Como um hacker cuida de sua própria segurança?

Adrian Lamo é um famoso hacker (gray hat) americano, conhecido por quebrar uma série de sistemas de alta segurança de empresas como Microsoft, Yahoo, MCI Worldcom, e empresas de telefonia. Foi preso em 2003, após invadir o New York Times, inserir seu nome em uma base de dados de fontes especialistas do jornal e conduzir pesquisas de sigilo máximo, usando a conta do NYT junto à LexisNexis* para tal fim. Em 2010 ganhou novamente notoriedade ao denunciar ao Exército Americano o especialista Bradley Manning como o responsável pelo vazamento de milhares de documentos confidenciais do Exército e até mesmo um vídeo de um ataque a Bagdá, Iraque.

Como, então, um sujeito com este histórico mantém sua própria segurança? Em entrevista recente ao Huffington Post, ele revela que utiliza um gerador digital de senhas, um pequeno dispositivo como os que os bancos entregam a seus clientes e que gera uma nova senha a cada 60 segundos. Para alguns acessos, ele acrescenta uma camada extra de proteção ao solicitar uma senha que é gerada aleatoriamente e enviada a ele via SMS. Também afirmou que usa certas extensões nos browsers para evitar malware e que usa um browser exclusivo para acessar com segurança os sites mais protegidos.

Ele mesmo admite que algumas de suas técnicas de defesa podem parecer “Missão Impossível” para um usuário comum, mas é interessante observar o quanto um hacker altamente qualificado investe em sua própria segurança. E sempre há uma ou outra ação que podemos trazer para o nosso dia a dia, tornando-o mais seguro.

Pode-se, por exemplo, desabilitar o JavaScript no Acrobat Reader já que muitos hackers incluem malware em documentos PDF. Para o Firefox, há uma extensão chamada NoScript, que só permite que websites previamente autorizados possam rodar JavaScript. Uma boa prática também é nunca abrir uma página desconhecida (ou sabidamente perigosa) ao mesmo tempo em que se está com uma página de internet banking aberta, por exemplo.

Outro artifício utilizado por Lamo e outros especialistas é o HTTPS Everywhere – uma extensão para browsers que criptografa todo o tráfego de modo a que não se possa capturar informação por terceiros.

Um outro hacker, Andrew Auernheimer (conhecido como Weev), utiliza software ‘off-the-records messaging’ que garante que não haverá escuta em suas conversas online, permite identificar quem são as pessoas com quem está falando e não deixa nenhum vestígio de que a conversa ocorreu.

É fato que todas as medidas citadas aqui não são triviais. E é fato que a simples ação de se pensar em segurança já nos leva a um estado mais seguro. No final do dia, o que realmente importa é uma boa dose de ceticismo ao utilizar a internet, definir senhas, prestar atenção no que baixa, pensar mais antes de usar a rede. Um comportamento irresponsável certamente tornará ainda maior o número de vítimas de cibercriminosos.

.Por: Flávio Carvalho, diretor de Serviços da Arcon | Perfil-Arcon: atuando no mercado nacional desde 1995, a Arcon é uma empresa especializada em serviços gerenciados de segurança (MSS – Managed Security Services). A companhia tem por missão selecionar, implantar, monitorar e operar sistemas de proteção da informação que maximizem o resultado dos investimentos e aumentem o nível de segurança das empresas de médio e grande porte do Brasil.

Com SOCs redundantes localizados nas cidades do Rio de Janeiro e São Paulo e uma equipe de profissionais de segurança certificados e altamente capacitados, a Arcon gerencia mais de 300 ativos de segurança em todo o País, protegendo mais de 160.000 estações de trabalho e servidores de clientes de diversas verticais, entre elas finanças, telecomunicações, governo, indústria, saúde, energia e educação.

Nos últimos cinco anos a empresa cresceu a uma média de 37% ao ano, conquistou mais de uma centena de clientes e firmou-se como referência no mercado brasileiro de MSS, tendo conquistado ainda o primeiro lugar no ranking Anuário Outsourcing, no segmento MSS, em 2010 e 2011. [www.arcon.com.br].