Aylton Souza(*) Com a introdução de novas tecnologias à velocidade da luz, temos a oportunidade de ver uma infinidade de novos recursos e possibilidades: Sites de vídeo, comunidades virtuais, blogs, Voz sobre IP – Já perdemos a conta das novidades que nos cercam.
Do ponto de vista de segurança da informação, muito se tem falado sobre o potencial impacto de novas tecnologias mas pouco sobre um dos fatores mais sombrios que está ligado a grandes ameaças do mundo moderno: O Fator Humano
Estamos tão preocupados com os novos firewalls, IDS, IPS, single sign on, compliance e tantos outros verbetes (inteligência de aplicação, layer 7, inspeção profunda, heurística, preencha o espaço em branco com o verbete da moda) que confundem o gestor de tecnologia que nos esquecemos de um componente fundamental da equação: capacitação de nossos usuários
O problema de segurança não se restringe ao mundo tecnológico. Viver nas grande metrópoles hoje expõe as pessoas a golpes como o do falso acidente ou do falso seqüestro. O que os falsos seqüestros têm a ver com botnets, vírus e malware em geral? Em comum, a falta de preparo das vítimas leva a situações bastante extremas.
Em tese, os paralelos são grandes – convencer alguém a comprar cartões telefônicos pra salvar um ente querido de um pseudo seqüestro é uma técnica de engenharia social tão tola quanto convencer um usuário a clicar em qualquer coisa...
Com a popularização de sites de relacionamento e poderosas ferramentas para chamadas ou conversa online (instant messaging, Skype e tantos outros) temos uma nova maneira de expor nossos usuários a um fator de risco que nem sempre as corporações estão preparadas para identificar e tratar.
Desde o fenômeno ‘ILOVEYOU’, passando por emails falsos de agencias do governo, operadoras de celular, fotos do ultimo assassinato bárbaro genérico, fotos proibidas da celebridade instantânea da semana – vale tudo – e nossos usuários muitas vezes se deixam levar pela emoção e a falta de preparo leva aos problemas mais extremos.
Se analisarmos dados recentes publicados no estudo ‘Windows Malicious Software Removal Tool: Progress Made, Trends Observed’ é possível identificar claramente que muitas das ameaças encontradas em campo hoje tem um vetor inicial em comum: 35% do malware encontrado pela ferramenta de remoção de software malicioso tem como fonte ataques ligados a engenharia social.
Independentemente das diversas classificações que são usadas hoje para classificar malware (forma de propagação, geografia, etc), a engenharia social começa a despontar como elo entre as mais diversas famílias e espécies de problemas no mundo do malware, o que representa um alerta especial aos gestores de tecnologia e segurança.
Quando se fala do mundo da engenharia social, o mesmo estudo demonstra que apesar de 20% das ameaças nesse âmbito estarem ligadas a email (entre os golpes comuns os emails falsos de bancos, fotos supostamente proibidas e tantos outros sabores conhecidos), instant messaging começa a despontar (como os worms Win32/Bropia, Win32/Kelvir, and Win32/Mytob), assim como Per to peer (P2P) (incluindo as famílias de worms Win32/Alcan and Win32/Antinny) como vetores iniciais de ameaças de malware.
Com perspectivas tão assustadoras, a responsabilidade dos gestores de tecnologia e segurança sobre a capacitação e preparação adequada de todos os níveis da empresa sobre engenharia social é de grande importância.
Independente do tamanho da empresa, o trabalho para se proteger contra esse tipo de ameaça que transcende o mundo da tecnologia e as formas de proteção mais modernas.
Na ocasião do planejamento de segurança e processo de execução, lidar com ameaças de engenharia social não apenas no mundo virtual é um passo importante. Da mesma forma que lidamos com essas ameaças online, o telefone, a abordagem pessoal, gestão de descarte (é impressionante o que se pode saber da vida das pessoas e empresas revirando seu lixo) e outras fontes primárias de ataques de engenharia social evitam problemas de segurança – sejam vírus de computador ou vermes que ligam sabe-se-la-de-onde para extorquir pessoas pelo telefone com pseudo seqüestros, acidentes ou dividas de cartão, serviços e tantas outras ameaças que nos cercam, seja o público corporativo ou o publico domestico.
Eis a lição mais preciosa: O usuário é normalmente a variável esquecida na equação de segurança – Cuidar dessa dimensão sempre permite um nível de proteção que nenhuma ferramenta pode emular ou substituir.
Bibliografia e referencias recomendadas
How to Protect Insiders from Social Engineering Threats
http://www.microsoft.com/technet/security/midsizebusiness/topics/complianceandpolicies/socialengineeringthreats.mspx
Windows Malicious Software Removal Tool: Progress Made, Trends Observed
http://download.microsoft.com/download/5/6/d/56d20350-afc8-4051-a0df-677b28298912/MSRT%20-%20Progress%20Made%20Lessons%20Learned.pdf
Bahavioral model of social engineering malware:
http://download.microsoft.com/download/c/e/c/cecd00b7-fe5e-4328-8400-2550c479f95d/Social_Engineering_Modeling.pdf
Navegue protegido (informações sobre navegação segura na web para pais, filhos, etc): http://www.navegueprotegido.org/
* - Aylton Souza é Especialista em Segurança e tecnologia e está a frente de projetos nessa área nas últimas duas décadas. Foi um dos primeiros CISSP da América Latina e esteve a frente dos principais projetos de segurança da informação na região e diversos projetos globais. Colaborador de periódicos e estudos em sua área de atuação, atualmente é o Especialista Tecnológico Regional para a America Latina na Microsoft na área de Service Providers e Novas tecnologias.
