Fornecedora de soluções de segurança lista os grandes riscos embutidos nos ambientes colaborativos e que devem ajudar na elaboração das políticas de acesso.
Os departamentos de TI têm demonstrado preocupação, já há algum tempo, em relação aos riscos que as redes sociais podem representar para as organizações. E a preocupação não é infundada, de acordo com a fornecedora de soluções de segurança de redes Palo Alto Networks.
A empresa listou as dez principais ameaças a que as empresas estão sujeitas quando seus funcionários acessam as redes sociais e como isso deve influenciar a criação das políticas de acesso.
1::Worms. Entre os vermes (worms, em
inglês) de redes sociais estão o Koobface, que se tornou, de acordo com
pesquisadores, “o maior botnet da web 2.0”. Apesar de uma ameaça multifacetada
como o Koobface desafiar o que entendemos por “verme”, ele é projetado
especificamente para se propagar pelas redes sociais (como Facebook, mySpace,
Twitter, hi5, Friendster e Bebo), aliciar mais máquinas à sua botnet, e
sequestrar mais contas para enviar mais spam para aliciar mais máquinas. Tudo isso
para lucrar com os negócios típicos das redes botnets, como scarewares (como
antivírus falso) e serviços de encontros românticos com sede na Rússia.
2::Isca para golpes de phishing. Alguém se lembra do
FBAction? O e-mail que lhe pedia maliciosamente para se conectar ao Facebook,
torcendo para que ninguém percebesse a URL fbaction.net no campo de endereço do
navegador? Muitos usuários do Facebook tiveram suas contas invadidas e, embora
tenha sido apenas “uma fração menor que um por cento”, o total de vítimas ganha
corpo quando lembramos que o Facebook tem mais de 350 milhões de usuários. Pesa
a favor do Facebook o fato de ter agido rápido, trabalhando para incluir o
domínio numa lista negra, mas desde então surgiram muitas cópias descaradas (por
exemplo, fbstarter.com). Desde então, o Facebook tem brincado de gato e rato
com esses sites.
3::Trojans. As redes sociais têm-se tornado um excelente
vetor para Trojans (cavalos-de-Troia). Basta se deixar seduzir por um aviso suspeito
de “clique aqui” para receber:
*Zeus – um potente Trojan de roubo de dados bancários potente
que, apesar de popular, ganhou vida nova nas redes sociais. Diversos roubos de
grandes somas já foram atribuídos a Zeus. Um exemplo notável: o que teve como
vítima a administração escolar central de Duanesburg, no Estado de Nova York
(EUA), no fim de 2009.
*URL Zone – é um Trojan similar, mas bem mais esperto. Ele é
capaz de comparar o saldo das contas da vítima para ajudá-lo a decidir quais
roubos merecem prioridade.
4::Vazamento de informações. Compartilhar está na alma das
redes sociais. Infelizmente, muitos usuários compartilham mais do que deveriam
sobre empresas e entidades, com dados sobre projetos, produtos, informações
financeiras, mudanças organizacionais, escândalos e outras informações
importantes. Há até maridos e esposas que divulgam, na rede, como seu
companheiro ou companheira tem trabalhado até tarde em projetos altamente
confidenciais, acompanhado de mais detalhes sobre o tal projeto do que seria
aceitável. As consequências desse tipo de indiscrição vão do embaraçoso ao
jurídico.
5::Links encurtados. As pessoas usam serviços de
encurtamento de URL (como bit.ly e tinyurl) para fazer caber URLs compridas em
pequenos espaços. Eles também fazem um ótimo trabalho de esconder o link
original; desta forma, as vítimas não serão capazes de perceber que estão
clicando em um programa instalador de malware e não num vídeo da CNN. Esses
links encurtados são muito fáceis de usar e estão por toda parte. Muitos dos
programas para Twitter encurtam os endereços automaticamente. E as pessoas
estão acostumadas a vê-los.
6::Botnets. No fim de 2009, pesquisadores de segurança
descobriram que contas desprotegidas do Twitter estavam sendo utilizadas como
um canal de comando e controle para algumas botnets (redes de PCs vulneráveis,
comandadas remotamente). O canal padrão de comando e controle é o IRC (rede de
bate-papo), mas alguns cibercriminosos decidiram explorar outras aplicações – como
o compartilhamento de arquivos P2P, no caso do Storm – e agora, engenhosamente,
o Twitter. O microblog tem fechado tais contas; mas, dada a facilidade de
acesso das máquinas infectadas ao Twitter, a situação terá continuidade. Assim,
o Twitter também se torna adepto das brigas de gato e rato…
7::Ameaças persistentes avançadas. Um dos elementos-chave
das ameaças persistentes avançadas (APT, na sigla em inglês) é a obtenção de
dados sigilosos de pessoas de interesse (exemplos: executivos, diretores,
ricaços), para o que as redes sociais são um verdadeiro tesouro de informações.
Quem usa APTs emprega as informações obtidas para seguir adiante com mais
ameaças – aplicando mais “ferramentas de inteligência” (como malwares e
Trojans) e, com isso, ganhando acesso a sistemas importantes. Assim, apesar de
não estarem diretamente ligadas às APTs, as redes sociais são uma fonte de
dados. Menos exótico, mas não menos importante para indivíduos, é o fato de que
informações sobre sua vida e suas atividades servem de munição para o ataque de
cibercriminosos.
8::Cross-Site
Request Forgery (CSRF). Embora não sejam um tipo específico de ameaça –
é mais uma técnica usada para espalhar um sofisticado verme de rede social -,
os ataques CSRF exploram a “confiança” que uma aplicação de rede social tem quando
funciona sob o navegador de um usuário já conectado à rede. Durante o tempo em
que essa aplicação não verificar novamente a autorização que lhe foi concedida,
será fácil para um ataque infiltrar-se no canal de conexão do usuário, enviando
conteúdos maliciosos que, clicados por outros, fariam mais vítimas, que por sua
vez ajudariam a espalhá-lo.
9::Impostura (passar por alguém que você não é). Várias contas
de redes sociais, criadas por pessoas de destaque e seguidas por milhares de
pessoas, têm sido invadidas (o caso mais recente é o de um punhado de políticos
britânicos). Mesmo sem invadir contas, diversos impostores têm conquistado
centenas e milhares de seguidores no Twitter, só para depois constranger as
pessoas que fingem ser (exemplos: CNN, Jonathan Ive, Steve Wozniak, Dalai
Lama), ou fazer coisas piores. O Twitter disse que a partir de agora vai
bloquear esses farsantes que tentam manchar o nome de suas vítimas, mas sob sua
decisão. Já ficou comprovado que a maioria dos impersonators não distribui
malware, porém algumas contas já fizeram isso (como a do Guy Kawasaki).
10::Excesso de confiança. O ponto em comum entre todas essas
ameaças é a tremenda confiança depositada nas aplicações sociais. Como o e-mail
na época em que chegou às multidões, ou o mensageiro instantâneo quando se
tornou onipresente, as pessoas confiam em links, fotos, vídeos e arquivos
executáveis sempre que eles são enviados por “amigos”, pelo menos enquanto não
caírem do cavalo algumas vezes. Parece que as aplicações sociais ainda não
deram seu coice a um número suficiente de pessoas. A diferença em relação às
redes sociais é que o propósito delas, desde o começo, é compartilhar (muita)
informação, o que implicará numa curva de aprendizado mais longa para a maioria
dos usuários. Isso quer dizer que as pessoas ainda terão que cair do cavalo mais
algumas vezes.
