Início » Segurança » AVA, um software que testa uma frequente brecha de segurança: o comportamento das pessoas

AVA, um software que testa uma frequente brecha de segurança: o comportamento das pessoas

Por
2 anos atrás
Já conhece a nova extensão do Tecnoblog? Baixe Agora

Falhas em software sempre preocupam, ainda mais quando o problema põe em xeque a segurança de milhares de computadores. É por isso que o mercado está cheio de empresas especializadas em encontrar falhas em sistemas e, sempre que cabível, propor soluções. A SafeStack é uma delas, mas a companhia vem trabalhando em uma abordagem diferente para o assunto: um software que encontra “falhas em humanos”.

Se você conversar com qualquer especialista em segurança digital, provavelmente irá descobrir histórias de organizações que, mesmo adotando procedimentos de proteção sofisticados em seus sistemas, enfrentaram um ou mais casos de vulnerabilidades por conta de erros humanos.

A gente pode começar pelo tradicional uso de senhas fracas, como “123456” e “password”. Mas, hoje, é relativamente fácil implementar políticas que obrigam o usuário a criar senhas misturando letras maiúsculas e minúsculas, números, caracteres especiais, enfim. Negligência no gerenciamento de permissões de acesso é outro problema comum, mas também há meios bastante eficazes de lidar com isso.

Pessoas - manipulação

Engenharia social

O maior problema está nos chamados “ataques de engenharia social”. A expressão pode até soar como um conceito bem sofisticado, mas não é necessário ir muito longe, não. Se olharmos o contexto mais genérico, veremos que engenharia social nada mais é do que o uso de métodos de persuasão.

Nas áreas de TI, a engenharia social é utilizada há tempos, muito antes de o acesso à internet se tornar difundido. Talvez os exemplos mais emblemáticos venham do famoso hacker Kevin Mitnick, que usou tantas técnicas do tipo no início da sua “carreira” que o assunto acabou resultando em um livro: no Brasil, A Arte de Enganar.

Mitnick ligava para empresas se passando por alguém importante ali dentro e entrava em contato por email, por exemplo, para conseguir informações confidenciais. Nos dias atuais, o email continua sendo um dos mais importantes meios para emprego de engenharia social, mas divide espaço com as redes sociais.

Independente do meio usado, o objetivo é sempre explorar alguma vertente emocional que nos deixa vulneráveis, como vaidade, curiosidade e medo. É o caso do sujeito que acessa o Facebook no computador da empresa, mas é atraído pela foto de uma bela jovem e dizeres como “você não acredita no que ela vai fazer”. Ou então do indivíduo que recebe uma suposta intimação por email e, assustado, morde a isca: clica no anexo para descobrir do que se trata.

“As pessoas são o caminho que oferece menos resistência e nós precisamos fazer algo sobre isso”

Esses exemplos podem até parecer manjados para você, mas as práticas de phishing scam continuam bastante difundidas porque esses ataques simplesmente funcionam. Sempre tem alguém que clica em um link suspeito, sempre tem alguém que executa o arquivo em anexo.

Para escapar do problema, muitas empresas investem em treinamentos de segurança, mas nem sempre isso resolve. A pessoa pode até ser capaz de identificar emails maliciosos disparados em massa, mas se ela for um alvo isolado, pode acabar percebendo a cilada apenas tardiamente.

É a história, por exemplo, de um invasor que se passa por um integrante do alto escalão da empresa para convencer um funcionário a informar uma senha. Os argumentos podem ser os mais variados, desde corrigir uma suposta “burrada” da pessoa (medo) a demonstrar admiração pelo seu trabalho (vaidade).

Na mais recente edição da conferência de segurança Black Hat, Laura Bell, CEO da SafeStack, resumiu bem esse cenário: “as pessoas são o caminho que oferece menos resistência [a ataques] e nós precisamos fazer algo sobre isso”.

AVA

AVA

A solução oferecida pela empresa de Bell é um sistema chamado AVA. O software é capaz de avaliar sistemas corporativos, mas tendo como base o contexto humano: as permissões que cada funcionário tem, com que frequência eles se comunicam, que conexões eles estabelecem em redes sociais e assim por diante.

Com base nessa análise, o AVA pode enviar falsas mensagens de phishing scam ou emails em nome de chefes para avaliar como os funcionários lidam com esse tipo de abordagem. A ideia não é oferecer uma avaliação individual de cada pessoa, mas permitir à empresa identificar que canais e situações dão mais margem para ataques de engenharia social.

Esse é um monitoramento contínuo. Brechas podem surgir a qualquer momento. Se funcionários descreverem um projeto no qual trabalham em seus perfis no LinkedIn, por exemplo, podem acabar expondo involuntariamente informações que os tornam alvos em potencial para alguém de fora interessado naquela ideia.

Se o AVA funciona? Bell e equipe estão confiantes, mas é cedo para qualquer afirmação. O software vem sendo testado em empresas pequenas e organizações públicas na Nova Zelândia, mas ainda está em desenvolvimento. É um trabalho longo. Não há só aspectos técnicos a serem considerados, mas também questões legais e éticas. Os funcionários não sabem que estão sendo testados, portanto, é necessário avaliar até onde isso pode ser feito sem ferir leis e direitos.

Com informações: Popular Science, MIT Technology Review

  • jairo

    Boa e criativa medida para corrigir vícios de usuários, mas que não resolve a principal , a falta de atualização por parte das OEMs de patch de segurança , e nisto nem a google assim como as OEMS não estão muito preocupadas , só promessas e vendas.

    • Trovalds

      TI ineficaz não é o principal problema em questões de segurança. Se a engenharia social for eficaz, você pode ter um sistema totalmente up-to-date e ter vazamentos importantes. Quer o exemplo clássico do funcionário que sai da sua máquina e não trava o computador? Dependendo do seu nível de acesso dentro da organização, está ali uma baita brecha de segurança que pode ser explorada por um colega de trabalho mal intencionado. Já cansei de ver casos desse tipo. Só que pelo menos onde trabalhei a intenção era apenas trollar o colega, nunca houve sabotagem ou vazamento propriamente ditos.

      E, segundo algumas estatísticas, ataques relacionados com Engenharia Social somam mais de 70% dos relatos de vazamentos. Isso os que são informados, fora o que as empresas tem vergonha de admitir com medo de que percam confiança.

    • Pois é mas são assuntos distintos, voltasse a apontar os problemas de tecnologia, e a matéria aborda as pessoas, que não dá pra negligenciar também… focamos em tecnologia, em processos e deixamos as pessoas de lado.

  • Willian Tetsuo Shiratori

    Depois que eu vi o filme Ex Machina, esse nome me dá até medo…

    • Emerson Alecrim

      Hahahaha…

  • Excelente matéria ! Pessoas, sempre o elo mais fraco!