Tag Archives: vulnerabilidades

Prevenindo fraudes na internet pelo controle das fontes de tráfego.

Fraude

No início da Internet era muito interessante que as empresas pudessem contar com um site institucional recheado com as principais informações sobre o seu negócio: endereço, história, lojas, algum catálogo de produto.
Mas logo chegaram as redes sociais e exigiu uma postura mais ativa das empresas em relação aos seus consumidores, criando perfis sociais, para interagir diretamente com seus clientes.
Na atualidade, onde o e-commerce cresce a taxas de 24% ao ano (aproximadamente, 12 vezes a taxa de crescimento do PIB Brasileiro em 2012!), a internet acabou se tornando uma das principais formas de captação de clientes e conquista de mercados, motivo pelo qual a grande maioria das empresas se empenha tanto na geração de tráfego para seus “web sites”.
Mas o que ainda chama a atenção dos estudiosos é que a grande maioria das empresas que adquirem novas fontes de tráfego para incrementar a expansão de seus negócios na internet tem pouco conhecimento sobre a qualidade das mesmas e muito menos de seus visitantes individuais.
Apesar da adoção generalizada de ferramentas de análise e do aumento da acessibilidade de dados, o conhecimento sobre a autenticidade de um usuário não é parte do processo de tomada de decisão para a grande maioria das empresas que usam a internet para a realização de negócios.
Assim, assume um papel cada vez mais preponderante na realização de negócios, que as empresas, sejam do tamanho que for, procurem atentar para esta questão: este usuário é mesmo real?
E a situação fica ainda mais alarmante na medida em que os comerciantes de internet enfrentam uma série de ameaças, tais como fraudes internacionais, o uso de “botnets” com capacidade para gerar milhões de dólares em publicidade a cada dia, dentre outras.
Podemos citar, por exemplo, as empresas de publicidade pela internet, as quais, na maioria das vezes e com raríssimas exceções, tem muito pouco a oferecer em resposta aos problemas mencionados, o que leva a uma falta de transparência no tráfego de informações e a uma diminuição global no desempenho de campanhas levadas à cabo pela grande rede.
Atualmente pode ser vista uma grande preocupação por parte dos especialistas em segurança da informação quanto a estas questões, o que levou ao desenvolvimento de uma nova geração de ferramentas de detecção de fraude.
Estas novas ferramentas incluem uma série de recursos para facilitar a filtragem de tráfego em tempo real e na adoção de medidas muito mais eficientes nos processos de identificação de potenciais compradores, permitindo importantes recursos para a tomada de decisão em tempo real, identificação de usuários e modelos de pontuação abrangente que se correlacionam diretamente com a qualidade dos dados.
Mas diante de uma escalada cada vez maior nos custos de segurança da informação porque seria importante investir numa solução de detecção de fraudes?
Dentre as principais razões que podemos apontar, destacamos as seguintes:

1)Expandir o potencial de receita:
Ao fornecer informações em tempo real sobre a qualidade de fontes de tráfego, a detecção de fraudes permite que os administradores de “web sites” possam tomar importantes decisões muito antes das métricas de conversão estar disponíveis. Esta capacidade de filtrar rapidamente fontes fraudulentas abre as portas para novos canais de negócios, com identificação de alvos anteriormente desprezados pelo alto nível de risco, ainda com a vantagem de oferecer um “ROI” mais baixo para eventuais anunciantes.

2)Readquirir custos de oportunidade perdidos:
As empresas podem realocar verbas publicitárias contra fraudes para compra de fontes de tráfego de qualidade muito maior e consequentemente mais onerosas. Isso é possível através de um processo de compra transparente, o qual lança mais luz sobre a qualidade das fontes individuais. Ao transferir recursos para fontes mais lucrativas de tráfego, os comerciantes podem aumentar ainda mais a receita.

3)Inteligência contra fraude centralizada:
Serviços de detecção de fraude permite beneficiar os processos de inteligência interna a partir de análises mais eficientes de centenas de milhões de usuários, aliado ao conhecimento adquirido através de anos de experiência na área. Este enfoque oferece uma solução muito mais abrangente e que seria muito mais difícil de ser implantada pelos métodos comuns de inteligência empresarial voltados a identificação e prevenção de fraudes. É fato que os casos de fraude estão em constante evolução visando contornar métodos de detecção, sendo importante destacarmos que somente um serviço de inteligência de fraude centralizado pode fazer frente as mais avançadas e recentes táticas empregadas pelos fraudadores.

4)Ênfase na qualidade:
As empresas poderão tomar decisões mais inteligentes na compra de fontes de tráfego visando atrair novas parcerias e aumentar a amplitude de seus negócios, ao mesmo tempo em que poderá recuperar a transparência e o controle sobre as fontes de mídia utilizadas. Fornecer dados de maior qualidade é uma vantagem competitiva que atrai novos negócios e que permite a expansão do relacionamento com os clientes existentes.

5)Mitigação de fraudes através da obtenção de informações em tempo real:
Alguns indicadores de desempenho podem levar dias ou até meses para serem processados, porém, a detecção de fraudes está disponível em tempo real. Isto tem o condão de impedir a realização de negócios ruins envolvendo a aquisição de fontes de tráfego, antes mesmo que a empresa possa identificar e eliminar fontes ruins e proceder ao pagamento, ou que possa perder valiosos parceiros de negócios.

Por fim, é importante lembrarmos que a detecção de fraudes não é apenas uma tecnologia, mas uma estratégia.
É preciso envolver a intervenção humana para que analistas possam ser capaz de rever métricas bem apresentadas, permitindo a incorporação dos dados obtidos numa plataforma integrada que permita a utilização segura destas informações na gestão de relacionamento com o cliente.
Torna-se óbvio que serviços de detecção de fraudes podem ajudar as empresas a melhorar a qualidade do tráfego em seus “web sites” e na construção de seus processos de segurança interna de forma muito mais eficiente.

Grupo “Anonymous” obtêm acesso a 15 milhões de dados da Receita Federal e disponibilizam site para pesquisa de C.P.F’s.

Anonymous

Integrantes do grupo denominado “”Anonymous” divulgaram a informação de que teriam logrado êxito em obter mais de 15 milhões de dados da Receita Federal do Brasil, disponibilizando para qualquer usuário da internet um endereço eletrônico em que é possível obter as informações através da inserção de um número de C.P.F..
Até o presente momento, não há qualquer confirmação da Receita Federal sobre a veracidade do acesso indevido aos dados daquela instituição por parte do grupo “”Anonymous”, mas é possível serem vistos no site do grupo informações relacionadas a Presidente Dilma Rousseff e o ex-Ministro José Dirceu.
Em períodos anteriores, diversos ataques promovidos contra os servidores da Receita Federal brasileira foram rechaçados pelo sistema de segurança daquele órgão, o que implica que, em sendo verdadeiras as informações disponibilizadas, este terá sido a primeira violação de segurança bem sucedida nas últimas décadas.
Informações relacionadas aos dados disponibilizados pelo grupo podem ser obtidas na U.R.L. http://exposed.freedombr.net, muito embora deva ser ressaltado que eventuais consultas a venham a serem realizadas possam implicar na captura de informações.

Considerações sobre o caso Caso Carolina Dieckmann: a dura realidade de uma investigação.

Busca e Apreensão

Nos últimos dias parte significativa da imprensa nacional tem dado destaque a divulgação indevida de arquivos contendo fotografias da atriz Carolina Dieckmann.
Cada órgão de imprensa procurou destacar a gravidade na divulgação daquele material enfatizando que a criminosa ação teria causado profundo sofrimento à vítima na medida em que invadiu impiedosamente a sua privacidade e expos sua intimidade aos olhares curiosos de milhões de brasileiros.
Mas o que chamou a atenção em alguns momentos foram algumas declarações proferidas pelo advogado da vítima que imputavam ao provedor de conteúdo “Google” a responsabilidade em impedir o acesso aos arquivos contendo a intimidade da atriz.
Mencionado profissional chegou a afirmar para inúmeros órgãos de imprensa que iria ingressar com uma ação inibitória para que a empresa “Google” fosse compelida a “retirar do ar” buscas relacionadas às fotos da à atriz, afirmando inclusive esperar que a empresa “usasse o bom senso e retirasse as buscas do site deles” (http://www.pernambuco.com/ultimas/nota.asp?materia=20120508164516&assunto=134&onde=Brasil).
Com este tipo de afirmação é fato que o renomado profissional demonstra pouco conhecimento dos mecanismos relacionados a indexação de arquivos nas “search engines” da internet.
Neste ponto, alguns esclarecimentos são importantes.
Podemos comparar o indexador de páginas internet do Google a um grande “Data Center” procurando por novas páginas 24 horas por dia, sete dias por semana sem parar.
Agora imagine, que os computadores deste “Data Center” já tenham em sua base de dados mais de 1 trilhão de páginas.
Isto implica no fato de que bilhões dessas páginas fazem parte de um índice, que é consultado cada vez que uma pessoa deseja obter algum tipo de informação na página de pesquisas do “Google”.
Este grande “Data Center” que é o “Google” executa um programa conhecido como “Googlebot”, muitas vezes denominado “spiders”, que lhe permite encontrar e cadastrar informações destes trilhões de páginas disponíveis nos computadores por toda a internet.
Desta forma, o segredo para o rastreamento dos trilhões de páginas da web está nos “hiperlinks”, os quais ligam uma página à outra.
Ao fazer isso, a página “linkada” se torna pública, pelo simples fato de alguém ter apontado para ela, o que permite que as “spiders” do “Google” adquiram informações sobre o conteúdo das mesmas.
Simplisticamente, as “spiders” do “Google” percorrem os sites que já fazem parte de sua base de informações em busca de conteúdo atualizado, oportunidade em que também visitam “hiperlinks” anteriormente desconhecidos e que passarão a ser explorados também.
Através desses links, antes desconhecidos, as “spiders” chegam até as novidades, que começam a fazer parte de sua base de informações, num procedimento que ocorre o tempo inteiro numa escala mundial.
Exatamente por isso, que deve ser levado em conta que o “Google” indexa em sua base de informações “hiperlinks” e não conteúdo, algo do mais absoluto conhecimento de todos os que distribuem informações de maneira criminosa na internet.
Por tudo quanto restou exposto, o máximo que o “Google” poderia e deveria fazer seria retirar de suas base de informações qualquer tipo de referência aos arquivos relacionados a atriz Carolina Dieckmann, muito embora referências cifradas ou dúbias pudessem contornar facilmente este tipo de ação, exatamente o que acabou sendo feito, uma vez que, até a data de hoje, os arquivos contendo as imagens expropriadas da vítima continham sendo livremente compartilhados.
Mas não foi a declaração anteriormente mencionada pelo renomado causídico que realmente demonstrou ser o mesmo pouco afeto as questões relacionadas à prática de cibercrimes no país.
Segundo teria declarado aquele profissional “o caso de Dieckmann serviu para abrir a discussão no Congresso Nacional”, ressaltando ainda que “muita coisa precisa ser revista” (http://br.omg.yahoo.com/noticias/advogado-carolina-dieckmann-anunciou-entrar%C3%A1-a%C3%A7%C3%A3o-inibit%C3%B3ria-google-194300129.html).
Ao tomar conhecimento de tal afirmação não poderia me furtar a traçar ao menos algumas considerações sobre o incidente envolvendo a atriz e as conjecturas do nobre advogado.
Forçosamente me vejo obrigado a relembrar minha lida diária junto à unidade policial de São Paulo que investiga crimes praticados por meios eletrônicos, na oportunidade em que atuei como Delegado da mesma.
Diariamente dezenas de pessoas, na maioria mulheres, ali compareciam expondo suas agruras com relação à divulgação criminosa de sua intimidade mediante a disponibilização de arquivos contendo fotografias e informações pessoais.
Muitas apresentam sinais claros de depressão e demonstravam nas suas próprias faces o sofrimento de verem sua vida intima exposta de maneira brutal, em muitas situações por pessoas que dispunham da sua mais absoluta confiança.
Tive contato com pessoas cuja vida social e profissional foram completamente destruídas e que não conseguiam nem mesmo encarar novamente seus amigos.
Muitos se tornaram reclusos e foram impedidos até mesmo d prover sua própria subsistência por não terem condições de conseguir um emprego por verem os fatos relacionados ao sofrimento que lhe fora imposto pela divulgação indevida de sua intimidade chegar ao conhecimento de seus empregadores.
Durante anos este foi o panorama com o qual tive que conviver e em muitas situações muito pouco tive oportunidade de oferecer as vítimas que me procuravam pela inexistência de legislação adequada a minimização deste tipo de agrura.
E mais: foram vários anos de peregrinação pessoal junto ao Congresso Nacional buscando a obtenção das ferramentas que me permitiriam investigar adequadamente e de forma célere os cibercrimes que chegavam ao meu conhecimento.
Anos discutindo ferrenhamente projetos relacionados a criminalização de cibercrimes e em especial o projeto apresentado pelo atual Deputado Federal Eduardo Azeredo, anteriormente Senador da República.
Não gostaria de imiscuir-me na discussão de prós e contras do mencionado projeto, pois atualmente entendo que citado projeto não é dos mais adequados aos fins a que se destina, mas certo é que algum avanço na investigação de cibercrimes no Brasil seria possível com a aprovação daquele dispositivo, o que certamente remete a célebre frase de George C. Marshall: “Os pequenos atos que se executam são melhores que todos aqueles grandes que se planejam”.
Porém, como afirmar que um único caso tem o condão de trazer à discussão questões relacionadas à discussão de cibercrimes no Brasil? E as milhares de pessoas que nos últimos anos tiveram as suas vidas destruídas pela exposição criminosa de sua intimidade na internet?
Soa quase como afronta ao sofrimento de tantas pessoas querer vincular anos de discussão sobre cibercrimes no Congresso Nacional a um único episódio, por mais traumático que ele possa ter sido.
Que este episódio de dor e sofrimento da mulher e não da personalidade Carolina Dickeman possa se juntar as agruras impostas a tanto para que seja exigido um basta a impunidade que grasna em nosso país pela inércia legislativa.
Mas também sou forçado a comentar consternado que as forças policiais brasileiras não estão preparadas para apurar adequadamente crimes praticados por meios eletrônicos, mesmo aqueles de menor complexidade.
Explico.
A Polícia Judiciária deve investigar, recolher provas e construir casos aptos a busca de eventual condenação contra cibercriminosos, permitindo que os Magistrados possam avaliar as provas e determinar de maneira justa e razoável pela culpabilidade ou inocência, atribuindo sanções justas e eficazes.
Um dos principais problemas na investigação, na apresentação de denúncias e na interpretação das leis que estejam relacionadas à criminalidade informática é a falta de conhecimentos técnicos por parte das pessoas envolvidas nestas atividades.
Investigadores policiais estão cada vez mais sem nenhum conhecimento técnico que os habilite a trabalhar nesta área, sendo rotineira a utilização de policiais que atuam em outras frentes de investigação para trabalharem com criminalidade eletrônica, principalmente em unidades situadas longe dos grandes centros onde ninguém sabe como recuperar e processar provas digitais.
E para agravar ainda mais as questões relacionadas à falta de policiais com conhecimento técnico adequado e experiência na área, ainda existem outras relacionadas à cadeia de custódia das provas apreendidas, o que em última instância pode impedir que os dados recuperados venham a ser admitidos como prova.
E mesmo os magistrados necessitam ter um rol mínimo de conhecimento sobre a matéria, a fim de que consigam avaliar o mérito de um caso de cibercrime, pois se não tiverem conhecimento técnico suficiente para determinar que os elementos comprovadores de um delito estejam presentes, eles acabarão tendo que contar somente com opiniões divergentes apresentadas pelos advogados, promotores e seus peritos, sem realmente compreender a base do que for alegado.
Aqui está uma ilustração de como casos tecnicamente complexos de criminalidade informática podem representar um desafio muito além do que poderia ser enfrentado na investigação de outro delito como um homicídio, no qual para determinar se um réu é culpado, o júri vai ter que ouvir depoimentos e estabelecer por testemunhas que o réu pegou uma arma, apontou para a vítima, e atirou, ou talvez pelo testemunho de especialistas forenses que possam atestar que as impressões digitais do réu estavam na arma.
A veracidade das declarações das testemunhas pode ser questionada, uma vez que o advogado de defesa poderia argumentar que o réu tinha manuseado a arma anteriormente, mas não a usou para matar a vítima, mas as questões básicas que envolvem o caso não são difíceis de entender, uma vez que todos no júri sabem o que é uma arma, e é de conhecimento de qualquer pessoa, mesmo leiga, que impressões digitais são únicas e podem claramente serem identificadas como pertencentes a uma pessoa específica.
Mas num caso que envolva a invasão de uma rede de computadores, o Juiz acaba tendo que ouvir depoimentos sobre portas abertas e TCP/IP e como “exploits” que explorem “spoofing” de IP” podem ser usados para disfarçar a origem de uma rede de transmissão.
Esses termos, provavelmente, pouco significam para Juízes, cujo contato com computadores normalmente se dá como usuários finais, isto porque os mais significativos tópicos relativos a redes de comunicações e segurança não são temas que podem ser facilmente explicados no tempo limitado que geralmente antecede a decisão de um processo.
Se os Juízes não entendem como o crime ocorreu, será difícil para eles decidirem se um determinado réu o teria praticado.
Os juízes muitas vezes acabam tendo falta de discernimento técnico, o que torna difícil que possam interpretar adequadamente as leis.
Poucos estados têm currículos padrão obrigatórios para a formação em crimes por meios eletrônicos nos programas básicos de suas academias ou como uma parte necessária na formação de seus policiais.
Menos ainda no que diz respeito ao aperfeiçoamento dos policiais, sendo que a realidade do país é que nas pequenas cidades, poucos ou nenhum agente tem formação na investigação de crimes informáticos.
Os poucos funcionários que têm formação em crimes por meios eletrônicos são geralmente aqueles que investiram por sua própria conta na sua carreira, sendo que, no entanto, muitos nem mesmo participam das investigações deste tipo de ação criminosa.
E na maioria das vezes os policiais envolvidos, por absoluta falta de conhecimento técnico, acabam não tendo condições de reconhecer e preservar (ou inadvertidamente destruir ou permitir que sejam destruídos) provas digitais valiosas.
De fato, baseado exclusivamente nas filmagens apresentadas pela imprensa no que diz respeito à atuação policial no caso da atriz Carolina Dieckmann, pode ser afirmado que as “best practices” relativas a um local de cibercrime não teriam sido observadas, o que fatalmente implicará em questionamento futuro por parte dos defensores dos acusados pela prática delituosa.
A fim de que não desapareçam as provas do crime, a autoridade policial deve apreender os instrumentos e todos os objetos que tiverem relação com o delito (art. 6º, II, do C.P.P.).
O art. 240 do mesmo diploma legal relaciona ainda objetos e pessoas que podem ser objeto da busca e apreensão tanto pela autoridade policial como pelo juiz, quando fundadas razões a autorizarem.
Embora a busca e a apreensão estejam insertas no capítulo das provas, a doutrina as considera mais como medida acautelatória, liminar, destinada a evitar o perecimento das coisas e das pessoas.
É absolutamente inquestionável que inexiste no ordenamento jurídico o aludido mandado de busca e apreensão “genérico”. O que existe é uma ordem judicial na modalidade de busca e apreensão, que pode ser domiciliar ou pessoal, cujos requisitos estão no art. 243 do C.P.P. devendo conter de maneira expressa: indicação da casa em que será realizada a diligência e o nome do respectivo proprietário ou morador; o motivo e os fins da diligência; subscrição pelo escrivão e assinatura do magistrado; constar se houver ordem de prisão.
É ponto pacífico na jurisprudência e na doutrina que, ocorrendo falhas pontuais e isoladas na representação por buscas ou na expedição de mandados não ocorrerá qualquer nulidade ou prejuízo, desde que haja a fundamentação exigida constitucionalmente pelo art. 93, inciso IX da Constituição Federal.
Assim sendo, é legítima e válida a diligência e provas produzidas, respeitados o sigilo e as garantias constitucionais aplicáveis a tal situação.
Não se propala que o mandado de busca e apreensão deva ser amplo e irrestrito ao extremo de admitir a apreensão de tudo o que esteja no local objeto de busca, contudo, deve incumbir à autoridade policial, com bom senso e equilíbrio, o exame daquilo que se apreende, com observância dos parâmetros legais: produto ou instrumento do crime, corpo de delito, dados, informações e indícios relativos ao delito investigado.
Um computador pode se tornar alvo de uma busca ou apreensão por agentes da lei em qualquer uma destas situações: há uma causa provável para acreditar que o computador é o fruto de um crime, é a instrumentalidade de um crime, ou irá produzir provas de um crime.
A qualquer tempo, quem for alvo de busca e apreensão, pode requer o “backup” de arquivos ou cópia dos documentos apreendidos, sendo que a devolução de material equivocadamente apreendido será objeto de restituição imediata, mediante provocação, ou de ofício.
Deve ser feito o backup do conteúdo dos discos rígidos dos computadores e de mídias encontradas (Cd’s, DVD’s, Cartões de memória, etc), e não sua apreensão, não se podendo desconhecer que existem programas que ocultam os arquivos do computador, e que, inclusive, há ferramenta do sistema operacional Windows que permite a ocultação mencionada, podendo, inclusive, haver perda de dados valiosos num backup.
Caso seja necessária a remoção de equipamentos para fins de “backup” é medida adequada à comunicação ao Juiz que concedeu a busca e apreensão desta circunstância, formalizando-se tal ato e prevendo-se o tempo necessário para cópia de todo o material apreendido, o que evitará prejuízos a quem sofreu a busca e evitará constrangimento ilegal que poderá ser sanado em sede de “mandado de segurança”.
É absolutamente imprescindível esclarecermos que, caso seja efetuada a busca e apreensão de computadores e mídias de armazenamento sem que ocorra a efetivação de cópia do conteúdo dos mesmos, na presença de testemunhas, utilizando-se programas que possam gerar um arquivo “hash” do conteúdo para comprovar não adulteração, o material apreendido pode e deve ser considerado “inútil” porque abrirá margem a alegação de adulteração do mesmo.
Obvio que as imagens transmitidas pela televisão revelam uma realidade muito diferente do que restou acima apresentado, o que, futuramente, poderá se revelar um sério problema para a persecução em juízo.
Casos como o da atriz Carolina Dieckmann e de milhares de brasileiros sequer deveriam ocorrer, e caso se consumassem deveriam ser objeto de apurações que primassem pela celeridade e profissionalismo.
Realmente passou da hora de nossos legisladores se preocuparem um pouco com o sofrimento de tantos que perderam um de seus mais básicos e fundamentais direitos: a sua privacidade, mas não serão declarações desconexas e sem conhecimento de causa que contribuirão para um debate adequado desta triste realidade.

Microsoft reconhece Código postado no site “Pastebin” que identifica endereços IP no Skype como uma possível falha de segurança.

Falha no SkypeUm Código postado no site “Pastebin” que apontaria o último endereço IP de usuários, está sendo verificado pelo Skype como uma possível falha de segurança.
Um software, postado no “Pastebin”, trabalharia com uma versão corrigida do Skype 5.5 e envolve a adição de algumas poucas chaves de registro que permitem que o atacante possa verificar o endereço IP de usuários online no momento, sem ser necessário chamá-los.
A partir dai, serviços como o “Whois”, podem dar outros detalhes sobre a cidade, país, provedor de Internet e/ou blocos de endereço IP do alvo.
Nick Furneaux, MD de pesquisadores de segurança do “CSITech” apontou ter testado a aplicação e confirmado que ela faz “na lata” o que afirma fazer, assegurando ter sido capaz de obter o endereço IP interno e externo de um amigo nos Estados Unidos a poucos quilômetros de sua casa, de um amigo na Ásia e o seu próprio.
Nick salientou também que, de forma preocupante, o IP interno combinado com o endereço de internet fornece a base para uma sondagem direta e, em seguida, a possibilidade de qualquer indivíduo efetuar um ataque contra alguém constante da agenda endereços global do Skype.
O pesquisador mencionou também que um site teria sido criado para fornecer uma maneira mais fácil de explorar o rastreamento de IP, mas que o mesmo ainda não havia sido verificado quanto à malware.
Fato é que estranhamento o mencionado site, anteriormente disponível em “http://skype-ip-finder.tk”, encontra-se atualmente indisponível para acesso, havendo inclusive um aviso de que o domínio teria sido suspenso.
Antes que alguém fique em pânico, não está claro se o problema afeta a atual empresa proprietária do Skype ou apenas a eventual obfuscação da compilação, muito embora alterações que possam ser levadas a cabo no código fonte do Skype pela Microsoft, tendo em vista a grande quantidade de integrações que a empresa está planejando no seu código base, são sem dúvida uma esperança até mesmo tardia para a resolução do problema apresentado.
De qualquer forma, basta que os usuários fechem o programa quando não o estiverem usando para que possam minimizar eventuais ameaças.
Segundo informou Adrian Asher, Diretor de segurança de produto da Skype, num comunicado distribuído por e-mail, estariam sendo investigados relatos de uma nova ferramenta que poderia capturar o último endereço IP conhecido de um usuário do Skype, salientando que este seria um problema enfrentado por todas as empresas que desenvolvem software “peer-to-peer”, motivo pelo qual medidas estariam sendo tomadas para ajudar e proteger clientes.

Fonte: Iain Thomson para o “The Register”.

Fraqueza no sistema de roteamento da Internet pode causar interrupções nos principais serviços e permitir que hackers possam espionar comunicações.

Internet routingEngenheiros de TI estão estudando a maneira mais fácil de consertar uma fraqueza existente há muito tempo no sistema de roteamento da Internet que tem o potencial de poder causar interrupções nos principais serviços e permitir que hackers possam espionar dados.
O problema envolve os roteadores usados por organizações e empresas que tenham um bloco de endereços IP.
Esses roteadores se comunicam constantemente com outros roteadores (ocorrendo às vezes mais de 400.000 entradas), atualizando suas informações internas sobre a melhor maneira de chegar a outras redes que usam um protocolo chamado “Border Gateway Protocol” (BGP).
“BGP” permite que roteadores encontrem o melhor caminho quando, por exemplo, uma rede usada para recuperar uma página web a partir de Coreia do Sul não está funcionando corretamente.
Alterações deste tipo implicam no fato de que as informações de roteamento sejam distribuídas rapidamente aos roteadores ao redor do mundo em apenas cinco minutos.
Mas os roteadores não verificam se a rota dos “anúncios”, como são chamados, estão corretas.
Erros na entrada da informação, ou, pior ainda, um ataque malicioso, podem causar a indisponibilidade de uma rede.
Esta situação também pode causar, por exemplo, que o tráfego de uma empresa de Internet seja encaminhado através de outra rede tortuosa que não precisasse passar, abrindo a possibilidade do tráfego vir a ser interceptado.
Este ataque é conhecido como “rota de sequestro”, e não pode ser interrompido por qualquer produto de segurança.
Quando problemas de roteamento surgem é muito difícil dizer se este é decorrente da obtenção de resultados impróprios porque “dedos gordos” manipularam inadequadamente um roteador ou se ele é decorrente de uma ação má intencionada, segundo afirmou Joe Gersch, diretor de operações da “Secure64”, uma empresa que faz software para servidores de “Domain Name System” (DNS), afirmando ainda que isto poderia ser um ensaio para a guerra cibernética.
Gersch também afirmou sobre dados mostrarem que cerca de um terço do mundo não pode chegar a partes da Internet ao mesmo tempo devido a problemas de roteamento.
Em fevereiro, um erro fez com que o roteamento do tráfego internacional para a operadora australiana “Telstra” fluísse através da rede da sua concorrente, “Dodo”, uma vez que a mesma não podia lidar com o aumento do mesmo.
Em um incidente bem conhecido, a “Pakistan Telecom” cometeu um erro com “BGP” após o governo do Paquistão ordenar em 2008 que os “ISP’s” bloqueassem o “YouTube”, o que acabou fazendo com que os serviços do “Google” ficasse “off line”.
Em março de 2011, um pesquisador observou que o tráfego destinado ao “Facebook” na rede da “AT&T” estranhamente passou por um tempo pela China.
Normalmente os pedidos iam diretamente para o provedor de rede do “Facebook”, muito embora pela primeira o tráfego viesse primeiramente pela “China Telecom” e, em seguida, para a “SK Broadband” na Coréia do Sul antes do roteamento para o “Facebook”.
Embora o incidente tenha sido caracterizado como um erro, ele somente ocorreu para que o tráfego não criptografado do “Facebook” pudesse ser espionado.
Segundo Dan Massey, professor associado de ciência do computador na “Colorado State University”, o problema maior é que grande parte da infraestrutura crítica simplesmente confia que os jogadores irão se comportar corretamente, ressaltando que num sistema verdadeiramente global como a internet, se deve assumir que as organizações ocasionalmente cometem erros involuntários.
Ainda segundo Dan Massey, é necessário imaginar o que um determinado adversário pode ser capaz de fazer, inclusive ataques a infraestrutura crítica, tais como centrais elétricas, as quais se tornaram cada vez mais dependentes da Internet.
A solução é ter roteadores que verifiquem se os blocos de endereços IP anunciados pelos roteadores de outros, na verdade pertencem a suas redes.
Um dos métodos propostos, “Resource Public Key Infrastructure” (RPKI), usa um sistema de certificados criptografados que verificam se um bloco de endereços IP na verdade pertence a uma determinada rede.
“RPKI” é complexo, e sua implantação tem sido lenta.
Recentemente alguns especialistas apresentaram um método alternativo, apelidado de “Rover” para verificação da origem das rotas, o qual poderia ser mais fácil.
O método “Rover” tem sido amplamente adotado e armazenaria as informações legítimas de rota dentro do “DNS”, sendo que as mesmas podem ser assinadas com “DNSSEC”, o protocolo de segurança que permite que os registros de “DNS” possam ser assinados criptograficamente.
Outra grande vantagem do método com Rover é que nenhuma mudança precisa ser feita nos roteadores existentes, além de poder trabalhar ao lado do “RPKI”.
Joe Gersch, que foi o autor de duas especificações de como nomear uma rota e sobre o tipo de registro que pode ser inserido no “DNS”, afirmou que toda a infraestrutura necessária para assegurar a resposta se uma rota é legítima ou não já existe.
Por fim, o especialista informou que as especificações estão atualmente num estado denominado “internet daft”, situação anterior à criação de uma “Internet Engineering Task Force”, sendo necessário que as mesmas sejam devidamente documentadas por um grupo de trabalho para que possam tornar-se padrão.

Fonte: Jeremy Kirk do IDG News Service