September 18, 2007 4:54 am

Essa não me surpreendeu.(inglês)

Logo depois de eu escrever um post falando sobre como crackers(crackers, não hackers) podem se aproveitar da estupidez de usuários para invadir e/ou danificar um sistema, vem do slashdot.org essa informação de que o Computer Security Institute descobriu que, esse ano, usuários causaram mais danos que vírus. Claro, o artigo é rápido em afirmar que o estudo pode é seriamente baseado em chutes e em pesquisas mal-elaboradas (vulgo "informais"), mas não deve ser imediatamente descartado: como diz o autor do post, esse resultado representa uma mudança em uma tendência que já tinha 5 anos. Por cinco anos, os autores do estudo concluíram que vírus eram o maior problema. Esse ano, a culpa caiu na cabeça dos reais culpados, os usuários.

E, na real, vírus são na maior parte do tempo culpa de usuários, e que raça problemática é essa. São pessoas que executam qualquer coisa e que não lêem mensagens de erro. Qual é a surpresa que eles sejam o maior problema de segurança nas empresas? Eu nem entendo essa distinção de categorias, entre "usuários" e "vírus". A maioria dos vírus precisa que um otário o execute antes de começar a fazer estrago, ao menos os que eu conheço (sacumé, eu uso linux agora, e vírus não me preocupam muito)(morram de inveja, seus perdedores-de-hd-buá-eu-não-tinha-backup). Considerando que vírus causam estragos REALMENTE grandes em uma empresa (experimente passar o dia reinstalando windows/office/antivírus/outrascoisas e você vai começar a ter noção). E nem são só vírus, tem também spywares, keyloggers, e seiláoquemais que um usuário consegue instalar e, pra esconder suas travessuras ("EU não tenho pornografia no meu pc", "EU não entrei em sites de cassinos virtuais!" e afins), deixam lá mesmo, sem avisar o pessoal do suporte técnico.

E tem mais um detalhe: eles não aprendem. Clicam no vírus, se ferram bonito, e logo estão prontos pra clicar em outro! Não é a toa que phishing tem se tornado uma praga cada vez maior. Por falar em phishing, clique aqui pra ver nossas fotos daquela festa!

September 16, 2007 5:07 am

Ok, eu acho melhor escrever algo antes de acabar expulso por inatividade…

 Engenharia social. Cara, eu adoro esse tópico, sabiam? E eu adoro porque ele mexe com a mais poderosa fonte energética do universo: a estupidez humana. É difícil de acreditar em quantas coisas as pessoas acreditariam apenas pelo prazer da sensação de estar levando vantagem. Exempli gratia: nos meus idos tempos de suporte técnico na saudosa Brasfumo, certa vez, eu recebi um e-mail de um gerente (não lembro qual, mas lembro que era gerente porque era alguém a quem eu tinha que responder sem sarcasmo e com respeito, apesar da mensagem) que encaminhava uma mensagem e perguntava se era verdade. A mensagem dizia algo como "O Bradesco (ou outra vítima) está oferecendo à você R$10.000 para adquirir a sua casa própria, caso você se torne cliente blablabla" ou algo assim.

Estupidez humana, meus caros. Uma das mais poderosas forças para manipular alguém. Peguem o exemplo desse gerente: a mensagem era obviamente falsa, um macaco poderia dizer isso, e ainda assim uma parte do cérebro dele fez com que surgisse uma ponta de dúvida, um "será verdade?". Não, não é verdade, mas a mentira era tão grande e tão tentadora que ele não pôde evitar. É um impulso poderoso, esse, e muito bem aproveitado. Um bom mentiroso sabe manipular esse bug na estrutura lógica humana para o mais nobre dos objetivos: separar idiotas do seu dinheiro.

August 7, 2007 4:50 am

Dica de engenharia social: você não precisa mentir, precisa apenas ignorar a verdade por algum tempo.