Apresentação

porto 22 @ 15.6.06 · 1 comentário(s) ·

Ao longo dos últimos anos, o número de pessoas que utilizam computadores e acedem regularmente à Internet cresceu exponencialmente. Em simultâneo, aumentou também o número de ataques dirigidos a esses equipamentos e, por consequência, à integridade e confidencialidade da informação processada, transmitida e/ou guardada no seu interior. Os ataques que, outrora, visavam apenas a deterioração do desempenho dos computadores ou a apresentação de mensagens inofensivas, transformaram-se e constituem hoje ameaças sérias à segurança e privacidade individuais.

Um exemplo: têm sido transmitidos, em grande volume, programas de espionagem que registam os dados introduzidos no teclado e os enviam pela Internet para indivíduos ou organizações criminosas. A transmissão desses programas faz-se normalmente através de correio electrónico, ao qual está associada uma mensagem sugestiva, que convida o destinatário a abrir, por exemplo, uma animação ou um vídeo interessante. O resultado da abertura desses anexos é a instalação permanente do programa. A partir desse momento, o programa mantém-se activo e, sempre que sejam introduzidos dados confidenciais, e.g. códigos de acesso bancário, essas credenciais serão comprometidas, transmitidas para o exterior e posteriormente utilizadas para fins ilícitos, nomeadamente, para movimentação de valores para outras contas.

Mais exemplos: através de configurações incorrectas de partilha de ficheiros ou pela simplicidade dos códigos de acesso (passwords), pode ser facilmente obtido acesso remoto a dados pessoais guardados no computador, e.g. mensagens de correio electrónico, documentos ou fotografias. Esta informação pode ser posteriormente utilizada em acções de chantagem, roubo de identidade ou simplesmente transmitida para grupos privados, muitas vezes associados a actividades ilegais, e.g. se forem obtidos números de cartões de crédito, serão vendidos em mercados paralelos; se forem obtidas fotografias de crianças, serão enviadas para redes de pedofilia. Ainda neste âmbito, outra questão preocupante que não pode ser descurada: a utilização de sistemas de mensagens instantâneas por crianças, se não forem acompanhadas e não tiverem controlos adequados, pode conduzi-las a fornecer informação de identidade e localização geográfica que pode ser utilizada, novamente, por pessoas ligadas a redes de pedofilia.

Quantas pessoas sabem que o correio electrónico e as mensagens instantâneas, enquanto estão em trânsito, podem ser lidas e alteradas antes de chegar ao destino? E que o endereço do remetente pode ser facilmente forjado? Saberão distinguir uma mensagem original enviada, por exemplo, por uma instituição governamental ou financeira, de outra mensagem que é apenas uma burla? Haverá consciência que estas situações já se concretizaram?

A lista de ameaças é extensa e não está no âmbito desta apresentação identificá-las todas. No entanto, é importante apresentar um último exemplo, neste caso para ilustrar uma forma simples de perda de privacidade: todos os serviços na Internet registam o acesso às suas páginas e incluem dados transmitidos pelos programas de navegação, e.g. Internet Explorer ou Firefox. Esta informação, geralmente despersonalizada, permite inferir escolhas e padrões de comportamento porque os dados enviados pelos navegadores têm características únicas que permitem identificar, univocamente, o computador a partir do qual são feitos os acessos. Desta forma, ao longo de visitas sucessivas, vai sendo construído um perfil que, embora seja anónimo, pode incluir, entre outros detalhes, as páginas mais observadas, as horas dos acessos e, em alguns casos, a localização geográfica da origem. Esta construção, tal como foi descrita, não constitui, por si só, uma perda de privacidade. No entanto, se em alguma visita forem transmitidos alguns dados com carácter pessoal, e.g. ao subscrever uma publicação registando o endereço de correio electrónico ou ao efectuar um registo numa loja virtual, então, a partir desse momento, toda a caracterização que foi silenciosamente associada a um perfil (que era anónimo) passa a ter um identificador ou até mesmo um nome: o seu.

Apesar dos riscos, a agressividade das campanhas que promovem a adesão à Internet não está a ser acompanhada, infelizmente, por acções de consciencialização para as novas ameaças: as poucas campanhas que têm sido promovidas são insuficientes e, sobretudo, pouco eficazes. É necessário consciencializar as pessoas para os riscos e, acima de tudo, para os controlos que têm que gerir para garantir a sua segurança e privacidade. Existe um conjunto mínimo de controlos que deve estar activo e uma cultura de gestão da segurança que deve ser interiorizada. Nesse sentido, para garantir a motivação, é fundamental compreender que a utilização de computadores pessoais e, em particular, a Internet, apesar de criarem um ambiente virtual e expandirem a nossa capacidade de conhecer e comunicar com o mundo, não o transformam: tornam-no apenas mais acessível. E não se pode permitir que a virtualização sobreponha um manto de ilusão: as características humanas, as melhores e as piores, são as mesmas em todos os canais de comunicação.

porto 22. É neste contexto, em que há necessidade de reforçar a promoção da segurança, que surge agora o porto 22: um espaço alternativo e independente, que visa a divulgação e discussão desta temática, dirigido a todas as pessoas, focando o papel que nos cabe individualmente e apresentando os conteúdos de forma simples, sugerindo abordagens para mitigar os riscos mas evitando detalhes técnicos difíceis de apreender.

Concretamente, os objectivos desta proposta são os seguintes:

(a) difundir e descrever de forma clara as ameaças e os riscos associados aos vectores de ataque actuais e a outros que vão surgindo no futuro;

(b) apresentar e promover a discussão de formas simples de reduzir o risco através de controlos eficazes e fáceis de usar;

(c) divulgar notícias e referências relevantes no domínio da privacidade e segurança da informação.

Nesse sentido, o porto 22 tentará apresentar artigos de fundo com uma frequência mensal e, ao longo de cada mês, sempre que surjam novidades relevantes, serão publicados pequenos apontamentos e referencias para outras publicações, nacionais e internacionais.

Neste ponto, torna-se importante frisar que este espaço não tem a pretensão de formular verdades absolutas e, naturalmente, de acordo com os objectivos propostos e em face da complexidade do tema, a discussão dos artigos é central para captar novos ângulos, enriquecer o conhecimento e promover o desenvolvimento de novas aproximações a um problema. O porto 22 apresenta-se como um local de reflexão sobre a temática da segurança mas é, também, um convite à participação individual e está sempre aberto para receber sugestões sobre novos temas, abordagens e questões que sejam relevantes neste domínio.

Miguel Almeida. Profissional de segurança e gestão do risco de sistemas de informação. No âmbito desta actividade, tive oportunidade de participar em diversas iniciativas que, no contexto de organizações de grande dimensão, visaram avaliar e reforçar os controlos técnicos e os processos de segurança da informação. Ao longo do tempo, tenho acompanhado a evolução dos ataques, das técnicas de defesa e dos processos de controlo. Essa experiência permitiu-me elaborar um conjunto de conclusões, das quais destaco a seguinte: independentemente do esforço e do investimento em tecnologia, enquanto os riscos não forem compreendidos e a necessidade dos controlos não for assimilada, todos os modelos de segurança serão vulneráveis e o elo mais fraco será sempre o mesmo: as pessoas. Nas palavras de um grande especialista: “If you think technology can solve your security problems, then you don't understand the problems and you don't understand the technology.” — Bruce Schneier.

Partindo desta conclusão, decidi tomar esta iniciativa e procurar divulgar, da forma mais simples que for possível, um conjunto de ideias que possam, de facto, contribuir para reforçar o conhecimento e as práticas de segurança individuais. Resta-me apenas ressalvar que, as opiniões que for publicando, não reflectem posições oficiais de nenhuma empresa onde tenha colaborado, no passado, nem no presente: os artigos reflectem opiniões exclusivamente pessoais. As minhas.

22? Finalmente, depois do enquadramento e da apresentação, porquê o 22? Bem, esta é uma pequena idiossincrasia: vai ficar para a vossa imaginação :)