Internet Banking e Segurança

Por:

Pegando uma carona no tópico postado pelo colega pervalidus (http://www.forumgdh.net/viewtopic.php?t=1595), que foi vítima do cracker citado abaixo, resolvi escrever algumas considerações sobre segurança. Vamos colocar uma citação do artigo do Jornal do Brasil (http://www.jb.com.br/jb/papel/brasil/2002/07/03/jorbra20020703004.html):

“Um hacker brasileiro de apenas 18 anos pode ser o pivô do maior golpe financeiro pela internet já realizado no país. O estudante Guilherme Amorim Moreira Alves foi detido por policiais civis, no dia 19 de junho, numa suíte de um hotel de luxo em Campo Grande (MS), com um computador portátil utilizado para as fraudes. A polícia informou que os sites de cinco dos maiores bancos nacionais e de administradoras de cartão de crédito foram violados. No momento da prisão, o jovem movimentava ilegalmente R$ 25 mil para uma de suas contas fantasma. Filho de um casal de médicos e, segundo os pais, autodidata em computadores, Guilherme foi liberta do ontem à noite por um habeas corpus.”

Primeiramente, gostaria de chamar a atenção para a clássica confusão entre “hackers” e “crackers”: a imprensa já se apropriou do termo hacker, de modo que será difícil agora reverter o mal-entendido. Mas notemos que o estudante citado é um cracker e não um hacker; os hackers de verdade ficam muito ofendidos ao serem confundidos com crackers e script-kiddies.

Não há informações sobre os métodos utilizados pelo cracker; é a velha política de segurança por obscuridade, praticada pelos bancos e por algumas empresas de informática, que como pode-se ver não funciona. Não há muito que se confiar em informações da imprensa, notória por plantar pérolas em jornais sobre informática. Infelizmente duvido também que a própria polícia tenha também recursos e pessoal qualificado em quantidade para coibir eficientemente este tipo de coisa.

Vamos analisar um método provável que pode ter sido utilizado. Note que os bancos não armazenam as informações sobre as contas nos seus sites, por motivos óbvios; assim o simples fato do cracker ter invadido o site dos bancos e das administradoras de cartão não garantiria a ele o acesso a dados dos clientes. Em uma pequena digressão, aqui está uma ótima oportunidade para explicar a diferença entre um cracker e um hacker: um hacker, ao perceber a vulnerabilidade em um site, primeiramente avisa ao site e à firma fabricante do software sobre a vulnerabilidade; somente após isso, e geralmente após a firma ter disponibilizado a correção, ele *publica* a vulnerabilidade e o exploit. Por que a publicação da vulnerabilidade, muitos se perguntam? Apesar de nem todos concordarem, a publicação força as empresas envolvidas a atualizarem seus sistemas e fazerem a correção. Os casos de vulnerabilidades já conhecidas por empresas de softwares que nunca foram corrigidas por não terem sido descobertas publicamente são inúmeros. E é justamente dessas vulnerabilidades que os crackers se aproveitam.

Comecemos nossa análise com uma visita a uma agência do banco Itaú, o segundo maior banco privado do Brasil. Nesta agência há um terminal para que o cliente possa realizar transações e consultas por Internet Banking. O terminal consiste em um computador comum x86 rodando WindowsMe, que acessa através da rede dial-up a AmericanOnLine. O computador possui drive de disquete e HD como outro qualquer. Nada impede a uma pessoa qualquer de discretamente inserir um disquete contendo um programa e executá-lo no terminal. Este programa pode ser por exemplo, um trojan que capture toda as entradas via teclado e as salve em um arquivo, enviando-a posteriormente a um endereço de e-mail qualquer.

Supondo que o terminal não possua um disquete, ainda assim seria possível que, uma vez este estivesse conectado na Internet, fosse feito o download do trojan e sua instalação. Os sistemas operacionais Windows 9x/Me simplesmente não oferecem um nível de proteção adequado a operações deste tipo; até programas que restringem permissões de acesso podem ser contornados com alguma habilidade. Isto é de conhecimento público e notório, mas aparentemente não da administração do Banco Itaú. Imagino quantos outros bancos, no afã de levar mais clientes a utilizar os serviços de Internet Banking e com isso diminuir seus custos, fazem a mesma coisa.

Outra fonte provável de obtenção de senhas e informações são micros de acesso público, como os de bibliotecas, cyber-cafés e livrarias. É óbvio que deve-se evitar completamente usar tais micros para qualquer tarefa que inclua a digitação de senha e dados pessoais, incluindo-se aí leitura de e-mail.

Mas outra fonte, possivelmente a mais lucrativa para um cracker, é o próprio micro doméstico. É fato que o usuário doméstico típico não atualiza seu sistema; como exemplo, podemos citar o vírus/worm NIMDA, que contaminou talvez 60% dos servidores públicos de Internet rodando sistemas Operacionais Windows, e um número indeterminado de servidores privados. Os administradores de WebServers sabem que até hoje, muito após o pico da infecção ainda há um número considerável de computadores infectados – a maioria de usuários domésticos de banda larga. Note-se que mesmo quando foi lançado, o NIMDA utilizava apenas exploits já conhecidos e corrigidos para infectar os sistemas; o que prova a falta de agilidade dos usuários e administradores em instalar os updates. Recentemente a própria Microsoft distribuiu na Coréia versões de um de seus programas que continham o NIMDA. Um cracker que queira invadir um micro doméstico só tem que escutar na porta TCP 80 e esperar um scan do NIMDA. O micro que originou o scan está aberto a invasões.

Somemos a isso o fato que a maioria dos usuários no Brasil que optaram por instalar o Windows XP usam alguma versão pirata, devido ao preço proibitivo do sistema operacional. Esses usuários tem um medo natural de instalar updates temendo que seu sistema deixe de funcionar; além disso nada garante que os eventuais cracks aplicados não sejam nocivos.

O resultado líquido é um prato cheio para os crackers. É facílimo invadir um micro doméstico, e daí ter acesso ao site de Internet Banking através dele, aparentemente como um usuário normal. A partir daí o cracker pode planejar seu ataque aos bancos ou administradoras de cartões, ou a outros clientes com uma conta bancária mais polpuda. É bem possível que uma quantia enorme de usuários estejam com seus micros comprometidos e nem o saibam; esses micros serão usados como laboratório ou ponto de partida para um ataque maior pelos crackers, que dificilmente se dão ao trabalho de roubar uma conta com algumas centenas de reais.

Existem muitos usuários que se sentem protegidos por estarem usando anti-vírus e firewalls, estes até há pouco tempo de uso quase que exclusivo em servidores. A verdade é que o anti-vírus, por atualizado que esteja, somente bloqueia os vírus e trojans conhecidos. Um cracker de verdade, como parece ser o caso do rapaz de Corumbá, tem a habilidade para construir seu próprio código malicioso “on the fly”. Este trojan ou exploit feito sob medida jamais irá figurar nas listas das empresas de anti-vírus. Já os firewalls são eficientes apenas parcialmente. A maioria das pessoas tem uma compreensão falha da natureza da comunicação via internet. A função de um firewall é fechar portas; entretanto é óbvio que nem todas as portas ficam fechadas ou seria impossível enviar e transmitir dados. A partir do momento em que se está recebendo algum dado, sempre existe a possibilidade de um ataque bem sucedido, geralmente explorando alguma vulnerabilidade do programa usado (que pode ser o navegador Web, o leitor de e-mail, o Instant Messenger, o compartilhador de arquivos ou o próprio sistema operacional) ou mesmo usando funções permitidas e normais de determinados protocolos. Os populares ICQ e IRC permitem uma liberdade muito ampla de movimentos a um possível invasor. Nestes casos, o firewall é simplesmente inútil, uma vez que o invasor se aproveita de um canal de dados legítimamente aberto. Após consumada a invasão, o cracker pode até modificar o software de firewall de modo que possa abrir as portas que precisa sem que o usuário legítimo dê conta disso.

A solução, se é que existe, passa obrigatoriamente pela educação e especialmente pela conscientização do mercado. Primeiro a educação do usuário. É necessário parar de vender a idéia que o computador é como uma geladeira, microondas ou aparelho de TV. O computador distingue-se de forma essencial de um eletrodoméstico por ser um aparelho que permite a criação de informação; é uma ferramenta, antes que um aparelho passivo. Apesar de talvez a maioria dos usuários o utilizarem muito mais como um tocador de mídia de luxo, a capacidade está lá. Seria interessante se as empresas estimulassem os usuários de computador a vê-lo como ele realmente é, ao invés de passar uma imagem falsa de um ambiente “fácil”, como o fazem certas empresas de software e muitos provedores de Internet.

Há que se ver também a conscientização dos empresários, que investem fortunas em sistemas de Internet Banking baseados em sistemas operacionais e programas proprietários como se isso garantisse a segurança, e descuidam de aspectos básicos como exemplificado pelo terminal de Internet banking do Itaú. Os provedores de Internet e os sites também não fazem muito melhor. Alguns forçam o uso de determinado browser ou sistema operacional para o acesso a seu conteúdo. Outros mantém servidores extremamente desatualizados.

Aos usuários já esclarecidos, resta fazer uso do seu conhecimento. Saber que o fato do computador contar com anti-vírus e firewall por si só não garante a segurança. Saber que o nível de segurança do sistema operacional é crítico. No caso dos sistemas operacionais da Microsoft, obviamente o Windows 2000 e o XP possuem uma segurança muito melhor que os 9x/Me; mas é necessário usar eficientemente o sistema de permissões, e manter o sistema sempre atualizado. No caso do Windows XP, isso implica em ter uma cópia legal do sistema operacional. É claro que isso vale para usuários de qualquer sistema operacional; deve-se erradicar a noção errônea de que alguém está protegido pelo simples fato de usar Linux ou um Macintosh. A melhor proteção é sempre o conhecimento.

Finalizando, não deixa de ser oportuno notar como o monópolio prejudica o consumidor neste ponto. O monopólio permite a empresa praticar preços altos, que forçam muitos consumidores a optar por sofwares ilegais. Além disso facilita a vida dos crackers ao provisioná-los com um mundo de computadores rodando programas idênticos.

Sobre o Autor

Redes Sociais:

Deixe seu comentário

X