Atuar na área de segurança da informação é diferente de qualquer outra área com o qual já tenha trabalhado. No mundo da segurança da informação, identificamos e gerenciamos diversas ameaças: redes sociais, programas de mensagens instantâneas, e-mails falsos, páginas clones de bancos, troca de arquivos na internet (por exemplo, músicas e filmes). Isso para não citar os novos funcionários que chegam à instituição acreditando que podem acessar tudo na internet, ouvir música através do computador, enviar fotos pessoais usando o e-mail corporativo e instalar jogos no computador da empresa.

Não se assuste! Esta também é a função mais desafiante e empolgante que existe dentro de uma empresa. Mas vamos conhecer alguns desafios relacionados à segurança da informação:

Eu sei o que você faz no seu computador

Em algum momento de sua vida, você pode acordar e perceber que tem um hacker convivendo com você. Pode ser a sua namorada, o seu marido, seus filhos, uma amante, a sua irmã, um colega de trabalho ou até mesmo o seu chefe. A curiosidade, o ciúme ou a falta de confiança despertou o instinto hacker dessas pessoas.

Esse instinto pode ter provocado a instalação de um programa espião no seu computador: pessoal ou corporativo. O programa espião pode monitorar os seus e-mails, as páginas e arquivos acessados, as mensagens trocadas através do Messenger ou capturar a sua senha do Orkut ou Facebook, entre outras coisas.

Então, você perceberá que deveria começar a fazer as coisas de forma diferente, o que significa deixar de conversar ou paquerar através do Messenger no ambiente de trabalho, anotar as suas senhas, não compartilhar o seu computador com outras pessoas (alguém pode instalar um programa espião no seu computador), não clicar em links suspeitos (por exemplo, “você recebeu uma intimação. Clique aqui!”) ou acessar páginas pornográficas que solicitam a instalação de algum tipo de programa.

É por isso que a área de segurança da informação evolui tão bem no Brasil. Essa estratégia do programa espião é capaz de conciliar as diferentes psicologias de uma série de pessoas, desde aquelas que têm ciúmes até aquelas pessoas que querem saber o que você está fazendo no seu computador corporativo.

Pode funcionar para um pai que quer monitorar os filhos na internet, para uma esposa que não confia no marido ou para um chefe que desconfia do seu funcionário. A soma das diferentes psicologias ajuda a indústria de segurança da informação a adotar medidas cada vez mais eficientes e também no desenvolvimento, no Brasil, da carreira do analista de segurança da informação.

Os pescadores de senhas

Uma última modalidade de instinto hacker que ainda não vimos em detalhes são as crianças. As crianças desenvolveram uma forma especial de invasão no mundo virtual e são consideras especialistas na arte de pescar senhas.

A razão pela qual uma criança “pesca a sua senha” é por pura diversão. Por exemplo, você vai ao supermercado com seu filho de 7 anos. O valor total das compras será pago por débito automático. Sendo assim, você irá digitar a sua senha do cartão do banco para autorizar o pagamento da compra. Esse é o momento mais divertido para uma criança que vai com os pais ao supermercado, a oportunidade de descobrir a senha do cartão do banco. Ou seja, o pequeno pescará a senha observando os números que digitados para autorizar a compra. O argumento da criança é o desafio de conseguir “capturar” uma informação confidencial.

A razão pela qual as crianças constituem uma classe especial de atenção é que os conhecimentos adquiridos no mundo virtual durante a infância podem ser direcionados para ações negativas (roubar senhas de internet banking, por exemplo) durante a adolescência. Algumas crianças começam a ter aulas de informática, nas escolas, a partir dos 2 anos. Isso mesmo, com apenas 2 anos uma criança já começa a apreender informática. Imagine o conhecimento dessas crianças com 7 anos.

O meu filho de 8 anos estava explicando que recebeu uma senha para as aulas de informática na escola. Porém, ele não se lembra da senha. Para não deixar de participar das aulas de informática, descobriu a senha de um colega e passou a utilizá-la nas aulas de informática. Uma criança com apenas 8 anos estava explicando, com detalhes, como poderia invadir os computadores da escola. Essa conversa toda aconteceu enquanto eu estava sendo preparado para uma entrevista para a TV. A repórter ficou surpresa com o que estava ouvindo e pouco tempo depois comentou comigo que o fato ocorre em, praticamente, todas as escolas que abrem a rede de computadores para os alunos.

Todo o conhecimento adquirido pelas crianças deve ser direcionado para ações positivas. Ou seja, os pais precisam identificar essas ações e orientar as crianças para que os conhecimentos sejam utilizados na proteção das informações.

Quais são as proteções na internet?

As pessoas me perguntam isto o tempo todo: como posso estar protegido contra as ameaças na internet? A única resposta razoável a esta pergunta é: não existe 100% de segurança. Os programas conhecidos como firewalls, antivírus e anti-spam passam uma falsa sensação de segurança.

Para complicar ainda mais a situação, é difícil identificar as novas armadilhas na internet. Os inúmeros ataques que surgem na internet evoluem mais rápido que as formas de proteção. E o “compre um antivírus e leve um anti-spam + firewall”, não irá proteger o seu computador contra as páginas clones de instituições financeiras ou até mesmo dos programas espiões que são comercializados por pouco mais de 200 reais na internet.

O que posso dizer sobre os golpes na internet? Os ataques virtuais representam ameaças reais à economia, no sentido de serem realizados para obter recursos financeiros de forma indevida. Isso ocorre porque o dinheiro é, praticamente falando, eletrônico. O seu dinheiro está guardado nos computadores do banco. Assim, algumas dicas ajudam a minimizar os riscos na internet.

Veja as dicas:

Cuidado com as promoções na internet: é comum os golpistas criarem páginas de comércio eletrônico para oferecerem iPhone ou TVs tela plana a um preço muito abaixo de mercado. O objetivo é roubar os dados do seu cartão de crédito e não entregar a mercadoria. Escolha lojas virtuais de empresas conhecidas e procure mais informações sobre a privacidade dos dados que serão fornecidos no momento da compra.

Atenção aos e-mails falsos e aos links “curtos”: pode ser muito difícil diferenciar um e-mail falso de um e-mail verdadeiro. Porém, algumas dicas podem ajudar antes de você clicar em um e-mail: cuidado com os remetentes desconhecidos e títulos “estranhos” (por exemplo, “Você está sendo traído! Clique aqui para ver as fotos”). Evite clicar em links “curtos” – técnica utilizada pelo Twitter – que estão no corpo do e-mail, por exemplo, http://bit.ly/drLLV9. Já existem golpes utilizando este tipo de técnica para enganar as pessoas.

Páginas clones: em 2009, os usuários do Hotmail e do Gmail foram vítimas de páginas clones. Ou seja, o usuário acredita estar na página verdadeira, quando na verdade está fornecendo a sua senha para uma página clone. Esta técnica é aplicada pelos golpistas com o objetivo roubar senhas de internet banking. Você pode identificar uma página clone através de erros de português, inexistência do cadeado de segurança no rodapé da página, má qualidade das imagens exibidas no site, às vezes a senha é solicitada por mais de uma vez, solicitação de informações pessoais, tais como, nome da mãe, data de nascimento, senha do cartão magnético etc.

Programas espiões: um antivírus pode minimizar o risco de o computador ser infectado por um programa espião. Porém, não oferece 100% de segurança.

Você pode utilizar o serviço gratuito “scan online” oferecido por diversos fabricantes de antivírus. Dessa forma, além do seu antivírus realizar uma varredura no computador, uma segunda tecnologia pode ser utilizada para encontrar alguma praga que o antivírus não detectou. O seu banco também pode oferecer o suporte técnico para a identificação de programas espiões instalados no seu computador.

Denny Roger é diretor da EPSEC, membro do Comitê Brasileiro sobre as normas de gestão de segurança da informação (série 27000), membro do International Association of Emergency Managers (IAEM), especialista em análise de risco, projetos de redes seguras e perícia forense. E- mail:denny@epsec.com.br, Twitter: http://twitter.com/dennyroger, Blog: http://blog.dennyroger.com.br/.