Escolar Documentos
Profissional Documentos
Cultura Documentos
Social Nas Redes Sociais PDF
Social Nas Redes Sociais PDF
(Orientadora)
Maring-PR
2011
2
Maring-PR
2011
3
Kevin Mitnick
4
AGRADECIMENTOS
RESUMO
Os servios de redes sociais, como o Orkut, encontraram terreno frtil entre os internautas
brasileiros. Combinando o crescimento econmico do pas, o acesso do pblico tecnologia
mais barata e a natureza social do povo brasileiro, esses sites se tornaram um dos destinos
mais visitados na Internet do pas. Mas com a novidade da tecnologia tambm veio o perigo:
criminosos virtuais, usando tcnicas psicolgicas avanadas chamadas de engenharia social,
vasculham perfis sociais mal protegidos para obter informaes pessoais e privadas para us-
las contra suas vtimas em crimes como truques de confiana, furto ou roubo de identidade. O
objetivo deste estudo analisar este problema, e propor uma possvel soluo para evitar este
tipo de falha de segurana que no est relacionada tecnologia em si, mas inerente ao
comportamento humano.
ABSTRACT
Social Networking Services, like Orkut, took Brazilian Internet users like a storm. Combining
the economic growth of the country, the publics access to cheaper technology and the social
nature of the Brazilian people, these web services became one of the most visited destinies
over the countrys Internet. But with the novelty of the technology also came danger: cyber
criminals, using advanced psychological techniques called social engineering, scavenged
poorly secured social profiles for personal and private information to use against their victims
in crimes as confidence tricks, burglary and identity theft. The aim of this study is to analyze
this problem, and propose a possible solution to avoid this type of security breach that is
unrelated to the technology, but inherent to the human behavior.
LISTA DE GRFICOS
LISTA DE IMAGENS
SUMRIO
1. INTRODUO.................................................................................................................. 11
1.1 Objetivos........................................................................................................................ 12
1.2 Justificativa.................................................................................................................... 13
2. FUNDAMENTAO TERICA........................................................................................15
2.1 A origem e a expanso das Redes Sociais Digitais...................................................15
2.2 A hegemonia do Orkut no Brasil e seu impacto social..............................................17
2.3 Caractersticas e tendncias das redes sociais..........................................................18
2.4 Os problemas de segurana das redes sociais..........................................................20
2.5 Engenharia social: a psicologia como ferramenta para o crime...............................23
2.6 Engenharia social em sites de relacionamento..........................................................26
3. A EVOLUO DOS PROCESSOS DE SEGURANA NAS REDES SOCIAIS...............30
4. ESTUDOS DE CASO........................................................................................................33
4.1 Anlise dos sistemas de segurana dos perfis do Orkut..........................................36
4.2 Anlise dos perfis acessados pelos usurios primira12 e adrimoraes12................38
5. CONCLUSO................................................................................................................... 43
REFERNCIAS ................................................................................................................... 46
11
1. INTRODUO
As redes sociais ou sites de relacionamentos podem ser considerados, hoje, uma das
ferramentas mais versteis para fazer amigos, manter contatos e conhecer pessoas por meio da
Internet. A cada dia, mais usurios da web fazem parte dessas redes, graas ao baixo custo dos
equipamentos de informtica e de acesso conexo, como tambm por projetos de incluso
digital.
Sites como Orkut, Facebook, Twitter, que possuem um grande nmero de usurios,
oferecem diversas ferramentas que facilitam as interaes sociais de seus membros. Seus
usurios podem criar lbuns de fotos personalizados, perfis com uma enorme gama de
informaes pessoais, comunidades nas quais os membros podem discutir sobre temas de
mtuo interesse etc.
Nesta primeira dcada do sculo XXI, houve um aumento considervel de ataques que
envolvem engenharia social que partiram de redes de relacionamentos. Ataques como
phishing (o usurio ludibriado para acessar um site falso de uma instituio financeira),
roubo de identidades, roubo de senhas bancrias, stalking (perseguio virtual ou fsica de um
alvo) tem se tornado um verdadeiro desafio para os responsveis pela segurana dessas redes.
12
O desafio est no fato de que o problema no reside na parte tecnolgica dos sites, mas
sim no fator humano. Seja por inexperincia com uma nova tecnologia ou pelo instinto
inerente de se socializar, so os prprios usurios que pe suas informaes em risco.
No intuito de alcanar esses objetivos, esta monografia foi dividida em sete diferentes
captulos. No Captulo 2, so descritos os objetivos gerais e especficos sendo acompanhados,
no Captulo 3, pela justificativa geral da execuo deste trabalho.
1.1 Objetivos
Dentro dessa prerrogativa, pode-se dizer que os objetivos especficos deste projeto
so:
13
Realizar levantamento literrio (em livros, jornais e revistas) sobre situaes em que a
Engenharia Social foi utilizada para prejudicar um ou mais usurios de sites de
relacionamento.
1.2 Justificativa
A chegada da segunda dcada do sculo XXI viu um enorme aumento dos nmeros de
confidence tricks, ou ataques de confiana, nos quais um criminoso virtual comete crimes se
baseando apenas na inexperincia ou da necessidade de se socializar dos outros usurios.
Partindo do pressuposto de que todo ser humano precisa se socializar, evitar esse tipo de
ataque nas redes sociais de grande importncia.
O que este trabalho pretende fazer entender como esses ataques acontecem e por
meio de dados estatsticos, definir as reas de maior problema nas redes de relacionamento.
De posse dessas informaes, pretende-se definir estratgias para reprimir este tipo de ataque
ou ao menos, reduzir os danos aos quais os usurios esto expostos.
15
2. FUNDAMENTAO TERICA
Apesar do conceito atual de "rede social digital" ter surgido no comeo da primeira
dcada do sc. XXI com os sites de relacionamentos Makeoutclub.com (2000) e o
Friendster.com (2002), a ideia de comunidade digital bem mais antiga. Com base na
necessidade humana de socializao e interao, os primeiros passos da evoluo da Internet
sempre caminharam juntos com o ideal de juntar pessoas e formar grupos.
Eles afirmam, ainda, que graas a esse novo meio de comunicao, "...as limitaes
sociais e convenes no mais evitam uma potencial relao ou parceria" e declaram que
"agora, as pessoas tem o poder de transmitir suas observaes ou questes por todo mundo e
receber respostas de outras pessoas. As redes de computadores formam uma nova conexo de
base que permite setores excludos da sociedade terem uma voz ".
Tendo em vista esses fatores, pode-se dizer que, conceitualmente, uma rede social
digital uma plataforma que permite a interao de pessoas por meio de grupos de discusso
e relacionamento. Como dito no incio desta seo, apesar desse conceito parecer recente, ele
existe desde a dcada de 80 do sec. XX.
Porm, talvez o fato mais marcante dentro da evoluo das redes sociais aconteceu
com a mudana do foco das discusses em grupo para a criao de perfis pessoais. Esse novo
formato se popularizou na primeira dcada do sc. XXI com o Friendster (KNAPP, 2006).
Usurios podiam criar pginas pessoais dentro das redes de relacionamento que continham
informaes sobre gostos pessoais, perfis musicais, vises polticas e filosficas. Esses perfis
ganharam ainda mais relevncia com a capacidade de postar fotos e criar listas de amigos, nas
quais o usurio agregava ao seu perfil, links para os perfis de amigos, parentes e colegas de
trabalho.
Quando os gigantes das redes sociais comearam a surgir na primeira dcada do sc.
XXI, a importncia do "perfil pessoal" foi o fator que mais impulsionou a expanso dos sites
de relacionamento. Segundo Ellison et al. (2009), no seu artigo A networked self, "as redes
sociais nos permitem representar digitalmente nossas conexes com outros usurios - o que
significa que podemos usar esses sites para modelar nossa rede social de relacionamentos".
Para os autores, essa capacidade de virtualizar o "eu" das mais diversas formas dentro
de uma rede social o que fez os sites de relacionamento uma ferramenta to cotidiana na
vida da sociedade atual: "O que verdadeiramente distingue sites de redes sociais de
tecnologias anteriores a rede social articulada que o centro desses sistemas."
17
Foi partindo dessa premissa de redes sociais centradas em redes de amigos, que houve
um florescimento e expanso dos sites de relacionamento na primeira dcada do sc. XXI.
No Brasil, a rede social que mais ganhou destaque e o maior nmero de adeptos foi o
Orkut. Apesar de esta rede possuir mais de 100 milhes de usurios registrados de diversas
partes do mundo, a grande maioria de brasileiros. Na prxima seo, discutida a evoluo
desta rede no Brasil.
O Orkut surgiu em 2004 durante o crescimento das redes sociais centradas em perfis
pessoais. Seu nome uma referncia direta ao nome do criador do projeto, o funcionrio da
Google Orkut Bykkkten. Como todas as redes dessa poca, grande parte do trfego de
usurios provinha dos Estados Unidos. Segundo o site Alexa.com que compila estatsticas de
visitao, em 2004, 50% dos usurios eram americanos (ALEXA, 2011).
No entanto, com o passar dos anos, o fluxo de usurios migrou essencialmente para
dois pases: Brasil e ndia. Em 2010, o site de relacionamentos j era o 11 mais visitado do
Brasil e dos seus 100 milhes de usurios registrados, 57% eram brasileiros (ALEXA, 2011).
Assim, possvel dizer que pelo menos um quarto da populao brasileira possuiu em algum
momento um perfil pessoal no Orkut.
O editor do site IDG Now!, Guilherme Felitti, afirma em artigo datado de 2008, que a
razo para esse sucesso entre os brasileiros se deveu a trs fatores principais: primeiro, a falta
de concorrncia do Orkut na poca do seu lanamento, segundo, a usabilidade do site era
18
simples e eficiente, ao contrrio de outros sites da poca, como o Myspace. A terceira razo,
no entanto, veio por conta da estratgia de marketing. No seu lanamento, apenas era possvel
criar um perfil no site quem tivesse sido convidado (FELITTI, 2008).
Essa hegemonia dentro de um pas como o Brasil, que ainda engatinha no sentido da
incluso digital e que possui uma enorme desigualdade social, fez do Orkut se estabelecer no
pas como a principal rede de relacionamento e um item quase que indispensvel na
navegao diria do usurio comum brasileiro.
O Perfil Pessoal o ponto de entrada principal dos usurios. Nele, o usurio encontra
sua lista de contatos, suas comunidades afiliadas, as atualizaes feitas nos perfis de amigos,
seu lbum de fotos e vdeos e sua pgina de scraps (mensagens curtas enviadas por outros
usurios para o seu perfil).
Por meio dessas informaes, teoricamente, novos amigos podero ter uma ideia de
quem o usurio , do que ele gosta e se existe uma compatibilidade entre as duas pessoas.
tambm por meio desses dados que os mecanismos internos do site de relacionamento
pesquisam outros perfis procura de traos de personalidade em comum e informa ao usurio
as possveis compatibilidades entre ele e novos usurios, sob o ttulo de Sugesto de Amigos.
temticos e ter permisses atribudas a eles, definindo quais pessoas da rede social pode ter
acesso e visualiz-los. Normalmente, a permisso padro para novos itens adicionados
"apenas para amigos", porm esse status pode ser modificado para atingir um grupo menor ou
maior de pessoas.
Este ltimo grupo de comunidades voltar a ser discutido mais frente. No entanto,
primeiro, so discutidos os principais problemas de segurana que atingem os usurios do
Orkut e por consequncia os usurios das redes sociais em geral.
Segundo Barnes (2006) discute no seu artigo A Privacy Paradox, a mudana de foco
das redes para os perfis pessoais tambm foi precursora de um dos maiores problemas
enfrentados pelos usurios de sites de relacionamento: a quebra de privacidade.
No entanto, esse fluxo de informaes pessoais era acessvel, at pouco tempo atrs, a
todos os usurios da rede independentemente se havia ou no algum vnculo entre dois
usurios em comum. Isso significa que tudo que era postado, discutido, comentado ou dito
por um usurio, podia ser plenamente acessado por qualquer membro da rede. A nica
barreira que existia era apenas ser ou no usurio da rede social.
So inmeros os casos noticiados nos quais essa divulgao pessoal e o acesso total a
informao por parte dos outros membros da rede se tornou prejudicial aos usurios.
Casamentos foram desfeitos, empregos foram perdidos, amizades foram separadas
simplesmente por que a "outra parte" teve acesso demais a informaes privadas de um
determinado usurio.
22
Essa exposio total de dados privados e pessoais tambm se tornou uma ferramenta
para criminosos praticarem crimes, por exemplo. Em notcia datada de 23/04/2006, o jornal
online 24HorasNews cita casos nos quais falsos sequestradores se utilizam de informaes
divulgadas pelas vtimas nos seus perfis pessoais para enganar parentes e amigos:
Outro problema bastante corriqueiro nas redes sociais eram os vrus. Durante a fase de
expanso dos sites de relacionamento, a quantidade de tecnologias novas implementadas abria
espao para falhas de segurana que permitiam criminosos virtuais disseminar programas
maliciosos como vrus, cavalos de troia (trojans) e spywares. A tcnica mais simples era
infectar um usurio e deixar o vrus se apoderar da sua lista de contatos para espalhar
mensagens contendo o vrus. Como essas mensagens provinham de um usurio conhecido da
lista, os outros usurios acreditavam que aquela era uma mensagem autntica e clicava nos
links anexados.
A maior ateno foi dada a questo das permisses, ingrediente que faltava no painel
de controle de boa parte dos sites de relacionamento. Com as permisses, os usurios podem
agora escolher quem tinha acesso para ver seus posts, fotos, vdeos e comentrios. Se um
usurio quiser, por exemplo, ele pode ter um perfil pessoal extensamente povoado de
informaes pessoais, fotos e textos, mas apenas visveis a um grupo de amigos ntimos. Os
outros contatos, que tambm so colegas ou conhecidos do usurio, veem apenas parte dessas
informaes, pois sua permisso de menor abrangncia.
O termo engenharia social se aplica a diversas tcnicas que permitem a quem as utiliza
conseguir acesso no autorizado a informaes privadas e us-las contra um alvo. O que isola
a engenharia social como categoria nica o fato desse acesso ser conseguido por meio da
psicologia contra o alvo (GOODCHILD, 2010).
24
Em um dos exemplos, ele cita a situao na qual uma pessoa obtm acesso intranet
de uma empresa, mas que protegida por uma senha que muda diariamente. Para descobrir a
senha, ele aguarda por um dia de chuva forte, liga para empresa fingindo ser um empregado
preso em casa por conta da tempestade e convence o operador a revelar a senha daquele dia.
H tambm o caso no qual uma pessoa ganha acesso a uma rea restrita de um local,
ficando porta dessa rea carregando uma grande caixa de livros, e contando com a
propenso das pessoas para manter a porta aberta para os outros nessa situao.
Alm dos dois exemplos citados, Mitnick cita mtodos padres que os engenheiros
sociais usam para enganar suas vtimas, dentre eles esto:
interessante! Mas durante a noite no aumentam os riscos de assalto? Como vocs cuidam
dessa parte?
Entrar em contato com a vtima dizendo ser do banco, companhia eltrica, etc.,
requerendo informaes para fazer um recadastramento da vtima no sistema. Ex.: Sua conta
de banco sofreu uma tentativa de invaso e precisamos que o Sr. confirme seus dados para
poder desbloque-la.
Entrar em contato com a vtima dizendo ser de outro setor da mesma empresa que
ela trabalha, para tirar dvidas sobre um novo processo de segurana. Ex.: T, a tela de
login eu j entendi, mas eu no sei que senha essa que eles esto pedindo agora. Eles s fazem
isso para complicar a nossa vida!
Segundo Laribee (2006), o ponto fraco de qualquer sistema de segurana, seja ele
fsico ou virtual, so as pessoas que fazem parte dele. explorando a confiana dessas
pessoas que um engenheiro social obtm acesso a informaes restritas sem precisar lidar com
o sistema de segurana em si.
Laribee (2006) cita, ainda, na sua dissertao de mestrado, uma pesquisa realizada em
2003 por uma empresa de segurana da Inglaterra, a InfoSec. Na pesquisa, funcionrios de
uma empresa preencheram um formulrio com perguntas genricas sobre o seu dia a dia no
trabalho. Em troca, elas ganhariam uma caneta de brinde por ter respondido o questionrio
completo.
comprometer esse sistema apenas forando a confiana entre ele e a vtima. O problema
que, at o incio desta dcada, os engenheiros sociais precisavam se expor para conseguir as
informaes das suas vtimas. No entanto, com o crescimento das redes sociais e o vasto
nmero de usurios, esses criminosos encontraram um terreno frtil para seus levantamentos
de dados, protegidos pelo anonimato da prpria rede.
A consolidao do uso das redes sociais entre os usurios de Internet abriu um novo
espao para o garimpo de informaes por parte de um engenheiro social. No mais
dependente de se expor (ou pessoalmente ou por telefone) ou de deixar rastros (contato por
email), um criminoso que se utiliza das tcnicas citadas na seo anterior pode levantar dados
sigilosos de uma vtima apenas visitando seu perfil social num site de relacionamento.
Um perfil social completo do Orkut possui locais para o usurio informar desde dados
bsicos sobre sua pessoa como nome, cidade, etc., como tambm dados adicionais como
gostos pessoais, opo sexual, local onde mora, endereo do trabalho, escolas e cursos que j
cursou, vises polticas e religiosas, entre outras. De posse desses dados, um engenheiro
social ganha acesso ao ntimo da vtima, podendo usar contra elas em ataques
como phishing e roubo de identidade.
O lbum de fotos guarda muito mais informaes do que aparenta. Crculo interno de
amigos, lugares onde o usurio frequenta, local de trabalho e hbitos pessoais podem ser
deduzidos por um engenheiro social, colocando em risco a segurana do usurio.
da vtima. Como citado na matria dos falsos sequestradores, a anlise das conversas de um
usurio pode servir para planejar um golpe se aproveitando do timing e das informaes
privadas a qual o engenheiro teve acesso.
George Bronk, 24 anos, foi condenado a quatro anos de cadeia por usar o
Facebook para invadir a conta de muitas mulheres. O morador da Califrnia
procurava, nos perfis da rede social, por pistas que o levassem a descobrir as
senhas dos emails de suas vtimas. Assim que encontrava dados, o hacker
invadia os computadores e procurava por contedo ertico. Bronk chegou a
enviar imagens das mulheres a seus maridos, namorados e colegas de
trabalho. O jovem hacker fez de vtimas mulheres em mais de 17 estados dos
Estados Unidos. (TECHTUDO, 2011).
Outro exemplo que cita as brechas de segurana presente nas redes sociais foi
noticiado no jornal Valor Econmico em 03/05/2010:
Diante dos fatos supracitados, a confiana na segurana das redes sociais faz com que
os usurios exponham mais do que deveriam, se tornando assim, alvos para golpistas que
usam tcnicas de engenharia social para cometer seus crimes.
Esse sistema de permisses padro nas outras redes sociais mais utilizadas, como
Facebook e Myspace. Ela se baseia na mesma prerrogativa dos sistemas de permisses de
outras redes utilizadas por um grupo de pessoas: um usurio s tem acesso a determinada
informao se for liberado pelo prprio administrador da rede.
No caso das redes sociais, o administrador o usurio dono da conta. A diferena
entre o sistema de permisses de redes convencionais para o das redes sociais que o nmero
de usurios muito grande para se administrar a nvel individual.
Por isso, as redes sociais (incluindo o Orkut) trabalham com essas permisses em
nvel de grupo: Todas as informaes pessoais, fotos, vdeos e bate papos, so disponveis
para visualizao apenas para outros membros marcados como amigos. O acesso vai caindo
de abrangncia conforme a marcao do membro for caindo de nvel (colega, conhecido,
trabalho, no conheo). Tambm possvel ao usurio criar grupos especficos, adicionar
membros de sua lista nesses grupos e atribuir permisses especficas.
Por exemplo, um usurio pode criar um grupo chamado Parentes, adicionar todos os
membros da sua lista que, segundo ele, pertencem a este grupo e bloquear o acesso a fotos que
so liberadas, por exemplo, para o grupo Amigos ntimos.
Como suporte a este novo sistema de permisses, todas as informaes postadas pelo
usurio na rede social tambm precisam receber uma marcao informando que tipo de
permisso um membro precisa ter para acessar aquele post. Ainda seguindo o exemplo acima,
um vdeo marcado com a permisso apenas para o grupo Amigos ntimos no seria sequer
listado como disponvel para os membros do grupo Parentes.
Alm do sistema de permisses, o Orkut implementou o uso de captchas (confirmao
por escrita) em diversas reas de sua interface. Uma mensagem contendo links externos que
postada num scrapbook de outro usurio ou numa discusso de uma comunidade precisa
passar por um captcha antes de ser enviada. Isso foi implementado visando reduzir ou a
impedir o uso de bots (programas de postagem em massa) e de spammers.
Outro uso de captchas visa reduzir os mass friendlers, programas automatizados que
adiciona amigos a sua lista de forma automtica. A partir do dcimo convite de amizade
lanado por um usurio num curto espao de tempo (30 minutos), captchas comearam a
aparecer em frequncia maior, requerendo uma interao fsica do usurio. A partir do
trigsimo convite lanando em menos de meia hora, haver um novo captcha que precisar
ser confirmado a cada novo convite.
Por ltimo, dentro das configuraes de segurana do Orkut, h a opo de habilitar
uma confirmao de email para membros que lancem convites de amizade para voc. O
32
modelo padro de convite s contm uma frase: "[nome do membro], voc quer ser meu
amigo no Orkut? Ass.: [nome do usurio]". Com essa confirmao habilitada, outro campo
aparece embaixo do convite obrigando o membro a informar seu email de contato.
No prximo captulo, esses sistemas de segurana so analisados com relao
usabilidade, clareza e eficcia.
33
4. ESTUDOS DE CASO
O processo de experimentao deste estudo foi feito em duas etapas, ambas de forma
relacionada e consequencial.
A primeira delas se baseou na criao de dois perfis falsos dentro da rede do Orkut.
Ambos os perfis foram utilizados para testar a interao entre dois usurios das mais diversas
maneiras, emulando situaes cotidianas entre dois usurios distintos dentro da rede. Essas
situaes cotidianas envolvem convidar como amigo, enviar mensagens, postar fotos,
administrar permisses e grupos etc. O objetivo dessa etapa visou analisar os sistemas de
segurana do Orkut, sua usabilidade, clareza e eficcia.
Ambos os perfis foram marcados com a sigla RLC no final dos seus nomes como
referncia ao autor deste trabalho.
A partir de cada perfil, 50 convites de amizade foram lanados para usurios reais do
Orkut, 25 homens e 25 mulheres de diferentes faixas etrias. No total, 100 convites foram
lanados, 50 para usurios do sexo masculino e 50 para usurios do sexo feminino.
Foi dado um prazo de um ms para os convites enviados pelos dois perfis serem
aceitos ou rejeitados. Aps esse prazo, foi feito a tabulao das informaes disponveis nos
perfis que aceitaram o convite. As informaes analisadas foram:
Perfis Nome, idade, local de residncia e trabalho, estado civil e outros dados
pessoais que possam oferecem uma identificao positiva de uma pessoa.
Grau 1: Perfis sem nenhuma informao especfica sobre o usurio. Difcil definir
sexo, data de nascimento, local de residncia e/ou trabalho.
Grau 2: Perfis com referncias indiretas sobre gostos pessoais, locais de trabalho,
residncia ou estudo nas comunidades afiliadas, scrapbooks ou lbum de fotos. Ex.:
Usurio inscrito em comunidades afirmativas ou possuir fotos que referenciem grupos
musicais, times de futebol, atividades profissionais e/ou atividades de lazer.
Grau 3: Perfis com referncias diretas sobre famlia, hbitos pessoais, locais de
trabalho, residncia ou estudo nas comunidades afiliadas, lbuns de fotos e
scrapbooks. Ex.: lbum de fotos contm fotos e informaes de parentes, fotos de
local de trabalho, amigos prximos e locais de comum frequncia.
Grau 4: Perfis com dados especficos sobre usurios. Ex.: Que contenha endereo
residencial, telefone residencial, email pessoal, celular e/ou cdigo de endereo postal
Como dito no Captulo 5, o aumento de problemas com privacidade dos usurios fez
com que o Orkut implementasse diversas medidas de segurana visando a aumentar o controle
dos usurios sobre o que os membros da rede podem ter acesso nas informaes postadas por
eles.
Nos testes realizados para este estudo, verificou-se que o sistema funciona sem falhas.
No momento que um membro recebe permisso de nvel suficiente para ter acesso
determinada informao, ela aparece disponvel no perfil do usurio. O sistema de permisses
em grupo tambm funciona: fotos, vdeos e outras postagens que no so permitidas a um
determinado grupo sequer aparecem como existentes no perfil do usurio.
A opo padro para novas postagens habilita todos os membros na lista de amigos do
usurio ter acesso informao postada. Alm disso, como mostra a Figura 4, a permisso j
vem pr-ativada, reduzindo a importncia dela como ferramenta de uso obrigatrio.
37
Uma comparao prtica sobre o significado dessa falha seria o mesmo que em um
sistema de usurios da rede de uma empresa, todo novo usurio receber a permisso pr-
ativada de Administrador e, s por meio da interferncia ativa do responsvel pela rede, a
permisso ser alterada para uma menor. Em um cenrio real, exatamente o contrrio que
acontece.
que mesmo com os captchas aparecendo com extrema frequncia, os 100 convites de amigos
necessrios para a segunda fase da experimentao foram enviados em menos de 30 minutos.
Ficou claro ento, nessa primeira fase, que as ferramentas passivas de segurana
implementadas pelo Orkut so eficientes at certo ponto. Sem dvida, um usurio externo
tentando acessar dados de membros que no fazem parte de sua lista de amigos ter pouco
sucesso na sua empreitada. No entanto, basta ser "amigo" de um membro e todos os dados
adicionados por ele com a permisso de "visvel para todos os amigos" se tornaro acessveis.
Foi a partir dessa descoberta que a segunda fase dessa experimentao foi baseada.
Como mostrado no grfico 1, das 100 pessoas que receberam um pedido de amizade
dos dois perfis falsos criados para este experimento, 51 membros da rede do Orkut aceitaram.
Vale ressaltar que foram enviados apenas convites na sua forma mais bsica e que no foram
feitas segundas tentativas. Alm disso, necessrio informar que das 100 pessoas convidadas,
apenas 10 tinham habilitado o sistema de confirmao de email citado no Captulo 4.
Nos grficos 2 e 3 foram separados os membros que aceitaram o convite entre os dois
usurios (primira12 e adrimoraes12) como tambm entre homens e mulheres.
39
O grfico 6 mostra o "perfil pessoal", tambm conhecida como a "folha de rosto" das
contas dos 51 usurios. Do universo analisado, 22 membros (43%) possuam o seu perfil
preenchido de forma completa, contendo informaes especficas sobre os pontos citados
anteriormente com permisses abertas para "todos os amigos". Por outro lado, os outros 29
41
No grfico 8, possvel perceber que uma porcentagem similar de usurios esto com
a segurana dos seus perfis comprometidas por meio do excesso de comunidades descritivas
as quais so afiliados. Dos 51 usurios que aceitaram os convites de amizade, 41 deles (80%)
so afiliados a comunidades descritivas o suficiente para montar um perfil psicolgico dessas
pessoas. H casos em que um nico usurio afiliado a mais de 400 comunidades, que, na
grande maioria, so comunidades afirmativas como "Eu estudo no Colgio Anglo", "Todo
sbado vou na balada" ou at mesmo "Eu bebo at cair".
42
Por ltimo, os 51 perfis foram analisados na sua totalidade e foram agrupados por
graus de comprometimento segundo o ranking elaborado na metodologia deste estudo.
Neste grfico, possvel perceber que dos 51 usurios que aceitaram os convites,
apenas 10 possuam um perfil pessoal que no oferecesse riscos. Esses perfis possuam
poucas fotos, poucas comunidades afiliadas e poucas informaes pessoais. Por outro lado, 41
perfis possuam algum tipo de comprometimento: trs possuam riscos do Grau 2, por meio
do qual um engenheiro social pode obter informaes genricas sobre a pessoa. Dezesseis
estavam no Grau 3, no qual os dados fornecidos indicam locais de estudo, trabalho ou
residncia, como tambm o de parentes e amigos. No Grau 4, no entanto, foi onde se
encaixou quase metade dos membros convidados (43%). Esses perfis ofereciam o maior grau
de risco, com informaes detalhadas sobre endereo residencial, lista de amigos ntimos,
local de trabalho, nmeros de telefone e email pessoais.
43
5. CONCLUSO
Como disse Mitnick (2004) no seu livro A Arte de Enganar, o problema da engenharia
social difcil de ser resolvido pois no est agregado ao cdigo de programao ou ao
hardware da mquina, mas sim s falhas inerentes ao comportamento humano que podem ser
exploradas.
Durante este estudo foi visto que a maior parte dos problemas gerados pela engenharia
social nos sites de relacionamento poderia ser evitada se tanto o usurio quanto a plataforma
tivessem, como ponto de partida, a ideia de que a segurana das informaes essencial.
claro que existem diversos fatores culturais, sociais e tecnolgicos envolvidos, que,
apesar de no ser do escopo deste estudo, interferem fundamentalmente na busca de uma
soluo para o problema. Alm do mais, como disse o prprio Mitnick, enquanto o ser
humano for o elo mais fraco da corrente de segurana, a brecha sempre vai existir. Segundo o
prprio autor, "no existe patch para a estupidez humana". Por mais que essa afirmao soe
pesada, o fato de ela vir de um dos engenheiros sociais mais procurados pela polcia
americana na dcada de 90 faz com que ela, pelo menos, merea relevncia.
Apesar de tudo, mesmo que seja um fato de que a questo da engenharia social um
problema sem soluo, durante o desenvolvimento deste estudo, alguns procedimentos e
aes foram percebidas, que, se fossem implementados, poderiam reduzir consideravelmente
o problema.
Outro ponto dentro da plataforma que poderia ser melhorado a questo dos captchas.
Por mais que a eficcia deles esteja direcionada aos programas de mensagens em massa, eles
deveriam vir acompanhados de outras restries de navegabilidade para impedir que um
usurio mal intencionado consiga executar aes suspeitas dentro de uma rede. Um exemplo
44
de uma ao suspeita seria enviar convites para 100 membros de uma nica comunidade em
meia hora. Um limitador de tempo ou uma limitao de nmero de amigos por dia
atrapalharia aes como essa de forma um pouco mais eficaz.
claro que nessas "solues" no est sendo levada em conta a questo da praticidade
ou da facilidade de uso por parte de usurio, nem questes comerciais e de marketing como
nmero de usurios e a concorrncia com outras redes. No entanto, a segurana no deve ser
deixada para segundo plano em favor de "praticidade de uso" ou share de mercado.
No Brasil, esse problema se agrava ainda mais, pois o formato na qual a incluso
digital se apia fundamentalmente material: os investimentos dos governos se focam apenas
em abrir o acesso da populao aos meios tecnolgicos, como corte de impostos, a diminuio
de preos de equipamentos eletrnicos e a abrangncia da cobertura de banda larga. No
entanto, pouco visto com relao ao investimento da educao tecnolgica. Nas escolas
onde existe instruo na rea de Informtica, o foco direcionado a "como a tecnologia
funciona", mas pouco visto sobre "como usar bem a tecnologia".
Fica evidente ento que, da maneira como se apresenta, a batalha para a proteo de
dados privados est fadada ao fracasso. Por mais que certas implementaes dentro da
plataforma sejam necessrias para garantir maior segurana dos dados divulgados, nada disso
ir funcionar sem uma participao ativa de todas as esferas da sociedade, sejam elas
polticas, educacionais ou familiares.
45
So lies simples que podem ser dadas em sala de aula. Lies como "nunca divulgue
numa rede de milhes de pessoas algo que voc considera privado", "nunca publique dados
especficos sobre sua pessoa" e "nunca, jamais aceite o convite de amizade de uma pessoa que
voc nunca viu na vida".
46
REFERNCIAS
24HORASNEWS. Bandidos usam dados do Orkut para planejar falsos seqestros. (2006)
<http://www.24horasnews.com.br/index.php?mat=175476> Acessado em 12/08/2011
BARNES, Susan B. (2006). "A privacy paradox: Social networking in the United States".
First Monday.
<http://firstmonday.org/htbin/cgiwrap/bin/ojs/index.php/fm/article/viewArticle /1394/1312 >
Acessado em: 13/08/2011
BORGES, Andr. Golpes da Web Migram para as redes sociais. (2010). Valor Econmico.
<http://www.abmn.com.br/img/eventos/pdf2010/maio2/Golpes%20em%20redes
%20sociais.pdf > Acessado em 14/08/2011
BOYD, Danah; ELLISON, Nicole (2007). "Social Network Sites: Definition, History, and
Scholarship". Journal of Computer-Mediated Communication 13.
ELLISON, N., LAMPE, C., STEINFIELD, C., & VITAK, J. (2009). A networked self:
Identity, community and culture on social network sites. New York: Routledge.
FELITTI, Guilherme. Orkut: as razes para o sucesso da rede social do Google entre
brasileiros. (2008). Ministrio da Cultura. <http://www.cultura.gov.br/site/2008/07/10/orkut-
as-razoes-para-o-sucesso-da-rede-social-do-google-entre-brasileiros/> Acessado em
12/08/2011
HAUBEN, Michael & HAUBEN, Melinda. The Net and the Netizens. (1995). Columbia
University. <http://www.columbia.edu/~rh120/ch106.x01 > Acessado em 01/08/2011.
HUFFAKER, David A.; CALVERT , Sandra L., (2005). Gender, identity, and langugage use
in teenage blogs, Journal of ComputerMediated Communication, (volume 10, number 2),
<http://jcmc.indiana.edu/vol10/issue2/huffaker.html>, Acessado em: 15/08/2011.
MATTERN, Jennifer. 5 Things to Keep Off Social Networking Profiles. (2010). Social
Implications. <http://socialimplications.com/5-things-to-keep-off-social-networking-profiles-
if-youll-ever-be-job-hunting-again/ > Acessado em 13/08/2011
ROSENBLUM, David, (2007). "What Anyone Can Know: The Privacy Risks of Social
Networking Sites," IEEE Security and Privacy, vol. 5, no. 3.
48
THE REGISTER, Office workers give away passwords for a cheap pen. (2003)
<http://www.theregister.co.uk/2003/04/18/office_workers_give_away_passwords/ > Acessado
em 12/08/2011