O que Dilma Rousseff e Barack Obama têm em comum no mundo da tecnologia? Ambos estiveram envolvidos, de alguma forma, em casos de roubo ou vazamento de informações, fatos que têm sido uma constante ultimamente.
No primeiro caso, houve o vazamento de um dossiê sobre o uso de cartões corporativos pelo governo Fernando Henrique Cardoso, que teria sido preparado dentro do Ministério da Casa Civil. Já no segundo, o pré-candidato à presidência dos Estados Unidos, Barack Obama, teve o website de sua campanha invadido e algumas páginas, quando acessadas, eram desviadas para o site de sua rival, Hillary Clinton, numa ação que é chamada de ?cross-site scripting?.
Casos semelhantes são freqüentes no ambiente corporativo.
E, como não existe tecnologia ou produto único para evitar esse tipo de situação, o ideal para as empresas e órgãos governamentais é implantar um Sistema de Gestão da Segurança da Informação (SGSI). ?É um conjunto de controles e processos que aumentam a segurança nos processos da empresa?, explica Ricardo Kiyoshi, diretor de empresa Batori, especializada em segurança da informação.
Isso acontece porque as falhas nem sempre estão apenas em equipamentos ou softwares: muitas vezes é o próprio comportamento do usuário que leva aos problemas. ?Com o aumento das tecnologias móveis, fica cada vez mais difícil controlar tudo. O que tem que ter é um usuário consciente. Ele tem que saber os riscos, por exemplo, de inserir um pen drive no computador de um cyber café?.
Formas de acessar dados de terceiros não faltam. Informações armazenadas em notebooks, por exemplo, podem ser espionadas quando o usuário acessa redes sem fio em aeroportos.
?Com ferramentas básicas de administração de rede acessam se muito facilmente senhas e conteúdos de e-mails de outras pessoas, porque não são dados criptografados?, diz Kiyoshi.
Políticas de conscientização podem evitar que esse tipo de situação aconteça, sem a necessidade da adoção de medidas tecnológicas mais complexas. Para Kiyoshi, as empresas hoje estão muito preocupadas com a parte tecnológica ao corrigir falhas de segurança, e acabam esquecendo outros aspectos importantes. ?O mais importante não é simplesmente corrigir uma vulnerabilidade, mas criar um processo para que isso não ocorra mais?, diz.
Certificação
A adoção de um SGSI é parecida com a implantação de sistemas de qualidade. ?É uma certificação (ISO/IEC 27001) que acontece de forma semelhante à ISO 9001. É uma norma que tem 11 assuntos. Não é só o gerente de TI (Tecnologia da Informação) escrever o que pode e o que não pode. É a formalização do que é importante na segurança de informação da empresa?.
De acordo com Kiyoshi, quando o gestor da área de TI da empresa assume a responsabilidade pela política de segurança da informação, ele acaba não tendo um bom relacionamento dentro da empresa. Tal política, para ele, tem que ter participação da alta direção e de outros setores da companhia. ?Tem que ter uma comissão de segurança da informação com várias áreas, e uma campanha de divulgação da política de segurança, que tem que ser constante e educativa?, explica.
Explorando as vulnerabilidades
O ?cross-site scripting? é um artifício que explora algumas vulnerabilidades em sites na internet. As falhas permitem que sejam inseridos, nas páginas, códigos maliciosos que afetam o comportamento do site, interferindo no seu conteúdo, podendo causar uma séria de problemas.
?Esse tipo de ataque acontece bastante?, diz Ricardo Kiyoshi. ?No caso do site do Obama, era uma falha na aplicação do site. Alguém deixou uma brecha, e ela foi explorada com uma má intenção?, completa.
Nos casos das empresas, Kiyoshi alerta também para outro tipo de invasão, que explora também sistemas internos das empresas, que de alguma forma estão ligados à internet. ?Como sistemas para disponibilizar pedidos, por exemplo. Isso é grave e pode causar sérios problemas?, aponta.
Os invasores, neste caso, instalam aplicações no servidor da empresa e passam a ter acesso a qualquer dado que passa por ali. Outro exemplo é o acesso externo a contas de e-mail da empresa. ?Normalmente o webmail de empresas é acessado de forma insegura, é preocupante?, diz. ?Mas às vezes ainda é mais seguro que acessar via programas, como o Outlook.? (HM)
Atualizar o sistema é importante
Falhas graves de segurança não ocorrem apenas nos âmbitos empresarial e governamental. Qualquer pessoa que use computador está sujeita a ter dados ali armazenados acessados por terceiros. Daí a importância de evitar que o computador fique vulnerável, fazendo todas as atualizações de sistema e mantendo ativos antivírus, antispyware e firewall, e criando um perfil para cada pessoa que usa o computador, o que melhora tanto a privacidade como a segurança.
As dicas são do consultor de segurança de sistemas Adonel Bezerra, que também é fundador e mantenedor do portal Clube do Hacker (www.clubedohacker.com.br). Ele diz que os invasores normalmente se utilizam de engenharia social para arquitetar roubos de dados.
?Primeiro tenta-se conhecer um pouco do usuário, informações básicas, depois monta-se uma peça, alguma coisa que chame a atenção dele para que ele clique no link que será enviado ou visite a página isca, daí pra frente são só complicações?, explica.
Bezerra dá outros conselhos aos usuários: ?mantenha as portas de acesso externo monitoradas, bloqueie todo o conteúdo de entrada exceto o e-mail, os chats, e a porta 80 para navegação?. (HM)