AVA, um software que testa uma frequente brecha de segurança: o comportamento das pessoas

há 8 anos e 8 meses • Atualizado há 1 semana

Falhas em software sempre preocupam, ainda mais quando o problema põe em xeque a segurança de milhares de computadores. É por isso que o mercado está cheio de empresas especializadas em encontrar falhas em sistemas e, sempre que cabível, propor soluções. A SafeStack é uma delas, mas a companhia vem trabalhando em uma abordagem diferente para o assunto: um software que encontra “falhas em humanos”.

Se você conversar com qualquer especialista em segurança digital, provavelmente irá descobrir histórias de organizações que, mesmo adotando procedimentos de proteção sofisticados em seus sistemas, enfrentaram um ou mais casos de vulnerabilidades por conta de erros humanos.

A gente pode começar pelo tradicional uso de senhas fracas, como “123456” e “password”. Mas, hoje, é relativamente fácil implementar políticas que obrigam o usuário a criar senhas misturando letras maiúsculas e minúsculas, números, caracteres especiais, enfim. Negligência no gerenciamento de permissões de acesso é outro problema comum, mas também há meios bastante eficazes de lidar com isso.

O maior problema está nos chamados “ataques de engenharia social”. A expressão pode até soar como um conceito bem sofisticado, mas não é necessário ir muito longe, não. Se olharmos o contexto mais genérico, veremos que engenharia social nada mais é do que o uso de métodos de persuasão.

Nas áreas de TI, a engenharia social é utilizada há tempos, muito antes de o acesso à internet se tornar difundido. Talvez os exemplos mais emblemáticos venham do famoso hacker Kevin Mitnick, que usou tantas técnicas do tipo no início da sua “carreira” que o assunto acabou resultando em um livro: no Brasil, A Arte de Enganar.

Mitnick ligava para empresas se passando por alguém importante ali dentro e entrava em contato por email, por exemplo, para conseguir informações confidenciais. Nos dias atuais, o email continua sendo um dos mais importantes meios para emprego de engenharia social, mas divide espaço com as redes sociais.

Independente do meio usado, o objetivo é sempre explorar alguma vertente emocional que nos deixa vulneráveis, como vaidade, curiosidade e medo. É o caso do sujeito que acessa o Facebook no computador da empresa, mas é atraído pela foto de uma bela jovem e dizeres como “você não acredita no que ela vai fazer”. Ou então do indivíduo que recebe uma suposta intimação por email e, assustado, morde a isca: clica no anexo para descobrir do que se trata.

“As pessoas são o caminho que oferece menos resistência e nós precisamos fazer algo sobre isso”

Esses exemplos podem até parecer manjados para você, mas as práticas de phishing scam continuam bastante difundidas porque esses ataques simplesmente funcionam. Sempre tem alguém que clica em um link suspeito, sempre tem alguém que executa o arquivo em anexo.

Para escapar do problema, muitas empresas investem em treinamentos de segurança, mas nem sempre isso resolve. A pessoa pode até ser capaz de identificar emails maliciosos disparados em massa, mas se ela for um alvo isolado, pode acabar percebendo a cilada apenas tardiamente.

É a história, por exemplo, de um invasor que se passa por um integrante do alto escalão da empresa para convencer um funcionário a informar uma senha. Os argumentos podem ser os mais variados, desde corrigir uma suposta “burrada” da pessoa (medo) a demonstrar admiração pelo seu trabalho (vaidade).

Na mais recente edição da conferência de segurança Black Hat, Laura Bell, CEO da SafeStack, resumiu bem esse cenário: “as pessoas são o caminho que oferece menos resistência [a ataques] e nós precisamos fazer algo sobre isso”.

AVA

A solução oferecida pela empresa de Bell é um sistema chamado AVA. O software é capaz de avaliar sistemas corporativos, mas tendo como base o contexto humano: as permissões que cada funcionário tem, com que frequência eles se comunicam, que conexões eles estabelecem em redes sociais e assim por diante.

Com base nessa análise, o AVA pode enviar falsas mensagens de phishing scam ou emails em nome de chefes para avaliar como os funcionários lidam com esse tipo de abordagem. A ideia não é oferecer uma avaliação individual de cada pessoa, mas permitir à empresa identificar que canais e situações dão mais margem para ataques de engenharia social.

Esse é um monitoramento contínuo. Brechas podem surgir a qualquer momento. Se funcionários descreverem um projeto no qual trabalham em seus perfis no LinkedIn, por exemplo, podem acabar expondo involuntariamente informações que os tornam alvos em potencial para alguém de fora interessado naquela ideia.

Se o AVA funciona? Bell e equipe estão confiantes, mas é cedo para qualquer afirmação. O software vem sendo testado em empresas pequenas e organizações públicas na Nova Zelândia, mas ainda está em desenvolvimento. É um trabalho longo. Não há só aspectos técnicos a serem considerados, mas também questões legais e éticas. Os funcionários não sabem que estão sendo testados, portanto, é necessário avaliar até onde isso pode ser feito sem ferir leis e direitos.

Com informações: Popular Science, MIT Technology Review