1 de Junho de 2009

Redes sociais estão na mira de Crackers

Publicado por Leonardo Sussuarana em Tecnologia, Twitter | Enviar por e-mail.

cracker - cracker

Redes sociais estão na mira de Crackers há muito tempo. Que uma coisa fique bem clara: não são os Hackers que causam prejuízos, mas sim o Crackers…

Sites como Orkut, Twitter, MySpace e Facebook são usados para manter contatos com conhecidos, amigos e colegas de trabalho. Por isso, uma mensagem, um link que circula por um desses sites carrega uma credibilidade maior, permitindo que códigos maliciosos dos mais variados consigam se espalhar. Se isso não fosse o bastante, existem ainda erros de segurança que dão “vantagens” para os malfeitores. Nesse cenário, é possível proteger as informações inseridas de forma restrita nesses sites? Talvez não, mas ainda dá para aproveitar algumas facilidades das redes sociais sem perder muita segurança, desde que o perfil seja gerenciado com cuidado.

PainelTwitter - PainelTwitter

Painel de administração do Twitter já foi acessado por crackers. Dados de todas as contas ficaram expostos, mas não foram acessados.

Na última sexta-feira, dia 29, começou a ser divulgado pela internet a existência de uma brecha no Twitpic que poderia permitir ataques no Twitter. O Twitpic é um site auxiliar do Twitter, que serve para armazenar as fotos postadas pelos usuários. Também foi noticiado que os novos golpes visam roubar informações dos usuários do serviço de microblog.

Para o uso seguro das redes sociais é importante manter em mente que a conveniência trazida por elas vem ao custo da privacidade. Quanto mais informações você revelar publicamente, maior será a chance de ser encontrado por outras pessoas. Por outro lado, você estará se expondo mais, aumentando riscos.

É preciso também compreender que mesmo informações fechadas para amigos, ou até dados que somente a rede social utiliza – como por exemplo as listas de “favoritos”, “gatas(os)” e “paquera” no Orkut, ou o número de celular no Twitter – podem ser comprometidos no caso de um vírus ou roubo de conta.

A tendência é a de que os golpes dentro das redes sociais não parem. E a maioria deles se dá na forma de pragas digitais.

Vírus em redes sociais usam a arma da simplicidade

A rede social mais popular no Brasil, o Orkut, foi atacada em larga escala por um vírus pela primeira vez em maio de 2006. A praga tinha um funcionamento simples: ao ser instalada, ela tentava verificar se o Orkut estava aberto no Internet Explorer. Se estivesse, o código malicioso usava as credenciais de acesso armazenadas no navegador para enviar um recado (scrap) a todos os amigos da vítima.

A mensagem, que vinha acompanhada do link para o vírus, era a seguinte:

“Dá uma olhada nas fotos da nossa festa, ficaram ótimas.”

Com essa frase tão simples, o vírus conseguiu infectar milhares de usuários. É justamente a banalidade da situação – um amigo enviando fotos de uma festa – que não despertou suspeita. Algumas vítimas afirmaram que o amigo que enviou a mensagem infectada tinha, de fato, participado de uma festa com elas alguns dias antes.

A lição para os internautas é clara: mesmo os recados e mensagens mais corriqueiros e banais podem ser maliciosos.

Mesmo com medidas do Google, perfis falsos ainda existem na rede do Orkut em grande quantidade.

Desde então, o Google adicionou – lentamente e à prestação – diversos recursos de segurança ao Orkut para impedir que criminosos se aproveitassem do site tão facilmente. Funcionou, em parte também porque os usuários têm ficado mais espertos. Mas os golpes ainda continuam, em escala menor, porém talvez em maior número.

Vale dizer que nada disso está restrito ao Orkut, ou ao Twitter.

O MySpace também foi alvo de diversos abusos semelhantes, além de ser usado como intermediário em infecções.

O Facebook “ganhou” uma família de vírus própria, chamada de Koobface, que já tem mais de 56 variações.

Em janeiro, começaram a aparecer em escala razoável perfis falsos na rede social profissional LinkedIn.

Há pouco mais de duas semanas, a fabricante de antivírus Panda Security publicou um alerta informativo sobre os novos links maliciosos divulgados em comentários do YouTube.

Golpes não dependem unicamente de falhas de segurança

Alguns sites, como o Orkut e o Facebook, permitem que aplicativos de terceiros sejam executados no perfil. Já no caso do Twitter, existe uma interface pública que viabiliza serviços como o TwitterFeed e o Twitpic, além de clientes como o TwitterFox, entre outros. Essas funções podem facilmente conter erros e/ou vazar informações que os usuários talvez não queiram que sejam publicadas. Outro problema é que as informações ficam armazenadas em mais de um local. Uma informação colocada no perfil não pode mais ser considerada um segredo, torna-se pública e de acesso a qualquer pessoa.

A falha que foi descoberta pelo especialista Aviv Raff no TwitPic é do tipo XSS, pois permite que códigos sejam injetados na página

Outros dois problemas de segurança comuns enfrentados por sites de redes sociais são o XSS (Cross-site Scripting) e XSRF (Cross-site Request Forgery). Eles permitem, respectivamente, que código não-autorizado seja executado no navegador do internauta em nome do site, e que uma página de terceiros realize ações como se fosse o internauta visitante.

Porém, as mensagens maliciosas e perfis falsos em redes sociais costumam explorar outra coisa: a curiosidade dos internautas. Com isso, os próprios usuários acabam se infectando, sem saber, ao clicar em links plantados por criminosos. A enganação, também chamada de engenharia social, independe de qualquer recurso da segurança do website.

Também é possível que vírus contraídos por outros meios, como mensageiros instantâneos ou e-mails, capturem os dados de acesso à rede social. Em outras palavras, o vírus não precisa circular pela rede social para capturar essas informações. E de fato muitas pragas que usam as redes sociais na verdade têm outros interesses, como, por exemplo, instalar um antivírus fraudulento no PC.

Algumas dicas de segurança bastante úteis

Embora hoje muitos vírus não sejam sofisticados o bastante para roubar dados das redes sociais para auxiliar outros golpes, se os criminosos forem espertos isso não deve continuar por muito tempo. Abaixo enumeramos algumas dicas úteis que podem ajudar, pelo menos a diminuir a ocorrência de acessos não autorizados:

1) Considere qual será o uso da rede social ao se cadastrar uma informação ou ao usar um serviço. Em outras palavras, o que você quer aproveitar de cada rede social? Se você não espera receber uma oferta de emprego pelo Orkut, melhor não cadastrar o número de telefone comercial lá, ou mesmo qualquer informação profissional. Se você tentou usar o Twitter pelo celular e desistiu, retire seu número do cadastro. E se não retirar, lembre-se que seu número de telefone foi deixado lá!

2) Proteja-se de vírus, mas lembre-se que seus amigos podem ser infectados também. Ter em mente a vulnerabilidade de seus amigos o ajudará a não pensar que algo está protegido porque somente eles têm acesso.

3) Procure sempre manter em mente o cálculo “ganho em conveniência” e “perda de privacidade”. Você estará fazendo essa troca o tempo todo, e às vezes a conveniência ganha é superior à privacidade perdida – ou vice-versa! Acessar a rede social a partir de um computador público como uma lanhouse, por exemplo, pode ser conveniente, mas pode acabar resultando no roubo da sua conta. uma vez roubada a sua senha de acesso, de nada adianta formatar a máquina nas empresas especializadas e muito menos comprar novos equipamentos, uma vez que a senha já foi roubada.

4) Não dispense cuidados gerais de segurança com o PC ou notebook. Ter um computador seguro de modo geral é necessário para que todas as outras tarefas – de compras online ao acesso a sites de redes sociais – sejam realizadas com segurança.

5) Antivírus atualizado. Essa tem que ser a principal preocupação de qualquer usuário. De nada adianta ter uma máquina Sony VAIO Top de linha, daquelas que ainda nem estão à venda aqui no Brasil, se você não tem um bom programa de proteção. É o mesmo que comprar um Porsche e deixar a chave na ignição, com a porta do carro aberta e sem ninguém por perto, com o carro estacionado numa rua pouco iluminada e deserta da periferia.

De qualquer forma, o principal é resumido no seguinte: “Todo cuidado é pouco”.

assinatura3 - Assinatura Sussuarana
 

 
Leonardo
Sussuarana
+55(61)8115-7294
 

Deixe uma resposta

:mrgreen: :neutral: :twisted: :shock: :smile: :???: :cool: :evil: :grin: :oops: :razz: :roll: :wink: :cry: :eek: :lol: :mad: :sad: