Tecnologia

Engenharia Social versus Security Officer

No artigo que publiquei aqui no Webinsider em 2008, sobre o tema da Engenharia Social, vemos hoje o quão atualizado o tema ainda vigora como cada vez mais importante, em que de fato, não “caiu de moda”.

Se formos pensar bem, entendendo corretamente conforme colocado neste artigo publicado sobre a busca por informações que o engenheiro social realiza, será um tema de certa forma eterno mesmo. Porque falamos tanto nas emblemáticas frases de efeito, “a informação é a alma do negócio”, “quem tem informação tem poder”, “a” informação transforma”, e por ai vai, que podemos contextualizar com a chamada Sociedade da Informação.

Que é um termo – também chamado de “Sociedade do Conhecimento” ou “Nova Economia” – que surgiu no fim do Século XX, com origem no termo globalização. Este tipo de sociedade encontra-se em processo de formação e expansão constantes.

E toda esta evolução em que se tem no início os dados, que se convertem em informação, para depois em conhecimento e finalmente nas tomadas de decisão, é que o engenheiro social sabe muito bem tratar e trabalhar, pois ele não subestima desde a sua essência mais primitiva. Quando ele chega ao cúmulo de “desenterrar” diversos lixos (ou um único lixo) para montar os quebra-cabeças de objetos e papeis descartados até conseguir de fato chegar na informação desejada. Agora imagine você, hoje com estas tais redes sociais ? – “Que delicia”, deve dizer o Engenheiro Social. Como minha vida hoje esta muito mais fácil. Não preciso mais ficar “surfando pelos ombros”, não preciso ficar entrando em contato telefônico e muito menos pessoalmente para pedir, capturar, absorver o que eu quero. Simplesmente esta lá. De bandeja. O nome não poderia ser mais propicio: Rede Social, para o Engenheiro Social, nesta Sociedade da Informação.

Entra então neste mundo dos negócios a Inteligência Competitiva. Veja só este simples mais direto conceito sobre ela: “Inteligência Competitiva é a atividade de coletar, analisar e aplicar, legal e eticamente, informações relativas às capacidades, vulnerabilidades e intenções dos concorrentes, ao mesmo tempo monitorando o ambiente competitivo em geral.” UAU…!!!

É de arrepiar, se formos analisar bem sua relação para com esta Sociedade da Informação, Rede Social e, sobretudo, para com o Engenheiro Social. As coisas de fato vão se encaixando perfeitamente em sua evolução e transformação.

Esta sociedade preconiza a necessidade pela informação, com graus de exigência cada vez maiores. Não basta hoje somente ter por ter a informação. É necessário saber por que ter, como manipular esta informação, quando transferir e de que forma descartar. Seja ela de cunho pessoal ou profissional. E é por isso que o Ativo da Informação tem seus diferentes valores, seja a nível qualitativo , seja a nível monetário. Mas tem.

O ser humano tem a aptidão de se adaptar e como tal, as pessoas devem ter uma atitude flexível, com conhecimentos generalistas, capazes de se formarem ao longo da vida de acordo com as suas necessidades e que dominem as Tecnologias da Informação e Comunicação (TIC). A sociedade exige da escola pessoas com uma formação ampla, especializada, com um espírito empreendedor e criativo, com o domínio de uma ou várias línguas estrangeiras, com grandes capacidades para resolução de problemas, articuladas, dinâmicas, proativas, com este espírito camaleonístico que este Engenheiro Social justamente possui.

Só que quando resgatamos o conceito acima sobre a Inteligência Competitiva, se diz: “…coletar, analisar e aplicar, legal e eticamente….”, de maneira que o Engenheiro Social não age exatamente desta forma. É onde o Security Officer deve possuir todas estas qualidades ditas acima, mas claro, fazendo o contrário do Engenheiro Social. E quando não se consegue detê-lo, não tem que se juntar a ele, mas entender no mínimo suas armas e artimanhas.

E na passagem: “…informações relativas às capacidades, vulnerabilidades e intenções dos concorrentes, ao mesmo tempo monitorando o ambiente competitivo em geral”, recai justamente ao que muitas empresasvisionárias já estão adotando a tempos, que é a inteligência da informação que utiliza mecanismos de busca e filtragem dos dados, com agentes inteligentes que darão como resultados as tomadas de decisão estratégica. Ou seja, sendo praticamente um legítimo Engenheiro Social com CNPJ e não com CPF desta vez.

“A estratégia sem tática é o caminho mais lento para a vitória. Tática sem estratégia é o ruído antes da derrota” E uma coisa é certa: O Engenheiro Social conhece muito bem esta antiga passagem de Sun Tzu: “Se você conhece o inimigo e conhece a si mesmo, não precisa temer o resultado de cem batalhas. Se você se conhece mas não conhece o inimigo, para cada vitória ganha sofrerá também uma derrota. Se você não conhece nem o inimigo nem a si mesmo, perderá todas as batalhas”.

Assim, bem como tão importante conhecer as artimanhas, conhecer também as armas deste Engenheiro Social é se antecipar aos diferentes tipos de ataque que venha sofrer.

E aqui entra agora a OSINT (Open source intelligence) como sendo a informação que foi deliberadamente descoberta, discriminada, destilada e disseminada por uma audiência selecionada, de modo a responder a uma questão específica. Esta definição é hoje consensual e, transposta para o campo da gestão, significando que a OSINT assume uma posição preponderantemente tradicional no ciclo da produção de informações, diretamente dependente da primeira linha da tomada de decisão.

Uma visão comum na população é que a OSINT é falha desde o princípio, pois não se pode confiar na maior parte das fontes públicas, como jornais, emissores de televisão ou sites na Web. Isso só torna mais aparente a necessidade do chamado pensamento crítico no tratamento de informações, ainda mais com a quantidade alta de possíveis fontes. Mas o fato é que o Engenheiro Social é um garimpeiro da informação. Por isso, que ele não fica preso tão somente às informações populares, que podem gerar duvidas de sua legitimidade. Ele sabe cruzar informações, comparar, analisar, pois já falamos de algumas de suas qualidades acima e que o Security Officer também deve possuir para contra-atacar. Mas a questão é que o Engenheiro Social considera sim a OSINT e se o Security Officer também vai ou não considerar já é um problema dele, ou da empresa que ele defende.

De qualquer forma a informação que você encontra só será tão boa e eficiente quanto as ferramentas que você usa, por isso, e com isso em mente é que o Engenheiro Social possui uma lista-base de ferramentas que se deparam ao longo dos anos, testadas e analisadas ou que tenham sido recomendados até mesmo por respeitosos especialistas de segurança da informação, pois como já dizia Sun Tzu, deve-se conhecer o inimigo, lembra?

Spokeo – Motor de buscas de pessoas e páginas encontrando telefone, endereço, e-mail e fotos. Localiza pessoas pelo nome, e-mail, endereço e telefone.
theHarvester– Esta ferramenta destina-se a ajudar os testadores de penetração(pen-testers) nos estágios iniciais do teste de penetração, a fim de entender a inserção de clientes na Internet. Também é útil para quem quer saber o que um atacante pode ver sobre a sua organização.
Foca – FOCA 3.2 Free é um fingerprint de coleta de informações como ferramenta para pentesters. Ele busca servidores, domínios, URLs e documentos públicos e imprime informações em diferentes níveis de rede. Ele também procura por vazamentos de dados, tais como metadados, listagem de diretório, métodos HTTP não seguros.
Shodan – Procura por computadores baseados em software de localização, sistema operacional, endereços IP, dentre outros.
Maltego – É uma plataforma única desenvolvida para fornecer uma imagem clara de ameaças para o ambiente que uma organização possui e opera. Vantagem é demonstrar a complexidade e a gravidade dos pontos únicos de falha, bem como as relações de confiança que existem atualmente no âmbito da sua infraestrutura.
Magia Profunda – Procure os registros de DNS e outras coisas interessantes.
Jigsaw – É uma ferramenta de prospecção usados por profissionais de vendas, marketing e recrutadores para obter oportunidades de vendas novas e precisas e informações de contato comercial.
Hoovers – Busca mais de 85 milhões de empresas em 900 segmentos da indústria; Relatórios fáceis de ler relatórios sobre seus principais concorrentes, finanças e executivos, etc..
Mercado Visual – Busca Profissionais por nome, empresa ou Título
Creepy – É uma aplicação que lhe permite reunir informações de geo-localização relacionado sobre usuários de plataformas de redes sociais e serviços de hospedagem de imagem.
Recorded Future – Ferramentas de análise de inteligência para ajudar os analistas a entender as tendências dos grandes dados e prever o que pode acontecer no futuro.
MobiStealth – Software espião secretamente monitora todas as atividades de telefonia celular e envia as informações de volta para sua conta de usuário.
Snoopy – É um monitoramento distribuído de quadro de perfil
Stalker – Ferramenta para reconstruir todo o tráfego capturado (com fio ou sem fio da mesma forma) e analisar para fora todos os “interessados” na divulgação de informação que esta sendo trafegado.
LinkedIn Mapas – Mapeia a sua rede profissional para compreender as relações entre você e suas conexões
Entidade Cube – EntityCube é um protótipo de pesquisa para explorar tecnologias de pesquisa em nível de objeto, que resume automaticamente a Web para entidades (como pessoas, locais e organizações).
TinEye – TinEye é um motor de pesquisa de imagem inversa construído por Ida © e atualmente em beta. Dê-lhe uma imagem e ele vai lhe dizer onde a imagem aparece na web.
Google Hacking DB – Google Search Consulta full para encontrar informações a fundo.
ServerSniff – Seu “canivete suíço” para a rede, serverchecks e roteamento com muitos brinquedos e ferramentas para os administradores, webmasters, desenvolvedores, usuários avançados usuários de segurança ciente, etc..
MyIPNeighbours – Permite descobrir se quaisquer outros sites (“anfitriões virtuais”) estão hospedados em um determinado servidor web.
Social Mention – É um mecanismo de pesquisa de mídia social que busca conteúdo gerado pelo usuário, tais como blogs, comentários, bookmarks, eventos, notícias, vídeos e muito mais.
Porta de vidro – Procura-emprego, salários da empresa, revisões, perguntas da entrevista, e muito mais – tudo publicado anonimamente por funcionários e candidatos a emprego.
NameCHK – Verifique se o seu nome de usuário ou url desejada ainda está disponível em dezenas de sites populares de redes sociais e de social bookmarking.
Scythe – A capacidade de testar um intervalo de endereços de e-mail (ou nomes de conta) através de uma variedade de sites (por exemplo, redes sociais, blogs, plataformas) para descobrir onde têm contas ativas.
Google Trends – Veja quais são os temas populares relacionados as pessoas e o que estão procurando.Isso vai ajudar a ampliar o escopo da pesquisa.
Alertas do Google – Alertas do Google são atualizações por e-mail dos últimos resultados relevantes do Google (web, notícias, etc) com base em suas consultas.
Addict-o-matic – Nice little agregador de busca. Permite inserir um termo de pesquisa e construir uma página de sites de busca e redes sociais.
CheckUsernames – Verifique se há nomes de usuários em todo 160 sites de redes sociais.
Whos Talkin – mídia social ferramenta de pesquisa que permite aos usuários pesquisar para conversas em torno dos temas que eles se preocupam com a maioria.
TouchGraph SEO – Java ferramenta para importar e visualizar vários tipos de dados base.
Carrot2 – Nice little motor de busca de visualização.
GlobalFileSearch – Um Search Engine FTP que pode vir a calhar.
NerdyData – motor de busca Neat que funciona no nível do código-fonte.

No site da SECTOOLS, você ainda consegue encontrar ferramentas diversas e especificas para o uso da engenharia social em que o Security Officer e demais estudiosos do assunto podem avaliar: http://sectools.org/tool/socialengineeringtoolkit/

Além do download do SET – Social Engineer Toolkit: https://github.com/trustedsec/social-engineer-toolkit/ [Webinsider]

…………………………

Leia também:

…………………………