você está aqui: Home → Coluna do Cesar Brod
De acordo com as Leis 12.965/2014 e 13.709/2018, que regulam o uso da Internet e o tratamento de dados pessoais no Brasil, ao me inscrever na newsletter do portal DICAS-L, autorizo o envio de notificações por e-mail ou outros meios e declaro estar ciente e concordar com seus Termos de Uso e Política de Privacidade.
Por Cesar Brod
Data de Publicação: 27 de Fevereiro de 2014
Nos artigos anteriores dessa série falei sobre como as empresas, inadvertidamente, deixam informações de pessoas e seus dados bancários facilmente disponíveis através de pesquisas no Google, sobre a importância de um projeto de segurança envolver todos os funcionários e colaboradores da empresa e propus um rápido experimento de engenharia social. Ou seja, mal arranhei o verniz de um assunto que está ganhando, cada vez, mais atenção e importância graças à cobertura da mídia, intensificada pelo "efeito Snowden".
No dia 25 de fevereiro de 2014 o portal Secure List anunciou a detecção do primeiro Trojan (um tipo de malware - software do mal - usado para o roubo de informações) que usa a rede de anonimização Tor (leia mais aqui) para hospedar os servidores que enviam comandos e capturam os dados dos celulares Android infectados.
Dentre outras coisas, esse Trojan é capaz de:
Como o servidor de controle está hospedado na rede Tor, é virtualmente impossível saber onde ele se encontra, já que a rede faz o trabalho de mascarar seu endereço IP.
Ficou assustado? Pois saiba que esse tipo de ataque, agora descoberto na plataforma Android, é apenas uma técnica que foi portada da plataforma Windows, onde já existia. Uma explicação possível para esses ataques é fornecida nessa matéria (em vídeo) do IDG/Computerworld:
Faltam profissionais capacitados para atender à demanda. A matéria diz que estamos em um atraso de dois anos em capacitação de uma equipe de defesa. Ou seja, os bandidos estão à frente.
Aí, uma questão que vem à tona com certa frequência é: certificações profissionais adiantam alguma coisa? Um dia antes da revelação da descoberta desse Trojan para o Android, o site da empresa de segurança EC-Council havia sido invadido e, até o momento da escrita desse artigo, ainda estava fora do ar. O registro da invasão pode ser lido nesse link. O invasor colocou, na página de abertura do site da empresa, uma cópia do passaporte do Edward Snowden, que é um hacker ético certificado pelo EC-Council.
Acredito em certificações sérias e já escrevi sobre isso. Também não estou dizendo que o EC-Council não seja sério. A questão é que o valor da certificação é medido na proporção da qualidade de seus profissionais certificados. A dificuldade das provas da Ordem dos Advogados do Brasil, dos Conselhos Regionais de Medicina e outros não é sem motivo, assim como a cassação dos registros dos profissionais nos casos de bolas fora. Não deve ser supervalorizada também a invasão do portal do EC-Council, ainda que esse fato será, com certeza, aproveitado por hackers não certificados para detonar certificações desse tipo. Um ataque como esse, um "defacing", a troca ou alteração do site principal de uma empresa não está entre os maiores desafios hackers.
A questão principal é que os bandidos estão à frente.
Um hacker verdadeiramente ético, por exemplo, avisaria o EC-Council sobre sua vulnerabilidade ou, no mínimo, gravaria um vídeo no YouTube sobre a forma pela qual o ataque foi feita para que outros, que usam a mesma tecnologia, pudessem se proteger. Falando nisso, vocês que se interessam pelo assunto, conhecem o canal do Eddy Oliveira no Youtube? Um bom hacker pode estar à frente dos bandidos. A questão desse atraso dos bons com relação aos maus (que eu tenho certeza ser mais quantitativo do que qualitativo) é histórica. O primeiro ladrão surgiu antes da primeira polícia. Nosso cérebro límbico não mudou e ainda está programado para reagir ao ataque, não a atacar, a não ser que esteja com fome. E você tem fome de quê?
Desenvolvemos a consciência e, com menos fome, achamos por bem criar o dinheiro, que resultou em outro tipo de fome. Talvez o sistema límbico dos bandidos seja, simplesmente, uma adaptação evolutiva a essa nova fome. Se for esse o caso, não estamos apenas dois anos atrasados com relação eles.
Quem sabe nossa consciência nos permita, um dia, o entendimento pleno do mecanismo de defesa do sistema límbico e a compreensão da verdadeira ética hacker face à ética do bandido. A fome do hacker é a do conhecimento, mas eles também não querem passar fome. A fome do bandido é a do dinheiro, custe o que custar. O resultado dessa compreensão gerará algumas ações imediatamente proativas, como investir nos hackers para a verdadeira proteção de dados corporativos e empresarias.
O bacana mesmo seria essa coompreensão gerar uma economia não baseada em dinheiro, mas no fim da escassez e na livre distribuição do conhecimento. Esse papo é um pouco mais longo...
Cesar Brod usa Linux desde antes do kernel atingir a versão 1.0. Dissemina o uso (e usa) métodos ágeis antes deles ganharem esse nome. Ainda assim, não está extinto! Escritor, consultor, pai e avô, tem como seu princípio fundamental a liberdade ampla, total e irrestrita, em especial a do conhecimento.
Mais sobre o Cesar Brod: [ Linkedin ] | [ Twitter ] | [ Tumblr ].