Retrospectiva 2004 - Parte 1
29 de dezembro de 2004
(Fonte:Módulo Security Magazine)
(Autor: Luis Fernando Rocha)
De ano para ano, mudam-se os métodos e táticas, mas na prática as ameaças e os riscos envolvendo os sistemas em redes continuam a apresentar crescimento progressivo. Para se ter uma idéia, completados nove meses de 2004 já tinham sido registrados 52.584 incidentes de segurança, mais que o dobro contabilizado em 2002 (25.092) e quase o número total obtido em 2003 (54.607), segundo dados divulgados pelo NIC BR Security Office (NBSO), grupo brasileiro de resposta a incidentes de segurança, ligado ao Comitê Gestor da Internet no Brasil (CGIBr).
Apesar de os esforços feitos ao longo do ano para tornar o ambiente eletrônico cada vez mais seguro, analisando os acontecimentos ocorridos em 2004, fica claro que as organizações (e também os usuários finais) precisam tornar as boas práticas em Segurança da Informação em um dogma imprescindível para a continuidade de seus negócios.
A seguir você poderá conferir a primeira parte do resumo sobre os principais acontecimentos envolvendo esse mercado no Brasil e no mundo.
Ano das Fraudes - Parte 2
Na "Retrospectiva 2003", a Módulo Security Magazine apontava que a prática de fraudes pela internet se tornara tão constante na internet brasileira, que o Centro de Atendimento a Incidentes de Segurança da Rede Nacional de Ensino e Pesquisa (CAIS/RNP) caracterizou 2003 como o "Ano da Fraude".
Analisando as estatísticas divulgadas durante esse ano, podemos considerar que 2004 foi marcado como o "Ano das Fraudes - Parte 2". Para os especialistas do Anti-Phishing Working Group (APWG), associação industrial sem fins lucrativos, tal cenário se tornou mais crítico nesse ano pela automação dos métodos de ataques de phishing scam (fraudes por e-mail), através da utilização de ferramentas e bots.
Cabe esclarecer que bots (abreviação de "robots"), segundo a Symantec, são programas instalados secretamente em um sistema-alvo, que permitem que um usuário não autorizado controle remotamente o computador comprometido por uma ampla variedade de propósitos maliciosos.
Outros indícios da automação desses ataques surgiram em meados de novembro, quando a empresa britânica MessageLabs divulgou uma nota oficial sobre a descoberta da circulação de e-mails contendo script malicioso com intuito de modificar arquivos host no computador da vítima, sem que ela tomasse conhecimento de tal ação.
Assim, após abrir tais mensagens, quando o usuário resolvesse navegar por determinados sites de bancos - no caso em questão, a MessageLabs identificou três instituições bancárias do Brasil como alvo desse novo tipo de fraude -, ele seria redirecionado para sites construídos pelos criminosos, onde a vítima acabaria, sem saber, disponibilizando suas informações bancárias confidenciais.
Também em novembro, outra organização britânica, desta vez a Sophos, alertava os usuários de computadores no Reino Unido para terem cautela com um novo e-mail que circulava na web, disfarçado em uma oportunidade de ganhos financeiros. Segundo a empresa, o intuito dessas mensagens era recrutar usuários inocentes como "mulas" para auxiliar gangues de fraudadores de internet a executar operações ilícitas e fazer roubos pela internet.
No Brasil, os números das fraudes não pararam de aumentar. As últimas estatísticas trimestrais (de julho a setembro) divulgadas pelo NIC BR Security Office (NBSO), grupo brasileiro de resposta a incidentes de segurança ligado ao Comitê Gestor de Internet no Brasil (CGIBR), revelaram um aumento de 75% em relação ao trimestre anterior (de abril a junho) e 650% em relação ao mesmo período do ano anterior.
Para o grupo, uma das possíveis explicações para se justificar o aumento de tal prática criminosa - em um curto período de tempo - reside na ampla divulgação do assunto na mídia e das recentes prisões efetuadas pela Polícia Federal. "Todas as estatísticas do NBSO são de incidentes voluntariamente reportados. A divulgação na mídia e as várias prisões aparentemente têm estimulado um maior número de usuários de internet a reportar este tipo de atividade. Aliado a esse maior número de usuários notificando fraudes, está claro que esse tipo de incidente está aumentando", explicam Cristine Hoepers e Klaus Steding-Jessen, analistas de segurança sênior do NBSO.
A resposta às fraudes
Se por um lado as fraudes de internet continuaram seus rumos de crescimento, o ano de 2004 também apresentou o aumento das iniciativas de grandes organizações pelo mundo em prover informações para que os usuários se prevenissem e combatessem as ações fraudulentas.
Podemos citar dois bons exemplos, um internacional e outro brasileiro: o banco americano Citibank e a Microsoft Brasil lançaram seções específicas em seus websites para prover o máximo de informações (o que são, como evitar, como denunciar, exemplos etc) sobre a disseminação de e-mails e sites falsos que utilizam o nome dessas organizações.
Outra boa iniciativa foi divulgada em junho, época do lançamento da nova edição da cartilha "Você e seu banco - um guia que vai facilitar seu relacionamento com os bancos", da Febraban. Neste documento, são disponibilizadas informações gerais sobre os serviços e operações bancárias mais comuns e sobre os principais direitos dos clientes e usuários. Um dos capítulos dessa nova edição abordava justamente o assunto "fraudes eletrônicas".
O ano seria marcado também pelas parcerias realizadas entre grandes organizações. Em outubro, por exemplo, a Websense anunciou sua associação à Financial Services Technology Consortium (FSTC), uma organização de pesquisas da indústria financeira formada por bancos, firmas prestadoras de serviços financeiros, parceiros da indústria, laboratórios nacionais, universidades e agências governamentais, para reforçar o combate aos golpes virtuais.
Em agosto, para combater essas e outros tipos de ameaças na internet, a Network Appliance (NetApp) anunciava sua parceria com grandes fornecedores de produtos de segurança, como Secure Computing, Trend Micro, Symantec, Websense e Webwasher, para desenvolver soluções conjuntas de acesso e segurança na Internet (IAS) como proteção.
Além disso, não podemos nos esquecer do significativo trabalho realizado pelo Anti-Phishing Working Group (APWG), associação industrial sem fins lucrativos, formada em novembro de 2003. Esse grupo reúne mais de 400 profissionais, mais de 250 organizações, sendo oito dos dez maiores bancos americanos, quatro dos cinco maiores provedores americanos de serviços de internet, cerca de 100 grandes empresas de tecnologia e órgãos de justiça do Canadá, Austrália, Reino Unido e EUA.
Em termos de ações realizadas pelas autoridades policiais brasileiras, o mês de outubro registrou uma das maiores operações já realizadas pela Polícia Federal (PF), com o objetivo de desmantelar as quadrilhas de fraudadores de internet.
Denominada Cavalo de Tróia II, a PF prendeu 63 pessoas nos estados do Pará, Tocantins, Maranhão e Ceará. Essa ação representou a continuidade da Operação Cavalo de Tróia I, lançada em novembro de 2003. O que chamou a atenção dos investigadores na época foi que, entre os criminosos, 18 pessoas já haviam sido presas na mesma situação e continuavam suas atividades criminosas livremente.
No entanto, apesar de ser a que atraiu a maior atenção da mídia, a operação de Cavalo de Tróia II não foi a única de 2004. Em setembro, por exemplo, seria preso num hotel de luxo em Santo Amaro da Imperatriz, na grande Florianópolis, Rodines Miranda Peres, 35 anos, apontado pela polícia como um dos principais fraudadores de sistemas bancários do Sul do país.
Já operação conjunta conduzida pelo Ministério Público de Santa Catarina (MPSC), Polícia Militar, Polícia Civil e Polícia Rodoviária Federal, no início de agosto, resultaria na prisão de nove pessoas acusadas do desvio de quatro milhões de reais através de golpes pela internet e clonagem de cartões bancários.
No final de março, segundo reportagem de Alencar Izidoro, da Folha de S.Paulo, policiais da 3ª Delegacia de Patrimônio do Deic (Departamento de Investigação sobre o Crime Organizado) prenderiam três pessoas acusadas de transferirem, de forma ilegal, 30 mil reais de 28 contas bancárias.
Em fevereiro, seria a vez dos investigadores da 7ª Delegacia de Polícia da Capital de Santa Catarina prenderem quatro pessoas acusadas deste tipo de crime. A quadrilha, segundo os jornais da região - A Notícia e Diário Catarinense -, seria responsável pelo desvio de cerca de 5 milhões de reais de contas bancárias de clientes de três grandes instituições financeiras do país.
Além dessas expressivas ações das autoridades policiais, merece destaque também a atuação do Poder Judiciário, que vem contribuindo para que os atos fraudulentos na internet não fiquem impunes no país.
Em agosto, a Quinta Turma do Superior Tribunal de Justiça (STJ) negou pedido de habeas corpus para Valdeni França Nascimento, 25 anos, acusado pelos crimes de estelionato e formação de quadrilha. A polícia apontou Nascimento como um dos possíveis líderes da organização criminosa que pode ter desviado cerca de 100 milhões de reais pela web. Em julho, o STJ já havia negado outro pedido de habeas corpus, desta vez para Thiago Silva, também acusado da prática de fraudes on-line.
Não foi só no Brasil que as autoridades policiais combateram a ação das quadrilhas de fraudadores de internet. Em maio, segundo notícia do site Vnunet.com, a National Hi-Tech Crime Unit (NHTCU), divisão do governo britânico especializada na investigação de crimes virtuais, anunciou a prisão de 12 pessoas suspeitas da prática de roubo pela internet e lavagem de dinheiro. O dinheiro levantado pela quadrilha era obtido através do roubo de contas bancárias por fraudes por e-mail.
E o final do ano traria uma polêmica sobre as fraudes e o uso de internet banking. Segundo notícia da Agência Câmara, o deputado Celso Russomanno criticou as propagandas de bancos que estimulam os usuários a realizar transações pela internet, uma vez que - segundo ele - a ação de fraudadores é facilitada no meio virtual.
"Os bancos incentivam seus clientes a pagar contas, fazer transferências, comprar produtos e adquirir empréstimos. Esses dados podem ser captados pelas quadrilhas que desviam milhões das contas dos cidadãos sem qualquer ressarcimento", alertou à Agência Câmara.
Legislação e Normas
Basiléia II, Sarbanes-Oxley, Novo Código Civil, Regulamentações do Banco Central do Brasil (BACEN) e Conselho de Valores Mobiliários (CVM), ISO 17799, BS 7799, Cobit, Coso, entre outros. Em 2004, estes termos se tornariam prioridade no dicionário dos profissionais de Segurança da Informação e refletiriam a exigência cada vez maior que as empresas estejam em conformidade com Leis, Normas e Regulamentação.
Essa realidade ficou mais nítida em resultados de algumas importantes pesquisas. Dentre eles, podemos destacar o estudo "2004 Computer Crime and Security Survey", realizado pelo FBI e pelo Computer Security Institute (CSI), com 494 profissionais de segurança de agências do governo americano, instituições financeiras, instituições médicas, universidades e de outros segmentos.
Segundo essa pesquisa, as novas leis, como a "The U.S. Public Company Accounting Reform and Investor Protection Act of 2002", que ficou conhecida como Sarbanes-Oxley, começaram a causar forte impacto nas atividades de executivos e administradores, aumentando o nível de preocupação com a Segurança da Informação em suas organizações, principalmente nos segmentos financeiro, serviços públicos e telecomunicações.
Em nível nacional, esse cenário foi retratado pela 1ª Pesquisa Nacional Impacto das Novas Leis e Regulamentações, realizada em março pela Módulo com cerca de 350 executivos (divididos entre Gestores - 64%, CIOs - 12% e Diretores de TI - 24%) das 500 maiores empresas brasileiras.
Segundo 78% dos entrevistados, a área de Tecnologia da Informação (TI) é vital para que suas organizações consigam atender às novas leis e regulamentos. Porém, 64% disseram que suas equipes ainda estão em processo de capacitação profissional para conseguir atender essas novas exigências.
Em termos de conformidade, 44% dos entrevistados admitiram que suas empresas ainda estavam em processo de adequação ao Novo Código Civil, promulgado em janeiro de 2003. Porém, 81% acreditavam que o Novo Código não causaria quaisquer obstáculos para geração de novos negócios.
Sobre o impacto das regulamentações internacionais nas organizações brasileiras, 50% revelaram movimentação para se adequar a Sarbanes-Oxley e 25% para o Novo Acordo de Capital da Basiléia (Basiléia II).
O estudo trouxe ainda outros indicadores interessantes. Para os executivos brasileiros, as novas leis, normas e regulamentos aumentariam a proteção dos ativos de suas empresas. Apesar disso, 50% não acreditavam que as ameaças e os riscos de incidentes (fraudes, crimes e ataques) diminuíssem e apenas 12% achavam que a aprovação do Projeto de Lei 84/99 (atual 89/03), que tipifica os crimes de informática, trará mudanças significativas nos departamentos de TI e Segurança da Informação (Security Office).
Falando no PL 89/03, em setembro, o segundo vice-presidente da Câmara Federal, deputado Luiz Piauhylino (sem partido-PE), defendeu durante a I Conferência Internacional de Perícias em Crimes Cibernéticos, realizada em Brasília, a imediata votação do projeto, que é de sua autoria. Porém, o projeto encontra-se, no momento, em tramitação na Comissão de Educação do Senado Federal e só deverá ser apreciado em 2005.
O ano de 2004 trouxe ainda algumas importantes decisões normativas para o mercado de certificação digital. Em abril, por exemplo, a Circular 3.234, lançada pelo Banco Central do Brasil, alterou a regulamentação cambial para prever a assinatura digital em contratos de câmbio por meio da utilização de certificados digitais emitidos no âmbito da ICP-Brasil (Infra-Estrutura de Chaves Públicas Brasileira).
Já em dezembro, mais duas importantes decisões foram tomadas: a primeira foi a aprovação pela Susep (Superintendência de Seguros Privados) das regras para a utilização da assinatura digital nos documentos eletrônicos relativos às operações de seguros, de capitalização e de previdência complementar aberta. Estamos falando da publicação, no Diário Oficial da União, da Circular 277.
A segunda refere-se à aprovação do substitutivo do Projeto de Lei 7316/02, que disciplina o uso de assinaturas eletrônicas e a prestação de serviços de certificação, na Comissão de Ciência e Tecnologia, Comunicação e Informática da Câmara dos Deputados. Segundo notícia da Agência Câmara, a proposição aprovada trata ainda do Comitê Gestor da ICP-Brasil, definindo sua composição e suas competências, bem como seu relacionamento com o Instituto Nacional de Tecnologia da Informação (ITI).
Para finalizar, não podemos esquecer da reunião (29th SC 27 Working Group Meetings) do Comitê internacional ISO/IEC JTC1/SC27 (Information Technology/IT Security Techniques), grupo responsável pela elaboração e atualização das normas de segurança da informação, realizada no final de outubro, em Fortaleza.
Alguns importantes objetivos foram alcançados nesta reunião: o primeiro deles foi a finalização da revisão da norma ISO/IEC 17799. Segundo os representantes brasileiros presentes nesta reunião, o próximo estágio será finalizar a revisão editorial e a previsão é que ela seja publicada em meados de 2005.
Outro fato relevante decidido foi a definição da "ISMS Specification" como a norma de certificação de segurança da ISO. Essa norma ISO será baseada na atual BS7799-2 e seu draft será enviado para votação em regime acelerado pelo comitê internacional, com estimativa de publicação em menos de dois anos.
Na primeira semana de janeiro, você poderá conferir a segunda parte da Retrospectiva 2004, que trará um resumo dos acontecimentos envolvendo os temas Certificação Digital, Vulnerabilidades e Ameaças e Spam. Aguarde!
|
