Monthly Archives: março 2010

“E-commerce”: ameaças e vulnerabilidades

Ameças ao comércio eletrônico

Foi divulgada recentemente informação que deu conta de ter sido movimentada a importância de 10,6 bilhões de dólares no comércio eletrônico brasileiro, marca importante, mas muito aquém da capacidade desta modalidade de negociação do mercado brasileiro.
O motivo principal pelo qual o comércio eletrônico brasileiro acaba não se consolidando da maneira como poderia é justamente a desconfiança existente nos consumidores brasileiros quanto à segurança nas transações.
É importante que se possa entender os riscos que enfrentam sistemas de “e-commerce”, bem como o impacto potencial de qualquer incidente de segurança.
Mas quais são as principais ameaças a estes sistemas?
As principais ameaças aos sistemas de comércio eletrônico podem ser motivadas por infecções ou acidentes, motivo pelo qual os procedimentos e controles utilizados para proteção de sites devem ajudar a minimizar as duas coisas.
As ameaças podem incluir hackers tentando entrar em um sistema para ler ou alterar dados sensíveis; criminosos furtando um servidor ou computador portátil com dados sensíveis em seu disco desprotegidos, impostores se passando por usuários legítimos e até mesmo a criação de um site semelhante para que utilizadores autorizados acabem por baixar uma página ou recebam um e-mail com conteúdo nocivo que viabilize ataques de seus sistemas ou envie informações confidenciais a pessoas não autorizadas.
As possíveis ameaças a informações confidenciais devem ser consideradas a partir de quatro ângulos:

Quais são as fontes potenciais de ameaças?
Qual o nível de especialização que um criminoso pode possuir?
Qual o grau de esforço que os criminosos estão propensos a utilizar na tentativa de violação de segurança?
Quais facilidades e ferramentas estão disponíveis para uso dos criminosos?

A verdadeira ameaça pode não ser a mais óbvia. Ataques de usuários autorizados, como um empregado descontente ou parceiro de negócios, são muito mais comuns do que ataques de hackers.
Em sistemas de “e-commerce” a avaliação de risco pode ser desenvolvida para proporcionar a uma organização a compreensão clara dos riscos que enfrentam em seus sistemas e processos de negócio associados, bem como o impacto potencial de um incidente de segurança, se necessário.
Uma parte fundamental de uma avaliação de risco está na definição do acesso à informação. Isto irá permitir a criação de regras de acesso para diferentes grupos de usuários. Por exemplo, podem ser aplicadas regras diferentes para funcionários, consultores, provedores de serviços gerenciados, fornecedores, clientes, auditores, agências governamentais e assim por diante.
Qualquer análise deve também levar em conta como as transações eletrônicas são verificadas. Como você sabe que uma transação realmente provém de um cliente conhecido? Caso seus contratos sejam trocados por via eletrônica, quem pode assiná-los e como pode ser comprovado que é a versão assinada?
A chave para a efetiva segurança de e-commerce é uma boa política de segurança. Este deve ser estabelecida de forma clara e por escrito, podendo ser idealizada por uma empresa especializada em planos para proteção de seus ativos de TI, incluindo sistemas de e-commerce.
Ela deve ser aprovada pela direção e ser atualizada continuamente de acordo com as principais mudanças em tecnologia, com constante mudança no que diz respeito a requisitos para empregados.
A política de segurança também deve especificar os planos de recuperação de um sistema de comércio eletrônico no caso de um ataque ao sistema ou de uma catástrofe física.
Planos de contingência devem fazer parte efetiva de seus negócios, sob pena de em dado momento sua atuação restar comprometida.

Criminosos usam Software legítimo para infectar computadores com malware

Energizer Software

O carregador USB da Energizer utilizaria um software que continha um cavalo de Tróia, de acordo com o CERT dos Estados Unidos. O software foi desenvolvido, aparentemente, fora dos Estados Unidos e pode ter sido acessado por hackers desde 2007. Um analista disse que “confiar no coelho do Energizer” pode ter levado muitos consumidores a instalar o malware do “DUO carregador USB”, mesmo diante do aviso de perigo durante a instalação.
O carregador de baterias Energizer DUO USB é um veículo para ataques a PC’s, de acordo com o “Department of Homeland Security’s Computer Emergency Readiness Team” dos Estados Unidos.
Pesquisadores do CERT dos Estados Unidos descobriram que o software que se instala com o carregador Energizer contém um cavalo de Tróia que dá a hackers mal-intencionados uma “backdoor” em máquinas Windows.
Através do programa instalado o invasor é capaz de controlar remotamente um sistema, incluindo a possibilidade de listar diretórios, enviar e receber arquivos, e executar a “backdoor”.
Segundo o CERT americano, o sistema funciona com os privilégios de um usuário conectado, sendo que ao remover-se o software do carregador USB Energizer também será removido a chave no registro que faz com que a “backdoor” seja executada automaticamente quando o Windows é iniciado.
Embora a correção pareça relativamente fácil para os consumidores que estão cientes de que foram infectados, os mesmos provavelmente não esperavam que o software Energizer pudesse contar uma carga maliciosa.
Em sistemas Windows 7, ou mesmo na instalação do Windows Vista você deve receber um “aviso” que alerta para o perigo, mas como o consumidor acaba instalando o software a partir de uma fonte confiável, existem chances de ignorar o aviso e ir em frente na instalação, porque o consumidor pensa que está apenas instalando um monitor de bateria.
O CERT dos Estados Unidos verificou que “trojans” como este parecem se valer de outros programas quando o software é desenvolvido fora dos Estados Unidos.
No caso em tele, verificou-se a possibilidade do software usado como base da infecção ter sido desenvolvido na China ou em algum outro país estrangeiro.
A Symantec também investigou o malware Energizer e descobriu que o cavalo de Tróia utilizaria comandos de escuta na porta 7777. Isso por si só não é tão incomum, disse a empresa, mas os pesquisadores da Symantec foram surpreendidos porque o arquivo estava sendo distribuído dentro do software do Energizer como parte de um pacote de um software de monitoramento de um carregador USB.
A Symantec queria saber quanto tempo o arquivo estava disponível ao público. O tempo de compilação para o arquivo é 10 de maio de 2007. Ainda é impossível dizer que o cavalo de Tróia sempre esteve neste software, pois, uma inspeção inicial da Symantec, permitia esta conclusão.
Ainda segundo a Symantec, o arquivo foi inserido no pacote com o conhecimento do criador e o carregador USB não precisava ser conectado para que o cavalo de Tróia pudesse atuar.
Apurou-se no site web do fabricante, que o software não é distribuído junto com o próprio carregador USB e, em vez disso, deve ser baixado separadamente no site do fabricante.
Este tipo de estratégia tem sido utilizada por criminosos no Brasil, mas principalmente na oferta de programas de computadores que são baixados de sites “download”.
Internautas desavisados acabam baixando programas que normalmente devem ter licenças de uso adquiridas junto às empresas desenvolvedoras e mesclam aos mesmos diversos softwares maliciosos, os quais acabam por contaminar o computador em que vierem a ser instalados.
Outra estratégia que tem sido bastante comum por parte de criminosos no Brasil é a invasão de servidores “Web”, principalmente aqueles que dão suporte a lojas de comércio eletrônico para a instalação de “scripts” que promovem a infecção de internautas.
Quando um comprador acessa o sistema de comércio eletrônico para adquirir algum produto, entra em ação o “script” que efetua o “download” do código malicioso para o computador da vítima, infectando-o.
Também já é fato rotineiro à disponibilização de programas conhecidos, tal como o que dá suporte a Declaração do Imposto de Renda, com códigos maliciosos inseridos nos mesmos.

Fonte: Dan Kaplan da SC magazine

O papel do governo no avanço da cibercriminalidade

Cibercriminalidade

Diferentemente do governo dos estados Unidos que tem procurado intensificar a sua atuação em prol da segurança cibernética, o do Brasil deveria assumir um papel mais ativo em segurança na Internet, uma vez que a possibilidade de ataques oriundos daquela rede é hoje uma ameaça absolutamente considerável.
Comparando-se a era digital com os movimentos por maior segurança nos automóveis, é fato incontroverso uma maior regulamentação por parte do governo, poderia ser a única forma de forçar o setor público e privado a combater as ameaças cibernéticas de forma adequada, pois não podemos esquecer que a necessidade de serem criados novos regulamentos para os cintos de segurança e outros equipamentos do gênero fez as estradas mais seguras.
Só para ilustrarmos, temos a necessidade de proteger os sistemas financeiros e de energia, vitais para a segurança nacional e a vida diária, sem sufocar a inovação empresarial e a livre concorrência.
Neste aspecto, enquanto o Presidente Barack Obama declarou a seguridade cibernética como uma das principais prioridades no início de sua gestão, o governo brasileiro sequer se movimenta pela elaboração de uma legislação que possibilite repressão adequada às ameaças da cibercriminalidade.
As “fronteiras virtuais da internet” se tornaram tão importante para a vida dos brasileiros e o funcionamento de nossa economia, que já vão longe os dias em que poderíamos prescindir do acesso a ela em nossas vidas.
Há muitos anos o Brasil vem discutindo a criação de uma legislação que permita o combate adequado aos cibercrimes de forma a traçar um caminho que o governo e o setor privado possam trabalhar juntos para proteger redes de computadores, definir padrões da indústria e promover uma melhor consciência quanto ao uso da tecnologia.
Até o momento as discussões realizadas em nosso país têm girado em torno do interesse de grupos privados, como provedores de acesso e empresas de telecomunicações, os quais dizem que o governo deve oferecer incentivos financeiros e outros para compensar eventuais gastos que poderiam ter para se adaptarem a uma nova legislação, além de agirem em clara defesa de seus interesses de mercado.
Mas ninguém pode esquecer que os ataques cibernéticos já absorvem milhões de reais de nossa economia, e redes críticas como as redes elétricas, sistemas públicos como os da receita federal, além de redes de bancos e de instituições financeiras acabam se tornando alvos potenciais da ação de criminosos.
Informações são divulgadas diariamente dando conta de que redes como a da receita federal são atacadas milhões de vezes por dia, muito embora não existam investigações sérias que possam dar conta de tratar-se da ação de pequenos criminosos que apenas desejam informações estratégicas ou grupos criminosos com interesses contrários a soberania do país.
Assim como os carros não foram construídos para serem seguros, até o momento em que a pressão do governo mudou o comportamento dos fabricantes de automóveis por melhorias de segurança, o ciberespaço não será seguro enquanto não ocorrer a efetiva intervenção do governo na criação de legislação adequada.
O aumento da segurança exigirá regras para o setor privado, acordos internacionais e novas formas de melhorar a qualidade de nossos órgãos de investigação com investimentos na especialização daqueles que atuam na investigação dos delitos.
Também é fato que o governo não poderá agir sozinho, devendo trabalhar com o setor privado, porque este possui ou controla cerca de 85 por cento das redes de computadores, o que implica na realização de parcerias.
Enquanto isto, a única certeza é que o cidadão brasileiro não se encontra protegido e o setor privado perde vultosas quantias, seja na aquisição de tecnologia de proteção ou na condição de vítima da cibercriminalidade.