Corrigida vulnerabilidade que afectava 750 milhões de telefones

Depois de ter sido descoberta uma vulnerabilidade na encriptação dos cartões SIM, que permitia aos hackers terem acesso remoto a um telefone e afectava mais de 750 milhões de telefones com SIMs a utilizar a tecnologia visada, os operadores viram-se obrigados a pensar numa solução para contornar esta brecha na segurança dos seus clientes.
A solução para corrigir a vulnerabilidade foi usar a própria vulnerabilidade e injectar a correcção.

O criptografo Karsten Nohl da empresa germánica de segurança, a Security Research Labs, descobriu uma vulnerabilidade nos cartões SIM que permitia o acesso remoto ao telemóvel e o seu controlo. Isto após três anos a pesquisar como haveria de conseguir o acesso a estes cartões.
Nohl conseguiu finalmente o acesso aos cartões SIM explorando uma falha nas chaves de encriptação, conseguindo com isso enviar uma mensagem SMS oculta. Dessa forma remotamente poderia passar-se pelo legítimo proprietário do telefone em causa, fazer pagamentos e ter acesso a informação pessoal, tal como sabemos ser possível nos nossos smartfhones.
Existem várias tecnologias de segurança nestes cartões e as mais recentes não sofriam deste problemas, mas existem, contudo, milhões de utilizadores ainda dependentes de cartões com a tecnologia vulnerável.

Nohl explicava o processo na conferência de segurança informática, Black Hat, em Las Vegas
Nohl agendou uma demonstração com o seu cartão SIM para a conferência de segurança informática, a Black Hat, em Las Vegas, na passada quarta feira. Mas… em vez de fazer tal demonstração, o investigador alemão anunciou sim que cinco companhias de comunicações tinham desenvolvido, de forma muito célere, uma solução para o problema e que este, à data, já tinha correcção. Deixara de haver assim o tal problema descoberto e que, à primeira vista, teria uma difícil forma de resolver!
Assim e porque a solução já existe, Nohl apenas mostrou parte do esquema que ele descobriu para “assaltar” os cartões SIM, mas recusou-se a divulgar as empresas de comunicação que haviam resolvido o problema e, de certa forma, tirado “o tapete” ao investigador.
O mais interessante nesta história é o processo que as empresas usaram. Em vez de substituírem milhões de cartões SIM, que resultaria em prejuízos avultados e numa logística inglória, eles tiraram partido da vulnerabilidade e injectaram sim, em vez de um vírus, a reparação para esta brecha.
Rescreveram então parte do sistema operativo do cartão e este deixou de permitir que a descoberta do investigador alemão conseguisse qualquer efeito prático de ataque. Esta acção recebeu, contudo, um elogio pela rapidez com que as operadoras se mexeram para resolver.
“They’re adopting hacking methods to make it more secure,” … “Abusing the Java vulnerabilities to update the card is the neatest outcome of this.”, disse Nohl no seu discurso na conferência.
Os problemas ainda não terminaram, segundo uma estimativa do investigador, este processo pode demorar até quatro anos, tendo em conta o número de clientes visados. Mas pelo menos existe já uma “cura” que foi muito bem pensada e que pode “fazer escola” no futuro para outros problemas do estilo.

fonte : http://pplware.sapo.pt/informacao/corrigida-vulnerabilidade-que-afectava-750-milhoes-de-telefones/

Você sabe onde está sua identidade? Roubo de dados pessoais escapa às soluções fáceis
A ChoicePoint, empresa fornecedora de dados pessoais, fornece informações pessoais de pelo menos 145.000 pessoas a criminosos que se fazem passar por pequenas empresas. Hackers roubaram informações pessoais de 32.000 pessoas que utilizam o banco de dados Lexis-Nexis. O Bank of America perdeu fitas de back-up contendo 1,2 milhão de registros de funcionários federais. Praticamente todos os dias há registro de um novo incidente de roubo de dados pessoais (muitas vezes, o roubo ocorre sem que seja registrado) seguido de uma nova rodada de perguntas: os fornecedores de dados deveriam se submeter a algum tipo de regulação? O roubo de informações sobre identificação pode prejudicar o comércio eletrônico? De que forma os indivíduos podem se proteger? Infelizmente, de acordo com professores da Wharton e de outras instituições, não há respostas simples, sobretudo porque é muito fácil conseguir a informação pessoal desejada nos vários buscadores disponíveis.

Enquanto isso, o custo desse tipo de roubo tende a crescer cada vez mais. De acordo com uma pesquisa realizada pela FTC (Comissão Federal do Comércio dos Estados Unidos) e divulgada em setembro 2003, ano dos últimos dados disponíveis, cerca de 10 milhões de americanos já foram vítimas de algum tipo de roubo de informações sobre identidade, disso resultando um prejuízo de US$ 47,6 bilhões para várias empresas. As vítimas gastaram em média 30 horas na tentativa de reparar os prejuízos sofridos num total de US$ 5 bilhões.

Esses números devem crescer no futuro, dado o volume de incidentes relatados até o momento este ano. Além disso, uma vez que uma recente lei da Califórnia exige que toda empresa em operação no estado informe todos os casos de perda de informações pessoais, os incidentes continuam a vir à tona rapidamente: no dia 8 de março, por exemplo, a DSW Shoe Warehouse reportou o roubo de dados de compras e de números de cartões de crédito de clientes de 103 lojas. Já a Universidade do Estado da Califórnia, em Chico, informou que hackers obtiveram informações pessoais, como nomes e números do registro de inscrição na seguridade social, ao violarem um sistema de informações sobre serviços de moradia e fornecimento de alimentos.

“Se não fosse por aquela lei da Califórnia, jamais tomaríamos conhecimento dessas falhas”, observa Kendall Whitehouse, diretor sênior de Tecnologia da Informação da Wharton.

A senadora democrata Diane Feinstein, da Califórnia, propôs um projeto de lei em 24 de janeiro pelo qual todas as empresas do país seriam obrigadas a expedir uma notificação pública sempre que houvesse violação de dados. Tomando como modelo a lei estadual da Califórnia, o projeto foi apresentado na última reunião do Congresso, mas não foi aprovado, diz Howard Gantman, diretor de comunicações de Feinstein. Desta vez, acrescentou, “temos esperança que a lei seja aprovada”. Na verdade, observa Eric Clemons, professor de Gestão de Operações e de Informações da Wharton, o projeto tem boas chances de passar em razão do número cada vez maior de incidentes de roubo de identidade e da frustração pública com as conseqüências disso. “É preciso que tenhamos meios para punir os responsáveis por esse tipo de roubo”, assinala Clemons. “Alguém tem de se responsabilizar por isso.”

Alguns observadores temem que uma lei dirigida a empresas que fornecem informações pode resultar na restrição ao comércio. John A. Greco, Jr., CEO da Associação de Marketing Direto, observou que “é preciso chegar a uma situação de equilíbrio bastante sensível”, que impeça o roubo de identidade e ainda assim permita aos clientes de fornecedores de dados obter as informações necessárias para concessão de crédito e verificação de dados, permitindo também que as transações sejam processadas rapidamente.

Outros, porém, acreditam que melhores condições de segurança não devem afetar a velocidade das transações. Na verdade, de acordo com Dan Hunter, professor de Estudos Jurídicos da Wharton, a diminuição do roubo de identidade será benéfico para o comércio. Isto porque à medida que as empresas divulgarem com uma freqüência cada vez maior os casos de violação de dados, o roubo de identidade pode começar a prejudicar a compra online. “A avalanche de roubos de identidade dificilmente convencerá minha avó de que ela realmente deve fazer compras online”, diz Hunter.

Por enquanto, porém, os consumidores não se sentiram incomodados o suficiente com esse tipo de roubo a ponto de exigir a introdução de uma regulação mais severa. Para o consumidor, o roubo de identidade é “só mais um episódio entre vários outros”, diz Hunter. “Eles só darão a devida importância ao fato no dia em que forem vítimas.”

A necessidade de divulgar as violações
De acordo com Clemons, as violações de segurança na ChoicePoint e na Lexis-Nexis podem aumentar as chances de aprovação do projeto de lei de Feinstein. Na verdade, embora Clemons fosse inicialmente contra uma lei nacional de divulgação do roubo de identidades, hoje ele acredita que ela seja necessária. Sem uma lei que obrigue a divulgação de tais episódios, observa Clemons, e se não houver penalidade alguma para os casos de vazamento, as empresas jamais se preocuparão com a proteção dos dados sob sua guarda. E por quê? Porque as empresas que hoje deixam vazar informações não são responsáveis pelos prejuízos causados. As instituições financeiras é que pagam a conta das fraudes bancárias, dos números de cartão de crédito roubados etc. “Se 100% dos prejuízos fossem pagos pelo sujeito que consentiu com o roubo dos dados, a atitude em relação à segurança seria outra”, diz Clemons. “Transparência faz sentido. A aplicação de sanções financeiras também seria bem-vinda.”

Hunter concorda com a necessidade de uma lei, porém observa que sua introdução seria extremamente difícil em razão da resistência das companhias de marketing que dependem da definição do perfil do consumidor para o seu negócio. Empresas como a ChoicePoint, que operam em grande parte sem nenhum tipo de regulação, certamente não verão com simpatia leis que regulem suas políticas de segurança. Além disso, diz Hunter, a atitude em relação à integridade dos dados pessoais precisa mudar. “Temos essa idéia absurda de que os dados coletados pelas empresas ‘pertencem’ a elas graças à teoria de que foram elas quem os coletaram ou compraram. Portanto, podem fazer o que bem entenderem com eles. Contudo, se parássemos um instante para considerar o tipo de custos sociais e individuais com que têm de arcar pessoas sem culpa alguma quando sua identidade é roubada, instituiríamos padrões mais elevados de segurança, acesso e edição de informações de identificação pessoal.”

Clemons diz que há necessidade de uma lei nacional por três motivos: em primeiro lugar, a divulgação desse tipo de roubo vem ganhando importância financeira cada vez maior, tendo se tornado uma questão extremamente preocupante para os consumidores. Em segundo lugar, a divulgação de episódios dessa natureza dá aos indivíduos e às instituições financeiras tempo para se protegerem; além disso, é justo que tais partes sejam notificadas imediatamente, já que são elas as responsáveis por grande parte do risco financeiro da operação. Na verdade, observa Whitehouse, dar ao consumidor tempo hábil para que ele reaja ao roubo de identidade é um dos pilares do projeto de lei de Feinstein. “Acho que os consumidores devem ser informados rapidamente”, de modo que possam “relatar o acontecido às agências de crédito e com isso minimizar os riscos próprios desse tipo de situação. Sem transparência, você só dá pelo acontecido quando a fraude vem à tona, e aí já é tarde demais”.

Em terceiro lugar, não há nada de negativo no fato divulgar as violações ocorridas, exceto pelo embaraço por parte das empresas obrigadas a reconhecer a existência de vazamento de informações. Uma lei que obrigasse a divulgação desses casos pelo menos redirecionaria parte desse risco ao comprometer a reputação das partes que causaram o prejuízo ou que permitiram sua ocorrência.

Assim, por exemplo, desde que os problemas de segurança da ChoicePoint tornaram-se conhecidos, a empresa parou de comercializar dados como o número de inscrição da seguridade social e da carteira de habilitação — a menos que isso resulte em uma transação favorável ao consumidor, ou que lhe proporcione algum benefício—; ou ainda, a menos que tais produtos atendam a propósitos do governo federal, estadual, local e da justiça criminal. A empresa nomeou Carol A. DiBattista, atual administradora interina da Administração de Segurança dos Transportes dos EUA, para o cargo de executiva encarregada do credenciamento, conformidade e da política de privacidade da companhia. “São mudanças que decorrem diretamente de atividades fraudulentas recentes”, disse Derek Smith, CEO da ChoicePoint.

Roubo de identidade: operação fácil e freqüente
Por que então o roubo de identidade mais parece uma bola de neve rolando morro abaixo? Porque é fácil demais. No momento em que determinadas informações pessoais de um indivíduo qualquer chegam à Internet, não saem mais de lá. Segundo Hunter, basta passar um certo tempo na Lexis-Nexis para que se tenha à mão registros de propriedades, impostos pagos e outras informações pessoais. “Enquanto não nos dermos conta de que o conhecimento dos dados pessoais é parte importante da vida do indivíduo, e não simples componente da conta de lucro de empresas como a Reed-Elsevier (controladora da Lexis-Nexis), teremos de enfrentar, no mínimo, uma nova violação a cada três dias”, observa Hunter.

Mas a pergunta que se deve realmente fazer é a seguinte: quem precisa da Lexis-Nexis quando se tem o Google? Joshua Pennell, CEO da IOActive, seguradora com sede em Seattle, participou recentemente de uma conferência sobre aplicação de leis em que demonstrou a facilidade com que é possível localizar identificadores pessoais utilizando o Google. “O Google não quer saber se você é um hacker imbuído de más intenções”, diz Pennell. “Qualquer um pode digitar o que bem entender ali.” Pennell acessou mais de 1.000 registros, bem como documentos corporativos sobre desempenho de pessoal, planilhas de Excell e passaportes escaneados. Como esses dados foram parar na Web? Empresas, ou indivíduos, colocaram essa documentação ali na crença de que ninguém teria acesso a elas. “Estamos diante de uma questão cultural”, diz Pennell. “Você pode ter o melhor firewall do mundo, mas se tiver posto algum documento na Web, outros poderão acessá-lo. Não há segurança absoluta.”

É por esse motivo que Pennell acredita que a aprovação de uma lei poderia impulsionar a segurança. “Para que haja uma mudança cultural, temos de obrigar as empresas a expor a roupa suja. Quem gostaria de dizer ao mundo que as informações que tinha a seu respeito foram perdidas?”

David Farber, ex-professor de Ciência da Informação da Universidade da Pensilvânia, atualmente na Carnegie Mellon, diz que a Internet facilita a coleta de pequenas informações que são depois costuradas até compor a identidade de um indivíduo qualquer. Os dados pessoais que vão para a Web são como o gênio que se recusa a voltar para a garrafa. “O fato de vivermos em um mundo interligado torna ainda mais difícil a convivência com esse tipo de situação”, diz.

Solucionando o problema
Uma vez que o roubo de identidade é fácil e decorre de procedimentos de segurança pouco rígidos por parte das empresas, consumidores e companhias que trabalham com dados pessoais precisam chegar a um acordo para evitar a ocorrência desse tipo de roubo, diz Farber. “Os procedimentos corporativos têm de ser mudados, e os consumidores precisam ficar mais antentos.” No que diz respeito ao consumidor, Farber faz eco às opiniões de muitos outros que aconselham às pessoas a destruir documentos e a não fornecer informações pessoais. Ele utiliza apenas um cartão de crédito para transações online, de modo que só precisa cancelar um cartão no momento em que sua segurança fica comprometida. Farber também não responde a e-mails que solicitam informações tais como número do cartão de crédito e da seguridade social; além disso, ele verifica constantemente seu extrato bancário.

Até que outros fatores vinculados aos dados sejam mais seguros, ou até que a lei obrigue as empresas a serem mais vigilantes em relação aos dados, o ônus de proteger seus dados pessoais cabe ao consumidor. Clemons diz que se o consumidor fornece uma informação mínima que seja, isto já é material de trabalho suficiente para um ladrão. “Um ladrão pode recorrer a informações simples e imediatas, como o número do seguro social do indivíduo, do seu telefone ou o nome dos pais para construir” uma identidade e assim “obter informações cada vez mais importantes e de um modo muito fácil”.

Do lado da empresa, é improvável que haja grandes mudanças se não for instituído algum tipo de regulação em nível federal, assinala Clemons. E por quê? Na ausência de penalidades associadas a percalços que envolvam dados pessoais, não haverá grandes retornos de investimentos que justifiquem o aumento dos procedimentos de segurança. “Não houve retorno algum sobre os investimentos feitos para controle da poluição até que a legislação e vários litígios redirecionaram grande parte do custo decorrente da poluição para os poluidores”, diz Clemons. De igual modo, serão feitos investimentos para “tapar buracos” no “primeiro momento em que um agregador de dados for avaliado com base na extensão total dos prejuízos causados aos bancos e emissores de cartão de crédito em face de sua incapacidade de proteger os referidos dados”. Em economia, a situação atual dos agregadores é conhecida como “externalidade”, diz Clemons. “Uma parte desfruta dos benefícios, enquanto a outra arca com os custos.”

Tecnologia: fórmula mágica?
Embora a tecnologia tenha, evidentemente, contribuído para facilitar o roubo de identidade, será possível utilizá-la também para tornar seguras as informações?

Na verdade, não, diz Whitehouse. Para proteger a identidade, é preciso construir um sistema com múltiplas camadas de segurança. Para acessar os dados, seria preciso passar pelas diversas etapas dos procedimentos de segurança. Para reforçar a segurança seriam necessárias duas coisas: aceitação por parte do consumidor e aplicação de novos procedimentos para transações financeiras. O problema é que esse tipo de solução não é simpática, sobretudo, por exemplo, se levar um pouco mais de tempo para aprovação do crédito. Clemons explica que uma coisa tão simples quanto a perda de uma senha se tornaria ainda mais inconveniente. “Uma vez que seria mais difícil determinar que você é você, seria mais difícil também garantir-lhe o direito de usar sua senha”, observa.

Outra alternativa seria deixar de usar o número da seguridade social como identificação, mudar freqüentemente de senha e usar números de cartões de crédito virtuais que mudam a cada compra feita, de modo que os verdadeiros números nunca são revelados. Se todas essas alternativas forem integradas aos sistemas de informação, o valor dos dados vazados seria praticamente zero, observa Clemons.

Uma vez que tais soluções não aparecem da noite para o dia, sobra pouca coisa para aliviar o sofrimento do consumidor, exceto, talvez, rezar para que sua identidade não seja roubada, diz Hunter. “Essa área é um enorme vespeiro, e não há indício de que a situação deva melhorar no curto prazo.”
fonte : http://www.wharton.universia.net/index.cfm?fa=viewArticle&id=955&language=portuguese&specialId=

Vulnerabilidade dos dados de informática: uma ameaça para as empresas latino-americanas
O que você faria se toda vez que abrisse a porta da sua casa sofresse uma tentativa de assalto? Naturalmente não se sentiria seguro.

O mesmo fenômeno ocorre com as empresas toda vez que um hacker tenta penetrar em seu banco de dados para roubar dados dos seus clientes. Natalia da Silva, diretora de marketing e de comunicações para a América Latina do provedor de soluções de segurança digital Gemalto, observa que “se somarmos ao que foi dito anteriormente a convergência tecnológica, em que computadores e notebooks têm hoje funções de telefonia e os celulares têm acesso à Internet, observamos que o tráfego de voz, imagens e dados confidenciais deixaram de ser seguros, contribuindo em grande medida para uma série de ameaças e de crimes virtuais”.

Nesse contexto, a consultoria de tecnologia Yankee Group observa que as empresas latino-americanas são mais vulneráveis ao roubo de informações por meio de dispositivos móveis — principalmente notebooks — e propõe que melhorem sua política de proteção de dados, especialmente no que se refere ao modo de acesso a informações críticas.

As conclusões apresentadas são fruto da “Pesquisa Móvel” feita pela empresa, que entrevistou 225 executivos da área de informática de empresas do México, Brasil e Colômbia. A pesquisa concluiu, entre outras coisas, que mais de 80% das empresas utilizam um esquema de senhas simples para controlar a identidade de seus usuários. Somente grandes empresas utilizam a autenticação de identidade, como certificações digitais, tokens e smart cards (aparelhos digitais e cartões inteligentes), ao passo que apenas 67% das empresas recorrem a sistemas de criptografia para a proteção de dados.

Foram pesquisadas empresas do setor de saúde, manufatura, finanças, varejo, construção e estatais. Conforme explicou Andrew Jaquith, analista sênior da consultoria, Brasil, México e Colômbia foram escolhidos como amostra representativa do comportamento corporativo na América Latina. Jaquith ressalta que a pesquisa poderá ser feita também em outros países da região.

América Latina: proteção escassa às informações
Enrique Canessa, professor da Faculdade de Engenharia e Ciências da Universidade Adolfo Ibáñez, do Chile, observa que a ausência de proteção aos dados é maior nas empresas latino-americanas do que em empresas dos países mais desenvolvidos, uma vez que “o volume de transações online das empresas da região é menor do que as registradas na Europa, EUA e alguns mercados asiáticos”. Em razão disso, diz ele, as empresas latino-americanas só colocam em prática medidas para garantir a segurança dos dados quando alcançam um volume crítico de transações, “só aí, então, incorrem em gastos para salvaguardar as informações mais sensíveis”.

Por esse mesmo motivo, observa Alejandro Mellado, professor da Escola de Engenharia da Computação da Universidade Católica de Temuco (Chile), “o investimento das empresas em sistemas de segurança também é menor se comparado ao das nações desenvolvidas”.

Outro ponto importante, observa Horst Von Brand, professor do Departamento de Informática da Universidade Técnica Federico Santa Maria (Chile), é que “o custo das soluções de segurança é elevado, o que também constitui obstáculo para as companhias latino-americanas”.

Contudo, além do aspecto econômico, os professores acreditam também que há outras situações de índole profissional, educacional, cultural e política responsáveis pela demora em adotar normas de segurança, que estariam contribuindo também para colocar empecilhos à segurança digital na região.

Barreiras culturais
Alejandro Mellado observa que uma das principais barreiras culturais “é a ausência de preocupação por parte dos diretores das empresas da região, que não se mantiveram atualizados em relação às mudanças tecnológicas e às novas técnicas de roubo de informações”.

Eduardo Moreno, professor da Faculdade de Engenharia e de Ciências da Universidade Adolfo Ibáñez (Chile), concorda com Mellado, acrescentando que “essa escassa preocupação faz com que alguns sites de bancos recorram a sistemas de proteção de baixa segurança, aos quais os usuários acessam com senhas de apenas quatro dígitos”.

A esse respeito, Natalia da Silva, da Gemalto, diz que há um problema grave na região relacionado à senha de acesso aos sistemas virtuais. “Geralmente, o nome do usuário e a senha são muito frágeis e, conseqüentemente, fáceis de copiar e de clonar pelos hackers.”

Pedir aos usuários que mudem periodicamente de senha, ou que usem sistemas de senhas mais complexos causa aborrecimentos, explica Eduardo Moreno. Por isso, diz ele, “as empresas latino-americanas acabam negligenciando o assunto e simplificam sua utilização, enquanto as senhas de nível mais sofisticado, como as dos certificados digitais, acabam sendo descartadas”.

Todavia, isso não é tudo, conforme alerta Eduardo González, professor da Faculdade de Engenharia e Ciências da Universidade Adolfo Ibáñez, “o problema é que os empregados compartilham as mesmas senhas de acesso”, o que, no seu entender, é reflexo da inexistência de políticas, na região, de esclarecimento aos funcionários sobre a importância de se ter normas específicas de segurança.

Obstáculos profissionais e educacionais
Mellado observa que, na América Latina, há uma menor quantidade de profissionais especializados no campo da segurança de dados em comparação com os países desenvolvidos, o que contribuiu para a negligência demonstrada pelas empresas no que se refere à criação de um sistema de proteção dos dados.

González acredita que “diferentemente do que ocorre em países como os EUA, os executivos de empresas latino-americanas desconhecem os diferentes produtos tecnológicos existentes no mercado para a garantia da segurança das informações. Portanto, como não sabem como esses recursos funcionam, não lhes dão a devida importância, o que acaba por banir o assunto de sua pauta de prioridades”.

É o que pensa também Horst Von Brand. Para ele, a “criptografia — ou codificação da informação, de modo que não possa ser decifrada ou interceptada — é uma ferramenta bastante eficaz para a proteção dos dados; no entanto, tenho visto problemas mais graves em razão do seu uso inadequado do que pela falta de uso. Portanto, temos um problema relacionado com a educação. São poucos os profissionais que estão a par das inovações oferecidas pela indústria da segurança e que sabem como utilizá-las eficazmente”.

É comum também, diz González, as empresas imitarem as políticas de segurança implantadas por outras empresas sem avaliar antes suas necessidades específicas. “Com isso, consegue-se apenas insistir na vulnerabilidade da informação.”

Fatores políticos
Horst Von Brand diz que o aspecto político modelou o atual perfil da América Latina no que diz respeito à segurança dos dados digitais. “Estamos saindo de um período prolongado de governos autoritários durante os quais a proteção dos dados pessoais era algo visto quase como um disparate. Isso explica por que a legislação atual privilegia o acesso eficaz aos dados, em vez de proteger a identidade do usuário.”

No Chile, por exemplo, diz o professor, para a concretização de negócios entre particulares, exige-se o RUT — ou lista única de contribuintes, que é a identidade da pessoa. “Nos EUA, ou no Reino Unido, uma coisa desse tipo seria impensável, dados os riscos que representa para a privacidade do cidadão.”

Por outro lado, “a participação da América Latina em eventos importantes relacionados à segurança de dados é muito baixa”, observa Ítalo Foppiano, chefe da Unidade de Arquitetura Tecnológica da Universidade de Concepción (Chile). Segundo o professor, isso ficou demonstrado durante a XVI conferência anual do FIRST, Forum for Incident Response and Security Teams, órgão mundial que oferece respostas eficazes aos incidentes de segurança de dados mediante boas práticas e uso de tecnologia de ponta, celebrada em Budapeste, Hungria, em 2004.

Na ocasião, diz Foppiano, “havia somente seis representantes de toda a região, ante mais de 30 profissionais da Ásia-Pacífico e 20 especialistas da Alemanha”. Uma das razões para isso, explica o professor, é a pouca participação dos governos latino-americanos em eventos que tratam do tema, “o que se reflete na frágil legislação latino-americana de proteção e privacidade de dados”.

Conseqüências da exposição dos dados
“Na década de 80, os vírus se propagavam por meio de disquetes, infectando apenas máquinas individuais, propagando-se durante semanas ou meses”, conforme o relatório “Redes Autodefensivas”, de 2006, do provedor de soluções de conectividade e segurança em informática Cisco Systems. Nos anos 90, os vírus se propagavam principalmente através do correio eletrônico. Nesse período, foram registrados os primeiros incidentes provocados por hackers, prejudicando as redes corporativas em questão de dias ou semanas, aponta a pesquisa.

O estudo conclui com a informação de que, atualmente, as ameaças adquiriram modalidades diversas, e o “impacto é de nível global, sendo que a velocidade de propagação permite infectar centenas de milhares de computadores em questão de segundos”.

Se somarmos a isso as fraudes financeiras e a falsificação de identidades, resultantes da manipulação de dados, além de outros ciberdelitos mais sofisticados, como a sabotagem de dados — uma técnica para obstruir o funcionamento normal do sistema —, as conseqüências para as empresas latino-americanas são enormes, adverte Ítalo Foppiano, para quem tais conseqüências resultam no desgaste da imagem da empresa e na perda de credibilidade.

“No caso das pequenas empresas, as repercussões não são tão graves”, observa Mellado. Contudo, diz ele, “nas pequenas e médias empresas que não se acham adaptadas à mudança tecnológica de uma sociedade conectada como a atual, que eliminou as barreiras geográficas graças à Internet, a inexistência de padrões de segurança pode roubar-lhes o dinamismo, minar-lhes a confiabilidade perante o cliente e, com o passar do tempo, afetar sua competitividade em um mercado globalizado”.

É nesse ponto que Mellado alerta para o fato de que “muitas vezes os roubos de informação são obra das mesmas pessoas que trabalharam anteriormente na empresa. Ataques desse tipo não são muito sofisticados”. Na verdade, de acordo com uma pesquisa recente da consultoria de tecnologia IDC (International Data Corporation), nada menos que 70% dos ataques são gerados por empregados descontentes com a empresa onde trabalham.

“Por isso, uma das primeiras medidas que Mellado recomenda para a redução do risco de um ataque como o roubo de informações confidenciais consiste em “avaliar os candidatos antes de contratá-los, devendo tal avaliação ser acompanhada por um psicólogo, buscando-se assim um perfil de profissional comprometido com a ética e a probidade”.

Medidas para atenuar as vulnerabilidades
Em segundo lugar, acrescenta Mellado, a empresa deveria introduzir uma política de gestão de segurança que aponte responsabilidades e controles de acessos em níveis distintos de informação. “Uma terceira medida consistiria em aplicar sistemas de criptografia e, uma quarta estratégia, a aplicação de ferramentas de autenticação por meio de senhas e de controles biométricos de identidade.”

Foppiano sugere a adoção de “normas de segurança vindas da alta gerência, reafirmando assim seu compromisso com o tema, conforme prevê a norma ISO 27001:2005 sobre Sistema de Gestão de Segurança da Informação”.

“A segurança dos dados é um processo abrangente que compreende a auditoria, programação e provas até a implantação da operação”, observa Horst Von Brand, acrescentando que o anterior “se aplica também ao tema da segurança na formação dos profissionais da área, um item, infelizmente, no qual estamos ainda engatinhando”.

Para o professor, a legislação comete um erro elementar. Ele ressalta que o “sistema penal atual requer uma atualização urgente nos tópicos relacionados à segurança, tais como o conceito de ‘evidência eletrônica’, que requer uma definição especial que permita tipificar o delito eletrônico”.

Contudo, Foppiano assinala que o Chile já deu um primeiro passo com a aprovação de uma assinatura eletrônica. “Já o México, Brasil e Argentina contam com Equipes de Respostas a Incidentes (CERTs), que apóiam diretamente os governos nesse tipo de assunto.” A proliferação de grupos técnicos (ONGs), que são abastecidos por grupos globais, com o grupo de resposta aos incidentes de segurança, FIRST, acrescenta o professor, podem contribuir para uma maior conscientização e conhecimento da segurança da informação.

“Todavia, não há dúvida de que a América Latina tem pela frente um grande desafio: a adoção de uma legislação que regule a proteção e a privacidade dos dados”, conclui Foppiano.

fonte : http://www.wharton.universia.net/index.cfm?fa=viewArticle&id=1560&language=portuguese