terça-feira, 11 de março de 2008

Liberty aliance whitepaper: Identity Theft Primer

Perguntaram para um ladrão famoso o porquê dele roubar bancos, ele respondeu: “Porque é lá que está o dinheiro”, hoje o dinheiro está em informações e o uso indevido dessas informações pessoais, têm dado prejuízos que está estimado na casa dos 47,6 bilhões de dólares, com custo anual para suas vítimas em torno de 5 bilhões e perdas do comércio entre 1,5 a 3 bilhões anualmente.

O crime de roubo de identidade não é algo oportunista, e bastante preparado, o que tem
chamado a atenção do crime organizado, que utiliza estas informações pelo retorno financeiro direto e utilizando falsas identidades para outras atividades criminais.

O uso indevido de cartões de crédito, solicitações de novas contas com nome alheio, ou conseguir acessar contas existentes, são modalidades do roubo de identidade, e as informações viram dinheiro com a abertura de novas linhas de crédito, saque de contas das vítimas, compras de bens e venda destes por preços abaixo do mercado, fraude de cartão de crédito e uso de sua boa reputação - esta ultima maia associada a sites de compras onde o ladrão usa a boa reputação de um usuário de site de compras (tipo e-bay, mercado livre) para atrair clientes e após finalizada a compra e recebido o dinheiro, não entrega a mercadoria prometida.

O ciclo de vida do roubo de identidade tem seis fases: planejamento, preparação, ataque coleta, fraude e pós-ataque, onde todos estamos vulneráveis pois dentre vários problemas, encontramos bancos de dados de empresas que possuem informações pessoais nossas podem ser invadidos; o uso indiscriminado de registro geral (nos EUA o SSN e no Brasil o CPF) para cadastros; computadores pessoais desprotegidos, seja por não preocupação do usuário em manter o computador protegido, seja por uso de produtos, que para cumprir um prazo de lançamento deixam a segurança em 2º plano, ou falhas na concepção que trazem consigo problemas nessa área; as relações com muitas instituições que estão cada vez mais impessoais o que torna as informações cadastrais como único identificador das pessoas.

O texto traz sugestões de leitura para prevenir o roubo de identidade, no site www.projectliberty.org em especial “The Data Custodian’s Guide to Stopping Identity Theft”, “The Policy-Maker’s Guide to Stopping Identity Theft” e “THe Technologist’s Guide to Stopping Identity Theft”.

terça-feira, 4 de março de 2008

Digital Fears Emerge After Data Siege in Estonia

Devido a retirada de uma estátua de um soldado soviético do período da segunda guerra, pelo governo estoniano para um cemitério militar de difícil acesso, os descendentes russos, minoria no país, se mostraram contra, fazendo violentos protestos nas ruas e, por conseguinte, na internet, que é vital no cotidiano estoniano. Suspeitaram de envolvimento do governo russo na ação, o que não conseguiu se fazer demonstrar posteriormente.

Foi utilizado como técnica de ataque o denial-of-service, bombardeando sites importantes para o país com informações, entupindo, não somente servidores como também roteadores e switches. Foi utilizado também para aumentar o poder do ataque botnets.

Desta forma conseguiram derrubar os servidores, que fez, dentre outros inconvenientes, com que o maior banco do país computasse perdas de no mínimo 1 milhão de dólares, e para não perder mais, tiveram que fechar o acesso para pessoas fora do país; o parlamento ficou 4 dias sem o serviço de e-mail. Só foi preso e depois liberado um jovem de 19 anos, estoniano, descendente de russos.

O ataque denial-of-service é uma técnica de interrupção, onde o servidor, bombardeado de informações, ficou indisponível para realizar suas atividades-fim. O que se viu foi uma falta de gerenciamento de riscos, que deve ser preventiva e identificando desde sua concepção e durante todo seu uso para ao menos minimizar os riscos.

As ações realizadas foram somente para avaliar as falhas e minimizar os danos, pois pouco pôde ser feito para impedir o ataque, num sistema complexo demais, logo muito vulnerável.