Mulher 007

chappel
 
Discreta e sem grandes pretensões aparentes. É dessa forma que a norte-americana Laura Chappell, de 45 anos, chega em seu ambiente de trabalho. A discrição é necessária: ela não pode chamar a atenção, porque está ali para colher – e,às vezes pegar sem pedir mesmo – todo tipo possível de dados para depois expor as falhas na área de tecnologia da informação de uma empresa. Seus brincos podem roubar informações de qualquer drive ou trazer ferramentas que fazem uma varredura de todo o sistema a que são plugados – via USB, claro.

Para realizar bem o serviço de investigação – sempre contratado pela diretoria – ela já se disfarçou de secretária, copeira e até faxineira. Sua função principal é descobrir funcionários que desviam ou traficam dados ou informações. Em outros casos, para prender pedófilos, ela já se fingiu de criança e manteve meses de relacionamento fictício pela Internet.   

Atualmente, Chappel presta serviços de consultoria e treinamento sobre segurança, softwares e ferramentas de segurança mundo à fora. Entre seus clientes constam nomes como Microsoft, IBM Corporation, Cisco Systems, Hewlet-Packard, o FBI e a Marinha dos Estados Unidos. Em passagem por São Paulo para evento na FAAP (Faculdades Armando Álvares Penteado) promovido pela Faculdade de Computação e Informática, ela falou com o WNews.

A entrevista a W news

Wnews: Qual artifício tecnológico você mais utiliza para realizar o seu trabalho?

Laura Chappell: Sem dúvida, meus brincos. Vou com eles a todos os lugares, mesmo sem saber se vou usá-los ou não. Por uma ligação USB, um deles me possibilita coletar toda a informação de drives; o outro roda um aplicativo e ferramentas que reconhecem todos os sistemas de uma rede de computadores. Eu também carrego sempre comigo o Wireshark-Ethereal, um software que faz análise de fluxos de informações em uma rede de Internet e que pode ser rodado em qualquer computador comum.

WNews: E qual a principal tendência na área de segurança de rede de sistemas?

Laura Chappell: Um dos assuntos que ainda serão muito debatidos em termos de segurança de redes e sistemas é o roubo de identidade, espionagem e perda de dados. Muitos executivos carregam em seus laptops informações sigilosas e extremamente importantes de suas empresas e não se dão conta de quanto esse material pode ser valioso em mãos erradas.

Não há como alguém sair de casa com um novo cartão de crédito toda vez que for sair para fazer compras. Então, é preciso tomar cuidado com todos esses dados. Essas pessoas entram em sistemas de rede de Internet sem fio, por exemplo, e acham que não estão vulneráveis a invasões. Isso é um engano. Também é necessário saber a quanto de informação um funcionário tem acesso, porque, muitas vezes, ele não precisa utilizar todo esse material e acaba colocando os dados em risco desnecessariamente.

WNews: Então você não indica o uso de redes sem fio em locais públicos?

Laura Chappell: Não, eu nunca mandaria informação confidencial a partir de um local como essas, mesmo que a informação estivesse “encryptada” (ou protegida por códigos de segurança chamados de “encryption” em inglês). Com o simples envio e recebimento de e-mails, uma pessoa não tem noção do quanto de informações ela coloca disponível em uma rede, e que elas podem ser utilizadas por qualquer um que tenha acesso a elas.

E quanto à “encryptação”, esses códigos podem ser tão facilmente quebrados que é impressionante. Existe uma técnica de quebra desses códigos chamada de “café latte”, como a bebida. O nome foi dado para lembrar quanto tempo demora para fazer essa quebra: o mesmo que tomar um copo do café. Quando ligo o meu aparelho aqui no hotel, fico impressionada com o número de conexões wireless (sem fio) disponíveis, é incrível. 

WNews: E você já usou a Internet sem fio em algum desses lugares suspeitos aqui no Brasil?

Laura Chappell:  Não, não usei, e nem sei se pretendo (risos).

WNews: O Brasil é reconhecido no cenário internacional como a casa de muitos crackers. Em muitos locais, essas pessoas são contratadas por empresas. Essa pode ser uma boa aliança?

Laura Chappell: Essa é uma atitude muito arriscada. Escuta-se com freqüência sobre “gangs” de invasores virtuais do Brasil, compostas por cerca de dez, 20 membros, e o que eles conseguem fazem é de fato muito impressionante.

Se a empresa tiver interesse em contratar uma dessas pessoas ela deve, antes de mais nada, procurar saber se esse possível funcionário não está sendo investigado por nenhum motivo. É importante ter em mente que ele terá acesso a uma série de informações que podem ser muito úteis para concorrentes ou até mesmo para organizações criminosas. Com essas informações, ele pode ganhar muito mais dinheiro que o seu pagamento oficial.

Ao mesmo tempo, você tem jovens profissionais da área de tecnologia da informação que conseguem fazer as mesmas coisas que essas pessoas com más intenções. Para selecionar um profissional desses, é preciso verificar que ele saiba atacar, mas principalmente defender um sistema.

WNews: Na Internet, a curiosidade aliada à ingenuidade de muitas pessoas leva à ocorrência de diversos casos de invasão virtual e roubo de informações. Você acha que é possível adotar alguma medida eficiente contra isso?

Laura Chappell: No ambiente de trabalho, ainda há muitos funcionários que pensam que nunca serão nunca atacados. Sabem dos riscos, dos problemas que uma atitude falha pode ocasionar, mas acham que nunca acontecerá com eles.

Há o caso de uma funcionária do departamento financeiro de um banco dos Estados Unidos que clicou em um link infectado recebido por e-mail em uma sexta-feira – dia da semana preferido pelos criminosos da Internet, devido ao final de semana – e, na segunda-feira seguinte, havia sumido cerca de US$ 150 mil das contas da agência. Daí então, começa uma sucessão de “dedos-apontados” entre a pessoa diretamente envolvida e o departamento de TI (tecnologia da informação). Isso acontece especialmente com funcionários mais antigos, os que mais caem nesse tipo de cilada.

WNews: E o que a empresa pode fazer pra evitar essa ocorrência, principalmente com os mais velhos?

Laura Chappell: A empresa deve incentivar a educação (tecnológica) desses funcionários, e isso deve ser feito principalmente por meio de estudo de casos já acontecidos – essa é a melhor forma de expor a realidade. E esses empregados devem ter a noção que, em caso de dúvidas, eles devem sim buscar ajuda do departamento de TI, para tirar dúvidas ou relatar casos. Por isso, defendo que, muitas vezes, é preciso ter um “relações públicas” no departamento de TI, alguém que esteja ali para fazer justamente a intermediação do contato entre os funcionários e a equipe de tecnologia – que muitas vezes não é muito amigável nem muito aberta a conversa.

WNews: E já é possível encontrar um profissional com formação nessa área no mercado?

Laura Chappell: Especificamente, não. Atualmente, quem acaba por desempenhar essa função é um gerente de TI que se destaca e que tem uma personalidade mais aberta, que está interessado em transmitir o que sabe, alguém que atinja uma determinada comunidade sem ter ruídos de comunicação. E, por parte do mercado, deve haver uma designação específica para esse profissional, cada vez mais importante.

Quando perguntada sobre os desdobramentos do caso Cisco nos Estados Unidos e o impacto do escândalo para a empresa, Chappell preferiu não opinar por “não acompanhar o caso nem pela imprensa nem pessoalmente como gostaria, devido a viagens profissionais”. Na próxima semana ela retorna aos Estados Unidos e pretende, então, declarar algum posicionamento sobre o assunto.

 

Se você gostou do assunto, comente

Anúncios

About the post

Computadores e a Internet

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s