O mais famoso hacker do mundo diz que os sistemas ainda são vulneráveis apesar da evolução tecnológica
São Paulo Ele ficou mundialmente conhecido, virou tema de filme e se tornou uma lenda entre os hackers. Hoje, Kevin Mitnick atua ao lado da lei, mas continua impressionando. Atualmente trabalhando numa empresa de segurança, ele dá palestras em diversos países falando da vulnerabilidade dos sistemas, mesmo com a evolução da tecnologia. Foi assim que desembarcou na Campus Party, em São Paulo, lotando o auditório principal do evento.
Sobre sua antiga função, prefere intitular de engenharia social, que define como uma forma de hacking que se baseia na manipulação, em enganar e usar a influência para conseguir que uma pessoa faça algo para ajudá-lo a conseguir seu objetivo. A definição, talvez um tanto quanto poética para o assunto, encaixa-se na própria teoria de Mitnick, quando afirma que metade dos ataques provém da união dessa tal engenharia social com ataques técnicos. "Na maioria das vezes utiliza-se apenas o telefone", diz.
Mas por que pessoas se utilizam destes artifícios? Segundo Kevin, por ser bem mais simples do que achar uma vulnerabilidade técnica. Por telefone, não há sistema para detectar quem está mal intencionado. "Não há remendo para estupidez. Não é que as pessoas sejam burras, mas há sempre gente incompetente", completa.
Sistemas inseguros
Mitnick explica que, claro, os sistemas de segurança são bem mais seguros hoje do que há dez anos, quando muitas vezes conseguiam-se os dados de alguém simplesmente dando um telefonema para uma central onde a pessoa tivesse cadastro, ou no banco que fosse cliente. No entanto, Mitnick garante que, ainda hoje, é possível conseguir com dois ou três telefonemas os dados sigilosos de alguém.
Sempre citando exemplos, o palestrante dá a dica: os engenheiros sociais precisam da credibilidade do outro, para em seguida dar o bote e conseguir a informação necessária, ou pelo menos o próximo caminho para chegar até ela. Ele explica que as fraudes acontecem como nos ataques de phishing (e-mails falsos), onde o grande componente disso tudo é a engenharia social. Para exemplificar, Mitnick, usando um chip pré-pago de uma operadora brasileira, fez durante a palestra uma ligação para uma operadora de cartão de créditos onde tem conta, com o som da chamada sendo audível por todos no evento. O motivo, mostrar que com quase nenhuma informação e um programinha simples é possível conseguir os dados de qualquer um. No caso, os dados eram dele mesmo, para evitar novos problemas na Justiça. "Não tentem fazer isso em casa, e se fizeram, não digam que fui eu quem os ensinei a fazer", brincou.
Para exemplificar ainda mais como é simples burlar os sistemas de segurança, ele mostrou um aparelho que custa US$ 30 e, via wireless, capta as senhas digitadas por pessoas conectadas ao redor. "O mecanismo de propagação de todo malware é a engenharia social", revela.
"Desliguem o autorun"
Mitnick falou também dos perigos de abrir quaisquer arquivos de procedência desconhecida. "O que você faria se achasse um pen-drive no chão? Abriria para ver se há algo interessante ou deletaria seu conteúdo antes de ver?", questionou, aproveitando para cutucar sua "vítima predileta", a Microsoft. Isto porque um hacker pode colocar um malware num pen-drive e ficar esperando alguém plugá-lo. Se quem pegar usar o Windows, o programa rodará automaticamente, devido ao recurso de "autorun", que é padrão da plataforma da Microsoft. "Por isso, por favor, desliguem o autorun!".
Mas não é só com pen-drives que devemos ter cuidado. Antigamente, os vírus só chegavam em arquivos "exe". Hoje, como Mitnick mostrou ao vivo, qualquer cavalo de troia pode ser mascarado por um arquivo aparentemente inofensivo, como um PDF. Quando você os abre, secretamente eles carregam um código que dá acesso ao invasor.
Outro truque para os invasores é encontrar vulnerabilidades em browsers (navegadores), fazendo com que, uma vez que a pessoa entre em determinado site, alguém secretamente tome o controle da situação.
Segundo Mitnick, todas as pessoas tendem a acreditar nas outras, criando um sentimento de invulnerabilidade que costuma ajudar bastante a quem visa praticar ataques. "As pessoas veem protocolos de segurança como perda de tempo, e por isso, quando têm uma senha complexa ou difícil de decorar, anotam na tela do computador ou deixam sempre próximas a elas, gerando um grande perigo para si próprias", explica.
Mitnick explica que as bobeadas cometidas pelas pessoas são o grande passo para a ação através da engenharia social. Some-se isso ao fato de os hackers fazerem pesquisas para conseguir os dados de pessoas e organizações. Para isso, utilizam a internet, as redes sociais e, acredite, até o que vai para a lata de lixo. A dica então é destruir documentos importantes com fragmentadores de papel, nunca rasgando-os a mão.
O ex-fora da lei mostrou ainda que é possível simular, durante uma ligação, que o número de quem está discando é de algum conhecido de quem recebe a ligação. Para terminar, Mitnick afirmou que as pessoas têm que saber o que é vulnerabilidade, para não achar que estão seguros e fazer bobagens.
REDES SOCIAIS
Estratégias para campanhas políticas
Outro grande nome que fez parte do quadro de palestrantes da Campus Party foi o de Scott Goodstein, estrategista na área de redes sociais da campanha presidencial de Barack Obama em 2008, ou, como ele prefere denominar, "estrategista 2.0".
Goodstein afirmou que cada vez mais a população norte-americana busca por informação na internet. Pensando nisso, a campanha listou cerca de dez redes sociais para atuar, algumas até que não eram muito populares na época, como o Twitter.
"Algumas de nossas ações funcionaram super bem, como o envio de SMS e a utilização do Twitter. Outras, no entanto, não deram certo, como o download de vídeos por celular", disse, culpando as altas taxas cobradas pela operadoras e o desconhecimento dessa tecnologia pela população. Para Goodstein, não se pode ter medo de experimentar. Ele conta que testava algumas redes sociais por um tempo, em determinados locais. "O segredo é pensar globalmente, agir localmente", ressaltou.
Outro grande trunfo apontado pelo estrategista para o sucesso das ações durante a campanha foi terem conseguido um forte engajamento voluntário. Ele lembrou que o vídeo mais visto da campanha no YouTube não foi produzido por eles.
Goodstein disse ainda que aconteceram durante a campanha ações que eles não faziam ideia que poderiam acontecer, como a criação, por voluntários, de um aplicativo para iPhone. Os criadores inventaram a ferramenta, divulgaram e distribuíram, rendendo inclusive lucro para a campanha. (MB)
FIQUE POR DENTRO
A história de Mitnick
O ex-cracker (hacker mal intencionado) ganhou fama nos EUA nos anos 80 e 90 quando invadiu computadores de operadora de celulares, empresas de tecnologia e provedores de internet. Mas já nos anos 70, quando adolescente em Los Angeles, Mitnick invadiu o computador da sua escola para alterar notas. Também passou a interessar-se pela pirataria de sistemas telefônicos e chegou a invadir as instalações da Pacific Bell. Foi preso em 1995 e libertado em 2000. Hoje, Mitnick trabalha como consultor de segurança na web.
Nenhum comentário:
Postar um comentário