Vídeo: TEORIA DAS RELAÇÕES HUMANAS | RESOLUÇÃO DE QUESTÕES | CONCURSO PÚBLICO E INTERESSADOS (Outubro 2024)
Nos últimos cinco anos, Chris Hadnagy, Hacker Humano Chefe da Social-Engineer, Inc, realizou uma competição incomum na Def Con. Chamado Capture The Flag da Engenharia Social, desafia os concorrentes a coletar informações sobre várias empresas (bandeiras, se você desejar). Isso é engenharia social: a arte de coletar informações de alvos sem precisar invadir um prédio ou invadir uma rede.
Na primeira fase, 20 concorrentes trabalham para obter informações sobre empresas-alvo de fontes publicamente disponíveis. A última fase é uma maratona de 25 minutos de telefonemas em que os participantes bombardeiam as vítimas para obter informações. Isso varia do mundano ("Você tem uma lanchonete?") Ao crítico ("Você usa criptografia de disco?") Até o potencialmente desastroso: enganar as vítimas para visitar URLs falsos. A competição deste ano incluiu dez empresas, incluindo Apple, Boeing e General Dynamics, entre outras.
Batalha dos sexos
"Desde o início, sempre pedimos que as mulheres se juntassem", disse Hadnagy. A adoção do formato "homens versus mulheres" e a promoção ativa do papel das mulheres na competição ajudaram a trazer uma melhor paridade nos últimos dois anos. Hadnagy disse que dar mais visibilidade às mulheres no projeto era fundamental e incentivou outras a participar. "Tínhamos mais mulheres do que podíamos receber este ano", disse ele.
Como as mulheres se saíram contra os homens? "Este ano, as mulheres não apenas venceram", disse Hadnagy. "Eles destruíram homens." Três dos cinco principais slots foram para mulheres e o engenheiro social com maior pontuação teve mais de 200 pontos a mais que o próximo participante com maior pontuação.
É fácil tirar muitas conclusões desses dados, mas no que diz respeito ao sucesso das mulheres em engenharia social, Hadnagy disse que simplesmente não há informações suficientes. "Eu não acho que isso prova que as pessoas confiam nas mulheres por natureza", disse ele. "As mulheres vencedoras mostram algo, mas não temos dados que mostrem que elas eram mulheres conversando com homens".
Dito isto, as mulheres tiveram uma ampla gama de pontuações em comparação com os homens, o que foi observado no relatório final do concurso. Ele disse: "a variabilidade pode ser levantada pelo fato de serem um grupo extremamente diverso, provenientes de contextos muito diferentes e diferentes níveis de experiência". Os homens, por outro lado, tendiam a ficar na mesma faixa de pontuações com menos discrepâncias. "Embora tenhamos garantido a diversidade como um grupo, os homens tendem a ser mais homogêneos em termos de experiência e nível de experiência, e talvez isso tenha se refletido na menor variedade de pontuações".
Não tenho informações para fazer backup, mas acho que esses dados mostram a importância de incluir indivíduos de diversas origens em qualquer equipe. Mas sou só eu.
As informações já estão disponíveis
O relatório final da competição pode ser inconclusivo sobre o papel do gênero, mas é claro que uma pesquisa cuidadosa foi fundamental para os vencedores. Os participantes encontraram uma quantidade chocante de informações disponíveis gratuitamente on-line, e aqueles com pontuações mais altas nas fases de pesquisa tenderam a se sair muito melhor durante a chamada.
Em um caso, um concorrente encontrou um portal da web voltado ao público para funcionários. Embora tenha sido protegido com um login com senha, o participante descobriu que um documento de ajuda disponível ao público, fornecido pela empresa de destino, continha um nome de usuário e uma senha de trabalho como exemplo. "Estamos em 2013 e ainda estamos vendo coisas assim", disse Hadnagy.
Mas não foram necessárias grandes brechas na segurança para encontrar a maioria das informações que os concorrentes estavam buscando. Grande parte estava disponível nas mídias sociais, às vezes postadas por indivíduos que vincularam seus emails corporativos a um serviço público. Uma fonte de informação surpreendeu Hadnagy: "Myspace, acredite ou não."
Disfarces cada vez melhores
Hadnagy também observou que, além da coleta de informações de código aberto, os concorrentes também usavam pretextos muito mais complexos ao chamar empresas na fase final da competição. Nos anos anteriores, muitos concorrentes se apresentaram como participantes de pesquisas ou estudantes escrevendo relatórios. Hadnagy desencorajou ativamente essa abordagem este ano, lembrando aos concorrentes que eles provavelmente desligariam essas chamadas. "Por que alguém em um ambiente corporativo responde a essas perguntas?" Ele perguntou.
Esses pretextos são atraentes porque são mais ou menos anônimos e têm baixo risco para o chamador. Este ano, no entanto, houve mais concorrentes se apresentando como colegas de trabalho ou fornecedores que trabalham com as empresas-alvo. Enquanto carrega um risco mais inerente, Hadnagy disse que havia mais confiança inerente. "Automaticamente, os competidores eram confiáveis e recebiam informações logo de cara", disse ele.
Os pretextos dos participantes mostraram alguma divergência interessante nas linhas de gênero. Das dez mulheres, nove se retrataram como não sendo tecnicamente esclarecidas e procuravam ajuda de "colegas" de funcionários. Todos os homens da competição eram especialistas em tecnologia e, em alguns casos, CEOs.
Conheça a ameaça
Embora seja interessante refletir sobre os comos e os porquês da concorrência, o fato incontestável é que dez empresas desistiram de uma quantidade enorme de informações - por telefone ou postadas publicamente online. Embora as informações que os participantes procuravam nem sempre sejam inerentemente perigosas, elas são lidas como um primeiro passo sólido em um ataque de várias camadas. Um dia você está perguntando sobre o refeitório e no dia seguinte está solicitando logins.
Hadnagy atribui o problema à falta de conscientização dos funcionários, geralmente decorrente da falta de educação dos superiores. Treinar os funcionários a pensar criticamente sobre o que publicam on-line e o que dizem por telefone, disse Hadnagy, pode pagar com menos ataques bem-sucedidos.
Uma de suas sugestões mais intrigantes foi a de que as empresas não punem os que se apaixonam por golpes e incentivam o livre relatório de possíveis violações. Hadnagy disse ao SecurityWatch que as empresas que seguem essas práticas geralmente são melhores em lidar com essas ameaças.
Independentemente de você fazer parte de uma empresa ou apenas um indivíduo em casa, é fundamental conhecer os perigos da engenharia social. Portanto, da próxima vez que alguém ligar ou enviar um e-mail pedindo ajuda, faça algumas perguntas antes de entregar as joias da coroa.
Imagem via usuário do Flickr CGP Grey
