Michael Stanton - Artigos

Ano 2001 Página Inicial (Índice)

12/03/2001
• O assalto do crime organizado ao comércio eletrônico

Na coluna anterior, alertamos aos usuários individuais do perigo permanente de compartilhar remotamente arquivos entre sistemas Windows. Esta vulnerabilidade é a sétima das "10 mais" incluídas na lista publicada em junho de 2000 pelo Instituto SANS (System Administration, Networking, and Security) e o FBI (polícia federal dos EUA). O SANS documenta estas "10 mais" em www.sans.org/topten.htm, e indica os passos a tomar para fortalecer a segurança dos sistemas afetados.

Infelizmente, devido a características do processo de geração de software de computadores, que já tivemos oportunidade de comentar antes, é comum que sejam distribuídas ou vendidas aplicações novas em software, com pequenas falhas de projeto, e estas falhas são descobertas apenas depois da sua distribuição. O conserto destas falhas requer então a aplicação de "remendos" ao software em uso, ou pelo usuário, no caso de máquinas individuais, ou pelo administrador de rede, em outros casos. Estes remendos estão disponíveis pela Rede, e o Instituto SANS é apenas uma das organizações que divulgam os problemas e sua solução, embora ele seja hoje talvez a mais importante. Deve-se notar, então, que cabe aos administradores de rede, ou, mais especificamente, aos administradores de segurança de redes, a tarefa de monitorar o estado das redes sob sua responsabilidade, e a aplicação dos remendos apropriados às vulnerabilidades já apontadas.

Isto nos ajuda a entender o significado da notícia mais conseqüente da semana, que foi o anúncio no dia 8 de março pelo FBI que ao longo dos últimos meses tem havido mais de 40 ataques via a Internet a bancos e empresas de comércio eletrônico norte-americanos, a partir da Rússia e Ucrânia, com o roubo de mais de um milhão de números de cartões de crédito (cnn.com.br/2001/tec/03/08/hackers/index.html ). (É altamente provável, embora ainda não confirmado, que tenham sido afetadas também bancos e empresas em outros países.) Após o roubo dos números dos cartões, as empresas atacadas vinham sendo chantageadas pelos atacantes, para obrigá-las a pagar a contratação de "serviços de segurança", sob ameaça de divulgação do roubo ocorrido. Há casos desta ameaça ter sido cumprida. As empresas afetadas chamaram o FBI, que acabou dando plena divulgação à ocorrência, para tentar conter o contágio.

A notícia divulgada na semana passada menciona "gangues" e "organizações criminosas" como os responsáveis para esta onda de ataques, e ela aparenta ser coordenada e profissional. Segundo alguns, esta foi um desastre anunciado, justamente pela atitude pouco profissional da toda a indústria perante os problemas de segurança de informação e comunicação (www.arstechnica.com/wankerdesk/01q1/greathack-1.html). Os ataques exploraram principalmente a vulnerabilidade número 4 da lista dos "10 mais" do SANS, que afeta o software IIS (Internet Information Server) da Microsoft, cujas falhas são conhecidas desde 1998. As organizações que utilizem o IIS, sem aplicar os remendos indicados, estão brincando com fogo. Para facilitar a avaliação da situação, está sendo distribuída nestes dias uma ferramenta para testar as vulnerabilidades exploradas pelos criminosos, disponível do sítio do Center for Internet Security (www.cisecurity.org/toolreq.html).

Na coluna de 23 de outubro , já batemos na tecla de segurança na Internet, enfatizando a posição do autor Bruce Schneier que segurança é um processo e não um produto. Não adianta adquirir uma parede corta-fogo (firewall), ou consertar os problemas hoje conhecidos da versão atual do IIS. Nunca será suficiente, pois o tratamento correto requer uma ação contínua. O Instituto SANS reforça esta posição, através de outro documento, www.sans.org/mistakes.htm, que enumera as falhas humanas mais comuns entre usuários e administradores, sem esquecer os executivos das organizações, que terão a responsabilidade de lidar com eventuais prejuízos causados pela insegurança dos seus sistemas de informação. Hoje em dia, a tecnologia de informação permeia toda a estrutura das empresas, e falhas de segurança nesta área podem ter conseqüências devastadoras para as fortunas delas. Afinal, os criminosos puderam chantagear as empresas atacadas, pois a mera divulgação do ataque danificaria a reputação da vítima, podendo afugentar seus clientes.

É preciso, portanto, reconhecer as limitações inerentes na abordagem atualmente adotada amplamente por empresas e pessoas que são usuários da Internet. Organizações como o SANS possibilita limitar a extensão do perigo, mas o custo é a vigilância constante. No futuro deve haver maior confiabilidade dos produtos lançados no mercado. Talvez seja facilitada a distribuição e aplicação das correções. Certamente uma parte da solução deve ser a autenticação adequada da origem das mensagens enviadas pela rede, através do uso de soluções criptográficas, já discutidas aqui em diferentes ocasiões. A contribuição que nos traz a comunicação de informação é grande demais para deixar no atual estado a sua segurança. Porém, ainda poderemos mais surpresas desagradáveis a curto prazo.

Michael Stanton (michael@ic.uff.br), que é professor titular de redes do Instituto de Computação da Universidade Federal Fluminense, escreve neste espaço todas as semanas sobre a interação entre as tecnologias de informação e comunicação e a sociedade. Os textos das colunas anteriores também estão disponíveis para consulta .