Confirmada falta de segurança no acesso gratuito com nome e senhas genéricos


23 FEV 2000



Testes com simulação de invasão comprovaram a impossibilidade de identificar autores de ataques

O Comitê Gestor da Internet (CGI.br) concluiu que a modalidade que vem sendo utilizada por grande parte dos provedores que oferecem acesso gratuito, com nome e senha genéricos, torna impossível a identificação da procedência exata de um ataque à rede. Como conseqüência, abre-se assim uma possibilidade perigosa de uso anônimo por pessoas mal intencionadas.

Para chegar a essa conclusão, o conselheiro José Luiz Ribeiro Filho, encarregado de fazer a análise, contatou os principais provedores do gênero e testou diversas características dos serviços de acesso oferecidos, sendo elas: o cadastramento dos usuários, os contratos e as facilidades para acesso não identificado, ou anônimo, à Internet global, a partir dos números telefônicos oferecidos pelos provedores.

No primeiro quesito, os cadastros se mostraram, em grande parte, sem nenhuma utilidade, pelo menos para efeito de ajudar na real identificação dos usuários. Informações como data de nascimento de 1 de janeiro de 2000, nomes e endereços inválidos e número de CPF falso foram aceitas. Assim, torna-se muito difícil a identificação de um usuário no caso de este fazer mau uso da rede. Alguns provedores, no entanto, demonstraram preocupação em verificar algumas informações do cadastro como CEP e CPF, mas só isso não basta. Além disso, todos permitiram o uso de senhas fracas (senhas com poucos caracteres) que facilitam a sua adivinhação por terceiros. "É importante distinguirmos a gratuidade do anonimato. Nossa preocupação não é com o acesso gratuito, mas com a impossibilidade de identificar quem gerou um ato danoso à Internet", comentou o coordenador do CGI.br, Ivan Moura Campos.

Nas simulações de ataque, foi utilizado como alvo um computador padrão do mercado com um sistema operacional Unix com vulnerabilidades conhecidas. A simulação foi repetida para todos os conselheiros durante a reunião ordinária do CGI.br, que aconteceu no último dia 17, em São Paulo.

Por fim, nos contratos de prestação de serviços apresentados aos usuários durante o cadastro, somente apenas aqueles oferecidos por três dos provedores analisados apresentam quesitos mínimos como a qualificação do contratado (nome do provedor, endereço, CNPJ) e estipulam os direitos e deveres de cada uma das partes.

O CGI.br pretende agora trabalhar em conjunto com a sociedade civil, entidades atuantes na área e com todos os provedores de acesso (gratuitos e pagos) para encontrar mecanismos que possam ser adotados por estes para ajudar a tornar a rede mais segura. Só assim será possível reduzir a ocorrência de eventos como os acontecidos recentemente nos Estados Unidos que contribuem para desestimular a participação de mais empresas no ciberespaço.

Uma das sugestões apresentadas foi no sentido de sensibilizar os provedores para aumentarem a segurança de seus serviços destacando este aspecto como fator diferencial nas suas campanhas de marketing. O usuário também será alvo de uma campanha de alerta do CGI.br para que se conscientize do risco a que se submete quando utiliza um serviço sem os requisitos mínimos de segurança.

PROPRIEDADE INTELECTUAL

Os domínios também figuraram na pauta da última reunião do CGI.br. Atualmente, um nome de domínio não deve colidir com os direitos marcários dos detentores de marcas de alto renome ou notoriamente conhecidas. É, no entanto, possível à convivência de empresas homônimas na Internet, dada a grande variedade de opções disponíveis para cada área de atuação no mercado (.ind, .com, .org, por exemplo).

Mesmo assim, alguns problemas ainda tem surgido, se transformando em disputas judiciais. Para minimizar estas situações, o CGI.br, por meio de seu Coordenador e vários de seus membros participará no dia 1º de março de uma reunião convocada pela Secretaria de Tecnologia Industrial - STI do Ministério do Desenvolvimento, Indústria e Comércio Exterior - MDIC, em Brasília, juntamente com representantes de diversas outras instituições e entidades interessadas ou envolvidas, visando analisar a problemática MARCA X NOME DE DOMÍNIO. A Associação Brasileira de Propriedade Intelectual - ABPI já apresentou propostas neste sentido. Cabe notar que a STI/MDIC coordena o Grupo Interministerial de Propriedade Intelectual e vem acompanhando a discussão deste tema em foros internacionais, tais como a OMPI - Organização Internacional da Propriedade Intelectual.

Ivan Moura Campos reforçou, ainda, a importância da presença do CGI.br em eventos dentro e fora do país. O Brasil já é o 13º país do mundo em número de hosts, daí sua importância na participação nos fóruns onde são decididos os rumos da Internet em todo o mundo.

PERFIL

O Comitê Gestor da Internet do Brasil (CGI.br) foi criado a partir da necessidade de coordenar e integrar todas as iniciativas de serviços Internet no país e com o objetivo de assegurar qualidade e eficiência dos serviços ofertados, assegurar justa e livre competição entre provedores e garantir a manutenção de adequados padrões de conduta de usuários e provedores.

O CGI.br tem como atribuições principais:
  • fomentar o desenvolvimento de serviços Internet no Brasil;
  • recomendar padrões e procedimentos técnicos e operacionais para a Internet no Brasil;
  • coordenar a atribuição de endereços Internet, o registro de nomes de domínios, e a interconexão de espinhas dorsais;
  • coletar, organizar e disseminar informações sobre os serviços Internet.
Jornalista responsável
Gustavo Sousa Jr.
Telefone: (061)922-5006
E-mail: gustavo@cgi.br
Na Internet: www.cgi.br