Programas podem ser usados até por pessoas com pouco conhecimento. Usuários devem atualizar o sistema e os aplicativos para se protegerem.
Engana-se quem pensa que é preciso um grande conhecimento sobre computadores para se aproveitar de vulnerabilidades e invadir sistemas. Na verdade, existem diversas ferramentas e exemplos na internet, semelhantes a “receitas de bolo”, que permitem a quase qualquer um explorar uma falha e obter acesso não-autorizado a outros computadores. Essas ferramentas não são ilegais, porém são úteis nos chamados testes de penetração. A coluna de hoje trata desse assunto.
Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e deixe-a na seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.
Essas “ferramentas hacker” são muitas vezes disponibilizadas de forma avulsa, ou seja, o invasor precisa encontrar um programa específico para a brecha que ele quer explorar. Em outros casos, os exploits -- como são chamados tais softwares no jargão de segurança -- são feitos para trabalhar como “módulos” dentro de outras ferramentas, mais complexas, que permitem maior flexibilidade e facilidade para seu uso e desenvolvimento.
Para especialistas em segurança e técnicos que sabem da existência desses softwares, eles são um constante lembrete de que nenhuma falha de segurança pode ser ignorada, especialmente depois de conhecida publicamente -- o que geralmente significa divulgação na internet.
Até mesmo falhas em servidores de jogos como Medal of Honor e Unreal Tournament podem ser exploradas com poucos cliques. (Foto: Reprodução )
Usuários, por outro lado, muitas vezes pensam: “mesmo que meu sistema seja inseguro, por que ele seria alvo de alguém com tanto conhecimento sobre informática?”. Adotar essa atitude é um erro. Além de existirem milhares de códigos maliciosos que fazem uso de brechas existentes no Windows e em programas populares entre usuários domésticos (como Acrobat, Flash e Office), esses 'exploits' podem ser obtidos e usados por quase qualquer um que tenha um conhecimento mínimo de sistemas e redes. Em grande parte dos casos, não é preciso nenhum conhecimento em programação para se aproveitar de uma falha.
Área cinza
Os aplicativos que exploram essas brechas residem em um campo “cinza” da área de segurança. Eles podem ser claramente utilizados de forma maliciosa, mas também dão a administradores de sistema a capacidade de verificar se seus próprios computadores estão adequadamente protegidos contra falhas de segurança. Por isso, são um exemplo de ferramenta “grey hat” (veja aqui a definição).
Foto: Reprodução
Interface gráfica baseada em web facilita uso da ferramenta e guia o usuário a selecionar o alvo do ataque. (Foto: Reprodução)
Embora esses programas não sejam ilegais na maioria dos países (e há inclusive kits legalmente comercializados), não se pode dizer o mesmo sobre seu uso para fins ilegítimos, como a invasão de sistemas, que é ilegal. O uso correto da ferramenta é o chamado “hacking ético” ou teste de penetração (“pen test”), no qual um especialista é contratado para tentar obter acesso aos sistemas de uma empresa com as mesmas informações e nível de acesso que qualquer outra pessoa poderia obter.
Não é objetivo da coluna criar um “passo a passo” de utilização dessas ferramentas. Isso nem mesmo cabe neste espaço: técnicos e especialistas devem conhecê-las e estudá-las a fundo, enquanto usuários possuem outras maneiras de checar o nível de segurança dos seus sistemas, como por exemplo o Personal Software Inspector, da Secunia, que analisa os programas instalados no PC e informa quais carecem de atualizações que corrigem vulnerabilidades.
Foto: Reprodução
Ferramenta examina sistemas remotos e consegue determinar o sistema operacional e quais softwares de rede estão em execução para facilitar uso de exploits. (Foto: Reprodução)
Para os usuários domésticos, a atualização é sempre o melhor caminho para se proteger de falhas de segurança, sejam elas utilizadas por vírus ou exploits operados por um ser humano.
A coluna de hoje fica por aqui, com o objetivo de ter mostrado como aqueles que tem apenas um pouco mais conhecimento que a maioria podem se passar por “entendidos” aos olhos de quem é apenas desconhece as facilidades disponíveis na rede. A coluna volta na quarta-feira (4) com o pacotão de dúvidas. Até lá!
* Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança para o PC”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página http://twitter.com/g1seguranca.
Fonte : G1 Tecnologia
Postagens
