Quando coisas ruins acontecem com boas empresas

Sua empresa pode estar em risco diariamente. Vírus, invasores e até erros acidentais de usuários são ameaças sérias com conseqüências graves. As histórias de desastres a seguir ilustram essas ameaças com exemplos do mundo real de atividades mal-intencionadas e suas conseqüências. As histórias enfatizam a importância da adoção de medidas preventivas, porque todas as ameaças podem ser minimizadas ou mesmo evitadas. Consulte a "Lista de verificação de segurança de computadores para pequenas empresas" e descubra como fazer isso. Para obter mais informações sobre como a Internet funciona e como os invasores operam, consulte "Uma introdução às práticas criminosas de hackers, vírus e atividades mal-intencionadas

Vírus

Em abril de 2003, vários usuários de Internet em todo o mundo começaram a receber emails contendo material pornográfico de amigos e familiares. Outros descobriram que seu acesso à Internet fora cancelado sob a acusação de envio de spams. Outros ainda descobriram estar cadastrados para receber boletins de notícias indesejados. Certamente, alguma coisa estranha estava acontecendo.

À medida que as acusações pipocavam na Internet, as pessoas perceberam que um novo vírus conhecido como 'Klez' era o responsável. O vírus Klez usava vários truques que promoviam uma rápida auto-disseminação. Primeiro, ele enganava os usuários fazendo com que pensassem que os emails infectados estavam sendo enviados por pessoas reais, usando endereços do caderno de endereços do próprio usuário infectado. Esse artifício tinha ainda o efeito de congestionar os sistemas de email com alertas, respostas e recriminações desnecessárias. O vírus instigava ainda os usuários a abrir as mensagens infectadas com linhas de assunto tentadoras, como "um site muito divertido" ou "mensagem não enviada".

Como se isso não bastasse, versões posteriores do vírus transformaram os arquivos dos próprios usuários em veículo de infecções. O Klez rastreava os discos rígidos de um computador infectado, selecionava um documento de aparência verossímil, infectava o documento e o enviava para outros usuários por email. Em muitos casos, arquivos particulares ganharam dimensão pública dessa forma.

O Klez explorava um problema no software de email Microsoft Outlook que tinha sido descoberto e corrigido anos antes com atualizações gratuitas obtidas por download da Microsoft. Os desenvolvedores de software antivírus tomaram conhecimento disso e atualizaram seus programas de detecção em questão de horas. Ainda assim, o vírus fez estragos por vários meses. Em outras palavras, esse vírus destrutivo e agressivo poderia ter sido evitado. O Klez foi um dos vírus mais destrutivos de 2003, mas foi somente um dentre os milhares que surgem anualmente.

Falsificação (spoofing) de emails e roubo de identidade

"Eu admito. Sou um grande fã do eBay. Tenho usado o sistema por vários anos como ponto de vendas para algumas de minhas mercadorias mais interessantes. Há pouco tempo, recebi uma mensagem do eBay, com aparência oficial, informando que o serviço estava prestes a ser suspenso. Cliquei no link do email, fui parar no que eu imaginava ser um site do eBay, preenchi algumas informações pessoais e enviei tudo. Só depois percebi que havia alguma coisa errada. Fui ao site do eBay e vi que tinha sido enganado por algum desconhecido que queria obter minhas informações pessoais".

O envio de emails que parecem vir de alguma outra fonte é um truque antigo conhecido como "falsificação de email", ou spoofing. Na maioria das vezes, a falsificação de emails é usada para fazer com que você abra um simples spam, pensando que vem de alguém real — uma atividade irritante, mas relativamente inofensiva. Um outro tipo de falsificação de email, como o exemplo acima, conhecido como "phishing", é mais perigoso. Em geral, o invasor envia um email que aparenta vir de uma fonte oficial (como o eBay ou a Microsoft). Os links no email também levam você a um site com aparência bem verossímil. No entanto, o site é somente uma fachada e o objetivo do esquema é fazer com que você apresente informações pessoais, certas vezes para que os criminosos possam roubar suas informações de conta ou mesmo sua identidade.

Computadores roubados

"Eu estava pegando meu cartão de embarque no aeroporto. A pasta do notebook estava bem do lado dos meus pés. Achei que estava cuidando bem dele, mas não senti nada quando foi roubado". Um computador roubado pode valer até 50% do seu preço de tabela. Não é de se admirar que centenas de milhares de notebooks sejam roubados nos EUA todos os anos.

Essa história se repete milhares de vezes por ano, mas não termina quando o notebook é substituído. Ao perder um notebook, você costuma perder informações vitais, inclusive confidenciais.

Nicholas Negroponte, fundador do Media Lab do Massachusetts Institute of Technology (MIT), estava entrando em um edifício protegido quando um guarda de segurança pediu que declarasse o valor do notebook que estava carregando. Negroponte retrucou: "Entre US$ 1 a US$ 2 milhões". Embora o valor de reposição do computador em si fosse de apenas uns dois mil dólares, o valor das informações nele contidas era muito superior.

Diante do número de computadores roubados a cada ano, é surpreendente como poucos usuários se preocupam em criptografar seus dados ou usar senhas fortes para impedir o acesso não autorizado. Também é surpreendente como poucas pequenas empresas treinam seus funcionários em medidas de segurança básicas.

War Driving

O war driving (varredura de redes sem fio a partir de um automóvel) é uma nova técnica usada por hackers criminosos. Qualquer um com um notebook, uma placa de rede sem fio barata, um software gratuito obtido na Internet e uma antena feita de lata de batata frita pode entrar em redes sem fio de residências e empresas a centenas de metros de distância.

A maioria das redes sem fio é completamente desprotegida. De fato, muitos fabricantes de dispositivos sem fio deixam a criptografia desativada por padrão. Os usuários costumam não ativar a criptografia nem usar outras medidas de segurança, o que permite que pessoas com equipamentos sem fio explorem facilmente a conexão. O war driving é mais do que uma brincadeirinha de geeks: alguns invasores querem obter arquivos e danificar sistemas. Felizmente, a proteção de uma rede sem fio é relativamente fácil, e a maioria dos praticantes de war driving pode ser contida ou afugentada através de umas poucas medidas simples.

Informações confidenciais

James trabalhava para uma empresa de publicidade bem-sucedida. Seu computador teve um problema e ele chamou o pessoal de suporte técnico. O técnico chegou rápido, conectou-se à rede usando uma senha de administrador e resolveu o problema. Sob pressão para chegar ao próximo serviço, o técnico saiu rápido, assim que terminou. Porém, acabou não se desconectando do sistema. James, por curiosidade, decidiu dar uma espiada. Logo descobriu uma planilha com informações sobre os salários de todos os colegas de trabalho. Fez um lembrete mental de pedir um bom aumento.

Felizmente para o patrão, James só estava interessado em aumento. Imagine se fosse um funcionário contrariado propenso a atos vingativos. Você gostaria que todos os seus funcionários soubessem quanto você recebe ou tivessem acesso às informações de folha de pagamento de toda a empresa? Quanto valeriam essas informações para seus concorrentes?

A tecnologia pode ajudar a impedir situações como essas, mas é apenas parte da resposta. Os melhores hardwares e softwares não serão suficientes se você também não utilizar boas diretrizes, bons procedimentos e um bom treinamento.

Práticas criminosas de hackers

Jill, a gerente de um pequeno site comercial que vende softwares especializados, estava satisfeita com seu novo site – um grande avanço em relação ao antigo. A empresa agora contava com seu próprio servidor Web e uma conexão de banda larga, e não tinham mais que pagar outra empresa para hospedar o site. Jill foi para casa feliz na sexta-feira à noite.

Na segunda-feira, ao voltar ao trabalho, a situação era diferente. Durante o final de semana, hackers criminosos conseguiram acessar e excluir seu site cuidadosamente planejado e o substituíram por material pornográfico. Além disso, centenas de milhares de pessoas passaram o final de semana avidamente baixando fotografias do site. A largura de banda varou o teto e a empresa se viu com um conta de milhares de dólares. O chefe de Jill já tinha começado a receber emails de clientes que reclamavam do site.

Um desenvolvedor de softwares antivírus informou no início do ano que os servidores corporativos recebem, em média, 30 ataques por semana. A maioria desses ataques é de amadores dedicados conhecidos como "script kiddies", que, sem muito conhecimento, usam ferramentas disponíveis gratuitamente na Internet para localizar pontos fracos das redes. Essas ferramentas vasculham aleatoriamente a Internet em busca de sistemas vulneráveis e, em seguida, exploram os pontos fracos que conseguiram encontrar. Com a disponibilidade dessas ferramentas, uma pequena empresa anônima está tão vulnerável quanto uma famosa corporação multinacional.

Muitas dessas ferramentas exploram as vulnerabilidades conhecidas que podem ser facilmente eliminadas com atualizações. Por exemplo, em 2001, um grupo de "script kiddies" auto-intitulado "Sm0ked Crew" usou um conhecida vulnerabilidade já corrigida do software do servidor Web para desfigurar sites pertencentes à Intel, Gateway, Disney e ao The New York Times. Uma atualização que corrigia a vulnerabilidade já estava disponível bem antes do ataque, mas muitos administradores não tinham instalado a correção. O uso de precauções sensatas em geral e de softwares atualizados em particular teria facilmente evitado o ataque.

Se as empresas não tomarem medidas de segurança básicas para se protegerem de adolescentes com ferramentas amplamente disponíveis, como poderão essas empresas se defenderem de invasores especializados e experientes com objetivos maldosos?

Backup

Kevin era o diretor executivo de uma firma de arquitetura em expansão. Com 30 funcionários e vários clientes no exterior, a empresa contava com o sistema de emails para manter-se em contato. Os funcionários usavam o email em especial para controlar as solicitações de alterações dos clientes, o que representava uma parte fundamental dos negócios da empresa. Então, certa tarde, o servidor de email apresentou uma falha de hardware catastrófica e os dados foram danificados.

"Sem problema", pensou Kevin, "nosso técnico de suporte tem um backup de onde poderemos restaurar tudo". De fato, a empresa tinha uma biblioteca de fitas elaborada e cópias backup dos dados críticos mantidas adequadamente fora do local de trabalho. Só depois de um dia penoso tentando restaurar o sistema de emails das fitas backup, eles perceberam que os dados não tinham sido gravados corretamente. Nunca tinham notado o problema e nunca haviam feito nenhum teste para ver se a restauração dos dados funcionava bem. Não utilizavam nenhum tipo de plano de recuperação de desastres.

A segurança das informações não se limita apenas a obter o hardware e o software corretos, mas engloba também a utilização dos processos corretos e a concentração de recursos em sistemas fundamentais da empresa.