A Arte de HACKEAR Pessoas

É o título dun libro de Antonio Marcelo e Marcos Pereira, editado por Brasport. Aborda os problemas da enxeñaría social,  os crimes dixitais, ataques de phishing e afíns.

O libro consta dos seguintes capítulos:

  • Capítulo I – Hackeando Persoas
  • Capítulo II – Presentando ao Enxeñeiro Social
  • Capítulo III – Enxeñaría Social para Diversión e Lucro
  • Capítulo IV – Scripts de Ataque e Ataques Web
  • Capítulo V – Boas Prácticas e Ferramentas de Defensa
  • Apéndice – describe os principais ataques de phishing no escenario brasileiro.

Liuz Vieira comenta o  libro polo miúdo xa que logo actúa e escribe artigos na área de Seguridade TIC e tamén actúa como sicoterapeuta, dispoñendo, polo tanto,  de dous perfís idóneos. O interesante artigo de Luiz é válido tamén como resumo do libro.
asennadastegnix_limpo_fdo_transparentemoi-pequeno

A seguir deixo a tradución automática ao galego.

En meu “set terapéutico” unha técnica que non falta é a PNL. Para algúns compañeiros da área tecnolóxica ese termo é descoñecido, mais ao longo dese artigo/resenha explicaremos mellor do que se trata e veremos que a pesar de formar parte da área de humanas, e ter como obxectivo a excelência humana e alivio de sufrimentos existenciais, a PNL é unha técnica moi próxima da área de tecnoloxía, mesmo que só en súas orixes e conceptos.

No libro “A Arte de HACKEAR Persoas”, os autores procuran explicar como funcionan ataques típicos de enxeñaría social e como eles se encaixam nas leis penais que poden clasificalos como crimes e medio posíbeis de se previr.

O libro está dividido en 5 capítulos, máis introdución e un apêndice, que describe algúns phishings famosos, xa que esa é unha modalidade de ataque vía internet que se encaixa na tipologia de enxeñaría social.

Na Introdución, os autores xa delineiam os 5 capítulos e o apêndice así:

* Capítulo I – Hackeando Persoas – relata as técnicas e exemplos famosos.
* Capítulo II – Presentando o Enxeñeiro Social – narra un caso completo de como os autores se viran á cabeza dun enxeñeiro certo.
* Capítulo III – Enxeñaría Social para Diversión e Lucro – como podemos utilizar a Enxeñaría Social na práctica.
* Capítulo IV – Scripts de Ataque e Ataques Web – demostración de como son feitos ataques vía individuo e un phishing clásico.
* Capítulo V – Boas Prácticas e Ferramentas de Defensa – unha serie de prácticas e ferramentas para o día a día.
* Apêndice – describe os principais ataques de phishing no escenario nacional.

No primeiro capítulo, logo no inicio, hai unha citação moi usada na área de SI que exemplifica o quão estamos expostos aos ataques de enxeñaría social: “Non hai patch contra a parvada humana”. O obxectivo dese capítulo é presentar, de forma clara e sucinta, o que é a enxeñaría social e cal o perfil dos enxeñeiros sociais, aqueles que aplican a ES (Enxeñaría Social) para obter acceso a informacións importantes ou adquirir algún tipo de vantaxe sobre outros individuos.

Os autores dividen os enxeñeiros sociais en dúas categorías distinguidas: formados e notorio-saber. Incluídos na primeira categoría están os individuos que pasaran por algún tipo de adestramento ou formación para saber como e cando aplicar a ES, tales como: policías, detectives particulares e espías. Xa na segunda categoría, temos os individuos, que como os autores colocan, son froitos de nosa sociedade, dotados da capacidade de ollar unha situación so varios prismas distinguidos, o que posibilita tal individuo saber actuar de maneiras diversas de acordo co que as variadas situacións esixen.

Un exemplo citado como enxeñeiro social mundialmente coñecido é o caso de Frank Abgnale, cuxa historia foi contada no cinema, de forma hollywoodiana, a través do filme “Préndame se for capaz”, con Leonardo Di Caprio e Tom Hanks. Despois de preso polo FBI, Abgnale decidiu volver atrás de súas escollas como enxeñeiro social e pasou a colaborar co FBI en investigacións de fraudes e falsificacións bancarias. Actualmente, Frank Abgnale é consultor de institucións financeiras internacionalmente recoñecidas e dá adestramentos polo mundo a fóra. Podemos ler un pouco máis sobre seu traballo actual en seu sitio web http://www.abgnale.com. Ese é un caso onde, un enxeñeiro social da categoría notorio-saber, acabou aproveitando súas capacidades cando a situación tornouse difícil para o seu lado e virou o xogo, decidindo actuar do lado daqueles que antes o cazaban.

Outras dúas cuestións interesantes presentadas nese capítulo son: o ser humano como elo máis feble na corrente que representas os procesos e a PNL (programación neurolinguística).

A primeira cuestión aborda xustamente o traxe de que, na área de TIC, non adianta ter sistemas super protexidos, ben configurados e con profesionais altamente capacitados, alén dunha boa política de seguranza, se os funcionarios non reciben o adestramento adecuado para lidar con ataques de enxeñeiros sociais. E é xustamente sobre ese elo máis feble que o enxeñeiro social actúa. Basta entrarmos en comunidade de redes sociais de determinadas empresas, por exemplo, para vermos funcionarios discutindo asuntos que din respecto só ao recinto onde traballan. Un enxeñeiro social, pasando por un ex-funcionario pode extraer moitas informacións dun estagiário desavisado que forma parte desa comunidade.

Xa a segunda cuestión, é moi ampla para ser abordada nun libro que versa sobre outro asunto, e por iso unha breve explicación é dada acerca de tal materia. Cando pregúntanme o que é PNL, acostumo responder o seguinte: se o cerebro humano tivese un manual de como utilizalo correctamente, ese manual sería ofrecido pola PNL. É unha técnica que pode levar calquera persoa a excelência ou ensinala como manipular a mente e os procesos de raciocinio doutras persoas. Quere ferramenta máis interesante para un enxeñeiro social do que esa?

Só para constar, un dos creadores da PNL, Richard Bandler, era matemático e programador. Xa o co-autor da técnica, John Grinder, era un linguista que traballou para o servizo secreto realizando análise das estruturas de linguaxe durante interrogatorios de posíbeis sospeitosos. Esa mestura explosiva nos deu unha das maiores técnicas no campo da consciencia humana xurdida o século XX.

No capítulo seguinte, os autores presentan un caso verídico da acción dun enxeñeiro social co cal se defrontaram. Todo moi ben delineado, detallando a acción do mesmo sobre súas vítimas previamente escollidas para executar seu plano de gañar diñeiro encima delas. Porén, o máis interesante desa parte do capítulo, alén da descrición do caso, é a análise do mesmo separándoo por fases e describindo a forma de actuación, alén de explicitar como o enxeñeiro social conseguiu seu intento, expondo aos ollos do leigo toda a estrutura psicolóxica e de planificación por detrás do ataque tan ben arquitetado.

Ao longo dese segundo capítulo, os autores afóndanse un pouco máis na PNL, explicando algunhas técnicas e teorías desenvolvidas por seus creadores, algunhas delas, inclusive, que son utilizadas por enxeñeiros sociais para manipular o comportamento e influenciar as decisións dunha vítima en potencia.

O estudo da PNL presentado, a pesar de superficial, dada a extensión do arcabouço de coñecemento contido na PNL, é moi interesante, principalmente para os leigos no asunto, pois presenta sucintamente as técnicas utilizadas por terapeutas, enxeñeiros sociais, hipnotizadores, espías e etc para influenciar calquera individuo a seu bel pracer sen que o mesmo se dea conta diso.

Xa no terceiro capítulo, cuxo título é “Enxeñaría Social para diversión e lucro”, o asunto abordado é como utilizar a enxeñaría social para proveito propio, sen necesariamente causar prexuízo para outrem. A enxeñaría social é un coitelo de dous gumes, tanto podemos utilizala para conseguir o que queremos, manipular prexudicialmente outra persoa, como podemos ser albos de ataques ben elaborados co obxectivo pura e simplemente do atacante alcanzar ganancias financeiras ás nosas custas. Nese capítulo é xustamente o primeiro aspecto que é abordado.

Como non podería deixar de ser, a PNL é unha vez máis traída á tona e algunhas de súas ferramentas son analizadas ou pouco máis, con atención maior a cuestión da comunicación: o que dicimos e o que as outras persoas din. Cando conseguimos comprender a estrutura básica da comunicación entre dúas persoas, desvelando as representacións internas de cada un a través daquilo que é transmitido pola palabra e expresións corporais, podemos entender o mundo interno da outra persoa e influenciala, ou entón, construír un mundo interno distinto, transmitido ao outro pola estrutura da linguaxe, de acordo co personaxe creado por nós durante un ataque de enxeñaría social.

Na continuación, cada fase dun ataque é explicada pormenorizadamente, sendo elas:

* Escolla/Aproximación
* Aclimatação
* Confianza
* Cumplicidade
* Planificación
* Execución
* Finalização

E, na actualidade, un asunto abordado que non podería ser deixado de fóra é a enxeñaría social na era dixital, onde os atacantes utilizan unha das técnicas máis coñecidas: phishing scam. Quen de nós nunca recibiu un e-mail dunha antiga compañeira do colexio dicindo que nos ama moi e nunca tivo coraxe de dicir? O máis interesante é que tal e-mail ten como remetente, un nome moi común, mais vostede non consegue se lembrar de persoas ningunha coas características descritas. Por que será?!

No capítulo de número catro, logo no inicio, os autores nos brindar con máis un caso de ataque de enxeñaría social, detallando o script de ataque utilizado polo enxeñeiro social. Da maneira como o ataque é executado, podemos imaxinar que iso ocorre todos os días en diversos lugares do mundo. E ese é xustamente o obxectivo: alertar para a aparente banalidade dalgunhas preguntas ou conversas, que se foren sumadas e reunidas nun contexto maior, revela moito do albo. Como xa se di: unha mentira é moito máis acepta se presentada entre dúas verdades. Podemos, nese caso, reescrever a frase: unha pregunta maliciosa sempre ten feedback se presentada entre dúas proscribades.

Adiante, o asunto phishing scam é retomado, así como ataques análogos. Ese tipo de ataque é analizado máis detalladamente, coa explicación dos autores de como actúa un scammer e cales as fases de preparación dese tipo de ataque, xa que o mesmo visa explotar vulnerabilidades psicolóxicas existentes nos albos humanos que recibirán seus e-mails ou mensaxes.

No quinto capítulo, son abordados xustamente os métodos e ferramentas que proporcionan a posibilidade de nos protexermos de ataques de enxeñaría social (tanto ataques dixitais, canto ataques persoais – sendo eses últimos os máis difíciles de nos protexermos). Nese quesito, entra a análise das políticas corporativa e persoal, boas prácticas, principais ameazas, ferramentas importantes e como precaver-se dos diversos tipos de ataque existentes.

Unha cuestión levantada ao final do capítulo é de suma importancia, principalmente nas organizacións, que é o seguinte: usuario conscientizado é a maior protección contra ataques de enxeñaría social. Nunca é demais repetir iso, pois durante a implantación de políticas corporativas, principalmente na área de xestión e de seguranza da información, é moi importante realizar adestramentos que visan conscientizar os usuarios do nivel de importancia daquilo que ten acceso todos os días e que é o principal activo da organización: a información.

A última parte do libro, o apêndice, é rica en exemplos de ataque famosos que circularan por moito tempo pola rede. Os autores describen os ataques de phishing scam e analizan o contido da mensaxe, explicando como identificar ese tipo de mensaxe e cal o obxectivo de cada unha delas. É un collido moi interesante, posto que, se entendemos a dinámica e a estrutura dun ataque do tipo, fica moito máis fácil identificar todos os outros, pois a maioría segue un padrão que dura un tempo relativamente longo.

Obviamente que non podemos ficar presos só aos exemplos dados nos libros. Existen na net algúns sitios web que catalogam, inclusive, todos os e-mails que circulan na net e son identificados como mensaxes de phishing scam, basta procurarmos no Google.

Esa realmente é unha publicación pioneira na área, que intenta abordar o asunto de forma seria; e son até mesmo ousado en dicir que é un libro que explica moito do que é explanado nos artigos e libros estranxeiros sobre enxeñaría social, cun diferencial: é un dos poucos libros brasileiros sobre o tema! Con iso en mente, só podo parabenizar os autores sobre a publicación.

Espero con iso, que o asunto sexa tratado con maior seriedade en noso país e a conscientização dos usuarios sexa realizada a contento nas organizacións, primeiro para que os riscos sexan minimizados e segundo para dificultar cada vez máis os mecanismos que os enxeñeiros sociais crean para burlar os sistemas, sexan humanos ou tecnolóxicos.

3 ResponsesA Arte de HACKEAR Pessoas to “”

  1. Persoalmente, os presupostos nos que se basea a PNL non me parecen demasiado “científicos”… e non digo que non sirvan, oigha! Pero toda a literatura asociada ten un tufo ben rancio a espiritualismo e determinismo que me repele…

  2. Por acaso nom terá umha licença livre e a possibilidade de descarregá-lo antes para botar-lhe um olho verdade?

  3. Non cho sei meu! 🙁