Os ataques a computadores ou a instalações informatizadas têm se tornado cinematográficos. A mera ameaça, ou boato a respeito, já merece destaque em órgãos da imprensa e da própria Internet. Denúncias de roubo de acervos, violações de privacidade, abertura ilegal de conteúdos, impedimento de serviços e outros têm sido freqüentes, aumentando a preocupação de usuários, sendo uma contrapartida à evolução dos próprios serviços eletrônicos.
Por exemplo, consideremos os casos envolvendo cartões de crédito. Sendo um meio de pagamento inegavelmente rápido, ágil e versátil, estes cartões têm sido alvo constante de abordagens e tentativas por parte dos espiões e malfeitores. Apesar da imagem de roubo de senhas e acessos, já foram encontradas milhares de senhas em poder de um único criminoso, que apenas as mantinha em seu poder como se fosse um "colecionador".
Outros casos envolvem prestadores de serviços na rede, como os provedores de informações e serviços de e-mail, por exemplo. Os provedores de informações sofrem com as tentativas de alteração de suas páginas, envios de e-mails falsos, clonagem de sites, informações truncadas e dispersas, usuários fictícios, etc. Os novos sites de e-business tornam-se atrativos para roubos e vandalismo eletrônico. Alguns dos tipos mais comuns de ataques são:
Alteração de domínios
Consiste na troca de endereçamento real de determinados domínios da Internet. Ao digitar, por exemplo, www.banco.com, um possível cliente do "Banco" é encaminhado para outro site, que não o original, porque algum criminoso alterou o endereço final de acesso. Desta forma, se o site for "clonado", o usuário poderá digitar informações e fornecer dados sigilosos, que estarão de posse dos detentores desta cópia.
Este mecanismo já foi utilizado para cópia de sites de acesso a bancos, órgãos públicos e serviços de mídia, levando usuários à confusão e causando transtornos para os reais detentores. Em 1997 ocorreu a distribuição na rede de uma tabela de tradução de domínios (serviço DNS) que continha erros. Apenas este dano involuntário ocasionou indisponibilidade e grandes problemas no uso da Internet, sendo que seu impacto foi sentido por dias (muitos servidores são atualizados automaticamente, sem intervenção humana, e passaram a falhar, então).
Cavalos de Tróia (Trojan Horse)
Idêntico ao fato enunciado pelos contos épicos, estes arquivos - geralmente executáveis - têm um nome, uma hipotética identidade, mas realizam outras atividades. Entre as características, temos programas que, enquanto exibem informações ou animações vão, em paralelo, destruindo os seus arquivos em disco rígido, outros apagam arquivos com algumas extensões e assim por diante.
O problema com estes arquivos malignos é o fato de, com sua identificação falsa, iludirem aos usuários, pois têm nomes divertidos ou relativos a fatos recentes, que enganam os que os recebem, fazendo-os não só serem infectados, mas participarem involuntariamente do processo de distribuição dos mesmos, que se replicam de forma automática.
Com a popularização da Internet banda larga, cada vez mais usuários ficam com a Internet ativa durante todo o tempo em que o micro está ligado. Mesmo que você não esteja de fato acessando a Internet, o micro está conectado. Com isso, esse tipo de usuário tende a estar mais preocupado com invasões do que os usuários que acessam a Internet através da linha telefônica e dos usuários que não têm acesso a Internet.
Para início de conversa é preciso deixar claro que um hacker só tem como invadir o seu micro se você "deixar". Por exemplo, um hacker só pode invadir o seu micro usando um backdoor ("porta dos fundos") como o Netbus e o Back Orifice se você tiver um programa desse tipo instalado no micro. Esse tipo de programa transforma seu micro em um servidor, fazendo com que qualquer pessoa no mundo possa invadir o seu micro e ler seus arquivos (com a ferramenta adequada, é claro). Mas quem é maluco de instalar um programa desse tipo no micro? Ninguém, é claro. Eles normalmente vêm no formato de "Cavalo de Tróia", isto é, disfarçados como uma proteção de telas bacana que um amigo (amigo?) te enviou. Por sorte, todos os antivírus atualmente reconhecem e removem esse tipo de programa, daí a importância de se manter um antivírus atualizado no micro.
Atualmente os Cavalos de Tróia são propagados através de falsos e-mails oriundos de supostas instituições bancárias ou financeiras. Por exemplo, se você possui uma conta corrente no Banco do Brasil e receber um falso e-mail dizendo que você precisa atualizar seus dados cadastrais e junto com o e-mail um link para que tal atualização possa ser feita, é muito provável que você clique no link ou inclusive instale o programa que possa vir em anexo no falso e-mail. NÃO FAÇA ISSO! Este link ou o programa em anexo irá roubar suas senhas e dados bancários! Essa técnica, também conhecida com phishing, está se tornando cada vez mais popular.
Por isso, o conselho é: Não clique em links ou instale programas contidos em e-mails que você desconhece o remetente. É cada vez maior o número de pessoas inescrupulosas que se utilizam da técnica de phishing para enviar e-mails dizendo que a pessoa que você ama acaba de te mandar um cartão e para ler a mensagem de amor você deve clicar em um link. Não seja tolo, não caia nessa! Não clique no link! Isso é um Cavalo de Tróia.
Compartilhamento de Arquivos
Parece incrível, mas mesmo hoje em dia, muita gente ainda esquece o compartilhamento de arquivos e impressoras habilitado. Isto é uma falha de segurança incrível, mesmo que todos os compartilhamentos estejam protegidos por senha. Já existem cracks que permitem quebrar as senhas de compartilhamento rapidamente. Mesmo que você tenha uma rede doméstica e precise manter estes recursos ativos na rede interna, não existe desculpa para mantê-los ativos também na conexão com a Internet.
Se o seu computador de casa ou do escritório não estiver conectado a uma rede, o compartilhamento de arquivos deve ser desabilitado, caso contrário qualquer hacker pode facilmente ler, modificar, ou até mesmo apagar todos seus arquivos armazenados em unidades que estiverem com o compartilhamento habilitado. Para verificar e desabilitar o compartilhamento de arquivos, vá até o Painel de Controle, clique no ícone Redes e Conexões de Internet (ou Conexões de Rede, dependendo da forma como o seu Windows estiver configurado), selecione seu conexão de rede e clique sobre ela com o botão direito do mouse, selecionando a opção Propriedades do menu que aparecerá. Desmarque a caixa Compartilhamento de arquivos e impressoras para redes Microsoft. Isso fará com que o compartilhamento de arquivos seja desabilitado evitando que o seu computador seja invadido.
Se você tiver mais de um computador em casa ou no escritório ligados em rede, provavelmente precisará deixar o compartilhamento de arquivos habilitado, já que o objetivo principal de uma rede é compartilhar arquivos e recursos. Nesse caso, você deverá utilizar outras opções de segurança dependendo da forma como sua conexão com a Internet está compartilhada.
Se a sua conexão com a Internet estiver sendo compartilhada através de um roteador – que é um pequeno dispositivo onde você conecta o modem e os computadores que você quer que acessem a Internet, e que geralmente vem com quatro portas de rede - você é um felizardo. Esses roteadores domésticos agem como Firewalls e impedem que arquivos e pastas sejam acessados. Nesse caso, você pode compartilhar seus arquivos em uma rede sem se preocupar com invasões através do método do compartilhamento de arquivos.
Mas se você não usa um roteador, deve tomar alguns cuidados. Nesse caso, é provável que o computador que possui a conexão com a Internet tenha uma segunda placa de rede conectando esse computador aos demais -geralmente através de um cabo cross-over, ou através de um hub ou switch, para compartilhar a conexão com a Internet com mais de um computador. Nesse caso, o computador que possui a conexão com a Internet está vulnerável, já que todos os computadores na Internet podem acessar seus arquivos caso o compartilhamento esteja habilitado!
Para isso existem algumas soluções. A melhor é comprar um roteador. Como comentamos anteriormente, o roteador age como Firewall, protegendo toda a sua rede. A instalação do roteador é muito simples. O que você deve fazer é conectar o modem na porta ethernet do roteador chamada WAN, Broadband ou similar, e conectar os micros da sua rede nas demais portas ethernet do roteador. Caso você precise de mais portas –já que a maioria dos roteadores possuem apenas quatro portas- compre um switch com o número de portas desejadas e conecte-o ao roteador através de umas das portas ethernet disponíveis. Nesse caso, o switch agirá como um “expansor de portas”. Alguns roteadores vêm com antena wireless para compartilhar sua conexão com a Internet com notebooks e computadores com rede sem fio. Clique aqui para mais informações sobre segurança em redes wireless.
Mas se você estiver sem grana para comprar um roteador, você pode simplesmente desabilitar o compartilhamento de arquivos do computador que tem a conexão com a Internet. Mas, e se você precisar acessar os arquivos armazenados nesse computador? Existem duas soluções: Primeiro, você pode copiar todos os arquivos que devem ser compartilhados para um outro computador e habilitar o compartilhamento nesse computador. Ou você pode também instalar o modem em outro computador que não precisar ter o compartilhamento de arquivos ativado.
Você pode está pensando porque é seguro habilitar o compartilhamento de arquivos no computador que não tem o modem instalado. O que acontece é que normalmente o computador com o modem instalado recebe um endereço IP público. Um computador com um endereço IP público pode ser visto por qualquer pessoa na Internet. Os outros computadores, por outro lado, recebem um endereço IP “mágico” (geralmente 192.168.x.x ou 10.x.x.x, por exemplo), que são endereços IP não roteáveis, funcionando apenas na rede local. Computadores com um endereço IP mágico não podem ser acessados através da Internet, por isso eles estão protegidos contra vários tipos de ataques inclusive o de compartilhamento de arquivos. Não esqueça que existem muitas outras técnicas utilizadas pelos hackers, como a phishing.
Firewalls pessoais também são uma ótima idéia. Se você usa o Windows XP, instale o Service Pack 2 (SP2), pois ele vem com o Windows Firewall, um programa que evita que pragas virtuais acessem o seu computador e também bloqueia Cavalos de Tróia que estejam tentando roubar informações do seu computador.
Uma outra ameaça são os spywares e malwares. Existem vários programas que podem detectar e remover essas pragas. O novo AntiSpyware da Microsoft é uma ótima opção.
Roubos de senha
Os terminais de vídeo e as estações conectadas em rede habitualmente possuem um pequeno programa, por vezes chamado de "monitor" que permite um nível limitado de programação - para, por exemplo, utilizar recursos gráficos de tela, como vídeos reversos, piscantes, brilhantes, etc. Um recurso eletrônico utilizado para acesso indevido às senhas e códigos de usuários (pode ser, por exemplo um número de conta bancária ou de cartão de crédito) é desenvolver e instalar ali um programa que simule o processo de "login" em uma rede.
Uma vez em execução, este programa irá permitir ao seu proprietário, conhecer todas as entradas emitidas pelo usuário, "abrindo" a identificação digitada, capacitando-o a usá-la posteriormente. Já presenciamos o uso de funções de suporte deste programa monitor em terminais de vídeo, que ao serem ativadas, emitiam os códigos hexadecimais dos caracteres digitados em tela. Ao invasor bastava traduzir os códigos, usando uma simples tabela de transcrição, e ter acesso aos dígitos informados, passando a poder se "logar" como aquele usuário.
Este tipo de ação deu origem a tipos de vírus e "vermes" que capturam códigos e senhas em redes e em sistemas multiusuário, "quebrando" a segurança dos mesmos, liberando estas informações aos invasores.
Ddos - Denial of Service
Verdadeiro "sucesso" de ataques no início do ano 2000, estes crimes consistiram na replicação de um programa que encaminharia requisições a sites de comércio eletrônico e prestação de serviços ininterruptamente, assim que ativados. Estas cópias ficaram armazenadas em instalações às quais os atacantes tiveram possibilidade de invadir.
Uma vez "chegada a hora", os requisitores de serviços (como, por exemplo, chamadas de servidores de e-mail), iniciavam um processo sistemático de requisição, chegando, no total, a encaminhar centenas de milhares de solicitações a um mesmo endereço. Ao alocar, continuamente, recursos para o atendimento às requisições encaminhadas, o site de serviços acabava por não conseguir atender a demanda pela simples exaustão de capacidade, pela falta de recursos de memória e banda. As demais requisições - muitas delas verdadeiras - não podiam, portanto, ser atendidas.
Alguns destes sites passaram horas indisponíveis, o que fez a contabilização de centenas de milhares de dólares em perspectivas de negócios não realizados. Ocorre, portanto, o impedimento ao uso dos serviços. Existem algumas variações deste tipo de dano, tendo como alvo instalações de difusão de sinais de áudio e vídeo, servidores de FTP e WWW.
Invasões de Sites (Backdoor)
Funciona ao instalar num computador conectado a uma rede um programa cliente que permite a um programa servidor utilizar esta máquina sem restrições. Estes programas foram desenvolvidos originariamente para tele-atendimento, útil função onde um profissional de suporte controla a máquina de um usuário visando esclarecer uma dúvida, ou verificar um problema operacional qualquer.
Algumas alterações maliciosas e este programa foi colocado a serviço "do mal", pois como um programa cliente permite abrir, durante uma conexão Internet, uma "porta traseira" de acesso (backdoor) na estação usuária, habilitando o invasor a controlar a máquina completamente - eliminando, copiando e criando arquivos, impedindo o uso de periféricos, avariando o acesso à determinados serviços, tendo acesso à acervos e informações sigilosas, etc.
Alguns destes programas atingiram níveis perigosos de sofisticação e foram utilizados para ataques a grandes instalações. A exemplo dos vírus, o mecanismo de "abertura" de portas acha-se atualmente incorporado em diversos ataques de vírus e de invasões, sendo agora um mecanismo agregado a estas invasões, para que o atacante consiga acesso às informações do computador invadido.
Sugador de pacotes ("Packet Sniffer")
Programas e agentes (programas diminutos, que rodam em ambientes de pequeno porte e em redes, com poucos recursos), capturam "pacotes" TCP/IP transmitidos em redes, interceptando-os. Neste momento, cópias destes podem ser feitos, partes de transmissões serem interceptadas e eliminadas, impedindo a comunicação, etc.
Teoricamente, estes programas permitiriam que informações encaminhadas na Internet ou em redes diversas, pudessem ser clonadas, copiadas e destruídas. O princípio também foi retirado de programas de suporte e auxílio ao usuário, levando a criar outra ferramenta de destruição de serviços.
Enchentes ("Flood")
É um tipo de ataque Ddos, que objetiva solicitar todas as requisições disponíveis em um servidor, levando-o a não conseguir mais absorver o fluxo advindo dos usuários normais. O termo SYNFlood vem sendo aplicado ao tipo de ataque que envolve a manipulação dos sinais de sincronismo (chamados de SYN) no início do estabelecimento de uma conexão TCP/IP.
Desta forma, a estação ficaria "em suspenso" aguardando uma mensagem de reconhecimento de conexão, que jamais chegará. Com muitas "esperas" deste tipo, um novo atendimento torna-se impossível ou a velocidade de atendimento normal cai para tempos inaceitáveis.
"IP Spoofing"
Assusta saber que este tipo de serviço é disponibilizado em sites da Internet com propagandas e links diversos, como se fora um site comercial. Este recurso objetiva que o número de IP de máquina conectada à rede não possa ser identificado. Desta forma, muitos dos serviços de segurança disponíveis deixam de funcionar, incluindo os "rastreamentos" que permitem a identificação de segurança das fontes de origem de ataques.
Nas páginas consultadas, obviamente não incluídas, surpreendeu a existência de versões para sistemas operacionais diversos, informações do uso e patrocínio do uso dos "softwares" sendo oferecidos. A tese de que se destinariam a pesquisas, experimentos ou outras funções mais nobres não procede, uma vez que, geralmente, as próprias páginas recomendavam seu uso maligno.
"Ping da Morte" (Ping of Death)
Recurso que consiste no envio de pacotes TCP/IP de tamanho inválidos para servidores, levando-os ao travamento ou impedimento de trabalho. Este recurso foi muito utilizado no início dos provimentos Internet no Brasil, para o impedimento de serviços. Atualmente são bloqueados por boa parte dos sistemas básicos de segurança.
Exploração de "furos" em sistemas, servidores e clientes
Não param de ocorrer casos e informações (verídicas, em sua maioria, posto que são reconhecidas pelos fornecedores) sobre mau funcionamento de programas deste tipo, que podem permitir aos invasores que atuem da forma como quiserem.
Tomamos conhecimento, recentemente, de um caso onde um invasor aproveitou-se de um "furo" (mau funcionamento) de um servidor de impressão de um sistema Unix, que havia sido informado num arquivo de atualização, em versão posterior. O atacante pôs-se a procurar um sistema que funcionasse à base daquela versão do Unix, conseguindo encontrá-la após alguma pesquisa. O "furo" consistia numa operação inválida que o permitia ter acesso a funções privativas do sistema operacional, ao alcance do super-usuário.
De posse destas funções, sucessivamente, instalou ali um servidor de "chat" que visava atender - às custas do processamento em máquina alheia - às suas conversas com amigos. O servidor, após muitos problemas de atendimento aos seus reais usuários, foi recuperado com a eliminação do programa de "chat", reinstalado em seqüência pelo invasor. Na segunda desinstalação, este aproveitou novo acesso à máquina conectada para destruir arquivos e avariar a instalação do sistema de forma irrecuperável, levando à parada do sistema e conseqüentes prejuízos.
Vemos, noticiado na imprensa, constantemente que a versão X do servidor ou cliente Y, possui uma falha de segurança - através da qual um atacante ou invasor poderia se servir para perpetrar seus crimes - reconhecida pelo fabricante, que já teria disponibilizado sua correção em seu site. Este tipo de comportamento não deve ser visto como habitual, as questões de violação de segurança são críticas e como tais devem ser relevadas.
Teste sua segurança
Você pode fazer um teste rápido, para verificar como está a segurança do seu sistema, acesse o http://grc.com/default.htm e clique no "Shields UP!". Estão disponíveis dois testes, "Test my shields" e "Probe my ports". No primeiro a ferramenta tentará se conectar ao seu sistema e na segunda o vasculhará em busca de portas abertas.
Se você estiver usando algum programa de firewall, desabilite-o momentaneamente, juntamente com qualquer programa servidor (FTP server, servidor de e-mail, proxy, etc), ou de compartilhamento de arquivos (Audiogalaxy, Gnutella...) que esteja habilitado. Se quiser, pode refazer o teste depois com tudo habilitado, mas no momento queremos testar como ficou a segurança do seu Windows, sem nenhuma camada extra.
Depois das alterações, você deverá receber duas telas como estas ao fazer os testes, indicando que o sistema não foi capaz de encontrar nenhuma vulnerabilidade no seu PC:

Obs: As portas reconhecidas como "Stealth", são portas que estão sendo bloqueadas pelo firewall do seu provedor. Ou seja, são 100% seguras, já que numa requisição chegará à sua máquina através delas. Se você estiver usando o Speedy por exemplo, terá várias portas "Stealth".
Este teste serve apenas para detectar alguma brecha mais gritante no seu sistema. Só para constar, este teste rápido acusa três portas abertas numa instalação default de um Windows 2000. Pelo menos estas já conseguimos fechar.
Não se iluda por que seu PC passou nos testes, como disse, este teste só detecta algumas brechas óbvias de segurança, não garante que o seu sistema está realmente seguro. Afinal, só o fato de trancar a porta garante que o seu carro não seja roubado?
Se, por outro lado, o teste apontou alguma porta aberta no seu PC, significa que, ou você esqueceu algum dos programas de compartilhamento de arquivos ou algum servidor de FTP por exemplo habilitado, neste caso é normal que ele indique que a porta usada pelo programa está aberta, ou então que, realmente, você tem algum trojam instalado no seu micro. Lembra-se das dicas de não abrir arquivos ataxados nos mails e manter um antivírus instalado? Esta na hora de começar a colocá-las realmente em prática.
O bom e velho firewall
Para ter realmente alguma segurança, além de antivírus, spywares, correções de segurança e outras medidas preventivas, não há nada melhor que um bom programa de firewall. Ele garantirá um nível de segurança adicional monitorando as portas do seu sistema, bloqueando tentativas de acesso não autorizadas, dizendo quais programas estão acessando a internet, etc.
Se você ainda não tem um firewall de confiança, eu recomendamos começar pelo Zone Alarm, que é fácil de configurar e gratuíto. você pode baixa-lo em aqui.
O Zone perguntará cada vez que um programa tentar acessar a internet. Marque a opção "Remember this answer the next time I use this program" para os programas mais comuns, para que ele não fique incomodando ao repetir a mesma pergunta toda hora.

Existem duas telas de alerta do zone alarm, a primeira, significa que o programa está tentando apenas fazer uma acesso normal à Internet, como cliente, apenas tentando acessar uma página, receber uma mensagem, etc. Isto não chega a ser muito preocupante. Mas, que tal um segundo aviso, como o que está abaixo:

Um programa tentando atuar como servidor é um pouco mais preocupante. pois significa que ele está enviando algum tipo de informação. Se for o servidor de FTP que você está usando para compartilhar arquivos com alguns amigos, nada demais, mas o que dizer de um programinha como o ICQ exigindo direitos de servidor? Hum... o que será que ele pretende fazer? Enviar informações sobre os seus hábitos de navegação para o servidor da AOL? Bem, neste caso a escolha é sua. O ICQ por exemplo funciona perfeitamente se você negar os direitos de servidor, mas dar permissão para acessar a Internet.