Kevin Mitnick - A Arte de Enganar, Notas de estudo de Engenharia Elétrica

Baixe Kevin Mitnick - A Arte de Enganar e outras Notas de estudo em PDF para Engenharia Elétrica, somente na Docsity! Ataques de Hackers: Controlando o Fator Humano na Segurança da Informação MAKRON Books Education Prefácio de Steve Wozniak Digitalizado por DIVONCIR As aventuras de Kevin Mitnick como cibercriminoso e fugitivo de uma das caçadas mais exaustivas da história do FBI deram origem a dezenas de artigos, livros, filmes e documentários. Desde que foi solto de uma prisão federal, Mitnick deu uma virada na sua vida e estabeleceu-se como um dos especialistas em segurança de computadores mais requisitados de todo o mundo. Neste livro, o hacker mais famoso do mundo fornece orientações específicas para o desenvolvimento de protocolos, programas de treinamento e manuais para garantir que o investimento em segurança técnica sofisticada de uma empresa não seja em vão. Ele dá conselhos sobre como evitar vulnerabilidades de segurança e espera que as pessoas estejam sempre preparadas para um ataque vindo do risco mais sério de todos — a natureza humana. Para Shelly Jaffe, Reba Vartanian, Chickie Leventhal e Mitchell Mitnick e para os falecidos Alan Mitnick, Adam Mitnick e Jack Biello Para Arynne, Victoria e David, Sheldon, Vincent e Elena Engenharia social engenharia social usa a influência e a persuasão para enganar as pessoas e convencê-las de que o engenheiro social é alguém que na verdade ele não e, ou pela manipulação. Como re- sultado, o engenheiro social pode aproveitar-se das pessoas para obter as informações com ou sem o uso da tecnologia. A Apresentação ix Prefácio xi Introdução xv Parte Bastidores 1 Capítulo 1 O Elo Mais Fraco da Segurança 3 Parte A Arte do Atacante 11 Capítulo 2 Quando as Informações Não São Inofensivas 1 3 Capítulo 3 O Ataque Direto: Simplesmente Pedindo 25 Capítulo 4 Criando a Confiança 33 Capítulo 5 "Posso Ajudar?" 45 Capítulo 6 "Você Pode Me Ajudar?" 63 Capítulo 7 Sites Falsos e Anexos Perigosos 75 Capítulo 8 Usando a Simpatia, a Culpa e a Intimidação 85 Capítulo 9 O Golpe Inverso 107 Parte Alerta de Invasão 119 Capítulo 10 Entrando nas Instalações 121 Capitulo 11 Combinando a Tecnologia e a Engenharia Social 1 39 Capítulo 12 Ataques aos Empregados Iniciantes 155 Capitulo 13 Trapaças Inteligentes 167 Capitulo 14 A Espionagem Industrial 179 Parte Eliminando as Barreiras 193 Capítulo 1 5 Conscientização e Treinamento em Segurança da Informação 195 Capítulo 16 Recomendações de políticas de segurança das informações corporativas 207 Um exame rápido da segurança 265 Fontes 273 Agradecimentos 275 índice 279 xii A Arte de Enganar Outro interesse pessoal que surgiu logo cedo foi o meu fascínio pela mágica. Após aprender como um truque novo funcionava, não parava de praticar até dominá-lo bem. De certa forma, foi pela mágica que descobri como é bom enganar as pessoas. Do phreaking ao hacking O meu primeiro encontro com aquilo que aprenderia a chamar de engenharia social deu-se durante meus anos no ginásio, quando conheci outro aluno que foi pego com um hobby chamado phone phreaking. Esse é um tipo de hacking que permite que você vasculhe a rede telefônica explorando os sistemas de telefone e os empregados da empresa de telefonia. Ele me mostrou os truques que podia fazer com um telefone, como conseguir todas as informações que a empresa de telefonia tinha sobre um cliente e como usar um número de teste secreto para fazer ligações interurbanas de graça (na ver- dade elas eram de graça para nós — descobri bem mais tarde que aquele não era um número secreto de teste: as ligações eram cobradas de alguma conta MCI da pobre empresa). Essa foi a minha apresentação à engenharia social — o meu jardim da infância, por assim dizer. Ele garoto e outro phreaker que conheci pouco tempo depois me deixavam escutar as ligações de pretexto para a empresa de telefonia. Eu ouvia as coisas que eles diziam para parecerem pessoas de cre- dibilidade, aprendi sobre os diferentes escritórios das empresas de telefonia, o linguajar e os procedi- mentos. Mas esse "treinamento" não durou muito tempo; ele não precisava ser longo. Em breve esta- va aprendendo por conta própria e me saindo melhor ainda do que aqueles primeiros professores. O curso que a minha vida tomaria nos próximos 15 anos já estava definido. Uma das minhas peças preferidas era conseguir o acesso não autorizado a uma central telefô- nica e mudar a classe de serviços de um colega phreaker. Quando tentava fazer uma ligação de casa, ele ouvia uma mensagem pedindo para depositar vinte e cinco centavos, porque a central da empre- sa de telefonia havia recebido informações de que ele estava ligando de um telefone público. Fiquei interessado em tudo que dissesse respeito a telefones — não apenas a eletrônica, às centrais e aos computadores, mas também a organização corporativa, aos procedimentos e a termi- nologia. Após algum tempo, talvez já soubesse mais sobre o sistema de telefones do que qualquer empregado da empresa. E havia desenvolvido as minhas habilidades em engenharia social até o ponto de com 17 anos poder falar com a maioria dos empregados da empresa de telefonia sobre quase tudo, fosse pessoalmente ou por telefone. A minha carreira tão divulgada de hacker, na verdade, começou quando eu estava no colégio. Embora não possa descrever aqui os detalhes, basta dizer que um dos principais incentivos para as minhas primeiras ações foi ser aceito pelos caras do grupo de hackers. Naquela época usávamos o termo hacker para descrever uma pessoa que passava grande parte do tempo mexendo com hardware e software, seja para o desenvolvimento de programas mais eficientes, seja para eliminar etapas desnecessárias e fazer um trabalho mais rapidamente. O termo agora se tor- nou pejorativo com o significado de "criminoso malicioso". Uso o termo como sempre o usei --- no seu sentido mais antigo e benigno. Terminado o colégio, fiz um curso sobre computadores no Computer Learning Center, em Los Angeles. Em alguns meses, o gerente de computadores da escola percebeu que eu havia descoberto uma vulnerabilidade no sistema operacional e havia ganhado privilégios administrativos totais sobre seu minicomputador IBM. Os melhores especialistas em computadores do seu corpo docente não conseguiram descobrir como eu havia feito aquilo. Este deve ter sido um dos primeiros exemplos de "contrate o hacker", pois recebi uma oferta irrecusável: criar um projeto honors (dentro dos padrões e Prefácio xiii normas) para melhorar a segurança dos computadores da escola, ou enfrentar a suspensão por ter inva- dido o sistema. É claro que preferi criar o projeto e acabei me formando Cum Laude with Honors, Tomando-me um engenheiro social Algumas pessoas acordam de manhã temendo a sua rotina de trabalho nas proverbiais minas de sal. Tive sorte e gosto do meu trabalho. Você não pode imaginar o desafio, a gratificação e o prazer que sentia no período em que trabalhei como detetive particular. Eu estava aperfeiçoando meus talentos na arte teatral chamada engenharia social — fazer com que as pessoas façam coisas que normalmente não fariam para um estranho — e sendo pago para fazer isso. Para mim não foi difícil tornar-me proficiente em engenharia social. O lado paterno da minha família trabalhava com vendas há gerações, de modo que a arte da influência e persuasão pode ter sido um traço que herdei. Quando você combina uma inclinação para enganar as pessoas com os talentos da influência e persuasão, você chega ao perfil de um engenheiro social Pode-se dizer que há duas especialidades dentro da classificação do cargo de artista da trapaça. Alguém que faz falcatruas e engana as pessoas para tirar o seu dinheiro pertence a uma subespeciali- dade chamada grifter. Alguém que usa a fraude, a influência e a persuasão contra as empresas, em ge- ral visando suas informações, pertence a outra subespecialidade: o engenheiro social. Desde a época do meu truque com a baldeação de ônibus, quando era jovem demais para saber que era errado aquilo que estava fazendo, eu havia começado a reconhecer um talento para descobrir os segredos que eu não deveria saber, Aproveitei aquele talento usando a fraude, conhecendo o jargão e desenvolvendo uma habilidade de manipulação bem lapidada. Uma forma que descobri para desenvolver as habilidades da minha arte, se é que posso chamá-la de arte, foi escolher algumas informações com as quais não me importava e ver se poderia conven- cer alguém do outro lado do telefone a me fornecê-las, só para melhorar as minhas habilidades. Da mesma forma que costumava praticar meus truques de mágica, pratiquei a criação de pretextos. Por meio de todos esses ensaios, logo descobri que poderia adquirir praticamente quaisquer informações que desejasse. Como descrevi em meu testemunho no Congresso perante os Senadores Lieberman e Thompson anos depois: Tive acesso não autorizado aos sistemas de computadores de algumas das maiores cor- porações do planeta, e consegui entrar com sucesso em alguns dos sistemas de computadores mais protegidos que já foram desenvolvidos. Usei meios técnicos e não técnicos para obter o código-fonte de diversos sistemas operacionais e dispositivos de telecomunicações para estudar suas vulnerabilidades e seu funcionamento interno. Toda essa atividade visava satisfazer minha própria curiosidade, ver o que eu poderia fazer e des- cobrir informações secretas sobre os sistemas operacionais, telefones celulares e tudo o que chamasse minha atenção. ÚLTIMAS IDÉIAS Reconheci desde a minha prisão que minhas ações eram ilegais e que cometi invasões de privacidade. Meus crimes foram motivados pela curiosidade. Eu queria saber o máximo possível sobre o modo como funcionavam as redes de telefonia e os prós e Contras da segurança de computadores. xiv Arte de Enganar Passei de uma criança que adorava fazer truques de mágica para o hacker mais conhecido do mundo, temido pelas corporações e pelo governo. Ao pensar nesses últimos 30 anos, tenho de admitir que tomei algumas decisões ruins, motivadas pela minha curiosidade, pelo desejo de aprender sobre a tecnologia e pela necessidade de um bom desafio intelectual. Hoje sou outra pessoa. Estou transformando meus talentos e o extenso conhecimento que reuni sobre a segurança das informações e sobre as táticas da engenharia social para ajudar o governo, as empresas e os indivíduos a evitar, detectar e responder às ameaças da segurança da informação. Este livro é mais uma forma pela qual posso usar a minha experiência para ajudar os outros a evitarem os esforços dos ladrões mal-intencionados de informações de todo o mundo. Creio que o leitor achará as histórias agradáveis, elucidativas e educativas. O Elo Mais Fraco da Segurança ma empresa pode ter adquirido as melhores tecnologias de segurança que o dinheiro pode com- prar, pode ter treinado seu pessoal tão bem que eles trancam todos os segredos antes de ir embo- ra e pode ter contratado guardas para o prédio na melhor empresa de segurança que existe. Mesmo assim essa empresa ainda estará vulnerável. Os indivíduos podem seguir cada uma das melhores práticas de segurança recomendadas pelos especialistas, podem instalar cada produto de segurança recomendado e vigiar muito bem a configu- ração adequada do sistema e a aplicação das correções de segurança. Esses indivíduos ainda estarão completamente vulneráveis. O FATOR HUMANO Ao testemunhar no Congresso há pouco tempo, expliquei que poderia conseguir senhas e outras infor- mações sigilosas nas empresas fingindo ser outra pessoa e simplesmente pedindo essas informações. E natural querer se sentir seguro e isso leva muitas pessoas a buscarem uma falsa idéia de seguran- ça. Veja o caso do responsável e carinhoso proprietário de uma casa que tem um Medico, um cadeado de fechadura conhecido como sendo à prova de roubo, o qual foi instalado na porta da frente para proteger sua esposa, seus filhos e sua casa. Agora ele está certo de que tornou sua família muito mais segura com relação a intrusos. Mas e o intruso que quebra uma janela ou descobre o código que abre a porta da garagem? Que tal instalar um sistema de segurança resistente? Isso é melhor, mas não garante nada. Com cadeados caros ou não, o proprietário da casa permanece vulnerável Por quê? Porque o fator humano é o elo mais fraco da segurança. Com freqüência, a segurança é apenas uma ilusão, que às vezes fica pior ainda quando entram em jogo a credulidade, a inocência ou a ignorância. O cientista mais respeitado do mundo no século XX, Albert Einstein, disse: "Apenas duas coisas são infinitas: o universo e a estupidez humana, e eu não tenho certeza se isso é verdadeiro sobre o primeiro". No final, os ataques da engenharia social podem ter sucesso quando as pessoas são estúpidas ou, em geral, apenas desconhecem as boas práticas da seguran- ça. Com a mesma atitude do nosso proprietário de casa consciente sobre a segurança, muitos profissio- nais da tecnologia da informação (TI) conservam a idéia errada de que tomaram suas empresas imunes ao ataque porque usaram produtos de segurança padrão — firewalls, sistemas de detecção de intrusos (Intrusion Detection Systems) ou dispositivos avançados de autenticação, tais como tokens baseados no tempo ou cartões biométricos inteligentes. Todos que acham que os produtos de segurança sozinhos oferecem a verdadeira segurança estão fadados a sofrer da ilusão da segurança, Esse é o caso de viver em um mundo de fantasia: mais cedo ou mais tarde eles serão vítimas de um incidente de segurança. U 4 A Arte de Enganar Como observou o consultor de segurança Bruce Schneier, "a segurança não é um produto, ela é um processo". Além disso, a segurança não é um problema para a tecnologia — ela é um problema para as pessoas e a direção. A medida que os especialistas contribuem para o desenvolvimento contínuo de melhores tecnolo- gias de segurança, tornando ainda mais difícil a exploração de vulnerabilidades técnicas, os atacantes se voltarão cada vez mais para a exploração do elemento humano. Quebrar a "firewall humana" quase sempre é fácil, não exige nenhum investimento além do custo de uma ligação telefônica e envolve um risco mínimo. UM CASO CLÁSSICO DE FRAUDE Qual e a maior ameaça à segurança dos bens da sua empresa? Isso é fácil: o engenheiro social, um mágico inescrupuloso que faz você olhar a sua mão esquerda enquanto com a mão direita rouba seus segredos. Esse personagem quase sempre é tão amistoso, desembaraçado e prestativo que você se sente feliz por tê-lo encontrado. Dê uma olhada em um exemplo da engenharia social. Não há muitas pessoas hoje que ainda se lem- bram do jovem chamado Stanley Mark Rifkin e de sua pequena aventura com o agora extinto Security Pacific National Bank, de Los Angeles. Os relatos dessa invasão variam e Rifkin (assim como eu) nunca contou a sua própria versão. Assim sendo, o que vem a seguir se baseia nos relatórios publicados. Descoberta do código Certo dia em 1978, Rifkin perambulou pela sala de transferência eletrônica com acesso autorizado apenas para os funcionários do Security Pacific, na qual a equipe enviava e transferia vários bilhões de dólares todos os dias. Ele trabalhava como contratado de uma empresa que desenvolvia um sistema de backup para os dados da sala de transferência para o caso de seu computador principal ficar paralisado. Essa função deu-lhe acesso aos procedimentos de transferência, incluindo o modo como os funcionários do banco organizavam o envio de uma transferência. Ele aprendeu que os funcionários do banco que estavam autorizados a pedir as transferências eletrônicas recebiam um código diário secreto a cada manhã, o qual era usado quando ligavam para a sala de transferência. Na sala de transferência, os funcionários nem se davam ao trabalho de memorizar o código de cada dia. Eles escreviam o código em um pedaço de papel e o colocavam em um lugar no qual podiam vê-lo facilmente. Nesse dia de novembro em particular, Rifkin tinha um motivo específico para a sua visita. Ele queria dar uma olhada naquele papel. Ao chegar à sala de transferência, anotou os procedimentos operacionais, supostamente para ter certeza de que o sistema de backup se combinaria com os sistemas normais. Nesse meio tempo, leu discretamente o código de segurança no pedaço de papel e o memorizou. Alguns minutos depois foi embora. Como declarou mais tarde, ele se sentiu como se houvesse ganhado na loteria. Há essa conta no banco suíço... Ao sair da sala lá pelas 3 horas da tarde, ele foi direto para o telefone público no saguão de mármore do prédio, no qual depositou uma ficha e discou para a sala de transferência eletrônica. Em seguida, transformou-se de Stanley Rifkin. consultor do banco, em Mike Hansen, um membro do Departa- mento Internacional do banco. Capítulo 1 O Elo Mais Fraco da Segurança 5 Segundo uma fonte, a conversação foi mais ou menos esta: "Olá, aqui quem fala é Mike Hansen, do Internacional", ele disse para a jovem que atendeu ao telefone. Ela pediu o número do escritório. Esse era um procedimento padrão e ele estava preparado. "286", respondeu. A garota continuou, "Muito bem, qual é o código?" Rifkin disse que nesse ponto o seu coração disparado pela adrenalina "retomou o ritmo". Ele respondeu com calma "4789". Em seguida, deu as instruções para a transferência de "dez milhões e duzentos mil dólares exatamente" para o Irving Trust Company de Nova York, a crédito do Wozchod Handels Bank de Zurique, Suíça, onde ele já havia aberto uma conta. Em seguida, a garota retrucou: "Muito bem, entendi. Agora preciso do número de estabelecimen- to entre escritórios."' Rifkin começou a suar frio; essa era uma pergunta que ele não havia previsto, algo que havia es- quecido nos detalhes da sua pesquisa. Mas conseguiu permanecer calmo, agiu como se tudo estivesse bem e respondeu rapidamente: "Eu vou verificar e ligo logo em seguida." Ele ligou para outro depar- tamento do banco, só que desta vez alegou ser um empregado da sala de transferência eletrônica. Ele conseguiu o número de estabelecimento e ligou novamente para a garota. Ela anotou o número e agradeceu. (Nessas circunstancias o seu agradecimento tem de ser consi- derado como algo altamente irônico.) Conseguindo o fechamento Alguns dias depois, Rifkin voou para a Suíça, pegou o seu dinheiro e trocou mais de US$ 8 milhões com uma agência russa por diamantes. Ele voou de volta e passou pela alfândega americana com as pedras ocultas no cinto de carregar dinheiro. Ele havia dado o maior desfalque bancário da história — e fez isso sem usar uma arma, sequer um computador. O curioso é que sua travessura chegou às páginas do Guiness Book na categoria de "a maior fraude de computadores". Stanley Rifkin usou a arte da fraude — as habilidades e as técnicas que hoje são chamadas de engenharia social. Um planejamento cuidadoso e uma boa conversa foram tudo do que precisou. E este livro fala disso — das técnicas da engenharia social (nas quais sou especializado) e como se defender contra o seu uso na sua empresa. A NATUREZA DA AMEAÇA A história de Rifkin deixa bastante claro como a sua sensação de segurança pode ser enganosa. Inci- dentes como esse — muito bem, eles podem não ser desfalques de US$ 10 milhões, mas são sempre prejudiciais — acontecem todos os dias. Você pode estar perdendo dinheiro agora mesmo, ou alguém pode estar roubando os planos de novos produtos e você nem sabe disso. Se isso ainda não aconteceu na sua empresa, o problema não é se isso acontecerá, mas sim quando acontecerá. Uma preocupação crescente O Computer Security Institute, em sua pesquisa de 2001 sobre os crimes de computadores relatou que 85% das organizações entrevistadas detectaram quebras na segurança dos computadores nos 12 8 A Arte de Enganar permanecem vulneráveis e continuarão sendo vistas como um alvo pelos atacantes que têm habilida- des de engenharia, até que o elo mais fraco da cadeia de segurança, o elo humano, seja fortalecido, Agora mais do que nunca devemos aprender a parar de ser otimistas e nos tornarmos mais conscientes das técnicas que estão sendo usadas por aqueles que tentam atacar a confidencialidade, integridade e disponibilidade das informações dos nossos sistemas e redes de computadores. Nós acostumamo-nos a aceitar a necessidade da direção segura; agora está na hora de aceitar e aprender a prática da computação defensiva. A ameaça de uma invasão que viola a nossa privacidade, a nossa mente ou os sistemas de in- formações da nossa empresa pode não parecer real até que aconteça. Para evitar tamanha dose de realidade precisamos nos conscientizar, educar, vigiar e proteger os nossos ativos de informações, as nossas informações pessoais e as infra-estruturas críticas da nossa nação. E devemos implementar essas precauções hoje mesmo. TERRORISTAS E FRAUDE E óbvio que a fraude não é uma ferramenta exclusiva do engenheiro social. O terrorismo físico é mais noticiado e tivemos de reconhecer como nunca antes que o mundo é um lugar perigoso. Afinal de contas, a civilização é apenas um verniz superficial. Os ataques a Nova York e Washington, D.C, em setembro de 2001, infundiram tristeza e medo nos corações de cada um de nós — não apenas nos americanos, mas também em todas as pessoas bem- intencionadas de todas as nações. Agora estamos alertas para o fato de que há terroristas obcecados localizados em todo o planeta, bem treinados e aguardando para lançar outros ataques contra nós. O esforço recentemente intensificado do nosso governo aumentou os níveis de nossa consciên- cia de segurança. Precisamos permanecer alertas, em guarda contra todas as formas de terrorismo e entender como os terroristas criam identidades falsas, como assumem os papéis de alunos e vizinhos e se misturam à multidão. Eles mascaram suas crenças verdadeiras enquanto conspiram contra nós — praticando truques de fraude semelhantes àqueles que você verá nestas páginas. Embora até onde eu saiba os terroristas ainda não usaram as artimanhas da engenharia social para se infiltrarem nas corporações, nas estações de tratamento de água, nas instalações de geração de eletricidade ou em outros componentes vitais da nossa infra-estrutura nacional, o potencial para isso existe. E isso é muito fácil. A consciência de segurança e as políticas de segurança que espero sejam colocadas em prática e implantadas pelo gerenciamento corporativo de primeiro escalão por causa deste livro não virão cedo demais. SOBRE ESTE LIVRO A segurança corporativa é uma questão de equilíbrio. Pouca ou nenhuma segurança deixa a sua em- presa vulnerável, mas uma ênfase exagerada atrapalha a realização dos negócios e inibe o crescimento e a prosperidade da empresa. O desafio é atingir um equilíbrio entre a segurança e a produtividade. Outros livros sobre segurança corporativa concentram-se na tecnologia de hardware e software e não abordam adequadamente a ameaça mais séria de todas: a fraude humana. A finalidade aqui é aju- dá-lo a entender como você, seus colegas e as outras pessoas da sua empresa estão sendo manipulados e ensiná-lo a erguer as barreiras para pararem de ser vítimas. O livro concentra-se principalmente nos métodos não técnicos que os invasores hostis usam para roubar informações, comprometer a integri- Capítulo 1 O Elo Mais Fraco Da Segurança 9 dade das informações que se acredita estarem seguras, mas que não estão, ou para destruir o produto de trabalho da empresa. A minha tarefa torna-se mais difícil por causa de uma única verdade; cada leitor terá sido manipu- lado pelos maiores especialistas de todos os tempos da engenharia social — seus pais. Eles encontra- ram maneiras de fazer com que você — "para o seu próprio bem" — fizesse aquilo que achavam ser o melhor Os pais tomam-se os grandes contadores de histórias da mesma forma que os engenheiros sociais desenvolvem com habilidade cada uma das histórias plausíveis, dos motivos e das justificati- vas para atingir seus objetivos. Sim, todos fomos moldados por nossos pais: benevolentes (e, às vezes, nem tanto) engenheiros sociais. Condicionados por aquele treinamento, tornamo-nos vulneráveis á manipulação. Teríamos uma vida difícil se tivéssemos de estar sempre em guarda e desconfiando dos outros, preocupados com o fato de sermos feitos de bobos por alguém que está tentando se aproveitar de nós. Em um mundo perfeito, confiaríamos implicitamente nos outros, certos de que as pessoas que encontramos serão ho- nestas e confiáveis. Mas não vivemos em um mundo perfeito e, portanto, temos de exercer um padrão de vigilância para repelir os esforços fraudulentos dos nossos adversários. As principais partes deste livro, as Partes 2 e 3, são formadas por histórias que mostram os enge- nheiros sociais em ação. Nessas seções, você lerá sobre: • O que os phreaks (hackers da telefonia) descobriram há anos: um método simples para obter um número de telefone não relacionado na empresa de telefonia. • Vários métodos diferentes usados pelos atacantes para convencer até mesmo os empregados alertas e desconfiados a revelarem seus nomes de usuário e as senhas de computador • Como um gerente do Centro de Operações cooperou para permitir que um atacante roubasse as informações de produto mais secretas da sua empresa. • Os métodos de um atacante que enganou uma senhora para baixar software que espia cada tecla que ela digita e envia os detalhes por e-mail para ele. • Como os detetives particulares obtêm as informações sobre a sua empresa e sobre você, e posso garantir que isso fará você sentir um arrepio na espinha. Você pode achar que as histórias das Partes 2 e 3 não são possíveis, que ninguém poderia ter sucesso com as mentiras, com os truques sujos e os esquemas descritos. A verdade é que, em cada um desses casos, as histórias descrevem eventos que podem acontecer e acontecem; muitas delas estão acontecendo todos os dias em algum lugar do planeta, talvez até mesmo estejam acontecendo na sua empresa enquanto você está lendo. Essas informações abrirão seus olhos para que você proteja a sua empresa, rebata os avanços de um engenheiro social e proteja a integridade das informações na sua vida privada. Na Parte 4, mudo de assunto. O meu objetivo aqui é ajudar você a criar as políticas de negócios e o treinamento em conscientização necessários para minimizar as chances de seus empregados se- rem enganados por um engenheiro social. O entendimento das estratégias, dos métodos e das táticas do engenheiro social o ajudará a preparar-se para empregar controles razoáveis que salvaguardam os seus ativos de TI, sem afetar a produtividade da sua empresa. Em resumo, escrevi este livro para aumentar a sua conscientização sobre a séria ameaça repre- sentada pela engenharia social e para ajudá-lo a ter certeza de que a sua empresa e seus empregados têm menos chances de serem explorados dessa maneira. Ou, quem sabe, devesse dizer bem menos chances de serem explorados novamente, A Arte do Atacante Capítulo 2 Quando as informações Não São Inofensivas 15 "Há quanto tempo você trabalha no banco?" "Qual ID de Comerciante você está usando no momento?" "Você já encontrou alguma imprecisão nas informações que fornecemos?" "Se você tivesse alguma sugestão para melhorar o nosso serviço, qual seria?" E finalmente: "Você se importaria em preencher questionários periódicos se os enviássemos para a sua filial?" Ela concordou, eles conversaram um pouco, o interlocutor desligou e Chris voltou ao trabalho. A terceira ligação: Henry McKinsey "CreditChex, Henry McKinsey, posso ajudar?" O interlocutor disse que ele era do National Bank, Ele deu o ID de Comerciante adequado e. em seguida, o nome e o número do seguro social da pessoa de quem ele queria infor- mações. Henry pediu a data de nascimento e o interlocutor forneceu-a também. Após alguns instantes, Harry leu a listagem na tela do seu computador. 'Wells Fargo informou NSF em 1998, uma vez, valor de US$ 2.066." NSF — fundos insuficientes — é a linguagem conhecida para os cheques que foram passados sem que houvesse dinheiro em conta para a sua compensação. "Alguma atividade desde então?" "Nenhuma atividade." "Houve outras consultas?" "Vejamos. Sim, duas e ambas no último mês. A terceira no United Credit Union, de Chicago." Ele parou no próximo nome, Schenectady Mutual Investments, e teve de so- letrá-lo. "Isso é no Estado de Nova York", ele acrescentou. O detetive particular em ação Todas aquelas três ligações foram feitas pela mesma pessoa: um detetive particular que chamaremos de Oscar Grace. Grace tinha um cliente novo, um de seus primeiros clientes. Ele era tira há alguns meses e descobriu que parte desse novo trabalho veio naturalmente, mas outra parte representava um desafio para os seus recursos e a sua criatividade. Esse cliente classificava-se sem dúvida na categoria do desafio. Os insensíveis olhos privados da ficção — os Sam Spades e os Philip Marlowes — passaram madrugadas sentados em carros obser- vando uma esposa infiel. Os detetives da vida real fazem o mesmo. Eles também fazem coisas sobre as quais não se escreve tanto, mas um tipo não menos importante de espionagem de esposas, um método que depende mais das habilidades de engenharia social do que da luta contra o aborrecimento das vigílias na madrugada. O novo cliente de Grace era uma senhora que parecia ter um orçamento bastante grande para rou- pas e jóias. Ela entrou certo dia no seu escritório e sentou-se na cadeira de couro, a única que não tinha papéis empilhados. Ela colocou a sua bolsa Gucci na mesa com o logotipo virado para ele e anunciou que pretendia dizer ao marido que queria se divorciar, mas admitia ter "apenas um probleminha". 16 A Arte de Enganar Parece que o seu marido estava um passo adiante. Ele já havia sacado o dinheiro de sua conta poupança e uma soma maior ainda da sua conta em uma corretora. Ela queria saber o destino do seu patrimônio e o advogado do seu divórcio não estava ajudando muito. Grace conjecturou que o ad- vogado era um daqueles conselheiros de altos salários que não queriam sujar as mãos com algo tão complicado quanto saber aonde foi parar o dinheiro. Será que Grace poderia ajudar? Ele garantiu que isso seria fácil, fez uma cotação para o serviço, fora as despesas, e recebeu um cheque como primeiro pagamento. Em seguida, ele enfrentou o seu problema. O que você faria se nunca tivesse feito um trabalho assim antes e não soubesse muito bem por onde começar a rastrear o dinheiro? Você avança a passos de bebê. Aqui, de acordo com a nossa fonte, está a história de Grace. Eu conhecia o CreditChex e o modo como os bancos o usavam — a minha ex-mulher trabalha- va em um banco. Mas não sabia qual era o jargão e os procedimentos e seria perda de tempo tentar perguntar isso a ela. Etapa um: Aprenda a terminologia e descubra como fazer a solicitação para que pareça que você sabe do que está falando. No banco para o qual liguei, a primeira jovem, Kim, desconfiou quando perguntei sobre como eles se identificavam quando ligavam para o CreditChex. Ela hesitou; não sabia se devia contar isso para mim. Fui derrotado por isso? Nem um pouco. Na verdade, a hesitação me deu uma pista importante, um sinal de que eu tinha de fornecer um motivo para que ela acreditasse. Quando apliquei a mentira de que estava fazendo pesquisas para um livro, ela relaxou. Você diz que é um escritor ou roteirista e todas as portas se abrem. Ela tinha outro conhecimento que teria ajudado — coisas como quais informações o CreditChex requer para identificar a pessoa sobre a qual você está querendo as informações, quais informações você pode pedir e a maior delas: qual era o número de ID de Comerciante do banco de Kim. Eu estava pronto para fazer aquelas perguntas, mas a sua hesitação enviou um sinal vermelho. Ela acreditou na história da pesquisa para um livro, mas já tinha algumas suspeitas. Se tivesse sido mais receptiva desde o início, eu teria pedido para que ela revelasse mais detalhes sobre seus procedimentos. Você tem de confiar em seus instintos, ouvir com atenção o que o Mark está dizendo e como ele está dizendo isso. Essa moça parecia ser bastante inteligente para ouvir o alarme quando fizesse muitas perguntas incomuns. E embora ela não soubesse quem eu era e de qual número eu estava falando, mesmo assim nesse negócio você nunca quer que alguém espalhe que está procurando al- guém e liga para obter informações sobre os negócios. Isso acontece porque você não quer queimar a fonte — você pode ligar novamente para o mesmo escritório em outra ocasião. Jargão MARK A vítima de uma conspiração. QUEIMAR A FONTE Diz-se que um atacante queimou a fonte quando ele permite que uma vitima reconheça que ocorreu um ataque. Após a vítima tomar conhecimento e no- tificar os outros empregados ou a direção sobre a tentativa, fica muito difícil explorar a mesma fonte em ataques futuros. Capítulo 2 Quando as Informações Não São Inofensivas 17 Sempre observo os pequenos sinais que me dão uma leitura da cooperação de uma pessoa, em uma escala que vai desde "Você parece uma boa pessoa e acredito em tudo que você está dizendo" até "Ligue para a polícia, chame a Polícia Federal, essa pessoa não está querendo boa coisa". Entendi que Kim estava um pouco em dúvida, assim, liguei para alguém de uma filial diferente. Na minha segunda ligação com Chris, o truque da pesquisa a encantou. A tática aqui é incluir as perguntas importantes entre aquelas sem conseqüências que são usadas para criar uma idéia de credibilidade. Antes de entrar com a pergunta sobre o número do ID de Comerciante do CreditChex, fiz um pequeno teste de última hora fazendo uma pergunta pessoal sobre há quanto tempo ela trabalhava no banco. Uma pergunta pessoal e como um campo minado — algumas pessoas pisam sobre uma mina e nunca percebem; no caso de outras pessoas, a mina explode e faz com que elas saiam correndo em busca de segurança. Assim sendo, se eu fizer uma pergunta pessoal, ela responder a pergunta e o tom da sua voz não mudar, isso significa que provavelmente ela não é cética sobre a natureza da solicita- ção. Posso seguramente fazer a pergunta que estou querendo sem levantar suas suspeitas, e ela talvez me dará a resposta que desejo. Mais uma coisa que um bom detetive particular sabe: nunca encerre uma conversação após obter a informação-chave. Outras duas ou três perguntas, um pouco de bate-papo e então pode dizer adeus. Mais tarde, se a vítima se lembrar de alguma coisa que você perguntou, provavelmente ela se lembra- rá das últimas perguntas. O restante em geral será esquecido. Assim, Chris me deu o seu número de ID de Comerciante e o número de telefone que eles ligam para fazer as solicitações, Eu ficaria mais feliz se tivesse feito algumas perguntas sobre quantas infor- mações é possível obter da CreditChex. Mas achei melhor não abusar da minha sorte. Isso era como ter um cheque em branco da CreditChex. Agora eu podia ligar e obter informações sempre que quisesse. E nem tinha de pagar pelo serviço. O representante da CreditChex ficou satis- feito em compartilhar exatamente das informações que eu queria; os dois lugares nos quais o marido da minha cliente havia se inscrito recentemente para abrir uma conta. Assim sendo, onde estavam os bens que a sua futura ex-mulher estava procurando? Onde mais além das instituições bancárias que o funcionário da CreditChex relacionou? Recado do Mitnick Um ID de Comerciante nessa situação é como uma senha. Se o pessoal do banco o tra- tasse como uma senha de caixa eletrônico, eles poderiam apreciar a natureza delicada das informações. Há algum código interno ou um número na sua organização que não esteja sendo tratado com cuidado suficiente pelas pessoas? Analisando a trapaça Todo esse ardil baseou-se em uma das táticas fundamentais da engenharia social: ganhar acesso ás in- formações que o empregado de uma empresa trata como inofensivas, quando na verdade elas não são. A primeira funcionária do banco confirmou a terminologia para descrever o número de identifica- ção usado ao ligar para o CreditChex: o ID de Comerciante. A segunda forneceu o número de telefone para ligar para o CreditChex e a informação mais vital: o número de ID de Comerciante. Todas essas informações pareciam ser inofensivas para a funcionária. Afinal de contas, ela achou que estava falando com alguém do CreditChex — e assim, qual seria o mal de divulgar o número? 20 A Arte de Enganar D: Você tem um centro de custo no seu departamento ai no Texas? P: Temos o nosso próprio centro de custo, mas eles não nos dão a lista com todos eles. D: Quantos dígitos tem o centro de custo? Por exemplo, qual é o seu centro de custo? P: Bem, você trabalha no 9WC ou no SAT? Didi não tinha a menor idéia de quais eram esses departamentos ou grupos, mas isso não importava. Ela respondeu: D: 9WC. P: Então em geral são quatro dígitos. Onde você disse que trabalhava? D: Na sede em Thousand Oaks. P: Bem, aqui tem um para Thousand Oaks, Ê 1A5N, com N de Nancy. Falando apenas o tempo suficiente com alguém que estava disposto a ajudar, Didi con- seguiu o número do centro de custo de que precisava — uma daquelas informações que ninguém pensa em proteger, porque parece algo que nunca terá valor para uma pessoa de fora. A terceira ligação: um número errado útil A próxima etapa para Didi seria explorar o número do centro de custo e transformá-lo em algo de valor verdadeiro, usando-o como uma ficha de pôquer. Ela começou ligando para o departamento de Imóveis fingindo ter ligado para um número errado. Começando com um "Desculpe incomodar, mas...", ela disse que era uma funcionária que havia perdido a lista de telefones da empresa e perguntou para quem ela deveria ligar para conseguir uma outra cópia. O homem disse que a cópia impressa estava desatualizada, porque ela estava disponível no site da intranet da empresa. Didi disse que preferia usar uma cópia impressa e o homem disse para ela ligar para Pu- blicações e, em seguida, sem que ela pedisse — talvez só para manter a senhora com voz sexy mais um pouco na linha — procurou o número e o forneceu para ela. A quarta ligação: Bart, em Publicações Em Publicações, ela falou com um homem chamado Bart. Didi disse que era de Thousand Oaks e que eles tinham um consultor novo que precisava de uma cópia da lista de telefones da empresa. Ela disse que uma cópia impressa funcionaria melhor para o consultor, mesmo que estivesse meio desatualizada. Bart disse que ela teria de preencher um formulário de requisição e enviá-lo para ele. Didi disse que estava sem formulários e com muita pressa, e perguntou se Bart não pode- ria fazer o favor de preencher o formulário para ela. Ele concordou, não muito entusiasma- do, e Didi forneceu os detalhes. Como endereço da contratada fictícia, ela deu o número daquilo que os engenheiros sociais chamam de rnail drop, o qual, nesse caso, era uma empresa de caixas postais na qual a sua empresa alugava caixas postais para situações como aquela. A preliminar anterior tornou-se útil agora: seria cobrada uma taxa pelo custo e envio da lista. Muito bem — Didi deu o centro de custo de Thousand Oaks: "1A5N, com N de Nancy". Capítulo 2 Quando as Informações Não São Inofensivas 21 Jargão MAIL DROP O termo do engenheiro social para uma caixa postal alugada, em geral com um nome fictício, a qual é usada para o recebimento de documentos ou pacotes que a vítima foi convencida a enviar. Alguns dias depois, quando chegou a lista de telefones corporativos, Didi descobriu que isso valia mais a pena do que ela havia imaginado: ela não apenas tinha os nomes e nú- meros de telefones, mas também quem trabalhava para quem — a estrutura corporativa de toda a organização. A senhora de voz forte estava pronta para começar a caçar o seu talento e fazer ligações telefônicas em busca de pessoas. Ela havia trapaceado as informações que precisava ter para iniciar o seu ataque usando o dom da palavra lapidado ao máximo que cada enge- nheiro social habilidoso tem. Agora ela estava pronta para receber a recompensa. Recado do Mitnick Assim como as peças de um quebra-cabeça, cada informação parece irrelevante sozi- nha. Porém, quando as peças são juntadas, uma figura aparece. Neste caso, a figura do engenheiro social mostrou toda a estrutura interna da empresa. Analisando a trapaça Neste ataque da engenharia social, Didi começou conseguindo os telefones dos três departamentos da empresa-alvo. Isso foi fácil, os números que ela queria não eram segredo, particularmente para os empregados. Um engenheiro social aprende a se fazer passar por alguém de dentro da empresa e Didi fazia isso com habilidade, Um dos números de telefone a levaram a um número de centro de custo, o qual foi usado em seguida para obter uma cópia da lista de telefones dos funcionários da empresa. As principais ferramentas que ela precisava ter: parecer amistosa, usar um pouco do jargão cor- porativo e, com a última vítima, jogar um pouco de areia nos olhos dos outros. E mais uma ferramenta, um elemento essencial que não pode ser adquirido facilmente — as ha- bilidades de manipulação do engenheiro social refinadas por meio de extensa prática e as lições não escritas pelas gerações de homens de confiança. MAIS INFORMAÇÕES "VALIOSAS" Alem de um número de centro de custo e dos ramais dos telefones internos, quais outras informações aparentemente inúteis podem ser valiosíssimas para o seu inimigo? Ligação telefônica para Peter Abel "Oi", a voz no outro lado da linha diz. "Sou Tom. da Parkhurst Travel. As suas passagens para São Francisco estão prontas. Você quer que as entreguemos ou vai retirá-las?" 22 A Arte de Enganar "São Francisco?", diz Peter. "Eu não vou para São Francisco." "O senhor é Peter Abeis?" "Sim, mas eu não tenho nenhuma viagem programada." "Bem", disse o interlocutor com uma risada amistosa, Você tem certeza de que não quer ir a São Francisco?", "Se você acha que pode convencer o meu chefe... ", retruca Peter, brincando com a conversa amistosa. "Parece que houve alguma confusão", salienta o interlocutor, "No nosso sistema, tomamos as providências de viagem pelo número de empregado. Talvez alguém tenha usado o número errado. Qual é o seu número de empregado?" Peter informa o seu número. E por que não? Ele aparece em quase todos os formulá- rios pessoais que preenche, muitas pessoas da empresa têm acesso a ele — recursos humanos, folha de pagamento e, obviamente, a agência externa de viagens. Ninguém trata um número de empregado como um segredo. Que diferença faria? A resposta não é difícil de descobrir. Duas ou três informações seriam o suficiente para montar uma farsa efetiva — o engenheiro social usando a identidade de outra pessoa. Consiga o nome de um empregado, o seu número de telefone, o seu número de emprega- do, e quem sabe também o nome e número de telefone do seu gerente, e um engenheiro social a caminho de ser competente tem a maior parte daquilo que ele precisa para pare- cer autêntico para o próximo alvo. Se alguém dizendo que era de outro departamento dentro da sua empresa ligasse ontem, desse um motivo plausível e pedisse o seu número de empregado, você relutaria em dar- lhe a informação? E por falar nisso, qual é o seu número de seguro social? Recado do Mitnick A moral da história é: não dê nenhuma informação pessoal ou interna da empresa, nem identificadores para ninguém, a menos que a sua voz seja conhecida e o solicitante tenha necessidade de saber a informação. EVITANDO A TRAPAÇA A sua empresa tem a responsabilidade de informar os empregados sobre como pode ocorrer um erro sério quando informações não públicas são tratadas da forma errada. Uma política de segurança bem desenvolvida, combinada à educação e treinamento adequados, aumenta bastante a consciência do empregado sobre o tratamento correto das informações comerciais corporativas. Uma política de classificação de dados ajuda você a implementar os controles adequados para a divulgação das informações. Sem uma política de classificação de dados, todas as informações internas devem ser consideradas confidenciais, a menos que seja especificado o contrário. Use estas etapas para proteger a sua empresa contra a divulgação de informações aparentemente inofensivas: • O Departamento de Segurança das Informações precisa realizar o treinamento da conscien- tização, o qual detalha os métodos usados pelos engenheiros sociais. O método descrito an- O Ataque Direto: Simplesmente Pedindo uitos ataques de engenharia social são complicados e envolvem diversas etapas e planeja- mento elaborado, além de combinar o conhecimento da manipulação e tecnologia. Sempre achei incrível como um engenheiro social habilidoso pode atingir esse objetivo com um ataque simples e direto. Como você verá, às vezes tudo o que ele precisa é simplesmente pedir as informações. UM MLAC RÁPIDO Você quer saber o telefone de alguém que não está na lista? Um engenheiro social pode lhe dar meia dúzia de maneiras (e você encontrará algumas delas descritas nas histórias deste livro), mas provavel- mente o cenário mais simples é aquele que usa uma única ligação telefônica como esta, a seguir O número, por favor O atacante discou para o número particular da empresa de telefonia do MLAC, o Centro Mecanizado de Designação de Linhas. Uma mulher respondeu e ele disse: "Olá, aqui e Paul Anthony. Eu sou um técnico de cabos. Ouça, uma caixa de terminal aqui foi queima- da em um incêndio. Os policiais acham que algum maluco tentou queimar sua própria casa para receber o seguro. Eles me mandaram aqui sozinho para tentar refazer a fiação de todo este terminal de duzentos pa- res. Eu estou precisando de ajuda. Quais instalações deveriam estar funcionando na South Main, 6723?". Em outras empresas de telefonia, a pessoa chamada deveria saber que as informações de pesquisa inversa sobre os números não publicados devem ser fornecidas apenas para o pessoal autorizado da própria empresa de telefonia. Mas o MLAC só é conhecido dos empregados da empresa de telefonia. E embora eles nunca deêm informações para o público, quem iria se recusar a ajudar um homem da em- presa que está tentando dar conta de uma tarefa difícil? Ela lamentou o fato, porque ela mesma já havia tido dias ruins no trabalho e poderia quebrar um pouco as regras para ajudar um colega com problemas. Ela forneceu o cabo, os pares e cada número em funcionamento designado para aquele endereço. Analisando a trapaça Como você vai notar em todas essas histórias, o conhecimento da linguagem de uma empresa e de sua estrutura corporativa — seus vários escritórios e departamentos, o que cada um deles faz e as informa- ções que tem — faz parte da bagagem essencial de truques de um engenheiro social bem-sucedido. M 26 A Arte de Enganar Recado do Mitnick É da natureza humana confiar em nossos colegas, particularmente quando a solicitação passa no teste como sendo razoável. Os engenheiros sociais usam esse conhecimento para explorar suas vitimas e atingir seus objetivos. UM JOVEM EM FUGA Um homem que chamaremos de Frank Parsons estava foragido há anos, e ainda era procurado pelo governo federal por fazer parte de um grupo antiguerra nos anos de 1960. Nos restaurantes, ele se sentava de frente para a porta e tinha um jeito desconcertante de sempre estar olhando para trás. Ele se mudava de tempos em tempos. Certa vez Frank chegou em uma cidade que não conhecia e começou a procurar emprego. Para alguém como Frank, com as suas habilidades bem desenvolvidas com computadores (e também com habilidades de engenharia social, embora ele nunca tenha relacionado isso em uma proposta de emprego), encontrar um bom trabalho em geral não era problema. Exceto nas épocas em que a economia estava muito difícil, o talento das pessoas com um bom conhecimento técnico de compu- tadores estava em alta e elas não tinham muitos problemas para dar um jeito. Frank rapidamente encontrou uma oportunidade de emprego com um bom salário em uma empresa grande perto de onde ele estava morando. Isso é perfeito, pensou. Mas quando começou a preencher os formulários para o emprego, encon- trou um empecilho: o empregador exigia que o candidato fornecesse uma cópia da sua ficha criminal, a qual ele teria de obter na polícia estadual. A pilha de documentos do emprego incluía um formulário para solicitar esse documento, e o formulário tinha um quadradinho para uma impressão digital. Embora eles estivessem pedindo uma digital apenas do indicador direito, se eles a comparassem com uma do banco de dados do FBI, ele provavelmente em breve estaria trabalhando na cozinha de um resort financiado pelo governo federal. Ocorreu a Frank que talvez, apenas talvez, ele ainda pudesse contornar esse problema. Talvez o estado não enviasse aquelas amostras de digitais para o FBI. Como descobriria isso? Como? Ele era um engenheiro social — como você acha que ele descobriu? Ele fez uma li- gação telefônica para a polícia estadual: "Olá. Estamos fazendo um estudo para o Departamento de Justiça do Estado. Estamos pesquisando os requisitos para implementar um novo sistema de identificação de digitais. Posso falar com alguém que conheça aquilo que estamos fazendo e que possa nos ajudar?" Quando o especialista local veio ao telefone, Frank fez uma série de perguntas sobre quais siste- mas eles usavam e as capacidades de pesquisa e armazenamento de dados das digitais. Eles haviam tido algum problema com o equipamento? Eles estavam ligados à Pesquisa de Digitais do Centro Nacional de Informações sobre o Crime (NCIC) ou a jurisdição era apenas dentro do estado? O equi- pamento era fácil e todos poderiam aprender a usar? Astuciosamente, ele incluiu a pergunta-chave entre as outras. A resposta soou como música para seus ouvidos: não, eles não estavam ligados ao NCIC, eles verificavam apenas no índice de Informações Criminais (CII). Capitulo 3 O Ataque Direto: Simplesmente Pedindo 27 Recado do Mitnick Os trapaceiros de informações experientes não têm escrúpulos em ligar para os gover- nos federal, estadual ou municipal para saber os procedimentos da aplicação das leis. Com tais informações em mãos, o engenheiro social pode contornar as verificações de segurança padrão da sua empresa. Isso era tudo que Frank precisava saber Ele não linha nenhum registro naquele estado, de modo que enviou o pedido de emprego, foi contratado e ninguém jamais apareceu na sua mesa um dia com esta conversa "Estes senhores são do FBI e gostariam de conversar com você". DEIXE NA PORTA Apesar do mito do escritório sem papelada, as empresas continuam imprimindo uma quantidade imensa de papel todos os dias. As informações impressas da sua empresa podem ser vulneráveis, mesmo que você use as precauções de segurança e coloque um carimbo de confidencial Esta é uma história que mostra como os engenheiros sociais podem obter os seus documentos mais secretos. A trapaça do loop-around Todos os anos a empresa de telefonia publica uma lista chamada Lista de Números de Teste (ou pelo menos costumavam fazer isso, mas como eu ainda estou na condicional não vou perguntar se ainda a publicam). Esse documento era muito cobiçado pelos phreakers porque ele trazia uma lista de to- dos os números de telefone guardados a sete chaves e usados pelos funcionários, técnicos e outros empregados da empresa de telefonia para coisas como teste de tronco ou verificação de números que sempre estão ocupados. Um desses números de teste, conhecido pelo jargão de loop-around, era particularmente útil. Os phreakers o usavam como um modo de entrar em contato com outros phreakers para conversar sem pagar pela ligação. Também costumavam usá-lo como um modo de criar um número de retorno para dar, por exemplo, a um banco. Um engenheiro social diria a alguém do banco o número de telefone do seu escritório? É claro que não. Quando o banco ligava de volta para o número de teste (loop- around), o phreaker podia receber a ligação, mas tinha a proteção de usar um número que não poderia ser rastreado e ele não seria encontrado. Uma Lista de Números de Teste fornecia muitas informações boas que poderiam ser usadas por qualquer phreaker faminto por informações. Assim sendo, quando as novas listas eram publi- cadas todos os anos, elas eram cobiçadas por muitas crianças cujo hobby era explorar a rede de telefonia. O golpe de Stevie É claro que as empresas de telefonia não deixam que essas listas sejam conseguidas facilmente e os phreakers têm de ser criativos para conseguir uma. Como eles podem fazer isso? Uma criança ansiosa com uma mente determinada a conseguir a lista poderia criar um cenário como este. 30 A Arte de Enganar Um homem entrou em contato comigo. Ele estava escrevendo um livro sobre o Gabinete do go- verno Nixon e procurava um pesquisador que pudesse investigar William E. Simon, que havia sido o secretário do Tesouro de Nixon. O Sr. Simon havia morrido, mas o autor tinha o nome de uma mulher que havia pertencido à sua equipe. Ele estava certo de que ela ainda morava em D.C, mas não conse- guira encontrar o seu endereço. Ela não tinha um telefone em seu nome, ou pelo menos seu nome não estava na lista. Assim sendo, eles me ligaram. Eu disse a ele que não teria problema. Esse é o tipo de trabalho que geralmente você realiza em uma ou duas ligações telefônicas, se souber o que está fazendo. Toda empresa telefônica local pode dar as informações. Obviamente, você tem de mentir um pouco. Mas uma mentirinha de vez em quando não faz mal a ninguém, certo? Gosto de usar uma abordagem diferente de cada vez. só para que as coisas fiquem interessantes. "Este é fulano do escritório executivo" sempre funcionou para mim. Assim como "tenho alguém na linha do escritório do vice-presidente Fulano", que também funcionou desta vez. Recado do Mitnick Nunca ache que os ataques da engenharia social precisem ter mentiras elaboradas tão complexas que provavelmente serão reconhecidas antes de serem concluídas. Alguns são ataques diretos, rápidos e muito simples, os quais nada mais são do que... bem. simplesmente pedir as informações. Você tem de desenvolver o instinto do engenheiro social, precisa ter uma idéia da disposição da pessoa que está do outro lado em cooperar com você. Desta vez tive a sorte de encontrar uma senhora amistosa e útil Em uma única ligação telefônica consegui o endereço e o número de telefone. Missão cumprida. Analisando a trapaça Certamente Janie sabia que as informações de clientes são sigilosas. Ela nunca discutiria a conta de um cliente com outro cliente, nem daria informações particulares para o público. Mas é claro que para um interlocutor de dentro da empresa as regras são diferentes. Para um cole- ga de trabalho tudo se reduz a fazer parte da equipe e ajudar um ao outro a fazer o trabalho. O homem do Departamento de Faturamento poderia ter ele mesmo procurado os detalhes se o seu computador não tivesse sofrido um ataque de vírus, e ela ficou contente em poder ajudar um colega. O atacante chegou aos poucos às informações principais que desejava fazendo perguntas sobre coisas que não queria saber, tais como o número da conta. Mesmo assim, o número de conta forneceu uma segurança a mais. Se o atendente suspeitasse, ele ligaria uma segunda vez e teria mais chances de sucesso, porque o conhecimento do número de conta faria com que ele parecesse mais autêntico para o atendente que ele ligasse. Nunca ocorreu a Janie que alguém pudesse mentir sobre algo assim, que o interlocutor pudesse não estar no Departamento de Faturamento, E claro que a culpa não é de Janie. Ela não dominava bem a regra sobre ter certeza de que você sabe com quem está falando antes de discutir as informações do arquivo de um cliente. Ninguém jamais disse a ela sobre o perigo de uma ligação telefônica como essa que ela recebeu, Isso não estava na política da empresa, não fazia parte do seu treinamento e o seu supervisor nunca mencionou algo semelhante. Capítulo 3 O Ataque Direto: Simplesmente Pedindo 31 EVITANDO A TRAPAÇA Um ponto a ser incluído no seu treinamento de segurança: só porque um interlocutor ou visitante conhece os nomes de algumas pessoas da empresa ou conhece alguns jargões ou procedimentos corporativos, isso não quer dizer que ele é quem alega ser E isso definitivamente não o estabelece como alguém que está autorizado a receber informações internas, nem acessar o seu sistema ou rede de computadores. O treinamento em segurança precisa enfatizar que quando estiver em dúvida, você precisa veri- ficar, verificar e verificar, Nos tempos antigos, o acesso às informações dentro de uma empresa era uma marca de prestígio e privilégio. Os empregados abasteciam os fornos, faziam as máquinas funcionar, datilografavam as cartas e preenchiam relatórios. O encarregado ou chefe lhes dizia o que fazer, quando e como. Era o encarregado ou chefe que sabia quantos parafusos cada empregado deveria produzir em cada turno, o número, as cores e os tamanhos que a fábrica precisava produzir nesta semana, na próxima e no final do mês. Os empregados lidavam com as máquinas, ferramentas e materiais e os chefes lidavam com as informações. Os empregados só precisavam saber das informações que eram específicas de suas funções. O quadro hoje é um pouco diferente, não é? Muitos trabalhadores em fábricas usam computa- dores ou máquinas computadorizadas. Para uma grande parte da força de trabalho, as informações críticas são colocadas nos desktops dos usuários para que eles possam cumprir a sua responsabilidade e fazer seu trabalho. No ambiente de hoje, quase tudo o que os empregados fazem envolve o trata- mento das informações. Por esse motivo a política de segurança de uma empresa precisa ser estendida a toda a empresa, independentemente da posição. Todos devem entender que não são apenas os executivos e os chefes que tem as informações que um atacante pode estar procurando. Hoje em dia, os empregados de to- dos os níveis, até mesmo aqueles que não usam um computador, podem ser os alvos. O representante recém-contratado do grupo de serviço ao cliente pode ser o elo mais fraco que um engenheiro social quebra para atingir o seu objetivo. O treinamento em segurança e as políticas corporativas de segurança precisam fortalecer esse elo. Criando a Confiança lgumas dessas histórias podem levá-lo a imaginar que acredito que todas as pessoas que estão nos negócios são completas idiotas, prontas e até mesmo ansiosas para revelar cada um dos segredos que possuem. O engenheiro social sabe que isso não é verdade. Por que os ataques da engenharia social são tão bem-sucedidos? isso não acontece porque as pessoas são estú- pidas ou não têm bom senso, Mas nós. como seres humanos, somos todos sujeitos a ser enganados, porque a confiança das pessoas pode ser usada de forma errada se for manipulada de determinadas maneiras. O engenheiro social prevê a suspeita e a resistência, e ele está sempre preparado para transfor- mar a desconfiança em confiança. Um bom engenheiro social planeja o seu ataque como um jogo de xadrez, e prevê as perguntas que o seu alvo pode fazer para estar pronto para dar as respostas corretas. Uma dessas técnicas comuns envolve a criação de uma sensação de confiança por parte da sua vítima. Como um trapaceiro pode fazer com que você confie nele? Confie em mim, ele pode. CONFIANÇA: O SEGREDO DA FRAUDE Quanto mais os engenheiros sociais puderem dar a aparência de negócios normais ao seu contato, menos eles levantam suspeitas. Quando as pessoas não têm um motivo para suspeitar, um engenheiro social pode ganhar 3 sua confiança mais facilmente. Após conseguir a sua confiança, a ponte levadiça e abaixada e o portão do castelo se abre para que ele entre e obtenha as informações desejadas. Observação Você já deve ter notado que me refiro aos engenheiros sociais, phreakers e operadores do jogo da trapaça como "ele" na maioria das histórias. Isso não é chauvinismo, mas apenas reflete a realidade de que a maioria dos praticantes dessa área é masculina, Mas embora não existam muitas engenheiras sociais, esse número está crescendo. Há engenheiras sociais suficientes para que você não baixe a guarda só porque está ouvindo uma voz feminina. Na verdade, as engenheiras sociais têm uma vantagem dis- tinta porque podem usar a sua sensualidade para obter a cooperação. Você encontrará alguns poucos exemplos do chamado sexo frágil representado nestas páginas. A 36 A Arte de Enganar Recado do Mitnick Essa técnica para criar a confiança é uma das mais eficientes da engenharia social. Você tem de pensar se realmente conhece a pessoa com quem está falando. Em alguns raros casos, a pessoa talvez não possa ser quem alega ser. Da mesma forma, todos temos de aprender a observar, pensar e questionar a autoridade. VARIAÇÃO SOBRE UM MESMO TEMA: A CAPTURA DO CARTÃO A criação de uma sensação de confiança não exige necessariamente uma série de ligações telefônicas com a vítima, como sugere a história anterior. Lembro-me de um incidente que presenciei no qual foram necessários apenas cinco minutos. Surpresa, papai! Certa vez eu estava em um restaurante com Henry e seu pai. Durante a conversa, Henry repreendeu o pai por dar o número do seu cartão de crédito como quem dá o número do telefone. "É claro que você tem de dar o número do seu cartão quando compra alguma coisa", ele dizia. "Mas dá-lo em uma loja que arquiva o seu número em seus registros — isso é burrice." "O único lugar em que faço isso é na Studio Video", disse o Sr Conklin, referindo-se à mesma cadeia de locadoras de vídeo. "Mas verifico a minha fatura todos os meses. Eu percebo se eles come- çarem a aumentar a conta." "É claro", salientou Henry, "mas depois que eles têm o seu número, qualquer pessoa pode roubá-lo". "Você se refere a um funcionário desonesto?" "Não, qualquer pessoa e não apenas um funcionário." "Você está dizendo bobagens", retrucou o Sr. Conklin. "Posso ligar agora mesmo e fazer com que eles me dêem o número do seu cartão Visa", respon- deu Henry. "Não, você não pode", afirmou o pai. "Posso fazer isso em cinco minutos, bem na sua frente sem nem ter de sair da mesa." O Sr. Conklin olhou firme, o olhar de alguém que se sentia seguro, mas que não queria mostrar isso. "Digo que você não sabe do que está falando", desafiou, tirando do bolso a carteira e jogando uma nota de 50 dólares na mesa. "Se fizer o que está dizendo, o dinheiro é seu." "Não quero o seu dinheiro pai", disse Henry. Ele pegou o telefone celular, perguntou ao pai qual era a loja e ligou para o Auxílio à Lista pe- dindo o número do telefone e também o número da loja na região de Sherman Oaks. Em seguida, ligou para a loja de Sherman Oaks. Usando mais ou menos a mesma abordagem descrita na história anterior, ele rapidamente conseguiu o nome do gerente e o número da loja. Ligou para a loja na qual o seu pai tinha a conta. Ele usou o velho truque de se fazer passar pelo gerente, deu o nome do gerente como o seu próprio e o número da loja que havia obtido. Tomou a Capítulo 4 Criando a Confiança 37 usar o mesmo truque: "Os seus computadores estão funcionando hoje? Os nossos às vezes funcio- nam, às vezes não." Ouviu a resposta e continuou: "Bem, tenho um dos seus clientes aqui comigo e ele quer alugar um vídeo, mas os nossos computadores estão fora do ar agora. Preciso ver a conta do cliente e ter certeza de que ele é um cliente da sua loja." Henry deu o nome do seu pai. Em seguida, usando apenas uma pequena variação da técnica, pediu para ela ler as informações da conta: endereço, número de telefone e a data em que a conta foi aberta. Depois disse: "Ouça, estou com uma fila enorme de clientes aqui. Qual é o número do cartão de crédito e a data de vencimento?" Henry segurou o celular no ouvido com uma mão e com a outra escreveu em um guardanapo de papel. Ao terminar a ligação, ele colocou o guardanapo na frente do pai, que ficou olhando para o número de boca aberta. O pobre senhor parecia totalmente chocado, como se todo o seu sistema de confiança tivesse ido por água abaixo. Analisando a trapaça Pense na sua própria atitude quando alguém que você não conhece pede alguma coisa. Se um pobre bate à sua porta, você provavelmente não o deixa entrar; se um estranho bem vestido bater à porta, de sapatos brilhantes, cabelo bem penteado, bons modos e um sorriso, você pro- vavelmente terá menos suspeitas. Talvez ele seja o Jason do filme Sexta-Feira 13, mas você está disposto a confiar naquela pessoa, desde que ela tenha uma aparência normal e não tenha uma faca na mão. Á questão menos óbvia é que julgamos as pessoas da mesma forma pelo telefone. Essa pessoa dá a impressão de estar tentando me vender alguma coisa? Ele é amistoso e aberto ou sinto algum tipo de hostilidade ou pressão? Ele tem o discurso adequado para uma pessoa educada? Julgamos essas coisas e talvez mais uma dezena de outras inconscientemente em um relance, quase sempre nos primeiros momentos da conversação. Recado do Mitnick É da natureza humana achar que é improvável que você seja enganado em determi- nada transação, pelo menos até que tenha algum motivo para acreditar no contrário, Nós ponderamos o risco e, em seguida, na maior parte das vezes, damos às pessoas o benefício da dúvida. Esse é o comportamento natural das pessoas civilizadas... pelo menos as pessoas civilizadas que nunca foram enganadas, manipuladas ou trapa- ceadas em uma soma grande em dinheiro. Quando éramos crianças, nossos pais nos ensinavam a não confiar em estranhos. Talvez todos devêssemos adotar esse antigo princípio no ambiente de trabalho de hoje. No trabalho, as pessoas nos solicitam coisas o tempo todo. Você tem o endereço de e-mail desta pessoa? Onde está a última versão da lista de clientes? Quem é o subcontratado desta parte do projeto? Por favor, me envie a atualização mais recente do projeto. Preciso da versão nova do código-fonte. E adivinhe o que acontece? Às vezes as pessoas que fazem essas solicitações são aqueles que você não conhece pessoalmente, gente que trabalha em outra parte da empresa ou que alega trabalhar. Mas se as informações que dão coincidem e parecem ter o conhecimento ("Marianne disse...", "Isso 38 A Arte de Enganar está no servidor K-16...."; "...a revisão 26 dos planos do novo produto"), estendemos o nosso círculo de confiança para inclui-los e alegremente fornecemos aquilo que estão pedindo. Certamente devemos parar um pouco e nos perguntar. "Por que alguém na fábrica de Dallas pre- cisa ver os planos do produto novo?" ou "Será que você podia me dar o nome do servidor no qual ele está?". Assim, fazemos outras perguntas. Se as respostas parecem razoáveis e a maneira como a pessoa responde é segura, baixamos a guarda, voltamos a nossa inclinação natural de confiar no nosso colega e fazemos (com toda a razão) tudo que ele quer que façamos. E não pense nem por um momento que o atacante só visa as pessoas que usam os sistemas de computadores da empresa, Que tal o cara da sala de correspondência? "Você me faz um favor? Coloque isto no malote interno?". O funcionário da sala de correspondência sabe que o envelope contém um disquete com um programa especial para a secretária do CEO? Agora aquele atacante tem a sua própria cópia pessoal do e-mail do CEO. Ufa! Isso pode acontecer na sua empresa? É claro que pode. O TELEFONE CELULAR DE UM CENTAVO Muitas pessoas procuram até achar um bom negócio. Os engenheiros sociais não procuram um bom negócio, eles encontram um modo de transformar algo em um bom negócio. Por exemplo, às vezes uma empresa lança uma campanha de marketing que é tão boa que você não consegue deixar de aproveitá-la, enquanto o engenheiro social olha a oferta e pensa em como ele pode melhorá-la. 1 lá pouco tempo, uma empresa nacional de telefonia sem fio fez uma grande promoção oferecen- do um telefone novo por um centavo quando você se inscrevia em um dos seus planos de chamada. Como muitas pessoas acabaram descobrindo tarde demais, existem boas perguntas que um com- prador prudente deve fazer antes de se inscrever em um plano de chamadas de telefone celular — se o serviço é analógico, digital ou uma combinação entre eles; o número de minutos que podem ser usados no mês; se as taxas de roaming estão incluídas... e assim por diante. E importante entender desde o início qual é o prazo de comprometimento do contrato — por quantos meses ou anos você ficará comprometido? Pense em um engenheiro social da Filadélfia que é atraído por um modelo de telefone barato oferecido por uma empresa de telefonia celular mediante uma inscrição, mas ele odeia o plano de chamada que acompanha o aparelho. Tudo bem. Aqui está como ele trataria dessa situação. A primeira ligação: Ted Em primeiro lugar, o engenheiro social liga para uma cadeia de produtos eletrônicos em West Girard. "Electron City, Ted." "Oi. Ted. Aqui é Adam. Ouça. há algumas noites eu estava conversando com um vendedor sobre um telefone celular. Eu disse que ligaria de volta quando tivesse resolvido qual plano queria e esqueci o nome dele. Quem é a pessoa que trabalha no departamento no turno da noite? "Há mais de um. Será que era o William?" "Eu não tenho certeza. Talvez fosse o William. Como ele é?" "Um homem alto e meio magro." Capítulo 4 Criando a Confiança 41 NCIC. Quem mais além de alguém treinado no uso do NCIC conheceria esses procedimentos? Após o funcionário confirmar que o sistema estava funcionando, a conversação poderia ter pros- seguido mais ou menos assim: "Você pode me ajudar?" "O que você está procurando?" "Preciso que você dê um comando OFF sobre Reardon, Martin. DOB 18/10/66." "Qual é o sosh?" (As pessoas do departamento de polícia às vezes se referem ao número do se- guro social como sosh). "700-14-7435." Após procurar na listagem, ela voltaria com algo do tipo "Ele tem um 2602". O atacante só teria de olhar no NCIC on-line para descobrir o significado do número. O homem tem um caso de roubo em sua ficha. Analisando a trapaça Um engenheiro social experiente não pararia um minuto para pensar nas maneiras de invadir o ban- co de dados do NC1C. Por que ele faria isso, quando com uma simples ligação para o departamento local de policia e um pouco de conversa para mostrar que ele está por dentro, ele conseguiria o que quer? E da próxima vez ele apenas liga para um departamento diferente da polícia e usa o mesmo pretexto. Recado do Mitnick Todos devem ter conhecimento do modus operandi do engenheiro social, Ele coleta o máximo possível de informações sobre o alvo e usa essas informações para ga- nhar a confiança de alguém que trabalha dentro da empresa do alvo. Em seguida, ele ataca a jugular! Você deve estar se perguntando se não é arriscado ligar para um departamento de polícia, o escritório de um delegado ou o escritório da guarda rodoviária. O atacante não corre um risco imenso? A resposta é não... e por um motivo específico. As pessoas do departamento de polícia, assim como os militares, têm incutido nelas desde o seu primeiro dia na academia de polícia o respeito pela hierar- quia, Desde que o engenheiro social esteja se fazendo passar por um sargento ou tenente — uma hie- rarquia mais alta do que aquela da pessoa com quem ele fala —, a vítima será governada pela lição bem aprendida que diz que você não questiona as pessoas com uma patente mais alta do que a sua. Jargão SOSH Gíria da polícia para o número do seguro social. 42 A Arte de Enganar A patente. em outras palavras, tem seus privilégios, particularmente o privilégio de não ser desafiado pelas pessoas que estão abaixo na hierarquia. Mas não pense que os policiais e os militares são os únicos que podem ter esse respeito pela hierarquia explorado pelo engenheiro social Eles quase sempre usam a autoridade ou patente da hie- rarquia corporativa como uma arma em seus ataques aos negócios — como demonstram várias das histórias deste livro. EVITANDO A TRAPAÇA Quais são algumas das etapas que a sua organização pode tomar para reduzir a probabilidade de que os engenheiros sociais aproveitem o instinto natural dos seus empregados de confiar nas pessoas? Estas são algumas sugestões. Proteja os seus clientes Nesta era eletrônica, muitas empresas que vendem para o consumidor mantém um arquivo de cartões de crédito. Existem motivos para isso: evitar que o cliente tenha de fornecer as informações do car- tão de crédito sempre que visitar a loja ou o site na Web ou sempre que fizer uma compra. Entretanto. essa prática deve ser desencorajada. Sc você precisar manter os números de cartões de crédito em um arquivo, esse processo tem de ser acompanhado por medidas de segurança que vão além da criptografia ou do controle de acesso. Os empregados precisam ser treinados para reconhecer os golpes da engenharia social semelhantes àqueles mostrados neste capitulo. Aquele colega de trabalho que você não conhece pessoalmente, mas que se tornou um amigo pelo telefone, talvez não seja quem ele alega ser. Ele pode não ter a "necessidade de saber" para acessar as informações confidenciais de cliente, porque ele pode não trabalhar na empresa. Confie desconfiando Não são apenas as pessoas que têm acesso a informações confidenciais — os engenheiros de softwa- re. o pessoal de P&D e assim por diante — que precisam se manter na defensiva contra as invasões. Quase todos da sua organização precisam de treinamento para protegerem a empresa contra os espi- ões industriais e os ladrões de informações. A base disso deve começar com uma pesquisa das informações na empresa, um exame separado de cada ativo confidencial, crítico ou valioso e perguntas sobre quais métodos um atacante usaria para comprometer aqueles ativos por meio das táticas da engenharia social. O treinamento apropriado das pessoas que têm acesso de confiança a essas informações deve ser designado com base nas respostas para essas perguntas. Quando alguém que você não conhece solicita informações ou materiais ou pede para executar uma tarefa no seu computador, os seus empregados fazem algumas perguntas do tipo: "Se dei es- sas informações para o meu pior inimigo, elas poderiam ser usadas para me prejudicar ou à minha empresa?" "Entendo o efeito em potencial dos comandos que estão pedindo para eu inserir no meu computador?" Não queremos passar a vida toda suspeitando de cada nova pessoa que conhecemos. Mesmo assim, quanto mais confiamos, maiores as chances de que o próximo engenheiro social que chegar à cidade possa nos influenciar para dar informações da nossa empresa. Capítulo 4 Criando a Confiança 43 O que faz parte da sua Intranet? Partes da sua intranet podem estar abertas para o mundo exterior e outras partes podem ser restritas aos empregados. Com que cuidado a sua empresa garante que as informações confidenciais não estão sendo publicadas em lugares onde estão acessíveis para públicos dos quais você quer protegê-las? Quando foi a última vez que alguém da sua organização verificou se alguma informação confidencial da intranet da sua empresa não foi acidentalmente disponibilizada por meio das áreas de acesso pú- blico do seu site na Web? Se a sua empresa implementou servidores proxy como intermediários para proteger a empresa contra as ameaças eletrônicas à segurança, esses servidores foram verificados há pouco para saber se estão configurados adequadamente? Na verdade, alguém alguma vez verificou a segurança da sua intranet? Capítulo 5 "Posso Ajudar?" 47 "Posso fazer outras coisas agora. Há alguma chance de você consertar isso em meia hora?" "MEIA HORA! Você não está querendo muito? Bem, vejamos, vou parar o que estou fazendo e ver se consigo resolver isso para você." "Olha, obrigado mesmo, Eddie." A quarta ligação: você conseguiu! Quarenta e cinco minutos depois... Tom? Aqui é o Eddie. Tente se conectar na rede agora.". Após alguns momentos: "Ah, que bom está funcionando. Isso é ótimo." "Bom, estou feliz que consegui cuidai disso para você." "Sim, muito obrigado." "Ouça. se quiser ter certeza de que a sua conexão não vai cair novamente, você precisa executar alguns softwares. Isso só vai levar uns minutos." "Mas agora não é uma hora boa." "Entendo... Mas isso poderia evitar grandes dores de cabeça para nós dois da próxima vez que esse problema de rede acontecesse de novo." "Bom... se são apenas alguns minutos." "Faça o seguinte..." Eddie instruiu Tom para fazer o download de um pequeno aplicativo de um site Web. Após o programa ser carregado. Eddie disse a Tom para clicar duas vezes nele. Ele tentou, mas disse: "Não está funcionando. Não está acontecendo nada." "Ah. que pena. Deve haver algo de errado com o programa. Vamos nos livrar dele. podemos tentar novamente outra hora." E instruiu Tom para excluir o programa de modo que ele não pudesse ser recuperado. Tempo total decorrido: doze minutos. A história do atacante Bobby Wallace sempre achou que era uma piada quando ele pegava um bom trabalho como esse e seu cliente evitava responder a pergunta que ninguém fazia, mas que era óbvia: por que eles queriam as informações. Neste caso, ele só podia imaginar dois motivos. Talvez eles representassem alguma organização que estava interessada em comprar a empresa-alvo, a Starboard, e quisessem saber exa- tamente qual era a sua situação financeira — particularmente todas aquelas coisas que o alvo poderia querer esconder do comprador em potencial. Ou talvez eles representassem investidores que achavam que havia algo de estranho no modo como o dinheiro estava sendo tratado e queriam descobrir se algum executivo poderia ser pego com "a mão na botija". E talvez o seu cliente também não quisesse lhe dizer o verdadeiro motivo, porque se Bobby soubesse como as informações eram valiosas, ele provavelmente iria querer mais dinheiro para fazer o trabalho. 48 A Arte de Enganar Existem várias maneiras de invadir os arquivos mais secretos de uma empresa. Bobby passou alguns dias pensando nas opções e fazendo algumas verificações antes de resolver que plano iria usar. Ele optou por um que pedia uma abordagem de que gostava muito, na qual o alvo é definido para pedir ajuda ao atacante. Para os iniciantes, Bobby escolheu um telefone celular pré-pago de US$ 39,95, em uma loja de conveniência. Ele fez uma ligação para o homem que havia sido escolhido como seu alvo, fingiu ser do help desk da empresa e organizou as coisas para que o homem ligasse para o telefone celular de Bobby a qualquer momento que houvesse um problema com a sua conexão de rede. Ele deu uma pausa de dois dias para não parecer tão óbvio e, em seguida, ligou para o centro de operações de rede da empresa (NOC). Ele disse que estava solucionando um problema para Tom, o alvo, e pediu que a conexão de rede de Tom fosse desligada. Bobby sabia que essa era a parte mais complicada de todo o plano — em muitas empresas, o pessoal do help desk trabalha junto com o NOC; na verdade, ele sabia que o help desk geralmente faz parte da organização de TI. Mas o indiferente rapaz do NOC com quem ele falou tratou a ligação como rotina, não pediu o nome do funcionário que deveria estar trabalhando no problema de rede e concordou em desativar a porta de rede do alvo, Quando tudo estava pronto. Tom estaria totalmente isolado da intranet da empresa, incapaz de recuperar arquivos do servidor, de trocar arquivos com seus colegas, de fazer o download das suas mensagens de correio eletrônico ou mesmo de enviar uma página de dados para a impressora. No mundo de hoje, isso é como morar em uma caverna. Como Bobby esperava, não demorou muito para o seu celular tocar E claro que ele deu a impres- são de estar disposto a ajudar esse pobre "colega de trabalho" com problemas. Em seguida, ligou para o NOC e fez com que a conexão de rede do homem voltasse. Finalmente, ele ligou para o homem e manipulou a sua credulidade mais uma vez, desta vez fazendo-o sentir-se culpado por dizer não depois que Bobby lhe havia prestado um favor. Tom concordou com a solicitação de descarregar um software no seu computador. Aquilo com o qual ele concordou não era o que parecia. O software que Tom descarregou como algo que evitaria que a sua conexão fosse desligada era. na verdade, um Cavalo de Tróia, um apli- cativo de software que fez no computador de Tom aquilo que a fraude original havia feito para os troianos: ele trouxe o inimigo para dentro do campo de batalha. Tom relatou que nada havia aconte- cido quando clicou duas vezes no ícone do software; o fato era que, por projeto, ele não veria nada acontecendo, embora o pequeno aplicativo estivesse instalando um programa secreto que permitiria ao inimigo infiltrado ocultar o acesso ao computador de Tom. Jargão Cavalo de Tróia Um programa que contém um código malicioso ou prejudicial, cria- do para gerenciar os arquivos do computador da vítima ou para obter informações do computador ou da rede da vítima. Alguns deles foram criados para ocultar-se dentro do sistema operacional do computador e espiar cada tecla digitada ou ação, ou para aceitar instruções por uma conexão de rede para executar alguma função, tudo isso sem que a vítima tenha consciência da sua presença. Capitulo 5 "Posso Ajudar?" 49 Com o software em execução, Bobby leve o controle completo do computador de Tom através de uma aplicação-cliente repleta de shells de comandos remotos. Quando Bobby acessava o computador de Tom, ele podia procurar os arquivos da contabilidade que lhe interessavam e podia copiá-los. Em seguida, quando quisesse, ele poderia examiná-los para obter as informações que dariam a seus clien- tes aquilo que eles estavam procurando. E isso não era tudo. Ele poderia voltar a qualquer momento para pesquisar as mensagens de correio eletrônico e os memorandos particulares dos executivos da empresa, poderia executar uma pesquisa de texto com as palavras que revelariam partes interessantes da informação. Naquela noite, depois de enganar o seu alvo para que ele instalasse um Cavalo de Tróia, Bobby jogou o telefone celular em uma lata de lixo. Obviamente, ele teve o cuidado de limpar primeiro a memória e tirar a bateria — a última coisa que ele queria era que alguém ligasse para o número do celular por engano e fizesse o telefone tocar! Analisando a trapaça O atacante cria uma teia para convencer o alvo de que ele tem um problema que na verdade não existe --- ou, como neste caso, de um problema que ainda não aconteceu, mas que o atacante sabe que aconte- cerá porque ele vai causá-lo. Em seguida, ele se apresenta como a pessoa que pode fornecer a solução. O cenário desse tipo de ataque é particularmente suculento para o atacante. Devido à semente plantada com antecedência, quando o alvo descobre que tem um problema, ele mesmo faz a ligação telefônica para implorar ajuda. O atacante só tem de se sentar e esperar que o telefone toque, uma tá- tica conhecida na área como engenharia social inversa. Um atacante que consegue fazer o alvo ligar para ele ganha credibilidade constante. Se eu fizer uma ligação para alguém que acho que trabalha no help desk, não vou começar a pedir que ele prove a sua identidade. É nesse ponto que o atacante sabe que conseguiu. Recado do Mitnick Se um estranho lhe fizer um favor e depois pedir outro em troca, não faça nada sem antes pensar cuidadosamente naquilo que ele está pedindo. Jargão Shell de comandos remoto Uma interface não-gráfica que aceita comandos baseados em texto para executar determinadas funções ou executar programas. Um atacante que explora as vulnerabilidades técnicas ou que pode instalar um programa Cavalo de Tróia no computador da vítima pode obter o acesso remoto a um shell de comandos. Engenharia social inversa Um ataque de engenharia social no qual o atacante cria uma situação na qual a vítima tem um problema e entra em contato com ele para obter ajuda. Outra forma de engenharia social inversa é aquela que se volta contra o atacan- te. O alvo reconhece o ataque e usa princípios psicológicos de influência para tirar o máximo possível de informações do atacante para que a empresa possa preservar os ativos visados. 52 A Arte de Enganar Ela não tinha o número. Ele deu-lhe o número, ela tomou nota e voltou a trabalhar nova- mente, feliz com o modo como se sentia bem cuidada. Analisando a trapaça Esta história reforça um tema básico que você encontrará aqui: a maioria das informações co- muns que um engenheiro social quer de um empregado, independente do seu objetivo final, são as credenciais de autenticação do alvo. Com um nome de conta e uma senha em mãos de um único empregado na área certa da empresa, o atacante tem o que ele precisa para entrar e localizar as informações que está procurando. Ter essas informações é como encontrar as chaves do reino; com elas em mãos é possível mover-se livremente pelo espaço corporativo e encontrar o tesouro que se busca. Recado do Mitnick Antes que os empregados novos tenham acesso a qualquer sistema de computador da empresa, eles devem ser treinados para seguir as boas práticas de segurança, particu- larmente as políticas sobre nunca divulgar suas senhas. NÃO TAO SEGURO QUANTO VOCÊ ACHA "A empresa que não se esforça para proteger suas informações confidenciais é simplesmente negli- gente." Muitas pessoas concordam com essa declaração. E o mundo seria um lugar melhor se a vida não fosse tão óbvia e tão simples. A verdade é que mesmo essas empresas que se esforçam para pro- teger as informações confidenciais podem estar correndo um sério risco. Esta é uma história que ilustra o modo como as empresas se enganam a cada dia, pensando que suas práticas de segurança criadas por profissionais experientes e competentes não podem ser burladas. A história de Steve Cramer Não era um grande gramado, não um daqueles gramados caros e bem plantados. Ele não despertava inveja. E certamente não era bastante grande para dar-lhe uma desculpa para comprar um cortador de grama elétrico, o que era bom, porque ele não teria usado uma de qualquer maneira. Steve gostava de cortar a grama com o cortador manual porque era mais longo e a tarefa era uma desculpa conve- niente para concentrar-se em seus próprios pensamentos em vez de ouvir Anna contando as histórias das pessoas do banco onde ela trabalhava ou explicando as tarefas que ele teria de realizar. Ele odiava aquelas listas do que fazer que haviam se tomado parte integrante dos seus finais de semana. Ele lembrou-se daquele Pete de 12 anos que era esperto demais e conseguiu fazer parte da equipe de natação. Agora ele tinha de estar trabalhando ou em uma reunião todos os sábados para se livrar das tarefas do sábado. Algumas pessoas poderiam achar que o trabalho de Steve, que criava novos dispositivos para a GeminiMed Medicai Products, era aborrecedor; mas ele sabia que estava salvando vidas. Steve imaginava a si mesmo como pertencente a uma linha criativa de trabalho. Artistas, compositores, engenheiros — no seu ponto de vista, todos eles enfrentavam o mesmo tipo de desafio que ele: eles Capitulo 5 "Posso Ajudar?" 53 criavam algo que ninguém havia feito antes. E o seu mais recente e curioso tipo de heart stent* seria a realização que lhe daria mais orgulho de todas. Era quase 11 h30 da manhã naquele sábado, e Steve estava aborrecido porque já linha quase ter- minado de cortar a grama e ainda não havia feito nenhum progresso real para descobrir como reduzir os requisitos de energia do heart stent, a última barreira que restava. Um problema perfeito para ser resolvido enquanto se corta a grama, mas nenhuma solução havia surgido. Anna apareceu na porta, com o cabelo coberto com o lenço xadrez de cowboy que ela usava para tirar o pó da casa. "Telefone", ela gritou para ele. "É alguém do trabalho." "Quem?", perguntou Steve. "Ralph alguma coisa, acho." Ralph? Steve não conseguia se lembrar de alguém da GeminiMed chamado Ralph que poderia estar ligando em um final de semana. Mas Anna provavelmente havia entendido o nome errado. "Steve, aqui é Ramon Perez, do Suporte Técnico". Ramon — como será que Anna conseguiu entender um nome tão diferente como Ralph, Steve se perguntava. "Esta é apenas uma ligação de cortesia", Ramon dizia. "Três dos servidores estão paralisados, achamos que pode ser um vírus e temos de limpar as unidades de disco c restaurar do backup. Os seus arquivos estarão prontos na quarta ou quinta-feira com sorte." "Isso não é possível", disse Steve com firmeza, tentando não se deixar tomar pela frustração. Como essas pessoas podiam ser tão estúpidas? Elas realmente achavam que ele poderia ficar sem acessar seus arquivos durante todo o final de semana e na maior parte da próxima semana? "De maneira nenhuma. Vou me sentar no meu terminal aqui em casa daqui a duas horas e preciso acessar meus arquivos. Isso está claro?" "Sim. bem, todos para quem liguei até agora querem ser os primeiros da lista. Desisti do meu final de semana para vir trabalhar nisso e não é engraçado ter todo mundo com quem falo brigando comigo." "Estou com um prazo curto, a empresa conta com isso; tenho de fazer o trabalho nesta tarde. Que parte disso você não entendeu?" "Ainda tenho de ligar para muita gente antes de começar", retrucou Ramon. "E se eu dissesse que você terá os seus arquivos na terça?" "Não na terça, não na segunda, hoje. AGORA!", disse Steve, tentando descobrir para quem ele ligaria se não conseguisse fazer esse cabeça dura entender. "OK, OK", repetiu Ramon, e Steve o ouviu dar um suspiro de aborrecimento. "Vou ver o que posso fazer para que você não pare. Você usa o servidor RM22. certo?" "O RM22 e o GM16. Os dois." "Certo. OK, posso pular algumas etapas e economizar algum tempo — vou precisar do seu nome de usuário e senha." Uh oh. Steve pensou. O que está acontecendo? Por que ele precisa da minha senha? Por que o TI entre todas as pessoas pediria a senha? "Qual é o seu sobrenome e quem é o seu supervisor?" * Heart Stent: projeto que une a informática e a medicina para desenvolver técnicas que estudam detalhes do coração e seu funcionamento, utilizando o que existe de mais moderno em tecnologia. (N.R.T.) 54 A Arte de Enganar • "Ramon Perez. Veja, quando você foi contratado, havia um formulário a preencher para obter uma conta de usuário e você tinha de colocar uma senha. Eu poderia procurar e mostrar que o temos no arquivo aqui. Tudo bem?" Steve pensou alguns instantes e concordou. Ele desligou com impaciência cada vez maior, en- quanto Ramon foi procurar os documentos em um arquivo. Finalmente ele voltou ao telefone, Steve podia ouvi-lo procurando na pilha de papéis. "Ah, aqui está", disse finalmente Ramon. "Você colocou a senha 'Janice'." Janice, Steve pensou. Esse era o nome da mãe e ele o havia usado algumas vezes como senha. Ele podia muito bem ter colocado essa senha ao preencher a documentação de contratação. "Sim, está certo", ele reconheceu. "OK, estamos perdendo tempo. Você sabe que não estou mentindo, quer que eu use o atalho e devolva seus arquivos rapidamente. Você vai me ajudar?" "O meu ID é s, d, sublinhado, cramer — c-r-a-m-e-r. A senha é 'pelicano'." "Vou começar imediatamente", afirmou Ramon, finalmente parecendo prestativo. "Só preciso de algumas horas." Steve terminou o gramado, almoçou e quando voltou ao computador descobriu que, sem dúvida, seus arquivos haviam sido restaurados. Ele ficou feliz consigo mesmo por ter lidado com tanta energia com aquele funcionário pouco gentil do TI e esperava que Anna tivesse ouvido como ele foi positivo. Seria bom que Ramon ou o seu chefe recebessem uma advertência, mas ele sabia que isso era uma daquelas coisas com as quais ele nunca ia querer se envolver. A história de Craig Cogburne Craig Cogburne era vendedor de uma empresa de alta tecnologia e era um bom vendedor. Depois de um certo tempo ele começou a perceber que tinha habilidade para fazer a leitura de um cliente, en- tender quais eram os pontos de resistência da pessoa e reconhecer alguns pontos fracos ou vulnera- bilidades que facilitavam o fechamento da venda. Ele começou a pensar em outras maneiras de usar esse talento, e o caminho o levou a um campo muito mais lucrativo: a espionagem corporativa. Esse era um cargo quente. Não parecia que seria preciso muito tempo e esforço para pagar uma viagem para o Havaí. Ou talvez para o Taiti. O rapaz que me contratou não me contou quem era o cliente, é claro, mas parecia ser alguma em- presa que queria acabar com a concorrência em um salto único, rápido e fácil. Tudo que eu precisava fazer era obter os projetos e especificações de produto de um dispositivo novo chamado heart stent, independente do que fosse. A empresa chamava-se GeminiMed. Eu nunca ouvira falar dela, mas ela era uma das empresas da Fortune 500, com escritórios em meia dúzia de lugares — o que tomava o trabalho mais fácil do que em uma empresa na qual há boas chances de a pessoa com quem você está falando conhecer o funcionário que você diz ser e saber que você não é ele. Isso, como dizem os pilotos sobre uma colisão em pleno ar, pode arruinar todo o seu dia. O meu cliente enviou-me um fax, uma parte de uma revista médica que dizia que a GeminiMed estava trabalhando em um heart stent com um novo desenho radical, o qual seria chamado de STH- 100. Para ajudar, algum repórter já havia feito grande parte do trabalho para mim. Tinha uma coisa que eu precisava ter antes mesmo de começar: o nome do novo produto. Capítulo 5 "Posso Ajudar?" 57 autorização criptografa a senha que ele insere e, em seguida, compara o resultado com a senha crip- tografada (o hash) contida no arquivo de senhas. Se as duas coincidirem, o acesso é concedido. Como as senhas do arquivo estavam criptografadas, o arquivo em si foi disponibilizado para todo usuário com base na teoria de que não há um modo conhecido de decriptografar as senhas. Isso é uma piada — eu fiz o download do arquivo, executei um ataque de senhas automatizadas (brute force attacks) nele (consulte o Capítulo 12 para obter mais informações sobre esse método) e descobri que um dos engenheiros da equipe de desenvolvimento, um funcionário chamado Steven Cramer, no mo- mento tinha uma conta no computador com a senha "Janice". Só por acaso, tentei entrar na sua conta com aquela senha em um dos servidores de desenvolvimento. Se isso funcionasse, teria economizado algum tempo e um pouco de risco. Mas isso não funcionou. Isso significava que eu tinha de fazer o rapaz me dizer o seu nome de usuário e senha. Para tanto, teria de esperar até o final de semana. Você já sabe o resto. No sábado, liguei para Cramer e contei a história sobre um vírus e os servi- dores que tinham de ser restaurados do backup para superar a sua suspeita. E sobre a tal história que contei para ele, aquela sobre a senha que ele deu quando preencheu a sua documentação de funcionário? Estava contando com o fato de que ele não se lembraria que isso nunca aconteceu. Um empregado novo preenche tantos formulários que, anos mais tarde, quem iria se lembrar? E de qualquer forma, se tivesse de desistir dele, ainda teria aquela longa lista com outros nomes. Com o seu nome de usuário e senha, entrei no servidor, pesquei um pouco e. em seguida, loca- lizei os arquivos de projeto do STH-100. Não tinha muita certeza sobre quem eram as pessoas mais importantes e, assim, transferi todos os arquivos para um dead drop, um site FTP grátis na China, no qual eles podiam ser armazenados sem levantar suspeitas de ninguém. Deixe que o cliente procure em tudo e encontre o que ele quer. Analisando a trapaça Para o homem que estamos chamando de Craig Cogbure ou para qualquer pessoa como ele, com habilidades semelhantes nas artes do roubo que nem sempre são ilegais da engenharia social, o desafio apresentado aqui era quase que rotineiro. Seu objetivo era localizar e fazer o download dos arquivos armazenados em um computador corporativo seguro, protegido por um firewall e por toda a tecnologia normal de segurança. A maioria do seu trabalho era tão fácil quanto recolher água da chuva em um barril. Ele começou fazendo-se passar por alguém da sala de correspondência e impôs uma sensação extra de urgência dizendo que havia um pacote do FedEx aguardando para ser entregue. Essa fraude forneceu o nome do chefe da equipe do grupo de engenharia do heart stent, o qual estava em férias, mas — como era Jargão Dead drop Um lugar para deixar as informações, no qual é pouco provável que sejam encontradas por outras pessoas. No mundo dos espiões tradicionais, isso poderia estar atrás de um tijolo falso na parede; no mundo dos hackers de computadores, é comum haver um site da Internet em um país remoto. 58 A Arte de Enganar conveniente para qualquer engenheiro social que estava tentando roubar informações — ele havia deixado o nome e número de telefone da sua assistente. Ao ligar para ela, Craig eliminou todas as suspeitas dizendo que estava atendendo a uma solicitação do chefe da equipe. Com o chefe da equipe fora da cidade, Michelle não tinha como verificar essa solicitação. Ela aceitou-a como verdadeira e não teve problemas para fornecer uma lista das pessoas do grupo — para Craig, esse era um conjunto de informações necessário e muito valioso. Ela nem suspeitou quando Craig quis que a lista fosse enviada por fax e não por correio eletrô- nico, o qual seria mais conveniente para ambos os lados. Por que ela foi tão crédula? Assim como muitos outros empregados, ela não queria que o seu chefe voltasse e descobrisse que ela havia impe- dido uma pessoa que estava apenas tentando fazer algo que o chefe havia pedido para ele fazer. Além disso, o interlocutor disse que o chefe não apenas autorizou a solicitação, como também pediu o seu auxílio. Novamente, este é um exemplo de alguém que tem um forte desejo de fazer parte de uma equipe, o que torna as pessoas mais sujeitas à fraude. Craig evitou o risco de entrar fisicamente no prédio fazendo com que o fax fosse enviado para a recepcionista e sabendo que talvez ela ajudaria. Afinal, as recepcionistas são selecionadas por suas personalidades charmosas e por sua capacidade de causar uma boa impressão. Fazer pequenos favo- res como receber um fax e enviá-lo é algo que se espera da recepcionista. Craig aproveitou-se desse fato. Aquilo que ela estava enviando seriam informações que poderiam ter tocado o alarme para qual- quer pessoa que conhecesse o valor das informações — mas como uma recepcionista poderia saber quais informações são inofensivas e quais são confidenciais? Usando um estilo diferente de manipulação, Craig agiu como alguém confuso e ingênuo para convencer o funcionário das operações de computadores a fornecer o número de acesso por discagem para o servidor de terminal da empresa, o hardware usado como um ponto de conexão com os outros sistemas de computadores dentro da rede interna. Recado do Mitnick A prioridade de todos que trabalham é fazer o trabalho. Sob essa pressão, as práticas de segurança em geral ficam em segundo plano e são desprezadas ou ignoradas. Os engenheiros sociais usam isso ao praticarem sua arte. Craig pode se conectar facilmente tentando uma senha-padrão que nunca havia sido alterada, uma das enormes lacunas que existem em muitas redes internas que usam a segurança de firewall. Na verdade, as senhas-padrão de muitos sistemas operacionais, roteadores e outros tipos de produtos, entre eles os PBXs, estão disponíveis on-line. Todo engenheiro social, hacker ou espião industrial. bem como os simples curiosos, pode encontrar a lista em http://www.phenoelit.de/dpl/dpl.html. (É absolutamente inacreditável como a Internet facilita a vida daqueles que sabem onde procurar. E você também sabe!) Em seguida, Cogburne conseguiu convencer um homem cauteloso e desconfiado ("Como é o seu sobrenome? Quem é o seu supervisor?") a divulgar o seu nome de usuário e a sua senha para que ele pudesse acessar os servidores usados pela equipe de desenvolvimento do heart stent. Isso foi como deixar Craig com uma porta aberta para pesquisar nos segredos mais bem guardados da empresa e fazer o download dos planos do novo produto. Capítulo 5 "Posso Ajudar?" 59 E se Steve Cramer continuasse suspeitando da ligação de Craig? É pouco provável que ele pu- desse fazer alguma coisa quanto a relatar as suas suspeitas até aparecer no trabalho na segunda-feira e, então, já seria tarde demais para evitar o ataque. Um segredo da última parte do plano: Craig a princípio se fez passar por indiferente e desinte- ressado nas preocupações de Steve e, em seguida, mudou o tom e pareceu estar ajudando Steve a fazer o seu trabalho. Na maior parte do tempo, se a vítima acredita que você está tentando ajudá-lo ou prestar-lhe algum tipo de favor, ela compartilhará das informações confidenciais que, de outra forma, teriam sido protegidas. EVITANDO A TRAPAÇA Um dos truques mais poderosos do engenheiro social envolve a virada da mesa. Foi isso que você viu neste capitulo. O engenheiro social cria o problema e, em seguida, o resolve num passe de mágica, enganando a vítima para que ela forneça o acesso aos segredos mais bem guardados da empresa. Os seus empregados seriam pegos nesse tipo de golpe? Você já teve o trabalho de escrever e distribuir regras específicas de segurança para ajudar a evitar isso? Educar, educar e educar... Existe uma velha história sobre um visitante de Nova York que pára um homem na rua e pergunta: "Como vou ao Carnegie Hall?" O homem responde: "Prática, prática, prática." Todos são tão vulne- ráveis aos ataques da engenharia social que a única defesa efetiva de uma empresa é educar e treinar o seu pessoal, dando-lhes a prática de que precisam para identificar um engenheiro social. E, em se- guida, ela deve continuar lembrando sempre o pessoal daquilo que eles aprenderam no treinamento. mas que podem esquecer facilmente. Todos da organização devem ser treinados para ter um grau apropriado de suspeita e cuidado ao serem contactados por alguém que não conhecem pessoalmente, sobretudo quando alguém pede algum tipo de acesso a um computador ou rede. É da natureza humana querer confiar nos outros, mas com dizem os japoneses, os negócios são uma guerra. Os seus negócios não podem permitir que você baixe a guarda. A política de segurança corporativa deve definir claramente o comportamento apropriado e inapropriado. A segurança não tem tamanho único. O pessoal dos negócios tem regras e responsabilidades dife- rentes e cada posição tem vulnerabilidades próprias. Deve haver um nível básico de treinamento que todos da empresa devem ter e, depois, as pessoas também devem ser treinadas de acordo com o perfil do seu cargo para seguir determinados procedimentos que reduzem as chances de elas se tornarem parte do problema. As pessoas que trabalham com informações confidenciais ou que são colocadas em posições de confiança devem ter treinamento especializado adicional. Mantendo seguras as informações confidenciais Quando as pessoas são abordadas por um estranho que oferece ajuda, como vimos neste capítulo, elas têm de recorrer à política de segurança corporativa feita de acordo com as necessidades dos negócios, o tamanho e a cultura da sua empresa. Nunca coopere com um estranho que pede para você procurar informações, digitar comandos desconhecidos em um computador, fazer alterações nas configurações do software ou — o mais Você Pode me Ajudar?" ocê viu como os engenheiros sociais enganam as pessoas oferecendo ajuda. Outra abordagem preferida é a virada da mesa: o engenheiro social age fingindo que precisa da ajuda da pessoa. Todos podemos simpatizar com as pessoas que estão precisando de ajuda, e a abordagem é sempre eficaz, permitindo que um engenheiro social atinja o seu objetivo. O ESTRANHO NA CIDADE Uma história do Capítulo 3 mostrou como um atacante pode convencer uma vítima a revelar o seu número de empregado. Esta usa uma abordagem diferente para conseguir o mesmo resultado e, em seguida, mostra como o atacante pode utilizar aquelas informações. Continuando com os Jones No Vale do Silício, existe uma determinada empresa global. Os escritórios de vendas espalhados e outras instalações de campo em todo o mundo estão conectados à sede daquela empresa por meio de uma WAN, uma rede de área remota. O intruso, um rapaz esperto chamado Brian Atterby, sabia que quase sempre era mais fácil invadir uma rede em um dos sites remotos no qual a segurança, quase com toda a certeza, é mais relaxada do que na sede. O intruso ligou para o escritório de Chicago e pediu para falar com o Sr. Jones. A recepcionista perguntou se ele sabia qual era o primeiro nome do Sr. Jones e ele respondeu: "Tenho aqui, estou procurando. Quantos Jones você tem?" Ela afirmou: "Três. Em qual departamento ele trabalha?" Ele continuou: "Se você me disser os nomes talvez eu o reconheça." E ela fez isso: "Barry, Joseph e Gordon." "Joe. Tenho certeza de que era esse", salientou. "E ele trabalha em... qual departamento?" "Desenvolvimento de Negócios." "Muito bom. Você pode fazer a ligação, por favor?" Ela completou a ligação. Quando o Jones atendeu, foi a vez do atacante: "Sr. Jones? Oi, aqui e Tony, da Folha de Pagamentos. Acabamos de concluir a sua solicitação para que o seu cheque de pagamento seja depositado diretamente na sua conta no Credit Union." "O QUÊ???!!! Você deve estar brincando. Nunca fiz uma solicitação dessas. Nem tenho conta no Credit Union." V 64 A Arte de Enganar "Ah, droga. Já concluí a transação." Jones ficou mais do que aborrecido com a idéia de que o seu pagamento poderia ir para a conta de outra pessoa, e estava começando a pensar que o rapaz do outro lado da linha devia ser meio lento. An- tes mesmo de ele responder, o atacante continuou: "É melhor eu ver o que aconteceu. As alterações na folha de pagamento são inseridas pelo número de empregado. Qual é o seu número de empregado?" Jones deu o número. O interlocutor disse: "Não, você está certo. A solicitação não veio de você. então." Jones pensou: "Eles estão ficando mais burros a cada ano." "Olhe, vou cuidar disto. Vou fazer a correção agora mesmo. Não se preocupe, você receberá o seu próximo cheque de pagamento", disse o rapaz com segurança. Uma viagem de negócios Não muito depois disso, o administrador de sistemas da empresa no escritório de vendas em Austin, no Texas, recebeu uma ligação telefônica. "Aqui é Joseph Jones", anunciou o interlocutor. "Traba- lho no departamento de Desenvolvimento de Negócios. Estarei na cidade por uma semana, no Driskill Hotel. Gostaria que você me configurasse uma conta temporária para eu acessar meu correio eletrônico sem precisar fazer uma ligação interurbana." "Me dê novamente o seu nome e o seu número de empregado", pediu o administrador de siste- mas. O falso Jones deu o número e continuou: "Você tem números de discagem rápida?" "Espere um pouco. Tenho de verificar as informações no banco de dados." Depois de algum tem- po ele disse: "OK, Joe. Diga-me qual é o número do seu prédio?" O atacante havia feito tudo direito e tinha a resposta na ponta da língua. Recado do Mitnick Não dependa das salvaguardas e firewalls de rede para proteger as suas informações. Olhe o seu ponto mais vulnerável. Geralmente você descobre que aquela vulnerabilida- de está no seu pessoal. "Muito bem", o administrador de sistemas afirmou, "você me convenceu". Foi tudo muito simples. O administrador de sistemas havia verificado o nome de Joseph Jones, o departamento e o número de empregado e "Joe" havia dado a resposta certa para a pergunta de teste. "O seu nome de usuário será igual ao seu nome na corporação, jbjones", explicou o administrador de sistemas, "e eu vou lhe dar a senha inicial 'changeme'". Analisando a trapaça Com algumas ligações e gastando quinze minutos, o atacante havia ganhado acesso à rede de área remota da empresa. Essa era uma empresa que, como muitas outras, tinha aquilo que eu chamava de segurança suave. Essa descrição foi usada pela primeira vez por dois pesquisadores da Bell Labs, Steve Bellovin e Steven Cheswick. Eles descreveram essa segurança como "uma concha dura que se esmigalha com um núcleo macio como chiclete" — como um confeito. A concha externa, o firewall, argumentavam Bellovin e Cheswick. não representa proteção suficiente, porque após um invasor Capítulo 6 "Você Pode me Ajudar?" 65 Jargão SEGURANÇA SUAVE (Candy Security) Um termo criado por Bellovin e Cheswick da Bell Labs para descrever um cenário de segurança no qual o perímetro externo (tal como um firewall) é forte, mas a infra-estrutura é fraca. O termo refere-se ao confeito, que tem uma casca externa dura e um centro mole. conseguir contorná-la, os sistemas internos de computadores têm a segurança macia e mastigável. Na maior parte do tempo eles têm uma proteção inadequada. Esta história coincide com a definição. Com um número de discagem e uma conta, o atacante nem precisava tentar passar pelo firewall da Internet e, depois que ele estava lá dentro, podia facil- mente comprometer a maior parte dos sistemas da rede interna. Segundo as minhas fontes, acho que um golpe semelhante foi dado em um dos maiores fabrican- tes de software para computadores do mundo. Você acharia que os administradores dessa empresa es- tariam treinados para detectar esse tipo de golpe? Mas de acordo com a minha experiência, ninguém está completamente seguro quando um engenheiro social é bastante inteligente e persuasivo. SEGURANÇA SPEAKEASY Nos velhos tempos do speakeasy — naqueles nightclubs da era da Lei Seca, onde acontecia o co- mércio ilegal de bebida alcoólica —, um provável cliente era admitido batendo à porta. Após alguns minutos, a porta se abria e um rosto forte e intimidador aparecia. Se o visitante era conhecido, ele podia falar o nome de algum patrono freqüentador do lugar ("Joe me mandou" era o suficiente) e o grandalhão lá dentro destrancava a porta e permitia a sua entrada. O verdadeiro truque estava em saber a localização do speakeasy porque a porta não tinha pla- cas, e os proprietários não penduravam sinais de néon para marcar a sua presença. Na maior parte dos casos, bastava aparecer no lugar certo para entrar. Infelizmente, o mesmo grau de salvaguarda e aplicado amplamente no mundo corporativo e fornece um nível de desproteção que eu chamo de segurança speakeasy. Eu vi isso no cinema Aqui está um exemplo de um filme meu preferido que muitas pessoas devem lembrar. No filme Os Três Dias do Condor, o personagem central, Turner (interpretado por Robert Redford), trabalha em uma pequena empresa de pesquisa contratada pela CIA. Um dia ele volta do almoço e descobre que todos os Jargão SEGURANÇA SPEAKEASY A segurança que depende do conhecimento do lugar onde estão as informações desejadas e do uso de uma palavra ou nome para acessar aquelas informações ou um sistema de computador, 68 A Arte de Enganar Obviamente, não apenas os curiosos ouviam. Os ladrões que roubavam uma loja no meio da noite podiam sintonizar e ouvir se um carro de polícia estava sendo enviado para o local. Os traficantes de drogas podiam verificar as atividades dos agentes da Delegacia de Narcóticos local. Um incendiário podia aumentar o seu prazer doentio acendendo uma chama e ouvindo todo o tráfego pelo rádio en- quanto os bombeiros lutavam para apagar o incêndio. Nos últimos anos, o desenvolvimento da tecnologia dos computadores possibilitou a criptografia das mensagens por voz. A medida que os engenheiros encontravam maneiras de colocar cada vez mais poder de computação em um único microchip, eles começaram a criar pequenos rádios criptografados para os departamentos de polícia, os quais evitavam que os bandidos e os curiosos ouvissem. Danny, o hacker benigno Um hacker entusiasmado e habilidoso que chamaremos de Danny resolveu descobrir um modo de colocar as mãos em um software de criptografia supersecreto — o código-fonte — de um dos principais fabricantes de sistemas de rádio de segurança. Ele esperava que um estudo do código o ensinasse como enganar a polícia e talvez também pudesse usar a tecnologia para que até mesmo os departamentos do governo mais poderosos tivessem dificuldades em monitorar as suas conversas com seus amigos. Os dannys do mundo sombrio dos hackers pertencem a uma categoria especial que se classifica em algum lugar entre os meramente curiosos, mas totalmente inofensivos, e os perigosos. Os dannys têm o conhecimento do especialista, combinado ao desejo maligno do hacker de invadir os sistemas e as redes pelo desafio intelectual e pelo prazer de descobrir como a tecnologia (funciona. Mas as suas acrobacias eletrônicas de invasão não passam disso — acrobacias. Esse pessoal, esses hackers benig- nos, entram ilegalmente nos sites simplesmente pela diversão e pelo prazer de provar que eles podem fazer isso. Eles não roubam nada, não ganham dinheiro com suas explorações. Não destroem nenhum arquivo, não interrompem as conexões de rede nem paralisam nenhum sistema de computadores. O simples fato de eles estarem lá pegando cópias de arquivos e pesquisando as mensagens de correio eletrônico em busca das senhas e de fazer isso pelas costas da segurança e dos administradores de rede torce os narizes das pessoas que são responsáveis por afastar os intrusos como eles. Grande parte da satisfação está no fato de fazerem isso sozinhos. Fiel ao seu perfil, o nosso Danny queria examinar os detalhes do produto mais guardado da sua empresa-alvo só para satisfazer a sua própria curiosidade e admirar as inovações que o fabricante estava para lançar. Nem é preciso dizer que os projetos de produto eram segredos comerciais cuidadosamente guar- dados, tão preciosos e protegidos quanto qualquer outra coisa que a empresa possuía. Danny sabia disso. E não ligava nem um pouco. Afinal de contas, essa era apenas uma empresa grande e sem nome. Mas como obter o código-fonte do software? Acontece que se apoderar das jóias da coroa do Grupo de Comunicações Seguras da empresa acabou sendo uma coisa muito fácil, muito embora a empresa fosse uma daquelas que usavam a autenticação de dois fatores, um método no qual as pes- soas devem usar não um, mas dois identificadores separados para provar suas identidades. Este é um exemplo que talvez você já conhece. Quando chega a renovação do seu cartão de crédi- to, você tem de ligar para a administradora para informar que o cartão está nas mãos do cliente certo, e não nas mãos de alguém que roubou o envelope do correio. As instruções que vêm com o cartão hoje em dia geralmente dizem para você ligar de casa. Quando você liga, o software da administradora do Capitulo 6 "Você Pode me Ajudar?" 69 Jargão AUTENTICAÇÃO DE DOIS FATORES O uso de dois tipos diferentes de autenticação para verificar a identidade. Por exemplo, uma pessoa pode ter de identificar a si mesma ligando de uma determinada localização identificável e sabendo uma senha. cartão analisa a ANI, a identificação de número automática, a qual é fornecida pelo atendimento das ligações que são pagas pela empresa do cartão de crédito. Um computador da administradora do cartão usa o número do cliente que está ligando fornecido pela ANI e compara esse número com o banco de dados de titulares de cartão da empresa. Quando o operador entra na linha, a sua tela exibe as informações do banco de dados com os detalhes do cliente. Assim sendo, o operador já sabe que a ligação está sendo feita da casa de um cliente e essa é uma forma de autenticação. O operador escolhe um item nas informações exibidas sobre você — quase sempre o número do seguro social, a data de nascimento ou o nome de solteira da mãe — e pede que você repita essas informações. Se você fornecer a resposta certa, essa é uma segunda forma de autenticação — com base nas informações que você deve saber. Na empresa que fabrica os sistemas de rádio de segurança da nossa história, cada empregado que tem acesso ao computador tinha o seu nome normal de conta e a sua senha. Entretanto, além disso. ele recebia um pequeno dispositivo eletrônico chamado ID Seguro projetado em tecnologias one-time password. Isso é aquilo que é chamado de token baseado em tempo. Esses dispositivos são de dois tipos: um tem cerca de metade do tamanho de um cartão de crédito, mas um pouco mais fino; o outro é pequeno o bastante para que as pessoas possam colocá-lo em seus chaveiros. Tirado do mundo da criptografia, esse dispositivo em particular tem uma pequena janela que exibe uma série de seis dígitos. A cada 60 segundos, o vídeo muda e mostra um número de seis dígitos dife- rente. Quando uma pessoa autorizada precisa de acesso externo à rede, ela primeiro precisa se identifi- car como um usuário autorizado digitando o seu código secreto e os dígitos exibidos no seu dispositivo. Após a verificação do sistema interno, ela é autenticada com o seu nome de conta e senha. Para o jovem hacker Danny chegar até o código-fonte que tanto cobiçava, ele teria não apenas de fornecer o nome de conta e a senha de algum empregado (um desafio não muito grande para o expe- riente engenheiro social), mas também teria de contornar o problema do token baseado em tempo. Burlar a autenticação de dois fatores de um token baseado em tempo combinado a um código de identificação secreta do usuário parece um desafio tirado do filme Missão Impossível. Mas para os engenheiros sociais, o desafio é semelhante àquele enfrentado por um jogador de pôquer que tem uma habilidade além do normal para fazer uma leitura dos seus oponentes. Com um pouco de sorte, quando se senta em uma mesa, ele sabe que vai sair dali com uma pilha grande de dinheiro alheio. A investida contra o forte Danny começou fazendo a lição de casa. Em pouco tempo ele havia conseguido juntar informações suficientes para se fazer passar por um verdadeiro empregado. Ele tinha um nome de empregado, o departamento, o número do telefone e o número do empregado, bem como o nome e telefone do gerente. 70 A Arte de Enganar Agora era a calmaria antes da tempestade. Literalmente. Seguindo o plano que havia estabele- cido, Danny precisava de mais uma coisa antes da próxima etapa, e isso era algo sobre o qual não tinha nenhum controle: ele precisava de uma tempestade de neve. Danny precisava de um pouco de ajuda de São Pedro na forma de um tempo tão ruim que os empregados não conseguiriam chegar ao escritório. No inverno de Dakota do Sul, onde está localizada a fábrica em questão, todos que esperavam mau tempo não tinham de esperar muito. Na sexta-feira à noite, a tempestade chegou. Aquilo que co- meçou como neve rapidamente se transformou em chuva congelante, e de manhã as estradas estavam cobertas de uma camada grossa e perigosa de gelo. Para Danny essa era a oportunidade perfeita. Ele ligou para a fábrica, pediu para falar com a sala de computadores e falou com uma das abe- lhas operárias de TI, um operador de computador que se apresentou como Roger Kowalski. Dando o nome do empregado real que havia obtido, Danny disse: "Aqui é Bob Billings. Traba- lho no Grupo de Comunicações Seguras. Estou em casa e não posso chegar ao trabalho por causa da tempestade. E o problema é que preciso acessar a minha estação de trabalho e o meu servidor daqui de casa e deixei o meu ID Seguro na minha mesa. Você pode procurá-lo para mim? Ou alguém pode fazer isso? E, depois, você pode ler o meu código quando eu precisar dele? A minha equipe tem um prazo crítico e não há como eu terminar o trabalho. E não há como chegar ao escritório — as estradas estão muito perigosas por aqui." O operador do computador respondeu: "Não posso sair do Centro de Computadores." Danny respondeu rapidamente: "Você tem um ID Seguro?" "Há um aqui no Centro de Computadores", ele disse. "Nós o reservamos para os operadores em caso de emergência." "Ouça", disse Danny. "Você pode me fazer um grande favor? Quando eu precisar discar para a rede, você pode me emprestar o seu ID Seguro? Só até que seja seguro dirigir até aí". "Quem e você mesmo?", Kowalski perguntou. "Bob Billings." "Para quem você trabalha?" "Para Ed Trenton." "Ah, sim. Eu o conheço." Quando há chances de enfrentar condições muito desfavoráveis, um bom engenheiro social faz mais do que a pesquisa normal. "Estou no segundo andar", continuou Danny. "Perto do Roy Tucker." O operador também conhecia aquele nome. Danny voltou a trabalhar com ele. "Seria muito mais fácil se você fosse até a minha mesa e conseguisse o ID Seguro para mim." Danny tinha certeza de que o rapaz não entraria nessa. Antes de mais nada, ele não ia querer sair no meio do seu turno, percorrer corredores, subir escadas para chegar até algum lugar distante do prédio. Ele também não ia querer colocar as mãos na mesa de outra pessoa, violando o espaço pessoal de alguém. Não, com quase toda a certeza ele não ia querer fazer isso. Kowalski não queria dizer não para um colega de trabalho que precisava de ajuda, mas também não queria dizer sim e ter problemas. Assim sendo, passou a decisão para outro: "Terei de falar com o meu chefe. Aguarde um pouco." Ele colocou o telefone na mesa e Danny o ouviu pegar outro telefo- ne. fazer a ligação e explicar a solicitação. Em seguida, Kowalski fez algo inexplicável: ele endossou a história do homem que usava o nome de Bob Billings. "Eu o conheço", ele disse ao gerente. "Ele trabalha com Ed Trenton. Podemos deixá-lo usar o ID Seguro do Centro de Computadores?" Danny, Capítulo 6 "Você Pode me Ajudar?" 73 o seu cachorro. Ninguém quer receber a ordem de pegar alguma coisa. Com aquela única palavra, Danny garantiu que a solicitação seria recusada e que alguma outra solução seria aceita, o que era exatamente aquilo que desejava. O operador do Centro de Computadores, Kowalski, foi convencido pelo fato de Danny falar nomes de pessoas que ele conhecia. Mas por que o gerente — nada menos do que um gerente de TI — permite que um estranho acesse a rede interna da empresa? Simplesmente porque a ligação pedin- do ajuda pode ser uma ferramenta poderosa e persuasiva do arsenal do engenheiro social. Recado do Mitnick Esta história mostra que os tokens baseados em tempo e outras formas semelhantes de autenticação não são defesa contra o astuto engenheiro social. A única defesa é um empregado consciente que segue as políticas de segurança e entende como as outras pessoas podem influenciar de modo malicioso o seu comportamento. Algo assim poderia acontecer na sua empresa? Isso já aconteceu? EVITANDO A TRAPAÇA Um elemento que parece se repetir sempre nessas histórias é o fato de um atacante conseguir discar para uma rede de computadores de fora da empresa, sem que a pessoa que o ajuda tome as devidas precauções para verificar se ele é realmente um empregado e pode ter o acesso. Por que volto com tanta freqüência a esse mesmo tema? Porque esse é um fator importante de tantos ataques da engenharia so- cial. Para o engenheiro social, essa e a maneira mais fácil de atingir o seu objetivo. Por que um atacante gastaria horas tentando fazer a invasão, quando pode fazer isso com uma simples ligação telefônica? Um dos métodos mais poderosos pelo qual o engenheiro social pode executar esse tipo de ataque é usar o golpe simples de fingir que precisa de ajuda — uma abordagem muito usada pelos atacantes. Você não vai querer fazer com que os seus empregados parem de cooperar com colegas ou clientes e, assim, precisa fornecer-lhes procedimentos de verificação específicos a serem usados com todos que façam uma solicitação de acesso ao computador ou a informações confidenciais. Dessa forma, eles podem ser úteis para aqueles que merecem a ajuda, e ao mesmo tempo podem proteger os ativos de informação da organização e os sistemas de computadores. Os procedimentos de segurança da empresa precisam declarar com detalhes o tipo de mecanismo de verificação que deve ser usado nas diversas circunstâncias. O Capítulo 17 fornece uma lista de procedimentos detalhada, mas estas são algumas orientações que devem ser levadas em conta: • Uma boa forma de verificar a identidade de uma pessoa que faz uma solicitação é ligar para o número de telefone relacionado na lista de telefones da empresa para aquela pessoa. Se a pessoa que faz a solicitação for realmente um atacante, a ligação de verificação permitirá que você fale com a pessoa verdadeira ao telefone enquanto o impostor aguarda na linha, ou per- mite que você ouça o som da voz da pessoa no voice mail para poder compará-lo com a voz do atacante. • Se forem usados números de empregados na sua empresa para verificar a identidade, esses números têm de ser tratados como informações confidenciais, guardados cuidadosamente e 74 A Arte de Enganar não podem ser dados a estranhos. O mesmo vale para todos os outros tipos de identificadores internos, tais como números de telefone, identificadores de faturamento de departamentos e até mesmo os endereços de correio eletrônico. • O treinamento corporativo deve chamar a atenção de todos para a prática comum de aceitar pessoas desconhecidas como empregados legítimos, com base no fato de que eles parecem ter autoridade ou conhecimento. Só porque alguém conhece a prática de uma empresa ou usa a terminologia interna, não há motivos para assumir que a sua identidade não precisa ser verificada de outras maneiras. • Os encarregados da segurança e os administradores de sistemas precisam sempre prestar aten- ção ao modo como iodas as pessoas têm consciência da segurança. Eles também precisam ter certeza de que eles próprios estão seguindo as mesmas regras, procedimentos e práticas. • As senhas e outros itens semelhantes, obviamente, nunca devem ser compartilhados, mas a restrição contra o compartilhamento é mais importante ainda no caso dos tokens baseados em tempo e em outras formas seguras de autenticação. É uma questão de bom senso o fato de que o compartilhamento de um desses itens vai contra o motivo pelo qual a empresa instalou os sistemas. O compartilhamento significa que não pode haver responsabilidade. Se um inciden- te de segurança ocorre ou se algo de errado acontece, você não poderá determinar quem é o responsável. • Como reitero neste livro, os empregados precisam estar familiarizados com as estratégias da engenharia social e seus métodos para analisar com responsabilidade as solicitações recebi- das. Considere o uso da dramatização como parte do treinamento em segurança, para que os empregados possam entender melhor como o engenheiro social age. Sites Falsos e Anexos Perigosos á um velho ditado que diz que você nunca tem nada de graça. Mesmo assim, o golpe de oferecer algo de graça continua sendo uma grande jogada de negócios legítimos ("Mas não é só isso! Ligue agora mesmo e ganhe um conjunto de facas e uma pipoqueira!") e não tão legítimos ("Compre um acre de pântanos na Flórida e ganhe um segundo acre de graça!"). E a maioria de nós gosta tanto de ganhar algo de graça que pode se enganar e não pensar com clareza na oferta ou na promessa que está sendo feita. Conhecemos o aviso "cuidado ao comprar", mas está na hora de prestar atenção em outro aviso: cuidado com os anexos que vêm nas mensagens de correio eletrônico e com o software grátis. O atacante experiente usa quase que qualquer meio para invadir a rede corporativa, incluindo o apelo para o nosso desejo natural de receber um presente grátis. Estes são alguns exemplos. "VOCÊ GOSTARIA DE GANHAR UM (ESPAÇO EM BRANCO) GRÁTIS?" Assim com as viroses têm sido uma praga para a humanidade e os médicos desde o início dos tempos, os vírus de computadores também representam uma praga para os usuários da tecnologia. Aqueles que chamam mais a atenção e têm mais projeção, não por acaso, causam os maiores danos. Eles são o produto dos vândalos dos computadores. Como feras dos computadores que se transformaram em malucos maliciosos, esses vândalos lutam para mostrar como são inteligentes. Eventualmente seus atos são como um ritual de iniciação, destinados a impressionar os hackers mais velhos e mais experientes. Essas pessoas são motivadas para criar um worm ou um vírus para infligir um dano. Se o seu trabalho destruir arquivos, acabar com unidades de disco inteiras e seguir por correio eletrônico para milhares de pessoas desavisadas, os vândalos alardeiam com orgulho sua realização. Se os vírus causarem um caos suficiente para aparecerem nos jornais e as notícias da rede avisarem contra eles, melhor ainda. Muito foi escrito sobre os vândalos e seus vírus. Livros, programas de software e empresas intei- ras surgiram para oferecer proteção, e não falaremos aqui das defesas contra seus ataques técnicos. O nosso interesse no momento focaliza menos os atos destrutivos do vândalo do que os esforços mais concentrados do seu primo distante: o engenheiro social. Chegou no correio eletrônico Todos os dias você recebe mensagens de correio eletrônico com propaganda ou oferecendo alguma coisa de que não precisa e não quer. Você sabe como é. Eles prometem consultoria de investimentos, H 78 A Arte de Enganar que entra no computador de alguém e depois envia mensagens de correio eletrônico ele mesmo para todas as pessoas do seu catálogo de endereços. Cada uma daquelas pessoas recebe uma mensagem de correio eletrônico de alguém que conhece e confia, e cada uma daquelas mensagens de correio eletrônico de confiança contém o worm, o qual se propaga como as ondas formadas por uma pedra jogada em um lago tranqüilo. O motivo da eficiência dessa técnica é que ela segue a teoria de matar dois coelhos com uma só cajadada. A capacidade de propagar-se para as outras vitimas desavisadas e a aparência de que veio de uma pessoa de confiança. Recado do Mitnick O homem inventou muitas coisas maravilhosas que mudaram o mundo e a nossa forma de viver. Mas para cada bom uso da tecnologia, o computador, o telefone ou a Internet, alguém sempre encontra um modo de abusar dessa tecnologia em proveito próprio. O triste fato é que no estado atual da tecnologia você pode receber uma mensagem de correio eletrônico de alguém próximo e ter de se perguntar se é seguro abri-la. VARIAÇÕES SOBRE UM MESMO TEMA Nesta era da Internet, há um tipo de fraude que envolve o seu redirecionamento para um site Web que não é aquele que você esperava. Isso acontece regularmente e assume várias formas. Este exemplo, que se baseia em um golpe real executado na Internet, é representativo. Feliz Natal... Um vendedor de seguros aposentado chamado Edgar recebeu uma mensagem de correio eletrônico certo dia da PayPal, uma empresa que oferece um modo rápido e conveniente de fazer pagamentos on-line. Esse tipo de serviço é muito útil quando uma pessoa de uma parte do pais (ou do mundo) está comprando um item de um indivíduo que ele não conhece. A PayPal cobra no cartão de crédito do comprador e transfere o dinheiro diretamente para a conta do vendedor. Como colecionador de vasos antigos de vidro, Edgar fez muitos negócios por meio da empresa de leilões on-line eBay. Ele usava a PayPal com freqüência várias vezes por semana. Assim sendo. Edgar ficou interessado quando recebeu uma mensagem de correio eletrônico nas festas de fim de ano de 2001, a qual parecia v ir da PayPal e oferecia um prêmio pela atualização da sua conta com a PayPal. A mensagem dizia: Boas Festas caro cliente PayPal; À medida que o Ano Novo se aproxima e todos nos preparamos para iniciar um novo ano, a PayPal gostaria de lhe dar um crédito de US$ 5 na sua conta! Tudo que você precisa fazer para receber os seus US$ 5,00 de presente é atualizar as suas informações no nosso site seguro Pay Pal até 1o de janeiro de 2002. Um ano traz muitas chances, e atualizando as suas informações conosco, você permitirá que continuemos a lhe fornecer nosso valioso serviço ao cliente com excelente qualidade e. além de tudo, você estará mantendo os nossos registros atualizados! Capitulo 7 Sites Falsos e Anexos Perigosos 79 Para atualizar as suas informações agora e receber os US$ 5,00 na sua conta da PayPal instantaneamente, clique neste link: http://www.paypal-secure.com/cgi-bin Obrigado por usar a PayPal.com e nos ajudar a crescer e sermos os maiores da nossa área! Desejando-lhe sinceramente um "Feliz Natal e Ano Novo", Equipe da PayPal Uma observação sobre os sites Web de comércio eletrônico Provavelmente você conhece pessoas que não gostam de comprar coisas on-line, mesmo de empresas de nome como Amazon e eBay, ou em sites Web da Old Navy, Target ou Nike. De certa forma, eles estão certos em desconfiar. Se o seu browser usa a criptografia de 128 bits. que é o padrão atual, as informações que envia para qualquer site seguro saem criptografadas do seu computador. Esses dados podem ser decriptografados com muito esforço, mas prova- velmente isso não pode ser feito dentro de um prazo razoável, exceto talvez pela National Se- curity Agency (e a NSA, até onde sabemos, não mostrou nenhum interesse em roubar números de cartões de crédito de cidadãos americanos, nem tenta descobrir quem está pedindo vídeos de sexo ou lingerie de sex shop). Esses arquivos criptografados poderiam ser quebrados por qualquer pessoa que tivesse tem- po e recursos. Mas, na verdade, quem seria bobo de ter todo esse trabalho para roubar um número de cartão de crédito, quando muitas empresas de comércio eletrônico cometem o erro de armaze- nar todas as informações financeiras de seus clientes decriptografadas em seus bancos de dados? Pior ainda, diversas empresas de comércio eletrônico que usam um determinado banco de dados SQL agravam ainda mais esse problema: elas nunca mudaram a senha default do administrador de sistema para o programa. Quando tiraram o programa da caixa, a senha era "null" e ainda é "null" hoje. Assim sendo, o conteúdo dos bancos de dados está disponível para todos na Internet que resolvem tentar se conectar ao servidor do banco de dados. Esses sites estão sob ataque o tempo todo e as informações são roubadas, sem que ninguém lenha culpa. Por sua vez. as mesmas pessoas que não compram na Internet porque têm medo de ter suas informações de cartão de crédito roubadas não têm problemas em comprar com aquele mesmo cartão de crédito em uma loja de material de construção ou pagar o almoço, jantar ou drinques com o cartão — mesmo em um bar de uma rua deserta ou no restaurante no qual não levariam suas mães. Os recibos dos cartões de crédito são roubados desses locais o tempo todo, ou pescados nas latas de lixo da rua de trás. E todo caixa ou garçom inescrupuloso pode anotar as suas informações de nome e cartão ou podem usar um dispositivo facilmente dispo- nível na Internet, um dispositivo de varredura, que armazena os dados de qualquer cartão de crédito que é passado por ele para recuperação posterior. Existem alguns perigos na compra on-line, mas provavelmente ela é mais segura do que comprar em uma loja de material de construção. E as empresas de cartão de crédito oferecem a mesma proteção quando você usa o seu cartão on-line — se alguma taxa fraudulenta for cobrada da conta, você só é responsável pelos primeiros US$ 50,00. Assim sendo, na minha opinião, o medo da compra on-line é apenas outra preocupação injustificada. 80 A Arte de Enganar Edgar não notou nenhum dos sinais conhecidos de que havia algo de errado com o seu correio eletrônico (por exemplo, o ponto-e-vírgula depois da linha de cumprimentos e o texto enrolado sobre "nosso valioso serviço ao cliente com excelente qualidade"). Ele clicou no link, inseriu as informa- ções solicitadas — nome, endereço, número do telefone e as informações do cartão de crédito — e aguardou que o crédito de US$ 5,00 aparecesse na sua próxima fatura do cartão de crédito. Entretanto, o que apareceu foi uma lista de taxas pelos itens que nunca comprou. Analisando a trapaça Edgar foi pego por um golpe comum na Internet. Esse é um golpe que chega de diversas maneiras. Uma delas (detalhada no Capítulo 9) envolve uma tela de login falsa criada pelo atacante, a qual é idêntica à tela real. A diferença é que a tela falsa não dá acesso ao sistema de computadores que o usuário está tentando atingir, mas sim passa o seu nome de usuário e a senha para o hacker Edgar foi pego em um golpe no qual os bandidos registraram um site Web com o nome "paypal- secure.com" — o qual parece como se fosse uma página segura do site legítimo da PayPal, mas não e. Quando ele inseriu as informações naquele site, os atacantes conseguiram o que queriam. Recado do Mitnick Embora isso não seja infalível (e nenhuma segurança é), sempre que visitar um site que solicita informações que você considera confidenciais, verifique se a conexão está autenticada e criptografada. E o mais importante, não clique automaticamente em Sim em nenhuma caixa de diálogo que possa indicar uma questão de segurança, tal como um certificado digital inválido, vencido ou revogado. VARIAÇÕES SOBRE A VARIAÇÃO Quantas outras maneiras existem de enganar os usuários de computador para que eles entrem em um site Web falso no qual têm de fornecer informações confidenciais? Não suponho que alguém tenha uma resposta válida e precisa, mas "muitas e muitas" servirão para essa finalidade. O elo que falta Um truque surge regularmente: o envio de uma mensagem de correio eletrônico que oferece um mo- tivo tentador para visitar um site e fornece um link para ir diretamente a ele. Só que o link não leva você ao site que acha que está indo, porque ele na verdade apenas se parece com um link daquele site. Este é outro exemplo que na verdade foi usado na Internet envolvendo novamente o mal uso do nome da PayPal: www.PayPai.com Olhando rapidamente, parece que diz PayPal. Mesmo se a vítima notar, ela pode achar que é apenas um erro no texto que faz com que o "l" de Pal se pareça com um "i". E quem notaria de relance que este endereço www.PayPa1.com Capítulo 7 Sites Falsos e Anexos Perigosos 83 Jargão BACKDOOR Um ponto de entrada oculto que fornece um caminho secreto para o computador de um usuário, o qual é desconhecido do usuário. Usado também pelos programadores que desenvolvem um programa de software para que possam entrar no programa para corrigir problemas. estar forçando os usuários ou administradores a respeitarem as boas práticas de senhas. Assim sendo, você não pode assumir que nenhum site com suposta segurança não esteja vulnerável a um ataque. O HTTP {hypertext transfer protocol) seguro ou o SSL (secure sockets layer) fornece um me- canismo automático que usa os certificados digitais não apenas para criptografar as informações que estão sendo enviadas para o site distante, mas também para fornecer a autenticação (uma garantia de que você está se comunicando com o site Web verdadeiro). Entretanto, esse mecanismo de proteção não funciona para os usuários que não prestam atenção se o nome do site que é exibido na barra de endereços é, na verdade, o endereço correto do site que estão tentando acessar Outra questão de segurança, a qual é amplamente ignorada, aparece como uma mensagem de avi- so que diz algo do tipo "Este site não é seguro ou o certificado de segurança expirou. Você quer entrar no site mesmo assim?". Muitos usuários da Internet não entendem a mensagem e, quando ela aparece, simplesmente clicam em OK ou Sim e continuam com o seu trabalho, sem saber que podem estar em areia movediça. Cuidado: em um site Web que não usa um protocolo seguro, você nunca deve inserir nenhuma informação confidencial, tal como o seu endereço ou o número de telefone, os números do cartão de crédito ou do banco, ou qualquer outra coisa que deseja que continue sendo confidencial. Thomas Jefferson disse que o preço da liberdade é a "eterna vigilância". A manutenção da priva- cidade e da segurança em uma sociedade que usa as informações como moeda também exige isso. Tomando-se especialista em vírus Uma nota especial sobre o software de vírus: é essencial para a intranet corporativa, mas também é essencial para cada empregado que usa um computador. Além de terem o software antivírus instalado em suas máquinas, os usuários obviamente precisam ter o netshield ativo (o que muitas pessoas não gostam porque ele inevitavelmente deixa mais lentas algumas funções do computador). Com o software antivírus há outros procedimentos importantes que devem ser lembrados: as definições de vírus devem estar sempre atualizadas. A menos que a sua empresa esteja preparada para distribuir o software ou as atualizações pela rede para cada usuário, cada funcionário deve assumir a responsabilidade de fazer o download do conjunto mais recente de definições de vírus por conta própria. A minha recomendação é que todos configurem as opções do software de antivírus para que as novas definições de vírus sejam atualizadas automaticamente todos os dias. Jargão SECURE SOCKETS LAYER Um protocolo desenvolvido pela Netscape que fornece a autenticação para o cliente e o servidor em uma comunicação segura na Internet. 84 A Arte de Enganar Em termos simples, você está vulnerável, a menos que as definições de vírus sejam regularmente atualizadas. E mesmo assim, você ainda não está completamente seguro contra os vírus ou worms que as empresas de software antivírus ainda não conhecem ou para os quais elas ainda não publicaram uma "vacina" padrão de detecção. Todos os empregados que têm privilégios de acesso remoto de seus laptops ou dos computadores domésticos precisam no mínimo atualizar o software de vírus e um firewall pessoal em suas máqui- nas. Um atacante sofisticado olha o quadro geral para buscar o elo mais fraco e é nesse ponto que ele ataca. Uma responsabilidade corporativa é lembrar regularmente as pessoas que têm computadores remotos da necessidades de atualizar os firewalls pessoais e manter o software de vírus ativo, porque você não pode esperar que os funcionários, gerentes, vendedores e outros usuários remotos de um departamento de TI lembrem-se sozinhos dos perigos de deixar seus computadores desprotegidos. Além dessas providências, recomendo o uso dos pacotes menos comuns, mas não menos im- portantes, que protegem contra os ataques dos Cavalos de Tróia, os chamados softwares antíTrojans. Quando este livro foi escrito, dois dos melhores programas eram o The Cleaner (www.moosoft.com) e o Trojan Defence Suite (www.diamondes.com.au). Finalmente, talvez a mais importante mensagem de segurança para as empresas que não exami- nam as mensagens de correio eletrônico perigosas no gateway corporativo seja que tendemos a nos esquecer ou negligenciar as coisas que parecem periféricas para fazer o nosso trabalho, e os emprega- dos precisam ser sempre lembrados de várias maneiras para não abrir os anexos de correio eletrônico, a menos que tenham certeza de que a fonte é uma pessoa ou organização em quem eles podem confiar. E a administração também precisa lembrar os empregados de que devem usar software de vírus ativo e software antiTrojan, que fornece uma proteção valiosa contra a mensagem de correio eletrônico aparentemente confiável, mas que pode conter uma carga destrutiva. Usando a Simpatia, a Culpa e a Intimidação omo discutido no Capítulo 15, um engenheiro social usa a psicologia da influência para levar o seu alvo a atender a sua solicitação. Os engenheiros sociais habilidosos são adeptos do de- senvolvimento de um truque que estimula emoções tais como medo, agitação ou culpa. Eles fazem isso usando os gatilhos psicológicos — os mecanismos automáticos que levam as pessoas a responderem às solicitações sem uma análise cuidadosa das informações disponíveis. Todos queremos evitar as situações difíceis para nós mesmos e para os outros. Com base nesse impulso positivo, o atacante pode jogar com a simpatia de uma pessoa, fazer a sua vitima se sentir culpada ou usar a intimidação como uma arma. Aqui estão algumas lições das táticas mais conhecidas que jogam com as emoções. UMA VISITA AO ESTÚDIO Você já observou como uma pessoa pode passar pela segurança na porta de uma festa, de alguma reunião particular ou mesmo entrar em um restaurante e passar pela segurança sem que peçam o seu convite ou reserva? Mais ou menos da mesma forma, um engenheiro social pode entrar nos lugares que você acharia não ser possível — como mostra esta história sobre a indústria do cinema. A ligação telefônica "Escritório de Ron Hillyard, Dorothy." "Dorothy, oi. Meu nome é Kyle Bellamy. Acabei de ser contratado para trabalhar no Desenvolvimento de Animação da equipe de Brian Glassman. Vocês, sem dúvida, fazem as coisas de modo diferente por aqui." Acho que sim. Nunca trabalhei em nenhum outro estúdio e não sei com certeza. Como posso ajudá-lo?" "Para dizer a verdade, estou me sentindo meio burro. Tenho um autor que vem esta tarde para uma sessão e não sei com quem devo falar para que ele seja atendido. O pessoal aqui do escritório do Brian é simpático, mas odeio incomodá-los perguntando como faço isto, como faço aquilo. Como se eu estivesse na escola primária e não soubesse onde era o banheiro. Você me entende, não?" Dorothy riu. C 88 A Arte de Enganar Você sabe, é possível mudar o número do telefone como quiser, mas ele continua tendo o mesmo par de fios de cobre indo da sua casa até a central da empresa de telefonia, a qual é chamada de Escri- tório Central ou EC. O conjunto de fios de cobre de toda casa e apartamento é identificado por esses números, os quais são chamados de cabo e par. E se você souber como a empresa de telefonia faz as coisas, o que eu sei, só é preciso ter o cabo e o par para descobrir o número do telefone. Eu tinha uma lista que dava todos os EC da cidade, com seus endereços e números de telefone. Procurei o número do EC do bairro onde eu morava com Doug, o canalha, e liguei, mas naturalmente ninguém atendeu. Onde está o operador quando você realmente precisa dele? Em 20 segundos já tinha um plano. Comecei a ligar para os outros EC e finalmente o localizei. Mas ele estava a quilôme- tros de distância e talvez de pernas para o ar sem fazer nada. Sabia que ele não ia querer fazer aquilo que eu precisava. Eu estava pronta com o meu plano. "Aqui é Linda. Centro de Consertos", disse. "Temos uma emergência. O serviço em uma unida- de de paramédicos parou. Temos um técnico na área tentando restaurar o serviço, mas não podemos localizar o problema. Precisamos que você vá até o EC Webster imediatamente para ver se temos discagem por tom saindo do escritório central." Em seguida, continuei: "Ligo quando você chegar lá", porque obviamente não poderia pedir para ele ligar para o Centro de Consertos para falar comigo. Eu sabia que ele não sairia do conforto do es- critório central para enfrentar o gelo acumulado no seu pára-brisa e dirigir àquela hora da noite. Mas essa era uma "emergência" e ele não poderia dizer que estava ocupado demais. Quando liguei para ele 45 minutos mais tarde, no EC Webster, expliquei para ele verificar o cabo 29 e o par 2481, e ele foi até o quadro, verificou e respondeu: "Sim havia discagem por tom." E claro que eu sabia disso. Depois acrescentei; "Muito bem, preciso que faça uma VL", uma verificação de linha, ou seja, pedi que identificasse o número do telefone. Ele faz isso discando para um número especial que lê o número do qual ele ligou. Ele não sabia se esse era um número que não estava na lista ou que mudou. e fez o que pedi. Pude ouvir o número sendo anunciado no seu telefone de teste de técnico. Tudo funcionou perfeitamente. Repliquei: "Bem o problema deve estar na área", como se eu soubesse o número. Agradeci, disse que continuaríamos trabalhando para descobrir o problema e dei boa noite. Recado do Mitnick Quando um engenheiro social sabe como as coisas funcionam dentro da empresa-alvo, ele pode usar esse conhecimento para desenvolver a confiança junto aos empregados. As empresas precisam estar preparadas para os ataques da engenharia social vindos de empregados atuais ou ex-empregados, que podem ter um motivo de descontentamen- to. As verificações de histórico podem ser úteis para detectar os candidatos a emprego que tenham uma propensão para esse tipo de comportamento. Mas, na maioria dos casos, é difícil detectar essas pessoas. A única segurança razoável nesses casos é im- plantar e auditar os procedimentos de verificação de identidade, incluindo o status de emprego da pessoa, antes de divulgar qualquer informação para qualquer um que não se conheça pessoalmente e, portanto, não se sabe se ainda está na empresa. Agora chega da história do Doug e da sua tentativa de se esconder de mim por trás de um número de telefone que não estava na lista. A diversão só estava começando. Capítulo 8 Usando a Simpatia, a Culpa e a Intimidação 89 Analisando a trapaça A jovem da história pôde obter as informações que desejava para executar a sua vingança porque tinha o conhecimento interno: os números de telefone, os procedimentos e a linguagem da empresa de telefonia. Com isso ela não apenas pôde descobrir um novo número que não estava na lista, mas também pôde fazê-lo no meio de uma noite gelada, enviando um técnico de telefones para procurar um número pela cidade para ela. "O SR. BIGG QUER ISSO" Uma forma popular e eficaz de intimidação — popular em larga escala porque é muito simples — in- fluencia o comportamento humano usando a autoridade. Só o nome do assistente do escritório do CEO já pode ser valioso. Os detetives particulares e até mesmo os head hunters fazem isso o tempo todo. Eles ligam para a telefonista e dizem que querem fa- lar com o escritório do CEO. Quando a secretária ou o assistente executivo respondem, dizem que têm um documento ou um pacote para o CEO ou, se enviarem um anexo de e-mail, perguntam se eles po- deriam imprimi-lo ou então perguntam qual é o número do fax. E, por falar nisso, qual é o seu nome? Em seguida, ligam para a próxima pessoa e dizem: "Jeannie do escritório do Sr. Bigg me disse para ligar para você e pedir ajuda com alguma coisa." Essa técnica chama-se advocacia administra- tiva e geralmente é usada como um método de estabelecer rapidamente a confiança, influenciando o alvo para que ele acredite que o atacante tem relações com alguém que tem autoridade. Um alvo tem mais chances de prestar um favor para alguém que conhece alguém que ele conhece. Se o atacante tiver acesso a informações confidenciais, ele pode usar esse tipo de abordagem para gerar e manipular emoções úteis na vítima, tais como o medo de causar problemas para os seus superiores. Este é um exemplo típico. A história de Scott "Scott Abrams." "Scott, aqui é Christopher Dalbridge. Acabei de falar ao telefone com o Sr. Biggley e ele estava muito descontente. Disse que pediu há dez dias para vocês nos enviarem cópias de toda a sua pesquisa de penetração de mercado para análise. E nunca recebemos nada." "Pesquisa de penetração de mercado? Ninguém me disse nada sobre isso." "Em qual departamento você trabalha?" "Somos uma empresa de consultoria contratada e já estamos atrasados." "Ouça, estou indo para uma reunião agora. Me deixe o seu número de telefone e...". O atacante agora parecia estar frustrado: "E isso o que você quer que eu diga ao Sr. Biggley?! Ouça, ele espera a nossa análise amanhã de manhã e temos de trabalhar hoje à noite. Agora, você quer que eu diga a ele que não conseguimos porque não recebemos o relatório de vocês ou quer dizer isso a ele pessoalmente?" Um CEO zangado pode arruinar a sua semana. O alvo provavelmente vai resolver que talvez seja melhor ele cuidar disso antes de ir para aquela reunião. Novamente, o engenheiro social apertou o botão certo para receber a resposta que desejava. 90 A Arte de Enganar Analisando a trapaça O truque da intimidação mencionando uma autoridade funciona bem se a outra pessoa ocupar um nível relativamente baixo dentro da empresa. O uso do nome de uma pessoa importante não apenas supera a relutância normal ou a suspeita, mas também torna a pessoa mais disposta a agradar; o instinto natural de querer ser útil se multiplica quando você acha que a pessoa que está ajudando é importante ou influente, O engenheiro social sabe, porém, que, ao executar este truque, é melhor usar o nome de alguém que tem um nível mais alto do que o chefe da própria pessoa. E este truque é complicado dentro de uma organização pequena: o atacante não quer que a sua vítima por acaso faça este comentário com o vice-presidente de marketing: "Enviei o plano de marketing de produto para aquele consultor que você pediu para me ligar." Isso pode produzir a resposta: "Que plano de marketing? Que consultor?" E isso pode levar à descoberta de que a empresa foi vítima de um truque. Recado do Mitnick A intimidação pode criar o medo de ser punido e influenciar as pessoas para que coo- perem. Pode também criar o medo de uma situação embaraçosa ou de ser desqualifi- cado para a nova promoção. As pessoas devem ser treinadas para saber que não apenas é aceitável, mas tam- bém esperado o desafio à autoridade quando a segurança está em jogo. O treinamento para a segurança das informações deve incluir o ensino de como desafiar a autoridade de maneiras amistosas ao cliente, sem danificar os relacionamentos. Além disso, essa expectativa deve receber suporte de cima para baixo. Se um empregado não tiver apoio ao desafiar as pessoas independentemente de seus status, a reação normal é parar o desafio — exatamente o oposto daquilo que você quer. O QUE A ADMINISTRAÇÃO DO SEGURO SOCIAL SABE SOBRE VOCÊ ? Gostamos de achar que os órgãos do governo que têm informações sobre nós mantêm essas informações muito bem trancadas, longe das pessoas que não têm uma necessidade verdadeira de conhecê-las. A verdade é que até mesmo o governo federal não está imune às invasões, como gostaríamos de pensar. A ligação telefônica de May Linn Local: Um escritório regional da Administração do Seguro Social Hora: 10hl8, manhã de terça-feira "Módulo três. Aqui é May Linn Wang." A voz do outro lado do telefone parecia estar pedindo desculpas e era quase tímida. "Srta. Wang, aqui é Arthur Arondale do Escritório do Inspetor Geral. Posso chamá-la de 'May'?"