Portal das Redes Sociais

Os CIOs devem estar atentos às novidades das Web 2.0, com o intuito de equilibrar as oportunidades de negócio com os riscos aos quais as empresas estão expostas.

 

A colaboração online e o compartilhamento de arquivos possibilitados pela Web 2.0 elevam os riscos aos quais as empresas estão expostas a um novo patamar, no qual as ameaças vão além dos ataques às redes corporativas tradicionais e passam também por questões como privacidade e imagem das organizações no mercado.

De acordo com o sócio-fundador e membro do comitê de TI, outsourcing privacidade e segurança do escritório de advocacia norte-americano Foley & Lardner, Michael Overly, a própria natureza das redes sociais e outros sites colaborativos favorece cibercriminosos.

“Essas páginas têm o intuito de reunir o maior número de usuários possível em uma única plataforma, o que, para os usuários mal intencionados, otimiza os resultados de seus crime”, explica ele, o qual complementa: “Isso porque criam o clima perfeito para a disseminação de delitos por meio de engenharia social, bem como pelo envio de vírus e malwares a grandes quantidades de pessoas, simultaneamente”.

A grande vulnerabilidade desses ambientes está no costume dos internautas padronizarem suas senhas de acesso. Levando em conta que é muito mais simples driblar a segurança das redes sociais do que de bancos e redes corporativas, quando os usuários utilizam a mesma combinação de caracteres para diversos fins, os cibercriminosos passam a ter a chave para invadir ambientes mais complexos.

No que diz respeito à credibilidade dos próprios usuários, principalmente quando são executivos com grande responsabilidade nas organizações, as redes sociais podem representar uma ameaça, tanto ao posto ocupado quanto à evolução da carreira. “Ao colocar qualquer conteúdo no Twitter, Facebook ou LinkedIn, os profissionais são vistos pela audiência como porta-vozes das empresas nas quais atuam”, afirma Overly.

Assim, quando divulgam algum comentário sem prévia avaliação podem estar arriscando o sucesso profissional gravemente. Isso porque, além de prejudicar a imagem da companhia (principalmente após a ocorrência de algo que os deixou nervosos), essas palavras podem se tornar empecilhos para futuras contratações ou até motivos para desentendimentos familiares e com amigos.

Para o Overly, alguns direcionamentos simples podem ser determinantes para o sucesso das políticas de segurança corporativa em relação às redes sociais.

1. Não pense apenas no presente

O panorama tecnológico da Web 2.0 é tão amplo e dinâmico que uma ferramenta de segurança criada com base nos moldes atuais certamente estará obsoleta em alguns meses. Por isso, é preciso focar em processos e na instrução dos usuários sobre as ameaças que cercam as redes sociais, bem como na criação de políticas comportamentais para serem seguidas independentemente da plataforma tecnológica usada.

2. Utilize as redes sociais para repensar a segurança

Já que ações serão tomadas na tentativa de blindar a companhia de ameaças provenientes da Web, os gestores de TI podem aproveitar esse momento para reavaliar a eficiência das atuais políticas de proteção e gerenciamento de risco corporativo.

3. Esteja preparado

Com a aceitação massiva dos usuários às plataformas de redes sociais, é certo que algumas delas devem ser transformadas em partes do negócio. Um bom exemplo disso é o LinkedIn, o qual já é utilizado oficialmente por organizações nos processos de recrutamento e de seleção, bem como nas ações de relacionamento com parceiros e clientes. Assim, é importante que o CIO esteja ligado às novidades da Web 2.0 com o intuito de identificar novidades que possam gerar diferencial competitivo às companhias sem oferecer riscos demasiados à segurança da informação.

Joan Goodchild

Dados públicos de 100 milhões de usuários do Facebook caíram na internet na semana passada, agrupados em um pacote facilmente encontrado em vários sites da rede. A notícia só prova algo que especialistas já sabiam: a possibilidade de qualquer informação ser coletada, agregada e analisada. O que se viu na semana passada é apenas uma pequena amostra do que pode ser feito. Os softwares que “varrem” a internet buscando e armazenando informações são chamados de “crawlers”, e é sobre eles que trata a coluna Segurança para o PC.

Como são feitos os sites de pesquisa

Se você já se perguntou como o Google, o Bing e outros sites de buscas conseguem pesquisar tantas páginas na internet, saiba que a resposta é realmente a mais simples possível: o Google visita os sites, segue automaticamente cada link e salva as páginas que acessar.

Depois entra a parte complexa do processo, que é de fato a “mágica” do Google e que permite que as páginas sejam encontradas – é aí que mora o diferencial de cada site de pesquisa.

Esse processo de visita a cada página e de seguir os links é feito por um programa chamado crawler (do inglês: “que se arrasta”, “que engatinha”). Também recebem o nome de “spiders” (“aranhas”), ou ainda, search engine spiders (“aranhas de sites de busca”), em uma brincadeira com o significado da palavra web (“teia”).

Se o crawler não visitou alguma página na internet – talvez porque ninguém fez links para ela – ou o software não conseguiu entender a informação que está em uma página, ela não será localizada pelos sites de busca. Mas os crawlers são continuamente melhorados para que todas as informações sejam coletadas.

Crawlers são usados para outros fins menos nobres. Por exemplo, spam. Crawlers visitam milhões de páginas na internet buscando por qualquer trecho que pareça um e-mail (qualquer coisa seguida de arroba seguida de ponto com; expressando de outra forma, *@*.com, sendo * um “coringa”). Ao analisarem o código das páginas, crawlers também podem encontrar falhas de segurança. Mais tarde, os sites vulneráveis encontrados podem ser invadidos em massa para um ataque coordenado.

Cem milhões de nomes

O código que coletou os dados do Facebook é muito simples. O próprio autor admitiu limitações, como, por exemplo, o fato de ele não acessar as páginas dos amigos dos perfis públicos.

Crawlers de sites de busca seguem links, mas, para isso, têm alguns pontos pelos quais eles “começam” a varrer a internet. O diretório público do Facebook é uma lista de perfis públicos da rede social e, por isso, pode ser um excelente ponto de partida, e foram exatamente esses perfis que o código analisou para compilar a lista de 100 milhões de usuários do Facebook – ou um quinto da rede social, de acordo com dados recentes.

Só o nome de cada perfil foi armazenado, embora todas as informações públicas pudessem ser copiadas. O desafio seria o volume de informação, difícil de ser processado e arquivado. Mesmo assim, o crawler usado era rudimentar.

Se você ainda não teve ideia de um ponto de partida de um crawler para Orkut, pense nas comunidades populares, que chegam a ter mais de um milhão de membros. Várias têm uma lista de membros pública e, mesmo quando esse não é o caso, é fácil conseguir acesso a essas informações. Depois de salvar todos os links dos perfis, basta analisar os perfis dos amigos e refazer o processo. Logo, o montante de perfis teria um volume respeitável.

Agregando e analisando

Depois de ter copiado os dados públicos de todos os perfis, há possibilidades infinitas a respeito de como essas informações podem ser usadas. Uma vez agregadas, é possível realizar análises, cruzar comunidades e também informações. Por exemplo, qual o curso superior mais comum entre quem está em determinadas comunidades de informática? Tendo os dados agregados, essa pergunta poderia ser facilmente respondida.

Se você não vê utilidade para isso, confie na criatividade dos criminosos e dos especialistas. Só os nomes registrados nos perfis do Facebook já serão suficientes para servir de complemento a um software que quebra senhas. Com os dados, o especialista conseguiu determinar quais os nomes mais comuns. Isso é útil para ataques do tipo dicionário, que tentam quebrar senhas usando listas de expressões pré-determinada. Ou seja, sabendo quais os nomes mais comuns, será possível testar primeiro as combinações de usuário/senha com esses nomes, aumentando as chances de conseguir acesso não autorizado em poucas tentativas.

É possível também pensar em ataques mais pessoais: quais são as comunidades mais comuns entre seus amigos? Qual o colégio mais comum? Essas informações seriam muito relevantes para um ataque mais sofisticado de engenharia social (enganação, fraude).

Outro detalhe é que, se crawlers ficarem comuns, informações públicas não poderão ser retiradas da rede, já que, uma vez coletadas, apagá-las na rede social não vai eliminá-las permanentemente da rede.

O que as redes sociais podem fazer

Visitar três milhões de perfis do Orkut certamente cria alguma movimentação – certamente tornaria o crawler o usuário mais assíduo da rede social. É difícil passar despercebido criando esse volume de acessos. Mas crawlers podem ser configurados para fazer alguns poucos acessos por dia. Criminosos com mais recursos podem usar computadores diferentes, em locais diferentes, para distribuir a carga e parecer que os robôs coletores de dados não pareçam mais ativos do que os outros usuários.

Embora as redes sociais possam tardar o efeito dos crawlers, limitando o número de acessos que um mesmo IP pode realizar, realmente há muito pouco que pode ser feito. Complicar a vida dos crawlers é receita para também complicar a vida dos internautas comuns, já que os crawlers maliciosos se disfarçam, copiando, inclusive, os padrões adotados por algum navegador web, de modo a parecer idêntico ao software comum e não ser bloqueado.

O que você pode fazer

Quanto mais informações você disponibilizar publicamente na rede social, mais fácil outras pessoas poderão encontrá-lo – e isso inclui também os crawlers. Simplesmente não há solução fácil: qualquer informação ou comunidade que você participar é informação pública e um crawler vai poder coletar isso.

A criação de um crawler para muitas redes sociais ainda não passa de uma hipótese. Mas, conforme as velocidades de conexão aumentam e o hardware de armazenamento fica mais barato, a tendência é que esse tipo de coisa pareça cada vez mais real e possível.

Se você colocar uma informação na rede, considere-a pública de verdade, como se exposta permanentemente em uma vitrine de um grande centro urbano. Para evitar isso, use os controles de privacidade da rede social e entre apenas em comunidades que você realmente precisa.

Se for uma opção, considere perfis vazios ou o total abandono das redes sociais. Os riscos envolvidos na participação de uma rede

social têm aumentado; você ainda pode usá-las para manter contato com amigos, mas tome cuidado ao expor informações. Talvez você nunca mais consiga tirá-las da rede. Informações G1.