segunda-feira, 19 de dezembro de 2011

Por que hackers não precisam ser tão espertos

Em vez de táticas mirabolantes e scripts superavançados, o roubo de dados pode e é feito de maneiras muito mais simples do que você imagina.

Não é incomum nos depararmos com filmes que caracterizam hackers como gênios do mal que podem ludibriar computadores e usuários a lhes darem qualquer informação necessária com o uso de uma imensa quantidade de comandos. Mesmo fora das telinhas, eles são temidos como misteriosos magos da informática.


Mas no fundo, a grande maioria dos hackers apenas explora informações e buracos de maneiras muito simples. Novas técnicas também raramente surgem, e os métodos de ataque ficam presos aos velhos costumes.

Entre essas estratégias, que são passadas através de gerações, podemos citar os já famosos: malwares, spywares, buffer overflows, a engenharia social, quebra de senhas e assim por diante. A diferença, é que hoje os intrusos sabem utilizar melhor as informações que eles conseguem.

Existe, por exemplo, um novo rootkit chamado de Membroni que altera a BIOS da placa-mãe. Embora aja de forma interessante, isso não é novidade. Um outro malware que fazia a mesma função já existia em 1998.

Outras maneiras muito comuns de invasão, explorando aplicativos e bases de dados SQL, já são usadas há mais de 10 anos. Por outro lado, as que “roubam” dados de pagamento e os enviam para um host existem desde 1989.

Claro que para se proteger de todas essas ameaças, não se faz necessária a utilização de um sistema de defesa ultra-avançado. Contudo, nós também nunca estaremos seguros, graças ao fato de que:

Nosso cérebro só lembra senhas caso sejam palavras


De acordo com uma pesquisa publicada em 2005 e que também foi notícia aqui no Tecmundo, as quatro senhas mais comuns no mundo são: “1234”, “123456”, “12345678” e “password”. Contudo, se você pedir ao site de cadastro que gere uma senha aleatória, é muito provável que o resultado seja algo impossível de ser lembrado.

Contudo, ao usar uma palavra, o trabalho do hacker fica muito facilitado. Hoje, um computador médio, pode decifrar em torno de 10 milhões de senhas por segundo, sendo que nosso dicionário não possui nem 1 milhão de palavras.


Isso significa que se a senha for uma palavra, um nome ou uma combinação comum, um hacker seria capaz de quebrá-la mais rapidamente do que você seria capaz de digitar. Mesmo que sejam adicionadas combinações de caracteres no fim das palavras, o tempo simplesmente subiria em alguns poucos segundos.

Mas criar uma senha segura não é difícil. A melhor maneira de fazê-lo é formando uma frase e então pegando as iniciais. Por exemplo, a frase “O Tecmundo é a melhor fonte de informação sobre tecnologia no Brasil.” geraria a senha: “OTeamfdistnB”, relativamente fácil de ser lembrada e que aumentaria a dificuldade de quebra exponencialmente.

Se alguém pede nossa senha, nós a entregamos


Uma pesquisa feita em 2004 (ok, ela está defasada, mas o resultado não deve ter mudado tanto nos últimos anos) apontou que 70% das pessoas cedem suas senhas em troca de chocolate. Esse é um dos exemplos da famosa “engenharia social”.

Pessoas que normalmente se passam por funcionários da empresa ou grandes clientes, normalmente usam de seu poder de persuasão para ter acesso a dados sigilosos. Um exemplo disso aconteceu na própria Microsoft, quando uma pessoa ligou para o atendimento se passando pelo editor-chefe de uma famosa revista sobre jogos e conseguiu os dados da conta do editor.

Claro que nem sempre esse roubo acontece através de uma conversa direta. O phishing continua com força na internet, fazendo com que usuários insiram dados confidenciais em páginas e formulários falsos.

Sempre optaremos pela conveniência em detrimento à segurança


E esse tipo de conveniência é tão sutil, que normalmente nos passa despercebido. Sistemas que gravam nossos dados de acessos a diferentes endereços, como as próprias memorizações de senha dos navegadores, foram adições muito bem-vindas. Contudo, essa conveniência pode ser um grande problema, caso seu computador “caia em mãos erradas”.

Nós padronizamos nossas senhas


É comum nos depararmos com notícias de vazamento de dados dos mais diversos endereços. Normalmente, não parece ser algo ao qual deva ser dado muita importância, se não fosse o fato de que temos o costume de usar a mesma senha em diversos sites diferentes.

E na mesma tendência de padronização, ainda temos a integração entre diversos endereços. Hoje já é comum utilizar o Facebook para acessar diversas outras páginas. Contudo, o perigo logicamente reside na situação de que se alguém conseguir os dados do Facebook, automaticamente terá acesso a diversas outras contas.

Além disso, quanto mais aumentam a integração entre as páginas, mais os hackers vão atrás de maneiras para quebrar o banco de dados dos “grandes”. Isso acontece, pois, obviamente, a recompensa pelo sucesso será muito maior.

Você tem que dar acesso a alguém que o odeia


Mas no fim, todo o problema, obviamente, se resume ao lado humano. Mesmo com a tecnologia mais avançada de segurança, até mesmo com scanners óticos, bastará um usuário mal-intencionado para que todo o sistema seja colocado em risco.
Basta considerarmos a febre de conhecimento hacker que foi divulgada meses atrás através do famoso WikiLeaks. Locais com extrema segurança tiveram dados revelados apenas porque alguma pessoa presente nesses lugares estava disposta a fazê-lo.

Portanto, mesmo com todo o avanço da segurança na internet, os invasores continuam ativos e usando táticas conhecidas há mais de décadas. Enquanto não houver uma verdadeira revolução nessa defesa, cabe a cada organização e a cada pessoa cuidar de seus dados e tomar atitudes visando a proteção de qualquer item que possa ser considerado privado.

Nenhum comentário:

Postar um comentário