docbe connected, be exposed
download 
Denúncia Transcrição
be connected, be exposed
BE CONNECTED, BE EXPOSED Elaborado em 05.2008 Thierry RUIZ Born on 12 march 1983 in Tarbes (France) Franco-brazilian Tel. +33 6 82 26 32 37 Email. [email protected] PROFESSIONNAL EXPERIENCE: Today KAPSICUM Company Chief Technical Officer (CTO) - Team leader and coordinator - Chief project manager of computer and on/off line media project (Development and design) University of PAU and TARBES Professionnal Advisor in Project managment skills - Professional advisor of the University of PAU for the Masters of Information System degree - Partner and advisor of the University of TARBES for the Services and Network of Communication Degree 2005 - 2007 EDE -STUDIO Company Art Director / Freelance affiliate of the House of Artists (CEO) - Conception of graphics and interactive media. 2004 - 2007 IPVSET / HELIANTIS / COSOLUCE Group Team Leader and Multimedia Developer - IT Manager of public and professionnal services delivered throught optic fiber channel (FTTx) : IPTV, VoIP, VOD, Web Portals oriented Computer and Set Top Box... - Chief project manager and Multimedia developer. Development of synchonised services on/off line for public collectivities, collaborative platforms and Web portal (intranet / extranet). 2004 Association TELETOUTIM Internet Team Leader - Conception of a streaming and live video platform for a local TV Channel. 2003 PERBOST S.A. Company Network Administrator - System and network administrator - Development of intra/extra managment applications 2002 University of TARBES Project Assistant - Project guideline specifications - Co-Development of the entire intranet of the campus EDUCATION 2004 Licence in Sciences and Technologies of Information and Communication University Paul Sabatier (Castres - 81) Major with congratualitions 2003 Graduate of Services and Network of Communication University Paul Sabatier (Tarbes - 65) Major with congratualitions 2001 Baccalauréat of Sciences and Industrial Electrotechnics Genius College Paul Mathou (Gourdan Polignan - 31) Major with congratualitions Technologies - TECHNICAL SKILLS Management of IT project Case studies, evaluation and specification of computer and online services projects. Communication stategy into a on/off line project. Team leader (Development and Design) and Manager of humain and machines ressources. Development and Deploy of System architecture and web applications Environment : Windows Server, Linux, Mac OSX Server, MS SQL Server, MySQL et PostGRES SQL Development : XML, XSLT, XSL, XHTML, CSS, JavaScript, PHP, Ajax, Actionscript, FLEX, MXML, XUL. Multimedia and RichMedia conception Environment : Windows XP/Vista et Mac OSX Softwares : Adobe Photoshop, Illustrator, Indesign, Dreamweaver, Flash, Premiere, AfterEffect, Sorenson Squeeze, Particule Illusion, Windows Media Platform, Swift 3D, Plasma MISCELLANEOUS 2001 Driver licence First Aid diploma (AFSP) Recognized Animator (BAFA) 1999 Honorary Citizen of Mobile - Mobile, Louisiane (USA) 1998 Oxford Intensive School of English (OISE) - Oxford (UK) 1998 Eurolangue Intensive School - Maindenhead et Exeter (UK I nternet : the most wide spread and powerful network in the world. Like in the antic Greece, Internet is a modern agora where you can find everything you are looking for : newspapers, plane tickets, pictures, video archives and lots of more stuff. Historically bases on the US military project ARPANET1 in 1967, the digital revolution only starts in the 90 s when Tim Berners-Lee have created the foundation protocols (HTTP and Hypertext link) that everybody use when they simply open a common webpage. Years after years, the Web take more place in our life and rules some parts of our modern society. Even is good or not, the fact is the frontier between the human and the machine is decreasing faster than we can imagine. Science-fiction ? Thinking about the Matrix trilogy movie ? Well, decades will fall before this kind of world comes up. But the most important questions are : Do we have the same control on ours personal information and privacy like before internet comes up ? In a world becoming more and more virtual, where are the limits and the traps? Like an X-files episode... This is not an inconvenient true, as could say Al Gore , but everybody knows that every government or firms list his citizen or/and clients : Identity card, Drive license, Health social card, electricity bill, invoices... All information in those documents are digitally stored before you get or receive them in your mailbox. The primary goal is to make your life and their management easier. But like every secret can be discovered, every computer or digital protection can be forced. It s just a matter of time. Of course, laws are voted to protect you, your privacy against eventual frauds or suspicious use of informations belonging to you. In France, since 1978, The National Commission of Technology and Liberty (CNIL9), with a budget of $14 millions, have for mission to : -Informs and lets every citizens or companies, permission to look, change and delete some of the them “digital privacy”, -Control the good application of the law “Computer and Liberty”, -Advert, Tax or open a juridical procedure against those who do not respect this law. In fact, every process, software, website witch could use private information (name, email) must be declared and approved (in some case) by the CNIL . Ex : Collecting and Sending email campaign, Registration... Even this government initiative, nobody are safe. And in the reality, the weakness piece of the puzzle is ourself. Same technic as centuries ago “And Epéios build an giant horse made of wood in order to hide Greek soldiers leaded by Ulysses to conquer Troy” Lliade, Homère This episode of the Trojan war is constantly used nowadays... but in a modern way. This war strategy gives his name for intrusive software made to get, steal, destroy and take control of the information stored on our computer. Theoretically, the first trojan was created in the 80 s by a german hacker2 called Karl Koch. Nowadays, most of protection software detects this kind of program who can be hidden in many confidence software or file. But it s steal a threat who expose your documents and transform your computer into a zombie 3 used to send mass -mail spamming campaign or remote attack. Ten years before Karl Koch to the 21th century, more dangerous and powerful programs will emerge. It starts from a game called “Core War”, created by three computer engineers in 1970. This game or program was developed to destroy his “software-ennemy” and to clone him to become more and more powerful in the memory system. The first algorithmic digital virus was created. Today, computer virus are nearly 100 000 different forms and variants. Do you remember Blaster4 ? Discovered on August 11th, 2003. It takes only two days to completely contaminate millions of computers all over the world. Thanks god, the collateral damage wasn t too much important, but it could be even worse like disturb a part of the world economy, steal millions of bank number accounts or delete an incredible amount of information unbacked up. Yeah, it could be a really nice and terrific american blockbuster movie. Other forms of intrusive software are Spyware and Adware . Both are dissimulated and distributed through trusted and free software. Their goal is to spy your habits (website that you have visited, software that you used etc.) in order to target a commercial offer to you. It s a new (bad) way to profile customers attitudes. But how can it be possible ? how crackers5 can infiltrate your computer in your back, to take control and to transform it as a digital mass destruction weapon ? “Darling, I bought you a $5000 ring in Bucharest” There are many ways to easily infiltrate a computer. In the prehistoric period of computer, the floppy disk was the royal way to do it. Who never launched a contaminated floppy disk, whose was borrowed by a friend of a friend of a friend [...] of you, in order to play Prince of Persia or Doom 2 ?! Nowadays, it s more simple, hidden and vicious. First, practically everybody is connected to internet. People, like you and me, have no solution to keep a constant eye on what is sent and what is downloaded through the network cable connected between the computer and the modem. At last, you use a computer running an operating system and software made by men or women like us. Everybody isn t perfect, that means that engineers and developers create programs with bugs, vulnerabilities and security holes witch are waiting to be discovered by security agencies or being exploited by crackers. Your mail client (Outlook, Thunderbird...) and your browser (Internet Explorer, Firefox...) are two very sensible pieces. They re doors which crackers use to infiltrate your computer or laptop. Let s imagine a ordinary scenario : It’s shining and you are drinking a caipirinha, looking at the beach and checking your email. Ding ! you receive an new email from a Bill Baxter, agent of Paypal e-service support. The subject is “Your account has been locked”. Curious, you open and read it. The message explain that Paypal is upgrading their online system and in this case, you are invited to logon Paypal website to refresh your profile and payment information. In confidence, you take the time to do it. The browser is loading the Paypal page, you log in and follow the instruction procedure. You fill your name, surname, address [...] and your credit card number plus the digicode at it back. You valid the process and then, a bug appear : “Error 404, impossible to load the page”. Well concerned about the information that you filled in, you go back to www.paypal.com and contact the client service support and tell them what happened. Three hours later, you receive another email from Paypal (sent this time by [email protected]) who tell you that no system upgrade was planned today and that your profile has not been change for a week. At this moment, the wonderful day, the sun, the beach go on. And it s going to be more and more disturbing when you receive three day after that, a call from your Bank manager who ask you if the $5000 gift bought in Bucharest (Romania) with you credit card make your girlfriend/boyfriend happy. Don’t worry, it’s just a story... which can be true... So, what did you do wrong ? First, you receive an email from a particular person working for a well known company service. We consider that this email is a spam6 and the identity of Bill Baxter is totally fake. No big firm like Paypal or eBay communicate with their customer through a particular agent. Why? Simply because everybody will answer to directly to him, and like every human, he can’t answer to thousand and thousand email per days. Next, you opened the email and bang! It contains malicious code hidden in an image whose infected your computer at your back. It steals all you address book in order to send the same email to all your address-book (using your identity) and install a trojan which will always be loaded every-time you start your computer. Nice joke isn’t? After, you clicked on the link to log on Paypal Service. Unfortunately, you have been completely foolish. In fact, you are connected on a really well made copy of the official Paypal website, apparently accessible on www.paypal.com, but whose is a redirection made by the previous loaded virus/trojan . This technic is called Phishing7. No way for you to distinguish the good and the fake website. In a excess of confidence, you gave naturally all your private and important information that the cracker needs. At the end, he only have to create a fake/clone digital card loaded with your credit card data information to buy everything he wants wherever he wants until you ask your bank to lock the credit card. And this could take a long time... This example shows you how is simple to mislead unadvertised people who trust in everything they think to be right. For a decade and it will continue even worse, Spam is one of the biggest internet plague. Everybody receives hundred of unsolicited emails which promote something to buy (viagra, medics, porno...) or hide something more dangerous (virus, trojan, hoax8). Two reports made by Postini (USA ) and Secureserve (France ) concluded that the spam represents 95% of all the world s email exchange in 2006. This situation will inexorably asphyxiate our personal and professional email exchange in the future. Phishing technic is maybe one of the most dangerous way to be foolish. Exponentially from the last decade, the most common “phished” website are online banks , ebay, paypal , webmail... well all kind of websites whose have a simple way to get your password, credit card number or bank account access. Day after day, crackers developed untraceable and well done clone-websites. Unfortunately, the Web 2.0 revolution make their task even more easier and immersive. The only way to not be phished is to keep an eye and to have a recent and up to date browser (Firefox 2/3, Internet Explorer 7 or Opera 9) or other security software which have certification process and validation functionalities to detect those kind of fraudulous website. Computer is madness, everybody are not an engineer. So, how can we be more informed and have the good reflex to fight against this threats? Tips to be a winner 1. Do not trust your computer. Keep in mind that you are using a machine. Your machine does what you order to it. Basically and until nowadays, it have no conscience and will not prevent you when you are doing/going to do something wrong. At the end, you are the master and the vulnerable piece of the game. 2. Be careful and check everything suspect Give your confidence only in people you can trust (not in machine) and verify every suspicious actions that happened : email received, website asking for specific information etc. You want to buy online ? check the certificate and/or the digital signature of the online store. Without that details , you don t have any insurance of the goodness of the virtual shop. 3. Install and deploy the necessary tools and protections Nowadays, it s more than recommended to have installed on his computer a security suite composed with tools like Antivirus, Firewall, Antispam and Antispyware. Paranoiac ? You can encrypt your files and password with a additional Biometric peripheral like a fingerprint system recognition. Laptop and Keyboard are progressively equipped with this technology. 4. Be up to date Virus, Trojan, Spyware are in constant evolution. Operating system and software protections do too. You have to keep your system up to date. Download the last OS updates , antivirus database, firewall and antispam rules have to be a daily reflex. Conclusions Do we have the same control on our personal information and privacy like before internet ? Yes and No : Yes, because we still have the choice of what information we want to share and publish over the internet. And no, because in most cases, when you publish an information on the web, it take a more time to remove it after. The more pragmatical example is Google, the actual internet big brother. Google search engine indexes a fresh new web page in just 4 or 6 days max. But if you want to completely remove all references to this web page, it takes weeks. Imagine the time it takes to completely remove your “virtual foot print” on the internet? In a world becoming more and more virtual, where are the limits and the traps ? World and technologies are growing faster and faster. newsgroup spam, Web search engine spam, spam in blogs, wiki spam, mobile phone messaging spam, Internet forum spam and junk fax transmissions. Faster than the human can follow it. Internet is like the cosmos: No one can see the end because it is in constant evolution. No limits but a lot of traps, more sophisticated, will appear. In one hand, Internet is really a wonderful tool when it s used for your benefits. In the other hand, it could be a devastating information weapon causing irreversible damage. Lexicon 1. ARPANET: Advanced Research Projects Agency Network developed by DARPA of the United States Department of Defense, was the world's first operational packet switching network. 2. Hacker circumvention unauthorized of (White Hat Hacker): People engaged in computer remote security. computer This break-ins primarily via a refers to communication network such as the Internet (black hats), but also includes those who debug or fix security problems (white hats) 3. Zombie: It is a computer attached to the Internet that has been compromised by a hacker, a computer virus, or a trojan horse. Generally, a compromised machine is only one of many in a botnet, and will be used to perform malicious tasks of one sort or another under remote direction. Most owners of zombie computers are unaware that their system is being used in this way. 4. Blaster: The Blaster Worm (also known as Lovsan or Lovesan) was a computer worm that spread on computers running the Microsoft operating systems, Windows, during August 2003. The worm was first noticed and started spreading on August 11, 2003. The rate that it spread increased until the number of infections peaked on August 13, 2003. On August 29, 2003, Jeffrey Lee Parson, an 18-year-old from Hopkins, Minnesota was arrested for creating the B variant of the Blaster worm; he admitted responsibility and was sentenced to an 18-month prison term in January 2005. 5. Crackers (Black Hat Hacker): A black hat or black-hat hacker is a malicious or criminal person whose correct label is "cracker". Usually a Black Hat refers to a person that maintains knowledge of the vulnerabilities and exploits they find as secret for private advantage, not revealing them either to the general public or manufacturer for correction. A Black Hat cracker may have access to 0-day exploits. In the most extreme cases, Black Hats may work to cause damage maliciously, and/or make threats to do so for blackmail purposes. 6. Spam: Spamming is the abuse of electronic messaging systems to indiscriminately send unsolicited bulk messages. While the most widely recognized form of spam is e-mail spam, the term is applied to similar abuses in other media: instant messaging spam, Usenet 7. Phishing: In computing, phishing is an attempt to criminally and fraudulently acquire sensitive information, such as usernames, passwords and credit card details, by masquerading as a trustworthy entity in an electronic communication. Phishing is typically carried out by e-mail or instant messaging, and often directs users to enter details at a website, although phone contact has also been used. Phishing is an example of social engineering techniques used to fool users. Attempts to deal with the growing number of reported phishing incidents include legislation, user training, public awareness, and technical measures. 8. Hoax: It is a deliberate attempt to dupe, deceive or trick an audience into believing, or accepting, that something is real, when in fact it is not; or that something is true, when in fact it is false. In an instance of a hoax, an object, or event, is not what it appears to be, or what it is claimed to be. 9. CNIL: The Commission nationale de l'informatique et des libertés or CNIL (pronounced [knil ] ) is an independent French administrative authority whose mission is to ensure that data privacy law is applied to the collection, storage, and use of personal data. Created by the law n° 78-17 on 6 January 1978 about computers, files and liberties (data privacy). A seguir versão traduzida. I nternet: a rede mais vasta e poderosa do mundo. Como na Grécia antiga, a Internet é uma ágora moderna aonde você pode encontrar tudo aquilo que procura: jornais, passagens aéreas, arquivos de vídeo e muito mais coisas. Historicamente baseada no projeto militar americano ARPANETI de 1967, a revolução digital teve início somente nos anos 90 quando Tim Berners-Lee criou os protocolos básicos (HTTP e link Hipertexto) que todos utilizam quando simplesmente abrem uma página da web comum. Ano após ano, a Rede vem ocupando mais espaço em nossas vidas e governa alguns setores de nossa sociedade moderna. Para melhor ou pior, o fato é que a fronteira entre o humano e a máquina está diminuindo mais rápido do que imaginamos. Ficção Científica? Pensou na trilogia de filmes Matrix? Bem, décadas terão passado até que um mundo como aquele se torne realidade. Mas as questões mais importantes são: Será que temos hoje o mesmo controle sobre nossas informações pessoais e privacidade que tínhamos antes da Internet aparecer? Num mundo que se torna cada vez mais e mais virtual, onde estão os limites e as armadilhas? Como um episódio de Arquivo-X... Esta não é uma verdade inconveniente, como diria Al Gore, mas todos sabem que todos os governos ou firmas têm listas de clientes e/ou cidadãos: Documento de identidade, carteira de motorista, seguro saúde, conta de luz, notas fiscais... Toda a informação contida nestes documentos é armazenada digitalmente antes de seu envio ou recebimento. O objetivo principal é tornar a sua vida e o gerenciamento das informações mais fácil. Mas como todos os segredos são passíveis de serem descobertos, todos os computadores ou proteções digitais podem ser afetados. É somente uma questão de tempo. Claro, as leis são votadas para proteger você, sua privacidade contra eventuais fraudes ou o uso suspeito de informações que pertencem a você. A Comissão Nacional de Tecnologia e Liberdade (CNIL9) atua na França desde 1978 e, com um orçamento de $14 milhões, trabalha em missões para: - Informar e garantir a todos os cidadãos ou empresas, permissão para acessar, alterar ou apagar dados de sua “privacidade digital”, - Controlar a aplicação adequada da lei “Computadores e Liberdade”, - Advertir, multar ou abrir um processo judicial contra aqueles que não respeitem esta lei. Na verdade, cada processo, software ou site que possa utilizar informações privadas (nome, e-mail) deve ser declarado e receber aprovação (em alguns casos) da C N IL. exemplo: Campanhas envolvendo coleta e envio Por de e-mails, está seguro. Registro... Apesar desta iniciativa governamental, ninguém E, na realidade, a peça frágil neste quebra-cabeça somos nós. A mesma técnica de séculos atrás: "E Epéios construiu um cavalo gigante feito de madeira para esconder soldados gregos liderados por Ulisses a fim de conquistar Tróia”. Ilíada, de Homero. Este episódio da guerra de Tróia é utilizado constantemente nos dias de hoje... mas de uma forma moderna. Esta estratégia de guerra dá nome a programas intrusos feitos para localizar, roubar, destruir e controlar informações armazenadas em nossos computadores. Teoricamente, o primeiro cavalo de tróia foi criado nos anos 80 por um hacker2 alemão chamado Karl Koch. Hoje em dia, a maioria dos softwares de proteção detecta este tipo de ameaça que pode estar escondida em vários softwares ou arquivos confiáveis. Ainda assim é uma ameaça que expõe seus documentos e transforma seu computador num zumbi3, utilizando-o para enviar e-mails numa campanha de spam ou para iniciar um ataque remoto.10 anos antes de Karl Koch até o século 21, programas mais perigosos e poderosos irão surgir. Tudo começou com um jogo chamado “Core War”, criado por três engenheiros de computação em 1970. Este jogo ou programa foi desenvolvido para destruir seu “software-inimigo” e cloná-lo com o objetivo de tornar-se mais e mais poderoso no sistema de memória. O primeiro vírus digital algorítmico foi criado. Hoje, vírus de computador possuem aproximadamente 100.000 formas e variantes diferentes. Você se lembra do Blaster4? Descoberto em 11 de agosto de 2003, ele levou apenas dois dias para contaminar completamente milhões de computadores no mundo todo. Felizmente, o dano colateral não foi muito importante, mas poderia ser ainda pior, como desestabilizar parte da economia mundial, roubar milhões de números de contas correntes ou apagar uma quantidade incrível de informações sem cópia de segurança. Sim, poderia ser um filme americano maravilhoso, daqueles arrasa-quarteirão. Outras formas de software invasor são Spywares e Adwares. Ambos ficam dissimulados e são distribuídos através de softwares livres e de credibilidade. Seu objetivo é espionar seus hábitos (sites que você visitou, software que você utilizou, etc.) a fim de torná-lo alvo de uma oferta comercial. É uma nova (péssima) maneira de traçar um perfil de comportamento dos consumidores. Mas como isto pode ser possível? Como crackers5 podem se infiltrar em seu computador sem que você perceba, assumir o controle e transformá-lo numa arma de destruição em massa? “Querido, comprei um anel de $5.000 para você em Bucareste”. Há várias maneiras de se infiltrar facilmente num computador. No período pré-histórico dos computadores, o disquete era a forma mais tradicional de fazê-lo. Quem nunca utilizou um disquete contaminado, emprestado por um amigo do amigo do amigo do amigo [...] para jogar Prince of Persia ou Doom 2?! Hoje em dia as coisas são mais simples, misteriosas e maliciosas. Primeiramente, praticamente todos estão conectados à Internet. Pessoas como eu e você não temos outra saída a não ser manter vigilância constante sobre que enviamos e baixamos através da rede formada entre o cabo, o computador e o modem. Finalmente, você utiliza um computador onde rodam um sistema operacional e softwares feitos por homens ou mulheres como nós. Ninguém é perfeito. Isto quer dizer que engenheiros e desenvolvedores criam programas com falhas, vulnerabilidades e furos de segurança que estão esperando para serem descobertos por agências de segurança ou explorados por crackers. Seu cliente de e-mails (Outlook, Thunderbird...) e seu navegador (Internet Explorer, Firefox...) são duas ferramentas muito sensíveis. São portas utilizadas pelos crackers para infiltrar-se no seu computador ou laptop. Vamos imaginar uma cena comum: O sol está brilhando e você está tomando uma caipirinha, admirando a praia e lendo seus e-mails. Blim! você recebe um novo e-mail de alguém chamado Bill Baxter, funcionário do setor de suporte de e-serviços do PayPal. O assunto é: “Sua conta foi bloqueada”. Curioso, você abre a mensagem e a lê. A mensagem explica que o PayPal está atualizando seu sistema online e que, neste caso, você está sendo convidado a entrar no site PayPal para atualizar seu perfil e informações de pagamento. Confiando no conteúdo da mensagem, você o faz. O navegador está carregando a página do PayPal, você entra e segue as instruções. Você coloca seu nome, sobrenome, endereço [... ] seu cartão de crédito com o código de segurança. e o número do Você valida o processo e então um erro aparece: “Erro 404, não é possível carregar a página”. Preocupado com os dados que forneceu, você retorna à página www.paypal.com, entra em contato com o serviço de suporte ao cliente e relata o que aconteceu. Três horas mais tarde você recebe um novo e-mail do PayPal (enviado desta vez por no- [email protected]), dizendo que não há nenhuma atualização do sistema prevista para hoje e que seu perfil não é alterado há uma semana. Nesse momento, o dia maravilhoso, o sol e a praia desaparecem. E vai ser ainda mais irritante quando você receber, dali a três dias, uma ligação do gerente do seu banco perguntando se o presente de $5.000 comprado em Bucareste (Romênia) com seu cartão de crédito fez sucesso com sua namorada/namorado. Não se preocupe, é só uma história... que pode ser verdade... Então, o que você fez de errado? Primeiro, você recebeu um e-mail de um indivíduo que trabalha para uma empresa prestadora de serviços bastante conhecida. Consideramos que este e-mail é um spam6 e que a identidade de Bill Baxter é totalmente falsa. Nenhuma grande empresa como PayPal ou e Bay se comunica com seus clientes através de indivíduos. Por quê? Simplesmente porque todos responderiam diretamente para ele e, como todo ser humano, ele não poderia responder a milhares e milhares de e-mails por dia. Depois disso, você abriu o e-mail e bum! Ele contém um código malicioso escondido numa imagem que infectou seu computador sem você saber. Ele rouba todo o seu catálogo de endereços a fim de enviar o mesmo e-mail para todos os seus contatos (utilizando a sua identidade) e instalar um cavalo de tróia que sempre será carregado toda vez que você ligar seu computador. Piada engraçada, não acha? Em seguida, você clicou no link para entrar no Serviço PayPal. Infelizmente, você foi completamente tolo. Na verdade, você está conectado a uma cópia fiel do site oficial do PayPal, aparentemente acessível no site www.paypal.com, masque na verdade é um redirecionamento feito pelo vírus/cavalo de tróia carregado anteriormente. Esta técnica é chamada de Phishing7. Não há como distinguir o website verdadeiro do falso. Num excesso de confiança, você naturalmente forneceu suas informações privadas e importantes das quais o cracker necessita. No final, ele só teve que criar um cartão digital falso/clonado contendo as informações do seu cartão de crédito para comprar tudo o que ele quiser aonde ele quiser até que você peça ao seu banco para bloquear o cartão de crédito. E isso pode levar muito tempo... Este exemplo demonstra como é simples enganar pessoas desavisadas que confiam em tudo que lhes parece correto. Há mais de uma década, e isto vai ficar ainda pior, o Spam é uma das maiores pragas da Internet. Todos recebem centenas de e-mails não solicitados promovendo algum produto (viagra, medicamentos, pornografia...) ou que escondem algo mais perigoso (vírus, cavalos de tróia, hoax8). Dois relatórios feitos pelas empresas Postini (EUA) e Secureserve (França) concluíram que o spam representa 95% de todos os e-mails trocados no mundo em 2006. Esta situação irá inexoravelmente asfixiar nossas trocas de e-mails profissionais e pessoais no futuro. A técnica de phishing é talvez uma das maneiras mais perigosas de ser enganado. De forma exponencial desde a década passada, os sites que são mais freqüentemente alvos de “phishing” são bancos online, eBay, PayPal, webmails... bem, todos os tipos de website que oferecem uma maneira simples de obter sua senha, número de cartão de crédito ou acesso a conta bancária. Dia após dia, crackers vêm desenvolvendo websites clonados que não deixam vestígios e que são bem feitos. Infelizmente, a revolução Web 2.0 tornou a tarefa deles ainda mais fácil e envolvente. A única maneira de não sofrer phishing é manter-se atento e ter um navegador atualizado (Firefox 2/3, Internet Explorer 7 ou Opera 9) ou outros softwares de segurança que possuam processos de certificação e funcionalidades de validação que detectem esses tipos de website fraudulentos.Computadores são uma loucura, e nem todos são engenheiros. Então como podemos nos manter mais informados e ter bons hábitos contra as ameaças? Dicas para ser um vencedor: 1. Não confie em seu computador. Tenha em mente que você está utilizando uma máquina. Sua máquina faz aquilo que você manda. Basicamente, e até hoje, ela não possui uma consciência e não o impedirá quando você estiver fazendo algo errado. Enfim, você é o mestre e a peça vulnerável do jogo. 2. Seja cuidadoso e confira tudo que pareça suspeito. Deposite sua confiança somente em pessoas confiáveis (não em máquinas) e verifique todas as ações suspeitas que ocorreram: e-mails recebidos, sites solicitando informações específicas, etc. Quer fazer compras online? Verifique o certificado e/ou a assinatura digital da loja online. Sem estes detalhes, você não tem qualquer segurança quanto à integridade da loja virtual. 3. Instale e utiliza as ferramentas e proteções necessárias. Hoje em dia é mais do que recomendado instalar em seu computador um pacote de segurança com ferramentas como Anti-vírus, Firewall, Antispam e Anti-spyware. Paranóico? Você pode criptografar seus arquivos e senhas com um periférico biométrico adicional, como um sistema de reconhecimento de digitais. Laptops e teclados têm sido progressivamente equipados com esta tecnologia. 4. Mantenha-se atualizado: Vírus, cavalos de tróia e Spyware estão em constante evolução. Sistemas operacionais e proteções de software também. Você deve manter seu sistema atualizado. Baixar as atualizações mais recentes do Sistema Operacional, banco de dados do anti-vírus, Firewall e Anti-spam deve ser um hábito diário. Conclusões Será que temos hoje o mesmo controle sobre nossas informações e privacidade que tínhamos antes da Internet? Sim e não: Sim, porque ainda temos a escolha sobre quais informações queremos compartilhar e publicar na Internet. E não porque, na maioria dos casos, quando publicamos informações na web é necessário mais tempo para removê-las. O exemplo mais pragmático é o Google, o verdadeiro Big Brother da Internet. A ferramenta de buscas Google indexa uma nova página da web em somente 4 ou 6 dias, no máximo. Mas se você quiser remover completamente todas as referências a esta página, isto levará semanas. Imagine quanto tempo leva para remover completamente sua “pegada virtual” da Internet? Num mundo que está se tornando mais e mais virtual, onde estão os limites e as armadilhas? O mundo e as tecnologias estão crescendo cada vez mais rápido. Mas rápido do que o ser humano pode acompanhar. A Internet é como o cosmos: Ninguém pode ver aonde termina porque está em constante evolução. Não há limites, mas muitas armadilhas, mais sofisticadas, irão aparecer. Por um lado, a Internet é uma ferramenta realmente maravilhosa quando é utilizada em nosso benefício. Por outro lado, poderia ser uma arma de informações devastadora, causando danos irreversíveis. Glossário 1. ARPANET: (Advanced Research and Projects Agency) desenvolvida pelo DARPA do Departamento de Defesa dos Estados Unidos, foi a primeira rede de comutação de pacotes operacional do mundo. 2. Hacker (White Hat Hacker): Pessoas que buscam burlar a segurança de computadores. Isto se refere basciamente à invasão remota não autorizada de computadores através de uma rede de comunicação como a Internet (black hats), mas também inclui aqueles que consertam erros ou problemas de segurança (white hats). 3. Zumbi: É um computador ligado à Internet e que foi comprometido por algum hacker, vírus de computador ou cavalo de tróia. Geralmente, uma máquina atingida é somente uma de muitas numa rede robô (botnet) e será utilizada para realizar tarefas maliciosas de algum tipo ou outro através de comando remoto. A maioria dos donos de computadores zumbi não estão cientes de que seu sistema está sendo utilizado desta forma. 4. Blaster: O Worm Blaster (também conhecido como Lovsan ou Lovesan) era um worm que se espalhou por computadoresque utlizavam o sistema operacional da Microsoft, o Windows, durante Agosto de 2003. O worm foi detectado pela primeira vez e começou a se espalhar em 11 de agosto de 2003. A velocidade com que se espalhou cresceu até que o número de infecções atingiu um pico em 13 de agosto de 2003. Em 29 de agosto de 2003, Jeffrey Lee Parson, um jovem de 18 anos de Hopkins, Minnesota, foi preso por criar a variante B do Worm Blaster: ele assumiu responsabilidade e foi condenado a 18 meses de prisão em janeiro de 2005. 5. Crackers (Black Hat Hackers): Um black hat ou black hat hacker é um indivíduo malicioso ou criminoso cuja classifcação correta é “cracker”. Normalmente um black hat se refere a uma pessoa que possui conhecimento dos pontos vulneráveis e os explora; crackers utilizam informações secretas para proveito próprio e não as revelam nem para o público em geral nem para o fabricante para correções. Um cracker Black Hat pode explorar ataques do tipo dia0. Em casos mais extremos, Black Hats podem atuar para causar danos maliciosamente e/ou ameaçar causá-los para fins de chantagem. 6. Spam: Spamming é a utilização abusica de sistemas de mensagens eletrônicas para enviar indiscriminadamente mensagem em massa não solicitadas. Enquanto a forma mais reconhecida de spam é através de e-mails, o termo é aplicado a abusos semelhantes em outros meios de comunicação: spam de mensagens instantâneas, spam de grupos Usenet, spam de ferramentas de busca na Web, spam em blogs, wiki spam, spam de mensagens de texto (SMS), spam de fóruns da Internet e transmissões inúteis de fax. 7. Phishing: Em computação, phishing é uma tentativa de obter de forma criminosa e fraudulenta informações importantes como nomes de usuário, senhas e detalhes de cartões de crédito, mascarando-se como uma entidade confiável numa comunicação eletrônica. Phishing é feito tipicamente através de e-mail ou mensagens instantâneas e freqüentemente instrui os usuários a fornecer detalhes num website, apesar de o contato telefônico também já ter sido utilizado. Phishing é um exemplo de técnicas de engenhariasocial utilizadas para enganar usuários. Tentativas de lidar com o crescente númerode incidentes de phishing relatados incluem legislação, treinamento de usuários, conscientização e medidas técnicas. 8. Hoax: É uma tentativa intencional de tapear, ludibriar ou enganar usuários e levá-los a acreditar ou aceitar que algo é real, quando na verdade não é; ou que algo é verdadeiro, quando na verdade é falso. Em caso de hoax, um objeto ou evento não é aquilo que parece ser ou o que diz ser. 9. CNIL: A Comissão Nacional de Tecnologia e Liberdade ou CNIL (pronuncia-se [knil]) é uma autoridade administrativa francesa independente cuja missão é assegurar que a lei de privacidade de dados seja aplicada à coleta, armazenamento e utilização de dados pessoais. Criada pela lei no 78-17 em 6 de janeiro de 1978 sobre computadores, arquivos e liberdades (privacidade de dados). Fim!
