blog.dennyroger.com.br

Por Denny Roger

As empresas buscam constantemente se tornarem cada vez mais competitivas. Atualmente as empresas estão concentrando seus esforços em valorizar seus colaboradores, pois acreditam que os recursos humanos representam um de seus principais diferenciais de mercado.

Dentre as formas de promover a motivação dos colaboradores em estarem participando dos assuntos relacionados a segurança da informação, a prática de organização de campanhas de segurança é, provavelmente, a mais conhecida e, por outro lado, também é a que as empresas menos investem.

A campanha de conscientização sobre segurança da informação é uma atividade de apoio à implementação das diretrizes e normas, caracterizada pela integração das pessoas através de informação baseada em ameaças reais ao negócio da empresa, objetivando atribuir sentido aos procedimentos de segurança da informação, obtendo o comprometimento dos colaboradores.

Como motivar seus colaboradores

Primeiramente, a campanha de conscientização não deve ser entendida apenas como uma ferramenta de comunicação interna. A “Campanha de Segurança da Informação” constituí um processo educativo que objetiva integrar pessoas e gerar motivação.

A motivação é estimulada por uma série de fatores que, em conjunto ou combinados, poderão aumentar a percepção dos colaboradores sobre os procedimentos de segurança da informação, tais como:

Apresentando casos reais relacionados aos problemas descritos anteriormente, sua empresa estará promovendo a motivação das pessoas a estarem seguindo as normas internas, obtendo seu comprometimento com os objetivos de segurança da informação. Isso ocorre porque a campanha irá apresentar um assunto intangível de forma tangível.

Por exemplo:

Qual empresa irá investir em um programa de antivírus para celular?

Poucas.

Por que?

Porque pouquíssimos aparelhos celulares de empresários foram infectados por este tipo de praga. Ou seja, o empresário só irá investir quando este tipo de ameaça causar algum prejuízo ou quando ele presenciar uma apresentação real da ação de um vírus para celular. Dessa forma, estamos transformando um assunto intangível de forma tangível.

Colaboradores mais comprometidos terão maior produtividade, por conseqüência, a empresa terá melhores lucros e resultados.

A implementação de uma campanha de conscientização sobre segurança da informação resulta em melhorias significativas:

Não se esqueça: a divulgação das diretrizes e normas é importante, mas o principal objetivo da campanha de conscientização não deve ser fomentar a integração, e sim subsidiar as pessoas de conhecimento, para ajudá-las no processo de tomada de decisão de acordo com os procedimentos de segurança da informação da sua empresa.

Denny Roger é diretor da EPSEC (www.epsec.com.br), membro Comitê Brasileiro sobre as normas de gestão de segurança da informação (série 27000), especialista em análise de risco, projetos de redes seguras e perícia forense. E-mail: denny@epsec.com.br.

Sem comentários »

Londres - Leni de Abreu Neto, de 35 anos, foi preso na Holanda sob a acusação de conspiração para causar dano a computadores ao alugar rede bot.

Um brasileiro que está sendo acusado de tentar alugar uma rede botnet, que seria usada para enviar spams pode ser extraditado para os Estados Unidos.

Leni de Abreu Neto, de 35 anos, é natural de Taubaté, no interior de São Paulo, e foi preso na Holanda, no final de julho. Ele está sendo acusado de conspiração para causar dano a computadores por um juri federal da Luisiana, nos Estados Unidos.

Neto foi preso juntamente com o holandês Nordin Nasiri, de 19 anos, e seu irmão, de 16 anos. Nasiri construiu uma rede de cerca de 100 mil computadores hackeados.

Entre maio e junho, o brasileiro fez um acordo com Nasiri para atuar como mediador no aluguel da rede a terceiros, que renderia algo em torno de 40 mil dólares.

Se condenado, Neto pode pegar até cinco anos de cadeia, mais três de condicional, além de ter de pagar uma multa de até 250 mil dólares, dependendo dos prejuízos causados.

Fonte: http://idgnow.uol.com.br/seguranca/2008/08/22/brasileiro-preso-na-holanda-por-alugar-rede-bot-sera-extraditado/

Sem comentários »

Um advogado foi preso na noite de quarta-feira (13) em Florianópolis, sob suspeita de criar perfis falsos para difamar uma colega de trabalho e o noivo dela. Segundo a Polícia Civil, ele deve ser indiciado sob acusação de falsidade ideológica e difamação.

A prisão, realizada em uma LAN house da cidade, ocorreu após cerca de oito meses de investigação. De acordo com a polícia, o advogado criou três perfis falsos no Orkut –dois com imagens da vítima e um com o noivo dela. No momento da prisão, foi encontrado com o suspeito um CD com fotos das vítimas.

A polícia afirma que o advogado trabalhava com a mulher no Besc (Banco do Estado de Santa Catarina) e ele “provavelmente tinha atração, amor pela vítima”. “Como não era correspondido, ele começou a fazer perfis falsos no Orkut”, diz o investigador André Gustavo da Silveira, do 1º Departamento de Polícia.

Em um deles, o noivo da vítima era colocado como homossexual e em outro, com o nome da funcionária do banco, havia imagens pornográficas. O terceiro perfil, com fotos “normais” da vítima, era utilizado pelo advogado para conversar com outras pessoas no Orkut.

Segundo os investigadores, não houve rastreamento do IP (protocolo de internet) do suspeito durante as investigações. Para chegar ao advogado, a vítima apresentou uma lista de nomes que poderiam ser os responsáveis pela ação. Depois, a polícia comparou o modo de escrever do suspeito em seu perfil verdadeiro e os falsos e afirma ter encontrado muitas semelhanças.

A LAN frequentada pelo sujeito também colaborou com as investigações e monitorou suas ações nos computadores da loja.

Fonte: http://www1.folha.uol.com.br/folha/informatica/ult124u433553.shtml

Sem comentários »

Novo ataque sugerindo a visualização de vídeo incentiva a vítima a baixar o cavalo de Tróia.

Usuários da Internet são alvos de um novo ataque malicioso via, afirmou a consultoria de segurança EPSEC nesta quinta-feira (14/08).

O ataque vem na forma de uma mensagem supostamente enviada por uma pessoa que “conhece você” e pede que um link seja clicado para visualizar um vídeo teoricamente com imagens de uma traição, afirmou o diretor da consultoria, Denny Roger.

O link, porém, leva usuários a uma página (http://www.magiclick2.com/video12-08.exe) oferecendo o download de um executável forjado como um vídeo.

O executável é um cavalo-de-tróia chamado de Trojan-Downloader.Win32.VB.bkp, que injeta outro código malicioso no computador da vítima.

Crackers estão aplicando este golpe por anos em mensagens eletrônicas, o que faz com que muitos usuários estejam atentos contra o problema. No entanto, usuários podem ser menos atentos quando o assunto é a traição de uma pessoa que você gosta.

Segundo o Denny Roger, a praga é identificada apenas por 8 das 36 marcas de antivírus testadas, como BitDefender, DrWeb, F-Secure, GData, Ikarus, Kaspersky, NOD32v2 e TrendMicro.

Para evitar ser infectado, o usuário não deve clicar no link fornecido no e-mail.

Veja abaixo o texto do e-mail:

“Ola tudo bem!!

video de tudo”.

Fonte: Equipe EPSEC

www.epsec.com.br
info@epsec.com.br

A EPSEC é uma empresa brasileira especializada em desenvolvimento de campanhas de conscientização em Segurança da Informação.

Fundada em 2008 por profissionais com vasta experiência em projetos de alta complexidade em Segurança da Informação, Auditoria e Controles Internos, a EPSEC é reconhecida pelo mercado através de suas palestras inovadoras e por sua capacidade em disseminar a cultura sobre Segurança da Informação com alto valor agregado ao negócio de seus clientes.

Sem comentários »

Livro traz orientações práticas para o processo de segurança da informação na organização, tomando por base a Norma NBR ISO/IEC 27002.

O consultor em segurança da informação, Edison Fontes, está lançando o livro “Praticando a Segurança da Informação“, que traz ensinamentos como os principais elementos desse processo devem ser desenvolvidos e implantados.

A obra disponibiliza exemplos reais: 5 regulamentos já utilizados em organizações e um questionário com 123 perguntas que permitem avaliar o processo de segurança da informação.

“O livro é fruto da minha experiência no assunto e do apoio/incentivo dos vários amigos profissionais em segurança da informação”, explica Edison Fontes.

Edison Fontes é certificado CISM e CISA, bacharel em Informática pela UFPE, especialista pelo Mestrado de Ciência da Computação da UFPE, pós-graduado em Gestão Empresarial pela FIA. Foi coordenador do Banco Banorte, Consultor independente, Gerente do Produto Business Continuity Plan da PricewaterhouseCoopers, Security Officer da GTECH Brasil e atualmente é Gerente Sênior da CPM Braxis. É colunista do site ITWEB, professor convidado de MBAs da FIAP, da FATEC e da FIA. Este é seu o terceiro livro como autor.

O lançamento do livro e a noite de autógrafos será no dia 27 de agosto de 2008 na Livraria Cultura do Shopping Villa Lobos às 19h.

Abraços,

Denny Roger
denny@epsec.com.br
www.epsec.com.br

Sem comentários »

A rádio CBN divulgou ontem (12/08), através do boletim “CBN Tecnologia da Informação”, com Daniela Braun e Carlos Alberto Sardenberg, o resultado de uma análise realizada por Denny Roger em um e-mail que está circulando na Internet.

O e-mail trata de um boato sobre “o pior vírus que já existiu” e “não existe antivírus para ele”. O boato traz como apelo que o tal vírus irá destruir todo o HD do computador e que você deve repassar a informação para o maior número de pessoas possíveis.

Ouça agora o boletim Orkut nas Olimpíadas e confira o resultado da análise.

Abraços,

Denny Roger
denny@epsec.com.br
www.epsec.com.br

Sem comentários »

Dispositivo de segurança se populariza no Internet Banking, mas usuário deve ter cuidado.

A segurança no Internet Banking é certamente um tópico fundamental, hoje em dia. O alvo dos ladrões migrou da agência bancária para o computador do correntista, onde as informações financeiras são acessadas e movimentadas (pagamentos, transferências etc).

O Internet Banking desenvolvido no Brasil é o que considero um dos mais seguros do mundo. Essa evolução é conseqüência da ação dos crackers. Existem tantos ataques bem-sucedidos executados por brasileiros que a tecnologia de segurança bancária evolui mais rápido aqui do que em outros países. Porém, não existe segurança absoluta e o objetivo dos crackers é localizar e explorar o elo mais fraco, o ser humano.

Os dispositivos de segurança no Internet Banking são eficazes?

O que você sabe: Os crackers disseminam programas espiões capazes de gravar tudo o que você digita durante o acesso ao Internet Banking. Por exemplo, agência, conta corrente, frase secreta e senha. A contramedida implementada foi o teclado virtual. Dessa forma, o cliente do banco é obrigado a utilizar o mouse para informar a sua senha, minimizando o risco do programa espião capturar as informações digitadas no computador.

Os riscos: Existem dois problemas neste caso. Alguns clientes compartilhavam a sua agência, conta corrente, senha do teclado virtual, com outra pessoa. Esta outra pessoa acessava o Internet Banking e realizava diversas transações financeiras. O cliente entrava em contato com o banco informando que o dinheiro havia “desaparecido” de sua conta corrente. Isso chama-se auto fraude.

O segundo problema é o teclado virtual. O programa espião evolui junto com a segurança do Internet Banking. Além de gravar tudo que é digitado, o programa espião fotografa (print screen) toda vez que é pressionado algum botão do mouse. Ou seja, quando você clica nos números da sua senha utilizando o teclado virtual, o programa espião fotografa os números que foram clicados.

O que você tem: Os bancos foram obrigados a implementar uma segunda camada de segurança conhecida como token (chave de segurança, cartão de segurança, tabela de senhas, dispositivo de senhas eletrônicas etc). Dessa forma, mesmo que agência, conta, e senha sejam informações conhecidas por terceiros, é necessário possuir o token para realizar as transações financeiras.

Os crackers não perderam tempo e publicaram na Internet páginas clonadas dos bancos solicitando todos os números da chave de segurança, cartão de segurança, e tabela de senhas. Veja o vídeo da ação do Cracker.

Alguns clientes utilizam o token para aplicar o golpe de auto fraude. Ou seja, é realizada uma fotocópia (xerox) do cartão/chave de segurança ou da tabela de segurança. Essa cópia é disponibilizada para uma outra pessoa. A conta corrente é acessada via Internet Banking pela outra pessoa e são realizadas diversas transferências e pagamentos de contas. O cliente entra em contato com o banco informando que roubaram seu dinheiro, acreditando que o banco irá devolver todo o dinheiro que “desapareceu” da sua conta corrente. Sendo assim, mesmo o token não consegue garantir uma segurança absoluta.

O que você é: Os bancos estão implementando uma terceira camada de segurança, a biometria.

A maioria das pessoas com quem conversei acreditam que a biometria é o dispositivo de segurança mais seguro. Na minha opinião este recurso passa uma falsa sensação de segurança. Um dos problemas é não poder revogar uma permissão baseada em biometria.

Os Caçadores de Mitos (MythBusters) demonstraram diversas formas de burlar um sistema de segurança baseado em biometria. Uma das técnicas utilizadas, e a mais curiosa, foi a utilização de uma fotocópia (xerox) da impressão digital para burlar o sistema de segurança. Você pode conferir todos os resultados das técnicas utilizadas no site http://mythbustersresults.com/episode59.

Confira o vídeo deste episódio disponível no YouTube.

Conclusão

Pode-se alcançar um aumento significativo de segurança utilizando o token. Alguns tokens utilizam a tecnologia de “uma única senha”. Esta senha é alterada uma vez por minuto e é permitido somente um acesso por minuto. O token também permite que você utilize uma autenticação de dois fatores (o que você sabe + o que você tem).

Não se esqueça: o cracker precisa descobrir apenas uma fraqueza para ser bem-sucedido. Normalmente o elo mais fraco é o ser humano. Não anote suas senhas, frases secretas etc. Não faça uma cópia do seu token (cartão/chave de segurança ou tabela de segurança), tenha cuidado com os sites clonados - os bancos solicitam apenas uma das chaves de segurança – e sempre atualize seu software antivírus.

Denny Roger é diretor da EPSEC, membro Comitê Brasileiro sobre as normas de gestão de segurança da informação (série 27000), especialista em análise de risco, projetos de redes seguras e perícia forense. E-mail: denny@epsec.com.br.

Fonte: http://idgnow.uol.com.br/seguranca/mente_hacker/idgcoluna.2008-08-08.4729373953/

Sem comentários »

Por Denny Roger

A campanha de conscientização é uma das mais novas ferramentas da gestão da segurança da informação que busca divulgar estratégias e boas práticas de segurança para uso no ambiente corporativo.

Imagine uma empresa com muitos funcionários. Todos possuem um crachá que permite acessar determinadas áreas da empresa. Os funcionários saem para almoçar. Porém, o restaurante está sempre cheio e às vezes é difícil encontrar uma mesa vazia. Para não ficarem sem uma mesa, os funcionários utilizam o crachá da empresa para reservar a mesa. Qualquer pessoa poderia pegar este crachá e utilizá-lo para acessar (fisicamente ou logicamente) as informações da empresa. Isso acontece todos os dias!

A campanha de conscientização é uma ferramenta diretamente ligada à comunicação interna das boas práticas de segurança da informação, que alia técnicas de marketing a conceitos de recursos humanos para compartilhar a percepção dos riscos associados às atividades da empresa.

A comunicação interna sobre segurança da informação assume cada vez mais intensidade nas empresas, gerando e repassando informações de nível corporativo para os diversos públicos com que a empresa se relaciona (funcionários, clientes, terceiros, parceiros comerciais, etc).

Ao nos lançarmos em busca de boas práticas globais em segurança da informação – como a ISO 27002, por exemplo – nos damos conta da importância do envolvimento dos funcionários nesses processos. Neste momento, a comunicação interna começa a desenvolver mecanismos que agilizem e tornem possível essa integração dos funcionários com as mudanças que estão acontecendo dentro da empresa em relação à segurança da informação.

Em vez de meras ferramentas para as empresas atingirem seus objetivos, as campanhas de conscientização também podem e devem se propor a ajudar as pessoas a se sentirem mais seguras quando estiverem utilizando o computador na sua residência onde, em tese, passam boa parte do tempo navegando na Internet.

Não podemos esquecer que as empresas orientam seus funcionários a criarem senhas complexas. Porém, as senhas criadas são tão difíceis que a maioria das pessoas esquece. Para não esquecer a senha, o funcionário irá anotá-la. Outro fato interessante é que a senha criada ficou tão difícil e tão “boa” que o funcionário irá utilizá-la em tudo. Ou seja, no seu MSN Messenger, Skype, e-mail pessoal, site do banco, etc. Caso alguém descubra esta senha terá acesso a tudo.

Essa atitude estratégica visa dar aos funcionários uma noção da importância da segurança da informação, fazendo-os ter a capacidade de responder qualquer ameaça que apareça dentro da empresa, e isso inclui envolvimento, comprometimento e, principalmente, qualificação do funcionário, visando assumir responsabilidades e iniciativas, conhecendo as boas práticas de segurança da empresa onde trabalham.

O funcionário deve saber a importância da segurança da informação para a empresa, pois só assim ele irá adotar hábitos de boas práticas na sua rotina de trabalho.

Denny Roger é diretor da EPSEC (www.epsec.com.br), membro Comitê Brasileiro sobre as normas de gestão de segurança da informação (série 27000), especialista em análise de risco, projetos de redes seguras e perícia forense. E-mail: denny@epsec.com.br.

1 comentário »

Anna Carolina Aranha

Manter os sistemas de computador livre dos hackers não é apenas uma questão técnica. Um mundo digital seguro depende também de uma regulamentação mais rígida, educação e conscientização dos usuários.

A questão da segurança da informação tornou-se um tema importante na sociedade contemporânea. De grandes empresas que guardam nos computadores os segredos de seus negócios, até indivíduos que trocam correspondências eletrônicas de caráter pessoal, todos têm o legítimo direito de esperar que os dados confiados às máquinas sejam mantidos intactos e confidenciais, acessíveis apenas às pessoas autorizadas.

Embora tenha tomado proporções maiores no final do século passado e início deste, essa questão é praticamente tão antiga quanto a própria humanidade. No Egito, cerca de 1.900 anos antes da era cristã, surgiram os primeiros registros de escrita cifrada. Da mesma forma, também são muito antigas as tentativas de burlar os códigos secretos.

Capturar informações alheias sem autorização é sempre um crime, mas nem sempre o infrator tem por objetivo obter algum ganho financeiro com isso. Muitas vezes, é a curiosidade e a vontade de quebrar padrões que estimulam os hackers. Entender essa particularidade é importante tanto para as empresas como para os cidadãos que se preocupam com o assunto. Trata-se de um problema que não deve ser visto apenas do ponto de vista técnico, de programação ou infra-estrutura de redes de comunicação. É um problema cultural e social.

Embora haja hoje um bom nível de consciência de empresas e consumidores a respeito dos perigos dos vírus e dos ataques de hackers, em alguns casos as ações para evitar os problemas não acontecem como deveriam. Ainda é comum ver empresas que compram equipamentos e software de última geração, mas cometem erros básicos de configuração, ou não se preocupam como deveriam com as atualizações. Os programas de computador são como carros: precisam de manutenções, revisões e cuidados constantes. Ter um software de ponta e não cuidar de seu uso, manutenção e configuração é como comprar carro blindado e andar de janela aberta ou portas destravadas. O número é alarmante: mais de 80% dos problemas de segurança poderiam ser evitados se os programas estivessem devidamente configurados e atualizados.

Sempre que a Microsoft divulga um patch –arquivo de correção com o objetivo de melhorar a segurança de determinado produto – os hackers imediatamente tentam decodificá-lo para procurar onde está a vulnerabilidade que está sendo corrigida. A partir daí, podem tentar lançar ameaças contra os computadores não atualizados. Ou seja, cada atualização é um remédio para um potencial problema, mas também é uma dica para um hacker tentar explorar tal problema.

Especialistas em justiça criminal afirmam que os crimes virtuais crescem numa velocidade maior que o crime convencional. Além de mais rápidos, os hackers estão mais ousados: usam e abusam de Engenharia Social para conseguirem o que querem. Essas artimanhas vão desde envio por e-mail de propostas de empregos até promessas de imagens inusitadas, passando simplesmente por aviso de erro no envio de mensagens. Por isso mesmo fica cada dia mais difícil o usuário identificar o que poderia ser uma ameaça para seu ambiente computacional.

A Microsoft tem atuado de todas as formas a seu alcance para tentar evitar problemas para seus clientes. Além de aperfeiçoar e simplificar o sistema de atualização dos seus softwares, disponibiliza ferramentas gratuitas que ajudam as empresas a verificar os problemas de segurança e fazer o gerenciamento das correções. Também procura alertar e educar usuários finais e profissionais de tecnologia sobre os riscos das ameaças nos dias de hoje. No site Microsoft Security (www.microsoft.com/brasil/security/), oferece boletins atualizados sobre as ameaças de vírus e informações para se proteger ou se livrar deles. Junto com a Central de Segurança do site de desenvolvedores TechNet (www.technetbrasil.com.br/Seguranca/), representa o maior acervo de documentações sobre segurança na plataforma Microsoft em português.

O Brasil, que soube rapidamente perceber as vantagens e potencialidades da Internet, é por conseqüência um dos países mais expostos aos problemas de segurança digital. Segundo relatório da Conferência de Comércio e Desenvolvimento das Nações Unidas (Unctad), o Brasil tem a segunda Internet mais vulnerável do mundo, perdendo apenas para os Estados Unidos. A solução não é simples e envolve uma regulamentação maior por parte do governo, uma continuidade do esforço das empresas de tecnologia e uma educação e conscientização maior por parte dos usuários, técnicos ou leigos. Só assim cada um de nós, e o país como um todo, poderá tirar proveito de todas as potencialidades do mundo digital, sem temer pela integridade de suas informações.

Anna Carolina Aranha é gerente de estratégias de segurança da Microsoft Brasil.

Fonte: http://www.microsoft.com/brasil/technet/Colunas/AnnaCarolinaAranha/Seguranca.mspx

Sem comentários »

Por Ruy J.G.B. de Queiroz

Na Internet, somos todos vizinhos. Quão vulnerável está hoje o cidadão da rede contra maus vizinhos? Difícil obter resposta animadora: estimativas conservadoras põem a despesa anual em segurança em tecnologia da informação nos EUA em US$50 bi, e as perdas com o crime eletrônico em US$100 bi. E esses números têm alcance global. Leis recentemente aprovadas, regulação da indústria, e cobertura da imprensa, tudo isso tem certamente elevado o grau de exposição do problema, mas a insegurança e a incerteza ainda prevalecem. Certo mesmo é que a riqueza que “flutua” na rede é fabulosa: somente o Fedwire Funds Service americano faz circular diariamente mais de 2 trilhões de dólares.

Recentes estatísticas americanas dão conta de que, na média, um assalto físico a um banco rende ao assaltante algo da ordem de cinco mil dólares, e que, em média, 57% dos meliantes são apanhados. Aos potenciais contraventores surge uma oportunidade altamente atraente: por que arriscar tanto por tão pouco, quando se pode se lançar à caça de riquezas fabulosas flutuando no ciberespaço e protegidas sob mecanismos ainda não tão eficazes? A gênese de tais mecanismos é bem lembrada na resenha de “Crypto: How the Code Rebels Beat the Government” (Penguin, 2001), de Steven Levy, colunista de Newsweek: “à medida que a era digital estava no seu alvorecer no final dos anos 1970, uma enorme pedra no caminho à troca de informações e à condução de transações via redes de alta-velocidade era a falta de segurança de participantes externos que poderiam querer interceptar os dados”. Como mestre de cerimônia da comemoração dos 30 anos do advento da criptografia de chave pública (no Computer History Museum, Mountain View, Califórnia, em 2006), John Markoff, colunista de tecnologia do NY Times, diz que com a possível exceção de armas nucleares, não consegue pensar em nenhuma tecnologia que tenha tido um impacto político e econômico profundo sobre o mundo maior que a criptografia, a ponto de ter se tornado parte invisível do tecido tanto da comunicação quanto do comércio modernos. Fundamental para a garantia de confidencialidade, integridade e autenticidade da informação digital, a criptografia não é a solução para todos os problemas de segurança na rede, pois há quem explore os erros de implementação (vulnerabilidades): se no início eram apenas adolescentes curiosos e audaciosos, hoje são verdadeiras “gangues cibernéticas”.

Em matéria recente, Jeff Moss, fundador dos tradicionais encontros anuais de hackers DEFCON e BlackHat, sempre organizados em Las Vegas, observa que a quantidade e a qualidade das submissões têm caído drasticamente, e atribui isso à chamada “economia da vulnerabilidade”: ao invés de expor suas descobertas de vulnerabilidades em conferências, muitos pesquisadores estão optando por vendê-las num mercado que cresce a olhos vistos. Para se ter uma idéia, um programa que explora uma vulnerabilidade no Internet Explorer pode valer de US$100 mil a US$250 mil. Alguns desses “ciber-chefões” dispõem de laboratórios mais bem equipados que tradicionais empresas de segurança como Symantec e McAfee. O mercado de vulnerabilidades já conta inclusive com uma espécie de portal de leilão eletrônico (estilo eBay). A WSLabi, empresa sediada na Suíça, se diz atrás de um “importante objetivo”: tornar o mundo mais próximo do “risco [cibernético] zero”. Segundo seu portal, se é que o mundo deve se tornar mais seguro, deveremos permitir que pesquisadores vendam suas [descobertas de] vulnerabilidades às empresas de software e outras partes interessadas, através de um mercado aberto. WSLabi, que promete verificar a identidade de vendedores e compradores, ao mesmo tempo que garante a confidencialidade das transações, tem sido criticada por transformar vulnerabilidades em commodities, mas Roberto Preatoni, seu fundador, (sim, o mesmo do escândalo da Telecom Italia, preso em Nov 2007), argumenta que um criminoso não se arriscaria a se submeter ao processo de verificação de identidade que a empresa exige.

Por outro lado, Preatoni defende que a iniciativa do portal oferece ao pesquisador um retorno por suas descobertas (quase nunca retribuídas pelos fabricantes de software), livrando-o de ter que ir buscar recompensa no submundo do “cibercrime”. Para se ter uma idéia do tamanho desse mercado, em 2007 estatísticas davam conta de que embora pesquisadores tivessem analisado pouco mais de 7000 vulnerabilidades publicamente reveladas no ano anterior, o número de novas vulnerabilidades encontradas em programas poderia ser maior que 140 mil por ano, disse o CEO da WSLabi, Herman Zampariolo. Por contraditório que pareça, a legislação em vigor nos EUA tem acrescentado insegurança ao pesquisador: o ato de revelar a vulnerabilidade pode provocar a própria incriminação de quem a revela. O fato é que os problemas de segurança ameaçam a estabilidade, a credibilidade, e a “generatividade” da Internet, conforme alerta Jonathan Zittrain em “The Future of the Internet - And How to Stop It” ( http://futureoftheinternet.org/ ). Urge que o assunto seja tratado com a devida prioridade.

Ruy de Queiroz é professor do Centro de Informática da Universidade Federal de Pernambuco.

Fonte: http://oglobo.globo.com/opiniao/mat/2008/07/28/a_economia_da_vulnerabilidade-547443731.asp

Sem comentários »