|
15 de dezembro de 2003
Apesar de as metodologias e técnicas de defesa terem apresentado novidades importantes, as técnicas de ataques também seguiram a mesma evolução. Assim, o ano de 2003 marca o início de uma nova fase para o mercado de Segurança da Informação: investir neste mercado passou a ser uma das principais necessidades dos executivos para prevenir e combater as ameaças e riscos que rondam os sistemas em redes. No Brasil, um bom parâmetro para o mapeamento desta área está exposto na 9ª Pesquisa Nacional de Segurança da Informação, realizada pela Módulo entre os meses de março e agosto. Segundo análise de Fernando Nery, sócio-fundador da empresa, "a pesquisa, em termos técnicos, ratifica os desafios principais enfrentados pelas organizações: A preocupação com vírus,
funcionários insatisfeitos e senhas como principais
ameaças; O Ano da Fraude Igual ou talvez pior que os anos anteriores. O ano de 2003 revelou que o crescimento das ameaças e riscos está diretamente relacionado com a migração dos negócios para o universo eletrônico. Segundo Cristine Hoepers, Analista de Segurança Sênior do grupo NIC BR Security Office (NBSO), o contínuo aumento no número de incidentes é um fator observado por todos os grupos de resposta a incidentes nos últimos anos. A tendência, diz a especialista, é que estes números dobrem a cada ano. "Por um lado, a disponibilidade de ferramentas cada vez mais poderosas e o crescimento na disseminação de worms pela Internet tem tornado a deflagração de ataques muito mais rápida e eficiente. Por outro lado, os sistemas estão cada vez mais complexos e é cada vez mais difícil mantê-los atualizados ou manter uma arquitetura de segurança que proteja as redes dos ataques atuais", explica. Um dos principais ataques direcionados a organizações brasileiras e usuários finais foram as fraudes e golpes on-line. Para se ter uma idéia, somente o número de fraudes reportadas no terceiro trimestre desse ano foi maior que o observado no ano de 2002 inteiro, segundo levantamento realizado pelo NBSO. A prática se tornou tão constante na web brasileira, que outro conceituado grupo de segurança do país, o Centro de Atendimento a Incidentes de Segurança da Rede Nacional de Ensino e Pesquisa (CAIS/RNP), caracterizou 2003 como o "Ano da Fraude". "As fraudes mais freqüentes envolveram páginas falsas de bancos e a instalação de patches falsos. Os golpes também se proliferaram neste ano, basta lembrar do Big Brother 4, das 'raspadinhas' virtuais, dentre outros. Tanto as fraudes quanto os golpes chegam à caixa postal do usuário através de spam, com um texto nem sempre bem escrito, sugerindo a instalação de algum programa em anexo ou disponível em determinado site. Na maioria das vezes o remetente destes e-mails é bem parecido com um endereço de e-mail institucional da empresa vítima do golpe", explica Renata Cicilini Teixeira, Analista de Segurança Sênior do CAIS. Mas se há alguém que pensa que as autoridades brasileiras estão sendo negligentes com a ação desses criminosos está enganado. Em 2003, a Polícia Federal trabalhou com o propósito de caçar e prender os fraudadores de Internet. E os resultados foram positivos. No final de novembro, dez suspeitos de integrar uma das maiores quadrilhas especializadas em fraudes na internet foram presos no litoral do Piauí, revelou reportagem de Mauro Albano da Agência Folha. Ainda em novembro, a Delegacia de Defraudações e Falsificações de Fortaleza prendeu Josenias Barbosa dos Santos, acusado de liderar uma das quadrilhas de fraudadores de internet. Todas essas ações representam a continuidade da operação "Cavalo de Tróia", realizada pela Polícia Federal no início de novembro, nos estados do Pará, Goiás, Maranhão e Piauí. A operação contou com um efetivo de 205 policiais federais (delegados, agentes, escrivães e peritos) e foi resultado de um extenso trabalho de investigação em âmbito nacional. No exterior, a prática de fraudes e golpes on-line também esteve em alta. Somente no Reino Unido, clientes de internet banking de instituições bancárias como NatWest, Lloyds TSB, Barclays, Citibank e Halifax foram alvos dos fraudadores eletrônicos. Porém, como aqui, as autoridades internacionais conseguiram realizar ações com sucesso, efetuando diversas prisões. Segundo o site ZDNet UK, o National Hi-Tech Crime Unit (NHTCU), divisão britânica de combate aos crimes de informática, prendeu em novembro seis homens acusados de utilizar a internet para fraudar transações financeiras. As autoridades britânicas estimam que esses fraudadores causaram prejuízos de 350 mil euros. Também em novembro, autoridades americanas anunciaram o resultado de uma operação internacional envolvendo crimes de internet: após sete semanas de investigação, 125 pessoas foram presas, acusadas de fraudes on-line, prática hacking e venda de produtos roubados. Já o cracker do Cazaquistão, Oleg Zezov, de 29 anos, foi condenado em julho por tribunal americano a 51 meses de prisão por invasão de sistemas e tentativa de extorsão. O criminoso teria exigido 200 mil dólares de Michael Bloomberg, dono da empresa de comunicação Bloomberg, informou o site The Register. Em junho, segundo o site Yahoo! UK, a polícia indiana prendeu o cracker Chiranjeet Singh sob acusação de invadir os sistemas de instituições financeiras, como Standard Chartered Bank, American Express, Hong Kong e Shanghai Banking Corp., People's Bank e Cartasi SPA Milani Bank, com a ajuda de mais três amigos. Os prejuízos causados pela quadrilha foram estimados em 200 mil dólares. Ainda em junho, o Crime Research.org revelou que a polícia da Bielorússia prendeu dois jovens crackers de 18 e 19 anos, respectivamente, acusados de invadirem sistemas de grandes instituições financeiras dos EUA. No mês anterior foi a vez da então recém-criada divisão policial especializada "Australian High Tech Crime Centre" efetuar sua primeira prisão de um criminoso virtual. Um jovem de 17 anos foi preso sob acusação de efetuar por internet banking transação ilegal no valor de 4.890 dólares, relatou o site The Age.com. De caçador a caça Em janeiro de 2003, a CNN.com anunciava que Kevin Mitnick, que ficou conhecido como "um dos mais procurados criminosos virtuais da história dos EUA", voltaria a ter acesso à internet no final daquele mês. A polêmica envolvendo Mitnick, de 39 anos, está relacionada com o fato de o ex-cracker ter roubado software e alterado dados que causaram prejuízos de milhões de dólares para empresas como a Motorola, Novell, Nokia, Sun Microsystems e a universidade da Califórnia do Sul. Por causa dessas ações, ele ficou preso por cinco anos e cumpriu mais três anos em condicional sem poder usar computadores com acesso à internet. No entanto, parece que o gosto do retorno de Kevin Mitnick à web foi amargo. Em fevereiro, três grupos de crackers (um deles brasileiro) conseguiram invadir os servidores onde estavam hospedadas as páginas do website de sua empresa, a Defensive Thinking. Em nota oficial divulgada em 23/02, o "ex-cracker" foi eximido de qualquer culpa, pois ele nunca teria administrado o serviço do site, que seria mantido por voluntários. Parafraseando o velho ditado - de caçador, Mitnick virou caça. Em setembro 2003, ele voltou aos noticiários do país, pois foi o palestrante principal de um evento de segurança realizado no Brasil. Ações contra os crimes eletrônicos Uma das principais medidas tomadas por entidades governamentais para prevenir e combater o aumento dos crimes eletrônicos foi criar centros e projetos especializados no tratamento de incidentes e estudos na área de Segurança da Informação. No final de novembro, segundo o site The Guardian, o Homeland Security, departamento do governo americano especializado em segurança da informação, revelou que realizou a primeira simulação de ataques terroristas físicos e virtuais em computadores, bancos e outros sistemas vitais do país. Os testes, chamados de Livewire, foram realizados durante cinco dias no mês de outubro e simularam ataques físicos e em computadores de instituições bancárias, companhias de energia e da indústria de óleo e gás. Neste mesmo mês os ministros de telecomunicações dos países pertencentes à União Européia (UE) aprovaram a criação da European Network and Information Security Agency (ENISA), que passa a funcionar a partir de janeiro de 2004. Segundo informações do jornal International Herald Tribune, a nova agência será responsável por criar recomendações reguladoras sobre riscos aos sistemas de informação eletrônica, alertar sobre vulnerabilidades em hardware e software e cooperar com as nações e organizações não pertencentes à União Européia. Em setembro, noticiou o CNET News.com, o Homeland Security anunciou uma parceria com o Computer Emergency Response Team (CERT), para criação de um centro específico de prevenção e combate aos ataques virtuais, denominado US-CERT. Este centro ficará responsável por prevenir, monitorar e combater as ações maliciosas pela internet do país. O objetivo é que esse grupo seja responsável pelo compartilhamento de informações críticas entre organizações, empresas de segurança e agências federais. As autoridades afirmam que as principais dificuldades encontradas para se combater os crimes eletrônicos está no receio das organizações em denunciar as invasões ocorridas. Pensando em reverter esse quadro, a divisão britânica "National High Tech Crime Unit (NHTCU)" anunciou em maio a disponibilização de serviços de relações públicas para as empresas que forem vítimas de ataques virtuais. Em entrevista para o Vnunet.com, o coordenador da campanha de redução de crimes do NHTCU, John Lyons, disse que o departamento trabalhará em conjunto com empresas de relações públicas para traçar estratégias de mídia que ajudem as organizações a relatarem tais casos, afastando assim o temor de publicidade negativo em torno de tais casos. Legislação e normas Quando falamos de ferramentas que combatam efetivamente a ação dos criminosos pela internet brasileira, um das principais questões abordadas está na necessidade de se criar uma legislação específica que garanta a segurança jurídica para se condenar os autores de tais crimes. Em novembro, a Câmara dos Deputados realizou um importante passo para que essa esperança se torne realidade. Isso porque foi aprovado em Plenário o substitutivo do Projeto de Lei 84/99, que tipifica os crimes de informática. Neste momento, o projeto aguarda apreciação no Senado. "Acho que o Senado Federal agirá rapidamente, pois o assunto foi amplamente discutido aqui na Câmara, permitindo que a sanção presidencial seja obtida o mais rápido possível", explicou o deputado federal Piauhylino, autor do projeto. Em termos de spam, uma das soluções apontadas também foi a criação de uma legislação específica que reprima tal prática. Pensando nisso, o senador Hélio Costa (PMDB/MG) apresentou, em 28/08, o projeto de lei 367, que pretende coibir "a utilização de mensagens eletrônicas comerciais não solicitadas por meio de rede eletrônica". Porém, para os especialistas, as iniciativas legislativas nessa área merecem maior discussão tanto na Câmara como no Senado. "Acho que a intenção foi válida, mas trouxe pontos polêmicos, semelhantes aos contemplados no PL 6210, do ex-deputado Ivan Paixão, que se encontra arquivado. Um deles é a permissão de envio 'uma única vez, proibida a repetição sem prévio e expresso consentimento do destinatário', vedando-se a repetição diante de manifestação contrária. Na verdade o PL busca regulamentar a prática, e a dificuldade inicial é de se criar um banco de dados para controlar todo esse processo, a cargo dos provedores de acesso. Outros problemas poderão surgir a partir disso, como a operacionalidade dos cadastros e dificuldades na correta identificação do spammer", relatou o advogado especializado em Internet e Tecnologia, Omar Kaminski. Um dos principais acontecimentos neste ano foi a aprovação do Novo Código Civil em janeiro. Em artigo, o advogado Renato Opice Blum diz que o código trará "o reforço legal na responsabilidade do administrador, que, agora, ainda mais, deverá não só agir nas questões preventivas, mas também nas reparatórias. Vale dizer que os Chief Security Officers (CSOs) têm o dever legal de não só 'fechar' vulnerabilidades em sistemas eletrônicos, mas também processar os responsáveis por invasões, fraudes e outros ilícitos digitais". Em termos de normas específicas na área, 9ª Pesquisa Nacional de Segurança da Informação constatou o fortalecimento da NBR ISO/IEC 17799 como a principal norma para implementação da Gestão em Segurança da Informação, complementando outras normas, legislações e regulamentações que já vinham sendo utilizadas pelas organizações. |