postado em 05/10/2010 13:57
Quatro ataques em menos de uma semana atingiram milhares de usuários do Twitter (por duas vezes), do YouTube e do Orkut. As invasões exploraram falhas na segurança dos sites. Segundo o relatório semestral da IBM, o número de vulnerabilidades aumentou 36%, entre janeiro e junho em relação a 2009. Foram 4.396 novas falhas, sendo que os sites da internet foram responsáveis por 55% desse total. O fato causa prejuízo tanto para as empresas atingidas, que têm que correr contra o tempo para arrumar a casa, e também para os usuários dessas redes sociais que tiveram as páginas alteradas.Essas brechas exploradas, geralmente por hackers, também têm reflexos em softwares comuns. De acordo com o relatório da empresa de segurança Secunia, durante os seis primeiros meses deste ano, 380 vulnerabilidades foram encontradas. O número corresponde a mais de dois terços de todas as falhas encontradas durante todo o ano de 2009. Em dois anos, o número de vulnerabilidades(1) para usuários típicos de PCs quase dobrou, passando de 220, em 2007, para 420, no ano passado. Até o fim de 2010, a empresa espera que sejam encontradas 760 falhas de segurança nos mais diversos softwares.
As empresas tentam de todas as formas se antecipar a essas falhas, lançando diariamente atualizações para os softwares. Em setembro, o Mozilla corrigiu 15 falhas críticas do Firefox, sendo uma voltada para impedir que hackers infiltrassem malwares em computadores com sistema operacional Windows. A Adobe também consertou 20 vulnerabilidades. Dessas, 18 poderiam permitir a instalação de uma ferramenta capaz de dar o controle do PC ao hacker.
Para se prevenir, a solução é atualizar. ;Mantenha todos os softwares atualizados, desde o sistema operacional ao navegador de internet, incluindo os seus plugins de navegação (como o Flash e o Java);, aconselha Fábio Assolini, analista de vírus da Kaspersky Labs.
Brechas no Windows
Para as redes sociais, alguns recursos dos browsers podem diminuir a possibilidade de ser alvo dos ataques. ;Uma forma possível de evitar os ataque é desativando o JavaScript do navegador, mas tal ação pode comprometer também a navegabilidade pelo site. No Firefox, por exemplo, o usuário tem a disposição um adicional chamado NoScript, que bloqueia a execução de scripts desconhecidos e que pode ajudar contra esse tipo de ataque;, completa.
Engana-se quem pensa que os aplicativos do Windows são os mais vulneráveis. De acordo com a empresa de segurança Secunia, pela primeira vez desde 2007, a Apple está em primeiro lugar na lista de companhias que têm programas com mais falhas. No entanto, em número de produção de conteúdos maliciosos, o sistema da Microsoft lidera com folga. Um relatório da empresa alemã G-Data mostra que 99,4% dos 1.017.208 códigos impróprios criados no primeiro semestre de 2010 foram para o Windows. O número é 50% maior em comparação ao mesmo período de 2009.
Uma das reclamações dos usuários é o tempo exagerado que a empresa leva para disponibilizar pacotes de correção para as falhas. A demora pode levar até mesmo 17 anos. Em janeiro, a Microsoft corrigiu uma brecha que permitia que hackers tomassem o controle do computador. O problema atingia as versões a partir do Windows NT até hoje com o Windows 7. A empresa confirmou na época a falha e, quase duas décadas depois, conseguiu corrigir.
Outro problema que agrava a situação da empresa é a descontinuidade de atualização de alguns produtos, como foi o caso do Internet Explorer 6. Apesar de ainda utilizado por muitas pessoas e empresas que veem no aplicativo uma solução mais estável, a empresa decidiu dar fim a qualquer suporte ao produto. O browser teve direito até mesmo a velório nos Estados Unidos.
;A melhor solução é que o usuário entenda que as novas versões de produtos ; além de trazer mais recursos e funções ; possuem melhorias de segurança. Usar as versões mais recentes garantem com que o usuário seja menos exposto a falhas de segurança;, explica Assolini.
Falhas por dinheiro
Algumas empresas têm inovado e pedido ajuda aos usuários para identificar problemas no softwares e, em troca, recompensa em dinheiro. Um dos primeiros a adotar essa forma para a detecção de falhas foi o Google. O projeto Chromium, que deu origem ao browser Chrome, paga até US$ 3.133,70 quando o problema encontrado for crítico. Para questões menores, o programa dá uma recompensa de US$ 500. De acordo com o site, o projeto foi criado para ;recompensar pelas contribuições de segurança a quem investe tempo e esforço para ajudar a fazer do Chromium mais seguro;.
O Mozilla é outro que paga os usuários para descobrir erros. No Programa de Premiação por Falhas de Segurança, a empresa oferece recompensa de US$ 3 mil por problema encontrado.
;Esse tipo de prática é saudável e viável, pois as empresas fabricantes dos softwares podem consertá-las rapidamente, não dando tempo para que as falhas sejam exploradas e, assim, protegem os usuários. Quando essas brechas são descobertas por cibercriminosos, eles podem negociá-las ou usarem-nas para produzirem ataques contra os usuários ou empresas;, aponta Assolini.
1 - Exército contra vírus
A Panda Security anunciou um acordo de cooperação com o Exército Brasileiro para apoiar a instituição no avanço de sua capacidade operacional para o combate ao ciberterrorismo, a crimes virtuais e no aparelhamento estratégico para operações de guerra cibernética. Além dessa parceria tecnológica, a empresa e o Exército assinaram um contrato comercial de fornecimento de 37,5 mil licenças da plataforma de segurança Panda Security for Enterprise, cuja instalação já está em curso nas Organizações Militares (OMs) de todo o território brasileiro.
Ranking
Top 10 mais vulneráveis
1;- Apple
2; ; Oracle
3; ; Microsoft
4; ; HP
5; ; Adobe Systems
6; ; IBM
7; ; VMWare
8; ; Cisco
9; ; Google
10; ; Mozilla
Fonte: Secunia
Precisa-se de hackers com experiência
Para combater as brechas de segurança em softwares e sites, as empresas contratam especialistas em prevenção de ataques. Cursos para formação dos profissionais também estão em alta
Ataíde de Almeida Jr.
Parece estranho pensar em ter no quadro de funcionários da empresa uma pessoa que pode invadir sistemas, roubar dados confidenciais e alterar páginas da internet. No entanto, a procura pelos hackers está em franca ascensão puxados pela expansão desse mercado. De acordo com a consultoria Infonetics Research, a área de segurança da informação registrou um crescimento de 119% no primeiro trimestre deste ano em relação ao mesmo período de 2009. A empresa prevê ainda que até 2014 o setor possa se expandir oito vezes mais. É claro que os conhecimentos desses especialistas serão voltados para identificar falhas de segurança antes que outros indivíduos mal intencionados as descubram.
O trabalho na área de segurança pode compensar pelo salário ; em média, R$ 8 mil ;, mas também pode levar muitas horas para ser feito. Segundo o consultor e pesquisador em segurança da informação, Ulisses Castro, da Conviso IT Security, em média, um projeto leva 40 horas para ser concluído. Trabalhos mais complexos podem durar até 320 horas. ;Para detectar as falhas são feitas varreduras, utilizando ferramentas que automatizam o processo de detecção e assinaturas de ataques conhecidos. Porém o teste não fica completo se não houver uma análise minuciosa e manual de todos os pontos de entrada de dados da aplicação. Sem a interação humana em uma análise, muitas falhas podem ficar para trás;, explica Castro.
Além desses pedidos, as empresas pedem aos hackers para checar o perímetro de segurança de determinado projeto. ;Para o consultor não é fornecido nenhuma informação além do nome do alvo chamado de teste de intrusão ;black box;. A partir daí, ele tem que pensar e agir como um cracker(1) e precisa realizar os ataques utilizando desde técnicas que envolvem os testes nas aplicações até os de engenharia social onde é colocada à prova a política de segurança da empresa;, aponta.
Para o consultor, entrar no mercado de trabalho dos hackers do bem exige muito conhecimento. ;Os requisitos para ser um profissional de segurança é ter a habilidade de enxergar e analisar de um ponto de vista que ninguém nunca imaginou, conseguir ver as coisas como um cracker sem ser um e conhecer diversas técnicas de teste;, ressalta. Para ajudar quem já atua na área, Castro criou um blog (http://ulissescastro.com) com informações técnicas e dicas.
Cursos de formação
Empresas que oferecem cursos de segurança da informação perceberam a demanda por esses profissionais e montaram cursos específicos para torná-los um hacker do bem. ;Apesar de ainda estarmos na retaguarda em relação a alguns países do primeiro mundo que contam com leis na área de segurança desde a década de 1990, começamos a dar mais importância a isso. As empresas passaram a contratar bastante. O único problema é que os salários do Brasil com relação ao resto do mundo ainda estão muito desiguais;, diz Luiz Vieira, professor responsável pelos cursos de segurança da 4Linux (http:www.4linux.com.br).
Um dos cursos com o nome de técnicas de invasão de redes corporativas promete capacitar o aluno a realizar testes de segurança, identificar vulnerabilidades e ameaças. Com esses conhecimentos, o profissional poderá quantificar os riscos e nível de exposição da empresa e saberá identificar comportamentos hostis nas redes. ;Nosso objetivo com o curso é mostrar aos profissionais que já estão na área ou querem ingressar a descobrirem vulnerabilidades nos seus sistemas para que eles possam implementar os melhores controles de segurança;, aponta Vieira.
Um conceito importante ensinado na área de segurança é quanto a ética hacker. ;A ideia dessa ética seria instruir as pessoas de que o profissional do setor é completamente diferente de alguém que queira invadir. Não é porque ele está dentro de uma empresa e tem acesso a todas as informações sigilosas que vai utilizá-las de maneira ilícita;, ressalta Luiz. O professor salienta que se um profissional promover algum vazamento de informação, automaticamente será mal visto pelo mercado de trabalho.
1 - Conceitos diversos
O termo hacker ganhou novas acepções e foi, inclusive, categorizado. Os black hat, ou crackers, são aqueles criminosos que agem para o mal; os gray hat ficam em cima do muro e não sabem se fazem o certo ou o errado; e os white hackers, aqueles mais procurados para fazerem parte das empresas, pois seguem padrões sérios e se comprometem a comunicar às empresas ou às pessoas quando localizam uma falha de segurança em qualquer sistema.
ADOLESCÊNCIA SEM CAOS
; Os jovens até 19 anos também encontram cursos para aprender mais sobre hackers. Durante as aulas, os alunos desenvolvem habilidades e senso crítico para identificar malwares e falhas de segurança que permitem o roubo de dados e, principalmente, discernimento para saber como participar e como colaborar em uma sociedade em rede, conhecendo os princípios da ética hacker. Além disso, os professores prometem mostrar aos adolescentes um olhar mais apurado e perspicaz para perceber nos computadores e na internet uma grande oportunidade de negócios.
O número
119%
Crescimento do mercado de segurança da informação no primeiro trimestre deste ano em relação a 2009
O lado sombrio
Apesar dos bons estarem em alta, aqueles que utilizam o conhecimento para prejudicar outros usuários também estão à solta. Durante os cursos para formação de profissionais de segurança, os professores conseguem identificar aqueles que pretendem utilizar as informações de maneira ilícita. ;Quando percebemos que um aluno está brincando muito e querendo invadir as informações dos colegas, entramos em contato com a área da empresa e pedimos a remoção dele;, considera Vieira.
Esses hackers, chamados black hat, estão se proliferando pelas universidades. Foi isso que concluiu um relatório da empresa de segurança Tufin Technologies. De acordo com o estudo, 23% dos estudantes de graduação já invadiram algum tipo de sistema de computadores.
Curiosidade
Do total de pesquisados, 40% têm mais de 18 anos. As redes sociais foram as que mais sofreram com os hackers. De acordo com a pesquisa, 37% apontam o Facebook como a rede mais popular para invasão, seguido dos servidores de e-mail (26%) e de compras feitas via internet (10%).
A curiosidade é o que leva 22% a realizarem as ações, enquanto 15% fazem por dinheiro. A noção de que estavam fazendo algo errado não foram descartadas pelos estudantes já que 84% afirmaram saber que a invasão era crime.
Atalhos perigosos
Cada vez mais usados em redes sociais e microblogs, encurtadores de URL se transformam em arma para espalhar sites maliciosos
Marcelo Ferreira/CB/D.A Press
O funcionário público Leonardo Mendes foi vítima do spam que espalhou vírus pelo Twitter e prejudicou vários usuários
Sabe quando você precisa passar um site para alguém ou compartilhar um link no Twitter, mas o endereço é muito grande ou complicado? Esses problemas foram resolvidos com encurtadores de URL, com nomes e siglas cada vez menores: bit.ly, ow.ly, e por aí vai. No entanto, por trás desses úteis atalhos de internet podem se esconder spams, vírus e outros males às contas virtuais.
Por sua extensa utilização em redes sociais, os encurtadores de URL se tornaram um dos métodos preferidos dos cibercriminosos, segundo o Relatório do Panorama de Ameças, publicado pela BitDefender. Pelo levantamento, os atalhos são eficientes, pois os usuários não conseguem ver o destino real por trás do link.
Um dos maiores perigos desses endereços desconhecidos é a chance de eles direcionarem os visitantes para um malware. ;Diante disso, os cibercriminosos podem assumir o controle dos seus sistemas por meio da exploração de vulnerabilidades existentes no software e terem acesso a informações confidenciais, como dados bancários;, explica Daniel Parra, gerente de marketing e relações públicas da BitDefender no Brasil.
Com a crescente adesão dos internautas às redes sociais, a tendência é de que os encurtadores sejam cada vez mais utilizados. Segundo Parra, o melhor jeito de prevenir o roubo de dados é simples. ;Ter cuidado ao clicar em um link encurtado, principalmente se for de alguém desconhecido. Também deve-se usar a regra de ouro para baixar aplicativos na Internet: usar somente o fabricante oficial;. Utilizar serviços de encurtamento que verifiquem a natureza do conteúdo por trás do link, como o recém-anunciado goo.gl, do Google, ou o saf.li, também é recomendado.
Spam
No mês passado, um encurtador de URL foi o método utilizado para a disseminação na rede social Twitter de um spam com uma notícia sobre um suposto acidente sofrido por Pe Lanza, vocalista da banda Restart. Os usuários que clicaram no link acionaram um script que fazia seus perfis postarem automaticamente a mensagem em seus perfis, o que gerou uma avalanche de mensagens falsas no microblog.
O funcionário público Leonardo Mendes, 27 anos, foi um dos que clicaram no link naquele dia, e acabou sofrendo com uma série de outros spams em seu perfil. Ele conta que não percebeu o spam porque pensava que era uma brincadeira, já que várias pessoas estavam tuitando rapidamente a mensagem. ;No e-mail, quando alguém que você não conhece manda uma mensagem, você consegue perceber, mas no Twitter foi uma surpresa;, recorda.
Após ver que seu perfil começou a disparar a mensagem, ele imediatamente tomou providências de segurança. ;Na hora, limpei o cache (do navegador), a memória e, assim que percebi que era vírus, alterei a senha do meu perfil;. Ele relata que o problema normalizou após ter alterado boa parte de suas senhas.
O script foi elaborado pelo usuário @Joseph_Felix, que, após disseminar a falsa notícia, assumiu a autoria do ataque e disse ter descoberto uma falha de segurança. O script não infectava o computador nem os perfis, mas utilizava os cookies de autenticação para publicar mensagens involutariamente nos perfis de quem clicou no link.
Logo após a onda de spams, Felix explicou que o spam foi criado com a intenção de alertar a rede de microblog. ;Gostaria de pedir desculpas aos que foram pegos pelo bug. Fiz isso com a intenção de espalhar e mostrar para o Twitter, sendo que tendo reportado, nada foi corrigido;, tuitou. Após o incidente, @Joseph_Felix teve sua conta suspensa.
GOOGLE LANÇA ENCURTADOR
; Na última quinta, o Google decidiu entrar na batalha dos encurtadores de URLs com o endereço http://goo.gl/. Antes disponível dentro apenas de aplicações da empresa, o serviço está disponível para todos os usuários. Além de encurtar endereços, a página oferece estatísticas sobre a quantidade de cliques e alertas se o endereço apontar para um site suspeito de abrigar spam, phishing ou malware.