Camada 8: O usuário

Novembro 29, 2008 (Sábado)

Depois de comentar sobre os vírus, pessoas por trás deles e seus objetivos, acabei me empolgando para escrever sobre algo que me chama muita atenção: engenharia social.

Um livro que venho a algum tempo tentando ler e ainda não tive oportunidade é “A Arte de Enganar”, do hacker mais famoso do mundo, Kevin Mitnick. Pode-se tirar como exemplo do que pode se encontrar neste livro, uma entrevista em que um jornalista pergunta ao hacker se o computador mais seguro é aquele que está desligado, Mitnick responde “Não. Um hacker de verdade convence o usuário a liga-lo”.

 

 

Citanto a Wikipédia, “chama-se Engenharia Social as práticas utilizadas para obter acesso a informações importantes ou sigilosas em organizações ou sistemas por meio da enganação ou exploração da confiança das pessoas”.

Quem nunca recebeu por e-mail um cartão.exe enviado por uma admiradora secreta ou ainda vários links para fotos acompanhados da mensagem “Estou com saudades de você amorrrr!!!! Tô te mandando fotinhas dos meus melhores âlgulos para você passar o dia pensando em mim!!! Beijos, até amanhã!!”. Se você abriu algum destes links ou o cartãozinho pensando que tava se dando bem, parabéns, você foi fisgado — mas não pela garota…

 

 

Na internet brasileira, os golpes mais comuns são baseados na curiosidade, que vem sempre acompanhada por uma dose de supervalorização alimentando a vaidade ou algo que represente uma ameaça em algum sentido. 

Com o crescimento das mídias sociais, estes golpes ganham cada vez mais força, pois as técnicas usadas para escolher as vítimas se tornam mais inteligentes. Além dos e-mails e de mensagens instantâneas, um excelente ambiente para esse tipo de técnica ser aplicada são as redes sociais, como por exemplo o Orkut. 

Nas redes sociais o usuário disponibiliza uma série de informações pessoais, gostos e interesses, que por sua vez podem ser cruzados com os interesses e gostos dos seus amigos e amigos dos amigos. No fim do cruzamento pode-se gerar um forte motivo para conseguir um click deste usuário.

Exemplo: 

No Orkut estou na comunidade “Masters Of Puppets”, uma banda de rock que vários amigos meus curtem. Eis que a banda fará um show na capital e um hacker resolve tirar proveito disso para me sacanear.

Para dar certo, o hacker terá que formular um motivo perfeito para que eu faça o que ele precisa, por exemplo, instalar um trojan. Iniciando os preparativos ele filtra todos meus amigos que estão na comunidade “Masters Of Puppets” e procura o que melhor se encaixa com o meu perfil, para isso ele começa filtrando somente os que moram na minha cidade e destes somente os que falaram comigo recentemente.

Aplicando filtros o hacker diminuiu a amostra de usuários até chegar no indivíduo perfeito, um colega de escola que é fanático pela banda. Para aplicar seu plano, o hacker clona o perfil deste meu colega e usa este novo perfil para me deixar um recado com o texto: “Cara, vai rolar um show do Puppets na capital e eu to doido pra ir…. tá afim? A promotora do evento distribuiu um programinha que conta quantas vezes você ouviu as músicas dos caras até o dia do show, daí quem mais ouvir vai ganhar greencard pro camarote!! Eu já instalei, baixa aí você também [link] e liga pra mim pra gente combinar se vamos de buzão ou de carro!!”

O exemplo acima se aplica a um caso onde a vítima é específica, mas em um caso mais abrangente o hacker poderia mandar um recado como este para todos membros da comunidade, se fazendo passar pela promotora do evento.

A maior parte dos vírus atuais tem por objetivo criar computadores zumbis — um exército de computadores que espalham spam, compartilham o processamento e/ou se reproduzem enviando-se para outras pessoas. No Brasil um tipo bastante comum e perigoso é o BANKER, um vírus que capta informações bancárias e senhas em geral enviando para um usuário mal-intencionado utilizar estas informações da forma que melhor lhe convir.

Os criadores deste tipo de vírus nem sempre são os que utilizam as informações, recentemente a Operação Cavalo de Tróia (1 e 2) jogou na cadeia várias quadrilhas que trabalhavam com isso. O esquema é bem estruturado passando por programadores que fazem o vírus, spammers que espalham o vírus,  laranjas que emprestam suas conta e provavelmente alguns “tubarões” que lavam o dinheiro arrecadado.

 

 

O termo “banker” além de utilizado para identificar o tipo do vírus, também é usado para identificar a pessoa por trás dele. Diferente de um hacker que invade para provar seu poder a si próprio sem prejudicar ninguém e o cracker que invade para impôr seu poder a alguém prejudicando-a virtualmente, o banker se utiliza da invasão para obter lucro, causando prejuízos financeiros na vida real de sua vítima.

Os bancos estão constantemente em busca de alternativas mais seguras para o acesso a conta via internet, o mais comum é o teclado virtual que juntamente com um aplicativo de segurança instalado no browser tem a intenção de dificultar o trabalho dos bankers.

Um dos principais investimentos dos bancos é na reeducação do usuário de computador, evitando que caia em técnicas comuns de engenharia social ou que, uma vez infectado, dê mais informações para o banker. 

Da parte dos bankers também há uma evolução constante, no início eram os programas destinados a capturar o que a vítima escreve (keyloggers), depois vieram os screenloggers, depois meios de burlar o DNS máquina para redirecionar o usuário para uma página falsa (phishing), entre outras técnicas até chegar no nível atual, que nos remete novamente ao tema do post, a engenharia social.

 

 

Além de convencer o usuário a instalar o vírus, o banker agora precisa fazer uso da engenharia social para convence-lo que está fazendo a coisa certa, isso graças aos meios físicos de segurnaças providos pelos bancos.

Cartão de senhas e Tokens são as mais recentes medidas para diminuir o número de fraudes. Com estes dispositivos o banco passa a não mais confiar somente em uma informação fixa retida na cabeça do usuário (senha), mas também em uma informação aleatória por transação.

O tipo de cartão de cartão de senhas (ou cartão de segurança) mais comum, consiste em uma tabela com N posições (por volta de 50) onde cada posição recebe um código (normalmente de 4 dígitos). Para efetuar uma transação o sistema do banco solicita aleatoriamente uma das posições e o usuário digita o código correspondente. 

Para burlar este tipo de segurança o banker tenta persuadir o usuário a digitar todos os campos. Para evitar que o usuário cometa o erro, os bancos investem em alertas educativos em seus sites.

Convenhamos, tem que ter muita força de vontade para digitar todo cartão, mas infelizmente uma das característica dos bankers herdada do hackerismo é ter paciência e ser persistente.

Adotado no Brasil primeiramente pelo Bradesco e massificado pelo Itaú, o token é um dispositivo eletrônico que gera “códigos únicos” a cada intervalo programado. Quer dizer que, se um banker quiser limpar sua poupança do Itaú, ele terá que fazer isso em um intervalo de 60 segundos ao mesmo tempo que você estiver trabalhando com o banco. Não que isso seja impossível, mas cumpre muito bem o objetivo de dificultar a ação dos bankers. 

Nenhum sistema é 100% seguro e provavelmente nunca serão, pelo menos não enquanto existir a camada oculta do modelo OSI: O Usuário.

Aeromoça, tem um gremlin na asa esquerda

Setembro 28, 2008 (Domingo)

A algumas semanas recebi uma proposta de trabalho excelente da Kiyomasa Systems (mudou o nome para Ultralogic), uma empresa especializada em softwares de segurança biométrica que está sendo montada em Goiânia, porém como o contato e toda negociação foi feita sem contato físico fiquei apreensivo em bater martelo.

Semana passada surgiu o convite de conhecer a empresa e a cidade, tudo por conta da Kiyomasa e sem compromisso algum da minha parte. Aceitei o convite e na última sexta-feira pela manhã embarquei para a capital goiana.

Foi minha primeira vez em um avião e quando estava no ar, olhei para a asa esquerda e lembrei de um filme onde um menino falava “Papai, tem um monstro na asa do avião” e o pai não acreditava, mas depois do garoto repetir ele via também, se assustava e o avião caía — sorte que eu não pensei no filme Premonição.

Primeira impressão: Decolei de Floripa às 6:30, achei legal a pressão na subida e quando cheguei lá em cima me peguei pensando “puxa, eu deveria ter viajado de avião antes de conhecer o Google Earth”. Sem graça, até o Maps é mais emocionante.

Café da manhã: Depois da tradicional balinha de CARAMEEEELOO, veio o café da manhã: Biscoito, duas torradas, requeijão, doce de uva e um cafezinho para acompanhar.

Primeiro pouso: O pouso foi mais interessante, as voltas que o avião dá para se alinhar a pista e a repentina perda de altitude pouco antes de chegar ao aeroporto dá uma sensação legal, acho que é aquele famoso friozinho na barriga.

Conexão Brasília: Cheguei em Brasília às 8:56, dei umas voltas no aeroporto e fui correndo para o portão de embarque enquanto ouvia meu nome no alto-falante. Meu segundo vôo saiu às 9:40, ganhei mais balinha de caramelo e um fone de ouvido de presente da TAM.

Chegada em Goiânia: Cheguei no destino final às 10:25, aguardei alguns minutos lendo o “Dicionário Goianês” e logo chegou o dono da empresa, Daniel Bichuete, para me apanhar.

Demos algumas voltas na cidade e fomos conhecer as novas instalações da empresa, uma sala pequena porém com uma estrutura digna de Google: Maquinas top, um super servidor, frigobar, microondas, televisor de plasma, Playstation 3, puffs e um colchão escondido para tirar uma soneca depois do almoço.

A estrutura é uma fortaleza, vidros e portas blindados e várias câmeras, a idéia é ser um exemplo de aplicação do sistema de segurança que a empresa irá vender. Ele planeja implantar o sistema de reconhecimento facial produzido pela própria Kiyomasa em todas as portas.

Saindo da empresa, demos uma passada no McDonald’s, que é vizinho de porta com o prédio da empresa, trocamos algumas idéias sobre a estrutura, fomos a uma conveniada da Certisign para buscar meu e-CPF e ficamos até umas 17hs na churrascaria do Chitãozinho e Xororó onde entramos em detalhes sobre a proposta e as espectativas.

Para terminar a tarde passamos em uma imobiliária para dar uma olhada nos preços de apartamentos, pegamos algumas chaves e visitamos durante a noite, logo após passar na casa do Daniel para ver o software funcionando.

Dando um ponto final no dia, reviramos durante horas a cidade a procura de um hotel - todos lotados -, até que achamos um Plaza Inn onde peguei o último quarto. Hotelzinho bem prático e com um atendimento legal, mas já eram 2 da manhã e meu sono deve ter influenciado nesta opinião.

Pela manhã liguei para o Daniel e fomos para o aeroporto, tomamos um café e conversamos mais um pouco sobre a empresa. Nos despedimos e peguei meu vôo das 10:20 para Florianópolis com baldiação em Guarulhos.

Terceira decolagem, terceira rodada de caramelo e segundo café da manhã de avião, desta vez um pãozinho show de bola com um suquinho de laranja com gominhos.

Chegando em guarulhos (+/- 12:30), fiz minha trapalhada da semana e embarquei para Florianópolis com o vôo remarcado às 17:40. Guarulhos para Floripa teve mais um lanchinho de avião, outro pãozinho show de bola com suquinho. Neste último trajeto ganhei um brinde da Clear, mas esqueceram de passar a cestinha de caramelo…

Chegando na região de Florianópolis uma noite (19hs) chuvosa me fez lembrar novamente do garotinho do filme, mas para não causar pânico preferi não soltar a máxima: “Aeromoça, tem um gremlin na asa esquerda”.