sexta-feira, 24 de junho de 2011

Na dúvida, não faça download

As últimas notícias sobre (supostos) vazamentos de informações, roubados por grupos de hackers, tem ocupado boa parte dos portais e jornais brasileiros. Possivelmente será a próxima capa de Veja, Época e/ou Isto É.


Será que descobriram minha senha? E se alguém invandir minha conta do banco? Descobriram até os dados da presidente, e agora???


Entendo que esses fatos mexem com o imaginário da população acostumada a fazer seu post diário no orkut, facebook ou twitter, pagam suas contas ou fazem compras pela internet. No entanto, muita coisa precisa ser esclarecida.


Primeiro é preciso ter a clareza sobre a diferença entre derrubar (tirar do ar) um site e invadí-lo. Sobrecarregar um site de acessos simultâneos não é a tarefa mais difícil do mundo, muito menos novidade desde que a internet foi criada.


Com uma rápida consulta ao Wikipedia é possível saber que uma das ferramentas criadas para isso surgiu em 1998.


Yahoo!, Amazon.com, e tantos outros sites foram derrubados com a mesma técnica. O que mudou para os ataques recentes?


Aparentemente não há novidade, pois a técnica é a mesma e os objetivos também.


Ok, derrubaram o site e divulgaram vários dados sigilosos. Eram realmente sigilosos? Foram de fato extraídos de sistemas invadidos?


A lógica para uma invasão de sistemas é exatamente a mesma para o roubo de um carro ou de uma casa: a vítima é sempre a com maior potencial de vulnerabilidade. Isso inclui o uso de senhas fáceis, uso inadequado das ferramentas de proteção, não configuração de sistemas de segurança...a lista é grande.


No entanto, antes de imaginar uma espetacular invasão aos sistemas da Presidência da República ou da Receita Federal, cabe a pergunta: qual é a fonte dos dados?


Obter o CPF, nome completo e endereço é uma tarefa simples. Alguém lembra da história de vazamento de dados de certos candidatos durante as eleições? Na época foi especulado que funcionários de uma delegacia da Receita Federal tinha divulgado os dados. Alguém sabe como terminou a investigação sobre isso? Se alguém souber, me conte.


Relembrei esse episódio para falar do item mais frágil de qualquer sistema: o usuário. Os dados que supostamente foram obtidos por uma invasão podem ter sido simplesmente obtidos com funcionários ou prestadores de serviço com acesso a eles. Simples assim.


Ninguém precisou invandir a conta do caseiro Francenildo para conseguir o extrato. Bastou conversar com quem tinha acesso ao sistema.


Para quem não quiser gastar muito tem a opção de conseguir milhares de informações em cds vendidos na região de Santa Efigênia no centro de São Paulo.


O que mais me chamou nessa história toda foi o fato das pessoas baixarem os arquivos com os dados. E sites oferecendo a opção de consultar se a sua conta de e-mail foi uma das contempladas. Ninguém pensou, por um único instante, que esses arquivos poderiam estar infectados com vírus? Ou com algum worm para usar o seu computador em mais um dos utilizados para sobrecarregar os sites com acessos simultâneos?


A forma mais utilizada para roubar senhas é o envio de e-mails chamativos para baixar arquivos fofos ou pornográficos. O jeito mais elementar de conseguir roubar uma informação continua fazendo vitimas e o que mais me impressiona é o quanto as pessoas estão despreparadas para lidar com isso.


Em março de 2000 um artigo publicado no Terra falava que ninguém estava 100% seguro na rede e tirando o fato dele falar em Windows 98 e ICQ, as dicas para evitar problemas continuam sendo válidas. Na dúvida, não faça download.



Nenhum comentário: