Segurança além das permissões de acessos

As empresas cada vez mais investem em segurança para proteger suas informações, mas ao mesmo tempo, continuam se descuidando do elo fraco de qualquer sistema: a intervenção humana.

Fator Humano e Engenharia Social

Todos os sistemas informatizados, dos mais simples aos mais complexos, são desenvolvidos no intuito de serem eficientes e seguros, ou seja, com o objetivo de proverem produtividade ao mesmo tempo que protegem informações. Porém, todo sistema, por mais bem planejado que seja, sempre depende de uma intervenção humana que, se for falha, pode comprometer o mais consistente dos sistemas.

Uma vez que o sistema está sujeito à intervenção humana, também está sujeito a todas as suas fraquezas. As pessoas muitas vezes não estão cientes da importância das informações que detém, ou mesmo das consequências do mau uso destas. Uma vez que não estão conscientes de sua importância não se cercam de cuidados que possam evitar problemas.

Pessoas também costumam ser vaidosas e consequentemente mais receptivas quando recebem uma avaliação positiva em relação à sua personalidade ou profissão. Buscam transmitir confiança, demonstrações que fazem algo bem, e que possuem domínio sobre determinado assunto, além de valorizar suas habilidades pessoais, técnicas ou profissionais. Estes fatores se unem à vontade de ser útil, a busca por novas amizades ou relacionamentos profissionais, e tornam as pessoas suscetíveis a entregarem informações importantes, crendo que estão provando sua capacidade, porém, uma pessoa com poder de persuasão, e que saiba explorar estes fatores, facilmente pode obter informações importantes, e até mesmo confidenciais.

A Engenharia Social é um conjunto de práticas, usadas com o objetivo de obter informações importantes, explorando basicamente a confiança das pessoas. Dentro do contexto de um sistema de segurança da informação é uma forma de ataque não técnica, uma vez que não é necessário qualquer conhecimento de tecnologia. O foco é integralmente nas habilidades interpessoais, utilizadas para ganhar a confiança das pessoas utilizando-se de diversas técnicas para isso.

O processo de Engenharia Social se inicia com a coleta de informações. O hacker ou engenheiro social busca as mais diversas informações dos usuários, tais como: número de CPF, data de nascimento, nomes dos pais, manuais da empresa, etc. Essas informações ajudarão a estabelecer uma relação com alguém da empresa visada. A coleta de informações pode ser feita em diversas fases, obtendo informações de uma pessoa, que poderá levar a outra e assim por diante até atingir aquele que possui a informação que realmente interessa. O engenheiro social explora a natureza humana de ser confiante. Procura obter informações da vítima ou empresa como, por exemplo, senha, agenda de compromissos, dados de conta bancária ou cartão de crédito que serão utilizados no ataque. Dependendo do grau de acesso que o criminoso tem dentro de uma empresa, pode se aproveitar também do descuido, de informações expostas enquanto deveriam estar protegidas, seja na forma de um papel esquecido em cima da mesa, ou mesmo escutando uma conversa na hora do café. E uma vez formada a base de conhecimento o ataque propriamente dito é executado, atingindo a empresa ou pessoa, através do uso de todas as informações obtidas.

As empresas de pequeno porte conhecidamente não possuem grandes responsabilidades com política ou sistemas de segurança, e é notável o quanto estão expostas suas informações. Em um cenário oposto estão as empresas de grande porte, muito fortes nesses aspectos, com conhecida burocracia interna, e diversos processos de controle bem definidos.

Prevenção

A prevenção contra ataques de Engenharia Social é facilmente estabelecida quando os esforços são concentrados diretamente sobre as pessoas, uma vez que, dispositivos de segurança como hardware ou software podem ser ineficazes contra este tipo de ameaça.

O primeiro passo é educar e treinar. É fundamental conscientizar as pessoas sobre o valor da informação que elas dispõem e manipulam, seja ela de uso pessoal ou institucional. Imprescindível esclarecer também, como age um engenheiro social, demonstrar seus métodos, utilizar exemplos reais e ilustrar como ocorre um ataque. A decisão de simplesmente demonstrar o valor da informação, pode ter seu efeito controverso quando esta é percebida por pessoas que agem de má fé, sendo assim, deve-se mostrar a responsabilidade do indivíduo sobre a informação e as conseqüências de sua má administração.

De qualquer forma as técnicas de Engenharia Social visam burlar justamente a parte psicológica das pessoas, e por isso, deve-se cercar de outros cuidados. Permitir o acesso a dependências de uma organização apenas às pessoas devidamente autorizadas, bem como dispor de funcionários de segurança a fim de monitorar entrada e saída da organização são os primeiros cuidados. Quanto menos pessoas tiverem acesso à informação, menos pontos de vulnerabilidade serão criados, consequentemente, menos serão as chances de um engenheiro social atingir seu objetivo.

As políticas de segurança tem papel fundamental neste processo de proteção da informação, pois além de orientar as pessoas, estabelecem aquilo que é permitido ou proibido, permite que medidas punitivas sejam tomadas e assim materialize as consequências que desvios de conduta podem ter contra a pessoa que os pratica.

No caso da Engenharia Social, pouco importa se a senha é curta ou extensa, simples ou complexa, os métodos se aplicam para qualquer uma delas. Uma vez que as senhas complexas podem ser descobertas da mesma forma, a complexidade só burocratiza o sistema e aborrece os usuários que correrão maior risco de esquecê-las. Este aborrecimento fará com que se perca a confiança do usuário, este que por consequência, repudiará todo o treinamento recebido e passa a ser mais vulnerável. Lamentavelmente, o mais provável a acontecer é o usuário anotar sua senha e deixar em lugar de fácil acesso para consultá-la.

Em suma, é evidente que o fator humano é crítico dentro de um sistema de segurança, tanto pelo poder de comprometê-lo como pela pouca atenção que recebe. A Engenharia Social, neste contexto, torna-se uma ferramenta perigosa e capaz de explorar as falhas humanas em suas características mais profundas. As empresas investem uma quantidade cada vez maior de recursos em tecnologia para se protegerem, mas deixam de lado o ponto mais fraco que é a intervenção humana.

A conscientização dos funcionários e o estabelecimento de políticas claras de segurança são medidas fundamentais, mas não as únicas, quando se quer evitar a falha humana, e principalmente que deve ser dada a significativa importância ao valor que as pessoas representam dentro de um sistema de segurança da informação.

Até a próxima!

Deixem seus comentários e visitem meu blog em rcdelgado.wordpress.com

Roberto Delgado

Mais artigos deste autor »

Roberto Delgado é Gerente de TI da Braga & Marafon Consultores e Advogados, pós-graduado em Gestão de Tecnologia da Informação.


Deixe seu comentário

Seu endereço de e-mail não será publicado. Campos com * são obrigatórios!