“Há grandes valores do hacking em Portugal”

Formador de administradores de sistemas, Paulo Laureano denuncia em entrevista sobre segurança, as negligências e os erros de estratégia.

O director técnico da Mr. Net, Paulo Laureano, é especialista em segurança e formador de administradores de sistemas.


 


É taxativo: o governo deveria legislar contra quem é irresponsável e deixa um PC abandonado e ligado à Internet.


 


Da mesma linha defende que “os ISP podem e devem oferecer melhor protecção aos seus clientes, sobretudo aos de banda larga”.


 


Na sua opinião, a indisciplina e a falta de percepção do risco, são apontadas pelo mesmo como uma das maiores vulnerabilidades de segurança em Tecnologias de Informação em Portugal.


 


“Se é possível haver uma administração centralizada de  sistemas, eu nunca vou perceber porque são permitidos leitores de CD e drives de disquetes nos PC das empresas”.


 


Os administradores também podem ter melhor formação, e Paulo Laureano aponta o desinteresse dos mesmos como outro foco de insegurança.


 


“A maioria dos hackers profissionais são administradores de sistemas e a maior parte dos administradores de sistemas deviam ser hackers”. Ao falar da adopção descuidada de novas tecnologias, lembra que “a conveniência é inversamente proporcional à segurança.”


 


Na abordagem ao fenómeno da espionagem por meios de tecnologias de informação, o técnico lembra que os funcionários internos são um perigo maior. Diz ainda que há uma forte dinâmica na procura de informações sobre consumidores.


 


Noutro âmbito, Paulo Laureano acha chocante que sistemas como os da segurança social, da saúde….. estejam assentes em sistemas que não permitem auditorias. Uma limitação à segurança.


 


“Temos grandes valores na nossa comunidade em Portugal: alguns deles são muito conhecidos.”


 


Paulo Laureano aponta como exemplo o facto de “todos os sites de fabricantes com algum peso” terem agradecimentos a hackers portugueses.


 


Agradecimentos por terem descoberto e revelado aos fabricantes vulnerabilidades no software.


 


“É apelativo em Portugal uma pessoa formar-se como hacker, porque há tantas facilidades e muito mais por onde explorar do que  nos outros paÍses. É o tal incentivo para os miúdos se tornarem bons técnicos.”


 


O lado positivo deste facto, para o técnico, é termos melhores administradores de sistemas. “Porque são ex-hackers”.


 


De acordo com Laureano, são pessoas que ganharam interesse por problemas de segurança: a única razão é haver tanto por onde explorar que se torna divertido.


 


Paulo Laureano aponta a espionagem como um dos problema de segurança. Mas mais grave do que a espionagem é a falta de segurança interna. “Os próprios funcionários das instituições vendem informação por preços muito mais competitivos”, do que os exigidos pelos hackers.


 


Estes “cobram muito caro, trabalham muito pouco e correm muito poucos riscos. “Cobram-se valores entre as “dezenas de milhar de euros e as centenas de milhar de euros” dependendo do trabalho. Penetrar no site de um banco? “Na ordem das dezenas de milhar de euros”.


 


A única forma de contratar um hacker profissional é conhecer “alguém que conhece alguém, que conhece alguém”.


 


Um hacker deste nível  profissional não é contratado para roubar dinheiro. Quem rouba dinheiro é perseguido e ninguém quer ser perseguido.


 


Roubam listas de clientes, moradas, relatórios de utilização de serviços de bancos, entre outra  informação. “Não é à toa que as pessoas recebem cartões Visa em casa sem nunca os terem pedido.


 


Há duas hipóteses: ou o próprio banco vendeu a informação, ou alguém foi lá buscá-la.” Os sectores mais interessantes para essa pequena comunidade de hackers são as empresas de crédito, de seguros, com listas de distribuição, de compradores de determinada revista ou jornal, etc.


 


Geralmente as empresas está muito mais interessadas em saber qual foi o concorrente a fazer a espionagem, do em saber quem foi o hacker – sempre muito difícil de encontrar.


 


A opinião de Paulo Laureano  sobre a segurança nos bancos não é má, é péssima. “Estivemos várias vezes com dois bancos e com uma corretora online ligada a um banco, e entregamos orçamentos para fazer análise de segurança  porque havia falhas visíveis, e em ambos os caso decidiram não querer saber dos problemas.”


 


As brechas  indicadas foram corrigidas, e pouco mais.


 


No início do “home banking”, era necessário uma log in, uma password e um CD ROM cujo conteúdo seria instalado num computador específico de onde se pretendia aceder ao banco. Só quem reunisse estes três pontos chaves podia aceder às contas.”


 


Chegaram à conclusão de que o CD era um empecilho.” Seria  preferível as pessoas terem só um log in e uma password.


 


É a passagem típica de um sistema seguro para um sistema particularmente inseguro na óptica de Paulo Laureano.


 


O maior problema dos bancos é quererem “ser extraordinariamente convenientes para os seus clientes,” e entenderem ser mais barato lidarem com os problemas de segurança depois deeles surgirem.


 


Mas ressalva que o fenómeno passou-se um pouco por todo o lado. “Nos EUA já se gasta mais dinheiro em segurança, mas porque as pessoas têm a percepção de terem algo a proteger. Se os dados saírem, alguém é processado.


 


Aqui as pessoas nem sabem que os bancos têm informação crítica sobre elas.”


 


Uma empresa com site pode ser atacada durante anos e não percebe.


 


Os computadores podem ser utilizados para ter sites com software pirata, filmes, etc . “A maior parte dos Divx e software pirata são puxados de computadores cujos donos não sabem disso.


 


Os links fornecidos para se fazerem os downloads têm informações  sobre a identificação do computador e das portas escondidas. “Se acedermos a esse tipo de servidores, descobrimos páginas de empresas”.


 


De acordo com Paulo Laureano, “os PC estão tão desprotegidos que até os “script kiddies” (que têm o hackering quase por hobby), conseguem entrar. “Uns “pintam” grafittis e a esses podemos agradecer.


 


O que parece um acto de vandalismo é também um aviso. Infelizmente muitos não fazem isso.” Em muitos casos, essas máquinas são depois exploradas pelas empresas concorrentes.


 


“Alguém conhece um hacker, e este descobre uma “backdoor” (porta dos fundos) na máquina, com a “password default”, de um vírus do tipo Troiano nela instalado pelo “script kiddie”.


 


E usando estas facilidades consegue sem sequer “sequestrar”  a máquina, aceder à informação, para o seu amigo” .


 


“Se vou à caça e depois passo pelo Colombo, e deixo a caçadeira pousada num banco, sou responsável no caso de algum miúdo matar 12 pessoas, com ela”.


 


É assim que Paulo Laureano ilustra a sua argumentação para exigir ao governo, legislação específica referente à utilização do PC, ligado à net.


 


“O computador pode ser uma arma letal, que causa danos reais, falências, desemprego, fome…E deve ser considerado como tal”, reforça o director.


 


Um dos objectivos seria dissuadir ou penalizar as pessoas que por “negligência grosseira” deixam o dispositivo abandonado e acessível: pronto a ser utilizado por terceiros com más intenções.


 


“Garanto que assim muitas empresas não iriam querer estar ligadas à net, por não quererem pagar a factura dos seus próprios administradores de sistemas”, diz.


 


Laureano ainda vai mais longe.  E aborda o caso “mais grave” das empresas que vendem acesso de banda larga. “Vendem ao cliente sem qualquer preparação, vendem pacotes que colocam as máquinas na Internet acessíveis uns aos outros sem qualquer tipo de responsabilização de quem compra o serviços”. 


 


Na visão do técnico, essas empresas devem ser responsabilizadas. “Elas podem fazer a segurança dos seus próprios clientes e isso devia estar estabelecido contratualmente”.


 


Mais: “A maioria dos clientes de banda larga (cabo e ADSL) não precisa de ter endereços IP reais na Internet, visíveis a outros utilizadores”.


 


Paulo Laureano explica que os ISP podem até proteger os seus clientes do ataques de spam. Como?


 


Usando um dispositivo de confirmação de envio de mensagem: pergunta ao emissor se quer mesmo mandar a mensagem.


 


Segundo o técnico, nenhuma máquina de spam suplanta isto.“Se os ISP forem responsabilizados pelo lixo que metem em casa das pessoas  recorrerão a  melhores tecnologias.”


 


E sobre os vírus, Laureano defende que se os ISP forem os responsáveis por coarctarem um ataque de “Code Red” de um cliente, tornar-se-ão  “mais cuidadosos”.


 


Para o responsável, os fabricantes dos sistemas de informação da administração pública (AP) devem permitir que estes sejam auditados. E para auditar é preciso conhecer o código fonte.


 


Por isso, o executivo pensa que ou a Microsoft se responsabiliza pela segurança dos seus produtos ou disponiliza código fonte.


 


A ideia é “ter autonomia para mudar alguma coisa por questões de segurança”.


 


Laureano defende que se tratam de soluções “não verificadas em termos de segurança”.


 


Do seu ponto de vista, devem ser usados protocolos não proprietários e  “seriam as universidades a definir o que a AP precisa”. “Temos excelentes técnicos”.


 


Era importante fazer uma análise custos , “porque custa muito não os fazer”, e que os parâmetros  essenciais fossem seguidos de forma global.


 




Deixe um comentário

O seu email não será publicado