| A segurança da informação começa muito antes de quebrarmos as cabeças idealizando algoritmos e ferramentas de proteção de dados contidos em meios físicos. O objetivo do presente artigo é familiarizar os leitores com o termo Engenharia Social, que pode parecer raro e distante mas, na prática, nos acompanha bem de perto. 1. INTRODUÇÃO
Começaremos por trazer o conceito dado de Engenharia Social pela Wikipédia, a enciclopédia livre e que textualmente diz:
"Engenharia Social consiste em uma série de técnicas utilizadas por fraudadores a fim de obter acesso não autorizado a sistemas computacionais e não computacionais. De uma forma geral, é considerada engenharia social o ato de invadir sistemas aproveitando-se de falhas humanas. A maioria das técnicas de engenharia social consiste em obter informações privilegiadas, enganando os usuários de um determinado sistema por meio de identificações falsas, aquisição de carisma e confiança da vítima."
O objetivo do presente artigo é familiarizar os leitores com o termo Engenharia Social, que pode parecer raro e distante mas, na prática, nos acompanha bem de perto.
2. COMPORTAMENTOS
Seremos apresentados à chamada arte de enganar pessoas para obter ganhos e lucros, que variam desde informações sigilosas até dinheiro.
É bom salientar que existem manifestações destas práticas já contempladas e punidas no nosso código penal.
2.1 O Erro Humano
O conceito de Engenharia Social coloca no centro da definição o erro humano. Mais do que isso, devemos entender o comportamento involuntariamente indiscreto das pessoas, que facilita a abordagem dos atacantes.
É bom destacar que nem sempre os virtuais inimigos chegam com as intenções de sondagem e procurando informações. No entanto, o nosso proceder pode favorecer o surgimento de posturas inesperadas por parte dos interlocutores, que inquestionavelmente estão prestes a reagir a qualquer estímulo e são capazes de achar brechas nos lugares mais recônditos do pensamento.
Nos tempos atuais, em que são levantadas as bandeiras de atendimento ao cliente, se proliferam técnicas e metodologias de CRM e de cruzamentos impensáveis de informações. O objetivo destas ações é descobrir regularidades do mercado e dos atuantes e assim tomar providências certeiras para alavancar os negócios. Neste momento, as organizações se descuidam de um elemento que pode ou poderá causar danos consideráveis à estrutura empresarial, às vezes tão cara e cuidadosamente concebida: o capital humano.
Refiro-me ao funcionário ou colaborador interno, que deve ser visto como cliente primário, primordial e não menos importante do que todos os que fazem parte do cenário da organização, incluindo o chamado cliente final.
Os prejuízos causados pelo descuido e a não observância de pequenos detalhes do dia a dia conduzem a hecatombes a curto, médio ou longo prazo.
Um trabalhador insatisfeito vira cruelmente alvo de sujeitos ávidos e sedentos de informações e, como consequência, a empresa fica cada vez mais vulnerável, jogando por terra todos os esforços e medidas tomadas para alcançar um objetivo.
A solução em hipótese alguma seria demitir profissional, porque estes podem surgir todos os dias e a estabilidade da empresa estaria comprometida se não conseguíssemos diminuir a rotatividade da equipe, melhorando o ambiente de trabalho.
Pessoas insatisfeitas, seja com as condições de trabalho, seja com os seus superiores, constituem um elemento frágil. Explorá-las é muito mais simples do que alguém atine a imaginar. Elas podem falar e intencionalmente prejudicar seus superiores de alguma forma.
Dados do concorrente são até legalmente acessíveis e números nem sempre falam nem condizem com realidades que só o contato com os diretamente envolvidos nos processos podem oferecer.
Existem questões do afazer cotidiano da organização, pormenores impossíveis de mensurar e que acontecem nas células motoras da empresa. É nestas áreas que opera aquele sujeito desvalorizado, que ao tempo que desempenha uma função vital, é tido como menos importante, quando de fato não o é, nem em respeito, nem em consideração e muito menos em remuneração.
Quero alertar sobre o termo remuneração que, de maneira geral, é direta e estritamente associado ao salário. Pensar assim é um erro. Existem inúmeras formas de valorizar um funcionário, mas este é tema para outra oportunidade.
O ambiente em que acontecem os processos, as pequenas falhas, os detalhes da dinâmica cotidiana da empresa, pormenores, comumente não estão escritos. Pareceres, diferentes pontos de vista, reportam significativos aportes para quem está interessado em se aproveitar de qualquer deslize.
2.2 Manipulação das fraquezas
Como todo ser social, o indivíduo ao precisar exteriorizar as mágoas, ao fazer comentários, de maneira reiterada transmitirá particularidades da sua vida para pessoas mais próximas, ou para receptores por vezes não vinculados a sua história. Os assuntos do trabalho não fugirão, pelo contrário, o lugar em que trabalhamos ocupa um espaço essencial nas nossas vidas e negar esta realidade seria condenar um resultado.
Compete a todos os envolvidos a responsabilidade pelo comportamento dos processos nos quais nos inserimos, assim como os prováveis efeitos das nossas ações.
Os manuais e procedimentos regulam como deve ser o desenvolvimento das atividades, mas as peculiaridades de cada circunstância se transformam em experiências, cujo conhecimento tem um valor inestimável. Cada um dos participantes terá a sua própria visão de um mesmo assunto, e estes ângulos podem ser muito proveitosos para quem procura informações.
Estes dados podem servir aos adversários para criar uma espécie de vantagem, se preparando melhor do que nós, sendo esta talvez a menos nociva das consequências, já que corresponde a cada um crescer cada dia mais e constantemente se superar. Mas, na realidade, sem pretender colocar o mercado como um campo de batalhas, os concorrentes poderiam usar estas informações para corroer nossas estruturas e debilitar nossas forças.
Os incapazes preferem destruir o mundo dos outros a construir o próprio. Desafortunadamente, o espaço para os inaptos não se esgota, sempre há lugar para novos entrantes.
Informações, resquícios de novos empreendimentos e vestígios de futuros direcionamentos são muito importantes. Na atualidade, o intelecto diferenciado, num mundo em que a inteligência atingiu níveis elevados e o conhecimento se dissemina a velocidades supersônicas, encontrar um "a mais" tem um valor incalculável.
Não é menos certo que os recursos estão ao alcance de todos. No entanto, a maneira de usá-los e a eficiência na aplicação das doses desejadas de cada componente da fórmula perseguida estão associadas às capacidades do homem, que está no centro do processo.
2.3 Vulnerabilidade da informação que carregamos
Os chamados invasores munem-se de técnicas, em ocasiões, bastante sofisticadas e, em outras, se valem das situações mais comuns no contato direto com as pessoas. Dessa forma, estão providos das mais básicas regras de relacionamento, fazendo um uso racional de cada ardil previamente estudado.
3. MODOS DE OPERAÇÃO
Qualquer um pode se tornar um destruidor da calma alheia. Sempre confiamos que o lado do mal terá cada vez menos adeptos, mas cabe a nós nos manter na área do bem, fortes e protegidos.
Para alguns, a engenharia social é a combinação de "espiões", que muitas vezes não se autocatalogam como tal, e de "traidores", que na maioria das ocasiões se convertem inconscientemente.
Às vezes, a confiança e a segurança transitam por caminhos diametralmente opostos. Existem pessoas que convivem com a máxima de que, na medida em que menos confiam e praticam mais a discrição, ficam ou se sentem mais seguras.
O lixo empresarial pode conter um arsenal, que faria inveja a qualquer invasor. Geralmente, rascunhos, senhas e anotações podem ser facilmente encontrados.
Vale observar que os ataques podem ser precedidos de todo um processo de estudo da vítima – costumes, hábitos e horários para estabelecer as bases da aproximação fatal.
Eles alinham as redes de contatos, criam empatias e identificações súbitas e espontâneas, chegam até a ficar íntimos. Estudam a cultura das organizações e de seus funcionários em particular.
Indiscutivelmente, a internet com seu caráter extremamente democrático, que permite a cada um ser quem quiser do outro lado do teclado, tem facilitado brincar com as debilidades humanas.
Pode parecer incrível, mas eles se apoiam em muitos casos no fator sorte e ficam a espera de descuidos ou provocando-os. Estas reflexões visam a ir um pouco além da conhecida atividade incessante de hackers e intrusos de várias categorias.
As ações no domínio da Engenharia Social enfatizam a interação humana, compreendendo habilidades de enganar pessoas para conseguir violar os procedimentos de segurança estabelecidos e obter as informações procuradas.
Por erros nas políticas empresariais, às vezes os indivíduos não têm ciência exata do valor da informação que possuem e por esta mesma razão, não se preocupam em protegê-la.
As organizações precisam investir em educar e treinar seus colaboradores. Nesta sociedade do conhecimento, em que um altíssimo percentual da atividade humana se reduz a processar informações e a informação eleva-se a um ativo cada vez mais valioso, vale a pena assumir esta linha de investimento.
A própria idiossincrasia dos humanos faz com que sejamos o elo mais vulnerável dentro de um sistema de segurança. Egos, inconformidades, anseios, necessidades de expressão, de aparecer, de reconhecimento e de socialização facilitam o trabalho dos "caçadores".
Podemos concluir que as soluções técnicas, por si só, não são suficientes para garantir a segurança da informação. É frequente ouvir nas empresas usuários reclamarem de ser "constantemente" impelidos a trocar de senha. Haja tempo!, haja paciência!.
Talvez isto aconteça em razão de o departamento de TI não ter escolhido a opção mais idônea para garantir a relativa segurança. Os motivos podem ser variados, desde escassez de recursos finaceiros até problemas de gestão.
O trabalho diário e bem estruturado com o capital humano pode minimizar a vulnerabilidade de um sistema de segurança. Explorar a ingenuidade humana é um dos meios mais eficientes de quebrar a segurança das redes.
4. CONSIDERAÇÕES GERAIS
Sobriedade e discrição podem ser treinadas. Faça um pequeno teste de autoconhecimento: suponhamos uma situação em que você vai se encontrar pela primeira vez com uma pessoa e, para o encontro, você fez uma autopreparação, definindo os assuntos a tratar e, mais do que isso, quais informações pessoais passará. Finalizado o encontro, faça o seu balanço, seja bem crítico consigo mesmo. Sempre é bom saber até que ponto podemos contar conosco e o quanto sabemos de nós.
Isto não é uma arenga ao desânimo nem uma apologia a se alienar num submundo estreito e pouco rico. É simplesmente um aviso para nos tornarmos cada vez mais inteligentes e não permitirmos a entrada impiedosa de espertos de plantão.
A palavra certa está próxima de sigilo, de segredo e de discrição, sem beirarmos a desconfiança absoluta nem atolarmos na paranóia patológica de doentes mentais.
É apenas um chamado a fazermos um compêndio de todas as posições citadas na medida certa para cada caso, acharmos um equilíbrio e sabermos que existem coisas e objetivos de vida que, infelizmente, para se conseguir, têm que ficar ocultos.
O fator surpresa não é só inerente às guerras, é aplicável também às lutas que ganhamos e que às vezes também perdemos.
5. CONCLUSÃO
Muito cuidado, mas sem neuras!
Fica em aberto o impasse sobre o que é correto e o que é inadequado. Uns poderão seguir o caminho dos que não se preocuparão, até levarem um susto, já que infelizmente ninguém costuma escarmentar por cabeça alheia. Outros adotarão o tradicional provérbio de que "o seguro morreu de velho". Do contrário, nos restará simplesmente sermos coerentes com o curso dos acontecimentos.
Para finalizar, uma dica no mínimo interessante: É bom ir perdendo o costume de responder sempre à pergunta quando alguém liga para sua casa ou para o seu celular: Quem fala? A melhor resposta seria outra pergunta: Deseja falar com quem?
Zele pelo seu espaço, não deixe os invasores entrarem para, posteriormente, se lamentar: Como ele soube que eu moro aqui? Como obteve essas informações?
Estimule as pessoas a se apresentarem, elas podem até cometer erros grosseiros por não estarem preparadas para reações imprevistas, entenda-se oferecer esclarecimentos ou responder a perguntas que não foram contempladas no espectro das possibilidades do invasor.
Fique atento a cada detalhe por pequeno que ele pareça. E agora vem a pior parte, aquilo que talvez não gostaríamos de ler, nem de ouvir ao chegarmos a esta altura da leitura. Mesmo tomando todos os cuidados aqui descritos e outros que não foram abordados no corpo do artigo, não ficaremos isentos do ataque com certa eficiência por parte dos invasores.
Contando supostamente com 100% de imunidade e proteção, a preservação não está totalmente garantida. O que sim, é certo, é que não conseguirão tudo o que se propuseram e saberão que estamos atentos. Em outras palavras, dificultaremos as intenções.
Lembre que sempre há tempo para mudanças positivas. Ser loquaz não implica ser obrigatoriamente indiscreto. Não só as palavras têm a capacidade de dizer. Será que o silêncio fala?
6. REFERÊNCIAS
[1] Wikipédia – A Enciclopédia livre.
Lino Garzón Sandoval é engenheiro de Automação da Schneider Electric e professor da Fundação Getúlio Vargas ( lino.garzon@br.schneider-electric.comEste endereço de e-mail está sendo protegido de spam, você precisa de Javascript habilitado para vê-lo ) |
De acordo com especialistas da companhia, Blaster, Code Red e outros worms de alto risco são definitivamente coisa do passado. Agora a vulnerabilidade tornou-se mais sofisticada e atua sobre todas as versões do Microsoft Internet Explorer.
