SlideShare uma empresa Scribd logo

Estudo De Viabilidade Na Utilização De Ferramente De Mineração De Dados Como Prvenção Contra Ataques De Engenharia Social Para Internautas - Maltego

Cleyton Kano
Cleyton Kano

Este documento discute o uso da ferramenta de mineração de dados Maltego como uma forma de prevenção contra ataques de engenharia social. Ele primeiro explica o conceito de engenharia social e como os oportunistas coletam informações sobre vítimas. Em seguida, discute como a ferramenta Maltego pode ser usada para mapear informações disponíveis online sobre um usuário, a fim de identificar riscos potenciais e mitigar ameaças de engenharia social. O documento conclui que os usuários podem usar ferra

Tecnologia
1 de 23
MBA EM GESTÃO DE SEGURANÇA DA INFORMAÇÃO – MÓDULO SU ESTUDO DE VIABILIDADE NA UTILIZAÇÃO DE FERRAMENTA DE MINERAÇÃO DE DADOS COMO PREVENÇÃO CONTRA ATAQUES DE ENGENHARIA SOCIAL PARA OS INTERNAUTAS Cleyton Tsukuda Kano Orientador: Prof. MSc. Sérgio Alexandre Simões RESUMO Muitos oportunistas se utilizam de programas de mineração de dados para coletar informações sobre suas futuras vítimas e aplicar a engenharia social com uma riqueza de detalhes, tendo mais eficácia e dando mais credibilidade. Para não ser mais uma vítima, os internautas podem se utilizar destes programas para buscar informações sobre si, verificar o que está disponível, mapear e traçar um plano estratégico sobre o que deverá ser feito com elas, para assim, mitigar os riscos. Este artigo tem por finalidade estudar a viabilidade na utilização de uma ferramenta de mineração de dados em específico, o Maltego, como instrumento para prevenção contra possíveis ataques de engenharia social. Palavras-chave: mineração de dados, Maltego, prevenção, engenharia social, segurança da informação. ABSTRACT Many opportunists make use of data mining programs to collect information about their future victims and apply social engineering with a wealth of detail, being more effective and giving more credibility. To avoid being a victim, internet users can use these programs to seek information about themselves, check out what is available, map and draw a strategic plan on what should be done with it, thus, mitigate the risks. This article aims to study the feasibility of using a specific data mining tool, the Maltego, as a tool for preventing possible social engineering attacks. Keywords: data mining, Maltego, prevention, social engineering, information security.
1. INTRODUÇÃO 1.1. O problema O que os internautas fariam se soubessem que tipo de informações sobre si se encontram disponíveis publicamente na rede? Aqueles que nunca fizeram testes colocando o próprio nome em sites de busca, talvez, se surpreenderiam. Mas e se soubessem que seria possível encontrar ainda mais informações a respeito de si, o que fariam? Ou ainda o que outras pessoas poderiam fazer com estas informações? Será que instalar programas de segurança digital resolveria o problema da segurança da informação? É importante utilizar programas e/ou contratar serviços que protejam o ambiente virtual do usuário, no entanto, o usuário não está totalmente protegido, uma vez que ele próprio ou outra pessoa pode expor informações pessoais e por vezes de caráter sensível que podem ser elementos fundamentais para oportunistas aplicarem a engenharia social ou qualquer outro crime. E é por este motivo que os investimentos em recursos de segurança digital não são eficazes se forem aplicadas de forma isolada (FONSECA, 2009). E o local cada vez mais utilizado e se tornando outro mundo, paralelo a este em que vivemos fisicamente, propicia a coleta de informações. Este local, a internet, é uma grande e ótima fonte para obtenção das informações, é um local onde é possível encontrar diversos assuntos, aprender coisas novas, rever histórias, entre outros. Atualmente é um lugar amplamente utilizado para a divulgação da própria vida do usuário, como em publicações de mensagens, fotos, lugares em que visitou ou está visitando. Dessa forma por si só já representa um risco, já que é possível saber a rotina do usuário e em tempo real onde aquela pessoa está. Mas as informações pessoais não se restringem àquelas que elas próprias publicam nas mídias e redes sociais. Algumas nem são usuários de alguma mídia ou rede social com o objetivo de tentarem se proteger e
não deixar informações pessoais na rede. Mas mesmo assim pode haver informações disponíveis sobre si, muitas vezes espalhadas, porém fáceis de serem acessadas por qualquer um. Com tudo isso, pode-se observar que o ambiente virtual apesar de ser uma ótima fonte de conhecimento para as pessoas, ela é também uma grande fonte de armadilhas (OSIRO, 2006) e muito propicio para oportunistas e golpistas encontrarem informações para realizarem ataques utilizando-se da engenharia social. A engenharia social não é um conceito novo, ela vem sendo utilizada há muito tempo por oportunistas, dos quais obtém a informação desejada através do elo mais fraco, que são as pessoas. Hoje eles contam com a ajuda de programas para a obtenção de informações sobre uma dada pessoa. Com as informações necessárias o oportunista pode então se utilizar da engenharia social com mais eficácia e surpreender a pessoa, que pode ficar acuada e sem reação, ou obter a confiança dela e até conseguir com que ela faça as coisas para ele, sem suspeitar de que se trata de um golpe. 1.2. A motivação do estudo A grande motivação para estudar este tema é de buscar um meio para mitigar os riscos de um internauta sofrer um golpe de engenharia social com as informações espalhadas pela internet. Para isso é necessário entender como os oportunistas atuam. Dentre as ferramentas utilizadas por eles, encontram-se soluções que realizam a mineração de dados para realizar a coleta de informações disponíveis na rede, bastando informar apenas alguns dados simples de serem adquiridos. E entre as ferramentas que se utilizam da mineração de dados, está o Maltego, que pode ser utilizado para a coleta de informações para então auxiliar os internautas a mitigarem os riscos de golpes que envolvem engenharia social.
1.3. O objetivo Dentre as soluções citadas anteriormente encontra-se o Maltego, objeto de estudo deste artigo, que tem por finalidade estudar a viabilidade na utilização dele como ferramenta de prevenção contra possíveis ataques de engenharia social, levando em conta os usuários comuns que se utilizam da internet em seu cotidiano. Então assim como oportunistas utilizam-se desta ferramenta para benefício próprio, os internautas também podem utiliza-la para estar um ou mais passos a frente dos golpistas. Para isso, a própria pessoa, pode fazer uso desta solução para buscar informações sobre si, com objetivo de que possa ser retirado a tempo ou então conhecer onde estão os possíveis riscos para que possa se prevenir e encontrar meios de diminuir ou mitigar os riscos. 1.4. Referencial teórico Este artigo tem como base o estudo realizado através dos conceitos de engenharia social e mineração de dados, assim como a ferramenta Maltego. Foi realizada uma análise das informações sobre os materiais publicados pela instituição desenvolvedora da ferramenta, bem como, materiais publicados por outras equipes do mundo inteiro que realizaram um estudo sobre todos os elementos envolvidos neste tema e também informações de testes realizados com a ferramenta. 1.5. A estrutura do artigo A estrutura deste artigo se encontra divido em quatro partes, onde primeiramente será abordado o conceito de engenharia social, em seguida a definição da mineração de dados, posteriormente o estudo da ferramenta
Maltego e por final será verificado o que é possível fazer com os resultados apresentados pela ferramenta.
2. ENGENHARIA SOCIAL 2.1 Conhecendo o inimigo Para conhecer melhor o inimigo, é interessante saber mais sobre a expressão engenharia social. Mitnick (2003), um dos maiores especialistas nesta arte, a descreve da seguinte forma: A engenharia social usa a influência e a persuasão para enganar as pessoas e convencê-las de que o engenheiro social é alguém que na verdade ele não é, ou pela manipulação. Como resultado, o engenheiro social pode aproveitar-se das pessoas para obter as informações com ou sem o uso da tecnologia. Dessa forma é possível verificar que os oportunistas que se utilizam da engenharia social, buscam a aquisição de informações sensíveis, sigilosas e confidenciais. Eles exploram o elo mais fraco na segurança da informação, o ser humano, induzindo-as para agirem conforme a vontade deles. E são profissionais na arte de enganar as pessoas. Uma frase de AEllen Frisch (2002) ajuda a explicar esta situação: "A segurança começa e termina com as pessoas" 1. Ou seja, por mais que um ambiente ou ferramenta tenham sido desenvolvidos com toda a preocupação na segurança, proteção e sigilo das informações de seus usuários, ainda assim não é efetivo por si só. Uma vez que quem irá utilizar no final, serão pessoas com conhecimentos, culturas e características distintas, que podem tornar toda e qualquer solução vulnerável. Mas esta frase ainda pode ter outro significado, onde uma solução apesar de ter sido desenvolvida pensando na segurança de seus usuários, ela termina no outro lado, onde existe uma pessoa para explorar suas vulnerabilidades. 1 Tradução do texto original: "Security begins and ends with people."
2.2 Tipos de vulnerabilidades As vulnerabilidades são diversas, uma delas é a brecha do sistema, em que o oportunista se utiliza disto para manipular o ambiente ou ferramenta. Por exemplo, um oportunista constatou uma brecha em um componente do navegador web, ele então irá explorar esta brecha para configurar um código malicioso e prejudicar a máquina de uma pessoa. Neste caso a engenharia social não necessariamente é utilizada. Outra vulnerabilidade é a exploração dos funcionários que possuem informações importantes a respeito do ambiente. Por exemplo, um oportunista explora a segurança virtual de uma instituição bancária, que pode ser através de uma brecha de sistema, mencionado anteriormente, ou utilizando a engenharia social. Através do segundo caminho, o oportunista buscando informações na internet encontra um funcionário insatisfeito com a instituição bancária em que trabalha, disponibilizando informações como a não aplicação de um pacote de correção do banco de dados, que foi retido pela burocracia da corporação. O oportunista então se utiliza de um programa para buscar mais informações deste funcionário, aplica-lhe a engenharia social através da rede social, por exemplo, e então consegue descobrir a versão utilizada do banco de dados. Assim ele procura e descobre a brecha para esta versão (que a empresa desenvolvedora tentou corrigir com o pacote de correções) e invade o sistema. Ou ele ainda poderia induzir o funcionário a realizar a correção manualmente, dizendo que este ganharia crédito da empresa por tal façanha, mas sem saber que na verdade estará abrindo caminho para o oportunista e que levará a culpa por fraude no sistema e até de ser cúmplice do golpista por facilitação da entrada dele no sistema da instituição. E da mesma forma que ocorre a exploração com o funcionário, o mesmo pode ocorrer com as pessoas, usuários normais de internet.
2.3 Causas dos problemas de segurança digital Frisch (2002) menciona três principais causas dos problemas de segurança através das pessoas, sendo elas: ignorância, preguiça e malícia. Explorando um pouco mais estas características mencionadas, pode- se dizer que a ignorância está relacionada à falta de preparo e/ou informação dos internautas. Podendo ser um dos fatores que podem torna- los vítimas de engenharia social. Pessoas más intencionadas costumam se aproveitar da ignorância para induzir usuários ao erro, levando-os diretamente para o caminho que os oportunistas planejaram. Como exemplo de ignorância, esta pode ser expressa através das redes sociais, um local muito comum de publicação e onde os usuários costumam confiar e/ou aliviar seus sentimentos. Podem-se citar aqueles usuários que utilizam a rede social para descrever fatos cotidianos ou apenas seus pensamentos que refletem seu dia a dia, que permitem muitas vezes saber de sua rotina. E hoje é muito comum o uso de dispositivos móveis, que diversas vezes deixa os rastros da localidade em tempo real dos usuários. Muitas pessoas, pela ignorância de não saber que publicou algo que não teria a necessidade, se expõem e se colocam em risco ou por vezes colocam em risco outras pessoas. Tudo isso dá margem para um oportunista utilizar-se destas informações em benefício próprio e se aproveitar destas pessoas. O oportunista ainda pode obter mais informações, a partir dos dados já informados, e entrar em contato com a vítima de uma forma mais sutil, convincente e até com uma garantia do internauta não suspeitar de ser mais uma vítima. Já a preguiça é uma tentação que pode ser outro fator que expõe as informações sensíveis dos internautas. Além da preguiça, neste fator ainda pode ser acrescentado o esquecimento, podendo então ser trabalhado como o fator preguiça/esquecimento. Um cenário: uma pessoa imprime um e-mail ou documento contendo informações pessoais e sensíveis (como telefone pessoal, número de documento, conversa de bate-papo, print de tela, senha(s), cartão de crédito, entre outros) e por preguiça/esquecimento
deixa para pegar mais tarde ou ainda por não guardar na mochila ou em outro lugar menos visível deixa a impressão exposta. Parecido com este cenário, ainda pode-se citar outro exemplo, onde a pessoa deixa o computador destravado em um local público e com as páginas de rede social, e-mail, editor de documentos e todas as suas informações expostas. Pode ser que o oportunista não veja tudo no momento de distração, mas ele pode instalar um programa malicioso para posteriormente realizar suas ações. Ou ainda somente por observar certas informações ele consiga uma aproximação com a vítima, ganhando a confiança e obtendo ainda outras informações mais profundas. A preguiça/esquecimento de trocar de senha quando um celular é roubado ou de atualizar o sistema de antivírus também são outros fatores que podem ser o caminho de entrada para oportunistas. Ou ainda a preguiça/esquecimento de configurar a segurança de páginas, como a configuração de exibição de informações na rede social (mensagens/informações para serem exibidas somente ao usuário, amigos, amigos de amigos ou público). Ainda pode ocorrer a preguiça/esquecimento de apagar aquela mensagem ou informação que colocou em um site, rede social ou mídia social do qual, pode expor a si próprio e/ou aos outros. E por fim o fator de malícia pode ser expresso pelas pessoas que buscam expor dados alheios de forma proposital e com intuito de prejudicar a outra parte. Como exemplo, pode-se citar uma pessoa com raiva de outra e expor os dados pessoais e sensíveis dela em uma mídia social, o oportunista então se aproveita destas informações lá expostas. Normalmente, segundo a Cengage Learning (2010), antes mesmo de utilizar a engenharia social, o oportunista procura coletar informações na internet através de diversas formas como, websites, mídias sociais, publicações, ferramentas de escaneamento de portas, técnicas hacker, ferramentas de mineração de dados que conseguem inclusive o mapeamento e torna tudo muito organizado a coleta destas informações.
3. MINEIRAÇÃO DE DADOS 3.1 A mineração de dados como método de prevenção Com os recursos disponíveis e descritos no tópico anterior, que facilitam a aplicação de engenharia social, como seria possível o internauta se prevenir? Como possível solução de prevenção contra todas estas exposições desnecessárias de informações, foi possível encontrar informações em um trabalho de Clifton e Marks (1996), que sugeriu a utilização da mineração de dados como um método de prevenção. Dessa forma, torna-se possível que o internauta limite as fontes e as informações disponíveis para manter um controle sobre aquilo que seja permitido ou aceitável (ANDRESS; WINTERFELD, 2011). Prevenindo-se assim contra ataques de engenharia social, fazendo com que o oportunista que se utilizar de alguma ferramenta deste tipo, não consiga obter muita informação ou obtenha as informações que o usuário já possua conhecimento. A Paterva (2011), criadora do programa Maltego descreve: O acesso a informações oportunas e precisas sempre desempenhou um papel importante na segurança de sistemas de informação. Esta informação é crucial para atacar ou defender um possível alvo. [...] Para atacar um alvo que você deve saber onde está o alvo. [...] Para encontrar um possível ponto fraco, precisamos saber o máximo possível sobre o alvo e alguém ao redor do alvo com uma relação de confiança.2 Ou seja, a informação constitui um fator fundamental para a segurança digital, sendo decisivo para o ataque do oportunista ou defesa dos usuários. Mas para conhecer os pontos fracos e saber o que deve ser corrigido ou mapeado, é necessário conhecer onde estão as vulnerabilidades. É como diz um velho ditado, onde é melhor prevenir do 2 Tradução do texto original: “Access to timely and accurate information has always played a big role in information systems security. This information is crucial to attack or defend a possible target. [...] To attack a target you must know where the target is. [...] To find a possible weak spot we need to know as much as possible about the target and anybody around the target with a trust relationship.”
que remediar e dessa forma faz com que o usuário esteja alguns passos a frente do inimigo (o engenheiro social). 3.2 Mantendo o controle sobre as informações Com todas as informações espalhadas pela internet é difícil de manter um controle efetivo do que está publicado e até de se prevenir de golpes, sendo “Como um jogo de quebra-cabeça, as informações são postas como “pedaços” importantes, que se juntando a outros “pedaços” formarão o resultado final do que se espera” (PEIXOTO, 2004). Ou seja, as informações estando espalhadas podem apresentar a aparência de serem irrelevantes e de pouca importância, mas quando vinculadas entrei si e por vezes outras informações (baseadas em um contexto ainda maior), apresentam uma característica mais completa e com muitos detalhes. Então para ajudar a manter um controle e prevenção contra a exposição desnecessária destas informações, conhecendo e/ou mapeando o que os oportunistas possam encontrar e utilizar como benefício para realizar ataques de engenharia social, como mencionado anteriormente, sugere-se que seja utilizando mineração de dados. 3.3 O que é mineração de dados afinal? A mineração de dados é o processo de extração de locais com grande volume de dados e dispõe uma grande variedade de algoritmos, provenientes das áreas de estatística, reconhecimento de padrões, aprendizado de máquina e banco de dados (LEE; STOLFO, 1998). Basicamente uma ferramenta de mineração de dados se alimenta de uma base de dados organizada (Data Warehouse), realiza análise em busca de padrões e apresentam as informações. Ou seja, entram-se dados que são transformados em informações (para formação de uma base de conhecimento), como é representado pela figura 1.
Figura 1 – Etapas para a mineração de dados. Fonte: AMO, 2004, Universidade Federal de Uberlândia Muito além da busca por informações pessoais, sensíveis e sigilosas, ele é amplamente utilizado pelo setor de marketing & propaganda de corporações para análise estatística de uma grande massa de dados em busca de padrões entre diversas variáveis definidas pelo setor. Por exemplo, a partir do armazenamento de informações sobre produtos adquiridos por diferentes clientes ao longo do período da noite, uma ferramenta de mineração de dados pode analisar os padrões de consumo dos clientes noturnos e assim saber quais produtos são mais consumidos neste período. Dessa forma torna-se possível realizar campanhas de marketing e estratégias de posicionamento das mercadorias de modo que fiquem mais fáceis de visualizar e acessíveis para o público noturno. Este tipo de exemplo costuma ocorrer em lojas de departamento e supermercados.
4. O MALTEGO 4.1 A escolha pelo Maltego Como mencionado anteriormente, é possível verificar no trabalho de Clifton e Marks (1996), a necessidade de uma ferramenta que se utilize deste método para então atingir o objetivo em mitigar os riscos de um internauta sofrer golpes que envolvam engenharia social. Dentre as ferramentas que se utilizam da técnica de mineração de dados, se encontra o Maltego. Então a escolha desta ferramenta se deu devido às indicações feitas pelas comunidades da internet e de indicações de amigos e professores. 4.2 Entendendo o Maltego Baseado nas informações encontradas no site de sua empresa desenvolvedora (Paterva, 2011) pode-se dizer que é um programa forense dotado de inteligência (que a Paterva chama de inteligência open source) que busca, através da mineração e coleta, as relações e ligações do mundo real entre pessoas ou grupo de pessoas (como nas redes sociais), empresas, organizações, sites, frases, afiliações, documentos/arquivos e/ou infraestrutura da internet (domínios, nomes de DNS, netblocks e endereços de IP). Ele é desenvolvido em Java, o que permite ser multi-plataforma, e possui interface gráfica que torna possível ao usuário visualizar as relações em diversos níveis de profundidade e segundo a empresa, é também possível visualizar conexões ocultas e personalizar a configuração para adaptar às necessidades específicas de cada usuário. Baseado nas informações apresentadas por Buley (2008), o mecanismo por trás do Maltego se baseia em três princípios:
a. Qualquer pedaço de informação encontrada é reduzido para sua característica mais básica, como por exemplo: um indivíduo, um lugar ou endereço; b. Cada entidade pode estar relacionada a uma ou mais entidades, como por exemplo, um indivíduo pode estar ligado a um ou mais lugares; c. Diferentes entidades podem ser combinadas/agrupadas através de regras. Em entrevista, Temming (fundador da Paterva e criador responsável pelo Maltego) disse à Buley (2008) que ao olhar pelo lado hacker, tudo se trata tanto em manter o controle sobre algo quanto em obter informações. Ou seja, o programa permite aos hackers encontrar caminhos escondidos para poderem atacar e/ou obter maiores informações. Ao mesmo tempo possibilita pesquisadores ou responsáveis pela segurança da informação, identificar brechas que ofereçam riscos e ameaças. Baseado no trabalho de Varsalone e McFadden (2011) pode-se afirmar que esta ferramenta é boa para análise de ligações através da junção da engenharia social e inteligência indireta, e também pela junção com outras técnicas de escaneamento inteligente e permite que oportunistas encontrem ainda caminhos escondidos e novos meios de ataque. 4.3 Buscando de informações Para um teste preliminar e verificar que existem inúmeras informações na internet, que muitas vezes o próprio usuário não sabe da existência, basta colocar o próprio nome ou de outra pessoa em um site de buscas. Mas o Maltego consegue exibir ainda mais informações, como já vistos anteriormente neste artigo, podem-se citar endereços de e-mail e telefones, que então podem ser utilizados para a realização de ataques de engenharia social e ainda de outros tipos (HILVEN, 20-?).
Segundo trabalho realizado pela equipe formada por Melo, Marins e Silva, Viana, Coval (20-?) sobre a ferramenta, é necessário ter uma linha de pesquisa com um objetivo definido, para filtrar informações trazidas por ela: Para o uso de ferramentas deste tipo, de nada adianta obter resultados se não se traçar um objetivo ou linha de pesquisa. É preciso ter sempre em mente o que é ou não valioso no trabalho de Data Mining. Esta é uma tarefa única e exclusivamente do pesquisador. O software até auxilia neste trabalho, atribuindo “pesos” nas respostas encontradas, seguindo uma lógica atribuída na programação do software, mas somente quem está no comando da pesquisa pode definir se a resposta faz ou não sentido [..] Em testes realizados pela equipe, que se pautou pela versão gratuita do Maltego, foram realizadas buscas por um nome e outro por um domínio e foram encontradas informações relevantes aos objetos de pesquisa, tais como e-mails, servidores de sites do objeto estudado, perfil em mídias sociais, entre outros. No entanto, apesar do resultado obtido ser convincente, é necessário recorrer da análise e filtragem destes dados antes de aceitar/negar a informação, com intuito de não se coletar informações errôneas e então se distanciar do objetivo. No caso da busca por um determinado domínio, como resultado foram apresentados alguns servidores. Dentre eles foi possível verificar quais domínios utilizavam o mesmo nome de DNS. Posteriormente foi demonstrada a possibilidade de verificar os documentos que estavam hospedados no site de um dos domínios. Além disso, foi possível verificar um servidor de correio eletrônico e identificou o provável software responsável por este correio, restando apenas encontrar a conta desse domínio. Com isso, segundo eles, pode-se criar uma lista de senhas para realizar um ataque de força bruta (ataque onde são testadas diversas possibilidades de senha) ou ainda um ataque de engenharia social. Além do Maltego, podem-se utilizar sites de internet e de busca para complementar as informações obtidas através dele, e também para encontrar comprovações da veracidade da informação. Dessa forma é possível se preparar para uma aproximação com o objeto de pesquisa e então aplicar técnicas de engenharia social.
5. ANÁLISE DOS RESULTADOS OBTIDOS 5.1 O que foi encontrado? Através das informações coletadas na internet e analisadas através da técnica da mineração de dados realizada pelo Maltego, torna-se possível verificar o que se está disponível na internet sobre o internauta. Como o resultado dos testes realizados pela equipe (MELO; MARINS e SILVA; VIANA; COVAL, 20-?) apresentarem alguns resultados irrelevantes e errôneos, é necessário que seja feita uma análise minuciosa sobre as informações apresentadas pela ferramenta e definir o que é verdadeiro. Dessa forma o usuário filtra o que é de fato informação do próprio internauta ou de outra pessoa. Como as buscas são feitas pelo próprio usuário, este é totalmente capaz de identificar o que é sobre si e o que não é (o que é de fato relevante e verdadeiro). 5.2 O que fazer? É importante realizar o mapeamento das informações e traçar um plano estratégico e definir o que permanecerá na rede ou o que será oculta ou apagada. É um processo muito parecido com o processo de inventário de um ambiente, onde são catalogados detalhadamente os conteúdos e seu local. Começando pela rede social, uma plataforma amplamente utilizada pelos usuários da internet e que auxiliam no processo de divulgação de informações de muitos usuários, que por muitas vezes dão indícios do cotidiano, rotina e local dos mesmos (MCAFEE, 2010). Sabendo disso, muitos oportunistas se utilizam delas para obterem as informações de futuras vítimas. Uma das aproximações utilizadas por eles é criar perfis falsos e convincentes (HUBER, KOWALSKI, NOHLBERG,
TJOA; 2009). Mas mesmo aqueles perfis não muito convincentes, atualmente a aceitação de “amigos” tem se tornado fácil seja por satisfação própria e aumentar o número de amigos, seja por distração, seja pela enganação. O motivo disto ocorrer muitas vezes é obscuro e muitas pessoas acabam nem checando o perfil destes “amigos” e muito menos desconfiam deles, porém eles estão recebendo todas as atualizações do usuário. Então mesmo que a pessoa tenha se preocupado em ocultar as informações ao público, o oportunista fazendo parte da rede social do usuário tem acesso a muitas informações importantes, bastando apenas filtrar. Além disso, conforme são desenvolvidos cada vez mais recursos para as redes sociais, isso permite uma que os oportunistas se utilizem deles também para benefício próprio. Como exemplo pode-se citar o bate- papo, páginas que permitem inserção de aplicativos com códigos maliciosos e também a disponibilidade de links para páginas clonadas das redes sociais (que imitam o comportamento e interface). Mas apesar desta facilidade encontrada pelas redes sociais, o engenheiro social sempre em constante evolução pode se utilizar de ferramentas que facilitem ainda mais o seu trabalho e melhorem a eficácia na obtenção das informações antes mesmo de se utilizarem da engenharia social, como por exemplo, ferramentas que se utilizam de técnicas de mineração de dados. Por este motivo, existe certo número de golpes de engenharia social realizado através da rede social, onde segundo uma pesquisa patrocinada pela Check Point Software através da Dimensional Research (2011), feita com 850 profissionais da área de segurança de TI e em seis países, apontou que 39% dos golpes envolvendo engenharia social são realizados sobre as redes sociais públicas. É então importante configurar primeiramente a segurança da conta para serem exibidos os conteúdos somente para os amigos, evitando-se assim que muitas informações desnecessárias cheguem ao público. Além
disso, é importante verificar os indivíduos que solicitam a adição do perfil deles e permitir que ali estejam de fato os amigos. Depois das informações, é importante definir grupos especificados pelo usuário para que somente um ou mais grupos consigam visualizar determinada informação ou determinado álbum de fotos. Com relação aos e-mails, é importante não ser surpreendido com um conteúdo de uma mensagem que diz conhecer o usuário, além do mais como está mapeado e catalogado, dificilmente será surpreendido. E assim classificar como um spam para evitar maiores incômodos.
CONCLUSÃO O Maltego é uma ferramenta de mineração de dados viável e que pode ser utilizada na busca de informações a respeito do próprio internauta. Apesar das pesquisas apresentarem alguns dados irrelevantes e errôneos, a própria pessoa é capaz de identificar o que é relevante ou não para si e o que é ou não verdadeiro a respeito de si. No entanto esta ferramenta tem apenas o papel de auxiliar o internauta no processo de mapeamento das informações disponível na internet para que o mesmo saiba é possível de se encontrar na rede e assim ser possível tomar as possíveis providências, como se irá manter, retirar ou ocultar determinada informação. Tendo conhecimento disso, então, caso algum golpista tente uma aproximação com um usuário, este não será surpreendido com o que ele escrever ou dizer, uma vez que o internauta agora sabe que isso foi tirado de um local da internet (que ele viu com o auxílio do Maltego). Dessa forma torna-se possível verificar a viabilidade na utilização de uma ferramenta de mineração de dados, que no caso deste artigo é o Maltego, como um instrumento de prevenção contra a aproximação dos oportunistas que podem se utilizar da engenharia social para se aproveitarem dos internautas.
REFERÊNCIAS ANDRESS, J.; WINTERFELD, S.. Cyber Warfare: Techniques, tactics and tools for security practitioners. Waltham: Elsevier Inc, 2011. Disponível em: http://books.google.com.br/books?id=0oXL2u- Qmy0C&printsec=frontcover&hl=pt- BR&source=gbs_ge_summary_r&cad=0#v=onepage&q&f=false. Acesso em: 17 de junho de 2012. BULEY, T. When Everyone Can Mine Your Data: Maltego's open-source intelligence software brings data mining to the masses. [S.l.]: Forbes, 2008. Disponível em: http://www.forbes.com/2008/11/21/maltego-data-mining- identity08-tech-cz-tb_1121maltego.html. Acesso em: 29 de julho de 2012. CENGAGE LEARNING. Ethical Hacking and Countermeasures Attack Phases. Clifton Park, NY: EC-Council, 2010. Disponível em: http://books.google.com.br/books?id=HfGo_glzw- 0C&printsec=frontcover&hl=pt- BR&source=gbs_ge_summary_r&cad=0#v=onepage&q&f=false. Acesso em: 17 de junho de 2012. CHECK POINT SOFTWARE TECHNOLOGIES LTD.. The Risk Of Social Engineering On Information Security: A Survey Of IT Professionals. [S.l]: Dimension Research, 2011. Disponível em: http://www.checkpoint.com/press/downloads/social-engineering-survey.pdf. Acesso em: 27 de maio de 2012. CLIFTON, C.; MARKS, D.. Security and Privacy Implications of Data Mining. [S.l.]: ACM SIGMOD Workshop, 1996. Disponível em: citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.28.891&rep=rep1&type =pdf. Acesso em: 17 de junho de 2012.
FONSECA, P. F. Gestão de Segurança da Informação: O Fator Humano. Curitiba, PR: Pontifícia Universidade Católica do Paraná, 2009. Disponível em: http://www.ppgia.pucpr.br/~jamhour/RSS/TCCRSS08A/Paula%20Fernanda %20Fonseca%20-%20Artigo.pdf. Acesso em: 26 de mai. de 2012. FRISCH, A. Essential System Administration. 3. ed. Sebastopol, CA.: O'Reilly, 2002. Disponível em: http://books.google.com.br/books?id=uRW8V9QOL7YC&printsec=frontcov er&dq=FRISCH,+A.+Essential+System+Administration&source=bl&ots=TC coE6mukl&sig=QL8rGssUYTg3sDf0EnLnLDOhm-A&hl=pt- BR&sa=X&ei=vzcDUMuMD8rg0QGo2cikBw&ved=0CDcQ6AEwAA#v=one page&q&f=false. Acesso em: 15 de jul. de 2012. HILVEN, A.. Did you want the world to know...?. Western Australia: Edith Cowan University, [20-?]. Disponível em: http://www.somethingwith.be/uploaded_documents/CSG5104%20- %20Special%20Topic%201%20-%20Research%20Paper%20- %20Hilven.pdf. Acesso em: 17 de junho de 2012. HUBER, M.; KOWALSKI, S.; NOHLBERG, M.; TJOA, S. Towards Automating Social Engineering Using Social Networking Sites. [S.l]: IEEE International Conference on - Computational Science and Engineering, 2009. 3 v. 10.1109/CSE.2009.205. Disponível em: http://www.sba-research.org/wp-content/uploads/publications/2009%20- %20Huber%20- %20Towards%20Automating%20Social%20Engineering%20Using%20Soc ial%20Networking%20Sites.pdf. Acesso em 22 de julho de 2012. LEE, W.; STOLFO, S.. Data Mining Approaches for Intrusion Detection. San Antonio, TX: Seventh USENIX Security Symposium, 1998. Disponível em:
http://static.usenix.org/publications/library/proceedings/sec98/full_papers/le e/lee_html/lee.html. Acesso em: 17 de junho de 2012. MCAFEE. Uma Boa Década Para O Cibercrime: Uma Análise Retrospectiva Da McAfee Sobre Dez Anos De Cibercrime. [S.l.]: Relatório McAfee, 2010. Disponível em: http://www.mcafee.com/br/resources/reports/rp-good-decade-for- cybercrime.pdf. Acesso em: 25 de maio de 2012. MELO, E. G.; MARINS E SILVA, M. H.; VIANA, P. A.; COVAL, R. S. Tutorial de Uso Maltego 3.0.4: Data Mining. [S.l.]: Universidade Estácio de Sá, [20-?]. MITNICK, K. D.; SIMON, W. L. A arte de enganar: ataques de hackers: controlando o fator humano na segurança da informação. São Paulo, SP: Pearson Education do Brasil, 2003. OSIRO, K. A. Estudo de segurança da informação com enfoque nas normas da ABNT NBR ISO/IEC 17799:2005 e NBR ISO/IEC 27001:2006 para aplicação no Senado Federal. Brasília, DF: Universidade de Brasília, 2006. Disponível em: http://www.senado.gov.br/sf/senado/unilegis/pdf/Monografia%20GTI/n.%C 2%BA%20007-2006%20-%20Kendi.pdf. Acesso em 15 de jul. de 2012. PATERVA. Maltego Version 3 User Guide: Using the GUI. [S.l.]: Paterva, 2011. Disponível em: http://www.paterva.com/malv3/303/M3GuideGUI.pdf. Acesso em: 27 de julho de 2012. PEIXOTO, M. C. P. Gestão de segurança da informação no contexto da vulnerabilidade técnica e humana inserida nas organizações. Uberlândia, MG: Centro Universitário do Triângulo, 2004. Disponível em: https://e3baea88-a-62cb3a1a-s-
sites.googlegroups.com/site/pedronunots/Home/academico-3/auditoria-de- seguranca-e-sistemas-de-informacao/artigos- relacionados/contexto_da_vulnerabil.pdf. Acesso em 15 de jul. de 2012. VARSALONE, J.; MCFADDEN, M.. Defense against the Black Arts: How hackers do what they do and how to protect against it. Boca Raton, FL: CRC Press, 2011. Disponível em: http://books.google.com.br/books?id=v7f4BEoAEAMC&printsec=frontcover &hl=pt-BR&source=gbs_ge_summary_r&cad=0#v=onepage&q&f=false. Acesso em: 17 de junho de 2012.

Recomendados

Engenharia Social: Explorando a Vulnerabilidade Humana
Engenharia Social: Explorando a Vulnerabilidade HumanaEngenharia Social: Explorando a Vulnerabilidade Humana
Engenharia Social: Explorando a Vulnerabilidade HumanaRafael Magri Gedra
 
Segurança dos sistemas de informação
Segurança dos sistemas de informaçãoSegurança dos sistemas de informação
Segurança dos sistemas de informaçãoRodrigo Gomes da Silva
 
Engenharia social
Engenharia socialEngenharia social
Engenharia socialcavalherepcdf
 
Cibersegurança na Internet das Coisas
Cibersegurança na Internet das CoisasCibersegurança na Internet das Coisas
Cibersegurança na Internet das CoisasRuy De Queiroz
 
Artigo engenharia social
Artigo engenharia socialArtigo engenharia social
Artigo engenharia socialEmbratel
 
Segurança informática: contexto, conceitos e desafios
Segurança informática: contexto, conceitos e desafiosSegurança informática: contexto, conceitos e desafios
Segurança informática: contexto, conceitos e desafiosLuis Borges Gouveia
 
Engenharia social senai - ppt
Engenharia social senai - pptEngenharia social senai - ppt
Engenharia social senai - pptCarlos Melo
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicosGuilherme Neves
 

Recomendados

Engenharia Social: Explorando a Vulnerabilidade Humana
Engenharia Social: Explorando a Vulnerabilidade HumanaEngenharia Social: Explorando a Vulnerabilidade Humana
Engenharia Social: Explorando a Vulnerabilidade HumanaRafael Magri Gedra
 
Segurança dos sistemas de informação
Segurança dos sistemas de informaçãoSegurança dos sistemas de informação
Segurança dos sistemas de informaçãoRodrigo Gomes da Silva
 
Engenharia social
Engenharia socialEngenharia social
Engenharia socialcavalherepcdf
 
Cibersegurança na Internet das Coisas
Cibersegurança na Internet das CoisasCibersegurança na Internet das Coisas
Cibersegurança na Internet das CoisasRuy De Queiroz
 
Artigo engenharia social
Artigo engenharia socialArtigo engenharia social
Artigo engenharia socialEmbratel
 
Segurança informática: contexto, conceitos e desafios
Segurança informática: contexto, conceitos e desafiosSegurança informática: contexto, conceitos e desafios
Segurança informática: contexto, conceitos e desafiosLuis Borges Gouveia
 
Engenharia social senai - ppt
Engenharia social senai - pptEngenharia social senai - ppt
Engenharia social senai - pptCarlos Melo
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicosGuilherme Neves
 
Honeypotting para a Aquisição de Feeds de Inteligência
Honeypotting para a Aquisição de Feeds de InteligênciaHoneypotting para a Aquisição de Feeds de Inteligência
Honeypotting para a Aquisição de Feeds de InteligênciaJefferson Macedo
 
Segurança da informação - Maio 2011
Segurança da informação - Maio 2011Segurança da informação - Maio 2011
Segurança da informação - Maio 2011Márcio Bortolini dos Santos
 
Engenharia Social
Engenharia SocialEngenharia Social
Engenharia Socialelliando dias
 
Engenharia Social UNAES Campo Grande MS
Engenharia Social UNAES Campo Grande MSEngenharia Social UNAES Campo Grande MS
Engenharia Social UNAES Campo Grande MSBruno Alexandre
 
Engenharia Social
Engenharia SocialEngenharia Social
Engenharia SocialLuis Guilherme Rodrigues
 
Palestra Sobre Engenharia Social
Palestra Sobre Engenharia SocialPalestra Sobre Engenharia Social
Palestra Sobre Engenharia SocialDavi Rodrigues
 
Engenharia social
Engenharia socialEngenharia social
Engenharia socialKurte Wagner
 
E-book sobre Engenharia Social
E-book sobre Engenharia SocialE-book sobre Engenharia Social
E-book sobre Engenharia SocialMiguel Reis
 
Palestra Segurança da Informação
Palestra Segurança da InformaçãoPalestra Segurança da Informação
Palestra Segurança da Informaçãomastroianni oliveira
 
Docência na Educação Profissional com a Temática Segurança da Informação
Docência na Educação Profissional com a Temática Segurança da InformaçãoDocência na Educação Profissional com a Temática Segurança da Informação
Docência na Educação Profissional com a Temática Segurança da Informaçãomastroianni oliveira
 
Machine learning e Internet das coisas: privacidade e conveniência.
Machine learning e Internet das coisas: privacidade e conveniência.Machine learning e Internet das coisas: privacidade e conveniência.
Machine learning e Internet das coisas: privacidade e conveniência.Janael Pinheiro
 
Engenharia Social.docx
Engenharia Social.docxEngenharia Social.docx
Engenharia Social.docxThaisCristina656020
 
Tecnicas de Segurança de Dados de Smarthphones.pdf
Tecnicas de Segurança de Dados de Smarthphones.pdfTecnicas de Segurança de Dados de Smarthphones.pdf
Tecnicas de Segurança de Dados de Smarthphones.pdfcostaamaryel
 
Amiguinhos virtuais ameaças reais
Amiguinhos virtuais ameaças reaisAmiguinhos virtuais ameaças reais
Amiguinhos virtuais ameaças reaisRenato Basante Borbolla
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicosGuilherme Neves
 
ViolaçãO Da Privacidade
ViolaçãO Da PrivacidadeViolaçãO Da Privacidade
ViolaçãO Da Privacidadejoaozinhu
 
FIREWALL 04.pptx
FIREWALL 04.pptxFIREWALL 04.pptx
FIREWALL 04.pptxADASVIEIRAArmazmPara
 
Módulo n.º 5: Segurança
Módulo n.º 5: SegurançaMódulo n.º 5: Segurança
Módulo n.º 5: SegurançaKarel Van Isacker
 
O "erro humano" e a engenharia social
O "erro humano" e a engenharia socialO "erro humano" e a engenharia social
O "erro humano" e a engenharia socialRicardo Cavalcante
 
Engenharia social
Engenharia socialEngenharia social
Engenharia socialNaraBarros10
 
Botnets
BotnetsBotnets
BotnetsMaria José Rodrigues
 
Segurança dos sistemas de informação
Segurança dos sistemas de informaçãoSegurança dos sistemas de informação
Segurança dos sistemas de informaçãoRodrigo Gomes da Silva
 

Mais conteúdo relacionado

Mais procurados

Honeypotting para a Aquisição de Feeds de Inteligência
Honeypotting para a Aquisição de Feeds de InteligênciaHoneypotting para a Aquisição de Feeds de Inteligência
Honeypotting para a Aquisição de Feeds de InteligênciaJefferson Macedo
 
Engenharia Social UNAES Campo Grande MS
Engenharia Social UNAES Campo Grande MSEngenharia Social UNAES Campo Grande MS
Engenharia Social UNAES Campo Grande MSBruno Alexandre
 
Palestra Sobre Engenharia Social
Palestra Sobre Engenharia SocialPalestra Sobre Engenharia Social
Palestra Sobre Engenharia SocialDavi Rodrigues
 
E-book sobre Engenharia Social
E-book sobre Engenharia SocialE-book sobre Engenharia Social
E-book sobre Engenharia SocialMiguel Reis
 
Palestra Segurança da Informação
Palestra Segurança da InformaçãoPalestra Segurança da Informação
Palestra Segurança da Informaçãomastroianni oliveira
 
Docência na Educação Profissional com a Temática Segurança da Informação
Docência na Educação Profissional com a Temática Segurança da InformaçãoDocência na Educação Profissional com a Temática Segurança da Informação
Docência na Educação Profissional com a Temática Segurança da Informaçãomastroianni oliveira
 
Machine learning e Internet das coisas: privacidade e conveniência.
Machine learning e Internet das coisas: privacidade e conveniência.Machine learning e Internet das coisas: privacidade e conveniência.
Machine learning e Internet das coisas: privacidade e conveniência.Janael Pinheiro
 

Mais procurados (11)

Honeypotting para a Aquisição de Feeds de Inteligência
Honeypotting para a Aquisição de Feeds de InteligênciaHoneypotting para a Aquisição de Feeds de Inteligência
Honeypotting para a Aquisição de Feeds de Inteligência
 
Segurança da informação - Maio 2011
Segurança da informação - Maio 2011Segurança da informação - Maio 2011
Segurança da informação - Maio 2011
 
Engenharia Social
Engenharia SocialEngenharia Social
Engenharia Social
 
Engenharia Social UNAES Campo Grande MS
Engenharia Social UNAES Campo Grande MSEngenharia Social UNAES Campo Grande MS
Engenharia Social UNAES Campo Grande MS
 
Engenharia Social
Engenharia SocialEngenharia Social
Engenharia Social
 
Palestra Sobre Engenharia Social
Palestra Sobre Engenharia SocialPalestra Sobre Engenharia Social
Palestra Sobre Engenharia Social
 
Engenharia social
Engenharia socialEngenharia social
Engenharia social
 
E-book sobre Engenharia Social
E-book sobre Engenharia SocialE-book sobre Engenharia Social
E-book sobre Engenharia Social
 
Palestra Segurança da Informação
Palestra Segurança da InformaçãoPalestra Segurança da Informação
Palestra Segurança da Informação
 
Docência na Educação Profissional com a Temática Segurança da Informação
Docência na Educação Profissional com a Temática Segurança da InformaçãoDocência na Educação Profissional com a Temática Segurança da Informação
Docência na Educação Profissional com a Temática Segurança da Informação
 
Machine learning e Internet das coisas: privacidade e conveniência.
Machine learning e Internet das coisas: privacidade e conveniência.Machine learning e Internet das coisas: privacidade e conveniência.
Machine learning e Internet das coisas: privacidade e conveniência.
 

Semelhante a Estudo De Viabilidade Na Utilização De Ferramente De Mineração De Dados Como Prvenção Contra Ataques De Engenharia Social Para Internautas - Maltego

Tecnicas de Segurança de Dados de Smarthphones.pdf
Tecnicas de Segurança de Dados de Smarthphones.pdfTecnicas de Segurança de Dados de Smarthphones.pdf
Tecnicas de Segurança de Dados de Smarthphones.pdfcostaamaryel
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicosGuilherme Neves
 
ViolaçãO Da Privacidade
ViolaçãO Da PrivacidadeViolaçãO Da Privacidade
ViolaçãO Da Privacidadejoaozinhu
 
O "erro humano" e a engenharia social
O "erro humano" e a engenharia socialO "erro humano" e a engenharia social
O "erro humano" e a engenharia socialRicardo Cavalcante
 
Segurança dos sistemas de informação
Segurança dos sistemas de informaçãoSegurança dos sistemas de informação
Segurança dos sistemas de informaçãoRodrigo Gomes da Silva
 
ENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdf
ENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdfENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdf
ENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdfHelenaReis48
 
Utilização do WhatsApp® para discussão de casos de radiologia intervencionist...
Utilização do WhatsApp® para discussão de casos de radiologia intervencionist...Utilização do WhatsApp® para discussão de casos de radiologia intervencionist...
Utilização do WhatsApp® para discussão de casos de radiologia intervencionist...Thiago Julio, MD
 
Uso-Responsavel-da-Tecnologia-A-Responsabilidade-na-Era-Digital 1 a tec 21-08...
Uso-Responsavel-da-Tecnologia-A-Responsabilidade-na-Era-Digital 1 a tec 21-08...Uso-Responsavel-da-Tecnologia-A-Responsabilidade-na-Era-Digital 1 a tec 21-08...
Uso-Responsavel-da-Tecnologia-A-Responsabilidade-na-Era-Digital 1 a tec 21-08...CarolinaMagalhes54
 
A IMPORTÂNCIA DO USO DE ESTRATÉGIAS DE SEGURANÇA DA INFORMAÇÃO NAS ORGANIZAÇÕES
A IMPORTÂNCIA DO USO DE ESTRATÉGIAS DE SEGURANÇA DA INFORMAÇÃO NAS ORGANIZAÇÕESA IMPORTÂNCIA DO USO DE ESTRATÉGIAS DE SEGURANÇA DA INFORMAÇÃO NAS ORGANIZAÇÕES
A IMPORTÂNCIA DO USO DE ESTRATÉGIAS DE SEGURANÇA DA INFORMAÇÃO NAS ORGANIZAÇÕESCarla Ferreira
 
Privacidade, Transparência Pública e Complexidade
Privacidade, Transparência Pública e ComplexidadePrivacidade, Transparência Pública e Complexidade
Privacidade, Transparência Pública e ComplexidadeFernando de Assis Rodrigues
 
Redes e os princípios da criptografia
Redes e os princípios da criptografiaRedes e os princípios da criptografia
Redes e os princípios da criptografiaUNIEURO
 
Redes e os princípios da criptografia
Redes e os princípios da criptografiaRedes e os princípios da criptografia
Redes e os princípios da criptografiaUNIEURO
 
O cientista de dados, o mundo corporativo e a análise preditiva
O cientista de dados, o mundo corporativo e a análise preditiva O cientista de dados, o mundo corporativo e a análise preditiva
O cientista de dados, o mundo corporativo e a análise preditiva Plugged Research
 

Semelhante a Estudo De Viabilidade Na Utilização De Ferramente De Mineração De Dados Como Prvenção Contra Ataques De Engenharia Social Para Internautas - Maltego (20)

Engenharia Social.docx
Engenharia Social.docxEngenharia Social.docx
Engenharia Social.docx
 
Tecnicas de Segurança de Dados de Smarthphones.pdf
Tecnicas de Segurança de Dados de Smarthphones.pdfTecnicas de Segurança de Dados de Smarthphones.pdf
Tecnicas de Segurança de Dados de Smarthphones.pdf
 
Amiguinhos virtuais ameaças reais
Amiguinhos virtuais ameaças reaisAmiguinhos virtuais ameaças reais
Amiguinhos virtuais ameaças reais
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos
 
ViolaçãO Da Privacidade
ViolaçãO Da PrivacidadeViolaçãO Da Privacidade
ViolaçãO Da Privacidade
 
FIREWALL 04.pptx
FIREWALL 04.pptxFIREWALL 04.pptx
FIREWALL 04.pptx
 
Módulo n.º 5: Segurança
Módulo n.º 5: SegurançaMódulo n.º 5: Segurança
Módulo n.º 5: Segurança
 
O "erro humano" e a engenharia social
O "erro humano" e a engenharia socialO "erro humano" e a engenharia social
O "erro humano" e a engenharia social
 
Engenharia social
Engenharia socialEngenharia social
Engenharia social
 
Botnets
BotnetsBotnets
Botnets
 
Segurança dos sistemas de informação
Segurança dos sistemas de informaçãoSegurança dos sistemas de informação
Segurança dos sistemas de informação
 
ENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdf
ENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdfENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdf
ENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdf
 
Utilização do WhatsApp® para discussão de casos de radiologia intervencionist...
Utilização do WhatsApp® para discussão de casos de radiologia intervencionist...Utilização do WhatsApp® para discussão de casos de radiologia intervencionist...
Utilização do WhatsApp® para discussão de casos de radiologia intervencionist...
 
Uso-Responsavel-da-Tecnologia-A-Responsabilidade-na-Era-Digital 1 a tec 21-08...
Uso-Responsavel-da-Tecnologia-A-Responsabilidade-na-Era-Digital 1 a tec 21-08...Uso-Responsavel-da-Tecnologia-A-Responsabilidade-na-Era-Digital 1 a tec 21-08...
Uso-Responsavel-da-Tecnologia-A-Responsabilidade-na-Era-Digital 1 a tec 21-08...
 
A IMPORTÂNCIA DO USO DE ESTRATÉGIAS DE SEGURANÇA DA INFORMAÇÃO NAS ORGANIZAÇÕES
A IMPORTÂNCIA DO USO DE ESTRATÉGIAS DE SEGURANÇA DA INFORMAÇÃO NAS ORGANIZAÇÕESA IMPORTÂNCIA DO USO DE ESTRATÉGIAS DE SEGURANÇA DA INFORMAÇÃO NAS ORGANIZAÇÕES
A IMPORTÂNCIA DO USO DE ESTRATÉGIAS DE SEGURANÇA DA INFORMAÇÃO NAS ORGANIZAÇÕES
 
Privacidade, Transparência Pública e Complexidade
Privacidade, Transparência Pública e ComplexidadePrivacidade, Transparência Pública e Complexidade
Privacidade, Transparência Pública e Complexidade
 
Internet redes sociais
Internet redes sociaisInternet redes sociais
Internet redes sociais
 
Redes e os princípios da criptografia
Redes e os princípios da criptografiaRedes e os princípios da criptografia
Redes e os princípios da criptografia
 
Redes e os princípios da criptografia
Redes e os princípios da criptografiaRedes e os princípios da criptografia
Redes e os princípios da criptografia
 
O cientista de dados, o mundo corporativo e a análise preditiva
O cientista de dados, o mundo corporativo e a análise preditiva O cientista de dados, o mundo corporativo e a análise preditiva
O cientista de dados, o mundo corporativo e a análise preditiva
 

Estudo De Viabilidade Na Utilização De Ferramente De Mineração De Dados Como Prvenção Contra Ataques De Engenharia Social Para Internautas - Maltego

  • 1. MBA EM GESTÃO DE SEGURANÇA DA INFORMAÇÃO – MÓDULO SU ESTUDO DE VIABILIDADE NA UTILIZAÇÃO DE FERRAMENTA DE MINERAÇÃO DE DADOS COMO PREVENÇÃO CONTRA ATAQUES DE ENGENHARIA SOCIAL PARA OS INTERNAUTAS Cleyton Tsukuda Kano Orientador: Prof. MSc. Sérgio Alexandre Simões RESUMO Muitos oportunistas se utilizam de programas de mineração de dados para coletar informações sobre suas futuras vítimas e aplicar a engenharia social com uma riqueza de detalhes, tendo mais eficácia e dando mais credibilidade. Para não ser mais uma vítima, os internautas podem se utilizar destes programas para buscar informações sobre si, verificar o que está disponível, mapear e traçar um plano estratégico sobre o que deverá ser feito com elas, para assim, mitigar os riscos. Este artigo tem por finalidade estudar a viabilidade na utilização de uma ferramenta de mineração de dados em específico, o Maltego, como instrumento para prevenção contra possíveis ataques de engenharia social. Palavras-chave: mineração de dados, Maltego, prevenção, engenharia social, segurança da informação. ABSTRACT Many opportunists make use of data mining programs to collect information about their future victims and apply social engineering with a wealth of detail, being more effective and giving more credibility. To avoid being a victim, internet users can use these programs to seek information about themselves, check out what is available, map and draw a strategic plan on what should be done with it, thus, mitigate the risks. This article aims to study the feasibility of using a specific data mining tool, the Maltego, as a tool for preventing possible social engineering attacks. Keywords: data mining, Maltego, prevention, social engineering, information security.
  • 2. 1. INTRODUÇÃO 1.1. O problema O que os internautas fariam se soubessem que tipo de informações sobre si se encontram disponíveis publicamente na rede? Aqueles que nunca fizeram testes colocando o próprio nome em sites de busca, talvez, se surpreenderiam. Mas e se soubessem que seria possível encontrar ainda mais informações a respeito de si, o que fariam? Ou ainda o que outras pessoas poderiam fazer com estas informações? Será que instalar programas de segurança digital resolveria o problema da segurança da informação? É importante utilizar programas e/ou contratar serviços que protejam o ambiente virtual do usuário, no entanto, o usuário não está totalmente protegido, uma vez que ele próprio ou outra pessoa pode expor informações pessoais e por vezes de caráter sensível que podem ser elementos fundamentais para oportunistas aplicarem a engenharia social ou qualquer outro crime. E é por este motivo que os investimentos em recursos de segurança digital não são eficazes se forem aplicadas de forma isolada (FONSECA, 2009). E o local cada vez mais utilizado e se tornando outro mundo, paralelo a este em que vivemos fisicamente, propicia a coleta de informações. Este local, a internet, é uma grande e ótima fonte para obtenção das informações, é um local onde é possível encontrar diversos assuntos, aprender coisas novas, rever histórias, entre outros. Atualmente é um lugar amplamente utilizado para a divulgação da própria vida do usuário, como em publicações de mensagens, fotos, lugares em que visitou ou está visitando. Dessa forma por si só já representa um risco, já que é possível saber a rotina do usuário e em tempo real onde aquela pessoa está. Mas as informações pessoais não se restringem àquelas que elas próprias publicam nas mídias e redes sociais. Algumas nem são usuários de alguma mídia ou rede social com o objetivo de tentarem se proteger e
  • 3. não deixar informações pessoais na rede. Mas mesmo assim pode haver informações disponíveis sobre si, muitas vezes espalhadas, porém fáceis de serem acessadas por qualquer um. Com tudo isso, pode-se observar que o ambiente virtual apesar de ser uma ótima fonte de conhecimento para as pessoas, ela é também uma grande fonte de armadilhas (OSIRO, 2006) e muito propicio para oportunistas e golpistas encontrarem informações para realizarem ataques utilizando-se da engenharia social. A engenharia social não é um conceito novo, ela vem sendo utilizada há muito tempo por oportunistas, dos quais obtém a informação desejada através do elo mais fraco, que são as pessoas. Hoje eles contam com a ajuda de programas para a obtenção de informações sobre uma dada pessoa. Com as informações necessárias o oportunista pode então se utilizar da engenharia social com mais eficácia e surpreender a pessoa, que pode ficar acuada e sem reação, ou obter a confiança dela e até conseguir com que ela faça as coisas para ele, sem suspeitar de que se trata de um golpe. 1.2. A motivação do estudo A grande motivação para estudar este tema é de buscar um meio para mitigar os riscos de um internauta sofrer um golpe de engenharia social com as informações espalhadas pela internet. Para isso é necessário entender como os oportunistas atuam. Dentre as ferramentas utilizadas por eles, encontram-se soluções que realizam a mineração de dados para realizar a coleta de informações disponíveis na rede, bastando informar apenas alguns dados simples de serem adquiridos. E entre as ferramentas que se utilizam da mineração de dados, está o Maltego, que pode ser utilizado para a coleta de informações para então auxiliar os internautas a mitigarem os riscos de golpes que envolvem engenharia social.
  • 4. 1.3. O objetivo Dentre as soluções citadas anteriormente encontra-se o Maltego, objeto de estudo deste artigo, que tem por finalidade estudar a viabilidade na utilização dele como ferramenta de prevenção contra possíveis ataques de engenharia social, levando em conta os usuários comuns que se utilizam da internet em seu cotidiano. Então assim como oportunistas utilizam-se desta ferramenta para benefício próprio, os internautas também podem utiliza-la para estar um ou mais passos a frente dos golpistas. Para isso, a própria pessoa, pode fazer uso desta solução para buscar informações sobre si, com objetivo de que possa ser retirado a tempo ou então conhecer onde estão os possíveis riscos para que possa se prevenir e encontrar meios de diminuir ou mitigar os riscos. 1.4. Referencial teórico Este artigo tem como base o estudo realizado através dos conceitos de engenharia social e mineração de dados, assim como a ferramenta Maltego. Foi realizada uma análise das informações sobre os materiais publicados pela instituição desenvolvedora da ferramenta, bem como, materiais publicados por outras equipes do mundo inteiro que realizaram um estudo sobre todos os elementos envolvidos neste tema e também informações de testes realizados com a ferramenta. 1.5. A estrutura do artigo A estrutura deste artigo se encontra divido em quatro partes, onde primeiramente será abordado o conceito de engenharia social, em seguida a definição da mineração de dados, posteriormente o estudo da ferramenta
  • 5. Maltego e por final será verificado o que é possível fazer com os resultados apresentados pela ferramenta.
  • 6. 2. ENGENHARIA SOCIAL 2.1 Conhecendo o inimigo Para conhecer melhor o inimigo, é interessante saber mais sobre a expressão engenharia social. Mitnick (2003), um dos maiores especialistas nesta arte, a descreve da seguinte forma: A engenharia social usa a influência e a persuasão para enganar as pessoas e convencê-las de que o engenheiro social é alguém que na verdade ele não é, ou pela manipulação. Como resultado, o engenheiro social pode aproveitar-se das pessoas para obter as informações com ou sem o uso da tecnologia. Dessa forma é possível verificar que os oportunistas que se utilizam da engenharia social, buscam a aquisição de informações sensíveis, sigilosas e confidenciais. Eles exploram o elo mais fraco na segurança da informação, o ser humano, induzindo-as para agirem conforme a vontade deles. E são profissionais na arte de enganar as pessoas. Uma frase de AEllen Frisch (2002) ajuda a explicar esta situação: "A segurança começa e termina com as pessoas" 1. Ou seja, por mais que um ambiente ou ferramenta tenham sido desenvolvidos com toda a preocupação na segurança, proteção e sigilo das informações de seus usuários, ainda assim não é efetivo por si só. Uma vez que quem irá utilizar no final, serão pessoas com conhecimentos, culturas e características distintas, que podem tornar toda e qualquer solução vulnerável. Mas esta frase ainda pode ter outro significado, onde uma solução apesar de ter sido desenvolvida pensando na segurança de seus usuários, ela termina no outro lado, onde existe uma pessoa para explorar suas vulnerabilidades. 1 Tradução do texto original: "Security begins and ends with people."
  • 7. 2.2 Tipos de vulnerabilidades As vulnerabilidades são diversas, uma delas é a brecha do sistema, em que o oportunista se utiliza disto para manipular o ambiente ou ferramenta. Por exemplo, um oportunista constatou uma brecha em um componente do navegador web, ele então irá explorar esta brecha para configurar um código malicioso e prejudicar a máquina de uma pessoa. Neste caso a engenharia social não necessariamente é utilizada. Outra vulnerabilidade é a exploração dos funcionários que possuem informações importantes a respeito do ambiente. Por exemplo, um oportunista explora a segurança virtual de uma instituição bancária, que pode ser através de uma brecha de sistema, mencionado anteriormente, ou utilizando a engenharia social. Através do segundo caminho, o oportunista buscando informações na internet encontra um funcionário insatisfeito com a instituição bancária em que trabalha, disponibilizando informações como a não aplicação de um pacote de correção do banco de dados, que foi retido pela burocracia da corporação. O oportunista então se utiliza de um programa para buscar mais informações deste funcionário, aplica-lhe a engenharia social através da rede social, por exemplo, e então consegue descobrir a versão utilizada do banco de dados. Assim ele procura e descobre a brecha para esta versão (que a empresa desenvolvedora tentou corrigir com o pacote de correções) e invade o sistema. Ou ele ainda poderia induzir o funcionário a realizar a correção manualmente, dizendo que este ganharia crédito da empresa por tal façanha, mas sem saber que na verdade estará abrindo caminho para o oportunista e que levará a culpa por fraude no sistema e até de ser cúmplice do golpista por facilitação da entrada dele no sistema da instituição. E da mesma forma que ocorre a exploração com o funcionário, o mesmo pode ocorrer com as pessoas, usuários normais de internet.
  • 8. 2.3 Causas dos problemas de segurança digital Frisch (2002) menciona três principais causas dos problemas de segurança através das pessoas, sendo elas: ignorância, preguiça e malícia. Explorando um pouco mais estas características mencionadas, pode- se dizer que a ignorância está relacionada à falta de preparo e/ou informação dos internautas. Podendo ser um dos fatores que podem torna- los vítimas de engenharia social. Pessoas más intencionadas costumam se aproveitar da ignorância para induzir usuários ao erro, levando-os diretamente para o caminho que os oportunistas planejaram. Como exemplo de ignorância, esta pode ser expressa através das redes sociais, um local muito comum de publicação e onde os usuários costumam confiar e/ou aliviar seus sentimentos. Podem-se citar aqueles usuários que utilizam a rede social para descrever fatos cotidianos ou apenas seus pensamentos que refletem seu dia a dia, que permitem muitas vezes saber de sua rotina. E hoje é muito comum o uso de dispositivos móveis, que diversas vezes deixa os rastros da localidade em tempo real dos usuários. Muitas pessoas, pela ignorância de não saber que publicou algo que não teria a necessidade, se expõem e se colocam em risco ou por vezes colocam em risco outras pessoas. Tudo isso dá margem para um oportunista utilizar-se destas informações em benefício próprio e se aproveitar destas pessoas. O oportunista ainda pode obter mais informações, a partir dos dados já informados, e entrar em contato com a vítima de uma forma mais sutil, convincente e até com uma garantia do internauta não suspeitar de ser mais uma vítima. Já a preguiça é uma tentação que pode ser outro fator que expõe as informações sensíveis dos internautas. Além da preguiça, neste fator ainda pode ser acrescentado o esquecimento, podendo então ser trabalhado como o fator preguiça/esquecimento. Um cenário: uma pessoa imprime um e-mail ou documento contendo informações pessoais e sensíveis (como telefone pessoal, número de documento, conversa de bate-papo, print de tela, senha(s), cartão de crédito, entre outros) e por preguiça/esquecimento
  • 9. deixa para pegar mais tarde ou ainda por não guardar na mochila ou em outro lugar menos visível deixa a impressão exposta. Parecido com este cenário, ainda pode-se citar outro exemplo, onde a pessoa deixa o computador destravado em um local público e com as páginas de rede social, e-mail, editor de documentos e todas as suas informações expostas. Pode ser que o oportunista não veja tudo no momento de distração, mas ele pode instalar um programa malicioso para posteriormente realizar suas ações. Ou ainda somente por observar certas informações ele consiga uma aproximação com a vítima, ganhando a confiança e obtendo ainda outras informações mais profundas. A preguiça/esquecimento de trocar de senha quando um celular é roubado ou de atualizar o sistema de antivírus também são outros fatores que podem ser o caminho de entrada para oportunistas. Ou ainda a preguiça/esquecimento de configurar a segurança de páginas, como a configuração de exibição de informações na rede social (mensagens/informações para serem exibidas somente ao usuário, amigos, amigos de amigos ou público). Ainda pode ocorrer a preguiça/esquecimento de apagar aquela mensagem ou informação que colocou em um site, rede social ou mídia social do qual, pode expor a si próprio e/ou aos outros. E por fim o fator de malícia pode ser expresso pelas pessoas que buscam expor dados alheios de forma proposital e com intuito de prejudicar a outra parte. Como exemplo, pode-se citar uma pessoa com raiva de outra e expor os dados pessoais e sensíveis dela em uma mídia social, o oportunista então se aproveita destas informações lá expostas. Normalmente, segundo a Cengage Learning (2010), antes mesmo de utilizar a engenharia social, o oportunista procura coletar informações na internet através de diversas formas como, websites, mídias sociais, publicações, ferramentas de escaneamento de portas, técnicas hacker, ferramentas de mineração de dados que conseguem inclusive o mapeamento e torna tudo muito organizado a coleta destas informações.
  • 10. 3. MINEIRAÇÃO DE DADOS 3.1 A mineração de dados como método de prevenção Com os recursos disponíveis e descritos no tópico anterior, que facilitam a aplicação de engenharia social, como seria possível o internauta se prevenir? Como possível solução de prevenção contra todas estas exposições desnecessárias de informações, foi possível encontrar informações em um trabalho de Clifton e Marks (1996), que sugeriu a utilização da mineração de dados como um método de prevenção. Dessa forma, torna-se possível que o internauta limite as fontes e as informações disponíveis para manter um controle sobre aquilo que seja permitido ou aceitável (ANDRESS; WINTERFELD, 2011). Prevenindo-se assim contra ataques de engenharia social, fazendo com que o oportunista que se utilizar de alguma ferramenta deste tipo, não consiga obter muita informação ou obtenha as informações que o usuário já possua conhecimento. A Paterva (2011), criadora do programa Maltego descreve: O acesso a informações oportunas e precisas sempre desempenhou um papel importante na segurança de sistemas de informação. Esta informação é crucial para atacar ou defender um possível alvo. [...] Para atacar um alvo que você deve saber onde está o alvo. [...] Para encontrar um possível ponto fraco, precisamos saber o máximo possível sobre o alvo e alguém ao redor do alvo com uma relação de confiança.2 Ou seja, a informação constitui um fator fundamental para a segurança digital, sendo decisivo para o ataque do oportunista ou defesa dos usuários. Mas para conhecer os pontos fracos e saber o que deve ser corrigido ou mapeado, é necessário conhecer onde estão as vulnerabilidades. É como diz um velho ditado, onde é melhor prevenir do 2 Tradução do texto original: “Access to timely and accurate information has always played a big role in information systems security. This information is crucial to attack or defend a possible target. [...] To attack a target you must know where the target is. [...] To find a possible weak spot we need to know as much as possible about the target and anybody around the target with a trust relationship.”
  • 11. que remediar e dessa forma faz com que o usuário esteja alguns passos a frente do inimigo (o engenheiro social). 3.2 Mantendo o controle sobre as informações Com todas as informações espalhadas pela internet é difícil de manter um controle efetivo do que está publicado e até de se prevenir de golpes, sendo “Como um jogo de quebra-cabeça, as informações são postas como “pedaços” importantes, que se juntando a outros “pedaços” formarão o resultado final do que se espera” (PEIXOTO, 2004). Ou seja, as informações estando espalhadas podem apresentar a aparência de serem irrelevantes e de pouca importância, mas quando vinculadas entrei si e por vezes outras informações (baseadas em um contexto ainda maior), apresentam uma característica mais completa e com muitos detalhes. Então para ajudar a manter um controle e prevenção contra a exposição desnecessária destas informações, conhecendo e/ou mapeando o que os oportunistas possam encontrar e utilizar como benefício para realizar ataques de engenharia social, como mencionado anteriormente, sugere-se que seja utilizando mineração de dados. 3.3 O que é mineração de dados afinal? A mineração de dados é o processo de extração de locais com grande volume de dados e dispõe uma grande variedade de algoritmos, provenientes das áreas de estatística, reconhecimento de padrões, aprendizado de máquina e banco de dados (LEE; STOLFO, 1998). Basicamente uma ferramenta de mineração de dados se alimenta de uma base de dados organizada (Data Warehouse), realiza análise em busca de padrões e apresentam as informações. Ou seja, entram-se dados que são transformados em informações (para formação de uma base de conhecimento), como é representado pela figura 1.
  • 12. Figura 1 – Etapas para a mineração de dados. Fonte: AMO, 2004, Universidade Federal de Uberlândia Muito além da busca por informações pessoais, sensíveis e sigilosas, ele é amplamente utilizado pelo setor de marketing & propaganda de corporações para análise estatística de uma grande massa de dados em busca de padrões entre diversas variáveis definidas pelo setor. Por exemplo, a partir do armazenamento de informações sobre produtos adquiridos por diferentes clientes ao longo do período da noite, uma ferramenta de mineração de dados pode analisar os padrões de consumo dos clientes noturnos e assim saber quais produtos são mais consumidos neste período. Dessa forma torna-se possível realizar campanhas de marketing e estratégias de posicionamento das mercadorias de modo que fiquem mais fáceis de visualizar e acessíveis para o público noturno. Este tipo de exemplo costuma ocorrer em lojas de departamento e supermercados.
  • 13. 4. O MALTEGO 4.1 A escolha pelo Maltego Como mencionado anteriormente, é possível verificar no trabalho de Clifton e Marks (1996), a necessidade de uma ferramenta que se utilize deste método para então atingir o objetivo em mitigar os riscos de um internauta sofrer golpes que envolvam engenharia social. Dentre as ferramentas que se utilizam da técnica de mineração de dados, se encontra o Maltego. Então a escolha desta ferramenta se deu devido às indicações feitas pelas comunidades da internet e de indicações de amigos e professores. 4.2 Entendendo o Maltego Baseado nas informações encontradas no site de sua empresa desenvolvedora (Paterva, 2011) pode-se dizer que é um programa forense dotado de inteligência (que a Paterva chama de inteligência open source) que busca, através da mineração e coleta, as relações e ligações do mundo real entre pessoas ou grupo de pessoas (como nas redes sociais), empresas, organizações, sites, frases, afiliações, documentos/arquivos e/ou infraestrutura da internet (domínios, nomes de DNS, netblocks e endereços de IP). Ele é desenvolvido em Java, o que permite ser multi-plataforma, e possui interface gráfica que torna possível ao usuário visualizar as relações em diversos níveis de profundidade e segundo a empresa, é também possível visualizar conexões ocultas e personalizar a configuração para adaptar às necessidades específicas de cada usuário. Baseado nas informações apresentadas por Buley (2008), o mecanismo por trás do Maltego se baseia em três princípios:
  • 14. a. Qualquer pedaço de informação encontrada é reduzido para sua característica mais básica, como por exemplo: um indivíduo, um lugar ou endereço; b. Cada entidade pode estar relacionada a uma ou mais entidades, como por exemplo, um indivíduo pode estar ligado a um ou mais lugares; c. Diferentes entidades podem ser combinadas/agrupadas através de regras. Em entrevista, Temming (fundador da Paterva e criador responsável pelo Maltego) disse à Buley (2008) que ao olhar pelo lado hacker, tudo se trata tanto em manter o controle sobre algo quanto em obter informações. Ou seja, o programa permite aos hackers encontrar caminhos escondidos para poderem atacar e/ou obter maiores informações. Ao mesmo tempo possibilita pesquisadores ou responsáveis pela segurança da informação, identificar brechas que ofereçam riscos e ameaças. Baseado no trabalho de Varsalone e McFadden (2011) pode-se afirmar que esta ferramenta é boa para análise de ligações através da junção da engenharia social e inteligência indireta, e também pela junção com outras técnicas de escaneamento inteligente e permite que oportunistas encontrem ainda caminhos escondidos e novos meios de ataque. 4.3 Buscando de informações Para um teste preliminar e verificar que existem inúmeras informações na internet, que muitas vezes o próprio usuário não sabe da existência, basta colocar o próprio nome ou de outra pessoa em um site de buscas. Mas o Maltego consegue exibir ainda mais informações, como já vistos anteriormente neste artigo, podem-se citar endereços de e-mail e telefones, que então podem ser utilizados para a realização de ataques de engenharia social e ainda de outros tipos (HILVEN, 20-?).
  • 15. Segundo trabalho realizado pela equipe formada por Melo, Marins e Silva, Viana, Coval (20-?) sobre a ferramenta, é necessário ter uma linha de pesquisa com um objetivo definido, para filtrar informações trazidas por ela: Para o uso de ferramentas deste tipo, de nada adianta obter resultados se não se traçar um objetivo ou linha de pesquisa. É preciso ter sempre em mente o que é ou não valioso no trabalho de Data Mining. Esta é uma tarefa única e exclusivamente do pesquisador. O software até auxilia neste trabalho, atribuindo “pesos” nas respostas encontradas, seguindo uma lógica atribuída na programação do software, mas somente quem está no comando da pesquisa pode definir se a resposta faz ou não sentido [..] Em testes realizados pela equipe, que se pautou pela versão gratuita do Maltego, foram realizadas buscas por um nome e outro por um domínio e foram encontradas informações relevantes aos objetos de pesquisa, tais como e-mails, servidores de sites do objeto estudado, perfil em mídias sociais, entre outros. No entanto, apesar do resultado obtido ser convincente, é necessário recorrer da análise e filtragem destes dados antes de aceitar/negar a informação, com intuito de não se coletar informações errôneas e então se distanciar do objetivo. No caso da busca por um determinado domínio, como resultado foram apresentados alguns servidores. Dentre eles foi possível verificar quais domínios utilizavam o mesmo nome de DNS. Posteriormente foi demonstrada a possibilidade de verificar os documentos que estavam hospedados no site de um dos domínios. Além disso, foi possível verificar um servidor de correio eletrônico e identificou o provável software responsável por este correio, restando apenas encontrar a conta desse domínio. Com isso, segundo eles, pode-se criar uma lista de senhas para realizar um ataque de força bruta (ataque onde são testadas diversas possibilidades de senha) ou ainda um ataque de engenharia social. Além do Maltego, podem-se utilizar sites de internet e de busca para complementar as informações obtidas através dele, e também para encontrar comprovações da veracidade da informação. Dessa forma é possível se preparar para uma aproximação com o objeto de pesquisa e então aplicar técnicas de engenharia social.
  • 16. 5. ANÁLISE DOS RESULTADOS OBTIDOS 5.1 O que foi encontrado? Através das informações coletadas na internet e analisadas através da técnica da mineração de dados realizada pelo Maltego, torna-se possível verificar o que se está disponível na internet sobre o internauta. Como o resultado dos testes realizados pela equipe (MELO; MARINS e SILVA; VIANA; COVAL, 20-?) apresentarem alguns resultados irrelevantes e errôneos, é necessário que seja feita uma análise minuciosa sobre as informações apresentadas pela ferramenta e definir o que é verdadeiro. Dessa forma o usuário filtra o que é de fato informação do próprio internauta ou de outra pessoa. Como as buscas são feitas pelo próprio usuário, este é totalmente capaz de identificar o que é sobre si e o que não é (o que é de fato relevante e verdadeiro). 5.2 O que fazer? É importante realizar o mapeamento das informações e traçar um plano estratégico e definir o que permanecerá na rede ou o que será oculta ou apagada. É um processo muito parecido com o processo de inventário de um ambiente, onde são catalogados detalhadamente os conteúdos e seu local. Começando pela rede social, uma plataforma amplamente utilizada pelos usuários da internet e que auxiliam no processo de divulgação de informações de muitos usuários, que por muitas vezes dão indícios do cotidiano, rotina e local dos mesmos (MCAFEE, 2010). Sabendo disso, muitos oportunistas se utilizam delas para obterem as informações de futuras vítimas. Uma das aproximações utilizadas por eles é criar perfis falsos e convincentes (HUBER, KOWALSKI, NOHLBERG,
  • 17. TJOA; 2009). Mas mesmo aqueles perfis não muito convincentes, atualmente a aceitação de “amigos” tem se tornado fácil seja por satisfação própria e aumentar o número de amigos, seja por distração, seja pela enganação. O motivo disto ocorrer muitas vezes é obscuro e muitas pessoas acabam nem checando o perfil destes “amigos” e muito menos desconfiam deles, porém eles estão recebendo todas as atualizações do usuário. Então mesmo que a pessoa tenha se preocupado em ocultar as informações ao público, o oportunista fazendo parte da rede social do usuário tem acesso a muitas informações importantes, bastando apenas filtrar. Além disso, conforme são desenvolvidos cada vez mais recursos para as redes sociais, isso permite uma que os oportunistas se utilizem deles também para benefício próprio. Como exemplo pode-se citar o bate- papo, páginas que permitem inserção de aplicativos com códigos maliciosos e também a disponibilidade de links para páginas clonadas das redes sociais (que imitam o comportamento e interface). Mas apesar desta facilidade encontrada pelas redes sociais, o engenheiro social sempre em constante evolução pode se utilizar de ferramentas que facilitem ainda mais o seu trabalho e melhorem a eficácia na obtenção das informações antes mesmo de se utilizarem da engenharia social, como por exemplo, ferramentas que se utilizam de técnicas de mineração de dados. Por este motivo, existe certo número de golpes de engenharia social realizado através da rede social, onde segundo uma pesquisa patrocinada pela Check Point Software através da Dimensional Research (2011), feita com 850 profissionais da área de segurança de TI e em seis países, apontou que 39% dos golpes envolvendo engenharia social são realizados sobre as redes sociais públicas. É então importante configurar primeiramente a segurança da conta para serem exibidos os conteúdos somente para os amigos, evitando-se assim que muitas informações desnecessárias cheguem ao público. Além
  • 18. disso, é importante verificar os indivíduos que solicitam a adição do perfil deles e permitir que ali estejam de fato os amigos. Depois das informações, é importante definir grupos especificados pelo usuário para que somente um ou mais grupos consigam visualizar determinada informação ou determinado álbum de fotos. Com relação aos e-mails, é importante não ser surpreendido com um conteúdo de uma mensagem que diz conhecer o usuário, além do mais como está mapeado e catalogado, dificilmente será surpreendido. E assim classificar como um spam para evitar maiores incômodos.
  • 19. CONCLUSÃO O Maltego é uma ferramenta de mineração de dados viável e que pode ser utilizada na busca de informações a respeito do próprio internauta. Apesar das pesquisas apresentarem alguns dados irrelevantes e errôneos, a própria pessoa é capaz de identificar o que é relevante ou não para si e o que é ou não verdadeiro a respeito de si. No entanto esta ferramenta tem apenas o papel de auxiliar o internauta no processo de mapeamento das informações disponível na internet para que o mesmo saiba é possível de se encontrar na rede e assim ser possível tomar as possíveis providências, como se irá manter, retirar ou ocultar determinada informação. Tendo conhecimento disso, então, caso algum golpista tente uma aproximação com um usuário, este não será surpreendido com o que ele escrever ou dizer, uma vez que o internauta agora sabe que isso foi tirado de um local da internet (que ele viu com o auxílio do Maltego). Dessa forma torna-se possível verificar a viabilidade na utilização de uma ferramenta de mineração de dados, que no caso deste artigo é o Maltego, como um instrumento de prevenção contra a aproximação dos oportunistas que podem se utilizar da engenharia social para se aproveitarem dos internautas.
  • 20. REFERÊNCIAS ANDRESS, J.; WINTERFELD, S.. Cyber Warfare: Techniques, tactics and tools for security practitioners. Waltham: Elsevier Inc, 2011. Disponível em: http://books.google.com.br/books?id=0oXL2u- Qmy0C&printsec=frontcover&hl=pt- BR&source=gbs_ge_summary_r&cad=0#v=onepage&q&f=false. Acesso em: 17 de junho de 2012. BULEY, T. When Everyone Can Mine Your Data: Maltego's open-source intelligence software brings data mining to the masses. [S.l.]: Forbes, 2008. Disponível em: http://www.forbes.com/2008/11/21/maltego-data-mining- identity08-tech-cz-tb_1121maltego.html. Acesso em: 29 de julho de 2012. CENGAGE LEARNING. Ethical Hacking and Countermeasures Attack Phases. Clifton Park, NY: EC-Council, 2010. Disponível em: http://books.google.com.br/books?id=HfGo_glzw- 0C&printsec=frontcover&hl=pt- BR&source=gbs_ge_summary_r&cad=0#v=onepage&q&f=false. Acesso em: 17 de junho de 2012. CHECK POINT SOFTWARE TECHNOLOGIES LTD.. The Risk Of Social Engineering On Information Security: A Survey Of IT Professionals. [S.l]: Dimension Research, 2011. Disponível em: http://www.checkpoint.com/press/downloads/social-engineering-survey.pdf. Acesso em: 27 de maio de 2012. CLIFTON, C.; MARKS, D.. Security and Privacy Implications of Data Mining. [S.l.]: ACM SIGMOD Workshop, 1996. Disponível em: citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.28.891&rep=rep1&type =pdf. Acesso em: 17 de junho de 2012.
  • 21. FONSECA, P. F. Gestão de Segurança da Informação: O Fator Humano. Curitiba, PR: Pontifícia Universidade Católica do Paraná, 2009. Disponível em: http://www.ppgia.pucpr.br/~jamhour/RSS/TCCRSS08A/Paula%20Fernanda %20Fonseca%20-%20Artigo.pdf. Acesso em: 26 de mai. de 2012. FRISCH, A. Essential System Administration. 3. ed. Sebastopol, CA.: O'Reilly, 2002. Disponível em: http://books.google.com.br/books?id=uRW8V9QOL7YC&printsec=frontcov er&dq=FRISCH,+A.+Essential+System+Administration&source=bl&ots=TC coE6mukl&sig=QL8rGssUYTg3sDf0EnLnLDOhm-A&hl=pt- BR&sa=X&ei=vzcDUMuMD8rg0QGo2cikBw&ved=0CDcQ6AEwAA#v=one page&q&f=false. Acesso em: 15 de jul. de 2012. HILVEN, A.. Did you want the world to know...?. Western Australia: Edith Cowan University, [20-?]. Disponível em: http://www.somethingwith.be/uploaded_documents/CSG5104%20- %20Special%20Topic%201%20-%20Research%20Paper%20- %20Hilven.pdf. Acesso em: 17 de junho de 2012. HUBER, M.; KOWALSKI, S.; NOHLBERG, M.; TJOA, S. Towards Automating Social Engineering Using Social Networking Sites. [S.l]: IEEE International Conference on - Computational Science and Engineering, 2009. 3 v. 10.1109/CSE.2009.205. Disponível em: http://www.sba-research.org/wp-content/uploads/publications/2009%20- %20Huber%20- %20Towards%20Automating%20Social%20Engineering%20Using%20Soc ial%20Networking%20Sites.pdf. Acesso em 22 de julho de 2012. LEE, W.; STOLFO, S.. Data Mining Approaches for Intrusion Detection. San Antonio, TX: Seventh USENIX Security Symposium, 1998. Disponível em:
  • 22. http://static.usenix.org/publications/library/proceedings/sec98/full_papers/le e/lee_html/lee.html. Acesso em: 17 de junho de 2012. MCAFEE. Uma Boa Década Para O Cibercrime: Uma Análise Retrospectiva Da McAfee Sobre Dez Anos De Cibercrime. [S.l.]: Relatório McAfee, 2010. Disponível em: http://www.mcafee.com/br/resources/reports/rp-good-decade-for- cybercrime.pdf. Acesso em: 25 de maio de 2012. MELO, E. G.; MARINS E SILVA, M. H.; VIANA, P. A.; COVAL, R. S. Tutorial de Uso Maltego 3.0.4: Data Mining. [S.l.]: Universidade Estácio de Sá, [20-?]. MITNICK, K. D.; SIMON, W. L. A arte de enganar: ataques de hackers: controlando o fator humano na segurança da informação. São Paulo, SP: Pearson Education do Brasil, 2003. OSIRO, K. A. Estudo de segurança da informação com enfoque nas normas da ABNT NBR ISO/IEC 17799:2005 e NBR ISO/IEC 27001:2006 para aplicação no Senado Federal. Brasília, DF: Universidade de Brasília, 2006. Disponível em: http://www.senado.gov.br/sf/senado/unilegis/pdf/Monografia%20GTI/n.%C 2%BA%20007-2006%20-%20Kendi.pdf. Acesso em 15 de jul. de 2012. PATERVA. Maltego Version 3 User Guide: Using the GUI. [S.l.]: Paterva, 2011. Disponível em: http://www.paterva.com/malv3/303/M3GuideGUI.pdf. Acesso em: 27 de julho de 2012. PEIXOTO, M. C. P. Gestão de segurança da informação no contexto da vulnerabilidade técnica e humana inserida nas organizações. Uberlândia, MG: Centro Universitário do Triângulo, 2004. Disponível em: https://e3baea88-a-62cb3a1a-s-
  • 23. sites.googlegroups.com/site/pedronunots/Home/academico-3/auditoria-de- seguranca-e-sistemas-de-informacao/artigos- relacionados/contexto_da_vulnerabil.pdf. Acesso em 15 de jul. de 2012. VARSALONE, J.; MCFADDEN, M.. Defense against the Black Arts: How hackers do what they do and how to protect against it. Boca Raton, FL: CRC Press, 2011. Disponível em: http://books.google.com.br/books?id=v7f4BEoAEAMC&printsec=frontcover &hl=pt-BR&source=gbs_ge_summary_r&cad=0#v=onepage&q&f=false. Acesso em: 17 de junho de 2012.