1. Entendendo a Engenharia Social
Dentro da segurança de sistemas computacionais, Engenharia Social é um termo utilizado para conceituar uma intrusão sem emprego de conhecimentos técnicos. Esta coloca ênfase na interação humana e envolve a habilidade de enganar pessoas objetivando violar procedimentos de segurança.
É mister informar que, independente do hardware, software e plataforma utilizada, o elemento mais vulnerável de qualquer sistema de informação é o ser humano. O qual possui traços comportamentais e psicológicos que o torna susceptível a ataques de Engenharia Social. Dentre essas características, pode-se destacar:
Vontade de ser útil – O ser humano, comumente, procura agir com cortesia, bem como ajudar outros quando necessário.
Busca por novas amizades – O ser humano é um ser que necessita socializar-se e costuma se agradar e sentir-se bem quando elogiado, ficando mais vulnerável e aberto a dar informações.
Propagação de responsabilidade – Trata-se da situação na qual o ser humano considera que ele não é o único responsável por um conjunto de atividades.
Persuasão – Compreende quase uma arte a capacidade de persuadir pessoas, onde se busca obter respostas específicas. Isto é possível porque as pessoas têm características comportamentais que as tornam vulneráveis a manipulação.
O sucesso da engenharia social depende da compreensão do comportamento do ser humano, além da habilidade de persuadir outros a disponibilizarem informações ou realizarem ações desejadas pelo engenheiro social.
Observa-se que a engenharia social possui uma seqüência de passos na qual um ataque pode ocorrer:
Coleta de informações – O hacker ou engenheiro social busca as mais diversas informações dos usuários como número de CPF, data de nascimento, nomes dos pais, manuais da empresa, etc. Essas informações ajudarão no estabelecimento de uma relação com alguém da empresa visada.
Desenvolvimento de relacionamento – O engenheiro social explora a natureza humana de ser confiante nas pessoas até que se prove o contrário.
Exploração de um relacionamento – O engenheiro social procura obter informações da vítima ou empresa como, por exemplo, senha, agenda de compromissos, dados de conta bancária ou cartão de crédito a serem usados no ataque.
Execução do ataque – O hacker ou engenheiro social realiza o ataque a empresa ou vítima, fazendo uso de todas informações e recursos obtidos.
2. Estabelecendo Medidas Preventivas da Engenharia Social
A cada dia que passa nossa sociedade se torna mais dependente do uso das informações. A engenharia social tende a crescer e constituir-se numa das principais ameaças aos sistemas de segurança das pequenas, médias e grandes organizações. Ainda que as afirmativas anteriores se tornem assustadores e indesejáveis, existem mecanismos capazes de detectar e prevenir ataques de engenharia social. Tais medidas visam, principalmente, atenuar a participação do componente humano:
Educação e Treinamento – Importante conscientizar as pessoas sobre o valor da informação que elas dispõem e manipulam, seja ela de uso pessoal ou institucional. Informar os usuários sobre como age um engenheiro social.
Segurança Física – Permitir o acesso a dependências de uma organização apenas às pessoas devidamente autorizadas, bem como dispor de funcionários de segurança a fim de monitorar entrada e saída da organização.
Política de Segurança – Estabelecer procedimentos que eliminem quaisquer trocas de senhas. Por exemplo, um administrador jamais deve solicitar a senha e/ou ser capaz de ter acesso a senha de usuários de um sistema. Estimular o uso de senhas de difícil descoberta, além de remover contas de usuários que deixaram a instituição.
Controle de Acesso – Os mecanismos de controle de acesso tem o objetivo de implementar privilégios mínimos a usuários a fim de que estes possam realizar suas atividades. O controle de acesso pode também evitar que usuários sem permissão possam criar/remover/alterar contas e instalar software danosos a organização.
3. Riscos
3.1 Riscos aos clientes:
Quando pensamos em engenharia social e seus ataques, nos salta aos olhos apenas que empresas privadas, organizações públicas estão em risco. Relacionamos facilmente os funcionários de empresas e organizações como os possíveis alvos da engenharia social. Transcendendo essa afirmação, os clientes das organizações e empresas são possíveis alvos, ainda que como conseqüência da execução da engenharia social. Os riscos aos clientes são inúmeros: perda de dados, mormente para clientes de empresas de armazenamento de dados (data center), desvios de dinheiro, captação de dados pessoais para cometimento de crimes e outros riscos a que estão sujeitos clientes dos mais variados tipos de empresas.
3.2 Riscos aos Servidores:
Quando há a eficácia dos métodos utilizados na engenharia social, não apenas os servidores de empresas e organizações estão em risco e sim todo o sistema de informação adotado pela corporação. Quanto aos servidores, aberturas de portas por intermédio de trojans ou captura de senhas, possibilitando a entrada invasores, ataques ao sistema operacional, tornar os servidor inoperante, obtenção de dados de reservados de clientes.
3.3 Riscos aos Bancos de Dados na Web:
Basicamente, banco de dados é uma estrutura regular que armazena e organiza informações. Deve ter atomicidade, uma transação não pode ser executada pela metade, isto é, ou se executa ela por inteiro, ou se retorna para o estado anterior a transação ter sido iniciada. Consistência, a consistência de dados acontece quando os dados de entrada são os mesmos da saída do banco de dados, ou que as operações aritméticas executadas, resultarão o esperado. Isolamento, os resultados das instruções de cada transação, não podem depender do resultado das instruções das outras transações. As transações são independentes. Durabilidade, quando ocorre falha no banco de dados, após a execução com sucesso de uma transação, a durabilidade garante por algum mecanismo a recuperação das informações perdidas. Todos esses passos conferem ao banco de dados a integridade. O principal risco que a engenharia social traz aos bancos de dados da web, refere-se à integridade, a qual depende todo o banco e os usuários.
Conclusão
A Ciência da Computação e por conseqüência, os ganhos advindos de sua exploração, disponibilidade de informações por intermédio da Internet, os Bancos de Dados, capazes de armazenar informações que, de tão importantes, aguçam o desejo de muitas pessoas. Tudo isso se tornou um mundo novo no qual temos nos aventurado.
A segurança é um importante tópico de discussão e leva empresas e organizações dos mais variados tipos direcionar cada vez mais recursos financeiros e tecnológicos para a proteção de seus bens.
Nesse ínterim, atacando a parte mais fraca do sistema, o ser humano, atua a Engenharia Social, com o fito de enganar pessoas objetivando violar procedimentos de segurança e auferir vantagens e benefícios ilícitos.
Como descrevem os autores Willian R. Chewisck, Steven M. Bellovin e Aviel D. Rubin, 2005 em seu livro Firewalls e Segurança na Internet, “Não há segurança absoluta”. As corporações devem trabalhar com essa máxima e direcionar esforços visando mitigar os riscos a que poderão estar expostas.
Nenhum comentário:
Postar um comentário