Ep. 05 Segurança Cibernética - Aspectos não óbvios e conclusão

Salve, pessoal!

Nos quatro primeiros posts dessa série tratamos da "visão clássica" da segurança cibernética. Na minha experiência pessoal, a maioria das pessoas associa o tema ao clichê propagado pelos filmes, onde um Hacker invade seu computador e a partir daí passa a roubar seus dados e/ou recursos.

No mundo real, entretanto, as coisas tendem a ser diferentes. Os ataques que mencionei anteriormente são realizados "no atacado" e, por serem bem conhecidos e documentados, logram êxito majoritariamente entre usuário muito despreparados. Quem toma as precauções básicas que eu listei aqui reduz enormemente as chances de ocorrência.

Quando o alvo é compensatório (i.e. pessoas que postam seus fechamentos mensais de 7 dígitos), é razoável supor que a pessoa possua bom nível de instrução e que tome cuidados acima da média da população. Isso demanda do atacante um esforço maior, abordando aspectos não-óbvios da segurança.

Aqui estamos entrando em uma zona de intersecção entre segurança e inteligência cibernética. O domínio da Segurança é mais técnico e tem suas tarefas executadas em "tempo de paz". A inteligência já pressupõe um trabalho de campo, lançando mão de condutas ativas e passivas e depende muito mais da habilidade social/humana do que do preparo técnico em computação.

Uma ação dessa natureza inicia-se com o que se chama de Information Gathering (reunião de informações) Esta fase normalmente utiliza massivamente fontes abertas da internet. Pesquisar pelo nome da pessoa entre aspas (i.e. "fulano de tal da silva") pode retornar uma quantidade incrível de informações. Buscar apenas pelo sobrenome ("de tal da silva") pode apresentar uma verdadeira árvore genealógica.
Resultado de imagem para google hacking

Experimente um pouco de "google hacking" (utilizar os parâmetros avançados de busca no google)  com seu próprio nome... tente "meu nome" + filetype:pdf  ou "meu nome" + site:.gov.br ou "meu nome" + intext: CEP (ou endereço, cônjuge, etc.) . Talvez você se surpreenda. No mínimo será divertido.

A situação se agrava se você é funcionário público, pois a transparência exigida em todos os seus atos administrativos (transferências, lotações, requerimentos, etc.) consta nos Diários Oficiais da sua esfera. Quem se expõe em demasia nas redes sociais também amplia a superfície de ataque.

Se você tiver um domínio em seu nome, o comando "whois" presta informações pessoais bastantes completas. Tem empresa no seu nome? Fez concurso público? Deu entrevista para o jornal online da academia? Tudo isso fica indexado por um longo tempo.

"Mas AdV, se são dados públicos... qual o problema?" 

Com os dados em si, pouco ou nenhum. O problema está no que se chama de profiling, ou seja, na possibilidade de um eventual atacante passar a te conhecer bem. Isso serve para customizar os ataques e aumentar a chance de sucesso. Citarei dois casos:

Caso 1. Funcionário público de 30 e poucos anos, recém divorciado: o colega em questão possui excelente patrimônio e não faz questão de esconder isso de ninguém. Assim que se separou utilizou as redes sociais para publicar um textão de desabafo. Nas semanas seguintes passou a ser seguido em redes sociais pelo perfil de uma mulher atraente, com quem começou a conversar com frequência até topar "conhecê-la" por uma vídeo-chamada... empolgou-se durante a conversa e... na semana seguinte já estava sendo extorquido. Ou ele pagava o valor pedido, ou a gravação da "conversa" com a moça seria espalhada na sua repartição, entre a sua família. Após pagar, foi informado de que já estava sendo monitorado há algum tempo e que a extorsão não pararia por ali.

Caso 2. Executivo de empresa privada: profissional com boa consciência situacional de segurança, sem redes sociais, low profile. Era colecionador de uma classe específica de objetos, digamos aqui que eram selos postais. Ele fez um anúncio em um site especializado usando seu e-mail pessoal, algo como "quem tiver o selo tal, mande uma mensagem para fulanodasilva@meuprovedor.com". Algum tempo depois, um suposto vendedor apareceu e encaminhou um arquivo pdf com as informações do selo. Empolgado com a oferta nosso amigo abriu o pdf em seu notebook pessoal. Pronto... máquina infectada. 

Os exemplos são infinitos e limitados apenas à criatividade e à determinação do atacante. Pensar fora da caixa é um pré-requisito para esse tipo de "emprego" e é importante jamais subestimar a capacidade dessas pessoas e a qualidades dos ardis utilizados.

Concluindo, eu gostaria de sugerir que você também se preocupe com os aspectos não-óbvios da segurança cibernética da mesma forma como se preocupa com as contra-medidas clássicas. Publique o mínimo possível, mantenha reserva de todos os assuntos que não são do interesse direto  de um dado público (princípio da necessidade de conhecer), tome cuidado com o seu digital footprint.

Não é necessária uma conduta neurótica a la Jack Bauer, mas o mínimo de contrainteligência é essencial para a vida.

Forte abraço a todos!


Comentários

Postar um comentário

Postagens mais visitadas deste blog

Ep. 04 Segurança Cibernética - Cenário nacional e dicas de prevenção

Imagem
Salve, pessoal! Nos primeiros posts, vimos alguns detalhes sobre como o Risco Cibernético pode ter impacto relevante na sua IF e demos um rápido overview sobre como as fraudes ocorrem. Agora vamos ao que provavelmente mais interessa: Como se prevenir. Antes de passar ao core  do post, é preciso fazer mais uma rápida contextualização. Por diversos motivos relacionados principalmente ao custo Brasil, os bancos nacionais investiram pesadamente em  Internet Banking  no início dos anos 2000. Isso conferiu ao Brasil uma larga dianteira em comparação ao restante do mundo quando analisados os aspectos capilaridade e diversidade. Durante os últimos dez anos, fomos reconhecidos como uma referência no desenvolvimento e implementação de produtos de banco eletrônico .  Alguém que já tenha morado nos EUA ou Europa sabe que até hoje existem alguns serviços bancários que são feitos apenas presencialmente ou pelos correios. Esse movimento fomentou a criação de uma "Jaboticaba
Leia mais

Ep. 02 Segurança Cibernética - Como ocorrem as fraudes?

Dando sequência a nossa série, passo a explicar como acontecem as fraudes eletrônicas, citando alguns exemplos. É importante ter em mente que existem diferentes níveis de ataque, começando por ataques genéricos, distribuídos quase que a esmo pela internet e culminando em campanhas focadas em grupos ou mesmo em indivíduos. Como o assunto é árido, bastante técnico e complexo, vou tentar simplificar as coisas o máximo que puder. Começarei dos Golpes mais óbvios e genéricos e irei avançando pelo critério da complexidade. 1. " Phishing Scam " A palavra phishing surgiu da contração das palavras " password phishing ", numa tradução livre, "pesca de senhas". Esse tipo de ataque é baseado no que se convencionou chamar de  Engenharia Social , técnica que explora as fragilidades do ser humano (vaidade, ganância, curiosidade, etc.) para a obtenção de informações. O exemplo mais clássico são aqueles e-mails que você recebe avisando que a "sua
Leia mais

Geoarbitragem - Proposta de um método objetivo

Imagem
Grandes amigos, bom dia! Geoarbitrage (geoarbitragem em pt-BR) é um conceito usado para descrever situações onde o aspecto geográfico assume papel preponderante na tomada de uma dada decisão. O termo foi abordado pelo Tim Ferris em seu clássico "Trabalhe 4 horas por semana" e passou a ser buzzword na época em que o estilo de vida "nômade digital" virou moda. No contexto financeiro e de qualidade de vida, a geoarbitragem é uma habilidade que precisa ser desenvolvida por quem almeja atingir algum estágio de liberdade financeira, notadamente para quem já está chegando na fase de desaceleração. Tenho alguma experiência nisso. Por conta da carreira, já precisei mudar de cidade dentro do Brasil quase uma dezena de vezes e, pelo menos para mim, os meses que antecedem as decisões sobre " se " e " para onde " mudar são sempre períodos de grande agitação. Quem já foi confrontado com esse dilema sabe bem como fica nossa cabeça. Ao longo dos d
Leia mais