quinta-feira, 24 de junho de 2010

Resenha de livro: A Arte de Enganar - Kevin Mitnick

A Arte De Enganar
Ataques de Hackers: Controlando o Fator Humano na Segurança da Informação
Autor: Kevin Mitnick, William L. Simon
Editora: Pearson Brasil
ISBN: 8534615160

Este livro foi escrito pelo ex-cracker e atual consultor de segurança Kevin Mitnick. No livro ele mostra ataques bem-sucedidos e como eles poderiam ter sido evitados. Além disso, fornece orientações para o desenvolvimento de protocolos, programas de treinamento e manuais para garantir que o investimento em segurança de uma empresa não seja em vão. Ele dá conselhos sobre como evitar vulnerabilidades de segurança e espera que as pessoas estejam preparadas para um ataque vindo do risco mais sério de todos: a natureza humana.

No início do livro, Mitnick afirma que o elo mais fraco em qualquer esquema de segurança, é o fator humano. Não adianta você ou sua empresa ter os melhores e mais modernos equipamentos ou ferramentas de defesa, se um funcionário descuidado ou mal treinado ceder informações indevidas a alguém inescrupuloso. Através de técnicas de engenharia social, os inescrupulosos enganam as pessoas e criam situações fictícias que envolvem as vítimas. Para isso, eles se aproveitam do fato de que a maioria das pessoas confia na boa índole dos outros.

Depois ele mostra alguns exemplos práticos da atuação de engenheiros sociais, como casos em que por telefone eles se passam por funcionários das empresas ou de fornecedores para obter informações aparentemente irrelevantes, tais como, números de telefones internos da empresa, códigos de centros de custo, etc. e a partir delas montam um quebra-cabeça que lhes permitem obter as informações que realmente são importantes para os seus objetivos, como, por exemplo, um código que permite ao mal intencionado consultar a situação bancária de qualquer pessoa junto a um serviço de proteção ao crédito.

Em cada exemplo apresentado, o engenheiro social usa uma técnica diferente de abordagem e tem objetivos diferentes, mas, em comum eles se utilizam da vontade do interlocutor em ajudar uma pessoa que está em dificuldades, ou tentam passar a impressão que estão ajudando a vitima a resolver um problema que ela não tem, ou ainda tentam passar a impressão que tem autoridade para obter aquele tipo de informação, mesmo sem que o interlocutor tenha certeza que a pessoa com quem está interagindo é realmente quem alega ser. O principal recado de Mitnick neste caso é: só dê informações a pessoas das quais que você possa confirmar a identidade.

Muitas vezes, o engenheiro social se aproxima da vitima, faz perguntas sem maiores objetivos ou mantém conversas despretensiosas, apenas com o intuito de ganhar a confiança da outra parte. Somente depois que já se estabeleceu a relação de confiança é que o engenheiro parte para obter as informações que realmente lhe interessam.

Mitnick mostra também que o ataque pode ser feito através do computador, com emails que direcionam a pessoa para sites ou programas maliciosos, ou ainda, através de sites legítimos que são clonados para enganar o usuário. Outra fonte de informação muito utilizada pelos engenheiros sociais é o lixo das empresas, onde podem estar disponíveis informações muito valiosas sobre a organização.

O livro ressalta a importância da empresa ter uma política muito clara sobre quais tipos de informações podem ser divulgadas, para quem elas podem ser divulgadas, quem pode fazer essa divulgação e através de quais meios. Informações aparentemente inofensivas, como ramal e email dos funcionários podem ser muito úteis para que o engenheiro social monte o seu quebra-cabeça. Outro tipo de informação muito cobiçada são os manuais de operação internos da companhia, neles o engenheiro pode aprender como a empresa funciona e qual é o jargão utilizado por seus funcionários e, dessa forma, se passar por uma pessoa de dentro da organização sem levantar suspeitas. E este tipo de manual, muitas vezes está disponível na internet ou no lixo sem maiores proteções.

Os objetivos de uma pessoa que buscam informações confidenciais podem ser os mais diversos, indo desde o simples prazer de burlar o esquema de segurança, até obter vantagens financeiras ou realizar espionagem empresarial. Existem casos documentados de empresas que sofreram prejuízos de milhões de dólares com golpes deste tipo.

Muitas vezes o atacante está dentro da própria empresa, podem ser funcionários insatisfeitos, empregados recém-demitidos, o pessoal de TI que tem acesso privilegiado às bases de dados, ou simples curiosos querendo bisbilhotar o salário dos colegas. Isso mostra que os procedimentos de segurança precisam ser redobrados e muito bem pensados.

O livro mostra que a natureza humana tem seis tendências básicas de colaborar com outras pessoas: por autoridade, afabilidade, reciprocidade, consistência, validação social e escassez. O engenheiro social irá tentar explorar uma ou mais dessas tendências para tentar fazer com que seu interlocutor colabore.

O autor ressalta a importância de treinar constantemente e formalmente todos os funcionários sobre a política de segurança da empresa. O treinamento pode ter conteúdo diferente para cada perfil de funcionário. Além disso, a política de segurança deve ser divulgada constantemente através dos canais de comunicação disponíveis.

É claro que os aspectos físicos e tecnológicos da segurança não podem ser negligenciados, mas, o principal recado do livro é que não adianta investir apenas nesses itens e deixar as pessoas em segundo plano, pois, elas podem ser o elo mais fraco nessa corrente se não forem bem orientadas.

Apesar do livro se concentrar nos ataques da engenharia social sobre as empresas, nós podemos ver vários exemplos de ataque de engenharia social na nossa vida pessoal. O golpe do falso sequestro aplicado pelo celular para extorquir dinheiro de pessoas desavisadas é um exemplo típico. Outro exemplo, é o golpe onde pessoas desconhecidas, pelo telefone, pedem que as vítimas comprem créditos de celular pré-pago e lhes repassem o código de ativação em troca de supostos prêmios .

Em resumo, para quem trabalha com TI, este livro é uma leitura obrigatória.