Um jeito já meio manjado de pegar hackers pouco
experientes é o "honeypot" (pote de mel). Trata-se de um site
razoavelmente fácil de ser penetrado, preparado como armadilha para
atrair invasores. Assim que o malfeitor o penetra, soa um alarme e
algumas vezes é possível chegar ao culpado. Num recente artigo
no New York Times, Nicholas Thompson nos conta de uma outra armadilha,
baseada na mesma idéia dos honeypots. Ela se chama
"honeytoken" (token = ficha, sinal) e já tem algumas
implementações em operação, sendo uma delas desenvolvida por um
ex-oficial do Exército americano, Lance Spitzner, de 32 anos, atual
funcionário da Sun
Microsystems. Há cerca de quatro anos ele vem tocando o Honeynet
Project, uma organização sem fins lucrativos cujo objetivo é
monitorar honeypots espalhados pela internet, de modo a conhecer as
técnicas empregadas pelos hackers na invasão de sistemas.
A idéia por trás dos honeytokens é simples mas
eficaz. Basta inserir algumas informações falsas em bancos de dados
reais e depois monitorar o tráfego da rede, identificando estes
marcadores e, possivelmente, chegando até o invasor. Por exemplo, um
banco poderia inserir vários números falsos de cartão de crédito em
seu cadastro e depois ativar um programa fuçador para vigiar qualquer
acesso a um desses números.
O termo "honeytoken" foi criado
em 21 de fevereiro de 2003 pelo especialista brasileiro em segurança Augusto
Paes de Barros, 25 anos, funcionário do BankBoston,
em uma de suas mensagens postadas na lista Focus-IDS
do SecurityFocus,
que trata de segurança de sistemas e detecção de invasões. A
mensagem era justamente uma resposta a algumas considerações feitas
pelo Lance Spitzner na lista.
A idéia de inserir iscas falsas e monitoráveis no
meio de dados reais remonta aos anos 80, numa bolação de Clifford
Stoll, astrofísico e gerente de sistemas do Laboratório
Nacional Lawrence Berkeley, na Califórnia. Numa interessante
caçada ocorrida entre 1986 e 1988, e relatada em seu livro "The
Cuckoo's Egg", Clifford enfiou em obscuros diretórios de seu
servidor dados falsos sobre uma suposta organização de defesa
estratégica de redes digitais. Isso atraiu
hackers da antiga Alemanha Oriental, que acabaram presos pelo governo
alemão, mas soltos tempos depois.
A Profª Barbara
Kaye da Universidade
de Tennessee, em Knoxville, está conduzindo uma pesquisa
online examinando a motivação das pessoas para acessar weblogs ou,
como são mais conhecidos, blogs. O questionário é dividido em duas
partes, a primeira com 21 e a segunda com 12 perguntas, mas é tudo em
inglês. Se tiver dificuldades com o idioma, use o tradutor online Babelfish,
informando o link da pesquisa no campo "Traduza uma página da
Web", selecionando "Inglês para Português" e clicando
em "Traduzir". A tradução
do Babelfish, como
se sabe, é meio capenga, mas é melhor do que nada e dá para pegar
o espírito da coisa. Ao final da pesquisa, Barbara pede seu email,
garantindo que só será usado para fins acadêmicos. Se a leitora não
gostar da idéia de fornecer seu endereço eletrônico verdadeiro,
invente um. Solicita também que indique o questionário para um ou mais
conhecidos, desencadeando um efeito "bola de neve". E se você
tiver um blog seu, ela pede que divulgue o link da pesquisa. Além de
suas inquestionáveis credenciais, Barbara evoca o nome de Glenn
Reynolds, dono do blog Instapundit.com
e professor de Direito na mesma universidade, como referência de que a
pesquisa é séria. Leva uns 15 minutos para responder a todas as
perguntas, a maioria delas de múltipla escolha.
Tem cara de hoax, mas se for, então pegou
direitinho boa parte da mídia tecnológica do planeta. Ainda estou
meio sem palavras e incrédulo ao relatar que a MSN
inglesa vai lançar em junho próximo, no Festival
de Glastonbury de artes performáticas contemporâneas, uma
cabine-sanitário chamada iLoo
(do inglês "Loo", de "portaloo" = toalete). Em resumo,
é um gabinete fechado contendo um lavatório e uma privada em que o
usuário senta e tem à sua frente um computador para acessar a internet
enquanto, bem... você sabe. Desculpem, é isso mesmo: um mau gosto sem
precedentes, mas indubitavelmente uma idéia assaz inovadora. O iLoo
será dotado de conexão banda larga, teclado sem-fio, tela à prova de
respingos, microfone embutido e acesso grátis à MSN e a vários sites
parceiros. Será guarnecido (do lado de fora da cabine, espera-se) por
um atento segurança, para evitar roubo de hardware, e por um dedicado
faxineiro, para manter o local imaculadamente asseado, tudo isso visando
a transformar o iLoo em uma das grandes atrações do festival. Coisas
da Microsoft...
Todos os links relativos aos tópicos de hoje estão
no endereço <http://catalisando.com/infoetc/20030512.htm>