1

Universidade Estadual de Maring UEM

Departamento de Informtica DIN
Especializao em Desenvolvimento de Sistemas para Web Turma 7

ENGENHARIA SOCIAL NAS

REDES SOCIAIS

REINALDO LEOPOLDINO CAVALCANTI JR.

Prof. Dra. Luciana Andria Fondazzi Martimiano

(Orientadora)

Maring-PR
2011
 2

REINALDO LEOPOLDINO CAVALCANTI JR.

ENGENHARIA SOCIAL NAS

REDES SOCIAIS

Monografia apresentada ao Departamento de

Informtica (DIN) da Universidade Estadual de Maring
(UEM) como parte dos requisitos para obteno do
ttulo de Especialista em Desenvolvimento de Sistemas
para Web.

Prof. Dra. Luciana Andria Fondazzi Martimiano

(Orientadora)

Maring-PR
2011
 3

A eficcia de um sistema de segurana medida pelo elo mais fraco da corrente,

Kevin Mitnick
 4

Esta monografia dedicada Vanessa Olivia Chiarelli, que eu reencontrei

por meio do Orkut depois de 16 anos e hoje minha esposa.
 5

AGRADECIMENTOS

A produo desta monografia contou com a ajuda inestimvel de diversas pessoas. Em

primeiro lugar, ao coordenador do curso de Especializao em Desenvolvimento de Sistemas
da UEM, Wesley Romo, por ter dado a oportunidade a um jornalista webdesigner de fazer
parte de uma turma formada por profissionais veteranos em informtica. Em segundo, lugar
minha orientadora, Luciana Martimiano por me ensinar como se faz uma monografia e evitar
que tudo isso aqui ficasse com cara de jornal. Em terceiro, aos meus pais e sogros, pelo apoio
financeiro, logstico e moral durante um ano e meio de longas viagens de madrugada para
chegar e voltar de Maring. Aos meus companheiros de sala, pelas incontveis noites de
cerveja e pizza, onde eram ensinados os macetes digitais que nenhuma sala de aula ensina.
Aos professores, por terem suportado a interminvel enxurrada de perguntas bvias e
deslocadas da realidade com bom humor e pacincia. E por ltimo, mas no menos
importante, minha esposa, Vanessa Chiarelli, pelo amor, apoio, pacincia e dedicao
durante toda a durao do curso.
 6

RESUMO

Os servios de redes sociais, como o Orkut, encontraram terreno frtil entre os internautas
brasileiros. Combinando o crescimento econmico do pas, o acesso do pblico tecnologia
mais barata e a natureza social do povo brasileiro, esses sites se tornaram um dos destinos
mais visitados na Internet do pas. Mas com a novidade da tecnologia tambm veio o perigo:
criminosos virtuais, usando tcnicas psicolgicas avanadas chamadas de engenharia social,
vasculham perfis sociais mal protegidos para obter informaes pessoais e privadas para us-
las contra suas vtimas em crimes como truques de confiana, furto ou roubo de identidade. O
objetivo deste estudo analisar este problema, e propor uma possvel soluo para evitar este
tipo de falha de segurana que no est relacionada tecnologia em si, mas inerente ao
comportamento humano.

Palavras Chaves: Engenharia Social, Redes Sociais, Segurana

 7

ABSTRACT
Social Networking Services, like Orkut, took Brazilian Internet users like a storm. Combining
the economic growth of the country, the publics access to cheaper technology and the social
nature of the Brazilian people, these web services became one of the most visited destinies
over the countrys Internet. But with the novelty of the technology also came danger: cyber
criminals, using advanced psychological techniques called social engineering, scavenged
poorly secured social profiles for personal and private information to use against their victims
in crimes as confidence tricks, burglary and identity theft. The aim of this study is to analyze
this problem, and propose a possible solution to avoid this type of security breach that is
unrelated to the technology, but inherent to the human behavior.

Keywords: Social Engineering, Social Networks, Security

 8

LISTA DE GRFICOS

Grfico 1. Nmero de pessoas que aceitaram convite.....................................................38

Grficos 2 e 3. Diviso de sexo entre usurios que aceitaram convite..........................39
Grfico 4. Faixa etria dos usurios que aceitaram convite de primira12......................39
Grfico 5. Faixa etria dos usurios que aceitaram convite de adrimoraes12..............40
Grfico 6. Porcentagem de usurios que possuem perfil pessoal completo.................40
Grfico 7. Porcentagem de usurios que possuem fotos privadas................................40
Grfico 8. Porcentagem de usurios que possuem comunidades descritivas..............40
Grfico 9. Porcentagem de usurios agrupados por ranking..........................................13
 9

LISTA DE IMAGENS

Figura 1: Exemplo de Captchas utilizados pelo Orkut.....................................................23

Figura 2: Perfil de "Priscila Miranda"................................................................................33
Figura 3: Perfil de "Adriano Moraes".................................................................................34
Figura 4: Exemplo de Permisso pr-ativada e abrangente............................................37
Figura 5: Segundo Exemplo de Permisso pr-ativada...................................................37
 10

SUMRIO

1. INTRODUO.................................................................................................................. 11
1.1 Objetivos........................................................................................................................ 12
1.2 Justificativa.................................................................................................................... 13
2. FUNDAMENTAO TERICA........................................................................................15
2.1 A origem e a expanso das Redes Sociais Digitais...................................................15
2.2 A hegemonia do Orkut no Brasil e seu impacto social..............................................17
2.3 Caractersticas e tendncias das redes sociais..........................................................18
2.4 Os problemas de segurana das redes sociais..........................................................20
2.5 Engenharia social: a psicologia como ferramenta para o crime...............................23
2.6 Engenharia social em sites de relacionamento..........................................................26
3. A EVOLUO DOS PROCESSOS DE SEGURANA NAS REDES SOCIAIS...............30
4. ESTUDOS DE CASO........................................................................................................33
4.1 Anlise dos sistemas de segurana dos perfis do Orkut..........................................36
4.2 Anlise dos perfis acessados pelos usurios primira12 e adrimoraes12................38
5. CONCLUSO................................................................................................................... 43
REFERNCIAS ................................................................................................................... 46
 11

1. INTRODUO

As redes sociais ou sites de relacionamentos podem ser considerados, hoje, uma das
ferramentas mais versteis para fazer amigos, manter contatos e conhecer pessoas por meio da
Internet. A cada dia, mais usurios da web fazem parte dessas redes, graas ao baixo custo dos
equipamentos de informtica e de acesso conexo, como tambm por projetos de incluso
digital.

Sites como Orkut, Facebook, Twitter, que possuem um grande nmero de usurios,
oferecem diversas ferramentas que facilitam as interaes sociais de seus membros. Seus
usurios podem criar lbuns de fotos personalizados, perfis com uma enorme gama de
informaes pessoais, comunidades nas quais os membros podem discutir sobre temas de
mtuo interesse etc.

Tais informaes normalmente so de domnio pblico, a no ser que o usurio em

questo restrinja o acesso das mesmas para serem compartilhadas apenas com seu crculo de
amigos reais.

Para os membros que no fazem parte desse crculo de amizade, poucas so as

informaes as quais se possui acesso, criando assim, uma zona de segurana contra
usurios desconhecidos.

Entra em cena a Engenharia Social. Segundo Kevin Mitnick (2004), um Engenheiro

Social uma pessoa que manipula a confiana de outra para ter acessos a informaes
consideradas privadas. Ele tambm pode, por meio das poucas informaes a que tem acesso,
montar um quadro mais aprofundado de um alvo. Sem que o alvo saiba, essas informaes
que ele considera irrelevantes do ao engenheiro social a possibilidade de prejudicar seu alvo
empresarialmente, socialmente, financeiramente ou psicologicamente.

Nesta primeira dcada do sculo XXI, houve um aumento considervel de ataques que
envolvem engenharia social que partiram de redes de relacionamentos. Ataques como
phishing (o usurio ludibriado para acessar um site falso de uma instituio financeira),
roubo de identidades, roubo de senhas bancrias, stalking (perseguio virtual ou fsica de um
alvo) tem se tornado um verdadeiro desafio para os responsveis pela segurana dessas redes.
 12

O desafio est no fato de que o problema no reside na parte tecnolgica dos sites, mas
sim no fator humano. Seja por inexperincia com uma nova tecnologia ou pelo instinto
inerente de se socializar, so os prprios usurios que pe suas informaes em risco.

O objetivo principal deste trabalho analisar este problema, definindo quais so as

principais reas de risco as quais os usurios esto expostos. Alm disso, definir por meio de
dados levantados, estatsticas e estudos de casos, quais so os principais ataques arquitetados
pelos engenheiros sociais e como esses ataques tem atingido os usurios de redes sociais. Por
fim, por meio dessa anlise, estudar as estratgias de segurana que os responsveis dessas
redes usam para reduzir este problema em seus sites.

No intuito de alcanar esses objetivos, esta monografia foi dividida em sete diferentes
captulos. No Captulo 2, so descritos os objetivos gerais e especficos sendo acompanhados,
no Captulo 3, pela justificativa geral da execuo deste trabalho.

O Captulo 4 apresenta a fundamentao terica, bem como os direcionamentos

necessrios para a aplicao prtica deste trabalho. O Captulo 5 descreve a evoluo do
processo de segurana nas redes sociais. No Captulo 6, a metodologia descrita em detalhes
com os passos que foram realizados para a execuo da experimentao prtica.

Por fim, o Captulo 7 descreve detalhadamente o processo de experimentao e a

anlise dos dados. Este captulo seguido pelo captulo final, a Concluso, na qual tudo o que
foi discutido neste estudo resumido e algumas solues so apresentadas.

1.1 Objetivos

Tendo em vista a natureza instintivamente social do problema da exposio online,

este estudo no pretende encontrar uma soluo definitiva para o problema da engenharia
social. Do ponto de vista acadmico, ele pretende, na verdade, traar linhas de ao para
minimizar a exposies de informaes pessoais sigilosas dos usurios dentro das redes
sociais.

Devido vasta quantidade de sites de relacionamentos, o foco deste projeto estar

restrito ao Orkut. Segundo o site Alexa.com, 56,3% dos usurios do Orkut so brasileiros,
tornando-o a rede social mais utilizada no pas (ALEXA, 2011).

Dentro dessa prerrogativa, pode-se dizer que os objetivos especficos deste projeto
so:
 13

Executar um levantamento estatstico dentro de perfis pessoais, visando a definir

padres nos dados que os usurios liberam para divulgao pblica.

Realizar levantamento literrio (em livros, jornais e revistas) sobre situaes em que a
Engenharia Social foi utilizada para prejudicar um ou mais usurios de sites de
relacionamento.

Definir os tipos de ataques mais utilizados pelos Engenheiros Sociais.

1.2 Justificativa

A necessidade humana de se socializar no recente. Desde as primeiras tribos, os

seres humanos se aglomeravam em grupos como forma de sobrevivncia. A recente exploso
digital e o acesso dos humanos a uma rede de comunicao interligada de propores globais
trouxeram toda uma mudana no paradigma do que fazer parte de um grupo.

Os sites de relacionamento so apenas um reflexo dessa necessidade. Oferecendo aos

seus usurios uma gama diversa de possibilidades de fazer amigos, conhecer pessoas e refinar
o relacionamento com contatos j existentes, no de se espantar que as redes sociais sejam
listadas atualmente como os sites mais visitados da Internet.

O problema da Engenharia Social tambm no recente, mas encontrou nesses sites

um terreno frtil onde um usurio mal intencionado pode obter informaes privadas com
facilidade e de forma annima.

Gostos pessoais, endereos, nmeros de telefones, fotos de famlias, de viagens, de

eventos, tudo pode ser acessado com apenas poucos cliques. Por meio dessas informaes,
amizades podem ser estabelecidas, negcios podem ser feitos, relacionamentos podem
desabrochar. No entanto, do outro lado da moeda, um usurio mal intencionado, um
engenheiro social, pode utilizar esses dados para prejudicar um usurio idneo de diversas
maneiras.

A chegada da segunda dcada do sculo XXI viu um enorme aumento dos nmeros de
confidence tricks, ou ataques de confiana, nos quais um criminoso virtual comete crimes se
baseando apenas na inexperincia ou da necessidade de se socializar dos outros usurios.

Seja no meio empresarial, na vida pessoal, financeira ou romntica, os danos causados

por um ataque bem arquitetado pode colocar em risco a segurana de um usurio inexperiente.
 14

Partindo do pressuposto de que todo ser humano precisa se socializar, evitar esse tipo de
ataque nas redes sociais de grande importncia.

A prerrogativa bsica deste estudo analisar este processo. O problema da engenharia

social no de fcil soluo, por conta dessa necessidade bsica dos seres humanos de fazer
parte de uma comunidade, de um grupo social.

O que este trabalho pretende fazer entender como esses ataques acontecem e por
meio de dados estatsticos, definir as reas de maior problema nas redes de relacionamento.
De posse dessas informaes, pretende-se definir estratgias para reprimir este tipo de ataque
ou ao menos, reduzir os danos aos quais os usurios esto expostos.
 15

2. FUNDAMENTAO TERICA

2.1 A origem e a expanso das Redes Sociais Digitais

Apesar do conceito atual de "rede social digital" ter surgido no comeo da primeira
dcada do sc. XXI com os sites de relacionamentos Makeoutclub.com (2000) e o
Friendster.com (2002), a ideia de comunidade digital bem mais antiga. Com base na
necessidade humana de socializao e interao, os primeiros passos da evoluo da Internet
sempre caminharam juntos com o ideal de juntar pessoas e formar grupos.

Mesmo no final do sculo passado, quando os microcomputadores ainda

engatinhavam em direo a uma hegemonia domiciliar, alunos e acadmicos dentro de
universidades e centros de pesquisas j utilizavam redes de emails como a Usenet (1980) e
BBS (1979) para se comunicar em grupo. fato que, em termos comparativos, tanto a
interface, quanto a usabilidade e a quantidade de informaes disponveis sobre um usurio
diferiram radicalmente com o passar do tempo, porm o conceito e a relevncia dessas redes
mais antigas so as mesmas se comparadas proporcionalmente com as de vinte anos depois.

Quando Michael e Ronda Hauben escreveram o livro Netizens em 1995, discutindo os

impactos das "redes sociais" da poca na sociedade humana, eles no pouparam exemplos de
"inovaes" nos relacionamentos sociais digitais que hoje tomado por corriqueiro. Segundo
os autores, "...as conexes sociais que antes nunca seriam possveis, ou relativamente difcil
de serem feitas, agora foram facilitadas pela Net. O tempo e a geografia deixaram de ser
obstculos" (HAUBEN e HAUBEN, 1995).

Eles afirmam, ainda, que graas a esse novo meio de comunicao, "...as limitaes
sociais e convenes no mais evitam uma potencial relao ou parceria" e declaram que
"agora, as pessoas tem o poder de transmitir suas observaes ou questes por todo mundo e
receber respostas de outras pessoas. As redes de computadores formam uma nova conexo de
base que permite setores excludos da sociedade terem uma voz ".

possvel perceber que j na dcada de 90, na qual gigantes sites de relacionamento

como Facebook, Twitter ou o Orkut nem existiam, o conceito de comunidade virtual j estava
presente e em pleno funcionamento, apesar das dificuldades tcnicas da poca.
 16

Essas dificuldades, nas quais se enquadram velocidade de transmisso, capacidade de

processamento e armazenamento, foram suplantadas com o passar do tempo, gerando
oportunidades para que as redes de relacionamento virtuais oferecessem novas formas de
interao entre os grupos. Aliando isso ao baixo custo para aquisio de tecnologia por parte
dos usurios, o nmero de membros das comunidades virtuais cresceu exponencialmente.

Tendo em vista esses fatores, pode-se dizer que, conceitualmente, uma rede social
digital uma plataforma que permite a interao de pessoas por meio de grupos de discusso
e relacionamento. Como dito no incio desta seo, apesar desse conceito parecer recente, ele
existe desde a dcada de 80 do sec. XX.

Porm, talvez o fato mais marcante dentro da evoluo das redes sociais aconteceu
com a mudana do foco das discusses em grupo para a criao de perfis pessoais. Esse novo
formato se popularizou na primeira dcada do sc. XXI com o Friendster (KNAPP, 2006).
Usurios podiam criar pginas pessoais dentro das redes de relacionamento que continham
informaes sobre gostos pessoais, perfis musicais, vises polticas e filosficas. Esses perfis
ganharam ainda mais relevncia com a capacidade de postar fotos e criar listas de amigos, nas
quais o usurio agregava ao seu perfil, links para os perfis de amigos, parentes e colegas de
trabalho.

Essa mudana de foco para o lado pessoal do usurio transformou os grupos de

discusso dentro de uma temtica comum (como acontecia na Usenet) para grupos sociais de
amigos em comum. Foi a partir da que o conceito atual de rede social como conhecido hoje
ganhou seu momentum.

Quando os gigantes das redes sociais comearam a surgir na primeira dcada do sc.
XXI, a importncia do "perfil pessoal" foi o fator que mais impulsionou a expanso dos sites
de relacionamento. Segundo Ellison et al. (2009), no seu artigo A networked self, "as redes
sociais nos permitem representar digitalmente nossas conexes com outros usurios - o que
significa que podemos usar esses sites para modelar nossa rede social de relacionamentos".

Para os autores, essa capacidade de virtualizar o "eu" das mais diversas formas dentro
de uma rede social o que fez os sites de relacionamento uma ferramenta to cotidiana na
vida da sociedade atual: "O que verdadeiramente distingue sites de redes sociais de
tecnologias anteriores a rede social articulada que o centro desses sistemas."
 17

Foi partindo dessa premissa de redes sociais centradas em redes de amigos, que houve
um florescimento e expanso dos sites de relacionamento na primeira dcada do sc. XXI.

O j citado Friendster surgiu em 2002 e hoje conta com 90 milhes de usurios, a

maior em pases asiticos. O hi5 veio em 2003, sendo bastante popular na europa e no oriente
mdio, com 80 milhes. No mesmo ano surgiram o Myspace e o Linkedln, este ltimo com o
foco em contatos profissionais e de negcios. Atualmente, ambas as rede possuem mais de
100 milhes de usurios demograficamente centrado na Amrica do Norte. No entanto, foi em
2004 que surgiu a maior rede social de todas: o Facebook. Atualmente, apenas esta rede
possui mais de meio bilho de usurios espalhados por todas as regies do planeta.

Variaes de sites de relacionamento dentro de uma temtica central como o

deviantArt (artstico), o Flickr (fotografia), o Last.fm (msica) e o Twitter (microblogging)
tambm ganharam fora e hoje contam com centenas de milhares de usurios registrados.

No Brasil, a rede social que mais ganhou destaque e o maior nmero de adeptos foi o
Orkut. Apesar de esta rede possuir mais de 100 milhes de usurios registrados de diversas
partes do mundo, a grande maioria de brasileiros. Na prxima seo, discutida a evoluo
desta rede no Brasil.

2.2 A hegemonia do Orkut no Brasil e seu impacto social

O Orkut surgiu em 2004 durante o crescimento das redes sociais centradas em perfis
pessoais. Seu nome uma referncia direta ao nome do criador do projeto, o funcionrio da
Google Orkut Bykkkten. Como todas as redes dessa poca, grande parte do trfego de
usurios provinha dos Estados Unidos. Segundo o site Alexa.com que compila estatsticas de
visitao, em 2004, 50% dos usurios eram americanos (ALEXA, 2011).

No entanto, com o passar dos anos, o fluxo de usurios migrou essencialmente para
dois pases: Brasil e ndia. Em 2010, o site de relacionamentos j era o 11 mais visitado do
Brasil e dos seus 100 milhes de usurios registrados, 57% eram brasileiros (ALEXA, 2011).
Assim, possvel dizer que pelo menos um quarto da populao brasileira possuiu em algum
momento um perfil pessoal no Orkut.

O editor do site IDG Now!, Guilherme Felitti, afirma em artigo datado de 2008, que a
razo para esse sucesso entre os brasileiros se deveu a trs fatores principais: primeiro, a falta
de concorrncia do Orkut na poca do seu lanamento, segundo, a usabilidade do site era
 18

simples e eficiente, ao contrrio de outros sites da poca, como o Myspace. A terceira razo,
no entanto, veio por conta da estratgia de marketing. No seu lanamento, apenas era possvel
criar um perfil no site quem tivesse sido convidado (FELITTI, 2008).

Segundo o Felitti, "...a necessidade de um convite para participar, o que instigava a

curiosidade dos que ainda estavam de fora para entender qual era o grande atrativo da rede
social." Para o autor, "Isso agiu como uma espcie de fermento para a vontade do internauta
em fazer seu perfil."

O prprio criador do site, em entrevista Revista Folha de 2005, confirma o terceiro

ponto citado por Felitti, mas tambm afirma que o sucesso pode ter vindo de questes sociais:
"Talvez seja cultural, tenha a ver com a personalidade de vocs, que so conhecidos como um
povo amigvel" (FOLHA ONLINE, 2005).

Em 2010, o site de estatsticas comScore afirmou que de cada quatro internautas

brasileiros, trs tinham perfis no Orkut: "Em agosto de 2010, mais de 36 milhes de usurios
de Internet visitou um site de relacionamentos no Brasil. O Orkut classificado como o
destino mais visitado, atingindo 29,4 milhes de visitantes" (COMSCORE, 2010).

Essa hegemonia dentro de um pas como o Brasil, que ainda engatinha no sentido da
incluso digital e que possui uma enorme desigualdade social, fez do Orkut se estabelecer no
pas como a principal rede de relacionamento e um item quase que indispensvel na
navegao diria do usurio comum brasileiro.

Na prxima seo, so discutidas as caractersticas principais das redes sociais e as

ferramentas que os usurios dispem nesses sites para fazer amigos e formar grupos.

2.3 Caractersticas e tendncias das redes sociais

Como dito na primeira seo, as caractersticas marcantes dos sites de relacionamento

mudaram de foco com o passar dos anos. A ateno ao "perfil pessoal" fez surgir diversas
ferramentas e implementaes que permitiram aos usurios disponibilizar mais informaes
pessoais das mais diversas maneiras.

A anlise dessas caractersticas fundamental na compreenso do atual cenrio no

qual ocorre a intercomunicao dos usurios. Apesar do escopo deste estudo ser o site de
relacionamento Orkut, todas ou quase todas as caractersticas discutidas a seguir so comuns
s maiores redes sociais da Internet.
 19

O Perfil Pessoal o ponto de entrada principal dos usurios. Nele, o usurio encontra
sua lista de contatos, suas comunidades afiliadas, as atualizaes feitas nos perfis de amigos,
seu lbum de fotos e vdeos e sua pgina de scraps (mensagens curtas enviadas por outros
usurios para o seu perfil).

A finalidade do perfil, como o nome j diz, traar um perfil do usurio a partir de

informaes que ele disponibiliza, como seu status de relacionamento (solteiro, casado etc),
sua data de aniversrio, seu email pessoal, endereo residencial, cidade, estado. Alm disso, o
perfil permite ao usurio informar gostos pessoais e hbitos relevantes formao de grupos
de amigos como gosto musical, religio do usurio, opo sexual, livros que gosta de ler,
hbitos de sade e prtica de esporte.

H tambm a possibilidade de informar dados trabalhistas e acadmicos como

empresas trabalhadas, ramos de atuao, escolas e cursos feitos etc. Por fim, h uma ltima
rea na qual o usurio pode informar traos fsicos como cor do cabelo, dos olhos, a presena
de tatuagens ou piercings, etc.

A variedade de detalhes pessoais possveis de se informar num perfil social cresceu

com o passar dos anos, chegando ao patamar atual em que quase todos os traos de
personalidade podem ser informados e divulgados para a rede.

Por meio dessas informaes, teoricamente, novos amigos podero ter uma ideia de
quem o usurio , do que ele gosta e se existe uma compatibilidade entre as duas pessoas.
tambm por meio desses dados que os mecanismos internos do site de relacionamento
pesquisam outros perfis procura de traos de personalidade em comum e informa ao usurio
as possveis compatibilidades entre ele e novos usurios, sob o ttulo de Sugesto de Amigos.

Seu scrapbook, ou caixa de mensagens, onde o usurio encontra todo o histrico de

mensagens trocadas entre ele e os outros usurios da rede. O que antes era apenas um lugar
onde mensagens apareciam, hoje assumiu o formato de conversas, onde as mensagens so
agrupadas por usurios e por data, possibilitando uma compreenso melhor do fluxo de
conversao entre duas pessoas. Todos os membros pertencentes lista de amigos do usurio
podem ver parcial ou completamente o seu histrico de conversas.

O lbum de fotos e vdeos surgiu com o aumento da banda de transmisso pela

Internet. Por meio dele os usurios possuem um espao virtualmente infinito para divulgar
fotos e vdeos pessoais. Esses elementos multimdia podem ser agrupados em grupos
 20

temticos e ter permisses atribudas a eles, definindo quais pessoas da rede social pode ter
acesso e visualiz-los. Normalmente, a permisso padro para novos itens adicionados
"apenas para amigos", porm esse status pode ser modificado para atingir um grupo menor ou
maior de pessoas.

Uma implementao recente ao lbum de fotos a capacidade de adicionar tags (ou

marcadores) nas imagens, informando o link do perfil das pessoas que estavam presentes
naquela foto. Isso cria um elo entre o lbum de fotos e o perfil pessoal de outro usurio.

As comunidades servem como um vnculo ao modelo antigo das redes sociais de

grupos de discusso. Nelas o usurio normalmente discute assuntos relacionados aos temas da
comunidade com outros membros, criando assim, uma lista de discusso similar aos fruns,
que qualquer membro da rede tem acesso.

Atualmente, o nmero de comunidades dentro do Orkut supera os milhes. Elas esto

divididas nas mais variadas temticas como Artes e Entretenimento, Negcios, Pases e
Regies, Culturas e Comunidade, Famlia e Lar, Moda e Beleza, Culinria entre outros. Existe
tambm um enorme nmero de "comunidades de afirmao" que no pertencem a nenhum
grupo especfico, mas tem como meta juntar usurios que possuem caractersticas pessoais em
comum como "odiar acordar cedo", "adorar lasanha", "ser ciumento", "enrolar nas tarefas
domsticas", "procrastinar no trabalho" entre outros.

Este ltimo grupo de comunidades voltar a ser discutido mais frente. No entanto,
primeiro, so discutidos os principais problemas de segurana que atingem os usurios do
Orkut e por consequncia os usurios das redes sociais em geral.

2.4 Os problemas de segurana das redes sociais

Como toda nova tecnologia implementada e passiva de falhas, os sites de

relacionamento tiveram ao longo dos anos diversos problemas com segurana. O rpido
crescimento da base de usurios, a concorrncia entre as diversas redes e a corrida para lanar
uma nova ferramenta ou um novo recurso dentro desses sites, fizeram com que, a cada ano,
mais e mais usurios sofressem por conta de roubo de informaes e falhas na proteo
privacidade (COLLINS, 2008).

Esses problemas com segurana se agravaram de diversas formas com o passar do

tempo e com o aumento dos usurios de sites de relacionamento. As falhas vo desde a quebra
 21

de privacidade, o roubo de dados, o acesso a informaes privadas por empresas de

marketing, ataques de vrus e de engenheiros sociais (COLLINS, 2008).

Apesar do escopo deste projeto ser o site de relacionamentos Orkut, as falhas

discutidas nesta seo so comuns em quase todas as outras redes sociais.

Segundo Barnes (2006) discute no seu artigo A Privacy Paradox, a mudana de foco
das redes para os perfis pessoais tambm foi precursora de um dos maiores problemas
enfrentados pelos usurios de sites de relacionamento: a quebra de privacidade.

Com a possibilidade de postar textos, fotos, vdeos ou deixar comentrios e

depoimentos, os membros dessas redes viram nos sites de relacionamento uma plataforma
prtica e rpida de divulgao pessoal. Essa divulgao no significa necessariamente uma
propaganda pessoal, mas sim uma parte do processo de fazer novos amigos e conhecer novos
grupos sociais (BARNES, 2006).

No entanto, esse fluxo de informaes pessoais era acessvel, at pouco tempo atrs, a
todos os usurios da rede independentemente se havia ou no algum vnculo entre dois
usurios em comum. Isso significa que tudo que era postado, discutido, comentado ou dito
por um usurio, podia ser plenamente acessado por qualquer membro da rede. A nica
barreira que existia era apenas ser ou no usurio da rede social.

Segundo Bornatovsky (2006), o problema que "muitos usurios, de certa forma,

confiam cegamente [nessas redes], muitas vezes por falta de conhecimento, disponibilizando
todos os seus dados pessoais e fotos". Para ele o problema se agrava, pois preenchendo
campos preestabelecidos e no obrigatrios que traam completamente o chamado perfil do
usurio, os participantes dos sites de relacionamento no se davam conta de que essas
informaes podiam ser acessadas por qualquer usurio que tambm tenha um perfil
cadastrado.

So inmeros os casos noticiados nos quais essa divulgao pessoal e o acesso total a
informao por parte dos outros membros da rede se tornou prejudicial aos usurios.
Casamentos foram desfeitos, empregos foram perdidos, amizades foram separadas
simplesmente por que a "outra parte" teve acesso demais a informaes privadas de um
determinado usurio.
 22

Essa exposio total de dados privados e pessoais tambm se tornou uma ferramenta
para criminosos praticarem crimes, por exemplo. Em notcia datada de 23/04/2006, o jornal
online 24HorasNews cita casos nos quais falsos sequestradores se utilizam de informaes
divulgadas pelas vtimas nos seus perfis pessoais para enganar parentes e amigos:

"Pelo Orkut, os marginais sabem, por exemplo, onde a vtima em potencial

combinou de ir noite e, de posse dessa informao, podem ligar para os
familiares para simular o falso sequestro. Alm disso, os bandidos tm como
saber o crculo social da pessoa e o padro de vida, como quantos carros e
imveis ela tem, facilitando na hora de enganar os familiares."
(24HorasNews, 2006).

Alm disso, mas num mbito no criminal, h tambm a questo da minerao de

dados (data mining), executado pelas empresas de marketing. Utilizando as ferramentas de
buscas includas nos prprios sites de relacionamentos, essas empresas procuravam por
palavras chaves nos perfis e nas comunidades afiliadas do usurio, para traar um perfil de um
possvel cliente (ELKINS, 2007).

A partir desses dados, as empresas utilizavam os prprios espaos de comunicao

pessoal (os scraps do Orkut) para fazer propagandas dos seus produtos. No eram raros os
casos de empresas que se utilizavam da prtica do spam (emails de propaganda no
solicitados) para atingir os usurios (ELKINS, 2007).

Outro problema bastante corriqueiro nas redes sociais eram os vrus. Durante a fase de
expanso dos sites de relacionamento, a quantidade de tecnologias novas implementadas abria
espao para falhas de segurana que permitiam criminosos virtuais disseminar programas
maliciosos como vrus, cavalos de troia (trojans) e spywares. A tcnica mais simples era
infectar um usurio e deixar o vrus se apoderar da sua lista de contatos para espalhar
mensagens contendo o vrus. Como essas mensagens provinham de um usurio conhecido da
lista, os outros usurios acreditavam que aquela era uma mensagem autntica e clicava nos
links anexados.

O texto das mensagens tambm era de cunho enganoso, mascarando o verdadeiro

contedo dos links. "Veja as fotos que ns tiramos no vero!", "Olha o que eu achei sobre
voc na net" ou "Olha s a nova msica de [cantor famoso]" so exemplos de frases
automticas que os vrus postavam.
 23

No entanto, boa parte dos problemas citados foi resolvida ou minimizada

extensamente com a consolidao do desenvolvimento desses sites. Novas tecnologias de
segurana ou mudana nos processos dentro das redes sanaram a maior parte dos problemas.

A maior ateno foi dada a questo das permisses, ingrediente que faltava no painel
de controle de boa parte dos sites de relacionamento. Com as permisses, os usurios podem
agora escolher quem tinha acesso para ver seus posts, fotos, vdeos e comentrios. Se um
usurio quiser, por exemplo, ele pode ter um perfil pessoal extensamente povoado de
informaes pessoais, fotos e textos, mas apenas visveis a um grupo de amigos ntimos. Os
outros contatos, que tambm so colegas ou conhecidos do usurio, veem apenas parte dessas
informaes, pois sua permisso de menor abrangncia.

O problema dos vrus tambm foi minimizado com a implementao de captchas,

conforme exemplos na Fig. 1, ou confirmaes por escrito, que um usurio precisa interagir
para postar mensagens com links anexos. Como essa interao normalmente requer uma
leitura atenciosa dos captchas, a disseminao automtica dos vrus perdeu bastante fora.

Fig. 1: Exemplos de captchas usados pelo Orkut

No entanto, um dos problemas citados ainda no possui soluo definitiva, pois de

uma forma de outra, vai de encontro ao objetivo dos prprios sites de relacionamento: a
questo da engenharia social. O que a engenharia social, como se aplica e como ela tem se
tornado um crescente problema nas redes sociais, sero os temas discutidos na prxima seo.

2.5 Engenharia social: a psicologia como ferramenta para o crime

O termo engenharia social se aplica a diversas tcnicas que permitem a quem as utiliza
conseguir acesso no autorizado a informaes privadas e us-las contra um alvo. O que isola
a engenharia social como categoria nica o fato desse acesso ser conseguido por meio da
psicologia contra o alvo (GOODCHILD, 2010).
 24

O exemplo dos falsos sequestradores simplifica esse conceito: de posse de

informaes pblicas e privadas, criminosos ligavam para as vtimas simulando um sequestro
para conseguir um resgate. No h sequestro propriamente dito e toda a simulao no passa
de um engodo psicolgico contra a vtima, que reforada pela posse de informaes at
ento consideradas privadas.

No entanto, a tcnica no se aplica apenas a falsos sequestros: fraudes, roubos de

identidade, acessos no autorizado a sistemas de informaes, phishing, entre outras prticas
criminosas, se apoiam fortemente em engenharia social.

No livro A Arte de Enganar, o ex-hacker (hoje, consultor de segurana) Kevin

Mitnick explica diversas situaes nas quais o fator humano pode ser explorado pela
engenharia social para obter informaes privadas ou acesso a dados proibidos.

Em um dos exemplos, ele cita a situao na qual uma pessoa obtm acesso intranet
de uma empresa, mas que protegida por uma senha que muda diariamente. Para descobrir a
senha, ele aguarda por um dia de chuva forte, liga para empresa fingindo ser um empregado
preso em casa por conta da tempestade e convence o operador a revelar a senha daquele dia.

H tambm o caso no qual uma pessoa ganha acesso a uma rea restrita de um local,
ficando porta dessa rea carregando uma grande caixa de livros, e contando com a
propenso das pessoas para manter a porta aberta para os outros nessa situao.

Os mtodos variam de criminoso para criminoso, mas sempre so focados no lado

psicolgico da vtima. O prprio Mitnick passou cinco anos na priso por crimes de roubo de
informaes e invaso de sistemas. Esses atos, segundo ele, foram cometidos utilizando
tcnicas de engenharia social para enganar pessoas fazendo-as acreditar ser algum que ele
no era.

Alm dos dois exemplos citados, Mitnick cita mtodos padres que os engenheiros
sociais usam para enganar suas vtimas, dentre eles esto:

Entrar em contato com a vtima (empresa ou pessoa) fingindo ser um jornalista ou

um escritor e fazer perguntas diversas sobre a empresa ou ramo de atuao, incluindo no meio
das perguntas uma que extraia a informao que o criminoso deseja conseguir. Ex.: Que
 25

interessante! Mas durante a noite no aumentam os riscos de assalto? Como vocs cuidam
dessa parte?

Entrar em contato com a vtima dizendo ser do banco, companhia eltrica, etc.,
requerendo informaes para fazer um recadastramento da vtima no sistema. Ex.: Sua conta
de banco sofreu uma tentativa de invaso e precisamos que o Sr. confirme seus dados para
poder desbloque-la.

Entrar em contato com a vtima dizendo ser de outro setor da mesma empresa que
ela trabalha, para tirar dvidas sobre um novo processo de segurana. Ex.: T, a tela de
login eu j entendi, mas eu no sei que senha essa que eles esto pedindo agora. Eles s fazem
isso para complicar a nossa vida!

Todos esses mtodos possuem um nico propsito: ganhar a confiana da vtima e

faz-la revelar uma informao confidencial que o engenheiro social precisa como parte do
seu plano criminoso.

Segundo Laribee (2006), o ponto fraco de qualquer sistema de segurana, seja ele
fsico ou virtual, so as pessoas que fazem parte dele. explorando a confiana dessas
pessoas que um engenheiro social obtm acesso a informaes restritas sem precisar lidar com
o sistema de segurana em si.

Laribee (2006) cita, ainda, na sua dissertao de mestrado, uma pesquisa realizada em
2003 por uma empresa de segurana da Inglaterra, a InfoSec. Na pesquisa, funcionrios de
uma empresa preencheram um formulrio com perguntas genricas sobre o seu dia a dia no
trabalho. Em troca, elas ganhariam uma caneta de brinde por ter respondido o questionrio
completo.

No meio do questionrio havia a seguinte pergunta: Qual a senha da sua estao de

trabalho? Setenta e cinco porcento (75%) dos entrevistados responderam pergunta. Quando
questionados por que eles responderam essa pergunta, os funcionrios disseram que foi por
causa da caneta de brinde que quem respondesse o questionrio ganhava (THE REGISTER,
2003).

Como possvel notar, o fator humano possui interferncia fundamental na

estabilidade de um sistema de segurana e um engenheiro social, com as tcnicas certas, pode
 26

comprometer esse sistema apenas forando a confiana entre ele e a vtima. O problema
que, at o incio desta dcada, os engenheiros sociais precisavam se expor para conseguir as
informaes das suas vtimas. No entanto, com o crescimento das redes sociais e o vasto
nmero de usurios, esses criminosos encontraram um terreno frtil para seus levantamentos
de dados, protegidos pelo anonimato da prpria rede.

Na prxima seo discutido como os engenheiros sociais se utilizam das ferramentas

e recursos dos sites de relacionamento para obter informaes confidenciais sobre suas
vtimas.

2.6 Engenharia social em sites de relacionamento

A consolidao do uso das redes sociais entre os usurios de Internet abriu um novo
espao para o garimpo de informaes por parte de um engenheiro social. No mais
dependente de se expor (ou pessoalmente ou por telefone) ou de deixar rastros (contato por
email), um criminoso que se utiliza das tcnicas citadas na seo anterior pode levantar dados
sigilosos de uma vtima apenas visitando seu perfil social num site de relacionamento.

No artigo 5 Things to Keep Off Social Networking Profiles (datado de 09/07/2010),

a jornalista Jenniffer Mattern demonstra como os dados dos perfis sociais mostram muito
mais sobre o usurio do que o prprio usurio imagina:

...muita gente no to cautelosa sobre o que coloca nesses perfis pblicos.

Eles realmente pensam que ningum, apenas os seus amigos e contatos
pessoais tm acesso informao ali colocada. Ento, eles postam coisas
estpidas sem pensar - coisas que podem custar-lhes o emprego...
(MATTERN, 2010).

No artigo MATTERN (2010) cita diversos pontos problemticos de um perfil social,

que podem expor dados sigilosos sobre um usurio sem que ele tenha conscincia:

Fotos comprometedoras ou provocativas Fotos deste tipo colocam em risco a

integridade do usurio e oferecem uma brecha privacidade do usurio;
Crticas aos amigos ou aos colegas de trabalho Como a maioria dos comentrios
possui acesso global dos amigos do usurio, essas crticas podem chegar s pessoas a
quem essa informao deveria permanecer sigilosa;
 27

Informaes confidenciais O que se passa dentro do trabalho ou de casa deve

permanecer sigiloso, pois essas informaes podem se tornar arma na mo de usurios
mal intencionados;
Dados pessoais O usurio deve ter cuidado ao postar informaes pessoais como
endereo, local de trabalho, opo sexual, entre outros, pelas mesmas razes do item
anterior;
Pontos de vista controversos Opinies sobre racismo, religio, vises polticas,
podem ser usados contra o prprio usurio.

Os pontos citados so extremamente importantes quando o assunto proteo de

identidade. Porm, o foco do artigo de Mattern voltado para relaes trabalhistas apenas.
Assim, a seguir, discutido como as informaes extradas de diversos pontos de um perfil
social podem comprometer a segurana do usurio.

Um perfil social completo do Orkut possui locais para o usurio informar desde dados
bsicos sobre sua pessoa como nome, cidade, etc., como tambm dados adicionais como
gostos pessoais, opo sexual, local onde mora, endereo do trabalho, escolas e cursos que j
cursou, vises polticas e religiosas, entre outras. De posse desses dados, um engenheiro
social ganha acesso ao ntimo da vtima, podendo usar contra elas em ataques
como phishing e roubo de identidade.

O lbum de fotos guarda muito mais informaes do que aparenta. Crculo interno de
amigos, lugares onde o usurio frequenta, local de trabalho e hbitos pessoais podem ser
deduzidos por um engenheiro social, colocando em risco a segurana do usurio.

A lista de comunidades a qual o usurio filiado tambm pode oferecer dados

importantes sobre a personalidade e os hbitos de um usurio. Uma prtica bastante comum
entre os usurios do Orkut, por exemplo, se afiliar a comunidades de afirmao, como foi
discutido em seo anterior. Essas comunidades no possuem o propsito de grupo de
discusso, mas sim afiliar usurios que se enquadram no ttulo da comunidade. Exemplos
como Eu odeio acordar cedo, Eu adoro balada, Eu bebo at cair, Eu odeio meu
trabalho, Eu adoro loiras, entre outras, podem oferecer informaes extremamente
precisas sobre a personalidade de um usurio.

Seus comentrios, bate-papos e depoimentos, servem para um engenheiro social

traar uma lista dos amigos ntimos, marcao de encontros, compromissos e planos futuros
 28

da vtima. Como citado na matria dos falsos sequestradores, a anlise das conversas de um
usurio pode servir para planejar um golpe se aproveitando do timing e das informaes
privadas a qual o engenheiro teve acesso.

Em resumo, um perfil social completo de um usurio fornece a uma pessoa mal

intencionada dados suficientes para atrair uma vtima para um golpe. De posse de
informaes sobre gostos pessoais, hbitos cotidianos, opinies sobre diversos temas, crculo
interno de amigos e locais onde o usurio frequenta constantemente, um engenheiro social
possui, na ponta dos dedos, todos os dados que ele precisa para aplicar um golpe sem se
expor.

Um caso noticiado pelo portal TechTudo, em julho de 2011, exemplifica um ataque de

um engenheiro social por meio de um site de relacionamento:

George Bronk, 24 anos, foi condenado a quatro anos de cadeia por usar o
Facebook para invadir a conta de muitas mulheres. O morador da Califrnia
procurava, nos perfis da rede social, por pistas que o levassem a descobrir as
senhas dos emails de suas vtimas. Assim que encontrava dados, o hacker
invadia os computadores e procurava por contedo ertico. Bronk chegou a
enviar imagens das mulheres a seus maridos, namorados e colegas de
trabalho. O jovem hacker fez de vtimas mulheres em mais de 17 estados dos
Estados Unidos. (TECHTUDO, 2011).

Outro exemplo que cita as brechas de segurana presente nas redes sociais foi
noticiado no jornal Valor Econmico em 03/05/2010:

Recentemente, a empresa de segurana digital Check Point fez um teste

para medir os riscos das redes sociais. De forma aleatria, selecionou uma
amostra de usurios do Facebook para simular um ataque de "phishing". A
tcnica consiste em convidar o usurio a acessar uma pgina falsa - por
vezes, imitando um site autntico -, para roubar informaes confidenciais.
Depois de criar um perfil falso e annimo no Facebook, a empresa distribuiu
um email com uma frase comum nas mensagens de spam ou lixo eletrnico:
"Venha ver minhas fotos mais recentes". O resultado mostrou que dos 200
usurios do Facebook que receberam a mensagem, 71 clicaram no endereo.
Isto , mais de um tero das pessoas tentaram acessar a pgina, sem ter a
menor ideia do que se tratava o link ou de quem era o remetente.
(BORGES, 2010).
 29

Diante dos fatos supracitados, a confiana na segurana das redes sociais faz com que
os usurios exponham mais do que deveriam, se tornando assim, alvos para golpistas que
usam tcnicas de engenharia social para cometer seus crimes.

No prximo captulo, so descritos como os administradores de segurana das redes

sociais tentam impedir esse tipo de ataque e quais as defesas que foram criadas nesses sites
para diminuir o acesso a informaes privadas.
 30

3. A EVOLUO DOS PROCESSOS DE SEGURANA NAS REDES

SOCIAIS
A segurana ao acesso a informaes privadas dos usurios de redes sociais um
ponto que sofre constante investimento e esforo por trs dos administradores desses sites.
Durante a expanso desses sites, a segurana foi um fator preponderante de evoluo, tendo
em vista as constantes ameaas que surgia a cada dia.
Como dito em seo anterior, quando os sites de relacionamento surgiram, o nico
obstculo que impedia uma pessoa mal intencionada a ter acesso completo aos dados de outro
usurio, resumia-se apenas a ser um membro da rede. O prprio Orkut seguia esse paradigma
com os seus convites.
Para ser membro da rede do Orkut, um usurio precisava ser convidado. No havia
acesso livre a qualquer pessoa por meio de registro aberto. Por isso, partindo do princpio que
algum s convidaria outra pessoa se ela fosse de confiana, a segurana das informaes
dentro de um perfil social no era alta.
Tudo mudou com a concorrncia e o surgimento de novas redes sociais. Quando o
Google comprou o Orkut, a primeira medida tomada para aumentar o uso da rede social foi
abrir a possibilidade de ser membro para qualquer usurio que tivesse conta no Gmail (email
da Google). Esse mtodo para aumentar a audincia funcionaria em mo dupla: de um lado,
todos os membros do Orkut teriam contas do Gmail e do outro, qualquer usurio de Gmail
agora podia ser membro do Orkut.
Esse ltimo ponto fez com que, tecnicamente, o Orkut se tornasse aberto ao pblico,
sem necessidade de convite. Bastava abrir uma conta no Gmail e voc faria parte da rede do
Orkut.
Para um pblico de membros que estavam acostumados apenas com usurios
convidados acessando aos seus perfis, essa enxurrada de novos usurios abriu uma enorme
brecha de privacidade e segurana. O habitat seguro desses usurios comeou a se tornar
hostil.
A abertura do acesso pblico ao Orkut coincidiu com o aumento de casos de phishing,
roubo de identidade e quebra de identidade. Foi por meio do aumento dessas ameaas e das
experincias bem sucedidas em outras redes sociais, que em 2008, o Orkut implementou um
sistema de permisses de acessos.
 31

Esse sistema de permisses padro nas outras redes sociais mais utilizadas, como
Facebook e Myspace. Ela se baseia na mesma prerrogativa dos sistemas de permisses de
outras redes utilizadas por um grupo de pessoas: um usurio s tem acesso a determinada
informao se for liberado pelo prprio administrador da rede.
No caso das redes sociais, o administrador o usurio dono da conta. A diferena
entre o sistema de permisses de redes convencionais para o das redes sociais que o nmero
de usurios muito grande para se administrar a nvel individual.
Por isso, as redes sociais (incluindo o Orkut) trabalham com essas permisses em
nvel de grupo: Todas as informaes pessoais, fotos, vdeos e bate papos, so disponveis
para visualizao apenas para outros membros marcados como amigos. O acesso vai caindo
de abrangncia conforme a marcao do membro for caindo de nvel (colega, conhecido,
trabalho, no conheo). Tambm possvel ao usurio criar grupos especficos, adicionar
membros de sua lista nesses grupos e atribuir permisses especficas.
Por exemplo, um usurio pode criar um grupo chamado Parentes, adicionar todos os
membros da sua lista que, segundo ele, pertencem a este grupo e bloquear o acesso a fotos que
so liberadas, por exemplo, para o grupo Amigos ntimos.
Como suporte a este novo sistema de permisses, todas as informaes postadas pelo
usurio na rede social tambm precisam receber uma marcao informando que tipo de
permisso um membro precisa ter para acessar aquele post. Ainda seguindo o exemplo acima,
um vdeo marcado com a permisso apenas para o grupo Amigos ntimos no seria sequer
listado como disponvel para os membros do grupo Parentes.
Alm do sistema de permisses, o Orkut implementou o uso de captchas (confirmao
por escrita) em diversas reas de sua interface. Uma mensagem contendo links externos que
postada num scrapbook de outro usurio ou numa discusso de uma comunidade precisa
passar por um captcha antes de ser enviada. Isso foi implementado visando reduzir ou a
impedir o uso de bots (programas de postagem em massa) e de spammers.
Outro uso de captchas visa reduzir os mass friendlers, programas automatizados que
adiciona amigos a sua lista de forma automtica. A partir do dcimo convite de amizade
lanado por um usurio num curto espao de tempo (30 minutos), captchas comearam a
aparecer em frequncia maior, requerendo uma interao fsica do usurio. A partir do
trigsimo convite lanando em menos de meia hora, haver um novo captcha que precisar
ser confirmado a cada novo convite.
Por ltimo, dentro das configuraes de segurana do Orkut, h a opo de habilitar
uma confirmao de email para membros que lancem convites de amizade para voc. O
 32

modelo padro de convite s contm uma frase: "[nome do membro], voc quer ser meu
amigo no Orkut? Ass.: [nome do usurio]". Com essa confirmao habilitada, outro campo
aparece embaixo do convite obrigando o membro a informar seu email de contato.
No prximo captulo, esses sistemas de segurana so analisados com relao
usabilidade, clareza e eficcia.
 33

4. ESTUDOS DE CASO
O processo de experimentao deste estudo foi feito em duas etapas, ambas de forma
relacionada e consequencial.

A primeira delas se baseou na criao de dois perfis falsos dentro da rede do Orkut.
Ambos os perfis foram utilizados para testar a interao entre dois usurios das mais diversas
maneiras, emulando situaes cotidianas entre dois usurios distintos dentro da rede. Essas
situaes cotidianas envolvem convidar como amigo, enviar mensagens, postar fotos,
administrar permisses e grupos etc. O objetivo dessa etapa visou analisar os sistemas de
segurana do Orkut, sua usabilidade, clareza e eficcia.

A segunda etapa surgiu como decorrncia das falhas de segurana encontradas na

primeira etapa. Os dois perfis falsos receberam atualizaes para se parecem com perfis
verdadeiros de usurios reais. Essas atualizaes incluam a adio de fotos nos perfis,
postagens fictcias marcadas com diversos tipos de permisso, a adio de comunidades
relacionadas personalidade fictcia desses dois usurios e por fim, o preenchimento
completo do "perfil pessoal" com dados e endereos falsos.

Ambos os perfis foram marcados com a sigla RLC no final dos seus nomes como
referncia ao autor deste trabalho.

Fig. 2: Perfil de "Priscila Miranda", primeiro usurio criado para a experimentao.

 34

O primeiro perfil mostrado na Figura 2, da usuria "Priscila Miranda" (doravante

chamada de primira12), foi criado visualizando uma mulher de 20 anos, solteira, estudante,
paulista e catlica. As comunidades que o usurio primira12 participa so: "Tom Jobim",
"Marisa Monte", "Eu usava aparelhos", "Love" e "Me eu te amo muito!". No seu lbum de
fotos h apenas uma foto de "Pluto", seu cachorro de estimao.

Fig. 3: Perfil de "Adriano Moraes", segundo usurio criado para a experimentao.

O segundo perfil mostrado na Figura 3, do usurio "Adriano Moraes" (doravante

chamado de adrimoraes12), foi criado visualizando um homem de 26 anos, solteiro,
estudante, paulista e catlico. As comunidades que o usurio adrimoraes12 participa so: "Eu
adoro McDonald's", "Campimg Brasil", "Formula 1 Brasil", "Caetano Veloso" e "Escalada e
Rapel". No seu lbum de fotos h fotos de pessoas praticando rapel e h um vdeo onde
supostamente o usurio aparece praticando o esporte.

A partir de cada perfil, 50 convites de amizade foram lanados para usurios reais do
Orkut, 25 homens e 25 mulheres de diferentes faixas etrias. No total, 100 convites foram
lanados, 50 para usurios do sexo masculino e 50 para usurios do sexo feminino.

Os convites enviados foram os do modelo padro, informado no captulo anterior. No

houve nenhuma tentativa de facilitar a aceitao de um convite por meio de contatos ou
tentativas subsequentes.

Todos os 100 usurios foram escolhidos aleatoriamente dentro do painel de membros

da comunidade "Brasil". Esta comunidade foi escolhida por apresentar maior diversidade em
 35

usurios de ambos os sexos, faixa etria, localizao e grau de escolaridade (quando

informados).

Foi dado um prazo de um ms para os convites enviados pelos dois perfis serem
aceitos ou rejeitados. Aps esse prazo, foi feito a tabulao das informaes disponveis nos
perfis que aceitaram o convite. As informaes analisadas foram:

Perfis Nome, idade, local de residncia e trabalho, estado civil e outros dados
pessoais que possam oferecem uma identificao positiva de uma pessoa.

Fotos pessoais Hbitos sociais, amigos ntimos, parentes, relacionamentos e locais

de visita constante, como trabalho, escola, local de frias.

Comunidades Gostos pessoais, hbitos, opo sexual, locais de visita constante do

usurio (escolas, boates, faculdades).

Cruzando os dados encontrados com as referncias de perigo a privacidade citadas por

Mitnick (2004), Mattern (2010) e Laribee (2006), foi criado um "ranking de periculosidade"
no qual cada perfil social foi enquadrado. Este ranking possui uma escala de um a quatro. Os
nveis desse ranking so explicados abaixo.

Grau 1: Perfis sem nenhuma informao especfica sobre o usurio. Difcil definir
sexo, data de nascimento, local de residncia e/ou trabalho.

Grau 2: Perfis com referncias indiretas sobre gostos pessoais, locais de trabalho,
residncia ou estudo nas comunidades afiliadas, scrapbooks ou lbum de fotos. Ex.:
Usurio inscrito em comunidades afirmativas ou possuir fotos que referenciem grupos
musicais, times de futebol, atividades profissionais e/ou atividades de lazer.

Grau 3: Perfis com referncias diretas sobre famlia, hbitos pessoais, locais de
trabalho, residncia ou estudo nas comunidades afiliadas, lbuns de fotos e
scrapbooks. Ex.: lbum de fotos contm fotos e informaes de parentes, fotos de
local de trabalho, amigos prximos e locais de comum frequncia.

Grau 4: Perfis com dados especficos sobre usurios. Ex.: Que contenha endereo
residencial, telefone residencial, email pessoal, celular e/ou cdigo de endereo postal

As anlises dos resultados das duas fases da experimentao so apresentadas nas

prximas sees.
 36

4.1 Anlise dos sistemas de segurana dos perfis do Orkut

Como dito no Captulo 5, o aumento de problemas com privacidade dos usurios fez
com que o Orkut implementasse diversas medidas de segurana visando a aumentar o controle
dos usurios sobre o que os membros da rede podem ter acesso nas informaes postadas por
eles.

A primeira e mais importante medida de segurana foi o estabelecimento de

permisses, gerenciadas pelos prprios usurios donos dos perfis. A partir das permisses os
usurios podem marcar nveis de acessos diferentes para diferentes grupos de usurios que
acessam seu perfil pessoal, seu scrapbook e seu lbum de fotos.

Nos testes realizados para este estudo, verificou-se que o sistema funciona sem falhas.
No momento que um membro recebe permisso de nvel suficiente para ter acesso
determinada informao, ela aparece disponvel no perfil do usurio. O sistema de permisses
em grupo tambm funciona: fotos, vdeos e outras postagens que no so permitidas a um
determinado grupo sequer aparecem como existentes no perfil do usurio.

possvel possuir um perfil recheado de informaes detalhadas sobre todos os

aspectos da vida de um usurio e permitir acesso a essas informaes a apenas uma pessoa ou
a um grupo. possvel inclusive postar informaes que no so acessveis a ningum, a no
ser o prprio usurio (o que paradoxalmente vai de encontro razo pela qual postar
determinada informao).

No entanto, por meio da experimentao, foi percebido um problema na usabilidade de

tal sistema: ele contra intuitivo. Ao invs de quando uma informao nova postada pelo
usurio ser marcada com a permisso mais segura, ela aparece, por padro, com uma
permisso de grande abrangncia.

A opo padro para novas postagens habilita todos os membros na lista de amigos do
usurio ter acesso informao postada. Alm disso, como mostra a Figura 4, a permisso j
vem pr-ativada, reduzindo a importncia dela como ferramenta de uso obrigatrio.
 37

Fig. 4: Exemplo de permisso pr-ativada e abrangente.

O mesmo padro de pr-ativao encontrado no scrapbook, nos vdeos e no prprio

perfil pessoal. Como descrito anteriormente, isso contra intuitivo, pois ao invs das
permisses serem restritivas ou dependentes do usurio para marc-las, elas j aparecem pr-
ativadas em um nvel bem abrangente, como est ilustrado na Figura 5.

Fig. 5: Outro exemplo de permisso pr-ativada.

Uma comparao prtica sobre o significado dessa falha seria o mesmo que em um
sistema de usurios da rede de uma empresa, todo novo usurio receber a permisso pr-
ativada de Administrador e, s por meio da interferncia ativa do responsvel pela rede, a
permisso ser alterada para uma menor. Em um cenrio real, exatamente o contrrio que
acontece.

O sistema de captchas tambm foi testado e se mostrou eficiente apenas para

programas que precisam traduzi-los para prosseguir. Porm, no caso de uma pessoa real
ativamente enviando scraps com links externos ou enviando convites em massa para outros
membros, os scraps se tornaram apenas um leve incmodo. Devido natureza dos captchas
utilizados pelo Orkut, eles so de fcil deduo e usam poucas letras, no impedindo que uma
pessoa real mal intencionada seja atrapalhada por eles, mas sim, retardada. Exemplo disso
 38

que mesmo com os captchas aparecendo com extrema frequncia, os 100 convites de amigos
necessrios para a segunda fase da experimentao foram enviados em menos de 30 minutos.

Ficou claro ento, nessa primeira fase, que as ferramentas passivas de segurana
implementadas pelo Orkut so eficientes at certo ponto. Sem dvida, um usurio externo
tentando acessar dados de membros que no fazem parte de sua lista de amigos ter pouco
sucesso na sua empreitada. No entanto, basta ser "amigo" de um membro e todos os dados
adicionados por ele com a permisso de "visvel para todos os amigos" se tornaro acessveis.

Foi a partir dessa descoberta que a segunda fase dessa experimentao foi baseada.

4.2 Anlise dos perfis acessados pelos usurios primira12 e adrimoraes12

Apesar de no estar includa no escopo deste estudo, a primeira pergunta respondida

depois do trmino do prazo de espera para os convites serem aceitos ou rejeitados foi: quantas
pessoas aceitariam um convite de amizade enviado por um completo estranho?

Como mostrado no grfico 1, das 100 pessoas que receberam um pedido de amizade
dos dois perfis falsos criados para este experimento, 51 membros da rede do Orkut aceitaram.
Vale ressaltar que foram enviados apenas convites na sua forma mais bsica e que no foram
feitas segundas tentativas. Alm disso, necessrio informar que das 100 pessoas convidadas,
apenas 10 tinham habilitado o sistema de confirmao de email citado no Captulo 4.

Nos grficos 2 e 3 foram separados os membros que aceitaram o convite entre os dois
usurios (primira12 e adrimoraes12) como tambm entre homens e mulheres.
 39

Vrios pontos interessantes surgem: A usuria primira12 obteve quase o triplo de

convites aceitos em comparao ao usurio adrimoraes12. Foram 37 convites aceitos contra
apenas 14, respectivamente. Outro ponto interessante que enquanto os convites enviados por
primira12 foram aceitos de forma quase equivalente entre ambos os sexos (ligeira vantagem
das mulheres), nos convites enviados por adrimoraes12, o nmero dos homens que aceitaram
convites foi quase o dobro. Um ltimo ponto que merece meno o fato de que ambos os
perfis tiveram mais sucesso em ter seus convites aceitos por membros do mesmo sexo que
eles.

O grfico 4 mostra a distribuio de faixa etria entre os usurios que aceitaram os

convites do perfil primira12. Dentro de um universo de 37 usurios, onze tinham entre 10 a
20 anos, sete entre 20 a 30 anos, nove entre 30 a 40 anos e seis tinham mais de 40 anos.
Quatro perfis pessoais no informavam a idade do usurio.
 40

O grfico 5 mostra a distribuio de faixa etria entre os usurios que aceitaram os

convites de amizade do perfil adrimoares12. No universo de 14 usurios, trs tinham entre 10
a 20 anos, cinco entre 20 a 30 anos, trs entre 30 a 40 anos e trs com mais de 40 anos. Em
ambos os grficos possvel perceber uma distribuio homognea das idades, o que indica
que no existe um determinante etrio entre os usurios que aceitaram os convites de amizade.

O passo seguinte da experimentao foi analisar detalhadamente os 51 perfis procura

de informaes pessoais, dados especficos sobre local de residncia, trabalho ou estudo ou
outras informaes privadas que, nas mos de um engenheiro social, poderia ser usado contra
os usurios.

O grfico 6 mostra o "perfil pessoal", tambm conhecida como a "folha de rosto" das
contas dos 51 usurios. Do universo analisado, 22 membros (43%) possuam o seu perfil
preenchido de forma completa, contendo informaes especficas sobre os pontos citados
anteriormente com permisses abertas para "todos os amigos". Por outro lado, os outros 29
 41

(57%) usurios preencheram os perfis apenas de forma parcial ou habilitaram permisses

mais restritivas.

Alguns casos merecem meno: alguns usurios, alm de preencherem completamente

os seus perfis, ainda colocaram endereo residencial completo com o nmero da casa e o
CEP. Outros usurios tambm disponibilizaram dados sigilosos como emails pessoais e
endereos de contas de bate papo. Outro membro, um jovem de 17 anos, postou seu telefone
celular e o da sua residncia. Por ltimo, h o caso de um rabino, que alm de informar todos
os dados citados acima, ainda postou o endereo da sinagoga onde trabalha.

No grfico 7 possvel perceber que ao analisar os lbuns de fotos e vdeos dos 51

usurios, 75% deles possuam algum tipo de foto ou vdeo, ou mesmo suas descries, que
caracterizavam uma brecha de segurana. No h casos especficos a serem mencionados,
pois todos seguem o mesmo padro: parentes so nomeados, amigos ntimos so informados,
locais de visitao constante como bares, boates, faculdades e escolas aparecem em destaque.
Mesmo que os perfis pessoais desses usurios estivessem incompletos, as informaes
extradas das fotos seriam o suficiente para colocar essas pessoas em riscos.

No grfico 8, possvel perceber que uma porcentagem similar de usurios esto com
a segurana dos seus perfis comprometidas por meio do excesso de comunidades descritivas
as quais so afiliados. Dos 51 usurios que aceitaram os convites de amizade, 41 deles (80%)
so afiliados a comunidades descritivas o suficiente para montar um perfil psicolgico dessas
pessoas. H casos em que um nico usurio afiliado a mais de 400 comunidades, que, na
grande maioria, so comunidades afirmativas como "Eu estudo no Colgio Anglo", "Todo
sbado vou na balada" ou at mesmo "Eu bebo at cair".
 42

Por ltimo, os 51 perfis foram analisados na sua totalidade e foram agrupados por
graus de comprometimento segundo o ranking elaborado na metodologia deste estudo.

Neste grfico, possvel perceber que dos 51 usurios que aceitaram os convites,
apenas 10 possuam um perfil pessoal que no oferecesse riscos. Esses perfis possuam
poucas fotos, poucas comunidades afiliadas e poucas informaes pessoais. Por outro lado, 41
perfis possuam algum tipo de comprometimento: trs possuam riscos do Grau 2, por meio
do qual um engenheiro social pode obter informaes genricas sobre a pessoa. Dezesseis
estavam no Grau 3, no qual os dados fornecidos indicam locais de estudo, trabalho ou
residncia, como tambm o de parentes e amigos. No Grau 4, no entanto, foi onde se
encaixou quase metade dos membros convidados (43%). Esses perfis ofereciam o maior grau
de risco, com informaes detalhadas sobre endereo residencial, lista de amigos ntimos,
local de trabalho, nmeros de telefone e email pessoais.
 43

5. CONCLUSO
Como disse Mitnick (2004) no seu livro A Arte de Enganar, o problema da engenharia
social difcil de ser resolvido pois no est agregado ao cdigo de programao ou ao
hardware da mquina, mas sim s falhas inerentes ao comportamento humano que podem ser
exploradas.

Durante este estudo foi visto que a maior parte dos problemas gerados pela engenharia
social nos sites de relacionamento poderia ser evitada se tanto o usurio quanto a plataforma
tivessem, como ponto de partida, a ideia de que a segurana das informaes essencial.

claro que existem diversos fatores culturais, sociais e tecnolgicos envolvidos, que,
apesar de no ser do escopo deste estudo, interferem fundamentalmente na busca de uma
soluo para o problema. Alm do mais, como disse o prprio Mitnick, enquanto o ser
humano for o elo mais fraco da corrente de segurana, a brecha sempre vai existir. Segundo o
prprio autor, "no existe patch para a estupidez humana". Por mais que essa afirmao soe
pesada, o fato de ela vir de um dos engenheiros sociais mais procurados pela polcia
americana na dcada de 90 faz com que ela, pelo menos, merea relevncia.

Apesar de tudo, mesmo que seja um fato de que a questo da engenharia social um
problema sem soluo, durante o desenvolvimento deste estudo, alguns procedimentos e
aes foram percebidas, que, se fossem implementados, poderiam reduzir consideravelmente
o problema.

Do lado tcnico da plataforma (neste caso o Orkut), a questo da "ineficcia" do

sistema de permisses poderia ser resolvida se o problema da contra intuitividade fosse
erradicado. Ao invs de ter como pr-definida uma permisso global de grande abrangncia, o
ideal seria se as permisses viessem com uma abrangncia restrita, ou, melhor ainda, se a
escolha das permisses viesse como um passo subsequente ao envio das postagens. O fato de
usurio participar ativamente do controle de permisses reduziria consideravelmente a
possibilidade de todas as informaes postadas por um usurio ser de acesso livre a "todos os
amigos".

Outro ponto dentro da plataforma que poderia ser melhorado a questo dos captchas.
Por mais que a eficcia deles esteja direcionada aos programas de mensagens em massa, eles
deveriam vir acompanhados de outras restries de navegabilidade para impedir que um
usurio mal intencionado consiga executar aes suspeitas dentro de uma rede. Um exemplo
 44

de uma ao suspeita seria enviar convites para 100 membros de uma nica comunidade em
meia hora. Um limitador de tempo ou uma limitao de nmero de amigos por dia
atrapalharia aes como essa de forma um pouco mais eficaz.

claro que nessas "solues" no est sendo levada em conta a questo da praticidade
ou da facilidade de uso por parte de usurio, nem questes comerciais e de marketing como
nmero de usurios e a concorrncia com outras redes. No entanto, a segurana no deve ser
deixada para segundo plano em favor de "praticidade de uso" ou share de mercado.

O outro lado da moeda, o fator humano, bem mais complicado de se resolver. A

segunda fase da experimentao deixou esse problema evidente. Alm do fato de que 50%
dos perfis convidados por desconhecidos aceitaram a solicitao, apenas 10 desses perfis
estavam livres de qualquer comprometimento de informaes. Ficou evidente tambm que a
falta de segurana no atinge especificamente nenhum sexo ou faixa etria em particular,
sendo distribudo homogeneamente entre a maioria dos perfis.

Isso deixa evidente que, independentemente das questes sociais, culturais e

econmicas, o pouco conhecimento da ferramenta e da tecnologia favorece o aparecimento de
falhas nas mais bem arquitetadas plataformas.

No Brasil, esse problema se agrava ainda mais, pois o formato na qual a incluso
digital se apia fundamentalmente material: os investimentos dos governos se focam apenas
em abrir o acesso da populao aos meios tecnolgicos, como corte de impostos, a diminuio
de preos de equipamentos eletrnicos e a abrangncia da cobertura de banda larga. No
entanto, pouco visto com relao ao investimento da educao tecnolgica. Nas escolas
onde existe instruo na rea de Informtica, o foco direcionado a "como a tecnologia
funciona", mas pouco visto sobre "como usar bem a tecnologia".

O Brasil possui 79 milhes de internautas, quase metade da populao nacional

segundo dados do Ibope Nielsen (2011), porm, poucos desses usurios possuem qualquer
formao bsica sobre Segurana da Informao.

Fica evidente ento que, da maneira como se apresenta, a batalha para a proteo de
dados privados est fadada ao fracasso. Por mais que certas implementaes dentro da
plataforma sejam necessrias para garantir maior segurana dos dados divulgados, nada disso
ir funcionar sem uma participao ativa de todas as esferas da sociedade, sejam elas
polticas, educacionais ou familiares.
 45

Apesar do processo de incluso digital ter conseguido transformar o Brasil no quinto

pas com o maior nmero de internautas, nada disso vale se no houver uma conscientizao,
desde cedo, sobre a necessidade da segurana de dados pessoais.

So lies simples que podem ser dadas em sala de aula. Lies como "nunca divulgue
numa rede de milhes de pessoas algo que voc considera privado", "nunca publique dados
especficos sobre sua pessoa" e "nunca, jamais aceite o convite de amizade de uma pessoa que
voc nunca viu na vida".
 46

REFERNCIAS

24HORASNEWS. Bandidos usam dados do Orkut para planejar falsos seqestros. (2006)
<http://www.24horasnews.com.br/index.php?mat=175476> Acessado em 12/08/2011

ALEXA.COM, (2011) Orkut.com Site Info. Estatsticas de Visitao.

<http://www.alexa.com/siteinfo/ orkut.com> Acessado em 15/08/2011

BARNES, Susan B. (2006). "A privacy paradox: Social networking in the United States".
First Monday.
<http://firstmonday.org/htbin/cgiwrap/bin/ojs/index.php/fm/article/viewArticle /1394/1312 >
Acessado em: 13/08/2011

BORGES, Andr. Golpes da Web Migram para as redes sociais. (2010). Valor Econmico.
<http://www.abmn.com.br/img/eventos/pdf2010/maio2/Golpes%20em%20redes
%20sociais.pdf > Acessado em 14/08/2011

BORNATOVSKI, Eros; SILVA, Peterson; CARLA, Diane; CAMILLO, Samuel A.;

POMBEIRO, Orlei (2006). Invaso de Privacidade por meio de Rastreamento de Informao.
Sociedade Paranaense de Ensino e Informtica.

BOYD, Danah; ELLISON, Nicole (2007). "Social Network Sites: Definition, History, and
Scholarship". Journal of Computer-Mediated Communication 13.

COLLINS, Brendan (2008.) Privacy and Security Issues in Social Networking.

FastCompany.com <http://www.fastcompany.com/articles/2008/10/social-networking-
security.html> Acessado em 15/08/2011

COMSCORE, Orkut Continues to Lead_Brazil's Social Networking Market. (2010).

<http://www.comscore.com/Press_Events/Press_Releases/2010/10/Orkut_Continues_to_Lead
_Brazil_s_Social_Networking_Market_Facebook_Audience_Grows_Fivefold>, Acessado em
08/08/2011.

ELKINS, Sarah, (2007). A Social Networks Faux Pas?. Newsweek.com, Newsbeast.

<http://www.thedailybeast.com/newsweek/2007/11/08/a-social-network-s-faux-pas.html>
Acessado em 16/08/2011.
 47

ELLISON, N., LAMPE, C., STEINFIELD, C., & VITAK, J. (2009). A networked self:
Identity, community and culture on social network sites. New York: Routledge.

FELITTI, Guilherme. Orkut: as razes para o sucesso da rede social do Google entre
brasileiros. (2008). Ministrio da Cultura. <http://www.cultura.gov.br/site/2008/07/10/orkut-
as-razoes-para-o-sucesso-da-rede-social-do-google-entre-brasileiros/> Acessado em
12/08/2011

FOLHA DE SO PAULO, 2005. Orkut no entende seu sucesso no Brasil.

<http://www1.folha.uol.com.br/folha/dinheiro/ult91u97858.shtml > Acessado: 02/08/2011.

GOODCHILD, Joan. (2010). Social Engineering: The Basics. Data Protection.

<http://www.csoonline.com/article/514063/social-engineering-the-basics> Acessado em
02/08/2011.

HAUBEN, Michael & HAUBEN, Melinda. The Net and the Netizens. (1995). Columbia
University. <http://www.columbia.edu/~rh120/ch106.x01 > Acessado em 01/08/2011.

HUFFAKER, David A.; CALVERT , Sandra L., (2005). Gender, identity, and langugage use
in teenage blogs, Journal of ComputerMediated Communication, (volume 10, number 2),
<http://jcmc.indiana.edu/vol10/issue2/huffaker.html>, Acessado em: 15/08/2011.

KNAPP, E. (2006). A Parent's Guide to Myspace. DayDream Publishers

LARIBEE, Lena. Development of Methodical Social Engineering Taxonomy Project. (2006).

Naval Postgraduate School. <http://faculty.nps.edu/ncrowe/oldstudents/laribeethesis.htm>
Acessado em 12/08/2011.

MATTERN, Jennifer. 5 Things to Keep Off Social Networking Profiles. (2010). Social
Implications. <http://socialimplications.com/5-things-to-keep-off-social-networking-profiles-
if-youll-ever-be-job-hunting-again/ > Acessado em 13/08/2011

MITNICK, Kevin. A Arte de Enganar. (2004). Pearson. 1 Edio.

ROSENBLUM, David, (2007). "What Anyone Can Know: The Privacy Risks of Social
Networking Sites," IEEE Security and Privacy, vol. 5, no. 3.
 48

TECHTUDO, Homem que usou o Facebook para perseguir mulheres em 17 estados

condenado. (2011) < http://www.techtudo.com.br/noticias/noticia/2011/07/homem-que-usou-o-
facebook-para-perseguir-mulheres-em-17-estados-e-condenado.html > Acessado em 13/08/2011.

THE REGISTER, Office workers give away passwords for a cheap pen. (2003)
<http://www.theregister.co.uk/2003/04/18/office_workers_give_away_passwords/ > Acessado
em 12/08/2011