Defenda sua privacidade (ou o que resta dela) no computador
Os golpes estão mais concentrados onde está o dinheiro: nos bancos. Usando um cavalo-de-tróia, phishers internacionais lesaram centenas de clientes do banco Nordic, da Suécia, nos últimos meses. Quando eles se logavam em suas contas bancárias, seus dados eram enviados para os Estados Unidos e a Rússia, e uma mensagem de erro surgia na tela. Na China, em março, o servidor de um banco em Xangai, o CCB, foi invadido e usado como base por uma gangue para atacar bancos americanos. Às vezes o roubo de informações pessoais pode durar anos, sem que ninguém note. O grupo americano de lojas de desconto TJX, com mais de 2 300 filiais em vários países, confessou, em janeiro, que seus computadores foram invadidos e roubados números de cartões de crédito e de débito de seus clientes. Isso ocorreu em 2003 e ao longo da maior parte de 2006. O Wall Street Journal citou fontes avaliando que as informações pes-soais vazadas podem abranger 40 milhões de cartões. A proteção de dados pessoais sempre foi importante — a privacidade faz parte daqueles direitos de que ninguém quer abrir mão (Tá bom, talvez com exceção de participantes de reality shows). A diferença é que, agora, quando a privacidade das pessoas é invadida nos computadores, elas não só perdem um direito como ficam expostas ao crime. Segundo a McAfee, em todo o mundo 217 mil tipos de programas mal-intencionados foram descobertos até 2006. Outros milhares não chegaram a ser identificados. Considerando somente os ataques de phishing, foram 17 600 alertas apenas em maio de 2006 — o que representa mais de uma nova ameaça a cada 3 minutos. Dados os riscos, a facilidade com que dados pessoais circulam é espantosa. Não vamos nos enganar: seria preciso ser um ermitão para ter o controle total dos dados pessoais hoje em dia. No mundo atual, quem tem emprego, usa cartão de crédito, tem conta bancária, faz compras online, financia carro, aluga casa ou contrata um convênio médico já tem a vida vasculhada do princípio ao fim. As câmeras de vigilância, antes restritas a edifícios comerciais, já tomam conta dos prédios residenciais da classe média — de forma que é muito difícil alguém sair ou entrar sem ser devidamente documentado. Para piorar, ainda nos complicamos mais, voluntariamente, oferecendo dados pessoais em troca de cartões de desconto, uso de freeware, participação em promoções e programas de mar-keting sem fim. Para não falar nas informações pessoais abertas no Orkut, fóruns e numa infinidade de outros sites de relacionamento. Mais: e as buscas armazenadas no Google, no Yahoo!, na MSN? Os usuários da AOL nos Estados Unidos sabem do risco que isso significa — bastou um descuido da empresa e dados privados de 650 mil pessoas foram para o espaço num segundo no ano passado. Com uma seqüência articulada de cliques, pode-se descobrir muita coisa sobre qualquer um. Em 43 minutos, navegando na internet, o especialista em segurança Denny Roger, da Batori Software Security, descobriu que eu estou na INFO desde 1999, antes disso trabalhei no site da revista Exame, nasci em Guaratinguetá, no interior de São Paulo, e estudei nos colégios do Carmo e Fênix. Antes, as únicas coisas que ele sabia sobre mim eram meu nome e meu cargo. E olha que ele não empregou nenhuma técnica heterodoxa... “A criação dessas bases de dados pessoais é preocupante. Cruzando os dados entre elas, pode-se chegar a informações que um cidadão não gostaria de divulgar”, diz o advogado Augusto Marcacini, que até o fim de 2006 foi presidente da Comissão de Informática Jurídica da OAB-SP. “Se até a declaração de Imposto de Renda pode ser comprada num camelô de CD pirata, imagine as informações disponibilizadas na internet”, diz. INFO comprovou, mais uma vez, a facilidade de compra dos dados do IR. Numa caminhada de uma hora e meia pelos arredores da Santa Ifigênia, em São Paulo, no início de janeiro, conseguimos por 100 reais um CD com declarações do Imposto de Renda de 11,5 milhões de pessoas físicas e jurídicas. Os dados, de cerca de 10 anos atrás, traziam informações como renda declarada, nome, endereço completo e telefone. Em questão de minutos encontramos as informações de IR de quatro pessoas da redação da revista — e do presidente Lula, FHC, Silvio Santos, Antonio Ermírio de Moraes, Geraldo Alckmin e mais um lote de figurinhas carimbadas. Conhecimentos técnicos apurados são dispensáveis na tentativa de descobrir os segredos de alguém por meio do PC. Há programas como o Spector CNE, da SpectorSoft, que monitora todos os cliques dados por uma pessoa num micro, e é vendido por 180 dólares. Apesar da facilidade, há quem prefira criar. “Com uma noção básica de programação já é possível criar um keylogger”, diz Sérgio Luís Fava, perito em informática do Instituto Nacional de Criminalística da Polícia Federal. Há criminosos digitais pés de chinelo que se viram assim, com conhecimentos rudimentares de programação. O submundo das gangues profissionais é outra história. O que se vê, nesse caso, é uma sofisticação crescente das táticas de ataque e até uma preocupação em ganhos de produtividade na hora de produzir malware de alta eficácia. Estudantes de computação e profissionais de TI estão sendo recrutados em vários países para subir o nível dos ataques, usando táticas, que segundo a McAfee, lembram as da KGB, a temível polícia secreta soviética. E o nível está subindo... A Netcraft detectou três tendências preocupantes na área de phishing: A sofisticação galopante do crime virtual foi observada em detalhe pelos pesquisadores da McAfee. Eles examinaram o número de arquivos dos rootkits como medida dessa sofisticação e notaram que a complexidade dos rootkits aumentou 200% em 2005 e 900% nos três primeiros meses de 2006. Observaram que as técnicas de despiste (stealth) eficazes hoje em dia escondem ou protegem arquivos, processos e entradas no Registro, tendo cada vez mais de disfarçar seus rastros manipulando pacotes na rede, no protocolo TCP/IP e na BIOS. A Kaspersky constatou que os grupos criminosos também aperfeiçoam a produtividade na hora de escrever código. Num estudo escrito pelo analista de vírus Yuri Mashevsky, estão detalhadas algumas das técnicas usadas. Em vez de reescrever um malware do zero, por exemplo, os programadores do crime usam os packers , reempacotando as pragas já conhecidas pelas empresas de segurança de forma que elas não sejam reconhecidas. Usam utilitários com algoritmos para encodar os executáveis e mantêm todo o poder de fogo do malware. As estatísticas da Kaspersky mostram que esse uso já passa de 27% dos programas maliciosos. Mais: utiliza-se agora uma série de packers de uma vez só, nos chamados sanduíches , de modo a aumentar as chances de que pelo menos um deles passe ileso pela barreira dos programas de segurança. Há um risco perceptível no uso de máquinas em cibercafés ou LAN houses, que ficam mais expostas a ataques por serem públicas. No Paraná, a polícia desbaratou uma quadrilha formada por funcionários de LAN house. Eles deixavam os gamers em paz, mas colocavam spyware em determinados PCs para capturar senhas de quem ia lá usar o internet banking. “Toda vez que chegava uma pessoa com perfil que não era de gamer o funcionário o encaminhava para o micro com software espião pronto para roubar informações”, diz o delegado Demetrius de Oliveira, chefe do Núcleo de Combate aos Cibercrimes do Paraná. A perda de dados pessoais não significa apenas uma enorme dor de cabeça para as vítimas. Custa dinheiro, muito dinheiro. Estudo do Instituto Ponemon, dos Estados Unidos, especializado em privacidade e proteção de dados, estima que cada dado roubado ou perdido custa 182 dólares para empresas. Uma pesquisa do FBI calcula em 67,2 bilhões de dólares as perdas provocadas pelos ataques ao longo de 2006 nos Estados Unidos. Justamente por que há tanto a perder, pode haver exageros no combate ao crime digital. Este mês, o senador Eduardo Azeredo, do PSDB mineiro, promete ressuscitar seu projeto que transforma a internet brasileira num cartório xereta e burocrático. No ano passado, o intento foi muito criticado por todos que temiam uma invasão da privacidade dos internautas. “O projeto parte da premissa de que todo internauta é um criminoso em potencial”, diz Tiago Tavares, presidente da SaferNet, organização não governamental de proteção dos direitos humanos na internet. “O que pretendemos não é a restrição, mas a responsabilização do uso da internet”, afirma Azeredo. A conferir. Os bancos são a frente mais sensível aos ataques das gangues virtuais. “O Brasil é o principal criador de trojan bancário do mundo. Pelo menos 40% dessas pragas são criadas aqui”, diz Eduardo Godinho, gerente técnico da Trend Micro. Os bancos fazem o que podem para proteger as contas de seus correntistas — mas não querem nem ouvir falar em pagar antivírus para a clientela. Vários deles colocaram para funcionar com o Internet Explorer de seus clientes um dispositivo de segurança com vocação para a polêmica. O software se instala na máquina sem oferecer opção de desinstalação. Por isso, alguns programas de segurança podem acidentalmente identificá-lo como spyware. “Eventuais remoções serão tratadas caso a caso”, diz Fernando Malta, diretor de canais do Unibanco, um dos bancos que usa o dispositivo. Anatomia dos ataques Tentativas de ataques mais comuns no Brasil em 2006 - em números de incidentes reportados Token neles! No Unibanco, 40 mil usuários do internet banking receberam o seu token e precisam usá-lo todas as vezes que entram no banco online. Com base nessa experiência será criada uma cesta de segurança que incluirá diferentes níveis de proteção. Quanto maior for a proteção adotada pelo correntista, maior será o valor limite para as transações online. |