O ELO FRACO É VOCÊ ?
Kevin D. Mítnick
Harvard Business Review
Abr-2003 Separata F0304A-P
Um lendário hacker revela a maior vuInerabiIidade de sua empresa e as providências que você pode tomar para impedir a sabotagem.
A preocupação com a segurança nunca foi tão grande nas empresas, que hoje investem pesado em tecnologias sofisticadas e defesas físicas para proteger seu capital intelectual. Só que ignoram o elo mais fraco: os funcionários. Cada vez mais, o ataque é dirigido ao pessoal da linha de frente e de escalões médios, gente que involuntariamente entrega as chaves do reino.
Sei disso porque já fui um hacker. Descobri como era fácil tapear funcionários para que revelassem os dados mais confidenciais da empresa - nomes de usuários, senhas, números de conta e de acesso discado - e usá-los para penetrar no coração das redes internas. Minha esperteza me rendeu cinco anos numa prisão federal americana. Desde que fui solto, em 2000, venho trabalhando para ajudar empresas e governos a reforçar suas defesas. Eis aqui o que digo a todos.
A sinistra arte da persuasão
O maior equívoco sobre a segurança é considerar o computador a ferramenta mais perigosa do hacker. Não é verdade. É o telefone. Com o aprimoramento da tecnologia de segurança, os intrusos recorrem a velhos estratagemas para obter o que querem. Por que atacar o firewall da empresa, altamente protegido, quando é mais fácil tapear o auxiliar que atende o telefone para que revele a senha do chefe?
O invasor que usa de lábia para conseguir acesso a sistemas "seguros" de uma empresa é hábil em explorar a natureza humana básica para manipular alvos desavisados. É por isso que o chamo de engenheiro social (termo usado originalmente pelos primeiros hackers de telefone em alusão à prática de passar a lábia em funcionários de telefônicas para obter dados sigilosos). Munido de 50 anos de pesquisas em ciência comportamental, o professor de psicologia da Arizona State University Robert Cialdini argumenta que a persuasão opera ao apelar a um punhado de facetas da natureza humana: o desejo de ser apreciado, de agir em reciprocidade, de seguir o comando de outros, de honrar compromissos públicos, de adquirir coisas cuja oferta é escassa e de se submeter à autoridade. Diria ainda que a maioria das pessoas confia automaticamente nos outros e dá a estes o benefício da dúvida, traços que facilitam ainda mais o trabalho do engenheiro social.
Ter conhecimento do funcionamento da persuasão é a base para erguer defesas contra tais invasores, como mostrarei. Mas primeiro consideremos o relato fictício abaixo - uma colagem de casos véridicos de meu conhecimento -, de um engenheiro social que instala no computador de um alto executivo um dispositivo que registra toda tecla digitada (uma espécie de grampo de computador).
O telefone toca no RH de uma grande editora.
"Recursos humanos. Aqui é Sarah."
"Oi, Sarah. É o George, do estacionamento. Tivermos um problema com os cartões de acesso ao estacionamento - tem funcionário novo reclamando que não estão funcionando. Vamos ter de reprogramar os cartões do pessoal que começou a trabalhar nos últimos 30 dias. como localizar essa gente nova?"
"Posso checar a lista de novos contratados e ligar de volta para você. Qual o seu número?"
"Bom, estou saindo para um descanso agora. Posso ligar de volta em meia hora, mais ou menos ?"
"Claro. Até mais"
Quando "George" liga de volta, Sarah passa os nomes e ramais de dois funcionários novos. Acrescenta que um é o novo vice-presidente e o outro, Clark Miller, o auxiliar administrativo do financeiro. Bingo. A próxima ligação de George, por volta de seis da tarde, é para Clark.
"Financeiro. Clark."
"Que bom que ainda tem alguém aí. Aqui quem fala é o Ron Vitarro. Sou o vice-presidente da divisão de livros. Acho que não fomos apresentados ainda. Bem-vindo à empresa!
"Ah, obrigado !"
"Clark, estou numa conferência em Los Angeles e tenho um problema. Sei que você está ocupado, mas me ajude nessa e eu prometo ciceroneá-lo pessoalmente numa visita à divisão."
"Claro. Em que posso ajudar ?"
"Vá até minha sala. Preciso de um manuscrito que está lá. Você sabe onde fica minha sala?"
"Não."
"E a saia de canto no 15o. andar, a 1502. Ligarei para você lá em alguns minutos. Quando chegar na sala, por favor aperte a tecla de transferência de chamada do telefone para que minha ligação não vá direto para o correio de voz."
"Certo, estou a caminho !"
Dez minutos depois, Clark está na sala de Ron Vitarro. Já desativou a transferência de chamadas e está à espera. o telefone toca. Nosso engenheiro social, fingindo que é Ron, pede a Clark que abra o Internet Explorer no computador de Ron, digite www.geocities.com/ron_vitarro/manuscript.exe e aperte "enter". Surge uma caixa de diálogo. O impostor diz a Clark para clicar Abrir em vez de Salvar. O computador parece iniciar o download de um manuscrito, mas a tela fica branca em seguida. Quando Clark diz que algo parece errado,o interlocutor aproveita a deixa.
"Ah, não. De novo, não. Estava tendo dificuldades para fazer o download desse website, mas achei que o problema tinha sido resolvido. Bom, tudo bem. Não se preocupe. Depois eu tento pegar o arquivo de outro jeito."
O impostor pede então a Clark que reinicie o computador para garantir que esteja funcionando certinho e vai ditando ao rapaz os passos para a reinicialização. Quando o computador está rodando de novo, agradece todo simpático e desliga. Clark volta a sua mesa, contente pelo bom contato feito com um vice.
O que Clark naturalmente não sabe é que foi tapeado por um sagaz engenheiro social e que acaba de ajudar um hacker a instalar um spyware no computador do vice-presidente. O novo software vai registrar toda tecla digitada por Vitarro - e-mail, senhas, websites visitados -, além de imagens da tela, e enviar tudo por e-mail à caixa postal anônima e gratuita que o hacker mantém na Ucrânia, onde as informações podem ser colhidas e conferidas ao bel-prazer do invasor.
Como a maioria de tais fraudes, essa exigiu experiência técnica limitada (disfarçar de manuscrito o spyware) e um pouco de planejamento. O hacker teve de obter certas informações previamente: a localização da sala de Vitarro, horário em que estaria ausente e por aí vai. Mas detalhes assim são facilmente descobertos com táticas não mais complexas do que a usada para obter a lista de novos funcionários.
Com técnicas como essas, um engenheiro social pode conseguir o controle dos sistemas de informática e telefonia de uma empresa, convencer vigias e outros empregados de que é funcionário da casa, grampear a caixa postal do telefone residencial e do celular de altos executivos e acessar a lista completa de clientes da empresa, os dados financeiros da mesma e seus planos de desenvolvimento de produtos. E isso é só o começo.
Na maioria das organizações, a defesa contra os engenheiros sociais é virtualmente nula. Mas toda empresa deveria adotar um punhado de medidas simples para mitigar essa gritante fraqueza.
O que você pode fazer
O alto escalão deve deixar claro que todo funcionário é vulnerável à ameaça da engenharia social, que todo funcionário faz parte da equipe de segurança. Não é um trabalho que o "pessoal da segurança" e o departamento de Ti podem fazer sozinhos.
É vital alertar o pessoal, em todos os níveis, sobre a natureza da ameaça, as conseqüências de invasões por meio de engenharia social e as políticas de segurança em vigor. Se não há uma política que trate especificamente de táticas de engenharia social, desenvolva uma. Esta deve cobrir as normas que regem senhas de computador e de correio de voz e fornecer informações sobre como lidar com interlocutores suspeitos no telefone, a necessidade de abordar visitantes sem identificação e por aí vai.
Seja qual for a forma que assuma, seu programa de educação deve elevar (e manter) o nível de alerta e motivar a força de trabalho a se importar com a segurança dos dados. Tal programa deveria reforçar a política oficial da empresa ao descrever como reconhecer e impedir um ataque de engenharia social. E, já que as pessoas depois de um tempo passam a ignorar mensagens velhas, as quais se tornaram muito familiares, o programa deve trazer lembretes novos e contínuos.
A lista de abordagens pode incluir exercícios dramáticos, lembretes via e-mail e correio de voz e artigos sobre segurança no boletim informativo e na intranet da empresa. Outra tática seria avaliar a atenção à segurança nos relatórios de desempenho e nas revisões anuais de cada um e até usar artifícios como distribuir, no refeitório, biscoitos da sorte que contenham mensagens de segurança (um recado podia ser: "Nunca use a data de nascimento de seu filho como senha!")
Por fim, como todo gerente sabe, nem todos os treinamentos e nem todas as políticas internas do mundo darão resultado se os funcionários não assumirem a responsabilidade pelo problema. A chave para obter o apoio dos outros a uma iniciativa é apelar para o interesse próprio deles. Recompensar o bom comportamento em segurança (e punir o desrespeito às normas) é importante. Acima de tudo, o funcionário precisa entender que ataques dê engenharia social podem ameaçá-lo pessoalmente, além de prejudicar a organização. As empresas, por exemplo, mantêm informações privativas sobre cada funcionário, do número da identidade ao número da conta-corrente para depósito de salário. São dados que um engenheiro social pode estar ansioso para obter.
Várias estratégias de segurança para conter a ameaça da engenharia social partem do bom senso. Mas nem toda vulnerabilidade é óbvia. Uma firma especializada em expor brechas na segurança e reforçar defesas pode ajudar. Consultores de segurança podem realizar testes de penetração com as mesmas técnicas que o inimigo usará para roubar ou destruir informações valiosas. A experiência de ser vasculhado dessa forma pode ser alarmante - alarmar é exatamente a intenção.
Kevin D. Mitnick é um dos fundadores da Defensive Thinking, firma de segurança de informações de Los Angeles. É autor, com William L. Simon, do livro The Art of Deception (John Wiley & Sons, 2002), do qual foi adaptado este artigo.