High Quality
Open the downloaded document, and select print from the file menu (PDF reader required).
A EVOLUÇÃO DO MALWARE E O QUE VOCÊ PODE FAZER CONTRA ISTO
por Eduardo Vianna de Camargo Neves em 12 de junho de 2008
Já tem algumas semanas que uma notícia curiosa foi publicada em vários meios decomunicação: o juiz Mário Jambo, da 2ª Vara Criminal da Justiça Federal do Rio Grande doNorte, concedeu
habeas corpus
a três
crackers
presos pela Polícia Federal. A liberdadeprovisória determina que eles leiam obras clássicas, façam um resumo para cada livro, sematriculem e frequentem assiduamente uma escola, além de estarem proibidos de usarcomputadores.Não consegui encontrar dados suficientes para entender porque o juiz em questão tomouuma decisão tão curiosa, que me parece bastante adequada para adolescentes que forampegos fazendo alguma bobagem. Tendo em vista que eles foram presos durante a OperaçãoColossus, cujo objetivo era desarticular uma quadrilha especializada em furto de senhas decorrentistas de bancos e falsificação de cartões de crédito, a decisão me parece maisirresponsável do que curiosa. Prefiro pensar que o juiz em questão não estava beminformado sobre o impacto que o
malware
tem causado para a sociedade e como amotivação criminosa há muito já substituiu a pura curiosidade intelectual de quem praticaestes atos. Afirmo isto com base em várias pesquisas que circularam recentemente, tais como oBoletim de Segurança 2007 daKaspersky Labs e os documentos publicados peloPanda
Labs.Ambos são unânimes em demonstrar que essa tendência ganhou força em 2007 e nãoparece mudar nos próximos anos. O motivador dos eventos que envolvem quebra desegurança é o mesmo:
cybercrime
.
O volume das perdas
Os números são bastante relevantes. Além dos resultados da
12th Computer Crime andSecurity Survey
publicada este ano peloCSI mostrarem que a perda média anual das
empresas participantes com
cybercrime
passou de US$ 168 mil para mais de US$ 350 mil,somente nos EUA as projeções para 2007 passam de US$ 105 bilhões. O grande problemade se calcular com mais precisão o quanto é perdido com o crime virtual está nacapilarização dos ataques e na grande diferença utilizada pelas autoridades para calcular aestatística referente. Mas que é um valor elevado e que cresce anualmente, isto é um fato.
CAMARGO NEVES RMSA EVOLUÇÃO DO MALWARE E O QUE VOCÊ PODE FAZER CONTRA ISTO PÁGINA 2
A pesquisa do CSI fala em um total de quase US$ 67 milhões, e eu não consegui achar emnenhum lugar o volume de perdas colaterais. Mas imagine o custo envolvido somente emduas situações comuns à maioria das pessoas que usam a Internet como canal de acesso aserviços e produtos:
Se você vai comprar um produto em uma loja on-line, que passa por um
risk assessment
regular, têm ferramentas de segurança implementadas e uma equipe de resposta aincidentes, quem será que vai pagar este custo?
Sua conta bancária está protegida por criptografia em vários sistemas, o acesso aoInternet Banking requer um cartão de códigos variáveis, no
back office
existemprocessos de
Intrusion Detection Systems
, quem será que vai pagar este custo?Como você já deve ter imaginado, o custo com a proteção é repassada para o cliente, assimcomo a alta do trigo aumentou o preço do pão que você come no café da manhã. Estecusto, caro leitor, é impossível de ser calculado e certamente ultrapassa em muito osvalores estimados pelas pesquisas disponíveis. No final das contas, a verdade é que oaumento do
malware
e o direcionamento para o
cybercrime
incrementa a demanda porproteção, onera as empresas e este custo passa a fazer parte da composição de preços devários segmentos. E como podemos reduzir o impacto deste problema em nossos bolsos?
A solução é a responsabilidade direcionada para a Segurança da Informação?
De forma alguma. O aumento dos casos, abrangência dos ataques e interesse criminoso éuma evolução natural do mercado, uma vez que o e-commerce e outros setores que fazemuso intenso de tecnologia crescem a taxas incríveis, e dois componentes se mantêm:empresas que não consideram segurança como parte dos seus negócios e profissionais quedesconhecem as boas práticas em suas atividades.Falando das empresas, minha experiência mostrou uma coisa: as empresas estãointeressadas em resultados imediatos e em como isto pode reverter em benefício delas. Atéaí, nada demais, pura lei da sobrevivência. O problema é que até hoje a segurança é vistacomo um gargalo nos projetos de TI, e dificilmente como parte integrante do processo.Sempre que existe um custo ou um esforço da equipe em implementar os processos desegurança em um projeto, a cara feia do gerente de projeto e a reação imediata de tentarreduzir ambos, mostra que o desconhecimento ainda é uma constante.Se onde você trabalha não é assim, parabéns, a sua empresa é uma das poucas que já estãocom um nível de conscientização elevado, mas levando em consideração a pesquisa do CSOno mercado norte-americano (com o qual o nosso regula bastante), onde menos de 1% dasempresas participantes vão investir mais do que 22% do orçamento em segurança emconscientização, esta encrenca está longe de terminar.
CAMARGO NEVES RMSA EVOLUÇÃO DO MALWARE E O QUE VOCÊ PODE FAZER CONTRA ISTO PÁGINA 3
Da parte dos profissionais, além do resultado citado no parágrafo anterior também incluí-los, existe uma resistência incrível em adotar processos simples de segurança por parte daspessoas.E pelo que está apresentado no relatório
Gartner's Top Predictions for IT Organizations andUsers, 2008 and Beyond: Going Green and Self-Healing
, isto vai piorar se não tomarmos umaatitude agora. De acordo com este documento, as empresas estão tomando suas decisõesrelacionadas a estratégia de TI cada vez mais com base no que os consumidores
–
ouclientes
–
querem.E como boa parte dos CEOs e CIOs tomam decisões com base em documentos deste tipo, a
recomendação do Gartner de “Estabelecer iniciativas de comunicação e colaboração entre
os usuários e os tomadores de decisão em TI quando selecionarem novas tecnologias e
serviços” deve ser entendida como um motivador para mudar a
postura, e mudar agora.
Quanto custa combater o malware?
Além dos passos básicos de instalar ferramentas de segurança adequadas a cada ambiente
–
muitas das quais
Open Source
e de excelente qualidade
–
existem documentos públicosque devem ser usados por qualquer empresa como parte de seus processos de negócio, enão de TI ou Segurança da Informação. O
é umexcelente começo. São projetos, ferramentas e guias de implementação que estãodisponíveis a distância de um clique de mouse.O OWASP Top 10 mostra as vulnerabilidades mais comuns em web site, e para cada, mostracomo o processo de proteção deve ser conduzido. Ferramentas aplicáveis a qualquerambiente que tenha
frameworks
baseados em J2EE, .NET, LAMP,
Cold Fusion
,
Struts
,
WebServices
, IIS,
WebSphere
,
WebLogic
ou
Tomcat
têm guias de proteção já publicados e podemser usadas por pessoas que tenham conhecimento técnico das tecnologias, e nãonecessariamente de segurança.E se o problema for na parte processual, o NIST tem disponíveis mais de 100 documentos
que cobrem desde a configuração de servidores até o estabelecimento de um programa demétricas. Basta ler e usar as instruções, que uma vez colocadas podem ser gerenciadasatravés de metodologias também disponíveis ... de graça. Se o problema é a língua, vocêdeve aprender inglês rapidamente, porque a maioria absoluta dos recursos está nesteidioma. Mas no Brasil temos boas iniciativas também, que tal começar lendo o materialpublicado pelo CERT.BR?Lá você irá encontrar listas de ferramentas, práticas profissionais
e um documento de conscientização excelente, a Cartilha de Segurança para Internetpublicada em http://cartilha.cert.br.
Add a Comment