Todos os dias ouvimos falar em falhas de segurança, vírus e gangues de hackers malignos que podem roubar todos os seus dados ou algo até pior. Mas o que há de verdade nessas ameaças digitais? Perguntamos a especialistas em segurança de computadores para separar o mito do fato. Veja o que eles dizem:
1. Ter uma senha forte realmente evita muitos ataques
Alex Stamos, chefe de segurança do Facebook, passou a maior parte da carreira buscando vulnerabilidades de segurança e descobrindo como hackers poderiam explorar falhas em softwares. Ele já viu praticamente de tudo, de ataques elaborados a golpes bastante simples de engenharia social. E para quase todos os casos existem duas soluções simples que valem para a maioria dos usuários: senhas fortes e autenticação em dois passos.
Stamos diz que o maior problema é que a mídia se concentra em falar sobre os hacks mais profundos e complicados, o que faz muitos acreditarem que não há muito o que fazer para se defender deles. Mas isso não é verdade. Ele me disse isso via email:
Eu percebo muito niilismo na mídia, na indústria da segurança e no público geral desde o vazamento dos documentos de Snowden. Isso geralmente é expressado com as pessoas jogando as mãos para o alto e dizendo “não há nada a ser feito para ficar seguro.” É verdade que há pouco o que a maioria das pessoas pode fazer ao dar de cara com um aparato sofisticado de inteligência com a habilidade de reescrever firmware de disco rígido, mas isso não deveria dissuadir usuários de fazerem o que podem para se protegerem de ataques mais possíveis e nem profissionais de segurança de desenvolver proteções fáceis de serem usadas contra adversários realistas.
Os usuários podem se proteger da maioria das ameaças possíveis ao seguir esses dois passos simples:
1) Instalando um gerenciador de senhas e usando-o para criar senhas únicas para cada serviço que eles usam.
2) Ativando opções de autenticação em dois passos (normalmente via mensagens de texto) em suas contas de email e redes sociais.
O segundo é especialmente importante porque hackers amam roubar contas de email e redes de sociais de pessoas e então usá-los automaticamente para acessar outras contas ou coletar dados de contas que pertencem a alvos valiosos.
Então eu realmente gostaria que a mídia parasse de espalhar ideias erradas. Só porque coisas incríveis são possíveis em um dos espectros das ameaças, não significa que não seja possível se proteger da maior parte dos cenários.
Adam J. O’Donnell, engenheiro do grupo de Proteção Avançada de Malwares da Cisco, amplificou a dica básica de Stamos:
Oh, e meu conselho para as pessoas comuns: faça backups e teste-os. Use uma proteção para a senha e uma senha diferente para cada site.
Sim, criar uma senha boa é fácil — e ainda é a melhor coisa que você pode fazer.
2. Só porque um dispositivo é novo não quer dizer que ele seja seguro
Quando você tira seu smartphone, tablet ou laptop da caixa, ele tem cheiro de novo e as baterias duram que é uma maravilha. Mas isso não significa que seu computador já não esteja infectado por malwares ou cheio de vulnerabilidades de segurança.
Eu ouvi isso de diversos especialistas de segurança que entrevistei. Eleanor Saitta é diretora técnica da Iniciativa Internacional para a Modernização dos Meios de Comunicação, e trabalhou por mais de uma década falando com governos e corporações sobre questões de segurança de computadores. Ela acredita que um dos maiores mitos de segurança é que dispositivos iniciam suas vidas completamente seguros, e se tornam menos seguros com o passar do tempo. Isso não é verdade, especialmente considerando que diversos dispositivos vinham com adwares como o Superfish pré-instalado.
É por isso que o Superfish é um negócio tão grande. Eles construíram uma backdoor nele, e fizeram uma bem ruim e incompetente, e agora qualquer pessoa consegue atravessá-la.
Quando você depende de códigos escritos por outra pessoa, por um serviço online ou algo que você não controla, grandes são as chances de que ele não aja de acordo com o seu interesse, já que ele tenta te vender algo. Há uma boa chance do código já ser pertencente a alguém ou comprometido com outra pessoa. Não temos uma boa forma de lidar com confiança e gerenciamento agora. E todas as pessoas estarão usando esses códigos.
O outro problema, que ganhou espaço na mídia no começo do ano com o ataque FREAK, é que muitas máquinas saem de fábrica com backdoors pré-instaladas. Isso é feito devido a pedidos governamentais para facilitar que agências de inteligência e policiais rastreiem adversários. Mas, infelizmente, essas backdoors também são vulnerabilidades de segurança que qualquer pessoa pode usar. Como diz Saitta:
Eu acho que uma coisa realmente importante de se entender é que se você construir um sistema de monitoramento em algo como uma rede de celulares ou em um sistema de criptografia, qualquer um consegue entrar lá dentro. Você criou uma vulnerabilidade no sistema, e, claro, você pode controlar um pouco o acesso. Mas, no fim do dia, uma backdoor é uma backdoor, e qualquer pessoa pode atravessá-la.
3. Mesmo os melhores softwares do mundo contam com falhas de segurança
Muitos de nós acreditamos que softwares e redes suficientemente bons são completamente seguros. Por causa disso, muitos usuários ficam bravos quando máquinas ou serviços que eles usam se mostram vulneráveis a ataques. Afinal de contas, se podemos projetar um carro seguro, porque não conseguimos um smartphone seguro? Não é questão de conseguir a ciência e a tecnologia certa para isso?
Mas Parisa Trabriz me disse por email que você não pode ver a tecnologia da informação desta forma. Tabriz é engenheira que comanda a divisão de segurança do Google Chrome, e ela acredita que a segurança da informação é meio que como a medicina – um pouco de arte e ciência – em vez de ciência pura. Isso porque nossa tecnologia foi construída por humanos, e está sendo usada por humanos com motivações pouco científicas. Ela escreveu:
Eu acho que a segurança da informação é muito como a medicina – é tanto uma arte quanto uma ciência. Talvez isso seja porque humanos construíram a tecnologia e a internet. Acreditamos que somos capazes de construí-las perfeitamente, mas a complexidade do que construímos e a esperança de fazer tudo ser seguro é quase impossível. Garantir a segurança exigiria que tivéssemos zero bugs, e isso significa que a economia não está do lado do defensor. Os defensores precisam ter certeza de que não existem bugs nos softwares que eles usam ou escrevem (normalmente muitos milhões de linhas de códigos, se você considerar o sistema operacional), enquanto o atacante só precisa encontrar um bug.
Softwares sempre terão bugs. Alguns desses bugs vão causar impactos na segurança. O desafio é descobrir em quais deles vale a pena gastar recursos para consertar, e muito disso passa por entender modelos de ameaças que provavelmente são mais usadas por criminosos, ou para monitoramento etc.
A pesquisadora de segurança em computadores da RAND Corporation, Lillan Ablon, me enviou um email para dizer que não há essa coisa de sistema completamente seguro. O objetivo para os defensores é tornar o ataque mais caro, em vez de impossível:
Com recursos o suficiente, sempre há uma forma de um hacker invadir um sistema. Você já deve ter ouvido a frase “é questão de quando, e não se” em relação a uma empresa ser hackeada. O objetivo da segurança em computadores, portanto, é fazer com que o ataque saia mais caro para os hackers (em questão de dinheiro, tempo, recursos, pesquisa etc.)
4. Todo site e app deveria usar HTTPS
Você já deve ter ouvido rumores sobre o HTTPS. Ele é lento. É apenas para websites que precisam de ultra-segurança. Não funciona tão bem. Tudo isso é mentira. Peter Eckersley, da Electronic Frontier Foundation, é um tecnólogo que estuda o uso do HTTPS há anos, e também trabalha no projeto HTTPS Everywhere da EFF. Ele diz que há um equívoco perigoso de que muitos sites e apps não precisam de HTTPS. Ele me explicou por email:
Outro equívoco sério está na operação de websites, como jornais e redes de publicidade, que acham que “como não processamos pagamentos de cartão de crédito, nosso site não precisa ser HTTPS, e nosso app não precisa usar HTTPS”. Todos os sites na web precisam ser HTTPS, porque sem HTTPS é fácil para hackers, bisbilhoteiros ou programas de vigilância governamental verem exatamente o que as pessoas leem no seu site; quais dados seu app está processando; ou até mesmo modificar ou alterar esses dados de formas maliciosas.
Eckersley não está ligado a nenhuma corporação (a EFF é uma instituição sem fins lucrativos), e portanto não há nenhum conflito de interesses na promoção do HTTPS. Ele só está interessado na segurança dos usuários.
5. A nuvem não é segura – ela na verdade cria novos problemas de segurança
Tudo hoje em dia está na nuvem. Seus emails ficam guardados lá, junto com suas fotos, suas mensagens, registros médicos, documentos bancários, e até mesmo a sua vida sexual. E a nuvem é mais segura do que você imagina – só que ela também cria novos problemas de segurança que você nem imaginava que poderiam existir. Leigh Honeywell, engenheira de segurança de uma grande empresa de cloud computing, me enviou um email explicando como a nuvem realmente funciona. Ela sugere que você comece a pensar em usar uma metáfora física mais familiar:
Sua casa é a sua casa, e você sabe exatamente quais são as precauções de segurança que você tomou para evitar intrusões – e quais são as vantagens e desvantagens. Você tem uma tranca? Um sistema de alarme? Grades na janela? Ou você não quis colocar nada disso porque poderia interferir na decoração?
Ou você vive em um prédio de apartamentos no qual algumas dessas coisas são gerenciadas para você? Talvez tenha um porteiro na frente do prédio, ou o acesso a cada andar é restrito a quem tem um cartão especial. Uma vez morei em um prédio no qual você precisava usar cartões para acessar andares específicos no elevador! Era meio chato, mas bastante seguro. O guarda do prédio sabe o padrão de movimentação dos residentes, e, assim, pode potencialmente reconhecer invasores (mas nem sempre, claro!). Eles têm mais dados do que qualquer morador do prédio.
Colocar seus dados na nuvem é como viver em um prédio bastante seguro. Só que um pouco mais estranho. Honeywell continuou:
Serviços na nuvem são capazes de correlacionar dados através de seus consumidores, não apenas ver as coisas de uma pessoa específica. Você pode não [controlar o acesso ao lugar no qual] seus dados estão armazenados, mas há alguém na recepção do prédio 24 horas por dia, 7 dias por semana, e ele observa os logs e padrões de uso do mesmo jeito. É mais ou menos como imunidade coletiva. Muitas coisas saltam imediatamente: eis um único endereço de IP entrando em diversas contas diferentes, em um país completamente diferente do que essas contas costumam ser logadas. Oh, e cada uma dessas contas recebeu um arquivo em particular ontem – talvez seja um arquivo malicioso, e todas essas contas foram comprometidas?
Mas se for um ataque com alvo definido, os sinais são mais sutis. Quando você tenta defender um sistema de nuvem, você está atrás de uma agulha em um palheiro, porque você tem muitos dados para lidar. Muito se diz sobre “big data” e aprendizado de máquinas atualmente, mas estamos apenas começando a arranhar a superfície de como encontrar as pegadas sutis de hackers. Um hacker habilidoso vai saber como se mover silenciosamente e sem deixar nenhum tipo de padrão para ser detectado por um sistema.
Em outras palavras, alguns métodos automáticos de ataques são incrivelmente óbvios para sistemas na nuvem. Mas também é mais fácil se esconder deles. Honeywell disse que os usuários precisam começar a considerar as ameaças que mais assustam quando estiverem escolhendo entre serviço na nuvem e um servidor doméstico:
Serviços na nuvem são muito mais complexos do que, digamos, um disco rígido plugado ao seu computador, ou um servidor de email rodando no seu closet. São muitos os lugares em que as coisas podem dar errado. Mas também tem mais gente cuidando disso. A questão que as pessoas deveriam se perguntar é: eu vou fazer um trabalho bom ao rodar isso por conta própria, ou é melhor deixar alguém com mais tempo, dinheiro e conhecimento? Em quem você pensa quando imagina a possibilidade de ser hackeado? A NSA, algum babaca que conheceu jogando online, ou um antigo parceiro abusivo? Eu rodei meu próprio servidor de email por anos, mas acabei decidindo trocar por um servidor terceirizado. Conheço gente que trabalha no Gmail e no Outlook.com e eles fazem um trabalho muito melhor do que eu ao cuidar de um servidor de email. Também tem vantagens e desvantagens relacionadas a tempo – cuidar de um servidor de email dá um baita trabalho! Mas para algumas pessoas vale a pena – a vigilância da NSA é algo que realmente ameaça algumas pessoas.
6. Atualizações de software são cruciais para a sua proteção
Poucas coisas irritam mais do que pop-ups avisando de atualização de programas. Frequentemente você precisa conectar um dispositivo, e esperar até que as atualizações acabem de ser instaladas. Mas elas frequentemente são aquilo que fica entre você e um hacker. O’Donnell, da Cisco, explicou:
Essas mensagens de atualização de software não estão lá apenas para te irritar: a frequência dessas atualizações depende menos de novos recursos de software e mais de alguma falha obscura que pode permitir que um hacker ganhe controle sobre o seu sistema. Essas correções de software consertam problemas que foram identificados publicamente e possivelmente usados em ataques pela internet. Você não passaria dias sem limpar e enfaixar uma ferida no seu braço, certo? Então não faça isso com o seu computador.
7. Hackers não são criminosos
Apesar de décadas de evidências contrárias, a maioria das pessoas pensa que hackers são adversários malvados que não querem nada além de roubar seus preciosos bens digitais. Mas hackers também podem ser bons – os chamados “White Hat” são os que invadem sistemas com o objetivo de chegar lá antes dos caras maus. Assim que as vulnerabilidades são encontradas, elas podem ser corrigidas. Tabris, do Google Chrome, explica:
Além disso, hackers não são criminosos. Só porque alguém sabe como invadir algo, não significa que ele vá usar esse conhecimento para machucar pessoas. Muitos hackers ajudam a fazer as coisas ficarem mais seguras.
O’Donnel enfatiza que precisamos de hackers porque só software não é o suficiente para proteção. Sim, programas antivírus são um bom começo. Mas, no fim das contas, você precisa de especialistas em segurança como hackers para se defender de adversários que são seres humanos:
A segurança é menos sobre construir muros e mais sobre como ativar guardas de segurança. Ferramentas de defesa sozinhas não conseguem parar um hacker dedicado e com recursos. Se alguém quiser demais, pode comprar todas as ferramentas de segurança que o alvo tem e testar o ataque contra uma versão simulada da rede do alvo. Combater isso não exige apenas boas ferramentas, mas também pessoas que saibam como usar essas ferramentas.
Ablon, da RAND também diz que hackers maliciosos são raramente a maior ameaça. Em vez disso, a ameaça vem de pessoas que você não suspeita – e suas motivações podem ser muito mais complicadas do que mero roubo:
Muitas vezes um empregado interno é uma grande ameaça, e pode derrubar um negócio – intencionalmente ou não. Além disso, existem tipos distintos de atores externos ameaçadores (cibercriminosos, hacktivistas, ou outros financiados por governos) com motivações e capacidades diferentes. Por exemplo, os cibercriminosos que hackearam a Target e a Anthem tinham motivações diferentes, além de capacidade diferente e outras coisas, do que aqueles que financiaram a Sony Pictues Entertainment com apoio estatal.
8. Ciberataques e ciberterrorismo são muito raros
Como muitos especialistas com quem conversei me disseram, sua maior ameaça é alguém que invade a sua conta por ter descoberto sua senha. Mas isso não impede que pessoas se desesperem com uma possibilidade de “ciberataques” mortais. Ablon diz que esse tipo de ataque é incrivelmente improvável:
Sim, existem formas de se hackear um veículo que esteja em qualquer parte do mundo; sim, dispositivos como marcapassos e bombas de insulina contém endereços IP ou então são ativados via Bluetooth – mas frequentemente esse tipo de ataque exige proximidade física para acesso, e ferramentas que são sofisticadas demais e exigem tempo para serem desenvolvidas e implementadas. Dito isso, não deveríamos ignorar os milhões de dispositivos conectados (Internet das Coisas) que aumentam nossa superfície de ataque.
Basicamente, muitos temem ciberataques da mesma forma que temem serial killers. São as mais assustadoras de todas as ameaças. Mas também são as mais improváveis.
Em relação ao ciberterroristmo, Ablon disse o seguinte: “Ciberterrorismo (até hoje) não existe… o que é atribuído a ciberterrorismo hoje é algo mais como hacktivismo, como ganhar acesso ao Twitter para postar propaganda do Estado Islâmico”.
9. Darknet e Deepweb não são a mesma coisa
Ablon diz que um dos maiores problemas que ela teve com a cobertura da mídia de cibercrimes é a confusão no uso dos termos “Darknet” e “Deepweb”.
Ela explica o que esses termos realmente significam:
A Deepweb se refere a uma parte da internet, especificamente a world wide web (assim tudo começa com www) que não é indexada por mecanismos de busca, e assim não pode ser acessado via Google. A Darknet se refere a redes que não fazem parte da world wide web, que exigem softwares separados para serem acessadas. Por exemplo, o Silk Road e muitos mercados ilícitos são hospedados em redes da Darknet como I2P ou Tor.
Então arranje um cofre para a sua senha, use autenticação em dois passos, visite apenas sites que usam HTTPS e pare de se preocupar com ataques sofisticados vindos da Darknet. E lembre-se hackers também podem te proteger.
Fonte: http://gizmodo.uol.com.br/