4.4 Quem são os “atacantes” nas redes sociais?
Para melhor entendimento, observa-se que existem três tipos de ataque (Dulaney, 2009).
O responsável por esses ataques em uma rede social pode qualquer pessoa que queria
adquirir uma informação de maneira ilegal, também pode ser um “atacante” aquela pessoa que é
enviada para roubar a informação sob um pedido de um outro alguém. Mas grande número desses
ladrões agem por conta própria para ganhar conhecimento, saber mais sobre algum assunto de seu
interesse ou para mostrar para si mesmo, e para os outros, que é capaz de conhecer muito mais do
que o normal sobre qualquer pessoa.
Recordando os grupos de usuários citados no tópico 4.1, considera-se que também possam
existir grupos de “atacantes” para cada grupo de usuário. Usuários não-adultos correm riscos por
serem o meio mais confiante nos contatos da internet, disponibilizando dados sem qualquer
desconfiança. Usuários adultos são vítimas de ataques a roubo de dados, pois acessam sites como
bancos, compras na internet e outros que envolvam números e senhas de cartões, além de dados
cadastrais, como RG, CPF e endereço. Já os usuários corporativos são vítimas quando se trata ta
tentativa de furto de dados por outras empresas que queiram acompanhar mais do que devem sobre
algum item ou andamento, assim como foi citado no exemplo das empresas X e Y no tópico 4.3.
Chegando a este ponto, confirma-se o que foi escrito no tópico 4.0: “Qualquer informação é válida
para alguém”.
4.5 Métodos de ataque a redes sociais.
De acordo com uma pesquisa realizada pela empresa Breach (Brach, 2009), ver Figura 4,
hacker estão visando, principalmente, ataques a páginas da web, o que se dá a diversas
vulnerabilidades de XSS, ou Cross Site Scripting, somado ao fato de que essas vulnerabilidades
ainda não são discutidas da maneira que deveriam ser.
Figura 4. Principais alvos de ataques cibernéticos em 2009
São várias as maneiras de conseguir dados roubados pela internet, nessa seção serão
discutidas algumas dessas maneiras observando como as mesmas funcionam.
Uma das principais estratégias de furto de dado é através do Phishing, “Phishing é uma
forma de engenharia social em que é feito um pedido por um pedaço de informação de interesse
fazendo parecer um pedido legítimo”, (Dulaney, 2009). O Phishing acontece, principalmente,
através de e-mails falsos de alguém querendo se passar por uma outra pessoa ou empresa existente,
muitas das vezes recebido em forma de Spam, o que pode ser qualquer e-mail não desejável,
requisitável, (Dulaney, 2009), pedindo senhas ou informações críticas. Se informados, esses dados
podem ser usados por este ladrão querendo, agora, se passar por você para multiplicar o dano e
roubar mais dados. Mas o phishing também pode acontecer em redes sociais, onde aquele ladrão
citado anteriormente rouba os dados do usuário de uma rede, quando o usuário original esqueceu
seu perfil aberto em um computador público, por exemplo. Agora o suspeito tem acesso a todos os
dados desse usuário, e pode, também se passar por ele para conseguir informações.
Assim como o Phishing, existe Engenharia Social, uma maneira diferente dos outros
métodos de ataque porque não impõe o roubo da informação, mas sim a criação de uma confiança
sobre terceiros que acabam disponibilizando seus dados confiando que a pessoa que está pedindo tal
dado. Existem especialistas na área de Segurança da Informações contratados para trabalhar dentro
de determinadas empresas com este papel, o de ganhar a confiança de outros funcionários e, após
isso, pedir dados confidenciais, quebrando assim mais uma brecha de segurança. Ao ser
perguntando a respeito de qual seria seu tipo de ataque favorito em uma rede social, Ben Rothke
(Rothke, 2009) respondeu que “o ataque mais simples seria simplesmente pedir a informação”, e
concretizou sua resposta afirmando que “ as pessoas dão essa informação por não estarem
percebendo que fazê-lo seria perigoso. Se o pedido for gentil e bem feito, o pedido pode vir
acompanhado de mais dados do que necessário”. E é basicamente neste exemplo que está a
engenharia social. Você daria seus dados para um amigo, sendo ele quem for?
Além dos métodos de ataque citados anteriormente, tem-se a Geolocation, que é a pesquisa
da localização física de alguém através do endereço de IP. De acordo com a revista (in)Secure
(Touchette, 2009), um aplicativo para localização de IP pode estar em um iframe, ou seja, código
html capaz de determinar a abertura de uma página, ou script, oculta ou não dentro de uma outra
página, com isso observa-se que o processo acontece sem o conhecimento do usuário. A
Geolocation pode ter suas vantagens, como por exemplo, ter controle de onde os filhos andam, mas
se usada de maneira mais específica, pode mostrar a cidade, o bairro, a rua e até mesmo a casa onde
se encontra o usuário de um determinado IP.
Um quarto método de ataque se deve principalmente ao Twitter (Twitter, 2009) e o limite de
140 caracteres por mensagem. O mini-blog que limita o número de letra por publicação deu origem
ao serviço de Encurtamento de URL, que tem como característica a criação de um endereço url
curto a partir de um endereço de entrada. São vários os sites que disponibilizam o serviço de graça e
sem nenhuma restrição de acesso, tornando assim a web menos reconhecível, tendo que uma das
maneiras mais fáceis de reconhecer a integridade de um endereço era pesquisando pelo mesmo, o
que, se aplicado ao Encurtamento de URL não funcionaria mais. Apesar de seu lado positivo que
supre a necessidade de encurtamento de mensagens em mini-blogs, tem seu lado obscuro, que cega
as pessoas perante links.
4.6 Prevenção
Sabendo das diversas maneiras de atacar um usuário de redes sociais, e analisando-as de
maneira detalhada pode-se chegar a uma maneira de se prevenir de cada um desses ataques.
Quando se corre um possível risco de Phishing é recomendado que se procure pelo
remetente daquele pedido usando outro meio de comunicação mais confiável, como o telefone, por
exemplo. Procurar a pessoa é uma maneira infalível de acabar com este método de ataque, já que o
remetente pode vir ou não a confirmar o pedido, deixando claro que ter fornecido aquela
informação anteriormente seria uma roubada, ou não. Para resolver o problema da Engenharia
Social, perguntar para o remetente sobre o pedido da informação ainda ajuda por ser um ataque
quase parecido com o citado anteriormente, tendo pedido em mãos o objetivo agora é saber o
porque do mesmo.
A Geolocation é um método mais difícil de ser tratado, pois como citado anteriormente, ele
pode estar acontecendo de maneira totalmente transparente ao usuário final, mas se analisado com
cuidado, tem-se que os problemas de alguém sob observação geográfica são problemas não
considerados falha de segurança da informação, como por exemplo, possível assalto, pessoa sendo
seguida e/ou observada, entre outros. Fatos esses que poderão ser tratados melhor por outros tipos
de seguradores.
Já para o Encurtamento de URL, do mesmo modo que existem encurtadores de endereços,
existem ferramentas que analisam endereços encurtados, mostrando assim a verdadeira fonte de
determinado link.
Logo, para qualquer método de tentativa de roubo de informação existe algum método
controverso que ajuda a lhe dar com o roubo. Vale ressaltar que a melhor maneira de se prevenir e
aumentar a segurança na internet é através da educação: descobrir a origem de ataques; como esses
ataques são feitos; quem são os possíveis ladrões de informações; o que se está fazendo com seus
dados e se existe um jeito melhor de protegê-los é a maneira mais eficiente de trabalhar essa
segurança.
Aos não-adultos é extremamente recomendável a companhia dos pais durante o acesso a
internet, ou uma boa conversa para mostrar que a mesma pode trazer muitos perigos se a
oportunidade a alguém mal intencionado for dada. Aos adultos que lhe dão com dados valiosos, o
interessante seria entrar em contato com as empresas que pedem por esses dados e conversar um
pouco mais sobre como se proteger da melhor maneira possível. Já para empresas, o modo de tratar
essas brechas é um pouco mais crítico, pois não depende de poucos, mas sim de todos os que usam
dados da organização em redes como essas, e por causa disso essas pessoas deveriam ser treinadas e
educadas quanto aos perigos, método esse bastante usado por corporações com funcionários
cadastrados em redes sociais.
5.0 CONCLUSÃO
As redes sociais existem sob um propósito, e esse propósito chama a atenção de usuários
para cadastramentos futuro. Se, após pesar se vale ou não usar as redes sociais levando em
consideração as falhas de segurança, não fosse interessante usar redes sociais, estas não seriam
fonte de horas e horas de diversão e trabalho durante a estadia na internet.
Ataques e tentativas de roubo de informações sempre vão acontecer tanto por falha humana
quanto por falha de máquina, e por causa disto sempre vão existir pessoas capacitadas em segurança
da informação para educar vítimas de quem tenta lucrar com informações alheias. Essa é a coevolução
da segurança da informação versus os ladrões cibernéticos, uma briga sem data pra
terminar.
REFERÊNCIAS
Rothke, Ben. Inforation Security and Social Networks. O'Reilly Webcast. Setembro, 2009.
Tanenbaum, Andrew S. Redes de Computadores. 4. ed.Editora Campus, 2003. Tradução. 995 p.
Whalen, Sean; Bishop, Matt; Engle, Sophie. Protocol Vulnerability Analysis. 2005. 14 p.
Nielsen. (2009) “Global Faces and Network Places – A Nielsen report on Social Networking’s New
Global Footprint ”, em
http://blog.nielsen.com/nielsenwire/wpcontent/uploads/2009/03/nielsen_globalfaces_mar09.pdf.
Orkut. Disponível em www.orkut.com, acessado em 13 de outubro de 2009.
Facebook. Disponível em www.facebook.com, acessado em 13 de outubro de 2009.
Cetic.br. (2008) “Pesquisa Sobre o Uso das Tecnologias da Informação e da Comunicação no Brasil
2008”, em http://www.cetic.br/tic/2008/index.htm, p. 232.
Dulaney, Emmet. CompTIA Security+: Deluxe Edition. 1. ed. Indianopilis: Sybex, 2009. 676 p.
Breach. (2009) “The Web Hacking Incidents Database 2009”, em
http://www.breach.com/resources/whitepapers/downloads/WP_TheWebHackingIncidents-2009.pdf.
Touchette, Fred. (2009) “A look at geolocation, URL shortening and top Twitter threats”. Em:
(In)Secure Magazine, Editado por Zorz, Mirko.
Twitter. Disponível em www.twitter.com, acessado em 13 de outubro de 2009..
Orkut Segurança. Segurança: Central de Privacidade e Segurança,
http://www.google.com/support/orkut/bin/answer.py?hl=br&answer=48579.
Blog Orkut. Mantendo-se Seguro no Orkut, http://blog.orkut.com/2009/05/mantendo-se-seguro-noorkut.
html, acessado em 20 de outubro de 2009..