Mente Hacker

Economia e segurança

Publicada em 08/02/2010 15:56

Ao que tudo indica, teremos um 2010 muito favorável em relação aos investimentos em segurança da informação. Com o crescimento da economia brasileira – em 2% entre outubro e dezembro de 2009 – as projeções para o Produto Interno Bruto (PIB) em 2010 convergem para 6%. Isso significa que o aquecimento do mercado e a volta dos investimentos em segurança da informação devem puxar as melhorias nos processos que apresentam um alto grau de integração e sofisticação tecnológica. Mas há pelo menos cinco pontos que prometem agitar as discussões sobre segurança da informação em 2010.

Lei de crimes digitais

É provável que as discussões sobre a lei que coíbe os crimes na internet continuem quentes em 2010. Estou comentando isso porque, para entendermos como um vírus de computador realmente funciona, precisamos disseminá-lo em um ambiente controlado. Isso, segundo a lei contra crimes na internet, é tipificado como um crime, afetando diretamente os pesquisadores que trabalham no desenvolvimento de “vacinas” e na engenharia reversa dos vírus de computador.

Não podemos esquecer que o Brasil está atrasado em relação às leis que tratam sobre os crimes na web. Atualmente, a polícia não consegue avançar no combate às infrações eletrônicas porque as informações necessárias para uma investigação chegam atrasadas à polícia. Podem durar meses até que as provas sejam coletadas.

Acesso remoto seguro ou inseguro?

O executivo está conectado, remotamente, ao ambiente computacional da sua empresa. O filho desse executivo, um nativo digital que conhece técnicas de invasão, utiliza o computador da empresa para “fuçar” na intranet. Ele encontra uma área restrita relacionada ao departamento de recursos humanos.

A curiosidade desse jovem faz com que busque alguma vulnerabilidade na intranet – na aplicação – para ter acesso total à folha de pagamento. Após poucos minutos “fuçando” na aplicação ele descobre uma brecha de segurança que permite consultar toda a relação de salários e benefícios dos funcionários da organização. E tudo isso usando o próprio computador da empresa que está conectado através de um acesso remoto (VPN). Essa é uma história real que acontece com a grande maioria das empresas.

O executivo fora da lei

Diversos executivos, preocupados com o que os seus funcionários estão fazendo na internet e com o vazamento de informações confidenciais, monitoram – indevidamente – os e-mails pessoais e os programas de mensagens instantâneas. Algumas opções rotuladas como DLP (Data Loss Prevention) ainda estão fora da realidade econômica de diversas empresas.

Em outras palavras, o alto custo não justifica o investimento. Porém, algumas soluções ligadas à área forense computacional e outras mais baratas relacionadas à utilização de programas espiões estão sendo instaladas no ambiente computacional corporativo.

Com um custo mais acessível, essas tecnologias permitem monitorar através de palavras-chaves (em qualquer meio eletrônico: documentos, planilhas, blogs, Twitter, e-mails etc), mensagens trocadas através dos programas de mensagens instantâneas e até mesmo a realização de uma cópia de todas as informações armazenadas nos pen drives pessoais dos funcionários. Este tipo de técnica já permitiu que executivos identificassem quais funcionários estavam participando de um esquema de propina. Mas essa ação pode ser considerada invasão de privacidade porque o colaborador não assinou um termo declarando estar ciente que estará sendo monitorado.

A família espiã

Em janeiro de 2009, publicamos na coluna “Mente Hacker” o artigo “A família hacker”. Cada vez mais, pais, filhos, namorados ciumentos, amantes etc, estão instalando programas espiões para monitorar o computador de alguém da família. Estes programas permitem monitorar o conteúdo que está sendo divulgado ou lido nos sites de relacionamento, e-mails, programas de mensagens instantâneas etc.

Também é possível identificar os arquivos acessados e as páginas visitadas na internet. A facilidade de compra e o preço acessível estão permitindo um aumento das vendas dos programas espiões. Um detalhe interessante é que não precisamos ter um conhecimento técnico avançado para utilizar estes programas espiões. É simples de instalar e muito fácil de usar. A família espiã estará mais ativa do que nunca em 2010.

Investimentos em segurança nem sempre evitam as invasões

A decisão dos gerentes de TI de disponibilizarem a maior parte do orçamento para a compra de dispositivos de segurança que protegem a camada de rede, por exemplo, firewall, antivírus e anti-spam, é um equivoco que poderá gerar grandes perdas financeiras para as empresas. Isso ocorre porque as principais técnicas de invasão estão relacionadas a vulnerabilidades na camada de aplicação – que recebe quase nenhum investimento. Entre outras palavras, o orçamento está sendo gasto com a proteção/tecnologia errada.

É necessário evoluir as discussões sobre segurança no processo de desenvolvimento de software e na adoção de sistemas conhecidos como Web Application Firewall. Os gestores de TI devem determinar objetivos/controles de segurança para o processo de desenvolvimento de software (intranet, extranet, sistemas de venda, CRM, ERP etc), atendendo às necessidades do negócio, permitindo que a organização assuma projetos de alto risco.

Denny Roger é diretor da EPSEC e presidente da Associação Brasileira de Segurança da Informação  (Abrasinfo), membro do Comitê Brasileiro sobre as normas de gestão de segurança da informação (série 27000), membro do International Association of Emergency Managers (IAEM), especialista em análise de risco, projetos de redes seguras e perícia forense. E-mail: denny@epsec.com.br, Twitter: http://twitter.com/dennyroger, Blog: http://blog.dennyroger.com.br/.