MBA EM GESTÃO DE SEGURANÇA DA INFORMAÇÃO – MÓDULO SU      ESTUDO DE VIABILIDADE NA UTILIZAÇÃO DE   FERRAMENTA DE MINERAÇÃO...
1. INTRODUÇÃO1.1. O problema      O que os internautas fariam se soubessem que tipo de informaçõessobre si se encontram di...
não deixar informações pessoais na rede. Mas mesmo assim pode haverinformações disponíveis sobre si, muitas vezes espalhad...
1.3. O objetivo      Dentre as soluções citadas anteriormente encontra-se o Maltego,objeto de estudo deste artigo, que tem...
Maltego e por final será verificado o que é possível fazer com os resultadosapresentados pela ferramenta.
2. ENGENHARIA SOCIAL      2.1 Conhecendo o inimigo             Para conhecer melhor o inimigo, é interessante saber mais s...
2.2 Tipos de vulnerabilidades      As vulnerabilidades são diversas, uma delas é a brecha do sistema,em que o oportunista ...
2.3 Causas dos problemas de segurança digital      Frisch (2002) menciona três principais causas dos problemas desegurança...
deixa para pegar mais tarde ou ainda por não guardar na mochila ou emoutro lugar menos visível deixa a impressão exposta. ...
3. MINEIRAÇÃO DE DADOS    3.1 A mineração de dados como método de prevenção           Com os recursos disponíveis e descri...
que remediar e dessa forma faz com que o usuário esteja alguns passos afrente do inimigo (o engenheiro social).3.2 Mantend...
Figura 1 – Etapas para a mineração de dados.               Fonte: AMO, 2004, Universidade Federal de Uberlândia       Muit...
4. O MALTEGO4.1 A escolha pelo Maltego      Como mencionado anteriormente, é possível verificar no trabalho deClifton e Ma...
a. Qualquer pedaço de informação encontrada é reduzido para sua      característica mais básica, como por exemplo: um indi...
Segundo trabalho realizado pela equipe formada por Melo, Marins eSilva, Viana, Coval (20-?) sobre a ferramenta, é necessár...
5. ANÁLISE DOS RESULTADOS OBTIDOS5.1 O que foi encontrado?         Através das informações coletadas na internet e analisa...
TJOA; 2009). Mas mesmo aqueles perfis não muito convincentes,atualmente a aceitação de “amigos” tem se tornado fácil seja ...
disso, é importante verificar os indivíduos que solicitam a adição do perfildeles e permitir que ali estejam de fato os am...
CONCLUSÃO      O Maltego é uma ferramenta de mineração de dados viável e quepode ser utilizada na busca de informações a r...
REFERÊNCIASANDRESS, J.; WINTERFELD, S.. Cyber Warfare: Techniques, tactics andtools for security practitioners. Waltham: E...
FONSECA, P. F. Gestão de Segurança da Informação: O Fator Humano.Curitiba, PR: Pontifícia Universidade Católica do Paraná,...
http://static.usenix.org/publications/library/proceedings/sec98/full_papers/lee/lee_html/lee.html. Acesso em: 17 de junho ...
sites.googlegroups.com/site/pedronunots/Home/academico-3/auditoria-de-seguranca-e-sistemas-de-informacao/artigos-relaciona...
Upcoming SlideShare
Loading in …5
×

Estudo De Viabilidade Na Utilização De Ferramente De Mineração De Dados Como Prvenção Contra Ataques De Engenharia Social Para Internautas - Maltego

1,047 views
955 views

Published on

Artigo Científico para o Módulo da FIAP-Singularity University (SU), do curso de MBA em Gestão de Segurança da Informação.
Artigo aprovado em 15/01/2013

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,047
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
0
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Estudo De Viabilidade Na Utilização De Ferramente De Mineração De Dados Como Prvenção Contra Ataques De Engenharia Social Para Internautas - Maltego

  1. 1. MBA EM GESTÃO DE SEGURANÇA DA INFORMAÇÃO – MÓDULO SU ESTUDO DE VIABILIDADE NA UTILIZAÇÃO DE FERRAMENTA DE MINERAÇÃO DE DADOS COMO PREVENÇÃO CONTRA ATAQUES DE ENGENHARIA SOCIAL PARA OS INTERNAUTAS Cleyton Tsukuda Kano Orientador: Prof. MSc. Sérgio Alexandre Simões RESUMOMuitos oportunistas se utilizam de programas de mineração de dados para coletarinformações sobre suas futuras vítimas e aplicar a engenharia social com uma riqueza dedetalhes, tendo mais eficácia e dando mais credibilidade. Para não ser mais uma vítima, osinternautas podem se utilizar destes programas para buscar informações sobre si, verificaro que está disponível, mapear e traçar um plano estratégico sobre o que deverá ser feitocom elas, para assim, mitigar os riscos. Este artigo tem por finalidade estudar a viabilidadena utilização de uma ferramenta de mineração de dados em específico, o Maltego, comoinstrumento para prevenção contra possíveis ataques de engenharia social.Palavras-chave: mineração de dados, Maltego, prevenção, engenhariasocial, segurança da informação. ABSTRACTMany opportunists make use of data mining programs to collect information about theirfuture victims and apply social engineering with a wealth of detail, being more effective andgiving more credibility. To avoid being a victim, internet users can use these programs toseek information about themselves, check out what is available, map and draw a strategicplan on what should be done with it, thus, mitigate the risks. This article aims to study thefeasibility of using a specific data mining tool, the Maltego, as a tool for preventing possiblesocial engineering attacks.Keywords: data mining, Maltego, prevention, social engineering,information security.
  2. 2. 1. INTRODUÇÃO1.1. O problema O que os internautas fariam se soubessem que tipo de informaçõessobre si se encontram disponíveis publicamente na rede? Aqueles quenunca fizeram testes colocando o próprio nome em sites de busca, talvez,se surpreenderiam. Mas e se soubessem que seria possível encontrar aindamais informações a respeito de si, o que fariam? Ou ainda o que outraspessoas poderiam fazer com estas informações? Será que instalarprogramas de segurança digital resolveria o problema da segurança dainformação? É importante utilizar programas e/ou contratar serviços que protejamo ambiente virtual do usuário, no entanto, o usuário não está totalmenteprotegido, uma vez que ele próprio ou outra pessoa pode expor informaçõespessoais e por vezes de caráter sensível que podem ser elementosfundamentais para oportunistas aplicarem a engenharia social ou qualqueroutro crime. E é por este motivo que os investimentos em recursos desegurança digital não são eficazes se forem aplicadas de forma isolada(FONSECA, 2009). E o local cada vez mais utilizado e se tornando outro mundo, paraleloa este em que vivemos fisicamente, propicia a coleta de informações. Estelocal, a internet, é uma grande e ótima fonte para obtenção dasinformações, é um local onde é possível encontrar diversos assuntos,aprender coisas novas, rever histórias, entre outros. Atualmente é um lugaramplamente utilizado para a divulgação da própria vida do usuário, comoem publicações de mensagens, fotos, lugares em que visitou ou estávisitando. Dessa forma por si só já representa um risco, já que é possívelsaber a rotina do usuário e em tempo real onde aquela pessoa está. Mas as informações pessoais não se restringem àquelas que elaspróprias publicam nas mídias e redes sociais. Algumas nem são usuáriosde alguma mídia ou rede social com o objetivo de tentarem se proteger e
  3. 3. não deixar informações pessoais na rede. Mas mesmo assim pode haverinformações disponíveis sobre si, muitas vezes espalhadas, porém fáceisde serem acessadas por qualquer um. Com tudo isso, pode-se observar que o ambiente virtual apesar deser uma ótima fonte de conhecimento para as pessoas, ela é também umagrande fonte de armadilhas (OSIRO, 2006) e muito propicio paraoportunistas e golpistas encontrarem informações para realizarem ataquesutilizando-se da engenharia social. A engenharia social não é um conceito novo, ela vem sendo utilizadahá muito tempo por oportunistas, dos quais obtém a informação desejadaatravés do elo mais fraco, que são as pessoas. Hoje eles contam com aajuda de programas para a obtenção de informações sobre uma dadapessoa. Com as informações necessárias o oportunista pode então seutilizar da engenharia social com mais eficácia e surpreender a pessoa, quepode ficar acuada e sem reação, ou obter a confiança dela e até conseguircom que ela faça as coisas para ele, sem suspeitar de que se trata de umgolpe.1.2. A motivação do estudo A grande motivação para estudar este tema é de buscar um meiopara mitigar os riscos de um internauta sofrer um golpe de engenhariasocial com as informações espalhadas pela internet. Para isso é necessário entender como os oportunistas atuam. Dentreas ferramentas utilizadas por eles, encontram-se soluções que realizam amineração de dados para realizar a coleta de informações disponíveis narede, bastando informar apenas alguns dados simples de serem adquiridos. E entre as ferramentas que se utilizam da mineração de dados, está oMaltego, que pode ser utilizado para a coleta de informações para entãoauxiliar os internautas a mitigarem os riscos de golpes que envolvemengenharia social.
  4. 4. 1.3. O objetivo Dentre as soluções citadas anteriormente encontra-se o Maltego,objeto de estudo deste artigo, que tem por finalidade estudar a viabilidadena utilização dele como ferramenta de prevenção contra possíveis ataquesde engenharia social, levando em conta os usuários comuns que se utilizamda internet em seu cotidiano. Então assim como oportunistas utilizam-se desta ferramenta parabenefício próprio, os internautas também podem utiliza-la para estar um oumais passos a frente dos golpistas. Para isso, a própria pessoa, pode fazeruso desta solução para buscar informações sobre si, com objetivo de quepossa ser retirado a tempo ou então conhecer onde estão os possíveisriscos para que possa se prevenir e encontrar meios de diminuir ou mitigaros riscos.1.4. Referencial teórico Este artigo tem como base o estudo realizado através dos conceitosde engenharia social e mineração de dados, assim como a ferramentaMaltego. Foi realizada uma análise das informações sobre os materiaispublicados pela instituição desenvolvedora da ferramenta, bem como,materiais publicados por outras equipes do mundo inteiro que realizaramum estudo sobre todos os elementos envolvidos neste tema e tambéminformações de testes realizados com a ferramenta.1.5. A estrutura do artigo A estrutura deste artigo se encontra divido em quatro partes, ondeprimeiramente será abordado o conceito de engenharia social, em seguidaa definição da mineração de dados, posteriormente o estudo da ferramenta
  5. 5. Maltego e por final será verificado o que é possível fazer com os resultadosapresentados pela ferramenta.
  6. 6. 2. ENGENHARIA SOCIAL 2.1 Conhecendo o inimigo Para conhecer melhor o inimigo, é interessante saber mais sobre a expressão engenharia social. Mitnick (2003), um dos maiores especialistas nesta arte, a descreve da seguinte forma: A engenharia social usa a influência e a persuasão para enganar as pessoas e convencê-las de que o engenheiro social é alguém que na verdade ele não é, ou pela manipulação. Como resultado, o engenheiro social pode aproveitar-se das pessoas para obter as informações com ou sem o uso da tecnologia. Dessa forma é possível verificar que os oportunistas que se utilizam da engenharia social, buscam a aquisição de informações sensíveis, sigilosas e confidenciais. Eles exploram o elo mais fraco na segurança da informação, o ser humano, induzindo-as para agirem conforme a vontade deles. E são profissionais na arte de enganar as pessoas. Uma frase de AEllen Frisch (2002) ajuda a explicar esta situação: "A segurança começa e termina com as pessoas" 1. Ou seja, por mais que um ambiente ou ferramenta tenham sido desenvolvidos com toda a preocupação na segurança, proteção e sigilo das informações de seus usuários, ainda assim não é efetivo por si só. Uma vez que quem irá utilizar no final, serão pessoas com conhecimentos, culturas e características distintas, que podem tornar toda e qualquer solução vulnerável. Mas esta frase ainda pode ter outro significado, onde uma solução apesar de ter sido desenvolvida pensando na segurança de seus usuários, ela termina no outro lado, onde existe uma pessoa para explorar suas vulnerabilidades.1 Tradução do texto original: "Security begins and ends with people."
  7. 7. 2.2 Tipos de vulnerabilidades As vulnerabilidades são diversas, uma delas é a brecha do sistema,em que o oportunista se utiliza disto para manipular o ambiente ouferramenta. Por exemplo, um oportunista constatou uma brecha em umcomponente do navegador web, ele então irá explorar esta brecha paraconfigurar um código malicioso e prejudicar a máquina de uma pessoa.Neste caso a engenharia social não necessariamente é utilizada. Outra vulnerabilidade é a exploração dos funcionários que possueminformações importantes a respeito do ambiente. Por exemplo, umoportunista explora a segurança virtual de uma instituição bancária, quepode ser através de uma brecha de sistema, mencionado anteriormente, ouutilizando a engenharia social. Através do segundo caminho, o oportunistabuscando informações na internet encontra um funcionário insatisfeito coma instituição bancária em que trabalha, disponibilizando informações como anão aplicação de um pacote de correção do banco de dados, que foi retidopela burocracia da corporação. O oportunista então se utiliza de umprograma para buscar mais informações deste funcionário, aplica-lhe aengenharia social através da rede social, por exemplo, e então conseguedescobrir a versão utilizada do banco de dados. Assim ele procura edescobre a brecha para esta versão (que a empresa desenvolvedora tentoucorrigir com o pacote de correções) e invade o sistema. Ou ele aindapoderia induzir o funcionário a realizar a correção manualmente, dizendoque este ganharia crédito da empresa por tal façanha, mas sem saber quena verdade estará abrindo caminho para o oportunista e que levará a culpapor fraude no sistema e até de ser cúmplice do golpista por facilitação daentrada dele no sistema da instituição. E da mesma forma que ocorre a exploração com o funcionário, omesmo pode ocorrer com as pessoas, usuários normais de internet.
  8. 8. 2.3 Causas dos problemas de segurança digital Frisch (2002) menciona três principais causas dos problemas desegurança através das pessoas, sendo elas: ignorância, preguiça e malícia. Explorando um pouco mais estas características mencionadas, pode-se dizer que a ignorância está relacionada à falta de preparo e/ouinformação dos internautas. Podendo ser um dos fatores que podem torna-los vítimas de engenharia social. Pessoas más intencionadas costumam seaproveitar da ignorância para induzir usuários ao erro, levando-osdiretamente para o caminho que os oportunistas planejaram. Como exemplo de ignorância, esta pode ser expressa através dasredes sociais, um local muito comum de publicação e onde os usuárioscostumam confiar e/ou aliviar seus sentimentos. Podem-se citar aquelesusuários que utilizam a rede social para descrever fatos cotidianos ouapenas seus pensamentos que refletem seu dia a dia, que permitem muitasvezes saber de sua rotina. E hoje é muito comum o uso de dispositivosmóveis, que diversas vezes deixa os rastros da localidade em tempo realdos usuários. Muitas pessoas, pela ignorância de não saber que publicoualgo que não teria a necessidade, se expõem e se colocam em risco ou porvezes colocam em risco outras pessoas. Tudo isso dá margem para umoportunista utilizar-se destas informações em benefício próprio e seaproveitar destas pessoas. O oportunista ainda pode obter maisinformações, a partir dos dados já informados, e entrar em contato com avítima de uma forma mais sutil, convincente e até com uma garantia dointernauta não suspeitar de ser mais uma vítima. Já a preguiça é uma tentação que pode ser outro fator que expõe asinformações sensíveis dos internautas. Além da preguiça, neste fator aindapode ser acrescentado o esquecimento, podendo então ser trabalhadocomo o fator preguiça/esquecimento. Um cenário: uma pessoa imprime ume-mail ou documento contendo informações pessoais e sensíveis (comotelefone pessoal, número de documento, conversa de bate-papo, print detela, senha(s), cartão de crédito, entre outros) e por preguiça/esquecimento
  9. 9. deixa para pegar mais tarde ou ainda por não guardar na mochila ou emoutro lugar menos visível deixa a impressão exposta. Parecido com este cenário, ainda pode-se citar outro exemplo, onde apessoa deixa o computador destravado em um local público e com aspáginas de rede social, e-mail, editor de documentos e todas as suasinformações expostas. Pode ser que o oportunista não veja tudo nomomento de distração, mas ele pode instalar um programa malicioso paraposteriormente realizar suas ações. Ou ainda somente por observar certasinformações ele consiga uma aproximação com a vítima, ganhando aconfiança e obtendo ainda outras informações mais profundas. A preguiça/esquecimento de trocar de senha quando um celular éroubado ou de atualizar o sistema de antivírus também são outros fatoresque podem ser o caminho de entrada para oportunistas. Ou ainda apreguiça/esquecimento de configurar a segurança de páginas, como aconfiguração de exibição de informações na rede social(mensagens/informações para serem exibidas somente ao usuário, amigos,amigos de amigos ou público). Ainda pode ocorrer a preguiça/esquecimentode apagar aquela mensagem ou informação que colocou em um site, redesocial ou mídia social do qual, pode expor a si próprio e/ou aos outros. E por fim o fator de malícia pode ser expresso pelas pessoas quebuscam expor dados alheios de forma proposital e com intuito de prejudicara outra parte. Como exemplo, pode-se citar uma pessoa com raiva de outrae expor os dados pessoais e sensíveis dela em uma mídia social, ooportunista então se aproveita destas informações lá expostas. Normalmente, segundo a Cengage Learning (2010), antes mesmo deutilizar a engenharia social, o oportunista procura coletar informações nainternet através de diversas formas como, websites, mídias sociais,publicações, ferramentas de escaneamento de portas, técnicas hacker,ferramentas de mineração de dados que conseguem inclusive omapeamento e torna tudo muito organizado a coleta destas informações.
  10. 10. 3. MINEIRAÇÃO DE DADOS 3.1 A mineração de dados como método de prevenção Com os recursos disponíveis e descritos no tópico anterior, que facilitam a aplicação de engenharia social, como seria possível o internauta se prevenir? Como possível solução de prevenção contra todas estas exposições desnecessárias de informações, foi possível encontrar informações em um trabalho de Clifton e Marks (1996), que sugeriu a utilização da mineração de dados como um método de prevenção. Dessa forma, torna-se possível que o internauta limite as fontes e as informações disponíveis para manter um controle sobre aquilo que seja permitido ou aceitável (ANDRESS; WINTERFELD, 2011). Prevenindo-se assim contra ataques de engenharia social, fazendo com que o oportunista que se utilizar de alguma ferramenta deste tipo, não consiga obter muita informação ou obtenha as informações que o usuário já possua conhecimento. A Paterva (2011), criadora do programa Maltego descreve: O acesso a informações oportunas e precisas sempre desempenhou um papel importante na segurança de sistemas de informação. Esta informação é crucial para atacar ou defender um possível alvo. [...] Para atacar um alvo que você deve saber onde está o alvo. [...] Para encontrar um possível ponto fraco, precisamos saber o máximo possível sobre o alvo e alguém ao redor do alvo com uma relação de confiança.2 Ou seja, a informação constitui um fator fundamental para a segurança digital, sendo decisivo para o ataque do oportunista ou defesa dos usuários. Mas para conhecer os pontos fracos e saber o que deve ser corrigido ou mapeado, é necessário conhecer onde estão as vulnerabilidades. É como diz um velho ditado, onde é melhor prevenir do2 Tradução do texto original: “Access to timely and accurate information has always played a big role ininformation systems security. This information is crucial to attack or defend a possible target. [...] Toattack a target you must know where the target is. [...] To find a possible weak spot we need to know asmuch as possible about the target and anybody around the target with a trust relationship.”
  11. 11. que remediar e dessa forma faz com que o usuário esteja alguns passos afrente do inimigo (o engenheiro social).3.2 Mantendo o controle sobre as informações Com todas as informações espalhadas pela internet é difícil demanter um controle efetivo do que está publicado e até de se prevenir degolpes, sendo “Como um jogo de quebra-cabeça, as informações sãopostas como “pedaços” importantes, que se juntando a outros “pedaços”formarão o resultado final do que se espera” (PEIXOTO, 2004). Ou seja, asinformações estando espalhadas podem apresentar a aparência de seremirrelevantes e de pouca importância, mas quando vinculadas entrei si e porvezes outras informações (baseadas em um contexto ainda maior),apresentam uma característica mais completa e com muitos detalhes. Então para ajudar a manter um controle e prevenção contra aexposição desnecessária destas informações, conhecendo e/ou mapeandoo que os oportunistas possam encontrar e utilizar como benefício pararealizar ataques de engenharia social, como mencionado anteriormente,sugere-se que seja utilizando mineração de dados.3.3 O que é mineração de dados afinal? A mineração de dados é o processo de extração de locais comgrande volume de dados e dispõe uma grande variedade de algoritmos,provenientes das áreas de estatística, reconhecimento de padrões,aprendizado de máquina e banco de dados (LEE; STOLFO, 1998).Basicamente uma ferramenta de mineração de dados se alimenta de umabase de dados organizada (Data Warehouse), realiza análise em busca depadrões e apresentam as informações. Ou seja, entram-se dados que sãotransformados em informações (para formação de uma base deconhecimento), como é representado pela figura 1.
  12. 12. Figura 1 – Etapas para a mineração de dados. Fonte: AMO, 2004, Universidade Federal de Uberlândia Muito além da busca por informações pessoais, sensíveis e sigilosas,ele é amplamente utilizado pelo setor de marketing & propaganda decorporações para análise estatística de uma grande massa de dados embusca de padrões entre diversas variáveis definidas pelo setor. Porexemplo, a partir do armazenamento de informações sobre produtosadquiridos por diferentes clientes ao longo do período da noite, umaferramenta de mineração de dados pode analisar os padrões de consumodos clientes noturnos e assim saber quais produtos são mais consumidosneste período. Dessa forma torna-se possível realizar campanhas demarketing e estratégias de posicionamento das mercadorias de modo quefiquem mais fáceis de visualizar e acessíveis para o público noturno. Estetipo de exemplo costuma ocorrer em lojas de departamento esupermercados.
  13. 13. 4. O MALTEGO4.1 A escolha pelo Maltego Como mencionado anteriormente, é possível verificar no trabalho deClifton e Marks (1996), a necessidade de uma ferramenta que se utilizedeste método para então atingir o objetivo em mitigar os riscos de uminternauta sofrer golpes que envolvam engenharia social. Dentre as ferramentas que se utilizam da técnica de mineração dedados, se encontra o Maltego. Então a escolha desta ferramenta se deudevido às indicações feitas pelas comunidades da internet e de indicaçõesde amigos e professores.4.2 Entendendo o Maltego Baseado nas informações encontradas no site de sua empresadesenvolvedora (Paterva, 2011) pode-se dizer que é um programa forensedotado de inteligência (que a Paterva chama de inteligência open source)que busca, através da mineração e coleta, as relações e ligações do mundoreal entre pessoas ou grupo de pessoas (como nas redes sociais),empresas, organizações, sites, frases, afiliações, documentos/arquivos e/ouinfraestrutura da internet (domínios, nomes de DNS, netblocks e endereçosde IP). Ele é desenvolvido em Java, o que permite ser multi-plataforma, epossui interface gráfica que torna possível ao usuário visualizar as relaçõesem diversos níveis de profundidade e segundo a empresa, é tambémpossível visualizar conexões ocultas e personalizar a configuração paraadaptar às necessidades específicas de cada usuário. Baseado nas informações apresentadas por Buley (2008), omecanismo por trás do Maltego se baseia em três princípios:
  14. 14. a. Qualquer pedaço de informação encontrada é reduzido para sua característica mais básica, como por exemplo: um indivíduo, um lugar ou endereço; b. Cada entidade pode estar relacionada a uma ou mais entidades, como por exemplo, um indivíduo pode estar ligado a um ou mais lugares; c. Diferentes entidades podem ser combinadas/agrupadas através de regras. Em entrevista, Temming (fundador da Paterva e criador responsávelpelo Maltego) disse à Buley (2008) que ao olhar pelo lado hacker, tudo setrata tanto em manter o controle sobre algo quanto em obter informações.Ou seja, o programa permite aos hackers encontrar caminhos escondidospara poderem atacar e/ou obter maiores informações. Ao mesmo tempopossibilita pesquisadores ou responsáveis pela segurança da informação,identificar brechas que ofereçam riscos e ameaças. Baseado no trabalho de Varsalone e McFadden (2011) pode-seafirmar que esta ferramenta é boa para análise de ligações através dajunção da engenharia social e inteligência indireta, e também pela junçãocom outras técnicas de escaneamento inteligente e permite queoportunistas encontrem ainda caminhos escondidos e novos meios deataque.4.3 Buscando de informações Para um teste preliminar e verificar que existem inúmerasinformações na internet, que muitas vezes o próprio usuário não sabe daexistência, basta colocar o próprio nome ou de outra pessoa em um site debuscas. Mas o Maltego consegue exibir ainda mais informações, como jávistos anteriormente neste artigo, podem-se citar endereços de e-mail etelefones, que então podem ser utilizados para a realização de ataques deengenharia social e ainda de outros tipos (HILVEN, 20-?).
  15. 15. Segundo trabalho realizado pela equipe formada por Melo, Marins eSilva, Viana, Coval (20-?) sobre a ferramenta, é necessário ter uma linha depesquisa com um objetivo definido, para filtrar informações trazidas por ela: Para o uso de ferramentas deste tipo, de nada adianta obter resultados se não se traçar um objetivo ou linha de pesquisa. É preciso ter sempre em mente o que é ou não valioso no trabalho de Data Mining. Esta é uma tarefa única e exclusivamente do pesquisador. O software até auxilia neste trabalho, atribuindo “pesos” nas respostas encontradas, seguindo uma lógica atribuída na programação do software, mas somente quem está no comando da pesquisa pode definir se a resposta faz ou não sentido [..] Em testes realizados pela equipe, que se pautou pela versão gratuitado Maltego, foram realizadas buscas por um nome e outro por um domínioe foram encontradas informações relevantes aos objetos de pesquisa, taiscomo e-mails, servidores de sites do objeto estudado, perfil em mídiassociais, entre outros. No entanto, apesar do resultado obtido serconvincente, é necessário recorrer da análise e filtragem destes dadosantes de aceitar/negar a informação, com intuito de não se coletarinformações errôneas e então se distanciar do objetivo. No caso da busca por um determinado domínio, como resultadoforam apresentados alguns servidores. Dentre eles foi possível verificarquais domínios utilizavam o mesmo nome de DNS. Posteriormente foidemonstrada a possibilidade de verificar os documentos que estavamhospedados no site de um dos domínios. Além disso, foi possível verificarum servidor de correio eletrônico e identificou o provável softwareresponsável por este correio, restando apenas encontrar a conta dessedomínio. Com isso, segundo eles, pode-se criar uma lista de senhas pararealizar um ataque de força bruta (ataque onde são testadas diversaspossibilidades de senha) ou ainda um ataque de engenharia social. Além do Maltego, podem-se utilizar sites de internet e de busca paracomplementar as informações obtidas através dele, e também paraencontrar comprovações da veracidade da informação. Dessa forma épossível se preparar para uma aproximação com o objeto de pesquisa eentão aplicar técnicas de engenharia social.
  16. 16. 5. ANÁLISE DOS RESULTADOS OBTIDOS5.1 O que foi encontrado? Através das informações coletadas na internet e analisadas atravésda técnica da mineração de dados realizada pelo Maltego, torna-se possívelverificar o que se está disponível na internet sobre o internauta. Como o resultado dos testes realizados pela equipe (MELO; MARINSe SILVA; VIANA; COVAL, 20-?) apresentarem alguns resultadosirrelevantes e errôneos, é necessário que seja feita uma análise minuciosasobre as informações apresentadas pela ferramenta e definir o que éverdadeiro. Dessa forma o usuário filtra o que é de fato informação dopróprio internauta ou de outra pessoa. Como as buscas são feitas pelo próprio usuário, este é totalmentecapaz de identificar o que é sobre si e o que não é (o que é de fatorelevante e verdadeiro).5.2 O que fazer? É importante realizar o mapeamento das informações e traçar umplano estratégico e definir o que permanecerá na rede ou o que será ocultaou apagada. É um processo muito parecido com o processo de inventáriode um ambiente, onde são catalogados detalhadamente os conteúdos e seulocal. Começando pela rede social, uma plataforma amplamente utilizadapelos usuários da internet e que auxiliam no processo de divulgação deinformações de muitos usuários, que por muitas vezes dão indícios docotidiano, rotina e local dos mesmos (MCAFEE, 2010). Sabendo disso, muitos oportunistas se utilizam delas para obterem asinformações de futuras vítimas. Uma das aproximações utilizadas por eles écriar perfis falsos e convincentes (HUBER, KOWALSKI, NOHLBERG,
  17. 17. TJOA; 2009). Mas mesmo aqueles perfis não muito convincentes,atualmente a aceitação de “amigos” tem se tornado fácil seja por satisfaçãoprópria e aumentar o número de amigos, seja por distração, seja pelaenganação. O motivo disto ocorrer muitas vezes é obscuro e muitaspessoas acabam nem checando o perfil destes “amigos” e muito menosdesconfiam deles, porém eles estão recebendo todas as atualizações dousuário. Então mesmo que a pessoa tenha se preocupado em ocultar asinformações ao público, o oportunista fazendo parte da rede social dousuário tem acesso a muitas informações importantes, bastando apenasfiltrar. Além disso, conforme são desenvolvidos cada vez mais recursospara as redes sociais, isso permite uma que os oportunistas se utilizemdeles também para benefício próprio. Como exemplo pode-se citar o bate-papo, páginas que permitem inserção de aplicativos com códigos maliciosose também a disponibilidade de links para páginas clonadas das redessociais (que imitam o comportamento e interface). Mas apesar desta facilidade encontrada pelas redes sociais, oengenheiro social sempre em constante evolução pode se utilizar deferramentas que facilitem ainda mais o seu trabalho e melhorem a eficáciana obtenção das informações antes mesmo de se utilizarem da engenhariasocial, como por exemplo, ferramentas que se utilizam de técnicas demineração de dados. Por este motivo, existe certo número de golpes de engenharia socialrealizado através da rede social, onde segundo uma pesquisa patrocinadapela Check Point Software através da Dimensional Research (2011), feitacom 850 profissionais da área de segurança de TI e em seis países,apontou que 39% dos golpes envolvendo engenharia social são realizadossobre as redes sociais públicas. É então importante configurar primeiramente a segurança da contapara serem exibidos os conteúdos somente para os amigos, evitando-seassim que muitas informações desnecessárias cheguem ao público. Além
  18. 18. disso, é importante verificar os indivíduos que solicitam a adição do perfildeles e permitir que ali estejam de fato os amigos. Depois das informações, é importante definir grupos especificadospelo usuário para que somente um ou mais grupos consigam visualizardeterminada informação ou determinado álbum de fotos. Com relação aos e-mails, é importante não ser surpreendido com umconteúdo de uma mensagem que diz conhecer o usuário, além do maiscomo está mapeado e catalogado, dificilmente será surpreendido. E assimclassificar como um spam para evitar maiores incômodos.
  19. 19. CONCLUSÃO O Maltego é uma ferramenta de mineração de dados viável e quepode ser utilizada na busca de informações a respeito do próprio internauta.Apesar das pesquisas apresentarem alguns dados irrelevantes e errôneos,a própria pessoa é capaz de identificar o que é relevante ou não para si e oque é ou não verdadeiro a respeito de si. No entanto esta ferramenta tem apenas o papel de auxiliar ointernauta no processo de mapeamento das informações disponível nainternet para que o mesmo saiba é possível de se encontrar na rede eassim ser possível tomar as possíveis providências, como se irá manter,retirar ou ocultar determinada informação. Tendo conhecimento disso,então, caso algum golpista tente uma aproximação com um usuário, estenão será surpreendido com o que ele escrever ou dizer, uma vez que ointernauta agora sabe que isso foi tirado de um local da internet (que ele viucom o auxílio do Maltego). Dessa forma torna-se possível verificar a viabilidade na utilização deuma ferramenta de mineração de dados, que no caso deste artigo é oMaltego, como um instrumento de prevenção contra a aproximação dosoportunistas que podem se utilizar da engenharia social para seaproveitarem dos internautas.
  20. 20. REFERÊNCIASANDRESS, J.; WINTERFELD, S.. Cyber Warfare: Techniques, tactics andtools for security practitioners. Waltham: Elsevier Inc, 2011. Disponível em:http://books.google.com.br/books?id=0oXL2u-Qmy0C&printsec=frontcover&hl=pt-BR&source=gbs_ge_summary_r&cad=0#v=onepage&q&f=false. Acessoem: 17 de junho de 2012.BULEY, T. When Everyone Can Mine Your Data: Maltegos open-sourceintelligence software brings data mining to the masses. [S.l.]: Forbes, 2008.Disponível em: http://www.forbes.com/2008/11/21/maltego-data-mining-identity08-tech-cz-tb_1121maltego.html. Acesso em: 29 de julho de 2012.CENGAGE LEARNING. Ethical Hacking and Countermeasures AttackPhases. Clifton Park, NY: EC-Council, 2010. Disponível em:http://books.google.com.br/books?id=HfGo_glzw-0C&printsec=frontcover&hl=pt-BR&source=gbs_ge_summary_r&cad=0#v=onepage&q&f=false. Acessoem: 17 de junho de 2012.CHECK POINT SOFTWARE TECHNOLOGIES LTD.. The Risk Of SocialEngineering On Information Security: A Survey Of IT Professionals. [S.l]:Dimension Research, 2011. Disponível em:http://www.checkpoint.com/press/downloads/social-engineering-survey.pdf.Acesso em: 27 de maio de 2012.CLIFTON, C.; MARKS, D.. Security and Privacy Implications of DataMining. [S.l.]: ACM SIGMOD Workshop, 1996. Disponível em:citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.28.891&rep=rep1&type=pdf. Acesso em: 17 de junho de 2012.
  21. 21. FONSECA, P. F. Gestão de Segurança da Informação: O Fator Humano.Curitiba, PR: Pontifícia Universidade Católica do Paraná, 2009. Disponívelem:http://www.ppgia.pucpr.br/~jamhour/RSS/TCCRSS08A/Paula%20Fernanda%20Fonseca%20-%20Artigo.pdf. Acesso em: 26 de mai. de 2012.FRISCH, A. Essential System Administration. 3. ed. Sebastopol, CA.:OReilly, 2002. Disponível em:http://books.google.com.br/books?id=uRW8V9QOL7YC&printsec=frontcover&dq=FRISCH,+A.+Essential+System+Administration&source=bl&ots=TCcoE6mukl&sig=QL8rGssUYTg3sDf0EnLnLDOhm-A&hl=pt-BR&sa=X&ei=vzcDUMuMD8rg0QGo2cikBw&ved=0CDcQ6AEwAA#v=onepage&q&f=false. Acesso em: 15 de jul. de 2012.HILVEN, A.. Did you want the world to know...?. Western Australia: EdithCowan University, [20-?]. Disponível em:http://www.somethingwith.be/uploaded_documents/CSG5104%20-%20Special%20Topic%201%20-%20Research%20Paper%20-%20Hilven.pdf. Acesso em: 17 de junho de 2012.HUBER, M.; KOWALSKI, S.; NOHLBERG, M.; TJOA, S. TowardsAutomating Social Engineering Using Social Networking Sites. [S.l]:IEEE International Conference on - Computational Science andEngineering, 2009. 3 v. 10.1109/CSE.2009.205. Disponível em:http://www.sba-research.org/wp-content/uploads/publications/2009%20-%20Huber%20-%20Towards%20Automating%20Social%20Engineering%20Using%20Social%20Networking%20Sites.pdf. Acesso em 22 de julho de 2012.LEE, W.; STOLFO, S.. Data Mining Approaches for Intrusion Detection.San Antonio, TX: Seventh USENIX Security Symposium, 1998. Disponívelem:
  22. 22. http://static.usenix.org/publications/library/proceedings/sec98/full_papers/lee/lee_html/lee.html. Acesso em: 17 de junho de 2012.MCAFEE. Uma Boa Década Para O Cibercrime: Uma AnáliseRetrospectiva Da McAfee Sobre Dez Anos De Cibercrime. [S.l.]: RelatórioMcAfee, 2010. Disponível em:http://www.mcafee.com/br/resources/reports/rp-good-decade-for-cybercrime.pdf. Acesso em: 25 de maio de 2012.MELO, E. G.; MARINS E SILVA, M. H.; VIANA, P. A.; COVAL, R. S.Tutorial de Uso Maltego 3.0.4: Data Mining. [S.l.]: Universidade Estáciode Sá, [20-?].MITNICK, K. D.; SIMON, W. L. A arte de enganar: ataques de hackers:controlando o fator humano na segurança da informação. São Paulo, SP:Pearson Education do Brasil, 2003.OSIRO, K. A. Estudo de segurança da informação com enfoque nasnormas da ABNT NBR ISO/IEC 17799:2005 e NBR ISO/IEC 27001:2006para aplicação no Senado Federal. Brasília, DF: Universidade deBrasília, 2006. Disponível em:http://www.senado.gov.br/sf/senado/unilegis/pdf/Monografia%20GTI/n.%C2%BA%20007-2006%20-%20Kendi.pdf. Acesso em 15 de jul. de 2012.PATERVA. Maltego Version 3 User Guide: Using the GUI. [S.l.]: Paterva,2011. Disponível em: http://www.paterva.com/malv3/303/M3GuideGUI.pdf.Acesso em: 27 de julho de 2012.PEIXOTO, M. C. P. Gestão de segurança da informação no contextoda vulnerabilidade técnica e humana inserida nas organizações.Uberlândia, MG: Centro Universitário do Triângulo, 2004. Disponível em:https://e3baea88-a-62cb3a1a-s-
  23. 23. sites.googlegroups.com/site/pedronunots/Home/academico-3/auditoria-de-seguranca-e-sistemas-de-informacao/artigos-relacionados/contexto_da_vulnerabil.pdf. Acesso em 15 de jul. de 2012.VARSALONE, J.; MCFADDEN, M.. Defense against the Black Arts: Howhackers do what they do and how to protect against it. Boca Raton, FL:CRC Press, 2011. Disponível em:http://books.google.com.br/books?id=v7f4BEoAEAMC&printsec=frontcover&hl=pt-BR&source=gbs_ge_summary_r&cad=0#v=onepage&q&f=false.Acesso em: 17 de junho de 2012.

×