April 10, 2008 3:31 pm

Há algum tempo estou para postar alguns links interessantes, artigos e referências sobre engenharia social, segurança, etc. mas sempre me esqueço. Hoje enquanto trabalhava* (cof, cof) achei um link muito bom de um projeto chamado "HoneyPot". A idéia dos caras aparentemente é dificultar ataques a redes e esquemas de phishing a usuários, como diz um dos textos do site:

"Diante desta necessidade, este projeto propõe a criação de um módulo para a ferramenta Honeyperl, cujo objetivo é simular o serviço Telnet para a captura de assinaturas de ataques bem como criar um serviço falsamente vulnerável objetivando distrair atacantes de uma rede real. Dessa forma, os resultados obtidos apontam para a necessidade de haver mecanismos de segurança a garantir que os dados presentes em determinadas redes possam trafegar com maior confiabilidade, diminuindo prováveis riscos de ataques."

Site: http://www.honeypot.com.br/

Outro site interessantíssimo é o 3ngs. Sim, em leet, de Engineer. É um site muito rico em artigos sobre técnicas de persuasão, engenharia social e categorias de ataques. Contém apostilas, livros em PDF, softwares e mais um caminhão de coisas para você iniciar na arte de enganar hehe. Site: http://www.3ngs.br.tc/  Aproveitem o máximo do site, porque vale a pena.

Algumas informações interessantes também podem ser encontradas em comunidades de engenharia social no orkut. Indico algumas aqui, das que tem um conteúdo melhor, mas as comunidades agregadas como "5.9", "SEing Masters", "Businessman" e afins, apesar de menores tem conteúdo bem interessante também.
Seguem os links:

• Engenharia Social: http://www.orkut.com/Community.aspx?cmm=1104126
• Engenharia Social Brasil: http://www.orkut.com/Community.aspx?cmm=79542
• Um tópico interessante sobre uma técnica de Engenharia Social: http://www.orkut.com/CommMsgs.aspx?cmm=11064665&tid=2593543682759564877&start=1

Há também no YouTube uma série de vídeos denominada como "DefHack" que além de serem em português, trazem ótimas lições e informações sobre métodos de engenharia social com exemplos, táticas, serviços, segurança de informações, etc., na aplicação de engenharia social em ambientes corporativos, por exemplo. Abaixo, link com o vídeo número 4, que achei bem interessante. Os vídeos relacionados trazem os demais números da série.

 E alguns links com artigos que falam sobre o QUE É a Engenharia Social, porque você pode ser um leitor que caiu de para-quedas aqui e não está entendendo nada do que eu estou falando:

• Os vírus e a engenharia social
• O que é a engenharia social I
• Kevin Mitnick sobre engenharia social
• Engenharia Social na Wikipédia

April 8, 2008 9:41 pm

Recentemente presenciei uma n00bagem sem tamanho, das maiores que eu já vi na internet e que não foram publicadas no pérolas do orkut hehe. O lance é que graças ao advento da maldita inclusão digital e da popularidade das redes sociais, hoje em dia qualquer macaco pode criar um fake. E não há nada de mal nisso, há?

Tecnicamente não deveria haver nada de ruim em ser um fake, afinal ele existe ou para fuçar outros amiguinhos ou para infernizar amiguinhos. De qualquer forma o fake serve exclusivamente para esconder a cara do imbecil que o controla, certo? Sendo assim, se a identidade do fake for revelada e o dono do fake for facilmente descoberto, a existência do fake é inútil, graças a incompetência do dono, ok? Isso é deveras vergonhoso. Provavelmente o dono do fake deve sentir vontade de sumir da realidade.

Tendo isso em vista, usarei exemplos da realidade para mostrar a vocês o que vocês não devem fazer ao criar e usar um fake. 

Bom, vamos as regras óbvias:

1. Nunca crie um fake um e-mail que tenha seu nome.
2. Nunca crie um fake um e-mail que tenha seu nome, que seja pessoal, de uso comum seu. Não seja imbecil. Repita isso como um mantra.
3. Não entre em comunidades que o seu perfil original está. Ninguém é tão imbecil quanto você pensa, pequeno gafanhoto, e logo as pessoas vão associar você ao fake. Aliás, só faça isso se quiser incriminar alguém (6).
4. A regra 3 é amplamente aplicada a gostos, costumes, manias de escrita, etc. Não seja "você" enquanto usa seu fake para infernizar os outros. Se está desocupado o bastante para fazer isso, ao menos se dê o trabalho de não se parecer nem um pouco com você mesmo e evitar que te desmascarem.
5. Se mentir uma vez, mantenha essa mentira. Ou seja, minta pouco mas minta bem. Nada melhor do que uma mentira mal contada para desmascarar um fake.

Passadas as regras básicas, vamos a exemplos da vida real:
Recentemente um fake surgiu numa comunidade aleatória da qual participo ativamente no orkut. Não que seja novidade aparecerem fakes por aquelas bandas, mas o que chamou atenção foi a facilidade do self-owned do pobre diabo. Chegou, xingou duas ou três pessoas e enfim, logo tropeçou no próprio pé e alguém sacou quem era o dono do fake… ou não.

O interessante desse caso é como foi a reação do imbecil. O efeito dominó começou quando algum outro fake (maledeto que roubou minha idéia) acusou o possível culpado (ou pelo menos amigo dos culpados).

A acusação foi feita num dia 14, como podemos ver aí na data.

Eis que começa o self-owned:

2 dias depois o próprio fake surge usando um jargão de viado, afirmando que não era o fake do acusado. Hm, estranho.

E então os amigos do acusado decidem mostrar que o e-mail (que pode ser trocado a qualquer momento no orkut) não é o do acusado. Ok…

Até aí nada de errado se ninguém analisar muito profundamente isso, right? Então vamos para o xeque-mate:

Bom, foi uma boa observação de nosso amigo fake II. O cara (ou mulher, vai saber… hehe) conseguiu, numa tacada só, fazer  tudo o que um fake NÃO deve fazer.
A) Xingar ou referir-se a si mesmo repetidas vezes, caso seu profile original participe da mesma comunidade que seu fake.
B) Quando viu que a bomba estourou, se preocupou em adicionar todos os membros da comunidade para provar que não era o acusado. Mas… perae: Se você fosse um fake e tivesse um infeliz sendo acusado em seu lugar, você ficaria feliz em não ter ninguém na sua cola desconfiando de você, certo? Então ter uma vítima para ser acusada de ser seu fake é bom, não? Claro que é. Mas o babaca não se ligou nisso. Parabéns!

Então caros desocupados, atentem a estes detalhes quando forem se dar ao luxo de fazerem um fake para o que quer que seja. Se não souber disfarçar, use o que melhor sabefazer: fique quieto.
Ah esses usuários… o que seria de mim se não existisse usuários para me fazerem rir?

March 9, 2008 4:11 pm

Dia desses estava lembrando de filmes que abordam temas tecnológicos e de engenharia social que podem ajudar e dar uma noção melhor do tema e de como agem os tais "engenheiros sociais".

- Prenda-me se for capaz.
Esse sem dúvida é um dos melhores do gênero Engenharia Social. O protagonista do filme age na melhor performance de um engenheiro, usa e abusa da lábia e da simpatia, falsifica tudo o que é necessário e não deixa pontas soltas para uma possível acusação. Ótimo filme.

 - Piratas do Vale do Silício
É um filme deveras difícil de achar em locadoras, mas se acharem, aluguem e vejam NOW. O filme mostra como Bill Gates e Steve Jobs chegaram ao ápice e revolucionaram o mundo com a informática. Atentem para o comportamento do Bill Gates, apesar de o Jobs ser mais simpático, o engenheiro social é o Gates.

- Menina Má.com
Ok, o filme tem um nome de merda, uma capa pouco chamativa e parece ser mais um daqueles filmes que mostram a internet como coisa do diabo, etc. Ignorem isso. O filme basicamente mostra como uma menina esperta usa de sua lábia para pegar um suspeito, convencê-lo de que ela era legal, enganá-lo usando coisas que ele provavelmente gostaria de ver em uma pessoa, tudo pela internet e depois ferrar o infeliz ao vivo. Bacana.

- Obrigado por fumar
Apesar de ser um filme que não tem nada a ver com tecnologia propriamente, é um dos melhores no quesito "saber convencer". Está no meu Top 10 de filmes.

-  Johnny Mnemonic
O filme é de 1995, mas deve ser mais fácil de achar que o Piratas do Vale do Silício. Keanu Reeves (oi?) é um cyborgue que consegue guardar informações em sua cabeça e precisa mantê-la a qualquer custo e enfim… cenário cyberpunk com boas pitadas de teoria da informação.

- Matrix I
Dispensa apresentações, o primeiro é o melhor e mais valioso, tanto pelo conceito quanto pela viagem teorica que ele pode gerar. Depois de ver o filme, leiam algum livro do Pierre Levy. Cibercultura é o mais aconselhado.

- A senha: Sworfish
Apesar de ser um filme pouco realista no âmbito da informática (afinal o cara hackeia com um vírus 3D, pelamordedeus…) vale a pena  por se tratar de um filme de tecnologia.

- 13º Andar
Um grupo de cientistas tenta criar uma realidade virtual no 13º andar de um prédio, as pessoas estão em outra realidade e esta afeta a real as vezes. Enfim, é um bom filme, apesar de antigo, para mostrar conceitos da época sobre jogos, realidade virtual e afins.

- Caçada Virtual
Apesar de não ter visto esse filme ainda, sei que se trata de Kevin Mitnick, melhor phreacker, hacker e engenheiro social e um dos mais procurados de todos os tempos, e de como ele foi capturado. Mais em: http://epipoca.uol.com.br/filmes_detalhes.php?idf=11147

Me lembrei apenas desses filmes, se lembrar mais, farei outro post. E então, divirtam-se!

September 18, 2007 4:54 am

Essa não me surpreendeu.(inglês)

Logo depois de eu escrever um post falando sobre como crackers(crackers, não hackers) podem se aproveitar da estupidez de usuários para invadir e/ou danificar um sistema, vem do slashdot.org essa informação de que o Computer Security Institute descobriu que, esse ano, usuários causaram mais danos que vírus. Claro, o artigo é rápido em afirmar que o estudo pode é seriamente baseado em chutes e em pesquisas mal-elaboradas (vulgo "informais"), mas não deve ser imediatamente descartado: como diz o autor do post, esse resultado representa uma mudança em uma tendência que já tinha 5 anos. Por cinco anos, os autores do estudo concluíram que vírus eram o maior problema. Esse ano, a culpa caiu na cabeça dos reais culpados, os usuários.

E, na real, vírus são na maior parte do tempo culpa de usuários, e que raça problemática é essa. São pessoas que executam qualquer coisa e que não lêem mensagens de erro. Qual é a surpresa que eles sejam o maior problema de segurança nas empresas? Eu nem entendo essa distinção de categorias, entre "usuários" e "vírus". A maioria dos vírus precisa que um otário o execute antes de começar a fazer estrago, ao menos os que eu conheço (sacumé, eu uso linux agora, e vírus não me preocupam muito)(morram de inveja, seus perdedores-de-hd-buá-eu-não-tinha-backup). Considerando que vírus causam estragos REALMENTE grandes em uma empresa (experimente passar o dia reinstalando windows/office/antivírus/outrascoisas e você vai começar a ter noção). E nem são só vírus, tem também spywares, keyloggers, e seiláoquemais que um usuário consegue instalar e, pra esconder suas travessuras ("EU não tenho pornografia no meu pc", "EU não entrei em sites de cassinos virtuais!" e afins), deixam lá mesmo, sem avisar o pessoal do suporte técnico.

E tem mais um detalhe: eles não aprendem. Clicam no vírus, se ferram bonito, e logo estão prontos pra clicar em outro! Não é a toa que phishing tem se tornado uma praga cada vez maior. Por falar em phishing, clique aqui pra ver nossas fotos daquela festa!

September 16, 2007 5:07 am

Ok, eu acho melhor escrever algo antes de acabar expulso por inatividade…

 Engenharia social. Cara, eu adoro esse tópico, sabiam? E eu adoro porque ele mexe com a mais poderosa fonte energética do universo: a estupidez humana. É difícil de acreditar em quantas coisas as pessoas acreditariam apenas pelo prazer da sensação de estar levando vantagem. Exempli gratia: nos meus idos tempos de suporte técnico na saudosa Brasfumo, certa vez, eu recebi um e-mail de um gerente (não lembro qual, mas lembro que era gerente porque era alguém a quem eu tinha que responder sem sarcasmo e com respeito, apesar da mensagem) que encaminhava uma mensagem e perguntava se era verdade. A mensagem dizia algo como "O Bradesco (ou outra vítima) está oferecendo à você R$10.000 para adquirir a sua casa própria, caso você se torne cliente blablabla" ou algo assim.

Estupidez humana, meus caros. Uma das mais poderosas forças para manipular alguém. Peguem o exemplo desse gerente: a mensagem era obviamente falsa, um macaco poderia dizer isso, e ainda assim uma parte do cérebro dele fez com que surgisse uma ponta de dúvida, um "será verdade?". Não, não é verdade, mas a mentira era tão grande e tão tentadora que ele não pôde evitar. É um impulso poderoso, esse, e muito bem aproveitado. Um bom mentiroso sabe manipular esse bug na estrutura lógica humana para o mais nobre dos objetivos: separar idiotas do seu dinheiro.

September 6, 2007 9:17 pm

Achei dia desses meu e-mail pessoal numa lista de spam pelo google. Notei que estava num txt tosco para testes. TESTES! OMFG.

O spammer vadio que, provavelmente, é um script kiddie, fez um sisteminha vagabundo em PHP para enviar ciladas de links .exe e disponibilizou tudo em seu servidor. Ou seja, todo lammer que testar a bagaça, vai enviar o spam para meu e-mail.

ADOREI (L)!

Fiquei tão feliz, mas tão feliz, que decidi foder esse cara com areia e vidro moído. A partir de hoje, caros amigos, vocês vão acompanhar passo a passo minha vingança sadia contra o spammer desgraçado.

Passo 1: Fingindo a naturalidade 

Vou enviar um e-mail para ele, por um gmail. Farei um fake de um pivetinho nerd inteligente com muita vontade de aprender a spammear, assim como ele. Em breve ele será adicionado no MSN fake. Os logs serão colados aqui hehe. Esperem para ver  

August 21, 2007 2:01 pm

Notícias recentes*** que eu recebi da honey por e-mail:

"Iludido por amor virtual, australiano que foi seqüestrado faz alerta
Um agricultor australiano que foi seqüestrado e espancado depois de se deixar iludir por um relacionamento falso via internet pediu que as pessoas sejam cuidadosas em sua busca de amor on-line."
Mais em: http://www1.folha.uol.com.br/folha/informatica/ult124u320083.shtml

"Internauta vê que "mulher ideal" é homem e vai à Justiça em Taiwan
Um jovem de Hong Kong que conheceu pela internet a sua "mulher ideal" descobriu, após viajar até Taiwan para ver a namorada, que ela era um homem de 19 anos. A curiosa notícia foi divulgada pela rede de televisão taiuanesa TVBS."
Mais em: http://www1.folha.uol.com.br/folha/informatica/ult124u319880.shtml

Reparem que em ambos os casos as vítimas acreditaram cegamente no interlocutor que mesmo que não soubesse, é um engenheiro social de primeira.
O que prova mais uma vez que basta fazer um personagem na web pra enganar meia dúzia de desesperados hohoho (6).

August 7, 2007 4:50 am

Dica de engenharia social: você não precisa mentir, precisa apenas ignorar a verdade por algum tempo.