Cyber Crimes – Delegado Mariano

A disponibilidade de ferramentas para quebra de senha baseadas em processadores gráficos cada vez mais poderosos significa que, mesmo cuidadosamente escolhidas, senhas curtas são susceptíveis de serem “hackeadas” em um ataque de força bruta.
Uma senha com menos de sete caracteres em breve será “irremediavelmente inadequada”, mesmo que contenha símbolos, bem como caracteres alfanuméricos, de acordo com cientistas da computação do “Georgia Tech Research Institute”, sendo que os pesquisadores em segurança recomendam senhas de pelo menos 12 caracteres.
As habilidades de processadores gráficos foram recentemente aplicada à auditoria de senha comerciais e ferramentas de recuperação da empresa de programação russa “ElcomSoft”.
Segundo Richard Boyd, do “Georgia Tech Research Institute” é seguro pressupor-se que hackers são capazes de usar o mesmo tipo de tecnologia para fins menos louváveis, afirmando ainda que a capacidade de processamento de números das placas gráficas se compara ao dos supercomputadores construídos há apenas 10 anos.
Embora senhas mais longas sejam melhores para resistir aos ataques de força bruta por que se baseiam em tentativas de todas as combinações possíveis de caracteres, apenas o uso de senhas já não é suficiente para garantir segurança. Os Dicionários de ataques continuam a trabalhar em senhas mal escolhidas (fáceis de adivinhar), enquanto que até mesmo senhas complexas de 20 caracteres são inúteis em máquinas que estiverem infectadas “trojans”.
Os problemas práticos na aplicação de senhas na web se tornaram uma área produtiva de pesquisa acadêmica.
Joseph Bonneau e Sören Preibusch recentemente elaboraram um documento intitulado “The password thicket: technical and market failures in human authentication on the web”, apresentado em Junho na conferência “WEIS 2010” na cidade de Boston.
No artigo, e em uma série subseqüente de quatro artigos publicados no blog “Light Blue Touchpaper”, os dois cientistas da computação realizaram uma análise de implementações de senha, com base num estudo de 150 sites populares de e-commerce, notícias e webmail.
Um dos estudos foi focado em como os usuários escolhem senhas, enquanto outro estudou como “websites” desenvolvem e aplicam políticas de segurança de senha.
Muitos sites não aplicaram as melhores práticas, tais como armazenar senhas apenas como “hashes” e bloqueando ou pelo menos otimizando várias tentativas de adivinhar os nomes de usuário ou senhas.
Também foi estudado como os sites com segurança mais baixa podem comprometer ainda mais a segurança de seus usuários devido à tendência de reutilização de senhas de vários domínios.
O estudo sugere que alguns sites de baixa segurança (tais como sites de jornais) insistem na utilização de senhas principalmente por razões psicológicas, como uma justificativa para recolher dados de clientes e como uma forma de construir relações de confiança com os clientes.
Um relatório recente e bastante didático da “Tusteer” alerta para duas estatísticas perigosas: 73% dos usuários usam suas senhas bancárias em pelo menos outro site menos sensível, e 47% dos usuários utilizam seu login e sua senha em pelo menos outro site menos sensível.
Isso equivale a dizer que quase três a cada quatro usuários usam sua senha de acesso à conta do banco em um site menos comprometedor, como sites de rede social, por exemplo.
Equivale também dizer que quase um a cada dois usuários usa não só sua senha, mas o nome de login no site do banco também em outro site menos comprometedor. “Por que isso é um problema?” alguns podem perguntar. Bem, por várias razões.
A primeira e principal delas é que sites de banco são muito bem protegidos, geralmente por várias camadas de segurança, o que torna o roubo de informações de acesso um processo muitíssimo difícil. Já os demais sites podem não ter (e em muitos casos, comprovadamente não têm) mecanismos semelhantes de proteção, o que torna o roubo de informações de acesso um processo mais acessível aos cibercriminosos.
Outro aspecto interessante é que temos barreiras e prevenções mais rígidas quanto às nossas informações bancárias quando comparadas com informações de acesso a outros sites.
Um ataque de “phishing” que nos peça dados de conta corrente tem poucas chances de ser bem-sucedido; já um ataque de “phishing” que peça para confirmarmos nossos dados de acesso ao “Facebook” ou ao “Twitter”, por exemplo, vai nos encontrar naturalmente menos desconfiados.
Um estudo feito pela “Imperva”, empresa norte-americana de aplicação de segurança de dados, revela que a maioria das senhas usadas em contas Web são seqüências numéricas que vão de “1” a “9”, sendo que a senha mais usada é “123456”.
Para o estudo daquela empresa foram analisados 32 milhões de senhas, as quais foram reveladas no site “RockYou.com” que teria sofrido um ataque de Hackers, sendo que as senhas mais usadas seriam:

1º) 123456
2º) 12345
3º) 123456789
4º) Password
5º) iloveyou
6º) princess
7º) rockyou
8º) 1234567
9º) 12345678
10º) abc123

Não poderiamos deixar de destacar que no caso de usuários brasileiros as senhas mais utilizadas acabam sendo:

1º) Deus;
2º) Numsei ou num lembro;
3º) Número de telefones;
4º) Datas de nascimento;
5º) Datas de casamento;
6º) Placas de Veículos;
7º) Nomes de filhos ou esposa;
8º) Cidades de nascimento;
9º) O próprio nome;
10º) Nomes de animais de estimação.

Tenha sempre em mente que senhas que contenham números seqüenciais, nomes comuns, telefones ou que sejam curtas, são fáceis de achar. O recomendável é ter uma senha de pelo menos 10 dígitos que contenham Letras, números e caracteres especiais, pois senhas com essa características são difíceis de serem descobertas.
Grande parte dos programas que “scaneiam” senhas usam números seqüenciais, nomes existentes em dicionários e senhas que já foram reveladas o que torna seu trabalha muito mais simples.