19 de novembro de 2009

Grupo de Resposta a Incidentes de Segurança (Computer Security Incident Response Team - CSIRT)

# O que é um "Computer Security Incident Response Team (CSIRT)"?

Um "Computer Security Incident Response Team (CSIRT)", ou Grupo de Resposta a Incidentes de Segurança, é uma organização responsável por receber, analisar e responder a notificações e atividades relacionadas a incidentes de segurança em computadores. Um CSIRT normalmente presta serviços para uma comunidade bem definida, que pode ser a entidade que o mantém, como uma empresa, um órgão governamental ou uma organização acadêmica. Um CSIRT também pode prestar serviços para uma comunidade maior, como um país, uma rede de pesquisa ou clientes que pagam por seus serviços.

Um CSIRT pode ser um grupo formal ou um grupo "ad hoc". Um grupo formal tem no trabalho de resposta a incidentes a sua principal função. Um grupo "ad hoc" é reunido quando há um incidente de segurança em andamento ou para responder a um incidente quando necessário.

# O que é um incidente de segurança?

Cada organização deve definir o que é, em relação ao seu site, um incidente de segurança em computadores. Dois possíveis exemplos de definições gerais para um incidente de segurança em computadores são:

Qualquer evento adverso, confirmado ou sob suspeita, relacionado à
segurança dos sistemas de computação ou das redes de computadores.

-ou-

O ato de violar uma política de segurança, explícita ou implícita.

Exemplos de incidentes incluem atividades como:

* tentativas (com ou sem sucesso) de ganhar acesso não autorizado a sistemas ou a seus dados;
* interrupção indesejada ou negação de serviço;
* uso não autorizado de um sistema para processamento ou armazenamento de dados;
* modificações nas características de hardware, firmware ou software de um sistema, sem o conhecimento, instruções ou consentimento prévio do dono do sistema.

Um incidente de segurança em computadores pode ser definido como uma atividade nas máquinas ou na rede que possa ameaçar a segurança dos sistemas computacionais.

# Qual a necessidade de um CSIRT em uma organização?

Mesmo a melhor infra-estrutura de segurança da informação não pode garantir que intrusões ou outras ações maliciosas não ocorrerão. Quando um incidente de segurança ocorre, torna-se crítico para a organização ter uma maneira eficaz de responder a este incidente.

A rapidez com que a organização pode reconhecer, analisar e responder a um incidente limitará os danos e diminuirá o custo de recuperação. Um CSIRT pode estar fisicamente presente e apto a conduzir uma resposta rápida para conter o incidente de segurança e para recuperar-se dele. CSIRTs também podem estar familiarizados com os sistemas comprometidos, e, portanto, melhor preparados para coordenar a recuperação e propor estratégias de erradicação e resposta aos problemas.

O relacionamento entre diversos CSIRTs e organizações de segurança pode facilitar o compartilhamento de estratégias de resposta e a geração de alertas para potenciais problemas. Os CSIRTs podem trabalhar em conjunto com outras áreas da organização de maneira pró-ativa, garantindo que novos sistemas sejam desenvolvidos e colocados em produção tendo preocupação com a segurança e em conformidade com as políticas de segurança do site. Eles podem ajudar a identificar áreas vulneráveis da organização e, em alguns casos, realizar análise de vulnerabilidades e detecção de incidentes.

Eles podem focar sua atenção em segurança e prover treinamentos para a comunidade sobre a necessidade da preocupação com segurança. Os CSIRTs também podem usar sua experiência para auxiliar na redução de futuras ameaças.

# Quais tipos de CSIRTs existem?

Os CSIRTs possuem diferentes tamanhos e características e servem a comunidades diversas. Alguns CSIRTs dão suporte a um país inteiro, como por exemplo o JPCERT/CC (Japan Computer Emergency Response Team Coordination Center). Outros podem prover assistência a uma região em particular, como o AusCERT faz para a região da Ásia e Pacífico. Outros ainda podem prover suporte para uma universidade ou organização comercial em particular. Existem também grupos corporativos que prestam os serviços de um CSIRT para clientes, mediante o pagamento de uma taxa.

Algumas categorias gerais de CSIRTs são as que seguem:

CSIRTs internos, que provêem serviços de tratamento de incidentes para a organização que os mantêm. Este pode ser um CSIRT para um banco, uma empresa, uma universidade ou uma agência do governo.

CSIRTs nacionais, que provêem serviços de resposta a incidentes para um país. Exemplos incluem o JPCERT/CC (Japan CERT Coordination Center) e o SingCERT (Singapore Computer Emergency Response Team).

Centros de Coordenação, que coordenam e facilitam as ações de resposta a incidentes entre diversos CSIRTs. Exemplos incluem o CERT/CC (CERT Coordination Center) e o FedCIRC (Federal Computer Incident Response Center).

Centros de Análise focam seus serviços em agrupar dados de diversas fontes para determinar tendências e padrões nas atividades relacionadas com incidentes. Estas informações podem ser usadas para ajudar a prever atividades futuras ou para prover alertas antecipados quando uma atividade corresponde a um conjunto de características previamente determinadas.

Grupos de empresas fornecedoras de hardware e software processam relatos de vulnerabilidades em seus produtos. Eles podem trabalhar dentro da organização para determinar se os produtos são vulneráveis, auxiliando o desenvolvimento de correções e estratégias para resolução de problemas. Um grupo de um fornecedor pode também ser o CSIRT interno da organização.

Há também empresas que provêem tratamento de incidentes para outras organizações, mediante o pagamento dos serviços.

# Quais são os outros acrônimos para Grupos de Resposta a Incidentes?

Existe uma grande variedade de acrônimos para os grupos de resposta a incidentes existentes no mundo. Alguns dos acrônimos mais comuns incluem:
CSIRT Computer Security Incident Response Team
CIRC Computer Incident Response Capability
CIRT Computer Incident Response Team
IRC Incident Response Center or Incident Response Capability
IRT Incident Response Team
SERT Security Emergency Response Team
SIRT Security Incident Response Team

Nota do Tradutor: Mesmo em países em que a língua inglesa não é a língua oficial, os grupos costumam utilizar um acrônimo em inglês, com base nos acrônimos acima, para nomear seus times. Este padrão de nomes é muito importante, devido à característica internacional da Internet.

# "CERT" pode ser usado no nome de um CSIRT?

"CERT" e "CERT Coordination Center" são registradas no Escritório de Marcas e Patentes (Patent and Trademark Office) dos EUA. Organizações que tenham a intenção de usar o acrônimo "CERT" no nome de seu grupo devem solicitar permissão através de um email para cert@cert.org. Para informações adicionais a respeito do copyright do CERT/CC, por favor veja nossa seção "legal information". Para informações adicionais sobre o CERT/CC, por favor consulte o documento "CERT/CC FAQ".

# Onde um CSIRT é normalmente encontrado na estrutura organizacional?

Não há uma localização hierárquica padrão onde um CSIRT possa ser encontrado na estrutura organizacional. Alguns CSIRTs são parte de um grupo de Tecnologia da Informação (TI) ou de Telecomunicações já existente. Outros podem ser parte de um grupo de segurança ou podem trabalhar em conjunto com o grupo responsável pela segurança física. Os CSIRTs podem também estar no grupo de auditoria, enquanto outros são uma entidade separada. Muitas organizações estão começando a olhar para o desenvolvimento de um CSIRT como parte dos seus planos de continuidade dos negócios e de recuperação de desastres.

Independentemente da posição do CSIRT, é vital que ele tenha o apoio da administração da organização e que possua autoridade para realizar o trabalho necessário.

# O que um CSIRT faz? (Que serviços um CSIRT provê?)

Um CSIRT pode exercer tanto funções reativas quanto funções pró-ativas para auxiliar na proteção e segurança dos recursos críticos de uma organização. Não existe um conjunto padronizado de funções ou serviços providos por um CSIRT. Cada time escolhe seus serviços com base nas necessidades da sua organização e da comunidade a quem ele atende. Para uma discussão sobre o conjunto de serviços que um CSIRT pode prover, consulte a página 20 do documento "Handbook for CSIRTs".

Independente dos serviços que um CSIRT decida prestar, os objetivos de um CSIRT devem ser baseados nos objetivos da comunidade a que ele atende ou da organização que o mantém. A proteção dos recursos críticos é um fator chave para o sucesso tanto de uma organização quanto de seu CSIRT. O CSIRT deve operacionalizar e dar suporte aos processos e sistemas críticos da comunidade ou organização a que atende.

Um CSIRT é similar a uma brigada contra incêndio. Assim como uma brigada contra incêndio "apaga o fogo" que foi a ela reportado, um CSIRT ajuda organizações a conter e se recuperar de ameaças e quebras de segurança em seus sistemas. O processo pelo qual o CSIRT realiza isto é chamado de tratamento de incidentes. Do mesmo modo que uma brigada contra incêndio desenvolve treinamentos sobre segurança e prevenção de incêndios como uma medida pró-ativa, um CSIRT também pode prover serviços pró-ativos. Estes tipos de serviços podem incluir treinamentos de conscientização, detecção de intrusões, "penetration testing", documentação e até desenvolvimento de programas. Estes serviços pró-ativos podem ajudar uma organização não somente a prevenir incidentes de segurança em computadores mas também a diminuir o tempo de resposta quando um incidente ocorre.

# O que é Tratamento de Incidentes?

O tratamento de incidentes é composto por: notificação do incidente, análise do incidente e resposta ao incidente.

Receber notificações de incidentes habilita o CSIRT a servir como um ponto central de contato para notificação de problemas locais. Isto permite que todas as atividades e os incidentes reportados sejam coletados em um único local, onde esta informação pode ser analisada e correlacionada através da organização ou comunidade sendo atendida. Estas informações podem ser utilizadas para determinar tendências e padrões de atividades de invasores e para recomendar estratégias de prevenção adequadas para toda a sua comunidade.

Esta é uma das partes da análise de incidentes. A outra parte da análise de incidentes envolve analisar a fundo uma notificação de incidente ou uma atividade observada para determinar o escopo, prioridade e ameaça representada pelo incidente, bem como pesquisar acerca de possíveis estratégias de resposta e erradicação.

A resposta a um incidente pode assumir formas variadas. Um CSIRT pode elaborar e divulgar recomendações para recuperação, contenção e prevenção, que são enviadas para os membros da comunidade por ele atendida e para os administradores de redes e sistemas que serão responsáveis por implementar os passos referentes à resposta ao incidente. Um CSIRT pode também implementar estes passos diretamente nos sistemas afetados. A resposta pode envolver também o compartilhamento de informações e lições aprendidas com outros grupos de resposta a incidentes e com outras organizações e sites.

Estes componentes do tratamento de incidentes são os serviços reativos que um CSIRT pode prestar.

# Quem financia um CSIRT?

Os CSIRTs podem receber fundos da organização que os mantém, diretamente ou como parte de um departamento de TI (por exemplo, um CSIRT formado por funcionários já existentes de uma organização comercial, uma universidade, uma organização governamental ou militar). O CSIRT pode também ser financiado através de outros mecanismos como a prestação de serviços através de "membership subscription" (membros assinam um conjunto determinado de serviços prestados pelo CSIRT e pagam uma taxa por estes serviços), através de serviços para o governo, através de um provedor de serviços, através do financiamento de projetos, etc.

# Qual o custo da criação de um CSIRT?

O custo para criar um CSIRT dependerá do número de recursos e serviços a serem providos, dos custos administrativos para a área ou organização e da estrutura do CSIRT.

Embora informações sobre os custos de criação de um CSIRT não estejam amplamente disponíveis, existem alguns recursos que podem auxiliar a determinar o custo dos incidentes de segurança e das estratégias de resposta. Estas informações podem ser usadas para ajudar a determinar os recursos necessários para se prevenir ou se recuperar de um incidente. Essas informações podem também ser utilizadas em uma análise custo/benefício para comparar o custo de um incidente com o custo de prevenir o incidente ou reduzir o tempo de recuperação devido à implementação de um CSIRT.

Developing an Effective Incident Handling Cost Analysis Mechanism, por David A. Dittrich; SecurityFocus, 12 de junho de 2002
http://online.securityfocus.com/infocus/1592

Incident Cost and Analysis Model Project
http://www.cic.uiuc.edu/groups/ITSecurityWorkingGroup/archive/Report/ICAMP.shtml

Computer Crime and Security Survey, do Computer Security Institute (CSI) em parceria com o FBI
http://www.gocsi.com/forms/fbi/pdf.jhtml

Information Security Magazine - 2003 Security Survey
http://infosecuritymag.techtarget.com/ss/0,295796,sid6_iss143_art294,00.html

2004 Australian Computer Crime and Security Survey
http://www.auscert.org.au/crimesurvey

# Qual deve ser o tamanho de um CSIRT?

Determinar o tamanho de um CSIRT pode ser um desafio e, infelizmente, existem apenas alguns poucos dados empíricos que podem ser usados para responder a esta questão. Diferentes CSIRTs possuem diferentes perfis de pessoal, com base em seus recursos, necessidades e carga de trabalho. Um modelo que funciona para uma organização pode não funcionar para outra.

O tamanho da equipe de um CSIRT deve ser baseado nos recursos disponíveis e nos serviços que necessitam ser providos. A experiência mostra que nenhum time quer ter um único ponto de falha, portanto, ter apenas uma pessoa dedicada à resposta de incidentes pode não ser suficiente.

# Quem trabalha em um CSIRT?

A nossa experiência mostra que os mais destacados membros de um CSIRT possuem uma diversidade de conhecimentos técnicos e de traços de personalidade (incluindo habilidades de comunicação e de relacionamento pessoal). Os membros de um CSIRT são dedicados, inovadores, detalhistas, flexíveis e metódicos. Eles possuem habilidade para resolver problemas, são bons comunicadores e têm capacidade para lidar com situações estressantes. Uma das características pessoais mais importantes que um membro de um CSIRT pode ter é a integridade.

As funções que os membros de um CSIRT podem assumir incluem:

* gerente ou líder do time
* gerentes assistentes, supervisores ou líderes de grupos
* pessoal para triagem de incidentes e atendentes de "hotline" e "help desk"
* encarregados de tratamento de incidentes
* encarregados de tratamento de vulnerabilidades
* pessoal de análise de artefatos
* especialistas em plataformas operacionais
* instrutores
* encarregados de acompanhamento de tecnologia

Outras funções em um CSIRT podem incluir:

* pessoal de apoio
* redatores técnicos
* administradores de redes ou sistemas, pessoal de infra-estrutura do CSIRT
* programadores ou desenvolvedores (para desenvolver ferramentas para o CSIRT)
* desenvolvedores Web
* assessoria de imprensa ou contatos na mídia
* advogados ou contatos com escritórios de advocacia
* contatos com as polícias
* auditores ou pessoal de garantia de qualidade
* pessoal de marketing

# Que tipo de treinamento é necessário para um CSIRT?

Se o seu orçamento permitir, você pode contratar pessoal que preencha os requisitos necessários para os serviços que o seu CSIRT vai prover. Se você não conseguir encontrar pessoal com o perfil necessário, você pode ter que treinar o pessoal contratado.

Considere o tipo de treinamento que os novos funcionários precisarão para que possam aprender a respeito:

* de sua organização e dos sistemas por ela utilizados
* dos procedimentos operacionais e políticas padrão
* das políticas de divulgação das informações
* das políticas de uso aceitável da rede e dos equipamentos

Você pode se utilizar de cursos ministrados por terceiros para auxiliar no treinamento do pessoal:

* Cursos da SEI sobre segurança da informação e CSIRTs

* Treinamentos do SANS Institute e o Programa de Certificações GIAC (Global Information Assurance Certification)

Nota do Tradutor: O NBSO/Brazilian CERT é um Software Engineering Institute Partner e ministra no Brasil diversos cursos do CERT®/CC.

# Onde uma organização pode encontrar mais informações sobre políticas e procedimentos relacionados com CSIRTs?

Questões relacionadas com políticas e procedimentos aplicáveis a CSIRTs estão presentes no "Handbook for Computer Security Incident Response Teams (CSIRTs)" (Seção 2.2.3)

Outra fonte online com informações úteis sobre políticas de segurança da informação, embora não especificamente relacionadas com CSIRTs, é a página do "SANS Security Policy Project", que inclui exemplos e modelos de políticas, bem como links para outros sites contendo políticas de segurança da informação:
http://www.sans.org/resources/policies/

Outras coleções com vários tipos de políticas de segurança:

"Computer Policy & Law Policies List", compilada pelo pessoal do "Computer Policy and Law Program" da Universidade de Cornell (podem ser feitas buscas por tipos de políticas e por tipos de organizações).

"Information Security Policies Made Easy, Version 8", um conjunto extenso de políticas de segurança da informação. Charles Cresson Wood, Sausalito, California: InfoSecurity Infrastructure, 2001.

# Como uma organização inicia um CSIRT?

Existem diversos componentes para construir um CSIRT efetivo. O processo real de construção de um time dependerá dos prazos a serem cumpridos, pessoal e recursos disponíveis, conhecimentos e as características únicas de cada organização. O que segue é um resumo em alto nível de alguns destes componentes. Alguns devem ser implementados de forma seqüencial e alguns podem ser tratados em paralelo, dependendo dos recursos e do nível de suporte obtido da organização:

* Obter suporte da administração. Sem o suporte da administração será muito difícil para o CSIRT obter o financiamento, pessoal e recursos para que tenha sucesso.
* Encontrar-se com as pessoas chaves na organização para definir os objetivos estratégicos gerais do CSIRT e para entender as necessidades da comunidade sendo atendida e os serviços que o CSIRT oferecerá.
* Projetar a estrutura do CSIRT com base nas discussões sobre:
o a comunidade e a organização a serem atendidas pelo CSIRT
o a missão e os objetivos do CSIRT
o os serviços a serem providos pelo CSIRT
o o modelo organizacional que é mais apropriado para o CSIRT e o relacionamento que ele tem com a organização que o mantém e com seus clientes
o os fundos para estabelecer o CSIRT e manter suas operações
o os recursos necessários para o CSIRT
* Comunicar a estrutura do CSIRT e o plano operacional para a administração, para a comunidade e organização a serem atendidas e para todos aqueles que necessitarem conhecer e entender suas operações.
* Obter o retorno de todos e refinar a estrutura e o plano.
* Uma vez obtido o suporte por parte da administração, implementar o CSIRT. A implementação incluirá:
o contratar e treinar o pessoal do CSIRT
o comprar equipamentos e construir a infra-estrutura do CSIRT de modo a dar suporte para o time e para as necessidades da comunidade a ser atendida
o desenvolver as políticas e procedimentos do CSIRT para dar suporte às atividades do dia-a-dia e aos objetivos a longo prazo
o desenvolver recomendações para sua comunidade sobre como reportar incidentes e assegurar que eles compreendam e tenham acesso a estas recomendações
o anunciar o CSIRT para sua comunidade assim que ele estiver operacional
o identificar um mecanismo para avaliar a eficácia do CSIRT (através do retorno da comunidade, por exemplo) e melhorar os processos do CSIRT conforme necessário

O CERT/CC oferece um curso de um dia focado em prover orientações e idéias que podem ajudar a organização a planejar e implementar seu grupo de resposta a incidentes. Adicionalmente, estão disponíveis dois documentos que apresentam uma visão geral das questões a serem consideradas quando se está implantando um CSIRT:

"Forming an Incident Response Team": Um artigo examinando o papel que um grupo de resposta a incidentes pode ter na comunidade e quais as questões que devem ser consideradas durante a sua formação e depois do início das operações. Este artigo foi escrito por um membro do AusCERT (Australian Computer Emergency Response Team).

"Handbook for Computer Security Incident Response Teams (CSIRTs)": Um handbook que provê orientações a respeito de questões genéricas a serem consideradas quando se está formando ou operando um CSIRT. Em particular, ele ajuda a organização a definir e documentar a natureza e o escopo de um serviço de resposta a incidentes em computadores, que é o serviço principal de um CSIRT, bem como a criar as políticas e os procedimentos de um CSIRT. O handbook foi escrito por três destacados membros da comunidade de grupos de resposta a incidentes e tem o objetivo de auxiliar outras organizações a formar CSIRTs.

Outras fontes de informação a respeito da interação entre CSIRTs, bem como recomendações para o desenvolvimento de políticas e procedimentos, são:

* Expectations for Computer Security Incident Response (RFC 2350)
Site Security Handbook (RFC 2196)
* Avoiding the Trial-by-Fire Approach to Security Incidents

O CERT/CC também oferece outros treinamentos para aqueles que irão gerenciar um CSIRT, bem como para o pessoal técnico que necessita treinamento na área de análise e resposta a incidentes de segurança em computadores.

# Onde eu posso encontrar uma lista de CSIRTs?

Você pode encontrar links para outros CSIRTs nas seguintes páginas web:

No FIRST:

* http://www.first.org/team-info/

No AusCERT:

* http://www.auscert.org.au/Information/Contact/irt.html

No diretório de CSIRTs europeus:

* http://www.ti.terena.nl/teams/

Nota do Tradutor: O CERT.br mantém uma lista com diversos CSIRTs brasileiros.

# O que é FIRST?

O FIRST é o fórum internacional de grupos de segurança e resposta a incidentes. Estabelecido em 1990, o FIRST é uma coalizão que reúne diversos grupos de segurança e resposta a incidentes governamentais, comerciais e acadêmicos. Participar da conferência anual do FIRST pode ser uma maneira de um novo time aprender mais a respeito das técnicas e estratégias necessárias para prover um serviço de resposta, bem como uma maneira de entrar em contato com os grupos já estabelecidos.

Voce pode conhecer mais sobre o FIRST em sua página web: http://www.first.org/. Se você desejar tornar-se um membro, por favor consulte a página http://www.first.org/docs/joining.first.html

Fonte: http://www.cert.br/certcc/csirts/csirt_faq-br.html

Linux Hardening

Para quem se interessa por segurança, uma das coisas mais importantes que devemos realizar em servidores é o que se chama de Hardening, isso é, uma configuração que permita que os serviços desnecessários sejam desativados e os recursos sensíveis, protegidos.

O simples fato de uma máquina estar conectada à internet já representa um risco em potencial. Uma boa experiência para comprovar isso é configurar um IDS (Snort, por exemplo) e depois de um dia apenas analisar seus logs. Veremos várias tentativas de invasão, por qualquer método que nos assustaremos. Não apenas no que diz respeito a servidores, mas também à desktops.

Para quem quer conhecer um pouco mais sobre o assunto, seguem abaixo dois links, um para um texto outro para uma apresentação sobre Linux Hardening:

Artigo - http://www.csirt.pop-mg.rnp.br/docs/hardening/linux.html

Apresentação - http://www.rfdslabs.com.br/wp-content/uploads/2007/06/hardening-linux-2.ppt

12 de agosto de 2009

Lançada edição n. 5 da Revista Espírito Livre

Revista Espírito Livre - Ed. n #005 - Agosto 2009

Em meio a correria do mês de julho, que é de férias para uns e um apenas mais um mês para outros, a Revista Espírito Livre traz o [GNU] Linux no desktop, apresentando de forma clara e simples, que isto é perfeitamente possível mesmo nos dias de hoje, onde muitos ainda insistem em dizer que o sistema não amadureceu, e que o mesmo tem como propósito habitar apenas servidores.

Nossa entrevista desta edição é com Clement Lefebvre, criador do Linux Mint, uma distribuição Linux baseada no Ubuntu, ainda não muito conhecida entre os brasileiros, mas vem conquistando devotos por onde passa, com forte apelo visual, quanto a elegância do Linux. Clement prova com o Linux Mint que é possível ter um desktop funcional, bonito e direcionado a usuários leigos, com ferramentas que facilitam a vida destes, que ainda estão por entrar no mundo do pinguim. Outros projetos nacionais apontam para o mesmo objetivo, como o Desktop Paraná, desenvolvido pela Celepar trazendo um desktop fácil de usar, baseado no Debian. O Ekaaty Linux também não segue a regra e também traz uma solução para usuários desktop com um ambiente fácil de usar e bastante completo.

A revista traz também novos parceiros que trazem a possibilidade dos leitores concorrerem a brindes, entre outros. Os que quiserem participar da revista como parceiros, não se acanhem, entrem em contato!

Trazemos ainda novas adições a equipe e que, com certeza, só enriquecerão ainda mais nosso trabalho. Boas vindas a Antônio Augusto Mazzi, que vai falar sobre emulação do DOS no Linux, Flávia Jobstraibizer que fala sobre PHPBoleto, Walter Capanema que traz os aspectos jurídicos sobre Spam, Francisco Junqueira com uma matéria interessante sobre Google App Engine e Hailton David Lemos, do grupo GoJava, que apresenta como trabalhar com JSP, Ajax e Servlet. Os tantos outros que colaboraram na edição, enviando suas dicas, dúvidas, comentários, participando das promoções, o nosso muito obrigado. Isso muito nos alegra e nos faz seguir em frente, mesmo diante das adversidades.

Como não poderia ser diferente em nossa seção de emails trazemos relatos sobre os leitores da revista com suas opiniões e relatos. Você leitor, pode usar este espaço também para tirar suas dúvidas. Aproveite e participe! Envie também o seu comentário!

A Revista Espírito Livre trás a relação de ganhadores das duas promoções da edição anterior, que continuam nesta edição. Então, se você não participou das promoções da edição passada, não perca tempo e participe. No site oficial da revista [http://revista.espiritolivre.org] e nas redes sociais onde a revista se encontra presente também pipocam novidades…

A Revista Espírito Livre, por meio da colaboração de sua equipe chegou até aqui e espera ir muito além. Junte-se também nós! Nosso propósito é sermos uma publicação de qualidade feito por e para usuários, técnicos, professores, estudantes, e tantos outros que fazem parte deste universo de leitores.

6 de agosto de 2009

BIND: Ataque pode causar Negação de Serviço através do Dynamic Update

Essa vulnerabilidade do BIND foi reportada por Matthias Urlichs e liberada ao conhecimento público no dia 28/07/2009. Quando explorada remotamente, causa uma negação de serviço (server crash) através de uma mensagem específica de atualização dinâmica (dynamic update message).

Essa vulnerabilidade afeta todas as versões do BIND 9 e possui um alto grau de risco, podendo ser explorada remotamente através de um exploit que já circula há um tempo pela internet.

O recebimento de uma mensagem, especialmente criada, para uma zona na qual o servidor é o principal pode causar a negação de serviço. Testes indicaram que o ataque foi formulado para uma zona da qual a máquina atacada é o servidor master. Lançando o ataque contra zonas slaves não se obteve sucesso.

Esta vulnerabilidade afeta todos os servidores que são masters para uma ou mais zonas - não é limitada àqueles que são configurados para permitir atualizações dinâmicas. Controle de acesso não ajudará muita coisa no caso de um ataque.

O "dns_db_findrdataset()" falha quando o pré-requisito da mensagem de atualização dinâmica contém um registro do tipo "ANY" e onde há ao menos um RRset para este FQDN no servidor.

O exploit pode ser encontrado aqui:

Solução

Atualização do BIND para as versões 9.4.3-P3, 9.5.1-P3 ou 9.6.1-P1, que podem ser baixadas nos endereços abaixo:

http://ftp.isc.org/isc/bind9/9.6.1-P1/bind-9.6.1-P1.tar.gz
http://ftp.isc.org/isc/bind9/9.5.1-P3/bind-9.5.1-P3.tar.gz
http://ftp.isc.org/isc/bind9/9.4.3-P3/bind-9.4.3-P3.tar.gz

11 de julho de 2009

Como checar se há rootkits em seu sistema Linux

Em primeiro lugar, baixe um programa chamado chkrootkit, que é um script que verifica se há no sistema alterações realizadas por algum rootkit presente.

Vale lembrar que os binários da instalação precisam anteriormente terem sido copiados para uma mídia, de forma que o programa realize a comparação entre o binário legítimo e o que há em sua máquina, verificando se houve alterações.

Por isso é sempre interessante quando instalar um sistema numa máquina, seja desktop ou servidor, fazer um pequeno backup dos binários para poder realizar esse tipo de operação posteriormente ou simplesmente recuperar binários corrompidos por ação de algum "ente desconhecido".

Para baixar o chkrootkit, acesse os links:
Verifique se o hash md5 do download corresponde:

$ md5sum chkrootkit.tar.gz

Descompacte-o:

$ tar xvzpf chkrootkit.tar.gz

Construa-o:

$ cd chkrootkit-*
$ make sense


E execute-o como root:

# ./chkrootkit

Como dito acima, é mais seguro executá-lo utilizando binários de um backup confiável copiado previamente para uma mídia removível, como CDROM:

# ./chkrootkit -p /mnt/cdrom

O chkrootkit busca pela presença de rootkits, worms e trojans em seu sistema. Se você suspeita que sofreu algum tipo de invasão, este é um primeiro passo para realizar a confirmação e diagnóstico.

Também verifica um grupo de comandos básicos do Linux como "awk, cut, egrep, find, head, id, ls, netstat, ps, strings, sed, e uname".

Se esses programas foram comprometidos em seu sistema, os resultados exibidos pelo chkrootkit não são confiáveis.

Justamente por isso, é ideal que tenha uma cópia protegida contra gravações e/ou alterações com estes programas e execute o chkrootkit com a opção -p para utilizar esses binários confiáveis para a devida verificação.

8 de julho de 2009

Lançada edição n. 4 da Revista Espírito Livre

Chegamos nesta quarta edição em meio a muitos eventos e ultrapassando a barreira das 100 páginas! Como poderão ver, apesar do tema de capa ser sobre jogos, os eventos permearam o mês de junho e a revista não poderia deixá-los de fora! Portanto, alertamos aos leitores que uma overdose de informação os espera.

Baixe já a sua no link: http://revista.espiritolivre.org.

Com o tema de capa "Jogos e Diversão", a Revista Espírito Livre teve a honra de ter como entrevistados diversos responsáveis por projetos mundialmente conhecidos e já consagrados pela comunidade. Acompanham as entrevistas matérias que circundam este tema tão discutido, e às vezes até inflamado. Afinal muitos dos leitores ainda utilizam softwares proprietários afim de terem uma plataforma para seus jogos favoritos.

Esta edição tenta mostrar que é possível encontrar títulos de qualidade contendo seu código aberto, demonstrando que a qualidade destes aumenta a cada dia, assim como o número de jogos e seus fãs.

As entrevistas desta edição, que são três, revelam um pouco mais sobre John Diamond - criador do Alien Arena, Bernhard Wymann - líder da equipe responsável pelo TORCS e Sami Kyöstilä, criador do Frets on Fire.

A equipe da revista está em constante crescimento, tendo desta vez participações de Cristiano Rohli, tratando de um tema que inflama conversas, Cezar Farias estréia uma coluna sobre Inkscape e outras ferramentas gráficas, Gustavo Freitas apresenta o SEM: Search Engine Marketing. Luis Gustavo fala de seu livro sobre Python, entre outros.

Por junho ter sido palco de vários eventos de software livre, temos várias matérias e relatos a respeito, como poderão ver. Ari Mendes, Andressa Martins, Alessandro Silva, José Josmadelmo e Vladimir di Fiori, diretamente da Argentina, contribuíram de forma impecável nestes eventos que ocorreram mês passado.

Continuamos com nossa seção de emails, com comentários e sugestões enviados para a redação da revista. Participe! Envie também o seu comentário!

A Revista Espírito Livre trás a relação de ganhadores das três promoções da edição anterior. E uma novidade: novas promoções estão a caminho, como poderão perceber. Isto se deve à inclusão de parceiros que estarão conosco ao longo das próximas edições. Basta ficar ligado na revista e no site oficial da revista para não perder nenhum detalhe.

Nossos agradecimentos a todos aqueles que tornaram e tornam este trabalho possível, inclusive aos que colaboraram com as traduções das entrevista, Andressa Martins, Aécio Pires, Marcelo Tonieto, Juliana Prado, Relsi Hur Maron etc.

A Revista Espírito Livre, através da colaboração e apoio desta forte equipe, vem crescendo e mostra mais uma vez que chegou para ficar, que entrou no jogo, afim de disponibilizar conteúdo de qualidade, temas relevantes, matérias com o propósito de acrescentar, feita por e para leitores.

5 de julho de 2009

Segurança da Informação: necessidades e mudanças de paradigma com o avanço da civilização

“O único sistema realmente seguro é aquele que está desligado,
enterrado em um bloco de concreto e selado em uma
sala cofre protegida por guardas armados.”
Eugene H. Spafford


Atualmente temos assistido a um grande avanço na área da tecnologia da informação, incluindo as telecomunicações. Esse avanço nos traz uma maior rapidez na troca de informações e, consequentemente, maior exigência das pessoas. Nesse momento histórico, o ser humano nunca desempenhou um papel tão importante no processo de manipulação de riquezas, mesmo que dividindo seu papel com a tecnologia, mais especificamente os computadores.

Há milênios atrás, os seres humanos deixaram de ser coletores para virarem agricultores. Nesse momento da história da civilização humana, começaram a surgir as primeiras aldeias e grupos gregários; e, assim, os seres humanos começam a deixar de serem nômades para fixarem raízes nos locais escolhidos para habitar.

Esse modelo social persistiu com pequenas alterações, pois os seres humanos aprenderam a criar regras de conduta e convivência para regulamentar o convívio social, até o século XVII, no final da Idade Média. E mesmo nesse período, já vemos que a importância da informação aumenta cada vez mais, pois nas guerras alguns generais mais astuciosos empregam meios de camuflá-la, protegê-la ou apropriar-se da mesma. Foi nesse período, que compreende milênios, que vemos surgir a espionagem, como meio de apropriar-se de informações sigilosas, e a criptografia, como forma de proteger a informação das mãos dos inimigos.

Durante esse longo espaço de tempo, o bem maior que uma pessoa poderia possui eram as terras. Quanto mais terras, mais riquezas! Podemos perceber isso mais especificamente na Idade Média, onde senhores de terras dividiam seus feudos em pedaços e tinha centenas de camponeses trabalhando para ele durante a vida inteira. Então, junto com a terra, outro grande bem dos detentores do poder nessa época da história da humanidade era a mão de obra.

Mas como tudo muda...

Depois desse período de grandes mudanças, mas ao longo de um grande período de tempo, surge a Revolução Industrial.

A Revolução Industrial iniciou-se no século XVIII na Inglaterra e, a partir do século XIX, começou a espalhar-se pelo mundo. Esse movimento marcou o fim da era agrícola.

A Revolução Industrial fez com que as máquinas superassem o trabalho humano e facilitou a interação entre as nações, surgindo o fenômeno da cultura em massa.

Nesse período de nossa história, o ativo mais importante e de maior circulação era o capital. Mas como nenhuma mudança é brusca, a importância da mão de obra permanece, mas as terras deixam de ser tão importantes quanto o capital, esse último tomando a supremacia no grau de importância entre aqueles que detinham o poder em suas mãos e controlavam o destino da humanidade.

O Iluminismo, a partir do século XVIII, permeando a Revolução Industrial, prepara o terreno para a mudança de paradigma que está por vir. Os grandes intelectuais desse movimento tinham como ideal a extensão dos princípios do conhecimento crítico a todos os campos do mundo humano. Supunham poder contribuir para o progresso da humanidade e para a superação dos resíduos de tirania e superstição que creditavam ao legado da Idade Média. A maior parte dos iluministas associava ainda o ideal de conhecimento crítico à tarefa do melhoramento do estado e da sociedade.

E, com isso, começamos a ver, através de uma grande mudança de paradigma, que a detenção de informações ou conhecimentos, que tinham algum valor, é que define quem tem o poder nas mãos ou não. E surge, então, a era da informação!

A partir da década de 70 (1970) fortalece-se o movimento onde o poder está nas mãos de quem detém o conhecimento. Nessa década, esse fortalecimento ocorre com o surgimento de microprocessadores, possibilitando a criação dos computadores pessoais, que começam a ser comercializados na década de 80.

Com esse acontecimento, inicia-se o surgimento da internet e a globalização, possibilitando o compartilhamento em massa da informação. Nesse momento não é mais a mão de obra, terras, máquinas ou capital que regem a economia e ditam quem tem o poder, mas sim a informação, que torna-se o principal ativo dessa era. Esse movimento nos leva mais a uma transformação social do que econômica, e não sabemos ainda aonde isso tudo nos levará. Mas certamente culminará, já que a transformação e passagem de eras é algo cíclico, numa nova era ainda mais avançada.

Com toda essa digressão, quero mostrar apenas o quanto lutamos para chegar onde chegamos, no ponto onde a informação é o bem mais importante, o ativo mais bem protegido das empresas e dos que detêm o poder nas mãos. Estamos na era da informação, e nada mais lógico que um corpo de conhecimento fosse criado para dar a devida atenção às anomalias e proteger esse ativo tão importante. Essa área de atuação, que já existia há muitos anos, mas agora com tarefas bem mais definidas, com regras e normas a serem seguidas, é a Segurança da Informação, ou SI.

A Segurança da Informação está fundamentada especificamente sobre três pilares:

  • Disponibilidade - informação, processos ou sistemas acessíveis quando solicitados;
  • Integridade - proteger a informação, processo ou sistema de alterações não autorizadas;
  • Confidencialidade - é a garantia de que uma informação só poderá ser conhecida por aqueles que tiverem tal direito.

Quando ocorre alguma anomalia ou ataque sobre um ou mais desses três pilares da segurança, podemos dizer que houve um distúrbio em determinado pilar da tríade. E como isso deve ser evitado ao máximo, para não expor a informação a quem não é de direito, para que permaneça disponível, ou que não ocorram alterações indevidas, a segurança da informação precisa atuar constantemente assegurando o bom funcionamento das políticas de segurança e dos processos envolvidos na manipulação da informação.

Podemos ver na figura a seguir alguns dos distúrbios mais comuns à tríade, vinculados a ataques que visam a área de TIC:

Se prestarmos atenção e analisarmos o ambiente que nos cerca, perceberemos que esses ataques ocorrem frequentemente e que todos correm o risco de serem vítimas de pessoas maliciosas, visando a obtenção de informações sigilosas, sejam informações pessoais ou corporativas.

Meu objetivo, nessa seção de segurança, será de abordar os princípios básicos da SI, perfazendo todo o caminho que engloba desde políticas, normas e padronizações, até análise de vulnerabilidades, testes de intrusão e auditoria em redes e sistemas. Procuraremos sempre indicar os softwares livres que utilizamos para cada passo e procedimento, pois tudo o que se faz com softwares proprietários, somos capazes de fazer com software livre, e na maioria das vezes de forma bem melhor, pois temos a liberdade de adaptar a ferramenta às nossas necessidades. Veremos isso também em alguns futuros artigos.

Artigo publicado pelo autor na Revista Espírito Livre nº3 - http://www.revista.espiritolivre.org/wp-content/plugins/download-monitor/download.php?id=3

1 de julho de 2009

Atualizando o kernel no Ubuntu para o 2.6.30

Caros amigos,

Esse procedimento pode trazer alguns problemas para alguns (principalmente para quem não está acostumado com os problemas que podem decorrer de uma atualização do kernel); mesmo assim, segue o procedimento sobre como atualizar o kernel do Ubuntu Linux.

1. Faça o download do pacote: linux-headers-2.6.30-020630_2.6.30-020630_all.deb

2. Download dos pacotes do kernel headers:

i386: linux-headers-2.6.30-020630-generic_2.6.30-020630_i386.deb
AMD64: linux-headers-2.6.30-020630-generic_2.6.30-020630_amd64.deb

3. Download o compilador do kernel:

i386: linux-image-2.6.30-020630-generic_2.6.30-020630_i386.deb
AMD64: linux-image-2.6.30-020630-generic_2.6.30-020630_amd64.deb

4. Instale os arquivos NA ORDEM EXATA ACIMA!!!!

Para os novatos, basta fazer assim: abra o terminal e digite:

$ sudo dpkg -i *.deb

Nota: o terminal tem que estar na mesma pasta onde estão os pacotes que acabou de baixar.

5. Reboot e selecione o kernel no menu do GRUB.

26 de maio de 2009

TrueCrypt: Open Source para criptografia

Para quem precisa manter algumas informações sigilosas, armazenar dados de maneira segura, evitar a cópia do sistema de arquivos ou mesmo do SO completo, o mundo do software livre nos possibilita utilizar uma ferramenta gratuita, de ótimo desempenho e com muitas possibilidades de uso: o TrueCrypt.

O programa possui versões para Linux, Windows e Mac OS, e permite que baixemos, além do binário, o código fonte em C e Assembly.

O TrueCrypt permite criptografar arquivos, pastas, partições inteiras e até mesmo o sistema operacional com diversos tipos de chaves diferentes, de 128, 256 e 512bits. Ele permite, inclusive, criptografarmos no modo on-the-fly: enquanto usamos o arquivo, ele automaticamente criptografa ou descriptografa de acordo com a necessidade do usuário. Outra possibilidade, é manter o arquivo, pasta ou partição criptografada oculta, mesmo assim ainda permitindo a utilização da mesma.

Outra possibilidade é utilizá-lo no formato Portable, através de um pendrive, não deixando rastro algum no HD de que estamos utilizando um programa de criptografia, evitando que um atacante descubra qual software usamos para criptografar os dados.

O software e a documentação referente encontra-se em: http://www.truecrypt.org

Na página de download do TrueCrypt é possível realizar o download do mesmo, seja para Windows, MAC OS X ou Linux (pacotes rpm ou deb).

Já na página http://www.truecrypt.org/downloads2 é possível baixar os fontes, traduções e chave pública do produto.

Para instalar o arquivo .deb baixado, vá ao terminal e digite:

# tar -xzvf truecrypt-6.1a-ubuntu-x86.tar.gz
# chmod +x truecrypt-6.1a-ubuntu-x86
# ./truecrypt-6.1a-ubuntu-x86


O primeiro comando descompactará o arquivo tar.gz. O segundo, dará a permissão de execução ao arquivo de shell script que contém a instalação. E o terceiro, obviamente, executa o arquivo shell script.

No Ubuntu Linux, se dermos dois cliques sobre o arquivo truecrypt-6.1a-ubuntu-x86 ele perguntará se desejamos extrair o arquivo .deb ou instalar diretamente o programa. A última opção já resolve tudo, deixando o programa instalado e no menu para fácil acesso, de forma simples, rápida e indolor, para quem ainda tem um pouco de receio do terminal. :-)

Depois de tudo instalado, a utilização básica do programa é bem simples. Podemos criar uma pasta ou arquivo criptografado, uma partição virtual criptografada, uma partição lógica totalmente criptografada, ou até mesmo criptografarmos o sistema operacional, que será executado no modo on-the-fly, com criptografia em tempo real.

13 de maio de 2009

Hackeando sem riscos

As leis vigentes desencorajam a prática de exploração de vulnerabilidades, o que na verdade é um grande avanço, visto que no Brasil só agora essas leis estão surgindo, enquanto que em outros países já existem há tempos.

O grande problema é que muitas vezes isso inibe até mesmo o desenvolvimento de ferramentas nessa área. Então, para quem gosta de testar sistemas e explorar vulnerabilidades sem o risco de tomar um processo judicial nas costas, há ótimos lugares para teste.

Compilei aqui uma série de links de lugares para quem gosta de se divertir, brincar ou pesquisar determinadas vulnerabilidades para o desenvolvimento de ferramentas pertinentes.

Espero que aproveitem e divirtam-se:

29 de abril de 2009

A Arte de HACKEAR Pessoas

Esse artigo tem por objetivo ser a resenha do livro "A Arte de HACKEAR Pessoas", de Antonio Marcelo e Marcos Pereira, Ed. Brasport. Uma apresentação que há na capa do livro diz o seguinte:

"Um guia para conhecer a Engenharia Social, os crimes digitais, os ataques de phishing e de como os novos criminosos estão atacando na Internet"

Além de atuar e escrever artigos na área de Segurança em TIC, também atuo como psicoterapeuta já há alguns anos. Em meu "set terapêutico" uma técnica que não falta é a PNL. Para alguns colegas da área tecnológica esse termo é desconhecido, mas ao longo desse artigo/resenha explicaremos melhor do que se trata e veremos que apesar de fazer parte da área de humanas, e ter como objetivo a excelência humana e alívio de sofrimentos existenciais, a PNL é uma técnica muito próxima da área de tecnologia, mesmo que apenas em suas origens e conceitos.

No livro "A Arte de HACKEAR Pessoas", os autores procuram explicar como funcionam ataques típicos de engenharia social e como eles se encaixam nas leis penais que podem classificá-los como crimes e meio possíveis de se prevenir.

O livro está dividido em 5 capítulos, mais introdução e um apêndice, que descreve alguns phishings famosos, já que essa é uma modalidade de ataque via internet que se encaixa na tipologia de engenharia social.

Na Introdução, os autores já delineiam os 5 capítulos e o apêndice assim:
  • Capítulo I - Hackeando Pessoas - relata as técnicas e exemplos famosos.
  • Capítulo II - Apresentando o Engenheiro Social - narra um caso completo de como os autores se viram à frente de um engenheiro verdadeiro.
  • Capítulo III - Engenharia Social para Diversão e Lucro - como podemos utilizar a Engenharia Social na prática.
  • Capítulo IV - Scripts de Ataque e Ataques Web - demonstração de como são feitos ataques via indivíduo e um phishing clássico.
  • Capítulo V - Boas Práticas e Ferramentas de Defesa - uma série de práticas e ferramentas para o dia a dia.
  • Apêndice - descreve os principais ataques de phishing no cenário nacional.

No primeiro capítulo, logo no início, há uma citação muito usada na área de SI que exemplifica o quão estamos expostos aos ataques de engenharia social: "Não há patch contra a burrice humana". O objetivo desse capítulo é apresentar, de forma clara e sucinta, o que é a engenharia social e qual o perfil dos engenheiros sociais, aqueles que aplicam a ES (Engenharia Social) para obter acesso a informações importantes ou adquirir algum tipo de vantagem sobre outros indivíduos.

Os autores dividem os engenheiros sociais em duas categorias distintas: formados e notório-saber. Incluídos na primeira categoria estão os indivíduos que passaram por algum tipo de treinamento ou formação para saber como e quando aplicar a ES, tais como: policiais, detetives particulares e espiões. Já na segunda categoria, temos os indivíduos, que como os autores colocam, são frutos de nossa sociedade, dotados da capacidade de olhar uma situação sob vários prismas distintos, o que possibilita tal indivíduo saber agir de maneiras diversas de acordo com o que as variadas situações exigem.

Um exemplo citado como engenheiro social mundialmente conhecido é o caso de Frank Abgnale, cuja história foi contada no cinema, de forma hollywoodiana, através do filme "Prenda-me se for capaz", com Leonardo Di Caprio e Tom Hanks. Depois de preso pelo FBI, Abgnale decidiu voltar atrás de suas escolhas como engenheiro social e passou a colaborar com o FBI em investigações de fraudes e falsificações bancárias. Atualmente, Frank Abgnale é consultor de instituições financeiras internacionalmente reconhecidas e dá treinamentos pelo mundo a fora. Podemos ler um pouco mais sobre seu trabalho atual em seu site http://www.abgnale.com. Esse é um caso onde, um engenheiro social da categoria notório-saber, acabou aproveitando suas capacidades quando a situação tornou-se difícil para o seu lado e virou o jogo, decidindo atuar do lado daqueles que antes o caçavam.

Outras duas questões interessantes apresentadas nesse capítulo são: o ser humano como elo mais fraco na corrente que representas os processos e a PNL (programação neurolinguística).

A primeira questão aborda justamente o fato de que, na área de TIC, não adianta ter sistemas super protegidos, bem configurados e com profissionais altamente capacitados, além de uma boa política de segurança, se os funcionários não recebem o treinamento adequado para lidar com ataques de engenheiros sociais. E é justamente sobre esse elo mais fraco que o engenheiro social atua. Basta entrarmos em comunidade de redes sociais de determinadas empresas, por exemplo, para vermos funcionários discutindo assuntos que dizem respeito apenas ao recinto onde trabalham. Um engenheiro social, passando-se por um ex-funcionário pode extrair muitas informações de um estagiário desavisado que faz parte dessa comunidade.

Já a segunda questão, é muito ampla para ser abordada em um livro que versa sobre outro assunto, e por isso uma breve explicação é dada acerca de tal matéria. Quando perguntam-me o que é PNL, costumo responder o seguinte: se o cérebro humano tivesse um manual de como utilizá-lo corretamente, esse manual seria oferecido pela PNL. É uma técnica que pode levar qualquer pessoa a excelência ou ensiná-la como manipular a mente e os processos de raciocínio de outras pessoas. Quer ferramenta mais interessante para um engenheiro social do que essa?

Só para constar, um dos criadores da PNL, Richard Bandler, era matemático e programador. Já o co-autor da técnica, John Grinder, era um linguista que trabalhou para o serviço secreto realizando análise das estruturas de linguagem durante interrogatórios de possíveis suspeitos. Essa mistura explosiva nos deu uma das maiores técnicas no campo da consciência humana surgida no século XX.

No capítulo seguinte, os autores apresentam um caso verídico da ação de um engenheiro social com o qual se defrontaram. Tudo muito bem delineado, detalhando a ação do mesmo sobre suas vítimas previamente escolhidas para executar seu plano de ganhar dinheiro em cima delas. Porém, o mais interessante dessa parte do capítulo, além da descrição do caso, é a análise do mesmo separando-o por fases e descrevendo a forma de atuação, além de explicitar como o engenheiro social conseguiu seu intento, expondo aos olhos do leigo toda a estrutura psicológica e de planejamento por detrás do ataque tão bem arquitetado.

Ao longo desse segundo capítulo, os autores aprofundam-se um pouco mais na PNL, explicando algumas técnicas e teorias desenvolvidas por seus criadores, algumas delas, inclusive, que são utilizadas por engenheiros sociais para manipular o comportamento e influenciar as decisões de uma vítima em potencial.

O estudo da PNL apresentado, apesar de superficial, dada a extensão do arcabouço de conhecimento contido na PNL, é muito interessante, principalmente para os leigos no assunto, pois apresenta sucintamente as técnicas utilizadas por terapeutas, engenheiros sociais, hipnotizadores, espiões e etc para influenciar qualquer indivíduo a seu bel prazer sem que o mesmo se dê conta disso.

Já no terceiro capítulo, cujo título é "Engenharia Social para diversão e lucro", o assunto abordado é como utilizar a engenharia social para proveito próprio, sem necessariamente causar prejuízo para outrem. A engenharia social é uma faca de dois gumes, tanto podemos utilizá-la para conseguir o que queremos, manipular prejudicialmente outra pessoa, como podemos ser alvos de ataques bem elaborados com o objetivo pura e simplesmente do atacante alcançar ganhos financeiros às nossas custas. Nesse capítulo é justamente o primeiro aspecto que é abordado.

Como não poderia deixar de ser, a PNL é mais uma vez trazida à tona e algumas de suas ferramentas são analisadas ou pouco mais, com atenção maior a questão da comunicação: o que dizemos e o que as outras pessoas dizem. Quando conseguimos compreender a estrutura básica da comunicação entre duas pessoas, desvelando as representações internas de cada um através daquilo que é transmitido pela palavra e expressões corporais, podemos entender o mundo interno da outra pessoa e influenciá-la, ou então, construir um mundo interno diferente, transmitido ao outro pela estrutura da linguagem, de acordo com o personagem criado por nós durante um ataque de engenharia social.

Na continuação, cada fase de um ataque é explicada pormenorizadamente, sendo elas:
  • Escolha/Aproximação
  • Aclimatação
  • Confiança
  • Cumplicidade
  • Planejamento
  • Execução
  • Finalização

E, na atualidade, um assunto abordado que não poderia ter sido deixado de fora é a engenharia social na era digital, onde os atacantes utilizam uma das técnicas mais conhecidas: phishing scam. Quem de nós nunca recebeu um e-mail de uma antiga colega do colégio dizendo que nos ama muito e nunca teve coragem de dizer? O mais interessante é que tal e-mail tem como remetente, um nome muito comum, mas você não consegue se lembrar de pessoas nenhuma com as características descritas. Por que será?!

No capítulo de número quatro, logo no início, os autores nos brindam com mais um caso de ataque de engenharia social, detalhando o script de ataque utilizado pelo engenheiro social. Da maneira como o ataque é executado, podemos imaginar que isso ocorre todos os dias em diversos lugares do mundo. E esse é justamente o objetivo: alertar para a aparente banalidade de algumas perguntas ou conversas, que se forem somadas e reunidas num contexto maior, revela muito do alvo. Como já se diz: uma mentira é muito mais aceita se apresentada entre duas verdades. Podemos, nesse caso, reescrever a frase: uma pergunta maliciosa sempre tem feedback se apresentada entre duas banais.

Adiante, o assunto phishing scam é retomado, assim como ataques análogos. Esse tipo de ataque é analisado mais detalhadamente, com a explicação dos autores de como age um scammer e quais as fases de preparação desse tipo de ataque, já que o mesmo visa explorar vulnerabilidades psicológicas existentes nos alvos humanos que receberão seus e-mails ou mensagens.

No quinto capítulo, são abordados justamente os métodos e ferramentas que proporcionam a possibilidade de nos protegermos de ataques de engenharia social (tanto ataques digitais, quanto ataques pessoais - sendo esses últimos os mais difíceis de nos protegermos). Nesse quesito, entra a análise das políticas corporativa e pessoal, boas práticas, principais ameaças, ferramentas importantes e como precaver-se dos diversos tipos de ataque existentes.

Uma questão levantada no final do capítulo é de suma importância, principalmente nas organizações, que é o seguinte: usuário conscientizado é a maior proteção contra ataques de engenharia social. Nunca é demais repetir isso, pois durante a implantação de políticas corporativas, principalmente na área de gestão e de segurança da informação, é muito importante realizar treinamentos que visam conscientizar os usuários do nível de importância daquilo que tem acesso todos os dias e que é o principal ativo da organização: a informação.

A última parte do livro, o apêndice, é rica em exemplos de ataque famosos que circularam por muito tempo pela rede. Os autores descrevem os ataques de phishing scam e analisam o conteúdo da mensagem, explicando como identificar esse tipo de mensagem e qual o objetivo de cada uma delas. É um apanhado muito interessante, posto que, se entendemos a dinâmica e a estrutura de um ataque do tipo, fica muito mais fácil identificar todos os outros, pois a maioria segue um padrão que dura um tempo relativamente longo.

Obviamente que não podemos ficar presos apenas aos exemplos dados nos livros. Existem na net alguns sites que catalogam, inclusive, todos os e-mails que circulam na net e são identificados como mensagens de phishing scam, basta procurarmos no Google.

Essa realmente é uma publicação pioneira na área, que intenta abordar o assunto de forma séria; e sou até mesmo ousado em dizer que é um livro que explica muito do que é explanado nos artigos e livros estrangeiros sobre engenharia social, com um diferencial: é um dos poucos livros brasileiros sobre o tema! Com isso em mente, só posso parabenizar os autores sobre a publicação.

Espero com isso, que o assunto seja tratado com maior seriedade em nosso país e a conscientização dos usuários seja realizada a contento nas organizações, primeiro para que os riscos sejam minimizados e segundo para dificultar cada vez mais os mecanismos que os engenheiros sociais criam para burlar os sistemas, sejam humanos ou tecnológicos.

20 de abril de 2009

PNL para Hacking

Introdução

Nesse artigo, procuraremos compreender um pouco melhor o que é o termo PNL, tão largamente difundido nos dias de hoje nos círculos de terapeutas , cuidadores de pessoas, palestrantes motivacionais e coaches. No entanto, veremos essas técnicas e conceitos sob a ótica hacker e como empregá-las para o hacking.
O termo Programação Neurolinguística, abreviado para PNL, é composto por três partes que dizem muito sobre suas possíveis utilizações e estrutura. Vamos a eles:

Programação – refere-se à maneira como organizamos nossas idéias e ações a fim de produzir resultados. A PNL trata da estrutura da experiência humana subjetiva, de como organizamos o que vemos através dos nossos sentidos. Também examina a forma como descrevemos isso através da linguagem e como agimos, intencionalmente ou não, para produzir resultados.

Neuro – essa parte da PNL reconhece a idéia fundamental de que todos os comportamentos nascem dos processos neurológicos da visão, audição, olfato, paladar, tato e sensação. Percebemos o mundo através dos cinco sentidos. "Compreendemos" a informação e depois agimos. Nossa neurologia inclui não apenas os processos mentais invisíveis, mas também as reações fisiológicas a idéias e acontecimentos. Uns refletem os outros no nível físico. Corpo e mente formam uma unidade inseparável, um ser humano.

Linguística – indica que usamos a linguagem para ordenar nossos pensamentos e comportamentos e nos comunicarmos com os outros.

Mas, resumindo, o que quer dizer Programação Neurolinguística?
Pergunta complexa, que requer uma resposta um pouco mais elaborada do que seria permitido em poucas linhas. Mas vamos à essa tarefa espinhosa...

Segundo Bandler, um dos criadores da PNL, ela é:

"O ESTUDO DA ESTRUTURA DA EXPERIÊNCIA SUBJETIVA DO SER HUMANO E O QUE PODE SER FEITO COM ELA."

De uma forma mais simplificada e explicada:

"PNL É O ESTUDO DE COMO REPRESENTAMOS A REALIDADE EM NOSSAS MENTES E DE COMO PODEMOS PERCEBER, DESCOBRIR E ALTERAR ESTA REPRESENTAÇÃO PARA ATINGIRMOS RESULTADOS DESEJADOS."
Getúlio Barnasque


Surgimento da PNL


Na década de 70, um cara chamado Richard Bandler, estudantes de matemática da Universidade da Califórnia, passava a maior do tempo estudando informática nos laboratórios da faculdade, procurando entender como os computadores funcionavam. Nesse meio tempo, ele descobriu como era a lógica dos computadores e criava programas que poderiam produzir monografias sobre qualquer assunto, bastando que a pessoa introduzisse alguns termos técnicos no programa (vinculado ao assunto sobre o qual queria a monografia), que o programa produzia um texto final, bem estruturado, que passaria tranquilamente pela banca examinadora de qualquer curso.
Com isso, ele acabou ganhando algum dinheiro de seus colegas de faculdade 
Depois de um tempo, ele conseguiu uma bolsa de estágio com um professor do Instituto de Psicologia da UCLA, catalogando as fitas de seminários ministrados por Fritz Perls, criador da Gestalt Terapia, uma técnica terapêutica, revolucionária para a época, que obtia resultados rápidos e duradouros com a maioria dos pacientes.
Bandler, assistindo essas fitas de seminários de F. Perls, conseguiu entender a lógica do processo criado e aplicado por Perls com cada paciente. Dessa forma, ele estruturou o discurso de Perls, descobrindo como trabalhava e de que forma conseguia os resultados tão fantásticos pra época.
A partir daí, Bandler descobriu que todos temos uma Estrutura Profunda e uma Estrutura Superficial. A primeira diz respeito ao nosso comportamento e aquilo que dizemos; sendo que a segunda corresponde às nossas crenças, valores, conceitos e como funcionamos internamente, estando até mesmo vinculado ao nosso inconsciente.
Bandler simplesmente descobriu a Estrutura Profunda por detrás da Estrutura Superficial presente no trabalho de Fritz Perls e decodificou isso de forma que qualquer pessoa, inclusive ele, conseguisse alcançar os mesmos resultados, ou até mesmo melhores, simplesmente aplicando os mesmo princípios existentes na E.P. do criador da técnica.
Enquanto fazia essas descobertas, Bandler criou um grupo na UCLA, uma vez por semana à noite, com o consentimento de seu professor para quem trabalhava catalogando as fitas VHS, onde aplicava as técnicas criadas por Perls em voluntários que buscavam tratamento terapêutico. Mas isso só acontece mesmo lá fora, por enquanto... Quem permitiria dentro de uma Universidade brasileira um matemático fazer terapia com voluntários? Ainda mais, quem aceitaria que esse matemático conseguiria obter resultados iguais ou melhores do que o criador da técnica? Bem, mas isso aconteceu. E isso só mostra-nos o quanto as pessoas são preconceituosas e possuem crenças e pensamentos limitados...
Para imitar o Dr. Perls, Bandler chegou a deixar crescer a barba, fumar um cigarro atrás do outro e falar inglês com sotaque alemão. Com esse projeto, acabou ganhando nome e conheceu um professor de lingüística da mesma Universidade, de nome John Grinder.
A carreira de John Grinder era tão singular quanto de Richard. Sua capacidade para aprender línguas rapidamente, adquirir sotaques e assimilar comportamentos tinha sido aprimorada na Força Especial do Exército Americano na Europa nos anos 60 e depois quando membro dos serviços de inteligência em operação na Europa. O interesse de John pela psicologia alinhava-se com o objetivo básico da lingüística - revelar a gramática oculta de pensamento e ação.
Descobrindo a semelhança de seus interesses, eles decidiram combinar os respectivos conhecimentos de computação e lingüística, junto com a habilidade para copiar comportamentos não-verbais, com o intuito de desenvolver uma "linguagem de mudança".
Trabalhando juntos, desenvolveram a Modelagem da Excelência Humana, deixando bem claro que qualquer comportamento, seja ele qual for, pode ser reproduzido por qualquer pessoa que aplique à si mesma a Estrutura Profunda inerente ao mesmo. Isso levou-os a dissecar o trabalhos de mais dois gigantes da área terapêutica, e grandes conhecedores da mente humana: Virginia Satir (criadora da Terapia Familiar) e Milton Erickson (criador da Hipnose Ericksoniana). O estudo do trabalho desses dois profissionais, permitiu que outras pessoas reproduzissem os resultados que ambos alcançavam em consultório, após entender como seus métodos funcionavam e o que estava por detrás de seus comportamentos como terapeutas, no trato com os pacientes.
Essa digressão sobre a origem da PNL e seus criadores, foi necessária apenas para entendermos qual seu objetivo inicial e como, nós mesmos, podemos aplicá-la em nosso dia-a-dia para entendermos melhor o outro e melhorarmos nossas capacidades, além de aprender capacidades novas para nosso crescimento.
Um livro que indico à todos que queiram entender um pouco do trabalho inicial de ambos, que trabalha com a lingüística é “A Estrutura da Magia”, de Richard Bandler e John Grinder.


Rapport

"Rapport é a capacidade de entrar no mundo de alguém, fazê-lo sentir que você o entende e que vocês têm um forte laço em comum. É a capacidade de ir totalmente do seu mapa do mundo para o mapa do mundo dele. É a essência da comunicação bem-sucedida."
Anthony Robbins
Qual a diferença que existe no diálogo entre duas pessoas, quando em uma situação os interlocutores logo após o diálogo dizem o seguinte: “Nossa, parece que fulano lia minha mente e me compreendia perfeitamente, enquanto conversávamos!”; e numa outra situação, quando falam: “Fulano não entende nada, tive que repetir a mesma coisa várias vezes. Parece até que eu estava falando grego!”?
Na primeira situação podemos dizer que houve uma comunicação bem sucedida e na segunda situação, o objetivo inicial da comunicação não foi alcançado.
Isso ocorre normalmente por não haver o famoso rapport, que nada mais é do que quando duas ou mais pessoas estão em sintonia. Será um erro se levarmos em consideração apenas a fala quando falamos em rapport, já que as palavras representam apenas 7% da comunicação humana. O rapport vai muito mais além, já que envolve gestos, postura corporal, timbre de voz, tonalidade, velocidade da fala e etc.
Se tivermos que escolher qual o aspecto mais importante de uma conversa durante um processo de ataque com engenharia social, pode-se dizer que o rapport é o principal.
No processo de estabelecer rapport, devemos procurar, sutil e habilmente, “imitar” os gestos da pessoa, a postura corporal, os aspectos da fala e mostrar que estamos entendendo-a e nos importando com ela, através de estruturas chaves da comunicação.
Costumamos dizer que o rapport segue a regra de seguir-seguir-conduzir...
Por exemplo, se durante uma conversa passarmos uns 5 à 10 minutos espelhando o comportamento da pessoa (“imitando” sutilmente seus gestos e posturas corporais), inclusive suas respiração e pausas na fala, e percebermos que já estamos fazendo isso automática e facilmente, podemos mudar um certo aspecto (fazer um gesto diferente) e ficar atentos para ver se a pessoa faz algo semelhante (p.ex.: você passa a mão no cabelo, e logo depois a outra pessoa passa a mão no rosto ou ajeita o cabelo). Se isso acontece, agora é você quem manda e pode definir o rumo da conversa.
Assim sendo, como nós podemos conscientemente melhorar a nossa própria habilidade de rapport? Podemos começar aprendendo o processo chamado de "espelhamento" – que é utilizado para reproduzir o comportamento da outra pessoa. Comportamentos que você pode espelhar incluem:

• Postura corporal
• Gestos da mão
• Expressões faciais
• Deslocamento do peso
• Respiração
• Movimento dos pés
• Movimento dos olhos

Espelhar é "copiar" fisicamente os comportamentos da outra pessoa de uma maneira sutil. Tente espelhar apenas um aspecto do comportamento da outra pessoa enquanto estiver falando com ela – talvez a postura dela. Quando isso se tornar fácil, inclua outro suavemente, como os gestos da mão dela. Gradualmente acrescente outro e outro até você estar espelhando sem pensar sobre isso. Quanto mais você praticar, mais fácil se torna. Como retribuição, a mesma reação positiva e confortável que você criou para a outra pessoa, será sentida por você mesmo.
Imagine essa capacidade bem desenvolvida em um engenheiro social?


Modelagem da Excelência Humana

A PNL permite uma ampla gama de aplicações, já que é uma ferramenta para compreendermos como funciona a comunicação humana e como todas as experiências subjetivas se dão internamente.
Uma dessas aplicações é a modelagem, que nada mais é do que a possibilidade que temos de compreender, estruturar e aplicar o conhecimento e as capacidades desenvolvidas em qualquer campo de atuação.
Grinder e Bandler provaram essa possibilidade logo no início da PNL, modelando Fritz Perls, Virginia Satir e Milton Erickson. E através dessas modelagens, alcançaram resultados excepcionais no trabalho terapêutico, conseguindo, por exemplo, curar fobias em 5 minutos, enquanto que com terapia convencional levava-se anos, sem uma garantia de alcançar a cura no final...
Entretanto, a modelagem não pode ser aplicada apenas na área de terapia, mas em qualquer coisa que queiramos apreender e já existe alguém melhor do que nós naquela determinada área.
Por exemplo, algumas aplicações de modelagem comuns incluem:

1. Compreender melhor alguma coisa desenvolvendo mais ‘meta-cognição’ sobre os processos que formam a sua base – a fim de sermos capazes de ensinarmos isso, por exemplo, ou de usá-lo como um tipo de "marca de referência."

2. Repetir ou refinar um desempenho (uma situação esportiva ou gerencial) especificando os passos seguidos pelo executor experiente ou ocorridos durante exemplos muito favoráveis da atividade. Essa é a essência do movimento do ‘processo de reengenharia empresarial’ nas empresas.

3. Alcançar um resultado específico (como uma invasão ou obtenção de informações vitais para um determinado processo). Em vez de modelar um único indivíduo, isso é realizado, muitas vezes, desenvolvendo ‘técnicas’ baseadas na modelagem de diversos exemplos ou casos bem-sucedidos.

4. Extrair e/ou formalizar um processo a fim de aplicá-lo num conteúdo ou contexto diferente. Por exemplo, uma estratégia eficaz para conseguir acesso a informações confidenciais também pode ser aplicada para adquirir um conhecimento específico e técnico que precisamos aprender e não sabemos onde encontrá-lo, e vice versa. De certa maneira, o desenvolvimento do ‘método científico’ veio desse tipo de processo onde as estratégias de observação e análises foram desenvolvidas para uma área de estudo (como a física) também foram aplicadas em outras áreas (como a biologia).

5. Tirar dedução de alguma coisa que está vagamente baseada no processo real do método. Um bom exemplo disso é a representação imaginosa de Sherlock Holmes realizada por Sir Arthur Conan Doyle que era baseada nos métodos de fazer diagnósticos do seu professor da escola de medicina Joseph Bell.


Modelar muitas vezes exige que nós façamos uma descrição "dupla" ou "tripla" do processo ou do fenômeno que estamos tentando recriar. A PNL descreve três posições perceptivas fundamentais a partir das quais a informação pode ser coletada e interpretada: a primeira posição (associada na própria perspectiva de alguém), a segunda posição (percebendo a situação a partir do ponto de vista da outra pessoa) e a terceira posição (vendo a situação como um observador não envolvido). Todas as três perspectivas são essenciais para uma efetiva modelagem de comportamento.
Existe também uma quarta posição perceptiva, que envolve a percepção da situação a partir da perspectiva de todo o sistema, ou o "campo relacional" envolvido na situação.
Essas posições perceptivas são como se você “se colocasse no lugar de...”, é ver uma determinada situação, contexto ou comportamento, através dos olhos de outras pessoas envolvidas no processo que deseja recriar.
Fica muito mais fácil invadirmos uma rede, por exemplo, ou obter informações sigilosas, se compreendermos como funcionam internamente aqueles que são responsáveis por protegê-las.
Como a PNL pressupõe que "o mapa não é o território," que "cada um faz o seu próprio mapa individual de uma situação," e que não existe um único mapa "correto" de qualquer experiência ou evento, tomar perspectivas múltiplas é uma habilidade essencial para modelar efetivamente um desempenho ou atividade particular. Perceber uma situação ou experiência a partir de múltiplas perspectivas permite a pessoa obter insights e conhecimentos mais amplos com relação ao evento.
Modelar da ‘primeira posição’ envolveria nós mesmos testando algo e explorando a maneira que "nós" fazemos isso. Nós vemos, ouvimos e sentimos a partir da nossa própria perspectiva. Modelar da ‘segunda posição’ envolve se colocar ‘nos sapatos’ da outra pessoa que está sendo modelada, tentando pensar e agir tão possível quanto essa pessoa. Isso pode fornecer importantes intuições sobre aspectos significativos, porém inconscientes, dos pensamentos e ações da pessoa sendo modelada. Modelar da ‘terceira posição’ envolveria se afastar e observar, como uma testemunha não envolvida, a pessoa a ser modelada interagindo com as outras pessoas (inclusive conosco). Na terceira posição, nós suspendemos os nossos julgamentos pessoais e percebemos apenas o que os nossos sentidos percebem, como cientistas ao examinar objetivamente um determinado fenômeno através de um telescópio ou microscópio. ‘Quarta posição’ envolveria um tipo de síntese intuitiva de todas essas perspectivas, a fim de conseguir um sentido para todo o processo.


Conclusão

O que foi descrito nesse artigo, é apenas a ponta do iceberg que representa a PNL. Se pudéssemos dizer que existe um manual de utilização para o cérebro humano, quem pode nos dar esse manual é a PNL. Portanto, em qualquer área de conhecimento e de interação humana (e até mesmo com máquinas, já que são controladas e programadas por humanos), o conhecimento de como funcionamos internamente, tanto você como aquela pessoa de quem quer obter algo, é essencial para se alcançar o resultado desejado.
Por isso, aprofunde-se mais nesse conhecimento! Esse é o caminho das pedras da Engenharia Social e No Tech Hacking – técnicas de hacking onde não utilizamos dispositivos tecnológicos para hackear, sejam pessoas ou locais.

Valeu e até a próxima!