blog WebCalc

Tecnologias do Mal

As mesmas tecnologias que possibilitam o aumento da produtividade, que torna o mundo menor, conectando as pessoas à velocidade da luz, literalmente, que promove o acesso, sem precedentes na história, ao vasto acervo de conhecimento acumulado pela humanidade, que torna possível o aumento da expectativa de vida das pessoas, entre tantas outras coisas fantásticas, é usada de forma negativa nas mãos de pessoas inescrupulosas. Infelizmente, é um fato incontestável, a tecnologia em si não tem valores morais ou éticos. São as pessoas que dela fazem uso que determinam o valor de sua aplicação.
Um neologismo define bem o uso inescrupuloso e mal intencionado da tecnologia: Malware. Palavra oriunda do termo “Malicious Software“, é utilizada para definir qualquer programa de computador desenvolvido com o objetivo de causar danos, qualquer que seja a sua forma, a um computador, a um servidor ou a uma rede de computadores. Os vírus, os “cavalos de tróia”, os “worms“, os “spywares“, são todos enquadrados como “Malware“.

No entanto, o objetivo desse artigo não é descrever os “Softwares Mal-intencionados” de forma geral (Para mais detalhes sobre o assunto listo alguns links no final do artigo). A minha intenção é dar um testemunho de como me tornei vítima de um desses programas maliciosos e levantar alguns pontos para reflexão, além dos velhos conselhos de quem decidiu trancar a porta depois de roubado!

Como todos que usam a Internet com frequência, estou acostumado a receber recomendações de segurança de todos os tipos, desde como evitar “malwares” enviados através de e-mail a sempre minimizar a janela do navegador antes de digitar a senha de acesso ao site do banco, passando pela necessidade de atualização frequente do antivírus e pelo perigo representado pelos sites ou softwares de “chat” e troca de arquivos.

Sabemos que todas essas recomendações têm o seu valor e são, portanto, justificáveis. Mas sabemos todos, também, (com exceção dos solteirões que moram sozinhos, não viajam e nem se comunicam através da Internet) que é virtualmente impossível seguir a risca todas as recomendações de segurança, por mais lógicas e sensatas que sejam! Vejamos, como exemplo, o meu caso: tenho três computadores que utilizo com frequência, dois em casa e um laptop que uso no trabalho. Tenho, também, esposa e três filhos(as), todos “internautas típicos”: usuários assíduos do MSN Messenger, Skype, programas P2P para troca de mp3, programas de e-mail, enfim toda espécie de programas “perigosos” não recomendáveis. Com exceção do laptop, usado apenas por mim (até agora!!), todos usam todos os computadores, nas contas de usuário de todos. Que exemplo de integração familiar! Diriam os psicólogos. Que exemplo de bagunça e mau uso de computadores! Diriam os especialistas em segurança da informação. Já desisti de tentar conscientizar a turma sobre os monstros que nos rodeiam, tentando penetrar nas entranhas dos nossos computadores e roubar todas as nossas informações mais secretas, como por exemplo a senha de acesso à nossa conta do banco! Digo eu e, acredito, a maioria de vocês.

Um certo dia, não faz muito tempo, recebo a ligação de um funcionário do Banco do Brasil perguntando se eu tinha feito um empréstimo automático e realizado uma transferência para um banco em Brasília. Respondi que não, sem pestanejar. Pois, para Brasília a única transferência financeira que faço, involuntariamente, são os inúmeros impostos que pago, para alimentar a “farra federal” (e estadual e municipal)! A minha senha foi, então, imediatamente bloqueada. Indo ao banco constatei que havia sido desviada uma quantia significativa de minha conta. Mas, constatei também a eficiência do Banco do Brasil em detectar uma movimentação bancária atípica, reconhecer a fraude e restituir o valor roubado. Esse é um excelente exemplo do uso da tecnologia para o bem comum.

Claro que culpei a turma lá de casa por ter quebrado as regra de ouro da segurança, permitindo a um bandido virtual se apoderar das minhas senhas e dados bancários. Afinal de contas eu, um experiente usuário e desenvolvedor da Web não teria sido vítima desse tipo de golpe tecnológico! Mas, refletindo sobre o último acesso que fiz à conta, lembrei que um detalhe tinha me chamado a atenção: após digitar a senha de acesso (de oito dígitos) no teclado virtual da página do banco apareceu uma tela solicitando a senha usada para as transações bancárias (de seis dígitos), informando que era um procedimento adicional de segurança!!! Eu havia caído como um pato no conto do vigário. Não me dei conta que o banco jamais pediria as duas senhas para o acesso ao serviço. Chegando em casa corri para o computador e acessei a página do teclado virtual do Banco do Brasil. Uma rápida olhada atenta e percebi o golpe! Um teclado virtual falso estava “flutuando” à frente do teclado virtual real. Minimizando a janela do navegador ele também era minimizado e fechando a janela ele também desaparecia. Mas, rolando a página ele permanecia estático, o que permitia vislumbrar parte do teclado real. A seguir descrevo, com a ajuda de imagens capturadas do meu computador, as características do teclado virtual falso:

1- As figuras abaixo mostram o teclado virtual falso e o verdadeiro. Uma olhada mais atenta na primeira figura e percebemos uma falha de sobreposição na parte inferior após uma pequena rolagem da página (destacada com bordas vermelhas)

2- A figura abaixo mostra o segundo teclado virtual falso, solicitando a senha de seis dígitos. Uma olhada mais atenta e percebemos parte do teclado real na parte inferior (destacada com bordas vermelhas). O banco JAMAIS pediria essa segunda senha!!

3- As figuras abaixo mostram outra característica dos teclados virtuais falsos (destacados com bordas vermelhas): se for acessada qualquer outra página eles permanecem “flutuando” na janela do navegador.

4- As figuras abaixo mostram parte do teclado verdadeiro aparecendo por trás dos teclados falsos, após rolagem lateral da página.

Depois do susto comecei a refletir sobre o uso da Internet em transações bancárias e comerciais. Poder consultar sua conta de qualquer lugar e realizar compras sem sair de casa, são maravilhas viabilizadas pela Web. Mas, é possível usufruir desse luxo sem por em risco as suas “suadas” economias?

Tentarei a seguir tecer algumas considerações sobre a segurança na Internet, tendo como base a premissa de que dois aspectos da rede mundial de computadores são fundamentais para a sua existência:
a) O seu revolucionário poder de viabilizar a comunicação entre as pessoas, sem as barreiras da distância e das fronteiras, e
b) A capacidade de se acessar tudo de qualquer lugar, interativamente.

Sem essas propriedades amplamente asseguradas, a Internet, na minha modesta opinião, perderá o seu poder revolucionário e se esvaziará.

A grande maioria das políticas e técnicas de segurança desenvolvidas até agora se concentram em evitar a “infecção” ou invasão do computador, ou detectar e remover o “malware” que conseguiu ultrapassar as barreiras de segurança. Apesar do grande esforço que representam e do relativo sucesso, principalmente nas redes corporativas, essa abordagem não protegem os milhões de computadores pessoais conectados diariamente na Internet e utilizando as centenas de programas de comunicação e interatividade, fazendo download de tudo que oferece uma experiência interessante ao usuário e realizando bilhões de dólares em transações comerciais.

Como proteger esses computadores das centenas de programas mal-intencionados, alguns deles incorporados em programas legais, desenvolvidos com uma frequência muito maior do que os desenvolvedores de antivírus são capazes de decodificá-los?

Infelizmente esse quadro leva as empresas, entre elas os bancos, a utilizar estratégias e técnicas que, apesar de desenvolvidas com seriedade e buscando a proteção dos clientes, são cada vez mais restritivas, apontando na direção contrária aos principais valores do amplo uso da Internet. “Acessar tudo de qualquer lugar” é, para mim, o maior valor da rede. Gostaria de poder acessar, com segurança, a minha conta bancária de qualquer lugar, seja da minha casa, de um Business Center de um hotel ou de um Ciber Café de uma livraria. Utopia? Talvez…

Gostaria de ver mais esforço dos especialistas em segurança da informação, no desenvolvimento de técnicas que partam do princípio de que é praticamente impossível evitar a intrusão de, por exemplo, um programa que se camufla de teclado virtual, elaborado por um adolescente inteligente e ganancioso, numa pequena cidade do interior do Brasil.

A criação dos teclados virtuais, amplamente utilizados atualmente, foi fruto de um esforço neste sentido: os programas de “escuta” de teclas não são capazes de detectar os cliques nas teclas virtuais. Quem sabe com um pouco mais de esforço e uso inteligente da “tecnologia do bem”, a minha “utopia” seja viável…!

Algumas dicas velhas e eficientes, que desprezei e me dei mal:
- Dar uma olhada de vez em quando nas páginas sobre segurança do site do seu banco. Eles estão sempre atualizando o conteúdo;
- Antes de acessar a conta do banco, digite uma senha falsa no teclado virtual, se a página do banco retornar uma mensagem informando que a senha (ou os dados) está incorreta, é praticamente certo que o teclado virtual é autêntico. Caso contrário, feche a página e entre em contato com o banco; e
- Jamais (Jamais mesmo!!), após entrar com a senha de acesso ao serviço Internet do banco, digite qualquer outra senha antes de realmente ter acessado a página da sua conta e ter efetuado uma transação.

Como “provocação” desenvolvi um pequeno aplicativo Web, acessado da barra de “Links” ou do menu “Favoritos” do navegador, que tem como objetivos:
1- Verificar se a página que contem o teclado virtual é a página legítima do banco; e
2- Modificar visualmente o teclado virtual verdadeiro da página “validada”, permitindo o usuário detectar a presença de um eventual teclado virtual falso se sobrepondo ao verdadeiro.
Algumas notas sobre o aplicativo Verificador de Teclados:
- Trata-se de um aplicativo em fase de teste, desenvolvido no sentido de verificar a viabilidade dessa abordagem
- O usuário é única e exclusivamente responsável pelo uso do aplicativo, estando ciente de que a validação realizada não é totalmente garantida, devendo seguir, portanto, os procedimentos de segurança recomendados pelo seu banco
- Disponível apenas para Internet Explorer 6 e para os teclados virtuais do Banco do Brasil e do Banco Real

Clique aqui para acessar a página de instalação do “Verificador de Teclados (Versão Beta)”

Sites Recomendados:
Banco do Brasil
Banco Real
Microsoft Technet
Microsoft Brasil
Wikipédia (Português)
Wikipédia (Inglês)