segunda-feira, 2 de dezembro de 2013

Os smartphones que traem seus usuários


Evento de segurança Black Hat, pela 1ª vez no Brasil, mostra quão vulneráveis estamos no mundo móvel. Segundo PF, fraudes eletrônicas se concentram no Sul e São Paulo



Uso de redes wireless inseguras torna aparelhos vulneráveis a técnicas sofisticadas de rastreamento
Foto: DADO RUVIC / REUTERS


Uso de redes wireless inseguras torna aparelhos vulneráveis a técnicas sofisticadas de rastreamento DADO RUVIC / REUTERS
SÃO PAULO - Em apenas oito horas, num dia do evento Black Hat na capital paulista - dedicado a abordar falhas em hardware e software de modo a aumentar a conscientização sobre a segurança digital e buscar fortalecê-la -, foram interceptados dados de 1.067 smartphones de usuários presentes à feira. Bastou instalar num dos corredores do evento uma caixa metálica do tamanho de um pacote de bombons que continha uma espécie de dispositivo rastreador. O autor da façanha, o britânico Daniel Cuthbert, é diretor executivo da empresa de consultoria Sensepost e já fez operações semelhantes em diversos países do mundo, da Rússia à África do Sul - tudo para mostrar como os smartphones podem ser portas escancaradas para nossas identidades, através de redes wireless como Wi-Fi, Bluetooth e mesmo 3G. Não por acaso, o título de sua palestra no Black Hat (o primeiro feito no Brasil, com o IT Forum Expo e o IT Business Forum) era “As máquinas que traem seus donos”.
- Foi possível, através de uma plataforma de rastreamento, saber onde os donos dos celulares andaram nas últimas horas - afirmou Cuthbert. - O uso da internet móvel 24 horas por dia nos smartphones facilita tal prática.
Hackers do bem, atuando na chamada consultoria ofensiva (a que explora como são feitos os ataques mais perigosos hoje e prestam serviço a empresas diversas), demonstraram na feira a insegurança absoluta grassando no mundo digital. Cuthbert não foi o único: os brasileiros Joaquim Espinhara e Ulisses Albuquerque, dos Trustwave Spiderlabs, apresentaram a plataforma Microphisher para estudar a engenharia social por trás de ataques de phishing. O sistema analisa as características de um usuário numa dada rede social - as palavras que emprega, seus gostos, as hashtags mais comuns, referências a outros usuários etc. - para criar um perfil falso da pessoa e enviar a seus amigos mensagens falsas altamente personalizadas, com códigos maliciosos de phishing embutidos.
- Baseamos inicialmente a plataforma em testes no Twitter, mas estamos desenvolvendo a versão para Facebook para estudar melhor esses ataques - explica Espinhara.
Segundo Albuquerque, os controles de segurança do Facebook são bons, mas o que enfraquece as defesas dos usuários é o uso dessas credenciais para entrar em diferentes sites, como Pinterest, Foursquare e outros. Através de buracos em redes de terceiros, o ambiente de Mark Zuckerberg pode ser alvo de ataques de engenharia social.
- Com os dados de usuários espalhados em várias redes, é possível montar perfis falsos com eles. E monitorar os internautas - diz Albuquerque. - Até mesmo os aplicativos de táxi, uma febre no momento, podem ser alvo de vigilância.
Uma ‘bomba’ zipada
No mundo dos ataques a empresas, a situação não é menos assustadora. Cassio Goldschmidt, especialista em segurança de aplicações da Digital Insight, explicou que os ataques de negação de serviço (DDoS - que inundam servidores de pedidos, tirando sites e sistemas do ar) estão cada vez mais sofisticados e têm várias “subespecialidades”, atacando até sistemas de nomes de domínio (DNS, na sigla em inglês).
- Grupos como Anonymous, Lulzsec e outros alternam entre esses tipos de DDoS até alcançarem seu intento - conta Goldschimdt. - Entre as armas para sobrecarregar um sistema está a chamada “bomba ZIP” - capaz de transformar um arquivo ZIP de 42 kilobytes em 4,5 petabytes após aberto (o valor equivale a espaço suficiente para guardar dados de todo o DNA da população dos Estados Unidos quatro vezes).
Outros recursos incluem pen drive USB modificado para ser interpretado como teclado e entrar numa rede incauta. Foi este o objeto de demonstração pilotada na feira por Fernando Carbone, diretor de Forensics e Cybersecurity da PwC (ex-PricewaterhouseCoopers).
- Segundo um relatório da Verizon, nos EUA, cerca de 65% das empresas são invadidas em poucas horas, mas só o descobrem meses depois, e por meio de fontes externas - afirma Carbone.
Toda essa infraestrutura cheia de imperfeições se combina de forma alarmante com a velocidade exponencial de crescimento dos dados no mundo. Segundo o futurólogo italiano Vito Di Bari, em 2023 haverá 32.500 gigabytes de dados para cada um dos habitantes da Terra - o equivalente ao dobro da memória do supercomputador Watson da IBM.
- É o que chamo de “Big Bang do Big Data” - diz Di Bari. - Atualmente, já foram baixados no mundo mais de 100 bilhões de aplicativos, e daqui a dez anos 99,2% das aplicações profissionais terão sua versão móvel. Até lá, a indústria do Big Data movimentará US$ 13,5 trilhões. Os processadores serão em escala nano e estarão por toda a parte, em objetos, segundo a internet das coisas. Sensores nos permitirão fazer download automático de uma nova cor para o carro, por exemplo.
Haja, então, resiliência para proteger esse monte Everest de informações. Thiago Musa, especialista em segurança de pagamentos móveis, atesta que este será um setor dos mais visados, já que teremos até o fim do ano mais celulares que gente no mundo (sete bilhões de aparelhos).
- Mais de US$ 235 bilhões serão transacionados via celular até o fim deste ano, um aumento de 44% em relação a 2012 - diz Musa. - E 64% dos usuários, só nos EUA, creem que algum momento o smartphone substituirá o cartão de crédito.
O problema, atalha ele, é que 64% dos códigos maliciosos para celulares visam a explorar justamente as aplicações financeiras. E proteger isso tudo é muito complicado, pois envolve as idiossincrasias de três setores diferentes da economia: a indústria de tecnologia, os bancos e administradoras de cartões, e as operadoras de telefonia. A dificuldade de padronização é imensa.
PF: fraude é maior em São Paulo e no Sul
As defesas tentam se sofisticar contra a sanha dos crackers. Um exemplo é a estratégia da empresa Palo Alto, que tem uma solução de firewall corporativo bem mais robusta que as usuais, para proteger dinamicamente as redes das empresas dos ataques.
- Essa solução de firewall deve estar não somente na ponta da conexão de rede como também entre o sistema central e os dispositivos dos usuários, para se defender de eventuais ameaças internas, como as ocasionadas por aparelhos pessoais trazidos para o trabalho - diz Arthur Capella, diretor regional de Vendas da empresa no Brasil.
Por fim, a legislação deve estar igualmente preparada para tarefa de tamanho escopo. O delegado João Vianey Xavier Filho, chefe do Serviço de Repressão a Crimes Cibernéticos da Polícia Federal, aponta que a lei 2.737/2013 tipificou devidamente o crime de violação digital, mas a pena aplicável a ele ainda é muito curta - três meses a um ano de detenção, mais multa.
- A possibilidade de prescrição do crime é alta - destaca o delegado. - Mas estamos nos preparando para fazer face ao desafio com os projetos Tentáculo e Oráculo, com a comunicação centralizada de notícias-crime e uma base nacional, em parceria com a Caixa Econômica Federal e outras instituições, sobre fraudes eletrônicas. Há cruzamento prévio de dados para investigação profunda dos casos. Analisamos grupos de cibercriminosos, incidentes de rede e fraudes eletrônicas, bem como os malwares mais ativos.
Segundo o delegado, hoje no país há 37 milhões de contas de internet banking, e 39% das transações bancárias já são feitas on-line, contra 25% nos caixas automáticos.
Num gráfico exibido no evento, Xavier Filho mostrou que a maioria dos desvios bancários se origina nos estados de São Paulo, Rio Grande do Sul e Paraná, enquanto o principal destino das fraudes é o Distrito Federal.

Nenhum comentário:

Postar um comentário