Projeto dos Alunos do Cesupa de Graduação e Pós-Graduação que busca parceria de empresas públicas e privadas para prestar serviço em Redes de Computadores.
terça-feira, 22 de novembro de 2011
terça-feira, 1 de novembro de 2011
Artigo - A Segurança da Informação e as Redes Sociais
Escrito por Davison R. Gustavo Junior (djgustavo@gmail.com) e orientado pelo Prof. Eudes Danilo Mendonça (eudesdanilo@gmail.com)
Resumo. Um dos meios de comunicação na internet mais usados ultimamente são as redes sociais,
onde pessoas se encontram para trocar informações, importantes ou não. É por causa da importância
dessas informações que a segurança da informação deve estar presente, também, neste meio. Este
artigo abordará o estudo de como deve funcionar a segurança nessas redes, falando um pouco sobre
perfis de usuários, métodos de ataque e prevenção, além de discutir pontos de vistas sobre o tema.
Palavras-chave: Segurança da Informação, Redes Sociais, Vulnerabilidade, Engenharia Social
Information Security and Social Networks
Abstract. Recently, one of the most used communications medias are member community sites,
where different people get together to exchange types of information, even if it is important or not.
It's because of the importance of this information that information security must be present also in
this situation. This article will address how security should work in these networks, talking a little
about user profiles, methods of attack and prevention, and discusses viewpoints on the subject.
Key words: Information Security, Social Networks, Vulnerability, Social Engenieering
1. CARACTERIZAÇÃO DO PROBLEMA
Com a crescente popularização das redes sociais as pessoas tendem a centrar suas atenções
para este tipo de serviço, muitas das vezes sem pensar no que podem estar fazendo e que isso pode
ser mais perigoso do que aparenta ser.
2. TRABALHOS RELACIONADOS
A pesquisa por este tema leva a um caminho ainda pouco percorrido por pesquisadores em
publicações científicas, pois o estudo desta linha se dá ao entendimento de duas áreas distintas na
computação: O estudo de Redes Sociais e o estudo da Segurança da Informação. Para então, a partir
deste ponto observar como o usuário, ou o sistema, pode ser falho em algum momento durante o
uso do serviço.
3. REDES SOCIAIS
3.1. O que são?
Redes de computadores são um “conjunto de computadores autônomos interconectados por
uma única tecnologia” (Tanenbaum, 2004). A partir desse conceito, conclui-se que redes sociais
podem ser um conjunto de pessoas autônomas interconectadas a Internet: utilizada para trocar
informações sobre um mesmo interesse.
3.2. Utilidade
A utilização de redes sociais pode trazer vários benefícios: como conversar com pessoas
geograficamente distantes, conhecer pessoas importantes, compartilhar informações e datas
especiais. Além dos benefícios para a pessoa física, o uso de redes sociais também beneficia muitas
empresas. Quando se fala em promover imagem, expor produtos e serviços, o lugar mais procurado
para isso seria onde possam existir vários possíveis clientes, e é essa uma das vantagens oferecidas
pelas redes sociais para o meio corporativo.
4. A SEGURANÇA DA INFORMAÇÃO NA REDE SOCIAL
4.1 É seguro usar redes sociais?
O uso de redes sociais, assim como qualquer outra ferramenta usada no computador pode
ser perigoso, saber se é seguro ou não depende dos cuidados do usuário. Manter o computador e
todos os seus programas atualizados ajuda bastante com o incremento de segurança. Usuários que
não atualizam seus computadores frequentemente correm sérios riscos com seus dados acessados e,
consequentemente, roubados na internet. Estes riscos recebem o nome de vulnerabilidades, que são
condições capazes de ativar violação de políticas na rede (Walen; Bishop; Engle, 2005). Essa
vulnerabilidade se origina a partir de falhas na segurança localizadas no software e compartilhadas
na internet entre pessoas que procuram acessar os dados usuários, assim esses grupos lançam um
código de invasão para passar pela falha. Por isso, então que a atualização é tão importante, essas
são publicadas na internet para acabar com a possibilidade de acesso a alguma falha descoberta.
4.2 Quem são as vítimas de ataques em redes sociais?
Qualquer pessoa que faça parte de uma rede social pode ser vítima de ataques, tendo em
conta que todo tipo de informação pode ser interessante para alguém. Sabendo que uma informação
pode ser roubada, tem-se então uma possível vítima. Para estudar quem são as vítimas desses
ataques será necessário estudar antes, quem usa redes sociais e o que essas pessoas fazem com a
mesma.
4.2.1 Quem usa redes sociais?
A melhor maneira de estudar as vítimas de ataques em redes sociais é dividindo os grupos de
usuários atacados para facilitar o entendimento do porque do ataque. Dividem-se, basicamente, em
3 grupos diferentes os usuários dessas redes: Usuários corporativos, usuários adultos e usuários
não-adultos. Como dito anteriormente, cada pessoa, ou grupo de usuário, disponibiliza algum tipo
de informação na internet, está ai o começo do problema. Usuários corporativos usam a internet a
fim de vender sua imagem ou algum produto específico. Usuários adultos e usuários não-adultos
utilizam desses serviços para conversar com amigos e trocar conhecimentos em diversas áreas de
interesse.
A Figura 1 (Nielsen, 2009) ilustra o quanto as redes sociais estão atraindo mais usuários,
indicando assim que esse serviço é o quarto mais usado na internet. Pesquisas mostram que dois
terços das pessoas que tem acesso a internet visita redes sociais ou blogs, e este setor acumula cerca
10% do tempo de estadia on-line.
Ao analisar a Figura 2 (Nielsen, 2009), percebe-se que a personalidade deste tipo de serviço
cresce bastante e que o uso do mesmo é intenso no Brasil, onde vê-se que 80% dos internautas
navegaram em sites do gênero. A grande explosão de acessos a redes sociais no Brasil se deve ao
Orkut (Nielsen, 2009) e sua aceitação por mais de 70% dos internautas nacionais, acessos esses
garantidos pelo menos uma vez por mês. Valendo lembrar que a rede social mais usada é o
Facebook (Facebook, 2009), sendo mensalmente acessado por três em cada dez pessoas.
A Tabela 1 (Cetic.br 2008) indica, no Brasil, qual o perfil da pessoa usa rede social,
mostrando desde sua região até a renda, a fim de mostrar que pessoas diferentes usam o serviço,
junto com o acesso a fóruns de discussão e manuseio de web sites e blogs. Voltando a falar sobre
redes sociais, a esta última tabela é capaz de mostrar, por exemplo, que o percentual de usuários
divididos por região segue uma média aproximada, ou seja, o risco de ataque é quase o mesmo para
todas as regiões. Enquanto que o maio número de visitantes está entre os 10 e 24 anos diminuindo a
porcentagem com o envelhecer, indicando que o foco da educação para a segurança na internet
deveria ser neste intervalo etário para que possa ser mais perceptível o decremento de violações online
(não que violações não possam acontecer com pessoas mais velhas, mas seria recomendado
focar as atenções para o maior grupo de acesso, isso se fosse preciso escolher um grupo para educar
ao invés de ensinar a todos como usar, sem riscos, essas redes).
4.3 O que essas vítimas podem perder com isso?
Como citado anteriormente, qualquer tipo de informação pode ser válida para alguém, desde
o preço de um produto, até o passa-tempo preferido de alguém. Imagine, por exemplo, uma empresa
X vendedora de carro com plano de lançar o automóvel do ano, agora imagine a empresa Y, que
também vende esse tipo de veículo. Quanto a empresa Y seria capaz de investir para descobrir o
projeto e os valores usados pela empresa X? Imagine agora uma criança deixando amostra em uma
rede social todos os seus dados, sem qualquer limitação. Será que esses dados seriam interessantes
para um sequestrador? Ao usar qualquer meio de comunicação na internet a pessoa já esta exposto a
qualquer pessoa que também usufrua deste meio, logo é preciso pensar no que poderia acontecer
com a informação que se quer divulgar antes da divulgação.
O maior problema dessas redes sociais está no fato de não poder permitir acesso às suas
informações para somente aqueles que são confiáveis, abrindo assim uma grande brecha de
segurança. Como se garantir de que aquele amigo pedindo seu endereço é realmente aquela pessoa,
e não um desconhecido fingindo ser o amigo?
A partir do ponto em que se confia em alguém para passar uma determinada informação,
pode-se por toda essa informação a perder.
Resumo. Um dos meios de comunicação na internet mais usados ultimamente são as redes sociais,
onde pessoas se encontram para trocar informações, importantes ou não. É por causa da importância
dessas informações que a segurança da informação deve estar presente, também, neste meio. Este
artigo abordará o estudo de como deve funcionar a segurança nessas redes, falando um pouco sobre
perfis de usuários, métodos de ataque e prevenção, além de discutir pontos de vistas sobre o tema.
Palavras-chave: Segurança da Informação, Redes Sociais, Vulnerabilidade, Engenharia Social
Information Security and Social Networks
Abstract. Recently, one of the most used communications medias are member community sites,
where different people get together to exchange types of information, even if it is important or not.
It's because of the importance of this information that information security must be present also in
this situation. This article will address how security should work in these networks, talking a little
about user profiles, methods of attack and prevention, and discusses viewpoints on the subject.
Key words: Information Security, Social Networks, Vulnerability, Social Engenieering
1. CARACTERIZAÇÃO DO PROBLEMA
Com a crescente popularização das redes sociais as pessoas tendem a centrar suas atenções
para este tipo de serviço, muitas das vezes sem pensar no que podem estar fazendo e que isso pode
ser mais perigoso do que aparenta ser.
2. TRABALHOS RELACIONADOS
A pesquisa por este tema leva a um caminho ainda pouco percorrido por pesquisadores em
publicações científicas, pois o estudo desta linha se dá ao entendimento de duas áreas distintas na
computação: O estudo de Redes Sociais e o estudo da Segurança da Informação. Para então, a partir
deste ponto observar como o usuário, ou o sistema, pode ser falho em algum momento durante o
uso do serviço.
3. REDES SOCIAIS
3.1. O que são?
Redes de computadores são um “conjunto de computadores autônomos interconectados por
uma única tecnologia” (Tanenbaum, 2004). A partir desse conceito, conclui-se que redes sociais
podem ser um conjunto de pessoas autônomas interconectadas a Internet: utilizada para trocar
informações sobre um mesmo interesse.
3.2. Utilidade
A utilização de redes sociais pode trazer vários benefícios: como conversar com pessoas
geograficamente distantes, conhecer pessoas importantes, compartilhar informações e datas
especiais. Além dos benefícios para a pessoa física, o uso de redes sociais também beneficia muitas
empresas. Quando se fala em promover imagem, expor produtos e serviços, o lugar mais procurado
para isso seria onde possam existir vários possíveis clientes, e é essa uma das vantagens oferecidas
pelas redes sociais para o meio corporativo.
4. A SEGURANÇA DA INFORMAÇÃO NA REDE SOCIAL
4.1 É seguro usar redes sociais?
O uso de redes sociais, assim como qualquer outra ferramenta usada no computador pode
ser perigoso, saber se é seguro ou não depende dos cuidados do usuário. Manter o computador e
todos os seus programas atualizados ajuda bastante com o incremento de segurança. Usuários que
não atualizam seus computadores frequentemente correm sérios riscos com seus dados acessados e,
consequentemente, roubados na internet. Estes riscos recebem o nome de vulnerabilidades, que são
condições capazes de ativar violação de políticas na rede (Walen; Bishop; Engle, 2005). Essa
vulnerabilidade se origina a partir de falhas na segurança localizadas no software e compartilhadas
na internet entre pessoas que procuram acessar os dados usuários, assim esses grupos lançam um
código de invasão para passar pela falha. Por isso, então que a atualização é tão importante, essas
são publicadas na internet para acabar com a possibilidade de acesso a alguma falha descoberta.
4.2 Quem são as vítimas de ataques em redes sociais?
Qualquer pessoa que faça parte de uma rede social pode ser vítima de ataques, tendo em
conta que todo tipo de informação pode ser interessante para alguém. Sabendo que uma informação
pode ser roubada, tem-se então uma possível vítima. Para estudar quem são as vítimas desses
ataques será necessário estudar antes, quem usa redes sociais e o que essas pessoas fazem com a
mesma.
4.2.1 Quem usa redes sociais?
A melhor maneira de estudar as vítimas de ataques em redes sociais é dividindo os grupos de
usuários atacados para facilitar o entendimento do porque do ataque. Dividem-se, basicamente, em
3 grupos diferentes os usuários dessas redes: Usuários corporativos, usuários adultos e usuários
não-adultos. Como dito anteriormente, cada pessoa, ou grupo de usuário, disponibiliza algum tipo
de informação na internet, está ai o começo do problema. Usuários corporativos usam a internet a
fim de vender sua imagem ou algum produto específico. Usuários adultos e usuários não-adultos
utilizam desses serviços para conversar com amigos e trocar conhecimentos em diversas áreas de
interesse.
Figura 1. Uso de redes sociais aumentando no meio de outros serviços on-line.
A Figura 1 (Nielsen, 2009) ilustra o quanto as redes sociais estão atraindo mais usuários,
indicando assim que esse serviço é o quarto mais usado na internet. Pesquisas mostram que dois
terços das pessoas que tem acesso a internet visita redes sociais ou blogs, e este setor acumula cerca
10% do tempo de estadia on-line.
Figura 2. Usuários de redes sociais divididos por países.
Ao analisar a Figura 2 (Nielsen, 2009), percebe-se que a personalidade deste tipo de serviço
cresce bastante e que o uso do mesmo é intenso no Brasil, onde vê-se que 80% dos internautas
navegaram em sites do gênero. A grande explosão de acessos a redes sociais no Brasil se deve ao
Orkut (Nielsen, 2009) e sua aceitação por mais de 70% dos internautas nacionais, acessos esses
garantidos pelo menos uma vez por mês. Valendo lembrar que a rede social mais usada é o
Facebook (Facebook, 2009), sendo mensalmente acessado por três em cada dez pessoas.
Tabela 1. Perfil de usuários brasileiros
A Tabela 1 (Cetic.br 2008) indica, no Brasil, qual o perfil da pessoa usa rede social,
mostrando desde sua região até a renda, a fim de mostrar que pessoas diferentes usam o serviço,
junto com o acesso a fóruns de discussão e manuseio de web sites e blogs. Voltando a falar sobre
redes sociais, a esta última tabela é capaz de mostrar, por exemplo, que o percentual de usuários
divididos por região segue uma média aproximada, ou seja, o risco de ataque é quase o mesmo para
todas as regiões. Enquanto que o maio número de visitantes está entre os 10 e 24 anos diminuindo a
porcentagem com o envelhecer, indicando que o foco da educação para a segurança na internet
deveria ser neste intervalo etário para que possa ser mais perceptível o decremento de violações online
(não que violações não possam acontecer com pessoas mais velhas, mas seria recomendado
focar as atenções para o maior grupo de acesso, isso se fosse preciso escolher um grupo para educar
ao invés de ensinar a todos como usar, sem riscos, essas redes).
4.3 O que essas vítimas podem perder com isso?
Como citado anteriormente, qualquer tipo de informação pode ser válida para alguém, desde
o preço de um produto, até o passa-tempo preferido de alguém. Imagine, por exemplo, uma empresa
X vendedora de carro com plano de lançar o automóvel do ano, agora imagine a empresa Y, que
também vende esse tipo de veículo. Quanto a empresa Y seria capaz de investir para descobrir o
projeto e os valores usados pela empresa X? Imagine agora uma criança deixando amostra em uma
rede social todos os seus dados, sem qualquer limitação. Será que esses dados seriam interessantes
para um sequestrador? Ao usar qualquer meio de comunicação na internet a pessoa já esta exposto a
qualquer pessoa que também usufrua deste meio, logo é preciso pensar no que poderia acontecer
com a informação que se quer divulgar antes da divulgação.
O maior problema dessas redes sociais está no fato de não poder permitir acesso às suas
informações para somente aqueles que são confiáveis, abrindo assim uma grande brecha de
segurança. Como se garantir de que aquele amigo pedindo seu endereço é realmente aquela pessoa,
e não um desconhecido fingindo ser o amigo?
A partir do ponto em que se confia em alguém para passar uma determinada informação,
pode-se por toda essa informação a perder.
Continuação ARTIGO - A Segurança da Informação e as Redes Sociais
4.4 Quem são os “atacantes” nas redes sociais?
Para melhor entendimento, observa-se que existem três tipos de ataque (Dulaney, 2009).
O responsável por esses ataques em uma rede social pode qualquer pessoa que queria
adquirir uma informação de maneira ilegal, também pode ser um “atacante” aquela pessoa que é
enviada para roubar a informação sob um pedido de um outro alguém. Mas grande número desses
ladrões agem por conta própria para ganhar conhecimento, saber mais sobre algum assunto de seu
interesse ou para mostrar para si mesmo, e para os outros, que é capaz de conhecer muito mais do
que o normal sobre qualquer pessoa.
Recordando os grupos de usuários citados no tópico 4.1, considera-se que também possam
existir grupos de “atacantes” para cada grupo de usuário. Usuários não-adultos correm riscos por
serem o meio mais confiante nos contatos da internet, disponibilizando dados sem qualquer
desconfiança. Usuários adultos são vítimas de ataques a roubo de dados, pois acessam sites como
bancos, compras na internet e outros que envolvam números e senhas de cartões, além de dados
cadastrais, como RG, CPF e endereço. Já os usuários corporativos são vítimas quando se trata ta
tentativa de furto de dados por outras empresas que queiram acompanhar mais do que devem sobre
algum item ou andamento, assim como foi citado no exemplo das empresas X e Y no tópico 4.3.
Chegando a este ponto, confirma-se o que foi escrito no tópico 4.0: “Qualquer informação é válida
para alguém”.
4.5 Métodos de ataque a redes sociais.
De acordo com uma pesquisa realizada pela empresa Breach (Brach, 2009), ver Figura 4,
hacker estão visando, principalmente, ataques a páginas da web, o que se dá a diversas
vulnerabilidades de XSS, ou Cross Site Scripting, somado ao fato de que essas vulnerabilidades
ainda não são discutidas da maneira que deveriam ser.
São várias as maneiras de conseguir dados roubados pela internet, nessa seção serão
discutidas algumas dessas maneiras observando como as mesmas funcionam.
Uma das principais estratégias de furto de dado é através do Phishing, “Phishing é uma
forma de engenharia social em que é feito um pedido por um pedaço de informação de interesse
fazendo parecer um pedido legítimo”, (Dulaney, 2009). O Phishing acontece, principalmente,
através de e-mails falsos de alguém querendo se passar por uma outra pessoa ou empresa existente,
muitas das vezes recebido em forma de Spam, o que pode ser qualquer e-mail não desejável,
requisitável, (Dulaney, 2009), pedindo senhas ou informações críticas. Se informados, esses dados
podem ser usados por este ladrão querendo, agora, se passar por você para multiplicar o dano e
roubar mais dados. Mas o phishing também pode acontecer em redes sociais, onde aquele ladrão
citado anteriormente rouba os dados do usuário de uma rede, quando o usuário original esqueceu
seu perfil aberto em um computador público, por exemplo. Agora o suspeito tem acesso a todos os
dados desse usuário, e pode, também se passar por ele para conseguir informações.
Assim como o Phishing, existe Engenharia Social, uma maneira diferente dos outros
métodos de ataque porque não impõe o roubo da informação, mas sim a criação de uma confiança
sobre terceiros que acabam disponibilizando seus dados confiando que a pessoa que está pedindo tal
dado. Existem especialistas na área de Segurança da Informações contratados para trabalhar dentro
de determinadas empresas com este papel, o de ganhar a confiança de outros funcionários e, após
isso, pedir dados confidenciais, quebrando assim mais uma brecha de segurança. Ao ser
perguntando a respeito de qual seria seu tipo de ataque favorito em uma rede social, Ben Rothke
(Rothke, 2009) respondeu que “o ataque mais simples seria simplesmente pedir a informação”, e
concretizou sua resposta afirmando que “ as pessoas dão essa informação por não estarem
percebendo que fazê-lo seria perigoso. Se o pedido for gentil e bem feito, o pedido pode vir
acompanhado de mais dados do que necessário”. E é basicamente neste exemplo que está a
engenharia social. Você daria seus dados para um amigo, sendo ele quem for?
Além dos métodos de ataque citados anteriormente, tem-se a Geolocation, que é a pesquisa
da localização física de alguém através do endereço de IP. De acordo com a revista (in)Secure
(Touchette, 2009), um aplicativo para localização de IP pode estar em um iframe, ou seja, código
html capaz de determinar a abertura de uma página, ou script, oculta ou não dentro de uma outra
página, com isso observa-se que o processo acontece sem o conhecimento do usuário. A
Geolocation pode ter suas vantagens, como por exemplo, ter controle de onde os filhos andam, mas
se usada de maneira mais específica, pode mostrar a cidade, o bairro, a rua e até mesmo a casa onde
se encontra o usuário de um determinado IP.
Um quarto método de ataque se deve principalmente ao Twitter (Twitter, 2009) e o limite de
140 caracteres por mensagem. O mini-blog que limita o número de letra por publicação deu origem
ao serviço de Encurtamento de URL, que tem como característica a criação de um endereço url
curto a partir de um endereço de entrada. São vários os sites que disponibilizam o serviço de graça e
sem nenhuma restrição de acesso, tornando assim a web menos reconhecível, tendo que uma das
maneiras mais fáceis de reconhecer a integridade de um endereço era pesquisando pelo mesmo, o
que, se aplicado ao Encurtamento de URL não funcionaria mais. Apesar de seu lado positivo que
supre a necessidade de encurtamento de mensagens em mini-blogs, tem seu lado obscuro, que cega
as pessoas perante links.
4.6 Prevenção
Sabendo das diversas maneiras de atacar um usuário de redes sociais, e analisando-as de
maneira detalhada pode-se chegar a uma maneira de se prevenir de cada um desses ataques.
Quando se corre um possível risco de Phishing é recomendado que se procure pelo
remetente daquele pedido usando outro meio de comunicação mais confiável, como o telefone, por
exemplo. Procurar a pessoa é uma maneira infalível de acabar com este método de ataque, já que o
remetente pode vir ou não a confirmar o pedido, deixando claro que ter fornecido aquela
informação anteriormente seria uma roubada, ou não. Para resolver o problema da Engenharia
Social, perguntar para o remetente sobre o pedido da informação ainda ajuda por ser um ataque
quase parecido com o citado anteriormente, tendo pedido em mãos o objetivo agora é saber o
porque do mesmo.
A Geolocation é um método mais difícil de ser tratado, pois como citado anteriormente, ele
pode estar acontecendo de maneira totalmente transparente ao usuário final, mas se analisado com
cuidado, tem-se que os problemas de alguém sob observação geográfica são problemas não
considerados falha de segurança da informação, como por exemplo, possível assalto, pessoa sendo
seguida e/ou observada, entre outros. Fatos esses que poderão ser tratados melhor por outros tipos
de seguradores.
Já para o Encurtamento de URL, do mesmo modo que existem encurtadores de endereços,
existem ferramentas que analisam endereços encurtados, mostrando assim a verdadeira fonte de
determinado link.
Logo, para qualquer método de tentativa de roubo de informação existe algum método
controverso que ajuda a lhe dar com o roubo. Vale ressaltar que a melhor maneira de se prevenir e
aumentar a segurança na internet é através da educação: descobrir a origem de ataques; como esses
ataques são feitos; quem são os possíveis ladrões de informações; o que se está fazendo com seus
dados e se existe um jeito melhor de protegê-los é a maneira mais eficiente de trabalhar essa
segurança.
Aos não-adultos é extremamente recomendável a companhia dos pais durante o acesso a
internet, ou uma boa conversa para mostrar que a mesma pode trazer muitos perigos se a
oportunidade a alguém mal intencionado for dada. Aos adultos que lhe dão com dados valiosos, o
interessante seria entrar em contato com as empresas que pedem por esses dados e conversar um
pouco mais sobre como se proteger da melhor maneira possível. Já para empresas, o modo de tratar
essas brechas é um pouco mais crítico, pois não depende de poucos, mas sim de todos os que usam
dados da organização em redes como essas, e por causa disso essas pessoas deveriam ser treinadas e
educadas quanto aos perigos, método esse bastante usado por corporações com funcionários
cadastrados em redes sociais.
5.0 CONCLUSÃO
As redes sociais existem sob um propósito, e esse propósito chama a atenção de usuários
para cadastramentos futuro. Se, após pesar se vale ou não usar as redes sociais levando em
consideração as falhas de segurança, não fosse interessante usar redes sociais, estas não seriam
fonte de horas e horas de diversão e trabalho durante a estadia na internet.
Ataques e tentativas de roubo de informações sempre vão acontecer tanto por falha humana
quanto por falha de máquina, e por causa disto sempre vão existir pessoas capacitadas em segurança
da informação para educar vítimas de quem tenta lucrar com informações alheias. Essa é a coevolução
da segurança da informação versus os ladrões cibernéticos, uma briga sem data pra
terminar.
REFERÊNCIAS
Rothke, Ben. Inforation Security and Social Networks. O'Reilly Webcast. Setembro, 2009.
Tanenbaum, Andrew S. Redes de Computadores. 4. ed.Editora Campus, 2003. Tradução. 995 p.
Whalen, Sean; Bishop, Matt; Engle, Sophie. Protocol Vulnerability Analysis. 2005. 14 p.
Nielsen. (2009) “Global Faces and Network Places – A Nielsen report on Social Networking’s New
Global Footprint ”, em
http://blog.nielsen.com/nielsenwire/wpcontent/uploads/2009/03/nielsen_globalfaces_mar09.pdf.
Orkut. Disponível em www.orkut.com, acessado em 13 de outubro de 2009.
Facebook. Disponível em www.facebook.com, acessado em 13 de outubro de 2009.
Cetic.br. (2008) “Pesquisa Sobre o Uso das Tecnologias da Informação e da Comunicação no Brasil
2008”, em http://www.cetic.br/tic/2008/index.htm, p. 232.
Dulaney, Emmet. CompTIA Security+: Deluxe Edition. 1. ed. Indianopilis: Sybex, 2009. 676 p.
Breach. (2009) “The Web Hacking Incidents Database 2009”, em
http://www.breach.com/resources/whitepapers/downloads/WP_TheWebHackingIncidents-2009.pdf.
Touchette, Fred. (2009) “A look at geolocation, URL shortening and top Twitter threats”. Em:
(In)Secure Magazine, Editado por Zorz, Mirko.
Twitter. Disponível em www.twitter.com, acessado em 13 de outubro de 2009..
Orkut Segurança. Segurança: Central de Privacidade e Segurança,
http://www.google.com/support/orkut/bin/answer.py?hl=br&answer=48579.
Blog Orkut. Mantendo-se Seguro no Orkut, http://blog.orkut.com/2009/05/mantendo-se-seguro-noorkut.
html, acessado em 20 de outubro de 2009..
Para melhor entendimento, observa-se que existem três tipos de ataque (Dulaney, 2009).
O responsável por esses ataques em uma rede social pode qualquer pessoa que queria
adquirir uma informação de maneira ilegal, também pode ser um “atacante” aquela pessoa que é
enviada para roubar a informação sob um pedido de um outro alguém. Mas grande número desses
ladrões agem por conta própria para ganhar conhecimento, saber mais sobre algum assunto de seu
interesse ou para mostrar para si mesmo, e para os outros, que é capaz de conhecer muito mais do
que o normal sobre qualquer pessoa.
Recordando os grupos de usuários citados no tópico 4.1, considera-se que também possam
existir grupos de “atacantes” para cada grupo de usuário. Usuários não-adultos correm riscos por
serem o meio mais confiante nos contatos da internet, disponibilizando dados sem qualquer
desconfiança. Usuários adultos são vítimas de ataques a roubo de dados, pois acessam sites como
bancos, compras na internet e outros que envolvam números e senhas de cartões, além de dados
cadastrais, como RG, CPF e endereço. Já os usuários corporativos são vítimas quando se trata ta
tentativa de furto de dados por outras empresas que queiram acompanhar mais do que devem sobre
algum item ou andamento, assim como foi citado no exemplo das empresas X e Y no tópico 4.3.
Chegando a este ponto, confirma-se o que foi escrito no tópico 4.0: “Qualquer informação é válida
para alguém”.
4.5 Métodos de ataque a redes sociais.
De acordo com uma pesquisa realizada pela empresa Breach (Brach, 2009), ver Figura 4,
hacker estão visando, principalmente, ataques a páginas da web, o que se dá a diversas
vulnerabilidades de XSS, ou Cross Site Scripting, somado ao fato de que essas vulnerabilidades
ainda não são discutidas da maneira que deveriam ser.
Figura 4. Principais alvos de ataques cibernéticos em 2009
São várias as maneiras de conseguir dados roubados pela internet, nessa seção serão
discutidas algumas dessas maneiras observando como as mesmas funcionam.
Uma das principais estratégias de furto de dado é através do Phishing, “Phishing é uma
forma de engenharia social em que é feito um pedido por um pedaço de informação de interesse
fazendo parecer um pedido legítimo”, (Dulaney, 2009). O Phishing acontece, principalmente,
através de e-mails falsos de alguém querendo se passar por uma outra pessoa ou empresa existente,
muitas das vezes recebido em forma de Spam, o que pode ser qualquer e-mail não desejável,
requisitável, (Dulaney, 2009), pedindo senhas ou informações críticas. Se informados, esses dados
podem ser usados por este ladrão querendo, agora, se passar por você para multiplicar o dano e
roubar mais dados. Mas o phishing também pode acontecer em redes sociais, onde aquele ladrão
citado anteriormente rouba os dados do usuário de uma rede, quando o usuário original esqueceu
seu perfil aberto em um computador público, por exemplo. Agora o suspeito tem acesso a todos os
dados desse usuário, e pode, também se passar por ele para conseguir informações.
Assim como o Phishing, existe Engenharia Social, uma maneira diferente dos outros
métodos de ataque porque não impõe o roubo da informação, mas sim a criação de uma confiança
sobre terceiros que acabam disponibilizando seus dados confiando que a pessoa que está pedindo tal
dado. Existem especialistas na área de Segurança da Informações contratados para trabalhar dentro
de determinadas empresas com este papel, o de ganhar a confiança de outros funcionários e, após
isso, pedir dados confidenciais, quebrando assim mais uma brecha de segurança. Ao ser
perguntando a respeito de qual seria seu tipo de ataque favorito em uma rede social, Ben Rothke
(Rothke, 2009) respondeu que “o ataque mais simples seria simplesmente pedir a informação”, e
concretizou sua resposta afirmando que “ as pessoas dão essa informação por não estarem
percebendo que fazê-lo seria perigoso. Se o pedido for gentil e bem feito, o pedido pode vir
acompanhado de mais dados do que necessário”. E é basicamente neste exemplo que está a
engenharia social. Você daria seus dados para um amigo, sendo ele quem for?
Além dos métodos de ataque citados anteriormente, tem-se a Geolocation, que é a pesquisa
da localização física de alguém através do endereço de IP. De acordo com a revista (in)Secure
(Touchette, 2009), um aplicativo para localização de IP pode estar em um iframe, ou seja, código
html capaz de determinar a abertura de uma página, ou script, oculta ou não dentro de uma outra
página, com isso observa-se que o processo acontece sem o conhecimento do usuário. A
Geolocation pode ter suas vantagens, como por exemplo, ter controle de onde os filhos andam, mas
se usada de maneira mais específica, pode mostrar a cidade, o bairro, a rua e até mesmo a casa onde
se encontra o usuário de um determinado IP.
Um quarto método de ataque se deve principalmente ao Twitter (Twitter, 2009) e o limite de
140 caracteres por mensagem. O mini-blog que limita o número de letra por publicação deu origem
ao serviço de Encurtamento de URL, que tem como característica a criação de um endereço url
curto a partir de um endereço de entrada. São vários os sites que disponibilizam o serviço de graça e
sem nenhuma restrição de acesso, tornando assim a web menos reconhecível, tendo que uma das
maneiras mais fáceis de reconhecer a integridade de um endereço era pesquisando pelo mesmo, o
que, se aplicado ao Encurtamento de URL não funcionaria mais. Apesar de seu lado positivo que
supre a necessidade de encurtamento de mensagens em mini-blogs, tem seu lado obscuro, que cega
as pessoas perante links.
4.6 Prevenção
Sabendo das diversas maneiras de atacar um usuário de redes sociais, e analisando-as de
maneira detalhada pode-se chegar a uma maneira de se prevenir de cada um desses ataques.
Quando se corre um possível risco de Phishing é recomendado que se procure pelo
remetente daquele pedido usando outro meio de comunicação mais confiável, como o telefone, por
exemplo. Procurar a pessoa é uma maneira infalível de acabar com este método de ataque, já que o
remetente pode vir ou não a confirmar o pedido, deixando claro que ter fornecido aquela
informação anteriormente seria uma roubada, ou não. Para resolver o problema da Engenharia
Social, perguntar para o remetente sobre o pedido da informação ainda ajuda por ser um ataque
quase parecido com o citado anteriormente, tendo pedido em mãos o objetivo agora é saber o
porque do mesmo.
A Geolocation é um método mais difícil de ser tratado, pois como citado anteriormente, ele
pode estar acontecendo de maneira totalmente transparente ao usuário final, mas se analisado com
cuidado, tem-se que os problemas de alguém sob observação geográfica são problemas não
considerados falha de segurança da informação, como por exemplo, possível assalto, pessoa sendo
seguida e/ou observada, entre outros. Fatos esses que poderão ser tratados melhor por outros tipos
de seguradores.
Já para o Encurtamento de URL, do mesmo modo que existem encurtadores de endereços,
existem ferramentas que analisam endereços encurtados, mostrando assim a verdadeira fonte de
determinado link.
Logo, para qualquer método de tentativa de roubo de informação existe algum método
controverso que ajuda a lhe dar com o roubo. Vale ressaltar que a melhor maneira de se prevenir e
aumentar a segurança na internet é através da educação: descobrir a origem de ataques; como esses
ataques são feitos; quem são os possíveis ladrões de informações; o que se está fazendo com seus
dados e se existe um jeito melhor de protegê-los é a maneira mais eficiente de trabalhar essa
segurança.
Aos não-adultos é extremamente recomendável a companhia dos pais durante o acesso a
internet, ou uma boa conversa para mostrar que a mesma pode trazer muitos perigos se a
oportunidade a alguém mal intencionado for dada. Aos adultos que lhe dão com dados valiosos, o
interessante seria entrar em contato com as empresas que pedem por esses dados e conversar um
pouco mais sobre como se proteger da melhor maneira possível. Já para empresas, o modo de tratar
essas brechas é um pouco mais crítico, pois não depende de poucos, mas sim de todos os que usam
dados da organização em redes como essas, e por causa disso essas pessoas deveriam ser treinadas e
educadas quanto aos perigos, método esse bastante usado por corporações com funcionários
cadastrados em redes sociais.
5.0 CONCLUSÃO
As redes sociais existem sob um propósito, e esse propósito chama a atenção de usuários
para cadastramentos futuro. Se, após pesar se vale ou não usar as redes sociais levando em
consideração as falhas de segurança, não fosse interessante usar redes sociais, estas não seriam
fonte de horas e horas de diversão e trabalho durante a estadia na internet.
Ataques e tentativas de roubo de informações sempre vão acontecer tanto por falha humana
quanto por falha de máquina, e por causa disto sempre vão existir pessoas capacitadas em segurança
da informação para educar vítimas de quem tenta lucrar com informações alheias. Essa é a coevolução
da segurança da informação versus os ladrões cibernéticos, uma briga sem data pra
terminar.
REFERÊNCIAS
Rothke, Ben. Inforation Security and Social Networks. O'Reilly Webcast. Setembro, 2009.
Tanenbaum, Andrew S. Redes de Computadores. 4. ed.Editora Campus, 2003. Tradução. 995 p.
Whalen, Sean; Bishop, Matt; Engle, Sophie. Protocol Vulnerability Analysis. 2005. 14 p.
Nielsen. (2009) “Global Faces and Network Places – A Nielsen report on Social Networking’s New
Global Footprint ”, em
http://blog.nielsen.com/nielsenwire/wpcontent/uploads/2009/03/nielsen_globalfaces_mar09.pdf.
Orkut. Disponível em www.orkut.com, acessado em 13 de outubro de 2009.
Facebook. Disponível em www.facebook.com, acessado em 13 de outubro de 2009.
Cetic.br. (2008) “Pesquisa Sobre o Uso das Tecnologias da Informação e da Comunicação no Brasil
2008”, em http://www.cetic.br/tic/2008/index.htm, p. 232.
Dulaney, Emmet. CompTIA Security+: Deluxe Edition. 1. ed. Indianopilis: Sybex, 2009. 676 p.
Breach. (2009) “The Web Hacking Incidents Database 2009”, em
http://www.breach.com/resources/whitepapers/downloads/WP_TheWebHackingIncidents-2009.pdf.
Touchette, Fred. (2009) “A look at geolocation, URL shortening and top Twitter threats”. Em:
(In)Secure Magazine, Editado por Zorz, Mirko.
Twitter. Disponível em www.twitter.com, acessado em 13 de outubro de 2009..
Orkut Segurança. Segurança: Central de Privacidade e Segurança,
http://www.google.com/support/orkut/bin/answer.py?hl=br&answer=48579.
Blog Orkut. Mantendo-se Seguro no Orkut, http://blog.orkut.com/2009/05/mantendo-se-seguro-noorkut.
html, acessado em 20 de outubro de 2009..
Assinar:
Postagens (Atom)