quinta-feira, 28 de janeiro de 2010

As 3 Leis de Mitnick

(do O GLOBO / dica de Francisco Oliveira)

Recebido como herói e aplaudido quando contava detalhes de alguns dos golpes que lhe valeram cinco anos de prisão na década de 90, o ex-hacker Kevin Mitnick deu nesta terça-feira, na Campus Party, uma aula sobre as mais modernas formas de invasão de sistemas. Mas, como o rapaz está regenerado, a palestra serve de alerta para os riscos que todos nós corremos hoje em dia na web e as medidas que mesmo os menos ligados em tecnologia devem tomar para se proteger.

Autor do livro "The Art of Deception" ("A Arte de Enganar", em português), Mitnick defende a tese de que o fator humano é o principal culpado pela maioria das falhas de segurança que levam a invasões de sistemas, roubos de dados e golpes cibernéticos em geral.

Primeira Lei de Mitnick:
" não forneça informações pessoais a estranhos "

- Afinal de contas, a Microsoft não tem como lançar uma atualização de sistema contra a estupidez, certo? - ironiza ele.

Mitnick afirma que os ataques de hackers são arquitetados a partir de uma mistura de conhecimento técnico de computação e "engenharia social". O termo, popularizado pelo próprio Mitnick nos anos 90, descreve a prática de se obter informações confidenciais por meio da manipulação. O famoso 171. Segundo o ex-hacker, a engenharia social tem diversas vantagens sobre a invasão "clássica" de sistemas: é mais barata, não pode ser detectada, não deixa rastros e funciona em todos os sistemas operacionais.

Segunda Lei de Mitnick:
" não clique em links desconhecidos e desconfie dos emails que recebe de empresas "

Para ilustrar a pouca importância que as pessoas dão a informacoes pessoais, Mitnick conta a história uma experiência feita por uma empresa de segurança em Londres. Eles ofereceram ingressos para uma peça de teatro, mas para isso pediam que um cadastro fosse preenchido. Todos os entrevistados forneceram o nome completo, 94% o nome de seus animais de estimação, 94% o nome de solteira da mãe, 98% o endereço, 96% nome da primeira escola onde estudaram, 92% a data de nascimento e 92% o número do telefone. Embora todas essas informações possam parecer inofensivas, elas são as mais utilizadas por instituições bancárias para confirmar a identidade de clientes.

No mundo dos internautas comuns, a maior ameaça hoje em dia é o famigerado "phishing", os falsos emails cujo objetivo é enganar algum internauta, levando-o a clicar em um link contaminado ou preencher um formulário com informações pessoais. Ou seja, uma forma sofisticada de engenharia social.

No Brasil, estamos acostumados a receber mensagens de bancos, empresas de telefonia, da Receita Federal com avisos de cobrança ou pedidos de mudanca de senha. Todas falsas. As mensagens mais comuns trazem links de sites infectados ou pedem que o internauta clique em um arquivo que instalará um programa espião em seu computador.

Terceira Lei de Mitnick:
" aprenda a dizer não "

Nos EUA, porém, já surgiu um modelo mais convincente, que envolve números de telefone na fraude. Por lá, sistemas bancários por telefone utilizam o nome do usuário e a senha para autenticar. Assim sendo, o golpista informa um número sob seu controle e deixa lá uma mensagem pedindo apenas essas duas informações. Como se prevenir contra isso? Ora, não ligue para telefones desconhecidos. O numero do seu banco está no cartão de débito ou crédito ou no site oficial da empresa - e é esse que você deve usar.

Mas claro que nem tudo é "papo". As ferramentas técnicas alavancam as possibilidades da engenharia social com aplicativos que muitas vezes podem ser comprados na internet. Veja o caso do "pocket phising", uma maquininha que custa US$ 30 e pode ser plugada em qualquer hotspot de aeroporto. Ela rastreia as conexões feitas a partir daquele hotspot, e a partir daí, pode invadir computadores na área. Daí a importância de não utillizar conexões wi-fi sem estar devidamente protegido por um bom firewall. E, de preferência, não acessar sites com informações importantes, como bancos, quando estiver nesse tipo de rede pública. O ataque ao Gmail na China, por exemplo, pode ter sido feito a partir de uma dessas maquininhas, aposta o ex-hacker.

Mitnick alertou ainda para uma das maiores vulnerabilidades do Windows: o "autorun". Essa é a função que faz com que CDs, DVDs e pendrives abram seus conteúdos automaticamente quando inseridos no computador. Com isso, um pendrive contaminado pode instalar vírus em sua máquina sem você saber, pois seu conteúdo rodará automaticamente. Portanto, desligue o autorun.

Em empresas, Mitnick dá algumas dicas de como estabelecer uma segurança efetiva, combatendo não só invasões cibernéticas, mas também golpes de engenharia social. Segundo ele, primeiro é preciso convencer o alto escalão da nececessidade de uma mudança de cultura. A partir daí, deve-se mostrar como as vulnerabilidades estão nas pessoas e fazer com que elas se sintam constrangidas pela possibilidade de serem enganadas. Devem existir ainda programas de segurança com participação dos funcionários e regras simples sobre o que são ou não informações confidenciais.

A regra mais importante, no entanto, é ignorar os preceitos da boa educação e aprender a dizer "não". A lição serve tanto para evitar aborrecimentos com ligações de telemarketing aos sábados de manhã quanto para não fornecer informações que devem ser vistas como confidenciais. Portanto, não preencha cadastros em sites ou formulários de papel de origem duvidosa (ou simplesmente desconhecida), não repasse informações por telefone, a não ser que você confie no interlocutor, e nunca, mas nunca, revele nenhuma de suas senhas.

Saudações!!

Nenhum comentário:

Postar um comentário