Engenharia social e a superexposição da Internet
Boa noite galera.
Todos nós achamos comodo o fácil acesso a meios de informação e divulgação tal como a Internet. GMail, GTalk, Orkut, MSN, MySpace, etc.. Porém, estamos nos esquecendo que, como já dito por Tio Ben em SpiderMan #1, ``grandes poderes trazem grandes responsabilidades''.
Recebi hoje um e-mail que tinha como assunto ``URGENTE POR FAVOR NÃO DEIXE DE LER''. A primeira vista seria classificado como um FUD e removido imediatamente, mas, como o remetente era meu pai eu resolvi ler pra ver em que tipo de besteira fictícia ele acredita :) . Quando comecei a ler, vi que devo dar mais atenção as ficções Internéticas. Tal e-mail tinha como corpo da mensagem um aviso sobre um tipo de ataque em que os atacantes se passavam por outros pedindo emprestimos pessoais por causa de uma necessidade financeira e todo aquele blá blá blá... FUD? Eu não sei, nem me dei ao trabalho de verificar.
E o que me fez tão espantado?
A exatamente dois messes venho estudando mecanismos que os sites utilizam para prover recuperação de senhas as seus usuários. Alguns mecanismos utilizam as informações providas pelos usuários no momento do cadastro da conta e uma pergunta com resposta secreta. Muitos podem pensar: ``PERFEITO''. Lembrem-se do título: superexposição.
Para provar a efetividade desses mecanismos efetuei dois "estudos de caso". Selecionei dois e-mails da minha lista de contatos, informei-os, e fui a campo tentar "recuperar" suas senhas. Sei que meu espaço amostral tá minusculo mas não estou fazendo uma análise quantitativa do problema, apenas uma prova de conceito.
Através de informações do perfil do MSN, Orkut, MySpace e outros, consegui todas as informações necesárias - incluse a resposta - a recuperação das senhas de seus e-mails. Tal abordagem é conhecida no mundo da segurança como engenharia social. Consiste na exploração da ingenuidade humana na tentaviva de coletar informações previlégiadas e/ou elevação de previlégios.
Mais uma vez, cabe alertar a todos que evitem expor informações preciosas em meios de divulgação pulblico tais como os citados acima. Recomendo alguns testes:
1) Vá ao buscador do google. Digite seu próprio endereço de e-mail.
2)Vá mais uma vez ao google. Digite seu nome completo.
3) Vá mais uma vez ao google. Digite seu nome completo mais a palavra cpf.
4) Vá mais uma vez ao google. Digite seu nome completo mais a palavra rg.
5) Vá ao orkut. Autentique-se com um usuário diferente. Leia seu perfil complero.
gostou dos resutados?
ps: leiam os FUD's!!! :)
Boa noite galera.
Todos nós achamos comodo o fácil acesso a meios de informação e divulgação tal como a Internet. GMail, GTalk, Orkut, MSN, MySpace, etc.. Porém, estamos nos esquecendo que, como já dito por Tio Ben em SpiderMan #1, ``grandes poderes trazem grandes responsabilidades''.
Recebi hoje um e-mail que tinha como assunto ``URGENTE POR FAVOR NÃO DEIXE DE LER''. A primeira vista seria classificado como um FUD e removido imediatamente, mas, como o remetente era meu pai eu resolvi ler pra ver em que tipo de besteira fictícia ele acredita :) . Quando comecei a ler, vi que devo dar mais atenção as ficções Internéticas. Tal e-mail tinha como corpo da mensagem um aviso sobre um tipo de ataque em que os atacantes se passavam por outros pedindo emprestimos pessoais por causa de uma necessidade financeira e todo aquele blá blá blá... FUD? Eu não sei, nem me dei ao trabalho de verificar.
E o que me fez tão espantado?
A exatamente dois messes venho estudando mecanismos que os sites utilizam para prover recuperação de senhas as seus usuários. Alguns mecanismos utilizam as informações providas pelos usuários no momento do cadastro da conta e uma pergunta com resposta secreta. Muitos podem pensar: ``PERFEITO''. Lembrem-se do título: superexposição.
Para provar a efetividade desses mecanismos efetuei dois "estudos de caso". Selecionei dois e-mails da minha lista de contatos, informei-os, e fui a campo tentar "recuperar" suas senhas. Sei que meu espaço amostral tá minusculo mas não estou fazendo uma análise quantitativa do problema, apenas uma prova de conceito.
Através de informações do perfil do MSN, Orkut, MySpace e outros, consegui todas as informações necesárias - incluse a resposta - a recuperação das senhas de seus e-mails. Tal abordagem é conhecida no mundo da segurança como engenharia social. Consiste na exploração da ingenuidade humana na tentaviva de coletar informações previlégiadas e/ou elevação de previlégios.
Mais uma vez, cabe alertar a todos que evitem expor informações preciosas em meios de divulgação pulblico tais como os citados acima. Recomendo alguns testes:
1) Vá ao buscador do google. Digite seu próprio endereço de e-mail.
2)Vá mais uma vez ao google. Digite seu nome completo.
3) Vá mais uma vez ao google. Digite seu nome completo mais a palavra cpf.
4) Vá mais uma vez ao google. Digite seu nome completo mais a palavra rg.
5) Vá ao orkut. Autentique-se com um usuário diferente. Leia seu perfil complero.
gostou dos resutados?
ps: leiam os FUD's!!! :)
posted by Pedro Arthur Duarte (aka JEdi) at
20:02
0 Comments:
Postar um comentário
<< Home