Segurança da informação

A transformação digital vem trazendo muitas vantagens competitivas às empresas, como a otimização de gastos, agilização de processos e maior controle de dados. Mas com ela vieram também novas ameaças, como: invasões, vírus, sobrecarga da rede, bloqueio de acesso, roubo/destruição/criptografia de arquivos, quedas de sistema, paralisação da operação. Existe um mapa da norsecorp que mostra uma pequena porcentagem dos ataques acontecendo em tempo real no mundo todo – existem outros sites que também mostram isso.

Figura estigmatizada pelo senso comum de um hacker. Fonte: inkmedia

Essas ameaças só podem ser combatidas com a valorização do setor de TI (tecnologia da informação) e estratégias acertadas para lidar com cada tipo de perigo. A segurança em TI é sustentada por três pilares: confidencialidade (garantir que as pessoas somente tenham acesso ao que lhes é autorizado), integridade (confiabilidade das informações) e disponibilidade (dispor acesso ao sistema no período de tempo desejado).

Várias dicas de segurança na internet estão disponíveis no link. Esse post tem como objetivo apresentar ferramentas e técnicas que podem ser utilizadas por invasores e permitir uma melhor defesa conhecendo-se um pouco mais do atacante.

Ferramentas para busca de informações

Uma pessoa que pretenda invadir um sistema (geralmente conhecido como hacker ou cracker) geralmente pensa em quatro etapas: concepção de um alvo, coletar informações para conhecer esse alvo, analisar técnicas de invasão considerando as informações coletadas e explorar o sistema. Essa exploração envolve testes em vulnerabilidades de segurança, realização de ameaça ao sistema e o ataque propriamente dito.

Por exemplo, é possível coletar muitas informações públicas de um site, sem mesmo invadi-lo. Veja algumas dessas ferramentas:

  • Whois – protocolo TCP (porta 43) específico para consultar informações de contato e DNS sobre entidades na internet (nome de domínio, um endereço IP ou um Sistema Autônomo); o registro.br e o GoDaddy dispõe de consultas por domínios registrados em seus bancos de dados.
  • Google – busca de aquivos e/ou falhas a partir do Google, dando comandos e possibilitando manipular buscas avançadas por strings, chamadas de “dorks” ou “operadores de pesquisa” (veja mais em item específico nesse post).
  • SHODAN – serviço de busca que permite encontrar computadores/servidores e dispositivos (que vão desde webcams a caixas eletrônicos) conectados à rede, coletando informações de configuração e acesso.
  • Internet Archive – versões antigas de sites (mesmo alguns que nem existem mais) podem ser encontradas nesse serviço; as paginas salvas podem conter falhas de segurança e outras dicas de vulnerabilidades
  • theharvester – ferramenta de coleta de informações de um determinado host, como relações de e-mails, subdomínios, hosts, nomes de funcionários, portas abertas, banners de diferentes fontes públicas, chaves PGP e ainda as informações mapeadas pelo SHODAN.

Google Hacking

A busca usando o Google não é diretamente na web, e sim em um banco de dados indexado (o chamado “page rank”, que dá uma pontuação para ordenar os resultados apresentados) com o conteúdo de buscas previamente realizado por robôs (conhecidos como “crawlers”). Para buscar um termo exato, deve-se colocar as palavras dentro de aspas; para excluir uma palavra dos resultados, coloque um sinal de menos na frente dessa palavra; o Google possui uma página de Busca Avançada de Texto e Busca Avançada de Imagens.

Existem também strings para buscar sequencias de texto específicas com a seguinte sintaxe:

operador:termo_de_busca

Veja alguns exemplos:

  • site – limita resultados a um site específico;
  • intitle – pesquisa no título (tag TITLE do HTML) da página (ex: “intitle:painel de acesso“);
  • inurl – pesquisa na URL do site (ex: “inurl:admin.php” para buscar páginas de administração ou “inurl:wp-content/plugins/nome_plugin” para buscar um site que possua um plugin do WordPress e depois verificar se está com uma versão desatualizada que contém uma vulnerabilidade);
  • intext – pesquisa no conteúdo do site;
  • filetype – pesquisa por formato de arquivo (pela extensão)

Você pode juntar operadores para fazer uma busca avançada, restringindo mais os resultados:

  • Buscar arquivos “.txt” em sites cuja URL termina com “.com.br” com o texto “senha” – site:com.br filetype:txt intext:senha
  • Buscar se um texto foi plagiado de um determinado site – intext:”Essa frase genial com certeza não foi escrita por mim” -site:veiaco.com
  • Buscar páginas com o texto exato “Nikola Tesla” cujo título tenha a frase “Top (X) facts”, onde X está entre 5 e 10, que não esteja no youtube e que a URL contenha “2015” – “nikola tesla” intitle:”top 5..10 facts” -site:youtube.com inurl:2015
  • Verificar se ainda existem páginas indexada com “http” após uma mudança para “https” – site:veiaco.com -inurl:https

Ataques de engenharia social

A engenharia social, no contexto de segurança da informação, refere-se à manipulação psicológica de pessoas para a execução de ações ou divulgar informações confidenciais. Geralmente envolve uma fase de coleta de informações (passo 1) para depois criar um pretexto para a comunicação (2) e a elicitação (criar conversa indireta sobre qualquer assunto mas que faça a vítima passar a informação) (3), finalizando com a manipulação dos dados da vítima (4).

O uso de uniforme (como de piloto de companhia área, no caso de Frank Abgnale) ou entregar um cartão de negócios falso (como no caso de Marcelo Nascimento da Rocha, que se fez passar por um piloto da Gol) trazem uma ideia de autoridade, o que faz as pessoas confiarem no impostor.

Esse mesmo raciocínio é palicado em telecomunicações (telefone, correio eletrônico, aplicativos de mensagens) para coletar informações confidenciais pessoais ou da empresa em que trabalha. Por exemplo, imagine que você receba um e-mail cujo remetente esteja escrito “Banco do Brasil – gerente” e o conteúdo, com uma assinatura igual à usada pelos funcionários do banco, tenha um pedido de que responda (ou clique em um link, ou abra um anexo) com sua senha para atualização de cadastro.

Existem ferramentas que permitem facilmente clonar um site com sua tela de login, que pode ser hospedado em algum endereço de modo que a vítima o acesse através de um link. Ao preencher com login e senha, esses dados podem ser enviar ao site verdadeiro e o login ser efetivado, mas os campos preenchidos nessa sessão do usuário são salvos no servidor da página clonada.

Como costumam ser usados vários elementos para ganhar sua confiança, isso mostra a grande necessidade de não apostar no emocional, e sim usar seu lado racional. Gatilhos mentais são as decisões que o nosso cérebro toma “no piloto automático” para evitar o nosso esgotamento diante de tantas escolhas do dia a dia. Esse assunto é muito estudado pelo marketing, para promover a escolha de compra de um produto ou serviço.

Gatilhos mentais

Por exemplo, você recebe um e-mail com uma oferta “Celular top de linha por metade do preço. Não perca essa chance, oferta vale SÓ HOJE!” A urgência dispara a necessidade de você verificar essa oferta e então você abre o e-mail. Nele, tem um link para você conferir a super oferta e se cadastrar para conseguir o aparelho. Ao enviar o cadastro, o atacante possui todas essas informações da vítima. Como geralmente as pessoas usam uma mesma senha para tudo, provavelmente a vítima colocou a mesma senha do e-mail e de outros serviços para enviar esse cadastro.

Mesmo que o site desse exemplo seja um “simples” cadastro, ele pode ser vendido/roubado para outras pessoas, que podem usar essas informações para abrir contas em serviços mais sérios (como cartões de crédito) e efetuar compras no nome dessa pessoa. Também podem usar essas informações para tentar aplicar outros golpes na mesma pessoa e atingir a empresa onde trabalha ou pessoas próximas.

O site Social Engineer possui muito material sobre o assunto. A série norte americana de televisão Mr. Robot mostra vários exemplos na ficção mas que podem acontecer na realidade também. Nela, o engenheiro de cibersegurança e hacker Elliot Aldersonque sofre de transtorno de ansiedade social e depressão clínica, e se vê numa encruzilhada quando o líder de um misterioso grupo de hackers o recruta para destruir a firma que ele é pago para proteger.