 1 – nenhuma informação interna Eu não chamaria isso de conhecimento zero, pois estaria coletando informações a partir da primeira vez que entro em uma organização para uma reunião de planejamento (ou até antes disso, já a partir de uma conversa telefônica com a organização). No entanto, meu nível de conhecimento estaria restrito às informações publicamente disponíveis ou às informações que qualquer visitante casual conseguiria acessar.
hacking.indb 209
10/06/2011 12:31:16
Este livro estรก a venda nas seguintes livrarias e sites especializados:
Inovação e
Excelência em
Administração