Resenha: A arte de enganar
Autores: Kevin D. Mitnick e William L. Simon. Ano de publicação: 2002; Versão brasileira da Editora Pearson Education do Brasil Ltda, 2003. A obra escrita pelo ex-cracker e atual consultor de segurança Kevin Mitnick mostra ataques bem-sucedidos na informática e como eles poderiam ter sidos evitados. Além disso, fornece orientações para o desenvolvimento de protocolos, programas de treinamento e manuais para garantir que o investimento em segurança de uma empresa não seja em vão. Além dos conselhos sobre como evitar vulnerabilidade de segurança, espera que as pessoas estejam sempre preparadas para o pior ataque de todos: a natureza humana. O livro relata algo preocupante para todos: a segurança na informática. A ideia de que nenhum sistema está seguro é algo que remete aos hackers conhecerem o principal fator na segurança da informação: o fator humano. Uma empresa pode possuir os melhores equipamentos e protocolos de defesa contra esses, mas se uma pessoa que trabalha para esta empresa possui informações úteis que levam ao acesso dos mesmos, esta pode estar correndo perigo. Neste ponto podemos citar a engenharia social. O ato se usar a influência e a persuasão para enganar as pessoas e convencê-las de que o engenheiro social é alguém que, na verdade, ele não é, ou pela manipulação, é um artefato da engenharia social. Muitas vezes, abusando da ingenuidade ou confiança do usuário para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações é o meio que leva à ruptura dos mais sofisticados sistemas de segurança. Um exemplo simples é o caso mais comum da engenharia social: você recebe uma ligação de um número desconhecido, e a pessoa do outro lado da linha se diz ser um atendente do seu servidor de internet ou de TV e pede alguns dados pessoais para fazer alguns ajustes na sua linha. Você, um ser humano que tem tendências básicas de colaborar com outras pessoas, sede as informações que logo poderão ser usadas para ter acesso a outros dados que trarão vantagens financeiras ao malfeitor, por exemplo. Os exemplos práticos tratados no livro vão dos mais simples aos mais elaborados, sendo o engenheiro social que usa de diversas técnicas de abordagem para chegarem a objetivos específicos. Porém, em comum, é tratado sobre a vontade do engenheiro social de passar a ideia de ajudar uma pessoa que está em dificuldade, ou tentar passar a impressão que estão ajudando a pessoa a resolver um problema que ela não tem, ou ainda tentam passar a impressão que têm autoridade para obter tal informação, mesmo a pessoa não sendo alguém que ela alega ser. Nesse ponto, Mitnick destaca a importância de ceder informações somente à pessoa que se possa confirmar a identidade. O autor mostra também que o ataque pode ser feito por meio do computador, com e-mails que direcionam a pessoa para sites ou programas maliciosos, ou ainda, através de sites legítimos que são clonados para enganar o usuário. Outra fonte de informação muito utilizada pelos engenheiros sociais é o lixo das empresas, nos quais podem estar disponíveis informações muito valiosas sobre a organização e que por meio destas seja possível ter acesso a toda a empresa, por exemplo. Além de ressaltar a ideia de que as empresas devem ter uma política sobre quais informações os funcionários podem divulgar ou não, Mitnick relata sobre os manuais de operação de uma determinada organização, nos quais pode-se aprender como a mesma funciona e qual é o procedimento utilizado pelos funcionários, o que torna fácil se passar por uma pessoa de dentro da organização. Muitas vezes, esses manuais se encontram na internet ou no próprio lixo da empresa. Apesar de não ser o fator principal deste livro, os aspectos físicos e tecnológicos da segurança não são deixados de lado; porém, o treinamento de funcionários sobre a política de segurança da empresa é fator crucial para o sucesso e de destaque na obra, pois adianta nada uma empresa ter o melhor sistema de segurança, que ainda sim alguém pode ser responsável por ele e que de certa forma este sujeito estará submetido ao poderoso artefato que é a arte de enganar. Autor da resenha: Bruno Belin Dal Santos.