Engenharia Social 101

Olá aos curiosos e curiosas! Nestes próximos breves minutos de leitura vou transcrever e comentar um pouco sobre minha primeira palestra no Roadsec São Paulo 2018, onde falei sobre como comecei na área da Engenharia Social. Se o que você procura por aqui são curiosidades, dicas rápidas e um jeito fácil de entender coisas complicadas, então pode se aconchegar, tenho certeza que vamos ter o que conversar :-)

Mas espera aí, quem é Marina Ciavatta?

Certo, deixa eu me apresentar direito… Sou gerente de comunidade da Flipside, uma baita empresa focada em conteúdo de Segurança de Informação. Sou a criadora e gestora do programa de Roadies do Roadsec, o maior programa de voluntariado de eventos de tecnologia do continente! Além de também ajudar na organização do Roadsec (evento de hacking, segurança e tecnologia).

Entretanto, sou formada num curso de humanas, o Jornalismo. Antes que o pessoal de exatas revire os olhos, arraste a cadeira um pouquinho mais pra perto e deixa eu contar algo pra você - eu também estranhei quando caí de paraquedas no meio de uma guerra que eu jamais imaginei estar acontecendo. Definitivamente nunca imaginei que uma pessoa "não-técnica" como eu poderia encontrar um lugar na área, e devo isso a Engenharia Social!

Veja bem, todos os nossos grandes poderes hoje se concentram ao redor de informação, guardada e conduzida através de nossas redes, de nossos aplicativos, de máquinas que temos contato constante no cotidiano, e estas máquinas estão sujeitas a falhas, fraudes e reconfigurações de pessoas extraordinárias que enxergam e corrompem seu funcionamento. É essa galera que muitos chamam de hacker. Mas não só de silício vivem nossas máquinas e não só em criptografia se escondem as senhas de acesso e chaves de portas especiais para acessar esses sistemas carregados com nossas mais valiosas informações (dados, transações bancárias, contratos, etc). Em algum momento um humano terá acesso físico ou digital a esses tesouros informacionais, seja via fechaduras, biometria, credenciais, contas especiais e afins. E muitas vezes são eles a verdadeira brecha para acessar os valiosos sistemas. Isto significa que não importa quantas câmaras a vácuo, caixas forte, catracas, câmeras ou super senhas estejam guardando as informações, se os humanos não possuírem o mesmo nível de segurança.

Engenharia Social é a arte de "hackear pessoas", por assim dizer. Assim como os sistemas que mencionei, as pessoas também possuem padrões de comportamento (como algoritmos) e basta usar de alguns artifícios psicológicos e culturais para convencer alguém ou induzir pessoas a fazerem algo que não deveriam, dando acesso indevido. Não entendeu? Sem problemas, eu também não entendia. E agora que expliquei um pouquinho dos princípios básicos e motivações da Engenharia Social, vou contar mais da minha história.

Tendo estudado um pouco de psicologia por conta própria, contando com minha graduação e tendo a ampla experiência que tive com Segurança da Informação na empresa onde trabalho, aprendi o suficiente para aceitar meu primeiro desafio de Engenharia Social. Um amigo que trabalha na área não poderia atender um cliente e me pediu ajuda, e claro que eu topei! O cliente precisava testar os comportamentos seguros de seus colaboradores e para isso me contratou com a tarefa de entrar no prédio da própria empresa e realizar várias missões, tais como roubo de equipamentos, login de administrador no sistema interno, extração de informações confidenciais dos colaboradores e acesso aos departamentos sem credencial ou registros.

Parece uma maluquice saída da franquia da Missão Impossível né? Nem tanto, e eu vou exemplificar contando um pouco mais dessa última missão que mencionei acima.

Para acessar os departamentos eu teria que passar por uma recepção do prédio (que me daria acesso aos elevadores), e depois teria que passar por uma grande porta com leitura biométrica de palma da mão e ainda em seguida uma catraca com leitura de credencial.

O que eu tinha descoberto é que o acesso da rua para o estacionamento era fácil para quem estava a pé, e o que separava o estacionamento do acesso interno do prédio para o elevador era uma porta com leitura de credencial. Tudo o que precisei fazer foi entrar andando no estacionamento, esperar um grupo de pessoas passar pela porta e entrar pela mesma no vácuo do grupo. Voilá! Já estava no elevador.

Na porta com leitura biométrica havia um guarda. Sou uma menina pequenina, com cara de criança e estava razoavelmente bem vestida (tipo aquela juventude descolada que usa um terninho com jeans pra ir trabalhar), então eu não levantava qualquer tipo de suspeita. Além disso, levei uma mochila bem grande comigo, arrebentei as alças e coloquei ela nos meus braços, fazendo cara de quem levava peso demais pro meu próprio tamanho. Me aproximei da porta com uma súplica para que o guarda me ajudasse a abrir a porta e, querendo ser gentil, ele colocou a mão no leitor biométrico, liberando minha passagem. Fiz o mesmo na catraca e lá veio ele com sua credencial abrir o meu caminho. Em questão de alguns poucos minutos lá estava eu, uma completa estranha, sem nenhum cadastro e cheia de missões diabólicas, sentada na copa tomando um cafézinho.

"Poxa Marina, mas isso que você fez é sacanagem! Uma pessoa mal intencionada jamais pareceria inocente, você usou um golpe baixo". Inocência, meus amigos, é crer que o mal sempre carrega uma arma na mão e arromba a porta da frente. Em um mundo onde as cédulas de dinheiro já não mais superam os dígitos nas nossas telas, em que todos os seus documentos estão arquivados em bancos de dados ao redor do globo e que guerras são travadas sem nenhum disparo de arma, o mal tem novas formas todo dia, a todo momento. E é nosso dever coletivo conhecê-lo, estudá-lo e com isso nos aprimorarmos. É justamente por este motivo que também vou ensinar como se proteger do tipo de coisa que fiz com o guarda.

O que tento ensinar ao máximo de pessoas é que ser gentil é muito diferente de ser trouxa (assim como ser leigo em segurança não significa que você precisa ser um alvo fácil). As pessoas tendem a evitar conflito para manterem seus postos ou agradarem a estranhos, sem considerar o quão valiosas elas mesmas são ou o quão precioso é aquilo que guardam consigo. Quando pensamos em nossa segurança, nossa privacidade e nosso combate diário contra aquilo que fere esses direitos, não precisamos imaginar um guarda armado batendo em pessoas na rua e tampouco imaginarmos guardas bonzinhos abrindo portas. Ao entender a importância de nossa missão como guardiões de nós mesmos e daquilo que nos rodeia, podemos ainda assim praticar gentileza, sem cair em armadilhas. Como? Vou dar um exemplo:

Se o guarda tivesse se oferecido para segurar a mochila pesada para mim enquanto eu mesma pegava a minha credencial ou colocava minha mão no leitor biométrico, ele teria sido gentil e me ajudado - E ainda por cima prevenido uma invasão. Mas ele decidiu ignorar as regras de segurança para me ajudar. Ser gentil é muito diferente de ser trouxa, viu?

Parece impensável que as pessoas estejam preparadas para detectar a Engenharia Social, mas mesmo assim a grande maioria delas usam senhas para proteger seus celulares, não contam suas senhas de banco e de redes sociais para ninguém, e sempre garantem que deram duas voltas na chave da porta quando saem de casa. Todos esses hábitos de segurança são coisas que elas aprenderam, de um jeito ou de outro. E com a Engenharia Social não é diferente! Para prevenir-se de atacantes, é preciso saber como eles atacam e sempre se atualizar sobre as formas de defesa. Gestos simples, pequenos truques e regras que devem ser sempre lembradas e revisitadas. O tempo todo tento servir como uma ferramenta para que esse conhecimento seja compartilhado e para que cada vez mais pessoas estejam cientes das ameaças que as espreitam, seja entre amigos, familiares, colegas de trabalho... O segredo é estar sempre vigilante!

Além disso tudo, a Flipside provê serviços de campanhas de conscientização de Segurança para empresas, para que o relatório das coisas que faço em nossos clientes se tornem políticas e culturas de segurança ativas entre os colaboradores. Assim todos podem manter sua conduta gentil e ainda assim serem excelentes guardiões.

Posso não estar no ramo há muito tempo mas o que estou aprendendo fazendo isso é fantástico, e por isso compartilho. Se você achou essa narrativa interessante, te convido a assistir a palestra que fiz no Roadsec São Paulo 2018 na íntegra, onde conto ainda mais missões com mais detalhes e ainda mais dicas de proteção, conscientização e estudos de Engenharia Social:

Ah, e gente se vê em breve, quando você menos esperar ;-)