Enquanto a Polícia Federal inicia um levantamento para identificar quadrilhas responsáveis por roubos a bancos, outro tipo de quadrilha pode estar agindo agora mesmo. Essas novas quadrilhas não necessitam de armamento pesado ou até mesmo seqüestrar o gerente e tesoureiro de uma agência bancária. Só precisam de um computador ligado à Internet.
|
Atualmente para realizarmos uma transação bancária pela Internet é necessário que o correntista informe: número da agência e conta corrente, senha do teclado virtual, senha secreta e em alguns casos a senha do cartão. Você sabe o por que de tantas senhas para acessar a sua conta corrente pela Internet? A resposta é simples: Segurança.
Para uma quadrilha assaltar uma agência de um banco será necessário o “investimento” em armamento pesado, informações sobre o funcionamento interno da agência, horário de recolhimento do dinheiro das agências, modelo do cofre utilizado, informações sobre o sistema de segurança física (alarmes e câmeras), etc. O risco de uma operação dessas é muito alto e na maioria das vezes não ocorre como o planejado, ou seja, a polícia consegue capturar os ladrões.
Um novo tipo de assalto surgiu. A inteligência substituiu o armamento pesado e os seqüestros necessários para a realização de um assalto. Não existem estatísticas, porém, o roubo virtual está ultrapassando o número de roubos em agências ou seqüestros relâmpagos.
O caso mais conhecido envolvendo o roubo virtual é o de Guilherme Amorim de Oliveira Alves, um mato-grossense de 18 anos. Segundo investigações da Polícia Federal, a quadrilha de Guilherme A. O. Alves teria desviado cerca de 1 milhão de reais de instituições financeiras, tais como: Bradesco, Itaú, Caixa Econômica Federal e Banco do Brasil. Guilherme A. O. Alves foi preso em março deste ano e continua detido num presídio de segurança máxima, em Campo Grande, onde aguarda julgamento.
A máfia eletrônica que surgiu com a tecnologia, utiliza-se de diversas técnicas para conseguir o acesso à conta corrente das pessoas. A principal técnica está em enganar as pessoas. Hoje recebemos diversos tipos de e-mails, sendo mais da metade dos e-mails de origem desconhecida. Um dos casos mais recente foi o do Banco do Brasil. Diversas pessoas receberam um e-mail informando que o correntista tinha sido premiado com um seguro de vida totalmente grátis. Para ter direito ao premio era necessário preencher um formulário, que estava no mesmo e-mail, informando agência, conta corrente, senha eletrônica e a senha do cartão. Todos os dados preenchidos no formulário eram enviados para o computador da máfia eletrônica.
Desde março de 2002, demonstro em palestras como os Hackers roubam o dinheiro dos bancos. Estarei apresentando as técnicas utilizadas pelos Hackers para o roubo de informações confidências e como se proteger.
As instituições financeiras preocupam-se muito com a segurança da informação. Dessa forma, os investimentos em tecnologias de segurança são necessários para garantir a continuidade dos negócios. O grau de dificuldade de uma invasão a rede de computadores de um banco é bem maior do que uma invasão ao computador que está na sua casa. Pensando dessa forma, os Hackers desenvolveram um vírus de computador capaz de gravar em arquivo tudo que está sendo digitado no teclado do seu computador. Quando conectado a Internet, o vírus envia o arquivo contendo as informações confidencias para o Hacker. O Hacker realiza o acesso a conta corrente (caso o arquivo contenha informações relacionadas a dados bancários) e inicia o processo de transferência do dinheiro para uma conta corrente preparada especialmente para receber o dinheiro. Todo o processo é rápido e simples. Geralmente o Hacker utiliza um computador com endereço IP falso, ou seja, dificilmente será encontrado.
Os bancos resolveram adotar o teclado virtual, para evitar que um vírus de computador capture a senha necessária para acesso a conta corrente. Porém, já existem novos programas de computador que conseguem capturar as informações que são fornecidas ao banco utilizando-se o mouse em vez do teclado.
Para evitar que as informações do seu computador acabem nas mãos de Hacker, é indispensável a utilização de um programa antivírus. O antivírus deverá ser atualizado diariamente, pois, são descobertos 5 novos vírus de computador por dia.
A técnica mais comum atualmente é a clonagem do site de um banco. O Hacker cria uma cópia exatamente idêntica do site de um banco e disponibiliza o site falso para acesso na Internet. Geralmente esse site fica hospedado em máquinas preparadas especialmente para isso, fora do Brasil. O Hacker ainda precisa que todas as pessoas que irão acessar o site verdadeiro, sejam redirecionadas para o site falso. Existem duas formas para redirecionar o acesso das pessoas para um site falso:
1 – Criar um e-mail falso orientando os correntistas sobre um novo procedimento do banco. O Itaú, Unibanco, Bradesco e Banco do Brasil foram vítimas desses e-mails.
2 – O Hacker deverá invadir servidores responsáveis pela resolução de nomes na Internet e alterar a configuração do sistema. Por exemplo, todas as requisições para o site www.nomedoseubanco.com.br deverão ser redirecionadas para a máquina em que está hospedado o site falso.
No segundo caso, para o correntista que está acessando a Internet é transparente, pois os procedimentos realizados estão corretos. Fazendo um pouco de analogia, seria como ir até uma loja do nosso bairro e descobrir que criaram um caminho novo até a loja. Chegando na loja está da forma que sempre esteve, porém, a loja não é a verdadeira e sim uma cópia idêntica da loja verdadeira. No mundo virtual funciona exatamente igual. O Hacker invade o sistema das empresas e muda os caminhos para os sites dos bancos, sendo que os novos caminhos levam para o site falso.
Todos os sites de instituições financeiras possuem uma área informando aos correntistas sobre procedimentos de segurança. A recomendação é que você leia atentamente as informações que encontram-se no site do seu banco para evitar ser vítima de um golpe virtual.
Outro tipo de roubo virtual chama-se “seqüestro da conexão”. Essa técnica é bem complexa de ser realizada. Quando o correntista do banco irá realizar o acesso ao site, o Hacker seqüestra essa solicitação de acesso, fingindo ser o banco para o cliente, e redireciona a solicitação para o banco, fingindo ser o cliente para o banco. O banco responde todas as solicitações para o Hacker, pensando que está em comunicação com o cliente e o Hacker repassa as informações para o cliente. Quando o correntista encerra a conexão, o Hacker acessa o site do banco e informa todos os dados do cliente. Após esse procedimento, o Hacker começa a transferir o dinheiro do correntista para outra conta corrente. Não existe defesa contra essa técnica de ataque.
Atualmente são fechados R$ 1,22 bilhão de negócios pela Internet. Isso é um atrativo ainda maior para a máfia eletrônica.
Recomendações finais
• Desconfie de e-mails que solicitam informações pessoais.
• Mantenha sempre seu computador atualizado contra falhas de segurança.
• Não abra arquivos suspeitos anexados a e-mails.
Mais informações: denny@batori.com.br
(*) Denny Roger é Diretor de Negócios de Segurança da Batori Software & Security e autor do curso Segurança da Informação em Ambientes de Rede.
Autor: Denny Roger
|
| TOPO |
|
| Resenha: Universidade H4ck3r |
TOPO |
|
Discutir segurança da informação se tornou uma prática comum. Sua importância, cada vez mais notória na era digital, tem impulsionado o lançamento de novas publicações (livros, revistas e sites) que tratam dos mais variados assuntos relacionados a proteção, ataques e defesas de sistemas informatizados.
Este mercado tem se tornado, para escritores e editoras, um dos grandes filões da indústria de conteúdo de informática. Existem muitas publicações sérias, voltadas para o profissional de segurança que realmente busca conhecimentos valiosos para seu trabalho, mas também existem os que cultuam a ideologia anárquica-hacker, alimentando essa cultura underground com técnicas de destruição e um "quê" de sociedade secreta.
Entre os livros desta segunda categoria, o mais expressivo é o Universidade H4ck3r (Universidade Hacker), um compêndio dos conhecimentos de segurança que permeiam os círculos de usuários de computadores e sistemas online.
Sua proposta é ensinar, de forma muito abrangente, as principais técnicas de ataques realizadas por hackers e crackers. Tal qual uma universidade, seus capítulos são divididos em aulas e tópicos, levando o leitor a perambular pelo seu "campus".
As semelhanças não terminam aqui: assim como numa universidade, o conteúdo apresentado no livro é extremamente superficial e, quando muito, atinge somente o objetivo de informar sobre a existência desta ou daquela técnica, deixando para o leitor todo o trabalho de pesquisa e aprendizagem.
Além da tentativa de "abraçar o mundo com as pernas", o livro peca pela inconsistência. Seus primeiros capítulos, onde estão as descrições sobre o underground, parecem ter saído de uma obra de ficção científica, com história de clãs, grupos fechados e vinganças fatais.
Ao iniciar a parte técnica torna-se evidente a falta de didática. A ordenação dos assuntos tratados é bizarra. Ensina-se sobre vulnerabilidades em pacotes TCP/IP com flags SYN antes mesmo de ensinar sobre o próprio TCP/IP que, aliás, é ensinado antes do modelo OSI, no qual foi baseado. Some-se a isto o inadequado vocabulário, os problemas de gramática, erros de digitação e a péssima pontuação (que denotam a fraca ou inexistente revisão por parte dos editores). Temos, por exemplo, o cúmulo de um parágrafo inteiro repetido em dois capítulos diferentes, sobre assuntos distintos.
O nível de conhecimento exigido para acompanhar sua leitura sofre, a cada capítulo, saltos que vão da mais completa simplicidade aos tópicos de conhecimento ultra-especializados (para os quais, é claro, não são fornecidas as bases para estudo). Esta falha ― de não poder apresentar dados mais detalhados sobre os assuntos tratados ― é incansavelmente citada pelos próprios autores, que pedem desculpas por não poderem incluir pormenores, o que torna o livro uma coleção de introduções aleatórias e inúteis.
Sua proposta de ensinar métodos de ataques e defesas se perde em meio aos textos sobre redes e sistemas operacionais, assuntos que certamente devem ser tratados por um estudioso de segurança da informação, mas com um foco totalmente diferente. Por exemplo, ao falar dos registros do Windows ou da arquitetura dos sistemas de arquivos, o importante seria tratar dos seus aspectos de segurança e não das suas funcionalidades básicas.
Seu capítulo sobre aspectos jurídicos está recheado de leis, copiadas na íntegra, sem comentários especializados ou análises profissionais, mesmo que superficiais. Não se encontram, ao menos, os conceitos básicos da segurança da informação, como os pilares da integridade, confidencialidade e disponibilidade, além dos riscos, ameaças, impactos etc. Todo o conteúdo é, aparentemente, voltado para crianças e adolescentes com tendências destrutivas.
E felizmente o livro fracassa.
O conteúdo apresentado é incompleto e incorreto. Quase nada do que é apresentado pode ser utilizado na prática e nenhum dos assuntos representa, verdadeiramente, um risco para a comunidade Internet.
Ao entrar na "parte avançada", por exemplo, o primeiro tutorial é sobre proxies anônimos e, quando finalmente chegamos à terceira seção do livro, intitulada "Tornando-se um hacker", os autores ensinam a invasão por compartilhamento de pastas do Windows. Ou pelo menos tentam ensinar.
Visões limitadas como estas estão por toda parte, seja na afirmativa de que o SQL Injection serve apenas para burlar esquemas de login de sites, seja na obstinada afirmação de que ataques por brute force solucionariam todos os pequenos detalhes (como proteção por senhas) que poderiam impedir uma invasão.
Os 5 CDs que acompanham o livro são, literalmente, um capítulo à parte. O livro indica trechos que podem ser consultados nos CDs, mas, na realidade, este conteúdo precisa ser baixado do site da editora. Só que, até o momento, nem todos estão disponíveis. Além de textos, programas de ataques e defesas estão presentes, mas sem instruções referentes aos assuntos tratados no livro. Ou seja, estão lá tal qual foram copiados da Internet.
Este é um livro para ser evitado. Seu principal erro foi tratar a segurança da informação de forma leviana. Simplificações extremas e títulos sensacionalistas podem ajudar a vender livros, mas seus leitores perceberão que o verdadeiro conhecimento, principalmente o respeitoso e benigno, somente será encontrado em publicações sérias, que não estão, exclusivamente, buscando fama e fortuna.
Universidade H4ck3r
Henrique Cesar Ulbrich e James Della Valle
Editora Digerati Books - 348 pgs. - R$ 44,80
Para comprar este livro, clique aqui.
Autor: Marcos Machado é analista de segurança com pós-graduação em redes de computadores e Internet e coordenador do fórum InfoSecurity Task Force.
Fonte: Infoguerra
| |
| TOPO |
|
| SP, MG, RJ e PE sediam curso Segurança |
TOPO |
|
Durante 13 a 24/10, a Batori Software & Security, empresa de segurança da informação, realiza o curso ‘Segurança da Informação em Ambientes de Rede’, nas cidades de São Paulo e Governador Valadares, com o objetivo de explorar o conhecimento sobre redes de computadores e sua interconexão de forma controlada e segura. Em dezembro/2003 e janeiro/2004 a cidade de Recife e Rio de Janeiro estarão recebendo o curso.
O treinamento é voltado a administradores de rede, equipes de suporte e profissionais da área de informática que estejam envolvidos com a segurança de sistemas computacionais, seja no desenvolvimento, na implantação ou no suporte de redes seguras.
Para participar do curso, o profissional deverá possuir conhecimento básico de redes de computadores e do protocolo TCP/IP, noções de aplicativos de uso em redes e conhecimento de instalação de sistemas operacionais.
O treinamento acontece no Centro de Treinamentos da Batori Software & Security, em São Paulo e Minas Gerais. Estudantes universitários e de colégios técnicos terão desconto de R$1.000,00 no curso.
As inscrições deverão ser feitas pelo telefone (11) 3105 5638 ou pelo e-mail denny@batori.com.br. Mais informações podem ser obtidas no site www.batori.com.br
Autor: Denny Roger
|
| TOPO |
|
|
