Chapeuzinho Vermelho e o lobo cibercrimininoso

Os contos de fadas são uma fonte de sabedoria, mas poucos os usariam para ensinar às crianças o básico sobre cibersegurança. Bom, você poderia!

Como você explicaria os conceitos de segurança da informação para seus filhos? A probabilidade é quase nula: o assunto seria evitado. Alguns desistem de tornar a segurança da informação acessível e apenas proíbem as crianças de fazerem algumas coisas online – ou mesmo de usar a Internet em geral. Mas proibição sem explicação é contraproducente, aumentando, provavelmente, o estímulo das crianças em irem buscar o que não é permitido.

Em resposta à pergunta “Por que não conversar com seus filhos sobre ciberameaças e como a segurança da informação funciona?”, os pais, que podem não ter a melhor noção sobre os conceitos, tendem a ficar frustrados e desistir (não necessariamente nessa ordem). Mas tudo já foi explicado. Você pode não perceber, mas muitos livros sobre cibersegurança para crianças foram escritos há centenas de anos. Você os conhece como contos de fadas. Tudo que você precisa fazer é ajustar um pouco o foco.

Chapeuzinho Vermelho

Veja, por exemplo, Chapeuzinho Vermelho. É um conto de fadas muito conhecido que foi repetidamente contato por eminentes especialistas em cibersegurança como os Irmãos Grimm, Charles Perrault e muitos outros. As várias versões da história podem ser um pouco diferentes, mas o enredo básico é o mesmo. Vamos dar uma olhada passo a passo no que acontece.

1. Mamãe manda sua filha visitar a vovó com uma cesta de guloseimas.
2. Chapeuzinho Vermelho encontra o lobo, que pergunta: “Onde você está indo?”
3. Chapeuzinho Vermelho responde: “Vou ver a vovó e dar uma cesta de guloseimas para ela”.

As implicações de cibersegurança são claras desde o início – aqui, você pode explicar o procedimento de handshake, que é o processo de estabelecer comunicação entre duas partes e, juntos, observar as ameaças relacionadas.

Agora, Chapeuzinho Vermelho foi programada para bater na porta da vovó, receber uma pergunta “Quem está aí?” e responder com uma senha sobre a mamãe enviando guloseimas para que a vovó possa prosseguir com a autorização e conceder acesso à casa. Mas, por algum motivo, ela fornece a senha para uma solicitação aleatória, sem ter recebido a pergunta “Quem está aí?”. Isso dá ao invasor uma abertura para o ataque.

4. Dependendo da versão do conto de fadas do firmware, o lobo encaminha chapeuzinho vermelho a um desvio ou sugere que ela colha algumas flores para a vovó.

De qualquer forma, é um tipo de ataque de negação de serviço (DoS). Se o lobo tentar entrar na casa da vovó após a chegada de Chapeuzinho Vermelho, é improvável que ele entre; o visitante esperado já está no local. Portanto, é importante que ele coloque a chapeuzinho vermelho fora de serviço por um tempo, para que ela não possa concluir sua tarefa dentro do prazo.

5. De qualquer forma, o lobo é o primeiro a chegar à casa da vovó e efetuar login, respondendo corretamente à pergunta “Quem está aí?”. E a avó lhe concede acesso à casa.

Esta é uma versão quase manual de um ataque Man-in-the-Middle (MitM) usando o método de ataques de repetição (embora no nosso caso, Wolf-in-the-Middle seja mais preciso). O lobo entra no canal de comunicação entre duas partes, aprende o procedimento de handshake, a senha do cliente e reproduz ambos para obter acesso ilegal ao servidor.

6. O lobo engole a vovó, veste a camisola e deita na cama debaixo de um cobertor.

Em termos contemporâneos, ele está criando um site de phishing. Tudo parece verdadeiro da porta – a cama da vovó está lá, alguém semelhante à vovó está deitado nela.

7. Depois de se aproximar da casa e receber a pergunta “Quem está aí?”, Chapeuzinho Vermelho dá a senha sobre os doces que ela trouxe.

Esta é uma continuação do ataque do MitM, só que agora o lobo, que aprendeu a segunda parte do procedimento de troca de informações, imita o comportamento normal do servidor da avó. Chapeuzinho Vermelho, não vendo nada de suspeito, entra, ou faz o login.

8. Ela entra na casa e pergunta em voz alta por que a avó tem orelhas, olhos e dentes tão grandes. Perguntas inteligentes, mas no final, satisfeitas com as explicações desarticuladas do lobo, ela se conecta … e é comida.

Na vida real, como neste conto de fadas, os sites de phishing raramente são 100% convincentes e geralmente contêm elementos duvidosos, como um hiperlink suspeito. Para evitar problemas, vale a pena estar atento: se, por exemplo, o nome de domínio da avó estiver saindo da sua touca de dormir, abandone a navegação site imediatamente.

Chapeuzinho Vermelho vê algumas inconsistências, mas, infelizmente, ela as ignora. Aqui, você deve explicar ao seu filho que o comportamento de Chapeuzinho Vermelho é descuidado e dizer o que ela deveria ter feito.

9. Felizmente, um grupo de lenhadores aparece (ou caçadores em algumas versões), abre o lobo e a vovó e a Chapeuzinho Vermelho surgem milagrosamente sãs e salvas.

É fato que os paralelos com a segurança da informação são imperfeitos. Você não pode abrir um cibercriminoso para restaurar dinheiro, reputação ou segurança. Bem, para ser justo, não tentamos. E, só para constar, não estamos de forma alguma associados a alguém que já tenha feito.

Cibersegurança em outros contos de fadas

Os contos de fadas contêm lições de vida, e provavelmente haverá algum aprendizado sobre cibersegurança em qualquer um deles – o principal ponto é interpretar corretamente. Em Os Três Porquinhos, por exemplo, vemos um script que usa uma ferramenta de bufar e bufar para ataques de força bruta. A rainha da neve instala malware em forma de espelho encantado em Kai e assume o controle dele, da mesma maneira que uma ferramenta de acesso remoto (RAT) fornece um nível interno de controle do sistema a um criminoso externo.

Por sua vez, o Gato de Botas é basicamente um relatório detalhado sobre um ataque APT muito sofisticado, no qual o gato primeiro sequestra a infraestrutura do ogro e, depois de estabelecer sua presença, faz um acordo fraudulento com o governo local mediante a um esquema complexo envolvendo serviços de reputação.