Shirley Pacelli
Imagine que, por meio da rede wi-fi gratuita de um shopping, um cibercriminoso consegue ter acesso ao banco de dados de uma empresa que atua na pra�a de alimenta��o e utiliza a mesma rede. Um sistema desatualizado h� quatro anos deixa expostos os n�meros de cart�o de cr�ditos de clientes de todo esse per�odo. O tremendo vacilo de seguran�a � real e foi descoberto por R�ner Alberto Farias Silva, de 27 anos, analista de seguran�a da informa��o de uma institui��o financeira de Belo Horizonte – tamb�m hacker. Ele foi um dos palestrantes do BHack, evento voltado � seguran�a da informa��o, realizado nos dias 22 e 23 de junho na capital mineira.
Como trabalho de conclus�o de curso, R�ner fez uma s�rie de an�lises de vulnerabilidades em ambientes p�blicos, como shoppings e hot�is da capital mineira e alguns de S�o Paulo. Durante o per�odo de agosto a setembro de 2011 foram pesquisados sete locais que t�m redes wireless abertas sem nenhum protocolo de seguran�a ou exig�ncia de cadastro ou senha para acesso. Mesmo entregando o relat�rio em m�os, meses depois muitas das falhas permaneciam nos sistemas. Outro local de testes foi a pr�pria universidade onde ele estudava, que teve problemas detectados desde a entrada, nas catracas. “Se pegasse dois cart�es com tecnologia RFID (identifica��o por radiofrequ�ncia, em ingl�s) e colocasse lado a lado, elas n�o faziam a valida��o correta. Era um problema espec�fico da vers�o do software dos dispositivos”, conta.
Assim como Vin�cius, R�ner desde crian�a tinha curiosidade em saber como os sistemas funcionavam. “A gente pensa diferente das outras pessoas. Elas n�o querem saber como funciona, s� querem que ele funcione”, diz. � medida que foi ficando mais velho, se tornou autodidata e come�ou a estudar sistemas operacionais. Ele conta que nessa �poca de aprendizado, entre 1997 e 2000, n�o existia a facilidade dos ambientes virtuais de hoje para se fazer testes. “Eu come�ei a mexer com computadores no final da gera��o de processadores 386 e in�cio da 486, PCs que n�o tinham grande capacidade de processamento. Voc� tinha que testar no computador de algu�m”. Para fazer as avalia��es, ele, assim como outros hackers da �poca, invadiam outros computadores. Al�m isso, como a capacidade de armazenamento de dados era �nfimo nos modelos no mercado, eles utilizavam servidores como dep�sito de m�sicas e jogos.
FIO DA NAVALHA
Recentemente, um dos integrantes do seu grupo de pesquisas DCLabs (dclabs.com.br) encontrou uma vulnerabilidade de m�dio impacto no site do Skype, que poderia comprometer todos os usu�rios. De acordo com os par�metros da �tica hacker, o grupo avisou a empresa, ela corrigiu, mas n�o tornou a falha p�blica. “O correto � a empresa notificar e avisar a todos os usu�rios que � preciso atualizar o software”, explica. Silva diz que antigamente era comum a empresa processar profissionais que notificavam problemas, hoje, uma vez que se tem um grupo de pesquisa reconhecido, fica mais f�cil receber um retorno.
O DCLabs foi criado h� cinco anos e conta com quatro pesquisadores. Com a Lei Carolina Dieckmann, eles passaram a tomar mais cuidado com pentests. “Se voc� fizer um pentest, explorar alguma vulnerabilidade que exponha ou comprometa os dados de uma empresa ou at� mesmo deixar o sistema indispon�vel sem um pr�vio acordo e aceita��o dos riscos decorrentes por parte da empresa que est� passando pela auditoria de seguran�a, pode ser processado”, esclarece.