UOL Notícias Internacional
 

30/07/2008

Falha de segurança na Internet coloca em risco informações sigilosas dos usuários

The New York Times
John Markoff
Desde uma reunião secreta e de emergência de especialistas em segurança de computadores na sede da Microsoft, em março deste ano, Dan Kaminsky tem pedido a companhias de todo o mundo que consertem um defeito potencial na estrutura básica da Internet.

Embora os provedores da rede estejam se apressando para resolver o problema, que faz com que seja possível que criminosos direcionem usuários de computadores para websites falsos, nos quais as informações pessoais e financeiras podem ser roubadas, Kaminsky teme que essas medidas não estejam sendo tomadas com a rapidez necessária.

Segundo as estimativas dele cerca de 41% da Internet ainda encontra-se vulnerável. Kaminsky, um consultor de informática que foi o primeiro a descobrir o problema, tem intensificado as pressões sobre as companhias e organizações para que estas façam as mudanças de software necessárias antes que hackers criminosos aproveitem-se da falha.

Na semana que vem ele anunciará publicamente os detalhes do defeito em uma conferência sobre segurança em Las Vegas. Isso deverá forçar a rede de administradores de computadores a consertar milhões de sistemas afetados.

Mas o fato de ele expor a falha também fará com que seja mais fácil para os criminosos se aproveitarem, e roubarem senhas e outras informações pessoais.

Kaminsky caminha sobre uma linha tênue entre a proteção de milhões de usuários de computadores e a redução da confiança dos consumidores nas operações bancárias e compras pela Internet. Mas ele é um dos especialistas que acreditam que a revelação integral das ameaças à segurança pode fazer com que os administradores tomem ações. "Precisamos contar com um planejamento para enfrentar desastres, e temos que nos preocupar", afirma ele.

A falha que Kaminsky descobriu está no sistema de nomes de domínios, uma espécie de catálogo telefônico automático que converte endereços legíveis para os seres humanos, como por exemplo google.com, em correspondentes numéricos que são lidos pelas máquinas.

As conseqüências potenciais são assustadoras. Essa falha poderia permitir que um criminoso redirecionasse secretamente o tráfego da Web, de forma que uma pessoa que digitasse o endereço real de um banco fosse enviada a um site falso, montado com o propósito de roubar o nome e a senha do usuário. O usuário não veria nenhum indício da operação.

O problema é análogo ao risco de alguém telefonar para, digamos, a empresa telefônica AT&T, para perguntar qual é o número telefônico do Bank of America, e receber um número ilícito no qual um operador, passando-se por funcionário do banco, peça o número da conta e a senha do usuário.

Esta falha e a pressa em consertá-la é um lembrete urgente de que a Internet continua sendo algumas vezes um emaranhado anárquico de jurisdições. Nenhum indivíduo ou grupo específico pode tomar medidas para proteger as transações online de milhões de usuários. A segurança da Internet depende de pessoas como Kaminsky, que precisam persuadir outros especialistas de que o problema é real.

"Isso demonstra o risco enfrentado pelas pessoas, e o consumidor precisa captar essa mensagem", afirma Ken Silva, um diretor da área de tecnologia da VeriSign, que administra os endereços da Internet que terminam em ".com" e ".net". "É preciso que não se acredite cegamente na segurança de todas as coisas que as máquinas fazem para nós".

Quando Kaminsky, 29, anunciou a falha, em 8 de julho, ele disse que aguardaria um mês para revelar os detalhes sobre ela, esperando que fosse capaz de estimular os gerentes de sistemas de computadores de todo o mundo a consertá-la com uma ratificação de software antes que os atacantes pudessem descobrir como tirar vantagem dela.

No entanto, na semana passada detalhes acurados sobre o defeito foram publicados brevemente na Internet por uma firma de segurança de computação, aparentemente de forma acidental. Agora os especialistas em segurança estão na expectativa para ver se a ratificação de software em até nove milhões de computadores afetados em todo o mundo será feita com a rapidez necessária.

"As pessoas estão levando isso bastante a sério e ratificando os seus servidores", diz Silva.

Nesta semana os principais provedores de serviços da Internet nos Estados Unidos indicaram que, na maioria dos casos, esse conserto de software, que faz com que seja muito mais difícil tirar proveito da falha, já foi feito ou será providenciado em breve. A Comcast e a Verizon, dois dos maiores provedores de serviços da Internet, anunciaram ter resolvido o problema para os seus clientes. A AT&T informou que está fazendo o mesmo.

Mas o problema é global, e o tempo necessário para consertá-lo pode tornar muitos internautas vulneráveis durante semanas ou meses.

E há milhões de lugares em todo o mundo nos quais as pessoas podem ficar vulneráveis a potenciais ataques, como por exemplo o local de trabalho, a sala de espera de um aeroporto ou um cibercafé.

Indivíduos e pequenas empresas preocupados com a falha e que tenham algum conhecimento técnico podem mudar as preferências de rede das suas configurações de computador de forma que usem servidores de sistemas de nomes de domínios de um serviço da Web chamado OpenDNS, situado em São Francisco.

Alguns sistemas de computadores estão imunes à falha. Cerca de 15% dos servidores de sistemas de nomes de domínios nos Estados Unidos e 40% na Europa, incluindo aqueles de grandes provedores de Internet como a America Online e a Deutsche Telekom, usam o software da companhia holandesa PowerDNS, que não está vulnerável.

Porém, grande parte da Internet encontra-se vulnerável.

"Estou observando as pessoas fazendo o consertos, e percebo que não é uma tarefa fácil", afirma Kaminsky.

A falha, com a qual Kaminsky deparou-se em fevereiro, passou desapercebida durante quase duas décadas. O momento da descoberta ocorreu quando ele estava parado, pensado em uma outra ameaça à segurança. Assim como uma pessoa que fita uma imagem por um longo tempo acaba vendo surgir uma nova imagem, ele percebeu de repente que seria possível colher informações cruciais a respeito do protocolo que os servidores de sistemas de nomes de domínios utilizam para converter os endereços numéricos da Web.

Kaminsky passou vários dias preocupado com a sua descoberta e, a seguir, entrou em contato com Paul Vixie, um engenheiro de software que gerencia o Internet Systems Consortium e que é responsável pela manutenção de uma versão amplamente usada de software para servidores de sistemas de nomes de domínios conhecida como BIND. Quase que imediatamente, os engenheiros de software que examinaram a vulnerabilidade perceberam que Kaminsky havia descoberto uma vulnerabilidade significante de design.

Em março, a Microsoft sediou a reunião secreta na sua sede, em Redmond, no Estado de Washington. Lá, 16 representantes de organizações e companhias de segurança, incluindo a Cisco, discutiram formas de combater a potencial ameaça.

Mas após vários atrasos enquanto os servidores consertavam os seus softwares, Kaminsky anunciou publicamente a falha que descobriu.

Para ele, a descoberta e o alerta resultante à comunidade da Internet foram o ponto culminante de uma carreira de quase uma década como especialista em segurança. Ele ainda estava na universidade quando descobriu falhas em softwares para a Cisco e foi co-autor de um livro sobre segurança de computação.

"Faço isso para proteger as pessoas", diz ele.

Kaminsky acredita ser necessário publicar informações sobre ameaças à segurança para motivar os operadores de sistemas a se protegerem. Caso contrário, a situação fica favorável aos hackers criminosos. "Ninguém diz a um rio para esperar porque precisa de mais tempo até que ele provoque uma inundação", argumenta Kaminsky.

Ele diz que a princípio esperava possibilitar que a comunidade da Internet ganhasse uma dianteira de um mês para resolver o problema, mas qualquer tempo se constitui em uma vantagem importante. O seu plano foi frustrado quando os detalhes técnicos foram publicados brevemente na Internet na semana passada.

"Gostaria que tivéssemos mais tempo, mas conseguimos 13 dias, e eu me orgulho disso", afirma ele.

Esta nova falha exacerbou a discussão a respeito de como encontrar uma solução de longo prazo para o grande problema de falta de segurança no sistema de nomes de domínios, que foi inventado em 1983, sem o propósito de ser usado em operações bancárias e coisas do gênero.

Embora Kaminsky esteja sendo aclamado como um Paul Revere moderno, membros da restrita comunidade de especialistas da Internet que zelam pela segurança da rede, como Bruce Schneier, diretor de tecnologia de segurança da British Telecom, dizem que falhas como esta são rotineiras, e que não há razão para se manter afastado da Internet.

"Se houver um defeito no seu carro, ele acabará sendo consertado, mais cedo ou mais tarde", argumenta Schneier. "A maioria das pessoas continua dirigindo mesmo assim". UOL

Siga UOL Notícias

Tempo

No Brasil
No exterior

Trânsito

Cotações

  • Dólar comercial

    16h59

    0,02
    3,136
    Outras moedas
  • Bovespa

    17h20

    -0,02
    75.974,18
    Outras bolsas
  • Hospedagem: UOL Host