Todos os dias, a gente ouve alguma história bizarra sobre falhas em segurança da informação, vírus e gangues de hackers do mal que poderiam acabar com um país inteiro.
Mas o que é verdade sobre estes perigos digitais?
1. Ter uma senha forte, na verdade, pode evitar a maioria dos ataques
Alex Stamos, chefe de segurança do Facebook, passou a maior parte de sua carreira tentando encontrar vulnerabilidades de segurança e descobrir como os invasores podem tentar explorar falhas de um software. Ele já viu de tudo, desde os hackers mais tortuosos até os mais modestos, com seus simples golpes de engenharia social. E em todo esse tempo de estudo e análise, ele descobriu que há duas soluções simples para a grande maioria dos usuários: senhas fortes e autenticação de dois fatores.
Stamos esclarece que o maior problema é que a mídia se concentra em histórias mais profundas e complicadas sobre hackers, deixando uma sensação nos usuários de que não há nada que eles possam fazer para se defender.
Mas isso não é verdade. Segundo ele, esse achismo de que “não há nada que possamos fazer para ficarmos seguros” que a mídia dissemina é um vírus tão perigoso quanto os que atingem nossos computadores. Embora haja pouco o que a maioria das pessoas possa fazer diante de um aparelho de inteligência de alto nível com a capacidade de reescrever o firmware de um disco rígido, isso não deve convencer os utilizadores de que não podemos fazer nada para nos proteger de ameaças mais prováveis.
Os usuários como eu você podem se proteger contra os agentes de ameaças mais comuns e perniciosos tomando duas providências muito simples:
1) Instalando um gerenciador de senhas e utilizando-o para criar senhas únicas para cada serviço que você utiliza;
2) Ativando opções de autenticação de dois fatores (geralmente através de mensagens de texto) em seus e-mails e contas de redes sociais. O Google, inclusive, tem uma aplicativo para isso, chamado Google Authenticator. Eu mesma uso e recomendo.
Este último é especialmente importante porque os hackers gostam de assumir as contas de e-mail e redes sociais de milhões de pessoas e, em seguida, usá-las para rodar vírus automaticamente para outras contas ou recolher dados sobre elas.
Então, só porque proezas incríveis são possíveis, não significa que não é possível se manter em segurança na grande maioria dos cenários.
Adam J. O’Donnell, o engenheiro chefe do grupo de Proteção Avançada da Cisco, amplifica os conselhos básicos de Stamos, caso você queria dar mais alguns passos para se proteger. O conselho dele é: faça backups e teste-os. Além disso, use uma senha diferente em cada site.
O que é uma “boa senha”?
Uma senha forte e segura deve ter letras, números e caracteres especiais, bem como alternar letras em caixa alta e baixa. Dá um certo trabalho para decorar, é verdade. Mas nada que a prática não resolva.
2. Só porque um dispositivo é novo não significa que ele é seguro
Quando você desembrulha seu novo telefone, tablet ou laptop, o cheiro de plástico fresco parece o sonho de segurança. Mas isso não significa que o dispositivo não esteja infectado com malware e cheio de vulnerabilidades.
Eleanor Saitta é a diretora técnica do Instituto Internacional de Mídia Moderna, e tem trabalhado por mais de uma década aconselhando governos e corporações sobre questões de segurança da informação. Ela acredita que um dos mitos mais perniciosos sobre este tema é que os dispositivos começam suas vidas completamente seguros, mas tornam-se menos seguros conforme o tempo passa.
Isso simplesmente não é verdade, especialmente quando tantos dispositivos já chegam até você vulneráveis. Quando você está confiando em um código entregue por outra pessoa, um serviço online ou caixa que você não controla, as chances de que as coisas não estejam a seu favor são bem grandes.
Há, também, uma boa chance de que o aparelho já esteja contaminado ou comprometido.
A outra questão, que foi muito abordada pela mídia no início deste ano com o ataque FREAK, é que muitas máquinas vêm pré-instaladas com backdoors. Estas são instaladas por um pedido do governo, para tornar mais fácil a aplicação da lei e de inteligência para acompanhar os adversários políticos.
Mas, infelizmente, backdoors também são vulnerabilidades de segurança que qualquer pessoa pode aproveitar. Uma coisa que é realmente importante é que, se você construiu um sistema de monitoramento em uma rede como o celular, ou em um sistema de criptografia, qualquer um pode entrar lá. Você construiu uma vulnerabilidade no sistema e, com certeza, você pode controlar um pouco do acesso. Mas, no final, um backdoor é um backdoor, e qualquer um pode atravessá-lo.
3. Mesmo o melhor software tem vulnerabilidades de segurança
Muitos de nós imaginamos que um bom software e suas redes podem ser completamente seguros. Por causa desta atitude, muitos usuários ficam com raiva quando as máquinas ou serviços que eles usam ficam vulneráveis a ataques. Afinal, se nós podemos projetar um carro seguro, por que não podemos fazer um telefone seguro?
Isso não seria apenas uma questão de entender tecnologia e ciência e usá-las do jeito certo?
Hum, não.
Parisa Tabriz, engenheira que dirige a equipe de segurança do Google Chrome, esclarece que a gente não pode olhar para a segurança da informação desta maneira. Ela acredita que a segurança da informação é mais como a medicina, e envolve um pouco de arte e ciência, ao invés de ciência pura.
Isso porque a nossa tecnologia foi construída por seres humanos, e está sendo explorada por seres humanos com motivações não muito científicas.
Sempre haverá bugs em qualquer sistema. E alguns subconjuntos desses bugs terão algum impacto na segurança. O desafio, então, é descobrir quais merecem ser arrumados – de forma que essa resposta deve ser baseada em modelos de ameaças que concluem falhas mais prováveis de beneficiar ataques criminosos.
4. Cada site e aplicativo deve usar HTTPS
Você já deve ter ouvido todo tipo de rumores sobre HTTPS – é lento. É apenas para sites que precisam ser ultraseguros. Ele realmente não funciona.
Tudo isso está errado.
Peter Eckersley, um tecnólogo que vem pesquisando o uso de HTTPS ao longo de vários anos, diz que há um perigoso equívoco em acharmos que muitos sites e aplicativos não precisam de HTTPS. Segundo ele, outro equívoco é que operadores de sites, tais como jornais ou redes de publicidade, pensam que “como nós não processamos pagamentos de cartão de crédito, nosso site ou aplicativo não precisa ter HTTPS”.
Todos os sites na web precisam ter HTTPS, porque sem isso é fácil para hackers, espiões, ou programas de vigilância do governo verem exatamente o que as pessoas estão lendo em seu site, ou quais dados que seu aplicativo está processando; ou até mesmo modificar ou alterar os dados de maneiras maliciosas.
Eckersley não tem afiliações corporativas (já que ele trabalha para uma organização sem fins lucrativos) e, portanto, nenhum potencial conflito de interesse quando se trata em promover HTTPS. Ele está apenas interessado na segurança do usuário.
5. A nuvem não é segura. Ela só cria novos problemas de segurança da informação
Tudo é a tal da “nuvem” hoje em dia.
Você mantém seu e-mail lá, junto com suas fotos, suas mensagens instantâneas, seus registros médicos, documentos bancários, e até mesmo sua vida sexual. E lá é realmente mais seguro do que você imagina.
Mas, uma coisa é fato: esta tecnologia cria novos problemas de segurança que você pode não ter pensado.
Leigh Honeywell, engenheiro de segurança que trabalha para uma grande empresa de computação em nuvem, explica de uma vez por todas como a nuvem realmente funciona. Vamos começar a pensar sobre isso usando uma metáfora física familiar: sua casa é a sua casa, e você sabe exatamente quais precauções de segurança tem que tomar contra invasores, e quais são as compensações de cada uma delas. Você tem uma trava? Um sistema de alarme? Há grades nas janelas, ou você decidiu que essas coisas iriam interferir em sua decoração de um jeito nada bonito? Ou você vive em um prédio de apartamentos onde algumas dessas coisas são geridas para você?
Talvez haja um segurança na recepção, ou uma chave de acesso por andar – o que parece ser realmente mais seguro. O guarda vai ficar muito tempo parado ali no seu prédio e inevitavelmente vai conhecer os padrões de movimento dos moradores, e por isso deve ser capaz de reconhecer potenciais intrusos. Essa pessoa, portanto, têm mais dados do que qualquer proprietário sozinho.
Colocar seus dados na nuvem é mais ou menos como viver em um prédio como este. Só que mais estranho.
Serviços em nuvem são capazes de correlacionar os dados entre os seus clientes. Os seus dados estão sendo armazenados, mas há alguém na recepção do prédio 24 horas por dia e 7 dias por semana, e eles estão assistindo os logs e padrões de uso também.
Um monte de defesas são ativadas imediatamente porque um único endereço IP que está entrando em um monte de contas diferentes, em um país completamente diferente do que qualquer uma dessas contas já haviam sido registradas antes. Ah, e cada uma dessas contas está recebendo um arquivo em particular – talvez esse arquivo possa ser um vírus.
Mas se este é um ataque mais direcionado, os sinais serão mais sutis.
Quando você está tentando defender um sistema de nuvem, você está procurando agulhas em palheiros, porque você tem uma infinidade de dados para analisar.
Há muita propaganda sobre “big data” e inteligência artificial, mas estamos apenas começando a arranhar a superfície do real problema que é encontrar pegadas sutis de invasores. Um atacante habilidoso saberá como agir em silêncio e não detonar os sistemas de detecção de padrão que você está usando.
De acordo com Honeywell, os usuários devem considerar as ameaças que mais os preocupam e escolher um serviço de nuvem adequado para suas prioridades. Serviços em nuvem são sistemas muito mais complexos do que, digamos, um disco rígido conectado ao seu computador, ou um servidor de e-mail em execução em seu armário. Há mais lugares em que as coisas podem dar errado, mas há mais pessoas as protegendo também.
6. As atualizações de software são cruciais para sua proteção
Há poucas coisas mais irritantes na vida do que uma janela de pop-up que abre em nossa tela para lembrar que está na hora de fazermos atualizações. Mas, muitas vezes, essas atualizações sãi a única coisa que fica entre você e um potencial invasor.
Essas mensagens não estão lá apenas para irritar a gente: a frequência de atualizações é pensada menos por novos recursos de software e mais por causa de alguma falha de software muito obscura que um invasor pode explorar para ganhar o controle de seu sistema.
Estas atualizações podem corrigir problemas que foram identificados publicamente e, provavelmente, utilizadas em ataques anteriores.
Você não iria passar dias sem limpeza e curativo com uma ferida purulenta em seu braço, iria? Pois então. Não faça isso para o seu computador.
7. Hackers não são criminosos
Depois de décadas de notícias com manchetes catastróficas, a maioria das pessoas pensa que hackers são como adversários malignos que não querem nada mais do que roubar seus bens digitais. Mas os hackers também podem invadir sistemas para chegar lá antes dos bandidos.
Uma vez que as vulnerabilidades foram identificadas por hackers, elas podem ser corrigidas.
Só porque alguém sabe como quebrar alguma coisa, não significa que vai usar esse conhecimento para ferir as pessoas. Um monte de hackers trabalham justamente para tornar as coisas mais seguras.
O’Donnell salienta que precisamos de hackers porque o software por si só não pode se proteger sozinho. Os programas antivírus são um bom começo. Mas, no final, você precisa de especialistas em segurança, como hackers, para se defender contra adversários que são, afinal, seres humanos.
A segurança é menos sobre a construção de paredes e mais sobre como ativar guardas de segurança. Ferramentas defensivas por si só não podem parar um invasor habilidoso e determinado.
Se alguém quiser mesmo atacar um sistema, essa pessoa vai ter que começar comprando todas as ferramentas de segurança do alvo e testar os seus ataques contra a sua versão simulada de sua rede. Combater isto requer não apenas boas ferramentas, mas boas pessoas que sabem como usá-las.
8. Ataques cibernéticos e ciberterrorismo são extremamente raros
Como muitos dos especialistas que citamos ao longo deste artigo defendem, a maior ameaça digital que podemos ter é alguém invadir nossas contas porque temos uma senha de baixa qualidade. Mas isso não impede que as pessoas fiquem pirando com medo de “ciberataques” que sejam mortais.
Ablon nos garante que estes tipos de ataques são incrivelmente improváveis.
Sim, existem maneiras de invadir um veículo de qualquer lugar do mundo; sim, dispositivos médicos, como marca-passos e bombas de insulina, são vulneráveis. Muitas vezes, eles têm endereços IP ou estão habilitados com Bluetooth – mas esses tipos de ataques requerem acesso próximo e sistemas que são bastante sofisticados e levam MUITO tempo para serem desenvolvidos e implementados. Dito isto, não devemos ignorar os milhões de dispositivos conectados, que, sim, aumentam a nossa superfície de ataque.
Basicamente, muitas pessoas temem ataques cibernéticos pela mesma razão que temem assassinos em série. Eles são a mais assustadora ameaça possível, mas também são as menos prováveis.
9. Darknet e Deepweb não são a mesma coisa
Um dos principais problemas que temos com a cobertura da mídia sobre o cibercrime é o mau uso dos termos “Darknet” e “Deepweb”.
“Deepweb” refere-se a uma parte da internet, especificamente a world wide web (qualquer coisa que começa www) que não é indexada pelos motores de busca, por isso não pode ser acessada pelo Google.
Já “Darknet” refere-se a redes que não tem o “www”, onde os usuários podem precisar de um software separado para acessá-las. Por exemplo, Silk Road e muitos mercados ilícitos estão hospedados na Darknet em redes como I2P e Tor. [gizmodo]