Home

Política - Doutrina Militar

Contents

1. A publica o na intranet de lembretes de conscientiza o para a seguran a talvez usando quadrinhos ou humor ou alguma outra maneira que incentive as pessoas a lerem O uso de um quadro eletr nico de mensagens na lanchonete com um lembrete de seguran a que seja trocado freq entemente A distribui o de folhetos ou brochuras E pense naqueles biscoitos da fortuna que s o distribu dos de gra a na lanchonete contendo cada um deles um lembrete sobre a seguran a em vez de uma previs o A amea a constante os lembretes tamb m devem ser constantes O QUE H PARA MIM Al m dos programas de treinamento e conscientiza o sobre a seguran a recomendo um programa ativo e bem divulgado de recompensas Voc deve reconhecer os empregados que detectaram e evi taram uma tentativa de ataque de engenharia social ou que de alguma outra maneira contribu ram Cap tulo 15 Conscientiza o e Treinamento em Seguran a da Informa o 205 para o sucesso do programa de seguran a das informa es A exist ncia do programa de recompensas deve ser anunciada para os empregados em todas as sess es de conscientiza o sobre a seguran a e as viola es da seguran a devem ser amplamente divulgadas em toda a organiza o Por sua vez as pessoas devem ter conhecimento das conseq ncias de n o seguirem as pol ticas de seguran a das informa es por falta de cuidado ou resist ncia Embora todos come
2. Oi Ginny disse o interlocutor com voz entusiasmada como se ele falasse com Ginny todas as semanas Aqui Tommy Allison gerente da Loja 863 Forest Park Temos um cliente aqui que quer alugar Rocky 5 e estamos sem nenhuma c pia Voc pode verificar se voc s t m uma Ap s alguns momentos ela voltou ao telefone e confirmou Sim temos tr s c pias Muito bem Vou ver se ele quer passar a Olha obrigado Se precisar de alguma ajuda da nossa loja s ligar e pedir para falar com Tommy Vou ficar feliz em ajudar como puder Tr s ou quatro vezes nas pr ximas semanas Ginny recebeu liga es de Tommy pedindo ajuda com uma ou outra coisa As solicita es aparentemente eram leg timas e ele sem pre era t o amistoso sem parecer que estava tentando se aproveitar disso Ele come ou a bater papo tamb m Voc ouviu falar do grande inc ndio em Oak Park V rias ruas foram fechadas e outras coisas do g nero As liga es quebravam um pouco a rotina do dia e Ginny sempre gostava de ouvi lo Certo dia Tommy ligou e parecia meio estressado Ele perguntou Voc s est o tendo pro blemas com seus computadores N o Ginny respondeu Por qu Algu m bateu o carro contra um telefone p blico e o pessoal da empresa de telefonia disse que grande parte da cidade vai perder seus telefones e conex o com a Internet at eles resolverem o problema Ah n o O homem se machucou Eles o levaram em uma
3. Ah aqui est disse finalmente Ramon Voc colocou a senha Janice Janice Steve pensou Esse era o nome da m e e ele o havia usado algumas vezes como senha Ele podia muito bem ter colocado essa senha ao preencher a documenta o de contrata o Sim est certo ele reconheceu OK estamos perdendo tempo Voc sabe que n o estou mentindo quer que eu use o atalho e devolva seus arquivos rapidamente Voc vai me ajudar O meu ID s d sublinhado cramer c r a m e r A senha pelicano Vou come ar imediatamente afirmou Ramon finalmente parecendo prestativo S preciso de algumas horas Steve terminou o gramado almo ou e quando voltou ao computador descobriu que sem d vida seus arquivos haviam sido restaurados Ele ficou feliz consigo mesmo por ter lidado com tanta energia com aquele funcion rio pouco gentil do TI e esperava que Anna tivesse ouvido como ele foi positivo Seria bom que Ramon ou o seu chefe recebessem uma advert ncia mas ele sabia que isso era uma daquelas coisas com as quais ele nunca ia querer se envolver A hist ria de Craig Cogburne Craig Cogburne era vendedor de uma empresa de alta tecnologia e era um bom vendedor Depois de um certo tempo ele come ou a perceber que tinha habilidade para fazer a leitura de um cliente en tender quais eram os pontos de resist ncia da pessoa e reconhecer alguns pontos fracos ou vulnera bilidades que facilitavam o fechamento da venda
4. Bom isso o que t nhamos s queria ter certeza A segunda liga o o cara de TI Dois dias depois uma liga o foi recebida no Centro de Opera es de Rede da mesma empresa Ol aqui Bob Trabalho na Contabilidade do escrit rio de Tom DeLay Estamos tentando solucionar um problema de cabo Preciso desativar a Porta 6 47 O rapaz de TI disse que isso seria feito em alguns minutos e pediu que eles avisassem quando poderiam ativar novamente a porta A terceira liga o conseguindo ajuda do inimigo Cerca de uma hora mais tarde o suposto Eddie Martin estava fazendo compras na Circuit City quando seu telefone celular tocou Ele verificou o n mero que estava ligando viu que a chamada tinha sido feita do estaleiro e correu para um lugar tranq ilo antes de atender Servi o ao Cliente Eddie Ol Eddie Estou ouvindo um eco onde voc est Estou em um gabinete de cabos Quem est falando Aqui Tom DeLay Rapaz estou feliz em falar com voc Talvez se lembre de mim voc me ligou outro dia A minha conex o de rede acabou de cair como voc disse que aconteceria e estou meio em p nico aqui temos um monte de gente assim agora At o final do dia tudo estar resolvido Tudo bem N O Droga vou me atrasar muito se tiver de esperar tanto Qual o melhor prazo que voc tem para mim Qual a sua urg ncia Cap tulo 5 Posso Ajudar 47 Posso fazer outras
5. Com esse importante conhecimento ele usou um programa de software para identificar todos os hosts em funcionamento na rede e n o demorou muito para que localizasse o servidor correto usado pelo departamento Cont bil Do arsenal de ferramentas de hacker do seu laptop ele abriu um programa e o usou para identificar todos os usu rios autorizados no servidor de destino Com outro programa executou uma lista das senhas mais usadas tais como branco e a pr pria senha Senha funcionou e isso n o foi surpresa As pessoas perdem toda a criatividade na hora de esco lher as senhas Apenas seis minutos depois o jogo j estava acabado e ele estava dentro da empresa Mais outros tr s minutos para incluir com todo o cuidado o nome da sua empresa endere o n mero de telefone e nome para contato na lista de clientes E em seguida a entrada crucial aquela que faria toda a diferen a a entrada que dizia todos os itens que lhe foram vendidos a 1 acima do custo da Honorable Auto Paris Em aproximadamente dez minutos ele havia terminado Ele parou o tempo suficiente para agradecer a Kaila e dizer que j tinha verificado seus e mails E ele havia falado com Mike Talbot os planos haviam mudado e ele estava indo para uma reuni o no escrit rio do cliente E ele n o se esqueceria de recomend la para aquele trabalho em Marketing Capitulo 10 Entrando nas Instala es 133 Analisando a trapa a O intruso que chamou a si mesmo de Peter
6. Estas s o algumas t cnicas a serem levadas em conta Estabelecer a necessidade de saber a qual pode exigir a obten o da autoriza o do proprie t rio designado das informa es Manter um registro pessoal ou departamental dessas transa es Manter uma lista das pessoas que foram treinadas especialmente nos procedimentos e que t m poderes para autorizar o envio das informa es confidenciais Exigir que apenas essas pessoas possam enviar as informa es para algu m fora do grupo de trabalho Se uma solicita o de dados for feita por escrito e mail fax ou correio convencional tomar cuidados adicionais para verificar se a solicita o realmente veio da pessoa da qual ela parece ter vindo Sobre as senhas Todos os empregados que podem acessar informa es confidenciais e hoje isso significa quase todo empregado que usa um computador precisam entender que atos simples como trocar de senha mesmo por alguns momentos podem levar a grandes quebras da seguran a O treinamento em seguran a precisa abordar o t pico das senhas que deve se concentrar em quan do e como alterar a sua senha o que constitui uma senha aceit vel e os perigos de deixar que qualquer pessoa se envolva no processo Particularmente o treinamento precisa veicular para todos os emprega dos a necessidade de eles suspeitarem de qualquer solicita o que envolva suas senhas A principio isso parece ser uma mensagem s
7. Uma Lista de N meros de Teste fornecia muitas informa es boas que poderiam ser usadas por qualquer phreaker faminto por informa es Assim sendo quando as novas listas eram publi cadas todos os anos elas eram cobi adas por muitas crian as cujo hobby era explorar a rede de telefonia O golpe de Stevie claro que as empresas de telefonia n o deixam que essas listas sejam conseguidas facilmente e os phreakers t m de ser criativos para conseguir uma Como eles podem fazer isso Uma crian a ansiosa com uma mente determinada a conseguir a lista poderia criar um cen rio como este 28 A Arte de Enganar Recado do Em certa noite de outono no sudeste da Calif rnia Stevie liga para o escrit rio central pequeno da empresa de telefonia estabelecido no pr dio no qual as linhas telef nicas v o para todas as resi d ncias e empresas da rea de servi o estabelecida Quando a telefonista de plant o atende Stevie anuncia que trabalha na divis o da empresa de te lefonia que publica e distribui o material impresso Temos a nossa nova Lista de N meros de Teste explica Mas por quest es de seguran a n o podemos lhe entregar uma c pia antes de retirarmos a antiga E o cara da entrega est atrasado Se voc puder deixar a sua c pia do lado de fora da porta ele pode passar por a pegar a sua c pia deixar a c pia nova e continuar o seu caminho O desavisado telefonista parece achar que isso razo vel Ele f
8. as ha bilidades de manipula o do engenheiro social refinadas por meio de extensa pr tica e as li es n o escritas pelas gera es de homens de confian a MAIS INFORMA ES VALIOSAS Alem de um n mero de centro de custo e dos ramais dos telefones internos quais outras informa es aparentemente in teis podem ser valios ssimas para o seu inimigo Liga o telef nica para Peter Abel Oi a voz no outro lado da linha diz Sou Tom da Parkhurst Travel As suas passagens para S o Francisco est o prontas Voc quer que as entreguemos ou vai retir las 22 A Arte de Enganar S o Francisco diz Peter Eu n o vou para S o Francisco O senhor Peter Abeis Sim mas eu n o tenho nenhuma viagem programada Bem disse o interlocutor com uma risada amistosa Voc tem certeza de que n o quer ir a S o Francisco Se voc acha que pode convencer o meu chefe retruca Peter brincando com a conversa amistosa Parece que houve alguma confus o salienta o interlocutor No nosso sistema tomamos as provid ncias de viagem pelo n mero de empregado Talvez algu m tenha usado o n mero errado Qual o seu n mero de empregado Peter informa o seu n mero E por que n o Ele aparece em quase todos os formul rios pessoais que preenche muitas pessoas da empresa t m acesso a ele recursos humanos folha de pagamento e obviamente a ag ncia externa de viagens Ningu m tra
9. es e os servi os da Internet Como todos os servi os de tempo critico podem ser afetados uma senha secreta necess ria para verificar se o interlocutor est autorizado a fazer esses pedidos Observe tamb m que n o devem ser usados identificadores tais como o n mero do seguro social o n mero de identifica o de contribuinte na Receita Federal o nome de solteira da m e ou outros identificadores semelhantes Um engenheiro social pode por exemplo ligar para a empresa de telefonia e fazer pedidos para a inclus o de recursos tais como o encaminhamento de chamadas para linhas de modem por disca gem ou pode fazer uma solicita o ao provedor de servi os da Internet para mudar as informa es de convers o para fornecer um endere o IP falso quando os usu rios executarem uma pesquisa de nome de host 4 1 3 Pessoal de contato no departamento Pol tica A sua empresa pode instituir um programa no qual cada departamento ou grupo de trabalho designa a um empregado a responsabilidade de agir como um ponto de contato para que todo o pessoal possa facilmente verificar a identidade das pessoas desconhecidas que alegam ser daquele departamento Por exemplo o help desk pode entrar em contato com essa pessoa para verificar a identidade de um empregado que est solicitando suporte Explica o Observa es Este m todo de verifica o da identidade reduz o conjunto de empregados que est o autorizados a certificar os empregados d
10. o 1 3 2 Verifica o de autoriza es por fax Pol tica Antes de executar quaisquer instru es recebidas por fax o remetente deve ser con firmado como um empregado ou Pessoa de Confian a Geralmente uma liga o telef nica para o remetente para verificar a solicita o suficiente Explica o Observa es Os empregados devem tomar cuidado quando solicita es incomuns s o enviadas por fax tal como uma solicita o para entrar comandos em um computador ou divulgar informa es Os dados do cabe alho de um documento enviado por fax podem ser fal sificados pela altera o das defini es da m quina de fax remetente Assim sendo o cabe alho de um fax n o deve ser aceito como um meio de estabelecer a identidade ou autoriza o 1 3 3 Enviando informa es sigilosas por fax Pol tica Antes de enviar informa es Sigilosas por fax para uma m quina que esteja localiza da em uma rea acessada por outros funcion rios o remetente deve transmitir uma p gina de rosto O destinat rio ao receber a p gina transmite uma p gina de resposta para demonstrar que ele est presente fisicamente na m quina de fax Em seguida o remetente retransmite o fax Explica o Observa es Este processo garante ao remetente que o destinat rio est pre sente fisicamente no lado receptor Al m disso confirma se o n mero do telefone do fax de recep o n o foi encaminhado para outra localiza o 1 3 4
11. rio devem ser aprovadas por escrito pelo gerente do dono da conta Quando a altera o for feita uma confirma o deve ser enviada para o gerente do solicitando pelo correio interno da empresa Al m disso tais solicita es devem ser verificadas como aut nticas de acordo com os Procedimentos de Verifica o e Autoriza o Cap tulo 16 Recomenda es de Pol ticas de Seguran a das Informa es Corporativas 231 Explica o Observa es Depois que um intruso de computador comprometeu uma conta de usu rio padr o a pr xima etapa aumentar seus privil gios para que ele tenha o controle completo do sistema comprometido Um atacante que tem conhecimento do processo de autoriza o pode forjar uma solicita o autorizada quando forem usados correio eletr nico fax ou telefone para transmiti la Por exemplo ele pode ligar para o suporte t cnico ou o help desk e tentar convencer um t cnico a conceder direitos de acesso adicionais para a conta comprometida 6 4 Nova autoriza o de conta Pol tica Quando for preciso criar uma conta nova para um empregado contratado ou outra pessoa autorizada essa solicita o deve ser feita por escrito e assinada pelo gerente do empregado ou enviada por correio eletr nico assinado digitalmente Essas solicita es tamb m devem ser verificadas pelo envio de uma confirma o de solicita o por meio do correio interno da empresa Explica o Observa es Como as senhas e outras
12. Ataques de Hackers Controlando o Fator Humano na Seguran a da Informa o MAKRON Books Education Pref cio de Steve Wozniak Digitalizado por DIVONCIR As aventuras de Kevin Mitnick como cibercriminoso e fugitivo de uma das ca adas mais exaustivas da hist ria do FBI deram origem a dezenas de artigos livros filmes e document rios Desde que foi solto de uma pris o federal Mitnick deu uma virada na sua vida e estabeleceu se como um dos especialistas em seguran a de computadores mais requisitados de todo o mundo Neste livro o hacker mais famoso do mundo fornece orienta es espec ficas para o desenvolvimento de protocolos programas de treinamento e manuais para garantir que o investimento em seguran a t cnica sofisticada de uma empresa n o seja em v o Ele d conselhos sobre como evitar vulnerabilidades de seguran a e espera que as pessoas estejam sempre preparadas para um ataque vindo do risco mais s rio de todos a natureza humana MITNICK A ARTE DE ENGANAR Ataques de Hackers Controlando o Fator Humano na Seguran a da Informa o Tradu o K tia Aparecida Roque Revis o T cnica Olavo Jos Anchieschi Gomes Coordenador de projetos de seguran a em informa es Especialista em seguran a de redes e ethical hacking Atua no desenvolvimento de pol ticas de seguran a e an lise de vulnerabilidades em redes LAN WAN S o Paulo Brasil Argentina Co
13. Lamo Leo Laporte Mitch Leventhal Cynthia Levin CS Little Jonathan Littman Mark Maifrett Brian Martin Forrest McDonald Kerry McElwee Alan McSwain Elliott Moore Michael Morris Eddie Munoz Patrick Norton Shawn Nunley Brenda Parker Chris Pelton Kevin Poulsen Scott Press Linda e Art Pryor Jennifer Reade Israel e Rachel Rosencrantz Mark Ross William Royer Irv Rubin Ryan Russell Neil Saavedra Wynn Schwartu Pete Shipley Joh Siff Dan Sokol Trudy Spector Matt Spergel Eliza Amadea Sultan Douglas Thomas Roy Tucker Bryan Turbow Ron Wetzel Don David Wilson Darci Wood Kevin Wortman Steve Wozniak e todos os meus amigos da repetidora W6NUT 147 435 MHz de Los Angeles O meu oficial da condicional Larry Hawley merece meus agradecimentos especiais por me dar permiss o para atuar como conselheiro e consultor sobre quest es relacionadas com seguran a sendo autor deste livro Finalmente devo reconhecer os homens e mulheres da pol cia N o guardo m goas dessas pessoas que est o apenas fazendo seu trabalho Acredito que colocar o interesse do p blico frente do pr prio interesse e dedicar a sua vida ao servi o p blico algo que merece respeito e embora tenha sido ar rogante s vezes quero que todos voc s saibam que amo o meu pa s e farei tudo o que estiver ao meu alcance para ajudar a torn lo um lugar mais seguro no mundo motivo pelo qual escrevi este livro DE BILL SIMON Acredito que h uma pessoa
14. alguns minutos vou tentar transferir 96 A Arte de Enganar Quando Mary atendeu o telefone contei a minha hist ria sobre os problemas no computador a qual criei para fazer com que ela se sentisse feliz em cooperar Assim que a ensinei a mudar a senha rapidamente eu fiz o login no sistema com a mesma senha tempor ria que pedi para ela usar testl23 aqui que entra a arte do plano instalei um pequeno programa que me permitia acessar o sis tema de computadores da empresa sempre que desejasse usando uma senha secreta pr pria Depois de falar com Mary a minha primeira etapa foi apagar o controle de auditoria para que ningu m jamais soubesse que eu havia estado no sistema Isso foi f cil Ap s elevar meus privil gios de sistema pude fazer o download de um programa gr tis chamado clearlogs que encontrei em um site Web relacio nado com seguran a em www ntsecurity nu Agora estava na hora do trabalho de verdade Fiz uma pesquisa de todos os documentos que ti nham a palavra contrato no nome do arquivo e fiz o download dos arquivos Em seguida pesquisei um pouco mais e descobri o melhor o diret rio que continha todos os relat rios de pagamentos de consultoria Assim sendo juntei todos os arquivos de contratos e uma lista dos pagamentos Alice podia olhar os contratos e ver quanto eles estavam pagando para os outros consultores Deixei que ela tivesse o trabalho de procurar em todos aqueles arquivos Eu j havia f
15. dedicado ao meu querido amigo Jack Biello cuja morte recente de c ncer assim que terminamos o manuscrito deste livro me deixou uma sensa o imensa de perda e tristeza Esta obra n o teria sido poss vel sem o amor e apoio da minha fam lia Minha m e Shelly Jaffe e minha av Reba Vartanian deram me amor incondicional e apoio durante toda a minha vida Sou feliz por ter sido criado por uma m e t o amorosa e dedicada que tamb m a minha melhor amiga A minha av tem sido uma segunda m e para mim dando me o mesmo cuidado e amor que apenas uma m e poderia dar Como pessoas cuidadosas e generosas elas me ensinaram os princ pios de amar o pr ximo e cuidar dos menos afortunados Assim sendo imitando o padr o de generosidade e carinho de certa forma eu sigo os seus passos Espero que me perdoem por t las colocado em se gundo lugar enquanto estava escrevendo deixando de v las com a desculpa do trabalho e dos prazos a cumprir Este livro n o teria sido poss vel sem o amor constante e apoio que guardarei sempre em meu cora o Como queria que o meu pai Alan Mitnick e o meu irm o Adam Mitnick tivessem vivido o sufi ciente para abrir uma garrafa de champanhe comigo no dia em que este livro foi para as livrarias Como vendedor e dono de empresa meu pai me ensinou muitas coisas boas das quais nunca me esquecerei Durante os ltimos meses da vida de meu pai pude estar ao seu lado para confort lo da melhor manei ra qu
16. descoberta de que a empresa foi v tima de um truque Recado do Mitnick A intimida o pode criar o medo de ser punido e influenciar as pessoas para que coo perem Pode tamb m criar o medo de uma situa o embara osa ou de ser desqualifi cado para a nova promo o As pessoas devem ser treinadas para saber que n o apenas aceit vel mas tam b m esperado o desafio autoridade quando a seguran a est em jogo O treinamento para a seguran a das informa es deve incluir o ensino de como desafiar a autoridade de maneiras amistosas ao cliente sem danificar os relacionamentos Al m disso essa expectativa deve receber suporte de cima para baixo Se um empregado n o tiver apoio ao desafiar as pessoas independentemente de seus status a rea o normal parar o desafio exatamente o oposto daquilo que voc quer O QUE A ADMINISTRA O DO SEGURO SOCIAL SABE SOBRE VOC Gostamos de achar que os rg os do governo que t m informa es sobre n s mant m essas informa es muito bem trancadas longe das pessoas que n o t m uma necessidade verdadeira de conhec las A verdade que at mesmo o governo federal n o est imune s invas es como gostar amos de pensar A liga o telef nica de May Linn Local Um escrit rio regional da Administra o do Seguro Social Hora 10hl8 manh de ter a feira M dulo tr s Aqui May Linn Wang A voz do outro lado do telefone parecia estar pedindo des
17. e ele j sabia que ela era resistente a um ataque de dicion rio Mas Ivan ainda n o desistira ele ainda tinha mais alguns truques para experimentar Em alguns sistemas operacionais Windows e UNIX os hashes de senha as senhas criptografa das est o dispon veis para todos que tenham acesso ao computador no qual eles est o armazenados O racioc nio que as senhas criptografadas n o podem ser descobertas e portanto n o precisam estar Cap tulo 11 Combinando a Tecnologia e a Engenharia Social 151 protegidas Essa teoria est errada Usando outra ferramenta chamada pwdump3 a qual tamb m est dispon vel na Internet ele p de extrair os hashes de senha da m quina ATM6 e fez o seu download Um arquivo t pico de hashes de senhas se parece com este Administrator 500 95E4321A38AD8D6AB7SE0C8D76954A50 2E48927A0 B04F3BFB341E26F6D6E9A97 a k a s p e r 1 1 10 5 A8 D7 E9 E3 C 3 9 5 4 F 6 4 2 C 5 C 7 3 6 3 0 6 C B F E F 3 9 3 C E 7 F 9 0 A 8 3 57 F157873D72D0490821 digger 1111 5D15C0D58DD2 16C525AD3B83F A6627C7 17AD5641443 0 8 B 4 2B8403D01AE256558 e l l g a n 1 1 1 2 2 0 1 7 D4 A5 D8 D1 3 8 3 E F F 1 7 3 6 5 F A F l F F E8 9 0 7 A E C 9 5 0 C 2 2 C B B 9 C2C734EB89320DB13 tabeck 1115 9F5 890B3FECCAB7EAAD3B4 35B5140 4 E E 1F0115A72844721 2FC05E1D2D820B35B vkantar 1116 8 1A6A5D035596E7DAAD3B435B51404EE B 9 3 3 D3 6 DD12258 946FCC7BD153F1CD6E vwallwi
18. es do sistema operacional o adminis trador de sistemas deve implantar essa pol tica pela configura o dos par metros de seguran a no software de sistema 7 24 Altera o peri dica das senhas de usu rio Pol tica Todos os donos de contas devem alterar suas senhas pelo menos a cada 60 dias Explica o Observa es Nos sistemas operacionais que fornecem este recurso o admi nistrador de sistemas deve implantar esta pol tica pela configura o dos par metros de seguran a no software 7 25 Configura o de senha de conta nova Pol tica As contas novas de computador devem ser estabelecidas com uma senha inicial com vencimento pr vio para que o dono da conta tenha de selecionar uma senha nova ao iniciar o uso Explica o Observa es Este requisito garante que apenas o dono da conta tenha conhe cimento de sua senha 7 26 Senhas de inicializa o Pol tica Todos os sistemas de computador devem estar configurados para exigir uma senha de inicializa o Explica o Observa es Os computadores devem estar configurados para solicitar uma senha ao serem ligados e antes de o sistema operacional ser inicializado Isso evita que uma pessoa n o autorizada ligue e use o computador de outra pessoa Esta pol tica aplica se a todos os computa dores das instala es da empresa 7 27 Requisitos de senha para as contas privilegiadas Pol tica Todas as contas com privil gios devem ter uma senha segura c
19. ex empregado mude a sua senha Quando fui demitido da GTE apenas por causa da minha reputa o de hacker a empresa exigiu que todos os empregados de toda a empresa mudassem suas senhas 1 7 2 Notifica o ao departamento de TI Pol tica Sempre que uma pessoa empregada pela empresa sai ou demitida o departamento de Recursos Humanos deve notificar imediatamente o departamento de tecnologia da informa o para desativar as contas de computador do ex empregado incluindo todas as contas usadas para o acesso a bancos de dados discagem ou acesso Internet de localiza es remotas Explica o Observa es essencial que todo o acesso do ex funcion rio a todos os sistemas de computadores dispositivos de rede bancos de dados ou quaisquer outros dispositivos relacionados com computador sejam imediatamente desativados ap s o seu desligamento Caso con tr rio a empresa pode deixar a porta aberta para que um empregado insatisfeito acesse os sistemas de computadores da empresa e cause danos significativos 1 7 3 Informa es confidenciais usadas no processo de contrata o Pol tica Os an ncios e as outras formas de solicita o p blica de candidatos para o preen chimento de vagas devem na medida do poss vel evitar a identifica o do hardware e software de computador usado pela empresa Explica o Observa es Os gerentes e o pessoal de recursos humanos s devem divulgar as informa es relacionadas com o
20. fazer com que um empregado execute um programa malicioso que cria uma vulnerabilidade e fornece ao atacante o acesso ao sistema Ao enviar um anexo de correio eletr nico que tem um c digo execut vel ou macros o atacante pode ter o controle do computador do usu rio Um engenheiro social pode enviar um anexo de correio eletr nico malicioso e em seguida pode ligar e tentar persuadir o destinat rio para que ele abra o anexo 11 2 Encaminhamento autom tico para endere os externos Pol tica Deve ser proibido o encaminhamento autom tico de mensagens recebidas por correio eletr nico para um endere o de correio eletr nico externo Explica o Observa es A inten o desta pol tica evitar que um estranho receba uma mensagem de correio eletr nico enviada para um endere o de correio eletr nico interno Eventualmente os empregados configuram o encaminhamento das mensagens de correio eletr nico recebidas para um endere o fora da empresa quando eles est o fora do escrit rio Ou ent o um atacante pode conseguir enganar um empregado para que ele configure um endere o de correio ele tr nico interno que encaminhado para um endere o fora da empresa Em seguida ele pode se fazer passar como um empregado leg timo que tem um endere o de correio eletr nico interno da empresa e fazer com que as pessoas enviem informa es Confidenciais para o endere o de correio eletr nico interno 11 3 Encaminhando mensagens
21. o que permite que as pessoas mudem suas senhas Voc poderia perder mais alguns minutos para eu ver se est tudo funcionando direito Ela estava agradecida pela ajuda que ele havia dado e concordou prontamente Peter narrou as etapas para abrir o aplicativo que permite que um usu rio mude as senhas um elemento padr o do sistema operacional Windows 2000 Agora insira a sua senha ele pediu Mas lembre se de n o diz la em voz alta Quando ela terminou Peter acrescentou S para este teste quando o sistema pedir a nova senha digite test123 Em seguida digite novamente na caixa Verifica o e clique em Enter Ele disse como ela deveria se desconectar do servidor Pediu para ela aguardar alguns minutos antes de se conectar novamente desta vez tentando fazer o logon com a nova senha Tudo funcionou muito bem Peter parecia muito satisfeito e fez com que ela mudasse de volta para a senha original ou selecionasse uma nova e mais uma vez avisou para ela n o falar a senha em voz alta Bem Mary Peter finalizou N o encontramos nenhum problema e isso timo Ou a se surgir algum problema ligue para n s aqui na Arbuckle Geralmente trabalho em projetos especiais mas qualquer pessoa que atender pode ajud la Ela agradeceu e eles se despediram A hist ria de Peter A not cia corria sobre Peter algumas das pessoas da sua comunidade que haviam estudado com ele ouviram falar que ele se transformara em um
22. rea geogr fica na qual a ocorr ncia foi feita Cap tulo 13 Trapa as Inteligentes 175 Os policiais s o intimados a aparecer em ju zo com regularidade de acordo com o territ rio Quando um promotor p blico ou um advogado de defesa precisam que um oficial testemunhe se ele souber como o sistema funciona primeiro verifica se o oficial estar dispon vel Isso f cil de fazer basta uma liga o telef nica para o atendente de intima es daquela ag ncia Em geral nessas conversas o advogado pergunta se o oficial em quest o estar dispon vel em tal data Para este golpe Paul precisava ter um pouco de tato Ele tinha de oferecer um motivo plaus vel para que o atendente lhe dissesse as datas em que o oficial n o estaria dispon vel Quando foi ao tribunal pela primeira vez por que Paul simplesmente n o disse ao atendente da corte a data que ele queria Pelo que entendi os atendentes do tribunal de tr nsito na maior parte dos lugares n o permitem que membros do p blico selecionem as datas de julgamento Se uma data suge rida pelo atendente n o servir para a pessoa ela tem uma ou duas alternativas mas isso o m ximo que consegue Por sua vez todos que estiverem dispostos a aparecer para uma apela o t m mais chances de ter sorte Paul sabia que ele tinha direito a uma apela o E sabia que os juizes quase sempre est o dispos tos a atender uma solicita o de data espec fica nesses casos Assim sendo
23. Ele come ou a pensar em outras maneiras de usar esse talento e o caminho o levou a um campo muito mais lucrativo a espionagem corporativa Esse era um cargo quente N o parecia que seria preciso muito tempo e esfor o para pagar uma viagem para o Hava Ou talvez para o Taiti O rapaz que me contratou n o me contou quem era o cliente claro mas parecia ser alguma em presa que queria acabar com a concorr ncia em um salto nico r pido e f cil Tudo que eu precisava fazer era obter os projetos e especifica es de produto de um dispositivo novo chamado heart stent independente do que fosse A empresa chamava se GeminiMed Eu nunca ouvira falar dela mas ela era uma das empresas da Fortune 500 com escrit rios em meia d zia de lugares o que tomava o trabalho mais f cil do que em uma empresa na qual h boas chances de a pessoa com quem voc est falando conhecer o funcion rio que voc diz ser e saber que voc n o ele Isso como dizem os pilotos sobre uma colis o em pleno ar pode arruinar todo o seu dia O meu cliente enviou me um fax uma parte de uma revista m dica que dizia que a GeminiMed estava trabalhando em um heart stent com um novo desenho radical o qual seria chamado de STH 100 Para ajudar algum rep rter j havia feito grande parte do trabalho para mim Tinha uma coisa que eu precisava ter antes mesmo de come ar o nome do novo produto Cap tulo 5 Posso Ajudar 55 Primeiro problema obte
24. Ele disse a Jessica que o hor rio seria 12h30 mas fez a reserva da mesa para 13h00 em um restaurante caro Ele esperava que eles ficariam no bar tomando uns drinques e foi isso exatamente o que aconteceu Uma oportunidade perfeita para conversar com cada indiv duo Mesmo assim havia muitas chances de algo dar errado Uma resposta errada ou uma observa o descuidada poderiam revelar que Rick era um impostor Apenas um espi o industrial extremamente confiante e ardiloso se arriscaria a expor se dessa maneira Mas anos de trabalho nas ruas como esse haviam aumentado as habilidades e a confian a de Rick para que mesmo que cometesse um deslize ele pudesse se recuperar bem o suficiente para n o levantar suspeitas Essa era a parte mais dif cil o momento mais perigoso de toda a opera o e a adrenalina que sentiu ao realizar um golpe como esse fez com que percebesse que n o precisava dirigir carros de corrida fazer surf a reo ou enganar a sua mulher ele j tinha emo o suficiente no seu trabalho Ele se perguntava quantas pessoas poderiam dizer o mesmo Recado do Mitnick Embora a maioria dos ataques da engenharia social ocorra pelo telefone ou e mail voc n o deve supor que um atacante audacioso nunca aparecer em pessoa na sua empre sa Na maioria dos casos o impostor usa alguma forma de engenharia social para ter acesso a um pr dio ap s falsificar o crach de um empregado usando um programa de software comum como o Ph
25. Ele disse que sim e concordou em ir at l para mim Ele disse que isso levaria alguns minutos e eu respondi que ligaria para ele dando a desculpa de que estava usando a nica linha telef nica dispon vel e que a estava usando para discar para a rede para tentar resolver o problema Ele j estava l esperando quando liguei e eu lhe expliquei onde encontraria a console na qual eu estava interessado Ele teria de procurar a console que tinha um banner de papel escrito Cap tulo 12 Ataques aos Empregados Iniciantes 157 elmer o host que J lia disse que era usado para criar as vers es do sistema operacional que a empresa comercializava Quando ele disse que tinha encontrado eu soube com certeza que J lia nos passou boas informa es e o meu cora o disparou Pedi para ele dar Enter algumas vezes e ele comentou que um sinal de libra aparecia Isso indicava que o computador estava conectado como raiz a conta de superusu rio com todos os privil gios de sistema Ele n o era um bom digi tador e foi uma dificuldade faz lo digitar o meu pr ximo comando o qual era meio complicado mesmo echo fix x 0 0 bin sh gt gt etc passwd Finalmente ele conseguiu e agora pod amos dar um nome de corre o para a conta Em seguida fiz com que ele digitasse echo fix 10300 0 0 gt gt etc shadow Isso estabeleceu a senha criptografada a qual colocada entre dois pontos duplos Se n o houver nada
26. Financial losses due to Internet intrusions trade secret theft and other cyber crimes soar Press release EPSTEIN Edward Jay N o publicado The Diamond Invention HOLWICK Rev David Relato n o publicado O Sr Rifkin teve a gentileza de reconhecer que os relatos dessa explora o diferem porque ele protegeu o seu anonimato negando se a ser entrevistado CAP TULO 16 CIALDINI Robert B Influence Science and Practice Allyn and Bacon 4 ed 2000 The Science of Persuasion Scientific American 284 2 fev 2001 CAP TULO 1 7 Algumas pol ticas deste cap tulo baseiam se nas id ias contidas em Wood Charles Cresson Information Security Policies Made Easy Baseline Software 1999 Agradecimentos DE KEVIN MITNICK A verdadeira amizade foi definida como uma s mente em dois corpos Poucas pessoas na vida de algu m podem ser chamadas de verdadeiros amigos Jack Biello foi uma pessoa dedicada e amiga que reclamou contra o tratamento ruim ao qual fui submetido nas m os de jornalistas e dos advoga dos do governo Ele foi uma voz forte do movimento Liberdade para Kevin e um escritor de talento extraordin rio que elaborou artigos expondo as informa es que o governo n o queria que as pessoas soubessem Jack sempre me apoiou sem medo de falar por mim e de trabalhar comigo na prepara o de discursos e artigos e em determinado ponto ele me representou como porta voz junto m dia Assim sendo este livro
27. O presente pode ser um item material um conselho ou ajuda Quando algu m fez algo para voc voc sente uma inclina o a retribuir Essa forte tend ncia de retribuir existe nas situa es em que a pessoa que recebe o presente n o pediu por ele Uma das maneiras mais eficazes de influenciar as pessoas para nos fazer um favor atender a uma solicita o dar algum presente ou aux lio que se constitui em uma obriga o impl cita Os membros do culto religioso Hare Krishna conseguiam ser muito eficazes ao influenciar as pessoas a fazerem doa es para a sua causa dando primeiro um livro ou uma flor de presente Se o destinat rio tentasse devolver o livro eles recusavam e observavam Este o nosso presente para voc Esse princ pio comportamental de reciprocidade era usado pelos Krishnas para aumentar de forma substancial as doa es Exemplo de ataque um empregado recebe uma liga o de uma pessoa que se identifica como sendo do departamento de TI O interlocutor explica que alguns computadores da empresa foram infectados por um v rus novo que n o reconhecido pelo software antiv rus e que pode destruir todos os arquivos de um computador Ele se oferece para instruir a pessoa a tomar algumas medidas para evitar problemas Depois disso o interlocutor pede que a pessoa teste um utilit rio de software que acabou de ser atualizado recentemente o qual permite que os usu rios mudem as senhas O empregado reluta em recusar
28. Os intrusos de computador s vezes se d o ao trabalho de obter um emprego como um meio de ter acesso aos sistemas e redes de computadores de uma empresa alvo Um atacante pode obter facilmente o nome da empresa de limpeza contratada por uma companhia ligando para o empregado respons vel na companhia alvo alegando ser de uma empresa de limpeza que est procurando clien tes e em seguida obtendo o nome da empresa que no momento fornece esses servi os POL TICAS PARA A SEGURAN A F SICA Embora os engenheiros sociais tentem evitar aparecer pessoalmente em um local de trabalho que o seu alvo existem ocasi es em que eles violam esse espa o Estas pol ticas ajudam voc a manter as suas instala es f sicas seguras contra essa amea a 18 1 Identifica o para n o empregados Pol tica O pessoal de entrega e outros n o empregados que precisam entrar nas instala es da empresa regularmente devem ter um crach especial ou outra forma de identifica o de acordo com a pol tica estabelecida pela seguran a corporativa Explica o Observa es Os n o empregados que precisam entrar no pr dio regularmente por exemplo para fazer entregas de alimentos ou bebidas no restaurante ou para consertar m quinas copiadoras e instalar telefones devem ter um crach de identifica o da empresa que c usado para essa finalidade 260 A Arte de Enganar As outras pessoas que precisam entrar apenas eventualmente ou uma s vez de
29. Quando um atacante analisa uma estrat gia de ataque ele tenta identificar os usu rios que acessam a rede corporativa de localiza es externas Como tal os teleco Cap tulo 16 Recomenda es de Pol ticas de Seguran a das Informa es Corporativas 257 mutadores s o os alvos prim rios Seus computadores t m menos chances de ser rigidamente contro lados e podem ser um elo fraco que comprometa a rede corporativa Todo computador que se conecta a uma rede segura pode ser invadido por meio das teclas digi tadas ou sua conex o autenticada pode ser seq estrada Uma estrat gia de cliente thin pode ser usada para evitar problemas Um cliente thin como uma esta o de trabalho sem disco ou um terminal burro O computador remoto n o tem capacidades de armazenamento mas o sistema operacional os programas de aplicativos e os dados residem todos na rede corporativa O acesso da rede por meio de um cliente thin diminui substancialmente o risco dos sistemas sem patch dos sistemas operacionais desatualizados e do c digo malicioso Da mesma forma o gerenciamento da seguran a dos telecomutadores efetivo e mais f cil pela centraliza o dos controles de seguran a Em vez de usar o telecomutador inexperiente para gerenciar adequadamente as quest es relacionadas com seguran a essas responsabilidades s o deixadas para os administradores treinados de sistema rede ou seguran a 16 2 Software de seguran a para os sistemas de c
30. Voc quer saber o telefone de algu m que n o est na lista Um engenheiro social pode lhe dar meia d zia de maneiras e voc encontrar algumas delas descritas nas hist rias deste livro mas provavel mente o cen rio mais simples aquele que usa uma nica liga o telef nica como esta a seguir O n mero por favor O atacante discou para o n mero particular da empresa de telefonia do MLAC o Centro Mecanizado de Designa o de Linhas Uma mulher respondeu e ele disse Ol aqui e Paul Anthony Eu sou um t cnico de cabos Ou a uma caixa de terminal aqui foi queima da em um inc ndio Os policiais acham que algum maluco tentou queimar sua pr pria casa para receber o seguro Eles me mandaram aqui sozinho para tentar refazer a fia o de todo este terminal de duzentos pa res Eu estou precisando de ajuda Quais instala es deveriam estar funcionando na South Main 6723 Em outras empresas de telefonia a pessoa chamada deveria saber que as informa es de pesquisa inversa sobre os n meros n o publicados devem ser fornecidas apenas para o pessoal autorizado da pr pria empresa de telefonia Mas o MLAC s conhecido dos empregados da empresa de telefonia E embora eles nunca de m informa es para o p blico quem iria se recusar a ajudar um homem da em presa que est tentando dar conta de uma tarefa dif cil Ela lamentou o fato porque ela mesma j havia tido dias ruins no trabalho e poderia quebrar um pouco as
31. conta de convidado agora eu tinha acesso a um computador o qual por acaso executava uma vers o mais antiga do sistema operacional UNIX No UNIX o sistema operacional mant m um arquivo de senha que contem as senhas criptografadas de todos que est o autorizados a acessar aquele computador O arquivo de senhas cont m o hash de uma via ou seja uma forma de criptografia que irrevers vel da senha de cada usu rio Com um hash de uma via uma senha real justdoit por exemplo seria representada como um hash na forma criptografada neste caso o hash seria converti do pelo UNIX em treze caracteres alfanum ricos Quando Billy Bob quer transferir alguns arquivos para um computador ele deve identificar a si mesmo fornecendo um nome de usu rio e uma senha O programa do sistema que verifica essa Jarg o Senha hash Uma string de coisas inintelig veis que resulta do processamento de uma senha por meio de um processo de criptografia de uma via O processo deve ser irre vers vel ou seja acredita se que n o poss vel reconstruir a senha a partir do hash Cap tulo 5 Posso Ajudar 57 autoriza o criptografa a senha que ele insere e em seguida compara o resultado com a senha crip tografada o hash contida no arquivo de senhas Se as duas coincidirem o acesso concedido Como as senhas do arquivo estavam criptografadas o arquivo em si foi disponibilizado para todo usu rio com base na teoria de que n o h um modo con
32. desenvolvendo e pediu o n mero de telefone do l der de projeto da equipe de desenvolvimento de jogos Em seguida ligou para a pessoa cujo nome lhe deram e fingiu ser um funcion rio de TI No final desta noite ele disse vamos trocar um roteador e precisamos ter certeza de que o pessoal da nossa equipe n o vai perder a conectividade com o seu servidor Assim sendo precisamos saber quais servidores a sua equipe usa A rede estava sempre sendo atualizada E dar o nome do servidor n o causaria dano nenhum n o Como ele eslava protegido por senha apenas o nome n o adiantaria Cap tulo 11 Combinando a Tecnologia e a Engenharia Social 149 para algu m que quisesse invadir o sistema Assim sendo a v tima deu ao atacante o nome do servi dor Ele nem se importou de ligar para o homem de volta e verificar a hist ria nem tampouco anotou o seu nome e n mero de telefone Ele apenas deu o nome dos servidores ATM5 e ATM6 O ataque da senha Nesse ponto Ivan usou uma abordagem t cnica para obter as informa es de autentica o A primeira etapa da maioria dos ataques t cnicos a sistemas que fornecem a capacidade de acesso remoto a identifica o de uma conta com uma senha fraca a qual fornece um ponto de entrada inicial para o sistema Quando um atacante tenta usar as ferramentas de hacking para identificar remotamente as senhas o esfor o pode exigir que ele permane a conectado rede da empresa durante horas de cada
33. desta vez ouvindo com cuidado para ter certeza de que estava falando com uma pessoa diferente Ele foi atendido por uma senhora e novamente disse ser do Centro de Computadores da universidade Contou que estavam instalando um novo sistema de produ o para os registros administrativos Como um favor ele gostaria que ela se conectasse ao sistema novo ainda no modo de teste para saber se ela conseguiria acessar os registros acad micos dos alunos Ele deu a ela o endere o IP para a conex o e a orientou nesse processo Na verdade o endere o IP levou at o computador no qual Michael estava sentado na biblioteca do campus Usando o mesmo processo descrito neste cap tulo ele havia criado um simulador de login uma tela simulada de login que se parecia com aquela que ela estava acostumada a ver quando entrava no sistema para acessar os registros dos alunos N o est funcionando ela lamentou Ele fica dizendo Login incorreto Nesse ponto o simulador de login havia passado as teclas digitadas com o seu nome de conta e senha para o terminal de Michael Miss o cumprida Ele explicou a ela Ah algumas das contas ainda n o foram trazidas para esta m quina Vou configurar a sua conta e ligo de volta Tomando o cuidado de n o deixar pontas soltas como todo engenheiro social eficiente deve fazer ele ligou mais tarde para dizer que o sistema de testes ainda n o estava funcionando corretamente e se ela permitis se ele ou o
34. es ou assinatura n o s o descarregados para os desktops dos usu rios estes devem ter a responsabilidade de atualizar os arquivos de defini es pelo menos uma vez por semana Essas medidas aplicam se a todas as m quinas desktop e laptops usados para acessar os sistemas de computadores da empresa e devem ser seguidas mesmo que o computador seja de propriedade da empresa ou pessoal 7 1 8 Anexos de mensagens de correio eletr nico recebidas requisitos de alta seguran a Pol tica Em uma organiza o com requisitos altos de seguran a o firewall corporativo deve ser configurado para filtrar todos os anexos de correio eletr nico Explica o Observa es Esta pol tica aplica se apenas s empresas que t m requisitos de seguran a altos ou quelas que n o t m uma necessidade comercial de receber anexos por meio de mensagens de correio eletr nico 7 19 Autentica o de software Pol tica Todo software corre o ou atualiza o de software novo seja em m dia f sica ou obtida pela Internet deve ter sua autenticidade verificada antes da instala o Esta pol tica parti cularmente relevante para o departamento de TI quando for instalado qualquer software que requer privil gios de sistema Explica o Observa es O software de computador referido nesta pol tica inclui os com ponentes do sistema operacional o software de aplicativo as corre es emergenciais os patches ou quaisquer atualiza e
35. imediatamente o departa mento de tecnologia da informa o para que eles desativem as contas de computador do contratado incluindo todas as contas usadas para o acesso a bancos de dados discagem ou o acesso Internet de localiza es remotas Explica o Observa es Quando o contrato de trabalho de um funcion rio termina sempre h o perigo de que ele use o conhecimento dos sistemas e procedimentos da empresa para ter acesso aos dados Todas as contas de computador usadas ou de conhecimento do funcion rio devem ser prontamente desativadas Isso inclui as contas que fornecem o acesso aos bancos de dados de produ o s contas de discagem remota e a todas as contas usadas para acessar os dispositivos rela cionados com computadores Cap tulo 16 Recomenda es de Pol ticas de Seguran a das Informa es Corporativas 225 4 5 Organiza o do relat rio de incidentes Pol tica Uma organiza o de relat rio de incidentes deve ser estabelecida ou nas empresas menores uma pessoa e um substituto encarregados do relat rio de incidentes devem ser designados para receber e distribuir os alertas relativos a poss veis incidentes de seguran a em andamento Explica o Observa es Centralizando o relat rio de incidentes suspeitos de seguran a um ataque que possa ter passado despercebido pode ser detectado No caso de ataques sistem ticos em toda a organiza o serem detectados e relatados a organiza o de relat rio
36. malicioso mesmo que a inten o seja espionar outra pessoa Assim sendo o equivalente para computador os grampos de telefone n o podem ser percebidos e criam riscos que cada um de n s possa estar sendo ilegalmente monitorado a qualquer momento Obviamente os fabri cantes de software antivirus podem argumentar que o spyware pode ser usado para finalidades leg timas e portanto n o deve ser tratado como malicioso Mas determinadas ferramentas que j foram usadas pela comunidade dos hackers as quais agora s o distribu das ou vendidas livremente como software relacionado com seguran a s o tratadas como c digo malicioso Existem dois padr es aqui e eu continuo me perguntando por qu Outro item que oferecido no mesmo e mail prometia capturar telas do computador do usu rio como se houvesse uma c mera de v deo olhando por cima dos seus ombros Alguns desses produ tos de software nem exigem o acesso f sico ao computador da v tima Basta instalar e configurar o aplicativo remotamente e voc tem um grampo instant neo de computador O FBI deve amar essa tecnologia Com o spyware dispon vel t o facilmente a sua empresa precisa estabelecer dois n veis de prote o Voc deve instalar o software de detec o do spyware tal como o SpyCop dispon vel em www spycop com em todas as esta es de trabalho e deve exigir que os empregados iniciem varreduras peri dicas Al m disso voc deve treinar os empregados contra o
37. manipula o Ter amos uma vida dif cil se tiv ssemos de estar sempre em guarda e desconfiando dos outros preocupados com o fato de sermos feitos de bobos por algu m que est tentando se aproveitar de n s Em um mundo perfeito confiar amos implicitamente nos outros certos de que as pessoas que encontramos ser o ho nestas e confi veis Mas n o vivemos em um mundo perfeito e portanto temos de exercer um padr o de vigil ncia para repelir os esfor os fraudulentos dos nossos advers rios As principais partes deste livro as Partes 2 e 3 s o formadas por hist rias que mostram os enge nheiros sociais em a o Nessas se es voc ler sobre O que os phreaks hackers da telefonia descobriram h anos um m todo simples para obter um n mero de telefone n o relacionado na empresa de telefonia V rios m todos diferentes usados pelos atacantes para convencer at mesmo os empregados alertas e desconfiados a revelarem seus nomes de usu rio e as senhas de computador Como um gerente do Centro de Opera es cooperou para permitir que um atacante roubasse as informa es de produto mais secretas da sua empresa Os m todos de um atacante que enganou uma senhora para baixar software que espia cada tecla que ela digita e envia os detalhes por e mail para ele Como os detetives particulares obt m as informa es sobre a sua empresa e sobre voc e posso garantir que isso far voc sentir
38. mero do escrit rio Esse era um procedimento padr o e ele estava preparado 286 respondeu A garota continuou Muito bem qual o c digo Rifkin disse que nesse ponto o seu cora o disparado pela adrenalina retomou o ritmo Ele respondeu com calma 4789 Em seguida deu as instru es para a transfer ncia de dez milh es e duzentos mil d lares exatamente para o Irving Trust Company de Nova York a cr dito do Wozchod Handels Bank de Zurique Su a onde ele j havia aberto uma conta Em seguida a garota retrucou Muito bem entendi Agora preciso do n mero de estabelecimen to entre escrit rios Rifkin come ou a suar frio essa era uma pergunta que ele n o havia previsto algo que havia es quecido nos detalhes da sua pesquisa Mas conseguiu permanecer calmo agiu como se tudo estivesse bem e respondeu rapidamente Eu vou verificar e ligo logo em seguida Ele ligou para outro depar tamento do banco s que desta vez alegou ser um empregado da sala de transfer ncia eletr nica Ele conseguiu o n mero de estabelecimento e ligou novamente para a garota Ela anotou o n mero e agradeceu Nessas circunstancias o seu agradecimento tem de ser consi derado como algo altamente ir nico Conseguindo o fechamento Alguns dias depois Rifkin voou para a Su a pegou o seu dinheiro e trocou mais de US 8 milh es com uma ag ncia russa por diamantes Ele voou de volta e passou pela alf ndega americana com
39. nos uma letra min scula e pelo menos uma letra mai scula na medida em que tais vari veis sejam suportadas pelo sistema operacional 256 A Arte de Enganar N o sejam nenhum destes itens palavras de um dicion rio de qualquer idioma qualquer palavra que esteja relacionada com fam lia hobbies ve culo trabalho placas do ve culo n mero de seguro social endere o telefone nome do bichinho de estima o do empregado ou frases contendo essas palavras N o sejam a varia o de uma senha usada anteriormente com um elemento que permanece o mesmo e outro que muda tal como kevin kevin1 kevin2 ou kevinjan kevinfev Explica o Observa es Esses par metros produzem uma senha que dif cil de ser adi vinhada pelo engenheiro social Outra op o o m todo da consoante e vogai o qual fornece uma senha f cil de lembrar e de ser pronunciada Para criar esse tipo de senha substitua as consoantes pela letra C e as vogais pela letra V usando a m scara de CVCVCVCV Os exemplos incluem MIXO CASO CUSOJENA 1 5 8 Escrevendo as senhas Pol tica Os empregados devem escrever as senhas apenas quando forem armazenadas em uma localiza o distante do computador ou de outro dispositivo protegido por senha Explica o Observa es Os empregados n o devem nunca escrever as senhas Em deter minadas condi es por m isso pode ser necess rio por exemplo no caso de um empregado que tem diversas contas em
40. o desligadas embora sempre deixe uma ligada ao sair Ele bate na porta de um vizinho at que o homem acorda e descobre que houve mesmo uma ba tida policial no pr dio Mas eles fizeram os vizinhos permanecerem nas escadas e ele ainda n o tem certeza do apartamento no qual eles estiveram Ele s sabe que eles sa ram levando coisas pesadas mas elas estavam embrulhadas e ele n o sabia o que eram E n o levaram ningu m algemado Arturo verifica o seu apartamento A m not cia que h um papel da pol cia exigindo que ele ligue imediatamente e marque uma entrevista dentro de tr s dias Pior ainda o fato de que n o en controu seus computadores Arturo some na noite e vai para a casa de um amigo Mas a incerteza o incomoda Quanto a pol cia sabe Eles poderiam t lo pego finalmente mas teriam dado a ele a chance de ele fugir Ou alguma outra coisa diferente algo que ele pode esclarecer sem sair da cidade Antes de continuar lendo pare e pense um pouco voc pode imaginar alguma maneira de des cobrir o que a pol cia quer saber sobre voc Supondo que voc n o tem nenhum contato pol tico ou amigos no departamento de pol cia ou no gabinete do promotor ser que h alguma maneira pela qual voc um cidad o comum poderia obter essas informa es Ou que algu m com habilidades de engenheiro social poderia Enganando a pol cia Arturo atendeu a sua necessidade de saber desta maneira para come ar consegui
41. o advogado John Leland da Meecham Meecham and Talbott Preciso intimar um oficial sobre um caso Muito bem quem o oficial Voc tem um Oficial Kendall na sua divis o Qual o seu n mero de s rie 21349 Sim Quando voc precisa que ele esteja l No pr ximo m s mas preciso intimar diversas outras testemunhas do caso e em seguida tenho de dizer ao tribunal quais dias ser o bons para n s Existe algum dia no pr ximo m s em que o Oficial Kendall n o estar dispon vel Vejamos Ele tem f rias entre os dias 20 e 23 e treinamento nos dias 8 e 16 Obrigado Isso tudo o que eu preciso agora Ligo novamente quando a data do julgamento estiver marcada 174 A Arte de Enganar Tribunal Municipal Balc o de Atendimento Paul Gostaria de marcar uma data de julgamento para uma multa de tr nsito Atendente Muito bem Pode ser no dia 26 do pr ximo m s Bem gostaria de marcar uma apela o Voc quer uma apela o para uma multa de tr nsito Sim Muito bem Podemos marcar a apela o para amanh de manh ou tarde Como voc prefere tarde A apela o ser amanh 13h30 na sala de julgamento seis Obrigado estarei l Tribunal Municipal Sala de Julgamento Seis Data ter a feira 13h45 Atendente Sr Durea por favor se aproxime Juiz Sr Durea o senhor entende os direitos que lhe foram explicados esta tarde
42. pediu cuidadosamente as datas que coincidiam com os dias de treinamento do oficial sabendo que nesse estado o treinamento do oficial tem preced ncia sobre o comparecimento ao tribunal de tr nsito Recado do Mitnick A mente humana uma cria o maravilhosa interessante notar como as pessoas podem ser criativas para desenvolver modos fraudulentos de conseguir o que querem ou de se livrarem de uma situa o dif cil Voc tem de usar a mesma criatividade e ima gina o para salvaguardar as informa es e os sistemas de computadores dos setores p blicos e privados Assim sendo pessoal ao criarem as pol ticas de seguran a da sua empresa sejam criativos e pensem de forma inovadora E no tribunal de tr nsito quando o oficial n o aparece o caso encerrado Sem multas sem escola de tr nsito sem problemas E o melhor de tudo que n o fica nenhum registro da infra o de tr nsito Acho que alguns oficiais de policia oficiais de tribunais promotores p blicos e outros ler o esta hist ria e balan ar o a cabe a porque sabem que esse golpe funciona Mas balan ar a cabe a tudo que podem fazer Nada vai mudar Estaria disposto a aceitar uma aposta Como diz o personagem Cosmo no filme Sneakers de 1992 Tudo se resume a uns e zeros isso significa que no final tudo se resume s informa es Enquanto os departamentos de pol cia estiverem dispostos a dar informa es sobre a escala de um oficial p
43. pio no ambiente de trabalho de hoje No trabalho as pessoas nos solicitam coisas o tempo todo Voc tem o endere o de e mail desta pessoa Onde est a ltima vers o da lista de clientes Quem o subcontratado desta parte do projeto Por favor me envie a atualiza o mais recente do projeto Preciso da vers o nova do c digo fonte E adivinhe o que acontece s vezes as pessoas que fazem essas solicita es s o aqueles que voc n o conhece pessoalmente gente que trabalha em outra parte da empresa ou que alega trabalhar Mas se as informa es que d o coincidem e parecem ter o conhecimento Marianne disse Isso 38 A Arte de Enganar est no servidor K 16 a revis o 26 dos planos do novo produto estendemos o nosso c rculo de confian a para inclui los e alegremente fornecemos aquilo que est o pedindo Certamente devemos parar um pouco e nos perguntar Por que algu m na f brica de Dallas pre cisa ver os planos do produto novo ou Ser que voc podia me dar o nome do servidor no qual ele est Assim fazemos outras perguntas Se as respostas parecem razo veis e a maneira como a pessoa responde segura baixamos a guarda voltamos a nossa inclina o natural de confiar no nosso colega e fazemos com toda a raz o tudo que ele quer que fa amos E n o pense nem por um momento que o atacante s visa as pessoas que usam os sistemas de computadores da empresa Que tal o cara da sala de cor
44. porque o interlocutor acabou de prestar ajuda que supostamente o protege contra um v rus Ele retribui atendendo solicita o do interlocutor Consist ncia As pessoas t m a tend ncia de atender ap s fazer um comprometimento p blico ou adotar uma causa Depois que prometemos faremos qualquer coisa n o queremos parecer pouco confi veis ou indese j veis e tendemos a seguir as instru es para sermos coerentes com nossa declara o ou promessa Exemplo de ataque o atacante entra em contato com uma funcion ria relativamente nova e a aconselha sobre o acordo para seguir determinadas pol ticas e procedimentos de seguran a como uma condi o para usar os sistemas de informa es da empresa Ap s discutir algumas 198 A Arte de Enganar pr ticas de seguran a o interlocutor pede usu ria para fornecer a sua senha para verificar se ela entendeu a pol tica sobre selecionar uma senha dif cil de adivinhar Depois que a usu ria revela a sua senha o interlocutor faz uma recomenda o para que ela crie senhas para que o atacante possa adivinh las A v tima atende por causa do seu acordo anterior de seguir as pol ticas de seguran a e porque sup e que o interlocutor est apenas verificando o seu enten dimento Valida o social As pessoas tendem a cooperar quando isso parece estar de acordo com aquilo que as outras pessoas est o fazendo A a o dos outros aceita como uma valida o de que o comportamento e
45. pr pria rede ele tenta manipular outra pessoa para fazer isso por ele Nos casos em que o acesso f sico necess rio para o plano o uso da v tima como repre sentante melhor ainda do que fazer voc mesmo porque o atacante assume menos risco de ser pego e preso At mesmo um empregado honesto ou neste caso a candidata a Ph D e estagi ria da empresa J lia s vezes pode ser enganado para revelar informa es de import ncia crucial para um ataque da engenharia social tais como onde est localizado o sistema de computadores alvo e o segredo do sucesso deste ataque quando eles criariam a nova vers o de distribui o do software Isso impor Cap tulo 12 Ataques aos Empregados Iniciantes 159 tante uma vez que uma mudan a desse tipo feita cedo demais tem mais chances de ser detectada ou anulada se o sistema operacional for recriado a partir de um c digo limpo Voc observou o detalhe de fazer com que o guarda levasse as folhas impressas de volta para a recep o e as destru sse mais tarde Essa era uma etapa importante Quando os operadores de com putador chegassem para trabalhar no pr ximo dia til o atacante n o queria que eles encontrassem essa evid ncia no terminal de impress o nem notassem que estava no lixo Uma desculpa razo vel para que o guarda levasse as folhas evitou esse risco O PATCH DE EMERG NCIA Voc deve achar que um funcion rio do suporte t cnico entende os perigos de dar ac
46. quina Ela disse que sim e me deu o n mero Eu poderia ir l e pegar o fax certo E claro que n o Primeira regra nunca visite as instala es a menos que isso seja absolutamente necess rio Eles t m muita dificuldade em identific lo se for apenas uma voz ao telefone E se n o puderem identific lo eles n o podem prend lo E dif cil al gemar uma voz Assim sendo liguei para ela depois de algum tempo e perguntei se o meu fax havia chegado Sim respondeu 56 A Arte de Enganar Olhe salientei tenho de enviar isso para um consultor que estamos usando Voc poderia en viar o fax para mim Ela concordou E por que n o como uma recepcionista poderia reconhecer informa es confidenciais Enquanto ela enviava o fax para o consultor fiz a minha caminhada di ria ate uma loja de servi os de escrit rio pr xima da minha casa aquela que tem uma placa di zendo Enviamos e recebemos faxes O meu fax deveria chegar antes de mim e como esperava ele estava l me aguardando quando cheguei Seis p ginas por US 1 75 Por uma nota de US 10 mais o troco tinha toda a lista de nomes e endere os de correio eletr nico do grupo Entrando Muito bem j havia falado com tr s ou quatro pessoas diferentes em apenas algumas horas e j estava um passo de gigante mais pr ximo de entrar nos computadores da empresa Mas precisava de mais algumas informa es antes de estar em casa A informa o n mero um era o n m
47. A primeira funcion ria da empresa de telefonia pensou que estava dando as informa es para algu m do Escrit rio de Contabilidade Geral do governo federal A pr xima funcion ria da empresa de telefonia sabia que n o devia mudar a classe do servi o telef nico sem uma ordem de servi o mas ajudou o homem amistoso de qualquer maneira Isso possibilitou fazer liga es de todas as dez linhas telef nicas que ligam para o defensor p blico no centro de deten o Para o homem do centro de deten o de Miami a solicita o de ajudar algu m de outra unidade federal com um problema de computador pareceu algo perfeitamente razo vel E embora n o houves se nenhum motivo para ele saber a unidade do alojamento por que n o responder pergunta 144 A Arte de Enganar E o guarda do Dez Norte que acreditava que o interlocutor estava falando realmente de dentro da mesma instala o ligando em miss o oficial Essa era uma solicita o perfeitamente razo vel de modo que ele chamou o interno Gondorff para atender ao telefone Nada muito fora do comum Uma s rie de hist rias bem planejadas que resultaram na conclus o do golpe O DOWNLOAD MAIS R PIDO Dez anos ap s ter terminado a faculdade de Direito Ned Racine via seus colegas de classe morando em belas casas com jardins na frente associados de country clubs jogando golfe uma ou duas vezes por semana enquanto ele ainda estava cuidando de causas baratas para o tipo de pessoa
48. Cresci em uma comunidade do Vale de S o Fernando e tinha toda a Los Angeles para explorar com doze anos j havia descoberto um meio de viajar de gra a em toda a rea da Grande Los Angeles Percebi certo dia que o bilhete de baldea o de nibus que havia comprado baseava se em um padr o incomum de furos em papel que os motoristas usavam para marcar o dia a hora e o itiner rio nos bi lhetes Um motorista amigo ao responder minhas perguntas cuidadosamente formuladas contou me onde eu poderia comprar aquele tipo especial de furador de papel As baldea es permitem que voc troque de nibus e continue a viagem at o seu destino mas eu havia descoberto como us las para viajar para qualquer lugar que quisesse de gra a A obten o das passagens em branco foi como passear no parque as lixeiras dos terminais de nibus estavam cheias de blocos de passagens parcialmente usados os quais eram jogados pelos motoristas no final de seus turnos Com um bloco de passagens em branco e o furador podia marcar minhas pr prias baldea es e viajar para qualquer parte aonde fossem os nibus de Los Angeles Em pouco tempo j tinha feito tudo menos decorar os hor rios dos nibus de todo o sistema Esse foi um exemplo precoce da minha surpreendente mem ria para determinados tipos de informa es ainda hoje consigo decorar n meros de telefone senhas e outras coisas A xii A Arte de Enganar Outro interesse pessoal que surgiu logo ced
49. DE ATAQUE Quando algu m consegue a sua senha essa pessoa pode invadir o seu sistema Na maior parte dos casos voc nem sabe que alguma coisa ruim aconteceu Um atacante jovem que chamarei de Ivan Peters tinha como alvo recuperar o c digo fonte de um novo jogo eletr nico Ele n o teve problemas para entrar na rede remota da empresa porque um colega hacker j havia comprometido um dos servidores Web da empresa Ap s encontrar uma vulne rabilidade sem patch no software do servidor Web esse colega quase caiu da cadeira quando percebeu que o sistema havia sido configurado como host dual homed o que significa que ele tinha um ponto de entrada para a rede interna Depois que Ivan se conectou ele enfrentou um desafio que era como estar dentro do Louvre e esperar encontrar a Mona Lisa Sem a planta do local voc pode passar semanas perambulando A empresa era global com centenas de escrit rios e milhares de servidores de computador e eles n o forneciam um ndice dos sistemas de desenvolvimento ou um servi o de guia para orient lo at o sistema certo Em vez de usar uma abordagem t cnica para descobrir qual seria o servidor alvo Ivan usou uma abordagem da engenharia social Ele fez liga es telef nicas com base em m todos semelhantes queles descritos neste livro Em primeiro lugar ligou para o suporte t cnico de TI e disse ser um empregado da empresa que tinha um problema de interface em um produto que o seu grupo estava
50. Durante meses depois disso ele realizou trabalhos que lhes eram passados por empresas de investiga o particular leg ti mas as quais n o queriam saber como ele obtinha as informa es Sempre que precisava ele discava de novo para a central telef nica ligava o encaminhamento de chamadas e coletava outra pilha de credenciais de policiais Analisando a trapa a Vamos rever os golpes que Eric usou para realizar o seu trabalho Na primeira etapa bem sucedida ele conseguiu que um delegado de uma sala de teletipo desse o n mero confidencial do Departamento de Tr nsito para algu m totalmente estranho aceitando o homem como um delegado sem solicitar nenhuma verifica o Recado do Mitnick Se voc tiver uma central telef nica em sua empresa o que a pessoa encarregada fa ria se recebesse uma liga o de um fornecedor pedindo o n mero de discagem E por falar nisso essa pessoa j alterou a senha default da central Essa senha uma palavra f cil que pode ser encontrada em qualquer dicion rio Em seguida algu m do Departamento de Telecomunica es do estado fazia a mesma coisa aceitando a alega o de Eric de que ele era o fabricante do equipamento e fornecendo ao estranho um n mero de telefone para discar para a central telef nica que atendia o Departamento de Tr nsito Em grande parte Eric conseguiu entrar na central telef nica por causa das pr ticas ruins de se guran a implantadas pelo fabricante da centr
51. Em pouco tempo ele havia conseguido juntar informa es suficientes para se fazer passar por um verdadeiro empregado Ele tinha um nome de empregado o departamento o n mero do telefone e o n mero do empregado bem como o nome e telefone do gerente 70 A Arte de Enganar Agora era a calmaria antes da tempestade Literalmente Seguindo o plano que havia estabele cido Danny precisava de mais uma coisa antes da pr xima etapa e isso era algo sobre o qual n o tinha nenhum controle ele precisava de uma tempestade de neve Danny precisava de um pouco de ajuda de S o Pedro na forma de um tempo t o ruim que os empregados n o conseguiriam chegar ao escrit rio No inverno de Dakota do Sul onde est localizada a f brica em quest o todos que esperavam mau tempo n o tinham de esperar muito Na sexta feira noite a tempestade chegou Aquilo que co me ou como neve rapidamente se transformou em chuva congelante e de manh as estradas estavam cobertas de uma camada grossa e perigosa de gelo Para Danny essa era a oportunidade perfeita Ele ligou para a f brica pediu para falar com a sala de computadores e falou com uma das abe lhas oper rias de TI um operador de computador que se apresentou como Roger Kowalski Dando o nome do empregado real que havia obtido Danny disse Aqui Bob Billings Traba lho no Grupo de Comunica es Seguras Estou em casa e n o posso chegar ao trabalho por causa da tempestade E o problema
52. Explica o Observa es Quando uma vulnerabilidade identificada o fabricante do sof tware deve ser imediatamente contatado para determinar se h um patch ou uma corre o tempor ria para resolver a vulnerabilidade Um sistema de computador sem patches representa uma das maiores 236 A Arte de Enganar amea as seguran a da empresa Quando os administradores de sistema adiam a aplica o das corre es necess rias a janela de exposi o fica muita aberta e qualquer atacante pode invadi la Dezenas de vulnerabilidades de seguran a s o identificadas e publicadas todas as semanas na Internet Mesmo que a equipe de tecnologia da informa o esteja vigilante em seus esfor os de aplicar todas as corre es de seguran a assim que poss vel e apesar de esses sistemas estarem atr s do firewall da empresa a rede corporativa sempre estar correndo o risco de sofrer um incidente de seguran a E importante conhecer as vulnerabilidades de seguran a publicadas e identificadas no sistema operacional ou em qualquer programa de aplicativo usado durante a realiza o dos neg cios 7 11 Informa es de contato nos sites Web Pol tica O site Web externo da empresa n o deve revelar nenhum detalhe da estrutura corpo rativa nem deve identificar os empregados pelo nome Explica o Observa es As informa es da estrutura corporativa tais como os gr ficos organizacionais os quadros de hierarquia as listas de emprega
53. Milton usou duas t cnicas de subvers o psicol gica uma planejada e a outra improvisada com o desenrolar dos acontecimentos Ele se vestiu como um funcion rio do gerenciamento que ganha um bom dinheiro Terno e grava la cabelo bem cuidado esses parecem ser detalhes pequenos mas eles causam uma boa impress o Eu mesmo descobri isso sem querer Em pouco tempo como programador da GTE Calif rnia uma grande empresa de telefonia que n o existe mais descobri que se viesse um dia sem o crach bem vestido mas com roupa esporte digamos uma camisa cal a e sapatos esporte eu era parado e questionado Onde est o seu crach quem voc onde voc trabalha Outro dia eu chegava ainda sem o crach mas com terno gravata e apar ncia bem corporativa Eu usava uma varia o de uma velha t cnica e me misturava a multid o de pessoas que entrava em um pr dio ou portaria de segu ran a Eu ficava perto de algu m ao passar pela entrada principal e caminhava conversando com as pessoas como se fosse uma delas Eu passava e mesmo que os guardas notassem que eu estava sem crach eles n o se importavam comigo porque eu tinha apar ncia de quem trabalhava na ger ncia e estava com as pessoas que usavam crach s Dessa experi ncia reconheci como o comportamento dos guardas de seguran a era previs vel Assim como o restante de n s eles faziam julgamentos com base em apar ncias uma vulnerabili dade s ria que os eng
54. Paul Sim Merit ssimo Juiz Quer aproveitar a oportunidade e freq entar a escola de tr nsito O seu caso ser fechado ap s a conclus o de um curso de oito horas Verifiquei seus registros e o senhor tem esse direito no momento Paul N o Merit ssimo Solicito respeitosamente que o caso seja enviado para julgamento Mais uma coisa Merit ssimo Estarei fora do pa s mas estarei dispon vel nos dias 8 ou 9 Seria poss vel marcar o meu julgamento em um desses dias Estou indo para a Europa a neg cios amanh e volto em quatro semanas Juiz Muito bem O julgamento est marcado para 8 de junho s 8h30 sala de jul gamento quatro Paul Obrigado Merit ssimo Tribunal Municipal Sala de Julgamento Quatro Paul chegou cedo no dia 8 Quando o juiz chegou o atendente deu lhe uma lista dos casos nos quais os oficiais n o apareceram O juiz chamou os acusados incluindo Paul e disse que seus casos estavam encerrados Analisando a trapa a Quando um oficial lavra uma multa ele a assina com o seu nome e o n mero do seu crach ou o seu n mero pessoal usado pelo departamento Encontrar a delegacia f cil Uma liga o para o au x lio lista com o nome do departamento mostrado na cita o patrulha rodovi ria delegacia local ou outro suficiente para colocar os p s l dentro Ap s o contato com a ag ncia eles podem dar o n mero correto do telefone de um atendente de cita es que atende a
55. Perigosos 79 Para atualizar as suas informa es agora e receber os US 5 00 na sua conta da PayPal instantaneamente clique neste link http www paypal secure com cgi bin Obrigado por usar a PayPal com e nos ajudar a crescer e sermos os maiores da nossa rea Desejando lhe sinceramente um Feliz Natal e Ano Novo Equipe da PayPal Uma observa o sobre os sites Web de com rcio eletr nico Provavelmente voc conhece pessoas que n o gostam de comprar coisas on line mesmo de empresas de nome como Amazon e eBay ou em sites Web da Old Navy Target ou Nike De certa forma eles est o certos em desconfiar Se o seu browser usa a criptografia de 128 bits que o padr o atual as informa es que envia para qualquer site seguro saem criptografadas do seu computador Esses dados podem ser decriptografados com muito esfor o mas prova velmente isso n o pode ser feito dentro de um prazo razo vel exceto talvez pela National Se curity Agency e a NSA at onde sabemos n o mostrou nenhum interesse em roubar n meros de cart es de cr dito de cidad os americanos nem tenta descobrir quem est pedindo v deos de sexo ou lingerie de sex shop Esses arquivos criptografados poderiam ser quebrados por qualquer pessoa que tivesse tem po e recursos Mas na verdade quem seria bobo de ter todo esse trabalho para roubar um n mero de cart o de cr dito quando muitas empresas de com rcio eletr nico cometem o erro de armaze nar
56. Por esse motivo as equipes de limpeza sejam elas internas ou contratadas em uma ag ncia externa devem ser treinadas nas quest es da seguran a f sica O trabalho de limpeza n o exige forma o superior nem mesmo a habilidade de falar fluente mente o idioma do pa s e o treinamento normal quando h envolve quest es n o relacionadas com a seguran a tais como o tipo de produto de limpeza a ser usado para as diferentes tarefas Em geral essas pessoas n o s o instru das para se algu m pedir para entrar fora do expediente voc precisa verificar o cart o de identifica o da empresa e em seguida ligar para o escrit rio da empresa de limpeza explicar a situa o e aguardar a autoriza o Uma organiza o precisa ter planos para uma situa o como aquela deste cap tulo antes que ela aconte a e treinar as pessoas adequadamente De acordo com a minha experi ncia pessoal descobri que a maioria das empresas sen o todas do setor privado muito relapsa nessa rea da seguran a f sica Voc pode tentar abordar o problema de outro modo colocando a responsabilidade nos pr prios empregados da sua empresa Uma empresa sem servi o de seguran a durante 24 horas deve dizer aos seus empregados que entram fora do expediente que eles devem levar suas pr prias chaves ou cart es de acesso eletr nico e nunca devem colocar o pessoal da limpeza em uma situa o em que eles tenham de resolver quem deve ser admitido Em seguid
57. Proibi o de envio de senhas por fax Pol tica As senhas n o podem ser enviadas por fax sob nenhuma circunst ncia Explica o Observa es O envio das informa es de autentica o por fax n o seguro A maioria das m quinas de fax pode ser acessada por diversos empregados Al m disso elas usam a rede p blica comutada de telefones que pode ser manipulada pelo encaminhamento do n mero de telefone para a m quina de fax receptora para que o fax seja enviado para o atacante que est em outro n mero Cap tulo 16 Recomenda es de Pol ticas de Seguran a das Informa es Corporativas 253 Uso do voice mail 14 1 Senhas de voice mail Pol tica As senhas de voice mail nunca devem ser divulgadas para ningu m sob nenhum pretexto Al m disso elas devem ser alteradas a cada 90 dias ou menos Explica o Observa es As informa es confidenciais da empresa podem ser deixadas nas mensagens do voice mail Para proteger essas informa es os empregados devem alterar suas senhas com freq ncia e nunca devem divulg las Al m disso n o devem usar senhas iguais ou semelhantes em um per odo de 12 meses 14 2 Senhas em diversos sistemas Pol tica Os usu rios de voice mail n o devem usar a mesma senha em qualquer outro telefone ou sistema de computador seja ele interno ou externo empresa Explica o Observa es O uso de uma senha semelhante ou id ntica em diversos dispo sitivos tais como
58. Stilton e em seguida me passou o tele fone ela gritava Quem quem voc e eu continuava falando como se estiv ssemos em meio a um bate papo e depois desliguei Quanto tempo preciso para encontrar algu m que pode dar um n mero de telefone de uma em presa no meio da noite Achei que tinha menos de quinze minutos para sair de l antes que a senhora ligasse para o escrit rio da seguran a Sa mos de l o mais r pido que pudemos sem parecer que est vamos com pressa Fiquei aliviado quando o seguran a do port o nos deixou sair Analisando a trapa a Vale a pena notar que no incidente real no qual esta hist ria se baseia os invasores s o realmente adolescentes A invas o foi feita por farra s para ver se conseguiam fazer isso Mas se foi t o f cil para uma dupla de adolescentes teria sido mais f cil ainda para ladr es adultos espi es industriais ou terroristas Como tr s seguran as experientes permitem que dois intrusos simplesmente saiam E eles n o eram quaisquer intrusos mas sim uma dupla t o jovem que qualquer pessoa razo vel suspeitaria Leroy ficou desconfiado a princ pio Ele estava certo em lev los para o Escrit rio da Seguran a em questionar o rapaz que chamou a si mesmo de Tom Stilton e em verificar os nomes e os n meros de telefone que ele deu Ele agiu corretamente ao fazer a liga o telef nica para o supervisor Mas no final foi enganado pelo ar de confian a e indign
59. Tenho aqui estou procurando Quantos Jones voc tem Ela afirmou Tr s Em qual departamento ele trabalha Ele continuou Se voc me disser os nomes talvez eu o reconhe a E ela fez isso Barry Joseph e Gordon Joe Tenho certeza de que era esse salientou E ele trabalha em qual departamento Desenvolvimento de Neg cios Muito bom Voc pode fazer a liga o por favor Ela completou a liga o Quando o Jones atendeu foi a vez do atacante Sr Jones Oi aqui e Tony da Folha de Pagamentos Acabamos de concluir a sua solicita o para que o seu cheque de pagamento seja depositado diretamente na sua conta no Credit Union O QU Voc deve estar brincando Nunca fiz uma solicita o dessas Nem tenho conta no Credit Union V 64 A Arte de Enganar Ah droga J conclu a transa o Jones ficou mais do que aborrecido com a id ia de que o seu pagamento poderia ir para a conta de outra pessoa e estava come ando a pensar que o rapaz do outro lado da linha devia ser meio lento An tes mesmo de ele responder o atacante continuou melhor eu ver o que aconteceu As altera es na folha de pagamento s o inseridas pelo n mero de empregado Qual o seu n mero de empregado Jones deu o n mero O interlocutor disse N o voc est certo A solicita o n o veio de voc ent o Jones pensou Eles est o ficando mais burros a cada ano Olhe vou cuidar disto Vou fazer
60. a mesmo procurando o nome e n mero de telefone do interlo cutor no banco de dados de empregados da empresa e ligar para ele n o garantia absoluta os engenheiros sociais conhecem maneiras de plantar nomes em um banco de dados corporativo ou de redirecionar as liga es telef nicas N o se esque a de ningu m Todos podem identificar as reparti es dentro da sua empresa que precisam de um alto grau de prote o contra os ataques maliciosos Mas com freq ncia desprezamos os outros lugares que s o menos bvios embora altamente vulner veis Em uma dessas hist rias a solicita o de que um fax fosse enviado para um n mero de telefone dentro da empresa parecia inocente e segura embora o atacante tenha se aproveitado desse buraco na seguran a A li o todos desde as secret rias e os assistentes administrativos at os executivos da empresa e os gerentes de primeiro escal o precisam ter um treinamento especial em seguran a para que possam estar alertas para esses tipos de traques E n o se esque a de fechar a poria da frente Os recepcionistas tamb m s o alvos prim rios dos engenhei ros sociais e tamb m devem ter consci ncia das t cnicas fraudulentas usadas por alguns visitantes e interlocutores A seguran a corporativa deve estabelecer um nico ponto de contato central para os empregados que acham que est o sendo alvo de um traque de um engenheiro social Um nico lugar para relatar incidentes de se
61. a corre o agora mesmo N o se preocupe voc receber o seu pr ximo cheque de pagamento disse o rapaz com seguran a Uma viagem de neg cios N o muito depois disso o administrador de sistemas da empresa no escrit rio de vendas em Austin no Texas recebeu uma liga o telef nica Aqui Joseph Jones anunciou o interlocutor Traba lho no departamento de Desenvolvimento de Neg cios Estarei na cidade por uma semana no Driskill Hotel Gostaria que voc me configurasse uma conta tempor ria para eu acessar meu correio eletr nico sem precisar fazer uma liga o interurbana Me d novamente o seu nome e o seu n mero de empregado pediu o administrador de siste mas O falso Jones deu o n mero e continuou Voc tem n meros de discagem r pida Espere um pouco Tenho de verificar as informa es no banco de dados Depois de algum tem po ele disse OK Joe Diga me qual o n mero do seu pr dio O atacante havia feito tudo direito e tinha a resposta na ponta da l ngua Recado do Mitnick N o dependa das salvaguardas e firewalls de rede para proteger as suas informa es Olhe o seu ponto mais vulner vel Geralmente voc descobre que aquela vulnerabilida de est no seu pessoal Muito bem o administrador de sistemas afirmou voc me convenceu Foi tudo muito simples O administrador de sistemas havia verificado o nome de Joseph Jones o departamento e o n mero de empregado e Joe havi
62. algu m com autoridade Finge ser um empregado novo que solicita ajuda A 266 A Arte de Enganar Finge ser um fornecedor ou fabricante de sistemas que liga para oferecer um patch ou uma atualiza o de sistema Oferece ajuda quando ocorrer um problema e em seguida faz o problema ocorrer para mani pular a v tima e fazer com que ela ligue pedindo ajuda Envia software ou patch gr tis para que a vitima o instale Envia um v rus ou Cavalo de Tr ia como um anexo de correio eletr nico Usa uma janela pop up falsa que pede para o usu rio fazer o login novamente ou digitar uma senha Captura as teclas digitadas pela v tima com um sistema ou programa de computador Deixa um disquete ou CD com software malicioso em algum lugar do local de trabalho Usa jarg o e terminologia interna para ganhar a confian a Oferece um pr mio pelo registro em um site Web com um nome de usu rio e a senha Deixa um documento ou arquivo na sala de correspond ncia para entrega interna Modifica o cabe alho de uma m quina de fax para que ele venha de uma localiza o interna Pede que uma recepcionista receba e em seguida encaminhe um fax Pede que um arquivo seja transferido para uma localiza o aparentemente interna Configura uma caixa de correio para que as liga es de retorno percebam o atacante como algu m de dentro da empresa Finge ser do escrit rio rem
63. ambul ncia De qualquer maneira voc poderia me ajudar Tenho um cliente seu aqui que queria alugar O poderoso chef o II e est sem o cart o Voc poderia verificar essas informa es para mim Sim claro Tommy deu o nome e endere o do cliente e Ginny o encontrou no computador Ela deu a Tommy o n mero da conta Capitulo 4 Criando a Confian a 35 Ele tem alguma devolu o a fazer ou saldo devedor Tommy perguntou N o consta nada Multo bem timo Vou abrir uma conta para ele aqui m o e o coloco no nosso banco de dados mais tarde quando os computadores voltarem a funcionar Ele quer pagar com o cart o Visa que ele usa na sua loja e tamb m est sem ele Qual o n mero do seu cart o e a data de vencimento Ela tamb m forneceu essas informa es Tommy agradeceu Olha obrigado pela ajuda Falo com voc depois e desligou A hist ria de Doyle Lonnegan Lonnegan n o um jovem que voc gostaria de encontrar ao abrir a sua porta Ele um cobrador de dividas em atraso e ainda presta favores eventuais se isso n o o atrapalhar muito Neste caso ele recebeu uma quantia razo vel em dinheiro para apenas fazer algumas liga es telef nicas para uma locadora de v deo Isso parece f cil So que nenhum de seus clientes sabia como executar esse golpe eles precisavam de algu m com o talento e know how de Lonnegan As pessoas n o preenchem cheques para pagar suas apostas quando n o
64. as informa es que precisam ser protegidas e sobre como protege U 196 A Arte de Enganar las Depois que as pessoas entendem melhor como podem ser manipuladas elas est o em melhor posi o de reconhecer um ataque que est para ser realizado A consci ncia da seguran a tamb m significa educar a todos sobre as pol ticas e os procedimen tos de seguran a da empresa Como discutiremos no Cap tulo 16 as pol ticas s o regras necess rias para orientar o comportamento do empregado para que ele proteja os sistemas corporativos de infor ma es e as informa es confidenciais Este cap tulo e o pr ximo fornecem um mapa de seguran a que pode salv lo de ataques caros Se voc n o tiver empregados treinados e alertas seguindo bons procedimentos a quest o n o se mas sim quando voc perder informa es valiosas para um engenheiro social N o espere que um ataque aconte a para depois instituir essas pol ticas Isso seria devastador para o bem estar da sua empresa e dos seus empregados ENTENDENDO COMO OS ATACANTES APROVEITAM SE DA NATUREZA HUMANA Para desenvolver um programa de treinamento bem sucedido antes de tudo voc deve entender o motivo pelo qual as pessoas s o vulner veis aos ataques Ao identificar essas tend ncias no seu trei namento por exemplo chamando a aten o para eles nas discuss es dramatizadas voc pode ajudar seus empregados a entender o motivo pelo qual todos n s podemos ser
65. as tarefas que ele teria de realizar Ele odiava aquelas listas do que fazer que haviam se tomado parte integrante dos seus finais de semana Ele lembrou se daquele Pete de 12 anos que era esperto demais e conseguiu fazer parte da equipe de nata o Agora ele tinha de estar trabalhando ou em uma reuni o todos os s bados para se livrar das tarefas do s bado Algumas pessoas poderiam achar que o trabalho de Steve que criava novos dispositivos para a GeminiMed Medicai Products era aborrecedor mas ele sabia que estava salvando vidas Steve imaginava a si mesmo como pertencente a uma linha criativa de trabalho Artistas compositores engenheiros no seu ponto de vista todos eles enfrentavam o mesmo tipo de desafio que ele eles Capitulo 5 Posso Ajudar 53 criavam algo que ningu m havia feito antes E o seu mais recente e curioso tipo de heart stent seria a realiza o que lhe daria mais orgulho de todas Era quase 11 h30 da manh naquele s bado e Steve estava aborrecido porque j linha quase ter minado de cortar a grama e ainda n o havia feito nenhum progresso real para descobrir como reduzir os requisitos de energia do heart stent a ltima barreira que restava Um problema perfeito para ser resolvido enquanto se corta a grama mas nenhuma solu o havia surgido Anna apareceu na porta com o cabelo coberto com o len o xadrez de cowboy que ela usava para tirar o p da casa Telefone ela gritou para ele algu
66. atacantes que t m habilida des de engenharia at que o elo mais fraco da cadeia de seguran a o elo humano seja fortalecido Agora mais do que nunca devemos aprender a parar de ser otimistas e nos tornarmos mais conscientes das t cnicas que est o sendo usadas por aqueles que tentam atacar a confidencialidade integridade e disponibilidade das informa es dos nossos sistemas e redes de computadores N s acostumamo nos a aceitar a necessidade da dire o segura agora est na hora de aceitar e aprender a pr tica da computa o defensiva A amea a de uma invas o que viola a nossa privacidade a nossa mente ou os sistemas de in forma es da nossa empresa pode n o parecer real at que aconte a Para evitar tamanha dose de realidade precisamos nos conscientizar educar vigiar e proteger os nossos ativos de informa es as nossas informa es pessoais e as infra estruturas cr ticas da nossa na o E devemos implementar essas precau es hoje mesmo TERRORISTAS E FRAUDE E bvio que a fraude n o uma ferramenta exclusiva do engenheiro social O terrorismo f sico mais noticiado e tivemos de reconhecer como nunca antes que o mundo um lugar perigoso Afinal de contas a civiliza o apenas um verniz superficial Os ataques a Nova York e Washington D C em setembro de 2001 infundiram tristeza e medo nos cora es de cada um de n s n o apenas nos americanos mas tamb m em todas as pessoas bem intenc
67. caso o empre gado respons vel cuidar dos problemas pertinentes com o solicitante para chegar conjuntamente a uma decis o sobre as altera es a serem feitas 7 2 Solicita es de acesso remoto Pol tica O acesso remoto ao computador s ser fornecido para o pessoal que demonstrou a necessidade de acessar os sistemas corporativos da empresa em localiza es fora dela A solicita o deve ser feita pelo gerente do empregado e verificada conforme descreve a se o Procedimentos de Verifica o e Autoriza o Explica o Observa es O reconhecimento da necessidade do acesso rede corporativa fora dela por pessoal autorizado e a limita o de tal acesso apenas ao pessoal que precisa dele pode diminuir bastante o risco e o gerenciamento dos usu rios de acesso remoto Quanto menor for o n mero de pessoas que t m privil gios de discagem externa menor o n mero de alvos em potencial para um atacante Nunca se esque a de que o atacante tamb m pode visar aos usu rios remotos com a inten o de seq estrar sua conex o com a rede corporativa ou mascarando as durante uma chamada falsa 7 3 Redefinindo as senhas das contas com privil gios Pol tica A solicita o para redefinir uma senha de uma conta com privil gios deve ser apro vada pelo gerente ou administrador do sistema respons vel pelo computador no qual est a conta A nova senha deve ser enviada por meio de mensagem de correio eletr nico interno da empresa
68. centro de neg cios do hotel Ele disse para voc enviar os arquivos para larryrobotics yahoo com Na manh da segunda feira seguinte quando Larry entrou no escrit rio bronzeado e descansado Jessica foi a primeira a falar de Rick Que rapaz timo Ele levou v rios de n s para almo ar inclu sive eu Larry pareceu confuso Rick Quem Rick Do que voc est falando O seu novo parceiro de neg cios O qu E todos ficaram t o impressionados com as perguntas que ele fez Eu n o conhe o nenhum Rick O que h com voc Isso uma piada Larry Voc est brincando comigo n o Re na a equipe executiva na sala de reuni es Agora N o importa o que eles est o fazendo E tamb m todos os que foram a esse almo o incluindo voc Eles sentaram se ao redor da mesa com ar sombrio Larry entrou sentou se e explicou Eu n o conhe o ningu m chamado Rick N o tenho um novo parceiro de neg cios que venho mantendo em segredo S h uma coisa bvia que posso achar Se h algu m fazendo piada entre n s quero que essa pessoa fale agora Nenhum som A sala parecia escurecer a cada segundo Finalmente Brian falou Por que voc n o disse alguma coisa quando lhe enviei aquele e mail com as especifica es do produto e o c digo fonte Qual e mail Brian empertigou se Ah droga Cliff o outro engenheiro juntou a ele Ele nos deu seu cart o S temos de ligar para el
69. com essa velocidade e se o administrador de sistema configurou o sistema operacional Windows adequadamente desati vando o uso dos hashes LANMAN a descoberta de uma senha pode levar um tempo excessivo Por esse motivo o atacante quase sempre faz o download dos hashes e executa o ataque em sua pr pria m quina ou em outra em vez de ficar on line na rede da empresa alvo e se arriscar a ser pego Jarg o ATAQUE DE FOR A BRUTA Uma estrat gia de descoberta de senha que tenta todas as combina es poss veis de caracteres alfanum ricos e s mbolos especiais 152 A Arte de Enganar Para Ivan a espera n o foi t o longa V rias horas mais tarde o programa apresentou as senhas de cada um dos membros da equipe de desenvolvimento Mas essas eram as senhas dos usu rios da m quina ATM6 e ele j sabia que o c digo fonte do jogo que desejava n o estava nesse servidor E agora Ele ainda n o conseguira uma senha para uma conta da m quina ATM5 Usando o seu racioc nio de hacker e sabendo dos maus h bitos de seguran a dos usu rios em geral ele calculou que um dos membros da equipe poderia ter escolhido a mesma senha em ambas as m quinas Na verdade foi exatamente isso o que aconteceu Um dos membros da equipe usava a senha jogadores no ATM5 e no ATM6 A porta havia se escancarado para Ivan ca ar at encontrar o programa que procurava Ap s loca lizar o diret rio do c digo fonte e fazer o seu download ele executou out
70. cozinha lendo o jornal no caf da manh e quase der ramou tudo Aquilo que ele temia desde que ouviu falar pela primeira vez em Rick havia se tornado realidade o seu pior pesadelo L estava em letras grandes na primeira p gina da se o de neg cios uma empresa da qual ele nunca ouvira falar antes eslava anunciando o lan amento de um produto novo que parecia ser exatamente igual ao C2Alpha que a sua empresa vinha desenvolvendo nos dois ltimos anos Por meio da fraude essas pessoas o haviam derrotado no mercado O seu sonho estava destru do Os milh es de d lares investidos em pesquisa e desenvolvimento foram jogados fora E ele provavel mente n o poderia provar nada contra eles A hist ria de Sammy Sanford Bastante esperto para estar ganhando um bom sal rio em um emprego leg timo mas trapaceiro o sufi ciente para preferir viver de golpes Sammy Sanford havia se sa do muito bem Certa vez ele chamou a aten o de um espi o que havia sido for ado a se aposentar cedo por causa de problemas com o lcool Amargo e vingativo o homem havia encontrado um modo de vender os talentos nos quais o governo o havia obrigado a se especializar Sempre procurando pessoas que pudesse usar ele havia identifi cado Sammy na primeira vez em que se encontraram Sammy achou f cil e muito lucrativo mudar o foco de batedor de carteiras para batedor de segredos comerciais A maioria das pessoas n o teria nervos para fazer o que fa o Tente
71. da empresa ou com outras Pessoas de Confian a que tenham assinado um contrato de confidencialidade Voc deve estabelecer as orienta es para a distribui o das informa es Internas 220 A Arte de Enganar Explica o Observa es As informa es internas podem ser distribu das por qualquer meio incluindo correio eletr nico interno mas n o podem ser distribu das fora da empresa na forma de correio eletr nico a menos que este seja criptografado 2 6 Discutindo informa es confidenciais ao telefone Pol tica Antes de liberar todas as informa es que n o foram designadas como P blicas pelo telefone e necess rio reconhecer pessoalmente a voz do solicitante por meio de um contato comer cial pr vio ou o sistema de telefones da empresa deve identificar a liga o como sendo feita de um n mero de telefone interno que foi designado ao solicitante Explica o Observa es Se a voz do solicitante n o for conhecida ligue para o n mero de telefone interno do solicitante para verificar sua voz na mensagem gravada de voice mail ou pe a para o gerente do solicitante verificar a sua identidade e necessidade de ele ter as informa es 2 7 Procedimentos do pessoal do sagu o ou da recep o Pol tica O pessoal do sagu o deve obter a identifica o com foto antes de liberar qualquer pacote para qualquer pessoa que n o seja conhecida como sendo um empregado da empresa Um controle deve ser mantido para reg
72. de um terminal autorizado ele me concedeu o acesso e eu estava conectado com privil gios de adminis trador de sistema Fiz o patch do sistema operacional para que eu pudesse me conectar como usu rio privilegiado de qualquer terminal do local Depois que o meu patch secreto estava instalado Vinny voltou a trabalhar desconectando o cabo de terminal e conectando o de volta no lugar onde ele estava originalmente Em seguida pegou o cadeado mais uma vez desta vez para trancar a porta do gabinete Pedi uma listagem de diret rios para saber quais arquivos havia no computador procurei o progra ma LOCK 11 e os arquivos associados e encontrei algo que achei chocante um diret rio que n o de veria estar naquela m quina Os desenvolvedores estavam t o confiantes t o certos de que seu software era invenc vel que nem se importaram em remover o c digo fonte do novo produto Fui at o terminal de impress o ao lado e comecei a imprimir partes do c digo fonte nas folhas de formul rio cont nuo com listras verdes que eram usadas naquela poca Vinny havia acabado de fechar o cadeado e tinha se juntado a mim quando os desenvolvedores voltaram do almo o Eles me encontraram sentado no computador digitando enquanto a impressora continuava trabalhando O que voc est fazendo Kevin um deles me perguntou Ah s estou imprimindo o seu c digo fonte respondi Eles pensaram claro que eu estava brincando At que olharam a impre
73. de correio eletr nico Pol tica Toda solicita o de uma Pessoa N o Verificada para transferir uma mensagem de correio eletr nico para outra Pessoa N o Verificada exige a confirma o da identidade do solici tante Cap tulo 16 Recomenda es de Pol ticas de Seguran a das Informa es Corporativas 251 11 4 Verificando as mensagens de correio eletr nico Pol tica Uma mensagem de correio eletr nico que pare a ter vindo de uma Pessoa de Confian a e contenha uma solicita o de informa es n o destinadas ao P blico ou um pedido para executar uma a o com qualquer equipamento relacionado com computadores requer um formul rio de auten tica o adicional Consulte Procedimentos de Verifica o e Autoriza o Explica o Observa es Um atacante pode forjar facilmente uma mensagem de cor reio eletr nico e seu cabe alho para fazer com que ela pare a ter sido originada de outro endere o de correio eletr nico Ele tamb m pode enviar uma mensagem de correio eletr nico de um siste ma de computador comprometido que forne a uma autoriza o falsa para divulgar informa es ou executar uma a o Mesmo examinando o cabe alho de uma mensagem de correio eletr nico voc n o pode detectar aquelas que foram enviadas de um sistema interno de computador com prometido O uso do telefone 12 1 Participando de pesquisas ao telefone Pol tica Os empregados n o devem participar de pesquisas nem responder per
74. de identifica o e deveria ter anotado as informa es Se ambos insis tissem que n o tinham identifica o ele os levaria at o carro para pegar o crach que Tom Stilton dizia ter deixado l Depois da liga o telef nica um dos seguran as deveria ter permanecido com a dupla at que ela sa sse do pr dio E em seguida deveria lev los at o carro e anotado o n mero das placas Se ele 126 A Arte De Enganar fosse suficientemente observador poderia ter notado que a placa aquela que o atacante havia com prado em um ferro velho n o tinha um selo v lido de registro e isso seria motivo suficiente para deter a dupla para mais investiga es Recado do Mitnick As pessoas manipuladoras em geral t m personalidades multo atraentes Elas geral mente s o r pidas e bem articuladas Os engenheiros sociais tamb m s o habilidosos para distrair os processos de pensamento das pessoas para que elas cooperem Pensar que determinada pessoa n o vulner vel a essa manipula o subestimar a habilidade e o instinto mortal do engenheiro social Um bom engenheiro social por sua vez nunca subestima o seu advers rio VIRANDO LATAS Virar latas uma express o que descreve colocar as m os no lixo do alvo em busca de informa es valiosas A quantidade de informa es que voc pode ter sobre um alvo impressionante A maioria das pessoas n o d aten o para aquilo que est o descartando em casa contas
75. de incidentes pode determinar o que o atacante est visando para que medidas especiais sejam tomadas para proteger aqueles ativos Os empregados designados para receber os relat rios de incidentes devem se familiarizar com os m todos e as t ticas da engenharia social para que avaliem os relat rios e reconhe am quando um ataque pode estar em andamento 4 6 Linha exclusiva de relat rio de incidentes Pol tica Deve ser estabelecida uma linha exclusiva para a organiza o de relat rio de inciden tes que pode ser um ramal telef nico f cil de lembrar Explica o Observa es Quando os empregados suspeitarem de que s o alvos de um ataque da engenharia social devem poder notificar imediatamente a organiza o de relat rio de inci dentes Para que a notifica o seja eficaz todos os telefonistas e recepcionistas da empresa devem ter o n mero m o ou imediatamente dispon vel Um sistema de avisos em toda a empresa pode auxiliar muito a organiza o na detec o e respos ta a um ataque em andamento Os empregados devem ser bem treinados para que ao suspeitarem de que foram alvo de um ataque da engenharia social eles imediatamente liguem para a linha exclusiva de relat rio de incidentes De acordo com os procedimentos publicados o pessoal do relat rio de incidentes notificar imediatamente os grupos alvo para o fato de que uma intrus o pode estar em andamento e para que o pessoal fique alerta Para que a notific
76. dez minutos depois o telefone tocou no Escrit rio da Seguran a Era a Sra Underwood na linha Quem era aquele rapaz ela queria saber Ela disse que tentou fazer perguntas mas ele ficava falando sobre um almo o que tinha com ela e ela n o sabia quem era ele Cap tulo 10 Entrando nas Instala es 123 Os seguran as ligaram para a recep o e para o guarda do port o do estacionamento Ambos disseram que os dois jovens haviam sa do fazia alguns minutos Mais tarde ao contar a hist ria Leroy sempre terminava dizendo Meu Deus o meu chefe que ria acabar comigo Eu tenho sorte de ainda ter o emprego A hist ria de Joe Harper S para ter id ia do que poderia fazer o jovem Joe Harper de 17 anos vinha se esgueirando e entrando em pr dios h mais de um ano ora durante o dia ora noite Filho de um m sico e uma gar onete ambos trabalhando no turno da noite Joe ficava muito tempo sozinho A sua hist ria para aquele mesmo incidente nos d pistas instrutivas sobre como tudo aconteceu Tenho esse amigo o Kenny que acha que quer ser um piloto de helic pteros Ele me pediu para lev lo at a f brica Skywatcher e ver a linha de produ o dos helic pteros Ele sabe que j entrei em outros lugares antes Infiltrar se em lugares nos quais n o deveria estar requer uma overdose de adrenalina Mas voc simplesmente n o entra em uma f brica ou um pr dio de escrit rios E preciso pensar muito antes planeja
77. e com algum pretexto pedir que ela anote todos os recados que sejam deixados para ele Em seguida durante uma liga o para a v tima o atacante finge ser um empre gado pede algumas informa es sigilosas ou pede para ela executar uma tarefa e d o n mero do PBX como um n mero de retomo Mais tarde o atacante liga de volta para a recepcionista e recebe a mensagem que foi deixada para ele pela v tima desavisada 1 9 4 Itens deixados para retirada Pol tica Antes de liberar qualquer item para um mensageiro ou outra Pessoa N o Verificada a recepcionista ou o guarda de seguran a deve obter uma identifica o com foto e registrar as informa es de identifica o no registro de retiradas de acordo com os procedimentos aprovados Explica o Observa es Uma t tica da engenharia social enganar um empregado para que ele libere material sigiloso para outro empregado supostamente autorizado deixando tal material na recep o ou no sagu o para retirada Naturalmente a recepcionista ou guarda de seguran a sup e que o pacote pode ser retirado O engenheiro social vai pessoalmente ou manda um servi o de men sageiros retirar o pacote POL TICAS PARA O GRUPO RESPONS VEL PELOS INCIDENTES DE SEGURAN A Toda empresa deve definir um grupo centralizado que seja notificado quando alguma forma de ataque seguran a corporativa for identificada A seguir temos algumas orienta es para definir e estruturar as atividades desse
78. e cada p gina deve conter uma etiqueta de classifica o que esteja vis vel quando o documento for aberto Todos os arquivos eletr nicos que n o podem ser facilmente rotulados com as classifica es de dados apropriadas banco de dados ou arquivos de dados brutos devem ser protegidos com controles de acesso para garantir que tais informa es n o sejam divulgadas inadequadamente e que elas n o sejam alteradas destru das ou acessadas Toda m dia de computador tal como disquetes fitas e CD ROMs deve ser rotulada com a mais alta classifica o das informa es que ela cont m Divulga o das informa es A divulga o das informa es envolve a libera o das informa es para diversas pessoas com base em suas identidades e necessidade de obter tal informa o 2 1 Procedimento de verifica o de empregado Pol tica A empresa deve estabelecer procedimentos abrangentes que ser o usados pelos empregados para verificar a identidade o status e a autoriza o de um indiv duo antes de liberar as informa es Confidenciais ou Sigilosas ou de executar uma tarefa que envolva o uso de hardware ou software de computador Explica o Observa es Quando o tamanho da empresa e as necessidades de seguran a justificarem as tecnologias avan adas de seguran a devem ser usadas para autenticar a identidade A melhor pr tica de seguran a seria o emprego de tokens de autentica o junto com um segredo compartilhado
79. empregados que s o transferidos demitidos ou rebaixados nun ca causa problemas Mesmo assim preciso apenas um deles para fazer uma empresa perceber tarde demais as medidas que poderiam ser tomadas para evitar o desastre A experi ncia e as estat sticas t m mostrado claramente que a maior amea a para a empresa vem de dentro S o as pessoas que est o dentro que t m um conhecimento grande do lugar onde ficam as informa es valiosas e de onde a empresa pode ser atingida para causar o maior dano O CA A PROMO ES No final da manh de um agrad vel dia de outono Peter Milton caminhava na recep o dos escrit rios regionais em Denver da Honorable Auto Parts um atacadista nacional de pe as para o mercado de autom veis Ele aguardava na recep o enquanto a jovem registrava um visitante dava orienta Capitulo 10 Entrando nas Instala es 131 es para uma pessoa ao telefone sobre como chegar ao pr dio e lidava com o homem do UPS tudo mais ou menos ao mesmo tempo Como voc aprendeu a fazer tantas coisas ao mesmo tempo disse Pete quando ela teve tempo para ajud lo Ela sorriu obviamente satisfeita porque ele havia notado Ele era do departamento de Marketing do escrit rio de Dallas como contou a ela e disse tamb m que Mike Talbott das vendas regionais de Atlanta ia receb lo Temos um cliente para visitar esta tarde ele explicou Vou aguar dar aqui na recep o Marketing Ela disse a palavra pen
80. empresa precisam incluir uma investiga o na empresa de armazenamento para saber se eles est o conscientes das suas pr prias pol ticas e procedimentos de seguran a Se eles n o forem t o dedicados quanto a sua pr pria empresa todos os seus esfor os de seguran a podem ir por gua abaixo As empresas menores t m uma boa alternativa para o backup Elas podem enviar os arquivos novos e alterados a cada noite para uma das empresas que oferecem o armazenamento on line Aqui tamb m essencial que os dados sejam criptografados Caso contr rio as informa es estar o dis pon veis n o apenas para um empregado desleixado da empresa de armazenamento mas tamb m para todo invasor de computador que invada os sistemas de computadores ou a rede da empresa de armazenamento on line Obviamente ao configurar um sistema de criptografia para proteger a seguran a dos seus arquivos de backup que voc tamb m deve configurar um procedimento altamente seguro para armazenar as chaves de criptografia e as frases de password que as desbloqueiam As chaves secretas usadas para criptografar os dados devem ser armazenadas em um cofre ou caixa forte A pr tica padr o da empresa precisa prever a possibilidade de o empregado que lida com esses dados sair repentinamente morrer ou assumir outro cargo Sempre deve haver pelo menos duas pessoas que conhecem o local de armazena mento e os procedimentos de criptografia decriptografia bem como a pol ticas q
81. enganado por um bom engenheiro social Devido ao ritmo da vida normal nem sempre pensamos com cuidado antes de tomarmos as decis es mesmo em quest es que s o importantes para n s As situa es complicadas a falta de tempo o estado emocional ou a fadiga mental podem facilmente nos distrair Assim sendo tomamos um atalho mental e resolvemos sem analisar cuidadosamente as informa es um processo mental conhecido como respos ta autom tica Isso v lido at para os agentes da lei dos governos federal estadual e municipal Somos humanos A obten o de um c digo de cobran a necess rio foi resolvida com uma nica liga o telef ni ca Em seguida Arturo usou o truque da simpatia com a hist ria sobre uma reuni o com o Servi o Secreto em 15 minutos tenho andado distra do e deixei o arquivo em casa Naturalmente ela sentiu pena dele e fez o que podia para ajudar Em seguida usando n o uma mas duas copiadoras Arturo garantiu a seguran a quando foi pe gar o fax Uma varia o disso que torna mais dif cil ainda rastrear o fax em vez de mandar enviar o documento para outra copiadora o atacante pode dar aquilo que parece ser um n mero de fax mas que na verdade um endere o de um servi o de Internet gr tis que recebe um fax de gra a e o enca 100 A Arte de Enganar minha automaticamente para o seu endere o de correio eletr nico Dessa forma ele pode ser aberto diretamente no computador do atacante e ele
82. enganando a v tima para que ela forne a o acesso aos segredos mais bem guardados da empresa Os seus empregados seriam pegos nesse tipo de golpe Voc j teve o trabalho de escrever e distribuir regras espec ficas de seguran a para ajudar a evitar isso Educar educar e educar Existe uma velha hist ria sobre um visitante de Nova York que p ra um homem na rua e pergunta Como vou ao Carnegie Hall O homem responde Pr tica pr tica pr tica Todos s o t o vulne r veis aos ataques da engenharia social que a nica defesa efetiva de uma empresa educar e treinar o seu pessoal dando lhes a pr tica de que precisam para identificar um engenheiro social E em se guida ela deve continuar lembrando sempre o pessoal daquilo que eles aprenderam no treinamento mas que podem esquecer facilmente Todos da organiza o devem ser treinados para ter um grau apropriado de suspeita e cuidado ao serem contactados por algu m que n o conhecem pessoalmente sobretudo quando algu m pede algum tipo de acesso a um computador ou rede da natureza humana querer confiar nos outros mas com dizem os japoneses os neg cios s o uma guerra Os seus neg cios n o podem permitir que voc baixe a guarda A pol tica de seguran a corporativa deve definir claramente o comportamento apropriado e inapropriado A seguran a n o tem tamanho nico O pessoal dos neg cios tem regras e responsabilidades dife rentes e cada posi o tem vulnerabi
83. enganar pessoas pelo telefone ou pela Internet e ningu m jamais o ver Mas um bom golpista aquele dos velhos tempos do tipo olho no olho e ainda h muitos deles por a mais do que voc pode imaginar pode olhar voc nos olhos contar uma hist ria c fazer com que voc acredite nela Conhe o um ou dois promotores que acham que isso crime Acho que isso um talento Mas voc n o pode fazer isso s cegas Primeiro tem de fazer uma avalia o Em um golpe de rua voc pode tirar a temperatura de um homem com um pouco de conversa e algumas sugest es bem articuladas Consiga as respostas corretas e pronto voc enganou um bobo Um emprego em uma empresa aquilo que chamamos de um grande golpe Voc tem de se pre parar bem Descubra quais s o os bot es certos e o que querem Do que precisam Planeje um ataque Seja paciente e fa a a sua li o de casa Descubra o papel que voc vai desempenhar e decore o seu texto E n o v l antes de estar preparado Passei mais de tr s semanas me preparando para este golpe Tive uma sess o de dois dias sobre aquilo que eu diria que a minha empresa faz e sobre como descrever o motivo pelo qual essa seria uma boa alian a de marketing Cap tulo 14 A Espionagem Industrial 185 Em seguida tive sorte Liguei para a empresa e disse que era de uma empresa de capital de risco e que est vamos interessados em marcar uma reuni o e estava tentando descobrir um dia em que t
84. entre esses dois pontos duplos a conta fica com uma senha nula Assim sendo apenas aqueles dois comandos foram necess rios para anexar a corre o de conta ao arquivo de senhas com uma senha nula O melhor de tudo que a conta teria os mesmos privil gios do super usu rio A seguir fiz com que ele inserisse um comando de diret rio recursivo que imprimia uma longa lista de nomes de arquivo Depois pedi para ele dobrar o papel destacar e lev lo para a sua mesa de seguran a porque Eu talvez tenha de ler alguma coisa mais tarde O mais interessante disso tudo que ele n o tinha a menor id ia de que havia criado uma conta nova E fiz com que imprimisse a lista de diret rio com os nomes de arquivos de que precisava para ter certeza de que os comandos que ele digitou anteriormente sairiam da sala de computadores com ele Dessa forma o administrador do sistema ou o operador na manh seguinte n o descobririam nada que os alertasse de que houve uma viola o de seguran a Agora eu tinha uma conta uma senha e privil gios completos Um pouco antes da meia noite disquei e segui as instru es que J lia havia digitado cuidadosamente para o filme Em um piscar de olhos acessei um dos sistemas de desenvolvimento que continha a c pia master do c digo fonte da nova vers o do sistema operacional da empresa Carreguei um patch que J lia havia escrito o qual segundo ela modificava uma rotina em uma das bibliotecas do sistema
85. enviado a intervalos regulares para um provedor de servi os de e mail gr tis na Ucr nia Alguns dias ap s o retorno de Vittaro Kurt estava olhando os arquivos de registro da sua caixa de correio ucraniana e em pouco tempo localizou os e mails confidenciais que indicavam at onde a Millard Fenton Publishing estava disposta a fazer um acordo com o autor Munido desse conheci mento o agente do autor podia negociar mais facilmente termos muito melhores do que aqueles que foram oferecidos originalmente sem nem correr o risco de perder o acordo totalmente E isso claro significava uma comiss o maior para o agente Analisando a trapa a Neste golpe o atacante tornou mais prov vel o seu sucesso escolhendo um empregado novo que agi ria como um representante contando que ela estaria mais disposta a cooperar e fazer parte da equipe e que teria menos chances de conhecer a empresa o seu pessoal e as boas pr ticas da seguran a o que poderia atrapalhar a tentativa Como Kurt estava usando o nome de um vice presidente em suas conversas com Anna que era uma funcion ria do departamento financeiro ele sabia que era pouco prov vel que ela questionasse a sua autoridade Ao contr rio ela podia pensar que ajudando um vice presidente tivesse alguma vantagem Cap tulo 12 Ataques aos Empregados Iniciantes 163 Jarg o INSTALA O SILENCIOSA Um m todo de instalar um aplicativo de software sem que o usu rio ou operador do computado
86. es de seguran a Esses indiv duos ainda estar o completamente vulner veis O FATOR HUMANO Ao testemunhar no Congresso h pouco tempo expliquei que poderia conseguir senhas e outras infor ma es sigilosas nas empresas fingindo ser outra pessoa e simplesmente pedindo essas informa es E natural querer se sentir seguro e isso leva muitas pessoas a buscarem uma falsa id ia de seguran a Veja o caso do respons vel e carinhoso propriet rio de uma casa que tem um Medico um cadeado de fechadura conhecido como sendo prova de roubo o qual foi instalado na porta da frente para proteger sua esposa seus filhos e sua casa Agora ele est certo de que tornou sua fam lia muito mais segura com rela o a intrusos Mas e o intruso que quebra uma janela ou descobre o c digo que abre a porta da garagem Que tal instalar um sistema de seguran a resistente Isso melhor mas n o garante nada Com cadeados caros ou n o o propriet rio da casa permanece vulner vel Por qu Porque o fator humano o elo mais fraco da seguran a Com freq ncia a seguran a apenas uma ilus o que s vezes fica pior ainda quando entram em jogo a credulidade a inoc ncia ou a ignor ncia O cientista mais respeitado do mundo no s culo XX Albert Einstein disse Apenas duas coisas s o infinitas o universo e a estupidez humana e eu n o tenho certeza se isso verdadeiro sobre o primeiro No final os ataques da engenharia social podem te
87. es solicitadas particularmente quando a solicita o envolve de alguma maneira equipamento de computador ou relacionado a ele Este processo um controle fundamental para evitar os ataques bem sucedidos da engenharia social Se estes procedimentos de verifica o forem seguidos eles re duzir o em muito os ataques da engenharia social importante que voc n o tome o processo muito complicado a ponto de o seu custo torn lo proibitivo ou a ponto de os empregados o ignorarem Como mostram as informa es abaixo o pro cesso de verifica o envolve tr s etapas A verifica o de que a pessoa quem ela alega ser A determina o de que o solicitante est empregado no momento ou compartilha de um rela cionamento com a empresa no qual ele precisa ter as informa es A determina o de que a pessoa est autorizada a receber informa es espec ficas ou ligar para pedir a a o Etapa um verifica o da identidade As tr s etapas recomendadas para a verifica o s o relacionadas abaixo por ordem de efici ncia quanto maior o n mero mais efetivo ser o m todo Cada item tamb m inclui uma declara o sobre os pontos fracos daquele m todo em particular e o modo pelo qual um engenheiro social po de burlar os m todos e enganar o empregado 1 ID de chamadas supondo que este recurso esteja inclu do no sistema telef nico da empre sa No visor do ID de chamadas verifique se a liga o ve
88. est gio na Marchand Microsystems Julia parecia ser uma tima fonte de informa es internas essenciais Eles disseram a ela que esta vam escrevendo um roteiro de um filme e ela realmente acreditou neles Ela pensou que poderia ser divertido criar uma hist ria com eles e deu lhes todos os detalhes sobre como voc poderia executar o plano que haviam descrito Ela pensou que a id ia era brilhante e ficava pedindo que eles lhe dessem um cr dito no filme tamb m Eles a avisaram que com freq ncia as id ias para um filme s o roubadas e fizeram com que ela jurasse que nunca diria nada a ningu m Adequadamente instru dos por Julia Bill fez ele mesmo a parte mais arriscada e nunca duvidou que conseguiria Liguei tarde e consegui descobrir que o supervisor da noite da for a de seguran a era um ho mem chamado Isaiah Adams s 21 h30 daquela noite liguei para o pr dio e falei com o guarda da se guran a da recep o A minha hist ria baseava se toda na urg ncia e eu parecia estar meio em p nico Estou com um problema no carro e n o consigo chegar at a eu disse Tenho uma emerg ncia e realmente preciso da sua ajuda Tentei ligar para o supervisor de seguran a Isaiah mas ele n o est em casa Voc pode me fazer este favor s esta vez Eu ficaria muito grato As salas daquele pr dio enorme tinham c digos de entrada e eu dei lhe o c digo do laborat rio de computadores e perguntei se ele sabia onde ficava
89. estava muito dif cil o talento das pessoas com um bom conhecimento t cnico de compu tadores estava em alta e elas n o tinham muitos problemas para dar um jeito Frank rapidamente encontrou uma oportunidade de emprego com um bom sal rio em uma empresa grande perto de onde ele estava morando Isso perfeito pensou Mas quando come ou a preencher os formul rios para o emprego encon trou um empecilho o empregador exigia que o candidato fornecesse uma c pia da sua ficha criminal a qual ele teria de obter na pol cia estadual A pilha de documentos do emprego inclu a um formul rio para solicitar esse documento e o formul rio tinha um quadradinho para uma impress o digital Embora eles estivessem pedindo uma digital apenas do indicador direito se eles a comparassem com uma do banco de dados do FBI ele provavelmente em breve estaria trabalhando na cozinha de um resort financiado pelo governo federal Ocorreu a Frank que talvez apenas talvez ele ainda pudesse contornar esse problema Talvez o estado n o enviasse aquelas amostras de digitais para o FBI Como descobriria isso Como Ele era um engenheiro social como voc acha que ele descobriu Ele fez uma li ga o telef nica para a pol cia estadual Ol Estamos fazendo um estudo para o Departamento de Justi a do Estado Estamos pesquisando os requisitos para implementar um novo sistema de identifica o de digitais Posso falar com algu m que conhe a aquilo que est
90. executou um ataque de senhas contra os empregados de sua empresa usando um dos pacotes de software pa dr o A revista informou que em tr s minutos ele conseguiu descobrir as senhas de 800 empregados Recado do Mitnick Na terminologia do jogo Monopoly n o use palavra do dicion rio Voc tem de ensinar seus empregados como eles devem escolher senhas que protegem realmente os seus bens EVITANDO A TRAPA A Os ataques da engenharia social podem se tornar ainda mais destrutivos quando o atacante usa um elemento de tecnologia Para evitar esse tipo de ataque em geral voc precisa seguir etapas nos n veis humano e t cnico Capitulo 11 Combinando a Tecnologia e a Engenharia Social 153 Diga simplesmente n o Na primeira hist ria do cap tulo a funcion ria da empresa de telefonia RCMAC n o deveria ter removido o status negar encerramento das dez linhas telef nicas sem nenhuma ordem de servi o que autorizasse a mudan a N o basta que os empregados conhe am as pol ticas e os procedimentos de seguran a Eles devem entender como essas pol ticas s o importantes para evitar danos para a empresa As pol ticas de seguran a devem desencorajar o desvio do procedimento por meio de um sistema de recompensas Naturalmente as pol ticas devem ser realistas e n o devem pedir que os empregados executem etapas complicadas demais caso contr rio elas podem ser ignoradas Da mesma forma um programa de conscientiza o sobre a seg
91. fazem passar por fornecedores Em geral uma empresa deve pensar em ter pessoas espec ficas designadas como contatos para cada fornecedor de tecnologia com uma pol tica que diga que outros empregados n o responder o s solicita es dos fornecedores que pedem informa es ou altera es em qualquer equipamento telef nico ou de computador Dessa forma o pessoal designado torna se conhecido do pessoal do fabricante que ligar ou fizer uma visita e tem menos chance de ser enganado por um im postor Se um fornecedor ligar mesmo quando a empresa n o tiver um contrato de suporte isso deve levantar suspeita Todos os que trabalham na organiza o precisam ter conhecimento das amea as e vulnerabilida des da seguran a da informa o Observe que os guardas de seguran a e outros precisam receber o treinamento n o apenas em seguran a mas tamb m na seguran a da informa o Como os guardas de seguran a com freq ncia t m acesso f sico a toda a instala o eles devem poder reconhecer os tipos de ataques da engenharia social que podem ser usados contra eles Cuidado com o Spyware O spyware comercial era muito usado pelos pais para monitorar aquilo que seus filhos estavam fazendo na Internet e tamb m pelos empregadores supostamente para determinar quais empregados estavam deixando de trabalhar para surfar na Internet Um uso mais s rio era para detectar o roubo potencial de ativos de informa es ou espionagem industrial Os de
92. governo dispon veis na 40 lista dispon vel de senhas padr o 58 site Web falso 80 84 intimida o usando autoridade para a 89 90 intranet informa es da 43 intrusos 125 jarg o 66 K Keylogger 259 L L0phterack3 utilit rio 151 lembretes seguran a 104 105 liga o de retorno 214 Lista de N meros de Teste 27 listas de palavras uso 150 lixo pol tica 261 segredos para tratar o 136 vasculhar o 126 locadora de v deo estudo de caso 34 35 LOCK 11 145 147 loop around n mero de telefone 27 M mail drop 20 21 malware software malicioso malicious software 76 77 282 A Arte de Enganar Mark 16 medo uso do 90 menor privil gio regra do 224 m dia de backup s 180 181 191 m dia remov vel 249 m dia de computador 136 MLAC Centro Mecanizado de Designa o de Linhas 25 modems de discagem 237 244 multa de tr nsito 173 175 N name dropping 133 n o empregados crit rios para a verifica o de 268 natureza humana tend ncias da 196 198 NC1C Centro Nacional de Informa es sobre o Crime 26 40 41 necessidade de saber verifica o 103 215 negar encerramento de servi o telef nico 140 142 newsgroup 71 Nome e Endere o de Clientes CNA escrit rio 66 67 nomes plantando no banco de dados corporativo 61 n mero de empregado divulgando 22 24 64 73 74 n mero do centro de custo 19 21 n mero do seguro social 41 91 n meros de telefone ac
93. grupo Cap tulo 16 Recomenda es de Pol ticas de Seguran a das Informa es Corporativas 263 20 1 Grupo respons vel pelos incidentes de seguran a Pol tica Um indiv duo ou grupo deve ser designado e os empregados devem ser instru dos para relatar os incidentes de seguran a para esse indiv duo ou grupo Todos os empregados devem receber as informa es de contato com o grupo Explica o Observa es Os empregados devem saber como identificar uma amea a se guran a e devem ser treinados para relatar toda amea a a um grupo respons vel pelos incidentes de seguran a espec fico Tamb m importante que uma organiza o estabele a procedimentos e autori dade espec ficos para que tal grupo possa agir quando uma amea a for detectada 20 2 Ataques em andamento Pol tica Sempre que o grupo respons vel pelos incidentes de seguran a receber os relat rios de um ataque de engenharia social ele deve iniciar imediatamente os procedimentos para alertar todos os empregados dos grupos alvo Explica o Observa es O grupo em quest o ou o gerente respons vel tamb m devem enviar um alerta para toda a empresa Ap s a pessoa ou o grupo respons vel estar convencido de que pode estar acontecendo um ataque a diminui o do dano deve ser a prioridade e o pessoal da empre sa deve ser notificado para estar alerta Um exame r pido da seguran a s listagens e os quadros a seguir fornecem um guia de refer n
94. hardware e software de computador da empresa que sejam relati vamente necess rias para obter os curr culos dos candidatos qualificados Os atacantes l em os jornais e os press releases das empresas e visitam os sites na Internet para en contrar as listagens de cargos Quase sempre as empresas divulgam muitas informa es sobre os tipos de hardware e software usados para atrair poss veis empregados Ap s o intruso descobrir os sistemas de informa es do alvo ele est preparado para a pr xima fase do ataque Por exemplo sabendo que deter minada empresa usa o sistema operacional VMS o atacante pode fazer liga es para determinar a ver s o e em seguida pode enviar um patch de seguran a de emerg ncia falso feito para parecer que veio do desenvolvedor do software Depois que o patch est instalado o atacante est dentro da empresa 1 7 4 Informa es pessoais de empregado Pol tica O departamento de recursos humanos nunca deve liberar informa es pessoais sobre nenhum empregado atual ou ex empregado contratado consultor funcion rio tempor rio ou esta Cap tulo 16 Recomenda es de Pol ticas de Seguran a das Informa es Corporativas 259 gi rio exceto com o consentimento pr vio expresso e por escrito do empregado ou do gerente de recursos humanos Explica o Observa es Os head hunters detetives particulares e ladr es de identidade visam as informa es particulares dos empregados tais como n
95. imaginar que podemos descobrir muito mais Caso encerrado Analisando a trapa a As liga es iniciais de Tommy para Ginny visavam apenas criar confian a Quando chegou a hora do ataque real ela baixou a guarda e aceitou que Tommy era quem alegava ser o gerente de outra loja do grupo E por que n o o aceitaria1 Ela j o conhecia Ela s o conhecia por telefone mas eles haviam estabelecido uma amizade comercial que a base da confian a Depois de aceit lo como autorida de como um gerente da mesma empresa a confian a havia sido estabelecida e o resto era f cil 36 A Arte de Enganar Recado do Mitnick Essa t cnica para criar a confian a uma das mais eficientes da engenharia social Voc tem de pensar se realmente conhece a pessoa com quem est falando Em alguns raros casos a pessoa talvez n o possa ser quem alega ser Da mesma forma todos temos de aprender a observar pensar e questionar a autoridade VARIA O SOBRE UM MESMO TEMA A CAPTURA DO CART O A cria o de uma sensa o de confian a n o exige necessariamente uma s rie de liga es telef nicas com a v tima como sugere a hist ria anterior Lembro me de um incidente que presenciei no qual foram necess rios apenas cinco minutos Surpresa papai Certa vez eu estava em um restaurante com Henry e seu pai Durante a conversa Henry repreendeu o pai por dar o n mero do seu cart o de cr dito como quem d o n mero do telefone clar
96. impress o de que h um vazamento de g s natural Depois que o pessoal inicia os procedimentos de evacua o o audacioso atacante usa esse truque para roubar informa es ou ter acesso aos sistemas de computadores da empresa Outra t tica usada pelos ladr es de infor ma es ficar para tr s em banheiros ou arm rios no momento de uma simula o programada de evacua o do pr dio ou ap s criar uma fuma a falsa ou outro dispositivo para causar uma evacua o de emerg ncia 1 8 6 Visitantes da sala de correspond ncia Pol tica Nenhum visitante pode entrar na sala de correspond ncia sem a supervis o de um funcion rio da empresa Explica o Observa es A inten o desta pol tica evitar que um estranho troque envie ou roube correspond ncia interna da empresa 1 8 7 N meros das placas de ve culos Pol tica Se a empresa tiver uma rea de estacionamento com guardas a equipe de seguran a deve registrar os n meros das placas de todos os ve culos que entram na rea 1 8 8 Cont ineres de lixo Pol tica Os cont ineres de lixo devem sempre permanecer nas instala es da empresa e n o podem ser acessados pelo p blico Explica o Observa es Os atacantes e os espi es industriais podem obter informa es valiosas nas latas de lixo da empresa A justi a considera que o lixo encarado legalmente como propriedade abandonada de modo que o ato de virar latas perfeitamente legal desde
97. inicial mostrou a Harry que o produto linha sido criado no Centro de Desen volvimento localizado na sede do fabricante do PDA fora do pa s Mas tamb m havia uma instala o de P amp D nos Estados Unidos Karl disse que isso era bom Para que uma tentativa funcione tem de haver alguma instala o da empresa nos EUA a qual tamb m precise acessar o c digo fonte Nesse ponto Harry estava pronto para ligar para o Centro de Desenvolvimento no exterior Foi aqui que um pedido de simpatia entrou em cena Ah querida estou com problemas e preciso de aju da por favor me ajude Naturalmente o pedido foi um pouco mais sutil do que isso Karl escreveu um script mas Harry parecia completamente falso tentando us lo No final ele praticou com Karl para que pudesse dizer aquilo que precisava em tom coloquial Finalmente Harry disse com Karl sentado ao seu lado algo mais ou menos assim Estou ligando do P amp D de Minneapolis O nosso servidor teve um worm que infectou lodo o departamento Tivemos de instalar o sistema operacional novamente e em seguida tivemos de restaurar o backup mas nenhum deles serviu Adivinha quem deveria ter verificado a integridade dos backups Eu claro Assim sendo meu chefe est gritando comigo e a ger ncia est querendo se matar porque perdemos os dados Olhe preciso ter a revis o mais recente do diret rio do c di go fonte o mais r pido poss vel Preciso que voc compacte os arquivos em formato gzip e
98. j foi empregado novo um dia Todos temos lembran as de como foi aquele primeiro dia particularmente quando somos jovens e inexperientes Assim sendo quando um empregado novo pede ajuda ele pode esperar que muitas pessoas principalmente o pessoal do n vel iniciante se lembre de seus pr prios sentimentos de garoto novo na escola e lhe d em ajuda O engenheiro so cial sabe disso e entende que pode usar esse fato para jogar com a simpatia de suas v timas Facilitamos bastante a vida dos estranhos que querem dar um golpe para entrar nas f bricas e nos escrit rios da nossa empresa Mesmo com guardas nas portas e procedimentos de registro para todos que n o s o empregados qualquer uma das diversas varia es do golpe usadas nesta hist ria permite que um intruso obtenha um crach de visitante e entre tranq ilamente E se a sua empresa exigir que os visitantes sejam acompanhados Essa uma boa regra mas ela s efetiva quando os Cap tulo 8 Usando a Simpatia a Culpa e a Intimida o 87 seus empregados est o conscientes sobre como impedir que algu m sozinho com ou sem crach entre e como question lo E em seguida se as respostas n o forem satisfat rias os seus empregados t m de estar dispostos a entrar em contato com a seguran a Ao facilitar que estranhos entrem nas suas instala es voc p e em perigo as informa es con fidenciais da empresa Na poca atual com a amea a de ataques terroristas pai
99. manipulados pelos engenheiros sociais A manipula o tem sido estudada pelos cientistas h pelo menos 50 anos Robert B Cialdini ao escrever para a revista Scientific American edi o de fevereiro de 2001 resumiu a sua pesquisa apresentando seis tend ncias b sicas da natureza humana as quais est o envolvidas em uma tenta tiva de obter o consentimento para uma solicita o Essas seis tend ncias s o usadas pelos engenheiros sociais algumas conscientemente e com mais freq ncia outras inconscientemente em suas tentativas de manipula o Autoridade As pessoas t m a tend ncia de atender a uma solicita o que feita por uma pessoa com autoridade Como j discutimos em outra parte deste livro uma pessoa pode ser convencida a atender a uma solicita o se ela acreditar que o solicitante uma pessoa com autoridade ou que est autorizada a fazer tal solicita o Em seu livro Influence o Dr Cialdini escreve um estudo sobre tr s hospitais do meio oeste nos quais 22 esta es separadas de enfermagem foram contatadas por um interlocutor que dizia ser um m dico do hospital e receberam instru es para administrar uma droga controlada para um paciente daquela ala As enfermeiras que receberam essas instru es n o conheciam o interlocutor Elas nem mesmo sabiam se ele era realmente um m dico e ele n o era Elas receberam as instru es pelo te lefone o que violava a pol tica do hospital O m dico
100. mero de empregado n mero de seguro social data de nascimento hist rico de sal rio dados financeiros incluindo as informa es de dep sito e informa es relacionadas com benef cios de sa de O engenheiro social pode obter essas informa es para se fazer passar pelo indiv duo Al m disso a divulga o dos nomes dos novos contratados pode ser muito valiosa para os ladr es de informa es Os novos contratados podem atender a qualquer solicita o feita por pessoas com grau mais alto ou em posi o de autoridade ou por qualquer pessoa que alegue ser da seguran a corporativa 1 7 5 Verifica o de antecedentes Pol tica Uma verifica o de anteced ncia deve ser feita para todos os novos contratados consultores funcion rios tempor rios contratados ou estagi rios antes de uma oferta de emprego ou de um relacionamento com contrato Explica o Observa es Devido s quest es de custo as verifica es de antecedentes podem ser limitadas a posi es de confian a espec ficas Observe por m que qualquer pessoa que recebe o acesso f sico aos escrit rios corporativos pode ser uma amea a em potencial Por exemplo as equipes de limpeza transitam nos escrit rios do pessoal o que lhes d o acesso a quaisquer sis temas de computadores localizados neles Um atacante que tenha o acesso f sico a um computador pode instalar um keylogger detector de teclas digitadas em menos de um minuto para capturar as senhas
101. meu preferido que muitas pessoas devem lembrar No filme Os Tr s Dias do Condor o personagem central Turner interpretado por Robert Redford trabalha em uma pequena empresa de pesquisa contratada pela CIA Um dia ele volta do almo o e descobre que todos os Jarg o SEGURAN A SPEAKEASY A seguran a que depende do conhecimento do lugar onde est o as informa es desejadas e do uso de uma palavra ou nome para acessar aquelas informa es ou um sistema de computador 66 A Arte de Enganar seus colegas foram assassinados Ele est sozinho para descobrir quem fez isso e por qu Todo o tem po ele sabia que os assassinos independentemente de quem eles fossem estavam procurando por ele Mais tarde Turner consegue o n mero de telefone de um dos bandidos Mas quem essa pessoa e como Turner p de descobrir a sua localiza o Ele tem sorte O autor do roteiro David Rayfiel deu a Turner uma experi ncia que inclu a o treinamento como t cnico em telefonia no Ex rcito o que lhe dava o conhecimento das t cnicas e pr ticas da empresa de telefonia Com o n mero do telefone do assassino em m os Turner sabia exatamente o que fazer No filme a cena esta TURNER DESLIGA E DISCA NOVAMENTE PARA OUTRO N MERO TRIM TRIM Em seguida VOZ DE MULHER FILTRO CNA Sra Coleman TURNER no aparelho de leste Aqui Harold Thomas Sra Coleman Servi o ao Cliente CNA de 202 555 7389 por favor VOZ DE MULHER FILTRO Um moment
102. n mero razo vel de mensagens essenciais a meu ver mais eficiente do que longas sess es de meio dia ou dia inteiro que deixam as pessoas tontas com tantas informa es A nfase dessas sess es deve estar na veicula o de uma aprecia o sobre o mal que pode ser feito empresa e aos empregados a menos que todos tenham bons h bitos de seguran a no trabalho Mais importante do que aprender sobre as pr ticas espec ficas de seguran a a motiva o que leva os empregados a aceitarem a responsabilidade pessoal pela seguran a Em situa es nas quais alguns empregados n o podem participar das sess es em classe a em presa deve pensar em desenvolver o treinamento em conscientiza o usando outras formas de ins tru o tais como v deos treinamento baseado em computador cursos on line ou material escrito Ap s a sess o de treinamento inicial sess es mais longas devem ser criadas para educar os em pregados sobre as vulnerabilidades especificas e t cnicas de ataque relativas sua posi o na empre sa Pelo menos uma vez por ano preciso fazer um treinamento de renova o A natureza da amea a e os m todos usados para explorar as pessoas est o sempre mudando de modo que o conte do do programa deve ser mantido atualizado Al m disso a consci ncia e o preparo das pessoas diminui com o tempo de modo que o treinamento deve se repetir a intervalos razo veis de tempo para refor ar os princ pios da seguran
103. n o deve ser surpresa que os registros dos alunos e eventualmente os registros da faculdade tamb m sejam um alvo tentador Esse abuso t o disseminado que algumas corpora es consideram os campi como um ambiente hostil e criam regras de firewall que bloqueiam o acesso das institui es educacionais que t m endere os terminados em edu O resultado disso tudo que todos os registros de alunos e de pessoal de qualquer tipo devem ser vistos como alvos prim rios para um ataque e devem ser bem protegidos como informa es confidenciais Dicas de treinamento A maioria dos ataques da engenharia social tem uma defesa ridiculamente f cil para todos aqueles que sabem o que procurar Sob a perspectiva corporativa o bom treinamento fundamental Mas tamb m h a necessidade de algo mais v rias formas de lembrar as pessoas sobre aquilo que aprenderam Use telas chamativas que aparecem quando o computador do usu rio ligado com uma men sagem de seguran a diferente a cada dia A mensagem deve ser criada para que n o desapare a Capitulo 8 Usando a Simpatia a Culpa e a Intimida o 105 automaticamente e deve exigir que o usu rio clique em algum tipo de confirma o de que ele leu a mensagem Outra abordagem que recomendo iniciar uma s rie de lembretes de seguran a Os lembretes freq entes s o importantes preciso que haja um programa constante de conscientiza o Os lem bretes n
104. n o precisa mostrar o rosto em um lugar onde mais tarde pode ser identificado E o endere o de correio eletr nico e o n mero do fax eletr nico podem ser abandonados assim que a miss o tenha sido completada VIRANDO A MESA Um jovem que chamarei de Michael Parker era uma daquelas pessoas que descobrem um pouco tarde demais que os empregos com os melhores sal rios em sua maior parte v o para as pessoas com grau superior Ele teve a chance de freq entar uma faculdade local com bolsa parcial al m de empr sti mos educacionais mas isso significa trabalhar noite e nos finais de semana para pagar o aluguel a comida a gasolina e o seguro do carro Michael que sempre gostava de encontrar atalhos pensou que talvez houvesse outra maneira uma que o recompensasse mais rapidamente e com menos esfor o Como vinha aprendendo sobre computadores desde a poca em que come ou a jogar com a idade de dez anos e se tornou fascinado em descobrir como eles funcionavam ele resolveu saber se poderia criar sua pr pria formatura acelerada em ci ncia da computa o Formando se sem louvor Ele poderia ter invadido os sistemas de computadores da universidade estadual encontrado o hist rico de algu m que havia se formado com um B ou A m dio copiado o hist rico colocado seu pr prio nome e inclu do esse hist rico nos registros da classe que se formava naquele ano Pensando nisso ele se sentia meio desconfort vel com a id ia e percebeu q
105. na ind stria financeira CREDITCHEX Durante muito tempo os brit nicos conviveram com um sistema banc rio muito conservador Como um cidad o comum voc n o podia atravessar a rua e abrir uma conta no banco N o o banco nem pensaria em aceit lo como cliente a menos que algum cliente j bem estabelecido lhe fornecesse uma carta de recomenda o Isso muito diferente do aparentemente igualit rio sistema banc rio de hoje Em nenhum outro lugar a nossa moderna facilidade de fazer neg cios est em mais evid ncia do que na Am rica demo D 14 A Arte de Enganar cr tica e amistosa na qual quase todos podem entrar em um banco e abrir facilmente uma conta cor rente certo Bom as coisas n o s o bem assim A verdade que os bancos tem uma compreens vel relut ncia natural em abrir uma conta para algu m que pode ter um hist rico de emitir cheques sem fundo isso seria como dar as boas vindas a uma folha corrida de roubos a banco e condena es por desfalques Assim sendo muitos bancos adotam a pr tica padr o de atribuir polegares para cima ou para baixo para um poss vel novo cliente Uma das principais empresas que os bancos contratam para obter essas informa es um local que chamaremos de CreditChex Elas fornecem um servi o valioso a seus clientes mas assim como muitas empresas tamb m podem fornecer sem querer um servi o til para os engenheiros sociais bem informados A primeira liga o Ki
106. no e criptografa as informa es que est o sendo comunicadas de modo que um atacante n o pode utilizar nenhum dado que seja interceptado Voc pode confiar em qualquer site Web mesmo naquele que usa uma conex o segura N o porque o propriet rio do site pode n o estar atento para a aplica o de todas as corre es de seguran a necess rias nem pode Cap tulo 7 Sites Falsos e Anexos Perigosos 83 Jarg o BACKDOOR Um ponto de entrada oculto que fornece um caminho secreto para o computador de um usu rio o qual desconhecido do usu rio Usado tamb m pelos programadores que desenvolvem um programa de software para que possam entrar no programa para corrigir problemas estar for ando os usu rios ou administradores a respeitarem as boas pr ticas de senhas Assim sendo voc n o pode assumir que nenhum site com suposta seguran a n o esteja vulner vel a um ataque O HTTP hypertext transfer protocol seguro ou o SSL secure sockets layer fornece um me canismo autom tico que usa os certificados digitais n o apenas para criptografar as informa es que est o sendo enviadas para o site distante mas tamb m para fornecer a autentica o uma garantia de que voc est se comunicando com o site Web verdadeiro Entretanto esse mecanismo de prote o n o funciona para os usu rios que n o prestam aten o se o nome do site que exibido na barra de endere os na verdade o endere o correto do site que est o te
107. o constante A maioria das pessoas sabe que o aprendizado mesmo das quest es importantes tende a desaparecer a menos que seja refor ado periodicamente Devido import ncia de manter os empregados atuali zados sobre o assunto da defesa contra os ataques da engenharia social um programa constante de conscientiza o de import ncia vital Um m todo para manter a seguran a sempre na mente do empregado fazer com que a seguran a das informa es seja parte espec fica da fun o de todas as pessoas que trabalham na empresa Isso as encoraja a reconhecer o seu papel crucial na seguran a geral da empresa Caso contr rio h uma forte tend ncia de achar que a seguran a n o problema meu 204 A Arte de Enganar Embora a responsabilidade geral por um programa de seguran a das informa es normalmente seja de uma pessoa do departamento de seguran a ou do departamento de tecnologia da informa o o desenvolvimento de um programa de conscientiza o para a seguran a das informa es provavelmen te mais bem estruturado como um projeto conjunto com o Departamento de Recursos Humanos O programa constante de conscientiza o precisa ser criativo e usar cada canal dispon vel para comunicar as mensagens de seguran a para que elas sejam lembradas e para que os empregados tenham sempre em mente os bons h bitos de seguran a Os m todos devem usar todos os canais tradicionais al m dos n o tradicionais que sejam i
108. o deve inserir comandos ou executar programas sob solicita o de qualquer pessoa que ele n o conhe a Se surgir uma situa o na qual uma Pessoa N o Verificada parecer ter um motivo para fazer tal solicita o ela n o deve ser atendida sem antes haver aprova o do gerente Explica o Observa es Os funcion rios que operam com computador s o alvos conhe cidos dos engenheiros sociais uma vez que as suas posi es em geral exigem acesso de conta com privil gios e o atacante espera que eles tenham menos experi ncia e menos conhecimento sobre os procedimentos da empresa do que os outros funcion rios de TI A inten o desta pol tica incluir uma verifica o apropriada para evitar que os engenheiros sociais enganem o pessoal que opera os computadores 242 A Arte de Enganar 8 2 Funcion rios com contas com privil gios Pol tica Os funcion rios que t m contas com privil gios n o devem fornecer assist ncia ou informa es para nenhuma Pessoa N o Verificada Em particular esta pol tica dita que n o se deve fornecer ajuda com o computador tal como treinamento sobre o uso de aplicativos acesso a algum banco de dados da empresa download de software nem revelar nomes de pessoas que tenham capa cidade de acesso remoto Explica o Observa es Os engenheiros sociais quase sempre visam os empregados que t m contas com privil gios A inten o desta pol tica orientar a equipe de TI que tem contas com
109. o devem ser escritos sempre da mesma forma Estudos t m mostrado que essas mensagens s o recebidas com mais efici ncia quando a sua reda o varia ou quando diferentes exemplos s o usados Uma abordagem excelente usar an ncios curtos nos newletteres da empresa Esses an ncios n o devem ser um artigo completo sobre o assunto embora a coluna de seguran a certamente seja valiosa Em vez disso crie um campo com duas ou tr s colunas de largura algo como um pequeno an ncio no seu jornal local Em cada edi o apresente um novo lembrete de seguran a nessa forma curta para chamar a aten o dos leitores O Golpe Inverso Golpe de Mestre filme mencionado em outra parte deste livro e na minha opini o prova velmente o melhor filme que j foi feito sobre um golpe descreve o seu enredo de truques com detalhes fascinantes A opera o do golpe no filme uma descri o exata de como os principais estelionat rios executam o the wire um dos tr s tipos de golpes chamados de grandes golpes Se voc quer saber como uma equipe de profissionais consegue dar um golpe envolvendo uma grande soma em dinheiro em uma nica noite este o melhor livro Mas os golpes tradicionais sem levar em conta seus truques em particular seguem um padr o As vezes um golpe e dado ao contr rio o que chamado de golpe inverso Essa uma invers o inte ressante na qual o atacante cria uma situa o para que a v tima pe a a
110. o envie para mim 188 A Arte de Enganar Jarg o GZIP Classificar arquivos em um nico arquivo compactado usando o utilit rio GNU do Linux Nesse ponto Karl escreveu uma nota para Harry e este disse ao homem que estava no outro lado da linha que ele s queria que ele transferisse o arquivo internamente para o departamento de P amp D de Minneapolis Isso era muito importante quando o homem do outro lado da linha verificou que ele s precisava enviar o arquivo para outra parte da empresa a sua mente sossegou o que poderia haver de errado nisso Ele concordou em fazer um gzip e envi lo Passo a passo com Karl do lado Harry ensinou o interlocutor a iniciar o procedimento de compacta o do enorme c digo fonte em um nico arquivo compacto Ele tamb m deu um nome de arquivo a ser usado no arquivo compactado newdata e explicou que esse nome evitaria qualquer confus o com os arquivos antigos e cor rompidos Karl teve de explicar a pr xima etapa duas vezes antes que Harry a entendesse mas isso foi crucial para o joguinho de engana o que Karl havia criado Harry devia ligar para o R amp D em Min neapolis e dizer para algu m Quero enviar um arquivo para voc e em seguida quero que voc o envie para outro lugar para mim obviamente tudo isso estaria cheio de motivos que tornariam a coisa toda plaus vel O que confundia Harry era que ele deveria dizer Vou enviar um arquivo para voc quando ele n o ia e
111. o liberadas porque os empregados n o t m conhecimento de que ao responder a uma solicita o de informa es eles podem estar colocan do as nas m os de um atacante A pol tica de classifica o de dados define orienta es para classificar as informa es valiosas em v rios n veis Com uma classifica o para cada item os empregados podem acompanhar um con junto de procedimentos de tratamento de dados que protege a empresa contra a libera o inadvertida ou descuidada das informa es confidenciais Esses procedimentos diminuem a possibilidade de que os empregados sejam enganados e revelem informa es confidenciais para pessoas n o autorizadas Cada empregado deve ser treinado na pol tica corporativa de classifica o de dados incluindo aqueles que n o usam os computadores ou os sistemas de comunica es corporativas Como cada membro da for a de trabalho corporativa incluindo a equipe de limpeza os guardas da seguran a e a equipe da sala da copiadora bem como consultores contratados e at mesmo estagi rios pode ter acesso s informa es confidenciais todos podem ser um alvo de ataque A ger ncia deve designar um Propriet rio das Informa es que ser respons vel por todas as infor ma es usadas no momento na empresa Entre outras coisas o Propriet rio das Informa es respons vel pela prote o das informa es Normalmente o Propriet rio determina o n vel de classifica o que s
112. o meu escrit rio Voc sabe onde o meu escrit rio N o Cap tulo 12 Ataques aos Empregados Iniciantes 161 Muito bem ele o escrit rio de canto do 1 5o andar sala 1502 Vou ligar para l em alguns minutos Quando chegar l voc ter de apertar o bot o forward do telefone para que a minha liga o n o entre diretamente no meu voice mail Tudo bem estou indo para l agora Dez minutos depois ela estava no escrit rio havia cancelado o encaminhamento de cha madas e estava aguardando o telefone tocar Ele disse para ela sentar se ao computador e abrir o Internet Explorer Depois pediu para ela digitar um endere o www geocities com ron_insen manuscr pt doc exe Uma caixa de di logo apareceu e ele pediu para ela clicar em Open O computador pa recia estar descarregando o manuscrito e em seguida a tela ficou em branco Quando ela disse que algo parecia estar errado ele respondeu Ah n o N o de novo Tenho tido problemas para fazer o download desse site Web com freq ncia mas achei que isso j estivesse resolvido Muito bem n o se preocupe vou conseguir esse arquivo de outra maneira mais tarde Em seguida ele pediu que ela reinicializasse o seu computador para que ele pudesse ter certeza de que ele inicializaria corretamente ap s o problema que ela acabou de ter Ele a orientou sobre como fazer a reinicializa o Quando o computador estava sendo novamente executado ele agradeceu muito e de
113. o nos arquivos da sua empresa a que um atacante pode ter acesso As vezes essas informa es podem ser algo que voc n o achava que precisasse proteger A liga o para Sarah Recursos Humanos aqui Sarah Oi Sarah Aqui George do estacionamento Voc sabe o cart o de acesso usado para entrar no estacionamento e nos elevadores Bem tivemos um problema e precisamos reprogramar os cart es de todos os funcion rios novos que foram contratados nos ltimos 15 dias Voc precisa dos nomes E dos n meros de telefone Posso verificar a nossa lista de novos contratados e ligar de volta Qual o n mero do seu telefone 73 Ah estou saindo para o caf que tal se eu ligar de volta em meia hora Tudo bem Quando ele ligou de volta ela explicou Ah sim Bem h apenas dois Anna Myrtle do Financeiro ela secret ria E aquele vice presidente novo o Sr Underwood E os n meros dos telefones Certo O n mero do Sr Underwood 6973 O de Anna Myrtle 2127 Olhe voc me ajudou muito Obrigado A liga o para Anna Financeiro Anna Ainda bem que encontrei algu m trabalhando at mais tarde Aqui Ron Vittaro sou editor da divis o de neg cios Acho que ainda n o fomos apresentados Bem vinda empresa Obrigada Anna estou em Los Angeles e em meio a uma crise Preciso de dez minutos do seu tempo claro Do que voc precisa V at
114. o pode n o ser o que parece As recepcionistas precisam ser bem treinadas sobre como pedir educadamente o ID da empresa quando for apropriado e o treinamento precisa incluir n o apenas a recepcionista principal mas tamb m todos os que se sentam na recep o para descansar no hor rio de almo o ou nos intervalos Para os visitantes de fora da empresa a pol tica deve exigir que um ID com foto seja mostrado e as informa es sejam registradas N o dif cil obter um ID falso mas pelo menos a exig ncia de um ID complica um pouco mais as coisas para um pretenso atacante Em algumas empresas l gico seguir uma pol tica que requer que os visitantes sejam acom panhados da recep o e de uma sala de reuni o para outra Os procedimentos devem exigir que o acompanhante deixe claro quando entregar o visitante no seu primeiro compromisso que essa pessoa entrou no pr dio como empregado ou n o empregado Por que isso importante Porque como vimos nas hist rias anteriores um atacante quase sempre se faz passar por algu m para a primeira pessoa 138 A Arte de Enganar que ele encontrou e por outro algu m para a pr xima pessoa que encontra E f cil para um atacante aparecer na recep o convencer a recepcionista de que tem um compromisso com um engenheiro por exemplo e depois ser acompanhado at o escrit rio do engenheiro onde diz ser um representante de uma empresa que quer vender algum produto para a empresa e ent o ap s
115. o seu ramal Dessa forma a empresa pode manter a confidencialidade dos n meros internos Mas essa mesma capacidade de reprograma o fornece uma t tica til para o brincalh o o cobra dor o operador de telemarketing e obviamente para o engenheiro social VARIA O O PRESIDENTE DOS ESTADOS UNIDOS EST LIGANDO Como co patrocinador de um programa de r dio em Los Angeles chamado O lado negro da Internet na KFI Talk Radio trabalhei sob a supervis o do diretor de programa o da esta o David era uma das pessoas mais ocupadas e trabalhadoras que j conheci muito dif cil falar com ele pelo telefone porque ele est sempre ocupado Ele uma daquelas pessoas que n o responde uma liga o a menos que veja pelo ID de chamadas que uma pessoa com quem ele precisa falar Como tenho bloqueio de chamadas no meu celular ele n o sabia quem estava ligando e n o aten deu a liga o A liga o foi para a caixa postal e isso foi muito frustrante para mim Conversei sobre o que fazer sobre isso com um velho amigo que co fundador de uma empre sa imobili ria que fornece espa o de escrit rio para empresas de alta tecnologia Juntos criamos um plano Ele tinha acesso central de telefones Meridian da sua empresa o que lhe dava a capacidade de programar o n mero da chamada como foi descrito na hist ria anterior Sempre que precisava falar com o diretor de programa o e n o conseguia eu pedia que o meu amigo pro
116. o sob seu controle 216 A Arte de Enganar Observa o importante observar que a manuten o dessas listas um convite para o engenheiro social Se um atacante que visa uma empresa toma conhecimento de que ela mant m tais listas ele tem uma motiva o forte para obter uma De posse dela ele pode abrir muitas portas e colocar a empresa em s rio risco Obtenha autoriza o de um gerente Um empregado entra em contato com o seu pr prio geren te ou com o gerente do solicitante para pedir autoriza o para atender solicita o Obtenha autoriza o do propriet rio ou criador das informa es O Propriet rio das Infor ma es o juiz final que determina se uma pessoa deve ou n o receber o acesso O processo para o controle do acesso baseado em computador diz que o empregado deve entrar em con tato com seu gerente imediato para aprovar uma solicita o de acesso s informa es levando em conta perfis de cargo existentes Se tal perfil n o existir o gerente tem a responsabilidade de contatar o Propriet rio dos Dados para pedir permiss o Essa cadeia de comandos deve ser seguida para que os Propriet rios das Informa es n o sejam sobrecarregados com solicita es quando houver necessidade freq ente das informa es Obtenha autoriza o por meio de um pacote de software propriet rio Para uma empresa grande que atua em uma ind stria altamente competitiva uma solu o pr tica desenvolver um p
117. on line mas provavelmente ela mais segura do que comprar em uma loja de material de constru o E as empresas de cart o de cr dito oferecem a mesma prote o quando voc usa o seu cart o on line se alguma taxa fraudulenta for cobrada da conta voc s respons vel pelos primeiros US 50 00 Assim sendo na minha opini o o medo da compra on line apenas outra preocupa o injustificada 80 A Arte de Enganar Edgar n o notou nenhum dos sinais conhecidos de que havia algo de errado com o seu correio eletr nico por exemplo o ponto e v rgula depois da linha de cumprimentos e o texto enrolado sobre nosso valioso servi o ao cliente com excelente qualidade Ele clicou no link inseriu as informa es solicitadas nome endere o n mero do telefone e as informa es do cart o de cr dito e aguardou que o cr dito de US 5 00 aparecesse na sua pr xima fatura do cart o de cr dito Entretanto o que apareceu foi uma lista de taxas pelos itens que nunca comprou Analisando a trapa a Edgar foi pego por um golpe comum na Internet Esse um golpe que chega de diversas maneiras Uma delas detalhada no Cap tulo 9 envolve uma tela de login falsa criada pelo atacante a qual id ntica tela real A diferen a que a tela falsa n o d acesso ao sistema de computadores que o usu rio est tentando atingir mas sim passa o seu nome de usu rio e a senha para o hacker Edgar foi pego em um golpe no
118. onde envi los Voc pode cham lo para mim ao telefone Johnny ouviu o guarda gritando na sala de atividades di rias Ap s v rios minutos de impaci n cia uma voz familiar atendeu Johnny disse N o diga nada at eu explicar do que se trata Ele explicou a desculpa para que Johnny pudesse fingir que eles estavam discutindo para onde mandar os seus pertences Johnny en t o prosseguiu Se voc puder pegar o telefone com o Defensor P blico uma da tarde hoje n o responda Se n o puder ent o diga uma hora que voc estar l Gondorff n o respondeu Johnny continuou Bom Esteja l s treze horas Vou ligar Pegue o telefone Se come ar a cair no Escrit rio dos Defensores P blicos desligue e ligue a cada vinte segundos Continue tentando at me ouvir do outro lado As treze horas Gondorff pegou o telefone e Johnny estava l esperando por ele Eles conversaram animadamente e sem pressa o que levou a uma s rie de liga es semelhantes para planejar o golpe que levantaria o dinheiro para pagar os honor rios do advogado de Gondorff tudo sem que o go verno soubesse Analisando a trapa a Esse epis dio oferece um bom exemplo de como um engenheiro social pode fazer o que parece ser imposs vel acontecer enganando diversas pessoas cada uma fazendo uma coisa que sozinha parece n o ter conseq ncias Na verdade cada a o fornece uma pequena parte do quebra cabe a at que o golpe esteja completo
119. operacional O patch na verdade criava uma backdoor oculta que permi tia o acesso remoto ao sistema com uma senha secreta Observa o O tipo de backdoor usada aqui n o muda o programa de login do sistema operacio nal em si Em vez disso uma fun o espec fica contida dentro da biblioteca din mica usada pelo programa de login substitu da para criar o ponto de entrada secreto Nos ataques t picos os invasores de computador quase sempre substituem ou usam um patch no pr prio programa de login mas os administradores de sistema inteligentes podem detectar a altera o comparando o com a vers o que vem em m dias tais como um CD ROM ou em outros m todos de distribui o 158 A Arte de Enganar Jarg o PATCH Tradicionalmente uma parte do c digo que quando colocado em um progra ma execut vel corrige um problema Segui cuidadosamente as instru es que ela havia escrito para mim primeiro instalando o patch e depois percorrendo as etapas que removiam a corre o de conta e limpei todos os registros de au ditoria para que n o houvesse rastros das minhas atividades apagando assim as minhas pegadas Em breve a empresa come aria a enviar a atualiza o do novo sistema operacional para seus clientes as institui es financeiras de todo o mundo E cada c pia enviada incluiria a backdoor que eu havia colocado na distribui o master antes de ela ser enviada permitindo que eu acessasse o sistema de computado
120. os engenheiros sociais podem assumir muitos Se acha que nunca encontrou um provavelmente est errado Voc reconheceria um cen rio no qual j esteve nessas hist rias e se perguntaria seja teve um contato com a engenharia social Isso bem poss vel Mas depois de ler os Cap tulos 2 a 9 voc saber como ter a palavra final quando o pr ximo engenheiro social ligar Na Parte 3 voc v como o engenheiro social faz as suas apostas em hist rias criadas para mos trar como ele pode entrar nas instala es da sua corpora o roubar o tipo de segredo que pode criar ou destruir a sua empresa e frustrar as suas medidas de seguran a de alta tecnologia Os cen rios desta se o o conscientizar o sobre as amea as que variam da simples vingan a de um empregado ate o ciberterrorismo Se voc valoriza as informa es que mant m a sua empresa funcionando e a privacidade dos seus dados vai querer ler os Cap tulos 10 a 14 do in cio ao final importante observar que a menos que seja declarado o contr rio as piadas deste livro s o pu ramente fict cias Na Parte 4 falo em linguagem corporativa sobre como evitar ataques bem sucedidos da enge nharia social na sua organiza o O Cap tulo 15 fornece um roteiro de um programa de treinamento em seguran a bem sucedido E o Cap tulo 16 pode salvar o seu pesco o ele traz uma pol tica de seguran a completa que voc pode personalizar para a sua organiza o e implementar imed
121. para identificar positivamente as pessoas que fazem as solicita es Embora essa pr tica possa minimizar substancialmente o risco o seu custo seria proibitivo para algumas empresas 218 A Arte de Enganar Nesses casos a empresa deve usar um segredo compartilhado em toda a organiza o tal como uma senha ou c digo di rio 2 2 Libera o das informa es para terceiros Pol tica Um conjunto de procedimentos recomendados de divulga o de informa es deve estar dispon vel e todos os empregados devem ser treinados para segui lo Explica o Observa es Em geral para os casos abaixo preciso estabelecer procedi mentos de distribui o As informa es disponibilizadas dentro da empresa A distribui o de informa es para indiv duos e empregados das organiza es que t m um relacionamento estabelecido com a empresa tal como consultores funcion rios tempor rios estagi rios empregados de organiza es que t m um relacionamento de fornecedor ou uma parceria estrat gia com a empresa e assim por diante As informa es disponibilizadas fora da empresa As informa es de cada n vel de classifica o quando est o sendo entregues em pessoa por telefone correio eletr nico fax voice mail servi o postal entrega de assinatura e transfer n cia eletr nica 2 3 Distribui o de informa es confidenciais Pol tica As informa es confidenciais aquelas que podem ca
122. para o m s atual Ent o se eu fizesse isso agora em mar o eu usaria tr s ou zero tr s isso depende de voc Aquilo com o qual voc se sentir mais vontade Acho que Annette tr s Bom Voc quer que eu diga como voc faz para alterar a senha N o eu sei como fazer isso Bom E mais uma coisa sobre a qual precisamos conversar Voc tem software antivirus no seu computador e importante mant lo atualizado Voc nunca deve desativar a atualiza o autom tica mesmo que o seu computador fique mais lento de vez em quando Tudo bem claro Muito bom E voc tem o nosso n mero de telefone Se tiver algum problema com o computador s nos ligar 52 A Arte de Enganar Ela n o tinha o n mero Ele deu lhe o n mero ela tomou nota e voltou a trabalhar nova mente feliz com o modo como se sentia bem cuidada Analisando a trapa a Esta hist ria refor a um tema b sico que voc encontrar aqui a maioria das informa es co muns que um engenheiro social quer de um empregado independente do seu objetivo final s o as credenciais de autentica o do alvo Com um nome de conta e uma senha em m os de um nico empregado na rea certa da empresa o atacante tem o que ele precisa para entrar e localizar as informa es que est procurando Ter essas informa es como encontrar as chaves do reino com elas em m os poss vel mover se livremente pelo espa o corporativo e enc
123. parte do tempo mexendo com hardware e software seja para o desenvolvimento de programas mais eficientes seja para eliminar etapas desnecess rias e fazer um trabalho mais rapidamente O termo agora se tor nou pejorativo com o significado de criminoso malicioso Uso o termo como sempre o usei no seu sentido mais antigo e benigno Terminado o col gio fiz um curso sobre computadores no Computer Learning Center em Los Angeles Em alguns meses o gerente de computadores da escola percebeu que eu havia descoberto uma vulnerabilidade no sistema operacional e havia ganhado privil gios administrativos totais sobre seu minicomputador IBM Os melhores especialistas em computadores do seu corpo docente n o conseguiram descobrir como eu havia feito aquilo Este deve ter sido um dos primeiros exemplos de contrate o hacker pois recebi uma oferta irrecus vel criar um projeto honors dentro dos padr es e Pref cio xiii normas para melhorar a seguran a dos computadores da escola ou enfrentar a suspens o por ter inva dido o sistema claro que preferi criar o projeto e acabei me formando Cum Laude with Honors Tomando me um engenheiro social Algumas pessoas acordam de manh temendo a sua rotina de trabalho nas proverbiais minas de sal Tive sorte e gosto do meu trabalho Voc n o pode imaginar o desafio a gratifica o e o prazer que sentia no per odo em que trabalhei como detetive particular Eu estava aperfei oando meus tale
124. pense sobre as implica es disso Um invasor de computador pode ligar para sua casa alegando ser do departamento de TI da sua empresa A pessoa que ligou precisa urgentemente da sua senha para restaurar os arquivos de um servidor em pane O ID de chamadas tamb m pode exibir o nome e o n mero do seu banco ou corretora a garota de voz bonita parece precisar apenas verificar os seus n meros de conta e o nome de solteira da sua m e Como medida de seguran a ela tamb m precisa verificar o seu c digo de caixa eletr nico por causa de algum problema no sistema Uma telefonista da sala da bolsa de valores pode fazer com que suas liga es pare am vir da Merrill Lynch ou do Citibank Algu m que quer roubar a sua identidade pode ligar aparentemente da Visa e convenc lo a lhe dar o seu n mero do cart o Visa Um cara rancoroso pode ligar e dizer ser da Receita Federal ou da Pol cia Federal Se voc tiver acesso a um sistema de telefones conectado a um PRI e mais um pouco de conheci mento de programa o que provavelmente pode adquirir no site Web do fabricante do sistema voc pode usar essa t tica para planejar truques legais para aplicar nos seus amigos Voc conhece algu m com ambiciosas aspira es pol ticas Voc pode programar o n mero como 202 456 1414 e seu ID de liga o exibir o nome CASA BRANCA Ele vai pensar que est recebendo uma liga o do presidente A moral da hist ria simples n o confie no ID de cha
125. pr dio havia outra guarita de seguran a na recep o com o conhecido livro para as assinaturas dos funcion rios que entravam ap s o expediente Expliquei ao guarda que tinha um relat rio que precisava estar pronto pela manh e que esse meu amigo queria ver a f brica Ele louco por helic pteros eu contei Acho que ele quer aprender a pilotar um Ele pediu o meu crach Procurei em um bolso e depois nos outros e disse que devia ter deixado o crach no carro Eu vou l pegar eu disse Isso s vai levar uns dez minutos Ele afirmou Tudo bem basta assinar o livro Caminhar por aquela linha de produ o era muito emocionante At aquela jamanta do Leroy nos parar No escrit rio da seguran a imaginei que algu m de fora ficaria nervoso e assustado Quando as coisas ficam feias come o a dar a impress o de que estou realmente vontade como se eu fosse realmente quem digo ser e que aborrecedor o fato de eles n o acreditarem em mim Quando eles come aram a conversar para saber se deveriam ligar para a senhora que eu disse ser a minha chefe e foram procurar o n mero do seu telefone no computador fiquei l parado e pensando Cap tulo 10 Entrando nas Instala es 125 Boa hora para parar com isso tudo Mas havia o port o do estacionamento mesmo que conse gu ssemos sair do pr dio eles poderiam fechar o port o e n s nunca conseguir amos Quando Leroy ligou para a senhora que era a chefe de
126. privil gios para que ela saiba lidar com as liga es que podem representar ataques da engenharia social 8 3 Informa es dos sistemas internos Pol tica A equipe de Opera es de Computador nunca deve divulgar nenhuma informa o re lacionada com os sistemas de computadores da empresa ou dispositivos relacionados sem confirmar a identidade do solicitante Explica o Observa es Os invasores de computadores quase sempre entram em contato com os empregados de opera es para obter informa es valiosas tais como os procedimentos de acesso ao sistema os pontos externos de acesso remoto e os n meros de telefone de discagem que t m valor substancial para eles Nas empresas que t m equipe de suporte t cnico ou um help desk as solicita es feitas para a equipe de opera es de computador pedindo informa es sobre sistemas de computadores ou dispo sitivos relacionados devem ser consideradas incomuns Toda solicita o de informa o deve ser exa minada de acordo com a pol tica de classifica o de dados corporativa para determinar se o solicitante est autorizado a ter tais informa es Quando a classe das informa es n o puder ser determinada elas devem ser consideradas como Internas Em alguns casos o suporte t cnico do fornecedor externo ter de se comunicar com as pessoas que t m acesso aos sistemas de computadores da empresa Eles devem ter contatos espec ficos no departamento de TI para que os en
127. qual os bandidos registraram um site Web com o nome paypal secure com o qual parece como se fosse uma p gina segura do site leg timo da PayPal mas n o e Quando ele inseriu as informa es naquele site os atacantes conseguiram o que queriam Recado do Mitnick Embora isso n o seja infal vel e nenhuma seguran a sempre que visitar um site que solicita informa es que voc considera confidenciais verifique se a conex o est autenticada e criptografada E o mais importante n o clique automaticamente em Sim em nenhuma caixa de di logo que possa indicar uma quest o de seguran a tal como um certificado digital inv lido vencido ou revogado VARIA ES SOBRE A VARIA O Quantas outras maneiras existem de enganar os usu rios de computador para que eles entrem em um site Web falso no qual t m de fornecer informa es confidenciais N o suponho que algu m tenha uma resposta v lida e precisa mas muitas e muitas servir o para essa finalidade O elo que falta Um truque surge regularmente o envio de uma mensagem de correio eletr nico que oferece um mo tivo tentador para visitar um site e fornece um link para ir diretamente a ele S que o link n o leva voc ao site que acha que est indo porque ele na verdade apenas se parece com um link daquele site Este outro exemplo que na verdade foi usado na Internet envolvendo novamente o mal uso do nome da PayPal www PayPai com Olhando rapidamente pa
128. qualquer engenheiro social que estava tentando roubar informa es ele havia deixado o nome e n mero de telefone da sua assistente Ao ligar para ela Craig eliminou todas as suspeitas dizendo que estava atendendo a uma solicita o do chefe da equipe Com o chefe da equipe fora da cidade Michelle n o tinha como verificar essa solicita o Ela aceitou a como verdadeira e n o teve problemas para fornecer uma lista das pessoas do grupo para Craig esse era um conjunto de informa es necess rio e muito valioso Ela nem suspeitou quando Craig quis que a lista fosse enviada por fax e n o por correio eletr nico o qual seria mais conveniente para ambos os lados Por que ela foi t o cr dula Assim como muitos outros empregados ela n o queria que o seu chefe voltasse e descobrisse que ela havia impe dido uma pessoa que estava apenas tentando fazer algo que o chefe havia pedido para ele fazer Al m disso o interlocutor disse que o chefe n o apenas autorizou a solicita o como tamb m pediu o seu aux lio Novamente este um exemplo de algu m que tem um forte desejo de fazer parte de uma equipe o que torna as pessoas mais sujeitas fraude Craig evitou o risco de entrar fisicamente no pr dio fazendo com que o fax fosse enviado para a recepcionista e sabendo que talvez ela ajudaria Afinal as recepcionistas s o selecionadas por suas personalidades charmosas e por sua capacidade de causar uma boa impress o Fazer pequen
129. que preciso acessar a minha esta o de trabalho e o meu servidor daqui de casa e deixei o meu ID Seguro na minha mesa Voc pode procur lo para mim Ou algu m pode fazer isso E depois voc pode ler o meu c digo quando eu precisar dele A minha equipe tem um prazo cr tico e n o h como eu terminar o trabalho E n o h como chegar ao escrit rio as estradas est o muito perigosas por aqui O operador do computador respondeu N o posso sair do Centro de Computadores Danny respondeu rapidamente Voc tem um ID Seguro H um aqui no Centro de Computadores ele disse N s o reservamos para os operadores em caso de emerg ncia Ou a disse Danny Voc pode me fazer um grande favor Quando eu precisar discar para a rede voc pode me emprestar o seu ID Seguro S at que seja seguro dirigir at a Quem e voc mesmo Kowalski perguntou Bob Billings Para quem voc trabalha Para Ed Trenton Ah sim Eu o conhe o Quando h chances de enfrentar condi es muito desfavor veis um bom engenheiro social faz mais do que a pesquisa normal Estou no segundo andar continuou Danny Perto do Roy Tucker O operador tamb m conhecia aquele nome Danny voltou a trabalhar com ele Seria muito mais f cil se voc fosse at a minha mesa e conseguisse o ID Seguro para mim Danny tinha certeza de que o rapaz n o entraria nessa Antes de mais nada ele n o ia querer sair no meio do seu tu
130. recuperados como descobriram os executivos da Enron e muitos outros Jogar simplesmente a m dia de computador no lixo um convite para o seu vira latas local de plant o Consulte o Cap tu lo 16 para obter as orienta es espec ficas sobre como eliminar m dia e dispositivos Manter um n vel de controle apropriado sobre a sele o das pessoas da sua equipe de limpeza usando a verifica o de antecedentes se for apropriado Fazer com que os empregados pensem periodicamente na natureza do material que est o jogando no lixo Trancar os cont ineres de lixo Usar cont ineres separados para material confidenciai e fazer com que os materiais dispensa dos sejam manuseados por uma empresa especializada nesse trabalho Dizendo adeus aos empregados Anteriormente n s destacamos a necessidade de procedimentos r gidos quando o empregado de um departamento tiver acesso a informa es confidenciais senhas n meros de discagem e outros Os seus procedimentos de seguran a precisam fornecer um modo de controlar as pessoas que t m autori za o de acesso a v rios sistemas Pode ser dif cil evitar que determinado engenheiro social burle as barreiras da sua seguran a mas n o facilite isso para um ex empregado Outra etapa que ignorada Quando um empregado que tinha autoriza o de recupera o de fitas de backup em uma empresa de armazenamento vai embora uma pol tica por escrito deve pedir que a emp
131. regras para ajudar um colega com problemas Ela forneceu o cabo os pares e cada n mero em funcionamento designado para aquele endere o Analisando a trapa a Como voc vai notar em todas essas hist rias o conhecimento da linguagem de uma empresa e de sua estrutura corporativa seus v rios escrit rios e departamentos o que cada um deles faz e as informa es que tem faz parte da bagagem essencial de truques de um engenheiro social bem sucedido M 26 A Arte de Enganar Recado do Mitnick da natureza humana confiar em nossos colegas particularmente quando a solicita o passa no teste como sendo razo vel Os engenheiros sociais usam esse conhecimento para explorar suas vitimas e atingir seus objetivos UM JOVEM EM FUGA Um homem que chamaremos de Frank Parsons estava foragido h anos e ainda era procurado pelo governo federal por fazer parte de um grupo antiguerra nos anos de 1960 Nos restaurantes ele se sentava de frente para a porta e tinha um jeito desconcertante de sempre estar olhando para tr s Ele se mudava de tempos em tempos Certa vez Frank chegou em uma cidade que n o conhecia e come ou a procurar emprego Para algu m como Frank com as suas habilidades bem desenvolvidas com computadores e tamb m com habilidades de engenharia social embora ele nunca tenha relacionado isso em uma proposta de emprego encontrar um bom trabalho em geral n o era problema Exceto nas pocas em que a economia
132. saber das informa es que eram espec ficas de suas fun es O quadro hoje um pouco diferente n o Muitos trabalhadores em f bricas usam computa dores ou m quinas computadorizadas Para uma grande parte da for a de trabalho as informa es cr ticas s o colocadas nos desktops dos usu rios para que eles possam cumprir a sua responsabilidade e fazer seu trabalho No ambiente de hoje quase tudo o que os empregados fazem envolve o trata mento das informa es Por esse motivo a pol tica de seguran a de uma empresa precisa ser estendida a toda a empresa independentemente da posi o Todos devem entender que n o s o apenas os executivos e os chefes que tem as informa es que um atacante pode estar procurando Hoje em dia os empregados de to dos os n veis at mesmo aqueles que n o usam um computador podem ser os alvos O representante rec m contratado do grupo de servi o ao cliente pode ser o elo mais fraco que um engenheiro social quebra para atingir o seu objetivo O treinamento em seguran a e as pol ticas corporativas de seguran a precisam fortalecer esse elo Criando a Confian a lgumas dessas hist rias podem lev lo a imaginar que acredito que todas as pessoas que est o nos neg cios s o completas idiotas prontas e at mesmo ansiosas para revelar cada um dos segredos que possuem O engenheiro social sabe que isso n o verdade Por que os ataques da engenharia social s o t o bem sucedidos
133. sem gra a quanto audi ncias de or amento teriam interesse para al gu m mas a sala de reuni es do Conselho Local estava cheia de rep rteres representantes de grupos de interesses especiais membros do p blico e at mesmo duas novas equipes de televis o George sempre achou que havia muita coisa em jogo nessas sess es O Conselho Local tinha as r deas da situa o e a menos que George pudesse fazer uma apresenta o convincente o or amen to de Estradas seria cortado Em seguida algu m come aria a reclamar sobre buracos sem foros quebrados e cruzamentos perigosos o culparia e a vida ficaria terr vel no ano seguinte Mas quando 130 A Arte de Enganar foi apresentado naquela noite ele se levantou confiante Ele havia trabalhado seis semanas nessa apresenta o e nos slides do PowerPoint Ele havia testado com a sua mulher com as principais pessoas da sua equipe e com alguns amigos respeitados Todos concordaram que essa era a melhor apresenta o que j haviam visto As tr s primeiras imagens do PowerPoint ficaram boas Para variar todos os membros do Conse lho estavam prestando aten o Ele estava passando as suas id ias de modo eficaz De repente tudo come ou a sair errado A quarta imagem deveria ser uma linda foto ao p r do sol da nova extens o da rodovia que havia sido inaugurada no ano passado Em vez disso algo muito embara oso aconteceu A foto era de uma revista do tipo Penthouse ou Hustler O p
134. sem que o governo suspeitasse de nada Muito f cil ele pensou Ligue para mim Johnny come ou ligando para o escrit rio comercial da empresa de telefonia sob o pretexto de ser da Administra o de Servi os Gerais a ag ncia respons vel pela compra dos bens e servi os para o governo federal Ele disse que estava trabalhando em um pedido de aquisi o de servi os adicionais e precisava das informa es de faturamento dos servi os de conex o direta usados no momento incluindo os n meros de telefones e o custo mensal do centro de deten o de S o Diego A senhora ficou feliz em ajudar S para ter certeza tentou discar para uma daquelas linhas e obteve a grava o t pica Esta linha foi desligada ou est fora de servi o no momento o que ele sabia que n o significava nada al m de que a linha estava programada para bloquear as liga es recebidas Ele sabia com o seu amplo conhecimento das opera es e dos procedimentos da empresa de tele fonia que precisava falar com um departamento chamado Centro de Autoriza o de Mem ria de Altera es Recentes ou RCMAC sempre me pergunto quem ser que inventa esses nomes Ele come ou ligando para o Escrit rio de Neg cios da empresa de telefonia Disse que era de Consertos e precisava do n mero do RCMAC que tratava da rea de servi o do c digo de rea e prefixo que ele tinha o qual era atendido pelo mesmo escrit rio central de todas as linhas telef nicas d
135. ser aplicada Os direitos de acesso designados aos usu rios ser o o m nimo necess rio para executar suas tarefas To das as solicita es de mudan as que resultem em direitos de acesso mais altos devem estar de acordo com uma pol tica para conceder direitos de acesso elevados O gerente do funcion rio ou o departamento de recursos humanos ter a responsabilidade de notificar o departamento de tecnologia da informa o para que ele ajuste os direitos de acesso do dono da conta 4 3 Identifica o especial para n o empregados Pol tica A sua empresa deve emitir um crach especial com foto para o pessoal de entrega de confian a e para n o empregados que tenham a necessidade comercial de entrar nas instala es da empresa regularmente Explica o Observa es Os n o empregados que precisam entrar no pr dio regularmente por exemplo para fazer entrega de alimentos ou bebidas para o refeit rio ou para consertar as m quinas copiadoras ou fazer instala es telef nicas podem significar uma amea a para a sua empresa Al m de emitir identifica o para esses visitantes verifique se os seus empregados est o treinados para detectar um visitante sem crach e se sabem como agir nessa situa o 4 4 Desativando as contas de computador dos contratados Pol tica Sempre que um contratado que tenha recebido uma conta de computador conclui a sua fun o ou quando o contrato expira o gerente respons vel notificar
136. seu gerente a pessoa com quem o empregado fala ao ligar para o n mero pode n o ser verdadeiramente o gerente mas sim um c mplice do atacante 6 E mail seguro Solicite uma mensagem assinada digitalmente Ponto fraco Se um atacante j comprometeu o computador de um empregado e instalou um detector de teclas digitadas Keystrokes loggers para obter a senha da chave privada do empregado ele pode enviar um e mail assinado digitalmente que parece ser do empregado 7 Reconhecimento pessoal de voz A pessoa que recebe a solicita o j falou com o solicitante de prefer ncia pessoalmente e sabe com certeza que a pessoa uma Pessoa de Confian a e est familiarizado com ela para reconhecer sua voz ao telefone Ponto fraco Este um m todo relativamente seguro o qual n o pode ser burlado facilmente por um atacante mas n o tem utilidade se a pessoa que recebe a solicita o nunca falou com o solicitante 8 Determina o din mica de senha O solicitante autentica a si mesmo usando uma determi na o din mica de senha tal como um ID Seguro Ponto fraco Para burlar este m todo um atacante teria de obter um dos dispositivos de senha din mica bem como o PIN respectivo do empregado a quem o dispositivo pertence de direito ou teria de enganar um empregado para que ele lesse as informa es da tela do dispositivo e fornecesse o PIN Cap tulo 16 Recomenda es de Pol ticas de Seguran a das Informa es Corporativa
137. sua influ ncia sempre foi positiva e til com uma gentileza e generosidade que quase sempre iam muito al m da meia noite Alex e eu recentemente conclu mos um filme v deo para ajudar as empresas a treinar seu pessoal para que aprendam a evitar os ataques da engenharia social Agradecimentos 277 Paul Dryman da Informed Decision muito mais do que um amigo da fam lia Esse detetive particular respeitado e confi vel ajudou me a entender as tend ncias e os processos da condu o de investiga es O conhecimento e a experi ncia de Paul permitiram me abordar as quest es de segu ran a de pessoal descritas na Parte 4 deste livro Como uma das minhas melhores amigas Candi Layman ofereceu apoio e amor Ela uma pessoa maravilhosa e merece o melhor da vida Durante os dias mais tr gicos da minha vida Candi sempre me deu incentivo e amizade Sou feliz por ter conhecido um ser humano t o maravilhoso e generoso e quero agradecer por ela estar sempre a meu lado Certamente o meu primeiro cheque de direitos autorais vai para a minha empresa de telefonia ce lular por todo o tempo que passei falando com Erin Finn Sem d vida Erin como uma alma g mea Somos t o parecidos que chega a assustar Ambos amamos a tecnologia e temos os mesmos gostos para comida m sica e filmes A AT amp T Wireless est perdendo dinheiro por me dar todas aquelas li ga es gr tis noite e nos finais de semana para ligar para Erin em Chicago
138. tenham modems conectados a elas O processo come a com o atacante identificando os prefixos telef nicos usados na rea na qual a empresa alvo est localizada Um programa de rastreamento usado para tentar cada n mero de telefone com aqueles prefixos e localizar aquele que responde com um modem Para agilizar o processo esses programas s o configurados para aguardar um ou dois toques at receber uma resposta de modem antes de tentar o pr ximo n mero Quando uma empresa define a resposta autom tica nas linhas de modem com pelo menos quatro toques os programas de rastreamento n o reconhecem a linha como uma linha de modem 7 1 7 Software antiv rus Pol tica Cada sistema de computador deve ter vers es atualizadas do software antiv rus ins taladas e ativadas 238 A Arte de Enganar Explica o Observa es Nas empresas que n o descarregam automaticamente o soft ware antiv rus e os arquivos de defini es os programas que reconhecem os padr es comuns ao software de v rus para reconhecer os v rus novos nos desktops ou nas esta es de trabalho do usu rio cada usu rio deve assumir a responsabilidade da instala o e manuten o do software em seus pr prios sistemas incluindo todos os sistemas de computadores usados para acessar remotamente a rede corporativa Se for vi vel esse software deve ser definido para a atualiza o autom tica e noturna das as sinaturas de v rus Quando os arquivos de defini
139. ter certeza e foi informado pela recepcionista que o Sr Vittaro n o est no escrit rio nem a sua secret ria Nenhum deles deve voltar hoje amanh nem depois de amanh A sua primeira tentativa de enganar um empregado para tomar parte nesse esquema foi bem sucedida e ela n o pestanejou quando ele pediu ajuda para fazer o download de um manuscrito o qual na verdade era um conhecido programa comercial spyware que o atacante havia modificado para uma instala o silenciosa Usando esse m todo a instala o n o seria detectada pelo software antivirus Por algum motivo os fabricantes de antivirus n o comercializam produtos que detectam o spyware comercial Imediatamente ap s a jovem ter carregado o software no computador de Vittaro Kurt voltou ao site Geocities e substituiu o arquivo doc exe por um manuscrito de livro que ele encontrou na Internet Caso algu m descobrisse o golpe e voltasse ao site para investigar o que havia acontecido encontraria o manuscrito de um livro inofensivo amador e que n o podia ser publicado Ap s o programa ter sido instalado e o computador reinicializado ele foi configurado para se tornar imediatamente ativo Ron Vittaro retornaria cidade em alguns dias come aria a trabalhar e o spyware come aria a encaminhar todas as teclas digitadas no seu computador incluindo os e mails enviados e as capturas de telas mostrando o que estava sendo exibido na tela naquele momento Tudo isso seria
140. tifica o A Sra Underwood pediu Deixe me falar com ele Stilton pegou o telefone e disse Judy sinto muito que os seguran as te acordaram no meio da noite Espero que voc n o fique zangada comigo por causa disso Ele ouviu e depois continuou Acontece que eu tinha de estar aqui de manh de qualquer ma neira para aquela reuni o sobre o novo press release De qualquer forma voc recebeu o e mail sobre o acordo com o Thompson Precisamos nos reunir com o Jim na segunda feira de manh para n o perdermos esse neg cio E ainda tenho aquele almo o com voc na ter a feira certo Ele ouviu mais um pouco disse adeus e desligou Isso pegou Leroy de surpresa Ele pensou que voltaria ao telefone para que a senhora lhe disses se que estava tudo bem Ele se perguntava se deveria ligar novamente para ela mas pensando melhor achou que n o Ele j a havia incomodado no meio da noite Se ele ligasse novamente ela poderia ficar aborrecida e iria reclamar com o chefe dele Por que criar caso ele refletiu Tudo bem se eu mostrar ao meu amigo o restante da linha de produ o Stilton perguntou a Leroy Voc quer vir junto para nos vigiar V em frente afirmou Leroy Olhe tudo S n o esque a o crach da pr xima vez E avise a Seguran a antes de precisar estar na f brica fora do hor rio de trabalho esse o regulamento Vou me lembrar disso Leroy disse Stilton E eles foram embora Menos de
141. um arrepio na espinha Voc pode achar que as hist rias das Partes 2 e 3 n o s o poss veis que ningu m poderia ter sucesso com as mentiras com os truques sujos e os esquemas descritos A verdade que em cada um desses casos as hist rias descrevem eventos que podem acontecer e acontecem muitas delas est o acontecendo todos os dias em algum lugar do planeta talvez at mesmo estejam acontecendo na sua empresa enquanto voc est lendo Essas informa es abrir o seus olhos para que voc proteja a sua empresa rebata os avan os de um engenheiro social e proteja a integridade das informa es na sua vida privada Na Parte 4 mudo de assunto O meu objetivo aqui ajudar voc a criar as pol ticas de neg cios e o treinamento em conscientiza o necess rios para minimizar as chances de seus empregados se rem enganados por um engenheiro social O entendimento das estrat gias dos m todos e das t ticas do engenheiro social o ajudar a preparar se para empregar controles razo veis que salvaguardam os seus ativos de TI sem afetar a produtividade da sua empresa Em resumo escrevi este livro para aumentar a sua conscientiza o sobre a s ria amea a repre sentada pela engenharia social e para ajud lo a ter certeza de que a sua empresa e seus empregados t m menos chances de serem explorados dessa maneira Ou quem sabe devesse dizer bem menos chances de serem explorados novamente A Arte do Atacante
142. um cofre da empresa ou em outra localiza o segura Explica o Observa es A m dia de backup outro alvo prim rio dos invasores de com putadores Um atacante n o vai perder tempo tentando comprometer um sistema ou rede de computa dores quando o elo mais fraco da cadeia pode ser a m dia de backup fisicamente desprotegida Ap s a m dia de backup ser roubada o atacante pode comprometer a confidencialidade dos dados armazena dos nela a menos que estejam criptografados Assim sendo dar seguran a f sica m dia de backup e um processo essencial para proteger a confidencialidade das informa es corporativas POL TICAS PARA TODOS OS EMPREGADOS Tanto no departamento de TI de recursos humanos no departamento cont bil ou na equipe de manu ten o existem determinadas pol ticas de seguran a que cada empregado da sua empresa deve conhe cer Essas pol ticas classificam se nas categorias Geral Uso do Computador Uso do Correio Eletr ni co pol ticas para Telecomutadores Uso do Telefone Uso do Fax Uso do Voice Mail e Senhas Geral 9 1 Relatando liga es suspeitas Pol tica Os empregados que suspeitam que podem estar sendo alvos de uma viola o de se guran a incluindo todas as solicita es suspeitas de divulga o de informa es ou de execu o de a es em um computador devem relatar o evento imediatamente ao grupo de relat rio de incidentes da empresa Explica o Observa es Quando um
143. um empregado e pode entrar no pr dio Observe por m que os guardas da seguran a precisam estar alertas para a t tica na qual uma pessoa n o autorizada entra junto com um empregado leg timo Uma ordem para que todos os empregados do mesmo grupo da pessoa que est saindo par ticularmente se a pessoa est sendo demitida mudem suas senhas Isso parece extremo Muitos anos ap s o curto per odo de tempo em que estive na General Telephone soube que o pessoal da seguran a da Pacific Bell ao ouvir falar que a General Telephone havia me contratado morreu de rir Mas para cr dito da General Telephone quando perceberam que tiveram um hacker conhecido trabalhando para eles e ap s me demitirem pediram que as senhas de todos que trabalhavam na empresa fossem trocadas Voc n o quer que as suas instala es se pare am com cadeias mas ao mesmo tempo precisa se defender contra o funcion rio que foi demitido ontem mas que hoje volta com inten o de causar danos N o se esque a de ningu m As pol ticas de seguran a tendem a ignorar o empregado do n vel iniciante aquelas pessoas como as recepcionistas que n o lidam com informa es corporativas confidenciais J vimos que as recep cionistas s o um alvo til para os atacantes e a hist ria da invas o da empresa de autope as fornece outro exemplo uma pessoa amistosa vestida com um profissional que alega ser um empregado de ou tro escrit rio da organiza
144. um exame separado de cada ativo confidencial cr tico ou valioso e perguntas sobre quais m todos um atacante usaria para comprometer aqueles ativos por meio das t ticas da engenharia social O treinamento apropriado das pessoas que t m acesso de confian a a essas informa es deve ser designado com base nas respostas para essas perguntas Quando algu m que voc n o conhece solicita informa es ou materiais ou pede para executar uma tarefa no seu computador os seus empregados fazem algumas perguntas do tipo Se dei es sas informa es para o meu pior inimigo elas poderiam ser usadas para me prejudicar ou minha empresa Entendo o efeito em potencial dos comandos que est o pedindo para eu inserir no meu computador N o queremos passar a vida toda suspeitando de cada nova pessoa que conhecemos Mesmo assim quanto mais confiamos maiores as chances de que o pr ximo engenheiro social que chegar cidade possa nos influenciar para dar informa es da nossa empresa Cap tulo 4 Criando a Confian a 43 O que faz parte da sua Intranet Partes da sua intranet podem estar abertas para o mundo exterior e outras partes podem ser restritas aos empregados Com que cuidado a sua empresa garante que as informa es confidenciais n o est o sendo publicadas em lugares onde est o acess veis para p blicos dos quais voc quer proteg las Quando foi a ltima vez que algu m da sua organiza o verificou se alguma inform
145. um fax um sistema automatizado o envia para o endere o de correio eletr nico do assinante A nova senha chegou no e mail que Robert criou em um servi o de correio eletr nico gr tis na China Ele tinha certeza de que se o fax fosse rastreado o investigador ficaria desesperado tentando ter a coopera o dos oficiais chineses os quais como ele sabia relutavam em ajudar nessas quest es O melhor de tudo que ele nunca precisou aparecer fisicamente na localiza o da m quina de fax TRIBUNAL DE TR NSITO Provavelmente todos que j tiveram uma multa por excesso de velocidade j sonharam em encontrar uma maneira de n o pag la N o indo para a escola de tr nsito ou simplesmente tentando conven cer o juiz de algum detalhe t cnico tal como a velocidade permitida tempo da notifica o da multa desde que o veloc metro do carro de pol cia ou o equipamento de radar n o fossem verificados N o o cen rio mais interessante seria n o pagar a multa enganando o sistema O golpe Embora n o recomende que voc experimente este m todo de burlar uma multa de tr nsito como se diz n o tente fazer em casa mesmo assim este um bom exemplo de como a arte da fraude pode ser usada para ajudar o engenheiro social Vamos chamar este infrator de tr nsito de Paul Durea Primeiras etapas LAPD Divis o Hollenbeck Oi gostaria de falar com o Controle de Intima es Eu sou o atendente de intima es Bom Aqui
146. um passo adiante Ele j havia sacado o dinheiro de sua conta poupan a e uma soma maior ainda da sua conta em uma corretora Ela queria saber o destino do seu patrim nio e o advogado do seu div rcio n o estava ajudando muito Grace conjecturou que o ad vogado era um daqueles conselheiros de altos sal rios que n o queriam sujar as m os com algo t o complicado quanto saber aonde foi parar o dinheiro Ser que Grace poderia ajudar Ele garantiu que isso seria f cil fez uma cota o para o servi o fora as despesas e recebeu um cheque como primeiro pagamento Em seguida ele enfrentou o seu problema O que voc faria se nunca tivesse feito um trabalho assim antes e n o soubesse muito bem por onde come ar a rastrear o dinheiro Voc avan a a passos de beb Aqui de acordo com a nossa fonte est a hist ria de Grace Eu conhecia o CreditChex e o modo como os bancos o usavam a minha ex mulher trabalha va em um banco Mas n o sabia qual era o jarg o e os procedimentos e seria perda de tempo tentar perguntar isso a ela Etapa um Aprenda a terminologia e descubra como fazer a solicita o para que pare a que voc sabe do que est falando No banco para o qual liguei a primeira jovem Kim desconfiou quando perguntei sobre como eles se identificavam quando ligavam para o CreditChex Ela hesitou n o sabia se devia contar isso para mim Fui derrotado por isso Nem um pouco Na verdade a hesita o me deu uma pi
147. um pouco mais fino o outro pequeno o bastante para que as pessoas possam coloc lo em seus chaveiros Tirado do mundo da criptografia esse dispositivo em particular tem uma pequena janela que exibe uma s rie de seis d gitos A cada 60 segundos o v deo muda e mostra um n mero de seis d gitos dife rente Quando uma pessoa autorizada precisa de acesso externo rede ela primeiro precisa se identifi car como um usu rio autorizado digitando o seu c digo secreto e os d gitos exibidos no seu dispositivo Ap s a verifica o do sistema interno ela autenticada com o seu nome de conta e senha Para o jovem hacker Danny chegar at o c digo fonte que tanto cobi ava ele teria n o apenas de fornecer o nome de conta e a senha de algum empregado um desafio n o muito grande para o expe riente engenheiro social mas tamb m teria de contornar o problema do token baseado em tempo Burlar a autentica o de dois fatores de um token baseado em tempo combinado a um c digo de identifica o secreta do usu rio parece um desafio tirado do filme Miss o Imposs vel Mas para os engenheiros sociais o desafio semelhante quele enfrentado por um jogador de p quer que tem uma habilidade al m do normal para fazer uma leitura dos seus oponentes Com um pouco de sorte quando se senta em uma mesa ele sabe que vai sair dali com uma pilha grande de dinheiro alheio A investida contra o forte Danny come ou fazendo a li o de casa
148. v ndalos de computador 75 76 284 A Arte de Enganar verifica o autoriza o de terceiro 212 correio eletr nico 251 da identidade 213 215 de linha 88 de n o empregados crit rios para a 268 de status do emprego 215 268 liga o de 73 167 meios 118 orienta es 73 74 procedimentos 212 216 treinamento para obter 201 202 verifica es de antecedentes 259 vingan a 89 175 177 virando a mesa estudo de caso 100 102 virar latas 126 128 v rus 75 76 83 84 Consulte tamb m software antiv rus visitantes 86 137 237 260 voice mail caixas postais de departamento 222 deixando o n mero do telefone no 123 desativando 223 pol tica 251 253 vulnerabilidade avalia o 154 fatores de influencia 267 teste de 228 W Web sites falsos 78 82 com rcio eletr nico 79 179 conex es seguras 82 83 listas de palavras 150 worm 75 78 wpf 40 MITNICK A ARTE DE ENGANAR O HACKER MAIS FAMOSO DO MUNDO REVELA COMO EVITAR O MAIS S RIO DE TODOS OS RISCOS DE SEGURAN A A NATUREZA HUMANA Todos os firewalls e protocolos de criptografia do mundo nunca ser o suficientes para deter um hacker decidido a atacar um banco de dados corporativo ou um empregado revoltado determinado a paralisar um sistema Neste livro Mitnick fornece cen rios realistas de conspira es falcatruas e ataques de engenharia social aos neg cios e suas conseq ncias Convidando v
149. v tima entender o seu estado de esp rito engan la como se engana um peixe dando um pouco de linha e puxando mais um pouco de linha e puxando At voc peg lo na rede e jog lo no barco Foi assim que o enganei e consegui os c digos do dia Uma grande etapa Na maioria dos ban cos eles usam apenas um c digo e eu estaria a salvo O Industrial Federal Bank usa cinco c digos e portanto ter apenas um entre cinco n o significa muita coisa Com dois em cinco eu teria muito mais chances de passar para o pr ximo ato do pequeno drama Amo essa parte onde digo Eu n o disse B disse E Quando funciona lindo E na maior parte do tempo funciona Se eu conseguisse um terceiro seria melhor ainda Na verdade conseguiria obter at tr s em uma nica liga o B D e E s o t o parecidos que voc pode dizer que eles n o entenderam de 112 A Arte de Enganar novo Mas voc precisa estar falando com algu m que seja verdadeiramente lento E esse homem n o era Assim fiquei com os dois c digos Os c digos do dia seriam o meu trunfo para obter o cart o de assinaturas Ligo e o atendente pede um c digo Ele quer o C e eu s tenho o B e o E Mas isso n o o fim do mundo Voc precisa permanecer calmo em um momento como esse deve parecer confiante continuar com o plano Eu o enganei com a hist ria de que Algu m est usando o meu computador pe a um destes outros Todos somos empregados da mesma empresa
150. vez E claro que ele est correndo risco quanto mais tempo permanecer conectado maior ser o risco de ele ser pego Como etapa preliminar Ivan faria uma enumera o a qual revela os detalhes sobre um sistema alvo Novamente a Internet fornece software para essa finalidade em http ntsleuth Ocatch com o caractere antes de catch um zero Ivan descobriu diversas ferramentas p blicas de hacking na Web que automatizavam o processo de enumera o e evitavam a necessidade de fazer isso m o o que levaria mais tempo e aumentaria o risco Sabendo que a organiza o empregava principalmente servidores baseados no Windows ele baixou uma c pia do NBTEnum um utilit rio de enumera o do NetBIOS sistema b sico Entrou com o endere o IP protocolo Internet do servidor ATM5 e come ou a executar o programa A ferramenta de enumera o podia identificar as diversas parti es contas e diret rios que existiam no servidor Ap s a identifica o das contas existentes a mesma ferramenta de enumera o podia iniciar um ataque de dicion rio contra o sistema de computadores Um ataque de dicion rio algo que muitas pessoas ligadas seguran a de computadores e intrusos conhecem bem mas a maioria das outras pes soas provavelmente fica chocada quando descobre que isso poss vel Tal ataque visa descobrir a senha de cada usu rio do sistema usando as palavras mais comuns Todos temos pregui a de fazer algumas coisas mas
151. 12 anos aposentar se com 24 anos sem nem tocar em um centavo do seu fundo de poupan a Para mostrar ao pai o todo poderoso e impiedoso banqueiro que ele podia ser um sucesso por conta pr pria Faltavam apenas dois anos e estava perfeitamente claro que ele n o iria ganhar a sua fortuna nos pr ximos 24 meses sendo um homem de neg cios brilhante e tamb m n o iria conseguir isso como um investidor inteligente Certa vez pensou em roubar bancos com um rev lver mas isso coisa de cinema o custo do risco comparado ao benef cio alto demais E ficava sonhando com um golpe roubar um banco eletronicamente Da ltima vez que Bill esteve na Europa com a fam lia ele abriu uma conta banc ria em M naco com Fr 100 Ele ainda tinha apenas Fr 100 na conta mas tinha um plano que o ajudaria a chegar aos sete d gitos em um instante Com um pouco de sorte talvez at aos oito d gitos A namorada de Bill Annemarie trabalhava em um grande banco em Boston Um dia enquan to a esperava sair de uma reuni o de ltima hora no escrit rio ele cedeu curiosidade e conectou o seu laptop a uma porta Ethernet da sala de reuni es que estava usando Isso mesmo Ele estava na rede interna e conectado dentro da rede do banco atr s do firewall corporativo Isso lhe deu uma id ia Ele juntou seu talento ao de um colega de classe que conhecia uma jovem chamada J lia uma brilhante mestre em ci ncia da computa o e candidata a um
152. 79 80 confian a abuso de 6 8 acesso de 42 credibilidade e 40 criando a 34 43 Confidenciais classifica o de dados 211 Confidencial classifica o de dados 211 configura o do sistema operacional 234 235 consist ncia 197 198 conta com privil gios ou privilegiada 212 236 240 conta de convidado 56 conta s convidado s 56 236 237 com privil gios 236 240 desativando 231 nova autoriza o de 231 tempor ria 72 vencimento 234 235 contratado contas dos 224 c pia da sua ficha criminal 26 correio eletr nico anexo 76 77 endere o divulga o 55 endere os gen ricos 235 golpe na Ucr nia 163 links no 76 80 82 memorando por meio do 172 mensagem assinada 214 pol tica de uso do 203 corretoras informa es 92 cortadora de papel 136 crach de identifica o eletr nica 137 de visitante 86 empregado demitido 136 137 falsificar o 186 pol tica 135 137 229 projeto do 223 224 229 seguran a 122 133 135 tempor rio 128 135 credibilidade ganhando 40 CreditChex estudo de caso 13 18 criptografia chaves de 191 de backup e informa es armazenadas 181 191 237 senha 56 57 150 151 site Web informa es 82 D dead drop 57 Departamento de Tr nsito obtendo informa es dos 113 116 detetive s particulares 15 17 92 E eBay 79 81 emprcgado s adeus aos procedimentos 136 137 admitindo um de outro escrit rio 138 ataques de empr
153. Criando a Confian a 41 NCIC Quem mais al m de algu m treinado no uso do NCIC conheceria esses procedimentos Ap s o funcion rio confirmar que o sistema estava funcionando a conversa o poderia ter pros seguido mais ou menos assim Voc pode me ajudar O que voc est procurando Preciso que voc d um comando OFF sobre Reardon Martin DOB 18 10 66 Qual o sosh As pessoas do departamento de pol cia s vezes se referem ao n mero do se guro social como sosh 700 14 7435 Ap s procurar na listagem ela voltaria com algo do tipo Ele tem um 2602 O atacante s teria de olhar no NCIC on line para descobrir o significado do n mero O homem tem um caso de roubo em sua ficha Analisando a trapa a Um engenheiro social experiente n o pararia um minuto para pensar nas maneiras de invadir o ban co de dados do NC1C Por que ele faria isso quando com uma simples liga o para o departamento local de policia e um pouco de conversa para mostrar que ele est por dentro ele conseguiria o que quer E da pr xima vez ele apenas liga para um departamento diferente da pol cia e usa o mesmo pretexto Recado do Mitnick Todos devem ter conhecimento do modus operandi do engenheiro social Ele coleta o m ximo poss vel de informa es sobre o alvo e usa essas informa es para ga nhar a confian a de algu m que trabalha dentro da empresa do alvo Em seguida ele ataca a jugular Voc deve estar se p
154. EIMAR A FONTE Diz se que um atacante queimou a fonte quando ele permite que uma vitima reconhe a que ocorreu um ataque Ap s a v tima tomar conhecimento e no tificar os outros empregados ou a dire o sobre a tentativa fica muito dif cil explorar a mesma fonte em ataques futuros Cap tulo 2 Quando as Informa es N o S o Inofensivas 17 Sempre observo os pequenos sinais que me d o uma leitura da coopera o de uma pessoa em uma escala que vai desde Voc parece uma boa pessoa e acredito em tudo que voc est dizendo at Ligue para a pol cia chame a Pol cia Federal essa pessoa n o est querendo boa coisa Entendi que Kim estava um pouco em d vida assim liguei para algu m de uma filial diferente Na minha segunda liga o com Chris o truque da pesquisa a encantou A t tica aqui incluir as perguntas importantes entre aquelas sem conseq ncias que s o usadas para criar uma id ia de credibilidade Antes de entrar com a pergunta sobre o n mero do ID de Comerciante do CreditChex fiz um pequeno teste de ltima hora fazendo uma pergunta pessoal sobre h quanto tempo ela trabalhava no banco Uma pergunta pessoal e como um campo minado algumas pessoas pisam sobre uma mina e nunca percebem no caso de outras pessoas a mina explode e faz com que elas saiam correndo em busca de seguran a Assim sendo se eu fizer uma pergunta pessoal ela responder a pergunta e o tom da sua voz n o mudar isso significa que p
155. Ele estava prevendo a satis fa o a sensa o tima que ele tinha quando conseguia fazer algo que sabia que apenas um n mero limitado de pessoas poderia realizar Mesmo assim ele ainda n o estava seguro No restante do final de semana ele poderia entrar na rede da empresa sempre que quisesse gra as quele prestativo gerente do centro de computadores E sabia quais servidores queria acessar Mas quando discou o servidor de terminal ao qual se conectou n o permitiu que ele se conectasse aos sistemas de desenvolvimento do Grupo de Comunica es Seguras Deveria haver um firewall interno ou um roteador que protegia os sistemas de computadores daquele grupo Ele teria de encontrar algum outro modo de entrar A pr xima etapa exigiu sangue frio Danny ligou de novo para Kowalski no departamento de Opera es de Computador e reclamou O meu servidor n o me permite conectar e disse ao funcio n rio de TI Preciso configurar uma conta em um dos computadores do seu departamento para poder usar a Telnet e me conectar ao meu sistema O gerente j havia aprovado a divulga o do c digo de acesso exibido no token baseado em tempo de modo que esta nova solicita o n o parecia exagerada Kowalski configurou uma conta e senha tempor ria em um dos computadores do Centro de Opera es e pediu a Danny Ligue de volta quando n o precisar mais dela para eu remov la Ap s fazer o login na conta tempor ria Danny conseguiu se co
156. FTP da m quina do instrutor e apagar o controle de auditoria para que n o houvesse evidencia daquilo que fizeram apenas o ar quivo roubado que foi deixado l para ser facilmente localizado Em uma ltima etapa eles publicaram uma se o do c digo fonte na Usenet diretamente do compu tador do instrutor Apenas uma se o para que n o causassem grandes danos empresa mas deixando pistas claras que levavam diretamente ao instrutor Ele teria dificuldades em explicar tudo aquilo Analisando a trapa a Embora v rios elementos tenham sido combinados para que esse golpe funcionasse ele n o teria tido sucesso sem alguma simpatia e habilidade em pedir ajuda Meu chefe est gritando comigo e o 190 A Arte de Enganar gerenciamento est querendo se matar Isso combinado a uma explica o exata de como o homem do outro lado da linha poderia ajudar a resolver o problema resultou em um golpe poderoso e con vincente Essa combina o funcionou aqui e muitas outras vezes O segundo elemento crucial foi que o homem que entendia o valor do arquivo tinha de envi lo para um endere o dentro da empresa E a terceira pe a do quebra cabe a o operador do computador podia ver que o arquivo havia sido transferido para ele de dentro da empresa Isso s podia significar ou pelo menos assim parecia que o homem que o enviou podia t lo enviado para o destino final n o fosse a conex o de rede externa que n o estava func
157. Olhe comentou Louis Angela volta em meia hora mais ou menos Posso pedir para ela ligar para voc de volta Vou dizer para ela que n o pude enviar as informa es hoje porque voc n o conseguiu identificar essa solicita o como leg tima dando me o c digo Se eu n o estiver doente amanh ligo para ela de volta Tudo bem A mensagem diz Urgente Sem verifica o estou de m os atadas Voc diz para ela que tentei enviar as informa es mas voc n o pode me dar o c digo OK Louis n o resistiu press o Um suspiro aud vel de aborrecimento p de ser ouvido no telefone Bem ele disse espere um pouco tenho de ir at o meu computador Qual c digo voc queria O B afirmou o interlocutor Ele colocou a liga o em espera e em seguida voltou linha 3184 Esse n o o c digo certo Sim ele B 3184 Eu n o disse B disse E Ah droga Espere um pouco Outra pausa enquanto ele olhava novamente os c digos E 9697 9697 certo J estou enviando o fax OK Est bem obrigado O interlocutor de Walter ___ Industrial Federal Bank Walter Oi Walter aqui Bob Grabowski da Studio City filial 38 disse o interlocutor Preciso que voc encontre um cart o de assinaturas de uma conta de cliente e o mande por fax para mim O cart o de assinaturas tem mais do que apenas a assinatura do cliente Ele tamb m tem inf
158. Ou a estou tentando acessar um fiscal de reclama es que trata de um n mero de conta que termina com 6363 e o n mero que tenho de um aparelho de fax Aqui o M dulo 2 disse o homem que atendeu Ele procurou o n mero e o forneceu para Keith A seguir ele ligou para o M dulo 2 Quando May Linn respondeu ele trocou de chap u e conti nuou com a rotina de ser do Escrit rio do Inspetor Geral e estar com problemas em usar o seu com Cap tulo 8 Usando a Simpatia a Culpa e a Intimida o 93 putador porque outra pessoa o eslava usando Ela deu lhe as informa es que ele queria e concordou em fazer o que fosse poss vel quando ele precisasse de ajuda no futuro Analisando a trapa a O que torna essa abordagem eficaz o truque de atrair a simpatia do empregado com a hist ria de outra pessoa que est usando o computador e que o meu chefe n o est feliz comigo As pessoas n o mostram suas emo es no trabalho com freq ncia Quando fazem isso a tend ncia derrubar as defesas normais de outra pessoa contra os ataques da engenharia social O truque emocional de Eu estou com problemas voc pode me ajudar foi tudo do que ele precisou para ganhar o dia Inseguran a Social Por incr vel que pare a a Administra o do Seguro Social postou uma c pia de lodo o seu Manual de Opera es do Programa na Web cheio de informa es teis para o seu pessoal mas que tamb m s o valios ssimas para os engenhei
159. Pelo menos n o estou usando mais o plano Kevin Mitnick O entusiasmo de Erin e a sua confian a em meu livro elevaram meu estado de esp rito Sou muito feliz por t la como amiga Gostaria de agradecer quelas pessoas que representam a minha carreira profissional e que s o muito dedicadas Meus compromissos de palestras s o gerenciados por Amy Gray uma pessoa ho nesta e carinhosa a quem admiro e adoro David Fugate da Waterside Productions um agente liter rio que me defendeu v rias vezes antes e depois da assinatura do contrato do livro O advogado Gregory Vinson de Los Angeles que estava na minha equipe de defesa durante os longos anos da batalha contra o governo Tenho certeza de que a sua compreens o e paci ncia com a minha aten o aos detalhes podem ser comparadas quelas de Bill Ele teve a mesma experi ncia trabalhando comi go nos documentos legais que escreveu em meu nome Tive muitas experi ncias com advogados mas desejo agradecer queles que durante os anos das minhas intera es negativas com o sistema de justi a criminal apresentaram se e ofereceram ajuda quando precisei desesperadamente De palavras gentis at o envolvimento profundo com o meu caso encontrei muitos que n o se ajustam ao estere tipo do advogado ego sta Aprendi a respeitar admi rar e apreciar a gentileza e a generosidade de esp rito que recebi de tantas pessoas Cada uma delas merece ser reconhecida com um par grafo Vou pelo menos men
160. Quando as Informa es N o S o Inofensivas e acordo com a maioria das pessoas qual a verdadeira amea a dos engenheiros sociais O que voc deve fazer para se proteger Se o objetivo capturar algum pr mio altamente valioso digamos um componente vital do capital intelectual da empresa ent o talvez voc precise no sentido figurado apenas de um cofre mais forte e de guardas mais armados Certo Mas na verdade a invas o da seguran a de uma empresa quase sempre come a com o cara mau obtendo alguma informa o ou algum documento que parece ser muito inocente t o comum e sem import ncia que a maioria das pessoas da organiza o n o v nenhum motivo pelo qual ele deva ser protegido e restrito O VALOR OCULTO DAS INFORMA ES Grande parte das informa es aparentemente in cuas de posse de uma empresa cobi ada por ura atacante da engenharia social porque ela pode ter um papel vital em seu esfor o de se revestir de credibilidade Em todas estas p ginas mostro como os engenheiros sociais fazem o que fazem permitindo que voc testemunhe os ataques por si mesmo apresentando a a o sob o ponto de vista das v timas e permitindo que voc coloque se em seu lugar e me a como voc mesmo ou talvez um dos seus empregados ou colegas teria respondido Em muitos casos voc tamb m experimentar os mesmos eventos sob a perspectiva do engenheiro social A primeira hist ria examina a vulnerabilidade
161. Rosemary ttrzine net O seu nome de usu rio Rosemary N o R sublinhado Morgan Certo Queremos que todos os nossos novos empregados saibam que pode ser perigoso abrir anexos de correio eletr nico que voc n o est esperando Muitos dos v rus s o enviados e chegam em mensagens de correio eletr nico que parecem vir de pessoas que voc conhece Assim sendo se receber uma mensagem de correio eletr nico com um anexo que n o est esperando voc deve sempre verificar se a pessoa relacionada na caixa de destinat rio realmente enviou a mensagem Voc entendeu Sim j ouvi falar disso Bom E a nossa pol tica diz que voc tem de mudar de senha a cada 90 dias Qual foi a ltima vez que voc mudou a sua senha Estou aqui h apenas tr s semanas ainda estou usando a primeira senha que criei Muito bem Voc pode aguardar o restante dos 90 dias Mas precisamos ter certeza de que as pessoas est o usando senhas que n o sejam muito f ceis de adivinhar Voc est usando uma senha formada por letras e n meros N o Temos de corrigir isso Que senha voc est usando agora O nome da minha filha Annette Essa n o mesmo uma senha segura Voc nunca deve escolher uma senha que se baseia em informa es da fam lia Bem vejamos voc poderia fazer o mesmo que eu Voc pode usar o que est usando agora como a primeira parte da senha mas sempre que mudar voc inclui um n mero
162. Schenectady Mutual Investments e teve de so letr lo Isso no Estado de Nova York ele acrescentou O detetive particular em a o Todas aquelas tr s liga es foram feitas pela mesma pessoa um detetive particular que chamaremos de Oscar Grace Grace tinha um cliente novo um de seus primeiros clientes Ele era tira h alguns meses e descobriu que parte desse novo trabalho veio naturalmente mas outra parte representava um desafio para os seus recursos e a sua criatividade Esse cliente classificava se sem d vida na categoria do desafio Os insens veis olhos privados da fic o os Sam Spades e os Philip Marlowes passaram madrugadas sentados em carros obser vando uma esposa infiel Os detetives da vida real fazem o mesmo Eles tamb m fazem coisas sobre as quais n o se escreve tanto mas um tipo n o menos importante de espionagem de esposas um m todo que depende mais das habilidades de engenharia social do que da luta contra o aborrecimento das vig lias na madrugada O novo cliente de Grace era uma senhora que parecia ter um or amento bastante grande para rou pas e j ias Ela entrou certo dia no seu escrit rio e sentou se na cadeira de couro a nica que n o tinha pap is empilhados Ela colocou a sua bolsa Gucci na mesa com o logotipo virado para ele e anunciou que pretendia dizer ao marido que queria se divorciar mas admitia ter apenas um probleminha 16 A Arte de Enganar Parece que o seu marido estava
163. a Hum hum est sim Qual o n mero da conta ele perguntou Voc tem um l pis Pronto para anotar N mero de conta BAZ6573NR27Q Ele releu o n mero e em seguida acrescentou E qual o endere o de servi o Ela lhe deu o endere o E qual e o telefone Janie gentilmente leu essa informa o tamb m O interlocutor agradeceu disse adeus e desligou Janie foi para a pr xima liga o e nunca mais pensou nisso O projeto de pesquisa de Art Sealy Art Sealy desistiu de trabalhar como editor free lance para pequenas editoras quando descobriu que poderia ganhar mais dinheiro realizando pesquisa para autores e empresas Ele descobriu que a taxa que poderia cobrar aumentava na propor o em que a tarefa o levava mais perto da linha s vezes indistinta entre o que legal e o que ilegal Sem nunca perceber e certamente sem nunca lhe dar este nome Art tornou se um engenheiro social e usava as t cnicas que s o conhecidas de todo corretor de informa es Ele descobriu que tinha um talento nato para isso e aprendeu sozinho as t cnicas que a maioria dos engenheiros sociais tinha de aprender com os outros Ap s algum tempo ele cruzou a linha sem o m nimo resqu cio de culpa 30 A Arte de Enganar Um homem entrou em contato comigo Ele estava escrevendo um livro sobre o Gabinete do go verno Nixon e procurava um pesquisador que pudesse investigar William E Simon que havia sido o secret rio do Tesouro de N
164. a es sigilosas ou para executar a es que criem um buraco na seguran a para que o atacante se infiltre nenhuma tecnologia do mundo pode proteger uma empresa Assim como os analistas de criptografia podem revelar o texto simples de uma mensagem codificada encontrando um ponto fraco que permita que desviem da tecnologia da cripto grafia os engenheiros sociais enganam os seus empregados para desviar da tecnologia da seguran a ABUSO DE CONFIAN A Na maioria dos casos os engenheiros sociais bem sucedidos t m uma habilidade muito boa em lidar com as pessoas Eles s o charmosos educados e agradam facilmente os tra os sociais necess rios Capitulo 1 O Elo Mais Fraco da Seguran a 7 para estabelecer a afinidade e confian a Um engenheiro social experiente pode ter acesso a pratica mente qualquer informa o alvo usando as estrat gias e t ticas da sua habilidade Os tecnologistas experientes t m desenvolvido solu es de seguran a da informa o para mini mizar os riscos ligados ao uso dos computadores mas mesmo assim deixaram de fora a vulnerabili dade mais significativa o fator humano Apesar do nosso intelecto n s humanos voc eu e todas as outras pessoas continuamos sendo a amea a mais s ria seguran a do outro O nosso car ter nacional N o temos consci ncia da amea a em particular no mundo ocidental Nos Estados Unidos n o somos treinados para suspeitarmos uns dos outros Somos ensinados a
165. a o confidencial da intranet da sua empresa n o foi acidentalmente disponibilizada por meio das reas de acesso p blico do seu site na Web Se a sua empresa implementou servidores proxy como intermedi rios para proteger a empresa contra as amea as eletr nicas seguran a esses servidores foram verificados h pouco para saber se est o configurados adequadamente Na verdade algu m alguma vez verificou a seguran a da sua intranet Posso Ajudar icamos agradecidos quando lemos um problema e algu m com conhecimento habilidade e disposi o nos oferece ajuda O engenheiro social entende isso e sabe como se aproveitar da situa o Ele lambem sabe como criar um problema para voc para que depois voc se sinta agradecido quando ele o solucionar e finalmente joga com a sua gratid o para extrair algumas informa es ou um pequeno favor que deixar a sua empresa ou talvez voc mesmo como indiv duo em um estado muito pior do que antes E voc talvez nunca saiba que perdeu algo de valor Estas s o algumas maneiras t picas pelas quais os engenheiros sociais aparecem para ajudar A QUEDA DA REDE Dia Hora Segunda feira 12 de fevereiro 15h25 Local Escrit rios da Estaleiros Starboard A primeira liga o Tom DeLay Tom DeLay Contabilidade Ol Tom aqui Eddie Martin do Help Desk Estamos tentando solucionar um problema de rede de um computador Voc sabe se algu m do seu gru
166. a o de uma conta com privil gios elevados 7 1 3 Contas de convidados Pol tica As contas de convidados de todos os sistemas de computadores ou sistemas de dis positivos em rede relacionados devem ser desativadas ou removidas exceto para um servidor de FTP file transfer protocol aprovado pela ger ncia com o acesso an nimo ativado Explica o Observa es A inten o da conta de convidado fornecer o acesso tempor rio s pessoas que n o precisam ter sua pr pria conta V rios sistemas operacionais est o instalados como default com uma conta de convidado ativada Essas contas sempre devem ser desativadas por Cap tulo 16 Recomenda es de Pol ticas de Seguran a das Informa es Corporativas 237 que a sua exist ncia viola o princ pio da responsabilidade do usu rio A TI deve poder fazer a audito ria de toda a atividade relacionada com computadores e relacion la com um usu rio espec fico Os engenheiros sociais podem aproveitar essas contas de convidados para ter acesso n o autori zado seja diretamente seja enganando o pessoal autorizado para usar uma conta de convidado 7 14 Criptografia dos dados de backup fora da empresa Pol tica Todos os dados da empresa que est o armazenados fora dela devem ser criptografa dos para evitar o acesso n o autorizado Explica o Observa es A equipe de opera es deve garantir que todos os dados possam ser recuperados no caso de as informa es pr
167. a o do jovem Esse n o era o compor tamento que ele esperaria de um ladr o ou de um intruso apenas um empregado real teria agido daquela maneira ou pelo menos foi isso o que sup s Leroy deveria ter sido treinado para contar com uma identifica o s lida e n o com percep es Por que Leroy n o desconfiou mais quando o jovem desligou o telefone sem pass lo novamente para que ele ouvisse a confirma o diretamente de Judy Underwood e recebesse a sua garantia de que o garoto tinha um motivo para estar na f brica quela hora da noite Leroy foi enganado por um truque t o audacioso que deveria ser bvio Mas pense um instante sob o seu ponto de vista uma pessoa com apenas o col gio preocupado com o seu emprego sem saber se deveria incomodar um gerente da empresa pela segunda vez no meio da noite Se voc esti vesse no lugar dele teria feito a liga o de confirma o Obviamente uma segunda liga o n o era a nica a o poss vel O que mais o seguran a poderia ter feito Mesmo antes de fazer a liga o ele poderia ter pedido dupla para mostrar algum tipo de foto de identifica o Eles dirigiram at a f brica e assim pelo menos um deles deveria ter uma carteira de mo torista O fato de eles terem dado originalmente nomes falsos ficaria bvio um profissional viria com um ID falso mas esses adolescentes n o tomaram esse cuidado Em todo caso Leroy deveria ter examinado as suas credenciais
168. a o seja eficaz o n mero exclusivo de relat rio deve ser distribu do em toda a empresa 4 7 As reas sigilosas devem estar seguras Pol tica Um guarda de seguran a examinar o acesso s reas sigilosas ou seguras e deve exigir duas formas de autentica o Explica o Observa es Uma forma aceit vel de autentica o usa um sistema eletr nico digital que requer que o empregado passe o seu crach e digite um c digo de acesso O melhor m to do para dar seguran a s reas sigilosas colocar um guarda da seguran a que observa toda a entrada de acesso controlado Nas organiza es em que isso fica muito caro duas formas de autentica o devem ser usadas para validar a identidade Dependendo do risco e do custo um cart o de acesso com um sistema biom trico recomendado 4 8 Centrais de rede e telefonia Pol tica Os gabinetes arm rios ou salas que cont m cabeamento de rede fia o de telefone ou pontos de acesso de rede devem estar sempre seguros 226 A Arte de Enganar Explica o Observa es Apenas o pessoal autorizado ter permiss o de acesso aos ga binetes salas ou arm rios de telefones Todo o pessoal da manuten o externa ou o pessoal do fabri cante deve ser identificado de forma positiva usando os procedimentos publicados pelo departamento respons vel pela seguran a das informa es O acesso s linhas telef nicas aos hubs de rede chaves PBX bridges ou outro equipamento re
169. a Novamente a nfase precisa estar em manter os empregados convencidos sobre a import ncia das pol ticas de seguran a e motivados para que as sigam al m de expor as amea as espec ficas e os m todos da engenharia social Os gerentes devem dar um tempo razo vel a seus subordinados para que eles se familiarizem com as pol ticas e os procedimentos de seguran a e para que participem do programa de conscienti za o sobre a seguran a N o se deve esperar que os empregados estudem as pol ticas de seguran a nem participem das aulas no seu tempo vago Os empregados novos devem ter um tempo maior para examinar as pol ticas de seguran a e as pr ticas estabelecidas antes de iniciar as responsabilidades da sua fun o Os empregados que mudarem de posi o dentro da organiza o para uma fun o que envolva o acesso a informa es confidenciais ou sistemas de computadores devem obviamente fazer um pro grama de treinamento em seguran a adaptado s suas novas responsabilidades Por exemplo quando um operador de computador torna se um administrador de sistema ou quando uma recepcionista torna se uma assistente administrativa ambos devem passar por um novo treinamento Conte do do treinamento Quando reduzidos s suas caracter sticas fundamentais todos os ataques da engenharia social t m o mesmo elemento comum a fraude A vitima levada a acreditar que o atacante um colega ou alguma outra pessoa que est autorizada a
170. a Se o pessoal do banco o tra tasse como uma senha de caixa eletr nico eles poderiam apreciar a natureza delicada das informa es H algum c digo interno ou um n mero na sua organiza o que n o esteja sendo tratado com cuidado suficiente pelas pessoas Analisando a trapa a Todo esse ardil baseou se em uma das t ticas fundamentais da engenharia social ganhar acesso s in forma es que o empregado de uma empresa trata como inofensivas quando na verdade elas n o s o A primeira funcion ria do banco confirmou a terminologia para descrever o n mero de identifica o usado ao ligar para o CreditChex o ID de Comerciante A segunda forneceu o n mero de telefone para ligar para o CreditChex e a informa o mais vital o n mero de ID de Comerciante Todas essas informa es pareciam ser inofensivas para a funcion ria Afinal de contas ela achou que estava falando com algu m do CreditChex e assim qual seria o mal de divulgar o n mero 18 A Arte de Enganar Tudo isso criou a base para a terceira liga o Grace tinha tudo o que precisava para ligar para a CreditChex para se passar como representante de um de seus bancos clientes o National e simples mente pedir as informa es que estava querendo Com habilidades para roubar informa es t o boas quanto aquelas que um trapaceiro tem para roubar o seu dinheiro Grace tinha talentos bem treinados para ler as pessoas Ele conhecia a t tica comum de escond
171. a a empresa de limpeza deve ser avisada 154 A Arte de Enganar que o seu pessoal de limpeza sempre deve ser treinado para n o deixar ningu m entrar nas instala es da empresa em nenhum momento Essa uma regra simples n o abra a poria para ningu m Se for apropriado ela pode ser escrita como uma condi o do contrato com a empresa de limpeza Da mesma forma as equipes de limpeza devem ser treinadas quanto s t cnicas usadas pelas pessoas n o autorizadas que seguem uma pessoa autorizada quando ela passa pela entrada de segu ran a Elas tamb m devem ser treinadas para n o permitir que outra pessoa as siga e entre no pr dio s porque parece ser um empregado Fa a um acompanhamento constante digamos de tr s a quatro vezes por ano realizando um teste de penetra o ou uma avalia o de vulnerabilidade Fa a com que algu m apare a na porta quando a equipe de limpeza estiver trabalhando e tente entrar no pr dio Em vez de usar os seus pr prios empregados voc pode contratar uma empresa especializada nesse tipo de teste de penetra o Passe adiante protejam suas senhas Cada vez mais as organiza es est o se tornando vigilantes sobre a implanta o das diretivas l gicas de seguran a por exemplo a configura o do sistema operacional para implantar as pol ticas de senhas e limitar o n mero de tentativas inv lidas de login que podem ser feitas at que a conta seja bloqueada Na verdade as plat
172. a certo em relutar os c digos foram criados para serem usados na dire o oposta Ele sabia que em um fluxo normal de coisas o interlocutor desconhecido come aria dando lhe um c digo de segu ran a Esse era o momento cr tico para Vince o gancho do qual dependia todo o sucesso desse esfor o Diante das suspeitas de Louis Vince simplesmente usou a manipula o um apelo para a simpatia ir ao m dico a press o Tenho uma pilha de coisas para fazer e j s o quase quatro horas e a manipula o Diga a ela que voc n o quis me dar o c digo De forma inteligente Vince n o amea ou realmente ele apenas deixou uma amea a impl cita Sc voc n o me der o c digo de seguran a n o vou enviar as informa es de cliente que a sua colega precisa e vou dizer a ela que eu queria enviar mas que voc n o cooperou Mesmo assim n o sejamos apressados em culpar Louis Afinal de contas a pessoa que estava no telefone sabia ou pelo menos parecia saber que a colega Angela havia solicitado um fax O interlo cutor sabia sobre os c digos de seguran a e sabia que eles eram identificados por letras Ele disse que o seu gerente de filial estava pedindo o c digo para ter mais seguran a Isso n o parecia uma raz o verdadeira para n o dar a ele a verifica o que estava pedindo Louis n o est sozinho Os empregados do banco d o os c digos de seguran a para os engenhei ros sociais todos os dias Isso incr vel
173. a dado a resposta certa para a pergunta de teste O seu nome de usu rio ser igual ao seu nome na corpora o jbjones explicou o administrador de sistemas e eu vou lhe dar a senha inicial changeme Analisando a trapa a Com algumas liga es e gastando quinze minutos o atacante havia ganhado acesso rede de rea remota da empresa Essa era uma empresa que como muitas outras tinha aquilo que eu chamava de seguran a suave Essa descri o foi usada pela primeira vez por dois pesquisadores da Bell Labs Steve Bellovin e Steven Cheswick Eles descreveram essa seguran a como uma concha dura que se esmigalha com um n cleo macio como chiclete como um confeito A concha externa o firewall argumentavam Bellovin e Cheswick n o representa prote o suficiente porque ap s um invasor Cap tulo 6 Voc Pode me Ajudar 65 Jarg o SEGURAN A SUAVE Candy Security Um termo criado por Bellovin e Cheswick da Bell Labs para descrever um cen rio de seguran a no qual o per metro externo tal como um firewall forte mas a infra estrutura fraca O termo refere se ao confeito que tem uma casca externa dura e um centro mole conseguir contorn la os sistemas internos de computadores t m a seguran a macia e mastig vel Na maior parte do tempo eles t m uma prote o inadequada Esta hist ria coincide com a defini o Com um n mero de discagem e uma conta o atacante nem precisava tentar passar pelo firewall
174. a de mim O almo o me custou ao todo US 150 00 incluindo o servi o E consegui o que precisava Os n meros de telefones os cargos e uma das pessoas chave que acreditava que eu era quem dizia ser Brian havia me enganado Ele parecia o tipo de pessoa que apenas me mandaria por e mail algo que eu pedisse Mas parecia que ele estava escondendo alguma coisa quando falei no assunto Vale a pena esperar pelo inesperado Aquela conta de e mail no nome de Larry eu tinha no bolso do colete s para o caso de precisar O pessoal de seguran a do Yahoo provavelmente ainda est esperando que algu m use a conta novamente para que eles possam rastre lo Eles ter o de esperar muito A prima dona j cantou E j estou em outro projeto Analisando a trapa a Todos os que realizam um golpe pessoalmente t m de usar uma apar ncia que o fa a ser aceito Ele vai se produzir de uma forma para aparecer em uma pista de corridas de outra forma para aparecer em um parque aqu tico local e de outra forma ainda para aparecer em um bar de algum hotel cinco estrelas Na espionagem industrial as coisas funcionam da mesma maneira Um ataque pode pedir terno gravata e uma pasta cara se o espi o est se fazendo passar por um executivo de uma empresa esta belecida um consultor ou um representante de vendas Em outra fun o ao tentar se fazer passar por um engenheiro de software um t cnico ou algu m do departamento de correspond ncia as roupas o uniform
175. a de trabalho da v tima algo que n o distrai muito a aten o da v tima Assim como acontece com muitas outras coisas na vida fazer com que uma solicita o pare a l gica pode ser um desafio hoje mas amanh isso pode ser muito f cil A liga o de Mary H Data Hora segunda feira 23 de novembro 7h49 Local Mauersby amp Storch Accounting Nova York Para a maioria das pessoas o trabalho de contabilidade resume se a somar n meros e contar fei j es e visto como sendo t o agrad vel quanto fazer um tratamento de canal Felizmente nem todos v em o trabalho dessa forma Mary Harris por exemplo achava que o seu trabalho como contadora chefe era muito interessante e por isso ela era uma das funcion rias mais dedicadas da contabilidade da sua empresa Nessa segunda feira em particular Mary chegou cedo para come ar logo aquilo que esperava ser um longo dia e ficou surpresa quando o seu telefone tocou Ela atendeu e deu seu nome Oi aqui Peter Sheppard Sou da Arbuckle Support a empresa que faz o suporte t cnico para voc s Registramos algumas reclama es no final de semana de pessoas que tiveram problemas com os computadores da Pensei em resolver isso antes que todos chegassem esta manh para trabalhar Voc est tendo algum problema com o seu computador ou com a sua conex o de rede Ela disse que ainda n o Ligou o computador e durante a inicializa o ele explicou o que queria fazer Gos
176. a dessa forma Mais r pido do que o pensamento Depois que Ivan resolveu qual lista de palavras usaria e come ou o ataque o software foi executado no piloto autom tico Ele pode voltar a sua aten o para outras coisas E aqui est a parte mais inacre dit vel Voc acha que esse ataque permite a um hacker dar a volta ao mundo e o software ainda teria feito pouco progresso quando ele voltasse Na verdade dependendo da plataforma que est sendo atacada da configura o de seguran a do sistema e da conectividade de rede cada palavra de um dicion rio do ingl s pode acredite ou n o ser testada em menos de cinco segundos Enquanto esse ataque estava em execu o Ivan ligou outro computador para executar um ataque semelhante a outro servidor usado pelo grupo de desenvolvimento o ATM6 Vinte minutos depois o software de ataque havia feito aquilo que os usu rios mais cr dulos gostam de achar que imposs vel ele havia encontrado uma senha que revelava que um dos usu rios havia escolhido a palavra Frodo um dos Hobbits do livro O Senhor dos An is Com essa senha Ivan pode se conectar ao servidor ATM6 usando a conta do usu rio Havia uma boa e uma m not cia para o nosso atacante A boa not cia era que a conta que ele in vadira tinha privil gios de administrador o que seria essencial para a pr xima etapa A m not cia era que o c digo fonte do jogo n o estava em nenhum lugar Ele devia estar em outra m quina a ATM5
177. a determinar a efici ncia das defesas contra os ataques da engenharia social um aviso deve ser dado para que os empregados tomem co nhecimento dessa pr tica Deixe que saibam que em algum momento eles podem receber uma liga o telef nica ou outra comunica o que usar as t cnicas do atacante como parte de tal teste Use os resultados desses testes n o para punir mas para definir a necessidade de treinamento adicional em algumas reas Os detalhes relativos a todos os itens acima podem ser encontrados no Cap tulo 16 TESTE A sua empresa pode testar o dom nio que os empregados t m das informa es apresentadas no trei namento de conscientiza o de seguran a antes de permitir o acesso ao sistema de computadores Se os testes forem aplicados on line voc pode usar muitos programas de projeto de avalia o que per mitem analisar facilmente os resultados dos testes para determinar as reas do treinamento que preci sam ser fortalecidas A sua empresa tamb m pode fornecer um certificado de conclus o do treinamento de seguran a como recompensa e motiva o para o empregado Como rotina para a conclus o do programa recomendamos que cada empregado assine um comprometimento de seguir as pol ticas e os princ pios de seguran a que foram ministrados pelo programa As pesquisas sugerem que uma pessoa que se compromete a assinar tal contrato tem mais chances de se esfor ar para cumprir os procedimentos conscientiza
178. a disposto a aceitar o fato de que um interlocutor era realmente o empregado que alegava ser Por sua vez essa disposi o de ajudar um colega com um problema faz parte daquilo que lubrifica as engrenagens da ind stria e parte daquilo que torna os empregados de algumas empresas mais agrad veis de trabalhar do que os empregados de outras empresas Mas essa disposi o em ajudar pode ser uma grande vul nerabilidade que um engenheiro social tentar explorar Um tipo de truque que Danny usou era delicioso quando solicitou que algu m pegasse o seu ID Seguro na sua mesa ele pediu que algu m pegasse para ele Pegar uma ordem que voc d para Cap tulo 6 Voc Pode me Ajudar 73 o seu cachorro Ningu m quer receber a ordem de pegar alguma coisa Com aquela nica palavra Danny garantiu que a solicita o seria recusada e que alguma outra solu o seria aceita o que era exatamente aquilo que desejava O operador do Centro de Computadores Kowalski foi convencido pelo fato de Danny falar nomes de pessoas que ele conhecia Mas por que o gerente nada menos do que um gerente de TI permite que um estranho acesse a rede interna da empresa Simplesmente porque a liga o pedin do ajuda pode ser uma ferramenta poderosa e persuasiva do arsenal do engenheiro social Recado do Mitnick Esta hist ria mostra que os tokens baseados em tempo e outras formas semelhantes de autentica o n o s o defesa contra o astuto engen
179. a gente antes de come ar retrucou Ramon E se eu dissesse que voc ter os seus arquivos na ter a N o na ter a n o na segunda hoje AGORA disse Steve tentando descobrir para quem ele ligaria se n o conseguisse fazer esse cabe a dura entender OK OK repetiu Ramon e Steve o ouviu dar um suspiro de aborrecimento Vou ver o que posso fazer para que voc n o pare Voc usa o servidor RM22 certo O RM22 e o GM16 Os dois Certo OK posso pular algumas etapas e economizar algum tempo vou precisar do seu nome de usu rio e senha Uh oh Steve pensou O que est acontecendo Por que ele precisa da minha senha Por que o TI entre todas as pessoas pediria a senha Qual o seu sobrenome e quem o seu supervisor Heart Stent projeto que une a inform tica e a medicina para desenvolver t cnicas que estudam detalhes do cora o e seu funcionamento utilizando o que existe de mais moderno em tecnologia N R T 54 A Arte de Enganar Ramon Perez Veja quando voc foi contratado havia um formul rio a preencher para obter uma conta de usu rio e voc tinha de colocar uma senha Eu poderia procurar e mostrar que o temos no arquivo aqui Tudo bem Steve pensou alguns instantes e concordou Ele desligou com impaci ncia cada vez maior en quanto Ramon foi procurar os documentos em um arquivo Finalmente ele voltou ao telefone Steve podia ouvi lo procurando na pilha de pap is
180. a muita certeza sobre quem eram as pessoas mais importantes e assim transferi todos os arquivos para um dead drop um site FTP gr tis na China no qual eles podiam ser armazenados sem levantar suspeitas de ningu m Deixe que o cliente procure em tudo e encontre o que ele quer Analisando a trapa a Para o homem que estamos chamando de Craig Cogbure ou para qualquer pessoa como ele com habilidades semelhantes nas artes do roubo que nem sempre s o ilegais da engenharia social o desafio apresentado aqui era quase que rotineiro Seu objetivo era localizar e fazer o download dos arquivos armazenados em um computador corporativo seguro protegido por um firewall e por toda a tecnologia normal de seguran a A maioria do seu trabalho era t o f cil quanto recolher gua da chuva em um barril Ele come ou fazendo se passar por algu m da sala de correspond ncia e imp s uma sensa o extra de urg ncia dizendo que havia um pacote do FedEx aguardando para ser entregue Essa fraude forneceu o nome do chefe da equipe do grupo de engenharia do heart stent o qual estava em f rias mas como era Jarg o Dead drop Um lugar para deixar as informa es no qual pouco prov vel que sejam encontradas por outras pessoas No mundo dos espi es tradicionais isso poderia estar atr s de um tijolo falso na parede no mundo dos hackers de computadores comum haver um site da Internet em um pa s remoto 58 A Arte de Enganar conveniente para
181. a ocupada para Pete Seguindo o padr o usado nas empresas do Vale do Sil cio prova velmente a Apple foi a primeira a adot lo algumas das salas de reuni es tinham nomes de perso nagens de desenhos animados outras de cadeias de restaurantes estrelas de cinema ou her is de his t rias em quadrinhos Ele disse para procurar a sala Minnie Ela o registrou e deu as orienta es para ele encontrar a Minnie Ele localizou a sala acomodou se e conectou o seu laptop porta Ethernet Voc j adivinhou o que aconteceu Certo o intruso havia se conectado rede atr s do firewall corporativo A hist ria de Anthony Acho que podemos chamar Anthony Lake de um homem de neg cios pregui oso Ou talvez encos tado ficasse melhor Em vez de trabalhar para as outras pessoas ele havia decidido que queria trabalhar para si mes mo Queria abrir uma loja na qual pudesse estar em um local o dia todo e n o precisasse percorrer o pa s inteiro S que ele queria ter uma empresa na qual tivesse quase certeza de ganhar dinheiro 132 A Arte de Enganar Que tipo de loja N o preciso muito tempo para descobrir Ele sabia consertar carros e ent o a op o l gica seria uma loja de autope as E como voc cria uma garantia de sucesso A resposta veio num instante convencer o atacadis ta de autope as Honorable Auto Parts a vender lhe toda a mercadoria de que precisava com o seu custo Naturalmente eles n o fariam isso de l
182. a reuni o com o enge nheiro ele tem acesso livre para perambular pelo pr dio Antes de admitir um empregado de outro escrit rio nas instala es da empresa devem ser segui dos procedimentos adequados para verificar se a pessoa verdadeiramente um empregado As recep cionistas e os seguran as devem conhecer os m todos usados pelos atacantes para usar a identidade de um empregado e ter acesso aos pr dios da empresa Como se proteger contra o atacante que consegue entrar dentro do pr dio e ligar o seu laptop em uma porta de rede atr s do firewall corporativo Dada a tecnologia atual isso um desafio salas de reuni o salas de treinamento e reas similares n o devem deixar as portas de rede sem seguran a mas devem proteg las com firewalls ou roteadores Entretanto a melhor prote o vem do uso de um m todo seguro de autenticar todos os usu rios que se conectam rede TI segura Um conselho na sua pr pria empresa cada funcion rio de TI provavelmente sabe ou pode descobrir em momentos quanto voc est ganhando quanto o CEO recebe e quem est usando o jatinho corpo rativo para ir esquiar nas f rias Em algumas empresas at mesmo poss vel que o pessoal de TI ou o pessoal da contabilidade aumente os pr prios sal rios fa a pagamentos para um fornecedor falso remova as classifica es negativas dos registros do RH e assim por diante As vezes apenas o medo de ser pego os mant m honestos e chega
183. a sempre quis ir e disse que reservaria a mesa ele mesmo para s 12h30 e ligaria mais tarde para ter certeza de que estava tudo certo Quando chegaram ao restaurante os quatro mais Jessica a sua mesa ainda n o estava pronta e eles ficaram no bar Rick deixou claro que a conta seria paga por ele Rick era um homem com estilo e classe o tipo de pessoa que faz voc se sentir desde o in cio como se o conhecesse h anos Sempre pa recia saber a coisa certa a ser dita tinha uma observa o inteligente ou algo engra ado para dizer sem pre que a conversa parecia acabar e fazia voc se sentir bem pelo simples fato de estar ao seu lado Ele deu tantos detalhes sobre os produtos da sua pr pria empresa que eles podiam visualizar a solu o conjunta de marketing sobre a qual ele parecia estar t o animado Ele deu o nome de v rias empresas da Fortune 500 para as quais a sua empresa j estava vendendo at que algu m da mesa come ou a imaginar o seu produto se tornando um sucesso no dia em que as primeiras unidades sa ssem da f brica Em seguida Rick come ou a conversar com Brian que era um dos engenheiros Enquanto os outros conversavam entre eles Rick trocou algumas id ias em particular com Brian e lhe falou dos recursos exclusivos do C2Alpha e daquilo que o distinguia de tudo o que a concorr ncia tinha Ele ficou sabendo sobre alguns dos recursos que a empresa estava planejando e dos quais Brian tinha orgulho dizendo que
184. a string de d gitos o que limita o n mero de possibilidades que um atacante tem para adivinhar Al m disso em algumas organiza es as senhas de voice mail podem ser compartilhadas com secret rias ou outras pessoas da equipe administrativa que t m a responsabilidade de receber recados para seus gerentes Tendo isso em vista nenhuma informa o Sigilosa deve ser deixada no voice mail de algu m Senhas 15 1 Seguran a do telefone Pol tica As senhas n o devem ser divulgadas ao telefone em nenhum momento Explica o Observa es Os atacantes podem encontrar maneiras de ouvir as conversa es telef nicas seja pessoalmente ou por meio de um dispositivo tecnol gico 1 5 2 Revelando as senhas de computador Pol tica Sob nenhuma circunst ncia um usu rio de computador deve revelar sua senha para ningu m sem antes obter o consentimento por escrito do gerente respons vel pela tecnologia da in forma o Explica o Observa es O objetivo de muitos ataques da engenharia social enganar pessoas inocentes para que elas revelem os nomes e as senhas de suas contas Esta pol tica uma etapa importante para reduzir o risco de que os ataques da engenharia social contra a empresa sejam bem sucedidos Sendo assim ela precisa ser seguida religiosamente em toda a empresa 1 5 3 Senhas da Internet Pol tica O pessoal nunca deve usar uma senha que seja igual ou semelhante quela que est o usando em qualquer siste
185. a volta para conversar sobre o desafio e voltamos com um plano Ficamos por ali inocentemente e vigiamos o stand dist ncia Na hora do almo o quando o movimento diminuiu os tr s desenvolvedores se aproveitaram do intervalo e sa ram juntos para comer alguma coisa deixando l uma mulher que poderia ser a mulher ou namorada de um deles N s voltamos e eu distrai a mulher conversando com ela sobre v rias coisas como H quanto tempo voc trabalha na empresa Quais outros produtos a sua empresa vende e assim por diante Jarg o SEGURAN A BASEADA EM TERMINAL A seguran a baseada em parte na identifi ca o do terminal de computador espec fico que est sendo usado Esse m todo de seguran a era particularmente conhecido nos computadores mainframe da IBM Capitulo 11 Combinando a Tecnologia e a Engenharia Social 147 Nesse meio tempo Vinny que estava fora da sua linha de vis o estava trabalhando usando uma habilidade que n s dois hav amos desenvolvido Al m do fasc nio por invadir computadores e do meu pr prio interesse em m gica uma coisa que sempre nos interessou foi aprender como abrir cadeados Quando crian a eu havia percorrido as prateleiras de uma livraria obscura no Vale de S o Fernando que tinha livros sobre como abrir cadeados livrar se de algemas criar identidades falsas todo o tipo de coisas que uma crian a n o deveria saber Assim como eu Vinny havia praticado o arrombamento de cadeados at
186. a voz seja familiar e possa ser reconhecida sem d vidas Nas situa es de alta seguran a as nicas solicita es que devem ser concedidas s o aquelas en tregues pessoalmente ou com uma forma s lida de autentica o por exemplo dois itens separados tais como um segredo compartilhado e um token baseado em tempo Os procedimentos de classifica o de dados devem designar que nenhuma informa o seja for necida de uma parte da organiza o envolvida com trabalho confidencial para ningu m que n o seja conhecido pessoalmente ou autenticado de alguma maneira Assim sendo como voc trata de uma solicita o aparentemente leg tima de informa es feita por outro empregado da empresa tal como a lista de nomes e endere os de correio eletr nico das pes soas do seu grupo Na verdade como voc aumenta a consci ncia para que um item como esse que menos valioso do que digamos uma folha de especifica es de um produto em desenvolvimento seja reconhecido como algo que deve ser usado apenas internamente Uma grande parte da solu o designar os empregados de cada departamento que tratar o de todas as solicita es de informa es a serem enviadas para fora do grupo Um programa avan ado de treinamento em seguran a deve ser fornecido para conscientizar esses empregados sobre os procedimentos especiais de verifica o que devem ser seguidos Cap tulo 5 Posso Ajudar 61 Observa o Por incr vel que pare
187. aborrecida mas para a recepcionista isso tudo fazia parte de um dia normal de trabalho Ap s cerca de um minuto a recepcionista voltou linha procurou o n mero de Contas a Receber fez a transfer ncia e colocou Didi na linha A segunda liga o Peggy A pr xima conversa o foi assim Peggy Contas a Receber Peggy Didi Oi Peggy Aqui Didi de Thousand Oaks P Oi Didi D Como vai P Tudo bem Em seguida Didi usou um termo familiar no mundo corporativo que descreve o c digo de cobran a para designar as despesas no or amento de uma organiza o ou grupo de trabalho espec fico D Excelente Tenho uma pergunta Como encontro o centro de custo de determinado departamento P Voc tem de falar com o analista de or amento do departamento D Voc sabe quem o analista de or amento para Thousand Oaks a sede Eu estou tentando preencher um formul rio e n o sei qual o centro de custo apropriado P S sei que quando voc precisa do n mero do centro de custo voc liga para o seu analista de or amento 20 A Arte de Enganar D Voc tem um centro de custo no seu departamento ai no Texas P Temos o nosso pr prio centro de custo mas eles n o nos d o a lista com todos eles D Quantos d gitos tem o centro de custo Por exemplo qual o seu centro de custo P Bem voc trabalha no 9WC ou no SAT Didi n o tinha a menor id ia de quais eram esses departamentos ou gru
188. acessar informa es confidenciais ou que est autorizada a dar v tima instru es que envolvam a tomada de a es com um computador ou com equipamento relacionado com o computador Quase todos esses ataques poderiam ser evitados se o empregado alvo seguisse estas etapas Verificar a identidade da pessoa que faz a solicita o essa pessoa realmente quem diz ser 202 A Arte de Enganar Observa o Como a conscientiza o e o treinamento para a seguran a e o treinamento nunca s o perfeitos sempre que poss vel use tecnologias de seguran a para aumentar seu siste ma de defesa Isso significa que a medida de seguran a fornecida pela tecnologia e n o pelos empregados individuais por exemplo quando o sistema operacional est configurado para evitar que os empregados fa am o download de software da Internet ou selecionem uma senha curta e f cil de adivinhar Verificar se a pessoa est autorizada A pessoa tem a necessidade de saber ou tem autoriza o para fazer a solicita o Se as sess es de treinamento de conscientiza o puderem mudar o comportamento das pessoas para que cada empregado sempre teste toda solicita o que contraria esses crit rios o risco associado aos ataques da engenharia social reduzir se de modo impressionante Um programa pr tico de treinamento e conscientiza o sobre a seguran a das informa es que aborda os aspectos do comportamento humano e da engenharia social de
189. acesso aos dados que ele busca Durante o ataque as informa es fazem o atacante parecer um empregado bem informado e isso lhe d mais chances de fazer com que a v tima coopere 9 10 Informa es particulares sobre os empregados Pol tica Todas as solicita es de informa es particulares sobre um empregado devem ser encaminhadas para o departamento de recursos humanos Explica o Observa es Uma exce o a esta pol tica pode ser o n mero de telefone para um empregado que precisa ser contatado por motivos profissionais ou que esteja agindo como inter medi rio Entretanto sempre prefer vel obter o n mero de telefone do solicitante e fazer com que o empregado ligue de volta para a pessoa Uso do computador 10 1 Inserindo comandos em um computador Pol tica Os funcion rios nunca devem inserir comandos em um computador ou equipamento relacionado sob solicita o de outra pessoa a menos que o solicitante tenha sido verificado como um empregado do departamento de tecnologia da informa o Explica o Observa es Um truque comum dos engenheiros sociais solicitar que um empregado insira um comando que faz uma altera o na configura o do sistema e permita que o atacante acesse o computador da vitima sem fornecer autentica o ou recupere as informa es que podem ser usadas para facilitar um ataque t cnico 10 2 Conven es internas de nomea o Pol tica Os funcion rios n o devem divulg
190. acilitava as coisas Robert pesquisou um pouco ligou para a empresa ap s o primeiro dia do m s e falou com a secret ria de um dos gerentes a qual lhe deu o nome de Janet Ele disse Oi Janet Aqui Randy Goldstein de Pesquisa e Desenvolvimento Sei que provavelmente j recebi o memorando com a senha deste m s para a conex o no servidor de terminais de fora da empresa mas n o o estou encontrando Voc j recebeu o seu memorando deste m s Sim ela disse que j havia recebido Recado do Mitnick O engenheiro social habilidoso muito inteligente e consegue influenciar as outras pessoas para que elas prestem favores a ele O recebimento de um fax e o seu encami nhamento para outra localiza o parece ser t o inofensivo que f cil convencer uma recepcionista ou outra pessoa a fazer isso Quando algu m pede um favor envolvendo informa es se voc n o o conhecer ou n o puder verificar a sua identidade simples mente diga n o Ele perguntou se ela poderia envi lo por fax para ele e ela concordou Ele deu o n mero do fax da recepcionista de um pr dio diferente na sede da empresa e j havia tomado provid ncias para Cap tulo 13 Trapa as Inteligentes 173 que os faxes fossem guardados e em seguida enviados para ele Desta vez por m Robert usou um m todo de encaminhamento de fax diferente Ele deu recepcionista o n mero de um fax que ca a em um servi o de fax on line Quando esse servi o recebe
191. acote de software propriet rio que forne a autoriza o de acesso s informa es Tal banco de dados armazena os nomes e os privil gios de acesso dos empregados s informa es confidenciais Os usu rios n o poderiam examinar os direitos de acesso de cada indi v duo mas digitariam o nome do solicitante e o identificador associado s informa es que est o sendo pedidas Em seguida o software fornece uma resposta indicando se o emprega do est ou n o autorizado a acessar tais informa es Essa alternativa evita o risco de criar uma lista de pessoal com os respectivos direitos de acesso a informa es valiosas criticas ou confidenciais que podem ser roubadas POL TICAS DE GERENCIAMENTO As pr ximas pol ticas aplicam se aos empregados no n vel da ger ncia Elas est o divididas em Classifica o de Dados Divulga o de Informa es Administra o de Telefone e Pol ticas Diversas Observe que cada categoria de pol tica usa uma estrutura exclusiva de numera o para facilitar a identifica o das pol ticas individuais Pol ticas de classifica o de dados A Classifica o de Dados refere se ao modo como a sua empresa classifica a confidencialidade das informa es e quem deve ter acesso a elas 1 1 Designa o da classifica o de dados Pol tica Todas as informa es valiosas confidenciais ou cr ticas de neg cios devem ser desig nadas a uma categoria de classifica o pelo Propriet rio das I
192. acunas que pessoas como Kevin podem nos ajudar a fechar Leia este livro e voc finalmente perceber que todos n s precisamos recorrer aos Mitnicks que h entre n s para obter orienta o Steve Wozniak N lguns hackers destroem os arquivos ou unidades de disco inteiras das pessoas Eles s o cha mados de Crackers ou v ndalos Alguns hackers novatos n o se preocupam em aprender a tecnologia eles apenas querem baixar as ferramentas dos hackers para entrar nos sistemas de computadores Esses s o chamados de script kiddies Os hackers mais experientes com habili dades em programa o desenvolvem programas para hackers e os postam na Web e nos sistemas de bulletin board Em seguida temos os indiv duos que n o t m nenhum interesse em tecnologia mas que usam o computador apenas como uma ferramenta que os ajuda a roubar dinheiro bens ou servi os Apesar do mito que a m dia criou sobre Kevin Mitnick n o sou um hacker malicioso Mas estou me adiantando na hist ria O IN CIO O meu caminho provavelmente foi definido no in cio da minha vida Eu era uma crian a bonita e feliz mas chateada Ap s meu pai sair de casa quando eu tinha tr s anos a minha m e trabalhou como gar onete para nos sustentar Naquela poca apenas uma crian a criada por uma m e que trabalhava muito sem um hor rio fixo eu era um jovem que me cuidava por conta pr pria quase que de manh at a noite Eu era a minha pr pria bab
193. ada empregado deve ser instru do sobre como criar uma senha dif cil de adivinhar A obriga o de cada empregado de atender s pol ticas e as conseq ncias do seu n o atendi mento Por defini o a engenharia social envolve algum tipo de intera o humana Com freq ncia um atacante usa v rios m todos de comunica o e tecnologias para tentar atingir o seu objetivo Por esse motivo um programa de conscientiza o bem feito deve tentar abordar alguns ou todos estes itens Cap tulo 15 Conscientiza o e Treinamento em Seguran a da Informa o 203 As pol ticas de seguran a relacionadas com senhas de computador e voice mail O procedimento de divulga o de informa es ou material confidencial A pol tica de uso do correio eletr nico incluindo as medidas para evitar ataques maliciosos de c digo tais com v rus worms e Cavalos de Tr ia Os requisitos de seguran a f sica tais como o uso de crach s A responsabilidade de questionar as pessoas que est o nas instala es sem o crach As melhores pr ticas de seguran a para o uso do voice mail Como determinar a classifica o das informa es e as medidas adequadas para proteger as informa es confidenciais A elimina o adequada de documentos confidenciais e m dia de computador que contenham ou que j tenham contido material confidencial Da mesma forma se a empresa pretende usar testes par
194. ada nas profundezas de uma montanha Certamente que n o E as pris es e os centros de deten o federais Eles devem ser t o seguros quanto qualquer outro lugar do pa s certo As pessoas raramente escapam e quando conseguem normalmente s o presas logo Voc deve achar que uma instala o federal n o est vulner vel aos ataques da engenharia so cial Mas est errado n o existe seguran a toda a prova em lugar algum H alguns anos uma dupla de grifters trapaceiros profissionais estava com um problema Acontece que eles haviam roubado uma grande soma em dinheiro de um juiz local A dupla j era procurada pela lei h muito tempo mas desta vez as autoridades federais se interessaram pelo caso Elas pegaram um dos grifters Charles Gondorff e o colocaram em um centro correcional perto de S o Diego O magistrado federal ordenou que ele fosse detido como um criminoso frio e um perigo para a comunidade O seu colega Johnny Hooker sabia que Charlie ia precisar de um bom advogado de defesa Mas de onde viria o dinheiro para pag lo Assim como a maioria dos grifters o seu dinheiro sempre havia sido gasto em roupas boas carros novos e mulheres assim que era ganho Johnny raramente tinha o suficiente para viver O dinheiro para pagar um bom advogado teria de vir de outro golpe Johnny n o podia fazer isso por conta pr pria Charlie Gondorff sempre havia sido o c rebro de seus golpes Mas Johnny n o se atrevia a vis
195. ado caixa postal do voice mail e ouviu as mensagens 14 5 Cumprimentos no voice mail externo Pol tica Os funcion rios da empresa devem limitar a divulga o de informa es em seu cum primento externo no voice mail Geralmente as informa es relacionadas com rotina di ria de um funcion rio ou a sua programa o de viagens n o devem ser divulgadas 254 A Arte de Enganar Explica o Observa es Um cumprimento externo reproduzido para as pessoas de fora n o deve incluir o sobrenome o ramal ou o motivo da aus ncia tal como viagem f rias ou itiner rio di rio Um atacante pode usar essas informa es para desenvolver uma hist ria plaus vel em sua tentativa de enganar os outros funcion rios 14 6 Padr es de senha de voice mail Pol tica Os usu rios do voice mail n o devem selecionar uma senha na qual uma parte perma nece fixa enquanto a outra parte muda de acordo como um padr o previs vel Explica o Observa es Por exemplo n o use uma senha tal como 743501 743502 743503 e assim por diante na qual os dois ltimos d gitos correspondem ao m s atual 14 7 Informa es confidenciais ou particulares Pol tica As informa es Confidenciais ou Particulares n o devem ser divulgadas em uma mensagem de voice mail Explica o Observa es O sistema corporativo de telefones via de regra mais vul ner vel do que os sistemas corporativos de computadores As senhas em geral s o um
196. ados de TI usando seus nomes e suas informa es de contato 5 2 Solicita es de suporte t cnico Pol tica Todas as solicita es de suporte t cnico devem ser enviadas para o grupo que trata de tais solicita es Explica o Observa es Os engenheiros sociais podem tentar visar o pessoal de TI que n o trata normalmente das quest es de suporte t cnico e que talvez n o esteja a par dos procedimen 230 A Arte de Enganar tos de seguran a adequados ao lidar com tais solicita es Da mesma forma a equipe de TI deve ser treinada para negar essas solicita es e enviar o interlocutor para o grupo que tem a responsabilidade de fornecer o suporte Help Desk 6 1 Procedimentos de acesso remoto Pol tica O pessoal do help desk n o deve divulgar detalhes ou instru es relativos ao acesso remoto entre elas os pontos de acesso externos da rede ou os n meros de discagem a menos que o solicitante lenha sido Verificado como autorizado a receber as informa es Internas e Verificado como autorizado para se conectar rede corporativa como um usu rio externo A menos que seja pessoalmente conhecido o solicitante deve ser identificado positivamente de acordo com os Procedimentos de Verifica o e Autoriza o destacados no in cio deste cap tulo Explica o Observa es O help desk corporativo quase sempre o alvo principal do engenheiro social seja porque a natureza do seu trabalho auxil
197. aformas de neg cios do Microsoft Windows geralmente t m esse re curso incorporado Mesmo assim reconhecendo o modo como os clientes se aborrecem facilmente com os recursos que exigem um esfor o extra os produtos s o entregues na sua forma padr o ou seja com os recursos de seguran a desativados Est na hora de os fabricantes de software pararem de entregar produtos com os recursos na forma padr o pois deveria acontecer justamente o contr rio Suspeito de que eles v o descobrir isso em breve Obviamente a pol tica de seguran a corporativa deve obrigar os administradores de sistema a implantarem diretivas l gicas de seguran a sempre que poss vel com o objetivo de n o depender das pessoas n o mais do que o necess rio N o preciso pensar muito para ver que quando limita o n mero de tentativas sucessivas e inv lidas de login com determinada conta por exemplo voc torna a vida de um atacante significativamente mais dif cil Toda organiza o enfrenta esse desconfort vel desequil brio entre uma seguran a forte e a pro dutividade do empregado o qual faz com que alguns empregados ignorem as pol ticas de seguran a e n o aceitem o fato de que essas medidas s o importantes para proteger a integridade das informa es corporativas confidenciais Se as pol ticas de uma empresa n o abordam algumas quest es os empregados podem usar o ca minho da menor resist ncia e realizar as a es mais convenientes que tor
198. al que o ajuda a ganhar a confian a ou encontrar a localiza o das informa es que ele deseja Em particular pessoas tais como os administradores de banco de dados que trabalham com soft ware pertencem quela categoria de pessoas que t m especializa o t cnica e que precisam operar sob determinadas regras especiais e bastante restritivas sobre a verifica o da identidade das pessoas que ligam para elas para obter informa es ou consultoria As pessoas que fornecem regularmente qualquer tipo de ajuda com computadores precisam estar bem treinadas sobre os tipos de solicita es que devem levantar suspeitas e sugerir que o interlocutor pode estar tentando realizar um ataque de engenharia social Vale a pena notar por m que sob a perspectiva do administrador de banco de dados da ltima hist ria deste cap tulo o interlocutor atendia aos crit rios de ser um usu rio leg timo ele estava li gando do campus e obviamente estava em um site que requeria um nome de conta e uma senha Isso s deixa claro mais uma vez a import ncia de ter procedimentos padronizados para a verifica o da identidade de algu m que solicita informa es sobretudo em um caso como esse no qual o interlo cutor estava pedindo ajuda para obter acesso a registros confidenciais Tudo isso vale em dobro para faculdades e universidades N o novidade que o hacking de com putadores o passatempo preferido de muitos alunos da faculdade e tamb m
199. al telef nica ao usar o mesmo nome de conta em todas as suas centrais Essa falta de cuidado tornou muito f cil para o engenheiro social adivinhar a senha sabendo mais uma vez que os t cnicos das centrais telef nicas assim como quase todas as outras pessoas preferem as senhas mais f ceis de decorar Cap tulo 9 O Golpe Inverso 117 Com o acesso central telef nica ele configurou o encaminhamento de chamadas de uma das linhas telef nicas da pol cia do Departamento de Tr nsito para o seu telefone celular Em seguida na parte mais espalhafatosa enganou um agente da lei ap s o outro para que eles revelassem n o apenas os seus c digos de solicitante como tamb m suas pr prias informa es de identifica o pessoal dando a Eric a capacidade de se fazer passar por eles Embora sem d vida um certo conhecimento t cnico tivesse sido necess rio para realizar essa fa anha isso poderia n o ter funcionado sem a ajuda de uma s rie de pessoas que n o tinham a menor id ia de que estavam falando com um impostor Essa hist ria outra ilustra o do fen meno no qual as pessoas n o perguntam Por que eu Por que o oficial do teletipo deu essas informa es para algum representante de delegado que ele nem conhecia ou neste caso um estranho se fazendo passar pelo representante do delegado em vez de sugerir que ele obtivesse as informa es de um colega representante ou do seu pr prio oficial Novamente a
200. algum empregado relutaria em compartilhar das informa es com um colega Como o n mero de telefone que Shirley deu era sem d vida um ramal interno n o havia motivo para nenhuma suspeita Recado do Mitnick Tente ligar para a sua pr pria caixa postal de vez em quando Se ouvir uma mensagem que n o a sua voc pode ter acabado de encontrar o seu primeiro engenheiro social A SECRETARIA ATENCIOSA Cracker Robert Jorday invadia regularmente as redes de computadores de uma empresa global a Rudolfo Shipping Inc A empresa por fim reconheceu que algu m estava atacando o seu servidor de terminais e que por meio daquele servidor o usu rio poderia se conectar a qualquer sistema de com putadores da empresa Para salvaguardar a rede corporativa a empresa resolveu exigir uma senha de discagem em cada servidor de terminal Robert ligou para o Centro de Opera es de Rede fingindo ser um advogado do departamento Jur dico e disse que estava com problemas para se conectar rede O administrador explicou que eles tiveram alguns problemas recentes de seguran a e que os usu rios de acesso por discagem teriam de obter a senha mensal com seus gerentes Robert queria saber qual m todo estava sendo usado para comunicar a senha de cada m s para os gerentes e como ele poderia obt la A resposta foi que a senha do pr ximo m s seria enviada em um memorando por meio do correio eletr nico do escrit rio para cada gerente da empresa Isso f
201. am boas pr ticas de seguran a ou que reconhecem e relatam um incidente de seguran a Sempre que um empregado for recompensado por frustrar uma quebra de seguran a isso deve ser amplamente divulgado em toda a empresa como por exemplo em um artigo na circular da empresa Um dos objetivos de um programa de conscientiza o sobre a seguran a a comunica o da import ncia das pol ticas de seguran a e o dano que a falha em seguir essas regras pode causar Dada a natureza humana os empregados s vezes ignoram ou sabotam as pol ticas que parecem ser injustificadas ou que demandam muito tempo A ger ncia tem a responsabilidade de garantir que os empregados entendam a import ncia das pol ticas e sejam motivados para atend las e n o trat las como obst culos a serem contornados E importante notar que as pol ticas de seguran a das informa es n o podem ser inflex veis Uma empresa precisa mudar medida que surgem novas tecnologias de seguran a e medida que as vulnerabilidades de seguran a evoluem as pol ticas precisam ser modificadas ou suplementadas Um processo de exame e atualiza o regular deve ser estabelecido Tome as pol ticas e os procedimentos de seguran a corporativa dispon veis por meio da intranet corporativa ou mantenha os em uma pasta que esteja dispon vel para todos Isso aumenta a probabilidade de que tais pol ticas e procedimentos sejam examinados com mais freq ncia e fornece um m todo conven
202. amar o pr ximo e ter confian a e f uns nos outros Veja como dif cil para as organiza es de vigil ncia de vizinhan a fazer com que as pessoas tranquem suas casas e seus carros Esse tipo de vulnerabilidade bvio e mesmo assim parece ser ignorado por muitas pessoas que preferem viver em um mundo de sonhos at se queimarem Sabemos que nem todas as pessoas s o gentis e honestas mas vivemos como se elas fossem Essa ador vel inoc ncia tem sido a estrutura da vida americana e doloroso desistir dela Como uma na o incorporamos ao nosso conceito de liberdade a id ia de que o melhor lugar para viver aquele sem cadeados e chaves A maioria das pessoas sup e que n o ser enganada com base na cren a de que a probabilidade de ser enganada muito baixa o atacante entendendo isso como uma cren a comum faz a sua solicita o soar t o razo vel que n o levanta suspeita enquanto explora a confian a da v tima Inoc ncia organizacional Essa inoc ncia que faz parte do nosso car ter nacional ficou evidente quando os computadores foram conectados remotamente pela primeira vez Lembre se de que a ARPANet a Rede da Ag ncia de Projetos de Pesquisa Avan ada do Departamento de Defesa a antecessora da Internet foi criada como um modo de compartilhar informa es de pesquisa entre o governo e as institui es de pesquisa e educacionais O objetivo era a liberdade de informa es bem como o avan o tecnol g
203. amos fazendo e que possa nos ajudar Quando o especialista local veio ao telefone Frank fez uma s rie de perguntas sobre quais siste mas eles usavam e as capacidades de pesquisa e armazenamento de dados das digitais Eles haviam tido algum problema com o equipamento Eles estavam ligados Pesquisa de Digitais do Centro Nacional de Informa es sobre o Crime NCIC ou a jurisdi o era apenas dentro do estado O equi pamento era f cil e todos poderiam aprender a usar Astuciosamente ele incluiu a pergunta chave entre as outras A resposta soou como m sica para seus ouvidos n o eles n o estavam ligados ao NCIC eles verificavam apenas no ndice de Informa es Criminais CII Capitulo 3 O Ataque Direto Simplesmente Pedindo 27 Recado do Mitnick Os trapaceiros de informa es experientes n o t m escr pulos em ligar para os gover nos federal estadual ou municipal para saber os procedimentos da aplica o das leis Com tais informa es em m os o engenheiro social pode contornar as verifica es de seguran a padr o da sua empresa Isso era tudo que Frank precisava saber Ele n o linha nenhum registro naquele estado de modo que enviou o pedido de emprego foi contratado e ningu m jamais apareceu na sua mesa um dia com esta conversa Estes senhores s o do FBI e gostariam de conversar com voc DEIXE NA PORTA Apesar do mito do escrit rio sem papelada as empresas continuam imprimindo uma quantidade i
204. an a interna I Simon William L 1930 II T tulo III T tulo ataques de hackers controlando o fator humano na seguran a da informa o 03 1639 CDD 005 8 ndices para cat logo sistem tico 1 Computadores seguran a Processamento de dados 005 8 2 Seguran a de computadores Processamento de dados 005 8 2003 Direitos exclusivos para a l ngua portuguesa cedidos Pearson Education do Brasil Ltda uma empresa do grupo Pearson Education Av Ermano Marchetti 1435 Cep 05038 001 Lapa S o Paulo SP Tel 11 3613 1222 Fax 11 3611 0851 e mail vendas pearsoned com br Para Shelly Jaffe Reba Vartanian Chickie Leventhal e Mitchell Mitnick e para os falecidos Alan Mitnick Adam Mitnick e Jack Biello Para Arynne Victoria e David Sheldon Vincent e Elena Engenharia social engenharia social usa a influ ncia e a persuas o para enganar as pessoas e convenc las de que o engenheiro social algu m que na verdade ele n o e ou pela manipula o Como re sultado o engenheiro social pode aproveitar se das pessoas para obter as informa es com ou sem o uso da tecnologia A Apresenta o ix Pref cio xi Introdu o xv Parte Bastidores 1 Cap tulo 1 O Elo Mais Fraco da Seguran a 3 Parte A Arte do Atacante 11 Cap tulo 2 Quando as Informa es N o S o Inofensivas 1 3 Cap tulo 3 O Ataque Direto Simplesmente Pedindo 25 Cap tulo 4 Criando a Confia
205. ando mais ou menos a mesma abordagem descrita na hist ria anterior ele rapidamente conseguiu o nome do gerente e o n mero da loja Ligou para a loja na qual o seu pai tinha a conta Ele usou o velho truque de se fazer passar pelo gerente deu o nome do gerente como o seu pr prio e o n mero da loja que havia obtido Tomou a Cap tulo 4 Criando a Confian a 37 usar o mesmo truque Os seus computadores est o funcionando hoje Os nossos s vezes funcio nam s vezes n o Ouviu a resposta e continuou Bem tenho um dos seus clientes aqui comigo e ele quer alugar um v deo mas os nossos computadores est o fora do ar agora Preciso ver a conta do cliente e ter certeza de que ele um cliente da sua loja Henry deu o nome do seu pai Em seguida usando apenas uma pequena varia o da t cnica pediu para ela ler as informa es da conta endere o n mero de telefone e a data em que a conta foi aberta Depois disse Ou a estou com uma fila enorme de clientes aqui Qual o n mero do cart o de cr dito e a data de vencimento Henry segurou o celular no ouvido com uma m o e com a outra escreveu em um guardanapo de papel Ao terminar a liga o ele colocou o guardanapo na frente do pai que ficou olhando para o n mero de boca aberta O pobre senhor parecia totalmente chocado como se todo o seu sistema de confian a tivesse ido por gua abaixo Analisando a trapa a Pense na sua pr pria atitude quando algu m que
206. ando se a senha est ou n o correta 228 A Arte de Enganar 4 1 5 Teste de vulnerabilidade Pol tica A notifica o de que a empresa est usando t ticas para testar as vulnerabilidades de seguran a necess ria durante o treinamento de conscientiza o da seguran a e orienta o dos empregados Explica o Observa es Sem a notifica o do teste de penetra o da engenharia social o pessoal da empresa pode sofrer constrangimentos pode ficar com raiva ou ter outro trauma emocional com o uso das t ticas simuladas usadas contra eles por outros empregados ou contratados Avisando os funcion rios durante o processo de orienta o de que eles podem estar sujeitos a esse teste voc evita tal conflito 4 16 Exibi o das informa es Confidenciais da empresa Pol tica As informa es da empresa que n o foram criadas para a libera o externa n o de vem ser exibidas em nenhuma das reas acess veis do p blico Explica o Observa es Al m das informa es Confidenciais de produto ou procedimen to as informa es internas de contato tais como as listas internas de telefones ou empregados ou as listagens do pr dio que cont m uma lista do pessoal da ger ncia de cada departamento da empresa tamb m devem ser mantidas fora da vis o de todos 4 1 7 O treinamento de conscientiza o em seguran a Pol tica Todas as pessoas empregadas pela empresa devem concluir um curso de treina mento em consc
207. ando todos esses inc ndios Se voc quiser posso ver se o nosso centro de suporte ao cliente o instala remotamente para voc Pode mos discar ou usar a Telnet para a conex o com o sistema se o seu sistema suportar isso N o permitimos a Telnet particularmente da Internet ela n o segura respondeu Paul Se voc pudesse usar o SSH Shell seguro seria bom ele disse citando um produto que fornece transfer ncias seguras de arquivo Sim Temos o SSH Ent o qual o endere o IP Paul deu o endere o IP e quando Edward pediu e qual o nome de usu rio e senha que posso usar Paul tamb m forneceu essas informa es Analisando a trapa a Obviamente aquela liga o telef nica poderia realmente ter vindo do fabricante do banco de dados Mas nesse caso a hist ria n o pertenceria a este livro 160 A Arte de Enganar O engenheiro social aqui influenciou a v tima criando a sensa o assustadora de que poderia haver perda de dados e ofereceu uma solu o imediata que resolveria o problema Da mesma forma quando um engenheiro social tem como alvo algu m que sabe o valor das informa es ele precisa ter argumentos muito convincentes e persuasivos para conseguir o acesso remoto Eventualmente ele precisa incluir o elemento da urg ncia para que a v tima se distraia com a pressa e concorde antes de ter uma chance de pensar muito na solicita o A NOVA GAROTA Quais tipos de informa es que est
208. ano seria causado s empresas se essas amea as em potencial se materializassem O objetivo prim rio da avalia o de risco priorizar as informa es que precisam de prote o imediata e se essa prote o ser eficaz em termos de custo com base em uma an lise do custo benefi cio Em resumo quais informa es ser o protegidas em primeiro lugar e quanto custar para proteger essas informa es E essencial que a ger ncia de primeiro escal o adote e suporte com firmeza o desenvolvimento de pol ticas de seguran a e de um programa de seguran a das informa es Assim como qualquer outro m todo corporativo para que um programa de seguran a seja bem sucedido a ger ncia deve fazer mais do que apenas apoi lo deve demonstrar um comprometimento pelo exemplo pessoal Os em pregados precisam ter consci ncia de que a ger ncia acredita que a seguran a das informa es vital para a opera o da empresa de que a prote o das informa es comerciais da empresa essencial para que ela continue funcionando e de que o trabalho de cada empregado pode depender do sucesso do programa A pessoa designada para criar as pol ticas de seguran a da informa o precisa entender que as pol ticas devem ser escritas em um estilo que n o fa a uso de jarg o t cnico e que possa ser facil mente entendido pelo empregado n o t cnico Tamb m importante que o documento deixe claro que cada pol tica importante caso contr ri
209. ansferir arquivos para pessoas que n o conhece pessoalmente mesmo que o destino pare a estar dentro da rede interna da sua empresa Com que facilidade o mesmo tipo de ataque poderia ter sido executado na sua empresa EVITANDO A TRAPA A Agora que a Guerra Fria terminou a espionagem industrial que h muito tem sido um desafio para as empresas agora se tornou o prato principal dos espi es que concentram seus esfor os na obten o de segredos comerciais cobrando um bom pre o Os governos estrangeiros e as corpora es est o usando espi es industriais freelance para roubar as informa es As empresas dom sticas tamb m contratam corretores de informa es que cruzam a linha entre o legal e o ilegal em seus esfor os para obter a intelig ncia da concorr ncia Em muitos casos esses espi es s o ex militares que se transfor maram em corretores de informa es industriais e que t m o pr requisito do conhecimento e da ex peri ncia para explorar facilmente as organiza es em particular aquelas que n o tomam precau es para proteger suas informa es e educar o seu pessoal Cap tulo 14 A Espionagem Industrial 191 A seguran a externa O que poderia ter ajudado a empresa com problemas nas suas instala es externas de armazenamen lo O perigo aqui teria sido evitado se a empresa tivesse criptografado seus dados Sim a criptografia exige tempo e despesas extras mas o esfor o recompensado Os arquivos criptografados
210. ante descobrir a senha em todas as contas de usu rio que haviam sido identificadas Entretanto ele n o teve sorte Na pr xima tentativa Ivan foi ao mecanismo de pesquisa do Google e digitou arquivos dicion rios e encontrou milhares de sites com listas de palavras e dicion rios em ingl s e em diversos idio mas estrangeiros no formato texto Ele fez o download de todo um dicion rio eletr nico do idioma ingl s Em seguida aumentou esse dicion rio fazendo o download de v rias listas de palavras que encontrou com o Google Ivan escolheu o site em www outpost9 com files WordLists html Esse site permitiu que ele fizesse o download tudo isso de gra a de uma s rie de arquivos incluindo nomes de fam lia nomes dados nomes e palavras do Congresso nomes de atores palavras e nomes da B blia Outro site que fornece listas de palavras o site da Oxford University em ftp ftp ox ac uk pub wordlists Outros sites oferecem listas com nomes de personagens de quadrinhos palavras usadas nos tex tos de Shakespeare nas s ries Odyssey Tolkien e Star Trek bem como palavras das reas de ci ncias e religi o e assim por diante Uma empresa on line vende uma lista contendo 4 4 milh es de palavras e nomes por apenas US 20 O programa de ataque tamb m pode ser definido para testar anagramas das palavras do dicion rio outro m todo favorito de muitos usu rios de computador que acham que est o aumentando a sua seguran
211. ar c digo fonte de desenvolvimento POL TICAS PARA RECURSOS HUMANOS Os departamentos de recursos humanos t m a responsabilidade especial de proteger os empregados contra as pessoas que tentam descobrir informa es pessoais por interm dio do seu local de trabalho Os profissionais de RH tamb m t m a responsabilidade de proteger sua empresa contra as a es de ex empregados descontentes 17 1 Empregados demitidos Pol tica Sempre que uma pessoa empregada pela empresa sai ou demitida o departamento de Recursos Humanos deve imediatamente tomar estas medidas 258 A Arte de Enganar Remover o nome da pessoa da lista de telefones on line de empregados e desativar ou redire cionar seu voice mail Notificar o pessoal das portarias do pr dio ou dos sagu es da empresa Incluir o nome do empregado na lista de empregados demitidos a qual deve ser enviada por correio eletr nico para todo o pessoal com uma freq ncia n o inferior a uma vez por semana Explica o Observa es Os empregados que ficam nas entradas do pr dio devem ser notificados a n o deixar que um ex empregado entre novamente nas instala es Al m disso a notifi ca o das outras pessoas pode evitar que o ex empregado fa a se passar por um empregado legitimo e engane o pessoal para que tomem alguma a o que possa causar danos empresa Em algumas circunst ncias talvez seja preciso exigir que cada usu rio dentro do departamento do
212. ar os nomes internos dos sistemas ou bancos de dados de computadores sem verifica o pr via de que o solicitante empregado da empresa Explica o Observa es s vezes os engenheiros sociais tentam obter os nomes dos sistemas de computadores da empresa Depois de ter um nome o atacante faz uma liga o para a empresa fazendo se passar por um empregado leg timo que est com problemas para acessar ou usar um dos sistemas Conhecendo o nome interno designado a determinado sistema o engenheiro social adquire credibilidade 10 3 Solicita es para executar programas Pol tica Os funcion rios nunca devem executar nenhum aplicativo ou programa de computa dor sob solicita o de outra pessoa a menos que o solicitante tenha sido verificado como um empre gado do departamento de tecnologia da informa o Explica o Observa es Toda solicita o para executar programas aplicativos ou executar qualquer atividade em um computador deve ser recusada a menos que o solicitante seja identificado positivamente como um empregado do departamento de tecnologia da informa o Se a solicita o envolver a revela o de informa es Confidenciais de qualquer arquivo ou mensagem Cap tulo 16 Recomenda es de Pol ticas de Seguran a das Informa es Corporativas 247 eletr nica a resposta ao solicitante deve estar de acordo com os procedimentos para libera o das informa es Confidenciais Consulte a Pol tica d
213. ara quase todos que ligarem a capacidade de se livrar das multas de tr nsito continuar existindo Voc tem lacunas semelhantes nos procedimentos da sua empresa ou organiza o as quais podem ser usadas por um engenheiro social inteligente para obter as informa es que voc preferiria que ele n o tivesse A VINGAN A DE SAMANTHA Samantha Gregson estava zangada 176 A Arte de Enganar Ela havia trabalhado muito na sua tese de bacharelado em administra o e acumulou uma pilha de financiamentos para educa o para realiz la Ela sempre ouviu falar que uma faculdade era o modo de conseguir uma carreira em vez de um emprego e ganhar muito dinheiro E quando se for mou n o conseguiu encontrar um trabalho decente em lugar nenhum Ela ficou muito feliz ao receber uma proposta da Lambeck Manufacturing Certamente era humilhante aceitar a posi o de secret ria mas o Sr Cartright havia dito que estava ansioso para contrat la e essa posi o de secret ria lhe daria a chance de se candidatar para a pr xima posi o interessante que surgisse Dois meses mais tarde ela ficou sabendo que o gerente de produtos j nior de Cartright estava saindo Ela mal pode dormir naquela noite imaginando a si mesma no quinto andar em um escrit rio com porta participando de reuni es e tomando decis es Na manh seguinte a primeira coisa que fez foi falar com o Sr Cartright Ele disse que eles achavam que ela precisava aprender mai
214. art Didi disse que era de Thousand Oaks e que eles tinham um consultor novo que precisava de uma c pia da lista de telefones da empresa Ela disse que uma c pia impressa funcionaria melhor para o consultor mesmo que estivesse meio desatualizada Bart disse que ela teria de preencher um formul rio de requisi o e envi lo para ele Didi disse que estava sem formul rios e com muita pressa e perguntou se Bart n o pode ria fazer o favor de preencher o formul rio para ela Ele concordou n o muito entusiasma do e Didi forneceu os detalhes Como endere o da contratada fict cia ela deu o n mero daquilo que os engenheiros sociais chamam de rnail drop o qual nesse caso era uma empresa de caixas postais na qual a sua empresa alugava caixas postais para situa es como aquela A preliminar anterior tornou se til agora seria cobrada uma taxa pelo custo e envio da lista Muito bem Didi deu o centro de custo de Thousand Oaks 1A5N com N de Nancy Cap tulo 2 Quando as Informa es N o S o Inofensivas 21 Jarg o MAIL DROP O termo do engenheiro social para uma caixa postal alugada em geral com um nome fict cio a qual usada para o recebimento de documentos ou pacotes que a v tima foi convencida a enviar Alguns dias depois quando chegou a lista de telefones corporativos Didi descobriu que isso valia mais a pena do que ela havia imaginado ela n o apenas tinha os nomes e n meros de telefones mas tamb m quem tra
215. as pedras ocultas no cinto de carregar dinheiro Ele havia dado o maior desfalque banc rio da hist ria e fez isso sem usar uma arma sequer um computador O curioso que sua travessura chegou s p ginas do Guiness Book na categoria de a maior fraude de computadores Stanley Rifkin usou a arte da fraude as habilidades e as t cnicas que hoje s o chamadas de engenharia social Um planejamento cuidadoso e uma boa conversa foram tudo do que precisou E este livro fala disso das t cnicas da engenharia social nas quais sou especializado e como se defender contra o seu uso na sua empresa A NATUREZA DA AMEA A A hist ria de Rifkin deixa bastante claro como a sua sensa o de seguran a pode ser enganosa Inci dentes como esse muito bem eles podem n o ser desfalques de US 10 milh es mas s o sempre prejudiciais acontecem todos os dias Voc pode estar perdendo dinheiro agora mesmo ou algu m pode estar roubando os planos de novos produtos e voc nem sabe disso Se isso ainda n o aconteceu na sua empresa o problema n o se isso acontecer mas sim quando acontecer Uma preocupa o crescente O Computer Security Institute em sua pesquisa de 2001 sobre os crimes de computadores relatou que 85 das organiza es entrevistadas detectaram quebras na seguran a dos computadores nos 12 6 A Arte de Enganar meses anteriores Esse um n mero assustador apenas 15 entre cem organiza es responderam
216. as informa es estariam dispon veis para todos que estivessem na Internet com acesso a um bom mecanismo de pesquisa tal como o Google in cluindo os simples curiosos o pretendente a detetive o hacker e o chefio do crime organizado Bisbilhotando o sistema O princ pio de usar tais informa es para enganar algu m do governo ou de uma empresa privada o mesmo Como um engenheiro social sabe como acessar bancos de dados ou aplicativos espec fi cos ou conhece os nomes dos servidores de computador de uma empresa ou coisa semelhante ele tem credibilidade E a credibilidade leva confian a Depois que um engenheiro social tem tais c digos a obten o das informa es de que precisa um processo f cil Neste exemplo ele pode come ar a ligar para um funcion rio do escrit rio de teletipo da pol cia estadual local e fazer perguntas sobre um dos c digos do manual por exemplo o c digo de agress o Ele pode dizer algo como Quando fa o uma consulta OFF no NCIC recebo um erro System is down Transa o fora do ar Voc tem esse problema quando faz um OFF Voc poderia tentar para mim Ou quem sabe ele diria que estava tentando procurar um wpf o jarg o policial para o arquivo de uma pessoa procurada O funcion rio do teletipo do outro lado do telefone entenderia a pista de que o interlocutor estava familiarizado com os procedimentos operacionais e os comandos para consultar o banco de dados do Cap tulo 4
217. as me entregaram Desde aquela poca ele havia se tornado um programador respeitado N s descobrimos que ele havia tentado burlar o programa de seguran a LOCK 11 pouco antes de chegarmos mas n o conseguiu O incidente havia dado aos desenvolvedores mais seguran a de que o seu produto realmente era seguro O concurso era um grande desafio vencer o sistema de seguran a e levar o dinheiro Um bom golpe publicit rio a menos que algu m conseguisse e levasse o dinheiro Eles tinham tanta certeza de que o seu produto era seguro que at se atreveram a afixar no stand uma lista com os n meros e senhas de algumas das contas do sistema E n o apenas as contas comuns mas tamb m as contas privilegiadas Na verdade isso era menos audacioso do que parecia Eu sabia que nesse tipo de configura o cada terminal est conectado a uma porta do pr prio computador N o era preciso ser um cientista aeroespacial para descobrir que eles haviam configurado cinco terminais na sala de reuni es para que um visitante fizesse a conex o apenas como um usu rio n o privilegiado ou seja os logins s eram poss veis para as contas que n o tinham privil gios de administradores de sistemas Parecia que havia apenas duas rotas desviar totalmente do software de seguran a exatamente aquilo que o LOCK 11 deveria evitar ou burlar o software de alguma maneira que os desenvolvedores n o haviam imaginado Aceitando o desafio Vinny e eu fomos dar um
218. atacante assuma o controle do sistema de computadores usando um aplicativo remoto por meio de conex es criptografadas 10 5 Senhas em texto simples e correio eletr nico Pol tica As senhas n o devem ser enviadas por correio eletr nico a menos que sejam cripto grafadas Explica o Observa es Embora n o seja desencorajada esta pol tica n o usada pelos sites de com rcio eletr nico em determinadas circunst ncias tais como O envio de senhas para clientes que se registraram no site O envio de senhas para os clientes que perderam ou se esqueceram de suas senhas 10 6 Software relacionado seguran a Pol tica Os funcion rios nunca devem remover ou desativar antiv rus firewall ou outro software relacionado com seguran a sem a pr via aprova o do departamento de tecnologia da in forma o Explica o Observa es Os usu rios s vezes desativam o software relacionado com seguran a ingenuamente achando que isso vai aumentar a velocidade de seus computadores Um engenheiro social pode tentar enganar um empregado para que ele desative ou remova o software que necess rio para proteger a empresa contra as amea as relacionadas com segu ran a 248 A Arte de Enganar 10 7 Instala o de modems Pol tica Nenhum modem pode estar conectado a nenhum computador at que a aprova o pr via seja obtida do departamento de TI Explica o Observa es importante reconhece
219. atualizadas A menos que a sua empresa esteja preparada para distribuir o software ou as atualiza es pela rede para cada usu rio cada funcion rio deve assumir a responsabilidade de fazer o download do conjunto mais recente de defini es de v rus por conta pr pria A minha recomenda o que todos configurem as op es do software de antiv rus para que as novas defini es de v rus sejam atualizadas automaticamente todos os dias Jarg o SECURE SOCKETS LAYER Um protocolo desenvolvido pela Netscape que fornece a autentica o para o cliente e o servidor em uma comunica o segura na Internet 84 A Arte de Enganar Em termos simples voc est vulner vel a menos que as defini es de v rus sejam regularmente atualizadas E mesmo assim voc ainda n o est completamente seguro contra os v rus ou worms que as empresas de software antiv rus ainda n o conhecem ou para os quais elas ainda n o publicaram uma vacina padr o de detec o Todos os empregados que t m privil gios de acesso remoto de seus laptops ou dos computadores dom sticos precisam no m nimo atualizar o software de v rus e um firewall pessoal em suas m qui nas Um atacante sofisticado olha o quadro geral para buscar o elo mais fraco e nesse ponto que ele ataca Uma responsabilidade corporativa lembrar regularmente as pessoas que t m computadores remotos da necessidades de atualizar os firewalls pessoais e manter o software de v rus ativo p
220. az exatamente o que foi pedido coloca na porta do pr dio a sua c pia da lista a qual tem na capa um aviso em grandes letras verme lhas CONFIDENCIAL DA EMPRESA QUANDO N O FOR MAIS NECESS RIO ESTE DOCUMENTO DEVE SER DESTRU DO Stevie estaciona o carro e olha em volta para saber se h policiais ou o pessoal da seguran a da empresa de telefonia espreitando atr s das rvores ou observando em carros estacionados Ningu m vista Ele pega calmamente a cobi ada lista e vai embora Este apenas mais um exemplo de como f cil para um engenheiro social conseguir o que quer seguindo o princ pio simples de apenas pedir ATAQUE DE G S Em um cen rio da engenharia social os ativos da empresa n o s o os nicos que correm riscos s vezes as v timas s o os clientes de uma empresa O trabalho no servi o ao cliente tem a sua parcela de frustra o a sua parcela de risadas e a sua parcela de erros inocentes sendo que alguns deles podem ter conseq ncias infelizes para os clientes de uma empresa A hist ria de Janie Acton Janie Acton era atendente do servi o ao cliente da Hometown Electric Power em Washington D C h pouco mais de tr s anos Ela era considerada como uma das melhores atendentes inteligente e conscienciosa Mitnick O treinamento de seguran a com rela o pol tica da empresa criada para proteger o ativo de informa es precisa ser aplicado a todos que trabalham na empresa
221. balhava para quem a estrutura corporativa de toda a organiza o A senhora de voz forte estava pronta para come ar a ca ar o seu talento e fazer liga es telef nicas em busca de pessoas Ela havia trapaceado as informa es que precisava ter para iniciar o seu ataque usando o dom da palavra lapidado ao m ximo que cada enge nheiro social habilidoso tem Agora ela estava pronta para receber a recompensa Recado do Mitnick Assim como as pe as de um quebra cabe a cada informa o parece irrelevante sozi nha Por m quando as pe as s o juntadas uma figura aparece Neste caso a figura do engenheiro social mostrou toda a estrutura interna da empresa Analisando a trapa a Neste ataque da engenharia social Didi come ou conseguindo os telefones dos tr s departamentos da empresa alvo Isso foi f cil os n meros que ela queria n o eram segredo particularmente para os empregados Um engenheiro social aprende a se fazer passar por algu m de dentro da empresa e Didi fazia isso com habilidade Um dos n meros de telefone a levaram a um n mero de centro de custo o qual foi usado em seguida para obter uma c pia da lista de telefones dos funcion rios da empresa As principais ferramentas que ela precisava ter parecer amistosa usar um pouco do jarg o cor porativo e com a ltima v tima jogar um pouco de areia nos olhos dos outros E mais uma ferramenta um elemento essencial que n o pode ser adquirido facilmente
222. bido um conjunto espec fico de etapas a serem seguidas quando encontrasse algu m sem o crach de empregado requerido Nas empresas ou reas dentro de uma empresa nas quais a seguran a n o a principal preocupa o talvez n o fa a sentido insistir para que cada pessoa mantenha um crach vis vel durante todo o tempo Mas nas empresas que t m reas confidenciais esse deve ser um requisito padr o o qual deve ser implantado com rigidez Os empregados devem ser treinados e motivados a desafiar as pessoas que n o t m um crach e os empregados de n vel mais alto devem ser ensinados a aceitar esses desa fios sem causar nenhum embara o para as pessoas que os pararem A pol tica da empresa deve avisar os empregados sobre as penalidades para aqueles que n o usam seus crach s as penalidades podem incluir o envio do empregado para casa naquele dia sem direito ao pagamento ou uma anota o no seu arquivo pessoal Algumas empresas instituem uma s rie de penalidades progressivamente mais r gidas que podem incluir o relato do problema para o gerente da pessoa e em seguida a emiss o de um aviso formal Al m disso quando houver informa es confidenciais a serem protegidas a empresa deve esta belecer procedimentos para autorizar as pessoas que precisam estar na empresa fora do expediente Uma solu o seria exigir que fossem tomadas provid ncias por parte da seguran a corporativa ou de algum outro grupo designado Esse gru
223. blico estava boquiaberto e ele correu at o laptop para mudar para a pr xima imagem Essa era pior ainda N o havia nada a ser imaginado Ele ainda estava tentando clicar em outra imagem quando algu m do p blico desligou o cabo de for a do projetor enquanto o diretor batia ruidosamente o seu martelo e gritava mais alto do que o barulho do p blico dizendo que a reuni o eslava adiada Analisando a trapa a Usando a experi ncia de um hacker adolescente um empregado desgostoso conseguiu acessar o computador do chefe do seu departamento descarregar uma importante apresenta o do PowerPoint e substituir alguns dos slides por imagens que certamente causariam um embara o s rio Em seguida ele colocou a apresenta o de volta no computador do homem Com o modem conectado a um dos computadores do escrit rio o jovem hacker conseguia discar de fora O garoto havia configurado o software de acesso remoto com anteced ncia para que ap s estar conectado ao computador ele tivesse acesso completo a cada arquivo que estivesse armazenado em todo o sistema Como o computador estava conectado rede da organiza o e j tinha o nome e a senha do chefe ele pode facilmente acessar os arquivos do chefe Incluindo o tempo para escanear as imagens das revistas todo o esfor o havia levado apenas qua tro horas O dano resultante para a reputa o de um bom homem ia al m do que se possa imaginar Recado do Mitnick A grande maioria dos
224. ca o Observa es Um m todo comum usado pelos atacantes para instalar um progra ma de Cavalo de Tr ia ou outro software malicioso mudar o nome de um programa existente e em se guida ligar para o help desk reclamando que uma mensagem de erro aparece sempre que uma tentativa feita para executar o programa O atacante convence o t cnico do help desk a executar o programa ele mesmo Quando o t cnico atende ao pedido o software malicioso herda os privil gios do usu rio que executa o programa e executa uma tarefa a qual d ao atacante os mesmos privil gios sobre o computa dor do empregado do help desk Isso permite que o atacante assuma o controle do sistema da empresa Esta pol tica visa combater essa t tica ao exigir que o pessoal do suporte verifique o status de emprego antes de executar qualquer programa sob solicita o de um interlocutor Cap tulo 16 Recomenda es de Pol ticas de Seguran a das Informa es Corporativas 233 Administra o de computadores 7 1 Alterando os direitos de acesso globais Pol tica Uma solicita o para alterar os direitos de acesso globais associados a um perfil ele tr nico de cargo deve ser aprovada pelo grupo que tem a responsabilidade de gerenciar os direitos de acesso rede corporativa Explica o Observa es O pessoal autorizado analisar cada uma dessas solicita es para determinar se a altera o pode criar uma amea a seguran a das informa es Nesse
225. cabo e par E se voc souber como a empresa de telefonia faz as coisas o que eu sei s preciso ter o cabo e o par para descobrir o n mero do telefone Eu tinha uma lista que dava todos os EC da cidade com seus endere os e n meros de telefone Procurei o n mero do EC do bairro onde eu morava com Doug o canalha e liguei mas naturalmente ningu m atendeu Onde est o operador quando voc realmente precisa dele Em 20 segundos j tinha um plano Comecei a ligar para os outros EC e finalmente o localizei Mas ele estava a quil me tros de dist ncia e talvez de pernas para o ar sem fazer nada Sabia que ele n o ia querer fazer aquilo que eu precisava Eu estava pronta com o meu plano Aqui Linda Centro de Consertos disse Temos uma emerg ncia O servi o em uma unida de de param dicos parou Temos um t cnico na rea tentando restaurar o servi o mas n o podemos localizar o problema Precisamos que voc v at o EC Webster imediatamente para ver se temos discagem por tom saindo do escrit rio central Em seguida continuei Ligo quando voc chegar l porque obviamente n o poderia pedir para ele ligar para o Centro de Consertos para falar comigo Eu sabia que ele n o sairia do conforto do es crit rio central para enfrentar o gelo acumulado no seu p ra brisa e dirigir quela hora da noite Mas essa era uma emerg ncia e ele n o poderia dizer que estava ocupado demais Quando liguei para ele 45 minutos
226. cante ou simplesmente falar no ramal restrito Durante o treina mento de seguran a esse m todo de enganar os empregados para que eles ajudem o intruso deve ser discutido para que o empregado tenha conhecimento dessas t ticas Pol ticas Diversas 4 1 Projeto do crach do empregado Pol tica Os crach s dos empregados devem ser criados para incluir uma foto grande que possa ser reconhecida dist ncia 224 A Arte de Enganar Explica o Observa es A fotografia comum dos crach s de identifica o corporativa s para fins de seguran a ligeiramente melhor do que nada A dist ncia entre uma pessoa que entra no pr dio e o guarda ou recepcionista que tem a responsabilidade de verificar a identifica o em geral grande e se a foto for muito pequena n o ser reconhecida quando a pessoa passar Para que a foto tenha valor nessa situa o o crach precisa ser reprojetado 4 2 Exame dos direitos de acesso quando h mudan a de posi o ou responsabilidade Pol tica Sempre que um empregado da empresa muda de posi o ou recebe responsabilidades maiores ou menores o gerente do empregado notificar o departamento de TI sobre a mudan a nas responsabilidades do empregado para que o perfil de seguran a apropriado possa ser designado Explica o Observa es O gerenciamento dos direitos de acesso do pessoal necess rio para limitar a divulga o das informa es protegidas A regra do menor privil gio
227. certa para cada um S que algumas pessoas n o t m a sorte de encontrar ou o seu Sr Certo ou a sua Sra Certa Outros t m sorte Eu tive sorte cedo em minha vida de j ter passado alguns anos e espero passar muitos mais com um dos tesouros de Deus a minha mulher Arynne Se alguma vez me esquecer de como tenho sorte basta prestar aten o a quantas pessoas buscam e gostam da sua companhia Arynne agrade o por voc ter entrado na minha vida Enquanto escrevia este livro contei com a ajuda de um grupo leal de amigos que me garantiram que Kevin e eu est vamos realizando o nosso objetivo de combinar os fatos e o fasc nio neste livro incomum Cada uma dessas pessoas representa o valor da verdade e da lealdade e podem ser cha madas quando eu come ar o meu pr ximo projeto editorial S o elas Jean Claude Beneventi Linda Brown Walt Brown Tenente Geral Don Johnson Dorothy Ryan Guri Stark Chris Steep Michael Steep e John Votaw Meus reconhecimentos especiais para John Lucich Presidente da Network Security Group que se disp s a perder tempo com a solicita o de um amigo de um amigo e a Gordon Garb que gentil mente respondeu a in meras liga es com perguntas sobre as opera es de TI As vezes na vida um amigo ganha um lugar de destaque porque lhe apresentou algu m que se tornou um bom amigo seu Na ag ncia liter ria Waterside Productions em Cardiff Calif rnia o agente David Fugate foi respons vel por conceber a
228. cesso s informa es mas n o t m o conhecimento detalhado daquilo que pode ser uma amea a seguran a Um engenheiro social visa um empregado que tem pouca compreens o de como s o valiosas as informa es que ele pode dar e assim fornec los a um estranho EVITANDO A TRAPA A A simpatia a culpa e a intimida o s o tr s gatilhos psicol gicos muito conhecidos usados pelo en genheiro social e essas hist rias demonstraram as t ticas em a o Mas o que voc e a sua empresa podem fazer para evitar esses tipos de ataques Cap tulo 8 Usando a Simpatia a Culpa e a Intimida o 103 Protegendo os dados Algumas das hist rias deste capitulo enfatizam o perigo de enviar um arquivo para algu m que voc n o conhece mesmo quando aquela pessoa ou parece ser um empregado e o arquivo est sendo enviado internamente para um endere o de correio eletr nico ou m quina de fax dentro da empresa A pol tica de seguran a da empresa precisa ser muito espec fica quanto s salvaguardas para pro teger dados valiosos contra algu m que n o seja conhecido pessoalmente como o remetente Proce dimentos exatos precisam ser estabelecidos para a transfer ncia de arquivos que cont m informa es confidenciais Quando a solicita o vem de algu m que n o se conhece pessoalmente deve haver etapas claras para a verifica o com n veis diferentes de autentica o dependendo do quanto essas informa es sejam confidenciais
229. chou no seu sotaque do Brooklyn Oi ele come ou Aqui Thomas do FDC Nova York A nossa conex o com o Sentry est caindo voc pode encontrar a localiza o de um prisioneiro para mim acho que ele pode estar na sua institui o e deu o nome e o n mero de registro de Gondorff N o ele n o est aqui o rapaz respondeu ap s alguns momentos Ele est no centro correcio nal de S o Diego Johnny fingiu estar surpreso S o Diego Ele deveria ter sido transferido para Miami na semana passada Ser que estamos falando da mesma pessoa qual a data de nascimento dele 3 12760 o homem leu na sua tela Sim o mesmo Em qual alojamento ele est Ele est no Dez Norte disse o homem respondendo a pergunta muito embora n o houvesse nenhum motivo para que um empregado de uma pris o de Nova York precisasse saber disso Johnny agora tinha os telefones acionados para receber liga es e sabia em qual unidade estava Gondorff A seguir tinha de descobrir qual n mero de telefone estava conectado unida de Dez Norte Essa etapa era um pouco mais dif cil Johnny ligou para um dos n meros Ele sabia que a campai nha estaria desligada e ningu m saberia que ele estava tocando Assim sendo ficou l sentado lendo o guia de viagem Grandes Cidades da Europa enquanto ouvia o sinal constante no fone de ouvido at que finalmente algu m atendeu O interno do outro lado obviamente estava tentando fa
230. cia Em todo o mundo dos neg cios e no governo a seguran a speakeasy ainda prevalece prov vel que um invasor qualquer com algumas habilidades se fa a passar por uma pessoa autorizada unindo informa es suficientes sobre os departamentos as pessoas e a linguagem da sua empresa s vezes menos do que isso necess rio s vezes um n mero interno de telefone basta O GERENTE DE COMPUTADORES DESCUIDADO Embora muitos empregados das organiza es sejam negligentes despreocupados ou n o tenham conhecimento dos perigos para a seguran a voc espera que algu m no cargo de gerente do centro de computadores de uma corpora o da Fortune 500 tenha conhecimento completo sobre as melhores pr ticas de seguran a certo Voc n o esperaria que um gerente do centro de computadores algu m que faz parte do De partamento de Tecnologia da Informa o da sua empresa fosse v tima de um jogo de trapa a da engenharia social simplista e bvio Particularmente n o se o engenheiro social pouco mais do que uma crian a mal saindo da adolesc ncia Mas s vezes as suas expectativas podem estar erradas Sintonizando H anos um passatempo divertido para muitas pessoas era manter o r dio sintonizado na freq ncia da pol cia ou do corpo de bombeiros local para eventualmente ouvir as conversa es sobre um roubo de banco em andamento um pr dio de escrit rios em chamas ou uma ca ada em alta velocidade medida que o even
231. cia r pida para os m todos da engenharia social discutidos nos Cap tulos 2 a 14 e para os procedimentos de verifi ca o detalhados no Cap tulo 16 Adeq e estas informa es sua organiza o e torne as dispon veis para que os empregados as consultem quando surgir uma d vida sobre a seguran a da informa o IDENTIFICA O DE UM ATAQUE SEGURAN A Estas tabelas e listas de verifica o o auxiliam a detectar um ataque da engenharia social O ciclo da engenharia social A O Pesquisa Desenvolvimento da credibilidade e da confian a Explorando a confian a Utiliza o das informa es DESCRI O Pode incluir informa es p blicas tais como arquivos e relat rios anuais da SEC documentos de marketing aplica es de pa tente recortes de jornais revistas da ind stria conte do de sites Web Tamb m chamado de Virar latas Usa as informa es internas finge ser outra pessoa cita pessoas conhecidas da v tima busca ajuda ou autoridade Solicita informa es ou a es por parte da v tima Inversamente manipula a v tima para que ela pe a ajuda ao atacante Se as informa es obtidas s o apenas uma etapa para o objetivo final o atacante retorna s etapas anteriores do ciclo at que o objetivo seja atingido M todos comuns da engenharia social Finge ser um colega de trabalho Finge ser um empregado de um fornecedor empresa parceira ou autoridade legal Finge ser
232. cias de r dio 67 68 freq ncias de r dio estudo de caso 67 72 G gatilhos psicol gicos 85 g nero dos engenheiros sociais 33 golpe inverso 107 114 governo informa es dispon veis on line 40 gratid o aproveitando 45 96 grifters 139 guardas de seguran a ataques 155 158 previsibilidade dos 133 treinamento 164 gzip 187 188 H hackers 6 68 130 132 150 hash senha 56 150 hierarquia respeito pela 42 Hometown Electric Power estudo de caso 28 29 host dual homed 148 HTTP seguro 83 I cone de cadeado p gina Web 82 ID de chamadas 167 170 178 ID de Comerciante 17 18 ID Seguro 70 71 identidade roubada 116 178 identifica o de n mero autom tica ANI 69 178 identifica o autentica o de dois fatores 68 69 verifica o 213 215 260 ilus o seguran a 3 industria do cinema estudo de caso 85 87 ind stria financeira vulnerabilidade na 13 24 informa es como uma ficha de p quer 20 confidenciais 136 detalhes que parecem inofensivos 23 libera o das 218 221 respondendo a solicita es de 60 73 valor oculto das 13 inoc ncia organizacional 7 8 instala o de armazenamento ataque 180 191 instala o silenciosa 162 instala o silenciosa 162 interlocutor es verifica o do s 18 21 Interna o classifica o de dados 211 269 Internet ou on line dead drop site 57 ferramentas de hacking 149 golpe real na 78 80 informa es do
233. cinco minutos Ned havia Cap tulo 11 Combinando a Tecnologia e a Engenharia Social 145 descarregado todas as planilhas e arquivos de documentos armazenados na esta o de trabalho e no diret rio de trabalho do s cio e foi para casa Recado do Mitnick Os espi es industriais e invasores de computador eventualmente fazem uma entrada f sica na empresa alvo Em vez de usar um p de cabra para quebrar a porta o enge nheiro social usa a arte da fraude para influenciar a pessoa que est do outro lado da porta para abri la para ele DINHEIRO F CIL Quando fui apresentado aos computadores pela primeira vez no col gio t nhamos de nos conectar por modem a um minicomputador DEC PDP 11 no centro da cidade de Los Angeles Todos os col gios de Los Angeles compartilhavam desse mesmo minicomputador O sistema operacional daquele Computador se chamava RSTS E e esse foi o primeiro sistema operacional com o qual aprendi a trabalhar Naquela poca em 1981 a DEC patrocinava uma confer ncia anual para seus usu rios de pro duto e um ano li que a confer ncia seria realizada em Los Angeles Uma revista conhecida para os usu rios desse sistema operacional trazia um an ncio sobre um novo produto de seguran a o LOCK 11 O produto era promovido com uma campanha publicit ria inteligente que dizia algo do tipo S o 3h30 da manh e Johnny do final da rua descobriu o seu n mero de discagem 555 0336 na sua 336 tentativa Ele est d
234. cionar o nome de todos eles porque cada um vive no meu cora o cercado da minha gratid o Greg Aclin Bob Carmen John Dusenbury Sherman Ellison Ornar Figueroa Carolyn Hagin Rob Hale Alvin Michaelson Ralph Peretz Vicki Podberesky Donald C Randolph Dave Roberts Alan Rubin Steven Sadowski Tony Serra Richard Sherman Sk p Slates Karen Smith Richard Steingard o honor vel Robert Talcott Barry Tarlow John Yzurdiaga e Gregory Vinson Aprecio muito a oportunidade que a John Wiley amp Sons me deu de escrever este livro e agrade o tamb m sua confian a em um autor iniciante Quero agradecer s pessoas da Wiley relacionadas a seguir porque tornaram este sonho poss vel Ellen Gerstein Bob Ipsen Carol Long meu editor e estilista de moda e Nancy Stevenson Outros familiares amigos pessoais colegas de neg cios que me aconselharam e apoiaram e que me ajudaram de v rias maneiras merecem meu reconhecimento e agradecimento S o eles J J Abrams David Agger Bob Arkow Stephen Barnes Dr Robert Berkowitz Dale Coddington Eric Corley Delin Cormeny Ed Cummings Art Davis Michelle Delio Sam Downing John Draper Paul Dryman Nick Duva Roy Eskapa Alex Fielding Lisa Flores Brock Frank Steve Gibson Jerry Greenblatt Greg Grunberg Bill Handle David G Hall Dave Harrison Leslie Herman Jim Hill Dan Howard Steve Hunt Rez Johar Steve Knittle Gary Kremen Barry Krugel Earl Krugel Adrian 278 A Arte de Enganar
235. ck 1 1 1 9 2 5 9 0 4 E C 6 6 5 B A 3 0 F 4 4 4 9 A F 4 2 E 1 0 5 4 F 1 9 2 1 5 B 2 B 7 9 5 3 F B 6 32907455D2706A432469 mmcdonald 1121 A4AED098D2 9A3217AAD3B435B51404EE E40670F936B7 9C2ED522F5ECA9398A27 kworkman 1141 C 5 C 5 9 8 A F 4 5 7 6 8 6 3 5 A A D 3 B 4 3 5 B 5 1 4 0 4 E E DEC8E827A1212 73EF084CDBF5FD1925C Agora com o download dos hashes no seu computador Ivan usou outra ferramenta que executava um tipo diferente de ataque de senha conhecido como for a bruta Esse tipo de ataque tenta todas as combina es de caracteres alfanum ricos e os s mbolos mais especiais Ivan usou um utilit rio de software chamado L0phtcrack3 loft crack o qual est dispon vel em www atstake com outra fonte de algumas ferramentas excelentes para a recupera o de senhas www elcomsoft com Os administradores de sistema usam o L0phtcrack3 para fazer a auditoria das se nhas fracas os atacantes o usam para descobrir senhas O recurso de for a bruta do LC3 tenta as senhas com combina es de letras numerais e a maioria dos s mbolos incluindo amp Ele tenta sistematicamente todas as combina es poss veis da maioria dos caracteres Observe por m que se forem usados os caracteres n o impressos o LC3 n o pode descobrir a senha O programa tem uma velocidade quase inacredit vel a qual pode chegar a at 2 8 milh es de tentativas por segundo em uma m quina com um processador de 1 GHz Mesmo
236. co das pessoas que t m acesso s suas cestas de lixo e cortadores de papel voc provavelmente deve achar tamb m Recado do Mitnick O seu lixo pode ser o tesouro do seu inimigo N o damos muita aten o para os materiais que descartamos em nossa vida pessoal e assim por que acreditar amos que as pessoas t m uma atitude diferente no local de trabalho Tudo se resume a educar a for a de trabalho sobre o perigo as pessoas inescrupulosas que vasculham informa es valiosas e a vulnerabilidade as informa es confidenciais que n o est o sendo destru das ou apagadas adequadamente O CHEFE HUMILHADO Ningu m pensou em nada disso quando Harlan Fortis veio trabalhar na segunda feira de manh como sempre no Departamento Local de Tr nsito e disse que ele saiu correndo de casa e esqueceu o crach O guarda da seguran a vira Harlan chegando e saindo todos os dias teis durante os dois anos nos quais ela vinha trabalhando naquele lugar Ele fez um crach tempor rio de empregado ele pegou o crach e continuou seu caminho Dois dias depois o inferno todo come ou a acontecer A hist ria se espalhou por todo o departa mento como um inc ndio na floresta Metade das pessoas que ouviram o que aconteceu n o acreditou Do restante ningu m parecia saber se ria ou se chorava pela pobre alma Afinal de contas George Adamson era uma pessoa gentil e generosa a melhor cabe a que j ha viam tido naquele departamento Ele n o
237. coisas agora H alguma chance de voc consertar isso em meia hora MEIA HORA Voc n o est querendo muito Bem vejamos vou parar o que estou fazendo e ver se consigo resolver isso para voc Olha obrigado mesmo Eddie A quarta liga o voc conseguiu Quarenta e cinco minutos depois Tom Aqui o Eddie Tente se conectar na rede agora Ap s alguns momentos Ah que bom est funcionando Isso timo Bom estou feliz que consegui cuidai disso para voc Sim muito obrigado Ou a se quiser ter certeza de que a sua conex o n o vai cair novamente voc precisa executar alguns softwares Isso s vai levar uns minutos Mas agora n o uma hora boa Entendo Mas isso poderia evitar grandes dores de cabe a para n s dois da pr xima vez que esse problema de rede acontecesse de novo Bom se s o apenas alguns minutos Fa a o seguinte Eddie instruiu Tom para fazer o download de um pequeno aplicativo de um site Web Ap s o programa ser carregado Eddie disse a Tom para clicar duas vezes nele Ele tentou mas disse N o est funcionando N o est acontecendo nada Ah que pena Deve haver algo de errado com o programa Vamos nos livrar dele podemos tentar novamente outra hora E instruiu Tom para excluir o programa de modo que ele n o pudesse ser recuperado Tempo total decorrido doze minutos A hist ria do atacante Bobby Wallace semp
238. com nomes tais como Love Letter SirCam e Anna Kournikova s para mencionar alguns aproveitam se das t cnicas da engenha ria social que fraudam e exploram o seu desejo de obter algo de gra a para se espalharem O worm chega como um anexo de uma mensagem de correio eletr nico que oferece algo tentador tal como informa es confidenciais pornografia gr tis ou um truque mais inteligente uma mensagem dizendo que o ane xo o recibo de algum item caro que voc deve ter comprado Este ltimo golpe leva voc a abrir o ane xo com medo de o seu cart o de cr dito ter sido usado para o d bito de um item que n o queria impressionante o n mero de pessoas que caem nesses truques mesmo ap s saberem sobre os perigos de abrirem anexos de correio eletr nico a consci ncia do perigo passa com o tempo e nos deixa vulner veis Detectando o software malicioso Outro tipo de malware abrevia o de malicious software coloca no seu computador um programa que opera sem o seu conhecimento ou consentimento ou que executa uma tarefa sem que voc saiba O malware pode parecer inocente talvez um documento do Word ou uma apresenta o do PowerPoint ou qualquer programa que tenha a funcionalidade das macros mas ele instala secretamente um progra ma n o autorizado Por exemplo o malware pode ser uma vers o do Cavalo de Tr ia de que falamos Observa o Um tipo de programa conhecido no submundo dos computadores como RAT o
239. come ou a entrar no endere o na Web http groups google com Como termos da pesquisa Danny inseriu criptografia de comunica es por r dio e o nome da empresa e encontrou uma mensagem com alguns anos de idade sobre o assunto de um empregado Era uma publica o que havia sido feita quando a empresa estava come ando a desenvolver o pro duto provavelmente muito antes de os departamentos de pol cia e dos rg os federais pensarem em misturar os sinais de r dio A mensagem contida na assinatura do remetente dava n o apenas o nome do homem Scott Baker mas tamb m o n mero do seu telefone e at mesmo o nome do seu grupo de trabalho o Grupo de Comunica es Seguras Danny pegou o telefone e discou o n mero J fazia muito tempo ser que ele ainda estava trabalhando na mesma organiza o anos depois Ele estaria trabalhando em um final de semana com aquela tempestade O telefone tocou uma duas tr s vezes e depois Scott atendeu Dizendo ser do Departamento de TI da empresa Danny convenceu Baker usando uma das ma neiras que agora voc j conhece dos cap tulos anteriores a revelar os nomes dos servidores usados para o trabalho de desenvolvimento Esses eram os servidores nos quais poderia estar o c digo fonte com o algoritmo de criptografia propriet rio e o firmware usados nos produtos de r dio de seguran a da empresa 72 A Arte de Enganar Danny estava cada vez mais pr ximo e o seu entusiasmo aumentava
240. contenham informa es de senha na caixa postal do voice mail de algu m Explica o Observa es Um engenheiro social quase sempre pode ter acesso caixa postal de voz de um empregado porque ela est inadequadamente protegida com um c digo de acesso f cil de adivinhar Em um tipo de ataque um intruso sofisticado pode criar sua pr pria caixa postal de voz falsa e convencer outro empregado para deixar uma mensagem transmitindo informa es de senha Esta pol tica combate esse golpe 252 A Arte de Enganar Uso do fax 1 3 1 Retransmiss o de faxes Pol tica Nenhum fax deve ser recebido e encaminhado para outra parte sem verifica o da identidade do solicitante Explica o Observa es Os ladr es de informa es podem enganar os funcion rios para que eles enviem informa es sigilosas por fax para uma m quina localizada nas instala es da empresa Antes de o atacante dar o n mero do fax para a v tima ele liga para um empregado desavisado tal como uma secret ria ou um assistente administrativo e pergunta se um docu mento pode ser enviado para eles por fax para ser retirado mais tarde Em seguida ap s o em pregado desavisado ter recebido o fax o atacante liga para ele e solicita que o fax seja enviado para outra localiza o alegando talvez que ele necess rio para uma reuni o urgente Como a pessoa que deve retransmitir o fax geralmente n o entende o valor das informa es ela atende solicita
241. credit vel como a Internet facilita a vida daqueles que sabem onde procurar E voc tamb m sabe Em seguida Cogburne conseguiu convencer um homem cauteloso e desconfiado Como o seu sobrenome Quem o seu supervisor a divulgar o seu nome de usu rio e a sua senha para que ele pudesse acessar os servidores usados pela equipe de desenvolvimento do heart stent Isso foi como deixar Craig com uma porta aberta para pesquisar nos segredos mais bem guardados da empresa e fazer o download dos planos do novo produto Cap tulo 5 Posso Ajudar 59 E se Steve Cramer continuasse suspeitando da liga o de Craig pouco prov vel que ele pu desse fazer alguma coisa quanto a relatar as suas suspeitas at aparecer no trabalho na segunda feira e ent o j seria tarde demais para evitar o ataque Um segredo da ltima parte do plano Craig a princ pio se fez passar por indiferente e desinte ressado nas preocupa es de Steve e em seguida mudou o tom e pareceu estar ajudando Steve a fazer o seu trabalho Na maior parte do tempo se a v tima acredita que voc est tentando ajud lo ou prestar lhe algum tipo de favor ela compartilhar das informa es confidenciais que de outra forma teriam sido protegidas EVITANDO A TRAPA A Um dos truques mais poderosos do engenheiro social envolve a virada da mesa Foi isso que voc viu neste capitulo O engenheiro social cria o problema e em seguida o resolve num passe de m gica
242. culpas e era quase t mida Srta Wang aqui Arthur Arondale do Escrit rio do Inspetor Geral Posso cham la de May Capitulo 8 Usando a Simpatia a Culpa e a Intimida o 91 Aqui May Linn ela repetiu Bem May Linn temos um funcion rio novo aqui que ainda n o tem um computador e agora mesmo ele tem um projeto de prioridade e est usando o meu Somos do governo dos Estados Unidos e eles dizem que n o t m dinheiro no or amento para comprar um computador para ele usar E agora o meu chefe acha que eu estou me atrasando e n o quer ouvir nenhuma desculpa sabe como Entendo bem o que voc quer dizer Voc pode ajudar com uma consulta r pida ao MCS ele perguntou usando o nome do sistema de computadores onde est o armazenadas as informa es sobre os contribuintes Certamente do que voc precisa A primeira coisa que preciso fazer uma alfadent de Joseph Johnson data de nascimento 4 7 69 Alfadent significa pesquisa por ordem alfab tica no computador pelo nome do contribuinte o qual tamb m identificado pela data de nascimento Ap s uma breve pausa ela perguntou O que voc precisa saber Qual o seu n mero de conta ele explicou usando o atalho interno para o n mero do seguro social Ela leu o n mero Muito bem preciso que voc fa a um numident daquele n mero de conta acrescentou o interlocutor Essa era uma solicita o para que ela less
243. da Internet e depois que ele estava l dentro podia facil mente comprometer a maior parte dos sistemas da rede interna Segundo as minhas fontes acho que um golpe semelhante foi dado em um dos maiores fabrican tes de software para computadores do mundo Voc acharia que os administradores dessa empresa es tariam treinados para detectar esse tipo de golpe Mas de acordo com a minha experi ncia ningu m est completamente seguro quando um engenheiro social bastante inteligente e persuasivo SEGURAN A SPEAKEASY Nos velhos tempos do speakeasy naqueles nightclubs da era da Lei Seca onde acontecia o co m rcio ilegal de bebida alco lica um prov vel cliente era admitido batendo porta Ap s alguns minutos a porta se abria e um rosto forte e intimidador aparecia Se o visitante era conhecido ele podia falar o nome de algum patrono freq entador do lugar Joe me mandou era o suficiente e o grandalh o l dentro destrancava a porta e permitia a sua entrada O verdadeiro truque estava em saber a localiza o do speakeasy porque a porta n o tinha pla cas e os propriet rios n o penduravam sinais de n on para marcar a sua presen a Na maior parte dos casos bastava aparecer no lugar certo para entrar Infelizmente o mesmo grau de salvaguarda e aplicado amplamente no mundo corporativo e fornece um n vel de desprote o que eu chamo de seguran a speakeasy Eu vi isso no cinema Aqui est um exemplo de um filme
244. de telefone faturas de cart es de cr dito vidros com receitas m dicas extratos de banco material rela cionado com o trabalho e tantas outras coisas No trabalho os empregados devem ter consci ncia de que as pessoas olham no lixo para obter informa es com as quais elas possam se beneficiar Durante meus anos no col gio eu costumava vasculhar a lata de lixo que ficava atr s dos pr dios da empresa de telefonia quase sempre sozinho s vezes com amigos que compartilhavam do inte resse de saber mais sobre a empresa de telefonia Depois que se torna um vira lata experiente voc aprende alguns truques tais como os esfor os especiais para evitar os sacos de lixo dos banheiros e a necessidade de usar luvas Virar latas n o algo agrad vel mas a recompensa era extraordin ria listas telef nicas internas de empresas manuais de computadores listas de empregados material impresso descartado mostran do como programar o equipamento da central telef nica e muito mais tudo l a sua disposi o Programava as visitas para as noites em que eram emitidos manuais porque os cont ineres de lixo tinham muitos manuais antigos os quais foram descuidadamente jogados fora E tamb m fazia essas visitas em outras pocas procurando memorandos cartas relat rios e assim por diante os quais possam oferecer algumas gemas preciosas da informa o Jarg o VIRAR LATAS Vasculhar o lixo de uma empresa quase sempre em
245. de RP Na verdade ele nem trabalhava na empresa A hist ria de Jack Jack Dawkins havia iniciado a sua carreira profissional cedo como um batedor de carteiras nos jogos do Yankee Stadium nas plataformas superlotadas do metr e entre os turistas noturnos de Times Square Ele era t o gil e habilidoso que podia tirar o rel gio do pulso de um homem sem que ele no tasse Mas como todo adolescente ficou desajeitado e acabou sendo pego Na pris o para jovens ele aprendeu uma nova forma de contraven o a qual representava um risco bem menor de ser pego Seu trabalho era obter o demonstrativo trimestral de lucros e perdas da empresa e as informa es de fluxo de caixa antes que esses dados fossem arquivados na Comiss o de Valores Mobili rios e C mbio SEC e publicados O seu cliente era um dentista que n o queria explicar o motivo pelo qual desejava as informa es Para Jack a precau o daquele homem era uma piada Ele j conhecia a hist ria o cliente provavelmente tinha um problema de jogo ou ent o uma linda e cara namorada da qual a sua mulher ainda n o tinha conhecimento Ou talvez ele apenas tivesse dito mulher que era muito inteligente ao jogar na bolsa e agora havia perdido muito e queria fazer um grande inves timento em uma coisa certa sabendo se o pre o da a o da empresa subiria quando eles anunciassem seus resultados trimestrais As pessoas se surpreendem quando descobrem como r pido para um engenheiro soc
246. de informa es Interna tamb m chamada de Confidencial pelo pessoal da seguran a Escolhi usar Interna porque o termo auto explicativo para o p blico a que se destina Usei o termo Confidencial n o como uma classifica o de seguran a mas como um m todo conveniente de se referir s informa es Confidenciais Particu lares e Internas dito de outra forma Confidencial refere se a qualquer informa o da empresa que n o seja criada especificamente como P blica Interna Esta categoria de informa es pode ser fornecida livremente para todas as pessoas empregadas pela organiza o Normalmente a divulga o n o autorizada das informa es Internas n o deve causar grandes danos para a empresa para seus acionistas seus parceiros de neg cios seus clientes ou seus empregados Entretanto as pessoas adeptas das habilidades da engenharia social podem usar essas informa es para se fazerem passar por um empregado autorizado contratado ou fornecedor e enganar o pessoal desavisado para que forne am informa es confidenciais o que resultaria no acesso n o autorizado aos sistemas de compu tadores corporativos 212 A Arte de Enganar Para que as informa es Internas sejam divulgadas para terceiros preciso assinar um contrato de confidencialidade Esses terceiros incluem empregados de empresas de forne cedores m o de obra contratada empresas parceiras e assim por diante As informa es Internas incluem tudo o q
247. de voz gen rica para cada departamento que normalmen te tenha contato com o p blico Explica o Observa es A primeira etapa da engenharia social envolve a coleta das infor ma es sobre a empresa alvo e seu pessoal Limitando a acessibilidade dos nomes e n meros de telefo ne dos empregados uma empresa torna mais dif cil para o engenheiro social a identifica o dos alvos ou a obten o dos nomes dos empregados leg timos que s o usados para enganar o outro pessoal 3 6 Verifica o do fabricante do sistema de telefones Pol tica Nenhum t cnico do suporte do fabricante poder acessar remotamente o sistema de tele fones da empresa sem a identifica o positiva do fabricante e a autoriza o para executar tal trabalho Explica o Observa es Os intrusos de computadores que t m acesso aos sistemas tele f nicos corporativos ganham a capacidade de criar caixas postais de voz de interceptar as mensagens destinadas a outros usu rios ou de fazer liga es telef nicas gr tis pagas pela corpora o 3 7 Configura o do sistema de telefones Pol tica O administrador do sistema de voice mail implantar os requisitos de seguran a con figurando os par metros de seguran a adequados no sistema de telefones Explica o Observa es Os sistemas de telefones podem ser configurados com n veis de seguran a maiores ou menores para as mensagens de voice mail O administrador deve ter consci n cia das qu
248. deriam ter respondido de forma diferente para evitar que os ataques fossem bem sucedidos Um desenvolvedor habilidoso de cursos e treinadores habilidosos encontrar o muitos desafios mas tamb m muitas oportunidades para manter a classe interessada e ao mesmo tempo para motivar as pessoas a tomarem parte na solu o A estrutura do treinamento Um programa b sico de treinamento na conscientiza o sobre seguran a deve ser desenvolvido de modo que todos os empregados tenham de participar Os empregados novos devem participar dele Observa o Para aquelas empresas que n o t m recursos para desenvolver um programa interno existem diversas empresas que oferecem servi os de treinamento em conscientiza o sobre a seguran a As feiras tais como a Secure World Expo www secureworldexpo com s o pontos onde essas empresas podem ser encontradas Cap tulo 15 Conscientiza o e Treinamento em Seguran a da Informa o 201 como parte de seu treinamento inicial Recomendo que nenhum empregado receba acesso a um computador antes de ter participado de uma sess o b sica de conscientiza o sobre a seguran a Para essa etapa inicial sugiro uma sess o que seja voltada para prender a aten o e que seja curta o suficiente para que as mensagens importantes sejam lembradas Embora a quantidade do material abordado justifique um treinamento mais longo a import ncia de fornecer a conscientiza o e a motiva o juntamente com um
249. diantou Nem helper e tamb m nem patch Em seguida tentou atualiza o e conseguiu Isso t pico O uso de uma senha bvia e que pode ser adivinhada facilmente apenas melhor do que n o ter nenhuma senha Isso agilizou o processo Eric talvez soubesse tanto sobre aquela central telef nica e sobre como programar e solucionar os problemas quanto o t cnico Depois que conseguiu acessar a central tele f nica como usu rio autorizado ele podia ter controle completo sobre as linhas telef nicas que eram o seu alvo Do computador ele consultava a centra telef nica do n mero de telefone que ele havia conseguido para as chamadas da pol cia do Departamento de Tr nsito o n mero DMV 555 6127 Ele descobriu que havia 19 outras linhas telef nicas no mesmo departamento Obviamente elas recebiam um volume alto de liga es Para cada liga o recebida a central telef nica estava programada para ca ar nas 20 linhas at encontrar uma que n o estava ocupada Ele pegou a linha de n mero 18 da seq ncia e digitou o c digo que inclu a o encaminhamento de chamada para aquela linha Com o n mero para o encaminhamento de chamadas ele digitou o n mero do telefone do seu novo e barato telefone celular pr pago do tipo que os traficantes de drogas gostam porque s o baratos e podem ser jogados fora depois que o trabalho executado Agora com o encaminhamento de chamadas ativado para a linha 18 assim que o escr
250. diferentes sistemas de computadores Todas as senhas escritas devem estar segu ras em um local longe do computador Sob nenhuma circunst ncia uma senha pode ser armazenada sob o teclado ou pregada no monitor do computador 1 5 9 Senhas em texto simples nos arquivos do computador Pol tica As senhas em texto simples n o devem ser salvas em nenhum arquivo de computador nem devem ser armazenadas como texto que pode ser chamado com uma tecla de fun o Quando for preciso as senhas podem ser salvas usando se um utilit rio de criptografia aprovado pelo depar tamento de TI para evitar a divulga o n o autorizada Explica o Observa es As senhas podem ser recuperadas facilmente por um atacante se elas forem armazenadas na forma n o criptografada em arquivos de dados de computador arqui vos de lote teclas de fun o do terminal arquivos de login macro ou programas de scripting ou em quaisquer arquivos de dados que contenham senhas de sites FTP POL TICAS PARA OS TELECOMUTADORES Os telecomutadores est o fora do firewall corporativo e portanto est o mais vulner veis a um ataque Estas pol ticas ajudam a evitar que os engenheiros sociais usem os seus empregados telecomutadores como uma porta de entrada para os seus dados 16 1 Clientes Thin Pol tica Todo o pessoal da empresa que foi autorizado a se conectar via acesso remoto deve usar um thin client para se conectar rede corporativa Explica o Observa es
251. disse para elas administrarem uma droga cujo uso n o era autorizado naquela ala e a dosagem que ele disse para elas administrarem era o dobro da dosagem di ria m xima e assim poderia ter colocado a vida do paciente em risco Mesmo assim em 95 dos casos como relatou Cialdini a enfermeira obteve a dosagem necess ria na sala de rem dios da ala e estava indo administr la ao paciente antes de ser interceptada por um observador que lhe contou sobre a experi ncia Cap tulo 15 Conscientiza o e Treinamento em Seguran a da Informa o 197 Exemplos de ataques um engenheiro social tenta impor autoridade alegando ser do departa mento de TI ou dizendo ser um executivo ou uma pessoa que trabalha para um executivo da empresa Afabilidade As pessoas t m a tend ncia de atender uma pessoa que faz uma solicita o quando ela conseguiu se fazer passar por algu m agrad vel ou com interesses cren as e atitudes semelhantes aos da v tima Exemplos de ataques por meio da conversa o o atacante consegue descobrir um hobby ou in teresse da v tima e diz ser interessado ou entusiasmado pelo mesmo hobby ou interesse Ou ent o alega ser do mesmo estado ou escola ou ter objetivos semelhantes O engenheiro social tamb m tentar imitar os comportamentos do seu alvo para criar a apar ncia de semelhan a Reciprocidade Podemos atender automaticamente a uma solicita o quando recebemos ou temos a promessa de receber algo de valor
252. do Edgar recebeu uma mensagem de correio eletr nico certo dia da PayPal uma empresa que oferece um modo r pido e conveniente de fazer pagamentos on line Esse tipo de servi o muito til quando uma pessoa de uma parte do pais ou do mundo est comprando um item de um indiv duo que ele n o conhece A PayPal cobra no cart o de cr dito do comprador e transfere o dinheiro diretamente para a conta do vendedor Como colecionador de vasos antigos de vidro Edgar fez muitos neg cios por meio da empresa de leil es on line eBay Ele usava a PayPal com freq ncia v rias vezes por semana Assim sendo Edgar ficou interessado quando recebeu uma mensagem de correio eletr nico nas festas de fim de ano de 2001 a qual parecia vir da PayPal e oferecia um pr mio pela atualiza o da sua conta com a PayPal A mensagem dizia Boas Festas caro cliente PayPal medida que o Ano Novo se aproxima e todos nos preparamos para iniciar um novo ano a PayPal gostaria de lhe dar um cr dito de US 5 na sua conta Tudo que voc precisa fazer para receber os seus US 5 00 de presente atualizar as suas informa es no nosso site seguro Pay Pal at 1o de janeiro de 2002 Um ano traz muitas chances e atualizando as suas informa es conosco voc permitir que continuemos a lhe fornecer nosso valioso servi o ao cliente com excelente qualidade e al m de tudo voc estar mantendo os nossos registros atualizados Capitulo 7 Sites Falsos e Anexos
253. do da filial 3182 em Boston Quero falar com Angela Wisnowski por favor Ela est em hor rio de almo o Posso ajudar Bem ela deixou uma mensagem pedindo para enviar um fax com algumas informa es de um dos nossos clientes O interlocutor parecia ter tido um dia ruim A pessoa que normalmente trata dessas solicita es est doente ele prosseguiu Tenho uma pilha delas aqui s o quase 4 da tarde e preciso sair para ir ao m dico em meia hora A manipula o dar todas as raz es pelas quais a outra pessoa deve sentir pena dele fazia pane da trama Ele continuou N o sei quem recebeu o recado dela pelo telefone mas o n mero do fax est ileg vel 213 alguma coisa Qual o resto do n mero Louis deu o n mero do fax e o interlocutor disse Muito bem obrigado Antes que eu possa enviar este fax preciso do C digo B Mas foi voc que me ligou ele salientou com tanta frieza que o homem de Boston entendeu a mensagem Cap tulo 9 O Golpe Inverso 109 Isso bom o interlocutor pensou bom quando as pessoas n o caem na primeira tenta tiva Se eles n o resistem um pouco o trabalho fica f cil demais e posso come ar a ficar pregui oso Ele disse para Louis O problema que tenho um gerente de filial aqui que ficou paran i co com essa hist ria de verificar tudo o que enviamos Mas ou a se voc s n o precisam do fax com as informa es tudo bem N o preciso verificar
254. do solicitante usando o n mero do solicitante de telefone relacionado no diret rio da empresa Verifica o do departamento Liga o para o departamento ou grupo de trabalho do OU grupo de trabalho do solicitante solicitante para determinar se ele ainda empregado da empresa Procedimento para determinar a necessidade de conhecimento das informa es A O DESCRI O Consultar a lista de responsabilidades Verificar nas listas publicadas quais empregados do cargo grupo de trabalho t m direito de receber as informa es confidenciais espec ficas Obter autoriza o do gerente Entrar em contato com o seu gerente ou com o gerente do solicitante para obter a autoriza o para atender solicita o Obter autoriza o do Propriet rio Perguntar ao Propriet rio das informa es se o soli das informa es ou representante citante tem necessidade de conhec las Obter a autoriza o Verificar o banco de dados propriet rio de pessoal com uma ferramenta automatizada autorizado Crit rios para a verifica o de n o empregados CRIT RIO A O Relacionamento Verificar se a empresa do solicitante tem um relacionamento de fornece dor parceiro estrat gico ou outro Identidade Verificar a identidade do solicitante e o status de emprego na empresa do fornecedor parceiro Confidencialidade Verificar se o solicitante assinou um contrato de confidencialidade que est arquivado Acesso Enca
255. dos ajuda voc a implementar os controles adequados para a divulga o das informa es Sem uma pol tica de classifica o de dados todas as informa es internas devem ser consideradas confidenciais a menos que seja especificado o contr rio Use estas etapas para proteger a sua empresa contra a divulga o de informa es aparentemente inofensivas O Departamento de Seguran a das Informa es precisa realizar o treinamento da conscien tiza o o qual detalha os m todos usados pelos engenheiros sociais O m todo descrito an Cap tulo 2 Quando as Informa es N o S o Inofensivas 23 teriormente 3 obten o de informa es aparentemente n o sigilosas e o seu uso como uma ficha de p quer para ganhar a confian a de curto prazo Cada um dos empregados precisa ter consci ncia de que o falo de um interlocutor ter conhecimento dos procedimentos da empresa da linguagem e dos identificadores internos n o d de maneira nenhuma a forma ou a auten tica o para o solicitante nem o autoriza a ter a necessidade de saber as informa es Um interlocutor pode ser um ex empregado ou contratado com as informa es internas requisitas Da mesma forma cada corpora o tem a responsabilidade de determinar o m todo apropriado de autentica o a ser usado quando os empregados interagem com as pessoas que eles n o conhecem pessoalmente ou pelo telefone A pessoa ou as pessoas que t m o papel e a responsabilidade de criar u
256. dos no programa de conscientiza o sobre a seguran a Dentro do mundo corporativo talvez haja poucos assuntos sobre os quais todos os empregados precisam ser treinados e que s o ao mesmo tempo t o importantes e t o aborrecidos quanto a segu ran a Os melhores programas de treinamento sobre a seguran a das informa es devem informar e prender a aten o e o entusiasmo dos aprendizes O objetivo deve transformar a conscientiza o e o treinamento em seguran a das informa es em uma experi ncia interessante e interativa As t cnicas podem incluir a demonstra o dos m todos da engenharia social por meio da dramatiza o o exame de relat rios da m dia sobre ataques recentes em outras empresas com menos sorte e a discuss o das maneiras pelas quais as empresas poderiam ter evitado o preju zo Elas tamb m podem mostrar um v deo sobre seguran a que seja divertido e educacional ao mesmo tempo Existem diversas empresas de conscientiza o sobre a seguran a que comercializam v deos e materiais relacionados As hist rias deste livro fornecem um material rico para explicar os m todos e as t ticas da engenha ria social e t m o objetivo de aumentar a consci ncia sobre a amea a e de demonstrar as vulnerabilida des do comportamento humano Pense em usar os cen rios aqui descritos como a base para as atividades de dramatiza o As hist rias tamb m oferecem oportunidades para discuss es animadas sobre como as v timas po
257. dos ou departamentos a estrutura hier rquica os nomes as posi es os n meros internos para contato os n meros dos empregados ou informa es semelhantes que sejam usadas para processos internos n o devem ser disponibilizados em sites Web que podem ser acessados pelo p blico Os intrusos de computadores quase sempre obt m informa es muito teis no site Web de um alvo Eles usam essas informa es para se parecer com um empregado com conhecimentos ao usar um pretexto ou um truque O engenheiro social tem mais chances de estabelecer credibilidade com essas informa es sua disposi o Al m disso ele pode analisar essas informa es para descobrir os prov veis alvos que t m acesso a informa es valiosas confidenciais ou cr ticas 7 12 Cria o de contas com privil gios Pol tica Nenhuma conta com privil gio deve ser criada e nenhum sistema de privil gios deve ser concedido a todas as contas a menos que isso seja autorizado pelo administrador ou gerente do sistema Explica o Observa es Os intrusos de computadores com freq ncia fazem se pas sar por fornecedores de hardware ou software e tentam fazer com que o pessoal de tecnologia de informa es crie contas n o autorizadas A inten o desta pol tica bloquear esses ataques esta belecendo maior controle sobre a cria o das contas privilegiadas O gerente ou administrador do sistema de computadores deve aprovar todas as solicita es de cri
258. dos para que executem a es que o coloquem mais perto do seu objetivo importante entender esse conceito simples para que voc reconhe a quando outra pessoa est tentando manipul lo Enganando os desavisados J enfatizei antes a necessidade de treinar bem os empregados para que nunca se deixem enganar pe las instru es de um estranho Todos os empregados tamb m precisam entender o perigo de atender uma solicita o para executar qualquer a o no computador de outra pessoa A pol tica da empresa deve proibir isso exceto quando for aprovado especificamente por um gerente As situa es permi tidas incluem Quando a solicita o for feita por uma pessoa bem conhecida com a requisi o feita frente a frente ou pelo telefone quando voc pode reconhecer sem d vidas a voz do interlocutor Quando voc verifica positivamente a identidade do solicitante por meio de procedimentos aprovados 164 A Arte de Enganar Quando a a o autorizada por um supervisor ou outra pessoa com autoridade que o solici tante conhece pessoalmente Os empregados devem ser treinados para n o ajudar pessoas que n o conhecem pessoalmente mesmo que a pessoa alegue ser um executivo Ap s a execu o das pol ticas de seguran a relativas verifica o o gerenciamento deve dar suporte aos empregados que seguem essas pol ticas mesmo que isso signifique desafiar um membro da equipe executiva que est pedindo para o empre
259. duto mais guardado da sua empresa alvo s para satisfazer a sua pr pria curiosidade e admirar as inova es que o fabricante estava para lan ar Nem preciso dizer que os projetos de produto eram segredos comerciais cuidadosamente guar dados t o preciosos e protegidos quanto qualquer outra coisa que a empresa possu a Danny sabia disso E n o ligava nem um pouco Afinal de contas essa era apenas uma empresa grande e sem nome Mas como obter o c digo fonte do software Acontece que se apoderar das j ias da coroa do Grupo de Comunica es Seguras da empresa acabou sendo uma coisa muito f cil muito embora a empresa fosse uma daquelas que usavam a autentica o de dois fatores um m todo no qual as pes soas devem usar n o um mas dois identificadores separados para provar suas identidades Este um exemplo que talvez voc j conhece Quando chega a renova o do seu cart o de cr di to voc tem de ligar para a administradora para informar que o cart o est nas m os do cliente certo e n o nas m os de algu m que roubou o envelope do correio As instru es que v m com o cart o hoje em dia geralmente dizem para voc ligar de casa Quando voc liga o software da administradora do Capitulo 6 Voc Pode me Ajudar 69 Jarg o AUTENTICA O DE DOIS FATORES O uso de dois tipos diferentes de autentica o para verificar a identidade Por exemplo uma pessoa pode ter de identificar a si mesma ligando de u
260. e 10 12 Descartando m dia remov vel Pol tica Antes de descartar qualquer m dia eletr nica que j conteve informa es Sigilosas da empresa mesmo que essas informa es j tenham sido exclu das ela deve ser totalmente destru da ou danificada para que n o tenha recupera o Explica o Observa es Embora o uso das m quinas de cortar papel seja comum hoje em dia os funcion rios da empresa podem n o dar import ncia amea a de descartar m dia eletr nica que continha dados Sigilosos Os atacantes tentam recuperar todos os dados armazenados na m dia eletr nica descartada Os funcion rios podem presumir que a simples exclus o dos arquivos garante que esses arquivos n o podem ser recuperados Essa suposi o e incorreta e pode fazer com que as informa es comerciais confidenciais caiam nas m os erradas Da mesma forma toda m dia eletr nica que contenha ou tenha contido informa es que n o foram rotuladas como P blicas devem ser limpas ou destru das usando se os procedimentos aprovados pelo grupo respons vel 10 13 Protetores de tela com senha Pol tica Todos os usu rios de computadores devem definir uma senha para a prote o de tela e o limite de inatividade para bloquear o computador ap s determinado per odo de inatividade Explica o Observa es Todos os empregados s o respons veis por definir uma senha de prote o de tela e um timeout de inatividade com tempo n o superior a dez mi
261. e enfim toda a apar ncia seria diferente Para se infiltrar na empresa o homem que se chamou de Rick Daggot sabia que tinha de projetar uma imagem de confian a e compet ncia a qual seria suportada por um conhecimento completo do produto da empresa e da ind stria Ele n o teve muita dificuldade para se apossar das informa es que precisava ter com antece d ncia E tamb m criou um golpe f cil de aplicar quando o CEO estivesse fora Um pequeno desafio mas mesmo assim n o muito dif cil seria encontrar detalhes suficientes sobre o projeto para que ele 86 A Arte de Enganar parecesse estar por dentro daquilo que eles estavam fazendo Quase sempre essas informa es s o conhecidas dos diversos fornecedores da empresa bem como dos investidores capitalistas de risco que eles contataram para levantar o dinheiro seu banqueiro e a sua empresa de advocacia O atacante tem de tomar cuidado por m Pode ser dif cil encontrar algu m que entrar com o conhecimento in terno mas tentar duas ou tr s fontes para encontrar algu m que possa dar as informa es pode fazer com que as pessoas descubram o golpe E a que est o perigo Os Rick Daggost da vida precisam escolher com cuidado e trilhar o caminho de cada informa o apenas uma vez O almo o foi outra proposi o arriscada Primeiro havia o problema de organizar tudo para que ele tivesse alguns minutos sozinho com cada pessoa fora do alcance dos ouvidos dos outros
262. e Enquanto ela fazia a liga o telef nica Rick estava confiante de que ele e Larry haviam conse guido fazer uma alian a estrat gica de marketing A empresa de Rick estava produzindo produtos para a manufatura e linha de montagem itens que complementariam perfeitamente seu novo produto o C2Alpha Os produtos de Rick e o C2Alpha juntos formariam uma solu o forte que abriria impor tantes mercados industriais para ambas as empresas Quando Jessica terminou de fazer a reserva para o ltimo v o da tarde Rick pediu Bem pelo menos posso falar com Steve se ele estiver dispon vel Mas Steve vice presidente e co fundador da empresa tamb m n o estava no escrit rio Rick sendo muito amistoso com Jessica e flertando um pouco sugeriu que j que ele estava l e que o seu v o de volta seria no final da tarde ele poderia levar algumas pessoas importantes para almo ar E acrescentou Incluindo voc claro h algu m que fica no seu lugar na hora do almo o Ela ficou corada com a id ia de ser inclu da e respondeu Quem voc quer convidar Ele abriu novamente o seu palmtop e falou o nome de algumas pessoas dois engenheiros de P amp D o homem novo de vendas e marketing e o funcion rio de finan as designado para o projeto Rick sugeriu que ela lhes dissesse sobre o seu relacionamento com a empresa e que ele gostaria de se apresentar a eles Ele deu o nome do melhor restaurante da rea um lugar no qual Jessic
263. e rapaz em particular aqui eu vou chamar de Joe rapidamente mudava o monitor do seu computador para uma janela diferente Imediatamente reconheci isso como um comportamento suspeito Quando isso aconteceu duas ou mais vezes no mesmo dia tive certeza de que algo estava acontecendo e eu deveria descobrir O que esse rapaz estava fazendo e n o queria que eu visse O computador de Joe agia como um terminal para acessar os minicomputadores da empresa de modo que instalei um programa de monitoramento no minicomputador VAX que me permitia espiar o que ele estava fazendo O programa agia como se uma c mera de TV espiasse sobre o seu ombro e me mostrasse exatamente aquilo que ele estava vendo no seu computador A minha mesa era pr xima da do Joe ajustei o meu monitor na melhor posi o poss vel para que ele n o o visse mas ele poderia ter olhado a qualquer momento e percebido que eu o estava espiando Isso n o era problema porque ele estava t o envolvido naquilo que estava fazendo que nem notaria O que vi fez o meu queixo cair Eu observei fascinado o bandido chamar os dados da minha folha de pagamento Ele estava olhando o meu sal rio Na poca eu trabalhava l h poucos meses e achei que Joe n o suportava a id ia de que eu po deria estar ganhando mais do que ele Alguns minutos depois vi que ele estava fazendo o download de ferramentas de hacker que s o usadas pelos hackers menos experientes que n o conhecem o suficie
264. e Divulga o de Informa es Os atacantes enganam as pessoas para que elas executem programas que permitam ao intruso ter o controle do sistema Quando um usu rio desavisado executa um programa plantado por um atacante o resultado pode dar ao intruso o acesso ao sistema de computadores da v tima Outros programas registram as atividades do usu rio do computador e retornam essas informa es para o atacante Enquanto um engenheiro social pode enganar uma pessoa para que ela execute instru es no computador que podem causar danos um ataque t cnico engana o sistema operacional para executar instru es de computador que podem causar o mesmo tipo de danos 10 4 Fazendo download ou instalando software Pol tica Os funcion rios nunca devem fazer download ou instalar software sob solicita o de outra pessoa a menos que o solicitante tenha sido verificado como um empregado do departamento de tecnologia da informa o Explica o Observa es Os empregados devem estar alertas para qualquer solicita o incomum que envolva qualquer tipo de transa o com equipamento relacionado com computadores Uma t tica comum usada pelos engenheiros sociais e enganar as vitimas desavisadas para que fa am o download e instalem um programa que ajude o atacante a realizar o seu objetivo de compro meter a seguran a do computador ou da rede Em alguns casos o programa pode espiar e registrar as a es do usu rio ou permitir que o
265. e a ela sobre o perigo de uma liga o telef nica como essa que ela recebeu Isso n o estava na pol tica da empresa n o fazia parte do seu treinamento e o seu supervisor nunca mencionou algo semelhante Cap tulo 3 O Ataque Direto Simplesmente Pedindo 31 EVITANDO A TRAPA A Um ponto a ser inclu do no seu treinamento de seguran a s porque um interlocutor ou visitante conhece os nomes de algumas pessoas da empresa ou conhece alguns jarg es ou procedimentos corporativos isso n o quer dizer que ele quem alega ser E isso definitivamente n o o estabelece como algu m que est autorizado a receber informa es internas nem acessar o seu sistema ou rede de computadores O treinamento em seguran a precisa enfatizar que quando estiver em d vida voc precisa veri ficar verificar e verificar Nos tempos antigos o acesso s informa es dentro de uma empresa era uma marca de prest gio e privil gio Os empregados abasteciam os fornos faziam as m quinas funcionar datilografavam as cartas e preenchiam relat rios O encarregado ou chefe lhes dizia o que fazer quando e como Era o encarregado ou chefe que sabia quantos parafusos cada empregado deveria produzir em cada turno o n mero as cores e os tamanhos que a f brica precisava produzir nesta semana na pr xima e no final do m s Os empregados lidavam com as m quinas ferramentas e materiais e os chefes lidavam com as informa es Os empregados s precisavam
266. e ajudar So terei essa lista esta tarde Tudo bem Qual o seu ramal Claro tudo bem o ramal 52 ah mas vou estar em reuni o na maior parte do dia Ligo para voc quando voltar ao escrit rio talvez ap s as quatro Quando Alex ligou l pelas 16h30 Andrea j tinha a lista pronta e leu os nomes e os ramais Um recado para Rosemary Rosemary Morgan estava encantada com o seu novo emprego Ela nunca havia trabalhado antes em uma revista e estava achando as pessoas mais amigas do que havia imaginado uma surpresa por causa da press o intermin vel sofrida pela maioria da equipe sobre o prazo para entregar a edi o do m s A liga o que ela recebeu uma manh de ter a feira reconfirmou essa impress o de amizade Rosemary Morgan Sim Ol Rosemary Aqui Bill Jorday do grupo de Seguran a da Informa o Sim Algu m do nosso departamento j falou com voc sobre as melhores pr ticas de seguran a Cap tulo 5 Posso Ajudar 51 Acho que n o Bem vejamos Para os iniciantes n o permitimos que ningu m instale um software trazido de fora da empresa Isso porque n o queremos nenhum problema com soft ware sem licen a de uso E tamb m para evitar quaisquer problemas com software que tenha um worm ou um v rus Tudo bem Voc est a par das nossas pol ticas sobre correio eletr nico N o Qual o seu endere o de correio eletr nico atual
267. e continuamente desafiado quando precisava desencavar as informa es de bens para os advogados que tentavam descobrir se algum miser vel era suficientemente rico para valer uma a o Essas tarefas davam lhe muitas chances de usar a sua esperteza Capitulo 9 O Golpe Inverso 111 Uma dessas chances foi quando teve de investigar as contas banc rias de um cara chamado Joe Markowitz Joe teria trabalhado em um neg cio duvidoso com um ex amigo seu Agora esse amigo queria saber se em caso de um processo Markowitz teria dinheiro suficiente para devolver pelo me nos parte do seu dinheiro A primeira etapa que Vince teria de executar seria descobrir pelo menos um mas de prefer ncia dois c digos de seguran a do banco naquele dia Isso parece um desafio quase imposs vel o que le varia um empregado de banco a burlar o seu pr prio sistema de seguran a Pergunte a si mesmo se quisesse fazer isso voc teria alguma id ia do lugar por onde deveria come ar Para as pessoas como Vince isso muito f cil As pessoas confiam quando voc conhece a linguagem interna de seus trabalhos e de suas em presas Isso como mostrar que voc pertence ao seu circulo interno Isso como um aperto de m o secreto Eu n o precisava de muita coisa para realizar uma tarefa com essa Definitivamente isso n o e como uma cirurgia de c rebro Eu s precisava de um n mero de filial Quando liguei para o escrit rio de Beacon Street em B
268. e de Enganar que entra no computador de algu m e depois envia mensagens de correio eletr nico ele mesmo para todas as pessoas do seu cat logo de endere os Cada uma daquelas pessoas recebe uma mensagem de correio eletr nico de algu m que conhece e confia e cada uma daquelas mensagens de correio eletr nico de confian a cont m o worm o qual se propaga como as ondas formadas por uma pedra jogada em um lago tranq ilo O motivo da efici ncia dessa t cnica que ela segue a teoria de matar dois coelhos com uma s cajadada A capacidade de propagar se para as outras vitimas desavisadas e a apar ncia de que veio de uma pessoa de confian a Recado do Mitnick O homem inventou muitas coisas maravilhosas que mudaram o mundo e a nossa forma de viver Mas para cada bom uso da tecnologia o computador o telefone ou a Internet algu m sempre encontra um modo de abusar dessa tecnologia em proveito pr prio O triste fato que no estado atual da tecnologia voc pode receber uma mensagem de correio eletr nico de algu m pr ximo e ter de se perguntar se seguro abri la VARIA ES SOBRE UM MESMO TEMA Nesta era da Internet h um tipo de fraude que envolve o seu redirecionamento para um site Web que n o aquele que voc esperava Isso acontece regularmente e assume v rias formas Este exemplo que se baseia em um golpe real executado na Internet representativo Feliz Natal Um vendedor de seguros aposentado chama
269. e de Hollywood como o O Informante ou das p ginas de um romance de John Grisham A o de classe Imagine que uma a o coletiva movida por uma classe esteja assolando uma grande empresa farma c utica a Pharmomedic A a o diz que eles sabiam que uma de suas drogas mais conhecidas tinha um efeito colateral devastador mas que esse efeito n o seria conhecido at que um paciente o tomasse durante v rios anos A a o alega que eles tinham resultados de diversos estudos de pesquisa que re velavam esse perigo mas que suprimiam a evid ncia e nunca chegavam ao FDA como deveriam William Billy Chaney o advogado respons vel pela a o na empresa de advocacia de Nova York que entrou com a a o coletiva tem os testemunhos de dois m dicos da Pharmomedic que fun damentam a causa Mas ambos est o aposentados eles n o t m arquivos ou documenta o e nenhum deles seria uma testemunha forte e convincente Billy sabe que est caminhando em areia movedi a A menos que possa conseguir uma c pia de um daqueles relat rios ou de algum memorando interno ou comunica o entre os executivos da empresa toda a a o ser in til Assim sendo ele contrata uma empresa que j utilizou antes a Andreeson and Sons de detetives particulares Billy n o sabe como Pete e o seu pessoal conseguem fazer o que fazem e nem quer saber Tudo o que sabe que Pete Andreeson um bom detetive Para a Andreeson um trabalho como esse aquilo
270. e e ver o que est acontecendo Brian abriu seu palmtop chamou uma entrada e passou o dispositivo para Larry Ainda es perando um milagre todos observaram enquanto Larry discava Ap s um instante ele apertou o bot o do viva voz e todos ouviram um sinal de ocupado Ap s tentar discar para o n mero v rias vezes em 20 minutos Larry frustrado discou para a telefonista e pediu uma interrup o de emer g ncia Alguns momentos mais tarde a telefonista voltou linha Ela disse Onde o senhor conseguiu esse n mero Larry disse que estava no cart o de um homem que ele precisava contatar com urg n cia A telefonista disse Sinto muito Esse um n mero de teste da empresa de telefonia Ele est sempre ocupado 184 A Arte de Enganar Larry come ou a fazer uma lista das informa es que haviam sido compartilhadas com Rick O quadro n o era nada bom Dois detetives da pol cia vieram e fizeram um relat rio Ap s ouvir a hist ria disseram que nenhum crime estadual havia sido cometido n o havia nada que pudessem fazer Eles aconselharam Larry a entrar em contato com o FBI porque eles t m jurisdi o sobre todos os crimes que envolvem o com rcio entre estados Quando Rick Daggot pediu para o engenheiro encaminhar os resultados dos testes fazendo se passar por outra pessoa ele pode ter cometido um crime federal mas Larry teria de falar com o FBI para descobrir isso Tr s meses mais tarde Larry estava em sua
271. e em um engenheiro social da Filad lfia que atra do por um modelo de telefone barato oferecido por uma empresa de telefonia celular mediante uma inscri o mas ele odeia o plano de chamada que acompanha o aparelho Tudo bem Aqui est como ele trataria dessa situa o A primeira liga o Ted Em primeiro lugar o engenheiro social liga para uma cadeia de produtos eletr nicos em West Girard Electron City Ted Oi Ted Aqui Adam Ou a h algumas noites eu estava conversando com um vendedor sobre um telefone celular Eu disse que ligaria de volta quando tivesse resolvido qual plano queria e esqueci o nome dele Quem a pessoa que trabalha no departamento no turno da noite H mais de um Ser que era o William Eu n o tenho certeza Talvez fosse o William Como ele Um homem alto e meio magro Cap tulo 4 Criando a Confian a 39 Eu acho que era ele Qual mesmo o sobrenome dele Hadley H A D L E Y Isso acho que isso Quando ele volta N o sei a sua escala para esta semana mas o pessoal da noite chega em cinco minutos Bom Vou tentar falar com ele esta noite Obrigado Ted A segunda liga o Katie A pr xima liga o feita para uma loja da mesma cadeia na North Broad Street Electron City Aqui Katie posso ajudar Katie ol Aqui William Hadley da loja da West Girard Com v o as coisas Um pouco devagar e a Te
272. e ligou para o homem e manipulou a sua credulidade mais uma vez desta vez fazendo o sentir se culpado por dizer n o depois que Bobby lhe havia prestado um favor Tom concordou com a solicita o de descarregar um software no seu computador Aquilo com o qual ele concordou n o era o que parecia O software que Tom descarregou como algo que evitaria que a sua conex o fosse desligada era na verdade um Cavalo de Tr ia um apli cativo de software que fez no computador de Tom aquilo que a fraude original havia feito para os troianos ele trouxe o inimigo para dentro do campo de batalha Tom relatou que nada havia aconte cido quando clicou duas vezes no cone do software o fato era que por projeto ele n o veria nada acontecendo embora o pequeno aplicativo estivesse instalando um programa secreto que permitiria ao inimigo infiltrado ocultar o acesso ao computador de Tom Jarg o Cavalo de Tr ia Um programa que cont m um c digo malicioso ou prejudicial cria do para gerenciar os arquivos do computador da v tima ou para obter informa es do computador ou da rede da v tima Alguns deles foram criados para ocultar se dentro do sistema operacional do computador e espiar cada tecla digitada ou a o ou para aceitar instru es por uma conex o de rede para executar alguma fun o tudo isso sem que a v tima tenha consci ncia da sua presen a Capitulo 5 Posso Ajudar 49 Com o software em execu o Bobby leve o controle compl
273. e n o ape nas ao empregado que tem acesso eletr nico ou f sico ao ativo de IT da empresa Era a semana de A o de Gra as quando esta liga o foi recebida O interlocutor disse Aqui Eduardo do Departamento de Faturamento Tenho uma senhora na linha ela uma secret ria do escrit rio executivo e trabalha para um dos vice presidentes Ela est pedindo algumas informa es e Cap tulo 3 O Ataque Direto Simplesmente Pedindo 29 n o posso usar o meu computador Recebi um e mail de uma garota de Recursos Humanos que dizia ILOVEYOU e quando abri o anexo n o consegui mais usar a minha m quina Um v rus Fui pego por um v rus est pido De qualquer forma voc poderia procurar algumas informa es de cliente para mim E claro Janie respondeu Ele destruiu o seu computador Isso terr vel Sim Como posso ajudar Janie perguntou Nesse ponto o atacante recorreu s informa es da sua pesquisa avan ada para parecer mais aut ntico Ele descobriu que as informa es que queria estavam armazenadas em algo chamado Sis tema de Informa es de Faturamento do Cliente e descobriu como os empregados se referiam ao sistema Ele perguntou Voc pode abrir uma conta do CBIS Sim qual o n mero da conta N o tenho o n mero preciso que voc a abra pelo nome Muito bem qual o nome O nome Heather Marning Ele soletrou o nome e Janie o digitou Aqui est timo a conta est atualizad
274. e o arquivo no qual voc est trabalhando seja minimizado Ou ent o ele pode fazer com que um arquivo de udio reproduza um grito no volume mais alto no meio da noite Nada disso muito engra ado quando voc est tentando dormir ou trabalhar mas pelo menos eles n o causam nenhum dano duradouro MENSAGEM DE UM AMIGO Os cen rios podem ficar ainda piores apesar das suas precau es Imagine que voc resolveu n o correr riscos Voc n o vai mais descarregar nenhum arquivo exceto de sites seguros que conhece e confia tais como o SecurityFocus com ou o Amazon com Voc n o clica mais nos links de correio eletr nico de fontes desconhecidas Voc n o abre mais os anexos de nenhuma mensagem que n o estava esperando E verifica a sua p gina de browser para ter certeza de que h um s mbolo de site seguro em cada site que visita para realizar transa es de com rcio eletr nico ou para trocar infor ma es confidenciais Ent o um belo dia voc recebe uma mensagem de correio eletr nico de um amigo ou empresa associada que tem um anexo N o poderia ser algo malicioso j que vem de algu m que voc conhe ce n o mesmo Particularmente porque sabe a quem culpar se os dados do seu computador forem danificados Voc abre o anexo e BOOM Acabou de receber um Cavalo de Tr ia Por que algu m que voc conhece faria isso Porque algumas coisas n o s o o que parecem ser Voc j leu sobre isso o worm 78 A Art
275. e os dados b sicos do contribuinte e May Linn respondeu dando o local de nascimento do contribuinte o nome de solteira da m e e o nome do pai O interlocutor ouviu pacientemente enquanto ela tamb m lhe dava o m s e ano em que o cart o fora emitido e o distrito no qual fora emitido A seguir ele pediu um DEQY que a abreviatura de consulta detalhada de rendimen tos Ap s a solicita o do DEQY ele teve a resposta Para qual ano O interlocutor respondeu Para o ano 2001 May Linn continuou O valor foi de US 190 286 e o pagador foi a Johnson MicroTech Alguma outra remunera o N o Obrigado ele disse Voc foi muito gentil Em seguida ele tentou tomar provid ncias para ligar para ela sempre que precisasse de informa es e n o tivesse acesso ao seu computador usando novamente o truque favorito dos engenheiros sociais de sempre tentar estabelecer uma conex o para poder voltar mesma pessoa e evitar o aborrecimento de ter de encontrar uma nova v tima todas as vezes N o na pr xima semana ela salientou porque ia para Kentucky para o casamento da irm Qualquer outra poca ela faria o que fosse poss vel Ao desligar o telefone May Linn sentiu se bem por ter podido ajudar um pouco um colega servidor p blico a quem n o davam o devido valor 92 A Arte de Enganar A hist ria de Keith Carter A julgar pelos filmes e romances policias mais vendidos um detetive particular tem pouca t
276. e passar para o Departamento de Transportes Capitulo 2 Quando as Informa es N o S o Inofensivas 19 R Eu n o sei se temos um vou procurar na minha listagem Com quem falo D Aqui Didi R Voc est ligando do pr dio ou D N o eu estou fora do pr dio R Didi de qu D Didi Sands Eu tinha o ramal de Transportes mas esqueci R Um momento Para evitar suspeitas nesse ponto Didi fez uma pergunta casual s para manter a conver sa o com a inten o de estabelecer o fato de que ela estava por dentro e familiarizada com as localiza es da empresa D Em qual pr dio voc est Lakeview ou Main Place R Main Place pausa O n mero 805 555 6469 Para ter um backup caso a liga o para Transportes n o fornecesse aquilo que ela estava procurando Didi disse que ela tamb m queria falar com Im veis A recepcionista deu esse n mero tamb m Quando Didi pediu para ser transferida para Transportes a recepcionis ta tentou mas a linha estava ocupada Nesse ponto Didi pediu um terceiro n mero de telefone o de Contas a Receber o qual estava localizado em um pr dio corporativo em Austin no Texas A recepcionista pediu para ela aguardar um momento e saiu da linha Ela estava consultando a Seguran a dizen do que estava com uma liga o telef nica suspeita e achou que havia algo de estranho De forma alguma responderam e Didi n o teve a menor preocupa o Ela estava fican do meio
277. e pude mas essa foi uma experi ncia muito dolorosa da qual ainda n o me recuperei A minha tia Chickie Leventhal sempre ter um lugar especial em meu cora o Embora tenha se decepcionado com alguns dos erros est pidos que cometi ela nunca me abandonou e sempre me ofe receu seu amor e apoio Sacrifiquei muitas oportunidades de encontrar minha tia meu primo Mitch Leventhal e o namorado da minha tia Dr Robert Berkowitz em nossa celebra o semanal do sab Agrade o tamb m muito ao namorado da minha m e Steven Knittle que deu amor e apoio minha m e por mim 276 A Arte de Enganar O irm o do meu pai tamb m merece meus agradecimentos Pode se dizer que herdei a minha arte da engenharia social do tio Mitchell que sabia como manipular o mundo e as pessoas como jamais esperei entender muito menos praticar Felizmente ele nunca teve a minha paix o pela tecnologia dos computadores durante os anos em que usou a sua personalidade cativante para influenciar quem quisesse Ele sempre ter o titulo de grande mestre da engenharia social Ao escrever estes agradecimentos percebo que tenho muitas pessoas a quem agradecer pelo seu amor amizade e apoio N o vou conseguir me lembrar do nome de todas as pessoas gentis e generosas que conheci nos ltimos anos basta dizer que precisaria de um computador inteiro s para armazenar todos os seus nomes Houve v rias pessoas de todas as partes do mundo que me escreveram palavras de i
278. e solicita a verifica o da identidade e do status de emprego Solicita uma mensagem assinada digitalmente Para um interlocutor conhecido do empregado validado pela voz do interlocutor Verifica com rela o a uma solu o de senha din mica tal como um ID Seguro ou outro dispositivo de autenti ca o segura Exige que o solicitante apare a pessoalmente com um crach de empregado ou outra identifica o Hardware de computador fabricantes de software fornecedores de sistemas de voice mail Fatores que tornam as empresas mais vulner veis aos ataques Um n mero grande de empregados Diversas instala es Informa es sobre o paradeiro dos empregados deixadas nas mensagens de voice mail Informa es de ramal de telefone dispon veis Falta de treinamento em seguran a Falta de sistema de classifica o de dados Nenhum plano ou grupo de resposta aos incidentes de seguran a VERIFICA O E CLASSIFICA O DE DADOS Estas tabelas e gr ficos o ajudam a responder s solicita es de informa es ou a es que podem ser ataques da engenharia social Verifica o de procedimento de identidade A O DESCRI O 268 A Arte de Enganar Procedimento de verifica o de status no trabalho A O DESCRI O Verifica o no diret rio Verifica se o solicitante est relacionado no diret rio de empregados on line Verifica o do gerente Liga o para o gerente
279. e todos os clientes Por exemplo uma empresa de servi os de rede configura as contas privilegiadas em todos os sistemas de seus clientes com a mesma senha e para aumentar o dano com o acesso externo via Telnet 7 5 Autentica o segura para o acesso remoto aos sistemas corporativos Pol tica Todos os pontos de conex o da rede corporativa de localiza es remotas devem estar protegidos com o uso dos dispositivos de autentica o segura tais como as senhas din micas tecno logias one time password ou a biom trica Explica o Observa es Muitas empresas dependem das senhas est ticas como o nico meio de autentica o dos usu rios remotos Essa pr tica e perigosa porque ela insegura os intrusos dos computadores visam qualquer ponto de acesso remoto que possa ser o elo fraco na rede da v tima Lembre se de que voc nunca sabe quando outra pessoa conhece a sua senha Da mesma forma todos os pontos de acesso remotos devem estar protegidos com autentica o segura tal como tokens baseados em tempo cart es inteligentes ou dispositivos de biom trica para que as senhas interceptadas n o tenham nenhum valor para um atacante Quando a autentica o baseada nas senhas din micas n o pr tica os usu rios de computadores devem seguir religiosamente a pol tica para escolher senhas dif ceis de serem adivinhadas 7 6 Configura o do sistema operacional Pol tica Os administradores de sistema devem sempre
280. e ver se poderia conven cer algu m do outro lado do telefone a me fornec las s para melhorar as minhas habilidades Da mesma forma que costumava praticar meus truques de m gica pratiquei a cria o de pretextos Por meio de todos esses ensaios logo descobri que poderia adquirir praticamente quaisquer informa es que desejasse Como descrevi em meu testemunho no Congresso perante os Senadores Lieberman e Thompson anos depois Tive acesso n o autorizado aos sistemas de computadores de algumas das maiores cor pora es do planeta e consegui entrar com sucesso em alguns dos sistemas de computadores mais protegidos que j foram desenvolvidos Usei meios t cnicos e n o t cnicos para obter o c digo fonte de diversos sistemas operacionais e dispositivos de telecomunica es para estudar suas vulnerabilidades e seu funcionamento interno Toda essa atividade visava satisfazer minha pr pria curiosidade ver o que eu poderia fazer e des cobrir informa es secretas sobre os sistemas operacionais telefones celulares e tudo o que chamasse minha aten o LTIMAS ID IAS Reconheci desde a minha pris o que minhas a es eram ilegais e que cometi invas es de privacidade Meus crimes foram motivados pela curiosidade Eu queria saber o m ximo poss vel sobre o modo como funcionavam as redes de telefonia e os pr s e Contras da seguran a de computadores xiv Arte de Enganar Passei de uma crian a que adorava fazer tr
281. ecisarem ser restauradas Isso exige testes regulares de decriptografia de uma amostragem aleat ria de arquivos criptografados para ter certeza de que os dados podem ser recuperados Al m disso as chaves usadas para criptografar os dados devem ser entregues a um gerente de confian a para o caso de se perderem ou serem inutilizadas 7 1 5 Acesso de visitante s conex es de rede Pol tica Todos os pontos de acesso Ethernet p blicos devem estar em uma rede segmentada para evitar o acesso n o autorizado rede interna Explica o Observa es A inten o desta pol tica evitar que as pessoas de fora se conectem rede interna quando estiverem nas instala es da empresa Os conectores Ethernet insta lados nas salas de reuni es no refeit rio nos centros de treinamento ou em outras reas que podem ser acessadas pelos visitantes devem ser filtrados para evitar o acesso n o autorizado de visitantes aos sistemas corporativos de computadores A rede ou o administrador de seguran a podem optar por configurar uma LAN virtual em um comutador se houver um para controlar o acesso quelas localiza es 7 16 Modems de discagem Pol tica Os modems usados para as liga es de discagem devem ser definidos para responder s depois do quarto toque Explica o Observa es Como descrito no filme Jogos de Guerra os hackers usam uma t cnica conhecida como discagem de guerra para localizar as linhas telef nicas que
282. ecretaria Com a pessoa que atendeu usou uma das rotinas agora conhecidas da engenharia social Estou falando do Centro de Computadores estamos fazendo algumas mudan as na configura o da rede e queremos ter certeza de que n o vamos atrapalhar o seu acesso A qual servidor voc est conectado Cap tulo 8 Usando a Simpatia a Culpa e a Intimida o 101 Jarg o TERMINAL BURRO Um terminal que n o cont m seu pr prio microprocessador Os ter minais burros s aceitam comandos simples e exibem caracteres de texto e n meros Como assim servidor a pessoa perguntou A qual computador voc se conecta quando precisa pesquisar informa es acad micas de alunos A resposta foi admin mu edu e deu lhe o nome do computador no qual os registros dos alunos estavam armazenados Essa foi a primeira pe a do quebra cabe a agora ele sabia qual era a sua m quina alvo Digitou aquele URL no computador e n o obteve resposta como era de esperar havia um firewall bloqueando o acesso Assim sendo executou um programa para saber se poderia se conectar a algum dos servi os que s o executados naquele computador e descobriu uma porta aberta com um servi o Telnet em execu o o qual permite que um computador se conecte remotamente a outro e o acesse como se fosse conectado diretamente usando um terminal burro Ele agora s precisava ter acesso ao ID de usu rio padr o e senha Ele fez outra liga o para a secretaria
283. egados ou ex empregados 88 hist rico 259 informa es particulares confidenciais sobre os 246 258 n vel iniciante ataques 155 165 novo s como alvo preferido dos atacantes 50 52 verifica o 215 zangado 177 Consulte tamb m treinamento empregados novos 52 200 201 constante 203 204 discuss es dramatizadas 196 em seguran a de senha 103 estrutura do treinamento 200 201 guardas de seguran a 164 200 lembretes de seguran a uso dos 104 105 suporte substancial 199 teste 203 Consulte tamb m programa empresa de marketing estudo de caso 95 96 encaminhamento de chamadas 115 116 engenharia social alvos comuns 266 267 NDICE 281 ca a talentos uso 18 21 combinando a tecnologia e a 139 154 ndice de sucesso 195 inversa 49 pelos pais 9 uso pelos terroristas 8 Consulte tamb m ataque engenharia social engenheiro s social is fraude pelo 8 g nero dos 33 habilidades de manipula o do 21 hierarquia explora o pelo 42 entrada ilegal 121 127 enumera o 149 escassez tend ncia de cooperar 198 espionagem corporativa ou industrial 54 59 179 192 estranho na cidade estudo de caso 63 65 estranhos coopera o com 59 60 F fax es eletr nico 100 encaminhamento 172 pol tica 252 Federal Bureau of Investigation FBI 26 40 184 ficha de p quer informa es 20 File Transfer Protocol FTP 188 189 firewall 84 131 138 fonte queimar a 16 freq n
284. eito o que ela me pedira Dos discos nos quais gravei os dados imprimi alguns dos arquivos para mostrar as evid ncias para ela Fiz com que ela me encontrasse para pagar o jantar Voc devia ter visto o seu rosto quando encontrou a pilhas de pap is N o acredito ela afirmava N o acredito N o trouxe os discos comigo Eles eram a isca Disse que ela teria de ir peg los esperando que ela talvez quisesse mostrar a sua gratid o pelo favor que havia prestado Recado do Mitnick incr vel como f cil para um engenheiro social convencer as pessoas a fazerem as coisas com base no modo como ele estrutura a solicita o A tese acionar uma res posta autom tica com base nos princ pios psicol gicos e utilizar os atalhos mentais que as pessoas usam quando percebem que o interlocutor um aliado Analisando a trapa a A liga o telef nica de Peter para a empresa de marketing representava a forma mais b sica de enge nharia social uma nica tentativa que precisou de pouca prepara o funcionou na primeira vez e levou apenas alguns minutos Melhor ainda era o fato de que Mary a v tima n o tinha motivo para achar que havia ca do em algum tipo de truque nenhum motivo para fazer um relat rio ou fazer alarde O esquema funcionou porque Peter usou tr s t ticas da engenharia social Em primeiro lugar ele conseguiu a coopera o inicial de Mary gerando o medo fazendo com que ela pensasse que o c
285. eles eram realmente legais Rick foi conversando em particular com cada um deles O rapaz de marketing teve a chance de falar sobre a data de lan amento e dos planos de marketing E puxou um envelope do bolso e escreveu os detalhes dos custos de material e manufatura o ponto de pre o e a margem esperada al m do tipo de acordo que estava tentando fazer com cada um dos fornecedores cujos nomes ele relacionou Cap tulo 14 A Espionagem Industrial 183 Quando terminou a conversa Rick havia trocado id ias com todos que estavam na mesa e havia ganhado admiradores No final da refei o cada um deles cumprimentou Rick e agradeceu Rick trocou cart es com cada um deles e ao passar por Brian o engenheiro disse que queria ter uma dis cuss o mais longa assim que Larry voltasse No dia seguinte Brian atendeu Rick ao telefone Este lhe disse que havia acabado de falar com Larry Vou voltar na segunda feira para discutir alguns detalhes com ele acrescentou Rick ele quer que eu me acostume logo com o seu produto Disse para voc enviar para ele os principais deta lhes e especifica es Ele vai escolher algumas partes e vai mandar para mim por e mail O engenheiro disse que estava tudo bem Bom respondeu Rick Ele continuou Larry falou que est tendo problemas para abrir suas mensagens de correio eletr nico Em vez de enviar as in forma es para a sua conta regular ele criou uma conta de correio eletr nico do Yahoo no
286. em escrita Em particular o par grafo que come ava com Voc recebeu este aviso confusa e inadequada a pessoa respons vel por esses boatos 82 A Arte de Enganar Observa o Por que as pessoas podem registrar nomes de dom nio fraudulentos ou inapropriados Porque na lei atual e na pol tica on line todos podem registrar qualquer nome de site que ainda n o seja usado As empresas tentam combater esse uso da imita o de endere os mas pen se no que enfrentam A General Motors processou uma empresa que registrou f kgeneralmotors com mas sem os asteriscos e apontou o URL para o site Web da General Motors A GM perdeu nunca contrata um profissional para editar o texto e os erros sempre aparecem Da mesma forma algu m que esteja prestando aten o suspeita do fato de a eBay pedir as informa es da PayPal do visitante n o h motivo para a eBay pedir as informa es particulares de um cliente envolvendo uma empresa diferente Uma pessoa com conhecimento da Internet provavelmente reconheceria que o hiperlink se co necta n o ao dom nio da eBay mas sim ao tripod com que um servi o de hospedagem gr tis da Web Essa era uma revela o involunt ria de que o correio eletr nico n o era leg timo Mesmo assim aposto que muitas pessoas inseriram suas informa es nessa p gina incluindo um n mero de cart o de cr dito Esteja atento Como usu rios individuais da Internet todos precisamos estar atento
287. engenheiro social n o convence o seu alvo a atender uma exig ncia ele sempre tenta outra pessoa Ao relatar uma liga o ou um evento suspeito um empre gado toma a primeira etapa para alertar a empresa de que um ataque pode estar a caminho Assim sendo os empregados individuais s o a linha de frente na defesa contra os ataques da engenharia social 9 2 Documentando as liga es suspeitas Pol tica No caso de uma liga o telef nica suspeita que parece ser um ataque de engenharia social o empregado deve na medida do poss vel conversar com o interlocutor para saber dos deta lhes que possam revelar o que o atacante est tentando conseguir e tomar notas desses detalhes para depois fazer um relat rio Explica o Observa es Quando reportados ao grupo de relat rio de incidentes tais de talhes podem ajud los a detectar o objeto ou padr o de um ataque 244 A Arte de Enganar 9 3 Divulga o dos n meros de discagem Pol tica Os funcion rios da empresa n o devem divulgar os n meros de telefone de modem da empresa mas sempre devem encaminhar tais solicita es para o help desk ou pessoal do suporte t cnico Explica o Observa es Os n meros de telefone de discagem devem ser tratados como in forma es Internas e s devem ser fornecidos a empregados que tenham necessidade de ter essas informa es para executar seu trabalho Os engenheiros sociais geralmente visam os empregados ou departam
288. enheiros sociais aprenderam a aproveitar A segunda arma psicol gica do atacante entrou em a o quando ele observou o esfor o incomum que a recepcionista estava fazendo Fazendo v rias coisas ao mesmo tempo ela n o se atrapalhou mas conseguiu fazer com que todos se sentissem bem atendidos Ele interpretou isso como um sinal de algu m que est interessado em avan ar e melhorar Em seguida quando disse que trabalhava no departamento de Marketing ele observou a sua rea o procurando pistas que indicassem que ele estava estabelecendo uma identifica o com ela E ele estava Para o atacante isso se traduzia em algu m que poderia ser manipulado com uma promessa de tentar ajud la a conseguir um trabalho melhor Obviamente se ela quisesse trabalhar no departamento Cont bil ele diria que teria contatos e poderia conseguir um trabalho para ela naquele departamento Os invasores tamb m gostam de outra arma psicol gica que usada nesta hist ria a cria o da confian a com um ataque em dois est gios Primeiro ele usou aquela conversa sobre o trabalho em Marketing e tamb m usou a t cnica do namedropping dar o nome de outro empregado uma pessoa real que por acaso tinha o mesmo nome que ele usou Recado do Mitnick A permiss o para que um estranho entre em uma rea onde pode conectar um laptop na rede corporativa aumenta o risco de um incidente de seguran a perfeitamente razo vel deixar que um empregado pa
289. enho estado t o distra do ultimamente deixei o arquivo em casa e nunca vou chegar l e voltar a tempo Posso usar as suas c pias claro sem problemas Vou fazer as c pias voc pode vir peg las Isso muito bom Mas ou a estou no outro lado da cidade Voc poderia me enviar as c pias por fax Isso criava um pequeno problema mas ele podia ser contornado N o lemos um fax aqui em Registros ela retrucou Mas eles t m um na Secretaria e talvez me deixem us lo Ele disse Eu vou ligar para l e verificar isso A senhora da Secretaria disse que poderia cuidar disso mas queria saber Quem iria pagar Ela precisava de um c digo cont bil Vou conseguir o c digo e ligo de volta ele disse a ela Em seguida ele ligou para o escrit rio do promotor novamente identificou se como um policial e simplesmente perguntou recepcionista Qual e o c digo cont bil do escrit rio do promotor Ela respondeu sem hesitar A liga o de volta para o escrit rio da Secretaria para fornecer o n mero cont bil deu lhe a desculpa para se aproveitar um pouco mais da situa o ele convenceu a senhora a subir as escadas e pegar as c pias dos documentos a serem enviados por fax Cobrindo os rastros Arturo ainda tinha umas etapas a serem cumpridas Sempre havia a possibilidade de que algu m achasse algo estranho e ele poderia chegar na copiadora e encontrar alguns detetives paisana e tentando parecer ocupad
290. entos que podem proteger menos as informa es solicitadas Por exemplo o atacante pode ligar para o departamento de contas a pagar fazendo se passar por um empregado da empresa de telefonia que est tentando resolver um problema com uma fatura Em seguida pede alguns n meros de fax ou discagem conhecidos para resolver o problema O intruso quase sempre visa um empregado que n o tem chances de perceber o perigo de liberar tais informa es ou que n o tem o treinamento com rela o pol tica e aos proce dimentos de divulga o da empresa 9 4 Crach s de identifica o da empresa Pol tica Exceto quando estiver na rea pr xima ao escrit rio todo funcion rio da empresa in cluindo a gerencia e a equipe executiva deve usar seus crach s de empregado durante todo o tempo Explica o Observa es Todos os funcion rios incluindo os executivos corporativos devem ser treinados e motivados para entender que o uso de um crach de identifica o obrigat rio em qualquer lugar das instala es da empresa que n o sejam reas p blicas e o pr prio escrit rio ou grupo de trabalho da pessoa 9 5 Desafiando os que n o usam crach de identifica o Pol tica Todos os empregados devem questionar imediatamente qualquer pessoa desconheci da que n o esteja usando um crach de empregado ou visitante Explica o Observa es Embora nenhuma empresa queira criar uma cultura na qual os empregados fiquem procurand
291. entro de seus departamentos quando solicitam suporte tal como a redefini o de senhas ou outras quest es relacionadas com contas Em parte os ataques da engenharia social s o bem sucedidos porque o pessoal do suporte t cnico sofre press es de tempo e n o verifica a identidade dos solicitantes Em geral a equipe de suporte n o pode reconhecer pessoalmente todo o pessoal autorizado devido ao n mero de empregados das organiza es maiores Ter um empregado respons vel pela identifica o em cada departamento limita o n mero de empregados que a equipe de suporte t cnica precisa conhecer pessoalmente para fins de verifica o 4 14 Senhas de cliente Pol tica Os representantes do servi o ao cliente n o devem poder recuperar as senhas de conta dos clientes Explica o Observa es Os engenheiros sociais freq entemente ligam para os departa mentos de servi o ao cliente e com algum pretexto tentam obter as informa es de autentica o de um cliente tal como a senha ou o n mero do seguro social Com essas informa es o engenheiro social pode ligar para outro representante do servi o fingir que o cliente e obter as informa es ou fazer pedidos fraudulentos Para evitar que essas tentativas sejam bem sucedidas o software do servi o ao cliente deve ser criado para que os representantes s possam digitar as informa es de autentica o fornecidas pelo interlocutor e recebam uma resposta do sistema indic
292. entro e voc est fora Use o LOCK 11 O an ncio sugeria que o produto era prova de hackers E ele seria exibido na confer ncia Eu estava ansioso para ver o produto Um colega e amigo do col gio Vinny meu parceiro de hacking durante v rios anos e que se tornou mais tarde um informante dos federais contra mim com partilhava do meu interesse no novo produto da DEC e me incentivou a ir confer ncia com ele Dinheiro on line Chegamos l e encontramos um grande movimento das pessoas que estavam na feira ao redor do LOCK 11 Parece que os desenvolvedores estavam apostando dinheiro on line para ver quem conse guia quebrar a seguran a do produto Esse parecia um desafio ao qual eu n o poderia resistir Fomos direto ao stand do LOCK 11 e encontramos os tr s desenvolvedores do produto Eu os reconheci e eles me reconheceram mesmo adolescente eu j tinha fama de phreaker e hacker por causa de um artigo que o LA Times havia publicado sobre meu primeiro contato juvenil com as autoridades O artigo relatava que eu havia entrado no pr dio da Pacific Telephone no meio da noite e tirado manuais de computadores bem debaixo do nariz dos guardas de seguran a Parece que o Times queria criar uma hist ria sensacionalista e a publica o do meu nome servia para isso como eu era ainda um adolescente o artigo violou a pr tica sen o a lei de n o divulga o dos nomes dos menores acusados de infra es Quando Vinny e eu chegam
293. er designado com base na necessidade de proteger as informa es reavalia periodicamente o n vel de classifica o designado e trata das altera es necess rias O Propriet rio das Informa es tamb m pode delegar a responsabilidade de proteger os dados a um Custodiante ou Representante Categorias e defini es das classifica es As informa es devem ser separadas em diversos n veis de classifica o com base na sua confiden cialidade Ap s determinado sistema de classifica o estar configurado a reclassifica o das infor ma es em novas categorias um processo caro e demorado Na nossa pol tica de exemplo escolhi quatro n veis de classifica o o que apropriado para a maioria das empresas de m dio a grande porte Dependendo do n mero e dos tipos de informa es confidenciais as empresas podem optar por Cap tulo 16 Recomenda es de Pol ticas de Seguran a das Informa es Corporativas 211 incluir mais categorias para controlar mais ainda os tipos espec ficos de informa es Nas empresas menores um esquema de classifica o em tr s n veis pode ser suficiente Lembre se de que quanto mais complexa for a classifica o maiores ser o as despesas com o treinamento dos empregados e a implanta o do sistema Confidencial Esta categoria de informa es a mais confidencial As informa es confidenciais s s o usadas dentro da organiza o Na maioria dos casos elas s devem ser compartil
294. er as principais perguntas entre aquelas mais inocentes Ele sabia que uma pergunta pessoal testaria a disposi o da segunda funcion ria em cooperar antes de pedir inocentemente o n mero do ID de Comerciante O erro do primeiro funcion rio ao confirmar a terminologia para o n mero do ID do CreditChex foi um erro quase imposs vel de ser evitado As informa es s o t o conhecidas dentro da ind stria banc ria que elas parecem n o ter import ncia o pr prio modelo da inoc ncia Mas a segunda funcion ria Chris n o deveria ter sido t o disposta a responder perguntas sem verificar se o interlo cutor era de fato quem dizia ser Ela deveria pelo menos ter anotado seu nome e n mero e ter ligado novamente Dessa forma se mais tarde surgisse alguma d vida ela teria um registro do n mero do telefone usado pela pessoa Neste caso uma liga o como essa tomaria muito mais dif cil para o atacante disfar ar se de representante do CreditChex Teria sido melhor ainda ligar para o CreditChex usando um n mero que o banco j tinha em seus registros n o um n mero fornecido pelo interlocutor para verificar se a pessoa realmente traba lhava l e se a empresa eslava realmente fazendo uma pesquisa com os clientes Dados os detalhes pr ticos do mundo real e as press es de tempo sob as quais a maioria das pessoas trabalha hoje em dia seria muito esperar esse tipo de liga o telef nica de verifica o exceto quando um empregad
295. er um sus peito e querem saber como ele 116 A Arte de Enganar claro deixe me pegar a ficha Eric respondia Detetive Cole qual o seu distrito Jefferson County Em seguida Eric fazia as perguntas mais importantes Detetive qual o seu c digo de solicitante Qual o n mero da sua carteira de motorista Qual sua data da nascimento O interlocutor dava as suas informa es de identifica o pessoal Eric fingia estar verificando as informa es e depois dizia que as informa es de identifica o haviam sido confirmadas e pedia os detalhes sobre aquilo que o interlocutor queria do Departamento de Tr nsito Ele fingia come ar pro curando o nome o interlocutor o ouvia digitando e em seguida dizendo algo do tipo Ah droga meu computador deu pane novamente Desculpe detetive mas o meu computador est com problemas a semana toda Voc poderia ligar novamente e pedir para outro operador ajud lo Dessa forma encerrava a liga o sem levantar nenhuma suspeita sobre o motivo pelo qual ele n o p de ajudar o oficial e atender sua solicita o Nesse meio tempo Eric j tinha uma identidade roubada os detalhes com os quais podia obter as informa es confidenciais do Departamento de Tr nsito sempre que precisasse Ap s atender as liga es durante algumas horas e obter dezenas de c digos de solicitante Eric discava para a central telef nica e desativava o encaminhamento de chamadas
296. eres amplos Isso d ao atacante uma aura de autoridade Um ponto interessante os engenheiros sociais parecem saber como fazer as solicita es para que quase ningu m pense Por que voc est ligando para mim mesmo quando logicamente faria mais sentido se a liga o tivesse sido encaminhada para outra pessoa em algum departamento diferente Talvez ajudar algu m apenas represente uma quebra na monotonia di ria e a v tima d um desconto para o fato de a liga o parecer incomum Finalmente o atacante desse incidente n o satisfeito em obter as informa es apenas para o caso do momento queria estabelecer um contato que pudesse usar regularmente Ele tamb m poderia ter 94 A Arte de Enganar usado um truque comum no ataque pela simpatia Derrubei caf no meu teclado Isso n o serviria aqui por m porque um teclado pode ser trocado em um dia Por esse motivo ele usou a hist ria de outra pessoa que estava usando o seu computador o que poderia durar semanas Sim achei que ele teria o seu pr prio computador ontem mas veio um e outro funcion rio fez algum tipo de acordo e conseguiu ficar com ele Assim sendo esse chato ainda est aqui na minha sala E assim por diante Coitadinho de mim preciso de ajuda E preciso fazer um pouco de charme UMA LIGA O SIMPLES Uma das principais preocupa es de um atacante fazer a sua solicita o parecer razo vel algo t pico das solicita es que surgem no di
297. erguntando se n o arriscado ligar para um departamento de pol cia o escrit rio de um delegado ou o escrit rio da guarda rodovi ria O atacante n o corre um risco imenso A resposta n o e por um motivo espec fico As pessoas do departamento de pol cia assim como os militares t m incutido nelas desde o seu primeiro dia na academia de pol cia o respeito pela hierar quia Desde que o engenheiro social esteja se fazendo passar por um sargento ou tenente uma hie rarquia mais alta do que aquela da pessoa com quem ele fala a v tima ser governada pela li o bem aprendida que diz que voc n o questiona as pessoas com uma patente mais alta do que a sua Jarg o SOSH G ria da pol cia para o n mero do seguro social 42 A Arte de Enganar A patente em outras palavras tem seus privil gios particularmente o privil gio de n o ser desafiado pelas pessoas que est o abaixo na hierarquia Mas n o pense que os policiais e os militares s o os nicos que podem ter esse respeito pela hierarquia explorado pelo engenheiro social Eles quase sempre usam a autoridade ou patente da hie rarquia corporativa como uma arma em seus ataques aos neg cios como demonstram v rias das hist rias deste livro EVITANDO A TRAPA A Quais s o algumas das etapas que a sua organiza o pode tomar para reduzir a probabilidade de que os engenheiros sociais aproveitem o instinto natural dos seus empregados de confiar nas pes
298. ero de discagem externa do servidor da Engenharia Liguei novamente para a GeminiMed e pedi a telefonista para falar com o Departamento de TI Para o fun cion rio que atendeu pedi para falar com algu m que pudesse me dar ajuda com computadores Ele me transferiu e fingi me confundir e ser meio est pido com qualquer coisa t cnica Estou em casa acabei de comprar um laptop novo e preciso configur lo para poder discar de fora O procedimento era bvio mas deixei pacientemente que ele me instru sse at que eu conseguis se o n mero de discagem Ele me deu o n mero como mais uma informa o de rotina Em seguida pedi para ele esperar e experimentei Perfeito Agora eu j havia superado o problema de me conectar rede Disquei e descobri que eles esta vam configurados com um servidor de terminal que permitia me conectar a qualquer computador da sua rede interna Ap s muitas tentativas encontrei o computador de algu m que tinha uma conta de convidado que n o exigia senha Alguns sistemas operacionais quando s o instalados pela primeira vez orientam o usu rio para configurar um ID e uma senha mas tamb m fornecem uma conta de convidado O usu rio deve definir sua pr pria senha para a conta de convidado ou desativ la mas a maioria das pessoas n o sabe disso ou n o quer saber Esse sistema provavelmente acabara de ser configurado e o propriet rio n o tinha se dado ao trabalho de desativar a conta de convidado Gra as
299. es na verdade eles est o protegendo tamb m as suas pr prias informa es Um programa de treinamento em seguran a requer um suporte substancial O esfor o de trei namento precisa atingir cada pessoa que tem acesso a informa es confidenciais ou aos sistemas corporativos de computadores deve ser cont nuo e ser sempre revisado para atualizar o pessoal sobre as novas amea as e vulnerabilidades Os empregados devem ver que a dire o est totalmente comprometida com o programa Esse comprometimento deve ser real e n o apenas um memorando com um carimbo que diz N s dizemos am m E o programa deve ser fundamentado por recursos suficientes para desenvolver comunicar testar e medir o sucesso Objetivos A orienta o b sica que deve ser lembrada durante o desenvolvimento de um programa de treina mento e conscientiza o em seguran a que o programa precisa se concentrar em criar em todos os empregados a consci ncia de que a sua empresa pode ser atacada a qualquer momento Eles devem aprender que cada empregado tem um papel na defesa contra qualquer tentativa de entrar nos sistemas de computadores ou de roubar dados confidenciais Como muitos aspectos da seguran a das informa es envolvem a tecnologia muito f cil para os empregados acharem que o problema est sendo tratado por firewalls e por outras tecnologias de seguran a Um dos objetivos principais do treinamento deve ser a cria o em cada empregado da cons c
300. esliguei eu j tinha o nome do chefe E ele tamb m havia educadamente deixado o seu ramal no voice mail Provavelmente eu poderia passar pelo guarda da recep o sem esfor o mas eu j havia passado por aquela f brica e acho que me lembrava de que havia uma cerca ao redor do estacionamento Uma cerca significa um guarda que verifica a sua identidade quando voc tenta entrar de carro Naquela noite eles poderiam estar tomando nota dos n meros das placas dos carros tamb m e eu teria de comprar uma placa antiga em um ferro velho Mas primeiro eu teria de obter o n mero de telefone da guarita do guarda Esperei um pouco para que a telefonista n o reconhecesse a minha voz Depois de algum tempo liguei e disse Temos uma reclama o de que o telefone da guarita do guarda em Ridge Road apresenta problemas intermitentes eles ainda est o com problemas Ela afirmou que n o sabia mas ia fazer a liga o para mim 124 A Arte de Enganar O seguran a respondeu Port o de Ridge Road aqui Ryan Eu comecei Ol Ryan aqui o Ben Voc est tendo problemas com os seus telefones a Ele apenas um guarda de segu ran a com um sal rio baixo mas acho que ele foi bem treinado porque disse imediatamente Ben de qu Qual o seu sobrenome Continuei como se n o tivesse ouvido Algu m reportou um problema antes Eu o ouvi segurando o telefone longe do rosto e gritando Hei Bruce Roger houve algum pro blema co
301. esso rede de computadores para um estranho Mas quando o estranho um inteligente engenheiro social disfar a do como um til vendedor de software os resultados podem n o ser aquilo que voc espera Uma liga o til O interlocutor queria saber Quem o encarregado dos computadores a e a telefonista o transferiu para o funcion rio do suporte t cnico Paul Ahearn O interlocutor identificou se Edward da Seer Ware o fabricante do seu banco de dados Apa rentemente v rios dos nossos clientes n o receberam o e mail sobre a atualiza o de emerg ncia Estamos ligando para alguns para fazer uma verifica o do controle de qualidade e saber se houve algum problema com a instala o do patch Voc s j instalaram a atualiza o Paul disse que tinha certeza de que n o viu nada parecido Edward disse Bem isso causaria perdas intermitentes e catastr ficas de dados e portanto re comendamos que voc o instale assim que poss vel Paul disse que isso era algo que ele certamente faria Muito bem respondeu o interlocutor Podemos enviar um CD com o patch e quero lhe dizer que isso realmente cr tico duas empresas j perderam diversos dias de dados Assim sendo voc realmente deve instalar esse patch assim que ele chegar antes que isso aconte a na sua empresa tamb m N o posso fazer o download do seu site Web Paul perguntou Ele deve estar dispon vel em breve a equipe t cnica est apag
302. esso de discagem divulgando 56 ANI identifica o de n mero autom tica 69 178 de cabo e par 88 de central de telefone 114 116 do escrit rio de Nome e Endere o de Clientes 66 67 IDde chamada s 167 170 178 internos divulgando 19 22 23 251 261 262 Lista de N meros de Teste 27 loop around 27 n o relacionados obtendo 26 programar a central 168 169 pesquisa inversa 25 ramais de restritos 223 verifica o de linha VL 88 voice mail 123 n meros de cabo e par 88 n meros de cart o es de cr dito 34 37 42 o obscuridade seguran a atrav s da 66 67 Oracle Corporation 127 128 organogramas 245 246 P pais engenharia social pelos 9 pa ses uso de e mails de 163 Particular classifica o de dados 211 254 269 patch 132 157 158 PayPal 78 79 80 81 perguntas prevendo as 34 personifica o como policiais 115 116 pesquisa inversa 25 Pessoa de Confian a 212 Pessoa N o Verificada 212 pessoal da limpeza treinamento de seguran a do 153 154 phreaker s 27 33 67 policia estudo de caso 97 100 pol tica de administra o de computadores 233 241 pol tica de seguran a 22 administra o de computadores 233 241 administra o de telefone 221 223 classifica o de dados 23 210 212 217 defini o 208 desenvolvimento etapas para o 208 209 divulga o das informa es 217 221 empregado 243 256 geral 243 gerenciamento 216 229 grupo respons vel pe
303. est es de seguran a da empresa e deve trabalhar com o pessoal da seguran a para configu rar o sistema de telefones para proteger os dados Sigilosos 3 8 Recurso de rastreamento de chamadas Pol tica Dependendo das limita es do provedor de comunica es o recurso de rastreamento de chamadas ser ativado globalmente para permitir que os empregados ativem esse recurso quando suspeitarem que o interlocutor um atacante Cap tulo 16 Recomenda es de Pol ticas de Seguran a das Informa es Corporativas 223 Explica o Observa es Os empregados devem ser treinados no uso do rastreamento de chamadas e nas circunst ncias apropriadas em que ele deve ser usado Isso pode ser feito quando o interlocutor est tentando um acesso n o autorizado aos sistemas corporativos de computadores ou est solicitando informa es Sigilosas Sempre que um empregado ativa o recurso de rastreamento de chamada uma notifica o imediata deve ser enviada para o Grupo de Relat rio de Incidentes 3 9 Sistemas automatizados de telefones Pol tica Se a empresa usa um sistema de resposta automatizada de telefone o sistema deve ser programado para que os ramais de telefone n o sejam anunciados quando se transfere uma liga o para um empregado ou departamento Explica o Observa es Os atacantes podem usar o sistema automatizado de telefones de uma empresa para mapear os nomes e as extens es dos empregados Em seguida podem usar o c
304. estamos todos nisso juntos v se facilita para mim cara isso que voc espera que a v tima esteja pensando em um momento como esse E ele seguiu o script direitinho Ele aceitou uma das op es que ofereci dei a resposta certa ele enviou o fax do cart o de assinaturas Eu j estava quase l Mais uma liga o me deu o n mero 800 que os clientes usam para o servi o automatizado no qual uma voz eletr nica l as informa es que voc pede Com o cart o de assinatu ras eu tinha todos os n meros de contas do meu alvo e seus n meros de identifica o porque aquele banco usava os cinco primeiros ou os quatro ltimos d gitos do n mero do seguro social De canela em punho liguei para o n mero 800 e ap s alguns minutos apertando bot es tinha o saldo mais recente em todas as quatro contas do indiv duo e s por medida de seguran a os seus dep sitos mais re centes e as retiradas feitas sobre cada um deles Tudo aquilo que o meu cliente havia pedido e mais Sempre gosto de fornecer um extra para os clientes Isso os mant m felizes Afinal de contas s o os neg cios repetidos que mant m uma opera o em funcionamento certo Analisando a trapa a O segredo de todo esse epis dio foi a obten o dos importantes c digos do dia e para fazer isso o atacante Vince usou diversas t cnicas diferentes Ele come ou com um pouco de queda de bra o verbal quando Louis relutou em dar lhe um c digo Louis estav
305. eto do computador de Tom atrav s de uma aplica o cliente repleta de shells de comandos remotos Quando Bobby acessava o computador de Tom ele podia procurar os arquivos da contabilidade que lhe interessavam e podia copi los Em seguida quando quisesse ele poderia examin los para obter as informa es que dariam a seus clien tes aquilo que eles estavam procurando E isso n o era tudo Ele poderia voltar a qualquer momento para pesquisar as mensagens de correio eletr nico e os memorandos particulares dos executivos da empresa poderia executar uma pesquisa de texto com as palavras que revelariam partes interessantes da informa o Naquela noite depois de enganar o seu alvo para que ele instalasse um Cavalo de Tr ia Bobby jogou o telefone celular em uma lata de lixo Obviamente ele teve o cuidado de limpar primeiro a mem ria e tirar a bateria a ltima coisa que ele queria era que algu m ligasse para o n mero do celular por engano e fizesse o telefone tocar Analisando a trapa a O atacante cria uma teia para convencer o alvo de que ele tem um problema que na verdade n o existe ou como neste caso de um problema que ainda n o aconteceu mas que o atacante sabe que aconte cer porque ele vai caus lo Em seguida ele se apresenta como a pessoa que pode fornecer a solu o O cen rio desse tipo de ataque particularmente suculento para o atacante Devido semente plantada com anteced ncia quando o alv
306. eu apenas para o caso de algu m mais tarde vier fazer perguntas Os engenheiros sociais sabem que cuidado nunca demais Dessa forma Arturo n o leve nem de pagar taxas na primeira copiadora pelo recebimento do fax nem o seu envio para a segunda loja E se a pol cia aparecesse na primeira loja Arturo j teria o seu fax e estaria longe quando conseguissem enviar algu m para a segunda localiza o O final da hist ria a declara o e o mandado mostravam que a pol cia tinha evidencias bem documentadas das atividades de c pia de filmes de Arturo Era isso o que ele precisava saber meia noite j havia cruzado a fronteira do estado Arturo estava a caminho de uma vida nova em algum outro lugar com uma nova identidade pronto para recome ar sua campanha Analisando a trapa a As pessoas que trabalham nos escrit rios de promotoria distritais est o sempre em contato com poli ciais respondendo perguntas tomando provid ncias anotando recados Qualquer pessoa que tenha sangue frio suficiente para ligar e alegar ser um policial representante do delegado ou outra coisa tem credibilidade A menos que fique bvio que a pessoa n o conhece a terminologia que ela est nervosa ou que n o pare a autentica de alguma outra maneira ela nem dever apresentar provas de sua identidade Foi exatamente isso que aconteceu aqui com dois funcion rios diferentes Recado do Mitnick A verdade que ningu m est imune contra ser
307. falo a pessoa que atendeu o telefone parecia ser um caixa Aqui Tim Ackerman eu disse Qualquer nome servia ele n o ia anotar o nome mesmo Qual o n mero da sua filial O n mero do telefone ou o n mero da filiai ele quis saber o que parecia est pido porque eu havia acabado de discar para o n mero de telefone n o havia O n mero da filial 3182 ele respondeu Simples assim Sem perguntas do tipo Para que voc quer saber ou algo parecido Porque essas n o s o informa es confidenciais elas est o escritas em quase todos os documentos que se usam Etapa dois ligar para a filial onde o meu alvo fazia suas transa es banc rias obter o nome de um de seus funcion rios e descobrir quando a pessoa estaria em hora de almo o Angela Ela sai s I2h30 At aqui tudo bem Etapa tr s ligar de volta para a mesma filial durante o hor rio de almo o de Angela dizer que estou ligando do n mero de filial tal em Boston que Angela precisa que eu envie essas informa es e que eles me d em o c digo do dia Essa a parte mais complicada Se eu estivesse fazendo um teste para ser um engenheiro social colocaria algo desse tipo no teste um lugar onde a v tima come asse a suspeitar e com bons motivos e voc ainda teria de ficar l at dobr la e obter as informa es necess rias Voc n o pode fazer isso recitando linhas de um script ou rotina de aprendizado voc precisa ler a sua
308. feito Na noite seguinte alguns minutos antes das 20h Ned estacionou do outro lado da rua em frente ao estacionamento Como esperava o estacionamento estava vazio exceto pelo caminh o da empresa de servi os de limpeza Ned colocou o ouvido na porta e ouviu o aspirador de p funcionando Ele bateu na porta com for a e ficou esperando em seu terno e gravata e segurando a pasta Nenhuma resposta mas ele era paciente Ele bateu novamente Um homem do pessoal da limpeza finalmente apareceu Oi Ned gritou pela porta de vidro mostrando o cart o de visitas de um dos s cios que ele havia pego algum tempo antes Tranquei as minhas chaves no carro e preciso ir at a minha mesa O homem abriu a porta trancou a novamente depois que Ned entrou e passou pelo corredor acendendo as luzes para que Ned pudesse ver aonde estava indo E por que n o ele estava sendo gentil com uma das pessoas que o ajudava a colocar comida na mesa Ou pelo menos ele tinha todos os motivos para pensar isso Ned sentou se no computador de um dos s cios e o ligou Enquanto o computador inicializava ele instalou o pequeno dispositivo na porta USB do computador um dispositivo suficientemente pe queno para ser transportado em um chaveiro mas capaz de conter mais de 120 megabytes de dados Ele se conectou rede usando o nome de usu rio e a senha da secret ria do s cio os quais estavam convenientemente escritos em uma anota o colada na tela Em menos de
309. ficarmos muito bons nos cadeados comuns que se compram nas lojas de ferragens Certa vez me diverti encontrando algu m que usava dois cadeados como uma medida extra de prote o Eu troquei os cadeados de lugar o que irritaria e frustraria o propriet rio quando ele tentasse abrir cada um deles com a chave errada No recinto de exposi es eu continuava distraindo a mulher enquanto Vinny se esgueirava na parte de tr s do stand para n o ser visto e pegava o cadeado do gabinete que abrigava o seu mini computador PDP 11 e os terminais dos cabos Dizer que o gabinete estava trancado era quase piada Ele estava fechado com aqueles cadeados chamados de cadeado de biscoito evidentemente f ceis de abrir at mesmo para arrombadores amadores como n s Vinny precisou de apenas um minuto para abrir o cadeado Dentro do gabinete ele encontrou o que havia previsto a fila de portas para conectar os terminais de usu rios e uma porta para aquele que era chamado de terminal da console Esse era o terminal usado pelo operador do computador ou ad ministrador do sistema para controlar todos os computadores Vinny conectou o cabo que ia da porta da console at um dos terminais da feira Isso significava que esse terminal agora era reconhecido como o terminal da console Eu me sentei na m quina com os cabos novos e me conectei usando uma senha que os desenvolvedores haviam fornecido Como o software LOCK 11 agora identificava que eu estava me conectando
310. final do dia e se eu n o tiver a lista talvez n o tenha este emprego por muito tempo Voc estaria disposto a ajudar um rapaz com problemas Ajudar as pessoas era algo que fazia parte do trabalho desse administrador de banco de dados portanto ele teve muita paci ncia ao falar com Michael e explicar o passo a passo do processo Quando desligaram Michael tinha feito o download de toda a lista dos formandos em ci ncia da computa o para aqueles anos Em alguns minutos executou uma pesquisa localizou dois Michael Parkers escolheu um deles e obteve o n mero do seguro social da v tima bem como outras informa es pertinentes que estavam armazenadas no banco de dados Ele havia acabado de se tornar Michael Parker bacharel em Ci ncia da Computa o formado com louvor em 1998 Analisando a trapa a Esse ataque usou um truque do qual j falei antes o atacante pedindo ao administrador de banco de dados de uma organiza o para orient lo nas etapas para a execu o de um processo de computador que ele n o sabia como executar Uma virada poderosa e efetiva de mesa equivalente a pedir ao dono de uma loja para ajud lo a transportar uma caixa contendo itens que voc acabou de roubar das pra teleiras e coloc la no seu carro Recado do Mitnick Os usu rios de computadores s vezes n o t m a menor pista das amea as e vulne rabilidades associadas engenharia social que existem no mundo da tecnologia Eles t m a
311. g ncia Nacional de Seguran a e pedindo ao telefonista o n mero de um ramal 19 2 N meros de telefone para departamentos grupos espec ficos Pol tica Os empregados n o devem fornecer n meros diretos de telefone do help desk da em presa do departamento de telecomunica es de opera es de computadores ou do pessoal da admi nistra o de sistemas sem antes verificar se o solicitante tem uma necessidade leg tima de entrar em contato com esses grupos Ao transferir a liga o para esses grupos o recepcionista deve anunciar o nome de quem est ligando Explica o Observa es Embora algumas organiza es achem esta pol tica restritiva esta regra torna ainda mais dif cil para um engenheiro social disfar ar se de empregado e fazer os ou tros empregados transferirem a liga o de seus ramais o que em alguns sistemas de telefone faz com que a liga o pare a se originar de dentro da empresa ou demonstrar conhecimento desses ramais para a v tima a fim de criar uma id ia de autenticidade 19 3 Retransmitindo informa es Pol tica Os operadores de telefone e recepcionistas n o devem anotar recados ou passar mensagens por parte de qualquer pessoa que n o seja conhecida pessoalmente como um empregado Explica o Observa es Os engenheiros sociais gostam de enganar os empregados para que eles endossem sem querer a sua identidade Um truque da engenharia social obter o n mero de telefone da recepcionista
312. gado des respeitar uma pol tica de seguran a Cada empresa tamb m precisa ter pol ticas e procedimentos que orientem os empregados para responder s solicita es para executar alguma a o com computadores ou equipamento re lacionado com computador Na hist ria sobre a editora o engenheiro social visava um empregado novo que n o havia sido treinado nas pol ticas e procedimentos de seguran a da informa o Para evitar esse tipo de ataque cada empregado novo ou experiente deve ser instru do para seguir uma regra simples N o usar nenhum sistema de computador para executar uma a o solicitada por um estranho Lembre se de que todo empregado que tenha acesso f sico ou eletr nico a um computador ou componente de um equipamento relacionado com computador est sujeito a ser manipulado para executar alguma a o maliciosa por parte de um atacante Os empregados e particularmente o pessoal de TI precisam entender que permitir o acesso de um estranho s suas redes de computadores como dar o n mero da sua conta banc ria para um operador de telemarketing ou como dar o seu cart o com o n mero de telefone para um estranho que est na cadeia Os empregados devem prestar muita aten o ao fato de a execu o de uma soli cita o levar divulga o de informa es confidenciais ou comprometer o sistema corporativo de computadores O pessoal de TI tamb m deve estar prevenido contra interlocutores desconhecidos que se
313. gar da letra L min scula H um n mero suficiente de pessoas que aceitam os erros de digita o e outros probleminhas que tornam esse truque cada vez mais usado pelos bandidos dos cart es de cr dito Quando as pessoas entram em um site falso ele se parece com o site que elas esperam ver e inserem as informa es do seu cart o de cr dito Para criar um desses golpes um atacante s precisa registrar o nome do dom nio falso enviar as mensagens de correio eletr nico e aguardar que os trouxas apare am prontos para serem enganados Na metade do ano de 2002 recebi uma mensagem de correio eletr nico aparentemente como par te de uma mala direta que era marcada como sendo da Ebay ebay com A mensagem mostrada na Figura 7 1 As v timas que clicaram no link foram para uma p gina da Web muito parecida com uma p gina da eBay Na verdade a p gina era bem feita com o logotipo eBay aut ntico e com os links Browse Sell e outros links de navega o os quais quando clicados levavam o visitante ao site real da eBay Havia tamb m um logotipo de seguran a no canto direito inferior Para distrair a v tima experiente o criador usou at mesmo a criptografia HTML para mascarar o lugar onde iam as informa es for necidas pelo usu rio Esse foi um exemplo excelente de um ataque malicioso da engenharia social baseado em compu tador Mesmo assim ele ainda tinha v rias falhas A mensagem de correio eletr nico n o estava b
314. gramasse um n mero que eu escolhia para aparecer no ID de chamadas s vezes pedia para ele fazer com que a liga o parecesse vir do escrit rio da assistente de David ou talvez da empresa propriet ria da esta o O meu n mero preferido era o telefone da casa de David o qual ele atendia sempre Entretanto preciso dar um cr dito a ele que sempre tinha um timo senso de humor quando atendia ao telefone 170 A Arte de Enganar e descobria que eu o havia enganado mais uma vez A melhor parte era que ele ficava na linha o sufi ciente para descobrir o que eu queria e resolvia o assunto Quando demonstrei esse pequeno truque no Art Bell Show fiz com que o meu ID de chamadas exibisse o nome e o n mero da sede em Los Angeles do FBI Art ficou chocado com toda a coisa e me advertiu que eu n o poderia fazer algo ilegal Mas eu disse que isso era perfeitamente legal desde que n o tentasse cometer nenhuma fraude Ap s o programa recebi v rias centenas de e mails pedindo para explicar como eu o havia feito Agora voc vai saber Esta a ferramenta perfeita para criar credibilidade para o engenheiro social Se por exemplo durante o est gio de pesquisa do ciclo de ataques da engenharia social for descoberto que o alvo tem um ID de chamadas o atacante pode colocar seu pr prio n mero como sendo de uma empresa ou empregado de confian a Um cobrador pode fazer com que a sua liga o venha do seu local de trabalho Mas pare e
315. guntas de qual quer organiza o ou pessoa estranha Tais solicita es devem ser encaminhadas para o departamento de rela es p blicas ou para outra pessoa designada Explica o Observa es Um m todo usado pelos engenheiros para obter informa es valiosas que podem ser usadas contra a empresa ligar para um empregado e dizer que est fazendo uma pesquisa E surpreendente o modo como muitas pessoas ficam felizes em fornecer informa es sobre a empresa e sobre si mesmos para estranhos quando elas acreditam que est o fazendo parte de uma pesquisa Entre as quest es inofensivas o atacante insere algumas perguntas que quer saber Eventualmente tais informa es podem ser usadas para comprometer a rede corporativa 12 2 Divulga o dos n meros internos de telefone Pol tica Se uma Pessoa N o Verificada pede a um empregado o seu n mero de telefone ele primeiro deve determinar se a divulga o do n mero necess ria para a condu o dos neg cios da empresa Explica o Observa es A inten o desta pol tica exigir que os empregados tomem uma decis o bem pensada diante da necessidade ou n o da divulga o de seus ramais Ao lidar com pessoas que n o demonstraram uma necessidade genu na de saber o ramal a decis o mais segura exigir que liguem para o n mero de telefone principal da empresa e sejam transferidos 12 3 Senhas nas mensagens do voice mail Pol tica E proibido deixar mensagens que
316. guran a fornece um sistema de avisos que deixar claro quando um ataque coordena do est em andamento para que todo o dano possa ser imediatamente controlado Voc Pode me Ajudar oc viu como os engenheiros sociais enganam as pessoas oferecendo ajuda Outra abordagem preferida a virada da mesa o engenheiro social age fingindo que precisa da ajuda da pessoa Todos podemos simpatizar com as pessoas que est o precisando de ajuda e a abordagem sempre eficaz permitindo que um engenheiro social atinja o seu objetivo O ESTRANHO NA CIDADE Uma hist ria do Cap tulo 3 mostrou como um atacante pode convencer uma v tima a revelar o seu n mero de empregado Esta usa uma abordagem diferente para conseguir o mesmo resultado e em seguida mostra como o atacante pode utilizar aquelas informa es Continuando com os Jones No Vale do Sil cio existe uma determinada empresa global Os escrit rios de vendas espalhados e outras instala es de campo em todo o mundo est o conectados sede daquela empresa por meio de uma WAN uma rede de rea remota O intruso um rapaz esperto chamado Brian Atterby sabia que quase sempre era mais f cil invadir uma rede em um dos sites remotos no qual a seguran a quase com toda a certeza mais relaxada do que na sede O intruso ligou para o escrit rio de Chicago e pediu para falar com o Sr Jones A recepcionista perguntou se ele sabia qual era o primeiro nome do Sr Jones e ele respondeu
317. hadas com um n mero muito limitado de pessoas que tenham necessidade absoluta de conhec las A natureza das informa es Confidenciais tal que toda divulga o n o autorizada pode ter um impacto s rio sobre a empresa sobre seus acionistas seus parceiros de neg cios e ou seus clientes Os itens das informa es Confidenciais geralmente se classificam em uma destas categorias As informa es relativas aos segredos comerciais o c digo fonte propriet rio as especi fica es t cnicas ou funcionais ou as informa es de produto que podem ser vantajosas para um concorrente As informa es de marketing e financeiras n o dispon veis para o p blico Todas as outras informa es que s o vitais para a opera o da empresa tais como as es trat gias futuras de neg cios Particular Esta categoria aborda as informa es de natureza pessoal que se destinam apenas ao uso dentro da organiza o Toda divulga o n o autorizada das informa es Particulares poderia ter um impacto s rio sobre os empregados ou a empresa se elas fossem obtidas por pessoas n o autorizadas particularmente pelos engenheiros sociais Os itens das informa es Particulares podem incluir o hist rico m dico de empregados os benef cios de sa de as informa es de contas banc rias o hist rico de sal rio ou qualquer outra informa o pessoal identificadora que n o seja de dom nio p blico Observa o A categoria
318. hannson vai trabalhar com uma equipe de projetos especiais no meu de partamento Eu o autorizo a ter acesso aos servidores usados pelo grupo de engenharia O perfil de seguran a do Sr Johannson deve ser atualizado para que ele tenha os mesmos direitos de acesso de um desenvolvedor de produto Louis Cartright Quando a maioria das pessoas saiu para almo ar ela recortou a assinatura do Sr Cartright do memorando original e em seguida colou a na sua nova vers o e passou corretivo branco nas laterais Cap tulo 13 Trapa as Inteligentes 177 Jarg o SURFAR SOBRE OS OMBROS O ato de observar uma pessoa digitando no teclado do computador para descobrir e roubar sua senha ou outras informa es de usu rio do papel recortado Fez uma c pia do resultado e uma c pia da c pia Mal dava para ver as laterais ao redor da assinatura Ela enviou o fax da m quina do escrit rio do Sr Cartright Tr s dias depois ela ficou at mais tarde e esperou at que todos fossem embora Ela foi ao es crit rio de Johannson e tentou fazer o login na rede com o nome de usu rio e a senha marty63 Isso funcionou Em minutos ela havia localizado os arquivos de especifica o de produto do Cobra 273 e havia feito o seu download para um disco Zip O disco estava em seguran a na sua bolsa enquanto cami nhava pela noite fria at o estacionamento O disco seria enviado para o rep rter naquela noite Analisando a trapa a Um empregado zangado
319. hecido de decriptografar as senhas Isso uma piada eu fiz o download do arquivo executei um ataque de senhas automatizadas brute force attacks nele consulte o Cap tulo 12 para obter mais informa es sobre esse m todo e descobri que um dos engenheiros da equipe de desenvolvimento um funcion rio chamado Steven Cramer no mo mento tinha uma conta no computador com a senha Janice S por acaso tentei entrar na sua conta com aquela senha em um dos servidores de desenvolvimento Se isso funcionasse teria economizado algum tempo e um pouco de risco Mas isso n o funcionou Isso significava que eu tinha de fazer o rapaz me dizer o seu nome de usu rio e senha Para tanto teria de esperar at o final de semana Voc j sabe o resto No s bado liguei para Cramer e contei a hist ria sobre um v rus e os servi dores que tinham de ser restaurados do backup para superar a sua suspeita E sobre a tal hist ria que contei para ele aquela sobre a senha que ele deu quando preencheu a sua documenta o de funcion rio Estava contando com o fato de que ele n o se lembraria que isso nunca aconteceu Um empregado novo preenche tantos formul rios que anos mais tarde quem iria se lembrar E de qualquer forma se tivesse de desistir dele ainda teria aquela longa lista com outros nomes Com o seu nome de usu rio e senha entrei no servidor pesquei um pouco e em seguida loca lizei os arquivos de projeto do STH 100 N o tinh
320. heiro social A nica defesa um empregado consciente que segue as pol ticas de seguran a e entende como as outras pessoas podem influenciar de modo malicioso o seu comportamento Algo assim poderia acontecer na sua empresa Isso j aconteceu EVITANDO A TRAPA A Um elemento que parece se repetir sempre nessas hist rias o fato de um atacante conseguir discar para uma rede de computadores de fora da empresa sem que a pessoa que o ajuda tome as devidas precau es para verificar se ele realmente um empregado e pode ter o acesso Por que volto com tanta freq ncia a esse mesmo tema Porque esse um fator importante de tantos ataques da engenharia so cial Para o engenheiro social essa e a maneira mais f cil de atingir o seu objetivo Por que um atacante gastaria horas tentando fazer a invas o quando pode fazer isso com uma simples liga o telef nica Um dos m todos mais poderosos pelo qual o engenheiro social pode executar esse tipo de ataque usar o golpe simples de fingir que precisa de ajuda uma abordagem muito usada pelos atacantes Voc n o vai querer fazer com que os seus empregados parem de cooperar com colegas ou clientes e assim precisa fornecer lhes procedimentos de verifica o espec ficos a serem usados com todos que fa am uma solicita o de acesso ao computador ou a informa es confidenciais Dessa forma eles podem ser teis para aqueles que merecem a ajuda e ao mesmo tempo podem proteger os a
321. hist ria ilustra um problema interessante Os arquivos da folha de pagamento podiam ser acessa dos pelas pessoas que tinham a responsabilidade de manter os sistemas de computadores da empresa Assim sendo tudo era uma quest o pessoal resolver em quem confiar Em alguns casos a equipe de TI poderia achar irresist vel bisbilhotar um pouco E eles tinham a capacidade de fazer isso porque tinham privil gios que lhes permitiam desviar dos controles de acesso daqueles arquivos Uma medida de seguran a seria auditar todo acesso a arquivos confidenciais tais como a folha de pagamento Obviamente todos que tinham os privil gios requisitados poderiam desativar a auditoria ou talvez remover todas as entradas que apontassem para eles mas cada etapa adicional exigia mais esfor o para ser ocultada por parte de um empregado inescrupuloso EVITANDO A TRAPA A De virar a sua lata de lixo at enganar um guarda de seguran a ou uma recepcionista os engenheiros sociais podem invadir fisicamente o seu espa o corporativo Mas voc vai gostar de ouvir que h precau es que voc pode tomar Prote o ap s o hor rio de expediente Todos os empregados que chegam para trabalhar sem seus crach s devem parar na mesa da recep o ou no escrit rio da seguran a para conseguir um crach tempor rio a ser usado naquele dia O incidente da primeira hist ria deste cap tulo poderia ter uma conclus o muito diferente se o guarda da empresa tivesse rece
322. i ncia de que eles s o a linha de frente necess ria para proteger a seguran a geral da organiza o O treinamento em seguran a deve ter um objetivo significativamente maior do que simplesmente impor regras O criador do programa de treinamento deve reconhecer a forte tenta o dos emprega dos sob press o de fazer seus trabalhos e de ignorar suas responsabilidades de seguran a O conheci mento das t ticas da engenharia social e de como se defender dos ataques importante mas n o servir para nada se o treinamento n o se concentrar bastante na motiva o dos empregados para que usem o conhecimento A empresa pode considerar que o programa est atingindo o seu objetivo final se todos os que rea lizarem o treinamento estiverem convencidos e motivados por uma no o b sica a no o de que a seguran a das informa es faz parte do seu trabalho Os empregados devem refletir e aceitar que a amea a dos ataques da engenharia social real e que uma perda de informa es confidenciais da empresa pode amea ar a empresa e tamb m as suas informa es pessoais e os seus empregos De certa forma n o cuidar da seguran a das informa es no trabalho o mesmo que n o cuidar do cart o de banco ou do n mero do cart o de cr dito de al gu m Essa pode ser uma analogia convincente para criar o entusiasmo pelas pr ticas de seguran a Estabelecendo o programa de treinamento e conscientiza o A pessoa respons vel pela c
323. i para a telefonista e pedi para falar com o escrit rio desse produtor sobre o qual eu lera no jornal A secret ria que atendeu parecia do tipo maternal e achei que tive sorte se fosse alguma jovem que estava l apenas esperando ser descoberta ela provavelmente n o me daria a menor aten o Mas essa Dorothy parecia algu m que levava para casa um gatinho perdido algu m que sentia pena do rapaz que estava se sentindo um pouco deslocado no emprego novo Sem d vida eu havia conseguido o modo certo de falar com ela N o todo dia que voc engana algu m e essa pessoa lhe d mais at do que voc pediu Com pena ela n o apenas me deu o nome de uma das pessoas da Seguran a como tamb m disse que eu deveria dizer a ela que a Dorothy queria que ela me ajudasse Obviamente eu havia planejado usar o nome de Dorothy de qualquer maneira Isso tornou tudo melhor Lauren abriu as portas imediatamente e nunca se importou em procurar o nome que dei no banco de dados para saber se ele estava realmente no banco de dados de empregado Quando cheguei ao port o naquela tarde eles n o apenas tinham o meu nome na lista de visi tantes como at tinham um lugar no estacionamento para mim Eu havia almo ado tarde e fiquei passeando at o final do dia At me infiltrei em alguns cen rios e observei como eles faziam os filmes N o sa antes das 19 horas Esse foi um dos dias mais incr veis que j tive Analisando a trapa a Todo mundo
324. ial inteli gente descobrir um modo de lidar com uma situa o que nunca enfrentou antes Quando Jack voltou para casa da sua reuni o com o dentista j tinha um plano montado O seu amigo Charles Bates tra balhava em uma empresa a Panda Importing a qual tinha o seu pr prio PBX Em termos familiares para as pessoas que conhecem os sistemas de telefonia o PBX estava conectado a um servi o de telefonia digital conhecido como TI o qual estava configurado como Primary Rate Interface ISDN integrated services digital network ou PRI ISDN Isso significava que sempre que uma liga o era feita da Panda as informa es de configura o e outras informa es de processamento passavam por um canal de dados para a central de telefonia da empresa As infor ma es inclu am o n mero de quem estava ligando o qual a menos que estivesse bloqueado era entregue no dispositivo de ID de chamadas do receptor O amigo de Jack sabia como programar a central para que a pessoa que recebesse a liga o visse em seu ID de chamadas n o o n mero real de telefone do escrit rio da Panda mas sim o n mero de telefone que ele havia programado na central Esse truque funciona porque as empresas locais de telefonia n o validam o n mero da liga o recebida do cliente com rela o ao n mero do telefone real pelo qual o cliente est pagando Cap tulo 13 Trapa as Inteligentes 169 Tudo o que Jack Dawkins precisava fazer era acessar qualquer um de
325. iar os usu rios nas quest es rela cionadas com computadores seja porque eles geralmente t m privil gios de sistema altos Todo o pessoal do help desk deve ser treinado para agir como um firewall humano para evitar a divulga o n o autorizada das informa es que ajudar o qualquer pessoa n o autorizada a ter acesso aos recursos da empresa A regra simples nunca divulgar os procedimentos de acesso remoto a ningu m que n o tenha uma verifica o positiva da identidade 6 2 Redefinindo as senhas Pol tica A senha para uma conta de usu rio s pode ser redefinida sob solicita o do dono da conta Explica o Observa es O truque mais usado pelos engenheiros sociais fazer com que a senha da conta de outra pessoa seja redefinida ou alterada O atacante faz se passar pelo em pregado usando o pretexto de que sua senha foi perdida ou esquecida Em um esfor o para reduzir o sucesso desse tipo de ataque um empregado de TI que recebe uma solicita o de mudan a de senha deve ligar de volta para o empregado antes de fazer qualquer coisa Essa liga o n o deve ser feita para um n mero de telefone fornecido pelo solicitante mas para um n mero obtido na lista de telefones de empregados Consulte os Procedimentos de Verifica o e Autoriza o para saber mais sobre esse procedimento 6 3 Alterando os privil gios de acesso Pol tica Todas as solicita es para aumentar os privil gios ou direitos de acesso de um usu
326. iatamente para manter seguras a sua empresa e as suas informa es Finalmente forneci uma se o Seguran a R pida que inclui listas de verifica o tabelas e gr fi cos que resumem as principais informa es que voc pode usar para ajudar seus empregados a frus trar um ataque da engenharia social no trabalho Essas ferramentas tamb m fornecem informa es valiosas que voc pode usar para criar seu pr prio programa de treinamento em seguran a Voc tamb m encontra diversos elementos teis as caixas de texto Jarg o fornecem as defini es da engenharia social e a terminologia dos hackers de computadores os Recados do Mitnick oferecem em poucas palavras o conhecimento para ajudar a fortalecer a sua estrat gia de seguran a e as notas e quadros fornecem informa es pr ticas ou adicionais E Bastidores O Elo Mais Fraco da Seguran a ma empresa pode ter adquirido as melhores tecnologias de seguran a que o dinheiro pode com prar pode ter treinado seu pessoal t o bem que eles trancam todos os segredos antes de ir embo ra e pode ter contratado guardas para o pr dio na melhor empresa de seguran a que existe Mesmo assim essa empresa ainda estar vulner vel Os indiv duos podem seguir cada uma das melhores pr ticas de seguran a recomendadas pelos especialistas podem instalar cada produto de seguran a recomendado e vigiar muito bem a configu ra o adequada do sistema e a aplica o das corre
327. ica e muito conhecimento de como obter as melhores informa es sobre as pessoas Eles fazem isso usan do m todos ilegais enquanto mal conseguem evitar a pris o Obviamente a verdade que a maioria dos detetives particulares tem empresas leg timas Como muitos deles come aram a vida profissional como oficiais de justi a sabem perfeitamente bem o que e o que n o legal e a maioria n o se sente tentada a cruzar a linha da ilegalidade Entretanto existem exce es Alguns detetives particulares mais do que alguns na verdade parecem se com os personagens das hist rias policiais Eles s o conhecidos no meio como infor mantes um termo educado para as pessoas que est o dispostas a quebrar as regras Eles sabem que podem realizar qualquer tarefa muito mais rapidamente e de modo bem mais f cil se tomarem alguns atalhos O fato de esses atalhos serem crimes em potencial que podem coloc los atr s das grades por alguns anos n o parece deter aqueles mais inescrupulosos Nesse meio tempo os detetives particulares do primeiro escal o aqueles que trabalham em um escrit rio bonito em uma parte valorizada da cidade n o fazem esse tipo de trabalho Eles apenas contratam algum informante para fazer isso para eles O rapaz que chamaremos de Keith Carter era o tipo de olheiro particular sem tica Ele era um caso t pico de Onde ele est escondendo o dinheiro Ou tamb m Onde ela est escondendo o dinhe
328. ico Muitas institui es educacionais portanto configuraram os primeiros sistemas de computadores com pouca ou nenhuma seguran a Um libert rio famoso dos computadores Richard Stallman at se recusou a proteger a sua conta com uma senha Mas com a Internet sendo usada para o com rcio eletr nico os perigos da pouca seguran a do nosso mundo eletr nico mudaram muito O emprego de mais tecnologia n o vai solucionar o proble ma da seguran a humana Basta dar uma olhada em nossos aeroportos hoje A seguran a tornou se imperativa e mesmo assim somos surpreendidos com not cias de passageiros que conseguiram burlar a seguran a e passar com armas pelos pontos de checagem Como isso poss vel em uma poca na qual os nossos aero portos est o em tal estado de alerta Os detectores de metal est o falhando N o O problema n o s o as m quinas mas o fator humano as pessoas que operam a m quina Os funcion rios dos aeroportos podem dirigir a Guarda Nacional e instalar detectores de metal e sistemas de reconhecimento facial mas a educa o da equipe de frente da seguran a sobre como examinar adequadamente os passageiros pode ajudar muito mais O mesmo problema existe dentro do governo das empresas e das institui es educacionais de todo o mundo Apesar dos esfor os dos profissionais de seguran a as informa es em toda a parte 8 A Arte de Enganar permanecem vulner veis e continuar o sendo vistas como um alvo pelos
329. id ia deste livro e por me tornar co autor que virou amigo de Kevin Obrigado David E obrigado tamb m ao dono da Waterside o incompar vel Bill Gladstone que conseguiu me manter ocupado com um projeto de livro ap s o outro estou feliz por voc estar por perto Em nossa casa e no meu escrit rio dom stico Arynne auxiliada por uma equipe eficiente que inclui a assistente administrativa Jessica Dudgeon e Josie Rodriguez que cuida da casa Agrade o a meus pais Marjorie e I B Simon que gostaria que estivessem aqui na Terra para desfrutar do meu sucesso como escritor E tamb m a minha filha Victoria Quando estou com ela percebo o quanto a admiro respeito e tenho orgulho dela A a o de classe estudo de caso 179 181 acesso remoto de discagem 172 ataque de dicion rio 150 152 central telef nica 114 115 116 compartilhamento 60 74 conta de convidado 56 criptografia 150 default 222 divulga o de 52 242 250 entrega de senhas novas 231 ferramentas de hacker 132 134 hash 56 57 nula 157 pol ticas 154 239 241 247 protetores de tela 249 redefinindo 230 233 simulador de login 101 spyware captura de senha 161 surfar sobre os ombros 176 177 texto simples 256 treinamento sobre a seguran a 103 104 acesso remoto 230 233 234 acesso alterando os direitos de globais 233 bloqueio 239 controle de 6 encerramento imediato do do empregado 137 pontos de sem fio 241 administra
330. iente para que os empregados encontrem rapidamente a resposta para todas as perguntas relacionadas com a seguran a das informa es Finalmente testes peri dicos de penetra o e avalia es de vulnerabilidade que usam os m todos e as t ticas da engenharia social devem ser conduzidos para expor os pontos fracos do treinamento ou a falta de cumprimento das pol ticas e dos procedimentos da empresa Antes de usar qualquer t ti ca de teste de penetra o simulado os empregados devem ser avisados de que tais testes podem ocorrer de tempos em tempos Como usar essas pol ticas As pol ticas detalhadas apresentadas neste cap tulo representam apenas um subconjunto das pol ticas de seguran a das informa es que creio sejam necess rias para diminuir todos os riscos de seguran a Da mesma forma as que est o inclu das aqui n o devem ser consideradas como uma lista abrangente de pol ticas de seguran a das informa es Em vez disso elas formam a base para a cria o de um corpo abrangente de pol ticas de seguran a que sejam apropriadas para as necessidades espec ficas da sua empresa Os redatores das pol ticas de uma organiza o ter o de escolher as pol ticas apropriadas com base no ambiente e nos objetivos de neg cios de suas empresas Cada organiza o com seus requi sitos de seguran a diferentes baseados nas necessidades nos requisitos legais na cultura organi 210 A Arte de Enganar zacional e nos siste
331. ientiza o da seguran a Al m disso cada funcion rio deve fazer um curso de atualiza o sobre conscientiza o de seguran a em intervalos regulares os quais n o podem exce der 12 meses conforme requisito do departamento que tem a responsabilidade do treinamento em seguran a Explica o Observa es Muitas organiza es ignoram o treinamento de conscientiza o em seguran a De acordo com a Pesquisa da Seguran a das Informa es Globais de 2001 apenas 30 das organiza es pesquisadas gastam dinheiro em treinamento de conscientiza o para a sua comunidade de usu rios O treinamento em conscientiza o um requisito essencial para diminuir as quebras de seguran a bem sucedidas que utilizam t cnicas da engenharia social 4 1 8 Curso de treinamento em seguran a para o acesso ao computador Pol tica O pessoal deve participar de um curso de informa es de seguran a e conclu lo antes de ter acesso a qualquer sistema de computador da empresa Explica o Observa es Os engenheiros sociais com freq ncia visam aos empregados novos sabendo que como um grupo em geral eles s o as pessoas com menos chances de estar cien tes das pol ticas de seguran a da empresa e dos procedimentos adequados para determinar a classifi ca o e o tratamento das informa es sigilosas O treinamento deve incluir uma oportunidade para que os empregados fa am perguntas sobre as pol ticas de seguran a Ap s o treina
332. iferente aplicada O Departamento de Tr nsito fornece as informa es que est o em seus registros para qualquer juiz de direito que se identifique da maneira apropriada No estado em que Eric morava na poca a identifica o requerida era um C digo do Solicitante emitido pelo Departamento de Tr nsito juntamente com o n mero da Carteira de Motorista do oficial O empregado do Departamento de Tr nsito sempre teria de comparar o nome do oficial com o n mero da sua Carteira de Motorista e com mais alguma informa o em geral a data de nascimento antes de fornecer as informa es 114 A Arte de Enganar O que o engenheiro social Eric queria fazer nada mais era do que se fazer passar por um oficial da lei Como ele conseguiu fazer isso Pregando um golpe inverso nos policiais O golpe de Eric Primeiro ele ligou para o n mero de informa es da companhia telef nica e pediu o n mero de telefone da sede do Departamento de Tr nsito na sede do governo estadual Ele recebeu o n mero 503 555 5000 o qual obviamente o n mero para as liga es do p blico em geral Em seguida ligou para o posto policial mais pr ximo e pediu para falar com a sala do teletipo o escrit rio no qual as comunica es s o enviadas e recebidas das outras pol cias do banco de dados nacional de crimes das pris es locais e assim por diante Assim que conseguiu falar com a sala de teletipo ele disse que estava procurando o n mero de te
333. igo fonte propriet rio listas de clientes e segredos comerciais Sim Determinar a classifica o dos dados seguir os procedimentos apropria dos para a divulga o Informa es confidenciais ou particulares Todas as informa es s o consideradas sigilosas a menos que sejam designadas especificamente para a divulga o ao p blico 271 Um exame r pido da seguran a Respondendo a uma solicita o de informa es As Perguntas de Ouro N o confiar em ningu m sem verifica o O questionamento das solicita es encorajado N o abrir anexos a menos que a mensagem j seja esperada examinar todos os anexos com software antivirus Sim Abrir anexo de correio eletr nico OBSERVA ES N o NUNCA altere a sua senha para algo que outra pessoa conhece mesmo que seja por alguns instantes Sim Alterar a sua senha N o C digo fonte propriet rio segre dos comerciais processo de manufatura f rmulas especifi ca es de produto dados de marketing ou planos de neg cios Determinar a classifica o dos dados seguir os procedimentos adequados de divulga o Sim Transfer ncia eletr nica de informa es internas N o Nunca digitar comandos desco nhecidos ou executar progra mas sob solicita o de qualquer pessoa a menos que isso seja especificamente aprovado pelo departamento de TI O solicitante deve ser apenas do departamento de TI consu
334. imples para os empregados Mas ela n o Para que compreendam bem essa id ia preciso que os empregados entendam como um ato de mudar uma se nha pode levar a um comprometimento da seguran a Voc pode dizer a uma crian a para olhar para os dois lados da rua ao atravessar mas at ela entender porque isso importante voc s depende da obedi ncia cega E as regras que exigem a obedi ncia cega em geral s o ignoradas ou esquecidas Observa o As senhas s o um foco t o importante dos ataques da engenharia social que dedica mos uma se o separada no Capitulo 16 a elas L voc encontrar as pol ticas espec ficas recomendadas para o gerenciamento das senhas 104 A Arte de Enganar Um ponto central de apoio A sua pol tica de seguran a deve estabelecer uma pessoa ou um grupo designado como um ponto central ao qual devem ser relatadas as atividades suspeitas que parecem ser tentativas de infiltra o na sua organiza o Todos os empregados precisam saber para quem devem ligar quando suspei tarem de uma tentativa de invas o eletr nica ou f sica O n mero de telefone desse local sempre deve estar m o para que os funcion rios n o tenham de procurar quando suspeitarem de que um ataque est ocorrendo Proteja a sua rede Os empregados precisam entender que o nome de um servidor ou rede de computadores n o uma informa o comum mas sim uma informa o que pode dar a um atacante o conhecimento essenci
335. informa es teis para entrar nos sistemas de computadores s o os alvos de prioridade mais alta para os ladr es de informa es medidas especiais precisam ser tomadas A inten o desta pol tica evitar que os intrusos fa am se passar por pessoal autorizado para forjar solicita es de novas contas Assim sendo todas essas solicita es devem ser verificadas positivamente usando os Procedimentos de Verifica o e Auto riza o 6 5 Entrega de senhas novas Pol tica As senhas novas devem ser tratadas como informa es Confidenciais da empresa e devem ser entregues por m todos seguros seja pessoalmente ou por um servi o de entrega com confirma o tal como correio registrado ou por UPS ou FedEx Consulte as pol ticas de distribui o das informa es Confidenciais Explica o Observa es O correio interno da empresa tamb m pode ser usado mas recomenda se que as senhas sejam enviadas em envelopes seguros que escondam o conte do Um m todo sugerido estabelecer uma pessoa que cuide dos computadores em cada departamento a qual tenha a responsabilidade de lidar com a distribui o dos detalhes da conta nova e a confir ma o da identidade do pessoal que perde ou se esquece de suas senhas Nessas circunst ncias o pessoal de suporte sempre estaria trabalhando com um grupo menor de empregados que seria reconhecido pessoalmente 6 6 Desativando uma conta Pol tica Antes de desativar a conta de um usu rio
336. informa es e s o um elemento fundamental no desenvolvimento de controles efetivos para contra atacar as poss veis amea as seguran a Essas pol ticas est o entre as mais significativas no que diz respeito a evitar e detectar os ataques da engenharia social Os controles efetivos de seguran a s o implementados pelo treinamento dos empregados bem como por pol ticas e procedimentos bem documentados Entretanto importante observar que as po l ticas de seguran a mesmo que sejam seguidas religiosamente por todos os empregados n o evitam todos os ataques da engenharia social Por isso um objetivo ideal seria sempre minimizar o risco at um n vel aceit vel As pol ticas apresentadas aqui incluem medidas que embora n o se concentrem estritamente nas quest es da engenharia social est o aqui porque tratam das t cnicas normalmente usadas nos ataques da engenharia social Por exemplo as pol ticas sobre a abertura dos anexos de correio eletr nico as quais podem instalar software Cavalo de Tr ia permitindo que o atacante tome o computador da v tima abordam um m todo muito usado pelos invasores de computadores Etapas para o desenvolvimento de um programa Um programa de seguran a da informa o abrangente come a com uma avalia o de risco que visa determinar Quais s o as informa es da empresa que precisam ser protegidas Quais amea as espec ficas existem contra os ativos Qual d
337. instalar um software de acesso remoto e faz lo funcionar sempre que o homem que trabalhava no escrit rio aparecia ou sempre que algu m entrava e o via no escrit rio de outra pessoa Ele estava t o tenso que mal podia ler as instru es que o garoto havia escrito para ele Mas ele conseguiu e saiu do pr dio sem ser visto Plantando a bomba Naquela noite David veio ap s o jantar Os dois se sentaram no computador de Harlan e em alguns minutos o garoto havia discado para o modem ganhado acesso e chegado m quina de George Adamson Isso n o foi muito dif cil uma vez que George nunca teve tempo para medidas de segu ran a tais como mudar as senhas e estava sempre pedindo para uma ou outra pessoa fazer o down load ou o envio por e mail de algum arquivo para ele Em pouco tempo todos que trabalhavam no escrit rio sabiam qual era a sua senha Um pouco de pesquisa revelou o local onde estava o arquivo chamado BudgetSlides2002 ppt e o garoto fez o download dele no computador de Harlan Em seguida Harlan disse ao garoto para ir para casa e voltar em duas horas Quando David voltou Harlan pediu para ele se reconectar ao sistema de computadores do Depar tamento de Estradas e colocar o mesmo arquivo de volta no lugar onde o encontrara para sobregravar a vers o anterior Harlan mostrou a David o videogame e prometeu que se as coisas corressem bem ele o teria no dia seguinte Surpreendendo George Voc n o imagina que algo t o
338. io no qual uma senha requerida Sim havia um FTP an nimo dispon vel e ele deu a Harry o endere o interno Internet Protocol IP para acess lo Com essas informa es Harry ligou de volta para o Centro de Desenvolvimento no exterior O arquivo compactado j estava pronto e Harry deu as instru es para a transfer ncia do arquivo para o site de FTP an nimo Em menos de cinco minutos o arquivo com o c digo fonte compactado foi enviado para o garoto do Centro de P amp D Cap tulo 14 A Espionagem Industrial 189 Jarg o FTP AN NIMO Um programa que fornece acesso a um computador remoto mesmo que voc n o tenha uma conta e que use o File Transfer protocol FTP Embora o FTP an nimo possa ser acessado sem uma senha em geral os direitos de acesso de usu rio a determinadas pastas s o restritos Definindo a v tima Eles estavam a meio caminho de realizar o seu objetivo Agora Harry e Karl tinham de esperar para ter certeza de que o arquivo havia chegado antes de continuar Durante a espera eles foram at a mesa do instrutor no outro lado da sala e cuidaram de duas outras etapas necess rias Primeiro eles configuraram um servidor de FTP an nimo o qual serviria como destino para o arquivo na ltima parte do seu esquema A segunda etapa forneceu uma solu o para um problema que de outra maneira seria dif cil de resolver claro que eles n o podiam dizer para o homem do Centro de P amp D para que enviasse o arquivo
339. ionadas de todas as na es Agora estamos alertas para o fato de que h terroristas obcecados localizados em todo o planeta bem treinados e aguardando para lan ar outros ataques contra n s O esfor o recentemente intensificado do nosso governo aumentou os n veis de nossa consci n cia de seguran a Precisamos permanecer alertas em guarda contra todas as formas de terrorismo e entender como os terroristas criam identidades falsas como assumem os pap is de alunos e vizinhos e se misturam multid o Eles mascaram suas cren as verdadeiras enquanto conspiram contra n s praticando truques de fraude semelhantes queles que voc ver nestas p ginas Embora at onde eu saiba os terroristas ainda n o usaram as artimanhas da engenharia social para se infiltrarem nas corpora es nas esta es de tratamento de gua nas instala es de gera o de eletricidade ou em outros componentes vitais da nossa infra estrutura nacional o potencial para isso existe E isso muito f cil A consci ncia de seguran a e as pol ticas de seguran a que espero sejam colocadas em pr tica e implantadas pelo gerenciamento corporativo de primeiro escal o por causa deste livro n o vir o cedo demais SOBRE ESTE LIVRO A seguran a corporativa uma quest o de equil brio Pouca ou nenhuma seguran a deixa a sua em presa vulner vel mas uma nfase exagerada atrapalha a realiza o dos neg cios e inibe o crescimento e a prosperidade da e
340. ionando Que mal faria ao ajudar o homem enviando o arquivo para ele Mas e quanto a dar um nome diferente para o arquivo compactado Isso parecia um detalhe mas ele era importante O atacante n o podia se dar ao luxo de arriscar receber o arquivo com um nome que o identificasse como o c digo fonte ou com nome relacionado com o produto Uma solicita o para enviar um arquivo com um nome como aquele para fora da empresa podia ter feito soar os alar mes Era crucial fazer com que o arquivo fosse rotulado com um nome inofensivo Como os atacantes previram o segundo jovem n o viu problemas em enviar o arquivo para fora da empresa Um arquivo com um nome como dados novos sem dar nenhuma pista sobre a verdadeira natureza das informa es dificilmente levantaria suspeitas Por fim voc descobriu o que esta hist ria est fazendo em um cap tulo dedicado espionagem industrial Se n o descobriu aqui est a resposta Aquilo que os dois alunos fizeram para pregar uma pe a poderia ter sido feito facilmente por um espi o industrial profissional talvez pago por um con corrente ou por um governo estrangeiro De qualquer forma o dano poderia ter sido devastador para a empresa diminuindo seriamente as vendas do seu novo produto quando o produto do concorrente chegasse ao mercado Recado do Mitnick A regra b sica que todo empregado deve ter clara em sua cabe a que exceto com a aprova o do gerenciamento voc n o deve tr
341. ira da m e o n mero do cart o o limite de credito o saldo dispon vel e o hist rico de pagamentos Ligue de volta para mim neste n mero ela diz e d o n mero do ramal interno que o administrador da caixa postal criou para ela E se eu n o estiver dispon vel por favor deixe as informa es na minha caixa postal Ela se mant m ocupada no restante da manh e em seguida verifica a sua caixa postal tarde Est tudo l tudo que pediu Antes de desligar Shirley limpa a mensagem n o seria cuidadoso deixar para tr s uma grava o da sua voz E o roubo de identidade o crime de maior crescimento da Am rica o crime in do novo s culo est para fazer outra vitima Shirley usa as informa es de identidade e do cart o de cr dito que aca bou de obter e come a a fazer compras no cart o da v tima Analisando a trapa a Neste golpe o atacante primeiro enganou o administrador de caixa postal da empresa para que ele acreditasse que ela era uma funcion ria e criasse uma caixa postal tempor ria Se ele se desse ao trabalho de fazer uma verifica o teria descoberto que o nome e o n mero de telefone que ela deu coincidiam com as listagens do banco de dados de funcion rios da corpora o 172 A Arte de Enganar O restante era apenas uma quest o de dar uma desculpa razo vel sobre um problema no compu tador pedir as informa es desejadas e solicitar que a resposta fosse deixada na caixa postal E por que
342. iro Eventualmente podia ser uma senhora rica que queria saber onde o seu marido havia escondido o seu dinheiro embora o motivo pelo qual uma mulher rica se casa com um homem sem dinheiro era um enigma no qual Keith Carter sempre pensava sem nunca encontrar uma boa resposta Neste caso o marido cujo nome era Joe Johnson era quem estava congelando o dinheiro Ele era um homem muito inteligente que havia fundado uma empresa de alta tecnologia com US 10 mil que emprestara da fam lia da sua mulher e havia aumentado o patrim nio da empresa para US 100 milh es De acordo com o advogado do seu div rcio ele havia escondido seus bens e o advogado queria um relat rio completo Keith calculou que o seu ponto de partida seria a Administra o do Seguro Social particularmen te os arquivos sobre Johnson os quais estariam cheios de informa es muito teis para uma situa o como essa Munido dessas informa es Keith poderia fingir ser o alvo e ir aos bancos corretoras e institui es fora do pa s para contar lhes tudo A sua primeira liga o foi para o escrit rio de um distrito local usando o mesmo n mero 0800 que qualquer pessoa usa e que est relacionado na lista telef nica Quando o atendente respondeu Keith pediu para ser transferido para algu m da se o de Reclama es Outra espera e em seguida uma voz atendeu Agora Keith mudou de lado Oi ele come ou Aqui Gregory Adams do Es crit rio Distrital 329
343. is e dispositivos de computador re lacionados s o enviados com senhas padr o ou seja com a mesma senha ativa em cada unidade que vendida Um grave erro n o alterar as senhas padr o porque isso significa um risco para a empresa As senhas padr o s o conhecidas de todos e est o dispon veis nos sites Web na Internet Em um ataque a primeira senha que um intruso tenta a senha padr o do fabricante 7 21 Bloqueio por tentativas inv lidas de acesso seguran a baixa a m dia Pol tica Em uma organiza o com requisitos de seguran a de n vel baixo a m dio sempre que um n mero especificado de tentativas sucessivas e inv lidas de login em determinada conta for feito a conta deve ser bloqueada por um per odo de tempo Explica o Observa es Todas as esta es de trabalho e servidores da empresa devem ser definidos para limitar o n mero de tentativas sucessivas e inv lidas de login Esta pol tica e necess ria para evitar a adivinha o de senha pela tentativa e erro pelos ataques aos dicion rios ou pelas tenta tivas de for a bruta para ter acesso n o autorizado O administrador de sistema deve configurar as defini es de seguran a para bloquear uma conta sempre que o limite desejado de tentativas sucessivas e inv lidas for atingido Recomenda mos que uma conta seja bloqueada por pelo menos 30 minutos ap s sete tentativas sucessivas e inv lidas de login 7 22 Bloqueio por tentativas inv
344. isava ser longo Em breve esta va aprendendo por conta pr pria e me saindo melhor ainda do que aqueles primeiros professores O curso que a minha vida tomaria nos pr ximos 15 anos j estava definido Uma das minhas pe as preferidas era conseguir o acesso n o autorizado a uma central telef nica e mudar a classe de servi os de um colega phreaker Quando tentava fazer uma liga o de casa ele ouvia uma mensagem pedindo para depositar vinte e cinco centavos porque a central da empre sa de telefonia havia recebido informa es de que ele estava ligando de um telefone p blico Fiquei interessado em tudo que dissesse respeito a telefones n o apenas a eletr nica s centrais e aos computadores mas tamb m a organiza o corporativa aos procedimentos e a termi nologia Ap s algum tempo talvez j soubesse mais sobre o sistema de telefones do que qualquer empregado da empresa E havia desenvolvido as minhas habilidades em engenharia social at o ponto de com 17 anos poder falar com a maioria dos empregados da empresa de telefonia sobre quase tudo fosse pessoalmente ou por telefone A minha carreira t o divulgada de hacker na verdade come ou quando eu estava no col gio Embora n o possa descrever aqui os detalhes basta dizer que um dos principais incentivos para as minhas primeiras a es foi ser aceito pelos caras do grupo de hackers Naquela poca us vamos o termo hacker para descrever uma pessoa que passava grande
345. ispositivos de necessidade de 6 para o acesso remoto 234 autoridade desafiar a 90 tend ncia de atender a uma solicita o 196 usando para a intimida o 89 90 autoriza o procedimentos 212 216 avalia o de risco 208 B backdoors 82 83 157 banco s acessando as informa es dos 4 5 13 18 uso dos c digos internos de seguran a 108 110 111 112 bloqueio de chamadas 169 burlando a seguran a da entrada 244 245 280 A Arte de Enganar c ca a talentos uso pela engenharia social 18 21 caixa de correio departamental geral 212 213 caixa postal 171 172 tempor ria 171 caixa preta 179 cart o de assinaturas conta de clientes 109 112 carteira de motorista 113 125 cart es impressora port til 186 Cava1o s de Tr ia 48 76 77 84 central telef nica 114 115 116 Centro de Opera es de Rede 172 centros de deten o federais estudo de caso 139 144 certificado digital site Web 82 cheques devolvidos 35 classifica o de dados Confidencial 211 218 219 Interna o 211 269 Particular 211 219 269 pol tica de 23 210 212 217 P blica o 2l2 268 terminologia 212 Cleaner The 84 clearlogs programa gr tis 96 cliente thin 257 clientes informa es sobre obtendo 28 30 protegendo 42 CNA Nome e Endere o de Clientes 66 67 c digo malicioso 76 c digo fonte obtendo 158 187 189 c digos seguran a 108 111 112 117 com rcio eletr nico
346. isso n o acontece porque as pessoas s o est pidas ou n o t m bom senso Mas n s como seres humanos somos todos sujeitos a ser enganados porque a confian a das pessoas pode ser usada de forma errada se for manipulada de determinadas maneiras O engenheiro social prev a suspeita e a resist ncia e ele est sempre preparado para transfor mar a desconfian a em confian a Um bom engenheiro social planeja o seu ataque como um jogo de xadrez e prev as perguntas que o seu alvo pode fazer para estar pronto para dar as respostas corretas Uma dessas t cnicas comuns envolve a cria o de uma sensa o de confian a por parte da sua v tima Como um trapaceiro pode fazer com que voc confie nele Confie em mim ele pode CONFIAN A O SEGREDO DA FRAUDE Quanto mais os engenheiros sociais puderem dar a apar ncia de neg cios normais ao seu contato menos eles levantam suspeitas Quando as pessoas n o t m um motivo para suspeitar um engenheiro social pode ganhar 3 sua confian a mais facilmente Ap s conseguir a sua confian a a ponte levadi a e abaixada e o port o do castelo se abre para que ele entre e obtenha as informa es desejadas Observa o Voc j deve ter notado que me refiro aos engenheiros sociais phreakers e operadores do jogo da trapa a como ele na maioria das hist rias Isso n o chauvinismo mas apenas reflete a realidade de que a maioria dos praticantes dessa rea masculina Mas embo
347. istrar o nome o n mero da carteira de habilita o a data de nasci mento da pessoa o item retirado e a data e hora em que foi retirado Explica o Observa es Esta pol tica tamb m se aplica transmiss o de pacotes para um servi o de mensageiros ou courier tal como FedEx UPS ou Airborne Express Essas empresas emitem cart es de identifica o que podem ser usados para verificar a identidade do empregado 2 8 Transfer ncia de software para terceiros Pol tica Antes da transfer ncia ou divulga o de qualquer software programa ou instru es de computador a identidade do solicitante deve ser verificada positivamente e e preciso estabelecer se tal libera o est de acordo com a classifica o de dados designada a tais informa es Normalmente o software desenvolvido in house no formato de c digo fonte considerado altamente propriet rio e classificado como Confidencial Explica o Observa es A determina o da autoriza o geralmente se baseia no fato de o solicitante precisar acessar o software para realizar seu trabalho 2 9 Qualifica o de vendas e marketing das pistas de clientes Pol tica O pessoal de vendas e marketing deve qualificar as pistas antes de liberar os n meros internos de callback os planos de produto os contatos do grupo de produto ou outras informa es Sigilosas para um cliente em potencial Explica o Observa es Uma t tica comum dos espi es industriais ent
348. it rio ficava cheio com 17 liga es em andamento a pr xima liga o a chegar n o tocaria no escrit rio do Departamento de Tr nsito mas seria encaminhada para o telefone celular de Eric Ele sentou e esperou Uma liga o para o Departamento de Tr nsito Logo depois das 8 horas daquela manh o telefone celular tocou Essa era a melhor parte e a mais deliciosa Aqui estava Eric o engenheiro social falando com um policial algu m com autoridade para ir l e prend lo ou conseguir um mandado de busca para encontrar evid ncias contra ele E n o apenas um policial ligou mas sim uma fileira deles um ap s o outro Em uma ocasi o Eric estava sentado em um restaurante almo ando com amigos recebendo uma liga o a cada cinco minutos escrevendo as informa es em um guardanapo de papel e usando uma caneta emprestada At hoje ele acha isso muito engra ado Mas falar com os policiais n o perturba um bom engenheiro social de maneira alguma Na ver dade a emo o de enganar esses agentes da lei provavelmente aumentou o contentamento de Eric com a fa anha De acordo com Eric as liga es eram mais ou menos assim Departamento de Tr nsito posso ajudar Aqui o Detetive Andrew Cole Oi detetive Como posso ajud lo Preciso de um Soundex na carteira de motorista 005602789 ele dizia usando o termo familiar na pol cia para pedir uma foto o que til por exemplo quando os oficiais v o prend
349. itar o centro de deten o para perguntar a Charlie o que deveria fazer n o agora que os federais sabiam que havia dois homens envolvidos no golpe e estavam loucos para pegar o outro Da mesma forma apenas a fam lia podia visit lo e isso significava que ele teria de mostrar uma iden U 140 A ARTE DE ENGANAR tifica o falsa e dizer ser um membro da fam lia Tentar usar um ID falso em uma pris o federal n o parecia ser uma id ia muito inteligente N o ele teria de entrar em contato com Gondorff de outra maneira Isso n o seria f cil Nenhum recluso de qualquer pris o federal estadual ou municipal pode receber liga es telef nicas Uma pla ca colocada ao lado de cada telefone de um centro de deten o federal diz algo do tipo Todas as con versa es feitas neste telefone est o sujeitas a monitoramento e o uso do telefone considerado consentimento com o monitoramento Ter os oficiais do governo ouvindo as suas liga es telef ni cas enquanto se comete um crime um modo de aumentar os seus planos de f rias financiados pelo governo federal Johnny sabia por m que determinadas liga es telef nicas n o eram monitoradas as liga es entre um prisioneiro e seu advogado as quais s o protegidas pela Constitui o como comu nica es entre cliente e advogado por exemplo Na verdade a pris o onde estava Gondorff tinha os telefones conectados diretamente ao Escrit rio do Defensor P blico Escolha u
350. iva das informa es um empregado que recebe uma solicita o para executar uma a o ou fornecer informa es confidenciais deve identificar o interlocutor correta mente e verificar a sua autoridade antes de atender a uma solicita o Cap tulo 16 Recomenda es de Pol ticas de Seguran a das Informa es Corporativas 213 Os procedimentos recomendados neste cap tulo foram criados para ajudar um empregado que recebe uma solicita o por qualquer meio de comunica o tal como telefone correio eletr nico ou fax a determinar se a solicita o e a pessoa que a faz s o leg timas Solicita es de uma pessoa de confian a A solicita o de informa o ou a o feita por uma Pessoa de Confian a pode exigir A verifica o de que a empresa emprega ou tem um relacionamento com a pessoa e esse relacionamento prev acesso a essa categoria de informa es Isto serve para evitar que os empregados fornecedores contratados e outros que n o estejam mais associados empresa fa am se passar por pessoal da ativa A verifica o de que a pessoa tem necessidade de saber a informa o e se ela est autorizada a ter acesso s informa es ou a a o Solicita es de uma pessoa n o verificada Quando uma solicita o feita por uma Pessoa N o Verificada um processo razo vel de verifica o deve ser desenvolvido para checar se a pessoa que faz a solicita o est autorizada a receber as infor ma
351. ivre e espont nea vontade Mas Anthony sabia como enga nar as pessoas o seu amigo Mickey sabia como invadir os computadores das outras pessoas e juntos imaginaram um plano inteligente Naquele dia de outono ele passou por um empregado chamado Peter Milton e conseguiu entrar nos escrit rios da Honorable Auto Paris e j havia conseguido ligar o seu laptop rede da empresa At aqui tudo bem mas essa foi apenas a primeira etapa Aquilo que ainda teria de fazer n o seria f cil particularmente porque Anthony havia definido um limite de 15 minutos para si mesmo um pouco mais e ele calculava que o risco de ser descoberto seria muito alto Em uma liga o telef nica anterior fingindo ser uma pessoa do suporte do fornecedor de com putadores ele havia dado outro golpe A sua empresa comprou um plano de suporte por dois anos e estamos colocando voc s no banco de dados para sabermos quando um programa de software que voc s usam ter um patch ou uma vers o atualizada Assim sendo preciso que voc s me digam quais aplicativos voc s usam A resposta deu lhe uma lista de programas e um amigo contador identificou um chamado MAS 90 como o alvo o programa que manteria a lista de fabricantes juntamente com o desconto e os prazos de pagamento de cada um Recado do Mitnick Treine o seu pessoal para n o julgar um livro apenas pela capa o fato de algu m estar bem vestido e bem penteado n o faz dela uma pessoa mais confi vel
352. ixon O Sr Simon havia morrido mas o autor tinha o nome de uma mulher que havia pertencido sua equipe Ele estava certo de que ela ainda morava em D C mas n o conse guira encontrar o seu endere o Ela n o tinha um telefone em seu nome ou pelo menos seu nome n o estava na lista Assim sendo eles me ligaram Eu disse a ele que n o teria problema Esse o tipo de trabalho que geralmente voc realiza em uma ou duas liga es telef nicas se souber o que est fazendo Toda empresa telef nica local pode dar as informa es Obviamente voc tem de mentir um pouco Mas uma mentirinha de vez em quando n o faz mal a ningu m certo Gosto de usar uma abordagem diferente de cada vez s para que as coisas fiquem interessantes Este fulano do escrit rio executivo sempre funcionou para mim Assim como tenho algu m na linha do escrit rio do vice presidente Fulano que tamb m funcionou desta vez Recado do Mitnick Nunca ache que os ataques da engenharia social precisem ter mentiras elaboradas t o complexas que provavelmente ser o reconhecidas antes de serem conclu das Alguns s o ataques diretos r pidos e muito simples os quais nada mais s o do que bem simplesmente pedir as informa es Voc tem de desenvolver o instinto do engenheiro social precisa ter uma id ia da disposi o da pessoa que est do outro lado em cooperar com voc Desta vez tive a sorte de encontrar uma senhora amistosa e til Em
353. juda ao atacante ou um colega faz uma solicita o que atendida pelo atacante Como isso funciona Voc vai descobrir em breve A ARTE DA PERSUAS O AMISTOSA Quando uma pessoa de n vel intelectual m dio cria o cen rio de um ataque de computador o que geral mente nos vem mente a imagem pouco louv vel de um maluco solit rio e introvertido cujo melhor amigo seu computador e que tem dificuldades para conversar exceto por meio de mensagens r pidas O engenheiro social o qual via de regra tem habilidades de hacker tamb m tem habilidades pessoais opostas habilidades bem desenvolvidas para usar e manipular as pessoas que permitem que ele con siga as informa es de forma que voc nunca acreditaria que fosse poss vel O interlocutor de Angela Local Filial de Valley Industrial Federal Bank Hora 11 h27 Angela Wisnowski atendeu a liga o telef nica de um homem que dizia estar para receber uma heran a consider vel e queria informa es sobre os diferentes tipos de contas de poupan a Jarg o GOLPE INVERSO Um golpe no qual a pessoa atacada pede ajuda ao atacante O 1 0 8 A Arte de Enganar certificados de dep sito e outros investimentos que ela pudesse sugerir como seguros mas com rendimentos decentes Ela explicou que havia diversas op es e perguntou se ele n o queria aparecer no banco para discutir os detalhes com ela Ele disse que viajaria assim que o dinheiro chegasse e tinha muitas pr
354. l Mas para algu m que tenha habilidades de engenharia social mesmo que modestas isso dificilmente um desafio Um engenheiro social em particular Eric Mantini como vou cham lo precisava conseguir o n mero de carteira de motorista e os n meros de registro de ve culo freq entemente Eric calculou que n o era preciso aumentar o seu risco e ligar para o Departamento de Tr nsito passando sempre o mesmo golpe quando precisava daquelas informa es Ele se perguntava se n o havia um modo de simplificar esse processo Provavelmente ningu m jamais havia pensado nisso antes mas ele descobriu um modo de obter as informa es num instante sempre que as queria Ele fez isso aproveitando se de um servi o forne cido pelo Departamento de Tr nsito do seu estado Os Departamentos de Tr nsito de muitos estados tomam as informa es de acesso privilegiado sobre os cidad os dispon veis para as empresas segu radoras os detetives particulares e determinados outros grupos os quais de acordo com a lei foram considerados como tendo direito a elas pelo bem do com rcio e da sociedade em geral Obviamente o Departamento de Tr nsito tem as limita es apropriadas para os tipos de dados que ser o divulgados A ind stria dos seguros pode obter determinados tipos de informa es dos arquivos mas n o outras Um conjunto diferente de limita es aplica se aos detetives e assim por diante Em geral para os agentes da lei uma regra d
355. l mbia Costa Rica Chile Espanha Guatemala M xico Peru Porto Rico Venezuela Kevin D Mitnick amp William L Simon PEARSON Education 2003 by Pearson Education do Brasil Ltda 2002 by Kevin D Mitnick Tradu o autorizada da edi o em l ngua inglesa publicada pela John Wiley amp Sons Inc Todos os direitos reservados Nenhuma parte desta publica o poder ser reproduzida ou transmitida de qualquer modo ou por qualquer outro meio eletr nico ou mec nico incluindo fotoc pia grava o ou qualquer outro tipo de sistema de armazenamento e transmiss o de informa o sem pr via autoriza o por escrito da Pearson Education do Brasil Diretor Editorial Jos Martins Braga Editora Gis lia Costa Editora de Texto Marileide Gomes Prepara o Carla Montagner Revis o Marise Goulart e Gina Monteiro de Barros Designer de capa Marcelo da Silva Fran ozo Fotografia do autor Monty Brinton Editora o Eletr nica Marco Zero Denise D Amaro Chiara Dados Internacionais de Cataloga o na Publica o CIP C mara Brasileira do Livro SP Brasil Mitnick Kevin D 1963 MITNICK A arte de enganar Kevin D Mitnick William L Simon Tradu o K tia Aparecida Roque revis o t cnica Olavo Jos Anchieschi Gomes Titulo original The art of deception controlling the human element of security ISBN 85 346 1516 0 1 Computadores seguran a 2 Engenharia social 3 Segur
356. lacionado pode ser usado por um atacante para comprometer a seguran a dos computadores e da rede 4 9 Caixas de correio entre empresas Pol tica As caixas de correio entre empresas n o devem estar localizadas nas reas acess veis ao p blico Explica o Observa es Os espi es industriais ou os intrusos de computador que t m aces so aos pontos de coleta de correspond ncia entre as empresas podem facilmente enviar cartas de autori za o ou formul rios internos falsos que autorizam o pessoal a liberar as informa es Confidenciais ou a executar uma a o que auxilie o atacante Al m disso o atacante pode enviar um disquete ou m dia eletr nica com instru es para a instala o de uma atualiza o de software ou pode abrir um arquivo que tenha comandos de macro incorporados que servem aos objetivos do intruso Naturalmente quem recebe sup e que toda solicita o enviada pelo correio entre empresas seja aut ntica 4 10 O quadro de avisos da empresa Pol tica Para beneficio dos funcion rios da empresa os quadros de aviso n o devem estar localizados nas depend ncias s quais o p blico tenha acesso Explica o Observa es Muitas empresas t m quadros de aviso nos quais as informa es particulares da empresa ou do pessoal s o publicadas para que todos possam ler Os avisos do empregados as listas de empregados os memorandos internos os n meros de contato residencial dos empregados relacionados n
357. lar com o seu advogado Johnny estava preparado com a resposta esperada Escrit rio do Defensor P blico ele anunciou Quando o homem pediu para falar com o seu advogado Johnny disse Vou ver se ele est dis pon vel de qual alojamento voc est ligando Ele anotou a resposta do homem colocou a liga o Cap tulo 11 Combinando a Tecnologia e a Engenharia Social 143 em espera e voltou ap s meio minuto com a resposta Ele est no tribunal voc ter de ligar mais tarde e desligou Ele havia passado uma boa parte da manh mas poderia ter sido pior a sua quarta tentativa caiu no Dez Norte Assim sendo Johnny agora tinha o n mero de telefone com o EDP da unidade onde estava Gondorff Sincronizem seus rel gios Agora ele precisava mandar um recado para Gondorff dizendo para atender o telefone que conecta os internos diretamente com o Escrit rio do Defensor P blico Isso era mais f cil do que parecia Johnny ligou para o centro de deten o usando a sua voz oficial identificou se como um empregado e pediu para ser transferido para o Dez Norte A liga o foi completada imediatamente Quando o oficial atendeu Johnny o enganou usando a abrevia o interna para Receber e Liberar a unidade que processa os novos internos e libera aqueles que est o sendo soltos Aqui Tyson do R amp L ele disse Preciso falar com o interno Gondorff Temos alguns pertences dele e precisamos que ele nos d o endere o para
358. lef nica e envolve um risco m nimo UM CASO CL SSICO DE FRAUDE Qual e a maior amea a seguran a dos bens da sua empresa Isso f cil o engenheiro social um m gico inescrupuloso que faz voc olhar a sua m o esquerda enquanto com a m o direita rouba seus segredos Esse personagem quase sempre t o amistoso desembara ado e prestativo que voc se sente feliz por t lo encontrado D uma olhada em um exemplo da engenharia social N o h muitas pessoas hoje que ainda se lem bram do jovem chamado Stanley Mark Rifkin e de sua pequena aventura com o agora extinto Security Pacific National Bank de Los Angeles Os relatos dessa invas o variam e Rifkin assim como eu nunca contou a sua pr pria vers o Assim sendo o que vem a seguir se baseia nos relat rios publicados Descoberta do c digo Certo dia em 1978 Rifkin perambulou pela sala de transfer ncia eletr nica com acesso autorizado apenas para os funcion rios do Security Pacific na qual a equipe enviava e transferia v rios bilh es de d lares todos os dias Ele trabalhava como contratado de uma empresa que desenvolvia um sistema de backup para os dados da sala de transfer ncia para o caso de seu computador principal ficar paralisado Essa fun o deu lhe acesso aos procedimentos de transfer ncia incluindo o modo como os funcion rios do banco organizavam o envio de uma transfer ncia Ele aprendeu que os funcion rios do banco que estavam autorizados a pedi
359. lefone da pol cia para o qual teria de ligar ao falar com a sede estadual do Departamento de Tr nsito Quem voc perguntou o oficial de pol cia da sala de teletipo Aqui o Al Eu estava ligando para o 503 555 5753 ele disse Isso era em parte uma suposi o e em parte um n mero que ele tirou do nada com certeza o escrit rio especial do Departamento de Tr nsito que recebia liga es sobre a aplica o da lei deveria ter o mesmo c digo de rea do n mero dado para o p blico ligar e era quase certo que os pr ximos tr s d gitos o prefixo tamb m fossem iguais Tudo o que ele realmente precisava descobrir eram os quatro ltimos d gitos A sala de teletipo do delegado n o recebe liga es do p blico E o interlocutor j tinha a maior parte do n mero Obviamente essa era uma solicita o legitima O n mero 503 555 6127 respondeu o oficial Dessa forma Eric agora tinha o n mero de telefone especial que os policiais usavam para ligar para o Departamento de Tr nsito Mas um n mero apenas n o bastava para satisfaz lo o escrit rio deveria ter muito mais do que uma nica linha telef nica e Eric precisava saber quantas linhas havia e o n mero de cada uma delas A central telef nica Para executar seu plano ele precisava acessar a central telef nica que tratava das linhas telef nicas entre a pol cia e o Departamento de Tr nsito Ele ligou para o Departamento de Telecomunica es estadual e dis
360. leg timos Outra t cnica semelhante transportar diversas caixas para que o trabalhador abra e mantenha a porta aberta para ajudar 9 7 Destruindo documentos sigilosos Pol tica Os documentos sigilosos a ser descartados devem ser colocados em uma m quina de cortar papel a m dia incluindo discos r gidos que alguma vez contiveram informa es ou materiais Sigilosos deve ser destru da de acordo com os procedimentos estabelecidos pelo grupo respons vel pela seguran a das informa es Explica o Observa es As m quinas padr o de cortar papel n o destroem adequada mente os documentos As m quinas com corte cruzado transformam os documentos em polpa A melhor pr tica de seguran a presumir que os principais concorrentes da organiza o revirar o os materiais descartados em busca de qualquer informa o que possa benefici los Os espi es industriais e atacantes de computador obt m regularmente as informa es Sigilo sas dos materiais que s o jogados no lixo Em alguns casos os concorrentes t m tentado enganar as equipes de limpeza para mexer no lixo da empresa Em um exemplo recente um empregado da Goldman Sachs descobriu na lata de lixo itens que foram usados em um esquema interno de com rcio 9 8 Identificadores pessoais Pol tica Os identificadores pessoais tais como o n mero do empregado o n mero do seguro social o n mero da carteira de motorista a data e o local de nascimento e o nome de s
361. les parecem ter autoridade ou conhecimento S porque algu m conhece a pr tica de uma empresa ou usa a terminologia interna n o h motivos para assumir que a sua identidade n o precisa ser verificada de outras maneiras Os encarregados da seguran a e os administradores de sistemas precisam sempre prestar aten o ao modo como iodas as pessoas t m consci ncia da seguran a Eles tamb m precisam ter certeza de que eles pr prios est o seguindo as mesmas regras procedimentos e pr ticas As senhas e outros itens semelhantes obviamente nunca devem ser compartilhados mas a restri o contra o compartilhamento mais importante ainda no caso dos tokens baseados em tempo e em outras formas seguras de autentica o uma quest o de bom senso o fato de que o compartilhamento de um desses itens vai contra o motivo pelo qual a empresa instalou os sistemas O compartilhamento significa que n o pode haver responsabilidade Se um inciden te de seguran a ocorre ou se algo de errado acontece voc n o poder determinar quem o respons vel Como reitero neste livro os empregados precisam estar familiarizados com as estrat gias da engenharia social e seus m todos para analisar com responsabilidade as solicita es recebi das Considere o uso da dramatiza o como parte do treinamento em seguran a para que os empregados possam entender melhor como o engenheiro social age Sites Falso
362. lho de um educado golpista que viveu muito tempo Quando crian a Le Carr ficou chocado ao descobrir que embora bem sucedi do para enganar as outras pessoas seu pai tamb m era cr dulo e mais de uma vez foi v tima de outro golpista Isso s prova que todos correm o risco de serem enganados por um engenheiro social mesmo outro engenheiro social JOGO DE ENGANA O Agora temos um desafio A pr xima hist ria n o envolve a espionagem industrial Ao ler esta parte veja se pode entender o motivo pelo qual resolvi incluir este cap tulo Harry Tardy voltou para casa e estava amargurado Os Fuzileiros Navais pareciam uma tima fuga at que foi expulso do campo de combate Agora ele voltara para a cidade natal que odiava estava fa zendo cursos de computador na escola comunit ria local e procurando um modo de atacar o mundo Finalmente ele chegou a um plano Depois de beber algumas cervejas com um colega de classe ele reclamava do instrutor que era do tipo sabe tudo e sarc stico Juntos resolveram criar um esquema perverso para queimar o professor eles pegariam o c digo fonte de um conhecido personal digital assistam PDA e o enviariam para o computador do instrutor e deixariam pistas para que a empresa pensasse que o instrutor era o culpado O novo amigo Karl Alexander disse que conhecia alguns truques e diria a Harry como fazer as coisas E eles continuaram com o plano Fazendo a li o de casa Um pouco de pesquisa
363. lidades pr prias Deve haver um n vel b sico de treinamento que todos da empresa devem ter e depois as pessoas tamb m devem ser treinadas de acordo com o perfil do seu cargo para seguir determinados procedimentos que reduzem as chances de elas se tornarem parte do problema As pessoas que trabalham com informa es confidenciais ou que s o colocadas em posi es de confian a devem ter treinamento especializado adicional Mantendo seguras as informa es confidenciais Quando as pessoas s o abordadas por um estranho que oferece ajuda como vimos neste cap tulo elas t m de recorrer pol tica de seguran a corporativa feita de acordo com as necessidades dos neg cios o tamanho e a cultura da sua empresa Nunca coopere com um estranho que pede para voc procurar informa es digitar comandos desconhecidos em um computador fazer altera es nas configura es do software ou o mais 60 A Arte de Enganar desastroso de tudo abrir um anexo de correio eletr nico ou fazer o download de um software sem verifica o Todo programa de software mesmo aquele que parece n o fazer nada pode n o ser t o inocente quanto parece ser Observa o N o acredito que nenhuma empresa deva permitir qualquer troca de senhas muito mais f cil estabelecer uma regra que pro be o pessoal de compartilhar ou trocar as senhas confidenciais Isso tamb m mais seguro Mas cada empresa tem de avaliar a sua pr pria cultura e a
364. lidas de acesso alta seguran a Pol tica Em uma organiza o com altos requisitos de seguran a sempre que um n mero especificado de tentativas inv lidas e sucessivas de login em determinada conta for feito a conta deve ser desativada at que seja redefinida pela pessoa do grupo respons vel por fornecer suporte de conta Explica o Observa es Todas as esta es de trabalho e servidores da empresa devem ser definidos para limitar o n mero de tentativas sucessivas e inv lidas de login Esta pol tica um controle necess rio para evitar que uma senha seja adivinhada pela tentativa e erro pelos ataques de dicion rio ou pelas tentativas de for a bruta de ter acesso n o autorizado O administrador do sistema deve configurar as defini es de seguran a para bloquear uma conta ap s cinco tentativas inv lidas de login Depois de tal ataque o dono da conta ter de ligar para o su porte t cnico ou para a pessoa do grupo respons vel pelo suporte de conta para ativ la Antes de re definir a conta o respons vel pelo departamento deve confirmar a identidade do dono da conta de acordo com os Procedimentos de Verifica o e Autoriza o 240 A Arte de Enganar 7 23 Altera o peri dica das senhas de conta com privil gios administrativos Pol tica Todos os donos de contas com privil gios administrativos devem alterar suas senhas pelo menos a cada 30 dias Explica o Observa es Dependendo das limita
365. los incidentes 262 263 help desk 230 233 opera es de computadores 241 243 procedimentos de verifica o e autoriza o 212 216 recepcionista 261 262 recursos humanos 257 259 seguran a f sica 259 262 senhas 154 254 256 uso do fax 252 uso do computador 246 250 uso do correio eletr nico 250 251 uso do telefone 251 uso do voice mail 253 254 tecnologia da informa o 229 243 telecomutador 257 pol tica help desk 230 pol ticas de administra o de telefone 221 223 pol ticas de opera es de computadores 241 242 pontos de acesso sem fio 241 pr ticas fraudulentas ou fraude confian a o segredo da 33 36 terroristas e 8 uso pelos engenheiros sociais 6 Primary Rate Interface ISDN integrated services digital network 168 privil gio s acesso 147 privil gios do administrador de sistema 147 programa de monitoramento minicomputador 134 programa de recompensa 204 205 programa de treinamento 196 Propriet rio das Informa es 210 216 provedores de servi os contas de clientes com 226 227 P blica o classifica o de dados 212 268 pwdump3 ferramenta 151 Q quadro de avisos da empresa 226 queda da rede estudo de caso 45 49 ndice 283 R RAT ou Remote Access Trojan 76 Recent Change Memory Authorization Center RCMAC 141 recep o ou recepcionistas ataques da engenharia social 130 131 137 138 pol ticas para 261 262 reciprocidade 247 248 reconhecimento
366. lquer pessoa que n o esteja autorizada a se conectar com a rede sem fio Explica o Observa es Sempre confirme se o solicitante uma pessoa autorizada a se conectar rede corporativa como usu rio externo antes de liberar as informa es de acesso sem fio Consulte os Procedimentos de Verifica o e Autoriza o 6 9 Nome dos usu rios com problemas Pol tica Os nomes dos empregados que relataram problemas relacionados com computadores n o devem ser revelados fora do departamento de tecnologia da informa o Explica o Observa es Em um ataque t pico um engenheiro social liga para o help desk e solicita os nomes dos funcion rios que relataram problemas recentes com o computador O interlo cutor pode se fazer passar por um funcion rio fornecedor ou um empregado da empresa de telefonia Depois de obter os nomes dessas pessoas o engenheiro social faz se passar por uma pessoa do help desk ou suporte t cnico entra em contato com o empregado e diz que est ligando para solucionar o problema Durante a liga o o atacante faz a v tima fornecer as informa es desejadas ou executar uma a o que facilita o objetivo do atacante 6 10 Iniciando comandos de execu o ou executando programas Pol tica O pessoal empregado no departamento de TI que tem contas privilegiadas n o deve executar nenhum comando ou programa de aplicativo sob solicita o de qualquer pessoa que eles n o conhe am pessoalmente Expli
367. lte os Procedi mentos de Verifica o de Empregados Sim Inserir comandos em qualquer computador N o O solicitante deve ser apenas do departamento de TI consulte os Procedi mentos de Verifica o de Empregados Instalar software apenas de fontes confi veis que possam ser autenticadas por assinatura digital Sim Download instala o remo o ou desativamento de qualquer software N o N o altere nenhuma defini o da BIOS do sistema operacional ou de qualquer aplicativo incluindo o firewall pessoal ou os utilit rios de antivirus a menos que isso seja especificamente aprovado pelo departamento de TI O solicitante deve ser apenas do departamento de TI consulte os Procedi mentos de Verifica o de Empregados Sim Alterar as defini oes do sistema rede de computador Todas as a es que voc realiza a pedido de outras pessoas podem resultar em comprometimento dos bens da sua empresa Verifique Verifique Verifique Fontes CAP TULO 1 BLOOMBECKER Buck Spectacular Computer Crimes What They Are and How They Cost American Business Half a Billion Dollars a Year Irwin Professional Publishing 1990 LITTMAN Jonathan The Fugit ve Game Online with Kevin Mitnick Little Brown amp Co 1997 PENENBERG Adam L The Demonizing of a Hacker Forbes 19 abr 1999 CAP TULO 2 A hist ria de Stanley Rifkin baseada nestes relatos Computer Security Institute Sem data
368. m Andrews National Bank Kim Voc quer abrir uma conta hoje Ol Kim Eu quero fazer uma pergunta Voc s usam a CreditChex Sim Quando voc s ligam para a CreditChex como voc chama o n mero que fornece um MD do Comerciante H uma pausa ela est pensando na pergunta perguntando se do que se trata e se ela deve responder O interlocutor continua rapidamente sem perder o ritmo Sabe Kim estou escrevendo um livro Ele trata de investiga es particulares Sim ela diz respondendo pergunta com confian a e feliz em ajudar um escritor Ent o voc s chamam esse n mero de ID do comerciante n o Hum hum timo porque eu queria ter certeza de que estava usando a linguagem certa no livro Obrigado pela sua ajuda At logo Kim A segunda liga o Chris Talbert National Bank Contas Novas Chris Ol Chris Aqui o Alex o interlocutor diz Eu sou um representante do servi o ao cliente da CreditChex Estamos fazendo uma pesquisa para melhorar os nossos servi os Voc tem alguns minutos Ela concordou e o interlocutor continua Muito bem qual o hor rio de funcionamento da sua filial Ela respondeu e continuou respondendo s suas perguntas Quantos empregados da sua filial usam o nosso servi o Com que freq ncia voc liga para n s com uma consulta Qual dos nossos n meros 800 n s designamos para voc s usarem ao ligar para n s O
369. m daqueles telefones e uma conex o direta estabelecida com o telefone correspondente do EDP A empresa de telefonia chama isso de Conex o Direta As autoridades desavisadas sup em que o servi o seguro e invul ner vel porque as liga es feitas s podem ir para a Defensoria P blica e as liga es recebidas s o bloqueadas Mesmo que algu m pudesse de alguma maneira encontrar o n mero do telefone eles estariam programados na empresa de telefonia para negar encerramento o qual uma express o complicada da empresa de telefonia para descrever o servi o no qual as liga es recebidas n o s o permitidas Como todo grifter meio decente conhece bem a arte da fraude Johnny descobriu que tinha de haver um modo de contornar esse problema L dentro Gondorff j havia tentado pegar um dos telefo nes do EDP e dizer Aqui Tom do centro de reparos da empresa de telefonia Estamos executando um teste nessa linha e preciso que voc tente discar nove zero e zero O nove acessaria uma linha externa o zero zero ligaria para uma telefonista de interurbano Isso n o funcionou a pessoa que atendeu ao telefone no EDP j conhecia esse truque Johnny estava com mais sorte Ele descobriu rapidamente que havia dez unidades no centro de deten o cada uma com uma linha telef nica direta para o Escrit rio do Defensor P blico Johnny encontrou alguns obst culos mas como um bom engenheiro social que era ele p de pensar em mo do
370. m de fora ou de dentro da empresa e se o nome ou n mero de telefone exibido coincide com a identidade fornecida pelo inter locutor Ponto fraco As informa es do ID de chamadas de uma liga o externa podem ser falsificadas por algu m que tenha acesso a um PBX ou telefone conectado ao servi o telef nico digital 214 A Arte de Enganar 2 Liga o de retorno Procure o nome da pessoa no diret rio da empresa e ligue de volta para o ramal relacionado para verificar se o solicitante um empregado Ponto fraco Um atacante com conhecimento suficiente pode fornecer o ramal de uma em presa para que quando o empregado fizer a liga o de verifica o para o n mero do telefone relacionado a liga o seja transferida para o n mero de telefone externo do atacante 3 Autoriza o Uma Pessoa de Confian a que garante a identidade do solicitante e que o verifica Ponto fraco Os atacantes usam um pretexto para convencer outro empregado de que eles t m mesmo aquela identidade e assim podem fazer com que aquele empregado se responsa bilize por eles 4 Segredo compartilhado Use um segredo compartilhado na empresa tal como uma senha ou c digo di rio Ponto fraco Se muitas pessoas compartilham do segredo um atacante pode descobri lo facilmente 5 Supervisor gerente do empregado Ligue para o supervisor imediato do empregado e soli cite a verifica o Ponto fraco Se o solicitante forneceu o n mero do telefone do
371. m do trabalho Quem perguntou Steve Ralph alguma coisa acho Ralph Steve n o conseguia se lembrar de algu m da GeminiMed chamado Ralph que poderia estar ligando em um final de semana Mas Anna provavelmente havia entendido o nome errado Steve aqui Ramon Perez do Suporte T cnico Ramon como ser que Anna conseguiu entender um nome t o diferente como Ralph Steve se perguntava Esta apenas uma liga o de cortesia Ramon dizia Tr s dos servidores est o paralisados achamos que pode ser um v rus e temos de limpar as unidades de disco c restaurar do backup Os seus arquivos estar o prontos na quarta ou quinta feira com sorte Isso n o poss vel disse Steve com firmeza tentando n o se deixar tomar pela frustra o Como essas pessoas podiam ser t o est pidas Elas realmente achavam que ele poderia ficar sem acessar seus arquivos durante todo o final de semana e na maior parte da pr xima semana De maneira nenhuma Vou me sentar no meu terminal aqui em casa daqui a duas horas e preciso acessar meus arquivos Isso est claro Sim bem todos para quem liguei at agora querem ser os primeiros da lista Desisti do meu final de semana para vir trabalhar nisso e n o engra ado ter todo mundo com quem falo brigando comigo Estou com um prazo curto a empresa conta com isso tenho de fazer o trabalho nesta tarde Que parte disso voc n o entendeu Ainda tenho de ligar para muit
372. m empregado de outra empresa que es tabeleceu um relacionamento com a sua empresa por exemplo um cliente fornecedor ou parceiro estrat gico de neg cios que assinou um contrato de confidencialidade Na autoriza o de terceiro uma Pessoa de Confian a confirma o v nculo empregat cio ou status de uma pessoa e da sua autoridade para solicitar informa es ou uma a o Observe que em alguns casos essas pol ticas exigem que voc verifique se a Pessoa de Confian a ainda est empregada pela empresa antes de responder a uma solicita o de informa es ou a o feita por algu m para quem eles nunca deram autoriza o Uma conta privilegiada e um computador ou outra conta que requer permiss o de acesso al m da conta de usu rio b sica tal como uma conta de administrador de sistema Os empregados que tem contas privilegiadas podem modificar os privil gios de usu rio ou executar as fun es de sistema Uma caixa de correio departamental geral uma caixa postal de voice mail que possui uma mensagem gen rica para o departamento Ela usada para proteger nomes e ramais de telefone de empregados que trabalham em determinado departamento PROCEDIMENTOS DE VERIFICA O E AUTORIZA O Os ladr es de informa es usam t ticas fraudulentas para acessar ou obter informa es comerciais confidenciais ao se passar por empregados leg timos contratados fornecedores ou parceiros de ne g cios Para manter a seguran a efet
373. m este telefone Ele voltou N o n o sabemos de nenhum problema Quantas linhas telef nicas voc s tem a Ele havia esquecido a hist ria do meu sobrenome Duas ele respondeu Em qual voc est agora 3140 Pronto E ambos est o funcionando bem Parece que sim Muito bem eu salientei Ou a Tom se voc tiver algum problema basta nos ligar na empresa de telefonia a qualquer momento Estamos aqui para ajudar O meu amigo e eu resolvemos visitar a f brica na noite seguinte No final daquela tarde liguei para a guarita do guarda usando o nome do funcion rio de Marketing e disse Oi aqui Tom Stilton de Gr ficos Estamos com um prazo vencendo aqui e dois rapazes est o chegando cidade para ajudar Provavelmente eles chegar o depois da uma ou das duas da manh Voc ainda vai estar por aqui Ele ficou satisfeito em dizer que n o ele sa a meia noite Eu retruquei Bem deixe um recado para o seguran a do pr ximo turno OK Quando os dois rapazes aparecerem e disserem que vieram ver o Tom Stilton para deix los entrar tudo bem Sim ele disse estava tudo bem Ele tomou nota do meu nome do departamento e do n mero do ramal e disse que tomaria conta do assunto Chegamos ao port o um pouco depois das duas dei o nome de Tom Stilton e um guarda sono lento apontou para a porta pela qual dever amos entrar e onde dever amos estacionar o carro Quando ele entrou no
374. m quest o est correto e apropriado Exemplo de ataque o interlocutor diz que est realizando uma pesquisa e d o nome das outras pessoas do departamento que diz j terem cooperado com ele A v tima acreditando que a coopera o dos outros valida a autenticidade da solicita o concorda em tomar parte Em seguida o interlocutor faz uma s rie de perguntas entre as quais est o perguntas que levam a v tima a revelar o seu nome de usu rio e senha Escassez As pessoas t m a tend ncia de cooperar quando acreditam que o objeto procurado est em falta e que outras pessoas est o competindo por ele ou que ele s est dispon vel por um per odo de tempo curto Exemplo de ataque o atacante envia e mails dizendo que as primeiras 500 pessoas que se re gistrarem no novo site Web da empresa ganhar o ingressos gr tis para a premiere de um filme a que todos querem assistir Quando um empregado desavisado se registra no site ele tem de fornecer o endere o de e mail da sua empresa e selecionar uma senha Muitas pessoas moti vadas pela conveni ncia t m a tend ncia de usar a mesma senha ou uma senha semelhante em todo sistema de computador que usam Aproveitando se disso o atacante tenta comprometer o trabalho do alvo e os sistemas de computadores dom sticos com o nome de usu rio e a senha que foram inseridos durante o processo de registro no site Web CRIANDO PROGRAMAS DE TREINAMENTO E DE CONSCIENTIZA O O seu risco n
375. m uma mesa e come amos a montar folha por folha Todos gost vamos de montar quebra cabe as de modo que isso oferecia o estimulante desafio de um quebra cabe a gigante mas ele tinha mais do que uma recompensa infantil Quando termina mos t nhamos juntado toda a lista de nomes de contas e senhas de um dos sistemas de computador cr tico para a empresa As nossas explora es de vira latas valeram o risco e o esfor o Pode apostar que sim Valeu mais ainda do que voc imagina porque o risco zero Isso era verdadeiro naquela poca e ainda verdadeiro hoje Desde que voc n o invada nenhuma propriedade mexer no lixo de outra pessoa algo 100 legal Obviamente os phreakers e hackers n o s o os nicos que enfiam suas cabe as nas latas de lixo Os departamentos de pol cia de todo o pa s fazem isso regularmente e de mafiosos a criadores de bichinhos de estima o j foram condenados com base em parte na evid ncia coletada de seus lixos As ag ncias de intelig ncia incluindo a nossa pr pria recorrem a esse m todo h anos Essa pode ser uma t tica muito baixa para James Bond os f s do cinema podem preferir obser v lo perseguindo o vil o e levando uma beldade para a cama do que ficar de joelhos em algum lixo Os espi es da vida real s o menos enjoados quando algo de valor pode estar embalado entre cascas de banana e p de caf usado entre jornais e listas de compras Particularmente quando a cole
376. ma corporativo de um site da Internet Cap tulo 16 Recomenda es de Pol ticas de Seguran a das Informa es Corporativas 255 Explica o Observa es Os operadores maliciosos de sites Web podem configurar um site que diz oferecer algo de valor ou a possibilidade de ganhar um pr mio Para se registrar o visi tante do site deve inserir um endere o de correio eletr nico um nome de usu rio e uma senha Como muitas pessoas usam informa es iguais ou semelhantes de forma repetida o operador malicioso do site Web tentar usar a senha escolhida e as suas varia es para atacar o sistema de computadores no trabalho ou na casa do alvo O computador de trabalho do visitante s vezes pode ser identificado pelo endere o de correio eletr nico inserido durante o processo de registro 1 5 4 Senhas em diversos sistemas Pol tica Os funcion rios nunca devem usar uma senha igual ou semelhante em mais de um sistema Esta pol tica diz respeito a diversos tipos de dispositivos computador ou voice mail a diversas localiza es de dispositivos em casa ou no trabalho e a diversos tipos de sistemas disposi tivos roteador ou firewall ou programas banco de dados ou aplicativo Explica o Observa es Os atacantes usam determinadas caracter sticas da natureza humana para invadir os sistemas e as redes de computadores Eles sabem que para evitar o emba ra o de controlar diversas senhas muitas pessoas usam senhas iguais
377. ma determinada localiza o identific vel e sabendo uma senha cart o analisa a ANI a identifica o de n mero autom tica a qual fornecida pelo atendimento das liga es que s o pagas pela empresa do cart o de cr dito Um computador da administradora do cart o usa o n mero do cliente que est ligando fornecido pela ANI e compara esse n mero com o banco de dados de titulares de cart o da empresa Quando o operador entra na linha a sua tela exibe as informa es do banco de dados com os detalhes do cliente Assim sendo o operador j sabe que a liga o est sendo feita da casa de um cliente e essa uma forma de autentica o O operador escolhe um item nas informa es exibidas sobre voc quase sempre o n mero do seguro social a data de nascimento ou o nome de solteira da m e e pede que voc repita essas informa es Se voc fornecer a resposta certa essa uma segunda forma de autentica o com base nas informa es que voc deve saber Na empresa que fabrica os sistemas de r dio de seguran a da nossa hist ria cada empregado que tem acesso ao computador tinha o seu nome normal de conta e a sua senha Entretanto al m disso ele recebia um pequeno dispositivo eletr nico chamado ID Seguro projetado em tecnologias one time password Isso aquilo que chamado de token baseado em tempo Esses dispositivos s o de dois tipos um tem cerca de metade do tamanho de um cart o de cr dito mas
378. ma pol tica de classi fica o de dados devem examinar os tipos de detalhes que parecem inofensivos e podem ser usados para obter o acesso dos empregados leg timos mas esses detalhes podem levar a in forma es sigilosas Embora voc nunca daria os c digos de acesso do seu cart o eletr nico diria a algu m qual servidor voc usa para desenvolver produtos de software para a empresa Essas informa es poderiam ser usadas por uma pessoa que finge ser outra que tem acesso leg timo a rede corporativa O simples conhecimento da terminologia interna pode fazer com que um engenheiro social pare a assumir autoridade e conhecimento O atacante quase sempre usa esse erro comum de conceito para fazer com que suas v timas colaborem Por exemplo um ID de Comerciante um identificador que as pessoas do departamento de Contas Novas de um banco usam todos os dias Mas tal identificador exatamente igual a uma senha Se cada um dos empregados entender a natureza desse identificador o qual usado para autenticar positivamente um solicitante eles poder o trat lo com mais respeito Nenhuma empresa bem pelo menos muito poucas d os n meros dos telefones diretos de seus CEOs ou diretores A maioria das empresas por m n o se preocupa em dar os n me ros de telefones da maioria dos departamentos e grupos de trabalho da organiza o parti cularmente para algu m que ou parece ser um empregado Uma medida de contra ataque p
379. madas exceto quando ele for usado para identificar liga es internas Tanto em casa quanto no trabalho todos precisam ter consci ncia desse truque e reconhecer que o nome ou o n mero de telefone mostrado em um ID de chamadas n o pode ser usado como uma verifica o de identidade confi vel Recado do Mitnick Da pr xima vez que voc receber uma liga o e o ID mostrar que ela vem da mam e n o confie ela pode estar vindo de um am vel engenheiro social O EMPREGADO INVIS VEL Shirley Cutlass encontrou uma nova e interessante forma de ganhar dinheiro r pido N o mais pre ciso trabalhar duro nas minas de sal Ela se juntou a centenas de outros artistas do golpe envolvidos no crime da d cada Ela uma ladra de identidades Cap tulo 13 Trapa as Inteligentes 171 Hoje ela voltou a sua aten o para a obten o de informa es confidenciais do departamento de servi o ao cliente de uma administradora de cart es de cr dito Ap s fazer a li o de casa normal ela liga para a empresa alvo e diz para o operador que atende que gostaria de ser transferida para o Departamento de Telecomunica es Quando a liga o completada ela pede para falar com o ad ministrador da caixa postal Usando as informa es coletadas na sua pesquisa ela explica que o seu nome Norma Todd e que trabalha no escrit rio em Cleveland Usando um truque que agora j deve ser familiar para voc ela diz que vai viajar para a
380. maginados pelas pessoas designadas para implementar e desen volver o programa Assim como acontece na propaganda tradicional o humor e a intelig ncia ajudam A mudan a na reda o das mensagens evita que elas se tornem familiares demais para serem ignoradas A lista de possibilidades de um programa constante de conscientiza o poderia incluir O fornecimento de exemplares deste livro para todos os empregados A inclus o de itens informativos nas circulares da empresa por exemplo artigos lembretes de prefer ncia itens curtos que chamem a aten o ou quadrinhos A coloca o de uma foto do Empregado da Seguran a do M s P steres afixados nas reas dos empregados Notas publicadas no quadro de avisos O fornecimento de lembretes impressos nos envelopes de pagamento O envio de lembretes por correio eletr nico O uso de prote es de tela relacionadas com seguran a A transmiss o de an ncios sobre a seguran a por meio do sistema de voice mail A impress o de etiquetas para o telefone com mensagens tais como A pessoa que est ligan do quem ela diz ser A configura o de mensagens de lembrete que aparecem quando o computador ligado tais como Criptografe as informa es confidenciais antes de envi las A inclus o da conscientiza o para a seguran a como um item padr o nos relat rios de desempenho dos empregados e nas an lises anuais
381. mais tarde no EC Webster expliquei para ele verificar o cabo 29 e o par 2481 e ele foi at o quadro verificou e respondeu Sim havia discagem por tom E claro que eu sabia disso Depois acrescentei Muito bem preciso que fa a uma VL uma verifica o de linha ou seja pedi que identificasse o n mero do telefone Ele faz isso discando para um n mero especial que l o n mero do qual ele ligou Ele n o sabia se esse era um n mero que n o estava na lista ou que mudou e fez o que pedi Pude ouvir o n mero sendo anunciado no seu telefone de teste de t cnico Tudo funcionou perfeitamente Repliquei Bem o problema deve estar na rea como se eu soubesse o n mero Agradeci disse que continuar amos trabalhando para descobrir o problema e dei boa noite Recado do Mitnick Quando um engenheiro social sabe como as coisas funcionam dentro da empresa alvo ele pode usar esse conhecimento para desenvolver a confian a junto aos empregados As empresas precisam estar preparadas para os ataques da engenharia social vindos de empregados atuais ou ex empregados que podem ter um motivo de descontentamen to As verifica es de hist rico podem ser teis para detectar os candidatos a emprego que tenham uma propens o para esse tipo de comportamento Mas na maioria dos casos dif cil detectar essas pessoas A nica seguran a razo vel nesses casos im plantar e auditar os procedimentos de verifica o de identidade incl
382. mas verdadeiro H uma linha indefinida na qual as t cnicas de um detetive particular param de ser legais e co me am a ser ilegais Vince permaneceu legal at obter o n mero da filial Ele at permaneceu legal Capitulo 9 O Golpe Inverso 113 quando enganou Louis para lhe dar dois dos c digos de seguran a do dia Ele cruzou a linha quando obteve via fax as informa es confidenciais de um cliente do banco Mas para Vince e seu empregador esse um crime de baixo risco Quando voc rouba dinheiro ou bens algu m vai notar que eles desapareceram Quando voc rouba informa es na maior parte do tempo ningu m notar porque as informa es ainda est o em seu poder Recado do Mitnick Os c digos de seguran a verbais s o equivalentes s senhas pois fornecem um meio conveniente e confi vel de proteger os dados Mas os empregados precisam conhecer os truques que os engenheiros sociais usam e devem ser treinados para n o revelar os segredos de estado FAZENDO OS DETETIVES DE BOBOS Para um detetive particular ou engenheiro social quase sempre h ocasi es em que seria til ter o n mero da carteira de motorista de algu m por exemplo se voc quiser assumir a identidade de outra pessoa para obter informa es sobre seus saldos banc rios Al m de bater a carteira da pessoa ou espiar sobre seus ombros em um momento oportuno descobrir o n mero da carteira de motorista seria algo pr ximo do imposs ve
383. mas de informa es utilizados estabelecer as pol ticas apresentadas e omitir o restante Tamb m preciso fazer op es sobre a rigidez das pol ticas em cada categoria Uma empresa me nor localizada em uma nica instala o na qual a maioria dos empregados se conhece n o precisa estar muito preocupada com o fato de o atacante ligar e se fazer passar por um empregado embora claro um impostor pode se fazer passar por um fornecedor Da mesma forma apesar dos riscos maiores uma empresa estruturada com uma cultura corporativa mais liberal e solta pode querer adotar apenas um subconjunto limitado das pol ticas recomendadas para atender a seus objetivos de seguran a CLASSIFICA O DE DADOS Uma pol tica de classifica o de dados fundamental para proteger as informa es de uma organiza o e para estabelecer as categorias respons veis pela libera o das informa es confidenciais Essa pol tica fornece uma estrutura para proteger as informa es corporativas tornando os empregados conscientes do n vel de confidencialidade de cada informa o A opera o sem uma pol tica de classifica o de dados o que ocorre em quase todas as empre sas hoje em dia deixa a maioria dessas decis es nas m os de funcion rios individuais As decis es dos empregados naturalmente baseiam se em fatores subjetivos e n o na confidencialidade no fator cr tico e no valor das informa es As informa es tamb m s
384. mensa de papel todos os dias As informa es impressas da sua empresa podem ser vulner veis mesmo que voc use as precau es de seguran a e coloque um carimbo de confidencial Esta uma hist ria que mostra como os engenheiros sociais podem obter os seus documentos mais secretos A trapa a do loop around Todos os anos a empresa de telefonia publica uma lista chamada Lista de N meros de Teste ou pelo menos costumavam fazer isso mas como eu ainda estou na condicional n o vou perguntar se ainda a publicam Esse documento era muito cobi ado pelos phreakers porque ele trazia uma lista de to dos os n meros de telefone guardados a sete chaves e usados pelos funcion rios t cnicos e outros empregados da empresa de telefonia para coisas como teste de tronco ou verifica o de n meros que sempre est o ocupados Um desses n meros de teste conhecido pelo jarg o de loop around era particularmente til Os phreakers o usavam como um modo de entrar em contato com outros phreakers para conversar sem pagar pela liga o Tamb m costumavam us lo como um modo de criar um n mero de retorno para dar por exemplo a um banco Um engenheiro social diria a algu m do banco o n mero de telefone do seu escrit rio claro que n o Quando o banco ligava de volta para o n mero de teste loop around o phreaker podia receber a liga o mas tinha a prote o de usar um n mero que n o poderia ser rastreado e ele n o seria encontrado
385. mento o dono da conta deve assinar um documento reconhecen do a sua compreens o das pol ticas de seguran a e a sua concord ncia em segui las Cap tulo 16 Recomenda es de Pol ticas de Seguran a das Informa es Corporativas 229 4 1 9 O crach do empregado deve ser codificado com cores Pol tica Os crach s de identifica o devem ser codificados com cores para indicar se o porta dor um empregado contratado tempor rio fornecedor consultor visitante ou estagi rio Explica o Observa es A cor do crach um modo excelente de determinar o status de uma pessoa dist ncia Uma alternativa seria usar letras grandes para indicar o status do portador mas o uso de um esquema de c digo de cores inconfund vel e mais f cil de ser visto Uma t tica comum da engenharia social para obter o acesso f sico a um pr dio vestir se como um entregador ou t cnico Uma vez dentro da instala o o atacante faz se passar por outro emprega do ou mente sobre o seu status para obter a coopera o dos demais A finalidade desta pol tica evitar que as pessoas entrem no pr dio legitimamente e em seguida entrem nas reas s quais n o deveriam ter acesso Por exemplo uma pessoa que entra na instala o como um t cnico da empresa de telefonia n o poderia se fazer passar por um empregado A cor do crach o denunciaria POL TICAS DA TECNOLOGIA DA INFORMA O O departamento de tecnologia da informa o de q
386. merecia o que acontecera com ele Tudo isso supondo que a hist ria fosse verdadeira claro Cap tulo 10 Entrando nas Instala es 129 O problema havia come ado quando George ligou para Harlan no seu escrit rio no final de uma sexta feira e disse com o m ximo poss vel de gentileza que a partir da segunda feira Harlan teria um novo emprego no Departamento Sanit rio Para Harlan isso n o era como ser despedido isso era pior pois era humilhante Ele n o ia deixar isso barato Naquela mesma noite ele sentou se na varanda para observar o tr nsito das pessoas que voltavam para casa Finalmente encontrou um garoto da vizinhan a chamado David o qual era chamado por iodos de O garoto dos jogos de guerra voltando para casa vindo do col gio Ele parou David deu lhe um Code Red Mountain Dew que havia comprado especialmente com essa finalidade e fez a proposta o videogame mais recente e seis jogos em troca de ajuda com o computador e a promessa de ficar com o bico calado Depois que Harlan explicou o projeto sem dar nenhum detalhe comprometedor David concordou Ele descreveu o que queria que Harlan fizesse Ele teria de comprar um modem ir at o escrit rio encontrar o computador de algu m no qual houvesse um conector de telefone perto e desocupado e ligar o modem Teria de deixar o modem sob a mesa em um lugar onde ningu m poderia ver Em seguida viria a parte arriscada Harlan tinha de se sentar ao computador
387. minhar a solicita o para o gerenciamento quando as informa es tiverem classifica o acima de Internas Classifica o de dados CLASSIFICA O DESCRI O PROCEDIMENTO P blico Pode ser liberado para o p blico N o h necessidade de verifica o Um exame r pido da seguran a 269 CLASSIFICA O Interno Particular Confidencial DESCRI O Para uso dentro da empresa As informa es de natureza pes soal destinadas ao uso apenas den tro da empresa Compartilhados apenas com o pes soal que tem necessidade absoluta de conhecer as informa es dentro da organiza o PROCEDIMENTO Verificar a identidade do solicitante como um empregado ativo ou veri ficar o contraio de confidencialidade em arquivo e pedir aprova o do ge renciamento para n o empregados Verificar a identidade do solicitante como um empregado ativo ou n o empregado com autoriza o Con sultar o departamento de recursos humanos antes de divulgar infor ma es Particulares para empre gados autorizados ou solicitantes externos Verificar a identidade do solicitante e a necessidade de conhec las do Propriet rio designado das infor ma es Liberar apenas com con sentimento pr vio por escrito do gerente ou do Propriet rio das in forma es ou seu representante Ve rificar o contrato de confidenciali dade em arquivo Apenas o pessoal do gerenciamento
388. mpresa O desafio atingir um equil brio entre a seguran a e a produtividade Outros livros sobre seguran a corporativa concentram se na tecnologia de hardware e software e n o abordam adequadamente a amea a mais s ria de todas a fraude humana A finalidade aqui aju d lo a entender como voc seus colegas e as outras pessoas da sua empresa est o sendo manipulados e ensin lo a erguer as barreiras para pararem de ser v timas O livro concentra se principalmente nos m todos n o t cnicos que os invasores hostis usam para roubar informa es comprometer a integri Cap tulo 1 O Elo Mais Fraco Da Seguran a 9 dade das informa es que se acredita estarem seguras mas que n o est o ou para destruir o produto de trabalho da empresa A minha tarefa torna se mais dif cil por causa de uma nica verdade cada leitor ter sido manipu lado pelos maiores especialistas de todos os tempos da engenharia social seus pais Eles encontra ram maneiras de fazer com que voc para o seu pr prio bem fizesse aquilo que achavam ser o melhor Os pais tomam se os grandes contadores de hist rias da mesma forma que os engenheiros sociais desenvolvem com habilidade cada uma das hist rias plaus veis dos motivos e das justificati vas para atingir seus objetivos Sim todos fomos moldados por nossos pais benevolentes e s vezes nem tanto engenheiros sociais Condicionados por aquele treinamento tornamo nos vulner veis
389. n a 33 Cap tulo 5 Posso Ajudar 45 Cap tulo 6 Voc Pode Me Ajudar 63 Cap tulo 7 Sites Falsos e Anexos Perigosos 75 Cap tulo 8 Usando a Simpatia a Culpa e a Intimida o 85 Cap tulo 9 O Golpe Inverso 107 Parte Alerta de Invas o 119 Cap tulo 10 Entrando nas Instala es 121 Capitulo 11 Combinando a Tecnologia e a Engenharia Social 1 39 Cap tulo 12 Ataques aos Empregados Iniciantes 155 Capitulo 13 Trapa as Inteligentes 167 Capitulo 14 A Espionagem Industrial 179 Parte Eliminando as Barreiras 193 Cap tulo 1 5 Conscientiza o e Treinamento em Seguran a da Informa o 195 Cap tulo 16 Recomenda es de pol ticas de seguran a das informa es corporativas 207 Um exame r pido da seguran a 265 Fontes 273 Agradecimentos 275 ndice 279 s nascemos com um impulso interno de explorar a natureza daquilo que nos cerca Como todos os jovens Kevin Mitnick e eu ramos muito curiosos sobre o mundo e ansiosos para testar a n s mesmos Quase sempre fomos recompensados pelas nossas tentativas de apren der coisas novas solucionar quebra cabe as e ganhar jogos Mas ao mesmo tempo o mundo ao nosso redor nos ensinou regras de comportamento que restringiam nossa necessidade de explora o livre Para os nossos ousados cientistas e empreendedores tecnol gicos bem como para pessoas como Kevin Mitnick seguir essa vontade traz as maiores emo es e permite que realizemos coi
390. n a Ele esperava que um estudo do c digo o ensinasse como enganar a pol cia e talvez tamb m pudesse usar a tecnologia para que at mesmo os departamentos do governo mais poderosos tivessem dificuldades em monitorar as suas conversas com seus amigos Os dannys do mundo sombrio dos hackers pertencem a uma categoria especial que se classifica em algum lugar entre os meramente curiosos mas totalmente inofensivos e os perigosos Os dannys t m o conhecimento do especialista combinado ao desejo maligno do hacker de invadir os sistemas e as redes pelo desafio intelectual e pelo prazer de descobrir como a tecnologia funciona Mas as suas acrobacias eletr nicas de invas o n o passam disso acrobacias Esse pessoal esses hackers benig nos entram ilegalmente nos sites simplesmente pela divers o e pelo prazer de provar que eles podem fazer isso Eles n o roubam nada n o ganham dinheiro com suas explora es N o destroem nenhum arquivo n o interrompem as conex es de rede nem paralisam nenhum sistema de computadores O simples fato de eles estarem l pegando c pias de arquivos e pesquisando as mensagens de correio eletr nico em busca das senhas e de fazer isso pelas costas da seguran a e dos administradores de rede torce os narizes das pessoas que s o respons veis por afastar os intrusos como eles Grande parte da satisfa o est no fato de fazerem isso sozinhos Fiel ao seu perfil o nosso Danny queria examinar os detalhes do pro
391. ncentivo reconhecimento e apoio Essas palavras significaram muito para mim particularmente nos momentos em que mais precisei delas Agrade o especialmente a todos aqueles que me apoiaram defenderam e investiram seu tempo precioso e sua energia em falar com todos que quisessem ouvir expressando sua preocupa o e re pulsa ao tratamento injusto que recebi e hip rbole criada por aqueles que buscavam lucrar com O mito de Kevin Mitnick Tive a sorte de trabalhar com o autor de best sellers Bill Simon N s trabalhamos muito bem juntos apesar dos nossos padr es de trabalho diferentes Bill organizado acorda cedo e trabalha seguindo um estilo deliberado e bem planejado Sou grato a Bill porque ele gentilmente aceitou o meu cronograma de trabalho tarde da noite A minha dedica o a este projeto e as in meras horas de trabalho mantinham me acordado at de manh e isso conflitou com a programa o de trabalho regular de Bill Al m de ter tido a felicidade de trabalhar com algu m que podia transformar minhas id ias em senten as dignas de um leitor sofisticado Bill tamb m na maior parte do tempo um homem muito paciente que soube lidar com o meu estilo de programador focalizado nos detalhes Sem d vida con seguimos Mesmo assim quero me desculpar com Bill nestes agradecimentos pois sempre lamenta rei ter sido a nica pessoa que fez com que ele atrasasse a entrega de um trabalho pela primeira vez em sua longa carrei
392. nectar rede dos sistemas de computadores do Grupo de Comunica es Seguras Depois de uma hora pesquisando on line uma vulnerabilidade t cnica que lhe desse acesso ao servidor principal de desenvolvimento ele conseguiu Aparentemente o sistema ou o administrador da rede n o estavam atentos s ltimas comunica es sobre bugs de seguran a no sistema operacional que permitia o acesso remoto Mas Danny estava Em pouco tempo ele localizou os arquivos de c digo fonte que procurava e os transferiu remota mente para um site de com rcio eletr nico que oferecia espa o gr tis de armazenamento Nesse site mesmo que os arquivos fossem descobertos n o seria poss vel rastrear para descobrir quem os enviou Ele tinha de executar uma ltima etapa antes de se desconectar o processo met dico de apagar suas pegadas Ele terminou antes do programa de televis o sair do ar naquela noite Danny calculou que esse havia sido um bom trabalho de final de semana E n o teve de se arriscar pessoalmente Isso foi muito emocionante melhor ainda do que a adrenalina de praticar snowboarding ou p ra quedismo Danny ficou b bado aquela noite n o com scotch gim cerveja ou saque mas no sentido do poder e da realiza o medida que despejava os arquivos que havia roubado fechando com a ilus o do software de r dio secret ssimo Analisando a trapa a Como na hist ria anterior este golpe s funcionou porque um empregado da empresa estav
393. nem seu trabalho mais f cil Alguns empregados podem resistir mudan a e ignorar os bons h bitos de seguran a Voc talvez tenha encontrado um empregado assim o qual segue as regras sobre o tamanho e a complexidade da senha mas depois escreve a mesma senha em um Post it e a cola no monitor Uma parte vital da prote o da sua organiza o o uso de senhas dif ceis de serem descobertas as quais s o combinadas a configura es r gidas de seguran a na sua tecnologia Consulte o Cap tulo 16 para obter uma discuss o detalhada sobre as pol ticas recomendadas de senhas Ataques aos Empregados Iniciantes omo demonstram muitas hist rias deste livro o engenheiro social habilidoso quase sempre visa o pessoal de n vel mais baixo da hierarquia organizacional Pode ser f cil manipular essas pessoas para que elas revelem informa es aparentemente inofensivas que o atacante usa para chegar mais pr ximo da obten o das informa es mais confidenciais da empresa Um atacante visa os empregados do n vel iniciante porque geralmente eles n o t m consci ncia do valor das informa es espec ficas da empresa ou dos poss veis resultados de determinadas a es Da mesma forma eles tendem a ser facilmente influenciados por algumas das abordagens mais comuns da engenharia social um interlocutor que invoca a autoridade uma pessoa que parece amistosa e agrad vel uma pessoa que parece conhecer pessoas da empresa que
394. nforma es ou delegado Cap tulo 16 Recomenda es de Pol ticas de Seguran a das Informa es Corporativas 217 Explica o Observa es O Propriet rio designado ou delegado estabelece a classifica o apropriada de dados para todas as informa es que s o usadas rotineiramente para atingir os objetivos da empresa O Propriet rio tamb m controla quem pode acessar tais informa es e sua utiliza o Ele pode fazer nova designa o da classifica o e pode fixar um per odo de tempo para a desclassifica o autom tica Todo outro item que n o esteja marcado deve ser classificado como Confidencial 1 2 Publica o dos procedimentos confidenciais de tratamento Pol tica A empresa deve estabelecer os procedimentos que regem a libera o das informa es em cada categoria Explica o Observa es Depois que as classifica es s o feitas devem ser estabelecidos os procedimentos para a libera o das informa es pelos empregados para as pessoas fora da empre sa como detalhou o item Procedimentos de verifica o e autoriza o anteriormente neste cap tulo 1 3 Rotula o de todos os itens Pol tica Marque claramente o material impresso e o armazenamento de m dia que cont m in forma es Confidenciais Privadas ou Internas para que mostrem a classifica o de dados apropriada Explica o Observa es Os documentos impressos devem ter uma capa com uma eti queta de classifica o clara
395. ngenheiro social garante ao empregado que ele consegue encontrar o caminho de volta at a recep o Assim ele ganha a liberdade para perambular pelo pr dio e possivelmente ter acesso a informa es Sigilosas 1 8 4 Crach s tempor rios Pol tica Os funcion rios de outra localiza o que n o t m seus crach s de identifica o de vem apresentar uma carteira de identidade v lida ou outro documento com foto e receber um crach tempor rio de visitante Explica o Observa es Quase sempre os atacantes fazem se passar por empregados de um escrit rio ou filial diferente para ter acesso a uma empresa 1 8 5 Evacua o de emerg ncia Pol tica Em uma situa o de emerg ncia ou simula o o pessoal da seguran a deve garantir que todos tenham sa do das instala es Explica o Observa es O pessoal da seguran a deve verificar se alguma pessoa ficou nos banheiros ou nas reas de escrit rios Conforme autoriza o da Brigada de Inc ndio ou de outra autoridade respons vel a equipe de seguran a precisa estar alerta para todos aqueles que saem do pr dio muito depois da sua evacua o Os espi es industriais ou atacantes podem criar uma distra o para ter acesso a um pr dio ou rea segura Uma das distra es usadas lan ar no ar um produto qu mico inofensivo chamado butil Cap tulo 16 Recomenda es de Pol ticas de Seguran a das Informa es Corporativas 261 mercaptano O efeito d a
396. nho um cliente que est interessado naquele programa do telefone celular por um centavo Voc sabe do que se trata Certo Vendi alguns deles na ltima semana Voc ainda tem alguns dos telefones que acompanham aquele plano Tenho um monte deles timo porque acabei de vender um para um cliente O cr dito desse cliente foi aprovado e ele assinou o contrato Verifiquei o estoque e n o temos nenhum telefone Estou em uma situa o complicada Voc pode me fazer um favor Vou pedir para ele passar na sua loja e pegar um telefone Voc pode vender para ele o telefone de um centavo e dar lhe um recibo Ele deve me ligar de volta assim que pegar o telefone para eu ensinar como programar o aparelho Sim claro Mande ele aqui OK O nome dele Ted Ted Yancy Quando o homem que diz ser Ted Yancy aparece na loja da North Broad St Katie faz uma fatura e vende para ele um telefone celular por um centavo assim como o seu colega falou para ela fazer Ela caiu feito um patinho Na hora de pagar o cliente n o tem moedas no bolso Assim sendo ele vai at o pratinho com moedas pequenas no balc o do caixa pega uma e paga a garota da caixa registrado ra Ele recebe o telefone sem ter pago nem um centavo por ele Ele est livre para ir at outra empresa de telefonia celular que usa o mesmo modelo de telefone e escolher qualquer plano de servi os que quiser De prefer ncia um plano men sal sem nenhum comprometime
397. nica resposta que posso dar que as pessoas raramente fazem essa pergunta N o lhes ocorre perguntar Elas n o querem parecer tolas e pouco dispostas a ajudar Talvez sim Qualquer outra explica o seria pura adivinha o Mas os engenheiros sociais n o se importam com o motivo eles s se importam com o fato de esse pequeno detalhe facilitar a obten o das informa es que de outra forma seriam dif ceis de obter EVITANDO A TRAPA A Um c digo de seguran a bem utilizado agrega uma camada valiosa de prote o Um c digo de se guran a mal usado pode ser pior do que nenhum c digo porque ele d a ilus o de seguran a quando ela na verdade n o existe Para que servem os c digos se os seus empregados n o os mant m em segredo Qualquer empresa que tenha necessidade de c digos verbais de seguran a precisa declarar ex pressamente para seus empregados quando e como os c digos devem ser usados Se fosse treinado adequadamente o personagem da primeira hist ria deste cap tulo n o teria de depender dos seus ins tintos os quais foram facilmente superados quando lhe foi pedido que desse um c digo de seguran a para um estranho Ele sentiu que naquelas circunst ncias o c digo n o seria pedido mas sem uma pol tica clara de seguran a e sem o bom senso ele o deu com facilidade Os procedimentos de seguran a tamb m devem definir as etapas a serem seguidas quando um empregado faz uma solicita o inadequada por
398. ns segundos depois estava tudo pronto 142 A Arte de Enganar O gelo havia sido quebrado um tipo de cumplicidade havia sido estabelecido entre os dois Len do a atitude e disposi o da mulher em ajudar Johnny n o hesitou em se aproveitar Ele disse Voc tem alguns minutos mais para me ajudar Sim ela respondeu Do que voc precisa Tenho algumas outras linhas do mesmo cliente e todas est o com o mesmo problema Vou ler os n meros para voc conferir se eles n o est o configurados para negar encerramento tudo bem Ela disse que estava tudo bem Alguns minutos depois todas as dez linhas telef nicas haviam sido consertadas para receber liga es Encontrando Gondorff A seguir ele precisava encontrar em qual alojamento estava Gondorff Essas s o aquelas informa es que o pessoal que administra os centros de deten o e as pris es n o quer que pessoas de fora saibam Novamente Johnny teve de depender das suas habilidades de engenheiro social Ele fez uma liga o para a pris o federal de outra cidade ligou para Miami mas qualquer outra pris o serviria e disse que estava ligando do centro de deten o de Nova York Ele pediu para falar com algu m que trabalhasse no computador Sentry do Bureau o sistema de computadores que cont m as informa es sobre todos os prisioneiros de uma instala o do Bureau de Pris es em qualquer lugar do pa s Quando aquela pessoa atendeu Johnny capri
399. ntando acessar Outra quest o de seguran a a qual amplamente ignorada aparece como uma mensagem de avi so que diz algo do tipo Este site n o seguro ou o certificado de seguran a expirou Voc quer entrar no site mesmo assim Muitos usu rios da Internet n o entendem a mensagem e quando ela aparece simplesmente clicam em OK ou Sim e continuam com o seu trabalho sem saber que podem estar em areia movedi a Cuidado em um site Web que n o usa um protocolo seguro voc nunca deve inserir nenhuma informa o confidencial tal como o seu endere o ou o n mero de telefone os n meros do cart o de cr dito ou do banco ou qualquer outra coisa que deseja que continue sendo confidencial Thomas Jefferson disse que o pre o da liberdade a eterna vigil ncia A manuten o da priva cidade e da seguran a em uma sociedade que usa as informa es como moeda tamb m exige isso Tomando se especialista em v rus Uma nota especial sobre o software de v rus essencial para a intranet corporativa mas tamb m essencial para cada empregado que usa um computador Al m de terem o software antiv rus instalado em suas m quinas os usu rios obviamente precisam ter o netshield ativo o que muitas pessoas n o gostam porque ele inevitavelmente deixa mais lentas algumas fun es do computador Com o software antiv rus h outros procedimentos importantes que devem ser lembrados as defini es de v rus devem estar sempre
400. nte de programa o para criar as ferramentas para si mesmos Assim sendo Joe n o tinha a menor id ia de que um dos hackers mais experientes da Am rica estava sentado bem ao seu lado Achei isso muito divertido Ele j tinha a informa o sobre o meu sal rio assim sendo era tarde demais para tentar impedi lo Al m disso qualquer empregado que tenha acesso por computador Receita Federal 1RS ou Administra o do Seguro Social pode consultar o seu sal rio Certamente eu n o queria que ele sou besse que eu descobrira o que ele estava fazendo O meu principal objetivo na poca era ser discreto e um bom engenheiro social n o anuncia as suas habilidades e o seu conhecimento Voc sempre quer que as pessoas o subestimem e n o que o vejam como uma amea a Assim sendo deixei tudo como estava e ri sozinho porque Joe achava que sabia algum segredo sobre mim quando o que acontecia era exatamente o contr rio eu tinha a ltima palavra porque sabia o que ele estava fazendo Depois descobri que todos os meus tr s colegas do grupo de TI se divertiam olhando o sal rio desta ou daquela secret ria bonitinha no caso da nica garota do grupo ou daquele rapaz bonit o Cap tulo 10 Entrando nas Instala es 135 que eles haviam descoberto E todos estavam descobrindo o sal rio e os b nus de qualquer pessoa da empresa sobre quem estivessem curiosos incluindo a ger ncia de primeiro escal o Analisando a trapa a Esta
401. nteressante do golpe Se ela come asse a suspeitar eu estava pronto para jogar uma carta sobre como eu estava tentando fazer um favor que Jerry havia me pedido Indaguei Em qual sistema voc est Sistema Quais servidores de computador o seu grupo usa Ah sim ela disse o RM22 E algumas pessoas do grupo usam tamb m o GM16 Bom Precisava disso e essa era uma informa o que eu podia ter sem que ela suspeitasse de alguma coisa Para que ela me desse a pr xima informa o falei o mais informalmente que pude Jerry disse que voc me daria uma lista de endere os de correio eletr nico das pessoas da equipe de desenvolvimento E prendi a respira o Certo A lista de distribui o muito longa para eu ler posso envi la por correio eletr nico para voc Opa Qualquer endere o de correio eletr nico que n o terminasse com GeminiMed com seria uma imensa bandeira vermelha Voc pode me enviar por fax perguntei Ela n o viu nenhum problema nisso O nosso aparelho de fax est com problemas Vou lhe dar o n mero de outro J ligo de volta afirmei e desliguei Voc deve achar que tinha um problema complicado aqui mas esse apenas outro truque de ro tina dos neg cios Esperei um pouco para que a minha voz n o fosse reconhecida pela recepcionista e em seguida liguei Oi meu nome Bill Thomas o nosso aparelho de fax n o est funcionando posso pedir para enviarem um fax para a sua m
402. ntidade o controle de acesso para gerenciar o acesso aos arquivos e recursos do sistema e os sistemas de detec o de in trusos o equivalente eletr nico dos alarmes contra arrombamento s o necess rias para um programa corporativo de seguran a Mesmo assim hoje em dia t pico de uma empresa gastar mais dinheiro em caf do que em medidas de contra ataque para proteger se dos ataques seguran a Assim como uma mente criminosa n o resiste tenta o a mente do hacker orientada para en contrar maneiras de burlar as poderosas salvaguardas da tecnologia de seguran a E em muitos casos eles fazem isso visando s pessoas que usam a tecnologia Pr ticas fraudulentas H um ditado popular que diz que um computador seguro aquele que est desligado Isso inteligente mas falso o hacker convence algu m a entrar no escrit rio e ligar aquele computador Um advers rio que quer as suas informa es pode obt las em geral usando uma de v rias maneiras Tudo uma ques t o de tempo paci ncia personalidade e persist ncia nesse ponto que entra a arte da fraude Para anular as medidas de seguran a um atacante um invasor ou um engenheiro social deve encontrar um modo de enganar um usu rio de confian a para que ele revele as informa es ou de ve enganar algu m importante para que ele forne a o acesso Quando os empregados de confian a s o enganados influenciados ou manipulados para revelar inform
403. nto Analisando a trapa a natural que as pessoas tenham um grau alto de aceita o para com algu m que diz ser um colega do trabalho e que conhe a os procedimentos e a linguagem da empresa O engenheiro social desta his t ria aproveitou se disso descobrindo os detalhes de uma promo o identificando a si mesmo como empregado da empresa e pedindo um favor para outra filial Isso acontece entre as filiais das lojas de varejo e entre os departamentos de uma empresa na qual as pessoas est o separadas fisicamente e lidam quase todos os dias com colegas de trabalho que nem conhecem 40 A Arte de Enganar UM GOLPE DE HACKER NOS FEDERAIS Com freq ncia as pessoas n o param para pensar no material que a sua organiza o est disponi bilizando pela Web Para o meu programa semanal na R dio KF1 Talk de Los Angeles o produtor fez uma pesquisa on line e descobriu uma c pia de um manual de instru es para acessar o banco de dados do Centro Nacional de Informa es sobre o Crime Mais tarde ele encontrou o pr prio manual do NCIC on line um documento confidencial que d todas as instru es para recuperar in forma es do banco de dados nacional de crimes do FBI O manual um volume para os departamentos de pol cia o qual fornece a formata o e os c digos para recuperar as informa es sobre os criminosos do banco de dados nacional As ag ncias de todo o pa s podem pesquisar o mesmo banco de dados para obter as info
404. ntos na arte teatral chamada engenharia social fazer com que as pessoas fa am coisas que normalmente n o fariam para um estranho e sendo pago para fazer isso Para mim n o foi dif cil tornar me proficiente em engenharia social O lado paterno da minha fam lia trabalhava com vendas h gera es de modo que a arte da influ ncia e persuas o pode ter sido um tra o que herdei Quando voc combina uma inclina o para enganar as pessoas com os talentos da influ ncia e persuas o voc chega ao perfil de um engenheiro social Pode se dizer que h duas especialidades dentro da classifica o do cargo de artista da trapa a Algu m que faz falcatruas e engana as pessoas para tirar o seu dinheiro pertence a uma subespeciali dade chamada grifter Algu m que usa a fraude a influ ncia e a persuas o contra as empresas em ge ral visando suas informa es pertence a outra subespecialidade o engenheiro social Desde a poca do meu truque com a baldea o de nibus quando era jovem demais para saber que era errado aquilo que estava fazendo eu havia come ado a reconhecer um talento para descobrir os segredos que eu n o deveria saber Aproveitei aquele talento usando a fraude conhecendo o jarg o e desenvolvendo uma habilidade de manipula o bem lapidada Uma forma que descobri para desenvolver as habilidades da minha arte se que posso cham la de arte foi escolher algumas informa es com as quais n o me importava
405. nutos A inten o desta pol tica evitar que uma pessoa n o autorizada use o computador de outra pessoa Al m disso esta po l tica evita que os sistemas de computador da empresa sejam facilmente acessados por estranhos que tenham tido acesso ao pr dio 250 A Arte de Enganar 10 14 Divulga o ou compartilhamento da declara o de senhas Pol tica Antes de criar uma nova conta de computador o empregado ou contratado deve assi nar uma declara o por escrito reconhecendo que entende que as senhas nunca devem ser divulgadas ou compartilhadas com qualquer pessoa e que concorda em seguir essa pol tica Explica o Observa es A declara o tamb m deve incluir um aviso de que a viola o de tal acordo pode levar a uma a o disciplinar que vai desde uma simples advert ncia at o desliga mento do funcion rio Uso do correio eletr nico 11 1 Anexos de correio eletr nico Pol tica Os anexos de correio eletr nico n o devem ser abertos a menos que seja esperado ou tenha sido enviado por uma Pessoa de Confian a Explica o Observa es Todos os anexos de correio eletr nico devem ser bem examina dos Voc pode exigir que uma Pessoa de Confian a d um aviso pr vio de que um anexo est sendo enviado antes de abri lo Isso reduzir o risco de que os atacantes que usam as t ticas de engenharia social enganem as pessoas para que elas abram os anexos Um m todo de comprometer um sistema de computador
406. nviar nada Ele tinha de fazer o rapaz com quem ele estava falando no Centro de P amp D achar que o arquivo vinha dele quando aquele Centro realmente iria receber o arquivo com o c digo fonte propriet rio da Europa Por que eu diria para ele que est vindo de mim quando realmente est vindo de fora do pa s Harry queria saber O funcion rio do Centro de P amp D s um parafuso explicou Karl Ele tem de achar que est apenas fazendo um favor para um colega aqui dos EUA recebendo um arquivo de voc e em seguida encaminhando esse arquivo para voc Harry finalmente entendeu Ele ligou para o Centro de P amp D pediu que a recepcionista ligasse para o Centro de Computadores e quis falar com um operador de computador O rapaz que atendeu parecia t o jovem quanto o pr prio Harry Harry o cumprimentou explicou que estava ligando da divis o de desenvolvimento de Chicago da empresa e que tinha um arquivo que estava tentando enviar para um dos seus colegas que estava trabalhando com ele em um projeto mas Tivemos um problema de roteador e n o podemos acessar a rede Gostaria de transferir o arquivo para voc e depois que voc receb lo ligo de volta para dizer como transferir esse arquivo para o computador do meu colega At aqui tudo bem Em seguida Harry perguntou ao jovem se o seu centro de computadores tinha uma conta de FTP an nimo uma configura o que permite que todos transfiram e recebam arquivos de um diret r
407. o Verifica o com o gerente do solicitante Ligue para o gerente do solicitante usando um n mero de telefone relacionado no cadastro da empresa e n o um n mero fornecido pelo solicitante Verifica o do departamento ou grupo de trabalho do solicitante Ligue para o departamento ou grupo de trabalho do solicitante e verifique com algu m que trabalhe l se o solicitante ainda empregado da empresa Etapa tr s verifica o da necessidade de saber Al m de verificar se o solicitante um empregado atual ou se tem um relacionamento com a sua empresa ainda preciso saber se ele est autorizado a acessar as informa es solicitadas ou se est autorizado a solicitar aquelas a es espec ficas que afetam os computadores ou equipamento rela cionado Essa verifica o pode ser feita usando um destes m todos Consulte as listas de cargo grupo de trabalho responsabilidades Uma empresa pode for necer acesso f cil s informa es de autoriza o publicando listas dos empregados que podem receber as informa es Essas listas podem estar organizadas por cargo departa mentos e grupos de trabalho responsabilidades do empregado ou por alguma combina o desses crit rios Tais listas t m de ser mantidas on line para que sejam atualizadas e forne am acesso r pido s informa es de autoriza o Os Propriet rios de Informa es seriam respons veis pela supervis o da cria o e manuten o das listas que est
408. o ele reafirmou Acho que a mesa n o est trancada e o cart o deve estar na minha gaveta esquerda superior Bem entabulou o gerente s pelo final de semana acho que podemos deix lo usar o cart o do Centro de Computadores Vou falar para quem estiver de servi o que quando voc ligar eles devem ler o c digo de acesso aleat rio para voc Ele lhe deu o n mero de identifica o a ser usado com o cart o Durante todo o final de semana sempre que Danny queria entrar no sistema corporativo de com putadores s tinha de ligar para o Centro de Computadores e pedir para eles lerem os seis d gitos exibidos no token de ID Seguro Um trabalho interno Depois de estar dentro do sistema de computadores da empresa o que aconteceu Como Danny en contraria o servidor que tinha o software que desejava Ele j estava preparado para isso Muitos usu rios de computadores conhecem os newsgroups aquele conjunto grande de bulletin boards eletr nicos nos quais as pessoas podem publicar perguntas para que outras pessoas respon dam ou podem encontrar companheiros virtuais que compartilham do interesse em m sica compu tadores ou em centenas de outros assuntos O que poucas pessoas sabem quando postam uma mensagem em um site de newsgroup que elas permanecem on line e dispon veis por anos a fio O Google por exemplo j mant m um arquivo de 700 milh es de mensagens sendo que algumas delas datam de 20 anos atr s Danny
409. o por favor quase ao mesmo tempo Leonard Atwood 765 MacKensie Lane Chevy Chase Maryland Ignorando o fato de que o roteirista usou por engano um c digo de rea de Washington D C para um endere o em Maryland voc j pode adivinhar o que aconteceu n o Devido ao seu treinamento como t cnico em telefonia Turner sabia para qual n mero deveria discar para falar com um escrit rio da empresa chamado CNA o escrit rio de Nome e Endere o de Clientes O CNA foi montado para a conveni ncia dos instaladores e de outro pessoal autorizado pela empresa de telefonia Um instalador pode ligar para o CNA e dar um n mero de telefone O funcion rio do CNA responde fornecendo o nome da pessoa qual pertence o telefone daquele endere o Enganando a empresa de telefonia No mundo real o n mero de telefone do CNA um segredo guardado a sete chaves Embora as empresas de telefonia finalmente tenham aprendido e hoje em dia s o menos generosas na divulga o f cil dessas informa es na poca elas eram operadas com base em uma varia o da seguran a speakeasy a qual chamada pelos especialistas de seguran a da informa o de seguran a atrav s da obscuridade Elas presumiam que os todos que ligassem para o CNA e conhecessem a linguagem Jarg o A SEGURAN A ATRAV S DA OBSCURIDADE Um m todo eficaz de seguran a de computadores que mant m em segredo os detalhes de como funciona o sistema pro tocolos algoritmos e
410. o suspeita de que algum tipo de ataque est sendo realizado A ARMADILHA DE ENGENHEIRO E de conhecimento geral que as empresas ca a talentos usam as t ticas da engenharia social para recrutar talentos corporativos Este um exemplo de como isso pode acontecer No final dos anos de 1990 uma ag ncia de empregos n o muito tica conseguiu um cliente novo uma empresa que estava procurando engenheiros el tricos com experi ncia na ind stria de telefonia O piv do projeto era uma senhora dotada de uma voz rouca e um modo sexy que ela havia aprendido a usar para desenvolver a confian a inicial e afinidade pelo telefone A senhora resolveu atacar um provedor de servi os de telefonia celular para saber se ela pode ria localizar alguns engenheiros que estivessem tentados a atravessar a rua e ir trabalhar para um concorrente Ela n o podia ligar para a telefonista e dizer Quero falar com algu m que tenha cinco anos de experi ncia como engenheiro Em vez disso por motivos que ficar o claros em alguns instantes ela come ou o assalto aos talentos buscando uma informa o que parecia n o ser nada sigilosa uma informa o que a empresa d para quase todas as pessoas que a pedem A primeira liga o a recepcionista Usando o nome Didi Sands a atacante fez uma liga o para os escrit rios da empresa de telefonia celular Esta foi parte da conversa o Recepcionista Boa tarde Sou Marie posso ajudar Didi Voc pode m
411. o as redes corporativas e recebendo apenas as liga es de acesso remoto que est o em uma lista de n meros de telefone pr autorizados Os modems com ID de chamadas s o um meio aceito de autentica o em um ambiente de baixa seguran a mas como j deve ter ficado claro os invasores de computadores conseguem burlar facilmente o ID de chamadas e este n o deve ser usado para provar a identidade ou a localiza o de quem liga para um ambiente de alta seguran a Para abordar o caso de roubo de identidade como na hist ria sobre como enganar um adminis trador para que ele crie uma caixa postal de voice mail no sistema de telefones da empresa crie uma pol tica na qual todo o servi o de telefonia todas as caixas postais de voice mail e todas as entradas na lista corporativa tanto impressas quanto on line sejam solicitadas por escrito em um formul rio fornecido para essa finalidade O gerente do empregado deve assinar a solicita o e o administrador da caixa postal deve verificar a assinatura A pol tica de seguran a corporativa deve exigir que as contas de computador novas ou atualiza es nos direitos de acesso sejam concedidas apenas ap s a verifica o positiva da pessoa que faz a solicita o tal como uma liga o para o gerente ou administrador do sistema ou seu representante no n mero de telefone relacionado no diret rio impresso ou on line da empresa Se a empresa usar o correio eletr nico seguro no qual os empregado
412. o assim os burlar o para concluir as responsabilidades do seu cargo Os empregados entendem o motivo pelo qual a seguran a importante para a empresa e para si mesmos Essas quest es precisam ser respondidas para desenvolver uma pol tica de seguran a baseada na cultura corporativa e nas necessidades de neg cios A maioria das pessoas inevitavelmente encara como um aborrecimento tudo aquilo que interfira na sua capacidade de fazer o trabalho e pode burlar todas as medidas de seguran a que pare am ser 178 A Arte de Enganar uma perda de tempo A motiva o dos empregados para que a seguran a fa a parte das suas respon sabilidades di rias por meio da educa o e da conscientiza o vital Embora o servi o de ID de chamadas nunca deva ser usado como um meio de autentica o das chamadas por voz de fora da empresa outro m todo chamado identifica o autom tica de n mero AN1 pode ser usado Esse servi o fornecido quando uma empresa assina os servi os de liga o gr tis em que paga as liga es recebidas e tem direito identifica o Ao contr rio do ID de chama das a central da empresa de telefonia n o usa nenhuma informa o que seja enviada de um cliente quando fornece o n mero da liga o O n mero transmitido pelo AN1 o n mero de faturamento designado parte de quem est ligando Observe que diversos fabricantes de modem j inclu ram o recurso de ID de chamadas em seus produtos protegend
413. o centro de deten o Essa era uma solicita o de rotina o tipo de informa o fornecida aos t cnicos que est o de ser vi o e precisam de aux lio e o operador n o hesitou em lhe dar o n mero Ele ligou para o RCMAC deu um nome falso e repetiu que trabalhava em Consertos Quem atendeu foi a senhora que deu os n meros de telefone do centro de deten o algumas liga es antes Quando ela atendeu Johnny perguntou Esse o n mero configurado para negar encerramento Sim ela disse Bem isso explica por que o cliente n o consegue receber liga es afirmou Johnny Ou a voc pode me fazer um favor Preciso mudar o c digo de classe da linha ou remover o recurso para negar encerramento tudo bem Houve uma pausa enquanto ela verificava outro sistema de com putador para saber se um pedido de servi o havia sido feito para autorizar a mudan a Ela explicou Esse n mero deve estar restrito apenas para as liga es feitas N o h nenhuma ordem de servi o para uma mudan a Certo mas h um erro Dev amos ter processado o pedido ontem mas o representante normal da conta que trata desse cliente ficou doente e esqueceu de passar o pedido para outra pessoa Assim sendo agora claro que o cliente est reclamando Ap s alguns momentos enquanto a senhora pensava na solicita o o que iria contra os procedi mentos operacionais padr o e comuns ela disse OK Ele a ouviu digitando a altera o E algu
414. o descobre que tem um problema ele mesmo faz a liga o telef nica para implorar ajuda O atacante s tem de se sentar e esperar que o telefone toque uma t tica conhecida na rea como engenharia social inversa Um atacante que consegue fazer o alvo ligar para ele ganha credibilidade constante Se eu fizer uma liga o para algu m que acho que trabalha no help desk n o vou come ar a pedir que ele prove a sua identidade nesse ponto que o atacante sabe que conseguiu Recado do Mitnick Se um estranho lhe fizer um favor e depois pedir outro em troca n o fa a nada sem antes pensar cuidadosamente naquilo que ele est pedindo Jarg o Shell de comandos remoto Uma interface n o gr fica que aceita comandos baseados em texto para executar determinadas fun es ou executar programas Um atacante que explora as vulnerabilidades t cnicas ou que pode instalar um programa Cavalo de Tr ia no computador da v tima pode obter o acesso remoto a um shell de comandos Engenharia social inversa Um ataque de engenharia social no qual o atacante cria uma situa o na qual a v tima tem um problema e entra em contato com ele para obter ajuda Outra forma de engenharia social inversa aquela que se volta contra o atacan te O alvo reconhece o ataque e usa princ pios psicol gicos de influ ncia para tirar o m ximo poss vel de informa es do atacante para que a empresa possa preservar os ativos visados 50 A Arte de Enganar Em um g
415. o diminui com o simples fato de voc criar um panfleto sobre a pol tica de seguran a ou enviar seus empregados para uma p gina da intranet que detalha as pol ticas de seguran a As empresas devem n o apenas definir por escrito as regras das pol ticas mas tamb m devem se esfor ar ao m ximo para orientar todos os que trabalham com as informa es corporativas ou com os sistemas de computadores para que eles aprendam e sigam as regras Al m disso voc deve garantir que todos entendam o motivo de cada pol tica para que as pessoas n o tentem se desviar da regra por quest es de conveni ncia Caso contr rio a ignor ncia sempre ser a melhor desculpa do empregado e exa tamente essa vulnerabilidade que os engenheiros sociais v o explorar O objetivo central de um programa de conscientiza o sobre seguran a influenciar as pes soas para que elas mudem seu comportamento e suas atitudes motivando cada empregado a querer Cap tulo 15 Conscientiza o e Treinamento em Seguran a da Informa o 199 entrar no programa e fazer a sua parte para proteger os ativos de informa es da organiza o Um timo motivador nesse caso explicar como a participa o das pessoas beneficiar n o apenas a empresa mas tamb m os empregados individuais Como a empresa det m determinadas informa es particulares sobre cada funcion rio quando os empregados fazem a sua parte para proteger as informa es ou os sistemas de informa
416. o do seguro social estudo de caso 90 94 aeroportos seguran a nos 7 agencia de empregos aso da engenharia social 18 21 ajudazinha devolvendo 50 amea a vem de dentro 130 ANI identifica o de n mero autom tica 69 178 apar ncia julgando pela 132 aplica o da lei a emo o de enganar 115 NCIC manual 40 41 procedimentos aprendendo 27 armazenamento on line 191 ARPANet Rede da Ag ncia de Projetos de Pesquisa Avan ada do Departamento de Defesa 7 arquivos apagados 136 arquivos de folha de pagamentos acessando 134 135 arte da fraude 6 arte da persuas o amistosa 107 108 ataque de dicion rio 149 152 ataque de for a bruta 151 ataque ou amea a dicion rio 149 152 direto 25 31 for a bruta 151 identidade roubada 116 incidentes 5 ataque s engenharia social alvos comuns 266 aos empregados iniciantes 155 166 ciclo da 265 dos empregados 88 empregados novos como alvo 50 52 identifica o de um 265 ndice de sucesso 195 informa es de cliente obtendo 28 30 Internet tipo de fraude estudos de caso 78 82 m todos comuns 265 n meros do cart o Visa conseguindo 35 por ag ncia de empregos 18 21 procedimentos da aplica o das leis para saber 27 sinais de um 266 sistema banc rio 14 18 vulnerabilidade ao 267 auditoria apagar o controle de 96 registro de 24 autentica o de dois fatores 68 69 autentica o de dois fatores 68 69 de software 238 d
417. o foi o meu fasc nio pela m gica Ap s aprender como um truque novo funcionava n o parava de praticar at domin lo bem De certa forma foi pela m gica que descobri como bom enganar as pessoas Do phreaking ao hacking O meu primeiro encontro com aquilo que aprenderia a chamar de engenharia social deu se durante meus anos no gin sio quando conheci outro aluno que foi pego com um hobby chamado phone phreaking Esse um tipo de hacking que permite que voc vasculhe a rede telef nica explorando os sistemas de telefone e os empregados da empresa de telefonia Ele me mostrou os truques que podia fazer com um telefone como conseguir todas as informa es que a empresa de telefonia tinha sobre um cliente e como usar um n mero de teste secreto para fazer liga es interurbanas de gra a na ver dade elas eram de gra a para n s descobri bem mais tarde que aquele n o era um n mero secreto de teste as liga es eram cobradas de alguma conta MCI da pobre empresa Essa foi a minha apresenta o engenharia social o meu jardim da inf ncia por assim dizer Ele garoto e outro phreaker que conheci pouco tempo depois me deixavam escutar as liga es de pretexto para a empresa de telefonia Eu ouvia as coisas que eles diziam para parecerem pessoas de cre dibilidade aprendi sobre os diferentes escrit rios das empresas de telefonia o linguajar e os procedi mentos Mas esse treinamento n o durou muito tempo ele n o prec
418. o os empregados podem encar las como perda de tempo e n o cumpri las O redator dessa pol tica deve criar um documento que apresente as pol ticas e um documento separado para os procedimentos porque as pol ticas provavelmente mudam com menos freq ncia do que os procedimentos espec ficos usados para implement las Cap tulo 16 Recomenda es de Pol ticas de Seguran a das Informa es Corporativas 209 Al m disso o redator das pol ticas deve estar consciente dos meios pelos quais as tecnologias da seguran a podem ser usadas para implantar as boas pr ticas da seguran a das informa es Por exem plo a maioria dos sistemas operacionais possibilita a solicita o de que as senhas de usu rio atendam a determinadas especifica es tais como tamanho Em algumas empresas uma pol tica que pro be que os usu rios fa am o download de programas pode ser controlada por meio de defini es locais ou globais de diretrizes de seguran a dentro do sistema operacional As pol ticas devem exigir o uso da tecnologia sempre que isso for eficaz em termos de custo para remover a tomada de decis o com base nas pessoas Os empregados devem ser aconselhados sobre as conseq ncias do n o cumprimento das pol ti cas e dos procedimentos de seguran a Um resumo das conseq ncias da viola o das pol ticas deve ser desenvolvido e amplamente divulgado Por sua vez um programa de recompensa deve ser criado para os empregados que demonstr
419. o ou ent o perguntam qual o n mero do fax E por falar nisso qual o seu nome Em seguida ligam para a pr xima pessoa e dizem Jeannie do escrit rio do Sr Bigg me disse para ligar para voc e pedir ajuda com alguma coisa Essa t cnica chama se advocacia administra tiva e geralmente usada como um m todo de estabelecer rapidamente a confian a influenciando o alvo para que ele acredite que o atacante tem rela es com algu m que tem autoridade Um alvo tem mais chances de prestar um favor para algu m que conhece algu m que ele conhece Se o atacante tiver acesso a informa es confidenciais ele pode usar esse tipo de abordagem para gerar e manipular emo es teis na v tima tais como o medo de causar problemas para os seus superiores Este um exemplo t pico A hist ria de Scott Scott Abrams Scott aqui Christopher Dalbridge Acabei de falar ao telefone com o Sr Biggley e ele estava muito descontente Disse que pediu h dez dias para voc s nos enviarem c pias de toda a sua pesquisa de penetra o de mercado para an lise E nunca recebemos nada Pesquisa de penetra o de mercado Ningu m me disse nada sobre isso Em qual departamento voc trabalha Somos uma empresa de consultoria contratada e j estamos atrasados Ou a estou indo para uma reuni o agora Me deixe o seu n mero de telefone e O atacante agora parecia estar frustrado E isso o que voc quer que eu diga ao S
420. o pelo nome Em vez disso voc deve relacionar um endere o de correio eletr nico gen rico e o n mero de telefone principal da empresa Explica o Observa es A finalidade desta pol tica evitar que as informa es de contato sejam usadas por um intruso Quando os nomes e os n meros de telefone dos indiv duos s o forne cidos um intruso pode usar essas informa es para entrar em contato com eles e tentar fazer com que revelem as informa es do sistema ou executem uma a o que facilite o objetivo do atacante O engenheiro social tamb m pode se fazer passar por uma pessoa relacionada para tentar enganar os outros funcion rios da empresa Em vez de um endere o de correio eletr nico de determinado empregado as informa es de contato devem ter a forma de administrador empresa com O pessoal do departamento de teleco munica es pode estabelecer uma caixa de correio por voz gen rica para os contatos administrativos ou t cnicos de modo a limitar a divulga o das informa es que poderiam ser teis em um ataque da engenharia social 7 10 Instala o das atualiza es de seguran a e do sistema operacional Pol tica Todas as corre es de seguran a do sistema operacional e dos aplicativos devem ser instaladas assim que se tornarem dispon veis Se esta pol tica entrar em conflito com a opera o dos sistemas de produ o de miss o cr tica tais atualiza es devem ser executadas assim que poss vel
421. o que voc tem de dar o n mero do seu cart o quando compra alguma coisa ele dizia Mas d lo em uma loja que arquiva o seu n mero em seus registros isso burrice O nico lugar em que fa o isso na Studio Video disse o Sr Conklin referindo se mesma cadeia de locadoras de v deo Mas verifico a minha fatura todos os meses Eu percebo se eles come arem a aumentar a conta claro salientou Henry mas depois que eles t m o seu n mero qualquer pessoa pode roub lo Voc se refere a um funcion rio desonesto N o qualquer pessoa e n o apenas um funcion rio Voc est dizendo bobagens retrucou o Sr Conklin Posso ligar agora mesmo e fazer com que eles me d em o n mero do seu cart o Visa respon deu Henry N o voc n o pode afirmou o pai Posso fazer isso em cinco minutos bem na sua frente sem nem ter de sair da mesa O Sr Conklin olhou firme o olhar de algu m que se sentia seguro mas que n o queria mostrar isso Digo que voc n o sabe do que est falando desafiou tirando do bolso a carteira e jogando uma nota de 50 d lares na mesa Se fizer o que est dizendo o dinheiro seu N o quero o seu dinheiro pai disse Henry Ele pegou o telefone celular perguntou ao pai qual era a loja e ligou para o Aux lio Lista pe dindo o n mero do telefone e tamb m o n mero da loja na regi o de Sherman Oaks Em seguida ligou para a loja de Sherman Oaks Us
422. o s rio para a empresa Na verdade a medida que os aperfei oamentos s o feitos nas armas tecnol gicas contra as que bras de seguran a a abordagem da engenharia social de usar as pessoas para acessar as informa es da empresa ou penetrar na rede corporativa quase certamente ser o mais freq entes e atraentes para os ladr es das informa es Um espi o industrial tentar atingir seu objetivo usando o m todo mais f cil e que envolva o menor risco de ser descoberto Na verdade uma empresa que protegeu seus sistemas de computadores e empregou tecnologias de seguran a complexas pode da para frente estar mais vulner vel aos atacantes que usam m todos e t ticas da engenharia para conseguir seus objetivos Este cap tulo apresenta as pol ticas espec ficas criadas para minimizar o risco de uma empresa sofrer ataques relacionados com engenharia social As pol ticas abordam os ataques que se baseiam n o apenas na explora o das vulnerabilidades t cnicas mas que envolvem o uso de algum tipo de pretexto ou truque para enganar um empregado de confian a para que ele forne a as informa es relativas a determinada a o que de ao atacante o acesso s informa es confidenciais da empresa ou aos seus sistemas e redes de computadores N 208 A Arte de Enganar O QUE UMA POL TICA DE SEGURAN A As pol ticas de seguran a s o instru es claras que fornecem as orienta es de comportamento do empregado para guardar as
423. o um modo de questionar os colegas que se aventuram a ir at o sagu o sem seus crach s toda empresa que se preocupa em proteger suas informa es precisa levar a s rio a amea a de um engenheiro social perambulando pelas suas instala es sem ser questionado A motiva o para que os empregados sejam diligentes e ajudem a implantar a pol tica de sempre usar o crach inclui por exemplo o reconhecimento da iniciativa no jornal da empresa ou nos quadros de avisos algumas horas de licen a remunerada ou uma carta de recomenda o em seus registros pessoais 9 6 Burlando a seguran a da entrada Pol tica Os empregados que entram em um pr dio n o devem permitir que ningu m que eles n o conhe am pessoalmente os siga quando usarem um meio seguro tal como um cart o chave para entrar no pr dio Explica o Observa es Os empregados devem entender que n o falta de educa o exigir que as pessoas desconhecidas se identifiquem antes de ajud las a entrar em um pr dio ou acessar uma rea segura Cap tulo 16 Recomenda es de Pol ticas de Seguran a das Informa es Corporativas 245 Com freq ncia os engenheiros sociais usam uma t cnica conhecida como pular sela porque ficam ao lado de outra pessoa que est entrando em um pr dio ou rea Sigilosa e em seguida sim plesmente entram com essa pessoa A maioria das pessoas n o se sente bem em questionar as outras pessoas supondo que talvez sejam empregados
424. oc a entrar na mente complexa de um hacker este livro ilustra como at mesmo os sistemas de informa es mais bem protegidos s o suscet veis a um determinado ataque realizado por um artista da trapa a passando se por um fiscal do IR ou outro personagem aparentemente inocente Este livro explora de forma envolvente e agrad vel o motivo pelo qual cada ataque foi t o bem sucedido e como ele poderia ter sido evitado www makron com br www pearsonedbrasil com
425. ocacia a pegarem as fitas do armazenamento Ele tamb m descobre que cada uma dessas pessoas tem a sua pr pria senha Pete envia duas pessoas em uma miss o de caixa preta Os homens abrem o cadeado usando uma arma para abrir cadeados que pode ser comprada na Web em www southord com Em alguns minutos eles entram nos escrit rios da empresa de arma zenamento l pelas 3 horas da manh e inicializam um PC Eles sorriem quando v em o logotipo do Windows 98 porque isso significa que o trabalho ser f cil O Windows 98 n o requer nenhuma forma de autentica o Ap s um pouco de pesquisa eles localizam um banco de dados do Microsoft Access com os nomes das pessoas que cada um dos clientes da empresa de armazenamento autori zou para pegar as fitas Eles incluem um nome falso na lista de autoriza es da Jenkins and Petry um nome igual quele de uma carteira de motorista falsa que um dos homens j havia conseguido Eles poderiam ter invadido a rea trancada e tentado localizar as fitas que o cliente queria E claro que sim Mas nesse caso todos os clientes da empresa incluindo a empresa de advocacia certamente seriam notificados sobre a invas o E os atacantes teriam perdido uma vantagem os profissionais sempre gostam de deixar uma porta aberta para acesso futuro caso precisem Seguindo uma pr tica padr o dos espi es industriais de manter algo no bolso do colete para uso futuro eles tamb m fizeram uma c pia em disquete do arquivo
426. odos os nossos s cios estivessem dispon veis nos pr ximos meses e se havia alguma poca que deveria evitar algum per odo em que Larry n o estaria na cidade E ela respondeu Sim ele ainda n o tirou f rias em dois anos desde que abriu a empresa mas a sua mulher o estava arrastando de f rias para jogar golf na primeira semana de agosto Faltavam apenas duas semanas e eu podia esperar Nesse meio tempo uma revista especializada me deu o nome da empresa de RP da companhia Disse que gostei do espa o que eles estavam conseguindo para o seu cliente fabricante de rob tica e queria falar com a pessoa que atendia aquela conta para que ela cuidasse da minha empresa Essa pessoa era uma jovem cheia de energia que gostava da id ia de conseguir uma conta nova Com um almo o caro e um drink a mais do que ela realmente queria ela fez o que p de para me convencer de que eles eram muito bons para entender os problemas de um cliente e encontrar as solu es certas de RR Joguei alto para convenc la Precisava ter alguns detalhes Com algumas cutucadas quando os pratos estavam sendo retirados ela j havia me contado mais sobre o novo produto e os problemas da empresa do que jamais havia esperado A coisa estava dando certo como um rel gio A hist ria de estar muito embara ado com o fato de que a reuni o era na pr xima semana mas que eu tamb m poderia aproveitar para almo ar com a equipe foi engolida pela recepcionista Ela at sentiu pen
427. oduto N o A verdade que n o existe uma tecnologia no mundo que evite o ataque de um engenheiro social A SEGURAN A POR MEIO DA TECNOLOGIA DO TREINAMENTO E DOS PROCEDIMENTOS As empresas que realizam testes de penetra o de seguran a relatam que suas tentativas de invadir os sistemas de computadores de uma empresa cliente com m todos da engenharia social t m um ndice de sucesso de quase 100 por cento As tecnologias de seguran a podem dificultar esses tipos de ataques retirando as pessoas do processo de tomada de decis o Entretanto o nico meio verdadei ramente efetivo de amenizar a amea a da engenharia social e usar a conscientiza o para a seguran a combinada a pol ticas de seguran a que definem as principais regras para o comportamento do em pregado junto com sua educa o e treinamento S existe uma maneira de manter seguros os seus planos de produto ter uma for a de trabalho treinada e consciente Isso envolve o treinamento nas pol ticas e procedimentos mas tamb m e provavelmente mais importante um programa constante de conscientiza o Algumas autoridades recomendam que 40 do or amento geral para seguran a da empresa seja aplicado no treinamento da conscientiza o A primeira etapa fazer com que todos os que trabalham na empresa tenham consci ncia de que existem pessoas inescrupulosas que usar o a fraude para manipul las psicologicamente Os empre gados devem ser educados sobre
428. olpe como esse o engenheiro social tenta escolher um alvo que tenha conhecimentos limitados de computadores Quanto mais ele souber maiores as chances de ele suspeitar ou descobrir que est sendo manipulado Aquele que s vezes chamo de funcion rio com um desafio de computador que tem menos conhecimento da tecnologia e dos procedimentos tem mais chances de colaborar Ele tem mais chances de cair em uma armadilha do tipo Basta fazer o download de um programa pequeno porque n o tem a menor id ia do dano em potencial que um programa de computador pode causar Alem disso h uma chance bem menor de que ele entenda o valor das informa es que est o na rede de computadores que ele est colocando em risco UMA AJUDAZINHA PARA O NOVO COLEGA Os empregados novos s o o alvo preferido dos atacantes Eles ainda n o conhecem muitas pessoas n o conhecem os procedimentos ou o que podem ou n o fazer na empresa E para causar uma boa impress o eles est o ansiosos para mostrar como s o prestativos e como podem ser r pidos A prestativa Andrea Recursos Humanos Andrea Calhoun Andrea oi aqui Alex da Seguran a Corporativa Sim Como vai Tudo bem Em que posso ajud lo Ou a estamos desenvolvendo um semin rio sobre seguran a para os empregados novos e precisamos de algumas pessoas para fazer uma experi ncia Preciso do no me e do n mero de telefone de todos os novos contratados do m s passado Voc pode m
429. olteira da m e nunca devem ser usados como um meio de verificar a identidade Esses identificadores n o s o secre tos e podem ser obtidos por in meros meios Explica o Observa es Um engenheiro social pode obter os identificadores pessoais de outras pessoas por um pre o E na verdade ao contr rio da cren a popular todos que t m um cart o de cr dito e acesso Internet podem obter essas identifica es pessoais Mesmo assim apesar do perigo bvio os bancos as empresas de servi os p blicos e as administradoras de cart es de cr dito normalmente usam esses identificadores Esse um dos motivos pelos quais o roubo de identidade o crime de crescimento mais r pido da d cada 9 9 Organogramas Pol tica Os detalhes mostrados no organograma n o devem ser divulgados para ningu m al m dos empregados da empresa Explica o Observa es As informa es sobre a estrutura corporativa incluem os or ganogramas as listas departamentais de empregados os nomes dos empregados as posi es dos empregados os n meros de contato internos os n meros de empregados ou informa es seme lhantes Na primeira fase de um ataque da engenharia social o objetivo reunir informa es sobre a estrutura interna da empresa Em seguida essas informa es s o usadas para criar um plano de 246 A Arte de Enganar ataque O atacante tamb m pode analisar essas informa es para determinar quais empregados podem ter
430. om estas caracter sticas Ela n o pode ser uma palavra encontrada em um dicion rio de qualquer idioma Ela deve combinar pelo menos uma letra mai scula ou min scula um s mbolo e um nu meral Ela deve ter pelo menos 12 caracteres de comprimento Ela n o pode estar relacionada empresa ou ao indiv duo Explica o Observa es Na maioria dos casos os invasores visam as contas espec ficas que tenham privil gios de sistema Eventualmente o atacante explora outras vulnerabilidades para ter controle completo sobre o sistema Cap tulo 16 Recomenda es de Pol ticas de Seguran a das Informa es Corporativas 241 As primeiras senhas que um intruso tenta s o as palavras simples mais usadas e encontradas em um dicion rio A sele o de senhas seguras melhora a seguran a reduzindo as chances de que um atacante a encontre por tentativa e erro ataque a dicion rio ou ataque de for a bruta 7 28 Pontos de acesso sem fio Pol tica Todos os usu rios que podem acessar uma rede sem fio devem usar a tecnologia VPN Virtual Private Network para proteger a rede corporativa Explica o Observa es As redes sem fio est o sendo atacadas por uma nova t cnica chamada dire o de guerra Nessa t cnica o invasor simplesmente dirige ou caminha com um laptop equipado com uma placa 802 11B NIC at que uma rede sem fio seja detectada Muitas empresas empregam as redes sem fio sem ativar o WEP wi
431. omputador de telecomutador Pol tica Todo sistema externo de computadores que usado para a conex o com a rede cor porativa deve ter software antiv rus software que o proteja do Cavalo de Tr ia e um firewall pessoal hardware ou software Os arquivos de defini es do antiv rus ou do Cavalo de Tr ia precisam ser atualizados pelo menos uma vez por semana Explica o Observa es Normalmente os telecomutadores n o s o treinados nas quest es relacionadas com seguran a e podem sem querer ou por neglig ncia deixar seus sistemas de compu tadores e a rede corporativa abertos para o ataque Os telecomutadores portanto representam um s rio risco para a seguran a se n o forem bem treinados Al m da instala o de software antiv rus e contra o Cavalo de Tr ia para proteg los do c digo malicioso um firewall necess rio para impedir que todos os usu rios hostis obtenham o acesso a quaisquer servi os ativados no sistema do telecomutador O risco de n o empregar as tecnologias de seguran a m nimas para evitar que o c digo malicioso se propague n o pode ser subestimado como mostra um ataque realizado contra a Microsoft Um sistema de computador pertencente a um telecomutador da Microsoft e usado para se conectar rede corporativa da Microsoft foi infectado com um programa Cavalo de Tr ia O intruso ou os intrusos puderam usar a conex o segura do telecomutador com a rede de desenvolvimento da Microsoft para roub
432. omputador n o poderia ser usado Em seguida ele se deu ao trabalho de fazer com que ela abrisse dois dos seus aplicativos para que tivesse certeza de que eles estavam funcionando bem fortalecendo assim a confian a entre os dois ou a id ia de serem aliados Finalmente ele conseguiu mais coopera o para a parte essencial dessa tarefa jogando com a sua gratid o pela ajuda que ele havia fornecido garantindo que o seu computador estava funcionando bem Capitulo 8 Usando a Simpatia a Culpa e a Intimida o 97 Dizendo a ela que nunca revelasse a sua senha nem mesmo para ele Peter fez um trabalho completo e sutil convencendo a de que ele estava preocupado com a seguran a dos arquivos da sua empresa Isso aumentou a sua confian a no fato de que ele era verdadeiro porque estava protegendo ela e a empresa A BATIDA DA POL CIA Imagine esta cena o governo estava tentando armar uma cilada para um homem chamado Arturo San chez que vinha distribuindo filmes de gra a pela Internet Os est dios de Hollywood diziam que ele violava seus direitos autorais ele dizia que estava apenas tentando faz los reconhecer um mercado inevit vel para come arem a disponibilizar filmes novos para download Ele destaca corretamente que essa seria uma fonte enorme de renda para os est dios a qual parecem estar ignorando O mandado de busca por favor Certa noite ele chega tarde em casa e v do outro lado da rua que as luzes do seu apartamento est
433. onhecimento dessas extens es para convencer os destinat rios das liga es que eles s o empregados e t m direito de obter as informa es internas 3 10 Caixas postais de voz que s o desativadas ap s sucessivas tentativas inv lidas de acesso Pol tica Programe o sistema corporativo de telefones para bloquear toda conta de voice mail sempre que um n mero especificado de tentativas inv lidas de acesso tenha sido feito Explica o Observa es O administrador de Telecomunica es deve bloquear uma caixa postal de voz ap s cinco tentativas inv lidas e sucessivas de login Em seguida deve redefinir ma nualmente todos os bloqueios do voice mail 3 11 Ramais de telefone restritos Pol tica Todos os ramais internos de telefone de departamentos ou grupos de trabalho que normalmente n o recebem liga es externas help desk sala de computadores suporte t cnico do empregado e outros devem ser programados para que s sejam acessados dos ramais internos Como alternativa podem ser protegidos com senhas para que os empregados e outras pessoas autorizadas que ligam de fora saibam a senha correta Explica o Observa es Embora o uso desta pol tica bloqueie a maioria das tentativas de engenheiros sociais amadores de atingir seus prov veis alvos preciso notar que um determinado atacante s vezes pode convencer um empregado a ligar para o ramal restrito e pedir para a pessoa que atender para que ela ligue para o ata
434. ontrar o tesouro que se busca Recado do Mitnick Antes que os empregados novos tenham acesso a qualquer sistema de computador da empresa eles devem ser treinados para seguir as boas pr ticas de seguran a particu larmente as pol ticas sobre nunca divulgar suas senhas N O TAO SEGURO QUANTO VOC ACHA A empresa que n o se esfor a para proteger suas informa es confidenciais simplesmente negli gente Muitas pessoas concordam com essa declara o E o mundo seria um lugar melhor se a vida n o fosse t o bvia e t o simples A verdade que mesmo essas empresas que se esfor am para pro teger as informa es confidenciais podem estar correndo um s rio risco Esta uma hist ria que ilustra o modo como as empresas se enganam a cada dia pensando que suas pr ticas de seguran a criadas por profissionais experientes e competentes n o podem ser burladas A hist ria de Steve Cramer N o era um grande gramado n o um daqueles gramados caros e bem plantados Ele n o despertava inveja E certamente n o era bastante grande para dar lhe uma desculpa para comprar um cortador de grama el trico o que era bom porque ele n o teria usado uma de qualquer maneira Steve gostava de cortar a grama com o cortador manual porque era mais longo e a tarefa era uma desculpa conve niente para concentrar se em seus pr prios pensamentos em vez de ouvir Anna contando as hist rias das pessoas do banco onde ela trabalhava ou explicando
435. or senha Cap tulo 16 Recomenda es de Pol ticas de Seguran a das Informa es Corporativas 219 As informa es confidenciais podem ser discutidas pessoalmente por telefone dentro da empre sa por telefone fora da empresa se estiverem criptografadas por transmiss o criptografada por sat lite por link criptografado de videoconfer ncia e por Voice Over Internet Protocol VoIP criptografado Para a transmiss o por m quina de fax o m todo recomendado pede que o remetente transmita uma p gina de rosto Ao receber a p gina o destinat rio transmite uma p gina como resposta de monstrando que ele est na m quina de fax Em seguida o remetente transmite o fax Os meios de comunica o a seguir n o devem ser usados para discuss o ou distribui o das informa es Confidenciais correio eletr nico n o criptografado mensagem de voice mail correio regular ou qualquer m todo de comunica o sem fio celular servi o de recados ou sem fio 2 4 Distribui o de informa es particulares Pol tica As informa es particulares que s o aquelas sobre um ou mais empregados que caso sejam divulgadas podem ser usadas para causar danos a empregados ou empresa s podem ser entregues para uma Pessoa de Confian a que esteja autorizada a receb las Explica o Observa es As informa es particulares na forma f sica ou seja c pia im pressa ou dados em um meio de armazenamento remov vel podem se
436. orma es de identifica o itens conhecidos tais como o n mero do seguro social a data de nascimento o nome de solteira da m e e eventualmente at mesmo o n mero da carteira de motorista Ele muito til para um engenheiro social Tudo bem Qual o C digo C Outro caixa est usando o meu computador agora explicou o interlocutor Mas acabei de usar o B e o E e lembro deles Me pe a um deles 110 A Arte de Enganar Muito bem qual o E O E 9697 Alguns minutos depois Walter enviou por fax o cart o de assinaturas solicitado O interlocutor de Donna Plaice Oi aqui o Sr Anselmo Posso ajudar Para qual n mero 800 ligo quando quero saber se um dep sito j foi compensado O sr cliente do banco Sim e n o uso esse n mero h algum tempo e n o sei onde o anotei O n mero 800 555 8600 OK obrigado A hist ria de Vince Capelli Filho de um policial das ruas de Spokane Vince sabia desde pequeno que n o ia passar a sua vida tra balhando como um escravo e arriscando o pesco o para ganhar sal rio m nimo Seus dois principais objetivos eram sair de Spokane e abrir um neg cio pr prio As piadas dos seus colegas durante toda a faculdade s o incentivavam mais eles achavam hilariante o fato de ele estar t o envolvido em come ar seu pr prio neg cio mas n o ter a menor id ia da rea na qual queria atuar No fundo Vince sabia que eles estavam cer
437. orque voc n o pode esperar que os funcion rios gerentes vendedores e outros usu rios remotos de um departamento de TI lembrem se sozinhos dos perigos de deixar seus computadores desprotegidos Al m dessas provid ncias recomendo o uso dos pacotes menos comuns mas n o menos im portantes que protegem contra os ataques dos Cavalos de Tr ia os chamados softwares ant Trojans Quando este livro foi escrito dois dos melhores programas eram o The Cleaner www moosoft com e o Trojan Defence Suite www diamondes com au Finalmente talvez a mais importante mensagem de seguran a para as empresas que n o exami nam as mensagens de correio eletr nico perigosas no gateway corporativo seja que tendemos a nos esquecer ou negligenciar as coisas que parecem perif ricas para fazer o nosso trabalho e os emprega dos precisam ser sempre lembrados de v rias maneiras para n o abrir os anexos de correio eletr nico a menos que tenham certeza de que a fonte uma pessoa ou organiza o em quem eles podem confiar E a administra o tamb m precisa lembrar os empregados de que devem usar software de v rus ativo e software antiTrojan que fornece uma prote o valiosa contra a mensagem de correio eletr nico aparentemente confi vel mas que pode conter uma carga destrutiva Usando a Simpatia a Culpa e a Intimida o omo discutido no Cap tulo 15 um engenheiro social usa a psicologia da influ ncia para levar o seu alvo a atender a s
438. os isso criou um certo interesse de ambos os lados Havia um in teresse da parte deles porque eles me reconheceram como o hacker sobre quem haviam lido e eles estavam um pouco chocados em me ver Isso criou um interesse tamb m da nossa parte porque cada 146 A Arte de Enganar um dos tr s desenvolvedores eslava l com uma nota de US 100 pendurada no crach da exposi o O pr mio em dinheiro total para todos que pudessem invadir seu sistema seria de US 300 o que parecia bastante dinheiro para uma dupla de adolescentes Mal pod amos esperar para come ar O LQCK 11 foi criado com base em um princ pio estabelecido que dependia de dois n veis de seguran a Um usu rio precisava ter um ID e uma senha v lida como sempre mas o ID e a senha s funcionariam quando fossem inseridos em terminais autorizados uma abordagem chamada de segu ran a baseada em terminal Para burlar o sistema um hacker precisaria n o apenas ter um ID de con ta e uma senha mas tamb m teria de inserir essas informa es no terminal correto O m todo estava bem estabelecido e os inventores do LOCK 11 estavam convencidos de que isso manteria as pessoas m s de fora N s resolvemos que ir amos ensinar uma li o para eles e embolsar as 300 pratas Um rapaz que eu conhecia e que era considerado um guru do RSTS E j havia nos derrotado Anos antes ele tinha me desafiado a entrar no computador interno de desenvolvimento da DEC e depois disso seus coleg
439. os an ncios e outras informa es semelhantes freq entemente s o colocadas no quadro Os quadros de avisos podem estar localizados pr ximo aos refeit rios da empresa ou perto das reas de fumantes ou de descanso s quais os visitantes t m livre acesso Esse tipo de informa o n o deve ser disponibilizado para os visitantes ou o p blico 4 11 Entrada no centro de computadores Pol tica A sala de computadores ou o centro de dados devem estar sempre trancados e o pes soal deve autenticar a sua identidade antes de entrar Explica o Observa es A seguran a corporativa deve levar em conta o emprego de um crach eletr nico ou um leitor de cart o de acesso para que todas as entradas possam ser registradas e auditadas eletronicamente 4 12 Contas de clientes com provedores de servi os Pol tica O pessoal da empresa que fez pedidos de servi os para fornecedores de servi os cr ticos para a empresa deve configurar uma senha de conta para evitar que as pessoas n o autorizadas fa am pedidos em nome da empresa Cap tulo 16 Recomenda es de Pol ticas de Seguran a das Informa es Corporativas 227 Explica o Observa es As empresas de servi os p blicos e muitos outros fornecedores permitem que os clientes configurem uma senha sob pedido a empresa deve estabelecer as senhas com todos os fabricantes que fornecem servi os importantes Essa pol tica particularmente neces s ria para as telecomunica
440. os at que algu m aparecesse pedindo um determinado fax Ele aguardou um pouco e em seguida ligou novamente para o escrit rio da Secretaria para verificar se a senhora havia enviado o fax At aqui tudo bem Ele ligou para outra copiadora da mesma cadeia cio outro lado da cidade e disse como ele estava satisfeito com o modo como eles realizavam o trabalho e queria escrever uma carta cumprimentan do o gerente qual era o seu nome Com essa informa o essencial ligou para a primeira loja da copiadora novamente e pediu para falar com o gerente Quando o homem atendeu Arturo explicou Oi aqui Edward da loja 628 em Hartfield A minha gerente Anna pediu para eu ligar para voc Cap tulo 8 Usando a Simpatia a Culpa a Intimida o 99 Temos um cliente que est aborrecido algu m lhe deu o n mero do fax da loja errada Ele est aqui aguardando um fax importante s que o n mero que ele tem da sua loja O gerente prometeu pedir para localizarem o fax e o enviou para a loja de Hartfield imediatamente Arturo j estava esperando na segunda loja quando o fax chegou l Ap s peg lo ligou nova mente para o escrit rio da Secretaria para agradecer senhora e disse N o preciso levar essas c pias para cima voc pode simplesmente jog las fora agora Em seguida ligou para o gerente da primeira loja e disse para ele tamb m jogar fora a sua c pia do fax Dessa forma n o haveria nenhum registro do que ocorr
441. os favo res como receber um fax e envi lo algo que se espera da recepcionista Craig aproveitou se desse fato Aquilo que ela estava enviando seriam informa es que poderiam ter tocado o alarme para qual quer pessoa que conhecesse o valor das informa es mas como uma recepcionista poderia saber quais informa es s o inofensivas e quais s o confidenciais Usando um estilo diferente de manipula o Craig agiu como algu m confuso e ing nuo para convencer o funcion rio das opera es de computadores a fornecer o n mero de acesso por discagem para o servidor de terminal da empresa o hardware usado como um ponto de conex o com os outros sistemas de computadores dentro da rede interna Recado do Mitnick A prioridade de todos que trabalham fazer o trabalho Sob essa press o as pr ticas de seguran a em geral ficam em segundo plano e s o desprezadas ou ignoradas Os engenheiros sociais usam isso ao praticarem sua arte Craig pode se conectar facilmente tentando uma senha padr o que nunca havia sido alterada uma das enormes lacunas que existem em muitas redes internas que usam a seguran a de firewall Na verdade as senhas padr o de muitos sistemas operacionais roteadores e outros tipos de produtos entre eles os PBXs est o dispon veis on line Todo engenheiro social hacker ou espi o industrial bem como os simples curiosos pode encontrar a lista em http www phenoelit de dpl dpl html absolutamente ina
442. oss vel seria implementar uma pol tica que pro be a divulga o dos n meros internos de funcion rios contratados consultores e tempor rios para as pessoas que n o s o da empresa O mais importante desenvolver um procedimento passo a passo para identificar positiva mente se um interlocutor que est pedindo os n meros de telefone de fato um empregado Recado do Mitnick Como diz o ditado at mesmo os verdadeiros paran icos provavelmente t m inimigos Devemos assumir que cada empresa tamb m tem os seus os atacantes que visam a infra estrutura da rede para comprometer os segredos da empresa N o acabe sendo uma estat stica nos crimes de computadores est mais do que na hora de armazenar as defesas necess rias implementando controles adequados por meio de pol ticas de seguran a e procedimentos bem planejados Os c digos cont beis dos grupos de trabalho e departamentos bem como as c pias do diret rio corporativo uma c pia impressa um arquivo de dados ou uma lista eletr nica de telefo nes na intranet s o alvos freq entes dos engenheiros sociais Cada empresa precisa ter uma pol tica escrita e bem divulgada sobre a revela o desse tipo de informa o As salvaguardas 24 A Arte de Enganar devem incluir a manuten o de um registro de auditoria que estabelece os casos em que as informa es sigilosas s o divulgadas para as pessoas de fora da empresa Informa es tais como um n me
443. oto e pede acesso local ao correio eletr nico Sinais de um ataque Recusa em dar um n mero de retorno Solicita o fora do comum Alega o de autoridade nfase na urg ncia Amea a de conseq ncias negativas em caso de n o atendimento Mostra desconforto quando questionado Nome falso Cumprimentos ou lisonja Flerte Alvos comuns dos ataques TIPO DE ALVO EXEMPLOS Desconhecimento do valor Recepcionistas telefonistas assistentes administrativos guardas das informa es de seguran a Privil gios especiais Help desk ou suporte t cnico administradores de sistema opera dores de computador administradores do sistema de telefones Um exame r pido da seguran a 267 Fabricante fornecedor Departamentos espec ficos Contabilidade recursos humanos ID de chamadas Retorno de liga o Callback Endosso Segredo comum compartilhado Supervisor ou gerente Correio eletr nico seguro Reconhecimento pessoal de voz Senhas din micas Pessoalmente Verifica se a liga o e interna e se o nome e n mero do ramal coincidem com a identidade do interlocutor Procura o solicitante no diret rio da empresa e liga de volta para o ramal relacionado Pede para um empregado de confian a endossar a iden tidade do solicitante Solicita um segredo compartilhado da empresa tal como uma senha ou c digo di rio Contata o supervisor imediato do empregado
444. otoshop E os cart es com o n mero da linha de teste da empresa de telefonia A s rie de televi s o Arquivo Confidencial sobre um detetive particular ilustrava uma t cnica inteligente e meio engra ada Rockford interpretado pelo ator James Garner tinha uma impressora port til para cart es em seu carro a qual ele usava para imprimir um cart o apropria do para aquilo que a ocasi o pedia Hoje em dia um engenheiro social pode imprimir cart es em uma hora em qualquer copiadora ou pode imprimi los em uma impressora a laser O que leva um grupo de homens e mulheres inteligentes a aceitarem um impostor Dimensiona mos uma situa o com o instinto e com o intelecto Se a hist ria convence essa a parte do intelecto e se um golpista consegue projetar uma imagem de credibilidade estamos dispostos a baixar a guar da A imagem de credibilidade separa um golpista de sucesso ou engenheiro social de algu m que rapidamente est atr s das grades Pergunte a si mesmo o que me d certeza de que nunca cairia em uma hist ria como a de Rick Se voc tem certeza que n o pergunte a si mesmo se algu m j tentou engan lo Se a res posta da segunda pergunta for sim provavelmente essa tamb m a resposta correta para a primeira pergunta Cap tulo 14 A Espionagem Industrial 187 Observa o John Le Carr autor do livro O Espi o que Veio do Frio Um Espi o Perfeito e de muitos outros livros not veis cresceu como o fi
445. ou pessoalmente Explica o Observa es As contas com privil gios t m acesso a todos os recursos e arquivos que est o armazenados no sistema de computadores Naturalmente elas merecem a maior prote o poss vel 7 4 Acesso remoto do pessoal externo de suporte Pol tica Nenhum funcion rio externo de suporte tal como o pessoal do fabricante de har dware ou software pode ter informa es de acesso remoto ou permiss o para acessar um sistema de computadores da empresa ou dispositivos relacionados sem uma confirma o da identidade e uma autoriza o para executar tais servi os Se o fabricante precisar de acesso privilegiado para fornecer servi os de suporte a senha da conta usada por ele deve ser imediatamente alterada ap s os servi os estarem conclu dos Explica o Observa es Os atacantes podem se fazer passar por fornecedores para terem acesso rede de computadores ou de telecomunica es da empresa Assim sendo essencial que a 234 A Arte de Enganar identidade do fornecedor seja verificada al m de sua autoriza o para executar qualquer trabalho que seja feito no sistema Al m disso as portas do sistema devem ser fechadas ap s o seu trabalho ser realizado Isso feito alterando se a senha de conta usada pelo fornecedor Nenhum fornecedor deve poder escolher sua pr pria senha para uma conta mesmo que seja temporariamente Alguns fabricantes usam uma senha igual ou semelhante nos sistemas d
446. ou semelhantes em todos os sistemas que acessam Assim sendo o intruso tentar aprender a senha de um sistema no qual o alvo tenha uma conta Ap s obt la muito prov vel que essa senha ou uma varia o dela d o acesso aos outros sistemas e dispositivos usados pelo empregado 1 5 5 Reutilizando as senhas Pol tica Nenhum usu rio de computador deve usar uma senha igual ou semelhante dentro do mesmo per odo de 18 meses Explica o Observa o Se um atacante descobrir a senha de um usu rio a mudan a fre q ente da senha minimiza o dano que pode ser causado Criar uma senha nova que seja diferente da anterior algo que torna mais dif cil a sua adivinha o pelo atacante 1 5 6 Padr es de senhas Pol tica Os empregados n o devem selecionar uma senha na qual uma parte permanece fixa e o outro elemento muda seguindo um padr o previs vel Explica o Observa es Por exemplo n o use uma senha tal como Kevin0l Kevin02 Kevin03 e assim por diante na qual os dois ltimos d gitos correspondem ao m s atual 1 5 7 Selecionando as senhas Pol tica Os usu rios de computadores devem criar ou selecionar senhas que sigam os requi sitos a seguir Tenham pelo menos oito caracteres de comprimento para as contas padr o de usu rios e pelo menos 12 caracteres de comprimento para as contas com privil gios Contenham pelo menos um n mero pelo menos um s mbolo tal como _ amp pelo me
447. ovidencias para tomar Assim sendo ela come ou sugerindo algumas possibilidades e dando os detalhes das taxas de juros do que acontece se voc vender um t tulo antes e assim por diante e ao mesmo tempo tentava descobrir quais eram os seus objetivos de investimentos Ela parecia estar fazendo algum progresso quando ele afirmou Ah sinto muito preciso atender outra linha Quando posso terminar a minha conversa com voc para tomar algumas decis es A que horas voc sai para o almo o Ela contou que saia s 12h30 e ele disse que tentaria ligar de volta antes disso ou no dia seguinte O interlocutor de Louis Os principais bancos usam c digos internos de seguran a que mudam todos os dias Quando algu m de uma filial precisa de informa es de outra filial ele prova que tem autoriza o para obter as informa es demonstrando que conhece o c digo do dia Para maior seguran a e flexibilidade alguns dos principais bancos usam diversos c digos todos os dias Nesse local da Costa Oeste que chamarei de Industrial Federal Bank cada empregado encontra todas as manh s uma lista de cinco c digos para o dia os quais s o identificados com as letras A a E Local o mesmo Hora 12h48 naquele mesmo dia Louis Halpburn nem imaginava o que iria acontecer quando recebeu uma liga o naquela tarde uma liga o como tantas outras que recebia v rias vezes por semana Al disse o Interlocutor Aqui Neil Webster Estou ligan
448. para um endere o do tipo warren rms ca edu O dom nio edu seria uma rua sem sa da uma vez que todo operador meio atento de computadores reconheceria esse endere o com sendo o en dere o de uma escola e toda a opera o estaria condenada Para evitar isso eles entraram no Windows do computador do instrutor e viram o endere o IP da m quina o qual eles dariam como o endere o para o envio do arquivo Nesse ponto estava na hora de ligar de volta para o operador de computador do Centro de P amp D Harry ligou Acabei de transferir o arquivo do qual lhe falei Voc pode ver se recebeu Sim ele havia chegado Harry pediu para ele tentar encaminhar o arquivo e deu o endere o IP Ele ficou ao telefone enquanto o jovem fazia a conex o e come ava a transmitir o arquivo e eles observaram a luz da unidade de disco piscando no computador do instrutor recebendo animadamente o download Harry trocou algumas observa es com o rapaz sobre como um dia os computadores e perif ricos seriam mais confi veis agradeceu e disse adeus Os dois copiaram o arquivo da m quina do instrutor para dois discos Zip um para cada um deles Isso era como roubar um quadro que voc gosta de um museu mas n o se atrever a mostrar para os seus amigos Exceto que neste caso era mais prov vel que eles tivessem feito uma duplicata da pin tura original e o museu ainda tinha o seu pr prio original Em seguida Karl ensinou a Harry como remover o servidor de
449. perigo de eles serem enganados para fazer o download de um programa ou abrir um anexo de e mail que pode instalar o software malicioso Al m de evitar que o spyware seja instalado enquanto um empregado est fora da sua mesa tomando um caf almo ando ou em uma reuni o uma pol tica que obrigue todos os empregados a trancar seus sistemas de computadores com uma prote o de tela com senha ou com um m todo semelhante diminuiria substancialmente o risco de que uma pessoa n o autorizada pudesse acessar o computador de um funcion rio Ningu m que entrasse na sala ou no escrit rio da pessoa poderia 166 A Arte de Enganar acessar nenhum dos seus arquivos ler seus e mails ou instalar spyware ou outro software malicioso Os recursos necess rios para ativar prote o de tela com senha s o nulos e o beneficio de proteger as esta es de trabalho dos empregados substancial A an lise do custo beneficio nessa circunst ncia n o deve dar trabalho nenhum Trapa as Inteligentes gora voc j deve ter desconfiado que quando um estranho liga com uma solicita o de informa es confidenciais ou algo que possa ser de valor para um atacante a pessoa que recebe a liga o deve estar treinada para anotar o n mero de telefone do interlocutor e ligar de volta para verificar se a pessoa realmente quem alega ser um empregado da empresa um empregado de um parceiro comercial ou um representante do suporte t cnico de um dos seu
450. pessoal de voz 214 recurso de rastreamento de chamados 222 223 recursos humanos pol ticas para 257 259 Rede da Ag ncia de Projetos de Pesquisa Avan ada do Departamento de Defesa ARPANet 7 registros da universidade como alvo 100 102 104 registros dos alunos como alvo 100 102 104 relat rio de incidentes 225 262 relat rio incidentes de seguran a 61 104 Remote Access Trojan ou RAT 76 Rifkin Stanley Mark engenheiro social 4 5 rotula o de todos os itens 217 s sal rio descoberta do 134 135 script kiddies 6 secure Sockets layer SSL 83 seguran a f sica pol ticas para a 259 262 seguran a suave Candy Security 64 65 seguran a atrav s da obscuridade 66 67 baseada em terminal 146 c digo s 108 109 111 113 117 speakeasy 65 suave 64 65 senha de prote o de tela 249 senha s ataque de forca bruta 151 padr o 58 238 selecionando as 255 256 servi o telef nico Conex o Direta 140 servidor es divulgando 72 103 localizando 132 n mero de discagem do 56 proxy 43 servidores proxy 43 shell s de comandos remoto s t 49 shell s de comandos remoto s 49 simpatia explorando 86 99 187 simulador de login 101 sistemas automatizados de telefone 223 software antiv rus mantendo atualizado 83 pol tica s de 237 241 257 spyware e 165 software antiv rus 83 84 165 237 241 autentica o de 238 Cavalo de Tr ia 48 257 c digo fonte obtendo 68 73 en
451. po v m tendo problemas para permanecer conectado Hum n o que eu saiba E voc n o est tendo problemas N o tudo parece bem Bem isso bom Ou a estamos ligando para as pessoas que podem ser afetadas por isso Importante que voc nos informe imediatamente se perder a sua conex o de rede Isso n o parece bom Voc acha que pode acontecer Esperamos que n o mas voc liga se acontecer alguma coisa certo Pode acreditar que sim Ou a parece que ficar sem a conex o de rede problema para voc Pode apostar que seria F 46 A Arte de Enganar ent o enquanto estamos falando disso vou dar o n mero do meu telefone celular Se precisar voc pode ligar direto para mim Isso seria timo O n mero 555 867 5309 555 867 5309 Entendi obrigado Qual mesmo o seu nome Eddie Mais uma coisa preciso verificar o n mero de porta ao qual o seu computador est conectado D uma olhada no seu computador e veja se h uma etiqueta em algum lugar dizendo algo como N mero de porta Espere um pouco N o n o vejo nada parecido OK ent o na parte de tr s do computador voc consegue reconhecer o cabo de rede Sim Veja onde ele est ligado Veja se h uma etiqueta no conector ao qual ele est ligado Espere um pouco Sim espere a tenho de me ajoelhar para chegar mais perto e ler Muito bem a porta 6 tra o 47
452. po verificaria rotineiramente a identidade de todos os empre gados que ligassem pedindo uma visita fora do expediente por meio de uma liga o para o supervisor daquela pessoa ou usando algum outro meio relativamente seguro 136 A Arte de Enganar Tratando o lixo com respeito A hist ria do vira latas falou do mau uso do seu lixo corporativo Os oito segredos para tratar o lixo com sabedoria s o Classificar todas as informa es confidenciais com base no grau de confidencialidade Estabelecer procedimentos em toda a empresa para descartar as informa es confidenciais Insistir em que todas as informa es confidenciais descartadas passem primeiro pela m quina cortadora de papel e fornecer um modo seguro de se livrar das informa es importantes em peda os de papel que s o pequenos demais e passam pela m quina As m quinas n o devem ser muito baratas as quais resultam em tiras de papel que podem ser montadas novamente por um atacante determinado e com paci ncia Elas devem ser do tipo que faz cortes cruzados ou do tipo que transforma a sa da em polpa in til Fornecer um modo de inutilizar ou apagar completamente a m dia de computador os dis quetes discos Zip CDs e DVDs usados para armazenar arquivos fitas remov veis ou unida des de disco r gido antigas e outras m dias de computador antes de descart la Lembre se de que os arquivos apagados n o s o realmente removidos eles ainda podem ser
453. pode divulgar pa ra as pessoas n o empregadas pela empresa 270 A Arte de Enganar Respondendo a uma solicita o de informa es As Perguntas de Ouro Como sei que esta pessoa quem ela diz ser Como sei que esta pessoa tem autoridade para fazer a solicita o Sim NUNCA divulgar a sua senha sob nenhuma circunst ncia EXEMPLOS Quaisquer senhas N o Detalhes do quadro Sim Seguir os procedimentos para divulga o das informa es internas Estrutura hier rquica do pessoal nomes e cargos dos empregados organizacional N o N meros de telefones internos designados equipe n meros de fax internos n meros internos do pr dio e listas departamentais Sim Listas de Seguir os procedimentos para a divulga o de informa es internas telefone diret rio da empresa N o N meros pessoais de telefone residencial ou celular n mero do seguro social endere o residencial hist rico de empregos anteriores e sal rios Sim Seguir os procedimentos para a divulga o de informa es internas Informa es pessoais N o Tipo de sistema operacional procedimentos de acesso remoto n meros de discagem e nomes designados aos sistemas de computadores Procedimento Sim Seguir os procedimentos para a divulga o de informa es internas ou informa es sobre o sistema de computadores N o Processos de manufatura planos estrat gicos c d
454. pos mas isso n o importava Ela respondeu D 9WC P Ent o em geral s o quatro d gitos Onde voc disse que trabalhava D Na sede em Thousand Oaks P Bem aqui tem um para Thousand Oaks 1A5N com N de Nancy Falando apenas o tempo suficiente com algu m que estava disposto a ajudar Didi con seguiu o n mero do centro de custo de que precisava uma daquelas informa es que ningu m pensa em proteger porque parece algo que nunca ter valor para uma pessoa de fora A terceira liga o um n mero errado til A pr xima etapa para Didi seria explorar o n mero do centro de custo e transform lo em algo de valor verdadeiro usando o como uma ficha de p quer Ela come ou ligando para o departamento de Im veis fingindo ter ligado para um n mero errado Come ando com um Desculpe incomodar mas ela disse que era uma funcion ria que havia perdido a lista de telefones da empresa e perguntou para quem ela deveria ligar para conseguir uma outra c pia O homem disse que a c pia impressa estava desatualizada porque ela estava dispon vel no site da intranet da empresa Didi disse que preferia usar uma c pia impressa e o homem disse para ela ligar para Pu blica es e em seguida sem que ela pedisse talvez s para manter a senhora com voz sexy mais um pouco na linha procurou o n mero e o forneceu para ela A quarta liga o Bart em Publica es Em Publica es ela falou com um homem chamado B
455. precisam ser verificados regularmente para que se tenha a certeza de que a criptografia decriptografia est funcionando bem Sempre h o perigo de que as chaves de criptografia se percam ou de que a nica pessoa que conhece as chaves seja atingida por um nibus Mas o n vel de aborrecimento pode ser minimizado e todos aqueles que armazenam as informa es confidenciais externamente em uma empresa comer cial e n o usam a criptografia s o me desculpem o termo uns idiotas Isso como caminhar em uma vizinhan a perigosa com uma nota de US 20 00 saindo do bolso e pedindo para ser roubada Deixar m dia de backup em um lugar onde algu m pode entrar e tir la uma falha de seguran a comum H v rios anos trabalhava em uma empresa que poderia ter se esfor ado mais para proteger as informa es dos clientes A equipe da opera o deixava as fitas de backup da empresa fora da porta da sala trancada dos computadores para que um mensageiro as pegasse no outro dia Todos poderiam sair com as fitas de backup as quais continham todos os documentos de processador de texto da em presa em texto n o criptografado Se os dados de backup est o criptografados a perda do material um aborrecimento se eles n o est o criptografados bem voc pode imaginar o impacto sobre a sua empresa melhor do que eu A necessidade que as empresas maiores t m de armazenamento externo confi vel vital Mas os procedimentos de seguran a da sua
456. procurou o crach em um bolso e em seguida come ou a procurar nos ou tros bolsos De repente Leroy come ou a ter um mau pressentimento sobre isso tudo Droga disse o ra paz Devo ter deixado no carro Vou l pegar me d dez minutos para ir at o estacionamento e voltar Leroy j estava com a sua prancheta Qual era mesmo o seu nome senhor ele perguntou e anotou a resposta com cuidado Em seguida pediu que eles fossem com ele at o Escrit rio da Segu ran a No elevador para o terceiro andar Tom explicou que estava na empresa h apenas seis meses e esperava que isso n o lhe trouxesse problemas Na sala de monitoramento da Seguran a os dois outros seguran as do turno da noite de Leroy juntaram se a ele para fazer perguntas ao par Stilton deu seu n mero de telefone e disse que a sua chefe era Judy Underwood e deu o n mero do telefone dela e todas as informa es foram checadas no computador Leroy afastou se com os dois outros seguran as e conversaram sobre o que fazer Ningu m queria fazer a coisa errada todos os tr s concordaram que era melhor ligar para o chefe do rapaz embora isso significasse acord la no meio da noite Leroy ligou ele mesmo para a Sra Underwood explicou quem ele era e perguntou se o Sr Tom Stilton trabalhava para ela Parecia que ela estava meio adormecida ainda Sim ela disse Bem o encontramos aqui na linha de produ o s 2h30 da manh sem nenhum crach de iden
457. que podiam dizer que n o haviam tido uma quebra de seguran a durante o ano Igualmente assustador foi o n mero de organiza es que informaram terem tido preju zos financeiros devido a quebras na seguran a dos computadores 64 Bem mais do que metade das organiza es havia tido preju zos financeiros Tudo isso em um nico ano Por experi ncia pr pria acredito que os n meros dos relat rios como esse s o um pouco exa gerados Suspeito da agenda das pessoas que realizam uma pesquisa Mas isso n o quer dizer que o dano n o seja extenso Ele sim Aqueles que n o planejam um incidente de seguran a est o plane jando o fracasso Os produtos comerciais de seguran a empregados na maioria das empresas visam principalmente o fornecimento da prote o contra o intruso amador de computadores assim como as crian as que s o conhecidas como script kiddies Na verdade esses pretendentes a hackers com software baixa do s o mais um aborrecimento Quanto maiores as perdas mais reais as amea as vindas de atacantes sofisticados com alvos bem definidos e motivados pelo ganho financeiro Essas pessoas concentram se em um alvo de cada vez e n o s o como os amadores que tentam se infiltrar no maior n mero poss vel de sistemas Enquanto os intrusos amadores de computadores apenas buscam a quantidade os profissionais visam as informa es de qualidade e valor As tecnologias como os dispositivos de autentica o para fornecer a ide
458. que chama de um trabalho de caixa preta A primeira regra utilizada garantir que os escrit rios de advocacia e as empresas que os contratam A 180 A Arte de Enganar nunca saibam como eles obt m essas informa es para sempre negarem tudo de forma plaus vel Se algu m vai enfiar os p s em gua fervendo esse algu m ser Pete e pelo que ele recebe pelos gran des trabalhos ele calcula que o risco compensa Al m disso ele tem a satisfa o pessoal de ser mais inteligente do que as pessoas inteligentes Sc os documentos que Chaney quer que ele encontre realmente existiram e n o foram destru dos eles ter o de estar em algum lugar dos arquivos da Pharmomedic Mas encontr los em meio aos in meros arquivos de uma grande corpora o uma tarefa gigantesca Por outro lado suponha mos que eles tenham passado c pias para a sua empresa de advocacia a Jenkins and Petry Se os promotores p blicos sabiam daqueles documentos e n o os apresentaram como parte do processo de descoberta ent o eles violaram a tica da profiss o e violaram tamb m a lei Pela cartilha de Pete isso torna qualquer ataque justo O ataque de Pete Pete faz com que algumas das pessoas que trabalham para ele realizem uma pesquisa e em ques t o de dias descobre em qual empresa a Jenkins and Petry armazena os seus backups externos E descobre que a empresa de armazenamento mant m uma lista com os nomes das pessoas auto rizadas pela empresa de adv
459. que continha a lista de autoriza es Nenhum deles sabia quando isso poderia ser til mas essa era uma das coisas do tipo J que estamos aqui vamos aproveitar que de vez em quando podem ser aproveitadas No dia seguinte um daqueles mesmos homens ligou para a empresa de armazenamento usando o nome que haviam inclu do na lista de autoriza es e deu a senha correspondente Ele pediu todas as fitas da Jenkins and Petry datadas desde o ltimo m s e disse que um servi o de mensageiros passaria l para pegar o pacote No meio da tarde Andreeson tinha as fitas O seu pessoal restaurou todos os dados para seu pr prio sistema de computadores e fez a pesquisa Andreeson estava muito satisfeito com o fato de a empresa de advocacia assim como a maioria das outras empresas n o ter se importado em criptografar seus dados de backup As fitas foram devolvidas empresa de armazenamento no dia seguinte e ningu m se deu conta Cap tulo 14 A Espionagem Industrial 181 Analisando a trapa a Devido fraca seguran a f sica os espi es puderam facilmente abrir o cadeado da empresa de arma zenamento ter acesso ao computador e modificar o banco de dados que continha a lista de pessoas autorizadas a acessar a unidade de armazenamento A inclus o de um nome lista permitiu que os impostores obtivessem as fitas de backup de computador que estavam procurando sem ter de invadir a unidade de armazenamento da empresa Como a maioria das emp
460. que nunca tinha dinheiro suficiente para pagar a conta O ci me pode ser uma m companhia Finalmente um dia Ned ficou farto daquilo tudo O nico bom cliente que j tivera era uma empresa de contabilidade pequena mas bem sucedida especializada em incorpora es e aquisi es H muito tempo eles n o usavam os servi os de Ned o suficiente para ele perceber que eles estavam envolvidos em neg cios que depois de chegarem aos jornais afetariam o pre o das a es de uma ou duas empresas p blicas As a es valiam pouco mas de alguma maneira isso era melhor ainda um pequeno aumento no pre o representaria uma grande porcentagem de lucro sobre o investimento Se ele pudesse acessar seus arquivos e descobrir no que eles estavam trabalhando Ele conhecia um homem que tinha experi ncia em coisas que n o seguem exatamente o proce dimento padr o O homem ouviu o plano interessou se e concordou em ajudar Por uma taxa mais baixa do que aquela que cobrada normalmente mais uma porcentagem sobre as a es de Ned o homem deu as instru es sobre o que ele deveria fazer Ele tamb m lhe deu um conselho til algo totalmente novo no mercado Durante alguns dias seguidos Ned observou o estacionamento onde a pequena empresa de contabilidade tinha o despretensioso escrit rio do tipo loja A maioria das pessoas sa a entre 17h30 e 18h s 19h o estacionamento estava vazio O pessoal da limpeza aparecia por volta das 19h30 Per
461. que os dep sitos de lixo estejam em propriedade p blica Por esse motivo importante que os dep sitos de lixo estejam situados na propriedade da empresa onde ela tem o direito legal de proteger os cont ineres e seu conte do POL TICAS PARA RECEPCIONISTAS Os recepcionistas quase sempre est o na linha de frente no que diz respeito a lidar com os engenhei ros sociais mas eles raramente t m um treinamento suficiente em seguran a para reconhecer e deter um invasor Institua estas pol ticas para ajudar o seu recepcionista a proteger melhor a sua empresa e seus dados 19 1 Diret rio interno Pol tica A divulga o das informa es do diret rio interno da empresa deve ser limitada s pessoas empregadas pela empresa Explica o Observa es Todos os cargos nomes n meros de telefone e endere os de em pregados contidos no diret rio da empresa devem ser considerados informa es Internas e s devem ser divulgados de acordo com a pol tica relacionada com classifica o de dados e informa es internas Al m disso toda pessoa que liga deve ter o nome e o ramal da pessoa que est tentando contatar Embora o recepcionista possa fazer uma transfer ncia de liga o quando um interlocutor n o sabe 262 A Arte de Enganar o n mero do ramal a divulga o do n mero do ramal para o interlocutor deve ser proibida Para aquele pessoal curioso que s acredita vendo experimente este procedimento ligando para a A
462. que poss vel garantir que os sistemas operacionais estejam configurados para serem consistentes com todas as pol ticas e os procedimentos de seguran a adequados Explica o Observa es A cria o e distribui o das pol ticas de seguran a uma etapa fundamental na dire o da redu o do risco mas na maioria dos casos o cumprimento das pol ticas deixado para cada empregado Existem por m algumas pol ticas relacionadas com computadores que podem ser obrigat rias por meio das defini es do sistema operacional tais como o tamanho exigido para as senhas A automa o das pol ticas de seguran a pela configura o dos par metros do sistema operacional tira efetivamente a decis o das m os do elemento humano e aumenta a seguran a geral da organiza o 7 7 Vencimento obrigat rio Pol tica Todas as contas de computadores devem ser definidas para expirar ap s um ano Explica o Observa es A inten o desta pol tica eliminar a exist ncia das contas de computadores que n o est o mais sendo usadas uma vez que os invasores em geral visam as contas inativas O processo garante o desativamento autom tico de todas as contas de computadores que foram mantidas inadvertidamente e que pertencem a ex empregados ou ex contratados Cap tulo 16 Recomenda es de Pol ticas de Seguran a das Informa es Corporativas 235 A crit rio da ger ncia voc pode exigir que os empregados fa am um curso de atuali
463. r Biggley Ou a ele espera a nossa an lise amanh de manh e temos de trabalhar hoje noite Agora voc quer que eu diga a ele que n o conseguimos porque n o recebemos o relat rio de voc s ou quer dizer isso a ele pessoalmente Um CEO zangado pode arruinar a sua semana O alvo provavelmente vai resolver que talvez seja melhor ele cuidar disso antes de ir para aquela reuni o Novamente o engenheiro social apertou o bot o certo para receber a resposta que desejava 90 A Arte de Enganar Analisando a trapa a O truque da intimida o mencionando uma autoridade funciona bem se a outra pessoa ocupar um n vel relativamente baixo dentro da empresa O uso do nome de uma pessoa importante n o apenas supera a relut ncia normal ou a suspeita mas tamb m torna a pessoa mais disposta a agradar o instinto natural de querer ser til se multiplica quando voc acha que a pessoa que est ajudando importante ou influente O engenheiro social sabe por m que ao executar este truque melhor usar o nome de algu m que tem um n vel mais alto do que o chefe da pr pria pessoa E este truque complicado dentro de uma organiza o pequena o atacante n o quer que a sua v tima por acaso fa a este coment rio com o vice presidente de marketing Enviei o plano de marketing de produto para aquele consultor que voc pediu para me ligar Isso pode produzir a resposta Que plano de marketing Que consultor E isso pode levar
464. r do help desk da empresa e organizou as coisas para que o homem ligasse para o telefone celular de Bobby a qualquer momento que houvesse um problema com a sua conex o de rede Ele deu uma pausa de dois dias para n o parecer t o bvio e em seguida ligou para o centro de opera es de rede da empresa NOC Ele disse que estava solucionando um problema para Tom o alvo e pediu que a conex o de rede de Tom fosse desligada Bobby sabia que essa era a parte mais complicada de todo o plano em muitas empresas o pessoal do help desk trabalha junto com o NOC na verdade ele sabia que o help desk geralmente faz parte da organiza o de TI Mas o indiferente rapaz do NOC com quem ele falou tratou a liga o como rotina n o pediu o nome do funcion rio que deveria estar trabalhando no problema de rede e concordou em desativar a porta de rede do alvo Quando tudo estava pronto Tom estaria totalmente isolado da intranet da empresa incapaz de recuperar arquivos do servidor de trocar arquivos com seus colegas de fazer o download das suas mensagens de correio eletr nico ou mesmo de enviar uma p gina de dados para a impressora No mundo de hoje isso como morar em uma caverna Como Bobby esperava n o demorou muito para o seu celular tocar E claro que ele deu a impres s o de estar disposto a ajudar esse pobre colega de trabalho com problemas Em seguida ligou para o NOC e fez com que a conex o de rede do homem voltasse Finalmente el
465. r sucesso quando as pessoas s o est pidas ou em geral apenas desconhecem as boas pr ticas da seguran a Com a mesma atitude do nosso propriet rio de casa consciente sobre a seguran a muitos profissio nais da tecnologia da informa o TI conservam a id ia errada de que tomaram suas empresas imunes ao ataque porque usaram produtos de seguran a padr o firewalls sistemas de detec o de intrusos Intrusion Detection Systems ou dispositivos avan ados de autentica o tais como tokens baseados no tempo ou cart es biom tricos inteligentes Todos que acham que os produtos de seguran a sozinhos oferecem a verdadeira seguran a est o fadados a sofrer da ilus o da seguran a Esse o caso de viver em um mundo de fantasia mais cedo ou mais tarde eles ser o v timas de um incidente de seguran a U 4 A Arte de Enganar Como observou o consultor de seguran a Bruce Schneier a seguran a n o um produto ela um processo Al m disso a seguran a n o um problema para a tecnologia ela um problema para as pessoas e a dire o A medida que os especialistas contribuem para o desenvolvimento cont nuo de melhores tecnolo gias de seguran a tornando ainda mais dif cil a explora o de vulnerabilidades t cnicas os atacantes se voltar o cada vez mais para a explora o do elemento humano Quebrar a firewall humana quase sempre f cil n o exige nenhum investimento al m do custo de uma liga o te
466. r as transfer ncias eletr nicas recebiam um c digo di rio secreto a cada manh o qual era usado quando ligavam para a sala de transfer ncia Na sala de transfer ncia os funcion rios nem se davam ao trabalho de memorizar o c digo de cada dia Eles escreviam o c digo em um peda o de papel e o colocavam em um lugar no qual podiam v lo facilmente Nesse dia de novembro em particular Rifkin tinha um motivo espec fico para a sua visita Ele queria dar uma olhada naquele papel Ao chegar sala de transfer ncia anotou os procedimentos operacionais supostamente para ter certeza de que o sistema de backup se combinaria com os sistemas normais Nesse meio tempo leu discretamente o c digo de seguran a no peda o de papel e o memorizou Alguns minutos depois foi embora Como declarou mais tarde ele se sentiu como se houvesse ganhado na loteria H essa conta no banco su o Ao sair da sala l pelas 3 horas da tarde ele foi direto para o telefone p blico no sagu o de m rmore do pr dio no qual depositou uma ficha e discou para a sala de transfer ncia eletr nica Em seguida transformou se de Stanley Rifkin consultor do banco em Mike Hansen um membro do Departa mento Internacional do banco Cap tulo 1 O Elo Mais Fraco da Seguran a 5 Segundo uma fonte a conversa o foi mais ou menos esta Ol aqui quem fala Mike Hansen do Internacional ele disse para a jovem que atendeu ao telefone Ela pediu o n
467. r entregues Pessoalmente Por correio interno fechada e marcada com a classifica o Particular Por correio regular As informa es particulares na forma eletr nica arquivos de computador arquivos de banco de dados correio eletr nico podem ser entregues Por correio eletr nico interno Por transfer ncia eletr nica para um servidor dentro da rede interna da empresa Por fax desde que apenas o destinat rio pretendido use a m quina de destino ou que esse destinat rio esteja aguardando junto m quina de destino quando o fax for transmitido As mensagens de fax tamb m podem ser enviadas para servidores de fax protegidos por senha Como alternativa elas tamb m podem ser enviadas sem que o destinat rio esteja presente se isso for feito por um link telef nico criptografado para um servidor de fax protegido por senha As informa es particulares podem ser discutidas pessoalmente por telefone em transmiss o por sat lite link de videoconfer ncia e por VoIP criptografado Os meios de comunica o a seguir n o s o aceitos para a discuss o ou distribui o das informa es Particulares correio eletr nico n o criptografado mensagem de voice mail correio regular e por qualquer m todo de comunica o sem fio celular SMS ou sem fio 2 5 Distribui o das informa es internas Pol tica As informa es internas s o aquelas que devem ser partilhadas apenas dentro
468. r muito e fazer um trabalho grande de reconhecimento do alvo Voc tem de veri ficar na p gina Web da empresa os nomes e cargos a estrutura hier rquica e os n meros de telefone preciso tamb m ler recortes de jornais e artigos de revistas Ser meticuloso a minha precau o para que eu possa falar com qualquer pessoa que me desafie com tanto conhecimento quanto o de qualquer empregado Por onde come ar ent o Em primeiro lugar procurei na Internet para saber onde a empresa tinha escrit rios e vi que a sede corporativa era em F nix Perfeito Liguei e pedi para falar com o Marketing toda empresa tem um departamento de marketing Uma senhora atendeu e eu disse que era da Blue Pencil Graphics e queria saber se eles teriam interesse em usar os nossos servi os e com quem poderia falar Ela disse que eu deveria falar com Tom Stilton Pedi o n mero do seu telefone e ela respondeu que eles n o davam essas informa es mas que ela poderia me passar para ele A liga o caiu no voice mail e a sua mensagem dizia Aqui Tom Stilton de Gr ficos ramal 3147 por favor deixe a sua mensagem E claro que eles n o d o os ramais mas esse funcion rio deixa o seu ramal bem no seu voice mail Isso era timo Agora eu tinha um nome e um ramal Fiz outra liga o para o mesmo escrit rio Ol eu estava procurando por Tom Stilton Ele n o est Gostaria de fazer uma perguntinha ao chefe dele O chefe estava fora tamb m mas quando d
469. r os nomes das pessoas da empresa que trabalhavam no STH 100 ou que precisariam ver os projetos Assim sendo liguei para a telefonista e disse Prometi para um funcion rio do seu grupo de engenharia que eu entraria em contato com ele e n o me lembro do seu sobrenome mas o primeiro nome come ava com S Ela respondeu Temos Scott Archer e Sam Da vidson Fiz uma longa pausa Qual deles trabalha no grupo do STH 100 Ela n o sabia e escolhi Scott Archer aleatoriamente Ela fez a liga o Quando ele atendeu comecei Ol meu nome Mike da sala de correspond ncia Tenho uma encomenda FedEx aqui para a equipe de projeto do Heart Stent STH 100 Voc tem alguma id ia para quem mando Ele me deu o nome do l der do projeto Jerry Mendel Ele ate procurou o n mero do telefone na lista para mim Liguei Mendel n o estava l mas a mensagem na sua secret ria eletr nica dizia que ele estava de f rias at o dia 13 o que significava que ele tinha ainda mais uma semana para esquiar ou o que fosse e todos que precisassem de alguma coisa nesse meio tempo deveriam ligar para Michelle no ramal 9137 Esse pessoal muito prestativo muito prestativo sem d vida Desliguei e liguei para Michelle Aqui e Bill Thomas Jerry me disse para eu ligar quando tives se as especifica es para que a sua equipe examinasse Voc est trabalhando no heart stent certo Ela disse onde eles estavam Agora est vamos chegando a parte mais i
470. r que os modems dos desktops ou es ta es de trabalho representam uma amea a substancial seguran a sobretudo se estiverem conec tados rede corporativa Da mesma forma esta pol tica controla os procedimentos de conex o por modem Os hackers usam uma t cnica chamada discagem de guerra para identificar todas as linhas de modem ativas dentro de determinados n meros de telefone A mesma t cnica pode ser usada para localizar os n meros de telefone que est o conectados aos modems da empresa Um atacante pode comprometer facilmente a rede corporativa se identificar um sistema de computadores conectado a um modem que execute software vulner vel de acesso remoto que esteja configurado com uma senha f cil de adivinhar ou nenhuma senha 10 8 Modems e defini es de resposta autom tica Pol tica Todos os desktops ou esta es de trabalho com modems aprovados pelo TI devem ter o recurso de resposta autom tica desativado para evitar que algu m disque para o sistema de computadores Explica o Observa es Sempre que poss vel o departamento de tecnologia da infor ma o deve empregar um conjunto de modems de discagem para aqueles funcion rios que precisam discar para sistemas de computadores externos via modem 10 9 Ferramentas de invas o Pol tica Os empregados n o devem fazer o download nem usar ferramentas de software cria das para anular os mecanismos de prote o de software Explica o Observa e
471. r subornar os zeladores seja algo que aumente a chance de haver conseq ncias mas para aque les que est o dispostos a se sujar um pouco os subornos n o s o necess rios Para um engenheiro social a pr tica de virar latas tem seus benef cios Ele pode obter informa es suficientes para orientar o seu assalto contra a empresa alvo incluindo memorandos agendas de reuni es cartas e outros documentos que revelam nomes departamentos cargos n meros de telefone e designa es de projetos O lixo pode render gr ficos da organiza o informa es sobre a estrutura corporativa cronogramas de viagens e outros Todos esses detalhes podem parecer triviais para quem est dentro embora sejam informa es valios ssimas para um atacante Mark Joseph Edwards em seu livro Internet Security with Windows AT fala sobre relat rios intei ros descartados por causa de erros de digita o senhas escritas em peda os de papel impressos de reca dos com n meros de telefone pastas de arquivo inteiras com os documentos ainda dentro delas disquetes e fitas que n o foram apagados ou destru dos tudo o que poderia ajudar um prov vel intruso O escritor pergunta E quem s o as pessoas que trabalham na sua equipe de limpeza Voc deci diu que eles n o entrar o ter o autoriza o na sala dos computadores mas n o se esque a das outras latas de lixo Se as ag ncias federais acharem necess rio fazer verifica es do hist ri
472. r tenha conhecimento de que a a o est ocorrendo E o processo pelo qual Anna passou para instalar o spyware parecia ser inofensivo Anna n o linha a menor id ia de que suas a es aparentemente inocentes permitiam que um atacante tivesse informa es valiosas que poderiam ser usadas contra os interesses da empresa E por que ele escolheu encaminhar a mensagem do vice presidente para uma conta de e mail na Ucr nia Por diversos motivos um destino distante torna bem menos prov vel o rastreio ou alguma a o contra um atacante Esses tipos de crimes geralmente s o considerados crimes de baixa priorida de em pa ses com esses nos quais a pol cia tende a fazer vistas grossas para um crime cometido pela Internet uma vez que essa n o uma ofensa muito s ria Por esse motivo o uso de e mails de pa ses que talvez n o cooperariam com a aplica o das leis dos EUA uma estrat gia atraente EVITANDO A TRAPA A Um engenheiro social sempre prefere visar um empregado que n o pode reconhecer algo suspeito em suas solicita es Isso n o apenas facilita o trabalho mas tamb m o torna menos arriscado como ilustram as hist rias deste cap tulo Recado do Mitnick pr tica comum pedir que um colega ou subordinado fa a um favor Os engenheiros sociais sabem como explorar o desejo natural das pessoas de ajudar e fazer parte de uma equipe Um atacante explora esse tra o humano positivo para enganar emprega dos desavisa
473. ra de autor Ele tem orgulho de ser um escritor e finalmente entendo e compartilho desse orgulho Esperamos fazer outros livros juntos O prazer de estar na casa de Simon em Rancho Santa F para trabalhar e de ser mimado pela es posa de Bill Arynne poderia ser considerado um dos pontos altos deste projeto A conversa de Aryn ne e seus pratos ser o as primeiras lembran as que terei quando pensar neste livro Ela uma senhora de qualidade e sabedoria engra ada que criou um lar aconchegante e lindo N o vou mais conseguir beber um refrigerante diet tico sem ouvir a voz dela me avisando sobre os perigos do aspartame Stacey Kirkland significa muito para mim Ela dedicou muitas horas do seu tempo ajudando me no Macintosh a criar os quadros e gr ficos que deram autoridade visual s minhas id ias Admiro suas maravilhosas qualidades Ela uma pessoa gentil e generosa que merece as melhores coisas da vida Ela me incentivou como amiga dedicada e algu m com quem me importo muito Quero agra decer a ela pelo seu apoio e por estar presente sempre que precisei dela Alex Kasper da Nexspace n o apenas o meu melhor amigo mas tamb m um parceiro de neg cios e colega Juntos fizemos um programa de entrevistas de r dio pela Internet conhecido como The Darkside of the Internet na KFI AM 640 de Los Angeles sob a habilidosa dire o de David G Hall Alex deu sua valiosa assist ncia e consultoria para o projeto deste livro A
474. ra etapa t pica dos invasores de sistemas mudou a senha de uma conta inativa que tinha direitos administrativos s para o caso de querer obter uma vers o atualizada do software no futuro Analisando a trapa a Nesse ataque que explorava as vulnerabilidades t cnicas e pessoais o atacante come ou com uma liga o telef nica para obter a localiza o e os nomes dos hosts dos servidores de desenvolvimento que mantinham as informa es propriet rias Em seguida ele usou um utilit rio de software para identificar os nomes de usu rio de contas v lidas de todos que tinham acesso ao servidor de desenvolvimento A seguir ele executou dois ata ques sucessivos de senhas entre eles um ataque de dicion rio o qual pesquisa as senhas mais usadas tentando todas as palavras de um dicion rio da l ngua inglesa s vezes aumentado por diversas listas de palavras contendo nomes locais e itens de interesse especial Como as ferramentas de hacking comerciais e de dom nio p blico podem ser obtidas por qual quer pessoa para qualquer finalidade muito importante que voc fique atento e proteja os sistemas de computadores da empresa e a sua infra estrutura de rede A magnitude dessa amea a n o pode ser subestimada De acordo com a revista ComputerWorld uma an lise nos escrit rios de Nova York da Oppenheimer Funds levou a uma descoberta surpreen dente O vice presidente da empresa para Seguran a de Rede e Recupera o de Desastres
475. ra n meros de telefo nes externos n o devem ser realizados em qualquer modem de discagem ou n mero de telefone de fax dentro da empresa Explica o Observa es Os atacantes sofisticados podem tentar enganar o pessoal ou os funcion rios internos da empresa de telefonia para que eles encaminhem os n meros internos para uma linha telef nica externa sob o controle de um atacante Esse ataque permite que o intruso intercepte faxes solicite que informa es Confidenciais sejam enviadas por fax dentro da empresa o pessoal sup e que o envio de mensagens de fax dentro da organiza o seja seguro ou engane os usu rios de discagem para que forne am suas senhas de conta para o encaminhamento das linhas de discagem para um computador falso que simula o processo de login Dependendo do servi o telef nico usado dentro da empresa o recurso de encaminhamento de chamadas pode estar sob o controle do provedor de comunica es e n o sob o controle do depar tamento de telecomunica es Em tais circunst ncias uma solicita o ser feita para o provedor de comunica es para garantir que esse recurso n o esteja presente nos n meros de telefone designados para as linhas de discagem e fax 3 2 ID de chamadas Pol tica O sistema telef nico corporativo deve fornecer a identifica o da linha do interlo cutor ID de chamadas em todos os aparelhos internos de telefone e se poss vel deve permitir um toque distinto para indicar q
476. ra n o existam muitas engenheiras sociais esse n mero est crescendo H engenheiras sociais suficientes para que voc n o baixe a guarda s porque est ouvindo uma voz feminina Na verdade as engenheiras sociais t m uma vantagem dis tinta porque podem usar a sua sensualidade para obter a coopera o Voc encontrar alguns poucos exemplos do chamado sexo fr gil representado nestas p ginas A 34 A Arte de Enganar A primeira liga o Andrea Lopez Andrea Lopez atendeu ao telefone na locadora de v deo na qual trabalhava e em instantes estava sorrindo sempre um prazer quando um cliente se d ao trabalho de dizer que est satisfeito com o nosso servi o Esse interlocutor disse que teve uma experi ncia muito boa ao ser atendido pela loja e queria enviar uma carta para o gerente dizendo isso Ele pediu o nome e endere o de correspond ncia do gerente e ela disse que seu nome era Tommy Allison e deu o endere o Quando ela estava para desligar ele teve outra id ia e pediu Eu poderia escrever para a sede da sua empresa tamb m Qual o n mero da sua loja Ela forneceu essas informa es tamb m Ele agradeceu acrescentou algo agrad vel sobre como ela ajudou e disse adeus Ela pensou Uma liga o assim sempre parece melhorar o nosso dia de trabalho Que bom se as pessoas fizessem isso com mais freq ncia A segunda liga o Ginny Obrigada por ligar para a Studio Video Meu nome Ginny posso ajudar
477. rador de rede pode publicar uma pergunta sobre a configura o dos filtros de firewall de determinada marca e modelo Um atacante que descobre essa mensagem adquire infor ma es valiosas sobre o tipo e a configura o do firewall usado que lhe permite ter acesso rede da empresa Esse problema pode ser reduzido ou evitado pela implementa o de uma pol tica que permite que os empregados participem de newsgroups com contas an nimas que n o identificam a empresa da qual se originaram Naturalmente a pol tica deve exigir que os empregados n o incluam nenhuma informa o de contato que possa identificar a empresa 10 11 Disquetes e outra m dia eletr nica Pol tica Se uma m dia qualquer tal como disquetes ou CD ROMs for deixada em uma rea de trabalho ou na mesa de um empregado e se aquela m dia for de origem desconhecida ela n o deve ser inserida em nenhum sistema de computadores Explica o Observa es Um m todo usado pelos atacantes para instalar c digo malicioso e colocar programas em um disquete ou CD ROM e rotul lo como algo irresist vel por exemplo Dados de pagamento do pessoa Confidencial Em seguida eles deixam diversas c pias nas reas usadas pelos empregados Se uma nica c pia for inserida em um computador e os arquivos forem abertos o c digo malicioso do atacante ser executado Isso pode criar uma backdoor que usada para comprometer o sistema ou pode causar outros danos para a red
478. rando sobre nossa sociedade n o s o apenas as informa es que est o em risco FA A ISSO AGORA Nem todos que usam as t ticas da engenharia social s o engenheiros sociais bem educados Todos que t m um conhecimento interno de determinada empresa podem se tornar perigosos O risco maior ainda para uma empresa que mant m em seus arquivos e bancos de dados as informa es confiden ciais sobre seus empregados o que obviamente feito pela maioria das empresas Quando os funcion rios n o s o educados ou treinados para reconhecer os ataques da engenharia social pessoas determinadas como a senhora da pr xima hist ria podem fazer coisas que os mais honestos acham ser imposs vel A hist ria de Doug As coisas n o iam t o bem com Linda e soube assim que conheci Erin que ela era a mulher da minha vida Linda um pouco bem n o que ela seja inst vel mas ela pode extrapolar um pouco quando fica aborrecida Disse lhe com o m ximo poss vel de delicadeza que ela teria de se mudar e a ajudei a fazer as malas e at mesmo deixei que levasse alguns CDs do Queensryche que eram meus Assim que ela saiu fui a uma loja de ferragens comprar um novo cadeado para colocar na porta da frente e o colo quei naquela mesma noite Na manh seguinte liguei para a empresa de telefonia e pedi para mudar o n mero do meu telefone e n o dei permiss o para que ele fosse divulgado Isso me deixava livre para procurar Erin A his
479. rar em contato com um representante de vendas e marketing e fazer com que ele acredite que uma grande compra est para ser feita Em um esfor o para aproveitar a oportunidade de vendas os representantes de vendas e marketing quase sempre liberam as informa es que podem ser usadas pelo atacante como uma ficha de p quer para obter o acesso s informa es Sigilosas Cap tulo 16 Recomenda es de Pol ticas de Seguran a das Informa es Corporativas 221 2 10 Transfer ncia de arquivos ou dados Pol tica Os arquivos ou outros dados eletr nicos n o devem ser transferidos para nenhuma m dia remov vel a menos que o solicitante seja uma Pessoa de Confian a cuja identidade tenha sido verificada e que tenha a necessidade de ter tais dados naquele formato Explica o Observa es Um engenheiro social pode enganar facilmente um empregado fornecendo uma solicita o plaus vel para que as informa es Sigilosas sejam copiadas para uma fita disco de zip ou outra m dia remov vel e para que elas sejam enviadas para ele ou mantidas na recep o para retirada Administra o de telefone As pol ticas de administra o do telefone garantem que os empregados possam verificar a identidade do interlocutor e protegem suas pr prias informa es de contato contra aqueles que ligam para a empresa 3 1 Encaminhamento de chamadas nos n meros de discagem ou fax Pol tica Os servi os que permitem o encaminhamento das chamadas pa
480. re achou que era uma piada quando ele pegava um bom trabalho como esse e seu cliente evitava responder a pergunta que ningu m fazia mas que era bvia por que eles queriam as informa es Neste caso ele s podia imaginar dois motivos Talvez eles representassem alguma organiza o que estava interessada em comprar a empresa alvo a Starboard e quisessem saber exa tamente qual era a sua situa o financeira particularmente todas aquelas coisas que o alvo poderia querer esconder do comprador em potencial Ou talvez eles representassem investidores que achavam que havia algo de estranho no modo como o dinheiro estava sendo tratado e queriam descobrir se algum executivo poderia ser pego com a m o na botija E talvez o seu cliente tamb m n o quisesse lhe dizer o verdadeiro motivo porque se Bobby soubesse como as informa es eram valiosas ele provavelmente iria querer mais dinheiro para fazer o trabalho 48 A Arte de Enganar Existem v rias maneiras de invadir os arquivos mais secretos de uma empresa Bobby passou alguns dias pensando nas op es e fazendo algumas verifica es antes de resolver que plano iria usar Ele optou por um que pedia uma abordagem de que gostava muito na qual o alvo definido para pedir ajuda ao atacante Para os iniciantes Bobby escolheu um telefone celular pr pago de US 39 95 em uma loja de conveni ncia Ele fez uma liga o para o homem que havia sido escolhido como seu alvo fingiu se
481. rece que diz PayPal Mesmo se a v tima notar ela pode achar que apenas um erro no texto que faz com que o l de Pal se pare a com um i E quem notaria de relance que este endere o www PayPa1 com Cap tulo 7 Sites Falsos e Anexos Perigosos 81 msg Caro usu rio da eBay Ficou claro que algu m corrompeu a sua conta na eBay e violou a pol tica abaixo do nosso Contrato de Usu rio 4 Lances e compra Voc obrigado a concluir a transa o com o vendedor se comprar um item por meio dos nossos formatos fixos de pre o ou tiver o lance maior descrito abaixo Se der o maior lance no final de um leil o atendendo o m nimo aplic vel ou os requisitos de reserva e o seu lance for aceito pelo vendedor voc obri gado a concluir a transa o com o vendedor ou a transa o proibida por lei ou por este Contrato Voc recebeu este aviso da eBay porque veio ao nosso conhecimento que a sua conta corrente causou interrup es nos outros membros da eBay e a eBay exige a verifica o imediata da sua conta Por favor verifique a sua conta caso contr rio ela ser desativada Clique Aqui para Verificar a Sua Conta http error_ebay tripod com As marcas designadas s o de propriedade de seus respectivos propriet rios eBay e o logotipo da eBay s o marcas registradas da eBay Inc Figura 7 1 Um link deste tipo e de outras mensagens de correio eletr nico deve ser usado com cautela usa o n mero 1 no lu
482. reless equivalency protocol o qual usado para dar seguran a conex o sem fio por meio do uso da criptografia Mas mesmo quando est ativada a vers o atual do WEP lan ada na metade de 2002 n o efetiva ela ficou aber ta e v rios sites Web dedicam se a fornecer o meio de localizar os sistemas sem fio abertos e entrar nos pontos de acesso sem fio ativados para o WEP Da mesma forma essencial incluir uma camada de prote o ao redor do protocolo 802 11B empregando a tecnologia VPN 7 29 Atualizando os arquivos de defini es do antiv rus Pol tica Cada sistema de computador deve estar programado para atualizar automaticamente os arquivos de defini o antiv rus e contra o Cavalo de Tr ia Explica o Observa es No m nimo tais atualiza es devem ocorrer pelo menos sema nalmente Nas empresas nas quais os empregados deixam seus computadores ligados esses arquivos de defini es devem ser atualizados todas as noites O software antiv rus n o efetivo porque ele n o atualizado para detectar todas as novas formas de c digo malicioso Como a amea a de infec es por v rus worm e Cavalo de Tr ia aumenta substancialmente quando os arquivos de defini es n o s o atualizados essencial que os produtos antiv rus ou antic digo malicioso sejam mantidos atua lizados Opera es de computadores 8 1 Inserindo comandos ou executando programas Pol tica O pessoal que opera o computador n
483. res de cada banco e corretora que instalasse a atualiza o Obviamente eu n o havia terminado tudo ainda havia trabalho a fazer Ainda teria de acessar a rede interna de cada institui o financeira que queria visitar Em seguida teria de descobrir qual computador era usado para as transfer ncias de dinheiro e teria de instalar software de monitoramento para saber quais eram os detalhes de suas opera es e exatamente como os fundos eram transferidos Tudo isso eu podia fazer dist ncia em um computador localizado em qualquer lugar Por exem plo com a vista de uma praia de areias brancas Taiti l vou eu Liguei de volta para o guarda agradeci sua ajuda e disse que ele poderia rasgar a impress o Analisando a trapa a O guarda de seguran a tinha instru es para executar suas tarefas mas por mais completas que sejam as instru es n o podem prever toda situa o poss vel Ningu m lhe dissera o dano que poderia ser causado se ele digitasse algumas teclas em um computador para uma pessoa que ele achasse ser um empregado da empresa Com a coopera o do guarda ficou relativamente f cil acessar um sistema cr tico que armazena va o master de distribui o apesar do fato de que ele estava trancado em um laborat rio seguro O guarda obviamente tinha as chaves de todas as portas trancadas Recado do Mitnick Quando o invasor de computadores n o pode ter acesso f sico a um sistema de compu tador ou
484. resa de armazenamento seja notificada imediatamente para remover o seu nome da lista de pessoas autorizadas O Cap tulo 16 deste livro fornece informa es detalhadas sobre esse assunto vital mas til relacionar aqui algumas das principais medidas de seguran a que devem ser usadas como deixou claro esta hist ria Um checklist completo das etapas a serem tomadas quando um empregado vai embora com provid ncias especiais para os funcion rios que tinham acesso a dados confidenciais Capitulo 10 Entrando nas Instala es 137 Uma pol tica de encerramento imediato do acesso do empregado ao computador de prefe r ncia antes de a pessoa deixar o pr dio Um procedimento para recuperar o crach de identifica o da pessoa bem como de todas as chaves ou dispositivos de acesso eletr nico Medidas que exijam que os guardas da seguran a vejam o ID com foto antes de admitir qual quer empregado que n o tenha o seu passe de seguran a e a verifica o do nome em uma lista para saber se a pessoa ainda funcion ria da organiza o Algumas outras etapas parecer o excessivas ou caras demais para algumas empresas mas elas s o apropriadas para outras Essas medidas de seguran a mais r gidas incluem Crach s de identifica o eletr nica combinados com scanners nas entradas cada empregado passa o seu crach no scanner para a determina o eletr nica instant nea de que a pessoa ainda
485. resas n o criptografa os dados de backup as informa es estavam sua disposi o Recado do Mitnick As informa es valiosas devem estar protegidas independente da forma assumida ou do local onde est o armazenadas A lista de clientes de uma organiza o tem o mesmo valor seja na forma impressa seja em um arquivo eletr nico no seu escrit rio ou em um cofre 05 engenheiros sociais sempre preferem o ponto de ataque mais f cil e menos defendido As instala es de armazenamento de backup externas a uma empresa s o vistas como menos arriscadas Cada organiza o que armazena dados valiosos confidenciais ou cr ticos com terceiros deve criptografar seus dados para proteger a sua confidencialidade Esse incidente fornece mais um exemplo de como uma empresa fornecedora que n o toma me didas razo veis de precau o pode facilitar o comprometimento das informa es de seus clientes por parte de um atacante O NOVO PARCEIRO DE NEG CIOS Os engenheiros sociais t m uma grande vantagem sobre os golpistas e trapaceiros e essa vantagem a dist ncia Um trapaceiro s pode enganar voc se estiver na sua presen a o que permite que depois voc d uma boa descri o dele ou mesmo ligue para a pol cia se descobrir o golpe suficientemente cedo Os engenheiros sociais evitam esse risco como se ele fosse uma praga Eventualmente por m o risco necess rio e justificado pela boa recompensa A hist ria de Jessica Je
486. respond ncia Voc me faz um favor Coloque isto no malote interno O funcion rio da sala de correspond ncia sabe que o envelope cont m um disquete com um programa especial para a secret ria do CEO Agora aquele atacante tem a sua pr pria c pia pessoal do e mail do CEO Ufa Isso pode acontecer na sua empresa claro que pode O TELEFONE CELULAR DE UM CENTAVO Muitas pessoas procuram at achar um bom neg cio Os engenheiros sociais n o procuram um bom neg cio eles encontram um modo de transformar algo em um bom neg cio Por exemplo s vezes uma empresa lan a uma campanha de marketing que t o boa que voc n o consegue deixar de aproveit la enquanto o engenheiro social olha a oferta e pensa em como ele pode melhor la 1 l pouco tempo uma empresa nacional de telefonia sem fio fez uma grande promo o oferecen do um telefone novo por um centavo quando voc se inscrevia em um dos seus planos de chamada Como muitas pessoas acabaram descobrindo tarde demais existem boas perguntas que um com prador prudente deve fazer antes de se inscrever em um plano de chamadas de telefone celular se o servi o anal gico digital ou uma combina o entre eles o n mero de minutos que podem ser usados no m s se as taxas de roaming est o inclu das e assim por diante E importante entender desde o in cio qual o prazo de comprometimento do contrato por quantos meses ou anos voc ficar comprometido Pens
487. ria o do programa de seguran a das informa es precisa reconhecer que esse n o um projeto de tamanho nico Pelo contr rio o treinamento precisa ser desenvolvido para se adequar aos requisitos espec ficos de diversos grupos dentro da empresa Embora muitas das 200 A Arte de Enganar pol ticas de seguran a destacadas no Cap tulo 16 apliquem se a todos os empregados da empresa muitas outras s o exclusivas No m nimo a maioria das empresas precisar de programas de treina mento adaptados a esses grupos distintos os gerentes o pessoal de TI os usu rios de computadores o pessoal das reas n o t cnicas os assistentes administrativos os recepcionistas e o pessoal de segu ran a Consulte a divis o das pol ticas por fun o no Cap tulo 16 Como o pessoal da seguran a de uma empresa normalmente n o deve ser proficiente em com putadores e exceto talvez de uma forma muito limitada n o entre em contato com os computadores da empresa eles geralmente n o s o considerados quando da cria o de treinamentos desse tipo Entretanto os engenheiros sociais podem enganar os guardas de seguran a ou outros para que eles lhes permitam a entrada em um pr dio ou escrit rio ou para que executem uma a o que resulte em uma invas o de computador Embora os membros da seguran a certamente n o precisem do mesmo treinamento completo pelo qual passam as pessoas que operam ou usam os computadores eles n o devem ser esqueci
488. rma es que ajudam a solucionar os crimes de suas pr prias jurisdi es O manual cont m os c digos usados no banco de dados para designar tudo desde os diferentes tipos de tatuagens os diferentes cascos de barcos at as denomina es de dinheiro e t tulos roubados Todos que tenham acesso ao manual podem procurar a sintaxe e os comandos necess rios para extrair as informa es do banco de dados nacional Em seguida seguindo as instru es do guia de procedimentos e com um pouco de sangue frio todos podem extrair as informa es do banco de da dos O manual tamb m fornece os n meros de telefone do suporte para obter as informa es sobre como usar o sistema Na sua empresa voc pode ter manuais semelhantes que oferecem c digos de produtos ou c digos para recuperar informa es confidenciais O FBI com quase toda a certeza nunca descobriu que o seu manual e as instru es de procedi mentos confidenciais estavam dispon veis para todas as pessoas on line e n o acho que eles ficariam muito felizes se descobrissem Uma c pia foi publicada por um departamento do governo no Oregon a outra por um departamento de pol cia no Texas Por qu Em cada um dos casos provavelmente al gu m achou que as informa es n o tinham valor e que a sua publica o n o causaria nenhum dano Talvez algu m tenha publicado essas informa es em sua intranet como uma conveni ncia para seus pr prios empregados e nunca tenha percebido que
489. rno percorrer corredores subir escadas para chegar at algum lugar distante do pr dio Ele tamb m n o ia querer colocar as m os na mesa de outra pessoa violando o espa o pessoal de algu m N o com quase toda a certeza ele n o ia querer fazer isso Kowalski n o queria dizer n o para um colega de trabalho que precisava de ajuda mas tamb m n o queria dizer sim e ter problemas Assim sendo passou a decis o para outro Terei de falar com o meu chefe Aguarde um pouco Ele colocou o telefone na mesa e Danny o ouviu pegar outro telefo ne fazer a liga o e explicar a solicita o Em seguida Kowalski fez algo inexplic vel ele endossou a hist ria do homem que usava o nome de Bob Billings Eu o conhe o ele disse ao gerente Ele trabalha com Ed Trenton Podemos deix lo usar o ID Seguro do Centro de Computadores Danny Cap tulo 6 Voc Pode me Ajudar 71 segurando o telefone ficou surpreso ao ouvir esse apoio extraordin rio e inesperado sua causa Ele n o acreditava no que estava ouvindo ou em sua sorte Ap s alguns momentos Kowalski voltou ao telefone O meu gerente quer falar com voc Deu lhe o nome do homem e o n mero do seu celular Danny ligou para o gerente e contou toda a hist ria de novo incluindo detalhes sobre o projeto no qual estava trabalhando e o motivo pelo qual a sua equipe de produto precisava cumprir um prazo cr tico Seria mais f cil se algu m fosse l e pegasse o meu cart
490. ro de empregado por si s n o devem ser usadas como nenhum tipo de autentica o Todo empregado deve ser treinado para verificar n o apenas a identidade do solicitante como tamb m a necessidade que o requisitante tem de saber No seu treinamento de seguran a voc deve pensar em ensinar essa abordagem aos funcio n rios sempre que um estranho pedir um favor saiba primeiro como negar educadamente at que a solicita o possa ser verificada Em seguida antes de ceder ao desejo natural de ser o Sr ou a Sra Ajuda siga as pol ticas e os procedimentos da empresa com rela o a verifica o e divulga o das informa es n o p blicas Esse estilo pode ir contra a nossa tend ncia natural de ajudar os outros mas um pouco de paran ia saud vel pode ser necess ria para evitar ser a pr xima v tima do engenheiro social Como mostraram as hist rias deste cap tulo as informa es aparentemente inofensivas podem ser a chave para os segredos mais valiosos da sua empresa O Ataque Direto Simplesmente Pedindo uitos ataques de engenharia social s o complicados e envolvem diversas etapas e planeja mento elaborado al m de combinar o conhecimento da manipula o e tecnologia Sempre achei incr vel como um engenheiro social habilidoso pode atingir esse objetivo com um ataque simples e direto Como voc ver s vezes tudo o que ele precisa simplesmente pedir as informa es UM MLAC R PIDO
491. ros sociais Ele cont m abrevia es jarg o e instru es sobre como solicitar aquilo que voc quer como descreveu essa hist ria Voc quer aprender mais sobre as informa es internas da Administra o do Seguro So cial Basta pesquisar no Google ou digitar este endere o no seu browser http policy ssa gov poms nsf A menos que a ag ncia j tenha lido esta hist ria e tenha removido o manual quando estiver lendo este livro voc encontrar instru es on line que fornecem informa es detalhadas sobre quais dados um funcion rio da ASS pode dar para a comunidade Em termos pr ticos essa comunidade inclui todo engenheiro social que possa convencer um funcion rio da ASS que ele tamb m um funcion rio O atacante n o obteria essas informa es de um funcion rio que atende o p blico em geral pelo telefone O tipo de ataque usado por Keith s funciona quando a pessoa que recebe a liga o algu m cujos n meros de telefone n o est o dispon veis para o p blico e que portanto tem a expectativa de que uma pessoa que ligue deve ser algu m de dentro outro exemplo da seguran a speakeasy Os elementos que ajudaram nesse ataque incluem Saber o n mero do telefone do M dulo Saber a terminologia que eles usam numident alfadent e DEQY Fingir ser do escrit rio do Inspetor Geral o qual todo funcion rio do governo federal sabe que uma ag ncia de investiga es do governo com pod
492. rovavelmente ela n o c tica sobre a natureza da solicita o Posso seguramente fazer a pergunta que estou querendo sem levantar suas suspeitas e ela talvez me dar a resposta que desejo Mais uma coisa que um bom detetive particular sabe nunca encerre uma conversa o ap s obter a informa o chave Outras duas ou tr s perguntas um pouco de bate papo e ent o pode dizer adeus Mais tarde se a v tima se lembrar de alguma coisa que voc perguntou provavelmente ela se lembra r das ltimas perguntas O restante em geral ser esquecido Assim Chris me deu o seu n mero de ID de Comerciante e o n mero de telefone que eles ligam para fazer as solicita es Eu ficaria mais feliz se tivesse feito algumas perguntas sobre quantas infor ma es poss vel obter da CreditChex Mas achei melhor n o abusar da minha sorte Isso era como ter um cheque em branco da CreditChex Agora eu podia ligar e obter informa es sempre que quisesse E nem tinha de pagar pelo servi o O representante da CreditChex ficou satis feito em compartilhar exatamente das informa es que eu queria os dois lugares nos quais o marido da minha cliente havia se inscrito recentemente para abrir uma conta Assim sendo onde estavam os bens que a sua futura ex mulher estava procurando Onde mais al m das institui es banc rias que o funcion rio da CreditChex relacionou Recado do Mitnick Um ID de Comerciante nessa situa o como uma senh
493. rreio eletr nico uma oferta que chama a sua aten o Isso pode ser um jogo de gra a uma oferta de fotos do seu astro preferido um programa de agenda gr tis ou um shareware barato que protege o seu computador contra v rus Inde pendente de qual seja a oferta a mensagem direciona voc para fazer o download do arquivo com os bens que a mensagem o convenceu a experimentar Voc tamb m pode receber uma mensagem com uma linha de assunto dizendo N o perca ou Ana por que voc n o escreveu para mim ou Oi Tim esta a foto sexy que eu prometi para voc Isso n o pode ser mala direta de propaganda voc pensa porque tem o seu nome e parece t o pessoal Assim sendo abre o anexo para ver a foto ou ler a mensagem Todas essas a es fazer o download de software que voc conheceu em uma mensagem de propaganda clicar em um link que o leva at um site do qual nunca ouviu falar antes abrir um anexo de algu m que n o conhece s o convites para problemas Com certeza na maior parte do tempo aquilo que voc tem exatamente aquilo que esperava ou na pior das hip teses algo decepcionante ou ofensivo mas inofensivo Mas eventualmente voc recebe o trabalho de um v ndalo O envio de c digo malicioso para o seu computador apenas uma pequena parte do ataque O atacante precisa convenc lo a fazer o download do anexo para que o ataque seja bem sucedido As formas mais perigosas de c digo malicioso worms
494. rticularmente de outro escrit rio verifique seus e mails em uma sala de reuni es mas a menos que o visitante seja estabelecido como algu m de confian a ou que a rede esteja segmentada para evitar conex es n o auto rizadas esse pode ser o elo mais fraco que permite que os arquivos da empresa sejam comprometidos Ele poderia ter feito a solicita o de usar uma sala de reuni es imediatamente ap s a conversa inicial Mas em vez disso preferiu se sentar por algum tempo e fingir estar trabalhando supostamente 134 A Arte de Enganar enquanto esperava o seu colega outra forma de evitar qualquer suspeita poss vel porque um invasor n o ficaria por ali Ele n o ficou muito tempo por m os engenheiros sociais sabem melhor do que ningu m que n o devem ficar na cena do crime al m do tempo necess rio Pelas leis da poca em que este livro foi escrito Anthony n o havia cometido um crime quando entrou na recep o N o havia cometido um crime quando usou o nome de um empregado real N o cometeu um crime quando conseguiu entrar na sala de reuni es N o havia cometido um crime ao se ligar rede da empresa e pesquisar o computador alvo Antes de realmente entrar no sistema de computadores ele n o havia infringido a lei BISBILHOTANDO KEVIN H muitos anos quando trabalhava em uma empresa pequena sempre que entrava no escrit rio que compartilhava com tr s outras pessoas que formavam o departamento de TI eu observava que ess
495. s 215 9 Pessoalmente com o ID O solicitante apresenta se pessoalmente e mostra o crach de um empregado ou outra identifica o adequada de prefer ncia uma identifica o com foto Ponto fraco Os atacantes quase sempre podem roubar o crach de um empregado ou podem criar um crach falso que parece ser aut ntico Entretanto os atacantes em geral n o gostam desta abordagem porque com ela correm o risco de ser identificados e detidos Etapa dois verifica o do status do empregado A maior amea a seguran a das informa es n o vem do engenheiro social nem do invasor habilido so de computadores mas de algu m muito mais pr ximo o empregado que acabou de ser demitido e que busca vingan a ou espera abrir seu pr prio neg cio usando as informa es roubadas da empresa Observe que este procedimento tamb m pode ser usado para verificar se algu m ainda desfruta de algum relacionamento comercial com a sua empresa tal como um fornecedor um consultor ou um contratado Antes de fornecer as informa es Confidenciais para outra pessoa ou aceitar instru es para realizar a es que envolvam computador ou equipamento relacionado voc deve verificar se o soli citante ainda um empregado da empresa com um destes m todos Verifica o na lista de empregados Se a empresa tiver uma lista on line de empregados que liste com precis o quem s o os empregados ativos verifique se o solicitante ainda est rela cionad
496. s A Internet tem dezenas de sites que armazenam softwares criados para quebrar chaves de seguran a de ferramentas shareware e comerciais O uso desses pro gramas n o apenas viola o copyright do propriet rio de um software mas tamb m muito perigoso Como esses programas originam se de fontes desconhecidas eles podem conter c digos ocultos de car ter malicioso que pode causar danos ao computador do usu rio ou plantar um Cavalo de Tr ia que d ao invasor acesso total ao computador do usu rio 10 10 Publicando informa es da empresa on line Pol tica Os empregados n o devem divulgar nenhum detalhe relativo ao hardware ou software da empresa em newsgroups p blicos f runs ou bulletin boards e n o devem mencionar nenhuma informa o de contato interno que n o esteja de acordo com a pol tica Explica o Observa es Toda mensagem publicada na Usenet nos f runs on line nos bulletin boards ou em mailing lists pode ser pesquisada para o atacante reunir as informa es sobre a empresa alvo ou um indiv duo alvo Durante a fase de pesquisa de um ataque de engenharia social o atacante pode pesquisar na Internet todas as publica es que cont m informa es teis sobre a empresa seus produtos ou seu pessoal Cap tulo 16 Recomenda es de Pol ticas de Seguran a das Informa es Corporativas 249 Algumas delas cont m informa es teis que o atacante pode usar para melhorar um ataque Por exemplo um administ
497. s o conhecidas da v tima uma solicita o que o atacante diz ser urgente ou a sugest o de que a v tima obter algum tipo de favor ou reconhecimento Estas s o algumas hist rias de ataque ao empregado de nivel mais baixo em a o O GUARDA DE SEGURAN A PRESTATIVO Os ladr es esperam encontrar uma pessoa ambiciosa porque s o elas que t m mais chances de cair em um jogo de trapa a Os engenheiros sociais quando visam algu m tal como um membro de uma equipe de limpeza ou um guarda da seguran a esperam encontrar um indiv duo de boa in dole amistoso e que confia nas outras pessoas Eles s o aqueles que t m mais chances de estarem dispostos a ajudar exatamente isso o que o atacante da pr xima hist ria tem em mente A vis o de Elliot Data hora 3h26 da madrugada de ter a feira em fevereiro de 1998 Localiza o instala es da Marchand Microsystems Nashua New Hampshire Elliot Staley sabia que n o deveria sair do seu posto quando n o estava nas rondas programadas Mas ele estava no meio da noite e para dizer a verdade ainda n o tinha visto uma nica pessoa desde que come ou o seu turno E estava quase na hora de fazer a sua ronda de qualquer maneira O infeliz no telefone parecia que realmente precisava da sua ajuda E bom para algu m poder fazer algo de bom para outra pessoa C 156 A Arte de Enganar A hist ria de Bill Bill Goodrock linha um objetivo simples ao qual se apegava desde que tinha
498. s tomando decis es conscientes ao decidir se devemos inserir informa es pessoais senhas n meros de conta n meros de identifi ca o e outras informa es Quantas pessoas voc conhece que poderiam lhe dizer se uma determinada p gina da Internet que est o vendo atende aos requisitos de uma p gina segura Quantos empregados da sua empresa sabem o que devem procurar Todos que usam a Internet devem saber o que o pequeno s mbolo que quase sempre aparece em algum lugar de uma p gina na Web com a forma de um cadeado Eles devem saber que quando o cadeado est fechado o site foi certificado como sendo seguro Quando o cadeado est aberto ou o seu cone n o existe o site Web n o autenticado como genu no e todas as informa es transmitidas n o est o criptografadas Entretanto um atacante que consegue comprometer os privil gios administrativos de um compu tador da empresa pode modificar ou corrigir o c digo do sistema operacional para alterar a percep o do usu rio daquilo que est realmente acontecendo Por exemplo as instru es de programa o no software do browser que indicam que o certificado digital de um site Web inv lido podem ser mo dificadas para desviar da verifica o Ou ent o o sistema pode ser modificado com algo chamado root kit instalando uma ou mais backdoors no n vel do sistema operacional que s o mais dif ceis de serem detectadas Uma conex o segura autentica o site como genu
499. s como entrar em contato com o gerente do empregado Alerta de Invas o Entrando nas Instala es or que t o f cil para um estranho assumir a identidade do empregado de uma empresa e se fazer passar por ele de forma t o convincente que at mesmo as pessoas que s o altamente preocupadas com a seguran a s o enganadas Por que t o f cil enganar indiv duos que t m conhecimento total dos procedimentos de seguran a pessoas que suspeitam das outras pessoas que n o conhecem pessoalmente e que protegem os interesses de suas empresas Pense nessas perguntas ao ler as hist rias deste cap tulo O GUARDA DE SEGURAN A COM PROBLEMAS Data Hora ter a feira 17 de outubro 2hl6 Local Skywatcher Aviation Inc f brica nas vizinhan as de Tucson Arizona A hist ria do guarda de seguran a Ouvir o barulho dos seus saltos de couro batendo no ch o enquanto caminhava nos corredores da f brica quase deserta era algo que fazia Leroy Greene sentir se muito melhor do que quando tinha de passar a noite de vig lia na frente dos monitores de v deo do escrit rio da seguran a L ele n o podia fazer nada al m de ficar olhando as telas nem podia ler uma revista ou a sua B blia com capa de couro Ele tinha de ficar sentado olhando os monitores com imagens paradas nas quais quase nada se movia Mas ao caminhar pelos corredores pelo menos estava esticando as pernas e quando se lembra va abria os bra os e movia o
500. s de contornar esses empecilhos aborrecedores Em qual unidade estava Gondorff Qual era o n mero de telefone dos servi os de conex o direta daquela unidade E como poderia mandar um recado inicial para Gondorff sem que ele fosse interceptado pelos agentes penitenci rios O que parece ser imposs vel para a maioria das pessoas como obter os n meros secretos dos te lefones localizados nas institui es federais quase sempre est a algumas liga es telef nicas de um verdadeiro golpista Ap s algumas noites sem dormir criando um plano Johnny acordou uma manh com todo o plano tra ado em sua mente Esse plano tinha cinco etapas Jarg o CONEX O DIRETA A express o da empresa de telefonia para uma linha telef nica que vai diretamente para um n mero espec fico quando o telefone tirado do gancho NEGAR ENCERRAMENTO Uma op o de servi o da empresa de telefonia na qual o equipamento de comuta o definido para que as liga es n o possam ser recebidas naquele n mero de telefone Capitulo 11 Combinando a Tecnologia e a Engenharia Social 141 Primeiro ele encontraria os n meros de telefone daqueles dez telefones de conex o direta com o EDP Mudaria todos os dez para que os telefones tamb m pudessem receber liga es Descobriria em qual unidade estava Gondorff Em seguida descobriria qual n mero de telefone ia para aquela unidade Finalmente combinaria com Gondorff um momento para ele esperar a sua liga o
501. s de software Muitos fabricantes de software implementaram m todos pelos quais os clientes podem verificar a integridade de uma distribui o em geral por meio de uma assi natura digital Em qualquer caso no qual a integridade n o possa ser verificada o fabricante deve ser consultado para confirmar se o software aut ntico Os atacantes de computadores enviam para uma v tima um software embalado como se o fabri cante o tivesse produzido e enviado para a empresa E essencial que voc verifique a autenticidade de todo software recebido particularmente se ele n o foi pedido antes de instal lo nos sistemas da empresa Saiba que um atacante sofisticado pode descobrir que a sua organiza o encomendou o software de um fabricante Com essa informa o em m os ele pode cancelar o pedido com o fabricante real e pedir o software ele mesmo Em seguida o software modificado para executar alguma fun o maliciosa e enviado ou entregue em sua empresa no pacote original com a embalagem adequada se for preciso Ap s a instala o do produto o atacante tem o controle Cap tulo 16 Recomenda es d Pol ticas de Seguran a das Informa es Corporativas 239 7 20 Senha padr o Pol tica Todo software de sistema operacional e dispositivo de hardware que tenha uma senha definida com um valor padr o deve ser redefinido de acordo com a pol tica de senhas da empresa Explica o Observa es V rios sistemas operaciona
502. s e Anexos Perigosos um velho ditado que diz que voc nunca tem nada de gra a Mesmo assim o golpe de oferecer algo de gra a continua sendo uma grande jogada de neg cios leg timos Mas n o s isso Ligue agora mesmo e ganhe um conjunto de facas e uma pipoqueira e n o t o leg timos Compre um acre de p ntanos na Fl rida e ganhe um segundo acre de gra a E a maioria de n s gosta tanto de ganhar algo de gra a que pode se enganar e n o pensar com clareza na oferta ou na promessa que est sendo feita Conhecemos o aviso cuidado ao comprar mas est na hora de prestar aten o em outro aviso cuidado com os anexos que v m nas mensagens de correio eletr nico e com o software gr tis O atacante experiente usa quase que qualquer meio para invadir a rede corporativa incluindo o apelo para o nosso desejo natural de receber um presente gr tis Estes s o alguns exemplos VOC GOSTARIA DE GANHAR UM ESPA O EM BRANCO GR TIS Assim com as viroses t m sido uma praga para a humanidade e os m dicos desde o in cio dos tempos os v rus de computadores tamb m representam uma praga para os usu rios da tecnologia Aqueles que chamam mais a aten o e t m mais proje o n o por acaso causam os maiores danos Eles s o o produto dos v ndalos dos computadores Como feras dos computadores que se transformaram em malucos maliciosos esses v ndalos lutam para mostrar como s o inteligentes Eventualmente seus ato
503. s forne cedores por exemplo Mesmo quando uma empresa tem um procedimento estabelecido que deve ser seguido cuidado samente pelos empregados para verificar as pessoas que est o ligando para a empresa os atacantes sofisticados ainda podem usar v rios truques para enganar suas v timas e fazer com que elas acre ditem que s o quem alegam ser Mesmo os empregados conscientes quanto seguran a podem ser enganados por m todos tais como os descritos a seguir O ID ENGANOSO Todos os que j receberam uma liga o em um telefone celular j observaram o recurso conhecido como identificador de chamadas aquela exibi o conhecida do n mero do telefone de quem est ligando Em um ambiente de neg cios esse recurso oferece a vantagem de permitir que um funcio n rio saiba rapidamente se a liga o vem de um colega ou de fora da empresa H muitos anos alguns phreakers ambiciosos apresentaram se s maravilhas do ID de chamadas antes que a empresa de telefonia tivesse permiss o de oferecer o servi o para o p blico Eles se di vertiam muito enganando as pessoas ao atender ao telefone e dizer o nome da pessoa que ligou antes mesmo de elas dizerem uma palavra Quando voc come a a achar que a pr tica de verificar a identidade confiando naquilo que v segura como o que aparece como o ID de chamadas voc descobre que exatamente isso que o atacante est querendo A liga o telef nica de Linda Dia Hora
504. s nossos representantes s o sempre educados Qual o nosso tempo de resposta Cap tulo 2 Quando as informa es N o S o Inofensivas 15 H quanto tempo voc trabalha no banco Qual ID de Comerciante voc est usando no momento Voc j encontrou alguma imprecis o nas informa es que fornecemos Se voc tivesse alguma sugest o para melhorar o nosso servi o qual seria E finalmente Voc se importaria em preencher question rios peri dicos se os envi ssemos para a sua filial Ela concordou eles conversaram um pouco o interlocutor desligou e Chris voltou ao trabalho A terceira liga o Henry McKinsey CreditChex Henry McKinsey posso ajudar O interlocutor disse que ele era do National Bank Ele deu o ID de Comerciante adequado e em seguida o nome e o n mero do seguro social da pessoa de quem ele queria infor ma es Henry pediu a data de nascimento e o interlocutor forneceu a tamb m Ap s alguns instantes Harry leu a listagem na tela do seu computador Wells Fargo informou NSF em 1998 uma vez valor de US 2 066 NSF fundos insuficientes a linguagem conhecida para os cheques que foram passados sem que houvesse dinheiro em conta para a sua compensa o Alguma atividade desde ent o Nenhuma atividade Houve outras consultas Vejamos Sim duas e ambas no ltimo m s A terceira no United Credit Union de Chicago Ele parou no pr ximo nome
505. s ombros durante a caminhada fazendo assim um pouco de exerc cio Entretanto isso n o contava como exerc cio para um homem que havia jogado na equipe de futebol americano All City no gin sio Mesmo assim ele pensava trabalho trabalho Ele virou o corredor para o sudoeste e come ou a percorrer a galeria supervisionando a rea de produ o de 800 m de comprimento Ele olhou para baixo e viu duas pessoas caminhando ap s a linha de helic pteros parcialmente montados Elas pararam e pareciam apontar algumas coisas Uma vis o estranha nessa hora da madrugada melhor eu verificar ele pensou Leroy foi at a escada que o levaria linha de produ o atr s das pessoas e elas n o o viram at que chegou ao seu lado Bom dia Posso ver seus crach s por favor ele perguntou Leroy sempre tentava manter a voz suave nesses momentos ele sabia que o seu tamanho avantajado poderia parecer amea ador P 122 A Arte de Enganar Oi Leroy um deles respondeu lendo o nome no seu crach Sou Tom Stilton do escrit rio de Marketing em F nix Vim para algumas reuni es na cidade e queria mostrar para o meu amigo como os maiores helic pteros do mundo s o constru dos Sim senhor O seu crach por favor repetiu Leroy Ele n o p de deixar de notar como eles eram jovens O rapaz do marketing parecia haver sa do do col gio o outro tinha o cabelo pelo ombro e parecia ter uns 15 anos O rapaz de cabelo cortado
506. s podem assinar digitalmente as mensagens esse m todo de verifica o alternativo tamb m pode ser aceito Lembre se de que cada empregado independentemente de ter ou n o acesso aos sistemas de com putadores da empresa pode ser enganado por um engenheiro social Todos devem ser inclu dos no treinamento de seguran a Os assistentes administrativos as recepcionistas os operadores de telefone e os guardas de seguran a devem estar familiarizados com os tipos de ataques da engenharia social que podem sofrer Dessa forma eles estar o mais preparados para se defender desses ataques A Espionagem Industrial amea a de ataques contra as informa es do governo das corpora es e dos sistemas univer sit rios bem conhecida Quase todos os dias os meios de comunica o reportam um novo v rus de computador ataques de navega o de servi o ou uma fraude envolvendo cart es de cr dito em um site de com rcio eletr nico Lemos sobre casos de espionagem industrial tal como a Borland acusando a Symantec pelo rou bo de informa es sigilosas a Cadence Design Systems processando um concorrente pelo roubo do c digo fonte de um produto Muitas pessoas de neg cios l em as hist rias e pensam que isso nunca acontecer com a sua empresa e na verdade isso acontece todos os dias VARIA O SOBRE UM MESMO ESQUEMA O golpe descrito na pr xima hist ria provavelmente foi aplicado muitas vezes embora pare a ser tirado de um film
507. s s o como um ritual de inicia o destinados a impressionar os hackers mais velhos e mais experientes Essas pessoas s o motivadas para criar um worm ou um v rus para infligir um dano Se o seu trabalho destruir arquivos acabar com unidades de disco inteiras e seguir por correio eletr nico para milhares de pessoas desavisadas os v ndalos alardeiam com orgulho sua realiza o Se os v rus causarem um caos suficiente para aparecerem nos jornais e as not cias da rede avisarem contra eles melhor ainda Muito foi escrito sobre os v ndalos e seus v rus Livros programas de software e empresas intei ras surgiram para oferecer prote o e n o falaremos aqui das defesas contra seus ataques t cnicos O nosso interesse no momento focaliza menos os atos destrutivos do v ndalo do que os esfor os mais concentrados do seu primo distante o engenheiro social Chegou no correio eletr nico Todos os dias voc recebe mensagens de correio eletr nico com propaganda ou oferecendo alguma coisa de que n o precisa e n o quer Voc sabe como Eles prometem consultoria de investimentos H 76 A Arte de Enganar descontos em computadores televis es c meras vitaminas ou viagens oferecem cart es de cr dito de que n o precisa um dispositivo que permite receber os canais da televis o paga de gra a manei ras de melhorar a sua sa de ou a sua vida sexual e assim por diante Mas de vez em quando uma oferta aparece na sua caixa de co
508. s sobre a empresa antes de estar pronta para uma posi o de ger ncia E em seguida contrataram um amador de fora que sabia menos sobre a empresa do que ela Nessa poca ela come ou a pensar a empresa tem muitas mulheres mas em sua maior parte elas eram todas secret rias Eles jamais lhe dariam um emprego na administra o O troco Levou quase uma semana para ela descobrir como lhes daria o troco Cerca de um m s antes um rapaz de uma revista especializada havia tentado suborn la quando veio participar do lan amento do novo produto Algumas semanas depois ele ligou para ela no trabalho e disse que lhe enviaria flores se ela lhe desse algumas informa es antecipadas sobre o produto Cobra 273 e se essas infor ma es fossem realmente boas e ele as usasse na revista ele faria uma viagem especial at Chicago para lev la para jantar Um dia depois disso ela havia estado no escrit rio do Sr Johannson logo depois de ele ter feito o login na rede corporativa Sem pensar ela observou seus dedos surfar sobre os ombros como tam b m chamado Ele havia inserido a senha marty63 O seu plano estava come ando a tomar forma Ela se lembrava de ter digitado um memorando n o muito tempo depois que entrou na empresa Encontrou uma c pia nos arquivos e digitou uma nova vers o usando a linguagem do memorando original A sua vers o dizia PARA C Pania departamento de TI DE L Cartright Desenvolvimento Martin Jo
509. s suas quest es de seguran a para fazer essa op o Existem determinados procedimentos que independentemente de um bom treinamento fazem com que fiquemos descuidados com o tempo Nos esquecemos tamb m daquele treinamento nos momentos de press o justamente quando precisamos dele Voc pensa que n o dar o seu nome de conta e senha uma regra que todo mundo sabe ou deveria saber e que nem preciso dizer isso uma quest o de bom senso Mas na verdade cada empregado precisa ser freq entemente lembrado de que o fornecimento de um nome de conta e uma senha do computador do escrit rio do computador em casa ou mesmo da m quina de postagem na sala de correspond ncia como dar o n mero do cart o eletr nico do banco Eventualmente muito eventualmente existe uma circunst ncia na qual preciso talvez at mesmo importante dar a outra pessoa as informa es confidenciais Por esse motivo n o apropria do criar uma regra absoluta sobre nunca Mesmo assim as suas pol ticas e os seus procedimentos de seguran a precisam ser muito espec ficos sobre as circunst ncias nas quais um empregado pode dar a sua senha e o mais importante sobre quem est autorizado a pedir essas informa es Leve em conta a fonte Na maioria das organiza es a regra deve ser de que todas as informa es que possam causar danos empresa ou a um colega de trabalho s possam ser dadas a algu m que se conhece pessoalmente ou cuj
510. sas que os outros acreditam que n o podem ser feitas Kevin Mitnick uma das melhores pessoas que conhe o Pergunte e ele responder de forma di reta que aquilo que ele fazia a engenharia social era trapacear as pessoas Mas Kevin n o mais um engenheiro social E mesmo quando o era o seu motivo nunca foi enriquecer ou causar danos s outras pessoas Isso n o quer dizer que n o existam criminosos perigosos e destrutivos que usam a engenharia social para causar danos reais Na verdade foi exatamente por esse motivo que Kevin escreveu este livro para avis los sobre eles Este livro mostra como somos vulner veis o governo as empresas e cada um de n s s invas es do engenheiro social Nessa era de conscientiza o sobre a seguran a gastamos somas imensas em tecnologia para proteger nossas redes de computadores e nossos dados Este livro mostra como f cil enganar quem trabalha nessas reas e burlar toda essa prote o tecnol gica Trabalhando em empresas ou no governo forne o aqui um mapa para ajud lo a entender como os engenheiros sociais trabalham e o que voc pode fazer para frustr los Usando hist rias fict cias que s o divertidas e elucidativas Kevin e Bill Simon d o vida a t cnicas do submundo da engenharia social Ap s cada uma das hist rias h orienta es pr ticas que o ajudam a se proteger contra as invas es e amea as descritas A seguran a tecnol gica deixa grandes l
511. sativamente e Peter sorriu para ela esperando o que viria a seguir Se eu pudesse fazer faculdade isso o que escolheria afirmou ela Adoraria trabalhar em Marketing Ele sorriu novamente Kaila ele continuou lendo o nome na placa que estava no balc o Temos uma senhora no escrit rio em Dallas que foi secret ria Ela conseguiu ser transferida para o Marketing Isso foi h tr s anos e agora ela gerente assistente de marketing ganhando o dobro do que ganhava Kaila ficou estarrecida Ele continuou Voc sabe usar um computador E claro que sim ela disse Voc gostaria que eu colocasse o seu nome para se inscrever para um cargo de secret ria no Marketing Ela ficou radiante Eu seria capaz at de me mudar para Dallas Voc vai adorar Dallas ele disse N o posso prometer uma vaga imediatamente mas vou ver o que posso fazer Ela pensou que aquele homem simp tico no seu terno e gravata e com os cabelos bem cortados e penteados poderia fazer uma grande diferen a para a sua vida profissional Pete sentou se do outro lado da recep o abriu o seu laptop e come ou a trabalhar Ap s dez ou quinze minutos ele voltou ao balc o Ou a ele retorquiu parece que Mike deve estar ocupado H uma sala de reuni es onde eu possa me sentar e verificar os meus e mails enquanto espero Kaila ligou para o homem que coordenava a programa o das salas de reuni o e conseguiu uma que n o estav
512. se que era da Nortel o fabricante do DMS 100 uma das centrais telef nicas comerciais mais usadas Ele perguntou Voc pode me transferir para um dos t cnicos em centrais telef nicas que trabalha com o DMS 100 Quando o t cnico atendeu ele afirmou ser do Centro de Suporte Assist ncia T cnica da Nortel no Texas e explicou que eles estavam criando um banco de dados master para atualizar todas as cen trais telef nicas com as atualiza es de software mais recentes Tudo seria feito remotamente n o seria necess ria a participa o de nenhum t cnico Mas eles precisam do n mero de discagem da central telef nica para executarem as atualiza es diretamente do Centro de Suporte Isso parecia plaus vel e o t cnico deu a Eric o n mero do telefone Agora ele podia discar direta mente para uma das centrais telef nicas do estado Com seguran a contra estranhos as centrais telef nicas comerciais desse tipo t m uma senha como qualquer outra rede de computadores corporativa Todo bom engenheiro social com um histo Capitulo 9 O Golpe Inverso 115 rico de invas o por telefone sabe que as centrais telef nicas da Nortel fornecem um nome de conta default para as atualiza es de software os NTAs abreviatura de Nortel Technical Assistance Sup port nada sutil n o Mas e a senha Eric discou v rias vezes e cada vez tentava uma das op es mais bvias e mais utilizadas Inserir o mesmo nome da conta NTAS nada a
513. sede corporativa por uma semana e vai precisar de uma caixa postal l para que n o tenha de fazer liga es interurbanas para verificar suas mensagens Ela nem precisa de uma conex o de telefone f sica uma caixa postal de voice mail basta Ele diz que vai cuidar disso e que liga depois quando estiver pronto com as informa es que ela vai precisar Com voz sedutora ela explica Estou a caminho de uma reuni o posso ligar de volta em uma hora Quando ela liga de volta ele conta que est tudo pronto e fornece as informa es o n mero do ramal e a senha tempor ria Ele pergunta se ela sabe como mudar a senha da caixa postal e ela dei xa que ele a ensine embora saiba t o bem quanto ele E por falar nisso ela pergunta qual n mero eu disco do meu hotel para verificar minhas men sagens Ele lhe d o n mero Shirley telefona muda a senha e grava a sua nova mensagem Shirley ataca At agora foi tudo f cil Ela j est pronta para usar a arte da fraude Ela liga para o departamento de servi o ao cliente da empresa Sou da Cobran a do escrit rio de Cleveland ela afirma e inicia uma varia o da conhecida desculpa o meu computador est sendo consertado pelo suporte t cnico e preciso da sua ajuda para procurar algumas informa es Ela fornece o nome e a data de nascimento da pessoa cuja identidade ela pretende roubar Em segui da relaciona as informa es que quer o endere o o nome de solte
514. sempre me surpreendo com o modo como as pessoas escolhem suas senhas quando a sua criatividade e imagina o parecem desaparecer A maioria de n s quer um3 senha que de prote o mas que ao mesmo tempo seja f cil de lembrar o que significa algo que esteja muito ligado a n s mesmos As iniciais do nosso nome o nome do meio o apelido o nome do esposo a can o preferida filme ou marca de caf por exemplo O nome da rua em que moramos ou da cidade em que vivemos a marca do carro que dirigimos a praia na qual gostamos de ficar no Hava ou aquele riacho preferido com a melhor truta que pode ser pescada Voc reconhece um padr o aqui Em sua maioria essas senhas s o nomes de pessoas nomes de lugares ou palavras do dicion rio Um ataque de dicion rio procura as palavras comuns com velocidade grande e experimenta cada senha em uma ou mais contas de usu rio Jarg o ENUMERA O Um processo que revela os servi os que est o ativos no sistema alvo a plataforma do sistema operacional e uma lista dos nomes de contas dos usu rios que t m acesso ao sistema 150 A Arte de Enganar Ivan executou o ataque de dicion rio em tr s fases Na primeira fase usou uma lista simples com algumas das 800 senhas mais comuns a lista inclu a segredo trabalho e senha O programa tamb m trocava as palavras do dicion rio para experimentar cada palavra com um d gito anexado ou anexan do o n mero do m s atual O programa tentava a cada inst
515. senvolvedores comercializam o seu spyware oferecendo o como uma ferramenta para proteger as crian as quando na verdade o seu verdadeiro mercado s o as pessoas que querem espionar algu m Hoje em dia a venda do spyware motivada Cap tulo 12 Ataques aos Empregados Iniciantes 165 em grande parte pelo desejo das pessoas de saberem se o c njuge ou outra pessoa importante as est enganando Logo depois que comecei a escrever a hist ria sobre o spyware deste livro a pessoa que recebe e mails para mim porque n o posso usar a Internet encontrou uma mensagem de e mail de spam anunciando um grupo de produtos spyware Um dos itens oferecido era descrito desta maneira FAVORITO OBRIGAT RIO Este poderoso programa de monitoramento e espionagem captura secretamente todas as teclas a hora e o t tulo de todas as janelas ativas em um arquivo de texto enquanto executado oculto no segundo plano Os registros podem ser criptografados e enviados automaticamente para um endere o de e mail especificado ou simplesmente gravados no disco r gido O acesso ao programa protegido por senha e pode ser oculto do menu CTRL ALT DEL Use o para monitorar os URLs digitados as sess es de chat os e mails e muitas outras coisas at mesmo senhas Instale sem detec o um ANY PC e mande os logs para voc mesmo por e mail Falha do antiv rus O software antiv rus n o detecta o spyware comercial tratando assim o software como n o
516. sistemas internos A seguran a atrav s da obscuridade baseia se na falsa suposi o de que ningu m que esteja fora de um grupo de pessoas de confian a poder enganar o sistema Cap tulo 6 Voc Pode me Ajudar 67 apropriada Servi o ao cliente CNA de 555 1234 por favor por exemplo eram pessoas autoriza das a terem as informa es Recado do Mitnick A seguran a atrav s da obscuridade n o tem nenhum efeito para bloquear os ataques da engenharia social Todo sistema de computadores do mundo tem pelo menos um ser humano que o usa Assim sendo se o atacante puder manipular as pessoas que usam os sistemas a obscuridade do sistema irrelevante N o h necessidade de verificar ou identificar a si mesmo nem dar um n mero de empregado tampouco mudar uma senha diariamente Se souber o n mero para o qual ligar e parecer aut ntico ent o ter direito s informa es Essa n o era uma suposi o muito s lida por parte da empresa de telefonia O seu nico esfor o de seguran a era alterar o n mero do telefone periodicamente pelo menos uma vez por ano Mesmo assim o n mero atual em determinado momento era amplamente conhecido entre os phreakers os quais adoravam aproveitar essa conveniente fonte de informa es e compartilhar os m todos de como fazer isso com seus colegas O truque do CNA foi uma das primeiras coisas que aprendi quando fui apresentado ao hobby dos trotes de telefone ainda na adolesc n
517. sligou Anna voltou ao departamento financeiro para terminar o trabalho que estava fazendo A hist ria de Kurt Dillon A Millard Fenton Publishers estava entusiasmada com o novo autor que haviam acabado de contratar o CEO aposentado de uma empresa da Fortune 500 que tinha uma hist ria fascinante para contar Algu m havia passado o homem para um gerente de neg cios para concluir as negocia es O geren te de neg cios n o queria admitir que n o sabia nada sobre contratos de publica o e contratou um velho amigo para ajud lo a descobrir o que ele precisava saber O velho amigo infelizmente n o foi uma boa op o Kurt Dillon usava aquilo que poder amos chamar de m todos incomuns de pesquisa ou seja m todos que n o s o totalmente ticos Kurt criou um site gr tis no Geocities em nome de Ron Vittaro e carregou um programa spyware no site novo Ele mudou o nome do programa para manuscript doc exe para que o nome parecesse ser um documento do Word e n o levantasse suspeitas Na verdade isso funcionou melhor ainda do que Kurt previra Como o Vittaro real nunca havia mudado nenhuma das configura es default Hide file extensions for known file types do seu sistema operacional Windows o arquivo era exibido com o nome manuscript doc Jarg o SPYWARE Software especializado usado para monitorar de modo oculto as atividades do computador de um alvo Um dos meios mais comuns dessa pr tica usada para controlar os sites visi
518. soas Estas s o algumas sugest es Proteja os seus clientes Nesta era eletr nica muitas empresas que vendem para o consumidor mant m um arquivo de cart es de cr dito Existem motivos para isso evitar que o cliente tenha de fornecer as informa es do car t o de cr dito sempre que visitar a loja ou o site na Web ou sempre que fizer uma compra Entretanto essa pr tica deve ser desencorajada Sc voc precisar manter os n meros de cart es de cr dito em um arquivo esse processo tem de ser acompanhado por medidas de seguran a que v o al m da criptografia ou do controle de acesso Os empregados precisam ser treinados para reconhecer os golpes da engenharia social semelhantes queles mostrados neste capitulo Aquele colega de trabalho que voc n o conhece pessoalmente mas que se tornou um amigo pelo telefone talvez n o seja quem ele alega ser Ele pode n o ter a necessidade de saber para acessar as informa es confidenciais de cliente porque ele pode n o trabalhar na empresa Confie desconfiando N o s o apenas as pessoas que t m acesso a informa es confidenciais os engenheiros de softwa re o pessoal de P amp D e assim por diante que precisam se manter na defensiva contra as invas es Quase todos da sua organiza o precisam de treinamento para protegerem a empresa contra os espi es industriais e os ladr es de informa es A base disso deve come ar com uma pesquisa das informa es na empresa
519. sses servi os de telefonia O seu amigo e s vezes parceiro de crimes Charles Bates estava sempre disposto a prestar ajuda por uma taxa nominal Nessa ocasi o Jack e Charles reprogramaram temporariamente a central de telefones da empresa para que as liga es de uma determinada linha de telefone localizada nas insta la es da Panda mostrasse o n mero do telefone interno de Victor Martin fazendo com que a liga o parecesse vir de dentro da Starbeat Aviation A id ia de que o seu ID de chamadas pode mostrar o n mero que voc quiser t o pouco conhe cida que raramente questionada Neste caso Linda ficou satisfeita em poder enviar as informa es solicitadas por fax para o funcion rio que ela achava que era de RP Quando Jack desligou Charles reprogramou a central de telefone da sua empresa e restaurou o n mero de telefone com as configura es originais Analisando a trapa a Algumas empresas n o querem que clientes ou fornecedores saibam os n meros de telefone de seus empregados Por exemplo a Ford pode resolver que as liga es feitas do seu Centro de Suporte ao Cliente mostrem o n mero 800 do Centro e um nome como Suporte da Ford em vez do n mero real e direto de cada representante do suporte que faz uma liga o A Microsoft pode dar aos seus empregados a op o de oferecer s pessoas o seu n mero de telefone em vez de deixar que todos para quem eles ligam possam olhar seu ID de chamadas e saber qual
520. ssica Andover estava muito feliz porque havia conseguido um emprego em uma empresa de rob ti ca Esse seria apenas o in cio e eles n o podiam pagar muito mas a empresa era pequena as pessoas amistosas e havia a esperan a de saber que as suas op es de a o poderiam deix la rica Mui to bem talvez ela n o ficasse milion ria como os fundadores da empresa mas mesmo assim ela seria bem rica Foi por isso que Rick Daggot tinha um sorriso radiante quando entrou na recep o naquela manh de ter a feira de agosto Em seu terno de apar ncia cara Armani usando um pesado rel gio de pulso de ouro um Rolex President e um impec vel corte de cabelo ele tinha aquele mesmo ar de con fian a que deixava todas as garotas loucas quando Jessica estava no col gio Oi ele disse Sou Rick Daggot e estou aqui para uma reuni o com Larry 182 A Arte de Enganar Jessica sorriu sem gra a Larry ela indagou Larry est de f rias esta semana Tenho um hora marcada com ele uma da tarde Acabei de voar de Louisville para encontr lo disse Rick tirando o seu Palm e ligando o para mostrar ela Ela olhou para o Palm e balan ou levemente a cabe a No dia 20 ela leu Isso na pr xima semana Ele pegou o palmtop de volta e ficou olhando para ele Ah n o ele resmungou N o posso acreditar que cometi um erro assim t o est pido Posso pelo menos reservar o v o de volta ela perguntou sentindo pena del
521. sso ajud lo Para dizer a verdade estou me sentindo meio burro Tenho um autor que vem esta tarde para uma sess o e n o sei com quem devo falar para que ele seja atendido O pessoal aqui do escrit rio do Brian simp tico mas odeio incomod los perguntando como fa o isto como fa o aquilo Como se eu estivesse na escola prim ria e n o soubesse onde era o banheiro Voc me entende n o Dorothy riu C 86 A Arte de Enganar Se voc quer falar com a Seguran a disque 7 e em seguida 6138 Se a Lauren atender diga a ela que Dorothy disse que tomaria conta de voc Obrigado Dorothy E se n o puder encontrar o banheiro ligo de novo para voc Eles riram da id ia e desligaram A hist ria de David Harold Adoro cinema e quando me mudei para Los Angeles achei que encontraria todo tipo de pessoa ligada ao cinema e que eles me convidariam para festas me levariam para almo ar nos est dios Bem j es tava l h um ano estava para fazer 26 anos e o mais pr ximo que cheguei foi um tour pela Universal Studios com todo aquele pessoal camarada de Fenix e Cleveland Assim sendo finalmente chegamos ao ponto que eu imaginava se eles n o me convidam eu me convido E foi isso que fiz Comprei um exemplar do Los Angeles Times e li a coluna de entretenimento durante alguns dias escrevi os nomes de alguns procedimentos dos diferentes est dios Resolvi tentar atacar um dos grandes est dios primeiro Ligue
522. ssora e viram que aquilo realmente era o c digo fonte t o bem guardado do seu produto Eles n o acreditaram que eu estivesse conectado como usu rio privilegiado Digite um Control T ordenou um dos desenvolvedores Eu fiz isso A tela confirmou o que eu disse O rapaz come ou a bater na cabe a enquanto Vinny pedia Os US 300 por favor 148 A Arte de Enganar Recado do Mitnick Este outro exemplo de pessoas inteligentes que subestimam o inimigo E voc Voc tem tanta certeza de que a sua empresa est segura a ponto de apostar US 300 como um atacante n o pode invadi la s vezes o modo de contornar um dispositivo de se guran a n o aquele que se espera Eles pagaram Vinny e eu caminhamos pela exposi o no restante do dia com as notas de US 100 pregadas em nossos crach s da confer ncia Todos que viam as notas sabiam o que elas repre sentavam Obviamente Vinny e eu burlamos o software deles e se a equipe de desenvolvedores tivesse pensado em definir regras melhores para o concurso se tivessem usado um cadeado realmente seguro ou se tivessem tomado conta do seu equipamento com mais cuidado n o teriam sofrido aquela humi lha o naquele dia a humilha o sofrida pelas m os de dois adolescentes Mais tarde descobri que a equipe de desenvolvedores teve de ir ao banco para tirar dinheiro aquelas notas de US 100 eram todo o dinheiro que tinham com eles para gastar O DICION RIO COMO UMA ARMA
523. sta importante um sinal de que eu tinha de fornecer um motivo para que ela acreditasse Quando apliquei a mentira de que estava fazendo pesquisas para um livro ela relaxou Voc diz que um escritor ou roteirista e todas as portas se abrem Ela tinha outro conhecimento que teria ajudado coisas como quais informa es o CreditChex requer para identificar a pessoa sobre a qual voc est querendo as informa es quais informa es voc pode pedir e a maior delas qual era o n mero de ID de Comerciante do banco de Kim Eu estava pronto para fazer aquelas perguntas mas a sua hesita o enviou um sinal vermelho Ela acreditou na hist ria da pesquisa para um livro mas j tinha algumas suspeitas Se tivesse sido mais receptiva desde o in cio eu teria pedido para que ela revelasse mais detalhes sobre seus procedimentos Voc tem de confiar em seus instintos ouvir com aten o o que o Mark est dizendo e como ele est dizendo isso Essa mo a parecia ser bastante inteligente para ouvir o alarme quando fizesse muitas perguntas incomuns E embora ela n o soubesse quem eu era e de qual n mero eu estava falando mesmo assim nesse neg cio voc nunca quer que algu m espalhe que est procurando al gu m e liga para obter informa es sobre os neg cios Isso acontece porque voc n o quer queimar a fonte voc pode ligar novamente para o mesmo escrit rio em outra ocasi o Jarg o MARK A v tima de uma conspira o QU
524. t m sorte ou fazem algu ma besteira na mesa de p quer Todos sabem disso Por que esses meus amigos continuam apostando em algo que n o pode dar certo N o me pergunte Talvez eles estejam um pouco em desvantagem no departamento de QI Mas eles s o meus amigos o que se pode fazer Esse homem n o tinha o dinheiro e eles aceitaram um cheque Pergunto eles n o deveriam t lo levado a um caixa eletr nico E isso o que eles deveriam ter feito Mas n o eles aceitaram um che que de US 3 230 00 Naturalmente o cheque voltou O que voc esperaria A eles me ligam posso ajudar N o fecho mais as portas quando as pessoas batem Al m disso hoje em dia h maneiras melhores de fazer isso Contei lhes que queria comiss o de 30 e veria o que podia fazer Assim sendo eles me deram seu nome e endere o e procurei no computador qual era a locadora de video mais pr xima dele N o estava com muito pressa Quatro liga es telef nicas para nos deixar mais pr ximos do gerente da loja e bingo eu havia conseguido o n mero do cart o Visa do homem Outro amigo meu tem um bar de topless Por cinq enta pratas ele colocou o dinheiro do p quer dessa pessoa como uma conta no cart o Visa feita no bar Vamos ver como o escroque vai explicar isso para a sua mulher Voc acha que tentaria dizer administradora do Visa que a conta n o sua Pense de novo Ele sabe que sabemos quem ele E se conseguimos o seu n mero do cart o Visa ele vai
525. t ria de Linda De qualquer forma eu j estava pronta para ir embora S n o havia resolvido quando Mas ningu m gosta de se sentir rejeitado Assim sendo tudo era s uma quest o de o que eu poderia fazer para que ele soubesse que era um idiota N o foi preciso muito tempo para descobrir Tinha de ser outra garota caso contr rio ele n o me faria sair correndo daquele jeito Eu esperaria um pouco e come aria a ligar para ele tarde da noite Voc sabe naquela hora em que a ltima coisa que eles iriam querer seria um telefone tocando Aguardei at o pr ximo final de semana e liguei l pelas 23 horas do s bado S que ele havia mudado o n mero do telefone E o n mero novo n o estava na lista Isso s mostra o canalha que ele era Isso n o era um problema muito grande Comecei a procurar nos pap is que consegui levar antes de sair do meu emprego na empresa de telefonia E l estava ele eu havia guardado um pedido de conserto de uma vez que houve um problema com a linha de telefone na casa do Doug e a listagem relacionava o cabo e o par do seu telefone 88 A Arte de Enganar Voc sabe poss vel mudar o n mero do telefone como quiser mas ele continua tendo o mesmo par de fios de cobre indo da sua casa at a central da empresa de telefonia a qual chamada de Escri t rio Central ou EC O conjunto de fios de cobre de toda casa e apartamento identificado por esses n meros os quais s o chamados de
526. ta das informa es n o os coloca em risco O lixo que vale dinheiro As corpora es tamb m jogam o jogo do vira lata Os jornais tiveram um dia diferente em junho de 2000 ao reportar que a Oracle Corporation cujo CEO Larray Ellison provavelmente seja o mais famoso inimigo da Microsoft havia contratado uma empresa de investiga o que havia sido pega com as m os na botija Parece que os investigadores queriam o lixo de uma localiza o de lobby su portada pela Microsoft a ACT mas n o queriam se arriscar a serem pegos De acordo com as noticias da imprensa a empresa de investiga es enviou uma mulher que ofereceu aos zeladores US 60 para deixar que ela pegasse o lixo da ACT Eles recusaram Ela voltou na noite seguinte subiu a oferta pa ra US 500 para os faxineiros e US 200 para os supervisores Os zeladores recusaram e a entregaram O conhecido jornalista on line Declan McCullah inspirando se na literatura chamou o seu artigo sobre o epis dio no Wired News de Foi a Oracle que espiou a MS A revista Time desmascarando Ellison da Oracle chamou seu artigo simplesmente de Larry o curioso 128 A Arte de Enganar Analisando a trapa a Com base em minha pr pria experi ncia e na experi ncia da Oracle voc poderia se perguntar por que uma pessoa se importaria em correr o risco de roubar o lixo de outra A resposta acho que o risco nulo e os benef cios podem ser substanciais Muito bem talvez tenta
527. ta um n mero de empregado como um segredo Que diferen a faria A resposta n o dif cil de descobrir Duas ou tr s informa es seriam o suficiente para montar uma farsa efetiva o engenheiro social usando a identidade de outra pessoa Consiga o nome de um empregado o seu n mero de telefone o seu n mero de emprega do e quem sabe tamb m o nome e n mero de telefone do seu gerente e um engenheiro social a caminho de ser competente tem a maior parte daquilo que ele precisa para pare cer aut ntico para o pr ximo alvo Se algu m dizendo que era de outro departamento dentro da sua empresa ligasse ontem desse um motivo plaus vel e pedisse o seu n mero de empregado voc relutaria em dar lhe a informa o E por falar nisso qual o seu n mero de seguro social Recado do Mitnick A moral da hist ria n o d nenhuma informa o pessoal ou interna da empresa nem identificadores para ningu m a menos que a sua voz seja conhecida e o solicitante tenha necessidade de saber a informa o EVITANDO A TRAPA A A sua empresa tem a responsabilidade de informar os empregados sobre como pode ocorrer um erro s rio quando informa es n o p blicas s o tratadas da forma errada Uma pol tica de seguran a bem desenvolvida combinada educa o e treinamento adequados aumenta bastante a consci ncia do empregado sobre o tratamento correto das informa es comerciais corporativas Uma pol tica de classifica o de da
528. tados pelos compradores da Internet para que os an ncios on line possam ser adaptados aos seus h bitos de pesquisa na Internet A outra forma an loga grampear um telefone exceto que o dispositivo alvo um computador O software captura as atividades do usu rio incluindo as senhas e teclas digitadas e mail conversas de chat mensagens instant neas todos os sites Web visitados e capturas de tela 162 A Arte de Enganar Em seguida fez com que uma amiga ligasse para a secret ria de Vittaro Seguindo as instru es de Dillon ela disse Sou a assistente executiva de Paul Spadone presidente da Ultimate Booksto res em Toronto O Sr Vittaro conheceu o meu chefe em uma feira de livros h algum tempo e pediu para ele ligar e discutir um projeto que eles fariam juntos O Sr Spadone viaja muito e pediu que eu descobrisse quando o Sr Vittaro estar no escrit rio Quando as duas terminaram de comparar as agendas a amiga de Dillon j tinha informa es su ficientes para fornecer ao atacante uma lista das datas em que o Sr Vittaro estaria no escrit rio Isso significava que ele tamb m sabia quando Vittaro estaria fora do escrit rio N o foi preciso conversar muito para descobrir que a secret ria de Vittaro aproveitaria a sua aus ncia para esquiar um pouco Por um per odo de tempo curto ambos estariam fora do escrit rio E isso era perfeito No primeiro dia que eles deveriam estar fora ele fez uma liga o urgente s para
529. tamos erros as viola es repetidas dos procedimentos de seguran a n o devem ser toleradas Recomenda es de Pol ticas de Seguran a das Informa es Corporativas ove entre dez grandes corpora es e rg os governamentais j foram atacados por invasores de computadores a julgar pelos resultados de uma pesquisa realizada pelo FBI e reportada pela Associated Press em abril de 2002 Curiosamente o estudo descobriu que apenas uma em tr s empresas relatou ou reconheceu publicamente os ataques Essa reserva em se confessar v tima faz sentido Para evitar a perda da confian a do cliente e para evitar outros ataques por parte de invasores que descobriram que uma empresa pode ser vulner vel a maioria das empresas n o informa publicamente os incidentes de seguran a com seus computadores Parece que n o h estat sticas sobre os ataques da engenharia social e se houvesse os n me ros seriam muito pouco confi veis Na maior parte dos casos uma empresa nunca sabe quando um engenheiro social roubou as informa es de modo que muitos ataques n o s o notados nem relatados Existem medidas efetivas que podem ser usadas contra a maioria dos tipos de ataques da enge nharia social Mas vamos enfrentar a realidade a menos que todos da empresa entendam que a seguran a importante e fa am com que seus funcion rios saibam e sigam as pol ticas de seguran a os ataques da engenharia social sempre representar o um risc
530. taria de realizar alguns testes com voc ele disse Posso ver na minha tela as teclas que voc digita e quero ter certeza de que est o passando pela rede corretamente Assim sendo cada vez que voc digitar uma tecla quero que me diga qual a tecla para eu ver se a mesma letra ou n mero est o aparecendo aqui OK Com vis es do pesadelo que seria se o seu computador n o funcionasse e do dia frustrante que seria n o poder trabalhar ela ficou mais do que feliz em ter esse homem para ajud la Ap s alguns instantes ela retrucou Tenho a tela de login e vou digitar o meu ID Estou digitando agora M A R Y D At aqui tudo bem ele afirmou Estou vendo isso aqui Agora digite a sua senha mas n o me diga qual Voc nunca deve dizer a ningu m qual a sua senha nem mesmo ao suporte t cnico Vou ver os asteriscos aqui a sua senha est protegida e n o posso v la Nada disso era verdade mas fazia sentido para Mary Em seguida ele continuou Me avise quando o seu computador inicializar Cap tulo 8 Usando a Simpatia a Culpa e a Intimida o 95 Quando ela disse que o computador estava funcionando ele pediu para ela abrir dois aplicativos e ela disse que eles haviam iniciado bem Mary estava aliviada ao ver que tudo parecia estar funcionando normalmente Peter disse Fico contente de saber que voc poder usar o seu computador e continuou n s acabamos de instalar uma atualiza
531. ter a feira 23 de julho I2h00 Local os escrit rios do Departamento Financeiro da Starbeat Aviation O telefone de Linda Hill tocou bem quando ela estava escrevendo um memorando para o seu chefe Ela olhou o ID de chamadas o qual mostrava que a liga o vinha do escrit rio corporativo de Nova York mas de algu m chamado Victor Martin e n o reconheceu esse nome A 168 A Arte de Enganar Ela pensou em deixar a liga o na secret ria eletr nica para n o interromper o racioc nio naquele momento Mas a curiosidade foi maior Ela atendeu ao telefone e o interlocutor apresentou se e disse que era do Departamento de Recursos e Projetos e estava trabalhando com um material para o CEO Ele est a caminho de Boston para reuni es com alguns dos nossos banqueiros Ele precisa dos principais dados financeiros do trimestre atual ele explicou E mais uma coisa Ele tamb m precisa das proje es financeiras do projeto Apache Victor acrescentou usando o nome de c digo de um produto que seria um dos principais lan amentos da empresa naquele ano Ela pediu o seu endere o de e mail mas ele respondeu que estava com problemas para receber e mails e como o suporte t cnico ainda estava tentando solucionar o problema ele pediu se ela n o pode ria mandar as informa es por fax Ela disse que sim e ele deu o ramal interno do seu aparelho de fax Ela enviou o fax alguns minutos mais tarde Mas Victor n o trabalhava no departamento
532. tipo de mago de computador que podia encontrar informa es teis que as outras pessoas n o podiam obter Quando Alice Conrad pediu lhe um favor a princ pio ele se negou Por que ajudaria Certa vez quando ele a convidou para sair ela recusou Mas a sua recusa em ajudar n o pareceu surpreend la Ela disse que achava que ele n o conse guiria fazer aquilo de qualquer maneira Isso foi como um desafio porque ele tinha certeza de que poderia E foi assim que ele concordou em ajud la Alice havia recebido uma proposta para realizar um trabalho de consultoria para uma empresa de marketing mas os termos do contrato n o pareciam muito bons Antes de voltar e pedir melhores con di es ela queria saber quais eram as condi es que os outros consultores tinham em seus contratos Peter conta a hist ria desta maneira Eu n o disse a Alice mas fujo de gente que quer que eu fa a algo que elas acham que eu n o posso fazer quando sei que f cil Bem desta vez n o era exatamente f cil Isso me daria um pouco de trabalho Mas tudo bem Eu podia mostrar para ela como eu era esperto Um pouco depois das 7h30 da manh de segunda feira liguei para os escrit rios da empresa de marketing e falei com a recepcionista Contei que era da empresa que cuidava dos planos de pens o e precisava falar com algu m da Contabilidade Perguntei se ela sabia se algu m da Contabilidade j havia chegado Ela disse Eu acho que vi Mary entrar h
533. tivos de informa o da organiza o e os sistemas de computadores Os procedimentos de seguran a da empresa precisam declarar com detalhes o tipo de mecanismo de verifica o que deve ser usado nas diversas circunst ncias O Cap tulo 17 fornece uma lista de procedimentos detalhada mas estas s o algumas orienta es que devem ser levadas em conta Uma boa forma de verificar a identidade de uma pessoa que faz uma solicita o ligar para o n mero de telefone relacionado na lista de telefones da empresa para aquela pessoa Se a pessoa que faz a solicita o for realmente um atacante a liga o de verifica o permitir que voc fale com a pessoa verdadeira ao telefone enquanto o impostor aguarda na linha ou per mite que voc ou a o som da voz da pessoa no voice mail para poder compar lo com a voz do atacante Se forem usados n meros de empregados na sua empresa para verificar a identidade esses n meros t m de ser tratados como informa es confidenciais guardados cuidadosamente e 74 A Arte de Enganar n o podem ser dados a estranhos O mesmo vale para todos os outros tipos de identificadores internos tais como n meros de telefone identificadores de faturamento de departamentos e at mesmo os endere os de correio eletr nico O treinamento corporativo deve chamar a aten o de todos para a pr tica comum de aceitar pessoas desconhecidas como empregados leg timos com base no fato de que e
534. to se desenrolava As freq ncias de r dio usadas pelos departamentos de policia e pelos bombeiros n o estavam dispon veis em livros na livraria da esquina hoje em dia eles s o fornecidos em listagens da Web e em um livro que voc compra na Radio Shack as freq ncias da pol cia municipal estadual e em alguns casos da federal 68 A Arte de Enganar Obviamente n o apenas os curiosos ouviam Os ladr es que roubavam uma loja no meio da noite podiam sintonizar e ouvir se um carro de pol cia estava sendo enviado para o local Os traficantes de drogas podiam verificar as atividades dos agentes da Delegacia de Narc ticos local Um incendi rio podia aumentar o seu prazer doentio acendendo uma chama e ouvindo todo o tr fego pelo r dio en quanto os bombeiros lutavam para apagar o inc ndio Nos ltimos anos o desenvolvimento da tecnologia dos computadores possibilitou a criptografia das mensagens por voz A medida que os engenheiros encontravam maneiras de colocar cada vez mais poder de computa o em um nico microchip eles come aram a criar pequenos r dios criptografados para os departamentos de pol cia os quais evitavam que os bandidos e os curiosos ouvissem Danny o hacker benigno Um hacker entusiasmado e habilidoso que chamaremos de Danny resolveu descobrir um modo de colocar as m os em um software de criptografia supersecreto o c digo fonte de um dos principais fabricantes de sistemas de r dio de segura
535. todas as informa es financeiras de seus clientes decriptografadas em seus bancos de dados Pior ainda diversas empresas de com rcio eletr nico que usam um determinado banco de dados SQL agravam ainda mais esse problema elas nunca mudaram a senha default do administrador de sistema para o programa Quando tiraram o programa da caixa a senha era null e ainda null hoje Assim sendo o conte do dos bancos de dados est dispon vel para todos na Internet que resolvem tentar se conectar ao servidor do banco de dados Esses sites est o sob ataque o tempo todo e as informa es s o roubadas sem que ningu m lenha culpa Por sua vez as mesmas pessoas que n o compram na Internet porque t m medo de ter suas informa es de cart o de cr dito roubadas n o t m problemas em comprar com aquele mesmo cart o de cr dito em uma loja de material de constru o ou pagar o almo o jantar ou drinques com o cart o mesmo em um bar de uma rua deserta ou no restaurante no qual n o levariam suas m es Os recibos dos cart es de cr dito s o roubados desses locais o tempo todo ou pescados nas latas de lixo da rua de tr s E todo caixa ou gar om inescrupuloso pode anotar as suas informa es de nome e cart o ou podem usar um dispositivo facilmente dispo n vel na Internet um dispositivo de varredura que armazena os dados de qualquer cart o de cr dito que passado por ele para recupera o posterior Existem alguns perigos na compra
536. tos A nica coisa que fazia bem era ser apanhador no time de beisebol da faculdade Mas n o era bom o suficiente para conseguir uma bolsa de es tudos j que n o era bom para o beisebol profissional Assim sendo em que rea iniciaria o seu neg cio Havia uma coisa da qual os amigos de Vince nunca se deram conta tudo que um deles tinha fosse um canivete novo um par de luvas de frio uma nova namorada sexy se Vince admirasse essa coisa em pouco tempo ele a tinha Ele n o a roubava nem se esgueirava pelas costas de ningu m A pessoa que tinha aquilo que ele queria dava lhe de livre e espont nea vontade Nem mesmo Vince sabia como fazia isso ele n o conhecia a si mesmo As pessoas simplesmente pareciam deixar que ele conseguisse o que quisesse Vince Capelli era um engenheiro social desde tenra idade embora nunca tivesse ouvido falar do termo Seus amigos pararam de rir quando se formaram na faculdade Enquanto os outros percorriam a cidade procurando empregos onde tinham de dizer Voc quer com batata frita o pai de Vince o mandou falar com um velho colega policial que havia deixado a corpora o para iniciar o pr prio neg cio de investiga es particulares em S o Francisco Ele rapidamente reconheceu o talento de Vince para o trabalho e o contratou Isso aconteceu h seis anos Ele odiava a parte de conseguir os bens das esposas infi is a qual envolvia horas aborrecidas sentado e observando mas sentia s
537. u Re mote Access Trojan d ao atacante o acesso total ao seu computador como se ele estivesse sentado no seu teclado Capitulo 7 Sites Falsos e Anexos Perigosos 77 Jarg o MALWARE G ria para o software malicioso um programa de computador tal como um v rus um worm ou um Cavalo de Tr ia que executa tarefas prejudiciais no Cap tulo 6 Ap s esse software ser instalado na sua m quina ele pode transmitir para o atacante cada tecla que voc digita incluindo todas as suas senhas e n meros de cart es de cr dito Existem outros dois tipos de software malicioso que voc vai achar chocantes Um deles pode pas sar para o atacante cada palavra que voc falar dentro do mbito do microfone do seu computador mes mo quando voc acha que o microfone est desligado Pior ainda se voc tiver uma Web cam instalada no seu computador um atacante que use uma varia o dessa t cnica pode capturar tudo que ocorre na frente do seu terminal mesmo quando voc acha que a c mera est desligada seja dia ou noite Recado do Mitnick Cuidado com os malucos que oferecem presentes caso contr rio a sua empresa pode ter a mesma sorte da cidade de Tr ia Quando tiver d vidas e para evitar uma infec o use prote o Um hacker com um senso de humor malicioso pode tentar plantar no seu computador um peque no programa criado para aborrecer Por exemplo ele pode fazer com que a sua unidade de CD ROM fique abrindo sem parar ou qu
538. u o n mero de tele fone de uma copiadora pr xima ligou para eles e pediu seu n mero de fax Em seguida ligou para o escrit rio do promotor distrital e pediu para falar com Registros Quan do foi transferido para o escrit rio de Registros ele se apresentou como um investigador de Lake County e disse que precisava falar com o funcion rio que arquiva as a es de busca ativas Sou eu respondeu a senhora Ah timo ele continuou Porque demos uma batida na casa de um suspeito ontem noite e estou tentando localizar a declara o Elas s o arquivadas por en dere o ela explicou Ele deu seu endere o e ela pareceu muito interessada Ah sim ela disse Conhe o esse O golpe do copyright 98 A Arte de Enganar Observa o Como um engenheiro social conhece os detalhes de tantas opera es departamen tos de pol cia escrit rios de promotoria pr ticas da empresa de telefonia a organi za o de empresas espec ficas que est o em reas teis para seus ataques tais como telecomunica es e computadores Porque descobrir o seu neg cio Esse conheci mento o bem de um engenheiro social porque as informa es podem ajud lo em seus esfor os para enganar Esse mesmo ele concordou Estou procurando a declara o e uma c pia do mandado Certo eles est o bem aqui timo ele disse Ou a estou fora e tenho uma reuni o com o Servi o Secreto sobre esse caso em 15 minutos T
539. ua solicita o Os engenheiros sociais habilidosos s o adeptos do de senvolvimento de um truque que estimula emo es tais como medo agita o ou culpa Eles fazem isso usando os gatilhos psicol gicos os mecanismos autom ticos que levam as pessoas a responderem s solicita es sem uma an lise cuidadosa das informa es dispon veis Todos queremos evitar as situa es dif ceis para n s mesmos e para os outros Com base nesse impulso positivo o atacante pode jogar com a simpatia de uma pessoa fazer a sua vitima se sentir culpada ou usar a intimida o como uma arma Aqui est o algumas li es das t ticas mais conhecidas que jogam com as emo es UMA VISITA AO EST DIO Voc j observou como uma pessoa pode passar pela seguran a na porta de uma festa de alguma reuni o particular ou mesmo entrar em um restaurante e passar pela seguran a sem que pe am o seu convite ou reserva Mais ou menos da mesma forma um engenheiro social pode entrar nos lugares que voc acharia n o ser poss vel como mostra esta hist ria sobre a ind stria do cinema A liga o telef nica Escrit rio de Ron Hillyard Dorothy Dorothy oi Meu nome Kyle Bellamy Acabei de ser contratado para trabalhar no Desenvolvimento de Anima o da equipe de Brian Glassman Voc s sem d vida fazem as coisas de modo diferente por aqui Acho que sim Nunca trabalhei em nenhum outro est dio e n o sei com certeza Como po
540. ualquer empresa deve ter um conjunto especial de pol ticas que o ajude a proteger os ativos de informa es da organiza o Para refletir a estrutura t pica das opera es de TI de uma organiza o dividi as pol ticas de TI em Geral Help Desk Admi nistra o de Computadores e Opera es de Computadores Geral 5 1 Informa es de contato dos funcion rios do departamento de TI Pol tica Os n meros de telefone e os endere os de correio eletr nico dos funcion rios do de partamento de TI n o devem ser divulgados para nenhuma pessoa que n o tenha necessidade dessas informa es Explica o Observa es A finalidade desta pol tica evitar que essas informa es sejam usadas pelos engenheiros sociais Ao divulgar apenas um n mero geral de contato ou endere o de cor reio eletr nico as pessoas de fora da empresa ficam impedidas de entrar diretamente em contato com o pessoal de TI Os endere os de correio eletr nicos dos contatos t cnicos e administrativos do site s devem consistir em nomes gen ricos tais como admin companyname com os n meros de telefone publicados devem conectar se a uma caixa postal departamental n o aos funcion rios individuais Quando as informa es para contato direto est o dispon veis um intruso pode acessar facilmente os funcion rios espec ficos de TI e engan los para que eles forne am informa es que podem ser usadas em um ataque ou para fazerem se passar pelos empreg
541. uando uma liga o feita de fora da empresa Explica o Observa es Se os empregados puderem verificar a identidade das liga es telef nicas de fora da empresa podem impedir um ataque ou podem encaminhar o atacante para o pessoal adequado na seguran a 3 3 Telefones de cortesia Pol tica Para evitar que os visitantes fa am se passar por funcion rios da empresa cada te lefone de cortesia indicar claramente a localiza o da chamada por exemplo Sagu o no ID de chamadas do destinat rio 222 A Arte de Enganar Explica o Observa es Se o ID de chamadas internas mostrar apenas um n mero de ramal as medidas apropriadas devem ser tomadas para as liga es feitas dos telefones da empresa na rea de recep o e em todas as outras reas p blicas Um atacante n o pode conseguir fazer uma liga o de um desses telefones e enganar um empregado para que ele acredite que a liga o foi feita internamente de um telefone da empresa 3 4 Senhas default do fabricante enviadas com os sistemas de telefone Pol tica O administrador do voice mail deve alterar todas as senhas default que vieram com o sistema de telefonia antes de ele ser usado pelo pessoal da empresa Explica o Observa es Os engenheiros sociais podem obter as listas das senhas default com os fabricantes e podem us las para acessar as contas de administrador 3 5 Caixas postais de departamento Pol tica Configure uma caixa postal
542. ue determinam como e quando as chaves devem ser alteradas As pol ticas tamb m devem exigir que as chaves de criptografia sejam alteradas imediatamente quando um empregado que tinha acesso a elas for embora Quem ele O exemplo de um artista da trapa a deste cap tulo que usa seu charme para fazer com que os em pregados revelem informa es refor a a import ncia da verifica o da identidade A solicita o de 192 A Arte de Enganar encaminhamento do c digo fonte para um site FTP tamb m destaca a import ncia de conhecer a pessoa que faz a solicita o No Cap tulo 16 voc encontra as pol ticas especificas para a verifica o da identidade de um estranho que faz uma solicita o de informa es ou pede que alguma a o seja executada J falamos da necessidade da verifica o em todo este livro No Cap tulo 16 voc ter os detalhes de como isso deve ser feito Eliminando as Barreiras Conscientiza o e Treinamento em Seguran a da Informa o m engenheiro social recebeu a atribui o de obter os planos do seu novo produto que deve ser lan ado em dois meses O que vai impedi lo O seu firewall N o Dispositivos avan ados de autentica o N o Sistemas detectores de invas o N o Criptografia N o Acesso limitado aos n meros de telefone de discagem por modems N o Nomes de c digo nos servidores para dificultar que um estranho determine qual servidor pode conter os planos do pr
543. ue deveria haver outros hist ricos de um aluno que estivesse no campus registros de pagamento de mensalidades o escrit rio dos alojamentos e quem sabe mais o qu A simples cria o do hist rico dos cursos e notas deixaria muitos buracos Pensando mais um pouco ocorreu lhe que poderia atingir seu objetivo vendo se a escola tinha um formando com mesmo nome que o seu que havia se formado em ci ncia da computa o em algum momento durante um per odo apropriado de anos Se encontrasse esse aluno ele poderia colo car o n mero do seguro social do outro Michael Parker nos formul rios pedindo emprego qualquer empresa que verificasse o nome e o n mero do seguro social junto universidade saberia que sim ele tinha o diploma que dizia ter N o era muito bvio para a maioria das pessoas mas era bvio para ele que poderia colocar um n mero de seguro social no formul rio de emprego e em seguida se fosse contratado colocaria o seu pr prio n mero nos formul rios de empregado novo A maioria das empresas nem pensa em verificar se um novo contratado usou um n mero diferente no in cio do processo de contrata o Conectando se com problemas Como encontrar um Michael Parker nos registros da universidade Ele abordou esse problema desta maneira Ele foi biblioteca principal do campus da universidade sentou se em um terminal de computa dor entrou na Internet e acessou o site Web da universidade Em seguida ligou para a s
544. ue seja usado durante a atividade di ria de neg cios e que n o deve ser liberado para estranhos tais como os gr ficos organizacionais da corpora o os n meros de discagem de rede os nomes dos sistemas internos os procedimentos de acesso remoto os c digos do centro de custo e outros P blica As informa es que foram criadas especificamente para libera o para o p blico Este tipo de informa o pode ser distribu do livremente para todas as pessoas e incluem os press releases as informa es de contato de suporte ao cliente ou as brochuras de produto Observe que todas as informa es que n o s o criadas especificamente como P blicas devem ser tra tadas como informa es Confidenciais Terminologia dos dados classificados Com base nessa classifica o os dados devem ser distribu dos para determinadas categorias de pes soas V rias pol ticas deste capitulo referem se s informa es que s o dadas para uma Pessoa N o Verificada Para fins destas pol ticas uma Pessoa N o Verificada algu m que o empregado n o co nhece pessoalmente e n o sabe se um empregado ou se tem o cargo adequado para ter acesso s informa es nem se foi autorizado por terceiros No mbito destas pol ticas a Pessoa de Confian a aquela que voc conhece pessoalmente e sabe que empregado cliente ou consultor da empresa com o cargo adequado para ter acesso s informa es Uma Pessoa de Confian a tamb m pode ser u
545. uindo o status de emprego da pessoa antes de divulgar qualquer informa o para qualquer um que n o se conhe a pessoalmente e portanto n o se sabe se ainda est na empresa Agora chega da hist ria do Doug e da sua tentativa de se esconder de mim por tr s de um n mero de telefone que n o estava na lista A divers o s estava come ando Cap tulo 8 Usando a Simpatia a Culpa e a Intimida o 89 Analisando a trapa a A jovem da hist ria p de obter as informa es que desejava para executar a sua vingan a porque tinha o conhecimento interno os n meros de telefone os procedimentos e a linguagem da empresa de telefonia Com isso ela n o apenas p de descobrir um novo n mero que n o estava na lista mas tamb m p de faz lo no meio de uma noite gelada enviando um t cnico de telefones para procurar um n mero pela cidade para ela O SR BIGG QUER ISSO Uma forma popular e eficaz de intimida o popular em larga escala porque muito simples in fluencia o comportamento humano usando a autoridade S o nome do assistente do escrit rio do CEO j pode ser valioso Os detetives particulares e at mesmo os head hunters fazem isso o tempo todo Eles ligam para a telefonista e dizem que querem fa lar com o escrit rio do CEO Quando a secret ria ou o assistente executivo respondem dizem que t m um documento ou um pacote para o CEO ou se enviarem um anexo de e mail perguntam se eles po deriam imprimi l
546. um c digo de seguran a Todos os empregados de vem ser treinados para relatar imediatamente qualquer solicita o de credenciais de autentica o tais como o c digo di rio ou uma senha solicita o essa que feita em circunst ncias suspeitas Eles tamb m devem informar quando uma tentativa de verifica o da identidade de um solicitando n o confere No m nimo o empregado deve registrar o nome o n mero do telefone e o escrit rio ou depar tamento do solicitante e depois desligar Antes de ligar de volta ele deve verificar se a organiza o realmente tem um empregado com aquele nome e se o n mero de telefone que ele deu coincide com o n mero da lista on line ou impressa da empresa Na maior parte do tempo essa t tica simples ser o necess rio para verificar se o interlocutor quem diz ser A verifica o torna se um pouco mais complicada quando a empresa tem uma lista telef nica publicada em vez de uma vers o on line As pessoas s o contratadas v o embora mudam de depar tamentos de cargos e de n meros de telefone A lista de telefones impressa j est desatualizada no 118 A Arte de Enganar dia seguinte sua publica o mesmo antes de ser distribu da Mesmo as listas on line nem sempre s o confi veis porque os engenheiros sociais sabem como modific las Se um empregado n o puder verificar o n mero de telefone de uma fonte independente ele deve ser instru do para verificar por outros meios tai
547. um dia em que algu m cujo dio ou desonestidade natos faz com que ele ignore o risco e fa a tudo que acha que pode fazer E claro que existem solu es Os arquivos confidenciais podem ser protegidos com controles de acesso adequados para que apenas o pessoal autorizado possa abri los Alguns sistemas operacionais t m controles de auditoria que podem ser configurados para manter um registro de determinados eventos tais como cada pessoa que tenta acessar um arquivo protegido independentemente da ten tativa ter ou n o sucesso Se a sua empresa entendeu essa quest o e implementou controles de acesso adequados e auditorias que protegem os arquivos confidenciais ent o voc est tomando medidas poderosas na dire o certa Combinando a Tecnologia e a Engenharia Social m engenheiro social vive da sua capacidade de manipular as pessoas para que elas fa am coisas que o ajudem a atingir o seu objetivo mas o sucesso quase sempre requer uma grande dose de conhecimento e habilidade com os sistemas de computador e telefonia Esta uma amostragem dos golpes da engenharia social nos quais a tecnologia teve um papel importante O HACKING ATR S DAS GRADES Quais s o algumas das instala es mais seguras que voc consegue imaginar protegidas contra in vas es sejam elas de natureza f sica de telecomunica es ou eletr nicas Fort Knox N o A Casa Branca Tamb m n o NORAD a instala o da defesa norte americana enterr
548. um lixo externo e vulner vel para encontrar informa es descartadas que tivessem valor ou que forne cessem uma ferramenta a ser usada em um ataque da engenharia social tal como os n meros de telefones internos ou os cargos Capitulo 10 Entrando nas Instala es 127 Ao chegar encontrava algumas caixas de papel o tirava as e as colocava de lado Se algu m me desafiasse o que acontecia de vez em quando dizia que um amigo meu estava se mudando e eu estava procurando caixas para ajud lo a embalar as coisas O guarda nunca observou todos os documentos que eu havia colocado dentro das caixas para levar para casa Em alguns casos ele me dizia para ir embora e assim simplesmente ia para o escrit rio central de outra empresa de telefonia N o sei como isso funciona hoje mas naqueles dias era f cil saber quais sacos poderiam conter algo interessante O lixo que era varrido do ch o e o lixo da lanchonete ficava solto nos sacos grandes enquanto as cestas de lixo dos escrit rios estavam todas alinhadas com sacos de lixo descart veis brancos os quais eram amarrados um a um pelo pessoal da limpeza Certa vez enquanto pesquisava com alguns amigos encontrei algumas folhas de papel rasgadas m o E n o apenas rasgadas algu m havia tido o trabalho de cortar as folhas em peda os pequenos iodos convenientemente jogados em um nico saco de lixo de 20 litros Levamos o saco para uma loja local de rosquinhas jogamos os peda os e
549. um voice mail e um computador facilita a adivinha o de todas as senhas de um usu rio ap s a identifica o de apenas uma 14 3 Definindo as senhas de voice mail Pol tica Os usu rios e os administradores de voice mail devem criar senhas de voice mail que sejam dif ceis de adivinhar Elas n o devem estar relacionadas de nenhuma maneira com a pessoa que as usa nem com a empresa e n o devem conter um padr o previs vel que pode ser adivinhado facilmente Explica o Observa es As senhas n o devem conter d gitos seq enciais ou repetidos ou seja 1111 1234 1010 n o podem ser iguais ou baseadas no n mero do ramal de telefone e n o devem estar relacionadas com endere o c digo postal data de nascimento placas de carro n mero de telefone peso Q I ou outras informa es pessoais previs veis 14 4 Mensagens de correio eletr nico marcadas como antigas Pol tica Quando as mensagens de correio eletr nico que ainda n o foram ouvidas n o est o marcadas como mensagens novas o administrador do voice mail deve ser notificado sobre uma pos s vel viola o da seguran a e a senha do voice mail deve ser imediatamente alterada Explica o Observa es Os engenheiros sociais podem ter acesso a uma caixa postal de voice mail de v rias maneiras Um empregado que descobre que as mensagens que ele nunca ouviu n o est o sendo anunciadas como mensagens novas deve supor que outra pessoa obteve acesso auto riz
550. uma nica liga o telef nica consegui o endere o e o n mero de telefone Miss o cumprida Analisando a trapa a Certamente Janie sabia que as informa es de clientes s o sigilosas Ela nunca discutiria a conta de um cliente com outro cliente nem daria informa es particulares para o p blico Mas claro que para um interlocutor de dentro da empresa as regras s o diferentes Para um cole ga de trabalho tudo se reduz a fazer parte da equipe e ajudar um ao outro a fazer o trabalho O homem do Departamento de Faturamento poderia ter ele mesmo procurado os detalhes se o seu computador n o tivesse sofrido um ataque de v rus e ela ficou contente em poder ajudar um colega O atacante chegou aos poucos s informa es principais que desejava fazendo perguntas sobre coisas que n o queria saber tais como o n mero da conta Mesmo assim o n mero de conta forneceu uma seguran a a mais Se o atendente suspeitasse ele ligaria uma segunda vez e teria mais chances de sucesso porque o conhecimento do n mero de conta faria com que ele parecesse mais aut ntico para o atendente que ele ligasse Nunca ocorreu a Janie que algu m pudesse mentir sobre algo assim que o interlocutor pudesse n o estar no Departamento de Faturamento E claro que a culpa n o de Janie Ela n o dominava bem a regra sobre ter certeza de que voc sabe com quem est falando antes de discutir as informa es do arquivo de um cliente Ningu m jamais diss
551. uma pesquisa nos arquivos uma opera o r pida de recortar colar e pas sar corretivo algumas c pias criativas e voil ela teve acesso s especifica es confidenciais de marketing e produto E alguns dias depois um jornalista especializado publica um furo de reportagem com as especi fica es e os planos de marketing de um novo produto que estar nas m os dos assinantes da revista e de toda a ind stria meses antes do lan amento do produto As empresas concorrentes ter o v rios meses para desenvolver produtos equivalentes e criarem suas campanhas publicit rias para derrotar o Cobra 273 Naturalmente a revista nunca dir quem lhes deu o furo EVITANDO A TRAPA A Quando solicitados a darem informa es valiosas confidenciais ou cr ticas com as quais um con corrente ou outra pessoa pode se beneficiar os empregados devem estar cientes de que o uso do ID de chamadas como um meio de verificar a identidade de um interlocutor externo n o um m todo aceit vel Alguns outros meios de verifica o devem ser usados tais como verificar com o supervisor da pessoa se a solicita o foi apropriada e se o usu rio tem autoriza o para receber as informa es O processo de verifica o requer um ponto de equil brio que cada empresa deve definir ela mesma seguran a versus produtividade Qual prioridade ser dada implanta o das medidas de seguran a Os empregados resistir o aos procedimentos de seguran a e mesm
552. umera o 149 fazendo o download ou instalando o 247 instala o silenciosa 162 malicioso malware 76 165 spyware 161 163 164 16 transfer ncia de para terceiros 220 solicita o 160 163 solicita es de informa es 60 73 213 271 solicita es de suporte t cnico 229 230 sosh 41 speakeasy seguran a 67 SpyCop 165 spyware 161 162 164 165 SSL secure sockets layer 83 status do empregado verifica o 215 268 subornos 128 surfar sobre os ombros 176 177 T teclas digitadas monitorando 161 tecnologia da informa o TI pol ticas 229 243 telas capturar 165 telecomutadores pol ticas para os 256 257 telefone celular estudo de caso 38 39 telefone da empresa como ataque 18 21 Lista de N meros de Teste 27 on line 117 telefones corporativos como ataque da engenharia social 21 telefones de cortesia 221 222 terminal burro 101 terminal da console 147 terminal 101 146 147 terroristas fraude e 8 token s baseado s em tempo 69 73 treinamento 74 169 198 199 200 adaptados a grupos distintos 200 conte do do 201 203 de acordo com o perfil de cargo 59 199 de seguran a 28 31 equipes de limpeza 153 estabelecendo o programa 199 200 motiva o dos empregados 199 nas pol ticas 195 objetivos 198 200 para desafiar a autoridade 90 treinamento da conscientiza o 22 23 198 205 Consulte tamb m treinamento Trojan Defense Suite 84 V valida o social 198
553. uques de m gica para o hacker mais conhecido do mundo temido pelas corpora es e pelo governo Ao pensar nesses ltimos 30 anos tenho de admitir que tomei algumas decis es ruins motivadas pela minha curiosidade pelo desejo de aprender sobre a tecnologia e pela necessidade de um bom desafio intelectual Hoje sou outra pessoa Estou transformando meus talentos e o extenso conhecimento que reuni sobre a seguran a das informa es e sobre as t ticas da engenharia social para ajudar o governo as empresas e os indiv duos a evitar detectar e responder s amea as da seguran a da informa o Este livro mais uma forma pela qual posso usar a minha experi ncia para ajudar os outros a evitarem os esfor os dos ladr es mal intencionados de informa es de todo o mundo Creio que o leitor achar as hist rias agrad veis elucidativas e educativas ste livro cont m in meras informa es sobre a seguran a das informa es e a engenharia social Para ajud lo a encontrar o seu caminho apresento a sua organiza o Na Parte 1 revelo o elo mais fraco da seguran a e mostro o motivo pelo qual voc e a sua empre sa est o arriscados a sofrer ataques da engenharia social Na Parte 2 voc ver como os engenheiros sociais brincam com a sua confian a com o seu desejo de ser til com a sua simpatia e com a sua credulidade para obter aquilo que eles querem As hist rias fict cias de ataques t picos demonstrar o que
554. uran a precisa convencer os empregados que embora seja importante realizar as tarefas da fun o dentro do prazo a tomada de um atalho que n o atende os procedimentos adequados de seguran a pode ser prejudicial para a empresa e os colegas O mesmo cuidado deve ser tomado quando se fornecem informa es para um estranho ao tele fone N o importa se a pessoa se apresenta de modo persuasivo n o importa o seu status ou a sua posi o na hierarquia da empresa nenhuma informa o deve ser fornecida al m daquelas designadas como publicamente dispon veis at que a identidade do interlocutor seja verificada positivamente Se essa pol tica fosse observada rigidamente o esquema da engenharia social da hist ria de Johnny teria falhado e Gondorff nunca poderia planejar um novo golpe com o seu colega Johnny Essa uma quest o t o importante que a reitero em todo este livro verifique verifique e verifique novamente Toda solicita o que n o seja feita pessoalmente nunca deve ser aceita sem a verifica o da identidade do solicitante ponto Fazendo a limpeza Para todas as empresas que n o t m pessoal de seguran a durante as 24 horas do dia o esquema no qual um atacante tem acesso a um escrit rio ap s o expediente representa um desafio O pessoal da limpeza normalmente trata com respeito todos que aparentam trabalhar na empresa e pare am ser verdadeiros Afinal de contas essa pessoa pode causar lhes problemas ou sua demiss o
555. usar um dano substancial se fo rem obtidas por pessoas n o autorizadas podem ser entregues apenas para uma Pessoa de Confian a que tenha autoriza o para receb las Explica o Observa es As informa es confidenciais em uma forma f sica ou seja uma c pia impressa ou um meio de armazenamento remov vel podem ser entregues Pessoalmente Por correio interno fechada e marcada com a classifica o Confidencial Fora da empresa por um servi o de entregas conhecido ou seja FedEx UPS e assim por diante com a assinatura do destinat rio ou por um servi o postal usando uma classe de cor respond ncia certificada ou registrada As informa es confidenciais na forma eletr nica arquivos de computador arquivos de banco de dados correio eletr nico podem ser entregues Como mensagem criptografada de correio eletr nico Em um anexo de mensagem de correio eletr nico como um arquivo criptografado Por transfer ncia eletr nica para um servidor dentro da rede interna da empresa Por um programa de fax de um computador desde que apenas os destinat rios pretendidos usem a m quina de destino ou que esse destinat rio esteja aguardando junto m quina en quanto o fax est sendo enviado Como alternativa os documentos podem ser enviados por fax sem que o destinat rio esteja presente se for enviado por um link telef nico criptografado ou para um servidor de fax protegido p
556. utro funcion rio do Centro de Computadores ligaria para ela quando tivesse descoberto o que estava causando o problema O administrador prestativo Agora Michael sabia de qual sistema de computadores precisava acessar e tinha um ID e uma senha de usu rio Mas quais comandos ele precisaria para pesquisar os arquivos com as informa es sobre um formando em ci ncia da computa o com o nome e a data de formatura certos O banco de dados de alunos seria propriet rio criado no campus para atender aos requisitos espec ficos da universidade e da secretaria e teria uma forma exclusiva de ser acessado 102 A Arte de Enganar A primeira etapa para eliminar esse ltimo empecilho seria descobrir quem poderia orient lo nos mist rios da pesquisa do banco de dados de alunos Ligou novamente para a secretaria desta vez falando com uma pessoa diferente Contou que era da Diretoria de Engenharia e perguntou Com quem podemos obter ajuda quando temos problemas para acessar os arquivos acad micos dos alunos Minutos mais tarde ele estava ao telefone com o administrador do banco de dados da facul dade empregando o golpe da simpatia Meu nome Mark Sellers do escrit rio do Secret rio Sou novo aqui Desculpe estar ligando para voc mas eles est o todos em uma reuni o esta tarde e n o h ningu m aqui para me ajudar Preciso recuperar uma lista de todos os formandos em ci ncia da computa o entre 1990 e 2000 Eles precisam disso at o
557. ve incluir Uma descri o do modo como os atacantes usam as habilidades da engenharia social para enganar as pessoas Os m todos usados pelos engenheiros sociais para atingir seus objetivos Como reconhecer um prov vel ataque da engenharia social O procedimento para o tratamento de uma solicita o suspeita A quem relatar as tentativas da engenharia social ou os ataques bem sucedidos A import ncia de questionar todos os que fazem uma solicita o suspeita independentemente da posi o ou import ncia que a pessoa alega ter O fato de que os funcion rios n o devem confiar implicitamente nas outras pessoas sem uma verifica o adequada embora o seu impulso seja dar aos outros o beneficio da d vida A import ncia de verificar a identidade e a autoridade de qualquer pessoa que fa a uma soli cita o de informa es ou a o Consulte Procedimentos de verifica o e autoriza o no Cap tulo 16 para obter detalhes sobre como verificar a identidade Procedimentos para proteger as informa es confidenciais entre eles a familiaridade com todo o sistema de classifica o de dados A localiza o das pol ticas e dos procedimentos de seguran a da empresa e a sua import ncia para a prote o das informa es e dos sistemas de informa es corporativas Um resumo das principais pol ticas de seguran a e uma explica o do seu significado Por exemplo c
558. vem ser tratadas como visitantes e devem estar sempre acompanhadas 1 8 2 Identifica o de visitante Pol tica Todos os visitantes devem apresentar uma carteira de identidade v lida ou outra iden tifica o com foto para serem admitidos nas instala es da empresa Explica o Observa es A equipe de seguran a ou recep o deve fazer uma fotoc pia do documento de identifica o antes de emitir um crach de visitante A c pia deve ser mantida com o registro do visitante As informa es de identifica o tamb m podem ser registradas no livro de visitantes pela recep o ou pelo guarda os visitantes n o podem escrever suas pr prias informa es de identifica o Os engenheiros sociais que querem entrar em um pr dio sempre escrevem informa es falsas no registro Embora n o seja dif cil obter um ID falso e descobrir o nome de um empregado que podem estar visitando a exig ncia de que o empregado respons vel registre a entrada inclui um n vel extra de seguran a no processo 1 8 3 Acompanhamento de visitantes Pol tica O visitante deve ser acompanhado ou estar na companhia de um empregado durante todo o tempo Explica o Observa es Um truque conhecido dos engenheiros sociais conseguir uma vi sita a um empregado da empresa por exemplo a visita a um engenheiro de produto sob o pretexto de ser o empregado de um parceiro estrat gico Ap s ser acompanhado para a reuni o principal o e
559. voc deve confirmar se a solicita o foi feita pelo pessoal autorizado Explica o Observa es A inten o desta pol tica e evitar que um atacante crie uma solicita o para desativar uma conta e em seguida ligue para solucionar os problemas da incapaci dade do usu rio em acessar o sistema de computadores Quando o engenheiro social liga fazendo se passar por um t cnico com conhecimento da inabilidade do usu rio em fazer o login a vitima quase sempre concorda com uma solicita o para revelar a sua senha durante o processo de solu o de problemas 232 A Arte de Enganar 6 7 Desativando as portas ou os dispositivos de rede Pol tica Nenhum empregado deve desativar nenhum dispositivo ou porta de rede para pessoal n o verificado do suporte t cnico Explica o Observa es A inten o desta pol tica evitar que um atacante crie uma soli cita o para desativar uma porta de rede e em seguida ligue para o funcion rio para solucionar a sua incapacidade de acessar a rede Quando o engenheiro social que se faz passar por um t cnico liga e demonstra j ter conhecimento do problema de rede do usu rio a v tima quase sempre concorda com uma solicita o de revelar a sua senha durante o processo de solu o do problema 6 8 Divulga o dos procedimentos para o acesso sem fio Pol tica Nenhum funcion rio deve divulgar os procedimentos para acessar os sistemas da em presa nas redes sem fio para qua
560. voc n o conhece pede alguma coisa Se um pobre bate sua porta voc provavelmente n o o deixa entrar se um estranho bem vestido bater porta de sapatos brilhantes cabelo bem penteado bons modos e um sorriso voc pro vavelmente ter menos suspeitas Talvez ele seja o Jason do filme Sexta Feira 13 mas voc est disposto a confiar naquela pessoa desde que ela tenha uma apar ncia normal e n o tenha uma faca na m o quest o menos bvia que julgamos as pessoas da mesma forma pelo telefone Essa pessoa d a impress o de estar tentando me vender alguma coisa Ele amistoso e aberto ou sinto algum tipo de hostilidade ou press o Ele tem o discurso adequado para uma pessoa educada Julgamos essas coisas e talvez mais uma dezena de outras inconscientemente em um relance quase sempre nos primeiros momentos da conversa o Recado do Mitnick da natureza humana achar que improv vel que voc seja enganado em determi nada transa o pelo menos at que tenha algum motivo para acreditar no contr rio N s ponderamos o risco e em seguida na maior parte das vezes damos s pessoas o benef cio da d vida Esse o comportamento natural das pessoas civilizadas pelo menos as pessoas civilizadas que nunca foram enganadas manipuladas ou trapa ceadas em uma soma grande em dinheiro Quando ramos crian as nossos pais nos ensinavam a n o confiar em estranhos Talvez todos dev ssemos adotar esse antigo princ
561. volvidos possam reconhecer uns aos outros para fins de verifi ca o 8 4 Divulga o de senhas Pol tica A equipe de opera es de computador nunca deve revelar suas senhas ou nenhu ma outra senha que lhe seja confiada sem aprova o pr via de um gerente de tecnologia da infor ma o Explica o Observa es Em lermos gerais a revela o de qualquer senha para outra pessoa proibida Esta pol tica reconhece que o pessoal de opera es talvez tenha de revelar uma senha para terceiros quando surgem situa es urgentes Esta exce o pol tica geral que pro be a di vulga o de qualquer senha requer aprova o espec fica de um gerente de tecnologia da informa o Como medida extra de precau o esta responsabilidade de divulgar informa es de autentica o deve se limitar a um grupo pequeno de indiv duos que receberam treinamento especial sobre os procedimentos de verifica o Cap tulo 16 Recomenda es de Pol ticas de Seguran a das Informa es Corporativas 243 8 5 M dia eletr nica Pol tica Toda m dia eletr nica que contenha informa es que n o foram criadas para libera o ao p blico deve ser mantida em uma localiza o fisicamente segura Explica o Observa es A inten o desta pol tica evitar o roubo f sico de informa es Sigilosas armazenadas em m dia eletr nica 8 6 M dia de backup Pol tica O pessoal de opera es deve armazenar a m dia de backup em
562. za o em seguran a na hora da renova o ou que examinem as pol ticas de seguran a das informa es e assi nem um documento dizendo que concordam em segui las 7 8 Endere os de correio eletr nico gen ricos Pol tica O departamento de tecnologia da informa o deve configurar um endere o de correio eletr nico gen rico para cada departamento da organiza o que se comunica com o p blico Explica o Observa es O endere o de correio eletr nico gen rico pode ser divulgado para o p blico pela recepcionista ao telefone ou pode ser publicado no site Web da empresa Caso contr rio cada empregado s deve divulgar o seu endere o de correio eletr nico pessoal para quem tenha uma necessidade real de conhec lo Durante a primeira fase de um ataque da engenharia social o atacante quase sempre tenta obter os n meros de telefone os nomes e os cargos dos empregados Na maioria dos casos essas informa es est o dispon veis no site Web da empresa ou s pedi las A cria o de caixas de correio de voz e ou endere os de correio eletr nico gen ricos dificulta a associa o dos nomes dos empregados a deter minados departamentos ou responsabilidades 7 9 Informa es de contato para registros de dom nio Pol tica Ao serem registradas para obten o de endere o na Internet ou nomes de hosts as informa es de contato do pessoal administrativo t cnico ou outros n o devem identificar nenhum funcion ri

Download Pdf Manuals

Related Search

Related Contents

Arrêté - Consultations publiques  取扱説明書 EMｰ2535  Imetec G7801  Monitor com retroiluminação LED HP EliteDisplay S140u  Altair - Falmec  Supermicro SuperServer 1028R-WTR  

Copyright © All rights reserved. Failed to retrieve file