Veja como ocorrem vazamentos de dados corporativos por redes de compartilhamento e como evitá-los

O que poderia ter representado uma falha de pouca importância na política de TI, ocorrida na Pfizer no ano passado, desencadeou um grave incidente envolvendo segurança. Os dados pessoais de 17 mil funcionários e ex-funcionários “vazaram” em uma rede P2P (peer-to-peer). O promotor de justiça do estado de Connecticut (EUA), preocupado com a possibilidade de seus moradores estarem em risco, deu início a uma investigação. Pelo menos um ex-funcionário processou a companhia.

Tudo começou quando a esposa de um funcionário da Pfizer utilizou software de compartilhamento de arquivos em um laptop da companhia, presumivelmente, para trocar músicas ou outro conteúdo com usuários da rede P2P. Sem perceber, ela do laptop também expôs 2,3 mil arquivos de trabalho, incluindo os que continham dados confidenciais dos funcionários da Pfizer – como nomes, números de Seguro Social, endereços e informações sobre bônus, que estavam armazenadas no laptop.

A Pfizer não é a única companhia que teve seus dados confidenciais expostos desse modo. Um ex-funcionário do ABN Amro Mortgage Group, no ano passado, expôs planilhas contendo dados pessoais de 5 mil clientes, a partir de um computador doméstico carregado com o programa BearShare, de compartilhamento de arquivos. E no terceiro trimestre do ano passado, uma avaliação de ameaça terrorista feita pelo sistema de trânsito de Chicago e concluída pela Booz Allen Hamilton mediante contato com a Administração Federal de Trânsito dos Estados Unidos, surgiu em uma rede P2P.

O problema da ocorrência de vazamento de dados corporativos em redes P2P provocada por usuários desavisados não é novidade, mas está ficando pior. Pesquisadores do Centro para Estratégias Digitais, na Tuck School of Business, da Dartmouth College, que detectaram um aumento na utilização de redes P2P, concluíram que o compartilhamento de arquivos representa uma crescente ameaça à segurança corporativa. Os programas de troca de arquivos correspondem a três de cada dez dos aplicativos mais importantes no Download.com, da CNet. E essa não é apenas uma questão interna: freqüentemente, os clientes e os parceiros corporativos são as causas da exposição de dados em redes P2P.

Para avaliar a seriedade dessa situação, iniciamos uma investigação para verificar que tipos de dados corporativos poderiam ser encontrados na popular rede Gnutella. Descobrimos planilhas, dados sobre faturamento, registros médicos, e muito mais.

Quando utilizados da forma pensada, os programas de compartilhamento de arquivos e as redes P2P podem ser um meio simples e barato de as pessoas trocaremconteúdo, e também são um popular canal para a distribuição de software de código aberto. Apesar de sua associação com o compartilhamento ilegal de músicas, nem todas as redes P2P são igualmente perigosas quando se tratam de dados corporativos. O cliente e o protocolo da BitTorrent, que empregam servidores centralizados, apresentam menor tendência para o compartilhamento inadequado de arquivos do que as redes descentralizadas, como a Gnutella.

É o uso impróprio ou descuidado das redes P2P que deveria preocupar os departamentos de TI. O que pode acontecer de errado? Às vezes, os usuários, por engano, arquivam uma planilha na mesma pasta em que armazenam arquivos de música, ou então, verificam a caixa errada quando configuram o cliente P2P, e pronto, seus documentos corporativos estão expostos, para todo mundo ver.

COMO SE PROTEGER
A primeira linha de defesa para os departamentos de TI é definir parâmetros para o uso dos aplicativos de compartilhamento de arquivos nos PCs da companhia – em alguns casos, eles são totalmente evitados – e utilizar ferramentas para monitorar e gerenciar essas políticas. Contudo, a efetividade somente pode ser boa se houver o cumprimento das normas de TI e a adequação dos funcionários. Não é preciso mencionar outro exemplo, além da Pfizer, para ver o que acontece quando alguém quebra as regras. Contudo, o mais difícil é conseguir que os clientes e parceiros corporativos tenham o mesmo nível de cuidado que é exigido internamente.

O potencial para a ocorrência desses problemas tem aumentado, à medida que os chamados concentradores de informações empregam clientes de compartilhamento de arquivos para procurar nas redes P2P dados que possam ser utilizados para roubo de identidade, fraude e outras atividades ilícitas. Em setembro passado, as autoridades em Seattle prenderam Gregory Kopiloff, de 35 anos, sob a acusação de que ele utilizava o LimeWire para recolher as devoluções de impostos federais, as aplicações para auxílio financeiro a estudantes e relatórios de crédito, e então, os utilizava para abrir contas em nome de outras pessoas. Kopiloff foi declarado culpado.

Os departamentos de TI devem ser pró-ativos, porque uma vez que os dados corporativos são expostos em uma rede P2P, não há como ocultá-los novamente. Enquanto você aprende sobre as falhas, suas planilhas e documentos podem ter se espalhado para dezenas de computadores, incluindo alguns que estão fora da jurisdição legal do país.

O primeiro passo é garantir que as políticas de TI dirigidas à utilização de P2P e às ferramentas de gerenciamento estão em vigor, a fim de que elas sejam cumpridas. Produtos de companhias como Audible Magic, Cisco, Cymphonix, FaceTime e St. Bernard Software permitem que os administradores de TI restrinjam, monitorem e gerenciem o acesso a redes P2P. Repreenda seriamente quaisquer usuários que forem flagrados quebrando as regras.

O segundo passo consiste em observar as redes P2P, procurando por “vazamentos” de dados. Os departamentos de TI podem, periodicamente, monitorar redes de maior importância utilizando a função de busca em um aplicativo de compartilhamento de arquivos, mas essa é uma tarefa trabalhosa e baseada em “tentativa e erro”. Os clientes P2P possibilitam fazer a busca somente em uma rede de cada vez e, mesmo assim, eles mostram apenas arquivos originários de alguns nós.


Se você encontrar dados corporativos em uma rede P2P, identifique a fonte do vazamento, a fim de desativá-la e avaliar como e por que o aplicativo P2P estava sendo utilizado. O que mais pode ser feito? A Tiversa, uma companhia criada há cinco anos, situada em Pittsburgh, desenvolveu algoritmos proprietários que monitoram redes P2P em tempo real. A companhia estabelece seus próprios nós em redes P2P populares, incluindo Gnutella, eDonkey, FastTrack e WinMX, dando-lhes visibilidade dos arquivos que elas estão compartilhando.

As agências governamentais foram as primeiras a adotar os serviços da Tiversa. O diretor executivo, Robert Boback, conta que os agentes federais perceberam quando, no primeiro trimestre de 2004, a companhia demonstrou que pessoas fora dos Estados Unidos estavam vasculhando as redes P2P à procura de informações sobre explosivos, detonadores, antraz e muito mais. No final daquele ano, a Tiversa estava trabalhando com a CIA, o FBI, o serviço de Segurança Interna e o Serviço Secreto dos Estados Unidos.

Durante a campanha presidencial de 2004, a companhia detectou que estavam sendo realizadas buscas relacionadas à segurança de Jenna Bush (filha de George W. Bush), da Força Aérea Um e a da Casa Branca, e conseguiu determinar que esse mesmo usuário também tinha arquivos sobre táticas específicas de franco-atiradores. Em questão de dias, o Serviço Secreto estava batendo à porta daquela pessoa; ele vivia em um local situado a uma distância equivalente ao percurso em uma hora, em relação ao rancho do Presidente Bush, em Crawford, no Texas.

A Tiversa tem cerca de 20 clientes corporativos. Isso não é muito, mas tratam-se de contas de clientes de renome, alguns dos quais pagam mais de US$ 1 milhão ao ano por seus serviços, que incluem a realização de buscas em diversos idiomas, fazendo a análise forense de suas descobertas e atribuindo níveis de risco ao conteúdo. A empresa começou a visar a uma variedade mais ampla de indústrias e companhias de médio porte. A Tiversa oferece até mesmo uma versão para o consumidor de seu serviço de monitoração P2P, por uma taxa anual de US$24,.95, para proteger contra roubo de identidade.

PERIGO POR TODA PARTE
Para entender melhor o movimento dos dados privativos nas redes P2P, a Tiversa tem efetuado uma série de experiências com armadilhas conhecidas como “potes de mel”, nas quais ela expõe arquivos e, então, espera para ver o que acontecerá. Um dos testes envolveu uma transação de US$ 50, feita com cartão de crédito, utilizando o nome creditcardnumbers.doc. Em um dia, o arquivo foi transferido 28 vezes, e os fundos foram gastos. Outras armadilhas do tipo “pote de mel” foram colocadas, utilizando como isca documentos de executivos, arquivos do setor de recursos humanos, material referente à TI e dados de consumidores. O resultado final foi sempre o mesmo – uma ampla e rápida distribuição de arquivos em redes P2P do mundo todo.

Pesquisadores no Centro para Estratégias Digitais, da Dartmouth, no ano passado, divulgaram os resultados de suas investigações sobre a divulgação não autorizada de dados em redes P2P, o que envolveu um estudo realizado durante sete semanas com termos de busca relacionados a 30 bancos importantes, em redes P2P. O estudo foi feito com o apoio do Departamento de Segurança Interna e com a ajuda da Tiversa. Fatores que influenciaram a vulnerabilidade de um banco incluíam o reconhecimento de marcas globais e o número de funcionários e clientes.

Os pesquisadores coletaram 114 mil arquivos relativos a bancos. A maior armadilha que eles armaram foi uma planilha contendo 23 mil contas corporativas, incluindo nomes, endereços, números de contas e títulos.

Eles também avaliaram a “impressão digital” de cada banco, uma medida das palavras e frases associadas com um banco, que podem revelar documentos, em uma busca em redes P2P. Não foi surpresa o fato de que os bancos com nomes contendo algo em comum com títulos de músicas ou nomes de músicos populares representavam maior risco de um documento interno ser revelado, durante uma busca em redes P2P. Por exemplo, o banco PNC tem a mesma abreviação para seu nome que é utilizada por um rapper, o que torna mais provável que um documento do banco possa ser mostrado em resultados de buscas relativas ao trabalho deste cantor.