Curso básico de Segurança da Informação

Uma abordagem técnica e conceitual para usuários finais

New York (EUA) - Já ultrapassam 20 horas e 600 reféns no atentado ao Aeroporto Internacional JFK
em New York, onde um grupo de hackers terroristas assumiu o controle de todas as operações de
pouso e de decolagem do aeroporto, após um pronunciamento acalorado do presidente dos Estados
Unidos da América, ao apoiar o secretário geral de defesa e decretar "um fim ao vandalismo e à
guerra virtual que assola a internet".

Os maiores especalistas dos EUA e do mundo estão reunidos buscando uma solução para o problema,
inclusive acatando o pagamento do resgate no valor de 2,5 bilhões de dólares, exigido pelo grupo
terrorista. "O problema de pagarmos o resgate é que não temos garantias. Precisamos confiar nos
hackers de que após a transferência desta quantia eles nos retornem o controle do aeroporto. Nem
mesmo nossas técnicas de 'transferência fantasma' funcionariam para simular o pagamento, pois eles
nos parecem ter total controle das nossas movimentações bancárias", declara John Smith, secretário
de defesa e principal negociador, "estamos completamente perdidos", desabafa.

Como agravante da situação, os aeroportos próximos a New York e as freqüências de rádio estão
sendo monitorados e manipulados pelos hackers no intuito de direcionar o tráfego aéreo para o JFK.
Com isso o grupo já conseguiu impedir a fuga de vários aviões e os obrigou a pousar sob ameaças de
mudança de rota e colisões no ar. Muitos não têm combustível suficiente para chegar a tempo em um
aeroporto seguro e são obrigados a obedecer. O prejuízo calculado pelo aeroporto internacional já
chega a 200 milhões de dólares em atrasos e vôos cancelados e as perdas causadas pela imagem da
empresa e a falta de confiança no sistema são incalculáveis.

O cenário acima é pura ficção científica, só não sabemos ainda até quando. A cada dia centenas de
sistemas vitais estão sendo interconectados, operando em conjunto com outros sistemas, tornando a
vida das pessoas cada dia mais fácil - e perigosa! São sistemas de controle médico: máquinas de
vigilância de pacientes, diagnósticos pela rede e até cirurgias online; Controle aéreo:
interoperabilidade entre diversos aeroportos; Trânsito: semáforos, pontes móveis, pedágios; Até
sistemas de monitoramento de vulcões que mandam seus alarmes pela rede...

Infelizmente não é um tópico muito distante para que digamos: "isso não é comigo, só quero ficar no
meu chat e fazer meus trabalhos em paz". Todos nós devemos nos preocupar com a segurança de
agora em diante, ou então estaremos nas mãos das pessoas que se aproveitaram do fato de não
darmos muita importância a isso. Certamente você não precisa aprender a proteger um sistema de
controle de tráfego aéreo, mas está na hora de começar a adquirir hábitos de comportamento seguro.

Durante toda a evolução, os primatas que criaram o hábito de acender uma fogueira na entrada das
suas cavernas durante a noite viviam mais, ao contrário dos outros que, vez por outra, eram
devorados por tigres dentes-de-sabre. Este costume se espalhou e, mesmo que os mais novos não
soubessem o motivo da fogueira, este "comportamento adquirido" era de extrema importância para a
sua sobrevivência.

Com esta matéria, estaremos dando início a uma série sobre Introdução à Segurança de Sistemas
Computacionais, direcionada ao usuário final - àquele que utiliza os computadores como um "meio"
para se chegar ao objetivo, seja administrar sua agenda pessoal, seu escritório ou até mesmo passar
simples emails e se divertir pela rede.

A proposta do Curso Básico de Segurança na Internet é, antes de tudo, conscientizar você de que a
segurança é muito mais do que um simples ramo de trabalho ou um bom método de vendedores de
anti-vírus ficarem ricos. Ela não faz parte do futuro, ela já está presente em nosso cotidiano e
precisamos nos adaptar.

Vamos entrar em uma era virtual onde o mundo estará evoluindo mais rápido que nossos
pensamentos, onde cada falha pode custar nossas carreiras, onde a competição entre seres da mesma
espécie chegará a um nível nunca visto antes na natureza. Precisamos acender uma fogueira na
entrada da nossa caverna!

Inicie aqui sua leitura e boa sorte!

Capítulo 1
Identificando os principais problemas de segurança
Existem diferenças fundamentais na segurança voltada para o mercado corporativo onde nos
deparamos com a utilização de tecnologias avançadas com alta capacidade de tráfego e
gerenciamento de estações quando comparadas à segurança voltada para o mercado doméstico, do
usuário da internet ou da dona de casa que guarda suas receitas no micro (microcomputador, não
microondas, ainda...). ;-)

O objetivo do nosso curso básico é ajudar a resolver os problemas do usuário doméstico, aquele que
lê seus emails, faz sua pesquisa escolar ou consultas para seu escritório e aquele que usa
computadores por diversão em bate-papos, jogos, paqueras etc. Neste capítulo estaremos mostrando
os principais atentados à segurança que você pode sofrer usando o seu computador pessoal.

Estes atentados se dividem em três grandes categorias que muitas vezes estão interligadas, sendo
necessário um ataque à uma categoria antes de se iniciar ataques as outras. São elas: (1) ataques à
privacidade, (2) destruição e (3) obtenção de vantagens.

Ataques à privacidade - Este é o ataque direto mais comum ao usuário doméstico. Assim como muitas
pessoas têm compulsão em ler correspondência alheia ou observar vizinhos com lunetas, hackers têm
compulsão em "dar uma olhadinha" na sua vida pessoal e a melhor maneira de se descobrir coisas
sobre a vida de uma pessoa é olhando dentro do seu computador. Os principais alvos são os seus
emails mandados, recebidos e apagados, seu histórico de visitação de sites ou seus "arquivos.doc",
onde podem conter cartas, procurações, contratos e até aqueles poeminhas que você fez e jurou
jamais mostrá-los a alguém.

Destruição - Apesar de ser perfeitamente possível para um hacker, uma vez estando dentro do seu
computador, destruir seus dados, as estatísticas mostram que na grande maioria dos incidentes nos
quais há perdas de informação a causa é a ação de vírus ou programas com funções semelhantes, que
raramente são implantados de forma proposital. Geralmente a infecção ocorre com programas
recebidos de terceiros que muitas vezes também não sabem que estão infectados. As conseqüências
podem ser as piores, pois os usuários domésticos não têm o costume de fazer backups dos dados do
seu computador pessoal.

Obtenção de Vantagens - Para se obter vantagens causando incidentes de segurança nos

computadores pessoais geralmente é necessária a utilização de técnicas onde primeiro a vítima será
exposta a ataques de privacidade ou destruição. As motivações deste tipo de ataque são tão distintas
quanto seu próprio objetivo real.

Por exemplo, garotos podem invadir computadores de amigos para obter informações ou destruir
dados com o único intuito de se vangloriar perante a vítima derrotada, atitude normal nas definições
de status e liderança em qualquer grupo animal. Outros podem ter objetivos mórbidos, como o
simples prazer na destruição, sem importar-se com a sua tese de mestrado na qual trabalhou quase
dois anos. E, como não poderia deixar de ser, as vantagens financeiras estão presentes com uma fatia
assustadora dos objetivos de ataques a computadores pessoais.

Faça isso agora: classifique a informação presente no seu computador pessoal. Não só a informação
que fica armazenada nele mas, principalmente, a informação que "passa" por ele. Você verá que a
informação armazenada, apesar de ter toda a sua atenção e preocupação, corresponde a apenas parte
do problema no caso de uma quebra de segurança no seu computador. Você pode não deixar gravado
no seu computador o número do seu cartão de crédito ou a sua senha do internet banking, mas esta
informação, após ter sido digitada, faz parte do seu computador temporariamente. O que alguns
hackers fazem é monitorar seu computador e esperar por informações deste tipo. Com esta
informação na mão eles podem abandonar seu computador e quem sabe até fechar a porta por onde
eles entraram para não levantar futuras suspeitas. O último a sair apaga as luzes!

Com base apenas nestas informações, tente responder às seguintes perguntas: Você usaria hoje, em
seu computador pessoal, um programa de internet banking para fazer transferências de dinheiro?
Você faria compras na internet, mesmo sabendo que o site/loja possui um servidor seguro, digitando
seu cartão de crédito no seu computador pessoal? Você trataria de assuntos importantes na sua vida
pessoal e profissional, na qual se utiliza de dados particulares, através de simples emails? Caso tenha
respondido "não" às três perguntas, responda mais essa: Para que serve a internet?

Felizmente temos meios de impedir - ou, pelo menos, de dificultar enormemente - as ações que põe
em risco nossa vida online. O risco sempre vai existir, assim como existe na nossa vida fora dos bits e
bytes. A questão é trazer o "grau de risco" a um nível aceitável, de modo que possamos evoluir na
utilização da tecnologia até um patamar mais confiável e conseqüentemente mais eficaz, porque, sem
segurança, a internet não vai passar de uma grande idéia ou de um caro brinquedo.
Capítulo 2
Fechando as portas do seu computador
Computadores e equipamentos informatizados podem se comunicar uns com os outros através de
padrões estabelecidos que ditam como cada participante da conversa deve se comportar. O padrão
utilizado na Internet (e na maioria dos sistemas atuais) é o chamado "Cliente/Servidor". Você
certamente já ouviu falar disso mas, afinal, do que se trata?

A comunicação em um ambiente cliente/servidor é composta de dois módulos básicos: um módulo que

faz requisições de serviços - cliente - e outro que recebe estes pedidos para executar as tarefas
pedidas - servidor - e, eventualmente, retornar o resultado desta tarefa. Você utiliza enormemente
este esquema durante sua conexão internet. Por exemplo, o seu navegador - que é o programa cliente
- fez um pedido ao programa servidor instalado nos computadores onde estão hospedadas as páginas
deste site, que o recebeu e respondeu com a página pedida - esta que você está lendo agora. O
mesmo acontece quanto você verifica seus emails, baixa arquivos etc.

Como você já deve ter imaginado, a maior parte dos programas utilizados no seu computador só
precisa fazer pedidos e esperar a resposta, ou seja, são programas clientes. Teoricamente é isso o que
deve acontecer, mas nem sempre nossos computadores são tão inofensivos. Os grandes vilões dos
últimos anos são programas que invertem este papel, fazendo com que nossos computadores se
tornem servidores. A maioria arrasadora vem na modalidade de 'cavalos-de-tróia' (discutiremos sobre
ela mais tarde), por isso se convencionou a chamar este método de 'invasão através de cavalos-de-
tróia'.

O que acontece, geralmente, é que um usuário recebe um programa de alguém, através de qualquer
meio - por email, ICQ, fazendo um download ou por disquete - e o executa em seu computador. Este
programa, após ser executado, instala um 'servidor' que passa a responder aos pedidos de conexão
pela Internet, ou seja, seu computador adquire as características de um 'servidor internet'. Os tipos
de pedidos que ele pode aceitar e executar variam de acordo com o 'servidor' instalado.

Uma característica presente neste tipo de comunicação é a necessidade de se atribuir 'portas de

comunicação' por onde os pedidos e as respostas irão passar. Todos os programas para uso na Internet
se utilizam destas portas que geralmente são abertas com o intuito de fazer pedidos a servidores
remotos. Quando um computador está, digamos, 'infectado' por um programa servidor, este abre uma
porta naquele, de forma a permitir que outros computadores façam pedidos através dela.

Com base nesta explicação, percebemos que não é necessário nem interessante impedir que nossos
computadores abram portas. Se isso for feito, nenhum dos nossos programas irá funcionar. O que
precisamos fazer é impedir que programas maliciosos abram portas para receber conexões! Através
delas é que hackers podem vasculhar seu computador.

E como fechar as portas? Simples, vamos usar um exemplo: eu vejo que meu computador tem uma
porta aberta e sei que esta porta é referente ao programa de email, pois eu estou checando minha
caixa postal no provedor e sei que é necessário uma porta para isso. Se eu quiser fechá-la, basta
fechar meu programa de email. Parece simples, mas o problema é identificar a que programa uma
porta está relacionada. Além desta identificação ser complexa, caso encontremos uma porta
relacionada a um servidor malicioso precisaremos ainda encontrar o próprio programa servidor, que
na grande maioria das vezes está escondido ou inacessível.

O ideal neste caso é deixar a identificação destes programas a cargo de outros programas
especializados nessa procura. Ao encontrar e remover um programa servidor do seu computador, a
porta associada a ele será automaticamente fechada, já que não há mais nenhum programa
responsável por abrí-la. Estes rastreadores podem ser programas especializados em procura de
'servidores maliciosos' conhecidos ou mesmo programas anti-vírus, já que o método utilizado para se
vasculhar o computador é semelhante ao utilizado para se encontrar um vírus.

Para se fazer um teste em seu computador ou, se apenas por curiosidade, quiser verificar as portas
que estão sendo abertas, o comando que mostra estas conexões é o 'netstat'. Executando este
programa com o parâmetro '-a', serão mostradas todas as conexões ativas, por exemplo:
(Iniciar > Arquivos de Programas > Prompt do MS-DOS)

c:\>netstat -a

Conexões ativas

Proto Endereço local Endereço externo Estado

TCP localhost:1249 www.uol.com.br:80 ESTABLISHED

A listagem original possui várias e várias linhas como esta, cada uma relatando o estado de uma porta
de conexão. O exemplo acima nos diz que meu computador (localhost) está se comunicando pela
porta 1249 com o computador no endereço www.uol.com.br, que está recebendo os pedidos pela
porta 80. A conexão foi estabelecida (Established). A porta 80 está especificada mundialmente como
sendo a porta padrão para a Web. Resumindo, estou navegando no site do Universo Online.

O que muitos usuários fazem após a execução deste comando é entrar em desespero, pois mesmo em
condições normais e, dependendo da configuração do computador de cada pessoa, muitas portas
podem aparecer abertas. Elas são responsáveis pelo funcionamento do Windows, principalmente (mas
não exclusivamente) em rede. O método usado para se identificar servidores maliciosos com base nas
portas que eles abrem é extremamente falho pois, além desta porta poder ser alterada, existem
muitos programas e muitas portas disponíveis, e alguns deles utilizam portas que não podem ser
fechadas, pois afetaria o funcionamento do sistema.

Por isso a recomendação é a de não se preocupar com o relatório de portas e sim com os programs
instalados no seu computador. E, como já foi dito, isto pode ser feito utilizando programas específicos
para estas tarefas, ou bons anti-vírus atualizados. Dessa forma, estaremos cortando o mal pela raíz.
Capítulo 3
Identificando vírus e programas maliciosos
A grande maioria dos problemas relacionados a incidentes de segurança em computadores pessoais é
causada por programas maliciosos, dentre os quais estão os vírus (normais e de macro), os worms, os
programas servidores - muitas vezes chamados de cavalos de Tróia, ver capítulo anterior - é até
mesmo simples instruções que, quando executadas no seu computador, destroem o sistema ou
comprometem seu funcionamento.

O grande paradoxo é que boa parte da culpa por estes estragos cabe à vítima, uma vez que em quase
todos os casos ela é inocentemente cúmplice do ataque. É uma questão de educação: siga sempre os
velhos conselhos de boa conduta com computadores, tome os devidos cuidados blá blá blá e "não
execute programas estranhos". Assim fica muito mais difícil ter problemas, mas em certas horas
precisamos nos arriscar e muitas vezes nem sabemos que estamos nos arriscando tanto.

Como prova de que o conselho sobre não executar arquivos de estranhos é eficaz, temos os muitos
vírus e worms que se propagam por email enviando cópias de si mesmo para sua lista de amigos. Dessa
forma abre-se uma brecha na confiança da vítima, que pensa: "Bom, se meu amigo está me
mandando, deve ser coisa boa!" Zapt! Pimba! Dançou...

Pronto, você executou um programa malicioso no seu computador, e agora? Bom, se o programa for
muito violento e apagar seus arquivos, não há muito o que fazer senão recomeçar do zero, instalando
os softwares novamente. Mas geralmente não são tão destrutivos e ficam tão quietos que você só
percebe depois de bastante tempo, exatamente quando for tarde demais. E o pior: um programa
desses pode estar destruindo seu computador agorinha mesmo, sem que você saiba. O que fazer?

Esses programas, em especial os mais furtivos, são catalogados de acordo com suas ações e
características do seu código. Programas possuem uma assinatura, uma parte das suas intruções
internas que é única, assim como nosso DNA e, fazendo uma busca em todos os arquivos do seu
computador podemos identificar, através desta assinatura, se algum programa malicioso "conhecido"
habita seus discos.

Veja bem, eu disse "programa malicioso conhecido" porque, se um programa novo é lançado, nós
ainda não somos capazes de reconhecer sua assinatura, pelo menos até ele ser catalogado e
cadastrado na nossa lista de assinaturas.

Trazendo tudo para a nossa linguagem cotidiana: nós não vamos pessoalmente vasculhar cada arquivo
do computador, que geralmente passam de centenas de milhares. Vamos usar um outro programa para
fazer isso. Adivinhe o nome desse programa? Um doce para quem respondeu "Anti-Vírus".
Resumidamente, o que os programas anti-vírus fazem é, de posse de uma lista de assinaturas de
programas maliciosos, abrir cada arquivo do seu disco e comparar com as assinaturas desta lista. Caso
alguma coincida, ele terá identificado um problema, algumas vezes oferecendo a possibilidade de
remover apenas o trecho malicioso outras vezes apagando o arquivo problemático.

Este método não está restrito aos vírus, ele pode ser utilizado para identificar qualquer tipo de
programa devidamente cadastrado na lista de assinaturas. Os fabricantes cadastram nesta lista todo
código que julgam prejudicial ao seu computador e dependem dos seus laboratório de pesquisa, que
recebem e estudam estes programas, extraindo a sua assinatura de identificação e colocando-a
disponível para a atualização da lista de programas maliciosos.

Você já deve ter percebido a importância dos tais "anti-vírus atualizados". Se um anti-vírus não possui
uma lista de assinaturas completa, pode ser que ele vasculhe um arquivo contaminado mas, por não
"conhecer" o vírus, deixe-o ileso. Certamente o vírus não fará o mesmo...

A forma como cada programa atualiza esta lista varia de acordo com o fabricante mas, atualmente,
este processo é feito online e a verificação de novas listas pode ser programada para uma
determinada periodicidade. Como a internet tem um poder muito grande de disseminação, uma
atualização a cada 3 dias ainda é considerada segura para um usuário costumaz.

Mas o que, você não tem um anti-vírus? Vamos voltar ao início desta página e começar tudo de novo...
;-)
Capítulo 4
Atualizando programas - Uma prevenção eficaz!
Antigamente os lançamentos de softwares no mercado eram, em sua grande maioria, lançamentos de
novas versões dos programas, com adição de muitos recursos, novas ferramentas e aperfeiçoamento
das características funcionais, principalmente a interface com o usuário. Muitas dessas atualizações
não traziam uma vantagem significativa para o usuário médio que, na maioria das vezes, se limitava a
utilizar as funções básicas do programa como, por exemplo, usar um editor de textos exclusivamente
para editar textos!

Entretanto, o usuário não estava interessado em "quais" recursos eram adicionados na versão mais
nova do seu programa, ele queria se manter atualizado, a qualquer preço, mesmo que fosse para
adicionar um corretor ortográfico em aramaico arcaico ou um acoplamento com uma base de dados
alienígena que ele jamais faria funcionar.

Atualmente o cenário está um pouco mudado, os lançamentos de novas versões continuam existindo
mas as principais novidades são correções de problemas nas versões atuais. O fabricante, ao ser
notificado de um problema interno no seu produto, escreve um pequeno programa que corrige o
defeito e o distribui aos seus clientes. Estas atualizações são divulgadas e recomendadas pelos
fabricantes mas - eis o grande paradoxo - os usuários não dão a mínima!

A não ser que o defeito esteja impedindo o usuário de utilizar alguma função primordial para seu
trabalho, ele será solenemente ignorado. Este é um vício que adquirimos durante a era medieval da
computação, quando as redes de computadores eram raridades e a Internet era um brinquedo das
forças armadas dos EUA.

O motivo pelo qual não tínhamos interesse em corrigir uma falha é resumido neste pensamento: "Se
eu não uso esta função do programa, para que vou perder meu tempo tentanto consertá-la?". Hoje, ao
conectarmos milhares de computadores uns nos outros, este pensamento se tornou muito perigoso,
pois não estamos mais sozinhos no mundo e, se você não vai se interessar por aquela falha, alguém
com certeza a utilizará para obter alguma vantagem ou causar problemas.

Os problemas de maior repercussão na área de segurança, tanto na esfera corporativa quanto em

casa, no computador doméstico, estão relacionados a alguma falha em um software. Quanto mais
utilizado o software, maior o número de pessoas atingidas que precisam aplicar a devida correção.
Como a grande maioria dos usuários não se importa com aplicação de correções, podemos imaginar o
caos quando, por exemplo, começaram a surgir os primeiros "nukes", ataques que exploravam um
defeito encontrado no próprio Windows!
Exemplos como este infelizmente são muito comuns. É através de falhas não corrigidas em softwares
que quase todos os hackers invadem sites na Internet. Algumas falhas encontradas nos programas de
uso particular, como navegadores, programas de email, de bate-papo etc. também possibilitam ações
danosas, em maior ou menor grau, dependendo do tipo de problema.

Ao contrário do que pode parecer a princípio, manter-se na "última versão" dos softwares para
Internet pode não ser tão seguro. Ao lançar um programa novo - ou uma nova versão com bastante
mudanças - no mercado, os fabricantes estão dando a largada em um enorme concurso no qual vence
o hacker que primeiro descobrir as novas falhas do programa. Todos os programas têm falhas e mais
do que nunca se aplica o velho ditado: "Os pioneiros são identificados pela flecha no peito!".

Solução? Manter contato com o fabricante dos softwares que você utiliza. Com a internet os
problemas aumentaram mas o socorro também chega muito mais rápito. Visite regularmente o
website do seu fornecedor e procure por termos do tipo "security update", "patch", "service pack",
"service release" etc. Se você não se registrou, pegue seu cartão de registro, ou através da Internet,
registre-se como usuário legítimo e cadastre-se nas listas de notificações.

Os responsáveis pelos seus programas estão tão interessados em fornecer um software seguro quanto
você em recebê-los, então, mantenha-se informado. Mais do que nunca, a informação é o melhor
remédio!
Capítulo 5
A verdade sobre seu número IP!
Está se tornando cada dia mais comum o medo de invasões na internet. Pânicos causados por pseudo-
hackers têm atormentado centenas de pessoas e muitas vezes simples ameaças destroem momentos
de paz e diversão de uma forma irremediável. O mais impressionante é que estas ameaças, na maioria
das vezes, são completamente sem fundamentos, não fazem sentido e algumas nem existem. Basta
usar uma meia dúzia de siglas para dizer que vai invadir seu computador, e o que mais tem
aterrorizado os internautas é: "Vou descobrir seu IP!"

Vão descobrir seu IP? Oh, que espanto, mas e daí? Segundo os terroristas, após descobrir o IP de uma
pessoa, sua alma estará completamente enterrada na maldição eterna, pois poderão invadir,
derrubar, espionar, remover, sacudir, esculhambar, destruir e remexer...

Um número IP é um endereço que todo internauta, assim que se conecta na grande rede, recebe. É
através deste endereço que seus programas se comunicarão, seu navegador, seu ICQ, seu programa de
email etc. Este número não precisa ser fixo — e geralmente não é — e a cada conexão você recebe um
número diferente.

IP significa "internet protocol", faz parte de um conjunto de instruções que permite a comunicação
pela Internet. Ele é responsável pelo encaminhamento dos pacotes de dados que trafegam na rede, de
forma que eles sejam entregues corretamente ao seu destino.

Descobrir o IP de uma pessoa significa saber o "endereço internet" (não tem nada a ver com email!) do
seu computador naquele dia, ou durante aquela conexão. Somente isso, nada mais. O que se pode
fazer com o IP de uma pessoa? Quase nada... Se o computador não estiver com problemas do tipo
"cavalos de tróia" ou semelhantes (ver capítulo 2), o número IP não vai servir para mais nada além de
terrorismo.

Mesmo assim, dá para esconder o número IP? Não, infelizmente não dá! Se por algum motivo seu
computador não puder fornecer corretamente seu número IP, ele ficará incomunicável e sua conexão
será desfeita. Ter um número IP faz parte da vida socialmente ativa dos computadores na Internet e a
comunicação depende disso.

Alguns sistemas escondem esse número de outros internautas mas, pelo próprio bem da comunicação,
eles são revelados. Por exemplo, bater papo requer que um computador se comunique com outro.
Para isto ser feito, é necessário que ambos conheçam seus números IPs mutuamente pelo simples fato
de precisarem saber com quem estão "falando".

É claro, sempre há as exceções: números IPs geralmente se mantém os mesmos em redes físicas como
escritórios e internet predial. Na maioria das vezes, estes números são fixos mas "mascarados"
durante a comunicação externa por uma aplicação conhecida como "gateway" ou "proxy" e quase
sempre para quem está de fora desta rede o número é genérico e inútil.
Caso queira saber qual o seu número IP durante a conexão atual, um aplicativo distribuído com o
próprio Windows dá as informações referentes. Vá em Iniciar > Executar e digite "winipcfg" (sem
aspas).

Portanto, na próxima vez em que for ameaçado com seu próprio número IP apenas dê uma gostosa
gargalhada e volte para a sua tranqüilidade habitual. Já temos problemas demais para ficar nos
preocupando com coisas que não existem!
Capítulo 6
A-há! Te peguei, hacker... Mas, e agora?
É cada dia mais comum o surgimento de softwares que cuidam da segurança do seu computador
pessoal e o mecanismo de monitoração mais utilizado é a "escuta" de portas de conexão (para maiores
informações sobre ‘portas de conexão’, consulte o capítulo 2 deste curso básico).

Entretanto, de que adianta a informação de que um hacker tenta bisbilhotar nosso computador? O
que podemos fazer no momento em que descobrimos uma tentativa de ataque e conseguimos
informações básicas sobre o hacker — como, por exemplo, seu número IP — através dos relatórios
destes programas de proteção?

Primeiro vamos analisar os fatos: um aviso emitido por um destes softwares de monitoração não
significa que você está sendo invadido. É apenas uma notificação que houve uma tentativa de conexão
em determinada porta. Muito provavelmente o hacker não obterá êxito pois os softwares de
monitoração fazem uma checagem sobre as vulnerabilidades do computador, eliminando os programas
ou falhas que permitiriam o ataque. Ficar de olho nas portas é uma medida secundária para quase
todos estes programas de segurança.

Ao identificar uma tentativa de conexão, os programas registram dados importantes como hora, IP,
tipo de ataque etc. e mostram estas informações à você, usuário. Estes dados são referentes ao
computador de onde partiu o ataque e identificam de forma bastante confiável o responsável pela
ação.

De posse destes dados, devemos, antes de qualquer outra ação, identificar a qual "provedor" pertence
este número. Para isto basta utilizamos um comando do próprio Windows, dentro da janela do
"Prompt do MS-DOS", executando: "tracert 192.168.0.10" (trocando o IP pelo número identificado no
relatório).

Este comando produzirá uma série de linhas "percorrendo" o caminho de um pacote de dados do seu
computador até o computador do invasor. Cada linha identifica um computador intermediário e as
últimas identificam equipamentos do provedor de destino. Pelo nome destes equipamentos é fácil
deduzir a que provedor de acesso eles pertencem.

Caso o resultado ainda não esteja claro podemos consultar, nos órgãos regulamentadores, os
responsáveis pelo IP pesquisado. Existem ferramentas na net para esta pesquisa como, por exemplo, o
Whois da <Geektools> que fornece dados de diversas entidades de registro.

Através da página web do provedor, você pode conseguir um endereço de contato para reclamar
sobre incidentes de segurança, geralmente abuse@provedor.com.br, mas uma maneira de garantir o
correto recebimento da sua mensagem é enviar cópias os endereços disponíveis na consulta Whois,
explicada acima.

Com o endereço à mão, redija uma mensagem relatando a tentativa de acesso não autorizado ao seu
computador pessoal partindo da rede sob a responsabilidade desta empresa provedora de acesso à
Internet. Repare que é esta empresa que responde pelas tentativas de invasão originadas na sua
(dela) rede. O fato do incidente ter sido provocado por um usuário é um problema do provedor com
seu cliente em particular e, à você, cabe apenas a reclamação aos responsáveis pela rede. Não perca
tempo tentando identificar o usuário.

Provedores sérios que se preocupam com sua imagem emitem uma notificação ao seu usuário (eles
têm como identificar o usuário através do número IP e hora) avisando sobre as condutas aceitáveis
dos seus clientes. Dependendo da política de cada provedor, o usuário, se estiver reincidindo nestas
ações, pode ser bloqueado ou excluído.

Mas, o que pode dar errado? Infelizmente muita coisa... Para começar você pode não conseguir
identificar o provedor através do IP por causa de configurações específicas de determinadas redes.
Neste caso, peça auxílio ao suporte técnico do seu provedor. Um outro problema é ser ignorado
quando enviar a mensagem relatando seus problemas de segurança. Uma ótima ferramenta contra
esta atitude por parte dos provedores irresponsáveis é enviar uma cópia da mensagem ao <NicBR
Security Office> (nbso@nic.br), equipe brasileira que mantém um serviço de auxílio e estatísticas
sobre incidentes de segurança.

Outros grupos que mantém serviços sobre segurança são:

<CAIS> Centro de Atendimento a Incidentes de Segurança (RNP)

<CERT-RS> Centro de Emergência em Segurança da Rede
<security@embratel.net.br> Responsável pela maioria dos backbones

Observações

• Manter o relógio do seu computador na maior sincronia possível com o horário oficial do Brasil
pode ser imprescindível para a correta identificação do usuário no provedor ao qual está
sendo feita a reclamação.

• Muitas alegações por parte dos provedores como, por exemplo, não punir o usuário por medo
de perder o cliente ou alegar que "pura bisbilhotagem" (portscan) não é considerada como
crime, pode fazer com que a indisciplina na Internet aumente. Nestas situações, notifique o
descaso ao NicBr. Uma lista dos provedores mais irresponsáveis com a segurança é um
argumento infalível para se exigir uma ação repressora.

• Caso decida acionar o NicBr para auxiliar no seu caso, encaminhe primeiramente um email
solicitando informações sobre a melhor maneira para se fazer estas reclamações. São medidas
que auxiliam o processo, viabilizando a ajuda gratuita que eles prestam a nós internautas.

Alguns dos programas mais comuns para a identificação de ataques são: Anti-Hack 2.0, TDS-2 e muitos
dos pacotes de segurança e firewalls pessoais (como o ZoneAlarm) dos grandes produtores de software
de segurança, como a <Symantec> ou a <McAfee>. Você pode encontrá-los nos grandes repositórios de
softwares como, por exemplo, no <www.download.com> ou na <www.tucows.com>.
Capítulo 7
Invasão de sites pessoais
Entre todas as invasões de hackers divulgadas pela mídia a mais assustadora para o público em geral é
a que modifica páginas de uma empresa na Internet. Conseqüentemente é o tipo de invasão mais
divulgada, principalmente porque a empresa não tem como esconder os fatos, atitude padrão nas
invasões internas. Parte do motivo para não se notificar invasões é o comprometimento da imagem da
vítima, pois denota uma falta de cuidado com seu sistema de informação.

Paradoxalmente, os incidentes mais notificados - invasões e modificações de sites - são os que menos
comprometem os dados da empresa, uma vez que na sua grande maioria estas modificações são
conseguidas através de substituição ou adição de simples arquivos aos diretórios onde residem as
páginas do site.

Invadir páginas na Internet é como colar um cartaz na vitrine de uma loja. Nem sempre é preciso
entrar na loja para chamar a atenção do visitante e dar o seu recado.

Apesar das invasões de grandes sites receberem bastante atenção, boa parte dos incidentes, que são
sofridos por pequenas empresas e páginas pessoais, nunca são notificados aos responsáveis pela
prestação do serviço e muito menos às autoridades competentes.

Então, o que fazer se a sua página pessoal for invadida? Primeiro, você deve descobrir de que forma
esta invasão foi feita para poder eliminar o problema. Tire a página do ar e analise os sistemas
envolvidos. Grandes empresas têm vários becos por onde começar a procurar estas brechas de
segurança, mas usuários simples ou pequenos sites - principalmente com serviço de hospedagem de
sites contratado de terceiros - têm um número bem menor de problemas a analisar (mas com igual
responsabilidade).

O método mais simples de invadir um site é "não invadir". Pode-se utilizar o mesmo método usado
para a sua manutenção, se fazendo passar pelo dono das páginas, conseguindo acesso para modificá-
las. Isto geralmente é feito através de senha em uma conta FTP (ou qualquer outro método de acesso)
e esta senha pode ser conseguida de várias maneiras como, por exemplo, atacar e/ou criar
vulnerabilidades no computador do usuário responsável por esta senha.

Peguemos como exemplo a invasão de uma página pessoal hospedada no GeoCities: um hacker pode
adivinhar a senha do usuário - sério, e isto é bem grave! - ou enviar (através do email de contato que
geralmente reluz na página-alvo) uma série de arquivos (tipo cavalos-de-Tróia) que abrem brechas no
computador da vítima e que fariam o trabalho sujo de monitorar a vida da pessoa até conseguir a
senha para acesso à página. Alguns se utilizam de engenharia social, se fazendo passar por técnicos do
GeoCities - criando emails falsos - e solicitando um "recadastramento" dos dados, recebendo de
bandeja a senha da vítima.

A criatividade para estas ações não tem limites, seja no GeoCities ou em qualquer outro serviço de
hospedagem de páginas - gratuito ou não - que oferece estas facilidades de inscrição e manutenção.

Métodos mais "nobres" - do ponto de vista hacker - envolvem apenas o serviço de hospedagem onde a
página se encontra. Invasões deste tipo também podem ocorrer através de engenharia social, onde o
hacker se faz passar pelo verdadeiro dono da página, mas é a minoria. Geralmente se utiliza alguma
vulnerabilidade nos softwares responsáveis pelo serviço para obter acesso ao sistema e conseguir
modificar as páginas desejadas. Serviços de hospedagem podem possuir, como qualquer outro site,
falhas que permitem a modificação de páginas por terceiros. Por isso é de extrema importância
notificar o serviço (gratuito ou não) que utiliza para hospedar sua página, caso note problemas com
ela.

Se a sua página é hospedada em computadores que não estão sob sua responsabilidade - que é o caso
dos GeoCities e outros serviços online e dos provedores de serviços internet - você deve se certificar
de que o método utilizado para fazer a manutenção na sua página é seguro, e de que ninguém pode se
fazer passar por você para ter acesso a ela. Esta é uma tarefa árdua que precisa ser feita com a maior
atenção possível mas, uma vez livre desta culpa, a brecha estará sob a responsabilidade do serviço de
hospedagem. Eles têm seus próprios mecanismos de verificação e é primordial que sejam notificados
para que o trabalho em conjunto identifique e elimine o grande problema que é ter uma página na
Internet invadida e modificada por hackers.
Capítulo 8
Invasão de grandes sites
Dando continuidade ao capítulo anterior sobre invasão de sites, vamos explicar neste capítulo o que
acontece nos bastidores da Internet, nas empresas responsáveis por hospedar o seu site e nas redes
corporativas, onde estão localizados os computadores e equipamentos operacionais que permitem a
todos nós utilizarmos a grande rede.

Como o objetivo do curso básico é fornecer informações simples e acessíveis ao usuário comum, este
capítulo servirá, para a maioria de nós, como uma pequena introdução à administração de redes, seus
aspectos procedimentais mais seguros e suas relações com os métodos de ataques mais praticados.

Todo computador (ou equipamento computacional, que fique subentendido) possui na sua memória
programas que regem o funcionamento do sistema - isso é básico - e, assim como nossos
computadores pessoais, os grandes servidores da Internet podem possuir falhas. Você encontra uma
explicação sobre o problema destas falhas no Capítulo 4 do curso.

Pois bem, um computador na internet, uma falha não corrigida e um hacker devidamente armado.
Este trio perigoso é muito semelhante ao que aprendemos nas aulas de segurança - segurança pessoal,
mesmo - com relação ao fogo: combustível, oxigênio e calor.

Tire qualquer um destes elementos e o fogo se extinguirá... Vamos supor que tenhamos um
computador (combustível), uma falha (oxigênio) e um hacker (calor). O que é mais fácil de tirar? Para
tirar o combustível você precisa desligar o computador - inviável. Para tirar o calor, você precisa
manter os hackers de mãos atadas - impossível. Só nos resta acabar com o oxigênio da invasão, não
permitindo falhas nos nossos sistemas.

Hackers são pessoas muito bem informadas sobre as falhas descobertas em softwares. Alguns,
inclusive, descobrem sozinhos esta falha - e há quem diga que estes são os verdadeiros hackers - mas
muitas vezes esta informação é divulgada por outros especialistas. Quanto maior a base instalada de
um software, mais importante é o conhecimento da sua falha.
Os administradores que não se mantém informados sobre estas falhas estão injetando oxigênio na
mistura. Basta que uma delas afete seu sistema e será a faisca que faltava para o início da sua grande
dor de cabeça.

Estas falhas podem ser exploradas muito facilmente, pois geralmente o autor da descoberta divulga,
juntamente com a notícia, um "roteiro" ou até mesmo programas que fazem todo o trabalho de
comprometimento do computador afetado. Estes programas são disponibilizados muito rapidamente
na Internet e uma verdadeira corrida tem seu início.

Mas, como estas invasões são feitas na prática? Variam bastante, dependendo do "buraco" por onde o
hacker precisa passar. Apenas para sanar uma curiosidade mórbida que muitos de nós temos, isto não
é feito através do browser (pelo menos não a maioria) e muitas vezes são utilizados computadores
com sistemas Unix. Esta não é simplesmente uma escolha. O que acontece é que estes sistemas foram
criados para a rede, estão mais preparados e com melhores recursos para a internet e como
conseqüência os especialistas os utilizam e escrevem seus roteiros/programas para esta plataforma. O
fato de serem melhores que o Windows é um mero detalhe. São feios, utilizam-se linhas de comandos
em uma tela preta, executando programas e passando parâmetros para ele. (esqueça a parafernalha
3D e telões multicoloridos dos filmes de hackers)

A divulgação destes programas ou parâmetros de configuração e funcionamento é a responsável por

possibilitar que muitas pessoas os colecionem e testem em cada computador da Internet, na
esperança de que uma destas falhas seja encontrada.

Essa informação não pode ser sonegada e a sua divulgação pode ajudar aos administradores a "abrir os
olhos" com relação ao seu sistema. Não adianta nada ter um sistema aparentemente seguro e dormir
tranqüilo sem saber que cedo ou tarde alguém poderá invadir seu site.

O mais importante para se impedir estas invasões é descobrir as falhas do seu sistema, senão antes,
pelo menos ao mesmo tempo que os hackers e providenciar - junto com o fabricante ou através de
soluções disponibilizadas pelos mesmos responsáveis pela descoberta da falha - a solução para o
problema.

Em alguns dos sites especializados nestes boletins e notificações podemos encontrar informações
sobre a grande maioria das falhas e vulnerabilidades encontradas nos programas que possibilitam
estas invasões. Uma boa relação destes sites pode ser encontrada em
<http://www.attrition.org/security/advisory/>.

E então, você está com o seu extintor carregado?

Capítulo 9
Analisando as falhas de software
Estamos sendo bombardeados - cada dia mais - com notícias sobre falhas descobertas neste ou
naquele software, as quais permitem que hackers provoquem os mais variados incidentes de
segurança. Mas, afinal, o que são estas falhas?

No capítulo 4 falamos sobre os problemas de se possuir um programa com falhas e quais as melhores
maneiras para se certificar de que fizemos as devidas atualizações dos nossos sistemas. Agora vamos
explicar como funcionam - ou "não funcionam" - estes mecanismos problemáticos.

Quando profissionais da área de informática sentem uma inclinação para o ramo da programação, eles
devem descobrir se possuem determinados vícios de raciocínio lógico imprescindíveis para a tarefa.
Uma dessas qualificações é o exercício de "pensar o impensável", sempre fugir do padrão e analisar
seriamente as exceções. Infelizmente nem todos dão o devido valor a isso.

A partir de agora vamos analisar um exemplo extremamente simplificado e descobrir porque

administrar exceções é fundamental na segurança de um software.

Imagine uma rotina que verifique a senha de um usuário antes de liberar seu acesso a um sistema
qualquer. Ela seria, a muito grosso modo, assim:
1ª instrução: Pedir senha de 4 números ao usuário - usuário digita a senha.
2ª instrução: Se os 4 números forem iguais à senha cadastrada, siga para 3ª instrução.
 Se os 4 números forem diferentes, negar acesso. Fim do programa.

3ª instrução: Liberar seu acesso. Fim do programa.

Esta é uma rotina simples que funciona muito bem, desde que o usuário obedeça a primeira instrução
e digite sua senha de forma correta. Entretanto, é com relação a desobediência que se dá a
importância de trabalhar com as exceções.

Vamos supor que o usuário não forneça os dados conforme o programa espera. Por exemplo, ao invés
de números, ele digite 4 letras. Quando o programa chegar à 2ª instrução, o computador vai tentar
colocar as letras em uma memória que está preparada para receber apenas números, e isto pode
provocar um erro que invalidaria toda a 2ª instrução. Ao dar continuidade, o acesso estaria liberado
na 3ª instrução independentemente da senha digitada, desde que não fossem 4 números.

O exemplo acima foi bem simplificado para facilitar o entendimento mas a idéia geral por trás das
falhas de software é essa: rotinas mal projetadas que não prevêem todas as ações dos usuários (ou de
outras partes do programa). Uma correção para o problema exposto seria uma alteração lógica na
filosofia de comparação. Veja:
1ª instrução: Pedir senha de 4 números ao usuário - usuário digita a senha.
2ª instrução: Se os 4 números forem diferentes da senha cadastrada, siga para 3ª instrução.
Se os 4 números forem iguais, liberar acesso. Fim do programa.

3ª instrução: Negar seu acesso. Fim do programa.

Com esta alteração, qualquer que fosse o erro provocado pela entrada incorreta de dados resultaria
na negação do acesso, uma vez que um erro na 2ª instrução eliminaria a comparação juntamente com
a decisão de liberar o acesso do usuário.

Obviamente, este tipo de problema não está limitado a situações de verificação de senhas, muito pelo
contrário, ele se espalha pelas rotinas que não recebem muita atenção com relação à segurança,
como por exemplo, rotinas de verificação de datas, classificação de dados e principalmente aquelas
que recebem dados de outros programas.

Rotinas que são feitas para se comunicar - remotamente - com outras rotinas são as que apresentam
as maiores falhas pois, ao construírem estes programas, não é levado em consideração que a rotina
interlocutora pode ser modificada - ou substituída, por um hacker, talvez - e, com isso, passar a
enviar dados fora do padrão e do formato esperados, causando erros internos nos programas.

Estes erros provocados por ações despadronizadas e inesperadas nem sempre são tão inofensivos
como o exemplo acima, fazendo com que o programa caia em uma falha pura e simples. Algumas
vezes estes erros abrem uma brecha por onde podem ser inseridos comandos que o computador,
desnorteado com a falha, assume ser parte do programa original e passa a seguir estas instruções
implantadas.

O modo como estes comandos são implantados através das falhas é extremamente complexo do ponto
de vista didático, principalmente em um curso básico sobre segurança, sendo um trabalho bastante
árduo até mesmo para os maiores "escovadores de bits".

Portanto tenha em mente que, quando ouvir falar em uma falha de software que permite a invasão de
um sistema ou interrupção de um serviço, você estará vendo o resultado de um trabalho que deveria
ter sido feito na época da construção do programa, mas que ficou para depois, nas mãos de
especialistas e de hackers.
Capítulo 10
Rastreando o hacker - Conceitos básicos
Uma das tarefas que mais tem crescido na área da segurança digital, principalmente nas divisões de
combate re-ativo e departamentos de autoridades legais, é a identificação do autor de um crime
praticado através de computadores, principalmente da Internet.

O rastreamento de um usuário da Internet - qualquer usuário - é possível graças aos inúmeros

registros que nossos acessos executam em cada computador por onde passamos. Alguns deles o fazem
por motivos técnicos, para viabilizar o serviço, outros possuem realmente tal banco de dados para que
sejam auditados quanto à utilização da rede, para estatísticas e mesmo para identificação de
atividades criminosas.

Estes dados geralmente são tratados com o mesmo sigilo com que uma empresa guarda informações
dos seus clientes como, por exemplo, um banco que certifica a inviolabilidade dos dados sobre a
movimentação em uma conta bancária. Por esse motivo a investigação aprofundada dos registros
muitas vezes esbarra em questões de quebra de sigilo, assim como nos bancos, apenas autorizada
mediante imposições legais.

Uma vez permitida a verificação destes registros, os caminhos para se chegar a um hacker -
dependendo da sua habilidade, ou da falta dela - podem ser diretos e limpos ou bastante tortuosos,
mas na grande maioria das vezes começa com a identificação de um número IP, identificador único do
usuário online. (consulte mais informações sobre número IP no capítulo 5)

Fazendo o caminho inverso, fica mais fácil observar por onde as autoridades chegam ao hacker.
Simplificando o nosso exemplo: o hacker liga seu computador e se conecta à Internet. Se esta conexão
estiver sendo feita em uma rede seu número IP será fixo, mas se a conexão for feita via linha
telefônica, seu IP será aleatório. Pela linha telefônica, é necessário discar para um provedor de
acesso, onde a conexão será estabelecida e um número IP será entregue ao hacker.

Então, uma vez conectado, o hacker inicia suas investidas contra determinado alvo na Internet. Este
alvo pode estar protegido ou não. Caso não esteja, o hacker invade e pode tentar apagar seus rastros.
Caso contrário, ou caso o hacker não tenha habilidade ou possibilidade técnica para apagar os
registros, as informações sobre seu acesso - principalmente seu número IP - estarão disponíveis para
uma investigação.

Ao iniciar a investigação, primeiro identificamos a localidade física daquele endereço IP e a que rede
este número pertence. Caso pertença a um computador fixo, seu usuário será investigado
criminalmente a respeito dos acessos indevidos. Caso pertença a um provedor, podemos conseguir,
senão com o próprio provedor, com a empresa de telefonia da região, o número de telefone de onde
partiu a ligação que originou esta conexão em particular. De posse do número de telefone,
encontramos o local utilizado e uma investigação regular sobre o autor é iniciada.

Evidentemente este é um caso muito simples e fácil de resolver, motivo pelo qual os criminosos
experientes que executam grandes façanhas online se protegem de várias formas. Vamos analisar as
principais:

• Invasão de um servidor intermediário - O hacker pode procurar computadores na internet

(geralmente servidores secundários, de pouca importância) onde conseguem controle total
sobre o sistema. A partir deste computador, ele inicia suas atividades que, ao serem
rastreadas, levarão os investigadores ao ponto intermediário de onde partiu o ataque.
Normalmente seria possível continuar a investigação a partir deste ponto, até chegarmos no
computador original. Entretanto, ter o controle total sobre um ponto intermediário é o
suficiente para que o hacker bloqueie o caminho de volta, já que ele pode apagar todos os
registros neste ponto e frustrar a investida contra seus rastros.

• Enganar o sistema de telefonia - Caso o hacker não queira deixar o conforto do seu lar, ou
precise de equipamentos específicos para uma invasão, a saída é bloquear a investigação no
último nível, que é a identificação através do número de telefone - ou sistema que o
substitua. O sistema de telefonia ainda possui uma grande desatenção com relação a
segurança sobre reprogramação de centrais telefônicas. É possível, inclusive, ter acesso físico
aos cabos de telefones nas maiorias das ruas e substituir ou adicionar ligações, de forma que
atividades criminosas sejam feitas através de linhas de terceiros.

• Manter-se sempre em movimento - Com a facilidade de comunicação móvel e pontos públicos

de acesso à rede, fica cada dia mais fácil executar crimes virtuais sem que uma identificação
positiva seja concretizada. É possível, por exemplo, utilizar vários sistemas de acesso público,
como cybercafé ou quiosques para iniciar uma sondagem sobre um determinado alvo e, uma
vez identificada a possibilidade de invasão, procurar meios mais seguros de utilizar
ferramentas especiais como, por exemplo, linhas telefônicas em quartos de hotel ou
equipamentos celulares e notebooks.

No próximo capítulo vamos analisar dois casos de rastros, uma recente identificação de um grupo
hacker brasileiro e a monumental investigação que levou o famoso hacker Kevin D. Mitnick à prisão,
em 1995.
Capítulo 11
Rastreando o hacker - Exemplos reais
Dando continuidade ao capítulo anterior sobre o rastreamento de hackers, vamos exemplificar nosso
curso com dois casos de investigação que ficaram na história da Internet.

O primeiro caso é o do grupo Inferno.br, responsável por inúmeras invasões de sites no Brasil e no
exterior, que logo despertou o interesse da equipe especializada em crimes virtuais comandada, na
época, pelo delegado Mauro Marcelo de Lima e Silva, da Polícia Civil de São Paulo.

O grupo de hackers parecia ser bastante cuidadoso apagando sempre seus rastros nos sistemas
invadidos, mas cometeu uma falha: divulgou um email para contatos, atitude até então rara de se ver
em invasões em série como as praticadas pelo grupo. Era uma conta de email gratuita, oferecida pelo
Hotmail, atualmente de propriedade da Microsoft.

Além das tentativas de investigação nos locais dos crimes - o que é muito trabalhoso, principalmente
em se tratando de vítimas internacionais - os especialistas se dirigiram à Microsoft, solicitando o
fornecimento de informações sobre a caixa-postal do grupo, principalmente sobre os usuários que a
verificavam regularmente.

Mesmo que as mensagens não tivessem nenhum conteúdo, o simples fato de consultá-las mostraria
informações sobre a localização - no mínimo alguns números IPs - das máquinas e redes utilizadas,
levando a equipe cada vez mais perto dos invasores, até uma identificação positiva ser feita.

O grupo alegava que esta verificação de correspondência era feita de forma anônima - como pode ser
visto nas declarações que substituíam as páginas invadidas - mas provavelmente não tinham controle
sobre os pontos intermediários de acesso para impedir o rastreamento das suas informações.

Cerca de cinco anos antes, Kevin David Mitnick, invadira a rede particular de um especialista em
segurança procurando códigos hackers para telefones celulares. Sua ação foi muito bem executada e
os rastros foram apagados tão bem quanto se tivessem sido feitos localmente mas, para a sua
infelicidade, Tsutomu Shimomura foi mais hábil, conseguindo recuperar traços de arquivos apagados -
inclusive os logs - identificando números IPs utilizados durante o ataque.

Após vários dias de estudos, foi possível identificar algumas conexões, partindo de vários pontos de
presença do provedor americano Netcom que, de acordo com as informações disponíveis, tinha como
origem ligações da cidade de Raleigh, mas com um agravante: ligações de um telefone celular.

Entretanto, as investigações de Shimomura não eram amparadas pela lei e foi preciso uma licença
especial para "espionar", diretamente no backbone da Netcom, os passos do hacker, até que provas
legais fossem juntadas para dar base à perseguição.

A equipe de investigadores receava que Kevin estivesse acessando a rede de pontos diferentes na
cidade, o que tornaria a caçada praticamente impossível, mas ele cometeu o maior erro da sua longa
vida de crime: acessava sempre de seu apartamento - alugado sob um nome falso.

Com o auxílio da operadora de telefonia celular, foi possível identificar de que célula (antena)
provinha as ligações daquele número, o que diminuiu a área de busca para cerca de 1Km, permitindo
à equipe utilizar rastreadores manuais e antenas direcionais para identificar primeiro a direção,
depois o prédio e finalmente o apartamento de onde vinham os sinais do celular, onde a polícia
efetuou a prisão em flagrante de um dos hackers mais conhecidos e procurados de todos os tempos.

Nos dois exemplos acima podemos perceber que mesmo os mais experientes hackers deixam rastros
das suas atividades na rede, não por falta de conhecimento ou habilidades, mas porque essa é uma
tarefa extremamente complexa e, assim como não existe sistema livre de falhas - o que permite as
ações hackers - não existe hacker livre de falhas - o que permite seu rastreamento e captura.

Fonte: www.hackers.com.br

Diego Darlan
Admin.diegodarlan@hotmail.com