ENGENHARIA SOCIAL: ESTUDO DE CASO ORKUT Autores: Edenilson de Melo, Fbio Cristiano Silva, Vagner Campeo Graduandos em Anlise

de Sistemas e Tecnologia da Informao com habilitao em Tecnlogo em Segurana da Informao FATEC Faculdade de Tecnologia de Ourinhos OURINHOS SP 17/11/201 1. INTRODUO Muito j se tem feito e pesquisado sobre inmeras formas de proteger contas, bem como manter sigilo de informaes de grandes empresas, alvos principais do sistema capitalista e ateno voltada pelas concorrncias. Porm ao passo que se avana nas melhores tecnologias para defender o patrimnio, ideias e feitos geniais contra estes j pe em risco toda a integridade e confidencialidade do rumo da empresa. A proposta desta obra ser apresentar a vulnerabilidade que software nenhum consegue proteger, aquela que leva em questo fragilidade humana, persuaso e persistncia, que consiste, muitas vezes, na entrega gratuita de senhas e formas de acessos, sigilosos. Trata-se da engenharia social, ou seja, convencer a vtima de que ela est segura e acessar uma pgina do seu interesse sem sequer perceber que esta sendo roubada. A engenharia social, de maneira simples, caracteriza-se por explorar essa fragilidade. Em outras palavras, consiste na habilidade de obter informaes ou acesso indevido a determinada rea ou sistema, utilizando tcnicas de persuaso (Popper, on-line). Para apresentar o seu uso prtico, far-se- o estudo de caso com a rede social Orkut, que at os ltimos anos era a rede social mais acessada e utilizada para guardar, entre outras, informaes sigilosas de mbito pessoal. Um passo a passo de como feito a invaso na ntegra, provando que qualquer usurio de internet mal intencionado pode fazer o uso dessa tcnica, mostrando o quanto importante manter-se atualizado no mundo digital para que no caia nesses golpes. 2. ENGENHARIA SOCIAL De acordo com o artigo 5 (da constituio federal) e inciso X so inviolveis a intimidade, a vida privada, a honra e a imagem das pessoais, assegurado o direito indenizao pelo dano material ou moral decorrente de sua violao. Trata-se de um ataque mal intencionado, cujo objetivo principal tomar posse de segredos, senhas ou tomar conhecimento da vida particular/privada de outrem. Estas e outras atividades com a mesma finalidades esto previstas em leis, e todo e qualquer praticante estar sujeito s punies legalmente cabveis. A engenharia social um dos meios mais utilizados de obteno de informaes sigilosas e importantes. Isso porque explora com muita sofisticao as falhas de segurana dos humanos (Emerson Alecrim, on-line).

Podemos dizer que a engenharia social um tipo de ataque utilizado por crackers, onde a principal arma utilizada a habilidade de lidar com pessoas, induzindo-as a fornecer informaes, executar programas e muitas vezes, fornecer senhas de acesso. Este tipo de invaso, tambm denominado phishing, no apenas passar-se por outra pessoa, mas tambm enviar uma srie de e-mails falsos, formulrio fraudulentos, anncios que do dinheiro ou que mudaro a sua vida. 3. MATERIAL Para a obra desenvolvida com este estudo de caso, fez-se uso da linguagem de programao PHP (bsico), noes bsicas de redes, servidores e hospedagem. Ser utilizada uma pgina fake, ou seja, uma cpia fiel da pgina do Orkut, onde a vtima ser convencida a fazer o login na mesma. A partir desta, ser acionada outra cpia do Orkut, mas desta vez com um script que ser capaz de armazenar os dados digitados no login, a partir desta etapa os dados da vtima j sero capturados. Os softwares necessrios para realizar este tipo de ataque so:

Mozilla Firefox (ou outro navegador de internet); Notepad++ (ou outro editor de texto especfico para linguagens de programao); XAMPP (ou outro servidor Apache (Web) e PHP); No-IP DUC + Conta no servidor; Conhecimentos linguagem PHP (ou outra para web)

Tambm ser criado um servidor para que hospede as pginas criadas (por isso o uso do XAMPP e No-IP). Neste caso ser montado um servidor para usurios de internet que possuem IP dinmico. As pginas tambm podero ser hospedadas em servidores online. Os softwares utilizados nesse trabalho so exemplos, podendo os mesmos ser substitudos por outros que desempenham a mesma funo. 4. INVASO A invaso por engenharia social, estudo de caso Orkut, consiste em quatro etapas: 4.1 Pgina Fake A priori o primeiro passo copiar o cdigo fonte da pgina original do Orkut, tornandoa fake. Basta abrir a pgina do Orkut (www.orkut.com) depois no navegador no menu Exibir, Cdigo Fonte. Conforme a figura:

Copie o contedo do cdigo-fonte e cole no editor de texto Notepad++, e salve o arquivo com o nome index.html. Ao abrir esse arquivo ele dever carregar uma pgina semelhante a do Orkut, conforme a figura:

Prximo a linha de n 348 ser aberto, em comando HTML, o Form que referencia a pgina de logon do Orkut. Trocaremos a pgina chamada pelo action por logon.php (pgina que ser criada no passo 2), isto , tudo o que for digitado nos campos e-mail e senha ao invs de ser autenticado no servidor do Orkut, ser recebido pela pgina em PHP criada, cujo fim armazenar a senha e e-mail digitados.

O contedo em destaque dever ser substitudo por logon.php. Conforme mostra a figura:

4.2 Pgina PHP Nesta etapa uma pgina em PHP ser criada que receber os dados do Form da pgina fake do Orkut. Para se aproximar mais da realidade, e fazer com que a vtima iluda-se, necessrio copiar o cdigo fonte da pgina do Orkut (conforme feito no passo anterior), s que desta vez a pgina resultante de um logon falho, para que a vtima acredite que errou ao logar. Conforme segue a figura:

Desta vez ser necessrio alterar o cdigo, inserindo as seguintes linhas de comandos PHP, para armazenar o que foi digitado em um arquivo de texto. Essas linhas devero ser inseridas logo no comeo do cdigo fonte.

Desta vez permanece a pgina do Orkut de Logon no Form, pois caso a vtima tenta novamente logar, obter sucesso, todavia sua senha fora capturada. O arquivo dever ser salvo com o nome logon.php. 4.3 Servidor Apache Para que o HTML e o PHP sejam interpretados e a pgina seja acessada na internet necessrio um servidor, que pode ser on-line ou local. Se for um servidor on-line, ambas as pginas criadas devero ser hospedadas em algum servidor que fornea o servio de interpretao da linguagem PHP (www.t35.com.br um exemplo de servidor grtis). Caso o servidor seja a sua prpria mquina siga os seguintes passos: Neste estudo ser criado um servidor para mquinas que se conectam na internet por IP Dinmico (servios ofertados pela Speedy, por exemplo). A mquina que hospedar a pgina tambm fornecer os requisitos necessrios para a compreenso do cdigo fonte em PHP. O XAMPP um software capaz de realizar essa funo, basta apenas installo e inicializar o servidor Apache, conforme a figura :

O XAMPP interpreta suas pginas no seguinte caminho: C:\Arquivos de programas\xampp\htdocs. (geralmente difere de computador para computador, depender do local/disco em que foi instalado). Crie um diretrio na pasta htdocs nomeando-o orkut e cole os dois arquivos criados anteriormente (inex.html e logon.php) dentro desse diretrio criado.

As ferramentas necessrias para capturar a senha do usurio (vtima) do Orkut esto prontas para serem usadas. Para verificar se a pgina esta funcionando, bem como o script em PHP abra um navegador e na URL digite http://127.0.0.1/orkut (localmente), a pgina fake criada dever aparecer. Insira um usurio e digite a senha (note que apenas um teste) e pressione Login. A pgina que se apresentar dever ser de um erro de Login, se reparar na pasta onde esto guardados essas duas pginas foi criado um arquivo senha nele est contida a senha digitada.

Este tipo de acesso foi realizado localmente, ou seja, somente o dono da mquina poder acess-la, ao menos que este servidor esteja on-line para que qualquer mquina da internet possa localiz-la e fazer o acesso pgina. Para isso necessrio ip.com/newUser.php. criar uma conta No-IP no site https://www.no-

Aps

criar

conta

fizer

login

encontre

link

Add

Host.

D um nome para a sua pgina (hostname) e escolha um domnio e depois clique em Create a Host (mantenha todas as informaes como DNS Host (A) e o IP). Esse cadastro juntamente com o software No-IP far com que a mquina seja acessada de qualquer lugar do mundo, sendo o host criado o nome do site e a atualizao do IP, uma vez dinmico, feito pelo software.

Conforme mostra a figura, o host criado orkut e o domnio escolhido bounceme.net, corresponder ao o IP da mquina cadastrada no site e a que esta usando o software, em outras palavras se digitar na URL do navegador http://orkut.bounceme.net/ acessar a pasta htdocs do XAMPP, se o apache estiver ligado. Porm para os usurios Speedy ou servios de internet semelhantes, a porta 80 (http web) bloqueada. Esse problema pode ser facilmente resolvido apenas trocando a porta Listen do XAMPP. Na linha 47 troque a porta 80 por alguma qualquer. Conforme a figura:

Neste momento a mquina hospedeira esta pronta para ser acessada de qualquer lugar do mundo (note que se e somente se a mquina estiver diretamente ligada internet, caso haja um roteador, ou ponto de acesso intermediando a comunicao ser necessrio mais uma configurao, especificando comunicaes da porta que voc escolheu para direcionar o trfego para o IP da sua mquina). No momento que o link http://orkut.bounceme.net:55455/orkut (sendo orkut o nome do host criado, bounceme.net o domnio escolhido, 55455 a porta escolhida para a comunicao e /orkut a pasta que dever ser acessada) for acionado ser acessado a pgina fake que foi criada no passo 1. 4.4 Engenharia Social Esta ltima etapa consiste em fazer com que a vtima seja convencida de que acessar a pgina que voc esta fornecendo seguro e esta livre de quaisquer tipos de ataque. Partindo dessa premissa basta usar da criatividade e utilizar de inmeras tcnicas de enganar a vtima. Por exemplo, passar-se por outra pessoa, cujo perfil agrade ou condiz

com os interesses da vtima, ou seja, falar de assuntos que a interesse, ou de gostos parecidos, de modo com que a mesma sinta-se segura. Ao passar o link para a vtima ela se deparar com a tela de logon do Orkut, e se o mesmo efetuar o login ter sua senha capturada no arquivo senha.txt. 5. COMO EVITAR Por se tratar muitas vezes da falha humana o remdio para este ataque a ateno. Sempre verificar os remetentes dos e-mails, jamais execute programas ou abra arquivos que voc no tenha solicitado, habilitar todas as ferramentas de segurana possveis como firewall e antivrus bem como mant-los atualizados, manter todas as atualizaes do sistema operacional em dia. Um banco jamais solicitaria informaes pessoais por email, portanto nunca clique em links duvidosos, se uma pgina realmente for segura ela oferecer certificado digital, basta reparar no campo URL o protocolo HTTPS, ou o cone de um cadeado no canto inferior do navegador. No acredite em todas as alertas que voc v, nem em anncios repentinos que garantam dinheiro fcil ou sucesso no amor, no confie em pop-ups e utilize navegadores atualizados, as novas verses vm acompanhadas o anti-phishing que alerta o usurio. A pgina criada nesse trabalho, por exemplo, no oferece certificado digital, portanto ateno, embora parea o Orkut esta no uma pgina segura. REFERNCIAS ALECRIM, Emerson; Ataques de Engenharia Social na Internet. Disponvel em <http://www.infowester.com/col120904.php> Acesso em: 22/04/2011. BLOG PULSO COMUNICAO; Dicas de como evitar o Phishing. Disponvel em: <http://blog.pulsocomunicacao.com.br/dicas-de-como-evitar-o-phishing/> Acesso em: 24/04/2011. DICAS WINDOWS INTERNET; Monte Um Servidor Internet No Seu Micro De Casa. Disponvel em: <http://www.vas-y.com/dicas/winDicas/xp/13a.htm> Acesso em: 22/04/2011. POPPER, Marcos Antonio; BRIGNOLI, Juliano Tonizetti; ENGENHARIA SOCIAL Um perigo Eminente. Santa Catarina ICPG Instituto Catarinense de PsGraduao. Disponvel em: <http://fabricio.unis.edu.br/SI/Eng_Social.pdf> Acesso em: 23/04/2011. TETERA, Eduardo; Como evitar phishing. Disponvel em: <http://teteraconsultoria.com.br/blog/como-evitar-o-phishing/> Acesso em: 24/04/2011