| Casos Reais de Segurança
e
Insegurança |
Abaixo cito alguns casos reais . O nome das pessoas e empresas envolvidas sempre será omitido. Algumas histórias têm final feliz.
Pára-raios - Uma empresa situada às margens de um rio comprou dois computadores S-700 da Prológica, lá pelo início da década de 80. Toda a instalação foi feita de forma adequada, com aterramento, tomadas de 3 pinos e até estabilizador (fato não muito comum na época). No dia seguinte ao primeiro temporal, constatou-se a queima ("torrefação") total das fontes, placas e demais componentes dos dois computadores, com perda total dos equipamentos. Motivo: o pára-raios e o aterramento haviam sido feitos muito próximos um ao outro, e o sub-solo encharcado provocou o retorno de um raio para o aterramento.
Backup em disquete - Certa empresa realizava religiosamente seus backups. Todo dia. A funcionária encarregada da Informática (digitadora, operadora, conferente de slips e responsável pelo setor de cadastro) ficava após o expediente e gravava os dados em mais de 70 disquetes. Isto mesmo, 70 disquetes. Certo dia, o inevitável aconteceu. Numa tarde de sábado, na tentativa de recuperar o backup, o velho 386 SX operando em XENIX refugou o disco sessenta e poucos. Foram feitas 3 tentetivas de recuperação (toda a seqüência de mais de 70 discos de cinco e um quarto). Sempre no mesmo disquete a máquina engasgava. A solução foi a redigitação de parte do cadastro. Não houve perda de dados, mas uma despesa grande em retrabalho.
Equipe de limpeza - Todas as manhãs o operador constatava a parada do servidor, lá pelas 2 e meia da madrugada, quando não havia ninguém no CPD. Foram feitas auditorias no sistema operacional, no servidor, a crontab (tabela do UNIX que dispara processos automaticamente em horários pré-determinados) foi revisada e alterada, mas nada resolvia. Não havia registros de invasão do prédio. Até que o gerente do setor resolveu passar uma noite escondido no CPD. O que se descobriu é que, lá pelas 2 e meia, vinha uma equipe terceirizada realizar a limpeza do prédio, e uma senhora cuidadosamente desligava o servidor da tomada, limpava, e religava a pobre máquina.
Servidores de baixo custo - O velho servidor 486 (montado) já não tinha mais espaço em disco, e foram feitas cotações para mais um Winchester IDE. A opção mais barata era de uma marca boa, mas diferente do disco já instalado; tempo de acesso e capacidade também diferentes. A máquina já apresentava algumas manias irritantes, como perder a data e a hora, mas nada que comprometesse o funcionamento. O operador resolvia. Numa manhã de sexta-feira, num bonito dia de inverno, o 486 resolveu que não queria mais ler os discos rígidos. Perda total dos dados, sistemas aplicativos e sistema operacional. O operador, que resolvia todos os "pepinos" da máquina, era precavido: havia backup.
Assistência técnica barata - A máquina aceitava o UNIX sem grandes problemas. De vez em quando, no entanto, a mensagem de PANIC. Se o computador emite uma mensagem de PANIC, imagine-se o estado do seu usuário. A assistência técnica foi chamada, e foi aí que a confusão realmente começou: o diagnóstico mudava a cada novo erro, peças eram trocadas aleatoriamente, e no fim a empresa ficou um mês (isto mesmo, um mês!) sem o tal computador. A solução foi a troca da mother board por 3 ou 4 vezes. Como estava na garantia, o prejuízo financeiro (grande) foi da assistência técnica...
Assaltos - O CP-500 era uma máquina baseada no Z-80, e não tinha disco rígido. Na sua configuração mais comum, tinha dois drives de 5¼", com capacidade de 180 KBytes cada. Num drive se colocava o disco com o sistema operacional mais o aplicativo, no outro o disco com os dados. Os discos estavam criteriosamente cadastrados e guardados, com cópias de segurança em outro armário no mesmo ambiente. Numa madrugada de sábado, ocorreu o assalto. Os ladrões, aparentemente, tiveram pouco tempo, mais quebraram do que roubaram. Entre os objetos roubados, todos os discos dos sistemas e dos dados do CP-500. Por precaução, havia cópias de segurança. Por sorte, não foram roubadas, pois estavam no mesmo ambiente.
Vírus - Aí existem dezenas de histórias. Vai uma interessante: pois tinha aquele estudante, hacker frustrado, óculos de fundo de garrafa, que gostava de colecionar software - todo e qualquer software, principalmente qualquer coisa que pudesse representar algo doentio e desviante. Quando apareceu o primeiro vírus no laboratório foi aquela festa. Enquanto o funcionário responsável se desdobrava em mil para descontaminar os PC XT e alertar os usuários, o nosso reptílico aprendiz de malfeitor contaminava seus próprios discos e recontaminava as máquinas.
Transporte - A vítima, um Pentium 75 novinho. A insistência em levar a máquina para um passeio de caminhonete, junto com malas e outras tralhas, gerou a ira do responsável pela informática. No entanto, ordens são ordens, e lá se foi o Pentium desktop conhecer outros ares (quase 2.000 km de estrada, ida e volta). Não havia backup de nada. Por sorte, uma grande sorte, apenas o mouse e o teclado foram quebrados (esmagados) na viagem...
Senhas (1) - A informática insistia em atribuir senhas complicadas aos pobres usuários, que nem sabiam prá que precisava de senha, pois já tinham de digitar o nome... Aqueles teimosos da informática não aceitavam senhas simples, como as inicias do setor ou do usuário, datas de nascimento ou senhas em branco. Pura má vontade. Aí os usuários resolveram o problema de uma forma simples e eficiente: colaram os papeizinhos com as senhas no teclado (não na parte de baixo, na parte de cima mesmo).
Senhas (2) - O operador, responsável pelo cadastro, pela operação, etc., nunca entendeu direito esta história de administração de usuários. Todo mundo usava a senha do root (supervisor). Por sorte, a situação foi detectada antes de acontecer o óbvio.
Incêndios - A loja estava progredindo, e estava conseguindo se informatizar. Já tinha comprado um controle de estoque e uma contabilidade, nada integrado, mas servia bem. A instalação do CPD era bem precária. Todos os dados no 386, e backup na mesma sala. Um curto-circuito seguido de incêndio acabou com a informática da loja, e quase acabou com a própria loja.
Fumaça - A loja do lado também tinha computador. O incêndio da outra loja provocou tanta fumaça que inutilizou todos os disquetes desta loja.
Vandalismo - Certa empresa andava com uns probleminhas, e o CPD tinha, nos discos, provas incriminadoras. A solução foi fácil: num fim de semana, quando não havia nenhum funcionário de plantão, os backups foram sistematicamente destruídos. Segunda-feira, surpresa geral...
Falta de energia elétrica - Dia de faturamento, mais de um milhão de dólares a receber, e a maldita luz acabou. Havia prazos bastante rígidos a cumprir, sem segunda chance. O no-break senoidal inteligente de alguns KVA, que pareceu caro demais na hora da compra, agora tinha de mostar seu valor. Corre-corre, desligados todos os computadores não essenciais, apenas o servidor Pentium 100 ligado, processando. Quando a energia voltou, mais de 4 horas depois, o faturamento estava pronto. Sem no-break não haveria mais tempo, e o faturamento não teria sido emitido.
Inundação - Aquela repartição pública, naquele velho prédio histórico cheio de goteiras, o computador (um 486 novinho) na mais pré-histórica das salas históricas, no gabinete da autoridade. Chove no fim de semana. Na segunda feira, o técnico é chamado com urgência porque o computador não quer funcionar, apesar de ser novo e de ter sido comprado com o dinheiro do contribuinte. A solução, após mandar consertar a goteira que ficava exatamente acima do vídeo do computador, foi desmontar o pobre coitado, lavar as placas e secá-las no ar condicionado. Não houve perda de dados porque o computador era novo e não havia dados...
Estresse - Fim de mês, o faturamento precisava sair de qualquer maneira, e o pessoal trabalhando dia e noite para cumprir a tarefa. Os dedos a mil nos velhos terminais a caracter, o servidor Pentium triturando os dados, e a margem de erro da digitação aumentando sem parar. No fim da empreitada, mais correções do que digitação. Mas, o objetivo, mais uma vez, foi alcançado.
Dono do conhecimento - (esta não chegou a acontecer ainda, mas pode estar ocorrendo neste exato instante). O fulano era a informática viva da empresa. Atendia a todas as solicitações, por mais esdrúxulas que fossem. Nada destas "frescuras" de documentação, toda a empresa estava na sua cabeça. Configuração de UNIX era com ele mesmo. TCP/IP tranqüilo. Três ou quatro servidores Pentium interligados, cento e tantos terminais, tudo na cabeça. O sistema, a linguagem, tudo na cabeça. Um dia, o infeliz se excedeu no álcool e teve uma amnésia...
Bomba eletrônica - Uma empresa com seu PC-XT e um programador que, para se proteger, criptografava os códigos-fonte que desenvolvia. Ninguém tinha acesso aos fontes. Em conseqüência, houve o desligamento da empresa, e o problema do próximo programador, que não tinha estes hábitos. Solução: deletar tudo o que o desgraçado tinha feito e recomeçar. Em função da detecção prematura do problema, houve pouco retrabalho e nenhuma perda.
Temperatura e umidade - Verão, meio da tarde, mais de 35 graus, a umidade lá pelos 80%. Parece que vai chover. Não há dinheiro para o ar condicionado, abrem-se todas as janelas, ligam-se dois ou três ventiladores, a papelada voa, e o sujeito triturando aquele pobre 386 com o impiedoso Corel Draw. O led do winchester nem pisca mais, está sempre aceso, e o inclemente operador resolve abrir o Page Maker para fazer outro trabalho, o cliente está no telefone enchendo o saco. De repente, o inevitável, que até estava demorando. Pára tudo.
Self made man - Esta é a história do office-boy que tinha jeito prá coisa. Foi subindo, subindo, subindo, passou pelo financeiro, contabilidade, até que acabou virando programador, e para virar analista foi só uma questão de tempo. Primeira prostituta aos 13 anos. Nada desta boiolice de estudar, se formar, pois se garantia, era acadêmico da Faculdade da Vida. Muita ousadia, muita iniciativa, um tanto de bajulação quando necessário, sabia se virar. Confiava no taco. Até que, um dia, aconteceu o óbvio: a falta de conhecimento teórico, a falta de metodologia, a inexperiência, os problemas não resolvidos, a tentativa de levar no papo, a demissão, o prejuízo para a empresa.
Anapropégua - Ou: analista- programador-operador-digitador-responsável pelo cadastro, secretário e égua. De tanta coisa que faz ao mesmo tempo, acaba se estressando e deixando tudo pela metade. Não pode tirar férias, não pode ficar doente, sem fim de semana, mal sobra tempo para tomar as pastilhas anti-ácido e as vitaminas. Situação potencialmente explosiva, e que costuma realmente explodir.
Linguagens - O velho CLIPPER piratão, que funcionava tão bem no WINDOWS 3.11, se recusou a trabalhar com o WINDOWS 95. Mas que droga, parece que o Bill Gates conspira contra a humanidade... Volta o 3.11 ou tenta mexer nos fontes? E quem garante que não haverá novo estouro de memória numa situação não testada? E as perdas de índices? E os arquivos corrompidos?
Vaso - A secretária não abria mão de colocar o bendito vasinho com uma rosa bem do lado do computador; misturava um pouco de açúcar na água, sabe Deus por quê. Apesar de todos os alertas, não houve santo que a fizesse mudar de idéia. Um dia, aconteceu o óbvio. Engraçado, parece que o óbvio sempre acaba por acontecer... Por sorte, foi apenas o teclado que tomou um banho de água doce (literalmente), teve de ser desmontado, lavado e secado.
Cabeamento inadequado - Um servidor Pentium 100 SCSI rodando o WINDOWS NT conectado, via TCP/IP, a outro servidor igual, que rodava SCO UNIX. Vinte terminais no UNIX, umas dez máquinas em rede com o NT; diversas impressoras compartilhadas. Uma beleza. O único problema era o famigerado cabeamento coaxial. Cada vez que uma máquina parava, toda a rede saía do ar (somente do lado NT, o lado UNIX não era afetado). Dois ou três técnicos de quatro no chão, tentando localizar o problema, normalmente mau contato. Nunca chegou a ocorrer perda de dados, porque a equipe estava consciente do problema, mas a perda de tempo era irritante e a situação era potencialmente de risco. O final feliz, obviamente, foi a instalação de um cabeamento estruturado, estupidamente mais caro, mas com uma confiabilidade e controlabilidade que compensam largamente o custo.
Seqüência de erros - O aplicativo foi instalado no diretório do grupo, e não no diretório do usuário, como seria o procedimento mais correto. O usuário passou a senha a outra pessoa, que acidentalmente deletou os arquivos de dados. Sem problemas, porque havia backup em fita DAT. Embora não fosse feita a verificação sistemática do backup, todo mundo sabia que os dados estavam a salvo. Pois não estavam. Na hora de voltar o tal backup, justamente os arquivos deletados não puderam ser recuperados. Pânico. Alguém teve a idéia de passar um fax ao fabricante do software de backup, enquanto a caça às bruxas corria solta. Dois dias depois, a resposta do fax com a solução: fora executado um patch no sistema operacional (Novell), adaptando-o à máquina multiprocessada, que trazia problemas para a recuperação do backup. A partir daí, conseguiu-se tomar as providências para recuperar os tais arquivos deletados.
Cito também alguns casos clássicos de invasão eletrônica:
Verme (worm) na Internet - Um aluno de graduação da Universidade de Cornell, Robert Morris Jr., paralisou cerca de 3.000 computadores conectados à Internet em 02 de novembro de 1988 (cerca de 50% da Internet na época). Embora o verme não tivesse efeitos destrutivos, a rede só conseguiu voltar ao normal alguns dias depois. O estudante foi sentenciado, em 1990, a 3 anos de prisão, mais multa de U$ 10.000,00, mais 400 horas de serviço comunitário.
Conexão KGB - Em 1988, um espião da Alemanha Oriental tentou violar 450 computadores na área acadêmica e militar; vendia as informações para a KGB.
Caso Kevin Mitnick
- Causou danos à DEC, com o roubo de um sistema de segurança
secreto; roubou cerca de 20.000 números de cartão de crédito;
atacou o computador de um especialista de segurança em informática
(no Natal); perseguido pelo FBI, foi preso em 1995, e pode pegar até
20 anos de prisão, além de multa de U$ 500.000,00.