Parte I - Introduo: Justificando um modo de pensar

New York (EUA) - J ultrapassam 20 horas e 600 refns no atentado ao Aeroporto Internacional JFK em New York, onde um grupo de hackers terroristas assumiu o controle de todas as operaes de pouso e de decolagem do aeroporto, aps um pronunciamento acalorado do presidente dos Estados Unidos da Amrica, ao apoiar o secretrio geral de defesa e decretar "um fim ao vandalismo e guerra virtual que assola a internet". Os maiores especalistas dos EUA e do mundo esto reunidos buscando uma soluo para o problema, inclusive acatando o pagamento do resgate no valor de 2,5 bilhes de dlares, exigido pelo grupo terrorista. "O problema de pagarmos o resgate que no temos garantias. Precisamos confiar nos hackers de que aps a transferncia desta quantia eles nos retornem o controle do aeroporto. Nem mesmo nossas tcnicas de 'transferncia fantasma' funcionariam para simular o pagamento, pois eles nos parecem ter total controle das nossas movimentaes bancrias", declara John Smith, secretrio de defesa e principal negociador, "estamos completamente perdidos", desabafa. Como agravante da situao, os aeroportos prximos a New York e as freqncias de rdio esto sendo monitorados e manipulados pelos hackers no intuito de direcionar o trfego areo para o JFK. Com isso o grupo j conseguiu impedir a fuga de vrios avies e os obrigou a pousar sob ameaas de mudana de rota e colises no ar. Muitos no tm combustvel suficiente para chegar a tempo em um aeroporto seguro e so obrigados a obedecer. O prejuzo calculado pelo aeroporto internacional j chega a 200 milhes de dlares em atrasos e vos cancelados e as perdas causadas pela imagem da empresa e a falta de confiana no sistema so incalculveis. O cenrio acima pura fico cientfica, s no sabemos ainda at quando. A cada dia centenas de sistemas vitais esto sendo interconectados, operando em conjunto com outros sistemas, tornando a vida das pessoas cada dia mais fcil - e perigosa! So sistemas de controle mdico: mquinas de vigilncia de pacientes, diagnsticos pela rede e at cirurgias online; Controle areo: interoperabilidade entre diversos aeroportos; Trnsito: semforos, pontes mveis, pedgios; At sistemas de monitoramento de vulces que mandam seus alarmes pela rede... Infelizmente no um tpico muito distante para que digamos: "isso no comigo, s quero ficar no meu chat e fazer meus trabalhos em paz". Todos ns devemos nos preocupar com a segurana de agora em diante, ou ento estaremos nas mos das pessoas que se aproveitaram do fato de no darmos muita importncia a isso. Certamente voc no precisa aprender a proteger um sistema de controle de trfego areo, mas est na hora de comear a adquirir "vcios" de comportamento seguro. Durante toda a evoluo, os primatas que criaram o hbito de acender uma fogueira na entrada das suas cavernas durante a noite viviam mais, ao contrrio dos outros que, vez por outra, eram devorados por tigres dentes-de-sabre. Este costume se espalhou e, mesmo que os mais novos no soubessem o motivo da fogueira, este "comportamento adquirido" era de extrema importncia para a sua sobrevivncia. Com esta matria, estaremos dando incio a uma srie sobre Introduo Segurana de Sistemas Computacionais, direcionada ao usurio final - quele que utiliza os computadores como um "meio" para se chegar ao objetivo, seja administrar sua agenda pessoal, seu escritrio ou at mesmo passar simples emails e se divertir pela rede. A proposta do Curso Bsico de Segurana na Internet , antes de tudo, conscientizar voc de que a segurana muito mais do que um simples ramo de trabalho ou um bom mtodo de vendedores de antivrus ficarem ricos. Ela no faz parte do futuro, ela j est presente em nosso cotidiano e precisamos nos adaptar. Vamos entrar em uma era virtual onde o mundo estar evoluindo mais rpido que nossos pensamentos, onde cada falha pode custar nossas carreiras, onde a competio entre seres da mesma espcie chegar a um nvel nunca visto antes na natureza. Vamos acender uma fogueira na entrada da nossa caverna.

Parte II - Identificando os principais problemas de

segurana
Existem diferenas fundamentais na segurana voltada para o mercado corporativo onde nos deparamos com a utilizao de tecnologias avanadas com alta capacidade de trfego e gerenciamento de estaes quando comparadas segurana voltada para o mercado domstico, do usurio da internet ou da dona de casa que guarda suas receitas no micro (microcomputador, no microondas, ainda...). ;-) O objetivo do nosso curso bsico ajudar a resolver os problemas do usurio domstico, aquele que l seus emails, faz sua pesquisa escolar ou consultas para seu escritrio e aquele que usa computadores por diverso em bate-papos, jogos, paqueras etc. Neste captulo estaremos mostrando os principais atentados segurana que voc pode sofrer usando o seu computador pessoal. Estes atentados se dividem em trs grandes categorias que muitas vezes esto interligadas, sendo necessrio um ataque uma categoria antes de se iniciar ataques as outras. So elas: (1) ataques privacidade, (2) destruio e (3) obteno de vantagens. Ataques privacidade - Este o ataque direto mais comum ao usurio domstico. Assim como muitas pessoas tm compulso em ler correspondncia alheia ou observar vizinhos com lunetas, hackers tm compulso em "dar uma olhadinha" na sua vida pessoal e a melhor maneira de se descobrir coisas sobre a vida de uma pessoa olhando dentro do seu computador. Os principais alvos so os seus emails mandados, recebidos e apagados, seu histrico de visitao de sites ou seus "arquivos.doc", onde podem conter cartas, procuraes, contratos e at aqueles poeminhas que voc fez e jurou jamais mostr-los a algum. Destruio - Apesar de ser perfeitamente possvel para um hacker, uma vez estando dentro do seu computador, destruir seus dados, as estatsticas mostram que na grande maioria dos incidentes nos quais h perdas de informao a causa a ao de vrus ou programas com funes semelhantes, que raramente so implantados de forma proposital. Geralmente a infeco ocorre com programas recebidos de terceiros que muitas vezes tambm no sabem que esto infectados. As conseqncias podem ser as piores, pois os usurios domsticos no tm o costume de fazer backups dos dados do seu computador pessoal. Obteno de Vantagens - Para se obter vantagens causando incidentes de segurana nos computadores pessoais geralmente necessria a utilizao de tcnicas onde primeiro a vtima ser exposta a ataques de privacidade ou destruio. As motivaes deste tipo de ataque so to distintas quanto seu prprio objetivo real. Por exemplo, garotos podem invadir computadores de amigos para obter informaes ou destruir dados com o nico intuito de se vangloriar perante a vtima derrotada, atitude normal nas definies de status e liderana em qualquer grupo animal. Outros podem ter objetivos mrbidos, como o simples prazer na destruio, sem importar-se com a sua tese de mestrado na qual trabalhou quase dois anos. E, como no poderia deixar de ser, as vantagens financeiras esto presentes com uma fatia assustadora dos objetivos de ataques a computadores pessoais. Faa isso agora: classifique a informao presente no seu computador pessoal. No s a informao que fica armazenada nele mas, principalmente, a informao que " passa" por ele. Voc ver que a informao armazenada, apesar de ter toda a sua ateno e preocupao, corresponde a apenas parte do problema no caso de uma quebra de segurana no seu computador. Voc pode no deixar gravado no seu computador o nmero do seu carto de crdito ou a sua senha do internet banking, mas esta informao, aps ter sido digitada, faz parte do seu computador temporariamente. O que alguns hackers fazem monitorar seu computador e esperar por informaes deste tipo. Com esta informao na mo eles podem abandonar seu computador e quem sabe at fechar a porta por onde eles entraram para no levantar futuras suspeitas. O ltimo a sair apaga as luzes! Com base apenas nestas informaes, tente responder s seguintes perguntas: Voc usaria hoje, em seu computador pessoal, um programa de internet banking para fazer transferncias de dinheiro? Voc faria compras na internet, mesmo sabendo que o site/loja possui um servidor seguro, digitando seu carto de crdito no seu computador pessoal? Voc trataria de assuntos importantes na sua vida pessoal e profissional, na qual se utiliza de dados particulares, atravs de simples emails? Caso tenha respondido "no" s trs perguntas, responda mais essa: Para que serve a internet? Felizmente temos meios de impedir - ou, pelo menos, de dificultar enormemente - as aes que pe em risco nossa vida online. O risco sempre vai existir, assim como existe na nossa vida fora dos bits e bytes.

A questo trazer o "grau de risco" a um nvel aceitvel, de modo que possamos evoluir na utilizao da tecnologia at um patamar mais confivel e conseqentemente mais eficaz, porque, sem segurana, a internet no vai passar de uma grande idia ou de um caro brinquedo.

Parte III - Fechando as portas do seu computador

Computadores e equipamentos informatizados podem se comunicar uns com os outros atravs de padres estabelecidos que ditam como cada participante da conversa deve se comportar. O padro utilizado na Internet (e na maioria dos sistemas atuais) o chamado "Cliente/Servidor". Voc certamente j ouviu falar disso mas, afinal, do que se trata? A comunicao em um ambiente cliente/servidor composta de dois mdulos bsicos: um mdulo que faz requisies de servios - cliente - e outro que recebe estes pedidos para executar as tarefas pedidas - servidor- e, eventualmente, retornar o resultado desta tarefa. Voc utiliza enormemente este esquema durante sua conexo internet. Por exemplo, o seu navegador - que o programa cliente - fez um pedido ao programa servidor instalado nos computadores onde esto hospedadas as pginas deste site, que o recebeu e respondeu com a pgina pedida - esta que voc est lendo agora. O mesmo acontece quanto voc verifica seus emails, baixa arquivos etc. Como voc j deve ter imaginado, a maior parte dos programas utilizados no seu computador s precisa fazer pedidos e esperar a resposta, ou seja, so programas clientes. Teoricamente isso o que deve acontecer, mas nem sempre nossos computadores so to inofensivos. Os grandes viles dos ltimos anos so programas que invertem este papel, fazendo com que nossos computadores se tornem servidores. A maioria arrasadora vem na modalidade de 'cavalos-de-tria' (discutiremos sobre ela mais tarde), por isso se convencionou a chamar este mtodo de 'invaso atravs de cavalos-de-tria'. O que acontece, geralmente, que um usurio recebe um programa de algum, atravs de qualquer meio - por email, ICQ, fazendo um download ou por disquete - e o executa em seu computador. Este programa, aps ser executado, instala um 'servidor' que passa a responder aos pedidos de conexo pela Internet, ou seja, seu computador adquire as caractersticas de um 'servidor internet'. Os tipos de pedidos que ele pode aceitar e executar variam de acordo com o 'servidor' instalado. Uma caracterstica presente neste tipo de comunicao a necessidade de se atribuir 'portas de comunicao' por onde os pedidos e as respostas iro passar. Todos os programas para uso na Internet se utilizam destas portas que geralmente so abertas com o intuito de fazer pedidos a servidores remotos. Quando um computador est, digamos, 'infectado' por um programa servidor, este abre uma porta naquele, de forma a permitir que outros computadores faam pedidos atravs dela. Com base nesta explicao, percebemos que no necessrio nem interessante impedir que nossos computadores abram portas. Se isso for feito, nenhum dos nossos programas ir funcionar. O que precisamos fazer impedir que programas maliciosos abram portas para receber conexes! Atravs delas que hackers podem vasculhar seu computador. E como fechar as portas? Simples, vamos usar um exemplo: eu vejo que meu computador tem uma porta aberta e sei que esta porta referente ao programa de email, pois eu estou checando minha caixa postal no provedor e sei que necessrio uma porta para isso. Se eu quiser fech-la, basta fechar meu programa de email. Parece simples, mas o problema identificar a que programa uma porta est relacionada. Alm desta identificao ser complexa, caso encontremos uma porta relacionada a um servidor malicioso precisaremos ainda encontrar o prprio programa servidor, que na grande maioria das vezes est escondido ou inacessvel. O ideal neste caso deixar a identificao destes programas a cargo de outros programas especializados nessa procura. Ao encontrar e remover um programa servidor do seu computador, a porta associada a ele ser automaticamente fechada, j que no h mais nenhum programa responsvel por abr-la. Estes rastreadores podem ser programas especializados em procura de 'servidores maliciosos' conhecidos ou mesmo programas anti-vrus, j que o mtodo utilizado para se vasculhar o computador semelhante ao utilizado para se encontrar um vrus. Para se fazer um teste em seu computador ou, se apenas por curiosidade, quiser verificar as portas que esto sendo abertas, o comando que mostra estas conexes o 'netstat'. Executando este programa

com o parmetro '-a', sero mostradas todas as conexes ativas, por exemplo: (Iniciar > Arquivos de Programas > Prompt do MS-DOS) c:\>netstat -a Conexes ativas Proto Endereo local Endereo externo TCP Estado

localhost:1249 www.uol.com.br:80 ESTABLISHED

A listagem original possui vrias e vrias linhas como esta, cada uma relatando o estado de uma porta de conexo. O exemplo acima nos diz que meu computador (localhost) est se comunicando pela porta 1249 com o computador no endereo www.uol.com.br, que est recebendo os pedidos pela porta 80. A conexo foi estabelecida (Established). A porta 80 est especificada mundialmente como sendo a porta padro para a Web. Resumindo, estou navegando no site do Universo Online. O que muitos usurios fazem aps a execuo deste comando entrar em desespero, pois mesmo em condies normais e, dependendo da configurao do computador de cada pessoa, muitas portas podem aparecer abertas. Elas so responsveis pelo funcionamento do Windows, principalmente (mas no exclusivamente) em rede. O mtodo usado para se identificar servidores maliciosos com base nas portas que eles abrem extremamente falho pois, alm desta porta poder ser alterada, existem muitos programas e muitas portas disponveis, e alguns deles utilizam portas que no podem ser fechadas, pois afetaria o funcionamento do sistema. Por isso a recomendao a de no se preocupar com o relatrio de portas e sim com os programs instalados no seu computador. E, como j foi dito, isto pode ser feito utilizando programas especficos para estas tarefas, ou bons anti-vrus atualizados. Dessa forma, estaremos cortando o mal pela raz.

Parte IV - Identificando vrus e programas maliciosos

A grande maioria dos problemas relacionados a incidentes de segurana em computadores pessoais causada por programas maliciosos, dentre os quais esto os vrus (normais e de macro), os worms, os programas servidores - muitas vezes chamados de cavalos de Tria, ver captulo anterior - at mesmo simples instrues que, quando executadas no seu computador, destroem o sistema ou comprometem seu funcionamento. O grande paradoxo que boa parte da culpa por estes estragos cabe vtima, uma vez que em quase todos os casos ela inocentemente cmplice do ataque. uma questo de educao: siga sempre os velhos conselhos de boa conduta com computadores, tome os devidos cuidados bl bl bl e "no execute programas estranhos". Assim fica muito mais difcil ter problemas, mas em certas horas precisamos nos arriscar e muitas vezes nem sabemos que estamos nos arriscando tanto. Como prova de que o conselho sobre no executar arquivos de estranhos eficaz, temos os muitos vrus e worms que se propagam por email enviando cpias de si mesmo para sua lista de amigos. Dessa forma abre-se uma brecha na confiana da vtima, que pensa: "Bom, se meu amigo est me mandando, deve ser coisa boa!" Zapt! Pimba! Danou... Pronto, voc executou um programa malicioso no seu computador, e agora? Bom, se o programa for muito violento e apagar seus arquivos, no h muito o que fazer seno recomear do zero, instalando os softwares novamente. Mas geralmente no so to destrutivos e ficam to quietos que voc s percebe depois de bastante tempo, exatamente quando for tarde demais. E o pior: um programa desses pode estar destruindo seu computador agorinha mesmo, sem que voc saiba. O que fazer? Esses programas, em especial os mais furtivos, so catalogados de acordo com suas aes e caractersticas do seu cdigo. Programas possuem uma assinatura, uma parte das suas intrues internas que nica, assim como nosso DNA e, fazendo uma busca em todos os arquivos do seu computador podemos identificar, atravs desta assinatura, se algum programa malicioso "conhecido"

habita seus discos. Veja bem, eu disse "programa malicioso conhecido" porque, se um programa novo lanado, ns ainda no somos capazes de reconhecer sua assinatura, pelo menos at ele ser catalogado e cadastrado na nossa lista de assinatura. Trazendo tudo para a nossa linguagem cotidiana: ns no vamos pessoalmente vasculhar cada arquivo do computador, que geralmente passam de centenas de milhares. Vamos usar um outro programa para fazer isso. Adivinhe o nome desse programa? Um doce para quem respondeu "Anti-Vrus". Resumidamente, o que os programas anti-vrus fazem , de posse de uma lista de assinaturas de programas maliciosos, abrir cada arquivo do seu disco e comparar com as assinaturas desta lista. Caso alguma coincida, ele ter identificado um problema, algumas vezes oferecendo a possibilidade de remover apenas o trecho malicioso outras vezes apagando o arquivo problemtico. Este mtodo no est restrito aos vrus, ele pode ser utilizado para identificar qualquer tipo de programa devidamente cadastrado na lista de assinaturas. Os fabricantes cadastram nesta lista todo cdigo que julgam prejudicial ao seu computador e dependem dos seus laboratrio de pesquisa, que recebem e estudam estes programas, extraindo a sua assinatura de identificao e colocando-a disponvel para a atualizao da lista de programas maliciosos. Certamente voc j deve ter percebido a importncia dos tais "anti-vrus atualizados". Se um anti-vrus no possui uma lista de assinaturas completa, pode ser que ele vasculhe um arquivo contaminado mas, por no "conhecer" o vrus, deixa-o ileso. Certamente o vrus no far o mesmo... A forma como cada programa atualiza esta lista varia de acordo com o fabricante mas, atualmente, este processo feito online e a verificao de novas listas pode ser programada para uma determinada periodicidade. Como a internet tem um poder muito grande de disseminao, uma atualizao a cada 3 dias ainda considerada segura para um usurio costumaz. Mas o que, voc no tem um anti-vrus? Vamos comear tudo de novo... ;-)

Parte V - Atualizando programas - Uma preveno eficaz!

Antigamente os lanamentos de softwares no mercado eram, em sua grande maioria, lanamentos de novas verses dos programas, com adio de muitos recursos, novas ferramentas e aperfeioamento das caractersticas funcionais, principalmente a interface com o usurio. Muitas dessas atualizaes no traziam uma vantagem significativa para o usurio mdio que, na maioria das vezes, se limitava a utilizar as funes bsicas do programa como, por exemplo, usar um editor de textos exclusivamente para editar textos! Entretanto, o usurio no estava interessado em "quais" recursos eram adicionados na verso mais nova do seu programa, ele queria se manter atualizado, a qualquer preo, mesmo que fosse para adicionar um corretor ortogrfico em aramaico arcaico ou um acoplamento com uma base de dados aliengena que ele jamais faria funcionar. Atualmente o cenrio est um pouco mudado, os lanamentos de novas verses continuam existindo mas as principais novidades so correes de problemas nas verses atuais. O fabricante, ao ser notificado de um problema interno no seu produto, escreve um pequeno programa que corrige o defeito e o distribui aos seus clientes. Estas atualizaes so divulgadas e recomendadas pelos fabricantes mas eis o grande paradoxo - os usurios no do a mnima! A no ser que o defeito esteja impedindo o usurio de utilizar alguma funo primordial para seu trabalho, ele ser solenemente ignorado. Este um vcio que adquirimos durante a era medieval da computao, quando as redes de computadores eram raridades e a Internet era um brinquedo das foras armadas dos EUA. O motivo pelo qual no tnhamos interesse em corrigir uma falha resumido neste pensamento: "Se eu no uso esta funo do programa, para que vou perder meu tempo tentanto consert-la?". Hoje, ao conectarmos milhares de computadores uns nos outros, este pensamento se tornou muito perigoso, pois no estamos mais sozinhos no mundo e, se voc no vai se interessar por aquela falha, algum com

certeza a utilizar para obter alguma vantagem ou causar problemas. Os problemas de maior repercusso na rea de segurana, tanto no ramo empresarial quanto domstico, esto relacionados a alguma falha em um software. Quanto mais utilizado o software, maior o nmero de pessoas atingidas que precisam aplicar a devida correo. Como a grande maioria dos usurios no se importa com aplicao de correes, podemos imaginar o caos quando, por exemplo, comearam a surgir os primeiros "nukes", ataques que exploravam um defeito encontrado no prprio Windows! Exemplos como este infelizmente so muito comuns. atravs de falhas no corrigidas em softwares que quase todos os hackers invadem sites na Internet. Algumas falhas encontradas nos programas de uso particular, como navegadores, programas de email, de bate-papo, etc. tambm possibilitam aes danosas, em maior ou menor grau, dependendo do tipo de problema. Ao contrrio do que pode parecer a princpio, manter-se na "ltima verso" dos softwares para Internet pode no ser to seguro. Ao lanar um programa novo - ou uma nova verso com bastante mudanas no mercado, os fabricantes esto dando a largada em um enorme concurso no qual vence o hacker que primeiro descobrir as novas falhas do programa. Todos os programas tm falhas e mais do que nunca se aplica o velho ditado: "Os pioneiros so identificados pela flecha no peito!". Soluo? Manter contato com o fabricante dos softwares que voc utiliza. Com a internet os problemas aumentaram mas o socorro tambm chega muito mais rpito. Visite regularmente o website do seu fornecedor e procure por termos do tipo "security update", "patch", "service pack", "service release" etc. Se voc no se registrou, pegue seu carto de registro, ou atravs da Internet, registre-se como usurio legtimo e cadastre-se nas listas de notificaes. Os responsveis pelos seus programas esto to interessados em fornecer um software seguro quanto voc em receb-los, ento, mantenha-se informado. Mais do que nunca, a informao o melhor remdio!

Parte VI - A verdade sobre seu n IP!

Est se tornando cada dia mais comum o medo de invases na internet. Pnicos causados por pseudohackers tm atormentado centenas de pessoas e muitas vezes simples ameaas destroem momentos de paz e diverso de uma forma irremedivel. O mais impressionante que estas ameaas, na maioria das vezes, so completamente sem fundamentos, no fazem sentido e algumas nem existem. Basta usar uma meia dzia de siglas para dizer que vai invadir seu computador, e o que mais tem aterrorizado os internautas : "Vou descobrir seu IP!" Vo descobrir seu IP? Oh, que espanto, mas e da? Segundo os terroristas, aps descobrir o IP de uma pessoa, sua alma estar completamente enterrada na maldio eterna, pois podero invadir, derrubar, espionar, remover, sacudir, esculhambar, destruir e remexer... Um nmero IP um endereo que todo internauta, assim que se conecta na grande rede, recebe. atravs deste endereo que seus programas se comunicaro, seu navegador, seu ICQ, seu programa de email, etc. Este nmero no precisa ser fixo e geralmente no e a cada conexo voc recebe um nmero diferente. IP significa "internet protocol", faz parte de um conjunto de instrues que permite a comunicao pela Internet. Ele responsvel pelo encaminhamento correto dos pacotes de dados que trafegam na rede, de forma que eles sejam entregues corretamente ao seu destino. Descobrir o IP de uma pessoa significa saber o "endereo internet" (no tem nada a ver com email!) do seu computador naquele dia, ou durante aquela conexo. Somente isso, nada mais. O que se pode fazer com o IP de uma pessoa? Quase nada... Se o computador no estiver com problemas do tipo "cavalos de tria" ou semelhantes (ver captulo 3), o nmero IP no vai servir para mais nada alm de terrorismo. Mesmo assim, d para esconder o nmero IP? No, infelizmente no d! Se por algum motivo seu computador no puder fornecer corretamente seu nmero IP, ele ficar incomunicvel e sua conexo ser desfeita. Ter um nmero IP faz parte da vida socialmente ativa dos computadores na Internet e a

comunicao depende disso. Alguns sistemas escondem esse nmero de outros internautas mas, pelo prprio bem da comunicao, eles so revelados. Por exemplo, bater papo requer que um computador se comunique com outro. Para isto ser feito, necessrio que ambos conheam seus nmeros IPs mutuamente pelo simples fato de precisarem saber com quem esto "falando". claro, sempre h as excees: nmeros IPs geralmente se mantm os mesmos em redes fsicas como escritrios e internet predial. Na maioria das vezes, estes nmeros so fixos mas "mascarados" durante a comunicao externa por uma aplicao conhecida como "gateway" ou "proxy" e quase sempre para quem est de fora desta rede o nmero genrico e intil. Caso queira saber qual o seu nmero IP durante a conexo atual, um aplicativo distribudo com o prprio Windows d as informaes referentes. V em Iniciar > Executar e digite "winipcfg" (sem aspas). Portanto, na prxima vez em que for ameaado com seu prprio nmero IP apenas d uma gostosa gargalhada e volte para a sua tranqilidade habitual. J temos problemas demais para ficar nos preocupando com coisas que no existem!

Parte VII - A-h! Te peguei, hacker... Mas, e agora?

cada dia mais comum o surgimento de softwares que cuidam da segurana do seu computador pessoal e o mecanismo de monitorao mais utilizado a "escuta" de portas de conexo (para maiores informaes sobre portas de conexo, consulte o captulo 3 deste curso bsico). Entretanto, de que adianta a informao de que um hacker tenta bisbilhotar nosso computador? O que podemos fazer no momento em que descobrimos uma tentativa de ataque e conseguimos informaes bsicas sobre o hacker como, por exemplo, seu nmero IP atravs dos relatrios destes programas de proteo? Primeiro vamos analisar os fatos: um aviso emitido por um destes softwares de monitorao no significa que voc est sendo invadido. apenas uma notificao que houve uma tentativa de conexo em determinada porta. Muito provavelmente o hacker no obter xito pois os softwares de monitorao fazem uma checagem sobre as vulnerabilidades do computador, eliminando os programas ou falhas que permitiriam o ataque. Ficar de olho nas portas uma medida secundria para quase todos estes programas de segurana. Ao identificar uma tentativa de conexo, os programas registram dados importantes como hora, IP, tipo de ataque, etc. e mostram estas informaes voc, usurio. Estes dados so referentes ao computador de onde partiu o ataque e identificam de forma bastante confivel o responsvel pela ao. De posse destes dados, devemos, antes de qualquer outra ao, identificar a qual "provedor" pertence este nmero. Para isto basta utilizamos um comando do prprio Windows, dentro da janela do "Prompt do MS-DOS", executando: "tracert 192.168.0.10" (trocando o IP pelo nmero identificado no relatrio). Este comando produzir uma srie de linhas "percorrendo" o caminho de um pacote de dados do seu computador at o computador do invasor. Cada linha identifica um computador intermedirio e as ltimas identificam equipamentos do provedor de destino. Pelo nome destes equipamentos fcil deduzir a que provedor de acesso eles pertencem. Atravs da pgina web do provedor, voc pode conseguir um endereo de contato para reclamar sobre incidentes de segurana, geralmente abuse@provedor.com.br, mas uma maneira de garantir o recebimento da sua mensagem enviar cpias para postmaster@provedor.com.br e root@provedor.com.br. Com o endereo mo, redija uma mensagem relatando a tentativa de acesso no autorizado ao seu computador pessoal partindo da rede sob a responsabilidade desta empresa provedora de acesso Internet. Repare que esta empresa que responde pelas tentativas de invaso originadas na sua (dela) rede. O fato do incidente ter sido provocado por um usurio um problema do provedor com seu cliente em particular e, voc, cabe apenas a reclamao aos responsveis pela rede. No perca tempo

tentando identificar o usurio. Provedores srios que se preocupam com sua imagem emitem uma notificao ao seu usurio (eles tm como identificar o usurio atravs do nmero IP e hora) avisando sobre as condutas aceitveis dos seus clientes. Dependendo da poltica de cada provedor, o usurio, se estiver reincidindo nestas aes, pode ser bloqueado ou excludo. Mas, o que pode dar errado? Infelizmente muita coisa... Para comear voc pode no conseguir identificar o provedor atravs do comando "tracert" por causa de configuraes especficas de redes internas. Neste caso, pea auxlio ao suporte tcnico do seu provedor. Um outro problema ser ignorado quando enviar a mensagem relatando seus problemas de segurana. Uma tima ferramenta contra esta atitude por parte dos provedores irresponsveis enviar uma cpia da mensagem ao NicBR Security Office (nbso@nic.br), equipe brasileira que mantm um servio de auxlio e estatsticas sobre incidentes de segurana. Outros grupos que mantm servios sobre segurana so: CAIS - Centro de Atendimento a Incidentes de Segurana (RNP) CERT-RS - Centro de Emergncia em Segurana da Rede security@embratel.net.br - Responsvel pela maioria dos backbones Observaes Manter o relgio do seu computador na maior sincronia possvel com o horrio oficial do Brasil pode ser imprescindvel para a correta identificao do usurio no provedor ao qual est sendo feita a reclamao. Muitas alegaes por parte dos provedores como, por exemplo, no punir o usurio por medo de perder o cliente ou alegar que "pura bisbilhotagem" (portscan) no considerado crime, pode fazer com que a indisciplina na Internet aumente. Nestas situaes, notifique o descaso ao NicBr. Uma lista dos provedores mais irresponsveis com a segurana um argumento infalvel para se exigir uma ao repressora. Caso decida acionar o NicBr para auxiliar no seu caso, encaminhe primeiramente um email solicitando informaes sobre a melhor maneira para se fazer estas reclamaes. So medidas que ajudam no processo decisrio por parte da equipe, viabilizando a ajuda gratuita que eles prestam a ns internautas.

Alguns dos programas mais comuns para a identificao de ataques so: Anti-Hack 2.0, TDS-2 e muitos dos pacotes de segurana e firewalls pessoais dos grandes produtores de software de segurana, como a Symantec ou a McAfee. Voc pode encontr-los nos grandes repositrios de softwares como, por exemplo, no www.download.com ou na www.tucows.com.

Parte VIII - Invadindo sites pessoais

Entre todas as invases de hackers divulgadas pela mdia a mais assustadora para o pblico em geral a que modifica pginas de uma empresa na Internet. Conseqentemente o tipo de invaso mais divulgado, principalmente porque a empresa no tem como esconder os fatos, atitude padro nas invases internas. Parte do motivo para no se notificar invases o comprometimento da imagem da vtima porque denota uma falta de cuidado com seu sistema de informao. Paradoxalmente os incidentes mais notificados - invases e modificaes de sites - so os que menos comprometem os dados da empresa, uma vez que na sua grande maioria estas modificaes so conseguidas atravs de substituio ou adio de simples arquivos aos diretrios onde residem as pginas do site. Invadir pginas na Internet como colar um cartaz na vitrine de uma loja. Nem sempre preciso entrar na loja para chamar a ateno do visitante e dar o seu recado.

Apesar das invases de grandes sites receberem bastante ateno, a maioria dos incidentes, que sofrida por pequenas empresas e pginas pessoais, nunca notificada aos responsveis pela prestao do servio e muito menos s autoridades competentes. Ento, o que fazer se a sua pgina pessoal for invadida? Primeiro, voc deve descobrir de que forma esta invaso foi feita para poder eliminar o problema. Tire a pgina do ar e analise os sistemas envolvidos. Grandes empresas tm vrios becos por onde comear a procurar estas brechas de segurana, mas usurios simples ou pequenos sites - principalmente com servio de hospedagem de sites contratado de terceiros - tm um nmero bem menor de problemas a analisar (mas com igual responsabilidade). O mtodo mais simples de invadir um site "no invadir". Pode-se utilizar o mesmo mtodo usado para a sua manuteno, se fazendo passar pelo dono das pginas, conseguindo acesso para modific-las. Isto geralmente feito atravs de senha em uma conta FTP (ou qualquer outro mtodo de acesso) e esta senha pode ser conseguida de vrias maneiras, como por exemplo atacar e/ou criar vulnerabilidades no computador do usurio responsvel por esta senha. Por exemplo, a invaso de uma pgina pessoal hospedada no GeoCities: um hacker pode adivinhar a senha do usurio - srio, e isto bem grave! - ou enviar (atravs do email de contato que geralmente reluz na pgina-alvo) uma srie de arquivos que abrem brechas no computador da vtima, tipo trojan horses, que fariam o trabalho sujo de monitorar a vida da pessoa at conseguir a senha para acesso pgina. Alguns se utilizam de engenharia social, se fazendo passar por tcnicos do GeoCities - criando emails falsos - e solicitando um "recadastramento" dos dados, recebendo de bandeja a senha da vtima. A criatividade para estas aes no tem limites, seja no GeoCities ou em qualquer outro servio de hospedagem de pginas - gratuito ou no - que oferece estas facilidades de inscrio e manuteno. Mtodos mais "nobres" - do ponto de vista hacker - envolvem apenas o servio de hospedagem onde a pgina se encontra. Invases deste tipo tambm podem ocorrer atravs de engenharia social, onde o hacker se faz passar pelo verdadeiro dono da pgina, mas a minoria. Geralmente se utiliza de alguma vulnerabilidade nos softwares responsveis pelo servio para obter acesso ao sistema e conseguir modificar as pginas desejadas. Existem ferramentas que tornam esta tarefa trivial e muitas das invases de sites institucionais atualmente - inclusive do governo - so vtimas destas vulnerabilidades. Se a sua pgina hospedada em computadores que no esto sob sua responsabilidade - que o caso dos GeoCities e outros servios online e dos provedores de servios internet - voc deve se certificar de que o mtodo utilizado para fazer a manuteno na sua pgina seguro, e de que ningum pode se fazer passar por voc para ter acesso a ela. Esta uma tarefa rdua que precisa ser feita com a maior ateno possvel mas, uma vez livre desta culpa, a brecha estar sob a responsabilidade do servio de hospedagem. Eles tm seus prprios mecanismos de verificao e primordial que sejam notificados para que o trabalho em conjunto identifique e elimine o grande problema que ter uma pgina na Internet invadida e modificada por hackers.

Parte IX - Invadindo sites de empresas

Dando continuidade ao captulo anterior sobre invaso de sites, vamos explicar neste captulo o que acontece nos bastidores da Internet, nas empresas responsveis por hospedar o seu site e nas redes corporativas, onde esto localizados os computadores e equipamentos operacionais que permitem a todos ns utilizarmos a grande rede. Como o objetivo do curso bsico fornecer informaes simples e acessveis ao usurio comum, este captulo servir, para a maioria de ns, como uma pequena introduo administrao de redes, seus aspectos procedimentais mais seguros e suas relaes com os mtodos de ataques mais praticados. Todo computador (ou equipamento computacional, que fique subentendido) possui na sua memria programas que regem o funcionamento do sistema - isso bsico - e, assim como nossos computadores pessoais, os grandes servidores da Internet podem possuir falhas. Voc encontra uma explicao sobre o problema destas falhas no Captulo 5 do curso. Pois bem, um computador na internet, uma falha no corrigida e um hacker devidamente armado. Este

trio perigoso muito semelhante ao que aprendemos nas aulas de segurana - segurana pessoal, mesmo - com relao ao fogo: combustvel, oxignio e calor. Tire qualquer um destes elementos e o fogo se extinguir... Vamos supor que tenhamos um computador (combustvel), uma falha (oxignio) e um hacker (calor). O que mais fcil de tirar? Para tirar o combustvel voc precisa desligar o computador - invivel. Para tirar o calor, voc precisa manter os hackers de mos atadas - impossvel. S nos resta acabar com o oxignio da invaso, no permitindo falhas nos nossos sistemas. Hackers so pessoas muito bem informadas sobre as falhas descobertas em softwares. Alguns, inclusive, descobrem sozinhos esta falha - e h quem diga que estes so os verdadeiros hackers - mas muitas vezes esta informao divulgada por outros especialistas. Quanto maior a base instalada de um software, mais importante o conhecimento da sua falha. Os administradores que no se mantm informados sobre estas falhas encontradas esto injetando oxignio na mistura. Basta que uma delas afete seu sistema e ser a faisca que faltava para o incio da sua grande dor de cabea. Estas falhas podem ser exploradas muito facilmente, pois geralmente o autor da descoberta divulga, juntamente com a notcia, um "roteiro" ou at mesmo programas que fazem todo o trabalho de comprometimento do computador afetado. Estes programas so disponibilizados muito rapidamente na Internet e uma verdadeira corrida tem seu incio. Hackers que invadem sites gostam de mostrar suas faanhas para o pblico e a melhor maneira de se conseguir isso colocando sua mensagem em sites de grande visitao. Este o motivo pelo qual grandes sites so os alvos mais freqentes. O grande erro est em se pensar que ningum est interessado em invadir seu site s porque ele pequeno. Mas, como estas invases so feitas na prtica? Variam bastante, dependendo do "buraco" por onde o hacker precisa passar. Apenas para sanar uma curiosidade mrbida que muitos de ns temos, isto no feito atravs do browser (pelo menos no a maioria) e muitas vezes so utilizados computadores com sistemas Unix. Esta no simplesmente uma escolha. O que acontece que estes sistemas foram criados para a rede, esto mais preparados e com melhores recursos para a internet e como conseqncia os especialistas os utilizam e escrevem seus roteiros/programas para esta plataforma. O fato de serem melhores que o Windows um mero detalhe. So feios, utilizam-se linhas de comandos em uma tela preta, executando programas e passando parmetros para ele. A divulgao destes programas ou parmetros de configurao e funcionamento a responsvel por possibilitar que muitas pessoas os colecionem e testem em cada computador da Internet, na esperana de que uma destas falhas seja encontrada. Essa informao no pode ser sonegada e a sua divulgao pode ajudar aos administradores a "abrir os olhos" com relao ao seu sistema. No adianta nada ter um sistema aparentemente seguro e dormir tranqilo sem saber que cedo ou tarde algum poder invadir seu site. O mais importante para se impedir estas invases descobrir as falhas do seu sistema, seno antes, pelo menos ao mesmo tempo que os hackers e providenciar - junto com o fabricante ou atravs de solues disponibilizadas pelos mesmos responsveis pela descoberta da falha - a soluo para o problema. Em alguns dos sites especializados nestes boletins e notificaes podemos encontrar informaes sobre a grande maioria das falhas e vulnerabilidades encontradas nos programas que possibilitam estas invases. Uma boa relao destes sites pode ser encontrada em http://www.attrition.org/security/advisory/. Faa sua visita e descubra como as coisas s vezes so muito mais fceis do que parecem a princpio.

Parte X - Analisando as falhas de software

Estamos sendo bombardeados - cada dia mais - com notcias sobre falhas descobertas neste ou naquele software, as quais permitem que hackers provoquem os mais variados incidentes de segurana. Mas,

afinal, o que so estas falhas? No captulo 5 falamos sobre os problemas de se possuir um programa com falhas atualmente e quais as melhores maneiras para se certificar de que possumos as devidas atualizaes dos nossos sistemas. Agora vamos explicar como funcionam - ou "no funcionam" - estes mecanismos problemticos. Quando profissionais da rea de informtica sentem uma inclinao para o ramo da programao, eles devem descobrir se possuem determinados vcios de raciocnio lgico imprescindveis para a tarefa, e uma dessas qualificaes o exerccio de "pensar o impensvel", sempre fugir do padro e analisar seriamente as excees. Infelizmente nem todos do o devido valor a isso. A partir de agora vamos analisar um exemplo extremamente simplificado e descobrir porque administrar excees fundamental na segurana de um software. Imagine uma rotina que verifique a senha de um usurio antes de liberar seu acesso a um sistema qualquer. Ela seria, a muito grosso modo, assim:
1 instruo: 2 instruo: Se os 4 nmeros forem iguais senha cadastrada, siga para 3 instruo. Se os 4 nmeros forem diferentes, negar acesso. Fim do programa. 3 instruo: Liberar seu acesso. Fim do programa. Pedir senha de 4 nmeros ao usurio - usurio digita a senha.

Esta uma rotina simples que funciona muito bem, desde que o usurio obedea a primeira instruo e digite sua senha de forma correta. Entretanto, com relao a desobedincia que se d a importncia de trabalhar com as excees. Vamos supor que o usurio no fornea os dados conforme o programa espera. Por exemplo, ao invs de nmeros, ele digite 4 letras. Quando o programa chegar 2 instruo, o computador vai tentar colocar as letras em uma memria que est preparada para receber apenas nmeros, e isto pode provocar um erro que invalidaria toda a 2 instruo. Ao dar continuidade, o acesso estaria liberado na 3 instruo independente da senha digitada, desde que no fossem 4 nmeros. O exemplo acima foi bem simplificado para facilitar o entendimento mas a idia geral por trs das falhas de software essa: rotinas mal projetadas que no prevem todas as aes dos usurios (ou de outras partes do programa). Uma correo para o problema exposto seria uma alterao lgica na filosofia de comparao. Veja:
1 instruo: 2 instruo: Se os 4 nmeros forem diferentes da senha cadastrada, siga para 3 instruo. Se os 4 nmeros forem iguais, liberar acesso. Fim do programa. 3 instruo: Negar seu acesso. Fim do programa. Pedir senha de 4 nmeros ao usurio - usurio digita a senha.

Com esta alterao, qualquer que fosse o erro provocado pela entrada incorreta de dados resultaria na negao do acesso, uma vez que um erro na 2 instruo eliminaria a comparao juntamente com a deciso de liberar o acesso do usurio. Obviamente, este tipo de problema no est limitado a situaes de verificao de senhas, muito pelo contrrio, ele se espalha pelas rotinas que no recebem muita ateno com relao segurana, como por exemplo, rotinas de verificao de datas, classificao de dados e principalmente aquelas que recebem dados de outros programas. Rotinas que so feitas para se comunicar - remotamente - com outras rotinas so as que apresentam as maiores falhas pois, ao construrem estes programas, no levado em considerao que a rotina interlocutora pode ser modificada - ou substituda, por um hacker, talvez - e que, com isso, passar a enviar dados fora do padro e do formato esperados, causando erros internos nos programas. Estes erros provocados por aes despadronizadas e inesperadas nem sempre so to inofensivos como o exemplo acima, fazendo com que o programa caia em uma falha pura e simples. Algumas vezes estes erros abrem uma brecha por onde podem ser inseridos comandos que o computador, desnorteado

com a falha, assume ser parte do programa original e passa a seguir estas instrues implantadas. O modo como estes comandos so implantados atravs das falhas extremamente complexo do ponto de vista didtico, principalmente em um curso bsico sobre segurana, sendo um trabalho bastante rduo at mesmo para os maiores "escovadores de bits". Portanto tenha em mente que, quando ouvir falar em uma falha de software que permite a invaso de um sistema ou interrupo de um servio, voc estar vendo o resultado de um trabalho que deveria ter sido feito na poca da construo do programa, mas que ficou para depois, nas mos de especialistas e de hackers.

Parte XI - Rastreando o hacker - Conceitos bsicos

Uma das tarefas que mais tem crescido na rea da segurana digital, principalmente nas divises de combate re-ativo e departamentos de autoridades legais, a identificao do autor de um crime praticado atravs de computadores, principalmente da Internet. O rastreamento de um usurio da Internet - qualquer usurio - possvel graas aos inmeros registros que nossos acessos executam em cada computador por onde passamos. Alguns deles o fazem por motivos tcnicos, para viabilizar o servio, outros possuem realmente tal banco de dados para que sejam auditados quanto utilizao da rede, para estatsticas e mesmo para identificao de atividades criminosas. Estes dados geralmente so tratados com o mesmo sigilo com que uma empresa guarda informaes dos seus clientes como, por exemplo, um banco que certifica a inviolabilidade dos dados sobre a movimentao em uma conta bancria. Por esse motivo a investigao aprofundada dos registros muitas vezes esbarra em questes de quebra de sigilo, assim como nos bancos, apenas autorizada mediante imposies legais. Uma vez permitida a verificao destes registros, os caminhos para se chegar a um hacker dependendo da sua habilidade, ou da falta dela - podem ser diretos e limpos ou bastante tortuosos, mas na grande maioria das vezes comea com a identificao de um nmero IP, identificador nico do usurio online. (consulte mais informaes sobre nmero IP no captulo 6) Fazendo o caminho inverso, fica mais fcil observar por onde as autoridades chegam ao hacker. Simplificando o nosso exemplo: o hacker liga seu computador e se conecta Internet. Se esta conexo estiver sendo feita em uma rede seu nmero IP ser fixo, mas se a conexo for feita via linha telefnica, seu IP ser aleatrio. Pela linha telefnica, necessrio discar para um provedor de acesso, onde a conexo ser estabelecida e um nmero IP ser entregue ao hacker. Ento, uma vez conectado, o hacker inicia suas investidas contra determinado alvo na Internet. Este alvo pode estar protegido ou no. Caso no esteja, o hacker invade e pode tentar apagar seus rastros. Caso contrrio, ou caso o hacker no tenha habilidade ou possibilidade tcnica para apagar os registros, as informaes sobre seu acesso - principalmente seu nmero IP - estaro disponveis para uma investigao. Ao iniciar a investigao, primeiro identificamos a localidade fsica daquele endereo IP e a que rede este nmero pertence. Caso pertena a um computador fixo, seu usurio ser investigado criminalmente a respeito dos acessos indevidos. Caso pertena a um provedor, podemos conseguir, seno com o prprio provedor, com a empresa de telefonia da regio, o nmero de telefone de onde partiu a ligao que originou esta conexo em particular. De posse do nmero de telefone, encontramos o local utilizado e uma investigao regular sobre o autor iniciada. Evidentemente este um caso muito simples e fcil de resolver, motivo pelo qual os criminosos experientes que executam grandes faanhas online se protegem de vrias formas. Vamos analisar as principais: Invaso de um servidor intermedirio - O hacker pode procurar computadores na internet

(geralmente servidores secundrios, de pouca importncia) onde conseguem controle total sobre o sistema. A partir deste computador, ele inicia suas atividades que, ao serem rastreadas, levaro os investigadores ao ponto intermedirio de onde partiu o ataque. Normalmente seria possvel continuar a investigao a partir deste ponto, at chegarmos no computador original. Entretanto, ter o controle total sobre um ponto intermedirio o suficiente para que o hacker bloqueie o caminho de volta, j que ele pode apagar todos os registros neste ponto e frustrar a investida contra seus rastros. Enganar o sistema de telefonia - Caso o hacker no queira deixar o conforto do seu lar, ou precise de equipamentos especficos para uma invaso, a sada bloquear a investigao no ltimo nvel, que a identificao atravs do nmero de telefone - ou sistema que o substitua. O sistema de telefonia ainda possui uma grande desateno com relao a segurana sobre reprogramao de centrais telefnicas. possvel, inclusive, ter acesso fsico aos cabos de telefones nas maiorias das ruas e substituir ou adicionar ligaes, de forma que atividades criminosas sejam feitas atravs de linhas de terceiros. Manter-se sempre em movimento - Com a facilidade de comunicao mvel e pontos pblicos de acesso rede, fica cada dia mais fcil executar crimes virtuais sem que uma identificao positiva seja concretizada. possvel, por exemplo, utilizar vrios sistemas de acesso pblico, como cybercaf ou quiosques para iniciar uma sondagem sobre um determinado alvo e, uma vez identificada a possibilidade de invaso, procurar meios mais seguros de utilizar ferramentas especiais como, por exemplo, linhas telefnicas em quartos de hotel ou equipamentos celulares e notebooks.

No prximo captulo vamos analisar dois casos de rastros, uma recente identificao de um grupo hacker brasileiro e a monumental investigao que levou o famoso hacker Kevin D. Mitnick priso, em 1995.

Parte XII - Rastreando o hacker - Exemplos reais

Dando continuidade ao captulo anterior sobre o rastreamento de hackers, vamos exemplificar nosso curso com dois casos de investigao que ficaram na histria da Internet. O primeiro caso o do grupo Inferno.br, responsvel por inmeras invases de sites no Brasil e no exterior, que logo despertou o interesse da equipe especializada em crimes virtuais comandada pelo delegado Mauro Marcelo de Lima e Silva, da Polcia Civil de So Paulo. O grupo de hackers parecia ser bastante cuidadoso apagando sempre seus rastros nos sistemas invadidos, mas cometeu uma falha: divulgou um email para contatos, atitude rara de se ver em invases em srie como as praticadas pelo grupo. Era uma conta de email gratuita, oferecida pelo Hotmail (www.hotmail.com), atualmente de propriedade da Microsoft. Alm das tentativas de investigao nos locais dos crimes - o que muito trabalhoso, principalmente em se tratando de vtimas internacionais - os especialistas se dirigiram Microsoft, solicitando o fornecimento de informaes sobre a caixa-postal do grupo, principalmente sobre os usurios que a verificavam regularmente. Mesmo que as mensagens no tivessem nenhum contedo, o simples fato de consult-las mostraria informaes sobre a localizao - no mnimo alguns nmeros IPs - das mquinas e redes utilizadas, levando a equipe cada vez mais perto dos invasores, at uma identificao positiva ser feita. O grupo alegava que esta verificao de correspondncia era feita de forma annima - como pode ser visto nas declaraes que substituam as pginas invadidas - mas provavelmente no tinham controle sobre os pontos intermedirios de acesso para impedir o rastreamento das suas informaes. Cerca de cinco anos antes nosso segundo exemplo, Kevin David Mitnick, invadira a rede particular de um especialista em segurana procurando cdigos hackers para telefones celulares. Sua ao foi muito bem executada e os rastros foram apagados to bem quanto se tivessem sido feitos remotamente mas, para a sua infelicidade, Tsutomu Shimomura foi mais hbil, conseguindo recuperar traos de arquivos apagados - inclusive os logs - identificando nmeros IPs utilizados durante o ataque. Aps vrios dias de estudos, foi possvel identificar algumas conexes, partindo de vrios pontos de

presena do provedor americano Netcom que, de acordo com as informaes disponveis, tinha como origem ligaes da cidade de Raleigh, mas com um agravante: ligaes de um telefone celular. Entretanto, as investigaes de Shimomura no eram amparadas pela lei e foi preciso uma licena especial para "espionar", diretamente no backbone da Netcom, os passos do hacker, at que provas legais fossem juntadas para dar base perseguio. A equipe de investigadores receava que Kevin estivesse acessando a rede de pontos diferentes na cidade, o que tornaria a caada praticamente impossvel, mas ele cometeu o maior erro da sua longa vida de crime: acessava sempre de seu apartamento - alugado sob um nome falso. Com o auxlio da operadora de telefonia celular, foi possvel identificar de que clula (antena) provinha as ligaes daquele nmero, o que diminuiu a rea de busca para cerca de 1Km, permitindo equipe utilizar rastreadores manuais e antenas direcionais para identificar primeiro a direo, depois o prdio e finalmente o apartamento de onde vinham os sinais do celular, onde a polcia efetuou a priso em flagrante de um dos hackers mais conhecidos e procurados de todos os tempos. Nos dois exemplos acima podemos perceber que mesmo os mais experientes hackers deixam rastros das suas atividades na rede, no por falta de conhecimento ou habilidades, mas porque essa uma tarefa extremamente complexa e, assim como no existe sistema livre de falhas - o que permite as aes hackers - no existe hacker livre de falhas - o que permite seu rastreamento e captura.