Internet: maiores facilidades, maiores riscos

E é nesse ambiente que surge um risco potencial de fraudes, que já começa a ser atacado por algumas instituições. A situação básica é a seguinte: A infra-estrutura compartilhada de acesso à rede pode ser usada sem maiores problemas para navegar em sites de entretenimento, fazer pesquisas para trabalhos escolares, chats, entre outros. Acontece que dada a sua conveniência, muitas vezes esses recursos são utilizados para operações que requerem maior grau de sigilo ou segurança.

Entre essas operações temos: acesso a contas de correio eletrônico, compras em sites de comércio eletrônico e consultas e transações nos sistemas de internet banking. A utilização dessas ?máquinas sem dono? para essa classe de aplicações não é muito recomendável e deve ser evitada. Contudo, a conveniência e, em muitos casos, a possibilidade única de conexão que esse ambiente oferece, tornam isso inevitável. Mas afinal, qual o risco existente nesse tipo de operação? Quando se acessa um site seguro não se tem a informação de que as mensagens trocadas entre o computador e o site estão criptografadas (codificadas) e não podem ser lidas por terceiros?

O ponto básico é que os informações são criptografadas pelo browsere enviados ao site de destino. Dessa forma, é fato que elas estão protegidas do navegador em diante. A questão, contudo é: como as informações chegam ao browser para serem enviadas? Chegam através dos dispositivos de entrada, que são tipicamente o teclado e o mouse. E é justamente nesse percurso entre os dispositivos de entrada e o aplicativo (no caso o navegador) é que ocorrem os ataques.

O invasor se vale do fato de que as máquinas são públicas e ao utilizá-las, instala um pequeno programa que fica invisível no sistema. Esse programa, por sua vez, permanece continuamente coletando, armazenando e, em alguns casos, enviando para um site externo todas as operações executadas nos dispositivos de entrada. De posse dessas informações, o atacante não enfrentará maiores problemas para descobrir dados do tipo agência, conta e senha de um correntista que utilizou a máquina para pagar uma conta, por exemplo.

Para isso, basta verificar a seqüência de teclas digitadas, buscando URL?s de bancos e lojas, e, a partir daí, observar as teclas, comparando-as com a seqüência necessária para se acessar o site. Trata-se de uma forma de ataque relativamente simples, mas muito eficiente. E como se prevenir desse tipo de ataque? Pelo lado do usuário, alguns cuidados são básicos:

– Evite ao máximo utilizar essas máquinas compartilhadas em situações que exijam sigilo ou privacidade;

– Caso não seja possível, procure selecionar o local a partir do qual será feito o acesso.

Alguns critérios:

-Idoneidade. Fator básico, uma vez que esse tipo de ataque poderia ser feito pelo próprio dono das máquinas

-Preparo técnico, porque o simples fato de se conhecer esse tipo de ataque faz com que um proprietário idôneo possa tentar proteger seu clientes.

Alguns indicativos:

– A máquina não deve possuir disquete (ou o mesmo deve estar desabilitado);

– O PC deve possuir antivírus;

– Não deve ser possível instalar programas baixados pela rede (se eu consigo instalar algum programa, quem me garante que um atacante não instalará?);

Pelo lado dos provedores de serviço se começa a ver uma série de iniciativas interessantes de forma a minorar (ou mitigar, como diriam alguns especialistas) esse tipo de risco. Alguns sites, por exemplo, têm utilizado soluções criativas na hora de se digitar algum dado confidencial (senha, por exemplo). Ao invés de digitá-la através do teclado, surge uma imagem representativa do teclado na tela e o usuário seleciona as teclas através do mouse (se essa representação do teclado surgir em posições diferentes da tela, então não adiantará capturar as coordenadas dos cliques).

Uma outra forma é, tipicamente para dados numéricos, fornecer na tela uma correspondência entre números e letras. Essa correspondência é aleatória, mudando a cada acesso, impedindo que, mesmo ao monitorar as teclas, o invasor não consiga descobrir o dado. Enfim, como na maioria das situações que envolvem segurança, a comodidade tem um preço. A questão básica é conhecer o risco e lidar com ele da melhor forma possível.