Sua empresa está segura? Mesmo? - parte 4

Por Cesar Brod

Data de Publicação: 27 de Fevereiro de 2014

Nos artigos anteriores dessa série falei sobre como as empresas, inadvertidamente, deixam informações de pessoas e seus dados bancários facilmente disponíveis através de pesquisas no Google, sobre a importância de um projeto de segurança envolver todos os funcionários e colaboradores da empresa e propus um rápido experimento de engenharia social. Ou seja, mal arranhei o verniz de um assunto que está ganhando, cada vez, mais atenção e importância graças à cobertura da mídia, intensificada pelo "efeito Snowden".

No dia 25 de fevereiro de 2014 o portal Secure List anunciou a detecção do primeiro Trojan (um tipo de malware - software do mal - usado para o roubo de informações) que usa a rede de anonimização Tor (leia mais aqui) para hospedar os servidores que enviam comandos e capturam os dados dos celulares Android infectados.

Dentre outras coisas, esse Trojan é capaz de:

1. iniciar, interromper, interceptar e capturar dados de mensagens curtas (SMS);
2. enviar dados do telefone ao servidor de controle (número do telefone, país, código IMEI, modelo, versão do sistema operacional);
3. enviar ao servidor de controle a lista de todos os aplicativos instalados no telefone;
4. enviar mensagens SMS para qualquer número de telefone enviado pelo servidor de controle.

Como o servidor de controle está hospedado na rede Tor, é virtualmente impossível saber onde ele se encontra, já que a rede faz o trabalho de mascarar seu endereço IP.

Ficou assustado? Pois saiba que esse tipo de ataque, agora descoberto na plataforma Android, é apenas uma técnica que foi portada da plataforma Windows, onde já existia. Uma explicação possível para esses ataques é fornecida nessa matéria (em vídeo) do IDG/Computerworld:

Faltam profissionais capacitados para atender à demanda. A matéria diz que estamos em um atraso de dois anos em capacitação de uma equipe de defesa. Ou seja, os bandidos estão à frente.

Aí, uma questão que vem à tona com certa frequência é: certificações profissionais adiantam alguma coisa? Um dia antes da revelação da descoberta desse Trojan para o Android, o site da empresa de segurança EC-Council havia sido invadido e, até o momento da escrita desse artigo, ainda estava fora do ar. O registro da invasão pode ser lido nesse link. O invasor colocou, na página de abertura do site da empresa, uma cópia do passaporte do Edward Snowden, que é um hacker ético certificado pelo EC-Council.

Acredito em certificações sérias e já escrevi sobre isso. Também não estou dizendo que o EC-Council não seja sério. A questão é que o valor da certificação é medido na proporção da qualidade de seus profissionais certificados. A dificuldade das provas da Ordem dos Advogados do Brasil, dos Conselhos Regionais de Medicina e outros não é sem motivo, assim como a cassação dos registros dos profissionais nos casos de bolas fora. Não deve ser supervalorizada também a invasão do portal do EC-Council, ainda que esse fato será, com certeza, aproveitado por hackers não certificados para detonar certificações desse tipo. Um ataque como esse, um "defacing", a troca ou alteração do site principal de uma empresa não está entre os maiores desafios hackers.

A questão principal é que os bandidos estão à frente.

Um hacker verdadeiramente ético, por exemplo, avisaria o EC-Council sobre sua vulnerabilidade ou, no mínimo, gravaria um vídeo no YouTube sobre a forma pela qual o ataque foi feita para que outros, que usam a mesma tecnologia, pudessem se proteger. Falando nisso, vocês que se interessam pelo assunto, conhecem o canal do Eddy Oliveira no Youtube? Um bom hacker pode estar à frente dos bandidos. A questão desse atraso dos bons com relação aos maus (que eu tenho certeza ser mais quantitativo do que qualitativo) é histórica. O primeiro ladrão surgiu antes da primeira polícia. Nosso cérebro límbico não mudou e ainda está programado para reagir ao ataque, não a atacar, a não ser que esteja com fome. E você tem fome de quê?

Desenvolvemos a consciência e, com menos fome, achamos por bem criar o dinheiro, que resultou em outro tipo de fome. Talvez o sistema límbico dos bandidos seja, simplesmente, uma adaptação evolutiva a essa nova fome. Se for esse o caso, não estamos apenas dois anos atrasados com relação eles.

Quem sabe nossa consciência nos permita, um dia, o entendimento pleno do mecanismo de defesa do sistema límbico e a compreensão da verdadeira ética hacker face à ética do bandido. A fome do hacker é a do conhecimento, mas eles também não querem passar fome. A fome do bandido é a do dinheiro, custe o que custar. O resultado dessa compreensão gerará algumas ações imediatamente proativas, como investir nos hackers para a verdadeira proteção de dados corporativos e empresarias.

O bacana mesmo seria essa coompreensão gerar uma economia não baseada em dinheiro, mas no fim da escassez e na livre distribuição do conhecimento. Esse papo é um pouco mais longo...