-1º Entrada de dados em formulários
Bom pessoal, daqui pra frente estarei disponibilizando nesta
coluna algumas informações sobre segurança em sistemas de
compras online, pagamentos, etc. E algumas fraudes que ando
descobrindo. E talvez até para alertarem algumas pessoas
dos riscos que estão correndo fazendo coisas 'anormais' na Internet.
CARTÃO DE CRÉDITO
Você compraria alguma coisa na Internet com cartão de crédito?
Hoje não podemos falar que a Internet é insegura, mas sim que
as pessoas a deixam insegura. Atualmente existem vários sites na
Internet que não dão a mínima para os dados de clientes.
Como assim, não dão a mínima?
Infelizmente, vários sites não tem uma política de segurança
que verifica consequências em cada transação, desde a entrada
do número de cartão de crédito em um formulário web, até a confirmação
do pedido junto a administradora do mesmo.
Estarei explicando o que pode acontecer em cada passo da transação.
1º Entrada de dados em formulários
Quando você seleciona um produto que gostaria de comprar, e
é remetido para a página de entrada dos dados de cobrança,
quem te garante que naquela página não tem um código malicioso
que grava as suas informações em algum lugar paralelo?
Já vi muitos casos de invasões em que foi alterado o formulário
de entrada, enviando automaticamente todos os dados para um
email qualquer.
2º Envio dos dados
E no meio da infra-estrutura da Internet no Brasil, será que
não tem ninguém verificando o que está passando? Neste final
de ano eu estava fazendo uma análise de segurança em um cliente.
O provedor em que ele estava conectado tinha um problema grave
de segurança que permitia a visualização de todos os dados que
estavam passando pelo sistema. Fazendo um teste rápido na rede
do provedor, consegui pegar vários emails transitando, como
usuários, senhas, senhas de roteadores. Em apenas uma
tarde. Então, saber se o site tem um certificado de segurança
é muito importante, pois com esse certificado ele pode criptografar
as informações quando estão sendo enviadas e descriptografar do
outro lado.
3º Armazenamento dos dados
Hoje sua empresa tem um servidor que está com os últimos
patches aplicados, raramente alguém vai conseguir entrar nele.
Mas o seu sistema de cobrança tem que ler a entrada dos dados
em um arquivo chamado 'cobrança.txt' que está armazenado na
máquina de um dos vendedores. Pronto, já está furado todo o
esquema de segurança. Tem que se pensar também no armazenamento
das informações. Este é um dos principais pontos da rede.
A primeira coisa que uma pessoa não autorizada irá fazer, se
entrar no sistema, é tentar localizar os dados.
Só para descontrair um pouco, vou contar algumas coisas
que certas pessoas andam fazendo com cartões de crédito roubado.
Infelizmente, as pessoas gostam/querem conseguir as coisas
utilizando a lei do mínimo esforço. O que seria isso? Atualmente
no interior do estado de São Paulo, existe uma rede de contrabando
de materiais de informática e eletroeletrônicos. O pessoal se vê
com um cartão de crédito na mão, e pensa que pode tudo. Em primeiro
lugar, comprar utilizando-se de fontes alheias é crime. E as
pessoas que estão colaborando, comprando esses produtos
contrabandeados também são criminosa, pois estão recebendo
equipamentos 'roubados'. Fiquei sabendo que estão até
carregando celulares pré-pagos com cartões de créditos roubados.
E ainda tiveram a cara de pau de contar que estão usando 'geradores
de cartões de créditos (ccmaker)'.
Bom pessoal, não procurei ser técnico neste primeiro artigo,
gostaria de informá-los do modo mais simples sobre o que está
acontecendo hoje principalmente na Internet brasileira.
Espero que esse artigo seja um alerta para essas pessoas pararem
de fazer isso, pois estão apenas se prejudicando. Se for pego em
flagrante, infelizmente é cadeia na hora. E já foram avisadas
disso. Mas sabe como que é né.