Parte A-há! Te peguei, hacker... Mas, e agora?

É cada dia mais comum o surgimento de softwares que cuidam da segurança do seu computador pessoal e o mecanismo de monitoração mais utilizado é a "escuta" de portas de conexão (para maiores informações sobre ‘portas de conexão’, consulte o capítulo 3 deste curso básico).

Entretanto, de que adianta a informação de que um hacker tenta bisbilhotar nosso computador? O que podemos fazer no momento em que descobrimos uma tentativa de ataque e conseguimos informações básicas sobre o hacker — como, por exemplo, seu número IP — através dos relatórios destes programas de proteção?

Primeiro vamos analisar os fatos: um aviso emitido por um destes softwares de monitoração não significa que você está sendo invadido. É apenas uma notificação que houve uma tentativa de conexão em determinada porta. Muito provavelmente o hacker não obterá êxito pois os softwares de monitoração fazem uma checagem sobre as vulnerabilidades do computador, eliminando os programas ou falhas que permitiriam o ataque. Ficar de olho nas portas é uma medida secundária para quase todos estes programas de segurança.

Ao identificar uma tentativa de conexão, os programas registram dados importantes como hora, IP, tipo de ataque, etc. e mostram estas informações à você, usuário. Estes dados são referentes ao computador de onde partiu o ataque e identificam de forma bastante confiável o responsável pela ação.

De posse destes dados, devemos, antes de qualquer outra ação, identificar a qual "provedor" pertence este número. Para isto basta utilizamos um comando do próprio Windows, dentro da janela do "Prompt do MS-DOS", executando: "tracert 192.168.0.10" (trocando o IP pelo número identificado no relatório).

Este comando produzirá uma série de linhas "percorrendo" o caminho de um pacote de dados do seu computador até o computador do invasor. Cada linha identifica um computador intermediário e as últimas identificam equipamentos do provedor de destino. Pelo nome destes equipamentos é fácil deduzir a que provedor de acesso eles pertencem.

Através da página web do provedor, você pode conseguir um endereço de contato para reclamar sobre incidentes de segurança, geralmente abuse@provedor.com.br, mas uma maneira de garantir o recebimento da sua mensagem é enviar cópias para postmaster@provedor.com.br e root@provedor.com.br.

Com o endereço à mão, redija uma mensagem relatando a tentativa de acesso não autorizado ao seu computador pessoal partindo da rede sob a responsabilidade desta empresa provedora de acesso à Internet. Repare que é esta empresa que responde pelas tentativas de invasão originadas na sua (dela) rede. O fato do incidente ter sido provocado por um usuário é um problema do provedor com seu cliente em particular e, à você, cabe apenas a reclamação aos responsáveis pela rede. Não perca tempo tentando identificar o usuário.

Provedores sérios que se preocupam com sua imagem emitem uma notificação ao seu usuário (eles têm como identificar o usuário através do número IP e hora) avisando sobre as condutas aceitáveis dos seus clientes. Dependendo da política de cada provedor, o usuário, se estiver reincidindo nestas ações, pode ser bloqueado ou excluído.

Mas, o que pode dar errado? Infelizmente muita coisa... Para começar você pode não conseguir identificar o provedor através do comando "tracert" por causa de configurações específicas de redes internas. Neste caso, peça auxílio ao suporte técnico do seu provedor. Um outro problema é ser ignorado quando enviar a mensagem relatando seus problemas de segurança. Uma ótima ferramenta contra esta atitude por parte dos provedores irresponsáveis é enviar uma cópia da mensagem ao NicBR Security Office (nbso@nic.br), equipe brasileira que mantém um serviço de auxílio e estatísticas sobre incidentes de segurança.

Outros grupos que mantém serviços sobre segurança são:

CAIS - Centro de Atendimento a Incidentes de Segurança (RNP)
CERT-RS - Centro de Emergência em Segurança da Rede
security@embratel.net.br - Responsável pela maioria dos backbones

Observações

• Manter o relógio do seu computador na maior sincronia possível com o horário oficial do Brasil pode ser imprescindível para a correta identificação do usuário no provedor ao qual está sendo feita a reclamação.

• Muitas alegações por parte dos provedores como, por exemplo, não punir o usuário por medo de perder o cliente ou alegar que "pura bisbilhotagem" (portscan) não é considerado crime, pode fazer com que a indisciplina na Internet aumente. Nestas situações, notifique o descaso ao NicBr. Uma lista dos provedores mais irresponsáveis com a segurança é um argumento infalível para se exigir uma ação repressora.

• Caso decida acionar o NicBr para auxiliar no seu caso, encaminhe primeiramente um email solicitando informações sobre a melhor maneira para se fazer estas reclamações. São medidas que ajudam no processo decisório por parte da equipe, viabilizando a ajuda gratuita que eles prestam a nós internautas.

Alguns dos programas mais comuns para a identificação de ataques são: Anti-Hack 2.0, TDS-2 e muitos dos pacotes de segurança e firewalls pessoais dos grandes produtores de software de segurança, como a Symantec ou a McAfee. Você pode encontrá-los nos grandes repositórios de softwares como, por exemplo, no www.download.com ou na www.tucows.com.