Ataques a companhias de petróleo usaram 'receitas de bolo'.
O caso do vírus “Stuxnet”, que atacou centrífugas de usinas nucleares iranianas, ainda intriga a imprensa e pesquisadores antivírus. E, enquanto ele ainda não foi digerido por completo, novos ataques virtuais seguem acontecendo: um ataque aos sistemas da bolsa de valores dos Estados Unidos, ataques em série atingindo companhias de petróleo, antivírus fraudulentos, redes zumbis, roubos de senha e vazamento de dados de sites do governo. O histórico de problemas é grande, mas a esperteza dos hackers não é tão grande assim. É a segurança dos sistemas, e as instituições que os suportam, que está em um nível abaixo do necessário para representar um desafio real aos atacantes.Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.Números e fatos
O Dataloss DB, que mantém uma lista de todos os incidentes de perda ou roubo de dados, afirma que 26 milhões de registros contendo informações pessoais foram extraviados em 2010. Foram 422 incidentes, que variam da perda de informações de candidatos a vagas de emprego a informações bancárias de clientes (inclusive senhas) que estavam disponíveis em texto simples em sites na web. Esses registros não são todos de ações de hackers; muitos são casos de DVDs ou computadores portáteis que foram perdidos ou roubados, dados deixados por descuido na web, etc.Segundo a Eurostat, que realiza estudos estatísticos na União Europeia, um em cada três computadores localizados na região foi vítima de algum vírus só em 2010. Dados de companhias antivírus sugerem que uma rede de computadores zumbis com mil computadores vale cerca de U$ 50 (R$ 85), enquanto dados de cartão de crédito estão disponíveis por R$ 20.No final de janeiro, a companhia Data Imperva divulgou a existência de um site hacker que vendia acesso a sistemas militares e governamentais de diversos países, além de serviços personalizados de invasão.Um relatório do Conficker Working Group – um conjunto de indivíduos e empresas que buscava coibir a disseminação do vírus Conficker – concluiu que os esforços, apesar de uma união sem precedentes, não surtiram o efeito necessário e que é preciso criar novos modelos de cooperação. Até o momento, ninguém está discutindo nenhum modelo.Um estudo da Universidade de Cambridge mostrou como era possível realizar pagamentos com cartões sem usar a senha do correntista em um sistema europeu. O sindicato das empresas de cartões de crédito protestou ao invés de focar seus esforços na solução do problema – depois que a imprensa se envolveu.No início de 2011, páginas sob a responsabilidade do Instituto de Tecnologia de Massachusetts (MIT) e da Universidade de Stanford redirecionaram usuários para lojas on-line fraudulentas.A equipe de segurança da China (China CERT) disse não ter tomado as providências necessárias junto ao desenvolvedor de um sistema de controle industrial (SCADA) porque não viu o e-mail do pesquisador de segurança que avisava do problema.Um grupo de segurança da HP divulgou 22 falhas de segurança que aguardavam seis meses por uma correção. Algumas delas – inclusive quatro da própria HP – seguem sem uma solução. Uma das falhas, sob responsabilidade uma empresa de segurança, aguardava quase três anos por uma correção. Reportagem do site de segurança The H confirma que uma falha no Java aguarda dois anos por uma correção, apesar de o Java ser uma das ferramentas preferidas por criminosos virtuais, segundo a Microsoft.Há diversas falhas sem correção, nos mais diversos produtos populares. Só o Windows XP tem 42 falhas sem correção, segundo a Secunia. O Vista, nove. O Windows 7 tem seis falhas em aberto.Descuidos
Todos esses problemas ocorrem por descuidos simples: um funcionário que perdeu um notebook com informações da empresa, um executivo que abriu um anexo que não devia e, mais importante, a percepção de que investir em segurança não vale a pena. Bradley Manning, o soldado norte-americano que vazou os telegramas das embaixadas para o Wikileaks, enganou a segurança do exército entrando na sala com um CD rotulado “Lady Gaga” para que os guardas pensassem que o CD não pudesse retirar informações do computador que acessava os dados sensíveis.Os ataques às companhias de petróleo, revelados pela McAfee, ocorreram com falhas simples nos serviços web das empresas atacadas. Outras companhias foram atacadas com e-mails a executivos contendo anexos maliciosos. Aproveitando-se de softwares desatualizados e de usuários desatentos, o acesso foi obtido e, depois, mantido com ferramentas que qualquer pessoa pode baixar da internet.O problema não é que essas ferramentas estão disponíveis e sim que, apesar disso, os sistemas de segurança não foram capazes de impedir seu funcionamento.Não existe muita coisa a se fazer sobre falhas sem correção nos softwares – exceto corrigi-las, é claro. Há anos especialistas argumentam e discutem a responsabilidade que desenvolvedores de software têm quanto aos problemas causados pelas vulnerabilidades existentes em programas de computador. O especialista em segurança Bruce Schneier argumenta desde 2005 que deve haver algum tipo de responsabilização. Até hoje, um desenvolvedor não tem responsabilidade alguma pelas falhas em seus softwares, além da pressão do mercado – que não tem sido suficiente.O que tem sido feito vai só até a metade do caminho. O isolamento seguro do Adobe Reader X, leitor de PDF, entra em conflito com programas antivírus. Por que o recurso de segurança de um leitor de documentos entra em conflito com um antivírus? E por que um leitor de documentos precisa tanta segurança, afinal? Essas são perguntas que até especialistas pararam de fazer; o erro e a falha, sempre considerados impossíveis de se evitar em todo momento, estão, ao invés disso, presentes em todos os momentos.O que deveria ser uma exceção impossível de se evitar é a regra que já não se questiona. O “não é possível 100% de segurança” tem se transformado em um silencioso “não é possível segurança”.Com isso, é claro, os hackers “fazem a festa”. Usuários se perguntam como é possível que tantas invasões e roubos de informações ocorram, mas eles mesmos colaboram. Dados obtidos pela equipe de análise de incidentes de segurança da Linha Defensiva contêm mais de 10 mil senhas de redes sociais fornecidas por usuários em sites falsos.Não é preciso ser especialista para atacar sistemas. É muito mais fácil atacar um sistema do que defendê-lo. Ataques que cruzam para o mundo real (como roubo de contas bancárias), no entanto, são mais arriscados – podem trazer punições para o responsável. Mas a quantidade de crimes e ataques como os sofridos pelas companhias de petróleo, que tiveram e-mails de seus executivos roubados, é muito mais difícil de determinar.Não é um erro, é uma funcionalidade
Existe um problema fundamental na área de segurança que envolve a responsabilidade por falhas e ataques, a necessidade de se pensar recursos a partir do ponto de vista da segurança. A Microsoft decidiu disponibilizar pelo Windows Update a atualização que elimina o recurso da reprodução automática em pen drives – o recurso que permitiu a existência de vírus de rápida disseminação nesses dispositivos. Mas, enquanto anunciava isso – uma admissão indireta de que a ideia não era compatível com segurança – a empresa ainda insistia que a reprodução automática é “um recurso, não um erro”.Nesse pensamento, empresas usam e criam sistemas inseguros. O sistema de busca Shodan é capaz de localizar sistemas cuja simples existência na internet é uma vulnerabilidade, como por exemplo sistemas com softwares antigos e com senhas iguais às de fábrica – senhas que qualquer pessoa pode descobrir baixando o manual do produto.Não existem soluções para todos esses problemas, e esta coluna não pode oferecer uma; segurança é um processo, não um produto, segundo Schneier. Mas é preciso ter conhecimento da existência dessas circunstâncias e entender que nem sempre os hackers que são espertos; ao contrário, são os “mocinhos” da história que, hoje, não conseguem as ferramentas (e, muitas vezes, nem a ajuda da empresa) necessárias para criar sistemas realmente seguros.A coluna Segurança para o PC de hoje fica por aqui. Use a área de comentários se você tem qualquer dúvida sobre segurança, ataques e golpes virtuais. Na quarta-feira (16) tem o pacotão, trazendo a resposta para as perguntas deixadas por leitores. Até lá!* Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança para o PC”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na páginahttp://twitter.com/g1seguranca.
O caso do vírus “Stuxnet”, que atacou centrífugas de usinas nucleares iranianas, ainda intriga a imprensa e pesquisadores antivírus. E, enquanto ele ainda não foi digerido por completo, novos ataques virtuais seguem acontecendo: um ataque aos sistemas da bolsa de valores dos Estados Unidos, ataques em série atingindo companhias de petróleo, antivírus fraudulentos, redes zumbis, roubos de senha e vazamento de dados de sites do governo. O histórico de problemas é grande, mas a esperteza dos hackers não é tão grande assim. É a segurança dos sistemas, e as instituições que os suportam, que está em um nível abaixo do necessário para representar um desafio real aos atacantes.
Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.
Números e fatos
O Dataloss DB, que mantém uma lista de todos os incidentes de perda ou roubo de dados, afirma que 26 milhões de registros contendo informações pessoais foram extraviados em 2010. Foram 422 incidentes, que variam da perda de informações de candidatos a vagas de emprego a informações bancárias de clientes (inclusive senhas) que estavam disponíveis em texto simples em sites na web. Esses registros não são todos de ações de hackers; muitos são casos de DVDs ou computadores portáteis que foram perdidos ou roubados, dados deixados por descuido na web, etc.
O Dataloss DB, que mantém uma lista de todos os incidentes de perda ou roubo de dados, afirma que 26 milhões de registros contendo informações pessoais foram extraviados em 2010. Foram 422 incidentes, que variam da perda de informações de candidatos a vagas de emprego a informações bancárias de clientes (inclusive senhas) que estavam disponíveis em texto simples em sites na web. Esses registros não são todos de ações de hackers; muitos são casos de DVDs ou computadores portáteis que foram perdidos ou roubados, dados deixados por descuido na web, etc.
Segundo a Eurostat, que realiza estudos estatísticos na União Europeia, um em cada três computadores localizados na região foi vítima de algum vírus só em 2010. Dados de companhias antivírus sugerem que uma rede de computadores zumbis com mil computadores vale cerca de U$ 50 (R$ 85), enquanto dados de cartão de crédito estão disponíveis por R$ 20.
No final de janeiro, a companhia Data Imperva divulgou a existência de um site hacker que vendia acesso a sistemas militares e governamentais de diversos países, além de serviços personalizados de invasão.
Um relatório do Conficker Working Group – um conjunto de indivíduos e empresas que buscava coibir a disseminação do vírus Conficker – concluiu que os esforços, apesar de uma união sem precedentes, não surtiram o efeito necessário e que é preciso criar novos modelos de cooperação. Até o momento, ninguém está discutindo nenhum modelo.
Um estudo da Universidade de Cambridge mostrou como era possível realizar pagamentos com cartões sem usar a senha do correntista em um sistema europeu. O sindicato das empresas de cartões de crédito protestou ao invés de focar seus esforços na solução do problema – depois que a imprensa se envolveu.
No início de 2011, páginas sob a responsabilidade do Instituto de Tecnologia de Massachusetts (MIT) e da Universidade de Stanford redirecionaram usuários para lojas on-line fraudulentas.
A equipe de segurança da China (China CERT) disse não ter tomado as providências necessárias junto ao desenvolvedor de um sistema de controle industrial (SCADA) porque não viu o e-mail do pesquisador de segurança que avisava do problema.
Um grupo de segurança da HP divulgou 22 falhas de segurança que aguardavam seis meses por uma correção. Algumas delas – inclusive quatro da própria HP – seguem sem uma solução. Uma das falhas, sob responsabilidade uma empresa de segurança, aguardava quase três anos por uma correção. Reportagem do site de segurança The H confirma que uma falha no Java aguarda dois anos por uma correção, apesar de o Java ser uma das ferramentas preferidas por criminosos virtuais, segundo a Microsoft.
Há diversas falhas sem correção, nos mais diversos produtos populares. Só o Windows XP tem 42 falhas sem correção, segundo a Secunia. O Vista, nove. O Windows 7 tem seis falhas em aberto.
Descuidos
Todos esses problemas ocorrem por descuidos simples: um funcionário que perdeu um notebook com informações da empresa, um executivo que abriu um anexo que não devia e, mais importante, a percepção de que investir em segurança não vale a pena. Bradley Manning, o soldado norte-americano que vazou os telegramas das embaixadas para o Wikileaks, enganou a segurança do exército entrando na sala com um CD rotulado “Lady Gaga” para que os guardas pensassem que o CD não pudesse retirar informações do computador que acessava os dados sensíveis.
Todos esses problemas ocorrem por descuidos simples: um funcionário que perdeu um notebook com informações da empresa, um executivo que abriu um anexo que não devia e, mais importante, a percepção de que investir em segurança não vale a pena. Bradley Manning, o soldado norte-americano que vazou os telegramas das embaixadas para o Wikileaks, enganou a segurança do exército entrando na sala com um CD rotulado “Lady Gaga” para que os guardas pensassem que o CD não pudesse retirar informações do computador que acessava os dados sensíveis.
Os ataques às companhias de petróleo, revelados pela McAfee, ocorreram com falhas simples nos serviços web das empresas atacadas. Outras companhias foram atacadas com e-mails a executivos contendo anexos maliciosos. Aproveitando-se de softwares desatualizados e de usuários desatentos, o acesso foi obtido e, depois, mantido com ferramentas que qualquer pessoa pode baixar da internet.
O problema não é que essas ferramentas estão disponíveis e sim que, apesar disso, os sistemas de segurança não foram capazes de impedir seu funcionamento.
Não existe muita coisa a se fazer sobre falhas sem correção nos softwares – exceto corrigi-las, é claro. Há anos especialistas argumentam e discutem a responsabilidade que desenvolvedores de software têm quanto aos problemas causados pelas vulnerabilidades existentes em programas de computador. O especialista em segurança Bruce Schneier argumenta desde 2005 que deve haver algum tipo de responsabilização. Até hoje, um desenvolvedor não tem responsabilidade alguma pelas falhas em seus softwares, além da pressão do mercado – que não tem sido suficiente.
O que tem sido feito vai só até a metade do caminho. O isolamento seguro do Adobe Reader X, leitor de PDF, entra em conflito com programas antivírus. Por que o recurso de segurança de um leitor de documentos entra em conflito com um antivírus? E por que um leitor de documentos precisa tanta segurança, afinal? Essas são perguntas que até especialistas pararam de fazer; o erro e a falha, sempre considerados impossíveis de se evitar em todo momento, estão, ao invés disso, presentes em todos os momentos.
O que deveria ser uma exceção impossível de se evitar é a regra que já não se questiona. O “não é possível 100% de segurança” tem se transformado em um silencioso “não é possível segurança”.
Com isso, é claro, os hackers “fazem a festa”. Usuários se perguntam como é possível que tantas invasões e roubos de informações ocorram, mas eles mesmos colaboram. Dados obtidos pela equipe de análise de incidentes de segurança da Linha Defensiva contêm mais de 10 mil senhas de redes sociais fornecidas por usuários em sites falsos.
Não é preciso ser especialista para atacar sistemas. É muito mais fácil atacar um sistema do que defendê-lo. Ataques que cruzam para o mundo real (como roubo de contas bancárias), no entanto, são mais arriscados – podem trazer punições para o responsável. Mas a quantidade de crimes e ataques como os sofridos pelas companhias de petróleo, que tiveram e-mails de seus executivos roubados, é muito mais difícil de determinar.
Não é um erro, é uma funcionalidade
Existe um problema fundamental na área de segurança que envolve a responsabilidade por falhas e ataques, a necessidade de se pensar recursos a partir do ponto de vista da segurança. A Microsoft decidiu disponibilizar pelo Windows Update a atualização que elimina o recurso da reprodução automática em pen drives – o recurso que permitiu a existência de vírus de rápida disseminação nesses dispositivos. Mas, enquanto anunciava isso – uma admissão indireta de que a ideia não era compatível com segurança – a empresa ainda insistia que a reprodução automática é “um recurso, não um erro”.
Existe um problema fundamental na área de segurança que envolve a responsabilidade por falhas e ataques, a necessidade de se pensar recursos a partir do ponto de vista da segurança. A Microsoft decidiu disponibilizar pelo Windows Update a atualização que elimina o recurso da reprodução automática em pen drives – o recurso que permitiu a existência de vírus de rápida disseminação nesses dispositivos. Mas, enquanto anunciava isso – uma admissão indireta de que a ideia não era compatível com segurança – a empresa ainda insistia que a reprodução automática é “um recurso, não um erro”.
Nesse pensamento, empresas usam e criam sistemas inseguros. O sistema de busca Shodan é capaz de localizar sistemas cuja simples existência na internet é uma vulnerabilidade, como por exemplo sistemas com softwares antigos e com senhas iguais às de fábrica – senhas que qualquer pessoa pode descobrir baixando o manual do produto.
Não existem soluções para todos esses problemas, e esta coluna não pode oferecer uma; segurança é um processo, não um produto, segundo Schneier. Mas é preciso ter conhecimento da existência dessas circunstâncias e entender que nem sempre os hackers que são espertos; ao contrário, são os “mocinhos” da história que, hoje, não conseguem as ferramentas (e, muitas vezes, nem a ajuda da empresa) necessárias para criar sistemas realmente seguros.
A coluna Segurança para o PC de hoje fica por aqui. Use a área de comentários se você tem qualquer dúvida sobre segurança, ataques e golpes virtuais. Na quarta-feira (16) tem o pacotão, trazendo a resposta para as perguntas deixadas por leitores. Até lá!
* Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança para o PC”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na páginahttp://twitter.com/g1seguranca.
Nenhum comentário:
Postar um comentário