Patch de Vulnerabilidades Humanas

Nesta matéria estarei falando sobre as "vulnerabilidades humanas" e um pouco sobre nosso cenário do ciberespaço atual, eu utilizei boa parte do meu conhecimento empresarial/corporativo e intelectual espero que gostem e boa leitura!

Ameaças complexas de hoje

O cenário atual de ameças é muito complexo. Os cibercriminosos/crackers usam uma grande variedade de ameaças para seqüestrarem computadores e ganhar dinheiro ilegalmente. Essas ameaças incluem Trojans/Backdoors de muitos tipos diferentes, vírus, worms e exploits que se destinam a um malware para fazer uso de vulnerabilidades em um sistema operacional ou aplicações.
Os cibercriminosos empregam uma variedade de técnicas sofisticadas para esconder malwares para tornar difícil para os pesquisadores de antivírus a encontra-los, analisar e detectar códigos maliciosos está ficando temível.

Humanos: O elo mais fraco na cadeia de segurança

Não obstante a sofisticação técnica do malware de hoje, os criminosos costumam tentar explorar as fraquezas humanas como uma forma de difundir os seus programas. Isso deve vir como nenhuma surpresa para quem lida com orkut e mensagens do msn que contenham engenharias sociais para baixar e executar algo. Os humanos geralmente são o elo mais fraco de qualquer sistema de segurança. Protegendo uma casa é um exemplo: você pode ter o melhor alarme do mundo, mas se você não configurá-lo ele não irá oferecer a proteção requerida. O mesmo é aplicado para a segurança online. Os cibercriminosos continuam a fazer uso extensivo de engenharia social, ou seja, tentando enganar as pessoas para fazer sempre algo que compromete a sua segurança online.

Vemos isso no sucesso continuado de phishing scams, projetado para atrair pessoas para um 'site falso' e nesse site ela divulga informações pessoais, como nomes de usuários, senhas, PIN's e quaisquer outras informações que nunca é de mais para qualquer cibercriminoso. O phshing scam clássico assume a forma de um email especulativo que envia spam para milhões de endereços com o objetivo que muita gente caia no golpe. Tais ataques são ainda realizados em uma base frequente, pelo menos é o que parece na minha caixa de entrada .

No entanto, como carteiristas, golpistas on-line no meio da multidão. Dado o número crescente de pessoas que usam o Orkut, Facebook, MySpace, Twitter e outros sites de rede social até mesmo no Messenger, não é nenhuma surpresa que os cibercriminosos estão dessa vez mais entrando nesses serviços. Eles podem usar hackeando contas no Facebook para enviar mensagens contendo links para programas maliciosos como foi um ocorrido esses tempos. Ou mandando um link em um tweet usando algum modo de ocultar o link malicioso real. Ou podem simplesmente passar por um amigo duro em um país distante, que precisa desesperadamente de fundos para chegar em casa, ta péssimo exemplo mas não deixa de existir por incrível que pareça.

A popularidade de engenharia social também é demonstrada pelo aumento dos programas "scareware".
Tais golpes começam com uma mensagem de pop-up em um site que diz que o computador está infectado ou em risco e pede para que baixe um programa antivírus para remover o malware lhe oferecendo um link com um programa de interface mais falso que acaba comprometendo a segurança do seu sistema ao invés de ajudar, mas também pode existir outro modo de scareware que acaba sendo muito utilizado e as pessoas caem também que é a venda do falso programa. Naturalmente a cibercriminalidade ganha muito com estes esquemas: não só eles têm tido o seu sob falsos pretextos, mas também tem agora o seu cartão de crédito.

Um dos problemas com ataques de engenharia social com base é que eles formam um alvo em movimento. Isso torna difícil para as pessoas saberem o que é inseguro e o que é seguro.

Naturalmente, as pessoas não são apenas sensíveis devido a falta de consciência. Às vezes a atração de um arquivo de áudio ou vídeo livre, ou fotos nuas das mais recentes celebridades,  podem motivar as pessoas a clicar em um link que deve ser simplesmente ignorados. O senso comum sugere que muitas vezes se algo parece bom de mais para ser verdade, provavelmente é. No entanto o mesmo senso comum não pode resultar no entendimento de que ação - neste caso, ao clicar em um link - podia ser prejudicial ou não.

Às vezes as pessoas cortam os cantos, a fim de facilitar sua vida e simplesmente não entendendo as implicações de segurança. Isto é verdadeiro em senhas, por exemplo. Mais e mais empresas estão aplicando feitos on-lie: compras, transações bancárias, pagar contas, networking pessoal, etc. Não é incomum ter 10, 20 ou mais contas online, tornando-se muito difícil de lembrar (ou mesmo) escolher uma senha exclusiva para cada uma.  Isto torna um padrão usar a mesma senha para cada conta ou pelo menos algumas, usando senhas de datas, nomes de parentes, números de telefones ou qualquer outra coisa no tanto simples, por isso é fácil lembrar. Outra abordagem comum é a de reciclar senhas, talvez usando "Meunome1" coisas que são fáceis para um cibercriminoso já experiente adivinhar antes de partir para algo mais complexo com quebras de senha e busca de informações. No entanto, este risco não é óbvio para o pessoal não técnico ou pessoas no público geral. E mesmo quando eles estão ciente do perigo, não vêem uma alternativa viável, uma vez que não pode se lembrar de 10, 20 ou mais senhas.

Há uma solução para o problema de senha. Ao invés de tentar lembrar de senhas individuais, começar com um componente fixo e em seguida aplicar uma fórmula simples de cifragem. Está aqui um exemplo: comece com o nome do recurso on-line, vamos dizer "meubanco". Em seguida aplique a fórmula:

1- Capitalize três personagens.
2- Mova o último personagem para a primeira parte da frase.
3- Adicione um número após o primeiro personagem.
4- Adicione o segundo personagem depois do recurso.
5- Agora adicione o outro personagem usando a técnica de criptografia Leet Speak (l33t 5p34k). Uma ferramenta para conversão aqui.

Isso daria uma senha assim "João74BancoMarcosC4rl05", usando este método você pode criar uma senha para cada conta. Mas como é um tanto complicado para algumas pessoas tente utilizar um gerador de senhas, aqui no site possuí um bem configurável que pode ser usado.

O que deve ser feito?

Tecnologia, é claro, é uma parte essencial para qualquer solução. Mas creio que seria imprudente ignorar a dimensão humana da segurança. No mundo real, sabemos que os alarmes, fechaduras, janelas e cadeados na porta da frente pode ser de um modo muito eficaz para garantir a segurança e propriedade. Mas eles não vão impedir uma insuspeita vítima de comprometer a sua segurança abrindo a porta para um estranho.

da forma, uma estratégia de segurança corporativa será menos eficaz se não abordar o elemento humano. Precisamos encontrar formas criativas de "patch" para humanos, bem como garantir recursos digitais. Lembrando agora de um esquema de segurança contra-humanos corporativo é salas de servidores como da própria receita federal no Distrito Federal, a sala dos servidores onde fica todas as declarações de impostos é completamente vedada de aço as paredes, os servidores são emcapados num armário de aço onde possuí uma porta com um cadeado reforçado, tudo isso para garantir a integridade, disponibilidade e confidenciabilidade das informações ali guardadas.

Agora voltando, isso não é apenas uma questão de negócio. A maioria dos individuos que usam a Internet em casa devem pensar de seu computador como uma peça vulnerável onde pode ser ligada, aberta ou roubada. Assim como a sociedade, precisamos encontrar maneiras de aumentar a consciência dos riscos associados com as atividades on-line, e desenvolver métodos eficazes para minimizar estes riscos. Ou seja um verdadeiro patch de segurança humano.

Rumo a um "senso comum online"

As pessoas estão razoavelmente bem equipadas para gerenciar o risco no mundo off-line. Por exemplo: temos uma série de senso comuns bem estabelecidos como exemplo o de quais os perigos de atravessar uma estrada ou avenida que instruem as crianças desde pequenas que devem olhar para os lados antes de atravessar, aguardar o farol ficar vermelho para os carros, ou seja, ambas instruções para uma simples tarefa que aplicamos quando vamos atravessar a avenida por exemplo. Também você pode ver na televisão, publicidade impressa e rádio que destina a falar frases que educam a população de certa forma como sobre os perigos do álcool ao volante ou de não usar cinto.

Conselhos de curso, "o sentido comum" que damos as crianças e os avisos do governo sobre condução segura não podem garantir a segurança. Mas fornecer informações que ajudem a minimizar riscos. Hoje, dirigir sob a influência de álcool é considerado socialmente inaceitável, e há muitos poucos incidentes relacionados com álcool na estrada do que há quarenta anos atrás.

Infelizmente, não há nenhuma linha de senso comum aplicada com a Internet pelas mídias, elas só mostram coisas vazias ou fracas que muitos acabam ignorando. A sociedade enfrenta um paradoxo aqui. As crianças aprendem muitas estratégias de senso comum para se manterem seguras no mundo off-line. Mas os pais de hoje são freqüentemente mal preparados para educar seus filhos sobre segurança on-line, uma vez que não estão familiarizados esta 'nova' tecnologia. Por outro lado, as crianças são capazes de usar a tecnologia, mas normalmente pouco sabem sobre o potencial das ameaças on-line.

No entanto, é essencial que coletiva-mente desenvolvam tal sentido, uma linha comum sobre segurança na Internet. Se fizermos crianças de hoje com tais sensos de conhecimento será muito melhor equipados para ensinar os seus próprios futuros filhos.

A importância da educação

Primeiramente, é importante não confundir a educação com formação. Seria irreal tentar e treinar pessoas para serem peritos em segurança informática. Em vez disso, devemos aumentar a conscientização sobre as ameças on-line em potencial, e as medidas que pessoas podem tomar para se proteger de forma inteligente e conhecendo do que vão se proteger e todo o processo.

Para as empresas e outras organizações, a educação do pessoal deve ser um dos alicerces fundamentais de uma estratégia de segurança eficaz. Os funcionários precisam ser informados, em linguagem simples e direta, a natureza da ameaça. Eles precisam compreender o por que estão implantando as medidas de proteção e organização, e como estes podem afetar no desempenho das suas funções. A estratégia de segurança é muito mais provável de ser eficaz se os funcionários compreendam e apóiem. É também fundamental criar uma cultura de abertura: o pessoal deve ser encorajado a denuncias atividades suspeitas, em vez de escondê-las por medo de enfrentar alguma ação disciplinar. Se os funcionários se sentem ameaçados, ou se sentem meio que estúpidos ao assunto, eles certamente serão menos cooperativos.

Como em qualquer aspecto de segurança, não basta simplesmente escrever uma política de pessoal e começar a assiná-lo e depois fazer mais nada. Uma política eficaz de segurança deve evoluir junto com o cenário das ameaças em mudança, e deve ser revista periodicamente. Também é essencial lembrar que as pessoas aprendem de maneiras diferentes: alguns respondem melhor a entrada verbal, algum material escrito ou ilustrativo. Portanto, é melhor usar uma série de estratégias para reforçar a mensagem de segurança que deseja para o pessoal, campanhas de cartazes, quizzes sensibilização para a segurança, cartoons, uma "dica do dia" etc.

Também é importante não ver as informações de segurança e treinamentos apenas como uma questão de TI. Ao contrário, deve ser visto dentro de um contexto de RH global que inclui a saúde e segurança no trabalho, comportamento pessoal adequado, etc. Para ser eficaz, um programa de educação de segurança deve ter buy-in de RH, um departamento de formação e outras partes relevantes.

Além do local de trabalho

Há uma sobreposição entre o trabalho e fora dele. As pessoas que usam computadores como um recurso da empresa no trabalho também pode usá-los para fazer compras, acessar contas do banco, ou socializar em casa. Usando computadores para fins de trabalho não podemos aplicar essas regras em casa, mas sim complementar com uma conscientização de segurança pessoal: mostrar aos funcionários como devem proteger seus próprios computadores, mostrar os riscos de que estão sofrendo em casa e outras medidas de alerta e proteção.

Claro, há pessoas que não usam um computador no trabalho mas usar um computador em casa é essencial pelo menos nos tempos de hoje, e aqui no Brasil já temos familias de todas as classes adquirindo computadores, notebooks e as novas tecnologias. Bom, é essencial usar um em casa, portanto, que a educação de segurança seja aplicada também fora do local de trabalho.

Há já uma série de recursos públicos que prestam assessoria em segurança na Internet. Estes recursos ensinam pessoas no trabalho ou fora dele de como lidar com as ameaças e que ameaças, nós da Security Hacker oferecemos este serviço de ensino. Todos os recursos oferecem uma boa orientação sobre como minimizar o risco de serem vítimas de criminosos, entanto todos pressupõem que o leitor já está online.

Eu acredito que é importante também encontrar meios off-line para transmitir as mesmas mensagens, incluindo o uso de anúncios de TV, como os utilizados no passado para incentivar a utilização de cintos de segurança do carro ou desencorajar o álcool no volante. Dado o sucesso os anúncios semelhantes no passado, acho que as campanhas semelhantes para a cibercriminalidade e cibersegurança poderia também ser eficaz. Por exemplo, no Reino Unido em 2005, o Capital One Group publicou uma série de anúncios na TV que apresentava um conhecido impressionista chamado de Alistair McGowan. Os anúncios foram criados para promover o serviço da empresa de assistência de roubo de identidade, mas ao mesmo tempo que destacou a importância da trituração de informações pessoais antes de as eliminar.

Perspectivas futuras

Cibercrime está no mundo de hoje para ficar: é tanto um produto da era da Internet e parte da paisagem da criminalidade global. Então, não seria realista, creio eu, a pensar em termos de "ganhar a guerra". Pelo contrário, trata-se de encontrar formas de mitigar o risco.

Legislação e as iniciativas de aplicação de lei são projetados para minimizar o risco na Internet, mas acabam privando os usuários e não adiantam em nada se eles não sabem como se proteger sempre os criminosos irão encontrar meios de burlar estas leis. Os ataques agora são mais freqüentes só que eles atingem como alvo mais os humanos, uma vez que é necessário aplicar conhecimentos em todo o globo e população para de alguma maneira corrigir algumas vulnerabilidades humanas.

Autor: Elger Vinícius