Escolar Documentos
Profissional Documentos
Cultura Documentos
Danubia Andrade
Jane de Souza Cunha
GOINIA
2008
Danubia Andrade
Jane de Souza Cunha
GOINIA
2008
Danubia Andrade
Jane de Souza Cunha
BANCA EXAMINADORA:
AGRADECIMENTOS
RESUMO
O presente trabalho aborda um estudo sobre engenharia social, que uma das principais
preocupaes das organizaes nos dias de hoje. Observando a grande mudana que a
tecnologia tem provocado, gerando impactos positivos, mas, tambm negativos. Surge a
necessidade de proteger as informaes das empresas, sendo nossa principal finalidade, a
anlise e minimizao dos problemas causados por ataques de engenharia social. A segurana
da informao nas empresas exige cuidados contnuos, j que um processo em constante
transformao e evoluo. Por isso so abordadas algumas tcnicas de invaso e tambm
prticas de segurana na tentativa de proteger ao mximo estas informaes, dando nfase na
questo que primordial quando se trata deste assunto to importante, que promover a
reeducao profissional de todas as partes envolvidas, mostrando de forma clara e objetiva a
necessidade da implantao de uma poltica de segurana que minimizar o risco de perder o
bem mais precioso que a informao.
LISTA DE ILUSTRAO
LISTA DE GRFICOS
10
SUMRIO
INTRODUO..............................................................................12
SEGURANA DA INFORMAO....................................................13
2.1
ENGENHARIA SOCIAL..................................................................17
3.1
3.2
A Vulnerabilidade Humana..........................................................19
3.3
Ataques Fsicos...........................................................................20
3.3.1
Roubo de Backups/Computadores...............................................20
3.3.2
3.3.3
Lixo............................................................................................22
3.3.4
Roubo de Correspondncias........................................................23
3.3.5
Funcionrios Insatisfeitos/Demitidos...........................................24
3.4
3.4.1
Phishing / Pharming....................................................................25
3.4.2
Falsos E-mails..............................................................................28
3.4.3
Keylogger....................................................................................30
3.4.4
Vrus............................................................................................31
3.4.5
MTODOS DE PREVENO..........................................................34
4.1
Controle de Acesso.....................................................................34
4.2
Criptografia.................................................................................35
4.3
Poltica de Segurana..................................................................35
4.4
Educao e Treinamento.............................................................38
LEIS APLICVEIS..........................................................................41
11
CONCLUSO................................................................................42
REFERNCIAS BIBLIOGRFICAS..................................................................43
ANEXO A ENTREVISTA COM KEVIN MITNICK REVISTA VEJA...................46
ANEXO B MODELO TERMO DE COMPROMISSO........................................53
ANEXO C MODELO DE POLTICA DE USO DA INTERNET...........................55
12
INTRODUO
Existe hoje o mundo real e o virtual. Ambos caminham juntos, tanto nas relaes
pessoais quanto profissionais. Essa mudana que a tecnologia implementou deu a todos os
envolvidos uma viso maior da necessidade de proteger a informao, no s na parte fsica
mas principalmente na parte virtual.
A globalizao tem provocado mudanas na viso da sociedade, principalmente nas
organizaes, que passaram a valorizar suas informaes, sua maior riqueza, em detrimento
de sua estrutura fsica, passando a exigir profissionais cada vez mais atualizados.
As constantes trocas de informaes, sejam elas por telefone, e-mail ou em uma simples
conversa, o fato de que, a informao deve estar disponvel quando solicitada, ntegra, e
principalmente s tenha acesso a ela pessoas autorizadas, tem reunido esforos de todos,
empresrios e profissionais de Tecnologia da Informao TI, no sentido de reduzir os riscos
que podem ser de ordem natural, catstrofes da natureza, erros fsicos e lgicos nos sistemas.
Surge ento a necessidade de se elaborar uma poltica de segurana, que estimule a tica
profissional e boas prticas no sentido de proteger as informaes. E foi pensando assim que
desenvolvemos esse trabalho de pesquisa tendo como objetivo mostrar a importncia da
segurana da informao e a conscientizao dos usurios para o risco da engenharia social
que constitui hoje uma das maiores ameaas s empresas.
13
SEGURANA DA INFORMAO
14
Listas de clientes;
b)
Salrios;
c)
d)
Vendas;
e)
15
2.1
12
16
17
ENGENHARIA SOCIAL
De acordo com o maior engenheiro social do mundo Kevin Mitnick, engenharia social
uma tcnica de ataque que explora a vulnerabilidade humana, atravs da persuaso,
enganao para conseguir informaes valiosas. Pode-se utilizar tecnologia ou no, e estes
ataques ocorrem todos os dias.
No confundir engenheiro social com o grifter como chamado algum que engana
as pessoas com inteno de roubar seu dinheiro.
O alvo mais comum so pessoas que desconhecem o valor das informaes:
recepcionistas, telefonistas, assistentes administrativos, guardas de segurana; Os que
possuem privilgios especiais: suporte tcnico, administrador de sistema, operadores de
computador,
administradores
do
sistema
de
telefone;
Departamentos
especficos:
Ousadia;
b)
Confiana;
c)
Conhecimento;
d)
Interpretao;
e)
Raciocnio rpido.
Falsificao de Identidade Se passar por outra pessoa usando seu login e senha
para executar tarefas e acessar sistemas ou locais restritos. Por exemplo enviar e-
18
mail com mensagens falsas e fazer com que pacotes de autenticao sejam
executados. Esses ataques podem ser feitos usando senhas deixadas embaixo do
teclado.
b.
Violao - a alterao de dados que pode ser feita durante uma transmisso.
c.
d.
Divulgao das Informaes um ataque que pode custar muito caro com
consequncias irreversveis e to grave quanto a Negao de Servio que
divulgao de informaes confidenciais. Informaes que deveriam estar
protegidas e que agora esto nas mos de pessoas no autorizadas. Um exemplo
pode ser expor mensagens de erro ou expor cdigo em sites.
e.
Negao de Servio paralisar algum servio. Pode ser feito inundando o DHCP
Server Local com solicitaes de IP, fazendo com que nenhuma estao com IP
dinmico obtenha endereos IP. O alvo pode ser um Web Server que contem o site
da empresa. Outro exemplo seria inundar uma rede com pacotes SYN (SynFlood); inundar uma rede com pacotes ICPM forados.
f.
3.1
De acordo com Kevin Mitnick, todos ns usamos engenharia social, at mesmo quando
damos uma cantada em algum e principalmente os vendedores profissionais. Quando se
deseja vender um produto, voc tem que convencer a pessoa do que ela precisa e do quanto o
produto importante e vai fazer a diferena, isto engenharia social.
O engenheiro social no um profissional especfico, ele pode ser qualquer pessoa com
segundas intenes. Como o alvo principal o usurio dos sistemas e no o hardware ou o
software, ferramentas de hardware e software dificilmente prevem o ataque.
19
Muitas vezes o ataque de engenharia social ocorre sem que o atacante sequer se
aproxime dos computadores e sistemas do alvo.
preciso estar sempre alerta a esse tipo de ataque, pois nunca haver soluo pra esse
modo de invaso. At porque a principal arma do engenheiro a vulnerabilidade humana.
3.2
A Vulnerabilidade Humana
De acordo com McCarthy e Campbell (2003, P. 56), as pessoas so o seu melhor ativo
de segurana e a sua maior vulnerabilidade. preciso transformar sua maior
vulnerabilidade em ativos constantes, mas isso no vai acontecer do dia para a noite, esta
uma questo que requer todo um processo, programas de treinamento, materiais bem
elaborados para que juntamente com a campanha de segurana possa surgir efeito.
As pessoas no podem olhar uma vulnerabilidade, ver um ataque e tomar uma deciso
inteligente. No conseguem ver uma situao de insegurana e tomar uma deciso sobre o que
fazer.
A engenharia social evita a criptografia e tudo o que for tecnolgico. Ela vai
diretamente ao elo mais fraco: o ser humano.
20
3.3
Ataques Fsicos
O roubo ou furto um perigo constante, e nem sempre ele motivado com intenes de
descobrir dados confidenciais. Pode ser feito visando simplesmente os equipamentos, e estes
podem conter informaes importantes, backups que ainda no foram salvos no servidor, um
projeto de uma nova campanha de telemarketing, ou seja, informaes que sero perdidas e
que daro trabalho para serem refeitas.
H alguns anos atrs as medidas de preveno eram apenas para ambiente fsico, mas
hoje os ativos que requerem uma seleo mais criteriosa so outros. Mas isso tambm
depende do ramo de atuao da empresa e suas principais atividades.
21
22
3.3.3 Lixo
Pode no parecer, mas no lixo podem ser encontradas informaes importantes que so
descartadas sem muita preocupao. A informao nunca permanece nos computadores, ela
passa para o papel o tempo todo. Muitas vezes o papel no lixo mais valioso do que se
estivesse no computador, mais fcil de ser roubado e mais provvel de ser perdido. Portanto,
no adianta criptografar os dados do computador se no trancar sua sala ou no triturar o lixo.
A ilustrao 2 mostra um papel com o nome de usurio e senha jogado no lixo:
23
24
De acordo com uma pesquisa realizada nos Estados Unidos pelo Instituto Ponemon, seis
em cada dez pessoas admitem furtar dados da empresa ao deixar o emprego usando-as para
conseguir um novo emprego, abrir seu prprio negcio e at mesmo por vingana. Nosso
estudo demonstrou que 59% das pessoas diro vou levar alguma coisa de valor comigo
quando eu sair disse Mike Spinney. Dos 945 trabalhadores demitidos ou que pediram
demisso que responderam a enquete, todos tinham acesso a informaes como dados de
clientes, lista de contatos, registro de funcionrios, documentos confidenciais, programas de
computador dentre outros. As perdas econmicas globais devido a roubo de dados e violaes
de segurana chegaram a US$ 1 trilho no ano passado.
O patrocinador do estudo, Kevin Rowney do setor de preveno da empresa Symantec
disse a entrevista BBC: a propriedade intelectual de uma empresa vale quase mais do que
as instalaes, este o principal bem de uma companhia, e qualquer violao ou perda pode
custar muito caro.
Especialistas de segurana prevem que durante a crise econmica o nmero de ataques
de funcionrios vai aumentar. Com a previso de perda de 1,5 milhes de empregos apenas
nos Estados Unidos, existe um risco e uma exposio crescente a estes ataques, disse a
Microsoft BBC (SHIELS, BBC, 2008).
No dia 14 de novembro de 2008, na sede da empresa de semicondutores SiPort
aconteceu um fato gravssimo, onde o funcionrio Jing Hua Wu que trabalhava como
engenheiro, aps ser demitido, atirou em dois de seus colegas e uma mulher. um exemplo
real do que uma pessoa pode fazer quando se sente desprezada, trada. Se uma pessoa capaz
de matar, imagina ento roubar dados sigilosos, ou simplesmente repass-los. Pois so esses
sentimentos que servem de mola propulsora para motivar uma vingana.
3.4
De acordo com o Guia de Referncia sobre Ataques Via Internet (2000), este modelo
no diferente de uma invaso fsica. Os mtodos utilizados so semelhantes, usando as
seguintes fases: Planejamento, Aproximao, Invaso e Explorao. Os motivos so muitos, e
25
nem sempre so com o objetivo de ganhos financeiros, pode ser vingana, necessidade de
aceitao ou respeito, curiosidade ou busca de emoo, aprendizado, espionagem industrial.
A imagem do invasor cracker, ainda de jovens gnios, de classe mdia, que no
trabalham e tem tempo para ficarem horas na internet, mas no bem assim, este perfil existe,
mas, devido ao grande aumento de negcios via internet, aparece outro perfil o profissional.
A seguir exemplos de ataques via Internet.
b)
c)
d)
e)
26
f)
Nunca clique nos links de um e-mail para acessar um website. Em vez disso, abra
uma nova janela no navegador e digite a URL na barra de endereos.
g)
h)
i)
j)
27
28
Todos os dias somos bombardeados por falsos e-mails dos mais variados assuntos,
desde a ltima fofoca envolvendo a vida ntima de artistas a e-mails com assuntos importantes
29
usando nomes de empresas e rgos pblicos. Pode ser a promessa de ganhos fceis, falsas
pginas de bancos, pornografia, comunicao de restries no Serasa, etc. Um exemplo na
ilustrao 6.
30
Quando colocado o mouse em cima do link, aparece um endereo onde tem um arquivo
executvel. Percebemos tambm os erros de portugus, sem contar que pela lgica j sabemos
que nenhum rgo nos informa dvidas atravs de e-mail, a partir da j sabemos que se trata
de uma fraude. Mas tem pessoas que no se preocupam em enxergar esses detalhes, ou at
mesmo no tem nenhuma malcia, e, por no ter conhecimento, acabam clicando no link.
3.4.3 Keylogger
O Keylogger um programa que tem como finalidade registrar tudo o que digitado no
teclado. Eles se infiltram no computador atravs de links e e-mails falsos e a vtima s
percebe quando o cracker j tenha invadido o sistema com as senhas capturadas.
31
3.4.4 Vrus
32
aplicao, que utiliza desta facilidade para o roubo de senhas. Est previsto um aumento de
ataques contra aplicaes da web 2.0 e redes sociais. Smartphones e outros dispositivos
inteligentes com acesso permanente na internet sero os alvos da nova gerao de malware
mvel.
33
34
MTODOS DE PREVENO
4.1
Controle de Acesso
35
4.2
Criptografia
A criptografia (Do Grego krypts, "escondido", e grphein, "escrita") a cincia que faz
uso da matemtica permitindo criptografarmos e decriptografarmos dados, que nos fornece a
garantia de confidencialidade, integridade, no repdio e autenticao.
Antes restrita a instituies financeiras, rgos do governo ou usada para proteger
informaes consideradas altamente confidenciais, a criptografia est presente em nossa vida
mais do que podemos imaginar. Est presente at em telefonia celular, para evitar que sua
conversa possa ser ouvida por outros.
As empresas no usam os sistemas de criptografia de dados de forma eficiente. A
afirmao foi feita por palestrantes da Storage Expo-feira em Londres, na Inglaterra, e que
trata das mais diversas formas de armazenamento de dados. Ainda segundo os especialistas,
dados sensveis a uma srie de empresas ficam esquecidos em grandes servidores sem
qualquer tipo de proteo.
Uma srie de ferramentas gratuitas de criptografia j faz parte dos pacotes de softwares
presentes em solues administrativas e operacionais. Portanto apontaram os palestrantes da
Mdulo Security News a no utilizao destes sistemas se deve, em parte, ao
desconhecimento ou desinteresse. Trata-se, porm, de uma soluo fcil e rpida e
relativamente barata de garantir a privacidade de dados sensveis empresa como balanos
comerciais de projees de lucro.
4.3
Poltica de Segurana
36
A criao de uma poltica de segurana deve comear com um estudo das reais
necessidades da empresa, qual o seu campo de atuao, o que ela j possui em relao
segurana e o que est precisando ser implementado.
Segundo a 10 Pesquisa Nacional de Segurana da informao o principal obstculo
para implementao da segurana a falta de conscientizao dos executivos e usurios,
conforme o grfico abaixo.
Como mostra o grfico 4.3, a conscientizao dos executivos e usurios o principal
obstculo, seguido da falta de oramento e falta de profissionais capacitados. necessrio
mostrar atravs de pesquisas que melhor prevenir, j nem sempre o mal poder ser
remediado. A falta de oramento mostra a dificuldade de conscientizar os executivos da
necessidade de proteger os sistemas e as informaes.
E para que haja profissionais capacitados necessria toda uma mudana de atitude,
uma nova viso dos valores.
37
38
4.4
Educao e Treinamento
Segundo Kevin Mitnick (2003), todos da organizao devem ser treinados para ter um
grau apropriado de suspeita e cuidado ao serem contactados por algum que no conhecem
pessoalmente, sobretudo quando algum pede algum tipo de acesso a um computador ou
rede. da natureza humana querer confiar nos outros, mas como dizem os japoneses, os
negcios so uma guerra. Os seus negcios no podem permitir que voc baixe a guarda. A
poltica de segurana corporativa deve definir claramente o comportamento apropriado e
inapropriado.
A segurana no tem tamanho nico. O pessoal dos negcios tem regras e
responsabilidades diferentes e cada posio tem vulnerabilidades prprias. Deve haver um
nvel bsico de treinamento que todos da empresa devem ter e, depois, as pessoas tambm
devem ser treinadas de acordo com o perfil do seu cargo para seguir determinados
procedimentos que reduzem as chances de elas se tornarem parte do problema. As pessoas
que trabalham com informaes confidenciais e que so colocadas em posies de confiana,
devem ter treinamento especializado adicional.
Existem determinados procedimentos que, independentemente de um bom treinamento,
fazem com que fiquemos descuidados com o tempo. Esquecemo-nos tambm daquele
treinamento nos momentos de presso, justamente quando precisamos dele. Voc pensa que
no dar o seu nome de conta e senha uma regra que todo mundo sabe (ou deveria saber) e
que nem preciso dizer isso: uma questo de bom senso. Mas, na verdade, cada empregado
precisa ser freqentemente lembrado de que o fornecimento de um nome de conta e uma
senha do computador do escritrio, do computador em casa ou mesmo da mquina de
postagem na sala de correspondncia como dar o nmero do carto eletrnico do banco.
Dois princpios bsicos a serem levados em conta segundo Kevin Mitnick:
39
1.
2.
b)
c)
d)
e)
f)
g)
h)
i)
j)
k)
40
l)
Existe
uma
circunstncia
na
qual
preciso,
talvez
at
mesmo importante, dar a outra pessoa as informaes confidenciais. Por esse motivo, no
apropriado criar uma regra absoluta sobre "nunca". Mesmo assim, as suas polticas e os seus
procedimentos de segurana precisam ser muito especficos sobre as circunstncias nas quais
um empregado pode dar a sua senha e o mais importante, sobre quem est autorizado a pedir
essas informaes.
LEIS APLICVEIS
41
Temos a impresso que no mundo virtual estamos impunes o que nos leva a inverter
nossos valores ticos. Pois o que vemos com freqncia, so pessoas fazendo no mundo
virtual o que no fariam no mundo real. Mas se engana quem pensa que no tem punio para
esses delitos. Quem usa a engenharia social geralmente utiliza a tcnica de Personificao,
passa-se por outra pessoa, nesse caso pode se enquadrar no Art. 299 do Cdigo Penal, como
falsidade ideolgica.
O mundo da engenharia social parece ser algo muito tentador. Mas, diferente dos crimes
digitais, que no possuem uma legislao bem definida no pas, algumas tcnicas so
consideradas crimes passveis de punio, que vo desde o pagamento de multas at a
deteno.
A interpretao legal baseia-se na configurao dos atos de engenharia social como
falsidade ideolgica, caracterizada pela incorporao de uma identidade alheia (impostura)
seguida de fraude. Dependendo do destino dado s informaes recebidas (por exemplo, em
caso de fraude financeira), o invasor responder tambm pelo crime de estelionato. Pelas leis
brasileiras e da maioria dos pases esses tipos de ataques so considerados prticas
criminosas, com punies bem severas.
CONCLUSO
42
Um estudo realizado pela Cisco recentemente mostrou que o uso da engenharia social
para induzir vtimas a abrir um arquivo ou clicar em links continua crescendo e diz ainda que
no ano de 2009 a tendncia aponta para um aumento nas tcnicas com mais vetores e
sofisticao, e faz um alerta tambm para o descontentamento e negligncia de funcionrios
ameaados por demisses em tempos de crise, e que este cenrio pode levar a mais incidentes
de segurana envolvendo colaboradores, tornando crucial que tecnologia da informao,
recursos humanos e outras reas corporativas colaborem para reduzir as ameaas.
A reportagem de Nelson Biagio Junior em 31/01/2009, mostra uma lista da empresa de
consultoria, Gartner, divulgando as oito principais tecnologias mveis que tornaro tendncias
no mundo corporativo at 2010, que vo trazer benefcios, mas, tambm, preocupaes em
relao ao vazamento de dados. So elas: Bluetooth 3.0, interfaces mveis de usurio,
deteco de localizao, Wi-Fi 802.11n, tecnologias de tela, internet mvel e widgets, banda
larga em celular e comunicao em rea prxima.
Antes da tecnologia, a segurana tem a ver com processos e pessoas, o fator humano
no pode ser deixado em segundo plano, pois de nada adianta gastar milhes com a mais alta
tecnologia, se o elo mais fraco o ser humano continuar falhando.
A tecnologia um caminho sem volta, ento temos que admitir que somos vulnerveis e
todos esto sujeitos a falhas, mas, isto no pode justificar erros que podem ser evitados.
O ideal que as empresas, primeiro, conscientizem seus funcionrios para o valor da
informao, de tudo que ela representa organizao e segundo, saibam que nunca estaro
totalmente seguros.
A segurana da empresa depender principalmente de como esto preparados seus
colaboradores, do uso de uma boa poltica de segurana, treinamentos constantes, e lembrar
sempre que a educao o foco, obter o compromisso dos usurios em trabalhar de acordo
com ela o alvo, pois, a segurana um meio para um fim, e esse fim a confiana.
REFERNCIAS BIBLIOGRFICAS
43
44
45
SYMANTEC.
Phishing
e
Pharming.
Disponvel
em:
<http://service1.symantec.com/support/inter/nco-intl.nsf/br_docid/20061016130945900>.
Acesso em: 30-01-09.
TEIXEIRA, Marcelo. Petrobrs confirma roubo de computadores com dados
importantes.
Disponvel
em:
<http://tecnologia.terra.com.br/interna/0,,OI2432554EI4795,00.html>. Acesso em 21-11-08.
46
47
levantar todas as falhas de segurana e, a partir dessa anlise, ensino a elas como se proteger
dos invasores.
Veja - Os hackers de hoje so mais perigosos que os do passado?
Mitnick - De certa maneira, sim. No porque eles sejam mais competentes que no
passado e sim porque o objetivo da invaso mudou. Nas dcadas de 80 e 90, uma pessoa
tornava-se hacker por hobby. Eram adolescentes em busca do desafio intelectual. Agora, com
o advento do e-commerce e dos bancos on-line, o objetivo principal de se tornar hacker tirar
proveito financeiro da empresa invadida, ou derrubar uma companhia concorrente.
Veja - As estratgias utilizadas pelos hackers esto mais sofisticadas?
Mitnick - Os hackers de hoje esto mais eficientes em manter uma rede de
comunicao entre si. Muitas vezes, eles unem seus conhecimentos e suas habilidades para
descobrir a vulnerabilidade dos sistemas das grandes empresas. mais rpido e fcil invadir
um sistema em grupo do que sozinho.
Veja - Existe crime organizado na Internet?
Mitnick - Sim, nos ltimos anos as quadrilhas se multiplicaram na rede. Existem
vrias subdivises dentro de uma mesma organizao de hackers. Enquanto um grupo se
concentra na invaso do sistema de computadores, outro se ocupa em obter mais informaes
dos funcionrios da empresa e da organizao. Uma terceira frente fica encarregada de vender
os dados do carto de crdito dos clientes dessa companhia no mercado negro, ou informaes
confidenciais das empresas para os concorrentes. Sempre h muito dinheiro envolvido.
Veja - H hackers envolvidos com terrorismo?
Mitnick - No tenho informaes de grupos de hackers que utilizam computadores
para executar ataques terroristas. O que sabemos que eles usam muito esse meio para se
comunicar entre si, em cdigos ou e-mails criptografados, e para descobrir os planos e
atividades dos agentes americanos que caam os terroristas.
Veja - Hoje est mais fcil ou mais difcil invadir os sistemas, se comparado fase
em que o senhor era hacker?
Mitnick - Em algumas situaes, est muito mais fcil. Nos ltimos anos, a
tecnologia contribuiu para melhorar a segurana dos sistemas. O problema que a maioria das
48
empresas ainda no est preparada para se proteger contra o que eu chamo de engenharia
social, ou seja, as estratgias utilizadas pelos hackers para persuadir pessoas e obter dados
confidenciais das empresas. Uma companhia pode gastar milhares de dlares em tecnologia
de segurana, firewalls e criptografia, mas se o hacker conseguir enganar um funcionrio
dentro da empresa, e fizer com que ele lhe passe dados como senhas de acesso e arquivos
internos, todo o dinheiro gasto com a segurana de sistemas ser em vo. E, na maioria das
vezes, esse funcionrio nem perceber que ajudou o hacker a organizar um ataque.
Atualmente, a mo-de-obra de uma empresa a parte mais vulnervel ao ataque dos hackers.
Veja - Quem so os principais alvos dos hackers numa corporao?
Mitnick - Antigamente eram os CEOs, porque eles detinham as informaes
privilegiadas. Mas hoje, com os avanos da tecnologia e a democratizao das informaes,
at os funcionrios numa escala bem mais baixa guardam dados confidenciais numa pasta do
computador. So esses trabalhadores que os hackers visam. Eles tm acesso a uma grande
quantidade de informao sobre a empresa, como a situao financeira da companhia, sua
lista de clientes e planos de marketing, mas no tm o conhecimento detalhado do que pode
ser uma ameaa segurana. Assim, caem nos golpes aplicados pelos hackers mais
facilmente.
Veja - Que estratgias os invasores utilizam para enganar esses funcionrios?
Mitnick - comum eles ligarem fingindo ser chefe de um departamento e pedir
alguma informao sigilosa, dizendo que urgente. Para convencer o funcionrio de que esto
falando a verdade, fingem que conhecem algumas pessoas importantes na empresa e utilizam
argumentos que fazem sentido no dia-a-dia da companhia, como citar algum evento
importante que realmente est para acontecer, ou relatar alguma falha no sistema que ocorre
freqentemente no cotidiano.
Veja - O que as empresas devem fazer para se proteger desse golpe?
Mitnick - Primeiro, preciso estender a poltica de segurana a toda a empresa,
independentemente da posio. preciso treinar os funcionrios para no se deixar enganar
pelos hackers que se passam por gerentes ou prestadores de servio, orientando a nunca
fornecer informaes confidenciais por telefone ou e-mail, como dados de acesso ao
computador ou a poltica organizacional da empresa e, aps receber esse tipo de mensagem ou
ligao, sempre avisar seus superiores.
49
50
51
do aeroporto e, utilizando outro laptop, invadem seu sistema. Nesses locais, o risco muito
grande.
Veja - As pessoas ainda reconhecem o senhor na rua?
Mitnick - Algumas vezes. Costumo ser bastante reconhecido quando utilizo meu
notebook em pblico, num caf, por exemplo. No sei se porque as pessoas associam o
computador a mim.
Veja - O senhor se arrepende de ter sido hacker e de ter roubado informaes no
passado?
Mitnick - Sim, eu era muito imaturo naquele tempo e reconheo que cometi erros
estpidos. Me considero uma pessoa de sorte, pois tenho agora uma nova chance de utilizar
minhas habilidades com outros objetivos. Existem hoje muitas formas de aprender sobre as
tcnicas dos hackers sem precisar invadir o sistema alheio. H cursos de segurana de
sistemas nas universidades e escolas especializadas a preos muito mais acessveis do que na
poca em que eu iniciei minhas atividades de hacker.
Veja - Depois que saiu da priso, o senhor chegou a conversar com Tsutomu
Shimomura, o especialista em segurana eletrnica que o desmascarou?
Mitnick - Eu nunca falei com ele em toda a minha vida, nem antes nem depois da
priso. um sujeito muito arrogante, que se acha mais esperto do que todo mundo. No tenho
o menor interesse em manter qualquer tipo de relao com ele.
Veja - O que o senhor dir em sua autobiografia?
Mitnick - Contarei em detalhes todas as aventuras que eu vivi quando ainda era
hacker, o que eu realmente fiz, por que eu fiz, como foi lidar com os agentes federais
americanos, a fuga e a perseguio no ciberespao. Muito do que foi dito sobre mim at hoje,
principalmente sobre como foram as invases, est incorreto. No livro, vou esclarecer tudo
isso.
Veja - Por que o senhor se tornou um hacker?
Mitnick - Virei um hacker no para roubar dinheiro ou tirar vantagem sobre alguma
empresa. Era mais pelo prazer de invadir o site de uma grande companhia ou do governo
americano e no ser pego. Cada vez que eu era bem-sucedido, aumentava o desafio e os
52
riscos. Era como participar de um jogo on-line em que, ao ganhar, passa-se para outra fase
mais difcil.
Veja - Qual foi a invaso mais desafiadora que o senhor praticou quando era
hacker?
Mitnick - Uma das mais desafiadoras foi invadir o sistema da Motorola, em 1994.
Era um dos mais seguros daquele tempo e ningum conseguia invadi-lo. Tive de enfrentar
vrios nveis de segurana at conseguir entrar, de fato.
Veja - verdade que os hackers brasileiros so os mais habilidosos do mundo?
Mitnick - Eu no conheo nenhum pessoalmente, mas sei que os hackers brasileiros
tm essa fama. Alguns grupos no Brasil ficaram conhecidos por modificar a pgina principal
de grandes companhias em todo o mundo.
53
TERMO DE COMPROMISSO
Comprometo-me a:
54
a.
Substituir a senha inicial gerada pelo sistema, por outra secreta, pessoal e
intransfervel;
b.
c.
d.
e.
Somente utilizar o meu acesso para os fins designados e para os quais estiver
devidamente autorizado, em razo de minhas funes;
f.
g.
h.
_________________________________________________________________________
Assinatura do Empregado/Prestador de Servios
55
Se voc tem alguma dvida ou comentrios sobre essa Poltica de Uso da Internet,
por favor, entre em contato com seu supervisor.
estritamente proibido e inaceitvel Concorrentemente ao descrito acima, ser considerado totalmente inaceitvel tanto no
uso quanto no comportamento dos empregados:
visitar sites da Internet que contenha material obsceno e/ou pornogrfico;
usar o computador para executar quaisquer tipos ou formas de fraudes, ou
software/musica pirata;
usar a Internet para enviar material ofensivo ou de assdio para outros usurios;
baixar (download) de software comercial ou qualquer outro material cujo direito pertena
a terceiros (copyright), sem ter um contrato de licenciamento ou outros tipos de licena;
atacar e/ou pesquisar em reas no autorizadas (Hacking);
criar ou transmitir material difamatrio;
executar atividades que desperdice os esforos do pessoal tcnico ou dos recursos da rede;
introduzir de qualquer forma um vrus de computador dentro da rede corporativa.
56
Monitoramento A [Empresa] reafirma que o uso da Internet uma ferramenta valiosa para seus
negcios.Entretanto, o mau uso dessa facilidade pode ter impacto negativo sobre a
produtividade dos funcionrios e a prpria reputao do negcio.
Em adio, todos os recursos tecnolgicos da [Empresa] existem para o propsito
exclusivo de seu negcio. Portanto, a empresa se d ao direito de monitorar o volume de
trfico na Internet e na Rede, juntamente com os endereos web (http://) visitados.
Sanes (esses procedimentos so especficos e variaro de empresa para empresa.
Use seu processo normal disciplinar)
A falha em no seguir a poltica ir resultar em sanes que variaro desde
procedimentos disciplinares, com avisos verbais ou escritos, at a demisso.
Declarao
Eu l, e concordo em seguir as regras descritas nessa poltica e entendo que o no
seguimento das regras pode resultar em ao disciplinar ou ao judicial contra minha pessoa.
Assinatura_________________________________________________________
Nome Extenso______________________________________________________
Data:___/___/_____