Já sabemos que hackers estão sempre buscando novas formas de espalhar seus programas. Daí que não me espanta os recentes problemas no Twitter e outros sites de relacionamento. Também não me espanta o que anda ocorrendo no Skype. Não me espanta, mas me irrita bastante!
Ao lado está uma cópia de meu Skype. Eu recebo diariamente ao menos 5 "convites" de contato, de usuários distintos e todos com URLs com propósito claro de executar download involuntário. Não tive tempo de testar-las mas não tenho dúvidas sobre o resultado final se eu as clicasse.
As primeiras reclamações e discussões datam do último trimestre de 2007. Infelizmente até agora nada foi feito de concreto. Em um contato com o suporte técnico do Skype, a recomendação é que eu desligasse a notificação de novos pedidos de contato. Como bem explicou o técnico de suporte "isso não eliminará o problema, você continuará a receber os convites de contatos, mas não aparecerá mais notificações". Dessa forma ao longo do mês os cerca de 100 convites fraudulentos que eu receberia iriam permanecer na minha tela, mas eu apenas não seria avisado. Sem comentários!
Um post de 19/08 no blog do Skype anuncia medidas que ainda serão anunciadas. Mas os comentários mostram também o nivel de irritação dos usuários. O post está em: http://share.skype.com/sites/en/2009/08/our_antispam_initiatives.html
Isso mostra como os desenvolvedores em geral estão despreparados para lidar com os problemas de spam e segurança. Para sistemas de relacionamento e IM/VOIP como o Skype isso pode ser fatal, já que os usuários podem simplesmente migrar para outro site ou software.
Os artigos refletem a opinião pessoal do autor, e não de seus empregadores.
terça-feira, 25 de agosto de 2009
sexta-feira, 7 de agosto de 2009
Palestra "Green Security"
No inicio do mês apresentei palestra na Netcom 2009, evento na área de redes, com o tema de Green Security. A palestra abordou a aplicação de conceitos de TI Verde em segurança de redes, como virtualização, consolidação, segurança como serviço. Para quem se interessar, e só me enviar um email que respondo com os slides.
quinta-feira, 6 de agosto de 2009
Botnets, as 10 +
A Network World publicou artigo bem interessante, com o título de “As 10 botnets mais procuradas da América”. Há alguma confusão entre a botnet e o malware utilizado, mas não deixa de ser uma boa leitura. Juntas, as redes listadas somam mais de 12 milhões de computadores infectados. O artigo também resume as atividades executadas por cada rede.
Em http://www.networkworld.com/news/2009/072209-botnets.html.
Em http://www.networkworld.com/news/2009/072209-botnets.html.
terça-feira, 4 de agosto de 2009
Cyberwar
Há muito se fala do uso da Internet como ferramenta de ação política ou militar, no que nos acostumamos a chamar de cyberwar, ciberguerra ou gerra cibernética. Apesar de ainda fazer parte do imaginário e dos temas de filmes de Hollywood, alguns fatos esse ano mostraram que a realidade pode estar mais perto do que parece.
Na semana de 4 de Julho, diversos sites da Coreia do Sul e dos Estados Unidos sofreram ataques denial of service, e culparam a inimiga histórica – Coreia do Norte. Um dos resultados foi o anuncio de uma nova unidade militar na Coreia do Sul especializada em defesa digital. Em 25 de Junho o site do Telegraph do Reino Unido (http://www.telegraph.co.uk) publicou notícia sobre a acusação, por parte de um alto funcionário do governo daquele país, de que a China, Russia e a Al-Qaeda estavam promovendo ataques contra a infraestrutura digital do país, e que o governo britânico estava lançando uma nova estratégia para defesa digital, incluindo ataques terroristas que poderiam ser lançados no futuro. Coincidência ou não, o governo dos Estados Unidos anunciou há algumas semanas um novo plano de defesa contra ataques e uma nova estrutura organizacional, com pesados investimentos e um claro aviso de que pode revidar ataques cibernéticos militarmente, com forças convencionais, para deixar bem claro. De qualquer forma, os países anunciaram que o contra-ataque faz parte da estratégia.
Não considero que chegamos ao ponto, como alguns já falam, de uma nova guerra fria, cibernética e virtual; mas o fato é que os ataques contra a Coreia do Sul e a Estônia em 2007 mostraram que é possível atingir e causar danos sérios a um país via ataques coordenados. Para quem não se lembra do caso da Estonia, em 2007 uma ataque praticamente tirou o pequeno país do ar, incluindo sites governamentais e privados. Houve acusações contra a Russia, porém nada foi provado. Em alguns países totalitários, como China e Irã, já há uma “guerra cibernética” em curso, entre o governo que tenta bloquear o acesso livre à Internet e grupos de dissidentes com suas ferramentas para burlar os sistemas de controle. É uma situação diferente, porém o motivo da censura é político. Uma preocupação dos países ocidentais é impedir que a Internet seja usada para coordenar e sincronizar ações terroristas “físicas”. Porém aqui já entramos em outra discussão: como prevenir o mau uso sem atingir a privacidade.
Mas o que é fantasia e o que é realidade? O que realmente pode ser feito contra um país a partir da Internet? O ataque à Estonia mostrou uma das possibilidades: um ataque denial of service, retirando serviços essenciais do ar. Um ataque DoS bem sucedido pode não comprometer a infraestrutura física de um país, mas certamente causa danos e prejuizos, além do efeito psicológico. Realizar esse ataque não é hoje algo especialmente complicado, dado às redes bot com milhares e milhares de computadores ao redor do mundo. Por outro lado, redes do mundo todo estão mais preparadas para lidar com esse tipo de ameaça. Outro evento possível, e o que mais reclamam países como Estados Unidos e Reino Unido, é o de espionagem. Técnicas existem, assim como farto conhecimento de como explorar vulnerabilidades para invadir redes de computador. É certo que muitos casos de vazamento são simplesmente erros crassos de usuários ou administradores de sistemas, mas enfim essas são vulnerabilidades exploráveis, como qualquer outra. Outros ataques, que derrubariam redes de energia elétrica, telecomunicações ou até aviões ainda continuam no espaço da ficção, e pelo que parece os governos estão tentando fazer com que lá permaneçam.
É notável que os Estados Unidos, onde há bem mais de dez anos diferentes agências governamentais como CIA, FBI e NSA (agência de segurança nacional) atuam ativamente na área de segurança cibernética, ainda esteja procurando a estratégia ideal. Tive a oportunidade de conhecer alguns profissionais que antes de trabalharem no setor privado atuaram em unidades especializadas. Um deles trabalhou no Exército americano e tinha como função investigar ataques à rede da instituição em qualquer lugar do mundo, com o complicador que muitas vezes o patrocinador do ataque era o governo de outro país. É seguro dizer que segredos militares foram muitas vezes roubados.
O Governo Brasileiro felizmente também está se organizando, com o Departamento de Segurança da Informação e Comunicações (DSIC), que faz parte do Gabinete de Segurança Institucional da Presidência da República, o que é bom sinal, já que está subordinado diretamente ao Presidente. Uma estrutura centralizada de coordenação e planejamento é mesmo essencial. De acordo com o site Convergência Digital, do portal Terra, a administração pública federal possui 320 redes informatizadas e, em apenas uma delas, os ataques de hackers chegaram a três milhões em 2008.
Em comparação aos seus similares na América do Norte e na Grã Bretanha, o DSIC possui hoje desafios mais prosaicos, porém não menos complexos: disseminar os conceitos de segurança de informação aos quase um milhão de servidores públicos. Isso não quer dizer que seja menos importante. Vulnerabilidades causados por erro humano são as mais fáceis de explorar e as mais dificeis de prevenir e detectar. Geralmente é tarde demais e o arquivo sigiloso já foi perdido ou vendido. Não adianta investir em hardware e software se os dados continuarem a passear sem controle, ou protegidos por senhas fracas e conhecidas, ou sem senha alguma. Por outro lado o governo brasileiro possui alguns dos melhores e mais bem preparados grupos de resposta a ataques do país, em empresas como o Banco do Brasil, Petrobras e Serpro. Aos poucos esse conhecimento será disseminado para governos estaduais e municipais, além de empresas privadas.
Não precisamos chegar ao ponto do Paquistão, que proclamou em 2008 uma lei que pune com a pena de morte os autores de ciberterrorismo, mas é essencial que a infraestrutura e os serviços digitais, assim como dados sigilosos e importantes para o país estejam protegidos.
Na semana de 4 de Julho, diversos sites da Coreia do Sul e dos Estados Unidos sofreram ataques denial of service, e culparam a inimiga histórica – Coreia do Norte. Um dos resultados foi o anuncio de uma nova unidade militar na Coreia do Sul especializada em defesa digital. Em 25 de Junho o site do Telegraph do Reino Unido (http://www.telegraph.co.uk) publicou notícia sobre a acusação, por parte de um alto funcionário do governo daquele país, de que a China, Russia e a Al-Qaeda estavam promovendo ataques contra a infraestrutura digital do país, e que o governo britânico estava lançando uma nova estratégia para defesa digital, incluindo ataques terroristas que poderiam ser lançados no futuro. Coincidência ou não, o governo dos Estados Unidos anunciou há algumas semanas um novo plano de defesa contra ataques e uma nova estrutura organizacional, com pesados investimentos e um claro aviso de que pode revidar ataques cibernéticos militarmente, com forças convencionais, para deixar bem claro. De qualquer forma, os países anunciaram que o contra-ataque faz parte da estratégia.
Não considero que chegamos ao ponto, como alguns já falam, de uma nova guerra fria, cibernética e virtual; mas o fato é que os ataques contra a Coreia do Sul e a Estônia em 2007 mostraram que é possível atingir e causar danos sérios a um país via ataques coordenados. Para quem não se lembra do caso da Estonia, em 2007 uma ataque praticamente tirou o pequeno país do ar, incluindo sites governamentais e privados. Houve acusações contra a Russia, porém nada foi provado. Em alguns países totalitários, como China e Irã, já há uma “guerra cibernética” em curso, entre o governo que tenta bloquear o acesso livre à Internet e grupos de dissidentes com suas ferramentas para burlar os sistemas de controle. É uma situação diferente, porém o motivo da censura é político. Uma preocupação dos países ocidentais é impedir que a Internet seja usada para coordenar e sincronizar ações terroristas “físicas”. Porém aqui já entramos em outra discussão: como prevenir o mau uso sem atingir a privacidade.
Mas o que é fantasia e o que é realidade? O que realmente pode ser feito contra um país a partir da Internet? O ataque à Estonia mostrou uma das possibilidades: um ataque denial of service, retirando serviços essenciais do ar. Um ataque DoS bem sucedido pode não comprometer a infraestrutura física de um país, mas certamente causa danos e prejuizos, além do efeito psicológico. Realizar esse ataque não é hoje algo especialmente complicado, dado às redes bot com milhares e milhares de computadores ao redor do mundo. Por outro lado, redes do mundo todo estão mais preparadas para lidar com esse tipo de ameaça. Outro evento possível, e o que mais reclamam países como Estados Unidos e Reino Unido, é o de espionagem. Técnicas existem, assim como farto conhecimento de como explorar vulnerabilidades para invadir redes de computador. É certo que muitos casos de vazamento são simplesmente erros crassos de usuários ou administradores de sistemas, mas enfim essas são vulnerabilidades exploráveis, como qualquer outra. Outros ataques, que derrubariam redes de energia elétrica, telecomunicações ou até aviões ainda continuam no espaço da ficção, e pelo que parece os governos estão tentando fazer com que lá permaneçam.
É notável que os Estados Unidos, onde há bem mais de dez anos diferentes agências governamentais como CIA, FBI e NSA (agência de segurança nacional) atuam ativamente na área de segurança cibernética, ainda esteja procurando a estratégia ideal. Tive a oportunidade de conhecer alguns profissionais que antes de trabalharem no setor privado atuaram em unidades especializadas. Um deles trabalhou no Exército americano e tinha como função investigar ataques à rede da instituição em qualquer lugar do mundo, com o complicador que muitas vezes o patrocinador do ataque era o governo de outro país. É seguro dizer que segredos militares foram muitas vezes roubados.
O Governo Brasileiro felizmente também está se organizando, com o Departamento de Segurança da Informação e Comunicações (DSIC), que faz parte do Gabinete de Segurança Institucional da Presidência da República, o que é bom sinal, já que está subordinado diretamente ao Presidente. Uma estrutura centralizada de coordenação e planejamento é mesmo essencial. De acordo com o site Convergência Digital, do portal Terra, a administração pública federal possui 320 redes informatizadas e, em apenas uma delas, os ataques de hackers chegaram a três milhões em 2008.
Em comparação aos seus similares na América do Norte e na Grã Bretanha, o DSIC possui hoje desafios mais prosaicos, porém não menos complexos: disseminar os conceitos de segurança de informação aos quase um milhão de servidores públicos. Isso não quer dizer que seja menos importante. Vulnerabilidades causados por erro humano são as mais fáceis de explorar e as mais dificeis de prevenir e detectar. Geralmente é tarde demais e o arquivo sigiloso já foi perdido ou vendido. Não adianta investir em hardware e software se os dados continuarem a passear sem controle, ou protegidos por senhas fracas e conhecidas, ou sem senha alguma. Por outro lado o governo brasileiro possui alguns dos melhores e mais bem preparados grupos de resposta a ataques do país, em empresas como o Banco do Brasil, Petrobras e Serpro. Aos poucos esse conhecimento será disseminado para governos estaduais e municipais, além de empresas privadas.
Não precisamos chegar ao ponto do Paquistão, que proclamou em 2008 uma lei que pune com a pena de morte os autores de ciberterrorismo, mas é essencial que a infraestrutura e os serviços digitais, assim como dados sigilosos e importantes para o país estejam protegidos.
Assinar:
Postagens (Atom)