de discórdia quando algumas destas agências invadem arquivos e comunicações particulares de seus próprios cidadãos, muitas vezes levando a consequências políticas.
As multas por invasão ilegal dependem amplamente da natureza da própria transgressão. Acessar as informações privadas de alguém sem a sua autorização provavelmente acarretaria uma penalidade menor do que usar o acesso para roubar dinheiro, sabotar equipamentos ou cometer traição. Processos de alto nível resultaram de hackers roubando e procedendo ou à venda ou à disseminação de informações pessoais, confidenciais ou classificadas.
Vítimas
As vítimas de hacking variam de ser destinatários de piadas e trotes relativamente inofensivos nas mídias sociais, a serem publicamente envergonhadas pelo lançamento de fotos ou e-mails pessoais, ou ainda, a vítimas de roubo, vírus destrutivos e chantagem. Nos casos mais graves de hacking, em que a segurança nacional é ameaçada pela liberação de informações confidenciais ou pela destruição de infraestrutura crítica, a sociedade como um todo é a vítima.
O roubo de identidade é um dos crimes de computador mais comuns. Os hackers direcionam as informações pessoais de indivíduos inocentes, usando os dados para ganho pessoal ou vendendo-os para outras pessoas. As vítimas geralmente não sabem que suas informações foram comprometidas, até verem atividades não autorizadas no cartão de crédito ou nas contas bancárias. Embora os dados pessoais sejam frequentemente obtidos por hackers visando vítimas individuais, alguns criminosos sofisticados conseguiram, nos últimos anos, acessar grandes bancos de dados de informações pessoais e financeiras, invadindo servidores de varejistas e provedores de serviços on-line com milhões de contas de clientes. Estas violações de dados de alta visibilidade têm um custo enorme em termos monetários, mas também prejudicam a reputação das empresas-alvo, e abalam a confiança do público na segurança da informação. Violações de dados semelhantes resultaram na distribuição pública de e-mails e fotografias pessoais, muitas vezes causando vergonha, prejudicando relacionamentos e resultando na perda de emprego das vítimas.
Custos de Prevenção
Existe um clássico "Ardil-22" quando se trata da prevenção de hackers. Para a maioria das pessoas, é preciso pouco mais que senso comum, vigilância, boas práticas de segurança e alguns softwares disponíveis gratuitamente para se manter protegido da maioria dos ataques. No entanto, com o aumento da popularidade da computação em nuvem, onde os arquivos são armazenados em um servidor externo, além de ou em vez de em dispositivos pessoais, os indivíduos têm menos controle sobre a segurança de seus próprios dados. Isto impõe um grande ônus financeiro aos guardiões dos servidores em nuvem, de forma a proteger um volume cada vez mais alto de informações pessoais centralizadas.
Assim, grandes empresas e entidades governamentais costumam gastar, anualmente, em segurança de computadores, dinheiro igual ou a mais do que poderiam perder nos ataques mais comuns. No entanto, estas medidas são necessárias porque um ataque sofisticado e bem-sucedido, em larga escala – embora improvável – , pode ter consequências catastróficas. Da mesma forma, indivíduos que desejam se proteger de criminosos cibernéticos adquirem software de segurança ou serviços de proteção contra roubo de identidade. Estes custos, juntamente com o tempo e o esforço despendidos praticando boa segurança das informações, podem ser um fardo indesejável.
Segurança Nacional e Global
A crescente dependência dos sistemas de controle industrial em computadores e dispositivos em rede, juntamente com a natureza rapidamente interconectada da infraestrutura crítica, deixaram os serviços vitais das nações industriais altamente vulneráveis a ataques cibernéticos. Os serviços municipais de energia, água, esgoto, internet e televisão podem ser interrompidos por sabotadores, seja para fins de ativismo político, chantagem ou terrorismo. Mesmo a interrupção a curto prazo de alguns destes serviços pode resultar em perda de vidas ou bens. A segurança das usinas nucleares é particularmente preocupante, como vimos nos últimos anos, pois hackers podem implantar vírus em componentes eletrônicos comumente usados para interromper máquinas industriais.
Os sistemas bancários e as redes de negociação financeira são alvos de alto valor para os hackers, estejam eles buscando ganhos financeiros ou causando turbulência econômica em um país rival. Alguns governos já estão implantando abertamente seus próprios hackers para guerra eletrônica. Os alvos para ataques governamentais e militares também incluem os veículos e instrumentos de guerra, cada vez mais em rede. Os componentes eletrônicos podem ser comprometidos pelos hackers na linha de produção antes mesmo de chegarem a um tanque, navio de guerra, jato de combate, aeronave aérea ou outro veículo militar – fazendo com que os governos tenham cuidado com quem contratam na linha de suprimento. As comunicações confidenciais por email, telefone ou satélite também devem ser protegidas contra adversários. Não são apenas os estados-nação que ameaçam os sistemas militares avançados. As organizações terroristas estão se tornando cada vez mais sofisticadas, e estão mudando para métodos mais tecnológicos.
Capítulo 2: Vulnerabilidades e Explorações
A essência do hacking é a exploração de falhas na segurança de um computador, dispositivo, componente de software ou rede. Estas falhas são conhecidas como vulnerabilidades. O objetivo do hacker é descobrir as vulnerabilidades em um sistema que lhes darão o acesso ou controle mais fácil que atenda a seus propósitos. Uma vez que as vulnerabilidades são entendidas, a exploração dessas vulnerabilidades pode começar, por meio da qual o hacker tira proveito das falhas do sistema para obter acesso. Geralmente, os hackers de chapéu preto e chapéu branco pretendem explorar as vulnerabilidades, embora para propósitos diferentes, enquanto que chapéus cinza tentam notificar o proprietário a fim de que sejam tomadas medidas para proteger o sistema.
Vulnerabilidades
Vulnerabilidades nos sistemas de computação e rede sempre existiram e sempre existirão. Nenhum sistema pode ser 100% hermético porque alguém sempre precisará acessar as informações ou serviços que estão sendo protegidos. Além disso, a presença de usuários humanos representa uma vulnerabilidade por si só, porque as pessoas são notoriamente ruins em praticar boa segurança. À medida que as vulnerabilidades são descobertas e corrigidas, outras novas as substituem, quase instantaneamente. A alternância entre a exploração de hackers e a implementação de medidas de segurança representa uma verdadeira corrida armamentista, com cada lado se tornando mais sofisticado em paralelo.
Vulnerabilidades Humanas
Uma vulnerabilidade raramente discutida é a do usuário humano. A maioria dos usuários de computadores e sistemas de informação não são especialistas em informática ou profissionais de segurança cibernética. A maioria dos usuários sabe muito pouco sobre o que acontece entre seus pontos de interface e os dados ou serviços que estão acessando. É difícil fazer com que as pessoas, em larga escala, mudem seus hábitos e usem as práticas recomendadas para definir senhas, verificar cuidadosamente os emails, evitar sites maliciosos e manter o software atualizado. Empresas e agências governamentais gastam muito tempo e recursos treinando funcionários para seguir os procedimentos adequados de segurança da informação, mas é necessário apenas um elo fraco da cadeia para dar aos hackers a janela que eles procuram para acessar um sistema ou rede inteira.
Os firewalls mais sofisticados e caros e a prevenção de intrusões de rede dos sistemas são inúteis quando um único usuário interno clica em um link malicioso, abre um vírus em um anexo de email, conecta-se a uma unidade flash comprometida ou simplesmente fornece sua senha de acesso pela Internet, telefone ou email. Mesmo quando lembrado repetidamente das melhores práticas de segurança, os usuários comuns são a vulnerabilidade mais fácil e mais consistente a descobrir e explorar. Às vezes, as vulnerabilidades humanas são tão simples quanto praticar a segurança de senhas ruins, deixando as senhas escritas à vista de todos, às vezes até anexadas ao hardware em uso. O uso de senhas fáceis de adivinhar é outro erro comum do usuário. Um sistema corporativo específico foi comprometido quando um hacker inteligente deixou intencionalmente um pen drive USB no estacionamento de uma empresa. Quando um