® BuscaLegis.ccj.ufsc.br
Compras pela Internet em tempos de ciberterrorismo
14/11/2001 - 23:32 Paulo Perez
Há meses, estamos sendo bombardeados por relatos de novos incidentes
associados a proliferação de vírus como o Code Red II e o Nimda, que possuem em
si "backdoors" (portas do fundo) que permitem ao invasor ter acesso
às informações confidenciais que temos em nossos micros, como dados pessoais,
números de cartões de crédito e até mesmo senhas. Paralelamente, a imprensa
mundial noticia que agências americanas e de outros países estariam
utilizando-se de programas para a espionagem de informações na Internet,
fazendo a captura e análise de e-mails, mensagens do ICQ e outras operações via
web. Num cenário como este, a pergunta que deve naturalmente surgir na mente de
todos nós é: "até que ponto estamos seguros ao fazermos transações de
compra ou movimentação financeira na Internet?".
Quando falamos de segurança das transações via Internet, três componentes
críticos devem ser analisados: a segurança do micro utilizado; a segurança do
servidor onde será efetuada a operação; e a própria segurança da rede de
comunicação que liga nosso micro até o servidor.
A segurança do equipamento do cliente está associada aos cuidados básicos de
proteção individual, como o uso de programas antivírus, restrições ao abrir
e-mails de origem duvidosa, com cuidado especial naqueles que contém programas
de terceiros; e principalmente manter atualizadas as versões dos softwares em
uso, incluindo os antivírus, navegadores Internet e o próprio sistema
operacional. Entretanto sabemos que muitos destes programas e suas atualizações
possuem tamanhos na faixa dos megabytes e nestes casos nem sempre é fácil
realizar estas atualizações periódicas, ainda mais para quem usa uma linha
discada convencional com velocidade de alguns kbits por segundo. Neste caso
todo cuidado é pouco e vale seguir a velha regra de nunca confiar em e-mails
vindos de fonte desconhecida ou mesmo instalar programas que não sejam
oficiais.
A segurança do servidor onde são feitas as transações, por exemplo em um
banco, é algo vital uma vez que as informações que ele armazena são os dados
cadastrais e senhas de seus diversos clientes. Justamente por isto, as
organizações implementam uma série de mecanismos de segurança, como firewalls,
proxies, ferramentas de IDS, e outras ferramentas de auditoria e controle de
acesso aos serviços oferecidos. Neste cenário, a segurança do servidor depende
da instituição dispor de um "Security Office" que seja responsável
por administrar todos os componentes de segurança do sistema, instalando-os,
configurando-os apropriadamente, mantendo suas versões atualizadas, e acima de tudo
acompanhando os incidentes de segurança de forma a identificar e isolar
eventuais tentativas de ataque. Tais medidas de segurança apresentam um elevado
custo de implantação e manutenção, o que faz com que somente as grandes
empresas e normalmente os IDCs (Internet Data Centers) sigam os procedimentos
de forma apropriada.
A rede de comunicação que liga o cliente ao servidor, normalmente a própria
Internet, é tipicamente outro ponto de notória vulnerabilidade e onde ocorrem
muitos dos incidentes de segurança. Por sua própria natureza, a Internet é uma
nuvem de milhares de redes interligadas e espalhadas por todo o mundo. Quando o
micro do cliente envia uma mensagem, ela passa de "mão em mão" nos
diversos equipamentos situados dentro desta nuvem, sendo que este caminho
começa no provedor de acesso do cliente, passa pelo backbone Internet local,
regional, nacional e prossegue até chegar no servidor que está conectado em
alguma extremidade desta teia. A segurança desta nuvem, assim como num sistema,
depende da segurança de todos os componentes que dela fazem parte, por isto é
fácil de se entender porque não é possível assegurar que a Internet seja
absolutamente segura.
Muitas vezes o provedor de acesso do cliente implementa medidas de
segurança, como o uso de firewalls, mas a partir do momento em que as mensagens
deixam os limites de sua rede ele perde o controle das mesmas e não pode mais
responder por sua segurança. Num ambiente como este, se um dos elementos da
nuvem for atacado, o mesmo pode ser utilizado para capturar e monitorar todas
as mensagens que passam por ele. Por exemplo, neste cenário todos os e-mails
que são enviados em texto claro (sem nenhum tipo de criptografia), e que passem
por um componente "invadido", podem ser abertos e até mesmo modificados
e reenviados.
Ataques de vírus e "worms", como o Code Red, Nimda e o SirCam,
buscam por vulnerabilidades seja na máquina do cliente ou no servidor. Um dos
mecanismos de infecção e propagação do Nimda foi através de e-mail,
contaminando os micros que de alguma forma (ou pela falha existente no Outlook
ou por descuido do usuário) executassem o programa "readme.exe" que
vinha no e-mail contaminado. O foco principal do Code Red era encontrar e
contaminar servidores web que utilizavam uma versão do IIS (Internet Information
Server) que apresentava algumas vulnerabilidades. Já no Code Red II, além da
infecção, o "worm" deixava ainda instalado um programa de
"backdoor" que permitia ao atacante ter controle sobre a máquina
invadida. O risco potencial de um "backdoor" destes é gigantesco,
pois possibilita ao invasor copiar toda e qualquer informação existente no
servidor, ou ainda modificar os programas utilizados durante as transações com
os clientes. O próprio Nimda também fazia uso deste "backdoor" para se
instalar numa máquina que previamente tivesse sido contaminada pelo Code Red
II.
Ferramentas de "espionagem" na Internet, como o Carnivore,
utilizado pelo FBI americano, atuam justamente na rede de comunicação ficando
instalado em algum dos componentes de comunicação da nuvem Internet e a partir
daí passando a capturar e monitorar todas as mensagens que por ali transitam.
Como existem programas de domínio público que desempenham a mesma função que o
Carnivore, como é o caso do Altivore, é lógico supor que possam existir
provedores ou mesmo corporações que eventualmente estejam vasculhando os
e-mails, acessos Web, mensagens ICQ e tantos outros meios de comunicação que
seus usuários estejam utilizando na rede coorporativa. No instante em que
existe este "monitoramento" sem o conhecimento e concordância dos
usuários, temos claramente uma violação da privacidade do indivíduo e um risco
potencial às suas informações pessoais.
Estes mesmos programas que capturam as mensagens não são capazes, em muitos
casos, de fazê-lo em tempo hábil, pois se pensarmos que existem links Internet
de gigabits por segundo, na atual tecnologia literalmente não existem
equipamentos que sejam capazes de processar as mensagens a esta velocidade.
Outra limitação está no fato de que estas ferramentas não são capazes de
interpretar mensagens codificadas (criptografadas através de algoritmos
complexos). A conhecida "conexão segura", que muitos sites oferecem,
justamente faz uso de um mecanismo (por exemplo o SSL de 128bits) que usa a
codificação e decodificação das informações trocadas entre o cliente e
servidor, isto com o intuito de evitar que as mesmas sejam copiadas ou
adulteradas caso sejam capturadas por alguma ferramenta de
"espionagem" na rede.
Para os mais "desconfiados" e que não querem correr o risco de
terem seus e-mails vasculhados, existem ferramentas de criptografia de e-mails,
como o PGP, que permitem codificar o conteúdo de um e-mail com uma chave
secreta de tal forma que somente quem o receber, tiver o mesmo programa e
souber a chave, será capaz de abri-lo e ver seu conteúdo. Num mundo globalizado
onde podemos imaginar que nossos micros estão sendo invadidos e nossas
mensagens espionadas, como é possível ter tranqüilidade na hora de fazer uma
compra pela Internet ou fazer um DOC eletrônico?
Se os cuidados básicos de segurança individual forem tomados, estaremos
minimizando os eventuais riscos do lado do cliente. Além disto, se toda vez que
formos fazer algum tipo de operação, tivermos o cuidado de nos certificar que o
servidor na outra ponta implementa mecanismos de comunicação segura (alguns até
apresentam na sua página um certificado indicando isto), a possibilidade de
algum tipo de incidente será significativamente reduzida. Claro que além disto
seria importante saber se a instituição adota uma política de segurança e faz
uso dos mecanismos apropriados citados, entretanto isto nem sempre é possível
de se constatar aos olhos leigos de quem simplesmente está acessando um site de
um banco ou empresa de vendas na Internet. Mas podemos nos tranqüilizar ao
saber que depois dos recentes incidentes, a grande maioria das médias e grandes
empresas que ainda não adotavam tais medidas, já estão agindo no sentido de
resolver estas pendências.
Resta considerar que apesar de todos os riscos levantados, as medidas de
segurança que existem nos deixam numa situação que não está muito longe daquela
que temos no mundo real onde o maior perigo pode estar na clonagem de um cartão
de crédito. Neste mesmo mundo ainda existe a possibilidade de alguém do serviço
postal, ou às vezes alguém do nosso próprio prédio, abrir e ler nossas
correspondências. O que na verdade vemos é que os riscos do mundo virtual,
constituído por uma rede de computadores que se espalha pelo globo, não estão
muito longe dos mesmos problemas que temos a poucos metros de nossos lares.
Paulo Perez é Gerente de Engenharia de Segurança de Sistemas da Open Communications Security
Retirado de: http://www.infoguerra.com.br