Trabalhando com o inimigo
Fonte: Jornal Hoje em Dia, 23/07/2007
O vazamento de informações custa às empresas US$ 1,82 milhões por ano. Mas, ao contrário do que muitos pensam, os principais responsáveis por essa conta alta não são pessoas estranhas, invasores de prontidão na Internet até que ocorra uma falha na segurança das redes de computadores. Na maioria das vezes, o inimigo trabalha na empresa. É o que revela recente estudo encomendada pela McAffe e realizada pela “Datagate: The Next Ineviable Corporate Disaster”.
Segundo o estudo, mais da metade dos vazamentos de informações (55%) foi causada por funcionários ou ex-funcionários, sendo que em 23% dos casos houve intenção de provocar o prejuízo. É o que os especialistas chamam de perda intencional mal-intencionada (funcionário ou ex-funcionário rouba dados para revendê-los ou prejudicar a empresa).
Existe ainda a perda intencional não mal-intencionada, ou seja, o funcionário colocou conscientemente as informações em risco, porém sem intenção de prejudicar a empresa. Por exemplo, um gerente copia um contrato confidencial em um Pen Drive ou envia para seu e-mail pessoal com a intenção de trabalhar em casa e esse documento vai parar de forma acidental nas mãos de criminosos. Essas perdas representam 32% dos vazamentos de informações causadas por funcionários e ex-funcionários.
Para impedir a ação desse inimigo que já está dentro da empresa, pouco valem softwares como firewalls, senhas complexas, rotina de troca de senhas, etc. Estes seguram apenas hackers e crackers. Por isso, as empresas estão criando políticas internas mais severas de acesso às informações. Segundo o gerente de Engenharia de Sistemas da McAfee Brasil, José Antunes, é indispensável que as empresas restrinjam o acesso a determinados conteúdos e disponibilizem aos funcionários apenas ferramentas essenciais para a execução do trabalho para o qual está designado. “Ás vezes, é possível consultar o conteúdo, mas não copiá-lo”, destaca.
‘Bloqueio de acesso não basta’
O especialista em segurança da informação e diretor-Geral da Future Security, Andre Diamand, endossa: “Os funcionários são peças chaves para a proteção dos sistemas da empresa. Quando eles abrem e-mails com conteúdos maliciosos podem colocar a segurança do sistema em risco.”
Diamand destaca que, desde 1996, se estabeleceu a filosofia de que o perigo só vem de fora, levando as empresas a investirem quase exclusivamente no bloqueio do acesso de estranhos à rede. Mesmo assim, a preocupação com o externo esteve mais focada na invasão por meio de malwares (programas como vírus, cavalos-de-tróia, entre outros) e muito pouco nas pessoas. “Se a empresa contratar um cracker, ele pode fazer grande estrago no sistema”, alerta.
Segundo o especialista em Segurança Digital da Compugraf, Claudio Bannwart, as corporações precisam adotar com urgência tecnologias de criptografia de dados, proteção de mídias removíveis e sistemas de segurança para localizar, monitorar e proteger dados confidenciais dentro da rede. “As informações podem vazar em um simples e-mail ou conversa pelo Messenger”, exemplifica.
Outra solução inovadora, mas pouco usual, sugerida por Bannwart é que as empresas invistam também na proteção dos computadores pessoais dos funcionários. “Isso pode evitar a contaminação dos sistemas da empresa, pois muitos funcionários acessam a rede corporativa de suas casas e podem transferir programas maliciosos da máquina pessoa para os servidores da empresa”, explica.
O grande obstáculo a essa prática, é o custo - cerca de US$ 100 por equipamento. Contudo, as despesas com as perdas de dados, paralisação das atividades por causa de um vírus e desfalques financeiros podem ser bem maiores.
O momento é crítico e as empresas têm enfrentado diversos problemas dessa natureza. Por essa razão, precisam estar mais atentas aos aspectos relacionados à segurança dos sistemas e das informações”, argumenta Cláudio Bannwart.
Andre Diamand destaca que o sistema de segurança de uma empresas deve estar apoiada em quatro pilares: integridade, que garante a segurança da informação; a autenticidade, para garantir que as mensagens vão chegar apenas às pessoas designadas; a confidencialidade, para garantir a segurança da informação; e a disponibilidade, pois não adianta ter todos esses pilares se o sistema de segurança coloca em risco a disponibilidade da empresa. Segurança e disponibilidade são sempre irmãos, não adianta ter um e não ter o outro”, afirma o especialista.
Vírus na ativa
Apesar do maior reconhecimento de que as pessoas representam grande ameaça à segurança dos dados, os vírus continuam a causar muitos estragos, apesar dos avançados antivírus e firewalls. Para Andre Diamand, isso ocorre porque muitas ainda adotam antigas estratégias para a detecção dessas pragas virtuais.
Além dos métodos já conhecidos, como contaminação por e-mails, disquetes, arquivos não confiáveis baixados da Internet ou copiados de unidades de armazenamento removíveis (pen drives por exemplo), os programas maliciosos são utilizados em outras formas de ataques. Uma das mais frequentes no momento é a invasão para derrubada de serviços. Nessa situação, os crackers utilizam programas chamados DOS ou DDOS que usam computadores infectados como zumbis para derrubar sites. É como se milhões de máquinas entrassem ao mesmo tempo em uma mesma home page, sobrecarregando-a. Para um site comum, essa situação não causa grandes transtornos, contudo, para empresas que têm suas home pages como parte de suas operações críticas (não podem parar de funcionar), os prejuízos são enormes.
Um dos ataques mais comuns é o chamado phishing scam. Apesar de voltado para usuários domésticos, quando bem planejado, pode prejudicar também empresas. Malwares com essa finalidade copiam sites de instituições financeiras e estimulam as vítimas a digitarem o número da conta, senha, etc. Esses dados são transferidos em tempo real para os computadores dos criminosos, que os revendem ou os utilizam para transferências de valores.
Segundo José Antunes, as empresas que se submetem à regras internacionais de segurança estão mais preparadas para se defender de ameaças. No Brasil não temos legislação para isso e quem faz negócios com outros países precisam se adequar as regras locais, trazendo mais segurança para as organizações”.
Inocência perdida
Quando as empresas enxergaram a Internet como forma de fazer negócio o perfil dos hackers começou a mudar, assim como a preocupação com a segurança. A possibilidade de ganhar dinheiro atraiu a atenção de criminosos que passaram a utilizam da habilidade de invadir sistemas para invadir, principalmente sites de empresas para vender informações e até mesmo efetuar transferências bancárias. Já não eram mais os adolescentes de madrugada, ouvindo rock e brincando de encontrar falhas em sistemas. Essas invasões deixaram de ser inocentes” para se tornar perigosas”, explica Andre Diamand.
O gerente de Projetos da SafeNet, Paulo Vianna, afirma que a Internet deixou de ser um campo de experimentação para pequenos hackers, e que os criminosos se profissionalizaram na arte de informática. O sistema de ataque está cada vez mais sofisticado. Não são mais moleques brincando”, reforça.
Vianna revela que várias tentativas de roubo pela internet são baseadas em engenharia social, ou seja, os crackers se aproveitam da ingenuidade dos usuários para enviar e-mails infectados. Como os vírus só funcionam se forem instalados eles são enviados com frases chamativas para enganar o usuário e estimulá-lo a executar os arquivos. Existe uma grande barreira cultural, a falta de informação da população”, diz. Para ele, as pessoas precisam tomar certos cuidados, tanto em casa quanto na empresa. Entre eles, nunca abrir e-mails de pessoas desconhecidas e jamais executar arquivos de origem duvidosa. O mundo é muito cruel e a internet reflete a maldade do mundo”, afirma.
De acordo com o gerente, as empresas tem uma camada protetora mais poderosa que os usuários domésticos, pois algumas tem controle sobre as maquinas e aplicam filtros de e-mails e de sites.
De hacker a consultor
Em meados dos anos 80, o carioca Andre Diamand “brincava” de invadir sistemas de segurança. Gostava tando dos desafios oriundos do boom da Tecnologia da Informação (TI) que, aos 15 anos, foi cursar Engenharia Eletrônica na Universidade Federal do Rio de Janeiro (UFRJ). Aos 18 anos, abandonou a vida de hacker e mudou de lado ao ser contratado como estagiário da IBM. Cinco anos depois já era gerente de Segurança da “Big Blue”.
Fiel à própria precocidade, trocou o emprego seguro naquela que era uma das maiores empresas de tecnologia do mundo pela emoção de criar a própria empresa de segurança digital, a Future Security. Há dez anos no mercado, a empresa tem uma gorda carteira de clientes, entre eles, órgãos públicos, inclusive as Forças Armadas.Apesar de jovem - tem só 33 anos -, Diamand foi um privilegiado espectador e personagem do mercado de segurança para TI. “Quando criei a empresa, começava a expansão da Internet comercial e a preocupação com segurança era mínima. Os hackers invadiam à vontade e dificilmente alguém é identificado e punido”, relembra.O executivo conta que no momento em que as empresas perceberam que o comércio eletrônico era viável, os habitantes do submundo da Web também se organizaram para lucrar também. Antigos hackers defenderam, então, que o joio fosse separado do trigo, e quem invade sistemas para roubar dados passou a ser classificado como cracker.
Hoje, empresas e crackers incrementam, respectivamente, segurança e invasões, no mesmo ritmo. Em função disso, segundo Diamand, hoje, para garantir a segurança de uma rede a gerência de sistemas deve adotar uma lista com 20 a 30 ítens indispensáveis.
Recentemente, a empresa de Diamand lançou o Centro de Inteligência em Segurança (CIS), que reúne todas as ferramentas de segurança em uma única tela. Ela disponibiliza relatórios de falhas, de nível de segurança, da fragilidade do sistema, etc. A área de segurança da informação é muito insegura. Você nunca sabe sabe se está protegido ou não. O CIS dá esse conforto às empresas”, afirma. Quando o sistema é invadido é possível fazer um rastreamento e acionar a polícia para a captura dos criminosos.
Prêmio reconhece segurança na Usiminas
A Usiminas é a primeira empresa brasileira a receber o prêmio Visionario World 2007, que agracia companhias que desenvolvem soluções ou projetos na área de segurança da informação. A questão da segurança da informações é muito sensível para as empresas. Esse prêmio significa que estamos no caminho certo”, se orgulha o CIO Superintendente de TI da empresa, Acrísio Tavares.
A Usiminas adotou soluções em segurança baseadas em tecnologia da Symantec. Entre os softwares estão antivírus, firewalls e programas de combate a invasão. A empresa também adotou soluções voltadas para gerenciamento de conteúdo e filtros de sites e e-mails. De acordo com Tavares a empresa recebeu o prêmio pela infra-estrutura completa de soluções.
O CIO da empresa confessa que já teve e ainda tem problemas com segurança, principalmente com spams. Sempre recebemos muitos spams se não tivéssemos soluções de segurança o nosso sistema degradaria”, reforça. Competindo com a Usiminas estavam várias empresas nacionais, inclusive instituições bancárias.
Grande número dos ataques parte do Brasil
WASHINGTON - Houve um considerável aumento de ataques via Internet em 2006. Em suas artimanhas ao longo do ano passado criminosos cibernéticos utilizaram nada menos do que 207.684 programas maliciosos de computador, sendo que 41.536 deles eram novos. E o Brasil foi uma das principais fontes dessas armas: nada menos do que 14,2% do software usado de forma nociva na rede mundial de computadores foram criados e produzidos por brasileiros. Com isso, o Brasil se tornou no terceiro maior disseminador de malware do mundo.
Logo abaixo do Brasil, no ranking que acaba de ser produzido pela Sophos - uma empresa de segurança de informática baseda em Massachusetts - está a Rússia. Apesar disso, piratas cibernéticos brasileiros e russos têm algo em comum: a maioria dos programas maliciosos produzidos por eles têm como objetivo o roubo de identidades e senhas de pessoas e empresas que realizam transações bancárias online. Essas informações são vendidas a terceiros, que aplicam golpes na praça, geralmente zerando o saldo de suas vítimas, através de transferências bancárias eletrônicas fraudulentas.
O movimento do dinheiro é feito de forma legal, mas utilizando meios ilegais: o roubo da identidade. “A maioria dos códigos maliciosos produzidos no Brasil tem a forma de Trojans criados para roubar senhas bancárias através da inserção de campos de senhas falsos, nos websites de bancos”, disse Ronald O‘Brien, analista senior da Sophos.
Trojans são programas que parecem úteis mas contém um código que captura senhas e, geralmente é destinado a roubar informações pessoais e comerciais. As vítimas escrevem o número de sua conta e sua senha nos espaços falsos criados pelos Trojans e perdem o controle de sua conta: “Essa tática se deriva em parte devido ao número relativamente pequeno de bancos no Brasil. Isso torna mais fácil com maior probabilidade supor, adivinhar, o tipo de conta que possui uma vítima potencial”, completou O‘Brien.
Além de ser o terceiro no mundo, hoje, em volume de produção de programas nefastos de computador, o Brasil ocupa o sétimo lugar como fonte de transmissão de spam - lixo eletrônico - gerando o equivalente a 3% do material espalhado através da Internet em todo o planeta.
Segundo o estudo da Sophos, os piratas cibernéticos estão se tornando cada dia mais sofisticados, dificultando com mais eficácia o mapeamento das impressões digitais dos criminosos do setor. Agora é mais fácil confundir as vítimas com eles, pois os piratas se apoderam dos computadores delas, sem que elas percebam, e através deles transmitem programas maliciosos para uma imensa rede.
“O motivo é que a arma utilizada pelos fraudadores é um malware infeccioso, capaz de transformar um website inofensivo numa ferramenta para o roubo de dados ou para recrutar um PC (computador pessoal) vulnerável num exercito criminoso de máquinas zumbis (computadores contaminados) que emitem spam. Tentar seguir spam ou malware até a sua fonte frequentemente acaba revelando apenas uma outra camada de websites e computadores contaminados espalhados através do mundo”, conclui a Sophos.
O sistema mais utilizado atualmente é o dos chamados “botnets”, uma coleção de software robôs que se executam de maneira autonoma. Trata-se, normalmente, de um vírus que corre num servidor infectado e com a capacidade de contaminar outros servidores. Quem constrói um desses robôs é capaz de controlar todos os computadores contaminados por controle remoto, e isso se dá, em geral, através dos chats.
© Copyright by Future Security
