Temos repetido exaustivamente que as pessoas, os usuários, somos o elo mais fraco na cadeia de segurança que pode separar qualquer um dos nossos dados privados. A espionagem pessoal é baseada no axioma da segurança informática para, de uma maneira artesanal e virtualmente indetectável, coletar de nós informação útil para os seus projetos sem nosso consentimento.
Neste artigo vamos dar uma visão geral do conceito de espionagem pessoal como ferramenta cracker, as suas características, a razão para a sua eficácia e algumas precauções a tomar para evitar ser enganado por esses artesãos da espionagem psicológica e da pirataria psicológica (hacking psicológico).
Um espião em traje de gala.
À noite, aproveitando a atmosfera turbulenta de uma festa onde a elite se reúne para compartilhar luxos e segredos, ele se esgueira entre a rigorososa segurança de gala e fala com os participantes como um deles. Comportamento, tom de voz, a segurança no que ele diz, a solidariedade excessiva demonstrada para resolver os problemas dos outros, as perguntas certas e o momento certo para fazê-las o tornam alguem a quem, talvez em tom de brincadeira, até se possa confiar algum simples segredo; Missão cumprida. Vemos isso em todos os filmes de espionagem, onde a chamada espionagem pessoal é revelada contra o que as pessoas conscientemente protegem e inconscientemente podem começar a revelar.
Uma palavra, uma informação que, que para quem o menciona pode não ter importancia alguma para um especialista em espionagem pessoal pode ser a chave para abrir a caixa de Pandora da segurança pessoal e do controle das informações sensíveis. O auto-infligido rapto da nossa privacidade é, basicamente, baseado em nossa ignorância e inaptidão para as relações sociais e na capacidade da “espionagem pessoal” para aproveitá-las. Mas o que é a espionagem pessoal e como ela funciona?
Conceito.
Em poucas palavras a espionagem pessoal é um conjunto de técnicas psicológicas e habilidades sociais (como a influência, a persuasão e a sugestão) implementadas direta ou indiretamente para o usuário, para conseguir que este revele informações sensíveis ou dados úteis sem ter consciência do seu possível uso malicioso. Estas podem ser realizadas mediante o trabalho com tecnologia e com computadores ou diretamente através do tratamento pessoal. O objetivo é distrair ou tornar mais fácil o acesso aos sistemas de segurança tradicionais ao conseguir acessar informações da própria fonte mais confiável, porém mais vulnerável, o próprio protegido.
Dois modos de espionagem pessoal e um debate interno.
A título de separação, se tem falado muitas vezes de dois tipos de espionagem pessoal. Uma baseada em computadores, que se utiliza dos descuidos cometidos por usuários ao cair em armadilhas como correntes, embustes, spam, janelas pop-up e e-mails com infecções. Este tipo de denominação, pessoalmente (embora a maioria da comunidade de espionagem pessoal não goste nem um pouco), não representa o conceito de Espionagem Pessoal, a clássica; que se baseia em recursos humanos e no tratamento, geralmente direto, (mesmo com a utilização de computadores) com os dados dos afetados. Isto é uma questão de purismo quanto ao artesanato do trabalho e uma repulsa pelos modos automatizados baseados em computador (recompilação em massa e uma série dados fornecidos por spyware, trojans, etc.), mas cada técnica tem seus debates internos e este é um deles com a minha posição sobre esse assunto.
Dito isto, a espionagem pessoal que vamos discutir aqui é baseada em seres humanos, que por suas propriedades e independência tecnológica de grande escala pode ser usada, como disse um professor de EP – tanto para fazê-lo confessar algumas pistas sobre as perguntas dos testes como para obter a senha para a rede de computadores de um financiamento privado.
A psicologia como ferramenta principal.
Usando características psicológicas humanas, tais como a curiosidade (o que nos move para olhar, a responder e tocar onde não devemos), medo (ante o medo procuramos ajuda de qualquer forma ou caimos mais facilmente em armadilhas, porque não podemos raciocinar com tranquilidade), a confiança (nos sentimos seguros ao menor sinal de autoridade), a espionagem pessoal é a arte do aproveitamento de circunstâncias intencionais, mas muito também das aleatórias. É por isso que especialistas estarão atentos a qualquer erro que você comete sem você perceber. É aí que reside parte da eficácia da espionagem pessoal, porque o que você diz na frente de qualquer pessoa com quem você encontrar pode não ter qualquer relevância, mas na frente de um cracker utilizando este método, o nome do seu primo ou o que escola você assistir pode tornar-se a senha de sua caixa de email, e depois o resto de seus serviços financeiros, para citar um exemplo.
Métodos e técnicas de espionagem pessoal:
Técnicas de espionagem pessoal, no nível método de ação sobre os usuários, estão divididas em categorias que se caracterizam pelo grau de interação que se tem com a pessoa que possui a informação que se quer conseguir.
Estas podem ser técnicas passivas, que são baseadas simplesmente (o que não significa que seja fácil) na observação das ações dessa pessoa. O principal na EP é que cada caso é diferente e, portanto, cada desenvolvimento do especialista está sujeito a ambiente, natureza e contexto em que a informação se move. Ou seja, terá de se adaptar. Para isso, o primeiro passo é a observação, e isso inclui uma formação experimental de um perfil psicológico de alguém a quem se está indo abordar, conhecer o seu comportamento no computador, obter informações simples como datas de aniversários, nomes de parentes, etc. Qualquer coisa vai servir e você verá quando comentarmos um caso mais tarde.
Outras técnicas são as não-presenciais, onde através de meios tais como carta, IRC, e-mail, telefone e outros estão tentando obter informações úteis conforme a conveniência. Estes são os mais comuns e os casos mais bem sucedidos (para os crackers, é claro) mostram porque as pessoas tendem a superconfiar em informações depois de ver um texto bem escrito e com algum emblema, selo ou assinatura implementada para dar falsa legitimidade.
As técnicas presenciais não agressivas incluem o observação de pessoas, vigilância de residências, imersão em edifícios, acesso a agendas e vasculhar na lixeira (busca de informações, tais como anotações, boletos, recibos, extratos de conta, etc. no lixo do investigado).
Nos chamados métodos agressivos, o trabalho dos especialistas se torna mais intenso, e é aí que surge a suplantação de identidade (fazendo se passar por TI, serviços técnicos, pessoal de segurança, etc.), despersonalização e as mais eficazes pressões psicológicas. De acordo com especialistas em segurança, a combinação deste último grupo de técnicas junto com a exploração de 3 fatores psicológicos antes comentados sobre o afetado, podem ser altamente efetivos no trabalho cara a cara entre a vítima e o vitimizador.
Um caso de espionagem pessoal em fases.
A primeira fase, ao realizar um trabalho de espionagem pessoal artesanal, envolve uma abordagem para gerar a confiança do usuário. Isto é conseguido através de contatos onde se fazem passar por representantes técnicos de algum serviço ou mesmo através de uma apresentação formal, utilizando uma linguagem coloquial, mostrando empatia e trazendo-nos para fora de um possível estado de alerta ante o desconhecido (embora poderia muito bem ser um colega de trabalho, um amigo de um conhecido, etc.) A atenção colocada nesta etapa é essencial para capturar qualquer informação que digamos e torná-la tão valiosa.
O que vem a seguir deste recolhimento de dados básicos é a geração de uma preocupação, interesse ou necessidade na outra pessoa. Com base na sua curiosidade ou desejo, está estará consciente e inconscientemente pré-disposta a fornecer informações. A idéia do especialista será observar nossa reação e agir em conformidade com alguma técnica um pouco mais agressiva, se o dado a ser obtido tem um elevado nível de preservação.
O resto é tentativa e erro como o caso que estamos nos referindo.
Por exemplo, se um pesquisador simplesmente quer encontrar uma maneira de acessar seu e-mail, pode ser suficiente para ele saber que você tem um blog onde você escreve coisas pessoais para obter nomes de parentes, instituições e eventos importantes em sua vida e ir “correndo” ao seu login de e-mail e pedir para ser lembrado da senha porque ela foi esquecida. Se acontecer de você colocar na pergunta de segurança “Qual é o meu melhor amigo de infância,” o especialista provavelmente vai morrer de rir e vai acessar seu e-mail com as mesmas informações que você deu a ele. Se ele não conseguir desta forma, o seu trabalho não acabou e vai buscar técnicas mais agressivas ou repetir o processo para obter novas informações. Tudo isso, repito, está sujeita ao caso em que nos referimos. Se o cracker está tentando derrubar o sistema de computador de um Estado, obviamente, não vai rever os blogs pessoais dos responsáveis pela limpeza do lugar.
Eficácia da espionagem pessoal.
Como o famoso phreaker e cracker Kevin Mitnick diz, a espionagem pessoal tem 4 princípios pelos quais a sua eficácia como uma ferramenta cracker é imensurável. O primeiro é que diante de alguém que inspira o mínimo respeito ou inclusive piedade,todos queremos ajudar, por isso vamos nos mostrar sempre dispostos a dar um pouco mais do que nos é pedido. Isto nos leva ao segundo princípio, o primeiro movimento é sempre confiável para a outra pessoa, o que é auto-explicativo. O terceiro princípio explorado pelos especialistas na EP é que nós não gostamos de dizer não, isso faz com que nos mostremos menos relutantes em reter informações e questionar se estamos sendo muito paranóicos ao negar tudo e como isso afetará a impressão do outro sobre nós. O último ponto é indiscutível: Todos gostamos de ser elogiados. Se alguém conhece Dale Carnegie e seu best-seller “Como Fazer Amigos e Influenciar Pessoas” sabe ao que me refiro. Com estes princípios sociológicos aplicados em conjunto com as técnicas de EP mencionadas sobre um indivíduo que mostra a vulnerabilidade através da ignorância, despreocupação ou inexperiência, o trabalho dos engenheiros sociais torna-se não apenas eficaz, mas também indetectável, já que geralmente não deixa vestígio útil para investigação.
Saber como funciona é saber defender-se.
Devido às suas características e porque a sua principal ferramenta é a adaptação a diferentes cenários e personalidades, a espionagem pessoal é das técnicas mais complexas de evitar e é indetectável ou questionável pois lida com aspectos da psicologia que não podem ser postos em evidência factual. O que podemos fazer é apenas o que você tem feito, ler sobre como ela funciona e estar ciente das diferentes intenções, sem se tornar paranóico ou algo similar. Em geral as pessoas são boas e têm boas intenções, ou pelo menos eu quero morrer acreditando nisso.
Mas não descuide-se de tomar precauções como quando não há pessoas por perto quando vai digitar uma senha, seja mais esperto com suas senhas e, especialmente, com a forma que tem para recuperá-las ao perde-las, não anotar senhas, nem acesso ou informações sensíveis em papéis que sejam propensos a ser descartados intencionalmente ou acidentalmente. Confia em quem tem de confiar e esteja alerta para as intenções daqueles que tentam ajudar por vias perigosas. Lembre-se também que – e isto é estudado – é sempre melhor dois ou três argumentos sólidos que quinze. Não abra e-mails de desconhecidos e nunca mas nunca você vai ganhar um carro apenas por ter um telefone celular e enviar a sua identificação pessoal por ele. Lembre-se também que muitas vezes uma pesquisa em qualquer motor de busca pode levá-lo a conhecer o perigo ou não de um e-mail, uma oferta ou uma sugestão técnica.
Epílogo.
Isso foi tudo sobre este relatório humilde sobre o que eu sei e posso contar de espionagem pessoal como ferramenta cracker, mas também como uma ferramenta para a vida cotidiana, uma vez que para sofrer as consequências não precisa ter um computador no meio. Não seja paranóico, esteja mais atento e aprenda lembrando, mais uma vez, que o elo mais fraco em qualquer sistema de segurança somos nós mesmos.
Autor: Nico Varonas
Traduzido para publicação em dinamicaglobal.wordpress.com
Fonte: Neoteo.com
Hello, my name is Jack Sparrow. I'm a 50 year old self-employed Pirate from the Caribbean.
Nenhum comentário:
Postar um comentário