Dicas para Usar o Linkedin em Segurança

Guest Post sobre Segurança nas Redes Sociais

Vitor Moreira

Enquadramento


Longe vão os tempos em que os vírus, malwares, worms, trojans e essa bicharada toda era feita apenas por diversão. Era uma época, não muito longínqua, em que o objectivo era ser reconhecido num clã muito restrito.

Hoje, estamos perante uma verdade guerra informática (cyberwar) com um conjunto de indivíduos organizados que fundaram o crime organizado na internet. O seu objectivo é principalmente obter dinheiro, mas pode assumir posições religiosas, roubo de informação confidencial, etc. Existem mesmo noticias do desenvolvimento de um malware que controla PLCs (pequenos dispositivos que controlam máquinas industriais), e existe mesmo quem alerte que o objectivo é controlar os dispositivos militares do Irão, nomeadamente as instalações nucleares (http://news.yahoo.com/s/csm/20100921/ts_csm/327178).



A imaginação não pára! Agora são os PDAs que estão na mira (quem tem um, quanta informação valiosa é lá colocada), existem suspeitas que o malware ZEUS que atacou recentemente a comunidade do Linkedin possa infectar o telemóvel com vista a controlar as transacções em é necessário inserir um código (PIN) recebido via SMS. Depois temos o VOIP, quem não gostaria ou seria valioso ouvir determinadas conversas telefónicas. Por falar nisso, o GSM (usado nos telemóveis) é demasiado vulnerável e com relativa facilidade pode-se adquirir um dispositivo para interceptar as conversações. A lista é infindável.

E agora? Que posso fazer?


Antes de mais convém ficar ciente que de que a probabilidade do seu computador ser atacado directamente da internet é ínfima, excepto se for uma pessoa pública ou que tenha acesso a informação privilegiada. Uma empresa sofre ataques diários, que são mais ou menos complexos de acordo com a sua dimensão.



Está na hora de quebrar um mito. Um Hacker não é um bandido, um individuo sem escrúpulos, esses são criminosos. Existem os White Hackers, que seguem as normas do Ethical Hacking e os Black Hackers que são criminosos muito perigosos. Um Hacker é um especialista! Depois temos os chamados “Script Kids” que apenas usam as ferramentas criadas pelos Hackers, são relativamente inofensivos se forem tomadas medidas simples de defesa. Existem ainda os Crackers que normalmente são especialista em retirar as protecções do software comercial para posteriorvenda ou simplesmente, disponibilizá-los publicamente.

Portanto, tenha um firewall, um antivírus, um antispyware, um “anti-tudo”, mas o mais importante é que nada disso é eficaz se o utilizador não for cuidadoso. Corolário: todos os ataques a computadores pessoais necessitam da SUA permissão para serem executadas. Seja clicar num link dum email, seja visitar uma página maliciosa (e acreditem que na generalidade sabem que estão a fazer isso), seja com uma pen infectada, etc. O ataque depende sempre do permissão do utilizador. A esta técnica, que é mais usual, chama-se Engenharia Social e é extremamente eficaz.

Prepare-se


Manter o antivírus actualizado é apenas uma das necessidades e nem sempre a mais importante. Actualizar o sistema na globalidade é muito mais importante – Actualizações do Sistema Operativo, actualizações das aplicações principais (browser, Adobe Reader e Flash Player e na generalidade todos os programas que interagem com a internet, sim o messenger também).



1ª Dica – Desconfie de todos os emails, mesmo os que aparentam virem de pessoas conhecidas.

2ª Dica – Pequenos pormenores, como por exemplo, “ele não costuma escrever desta forma”,

3ª Dica – colocar o cursor sobre o link e verificar se aponta na realidade para o que diz ou sé um endereço completamente diferente (exemplo: www.linkedin.com).

4ª Dica – Verificar a origem do email através do headers (inclui todos os servidores pelos quais a mensagem passou).

5ª Dica – Preste atenção a todas as mensagens que aparecem no ecrã e não click em OK, sem a ler.

Sobre o Linkedin


Considero que é uma plataforma bastante segura na generalidade. Exceptuando uma ou outra vulnerabilidade (problema no sofware que permite infectar o computador do utilizador, se explorada com sucesso) e apenas detectada em ferramentas acessórias, por exemplo, a toolbar para o Internet Explorer, os ataques seguem na sua generalidade as técnicas de engenharia social (veja ataque ao linkedin do malware ZEUS).

Como podem fazer isso?


Na realidade é extremamente simples. Basta criar umas centenas de contas no Linkedin com conteúdo atractivo mas malicioso, afinal os emails podem ser criados em qualquer lado e de forma anónima, ou enviar mensagens para os contactos entretanto angariados (foi assim que o ZEUS se propagou). Se repararem posso colocar no meu perfil até 3 links da minha preferência e como tal posso direccionar quem lá clica para o site que entender.

No entanto, ao contrário de outras comunidades, não é possível escrever código HTML ou javascript numa discussão ou no perfil. Este facto limita bastante os vectores de ataque. Aliás neste momento, eles já nem aparecem nas discussões foram substituídos e bem por “attach links” que mostra imediatamente uma pequena imagem com o conteúdo do site. Provavelmente, gostaria de poder inserir imagens, vídeos, cores e formatos de letra nos posts, mas assim é mais seguro.

Conclusão


O texto já vai demasiado longo e apenas foi abordado a problemática da segurança informática superficialmente. Ataques XSS (Cross Site Scripting), SQL Injection e toda uma panóplia inimaginável de ataques de engenharia social são sempre possíveis. Basta estar atento, ciente de que a possibilidade de poder ser atacado é bastante reduzida, comparativamente com outras redes sociais, pelo menos para já.

Resumindo: Tanto jargão técnico, para sintetizar numa frase – Usar a Engenharia Social para infectar o computador da vítima e controlá-lo para fins lucrativos ou apenas mais um numa rede mais ampla de zombies chamada botnet.

One comment

Deixar uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *