HUERLEN HACKS

INTRUDUÇÃO

        Bom pessoal, daqui pra frente estarei disponibilizando nesta coluna algumas informações sobre segurança em sistemas de compras online, pagamentos, etc. E algumas fraudes que ando descobrindo. E talvez até para alertarem algumas pessoas dos riscos que estão correndo fazendo coisas 'anormais' na Internet.

CARTÃO DE CRÉDITO

        Você compraria alguma coisa na Internet com cartão de crédito? Hoje não podemos falar que a Internet é insegura, mas sim que as pessoas a deixam insegura. Atualmente existem vários sites na Internet que não dão a mínima para os dados de clientes. Como assim, não dão a mínima?
        Infelizmente, vários sites não tem uma política de segurança que verifica consequências em cada transação, desde a entrada do número de cartão de crédito em um formulário web, até a confirmação do pedido junto a administradora do mesmo. Estarei explicando o que pode acontecer em cada passo da transação.

1º Entrada de dados em formulários

        Quando você seleciona um produto que gostaria de comprar, e é remetido para a página de entrada dos dados de cobrança, quem te garante que naquela página não tem um código malicioso que grava as suas informações em algum lugar paralelo?
Já vi muitos casos de invasões em que foi alterado o formulário de entrada, enviando automaticamente todos os dados para um email qualquer.

2º Envio dos dados

        E no meio da infra-estrutura da Internet no Brasil, será que não tem ninguém verificando o que está passando? Neste final de ano eu estava fazendo uma análise de segurança em um cliente. O provedor em que ele estava conectado tinha um problema grave de segurança que permitia a visualização de todos os dados que estavam passando pelo sistema. Fazendo um teste rápido na rede do provedor, consegui pegar vários emails transitando, como usuários, senhas, senhas de roteadores. Em apenas uma tarde. Então, saber se o site tem um certificado de segurança é muito importante, pois com esse certificado ele pode criptografar as informações quando estão sendo enviadas e descriptografar do outro lado.

3º Armazenamento dos dados

        Hoje sua empresa tem um servidor que está com os últimos patches aplicados, raramente alguém vai conseguir entrar nele. Mas o seu sistema de cobrança tem que ler a entrada dos dados em um arquivo chamado 'cobrança.txt' que está armazenado na máquina de um dos vendedores. Pronto, já está furado todo o esquema de segurança. Tem que se pensar também no armazenamento das informações. Este é um dos principais pontos da rede. A primeira coisa que uma pessoa não autorizada irá fazer, se entrar no sistema, é tentar localizar os dados.
        Só para descontrair um pouco, vou contar algumas coisas que certas pessoas andam fazendo com cartões de crédito roubado. Infelizmente, as pessoas gostam/querem conseguir as coisas utilizando a lei do mínimo esforço. O que seria isso? Atualmente no interior do estado de São Paulo, existe uma rede de contrabando de materiais de informática e eletroeletrônicos. O pessoal se vê com um cartão de crédito na mão, e pensa que pode tudo. Em primeiro lugar, comprar utilizando-se de fontes alheias é crime. E as pessoas que estão colaborando, comprando esses produtos contrabandeados também são criminosa, pois estão recebendo equipamentos 'roubados'. Fiquei sabendo que estão até carregando celulares pré-pagos com cartões de créditos roubados. E ainda tiveram a cara de pau de contar que estão usando 'geradores de cartões de créditos (ccmaker)'.
        Bom pessoal, não procurei ser técnico neste primeiro artigo, gostaria de informá-los do modo mais simples sobre o que está acontecendo hoje principalmente na Internet brasileira. Espero que esse artigo seja um alerta para essas pessoas pararem de fazer isso, pois estão apenas se prejudicando. Se for pego em flagrante, infelizmente é cadeia na hora. E já foram avisadas disso. Mas sabe como que é né.

CARTÕES