O usuário é a maior falha de segurança que existe

“Olá! Sou o primeiro ví­rus português. Como nós portugueses não temos experiência em programação, este ví­rus trabalha baseado num sistema de CONFIANÇA. Por favor: apague todos os arquivos de seu disco rí­gido manualmente e envie essa mensagem a todos os membros de sua lista de e-mail. Obrigado por sua colaboração.” Ok, admito que essa é […]

“Olá! Sou o primeiro ví­rus português.

Como nós portugueses não temos experiência em programação, este ví­rus trabalha baseado num sistema de CONFIANÇA. Por favor: apague todos os arquivos de seu disco rí­gido manualmente e envie essa mensagem a todos os membros de sua lista de e-mail.

Obrigado por sua colaboração.”

Ok, admito que essa é uma piadinha infame, mas reflete bem o que eu gostaria de dizer.

O ano era 1992 e eu, um garoto de 14 anos, monitor de aulas práticas (uma espécie de estagiário) de um cursinho de informática bastante conhecido, na época, em Salvador. Nas minhas horas vagas eu estudava programação e as interações dos programas com o sistema operacional e a máquina em si – sim, era na época que eu não gostava de gente, só de máquina.

Um dia tive uma idéia “sensacional” e criei um arquivo executável chamado “VIRUS.EXE”. Numa época onde quase todos os computadores tinham apenas drives para disquetes, pouquí­ssimas com HD, eu deixei minha invenção terrí­vel em apenas uma máquina de uma das salas que possuiam computadores com HDs. O temí­vel ví­rus procurava dentro do disquete o primeiro programa executável da lista e embaralhava ele – na verdade só invertia os dados – e no final “assinava” o texto “virus”. Era o suficiente para saber, numa próxima execução, que o arquivo já havia sido “infectado” e partir para o próximo da lista. Após isso ele se autocopiava para o disquete.

Em uma semana, vários dos alunos apresentavam disquetes com mal funcionamento (normalmente o primeiro arquivo executável da lista era o próprio sistema operacional) e “assinados”. Como eu normalmente era quem fazia limpezas em disquetes de alunos – isso é trabalho de estagiário, afinal – já sabia o problema e recuperava rapidinho.

Mas o que me assustou bastante foi que minha “experiência” vazou. Saiu do laboratório restrito a 10 computadores e foi parar nos alunos. Veja bem, o meu “ví­rus” era “português”, a pessoa TINHA que executá-lo (putz, quem executaria um arquivo chamado “virus”?) para que ele funcionasse. E precisava executá-lo várias vezes para ter mais de um arquivo corrompido.

Da mesma forma, hoje, as pessoas continuam baixando e executando ví­rus, clicando em links sem ao menos LER o que está escrito. Recentemente, fiz uma outra experiência social para provar que as pessoas não leem e publiquei os resultados. Dessa vez o experimento não fazia nada, além de alertar os incautos – a gente cresce e amadurece. O experimento nada mais era que um texto contendo um tí­tulo atraente como “roubar senhas do msn” e uma explicação dizendo que aquilo era apenas um experimento e nada iria acontecer. No parágrafo que antecede uma caixa de formulário e um botão, há o aviso de que aquilo não funciona.

Incrivelmente, 90% (NOVENTA PORCENTO) das pessoas que caí­ram naquele texto, digitou um e-mail e clicou no botão. Noventa! E até hoje essa é uma das páginas mais acessadas do tal blog e o botão continua sendo clicado freneticamente.

Preguiça? Analfabetismo funcional? Digital? Não sei, mas que isso é bem preocupante, ah isso é. A grande pergunta que fica é: se eu pedisse que a pessoa digitasse o e-mail e a sua própria senha do serviço, você acha que ela não digitaria?

Foto: TedRheingold

Bom artigo! Isso me lembra este estudo de uma universidade sobre as dez maiores ameaças í  segurança da informação, onde os próprios usuários foram incluí­dos na lista ao lado dos ví­rus.

http://chronicle.com/free/v55/i17/17a00901.htm

Teilor disse:

Como a gente diz na empresa onde eu trabalho “a culpa é sempre do usuário”. Esse tipo de coisa acontece porque o mundo virtual está sendo praticamente invadido pelos beneficiados da inclusão digital e infelizmente, estas pessoas parecem não estar muitos dispostas ao aprendizado. Quando era criança, meus pais sempre me alertavam para não conversar com estranhos, não aceitar presentes de desconhecidos e olhar para os dois lados antes de atravessar a rua. Quando tiver filhos, além destes alertas, terei que alerta-los para não clicar em links suspeitos, não transmitir dados pessoais a desconhecidos na internet e a ler bem antes o conteúdo antes de usar algum recurso.

Manoel Netto disse:

@Teilor,

Há espaço de sobra pra todo mundo. Sejam muito bem vindos os incluí­dos, eles serão nossos usuários e clientes num futuro próximo (alguns em nosso presente). Cabe a nós, ensiná-los, instruí­-los.

Mas vou te dizer, não são somente os incluí­dos culpados desse mal. Conheço muita gente que está no meio há muito tempo e caiu numa pegadinha que fiz 😉 (http://balela.info/arquivo/seguranca-independe-do-meio/)

Abraço

roger disse:

sem sobra de duvida concordo que as pessoas colocariam suas senhas lá ,acho que eu ja cliquei num desses links em epocas passadas ,antes do profissionalismo entra no meu objetivo ,mas uma pergunta as pessoas clicaram nesse texto para ler?

Manoel Netto disse:

@Roger,

Você viu o tí­tulo da pegadinha? Algo como “senhas do Orkut, invadir MSN”. As pessoas estavam procurando formas de roubar contas de outros usuários, por isso caí­ram no meu texto, vindo do Google principalmente.

Eu fui bonzinho. Tem gente que coloca armadilhas em links parecidos (eu acho bem feito) 😉

Abraço