Este documento discute o uso da ferramenta de mineração de dados Maltego como uma forma de prevenção contra ataques de engenharia social. Ele primeiro explica o conceito de engenharia social e como os oportunistas coletam informações sobre vítimas. Em seguida, discute como a ferramenta Maltego pode ser usada para mapear informações disponíveis online sobre um usuário, a fim de identificar riscos potenciais e mitigar ameaças de engenharia social. O documento conclui que os usuários podem usar ferra
Machine learning e Internet das coisas: privacidade e conveniência.
Semelhante a Estudo De Viabilidade Na Utilização De Ferramente De Mineração De Dados Como Prvenção Contra Ataques De Engenharia Social Para Internautas - Maltego
O cientista de dados, o mundo corporativo e a análise preditiva Plugged Research
Semelhante a Estudo De Viabilidade Na Utilização De Ferramente De Mineração De Dados Como Prvenção Contra Ataques De Engenharia Social Para Internautas - Maltego (20)
O cientista de dados, o mundo corporativo e a análise preditiva
Estudo De Viabilidade Na Utilização De Ferramente De Mineração De Dados Como Prvenção Contra Ataques De Engenharia Social Para Internautas - Maltego
1. MBA EM GESTÃO DE SEGURANÇA DA INFORMAÇÃO – MÓDULO SU
ESTUDO DE VIABILIDADE NA UTILIZAÇÃO DE
FERRAMENTA DE MINERAÇÃO DE DADOS COMO
PREVENÇÃO CONTRA ATAQUES DE ENGENHARIA
SOCIAL PARA OS INTERNAUTAS
Cleyton Tsukuda Kano
Orientador: Prof. MSc. Sérgio Alexandre Simões
RESUMO
Muitos oportunistas se utilizam de programas de mineração de dados para coletar
informações sobre suas futuras vítimas e aplicar a engenharia social com uma riqueza de
detalhes, tendo mais eficácia e dando mais credibilidade. Para não ser mais uma vítima, os
internautas podem se utilizar destes programas para buscar informações sobre si, verificar
o que está disponível, mapear e traçar um plano estratégico sobre o que deverá ser feito
com elas, para assim, mitigar os riscos. Este artigo tem por finalidade estudar a viabilidade
na utilização de uma ferramenta de mineração de dados em específico, o Maltego, como
instrumento para prevenção contra possíveis ataques de engenharia social.
Palavras-chave: mineração de dados, Maltego, prevenção, engenharia
social, segurança da informação.
ABSTRACT
Many opportunists make use of data mining programs to collect information about their
future victims and apply social engineering with a wealth of detail, being more effective and
giving more credibility. To avoid being a victim, internet users can use these programs to
seek information about themselves, check out what is available, map and draw a strategic
plan on what should be done with it, thus, mitigate the risks. This article aims to study the
feasibility of using a specific data mining tool, the Maltego, as a tool for preventing possible
social engineering attacks.
Keywords: data mining, Maltego, prevention, social engineering,
information security.
2. 1. INTRODUÇÃO
1.1. O problema
O que os internautas fariam se soubessem que tipo de informações
sobre si se encontram disponíveis publicamente na rede? Aqueles que
nunca fizeram testes colocando o próprio nome em sites de busca, talvez,
se surpreenderiam. Mas e se soubessem que seria possível encontrar ainda
mais informações a respeito de si, o que fariam? Ou ainda o que outras
pessoas poderiam fazer com estas informações? Será que instalar
programas de segurança digital resolveria o problema da segurança da
informação?
É importante utilizar programas e/ou contratar serviços que protejam
o ambiente virtual do usuário, no entanto, o usuário não está totalmente
protegido, uma vez que ele próprio ou outra pessoa pode expor informações
pessoais e por vezes de caráter sensível que podem ser elementos
fundamentais para oportunistas aplicarem a engenharia social ou qualquer
outro crime. E é por este motivo que os investimentos em recursos de
segurança digital não são eficazes se forem aplicadas de forma isolada
(FONSECA, 2009).
E o local cada vez mais utilizado e se tornando outro mundo, paralelo
a este em que vivemos fisicamente, propicia a coleta de informações. Este
local, a internet, é uma grande e ótima fonte para obtenção das
informações, é um local onde é possível encontrar diversos assuntos,
aprender coisas novas, rever histórias, entre outros. Atualmente é um lugar
amplamente utilizado para a divulgação da própria vida do usuário, como
em publicações de mensagens, fotos, lugares em que visitou ou está
visitando. Dessa forma por si só já representa um risco, já que é possível
saber a rotina do usuário e em tempo real onde aquela pessoa está.
Mas as informações pessoais não se restringem àquelas que elas
próprias publicam nas mídias e redes sociais. Algumas nem são usuários
de alguma mídia ou rede social com o objetivo de tentarem se proteger e
3. não deixar informações pessoais na rede. Mas mesmo assim pode haver
informações disponíveis sobre si, muitas vezes espalhadas, porém fáceis
de serem acessadas por qualquer um.
Com tudo isso, pode-se observar que o ambiente virtual apesar de
ser uma ótima fonte de conhecimento para as pessoas, ela é também uma
grande fonte de armadilhas (OSIRO, 2006) e muito propicio para
oportunistas e golpistas encontrarem informações para realizarem ataques
utilizando-se da engenharia social.
A engenharia social não é um conceito novo, ela vem sendo utilizada
há muito tempo por oportunistas, dos quais obtém a informação desejada
através do elo mais fraco, que são as pessoas. Hoje eles contam com a
ajuda de programas para a obtenção de informações sobre uma dada
pessoa. Com as informações necessárias o oportunista pode então se
utilizar da engenharia social com mais eficácia e surpreender a pessoa, que
pode ficar acuada e sem reação, ou obter a confiança dela e até conseguir
com que ela faça as coisas para ele, sem suspeitar de que se trata de um
golpe.
1.2. A motivação do estudo
A grande motivação para estudar este tema é de buscar um meio
para mitigar os riscos de um internauta sofrer um golpe de engenharia
social com as informações espalhadas pela internet.
Para isso é necessário entender como os oportunistas atuam. Dentre
as ferramentas utilizadas por eles, encontram-se soluções que realizam a
mineração de dados para realizar a coleta de informações disponíveis na
rede, bastando informar apenas alguns dados simples de serem adquiridos.
E entre as ferramentas que se utilizam da mineração de dados, está o
Maltego, que pode ser utilizado para a coleta de informações para então
auxiliar os internautas a mitigarem os riscos de golpes que envolvem
engenharia social.
4. 1.3. O objetivo
Dentre as soluções citadas anteriormente encontra-se o Maltego,
objeto de estudo deste artigo, que tem por finalidade estudar a viabilidade
na utilização dele como ferramenta de prevenção contra possíveis ataques
de engenharia social, levando em conta os usuários comuns que se utilizam
da internet em seu cotidiano.
Então assim como oportunistas utilizam-se desta ferramenta para
benefício próprio, os internautas também podem utiliza-la para estar um ou
mais passos a frente dos golpistas. Para isso, a própria pessoa, pode fazer
uso desta solução para buscar informações sobre si, com objetivo de que
possa ser retirado a tempo ou então conhecer onde estão os possíveis
riscos para que possa se prevenir e encontrar meios de diminuir ou mitigar
os riscos.
1.4. Referencial teórico
Este artigo tem como base o estudo realizado através dos conceitos
de engenharia social e mineração de dados, assim como a ferramenta
Maltego.
Foi realizada uma análise das informações sobre os materiais
publicados pela instituição desenvolvedora da ferramenta, bem como,
materiais publicados por outras equipes do mundo inteiro que realizaram
um estudo sobre todos os elementos envolvidos neste tema e também
informações de testes realizados com a ferramenta.
1.5. A estrutura do artigo
A estrutura deste artigo se encontra divido em quatro partes, onde
primeiramente será abordado o conceito de engenharia social, em seguida
a definição da mineração de dados, posteriormente o estudo da ferramenta
5. Maltego e por final será verificado o que é possível fazer com os resultados
apresentados pela ferramenta.
6. 2. ENGENHARIA SOCIAL
2.1 Conhecendo o inimigo
Para conhecer melhor o inimigo, é interessante saber mais sobre a
expressão engenharia social. Mitnick (2003), um dos maiores especialistas
nesta arte, a descreve da seguinte forma:
A engenharia social usa a influência e a persuasão para enganar as
pessoas e convencê-las de que o engenheiro social é alguém que na
verdade ele não é, ou pela manipulação. Como resultado, o
engenheiro social pode aproveitar-se das pessoas para obter as
informações com ou sem o uso da tecnologia.
Dessa forma é possível verificar que os oportunistas que se utilizam
da engenharia social, buscam a aquisição de informações sensíveis,
sigilosas e confidenciais. Eles exploram o elo mais fraco na segurança da
informação, o ser humano, induzindo-as para agirem conforme a vontade
deles. E são profissionais na arte de enganar as pessoas.
Uma frase de AEllen Frisch (2002) ajuda a explicar esta situação: "A
segurança começa e termina com as pessoas" 1. Ou seja, por mais que um
ambiente ou ferramenta tenham sido desenvolvidos com toda a
preocupação na segurança, proteção e sigilo das informações de seus
usuários, ainda assim não é efetivo por si só. Uma vez que quem irá utilizar
no final, serão pessoas com conhecimentos, culturas e características
distintas, que podem tornar toda e qualquer solução vulnerável. Mas esta
frase ainda pode ter outro significado, onde uma solução apesar de ter sido
desenvolvida pensando na segurança de seus usuários, ela termina no
outro lado, onde existe uma pessoa para explorar suas vulnerabilidades.
1
Tradução do texto original: "Security begins and ends with people."
7. 2.2 Tipos de vulnerabilidades
As vulnerabilidades são diversas, uma delas é a brecha do sistema,
em que o oportunista se utiliza disto para manipular o ambiente ou
ferramenta. Por exemplo, um oportunista constatou uma brecha em um
componente do navegador web, ele então irá explorar esta brecha para
configurar um código malicioso e prejudicar a máquina de uma pessoa.
Neste caso a engenharia social não necessariamente é utilizada.
Outra vulnerabilidade é a exploração dos funcionários que possuem
informações importantes a respeito do ambiente. Por exemplo, um
oportunista explora a segurança virtual de uma instituição bancária, que
pode ser através de uma brecha de sistema, mencionado anteriormente, ou
utilizando a engenharia social. Através do segundo caminho, o oportunista
buscando informações na internet encontra um funcionário insatisfeito com
a instituição bancária em que trabalha, disponibilizando informações como a
não aplicação de um pacote de correção do banco de dados, que foi retido
pela burocracia da corporação. O oportunista então se utiliza de um
programa para buscar mais informações deste funcionário, aplica-lhe a
engenharia social através da rede social, por exemplo, e então consegue
descobrir a versão utilizada do banco de dados. Assim ele procura e
descobre a brecha para esta versão (que a empresa desenvolvedora tentou
corrigir com o pacote de correções) e invade o sistema. Ou ele ainda
poderia induzir o funcionário a realizar a correção manualmente, dizendo
que este ganharia crédito da empresa por tal façanha, mas sem saber que
na verdade estará abrindo caminho para o oportunista e que levará a culpa
por fraude no sistema e até de ser cúmplice do golpista por facilitação da
entrada dele no sistema da instituição.
E da mesma forma que ocorre a exploração com o funcionário, o
mesmo pode ocorrer com as pessoas, usuários normais de internet.
8. 2.3 Causas dos problemas de segurança digital
Frisch (2002) menciona três principais causas dos problemas de
segurança através das pessoas, sendo elas: ignorância, preguiça e malícia.
Explorando um pouco mais estas características mencionadas, pode-
se dizer que a ignorância está relacionada à falta de preparo e/ou
informação dos internautas. Podendo ser um dos fatores que podem torna-
los vítimas de engenharia social. Pessoas más intencionadas costumam se
aproveitar da ignorância para induzir usuários ao erro, levando-os
diretamente para o caminho que os oportunistas planejaram.
Como exemplo de ignorância, esta pode ser expressa através das
redes sociais, um local muito comum de publicação e onde os usuários
costumam confiar e/ou aliviar seus sentimentos. Podem-se citar aqueles
usuários que utilizam a rede social para descrever fatos cotidianos ou
apenas seus pensamentos que refletem seu dia a dia, que permitem muitas
vezes saber de sua rotina. E hoje é muito comum o uso de dispositivos
móveis, que diversas vezes deixa os rastros da localidade em tempo real
dos usuários. Muitas pessoas, pela ignorância de não saber que publicou
algo que não teria a necessidade, se expõem e se colocam em risco ou por
vezes colocam em risco outras pessoas. Tudo isso dá margem para um
oportunista utilizar-se destas informações em benefício próprio e se
aproveitar destas pessoas. O oportunista ainda pode obter mais
informações, a partir dos dados já informados, e entrar em contato com a
vítima de uma forma mais sutil, convincente e até com uma garantia do
internauta não suspeitar de ser mais uma vítima.
Já a preguiça é uma tentação que pode ser outro fator que expõe as
informações sensíveis dos internautas. Além da preguiça, neste fator ainda
pode ser acrescentado o esquecimento, podendo então ser trabalhado
como o fator preguiça/esquecimento. Um cenário: uma pessoa imprime um
e-mail ou documento contendo informações pessoais e sensíveis (como
telefone pessoal, número de documento, conversa de bate-papo, print de
tela, senha(s), cartão de crédito, entre outros) e por preguiça/esquecimento
9. deixa para pegar mais tarde ou ainda por não guardar na mochila ou em
outro lugar menos visível deixa a impressão exposta.
Parecido com este cenário, ainda pode-se citar outro exemplo, onde a
pessoa deixa o computador destravado em um local público e com as
páginas de rede social, e-mail, editor de documentos e todas as suas
informações expostas. Pode ser que o oportunista não veja tudo no
momento de distração, mas ele pode instalar um programa malicioso para
posteriormente realizar suas ações. Ou ainda somente por observar certas
informações ele consiga uma aproximação com a vítima, ganhando a
confiança e obtendo ainda outras informações mais profundas.
A preguiça/esquecimento de trocar de senha quando um celular é
roubado ou de atualizar o sistema de antivírus também são outros fatores
que podem ser o caminho de entrada para oportunistas. Ou ainda a
preguiça/esquecimento de configurar a segurança de páginas, como a
configuração de exibição de informações na rede social
(mensagens/informações para serem exibidas somente ao usuário, amigos,
amigos de amigos ou público). Ainda pode ocorrer a preguiça/esquecimento
de apagar aquela mensagem ou informação que colocou em um site, rede
social ou mídia social do qual, pode expor a si próprio e/ou aos outros.
E por fim o fator de malícia pode ser expresso pelas pessoas que
buscam expor dados alheios de forma proposital e com intuito de prejudicar
a outra parte. Como exemplo, pode-se citar uma pessoa com raiva de outra
e expor os dados pessoais e sensíveis dela em uma mídia social, o
oportunista então se aproveita destas informações lá expostas.
Normalmente, segundo a Cengage Learning (2010), antes mesmo de
utilizar a engenharia social, o oportunista procura coletar informações na
internet através de diversas formas como, websites, mídias sociais,
publicações, ferramentas de escaneamento de portas, técnicas hacker,
ferramentas de mineração de dados que conseguem inclusive o
mapeamento e torna tudo muito organizado a coleta destas informações.
10. 3. MINEIRAÇÃO DE DADOS
3.1 A mineração de dados como método de prevenção
Com os recursos disponíveis e descritos no tópico anterior, que
facilitam a aplicação de engenharia social, como seria possível o internauta
se prevenir? Como possível solução de prevenção contra todas estas
exposições desnecessárias de informações, foi possível encontrar
informações em um trabalho de Clifton e Marks (1996), que sugeriu a
utilização da mineração de dados como um método de prevenção.
Dessa forma, torna-se possível que o internauta limite as fontes e as
informações disponíveis para manter um controle sobre aquilo que seja
permitido ou aceitável (ANDRESS; WINTERFELD, 2011). Prevenindo-se
assim contra ataques de engenharia social, fazendo com que o oportunista
que se utilizar de alguma ferramenta deste tipo, não consiga obter muita
informação ou obtenha as informações que o usuário já possua
conhecimento.
A Paterva (2011), criadora do programa Maltego descreve:
O acesso a informações oportunas e precisas sempre desempenhou
um papel importante na segurança de sistemas de informação. Esta
informação é crucial para atacar ou defender um possível alvo. [...]
Para atacar um alvo que você deve saber onde está o alvo. [...] Para
encontrar um possível ponto fraco, precisamos saber o máximo
possível sobre o alvo e alguém ao redor do alvo com uma relação de
confiança.2
Ou seja, a informação constitui um fator fundamental para a
segurança digital, sendo decisivo para o ataque do oportunista ou defesa
dos usuários. Mas para conhecer os pontos fracos e saber o que deve ser
corrigido ou mapeado, é necessário conhecer onde estão as
vulnerabilidades. É como diz um velho ditado, onde é melhor prevenir do
2
Tradução do texto original: “Access to timely and accurate information has always played a big role in
information systems security. This information is crucial to attack or defend a possible target. [...] To
attack a target you must know where the target is. [...] To find a possible weak spot we need to know as
much as possible about the target and anybody around the target with a trust relationship.”
11. que remediar e dessa forma faz com que o usuário esteja alguns passos a
frente do inimigo (o engenheiro social).
3.2 Mantendo o controle sobre as informações
Com todas as informações espalhadas pela internet é difícil de
manter um controle efetivo do que está publicado e até de se prevenir de
golpes, sendo “Como um jogo de quebra-cabeça, as informações são
postas como “pedaços” importantes, que se juntando a outros “pedaços”
formarão o resultado final do que se espera” (PEIXOTO, 2004). Ou seja, as
informações estando espalhadas podem apresentar a aparência de serem
irrelevantes e de pouca importância, mas quando vinculadas entrei si e por
vezes outras informações (baseadas em um contexto ainda maior),
apresentam uma característica mais completa e com muitos detalhes.
Então para ajudar a manter um controle e prevenção contra a
exposição desnecessária destas informações, conhecendo e/ou mapeando
o que os oportunistas possam encontrar e utilizar como benefício para
realizar ataques de engenharia social, como mencionado anteriormente,
sugere-se que seja utilizando mineração de dados.
3.3 O que é mineração de dados afinal?
A mineração de dados é o processo de extração de locais com
grande volume de dados e dispõe uma grande variedade de algoritmos,
provenientes das áreas de estatística, reconhecimento de padrões,
aprendizado de máquina e banco de dados (LEE; STOLFO, 1998).
Basicamente uma ferramenta de mineração de dados se alimenta de uma
base de dados organizada (Data Warehouse), realiza análise em busca de
padrões e apresentam as informações. Ou seja, entram-se dados que são
transformados em informações (para formação de uma base de
conhecimento), como é representado pela figura 1.
12. Figura 1 – Etapas para a mineração de dados.
Fonte: AMO, 2004, Universidade Federal de Uberlândia
Muito além da busca por informações pessoais, sensíveis e sigilosas,
ele é amplamente utilizado pelo setor de marketing & propaganda de
corporações para análise estatística de uma grande massa de dados em
busca de padrões entre diversas variáveis definidas pelo setor. Por
exemplo, a partir do armazenamento de informações sobre produtos
adquiridos por diferentes clientes ao longo do período da noite, uma
ferramenta de mineração de dados pode analisar os padrões de consumo
dos clientes noturnos e assim saber quais produtos são mais consumidos
neste período. Dessa forma torna-se possível realizar campanhas de
marketing e estratégias de posicionamento das mercadorias de modo que
fiquem mais fáceis de visualizar e acessíveis para o público noturno. Este
tipo de exemplo costuma ocorrer em lojas de departamento e
supermercados.
13. 4. O MALTEGO
4.1 A escolha pelo Maltego
Como mencionado anteriormente, é possível verificar no trabalho de
Clifton e Marks (1996), a necessidade de uma ferramenta que se utilize
deste método para então atingir o objetivo em mitigar os riscos de um
internauta sofrer golpes que envolvam engenharia social.
Dentre as ferramentas que se utilizam da técnica de mineração de
dados, se encontra o Maltego. Então a escolha desta ferramenta se deu
devido às indicações feitas pelas comunidades da internet e de indicações
de amigos e professores.
4.2 Entendendo o Maltego
Baseado nas informações encontradas no site de sua empresa
desenvolvedora (Paterva, 2011) pode-se dizer que é um programa forense
dotado de inteligência (que a Paterva chama de inteligência open source)
que busca, através da mineração e coleta, as relações e ligações do mundo
real entre pessoas ou grupo de pessoas (como nas redes sociais),
empresas, organizações, sites, frases, afiliações, documentos/arquivos e/ou
infraestrutura da internet (domínios, nomes de DNS, netblocks e endereços
de IP).
Ele é desenvolvido em Java, o que permite ser multi-plataforma, e
possui interface gráfica que torna possível ao usuário visualizar as relações
em diversos níveis de profundidade e segundo a empresa, é também
possível visualizar conexões ocultas e personalizar a configuração para
adaptar às necessidades específicas de cada usuário.
Baseado nas informações apresentadas por Buley (2008), o
mecanismo por trás do Maltego se baseia em três princípios:
14. a. Qualquer pedaço de informação encontrada é reduzido para sua
característica mais básica, como por exemplo: um indivíduo, um
lugar ou endereço;
b. Cada entidade pode estar relacionada a uma ou mais entidades,
como por exemplo, um indivíduo pode estar ligado a um ou mais
lugares;
c. Diferentes entidades podem ser combinadas/agrupadas através de
regras.
Em entrevista, Temming (fundador da Paterva e criador responsável
pelo Maltego) disse à Buley (2008) que ao olhar pelo lado hacker, tudo se
trata tanto em manter o controle sobre algo quanto em obter informações.
Ou seja, o programa permite aos hackers encontrar caminhos escondidos
para poderem atacar e/ou obter maiores informações. Ao mesmo tempo
possibilita pesquisadores ou responsáveis pela segurança da informação,
identificar brechas que ofereçam riscos e ameaças.
Baseado no trabalho de Varsalone e McFadden (2011) pode-se
afirmar que esta ferramenta é boa para análise de ligações através da
junção da engenharia social e inteligência indireta, e também pela junção
com outras técnicas de escaneamento inteligente e permite que
oportunistas encontrem ainda caminhos escondidos e novos meios de
ataque.
4.3 Buscando de informações
Para um teste preliminar e verificar que existem inúmeras
informações na internet, que muitas vezes o próprio usuário não sabe da
existência, basta colocar o próprio nome ou de outra pessoa em um site de
buscas. Mas o Maltego consegue exibir ainda mais informações, como já
vistos anteriormente neste artigo, podem-se citar endereços de e-mail e
telefones, que então podem ser utilizados para a realização de ataques de
engenharia social e ainda de outros tipos (HILVEN, 20-?).
15. Segundo trabalho realizado pela equipe formada por Melo, Marins e
Silva, Viana, Coval (20-?) sobre a ferramenta, é necessário ter uma linha de
pesquisa com um objetivo definido, para filtrar informações trazidas por ela:
Para o uso de ferramentas deste tipo, de nada adianta obter
resultados se não se traçar um objetivo ou linha de pesquisa. É
preciso ter sempre em mente o que é ou não valioso no trabalho de
Data Mining. Esta é uma tarefa única e exclusivamente do
pesquisador. O software até auxilia neste trabalho, atribuindo “pesos”
nas respostas encontradas, seguindo uma lógica atribuída na
programação do software, mas somente quem está no comando da
pesquisa pode definir se a resposta faz ou não sentido [..]
Em testes realizados pela equipe, que se pautou pela versão gratuita
do Maltego, foram realizadas buscas por um nome e outro por um domínio
e foram encontradas informações relevantes aos objetos de pesquisa, tais
como e-mails, servidores de sites do objeto estudado, perfil em mídias
sociais, entre outros. No entanto, apesar do resultado obtido ser
convincente, é necessário recorrer da análise e filtragem destes dados
antes de aceitar/negar a informação, com intuito de não se coletar
informações errôneas e então se distanciar do objetivo.
No caso da busca por um determinado domínio, como resultado
foram apresentados alguns servidores. Dentre eles foi possível verificar
quais domínios utilizavam o mesmo nome de DNS. Posteriormente foi
demonstrada a possibilidade de verificar os documentos que estavam
hospedados no site de um dos domínios. Além disso, foi possível verificar
um servidor de correio eletrônico e identificou o provável software
responsável por este correio, restando apenas encontrar a conta desse
domínio. Com isso, segundo eles, pode-se criar uma lista de senhas para
realizar um ataque de força bruta (ataque onde são testadas diversas
possibilidades de senha) ou ainda um ataque de engenharia social.
Além do Maltego, podem-se utilizar sites de internet e de busca para
complementar as informações obtidas através dele, e também para
encontrar comprovações da veracidade da informação. Dessa forma é
possível se preparar para uma aproximação com o objeto de pesquisa e
então aplicar técnicas de engenharia social.
16. 5. ANÁLISE DOS RESULTADOS OBTIDOS
5.1 O que foi encontrado?
Através das informações coletadas na internet e analisadas através
da técnica da mineração de dados realizada pelo Maltego, torna-se possível
verificar o que se está disponível na internet sobre o internauta.
Como o resultado dos testes realizados pela equipe (MELO; MARINS
e SILVA; VIANA; COVAL, 20-?) apresentarem alguns resultados
irrelevantes e errôneos, é necessário que seja feita uma análise minuciosa
sobre as informações apresentadas pela ferramenta e definir o que é
verdadeiro. Dessa forma o usuário filtra o que é de fato informação do
próprio internauta ou de outra pessoa.
Como as buscas são feitas pelo próprio usuário, este é totalmente
capaz de identificar o que é sobre si e o que não é (o que é de fato
relevante e verdadeiro).
5.2 O que fazer?
É importante realizar o mapeamento das informações e traçar um
plano estratégico e definir o que permanecerá na rede ou o que será oculta
ou apagada. É um processo muito parecido com o processo de inventário
de um ambiente, onde são catalogados detalhadamente os conteúdos e seu
local.
Começando pela rede social, uma plataforma amplamente utilizada
pelos usuários da internet e que auxiliam no processo de divulgação de
informações de muitos usuários, que por muitas vezes dão indícios do
cotidiano, rotina e local dos mesmos (MCAFEE, 2010).
Sabendo disso, muitos oportunistas se utilizam delas para obterem as
informações de futuras vítimas. Uma das aproximações utilizadas por eles é
criar perfis falsos e convincentes (HUBER, KOWALSKI, NOHLBERG,
17. TJOA; 2009). Mas mesmo aqueles perfis não muito convincentes,
atualmente a aceitação de “amigos” tem se tornado fácil seja por satisfação
própria e aumentar o número de amigos, seja por distração, seja pela
enganação. O motivo disto ocorrer muitas vezes é obscuro e muitas
pessoas acabam nem checando o perfil destes “amigos” e muito menos
desconfiam deles, porém eles estão recebendo todas as atualizações do
usuário. Então mesmo que a pessoa tenha se preocupado em ocultar as
informações ao público, o oportunista fazendo parte da rede social do
usuário tem acesso a muitas informações importantes, bastando apenas
filtrar.
Além disso, conforme são desenvolvidos cada vez mais recursos
para as redes sociais, isso permite uma que os oportunistas se utilizem
deles também para benefício próprio. Como exemplo pode-se citar o bate-
papo, páginas que permitem inserção de aplicativos com códigos maliciosos
e também a disponibilidade de links para páginas clonadas das redes
sociais (que imitam o comportamento e interface).
Mas apesar desta facilidade encontrada pelas redes sociais, o
engenheiro social sempre em constante evolução pode se utilizar de
ferramentas que facilitem ainda mais o seu trabalho e melhorem a eficácia
na obtenção das informações antes mesmo de se utilizarem da engenharia
social, como por exemplo, ferramentas que se utilizam de técnicas de
mineração de dados.
Por este motivo, existe certo número de golpes de engenharia social
realizado através da rede social, onde segundo uma pesquisa patrocinada
pela Check Point Software através da Dimensional Research (2011), feita
com 850 profissionais da área de segurança de TI e em seis países,
apontou que 39% dos golpes envolvendo engenharia social são realizados
sobre as redes sociais públicas.
É então importante configurar primeiramente a segurança da conta
para serem exibidos os conteúdos somente para os amigos, evitando-se
assim que muitas informações desnecessárias cheguem ao público. Além
18. disso, é importante verificar os indivíduos que solicitam a adição do perfil
deles e permitir que ali estejam de fato os amigos.
Depois das informações, é importante definir grupos especificados
pelo usuário para que somente um ou mais grupos consigam visualizar
determinada informação ou determinado álbum de fotos.
Com relação aos e-mails, é importante não ser surpreendido com um
conteúdo de uma mensagem que diz conhecer o usuário, além do mais
como está mapeado e catalogado, dificilmente será surpreendido. E assim
classificar como um spam para evitar maiores incômodos.
19. CONCLUSÃO
O Maltego é uma ferramenta de mineração de dados viável e que
pode ser utilizada na busca de informações a respeito do próprio internauta.
Apesar das pesquisas apresentarem alguns dados irrelevantes e errôneos,
a própria pessoa é capaz de identificar o que é relevante ou não para si e o
que é ou não verdadeiro a respeito de si.
No entanto esta ferramenta tem apenas o papel de auxiliar o
internauta no processo de mapeamento das informações disponível na
internet para que o mesmo saiba é possível de se encontrar na rede e
assim ser possível tomar as possíveis providências, como se irá manter,
retirar ou ocultar determinada informação. Tendo conhecimento disso,
então, caso algum golpista tente uma aproximação com um usuário, este
não será surpreendido com o que ele escrever ou dizer, uma vez que o
internauta agora sabe que isso foi tirado de um local da internet (que ele viu
com o auxílio do Maltego).
Dessa forma torna-se possível verificar a viabilidade na utilização de
uma ferramenta de mineração de dados, que no caso deste artigo é o
Maltego, como um instrumento de prevenção contra a aproximação dos
oportunistas que podem se utilizar da engenharia social para se
aproveitarem dos internautas.
20. REFERÊNCIAS
ANDRESS, J.; WINTERFELD, S.. Cyber Warfare: Techniques, tactics and
tools for security practitioners. Waltham: Elsevier Inc, 2011. Disponível em:
http://books.google.com.br/books?id=0oXL2u-
Qmy0C&printsec=frontcover&hl=pt-
BR&source=gbs_ge_summary_r&cad=0#v=onepage&q&f=false. Acesso
em: 17 de junho de 2012.
BULEY, T. When Everyone Can Mine Your Data: Maltego's open-source
intelligence software brings data mining to the masses. [S.l.]: Forbes, 2008.
Disponível em: http://www.forbes.com/2008/11/21/maltego-data-mining-
identity08-tech-cz-tb_1121maltego.html. Acesso em: 29 de julho de 2012.
CENGAGE LEARNING. Ethical Hacking and Countermeasures Attack
Phases. Clifton Park, NY: EC-Council, 2010. Disponível em:
http://books.google.com.br/books?id=HfGo_glzw-
0C&printsec=frontcover&hl=pt-
BR&source=gbs_ge_summary_r&cad=0#v=onepage&q&f=false. Acesso
em: 17 de junho de 2012.
CHECK POINT SOFTWARE TECHNOLOGIES LTD.. The Risk Of Social
Engineering On Information Security: A Survey Of IT Professionals. [S.l]:
Dimension Research, 2011. Disponível em:
http://www.checkpoint.com/press/downloads/social-engineering-survey.pdf.
Acesso em: 27 de maio de 2012.
CLIFTON, C.; MARKS, D.. Security and Privacy Implications of Data
Mining. [S.l.]: ACM SIGMOD Workshop, 1996. Disponível em:
citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.28.891&rep=rep1&type
=pdf. Acesso em: 17 de junho de 2012.
21. FONSECA, P. F. Gestão de Segurança da Informação: O Fator Humano.
Curitiba, PR: Pontifícia Universidade Católica do Paraná, 2009. Disponível
em:
http://www.ppgia.pucpr.br/~jamhour/RSS/TCCRSS08A/Paula%20Fernanda
%20Fonseca%20-%20Artigo.pdf. Acesso em: 26 de mai. de 2012.
FRISCH, A. Essential System Administration. 3. ed. Sebastopol, CA.:
O'Reilly, 2002. Disponível em:
http://books.google.com.br/books?id=uRW8V9QOL7YC&printsec=frontcov
er&dq=FRISCH,+A.+Essential+System+Administration&source=bl&ots=TC
coE6mukl&sig=QL8rGssUYTg3sDf0EnLnLDOhm-A&hl=pt-
BR&sa=X&ei=vzcDUMuMD8rg0QGo2cikBw&ved=0CDcQ6AEwAA#v=one
page&q&f=false. Acesso em: 15 de jul. de 2012.
HILVEN, A.. Did you want the world to know...?. Western Australia: Edith
Cowan University, [20-?]. Disponível em:
http://www.somethingwith.be/uploaded_documents/CSG5104%20-
%20Special%20Topic%201%20-%20Research%20Paper%20-
%20Hilven.pdf. Acesso em: 17 de junho de 2012.
HUBER, M.; KOWALSKI, S.; NOHLBERG, M.; TJOA, S. Towards
Automating Social Engineering Using Social Networking Sites. [S.l]:
IEEE International Conference on - Computational Science and
Engineering, 2009. 3 v. 10.1109/CSE.2009.205. Disponível em:
http://www.sba-research.org/wp-content/uploads/publications/2009%20-
%20Huber%20-
%20Towards%20Automating%20Social%20Engineering%20Using%20Soc
ial%20Networking%20Sites.pdf. Acesso em 22 de julho de 2012.
LEE, W.; STOLFO, S.. Data Mining Approaches for Intrusion Detection.
San Antonio, TX: Seventh USENIX Security Symposium, 1998. Disponível
em:
22. http://static.usenix.org/publications/library/proceedings/sec98/full_papers/le
e/lee_html/lee.html. Acesso em: 17 de junho de 2012.
MCAFEE. Uma Boa Década Para O Cibercrime: Uma Análise
Retrospectiva Da McAfee Sobre Dez Anos De Cibercrime. [S.l.]: Relatório
McAfee, 2010. Disponível em:
http://www.mcafee.com/br/resources/reports/rp-good-decade-for-
cybercrime.pdf. Acesso em: 25 de maio de 2012.
MELO, E. G.; MARINS E SILVA, M. H.; VIANA, P. A.; COVAL, R. S.
Tutorial de Uso Maltego 3.0.4: Data Mining. [S.l.]: Universidade Estácio
de Sá, [20-?].
MITNICK, K. D.; SIMON, W. L. A arte de enganar: ataques de hackers:
controlando o fator humano na segurança da informação. São Paulo, SP:
Pearson Education do Brasil, 2003.
OSIRO, K. A. Estudo de segurança da informação com enfoque nas
normas da ABNT NBR ISO/IEC 17799:2005 e NBR ISO/IEC 27001:2006
para aplicação no Senado Federal. Brasília, DF: Universidade de
Brasília, 2006. Disponível em:
http://www.senado.gov.br/sf/senado/unilegis/pdf/Monografia%20GTI/n.%C
2%BA%20007-2006%20-%20Kendi.pdf. Acesso em 15 de jul. de 2012.
PATERVA. Maltego Version 3 User Guide: Using the GUI. [S.l.]: Paterva,
2011. Disponível em: http://www.paterva.com/malv3/303/M3GuideGUI.pdf.
Acesso em: 27 de julho de 2012.
PEIXOTO, M. C. P. Gestão de segurança da informação no contexto
da vulnerabilidade técnica e humana inserida nas organizações.
Uberlândia, MG: Centro Universitário do Triângulo, 2004. Disponível em:
https://e3baea88-a-62cb3a1a-s-