Muito se tem falado sobre segurança de dados na área da informática. Programas de criptografia de dados, firewalls, regras de cadastro em sites e novas ferramentas são criadas e/ou melhoradas todos os dias, para tentar garantir que seus dados pessoais não sejam violados. Essa é uma corrida de gato e rato! Enquanto os "mocinhos" tentam solucionar os problemas em seus softwares, redes, sites e banco de dados, os "vilões" vasculham toda a Internet em busca das falhas mais recentes...

...e, outros passam semanas tentando quebrar a criptografia de algum software ou tentando burlar um sistema de registro para algum programa novo.

Embora a segurança venha sendo levada muitíssimo em consideração nos últimos anos, o fato é que 99,9% de garantia de segurança, não é 100% garantia.

Mas, além do nível de segurança em sistemas e softwares não ser absoluto, outro fator determinante para a insegurança é o fator humano.

Funcionários inexperientes ou corruptos são o pior pesadelo para empresas e profissionais de TI que possuem dados extremamente importantes e que necessitam de absoluto sigilo. Devido a isso, diversas empresas hoje optam por dar treinamento sobre informática e Internet a seus funcionários para que estes não caiam em armadilhas ao navegar ou abrir um e-mail, por exemplo.

Outras empresas mais radicais proíbem que seus funcionários utilizem pen-drive’s, mídias de CD e/ou DVD e notebook’s pessoais para gravações e transferência de dados, nas dependências da empresa, pelo medo de que algum funcionário “espertinho” tente vender informações importantes para alguma empresa concorrente.

Realmente, o profissional ou até mesmo o usuário caseiro que não tenha um bom conhecimento em Informática se torna uma vítima fácil para piratas virtuais que sempre estão na busca de vítimas em potencial.

A ENGENHARIA SOCIAL

“O elemento mais vulnerável de qualquer sistema de segurança da informação é o ser humano”.

Especialistas em crimes virtuais usam de várias técnicas para obter informações sobre empresas ou mesmo a respeito de civis para, de alguma forma, poder lucrar com esses dados. Uma dessas técnicas é chamada de engenharia social.

A engenharia social é uma técnica que consiste na obtenção de dados através do contato direto ou indireto com a vítima escolhida.

No documentário “Hackers, Criminosos e anjos” a um exemplo de engenharia social muito comum. Em certa parte do documentário um profissional especializado em segurança é contratado para testar o nível de segurança da empresa contratante. O hacker usa uma técnica simples que consiste em efetuar um telefonema e ludibriar os funcionários da empresa se passando por um membro do Departamento de Tecnologia. Ele pede que eles forneçam suas senhas de acesso para que ele possa testar a compatibilidade delas com o novo sistema de segurança que será implantado.

No filme Takedown, também a uma cena em que “Kevin” usa de engenharia social para conseguir dados sigilosos sobre um serviço de telefonia chamado SAS.

O que isso nos faz raciocinar é que o grande problema de se investir em programas, firewalls, antivírus, e muitas outras alternativas para segurança é que, ao primeiro contato de um simples usuário com um computador, tudo isso passa a não valer de praticamente nada.

Existem certos piratas por ai que são experts em utilizar essas técnicas de engenharia social para capturar todo o tipo de informações possíveis sobre a vitima em questão. Isso exige que cada pessoa utilize estratégias de defesa e conhecimento para não cair nessas armadilhas.

TOME CUIDADO COM O QUE VOCÊ JOGA NO LIXO

O lixo é precioso! É incrível saber que até mesmo o lixo pode e é utilizado por esses piratas, pois pode fornecer muitas informações importantes sobre uma empresa ou pessoa. Muitas pessoas, sem perceber o perigo, jogam comprovantes de pagamento de contas, extratos bancário, contratos, documentos velhos e muitas outras coisas que, para ela não serão mais úteis. No caso de grandes empresas isso se agrava, pois, todos os dias são jogados toneladas de papel com dados importantes sobre as rotinas da empresa, dados de empregados, dados de computadores, telefones de contato, etc.

A MINHA SENHA É SEGURA

Um fator muito importante é o de não confiar jamais a sua senha pessoal, de qualquer que seja o serviço, a outra pessoa. Um requisito básico, mas não menos importante é o das senhas que se pretende utilizar. Ao criar uma senha, a pessoa deve sempre utilizar vários tipos de caracteres e se possível, jamais usar a mesma senha para todos os tipos de serviços em que se cadastrar. Utilizar senhas do tipo data de nascimento, número de telefone ou de documentos pessoais também são uma péssima idéia.

Analistas de segurança da Infosecurity Europe realizaram uma pesquisa com 576 funcionários de empresas em Londres. Na pesquisa eram oferecidas barras de chocolate em troca de informações sobre senhas pessoais. Um total de 45% das mulheres entrevistadas entregaria suas senhas para estranhos que se passassem por pesquisadores de mercado. Com os homens, o número cai para 10%. As coisas pioraram quando lhes foram oferecidas uma viagem à Paris. Nada menos que 62% das mulheres e 60% dos homens trocariam as informações pela viagem.

(IN)SEGURANÇA WIRELESS

As redes wi-fi ou wireless estão ganhando enorme espaço entre os usuários de computadores caseiros. É prazeroso o conforto e a comodidade que se consegue com esse tipo de conexão sem cabos. Mas, como nem tudo são flores na vida de Joseph Climber..., com as redes wireless não poderia ser diferente.

Redes Wireless são consideradas, pela grande maioria dos especialista, como sendo pouco seguras.

Essa insegurança existe porque esse tipo de comunicação é aberta, tornando possível que qualquer um que tenha um dispositivo equipado com Wireless, como um Notebook ou Smartfone, possam encontrá-las. Em muitos casos as pessoas sequer se dão ao trabalho de utilizar uma chave criptográfica tipo WEP ou WAP, possibilitando que toda e qualquer pessoa que possua um equipamento com Wireless faça uso de sua conexão de Internet e veja seus arquivos pessoais.

Mesmo para quem faz uso destas chaves, isso não basta para se evitar que você tenha sua rede e seu computador invadidos. Com a troca constante de informações entre os dispositivos Wireless é possível que um terceiro dispositivo capte esses pacotes e analise-os através de programas como NerStumbler, Airsnort, Kismet, Aircrack e muitos outros, podendo chegar a invadir a rede e seus computadores com uma certa facilidade.

(IN)SEGURANÇA EM HARDWARE

Recentemente, um grupo de pesquisadores da Universidade de Illinois fizeram uma demonstração de como um chip com a programação alterada pode permitir o acesso de invasores a qualquer sistema e abrir portas para ataques.

Na demonstração, foi utilizado um computador com sistema Linux e um processador LENUX programado com um código malicioso que se aloja na memória.

Essa técnica pode ser aplicada simplesmente colocando o processador alterado na máquina vítima. Para se aplicar à técnica, alguém poderia simplesmente contratar um funcionário com acesso aos computadores de uma empresa que poderia facilmente efetuar a troca. Ainda a o risco de pessoas comprarem computadores com o processador hackeado já incluído.

Os chips usados pelos pesquisadores são do mesmo modelo dos usados nos sistemas da Estação Espacial Internacional.

Você pode saber mais sobre o assunto no site http://idgnow.uol.com.br/seguranca/.

No ano de 2003, um indiano chamado Sudhakar causou uma grande agitação quando afirmou poder quebrar o código de uma máquina virtual Java rodando em qualquer processador de qualquer computador utilizando apenas uma lâmpada e um programa escrito em Java. Utilizando a lâmpada para aquecer o chip, o estudante conseguiu inverter um bit da memória e acessar aos dados do cartão.

(IN)SEGURANÇA EM SOFTWARE “atualizações críticas”

Um dos recursos mais importantes dos sistemas Windows são as atualizações automáticas. Essas atualizações são responsáveis por fechar brechas do sistema e de seus softwares. Um usuário que ignore essas atualizações se torna uma preza fácil para pessoas mal intencionadas que podem invadir seu computador através de brechas conhecidas ou descobertas por ele de alguma forma. Mas, até que ponto se deve confiar nessas atualizações do Windows?

Testes realizados por alguns pesquisadores das faculdades Carnegie Mellon, da Universidade da Califórnia e da faculdade de Pitisburgh, nos EUA, demonstraram que crackers poderiam criar malwares que tem a capacidade de fazer uso de brechas em softwares antes que as atualizações sejam aplicadas em definitivo no computador. Óbvio!

Alguém que fizer uso destas práticas de ataque pode roubar informações e controlar as máquinas vítimas facilmente.

Um exemplo disso é uma noticia datada do ano de 2003 de uma entidade espanhola, que é responsável por monitorar e estudar continuamente a rede mundial, que noticiou ter capturado informações de que os Estados Unidos teriam utilizado hackers com o intuito de deixar fora do ar muitos dos sistemas do país árabe.

Logo depois do início das ações militares, esse ataque pôs abaixo três dos quatro sites iraquianos mais importantes. O ataque realizado aos servidores de Internet do governo de Saddam Hussein afetou as páginas de uma agência de notícias e dos Ministérios de Cultura e Informação. De acordo com o Observatório Espanhol da Internet, isso poderia ser chamado de a primeira guerra cibernética da história.

De acordo com a Empresa de Segurança Sophos, a cada 5 segundos uma página é atacada. São mais de 15 mil páginas infectadas por dia. Um estudo realizado no ano passado no mesmo período a freqüência era de 14 segundos.

No Chile,  crackers divulgaram em dois sites os dados de mais de 6 milhões de chilenos que foram capturados em sites do governo. Segundo o jornal EL Mercurio, as fontes foram empresas como o ministério da educação e operadoras de telefonia.

Em 2007, A IBM divulgou o resultado do relatório da X-Force de 2007 informando a grande quantidade de crimes de Internet pelo mundo, onde os principais prejuízos estão o roubo de identidade e o seqüestro de computadores, como nunca visto antes. Esse relatório afirma que os agentes do mercado negro estão disponibilizando ferramentas para camuflagem de ataques, impossibilitando que eles sejam detectados por algum software de segurança. O relatório também diz que 90% das vulnerabilidades encontradas no ano de 2007 são exploráveis remotamente. E só 50 % das vulnerabilidades podem ser corrigidas via patches dos fornecedores.