Sítio do Piropo

B. Piropo

< Jornal Estado de Minas >
Volte
08/09/2005

< Cartilha de Segurança >


A Internet, embora criada por inspiração militar, foi desenvolvida por técnicos e cientistas para ser usada por técnicos e cientistas, particularmente pela comunidade acadêmica. Em suma: gente de boa fé. Por isso as preocupações com segurança foram mínimas. Mas mesmo as comunidades constituídas predominantemente por gente de boa fé têm suas ovelhas negras. E não tardou para que seus usuários se dessem conta das vulnerabilidades do sistema. E olhe que isso ocorreu muito antes da popularização da Internet a partir de meados da década de noventa. Para ser exato, em 1988, quando Robert Morris, então um estudante da Universidade de Cornell, nos EUA (hoje ele é professor no Instituto de Tecnologia de Massachussets, o MIT), desenvolveu um programinha que se reproduzia sozinho e se espalhava pela rede, aquilo que hoje conhecemos por “verme” (“worm”). Morris não pretendia prejudicar ninguém, mas mesmo não intencionalmente, seu programeto conseguiu dois resultados inesperados: quase derrubou a rede mundial, infectando dez porcento de seus servidores, e motivou as autoridades a tomarem providências relativas à segurança da Internet. O primeiro, além e causar prejuízos estimados entre dez e cem milhões de dólares, levou Morris à barra dos tribunais, onde foi condenado a quatro anos de prisão (posteriormente convertidos em 400 horas de serviços comunitários e multa de dez mil dólares). O segundo motivou a criação do CERT.

CERT é a sigla de “Computer Emergency Response Team” ou, mal traduzindo, equipe de reação a emergências computacionais. O Programa CERT foi criado pelo SEI (Software Engineering Institute, instituto de engenharia de software), uma entidade da Universidade Carnegie Mellon, Pensilvânia, financiada pelo governo americano. E sua criação atendeu ao apelo da DARPA (Defense Advanced Research Projects Agency), um órgão do Governo americano responsável pelo desenvolvimento de tecnologia para uso militar, assustada com o efeito do verme Morris. Convém não esquecer que lá pelos idos de 1988 a principal razão da existência da Internet era garantir a comunicação entre órgãos militares americanos em caso de ataque nuclear e a possibilidade de derrubar a rede através de um programeto auto-replicante causou arrepios nas autoridades militares.

Assim nasceu o primeiro Centro de Coordenação CERT (CERT/CC), cuja finalidade era coordenar a ação de especialistas durante emergências de segurança na Internet e prevenir futuros incidentes. Hoje, quase vinte anos depois, com a explosão da Internet (e dos incidentes de segurança) nos anos noventa, o CERT/CC expandiu suas atividades por todo o mundo através de parcerias. No Brasil essa pareceria foi feita com o CERT.br.

CERT.br é o novo nome adotado pelo NBSO/Brazilian CERT (NIC BR Security Office Brazilian Computer Emergency Response Team; como se vê, fizeram muito bem em mudar de nome). Um nome que “abrasileirou” a própria sigla, que agora significa “Centro de Estudos, Resposta e Tratamento de incidentes de segurança no Brasil”. É um órgão mantido pelo CGI (Comitê Gestor da Internet) com a finalidade de “receber, analisar e responder a incidentes de segurança em computadores, envolvendo redes conectadas à Internet brasileira”. Seu sítio fica em < http://www.cert.br/ >. Incidentalmente, um comentário à margem do artigo para aqueles que se interessam por programação web: todo o sítio do CERT.br foi desenvolvido usando folhas de estilo em cascata (CSS, de Cascading Stile Sheets) o que resultou em um sítio sem “firulas”, porém limpo, rápido, bem estruturado e fácil de ser consultado; um excelente exemplo de uso apropriado e elegante das CSS.

Um dos serviços prestados gratuitamente pelo CERT.br aos internautas brasileiros é oferecer uma Cartilha de Segurança para a Internet com “recomendações e dicas sobre como o usuário deve se comportar para aumentar sua segurança e se proteger de ameaças na Internet”. Pois bem: anteontem, dia seis de setembro, o CERT.br anunciou o lançamento da versão atualizada de sua cartilha. E o resultado foi um trabalho danado de bem feito.

A Cartilha está em < http://cartilha.cert.br/ > e pode se consultada diretamente. Mas quem clicar no atalho “Download” poderá transferir para seu computador tanto a cartilha completa (em um arquivo comprimido de 1,8 MB) quanto qualquer uma de suas oito partes, o glossário, a “checklist” ou folhetos com dicas de segurança, tudo isso em formato PDF. Ou ainda, durante a consulta direta a qualquer item, clicar no atalho “Versão para impressão” e ter acesso ao item em formato PDF, pronto para impressão.

A Cartilha é dividida em oito partes que vão desde conceitos básicos sobre segurança até uma abordagem minuciosa dos diversos “códigos maliciosos”, passando por temas como os riscos que se corre ao usar a Internet, fraudes, incidentes de segurança, riscos à privacidade, uso de redes sem fio, “banda larga” e spam. Cada parte é subdividida em itens que podem ser consultados individualmente saltando para qualquer um deles simplesmente clicando no atalho correspondente, ou lidos ordenadamente, usando os atalhos para os itens anterior e seguinte no final de cada página. Sempre que uma outra seção ou parte é citada, há um atalho para saltar diretamente para ela.

No que diz respeito a trabalhos sobre segurança na Internet oferecido ao público leigo, a Cartilha do CERT.br é indiscutivelmente o mais completo que conheço. Embora seja impossível evitar o uso de termos técnicos, o Glossário e as referências cruzadas ajudam bastante ao não especialista. E nota-se que foi feito um esforço para usar linguagem tão coloquial quanto possível (por exemplo: o item “Como elaborar uma boa senha?” informa que “quanto mais ‘bagunçada’ for a senha melhor, pois mais difícil será descobri-la”; o uso do termo “bagunçada”, embora pouco ortodoxo, é absolutamente apropriado ao contexto, levando em conta o público alvo).

Se você é um usuário experimentado e acha que uma “Cartilha” é algo demasiadamente elementar para seu nível de conhecimento, sugiro um pouco de humildade e uma consulta à Cartilha do CERT.br. É claro que muita coisa do que encontrará lá já será do seu conhecimento. Mas garanto que a visita será proveitosa. Porque há coisas que, talvez por serem demasiadamente óbvias, não nos ocorre que implicam riscos à segurança.

Por exemplo: o trecho que trata dos “blogs” (sim, o documento é riquíssimo e aborda quase tudo que possa envolver qualquer risco à segurança, de ataques tipo DDoS a sítios de relacionamento como o Orkut e programas de mensagens instantâneas tipo MSN ou trocas de arquivos como o Kazaa) recomenda cuidado com o que se posta. Tem muita gente que trata o blog como uma espécie de diário pessoal, uma forma de compartilhar com os amigos seus anseios, desejos, ocorrências do dia-a-dia e informações pessoais. E postam ali dados como endereço, telefone, informações sobre seu cotidiano (a que horas costuma sair e voltar para casa, viagens programadas, horário em que freqüenta caixas eletrônicos e coisas que tais). Além de informações como “estou encantado com meu novo computador que me custou os olhos da cara”. Conhecimentos que, nas mãos dos amigos, não apresentam risco algum. Mas, sendo o blog um instrumento eminentemente público, os inimigos e pessoas mal intencionadas também têm acesso a ele. E, tornando públicas certas informações, você pode estar ajudando um biltre a planejar um assalto ou roubo à sua residência.

Pois eu confesso que isso jamais me havia ocorrido. Não obstante, está lá, na Cartilha.

Sendo você ou não especialista em segurança, recomendo veementemente uma visita. E me congratulo com a equipe do CERT.br por seu excelente trabalho.

 

B. Piropo