O texto assinado por Moura[1,2], e publicado em duas partes na revista Linux Magazine nº 37[1] e nº 38[2], respectivamente em Dezembro/2007 e Janeiro/2008, encontra-se disponível gratuitamente para leitura por assinantes e não-assinantes da revista em seu website oficial na Internet e trata de um assunto que entrou em moda com a popularização dos sistemas de e-mail, a “engenharia social”.
De acordo com a definição dada pelo CGI.Br, na seção 4 de sua Cartilha de Segurança para Internet [3], e que também é de senso comum entre vários autores – embora com algumas variações -, Engenharia Social é um método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações.
Descrição do Assunto e apreciação crítica
O autor do artigo aborda um assunto delicado e complexo de se tratar, mostrando que segurança de informação não depende apenas dos administradores de sistema, mas também dos proprietários e usuários dos dados gerados por estes. Como o próprio autor diz ” … existe um imenso risco de segurança que não é devidamente tratado nas companhias: as pessoas.“, tal afirmação encontra-se em acordo com o que afirmam Popper & Brignoli[4] que atribuem isto ao aspecto psicológico deste tipo de ataque.
No trabalho de cunho educativo o autor apresenta sugestões para melhoria da segurança com relação a este problema, baseado em oito perguntas chaves, como segue:
- Como as pessoas identificam as outras dentro da empresa?
- Qual o tratamento dado às informações sensíveis dentro da empresa?
- Existe uma checagem do que é gravado em mídias removíveis pelos usuários?
- como são ministrados e repetidos os treinamentos sobre segurança da informação para os colaboradores?
- Os procedimentos técnicos que precisam de interação dos usuários são claros e conhecidos?
- Os colaboradores são orientados quanto aos assuntos que não devem ser discutidos os referenciados em espaços públicos (tanto o mundo físico quanto a Internet)?
- Qual a destinação de componentes eletrônicos (discos rígidos, computadores completos, unidades de fita e fitas magnéticas) que não são mais úteis à empresa?
- Como as pessoas deixam suas mesas ao sair do trabalho ?
Cada uma destas perguntas – que correspondem a uma seção do artigo – é seguida de uma explanação do assunto com algum exemplo a respeito do tópico. Embora não haja sugestões de melhorias que poderiam ser aplicadas para evitar ou pelo menos minimizar os problemas, as explicações são claras o bastante para que se entenda a sua importância e sirva de ponto de partida para uma revisão nas políticas de segurança da empresa.
O autor ainda conclui nestes comentários, de maneira bastante enfática, a importância do treinamento do pessoal (o que também é alertado por Voltan Junior[5] e Silva Filho[6]), mas alertando sobre o risco de fazer um treinamento com abordagem excessivamente técnica, que poderia afugentar os usuários; muito fantasiosas, que poderia levar o usuário a desacreditar que o assunto seja um caso risco real; ou mesmo causar medo nos usuários criando-se assim uma paranóia que poderia ser tão perigoso quanto a descrença total no assunto.
Considerações Finais
Comparando este artigo com outros sobre o mesmo assunto, notamos a que autor não cita as técnicas usadas pelos criminosos, nem a justificativa que leva este tipo de ataque a ser quase sempre bem sucedido, muito menos o seu objetivo. Informações estas que foram muito bem comentadas pelos demais autores já citados [4,5,6,7] e portanto são de leitura recomendada para quem quer entender melhor sobre o assunto. Em especial o artigo de Popper & Brignoli[4] vai além destes conceitos e apresenta, entre outras informações, uma tabela elucidativa com uma breve relação de áreas de risco associada com as táticas mais comuns de ataque e ainda uma sugestão de estratégia de combate além de formas de prevenção e outras informações que são imprescindíveis para o especialista em segurança de redes que queira e/ou precise melhorar suas políticas de segurança.
Referências bibliográficas
[1] MOURA, Eduardo. O lado Analógico da Segurança digital. Linux Magazine. edição nº 37, Dez-2007, pág. 64-65. Disponível em <http://www.linuxmagazine.com.br/images/uploads/pdf_aberto/LM37_Politicas_de_seguranca.pdf>. Acessado em 02-05-2009.
[2] _____. O lado Analógico da Segurança digital, parte 2. Linux Magazine. edição nº 38, Jan-2008, pág. 64-65. Disponível em <http://www.linuxmagazine.com.br/images/uploads/pdf_aberto/LM38_politicasseguranca.pdf>. Acessado em 02-05-2009.
[3] CERT.Br – Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil. Cartilha de Segurança para Internet. Jul. 2007. Disponível em: <http://cartilha.cert.br/>. Acessado em: 05-05-2009.
[4] POPER, Marcos Antonio, BRIGNOLI, Juliano Tonizetti. Engenharia Social – Um perigo Eminente. Jul. 2004. Disponível em <http://fabricio.unis.edu.br/SI/Eng_Social.pdf>. Acessado em 06-05-2009.
[5] VOLTAN JUNIOR, Guilherme. Entendendo o que é Engenharia Social. Dez. 2006. Disponível em <http://www.vivaolinux.com.br/artigo/Entendendo-o-que-e-Engenharia-Social/?pagina=1>. Acessado em 06-05-2009.
[6] SILVA FILHO, Antônio Mendes da. Entendendo e Evitando a Engenharia Social: Protegendo Sistemas e Informações. Revista Espaço Acadêmico. nº 43. Dez. 2004. Disponível em <http://www.espacoacademico.com.br/043/43amsf.htm>. Acessado em 06-05-2009.
[7] Invasão.com. Engenharia Social. Disponível em <http://www.invasao.com.br/2008/02/29/engenharia-social>. Acessado em 06-05-2009.