que segurança é um hábito. Se seguir os procedimentos relacionados aqui, dificilmente alguém invadirá seu computador. Contudo, mesmo que você siga estes procedimentos, lembre-se também da segurança local. Não adianta tomar nenhuma precaução e deixar alguém mexer no seu computador inadvertidamente, ou sem acompanhamento. Da mesma forma, jamais use um computador compartilhado para digitar senhas ou informações sensíveis, MESMO QUE lhe dêem todas as seguranças possíveis e imagináveis. Análise Forense Assim como em qualquer estudo criminalístico, o estudo sério da criminalidade envolvendo informática também tem seu ramo de análise forense. Contudo, pela própria informalidade do ambiente de informática nas empresas, e pela ausência de um corpo de estudo criminalístico na polícia, o assunto é tratado como conto de fadas. Romulo Moacyr Cholewa – http://www.rmc.eti.br, agosto de 2001. Vide “Distribuição / Cópia” neste material para maiores detalhes. Romulo Moacyr Cholewa – http://www.rmc.eti.br, agosto de 2001. Vide “Distribuição / Cópia” neste material para maiores detalhes. Grandes empresas que possuam uma infra-estrutura de TI proporcional terão provavelmente sua própria equipe de TI de segurança, e, consequentemente, de análise forense. Estudos mostram que a maioria dos ataques parte de dentro da empresa. Levando isso em consideração, faz-se necessária a presença de uma equipe que estude casos como por exemplo, proliferação de vírus. Porém, o objetivo principal da análise é a investigação de uma falha, com a intenção de colher evidências, que ajudem no processo de responsabilização, bem como no reparo dos danos e da própria falha. O trabalho do investigador forense é baseado em provas digitais, dados armazenados em sistemas de informática. A característica destes dados é sua volatibilidade. Dados podem ser alterados com muita facilidade, estragando uma prova crucial, ou incriminando quem não tem nada a ver com a história. O especialista em segurança deve: • Colocar na mesma rede do computador / sistema comprometido um outro computador, geralmente um notebook, e analisar o tráfego • Desconectar o computador da rede • Analisar cada processo que o computador possui no ar • Tentar recuperar cada log possível, retirá-lo do computador e guardá-lo em um local seguro Só então o computador poderá ser desligado. Romulo Moacyr Cholewa – http://www.rmc.eti.br, agosto de 2001. Vide “Distribuição / Cópia” neste material para maiores detalhes. Romulo Moacyr Cholewa – http://www.rmc.eti.br, agosto de 2001. Vide “Distribuição / Cópia” neste material para maiores detalhes. 8. Comércio Eletrônico Tecnicamente falando, a tecnologia envolvida com comércio eletrônico é relativamente segura. Contudo, a segurança ao se realizar uma transação bancária, por exemplo, depende de diversos fatores, não só da tecnologia ou da segurança que a instituição financeira possui. Análise de Vulnerabilidades Existem diversos pontos que são vulneráveis no comércio eletrônico. A típica conexão do usuário, até seu banco, no caso de home banking pela Internet, se parece com o seguinte diagrama: No diagrama acima, vemos claramente que o maior risco de segurança está no computador do próprio usuário. Se este estiver infectado com um cavalo-de-tróia como o BO, todas as suas senhas, transações financeiras, enfim, tudo que estiver sendo digitado no teclado pode ser capturado para um arquivo e acessado por um suposto “hacker”. Muitos autores de segurança irão discutir o quão seguras são as soluções para comércio eletrônico. Realmente, a grande maioria das soluções técnicas é excelente. Contudo, o usuário leigo não possui o conceito ou conhecimento para separar até onde vai a tecnologia de seu computador, e onde se inicia a tecnologia da companhia telefônica ou do provedor de acesso, ou até mesmo da instituição financeira ou loja virtual que se está acessando. O usuário leigo enxerga todos estes elementos como um único serviço. Assim Comércio Eletrônico InternetInternetInternet UsuárioUsuário ProvedorProvedor Servidor deServidor de ComércioComércio Vulnerabilidade: Baixa Média Alta http://home.http://home.netscapenetscape.com/eng/ssl3/3.com/eng/ssl3/3--SPEC.HTMSPEC.HTM http://www.http://www.setcosetco.org/.org/ Romulo Moacyr Cholewa – http://www.rmc.eti.br, agosto de 2001. Vide “Distribuição / Cópia” neste material para maiores detalhes. Romulo Moacyr Cholewa – http://www.rmc.eti.br, agosto de 2001. Vide “Distribuição / Cópia” neste material para maiores detalhes. sendo, ele não tomará as precauções necessárias com a segurança de seu computador, muitas vezes porque o serviço de comércio eletrônico lhe “disse” que o sistema era tão seguro que chegava a ser à prova de falhas. Hackers que desejem obter tais informações SEMPRE explorarão as FALHAS dos sistemas. Nunca irão de encontro com uma barreia praticamente intransponível: atacarão sempre o ponto mais frágil, mais vulnerável, aquele elo que pode ser “corrompido”. Neste caso, fácil até demais: o computador do usuário. A grande maioria dos sites de comércio eletrônico usam três tecnologias (saparadas ou em conjunto, na maioria das vezes). São elas: 1. SSL (Secure Sockets Layer) 2. SET (Secure Eletronic Transactions) 3. Shopping Carts O SSL é um padrão de criptografia desenvolvido pela Netscape, para criar um túnel seguro, onde todas as informações entre o browser do usuário e o site da loja ou instituição financeira são trocadas de forma criptografada. Acessar e quebrar as informações durante o tráfego é praticamente impossível. Contudo, estudos comprovam ser possível realizar tal façanha. http://developer.netscape.com/docs/manuals/security/sslin/contents.htm O padrão SET (Secure Eletronic Transactions) foi criado por administradoras de cartão de crédito, com a intenção de instituir um método capaz de impedir fraudes relativas a transações financeiras (geralmente compras através da Internet). A filosofia do sistema é bem simples: ao se comprar um produto numa loja virtual, você seleciona o(s) produto(s), e, na hora de efetuar o pagamento, através do SET, a cobrança é enviada diretamente do seu computador para a instituição financeira (digamos, a administradora do seu cartão de crédito). Assim, suas informações pessoais como o número do seu cartão NÃO são enviadas para a loja, e sim para administradora. A loja apenas recebe a confirmação do débito. Desta forma, mesmo que o site da loja seja atacado e suas informações sejam expostas, elas não conteriam em tese seu cadastro. Recentemente tivemos a invasão de uma grande loja de venda de CDs pela Internet, a CD Universe. Milhares de números de cartões de crédito foram comprometidos, o que forçou a empresa a entrar em um acordo com a administradora e emitir novos cartões para todos aqueles expostos. Um gasto de milhares de dólares, sem contar com o dano causado a imagem da empresa. Os shopping carts são pequenos programas usados nos sites de comércio eletrônico que acompanham as páginas que você visitou recentemente no site, assim como que itens escolheu ultimamente, e que itens estão na sua relação de compra. A grande maioria deles utiliza “cookies”, pequenos textos que são trocados entre o seu browser e o site, para armazenar tais informações. Em sites que não possuem SET, ou que trabalham com programas de shopping carts de baixa qualidade / vulneráveis, eles podem gravar em cookies suas informações pessoais, sem criptografia, ou com criptografia fraca. Assim, qualquer um que tenha acesso ao seu computador localmente terá potencialmente acesso a tais arquivos. Algumas vezes, até senhas e números de cartões de crédito podem ser gravados em cookies. Como regra básica, não efetue transações de comércio