SOAES: Sistema Orientador dos Ataques
de Engenharia Social
Mário César P.Peixoto -
[email protected]
Resumo
Este sistema proporciona de forma aplicável, o conhecimento de estudos
realizados e colhidos sobre os ataques existentes da Engenharia Social,
mediante opiniões, relatos, entrevistas e pesquisas.Algumas técnicas são
retratadas pelo SOAES, provenientes aos ataques que a suposta vítima pode
sofrer.E em detrimento à falta de conscientização e orientação é posto em
risco o valor-ativo do conhecimento, chamado informação.Que pode custar
muito caro, se de forma deliberada for expostas informações ditas privadas,
confidenciais.Para tanto o objetivo é realizar a disseminação do
conhecimento das técnicas e artimanhas utilizadas pelo suposto engenheiro
social, promovendo uma melhor orientação, com uma análise superficial e
probabilística da pessoa ter sido vitima da engenharia social.
Abstract
This system provides of applicable form, the knowledge of carried
through studies and harvested on the existing attacks of Social
Engineering, by means of opinions, stories, interviews and search. This
techniques are portraied by the SOAES, proceeding to the attacks that the
supposed victim can to occur, and in detriment to the awareness lack and
orientation is rank in risk the value-asset of the knowledge, called
information.Can cost very expensive, if of deliberate form it will be
displayed said information private, confidencial.For in such a way the
objective is to carry through the dissemination of the knowledge of the
techniques and cunnings used for the presumption social engineer, promoting
one better orientation, with a superficial and probabilist analysis of the
person to have been people of social engineering.
Palavras – chave: Inteligência Artificial, Segurança das informações,
Técnicas, Auto – preparação.
Introdução
De acordo com estudos realizados e alguns levantamentos baseados em
pesquisas apuradas com diversos especialistas da área, a engenharia social
é um perigo eminente. Sem dúvida ela passa deixar de ser apenas uma
tendência e vem a ser uma realidade cada vez mais concreta de que na
dúvida: desconfie!
. Parece estar "virando moda" atualmente a chamada engenharia social.
Cada vez mais evidente as ameaças que são noticiadas, mostra-nos a
fragilidade com que as Organizações se encontram perante esta nova tónica,
onde a melhor prevenção é o treinamento dos funcionários, fortalecendo
condutas, hábitos e políticas flexíveis no regimento de como conscientizar,
mas não deixar de praticar as boas práticas.
Os recursos aos quais podem ser aplicados pelo(a) designado(a)
"engenheiro(a) social" são inúmeros, e detêm às vezes de uma criatividade
sublime. Por isso a faz ser apoiada por um "tripé" englobando: técnica,
ciência e arte. Para entender a engenharia social é simples: seja humano.
Para viver a engenharia social: esteja em uma sociedade. Para solucionar os
problemas advindos da engenharia social: Esqueça! Com ou sem meios
tecnológicos o máximo que conseguiríamos seria "atrofiar" seus impactos,
diminuindo as estatísticas de ataques sofridos. Mas já é algo.
E mantendo esta esperança é que surgiu a idéia de construir um sistema
especialista em detectar/orientar ataques baseados na engenharia social.
Sabe-se que um bom e eficiente sistema deveria conter algumas centenas
de regras para conseguir atingir com uma precisão quase que perfeita a
solução do determinado problema. O que se propõe seria realmente um
"esboço" daquilo ao qual desejaria chegar. Justamente por se tratar de um
sistema especialista que se alimenta de regras, variáveis, objetivos, para
assim poder chegar com maior precisão naquilo que se deseja, é que
condicionalmente ainda se encontra limitado o sistema em si. Mas ressalva-
se que o mesmo já possibilita reais condições de orientar o usuário quanto
a alguns ataques pertinentes à engenharia social promovendo assim uma
melhor orientação e entendimento.Tal sistema foi batizado como SOAES –
Sistema Orientador dos Ataques de Engenharia Social. Onde o intuito é cada
vez mais ampliar estas regras, variáveis e objetivos para que se consiga um
sistema mais inteligente.
Desenvolvimento
O SOAES foi desenvolvido com o Expert SINTA que é uma ferramenta
computacional que utiliza técnicas de Inteligência Artificial para geração
automática de sistemas especialistas. Esta ferramenta utiliza um modelo de
representação do conhecimento baseado em regras de produção e
probabilidades. Tem como objetivo principal simplificar o trabalho de
implementação de sistemas especialistas através do uso de uma máquina de
inferência compartilhada, da construção automática de telas e menus, do
tratamento probabilístico das regras de produção e da utilização de
explicações sensíveis ao contexto da base de conhecimento modelada. Um
sistema especialista baseado em tal tipo de modelo é bastante útil em
problemas de classificação. O usuário responde a uma seqüência de menus, e
o sistema encarregar-se-á de fornecer respostas que se encaixem no quadro
apontado pelo usuário.
A essência básica para o princípio de construção se dá em começar pela
formação das variáveis e seus respectivos valores que nada mais é a
"semente" que encadeará todo processo de formação das idéias que se propõe
para formação sintetizada do conjunto de regras. Sabendo-se que a
modularidade de um sistema baseado em regras, permite a construção passo –
a – passo da base de conhecimento, sendo possível realizar vários testes
com apenas um subconjunto de regras concluído. Outro fator importante são
os chamados objetivos, nos quais são os encarregados de encontrar uma
resposta para determinado problema. Outro ponto relevante a ser destacado é
que como todo sistema que se comunica com o usuário final, deverá conter
uma interface. Onde o mesmo estará interagindo com menus de múltipla
escolha(ou escolha simples se for valor único).
Ao começar interagir com a interface de perguntas propostas, tendo o
usuário que optar pelo "sim" ou pelo "não", irá deparar-se com o grau de
confiança, que é uma porcentagem indicando a confiabilidade daquela
conclusão específica da regra. O grau de confiança varia de 0% a 100%. Esta
definição do valor do grau de confiança é perante a "certeza" na qual você
tem em relação à resposta dada (sim ou não). Sendo que por se tratar de um
sistema de inteligência artificial, de acordo com as respostas escolhidas e
seu respectivo grau de confiança, o SOAES encaminhará o usuário a alguns
tipos de perguntas de acordo com o que se define na resposta, ou seja; não
é garantido de que todos usuários responderam as mesmas quantidades e tipos
de perguntas que um outro se deparou.
Ao realizarmos uma consulta com determinado especialista em alguma
área do conhecimento, tal profissional lhe repassa diagnósticos, receitas,
idéias, soluções baseadas em sua experiência e conhecimento adquirido.
Partindo –se da premissa de que o conhecimento humano não é determinístico,
entende-se que não haverá certeza absoluta de que a resposta dada pelo
especialista será considerada como a solução definitiva. Talvez um dos
desafios mais complexos, seja a representação da confiabilidade das
informações, onde:
Especialistas humanos não se sentem confortáveis em pensar em
termos de probabilidade. Suas estimativas não precisam
corresponder àquelas definidas matematicamente;
Tratamentos rigorosamente matemáticos de probabilidade utilizam
informações nem sempre disponíveis ou simplificações que não são
claramente justificáveis em aplicações práticas.
Contudo há duas correntes de pensamento que primam por fórmulas
estatísticas com teoria das probabilidades e outra que utiliza o foco
voltado à teoria das possibilidades sobre os fatores de certeza. O Expert
SINTA utiliza atualmente uma abordagem possibilista.
Vejamos agora os ataques que podem ser orientados pelo SOAES:
1. Personificação - pessoalmente
2. Personificação - telefone ou voip(voz sobre IP )
3. Personificação - chat
4. Internet - sites
5. Internet - ftp
6. Internet - e-mail
7. Intranet - acesso remoto
8. Fax
9. Cartas/correspondências
10. Spyware
11. Lixo
12. Surfar pelos ombros
Seria muita pretensão dizer que todos os tipos de ataque que o
engenheiro social realiza está contido a estes que são orientados pelo
SOAES. Fazendo uma analogia seria dizer que não mais existiriam novas
doenças à humanidade para serem combatidas.
Como complemento ao entendimento do sistema, a tabela – SOAES explica
de forma sucinta, o que vem a ser cada tipo de ataque:
"TIPOS DE ATAQUE "CARACTERÍSTICAS "
" "O engenheiro social faz-se passar por"
" "alguém que na verdade ele não é. "
" "Adota toda uma encenação; e como um "
" "verdadeiro artista busca manipular a "
" "vítima de forma a ser bastante "
" "convincente no que diz. Esse tipo de "
"Personificação – pessoalmente "ataque ganha mais força quando o "
" "atacante, já conhece literalmente o "
" "território ao qual vai pisar, mas, "
" "sobretudo já tem consigo informações "
" "que lhe conferem subsídios para "
" "persuadir a vítima, valendo-se às "
" "vezes até mesmo de informações ditas "
" "como confidenciais. "
" "Alguns recursos a favor do engenheiro"
" "social seriam: a sedução, a "
" "intimidação, a dramaticidade, a "
" "credibilidade. "
" "O mesmo que se emprega na "
" "personificação – pessoalmente, mas "
"Personificação – telefone ou voip"via telefone, ou voz sobre IP "
" " "
" " "
" "O mesmo que se emprega na "
" "personificação – pessoalmente, mas "
" "via chats; os chamados canais de "
" "bate-papo, programas que permitem "
" "contato direto entre usuários que "
" "estão ao mesmo tempo conectados à "
"Personificação – chat "internet.(irc;messenger;icq). Valendo"
" "ressaltar também os chamados "
" "irc-bots, "robôs" que com técnicas de"
" "inteligência artificial conversam com"
" "você como se fosse um humano do outro"
" "lado. Muito bom inclusive para "
" "armazenar algumas informações "
" "disponibilizadas por você durante o "
" "suposto bate-papo. "
" "Está on-line? Então bem vindo às "
" "novas chances de sofrer um ataque da "
" "engenharia social. Os sites clonados,"
"Internet – sites "são uma boa armadilha utilizada. "
" "Sites que não possuem certificado de "
" "segurança atualizados(cadeado)no caso"
" "de bancos;downloads de arquivos em "
" "sites desconhecidos ou suspeitos; "
" "preenchimento de formulários onde se "
" "forneça alguns dados são sempre "
" "ótimas "ferramentas" para o "
" "engenheiro social.Não se esquecendo "
" "também de sites que são considerados "
" "para diversão, com jogos para serem "
" "baixados, ou até mesmo sites de "
" "encontro, ou os chamados "social "
" "networking", com listas de amigos ou "
" "comunidades e coisas do gênero, "
" "ótimos para coleta de informações. "
" "Para não deixar de frisar, como parte"
" "integrante do mundo on-line, é uma "
"Internet – ftp "forma do engenheiro social "armar a "
" "arapuca" e fazer com que a "ingênua" "
" "disponibilização de arquivos "
" "aparentemente inofensivos seja "
" "traiçoeira. "
" "Com o aumento cada vez mais "
" "significativo da inclusão digital, "
" "onde as facilidades em se ter um "
" "e-mail gratuito é hoje algo natural e"
" "de fácil acesso, não é de se espantar"
"Internet – e-mail "a chegada exorbitante de e-mails "
" "postados de uma origem desconhecida "
" "em nossa caixa de entrada. "
" "O perigo iminente esta em: abrir "
" "estes e-mails que parecem ser "
" "inofensivos; ou seja, não fazer a "
" "conferência correta, reconhecendo "
" "realmente a procedência, assim como "
" "os anexos inseridos e supostos links "
" "oferecidos para levar-lhe a "
" "determinado site. "
" "Sofrer ataques a partir de sua rede "
" "interna é algo extremamente possível "
" "de acontecer. Como por exemplo, por "
"Intranet – Acesso remoto "acesso remoto, capturando-se o micro "
" "de determinado usuário da rede e se "
" "passando por alguém que na verdade "
" "não é. Pois como sabemos o "
" "funcionário insatisfeito é uma das "
" "maiores ameaças existentes. "
" " "
" " "
" " "
" "Primeiramente obter o número do fax "
" "da pessoa física ou jurídica para que"
" "se possa começar o ataque. Seguindo "
" "praticamente os mesmos princípios do "
"Fax "e-mail, enviando por exemplo pedidos "
" "de requisição, formulários de "
" "preenchimento, dentre outros, para "
" "posterior retorno do que deseja-se "
" "obter. E olha que atualmente não há a"
" "necessidade propriamente dita de se "
" "ter um aparelho de fax. Pois existem "
" "os chamados internet-fax onde se tem "
" "servidores exclusivos para este fim. "
" "Quem disse que em meio a estes "
" "ataques virtuais, sofisticados e "
" "futuristas as cartas(correspondências"
" "recebidas) são consideradas como algo"
" "obsoleto pela engenharia "
"Cartas/correspondência "social?Geralmente o perfil da suposta"
" "vítima que sofrera este tipo de "
" "ataque além das empresas, são os "
" "idosos ou aquelas pessoas que detêm "
" "resistência aos meios tecnológicos, "
" "ou o não conhecimento. A criação de "
" "correspondências falsas, com "
" "perfeitas logomarcas, texto bem feito"
" "e convincente com até mesmo "
" "assinaturas que parecem ser "
" "autênticas, oferecendo sobretudo a "
" "postagem de volta paga, fazem com que"
" "este artifício tenha credibilidades "
" "suficientes para convencer/enganar a "
" "vítima. "
" "Programa especializado para monitorar"
" "de forma oculta as atividades em "
" "determinada máquina. É hoje um grande"
"Spyware "aliado do engenheiro social na "
" "captura de informações.Tenha sempre "
" "atualizado seu anti-virus; obtenha "
" "também programas anti-spams, "
" "anti-addwares e anti-spywares. Muito "
" "deles gratuitos e suficientes para ao"
" "menos detectar que sua máquina esta "
" "infectada. "
" "Acredite, mas o lixo é outra forma, "
" "muito poderosa, diga-se de passagem, "
" "à incessante busca de informações do "
" "engenheiro social. Crie o hábito de "
"Lixo "estar sempre picotando seu lixo, "
" "preferencialmente em diferentes "
" "lixeiras. Mídias digitais, como "
" "disquetes e cd's devem ser quebrados,"
" "sendo completamente "
" "inutilizáveis.Esvazie também a "
" "lixeira virtual, aquela do Sistema "
" "Operacional. "
" "A velha e conhecida forma de "
"Surfar pelos ombros "conseguir descobrir as senhas ou "
" "nomes de usuários, olhando por de "
" "trás da pessoa, é algo também muito "
" "utilizado pelos engenheiros sociais "
" "espalhados por ai. Fique atento "
" "quando estiver digitando suas senhas "
" "em lugares públicos ou onde esteja "
" "havendo um bom movimento de pessoas. "
Resultados práticos
Foi realizado testes em setores distintos de uma determinada
Organização, onde alguns funcionários responderam as questões do sistema
SOAES, podendo-se assim chegar aos resultados de suspeita de ataque e
ataque. Com posse dos resultados obtidos, foi possível realizar uma análise
criteriosa das ameaças que mais estariam em evidência dentro daquilo que o
SOAES considera como ataque de engenharia social. Vejamos então o que fora
constatado:
"Quantidade de setores avaliados "12 "
"Quantidade de funcionários "18 "
"analisados " "
"Tipos de Ataque "Quantidade Total"Média do Grau de"
" " "Confiança "
"Personificação – "12 "37,70% "
"pessoalmente " " "
"Personificação – telefone" " "
"ou voip; "11 "28,71% "
"Personificação – chat " " "
"Surfar pelos ombros "7 "23,57% "
"Spyware "6 "36,75% "
"Nenhuma suspeita "3 "- "
"Intranet – acesso remoto;"2 "52,50% "
"Cartas - correspondências" "85,0% "
"Internet –sites; " "60,0% "
"Internet – e-mail; "1 "- "
"Fax " "50,0% "
"Internet – ftp; "0 "- "
"Lixo " "- "
"Tipos de Ataque "Quantidade Total"Média do Grau de"
" " "Confiança "
"Internet – e-mail "16 "96,88% "
"Personificação – telefone"12 "84,45% "
"ou voip " " "
"Intranet – acesso remoto "11 "84,54% "
"Internet – sites "10 "91,81% "
"Lixo " "80,0% "
"Personificação – "9 "85,89% "
"pessoalmente; " "89,11% "
"Personificação – chat " " "
"Spyware "7 "80,0% "
"Internet – ftp "4 "82,5% "
"Surfar pelos ombros "3 "73,33% "
"Cartas – correspondências"1 "100% "
"Fax "0 "0% "
"Tipos de Ataque "Quantidade Total"
"Personificação – telefone"23 "
"ou voip " "
"Personificação – "21 "
"pessoalmente " "
"Personificação – chat "20 "
" Internet – e-mail "17 "
"Intranet – acesso remoto "13 "
"Spyware " "
"Internet – sites "11 "
"Surfar pelos ombros "10 "
"Lixo " "
"Internet – ftp "4 "
"Cartas – correspondências"3 "
"Fax "1 "
Conclusão
Pelo que foi apresentado é considerável que sejamos como o engenheiro
social: audacioso. E com a ajuda dos detentores do fazer bem pelo bem, os
chamados chefes de segurança podem fazer com que os ataques da engenharia
social sejam literalmente inibidas ao ponto de forçar a criarem novas
alternativas de ataque, mediante ao "cerco fechado" que se impusera aos
recursos que detinha e não mais são eficientes. Por isso exige-se uma
constante dedicação em busca de soluções que minimizem tais ameaças, onde
com certeza perpetuar-se-á por muito tempo ainda. Mas na esperança de
diminuir os riscos e aumentar as dificuldades para este "mestre articulador
da persuasão humana" é que haverá com certeza os disseminadores e
inovadores de ferramentas, recursos e possibilidades para esta luta, que
parece ser uma guerra sem fim.
Como já dizia Seymour Papert: "Espero que o computador jamais seja
capaz de pensar como nós, porque temos a vontade política e social de
impedir isso". Talvez contradizendo esta vontade é que com todo tipo de
recurso mais sofisticado, evoluído e inteligente em âmbito tecnológico é
que podemos chegar perto de soluções que venham a exigir vencer a
criatividade do homem, mas nunca ao certo vencê-la.
Portanto, segue como idéia, a implementação de quiosques
automatizados com sistemas do SOAES em shoppings, instituições de ensino,
eventos e empresas de diversos setores de segmento para ajudar a disseminar
maiores conhecimentos sobre as técnicas de engenharia social, a seus
funcionários e ao público em geral. Fazendo com que o raio de conhecimento
perante esta "nova" ameaça seja ampliado e fixado na mente de cada um, a
fim de evitar desagradáveis surpresas.
Referências
[ Laboratório de Inteligência Artificial, LIA: http://www.lia.ufc.br/
]
[ MITNICK, Kevin D.; SIMON, William L. A arte de enganar: ataques de
hackers: controlando o fator humano na segurança da informação. São
Paulo: Pearson Education, 2003.]
-----------------------
Suspeita de Ataque
Ataques
Ataques + Suspeitas de ataque
Média do número de suspeita de ataques por pessoa
MÉDIA TOTAL = 3,0 suspeitas de ataque por pessoa
Média do número de ataques por pessoa
MÉDIA TOTAL = 4,8 ataques sofridos por pessoa
-----------------------
Faculdade Cenecista de Varginha/MG
www.faceca.br (35) 3221-2999
3O Encontro Científico da CNEC/FACECA – Julho/2005
