quinta-feira, 7 de junho de 2018

Entrevista a uma hacker: “O envio de fotos íntimas é sempre inseguro”

Photo by Jay Wennington on Unsplash



"Ana Santos é uma hacker profissional e vive a testar sistemas de segurança. Leia uma entrevista que deve deixar-nos alerta. E preocupados.

O uso de fita adesiva nas câmaras dos portáteis é justificado, em 2018 já não se admite que as palavras-chaves sejam básicas e simples de adivinhar, e são cada vez mais os riscos associados à falta de proteção no meio online. Quem o diz é Ana Santos, 28 anos, natural de Lousada, mas que reside agora em Lisboa a trabalhar na área da segurança informática.

Ana é uma hacker ética e grande parte do seu trabalho passa por monitorizar a infraestrutura informática da empresa onde está empregada, onde também aposta em medidas de prevenção contra possíveis ataques ou vulnerabilidades. À MAGG não só respondeu a 21 perguntas acerca do seu trabalho, como também contou como foi singrar num meio tipicamente masculino. E revelou ainda qual é a forma mais frequentemente utilizada para roubo de informação pessoal.

(...)

Qual é a forma mais usada para roubo de informação?
A engenharia social, que dita que o elemento mais vulnerável de qualquer sistema de segurança é o ser humano. Precisamente porque possui traços comportamentais e psicológicos que o torna suscetível a ser vítima de um ataque informático. O simples facto de ir na rua e alguém lhe pedir os seus dados para uma promoção fantástica onde é possível vir a ganhar não sei o quê, é uma forma muito simples de um ataque à base de engenharia social.

A partir do momento em que fornece aqueles dados, a sua segurança e privacidade está automaticamente posta em causa já que perdeu o controlo total acerca da forma como aquela informação poderá vir a ser utilizada no futuro.

Lembro-me que quando me encontrou no Facebook, disse-me que nunca se devia colocar o local de trabalho visível no perfil. Porquê?
Costumo fazer sempre uma espécie de jogo nas formações que dou. Olho para a lista de presenças, vejo os nomes de todos os presentes e vou ao Facebook procurar por eles. Além dos nomes, procuro também pelo nome da empresa onde estão empregados e facilmente os encontro. Depois é só uma questão de confirmar os dados através de outras redes sociais — como o LinkedIn — e como é óbvio a informação está lá toda o que me permite ficar a saber tudo acerca daquele indivíduo que, há coisa de cinco minutos, não fazia ideia quem era.

Mas como é que essa informação é usada em engenharia social?
Imagine que faço um levantamento exaustivo sobre si. Sei onde passou férias e onde trabalha. Dirijo-me à sua empresa com um cartão falso de funcionário e digo que sou nova na empresa. Geralmente todos aproveitam o tempo de pausa para ir almoçar ou para vir fumar um cigarro cá fora e eu faço uso disso para meter conversa consigo. Digo que sou nova na empresa e estamos durante um bocadinho a falar. Eu finjo que não sei nada sobre si e a conversa flui livremente, até que chega à hora de entrar no edifício e eu não consigo — já que o meu cartão não é real.

O segurança, por ver que tenho um cartão exatamente igual ao de outros funcionários, abre a porta — numa empresa com dezenas de pessoas é muito improvável que seja capaz de memorizar caras. Depois é uma questão de chegar ao departamento onde me desejo infiltrar, e é tão fácil como pedir indicações. Ninguém vai desconfiar ou negar a entrada, precisamente porque sou nova na empresa e fiz uso de toda a informação que descobri previamente sobre si para conseguir passar da porta da entrada.

Acha que as pessoas subestimam os perigos da falta de segurança nas redes sociais?
Sim, são cada vez mais os casos de rapto ou desaparecimento de miúdos porque foram criados perfis falsos de Facebook para atrair crianças através do mais variados pretextos.

Há informação suficiente acerca dos perigos?
Não há informação suficiente e as pessoas não estão formadas. Além de darem a sua segurança como garantida, não fazem o mínimo esforço para camuflar um bocadinho das suas vidas privadas. Parece que não há filtro e tudo de domínio público, o pior é que há muita gente que faz vida do uso indevido dessa informação.

Quão inseguro é o sexting e o envio de fotografias íntimas?
O envio de fotos íntimas é sempre inseguro. Nunca se sabe quem é que vai conseguir entrar no computador ou no telemóvel ou, pior, o que vai acontecer a essas fotografias depois de enviadas. É um bocadinho o que acontece com a instalação de aplicações no telemóvel. São muitas as pessoas que, ao instalar uma determinada app, não questionam tudo aquilo a que passa a ter acesso.

Porque é que uma simples aplicação de efeitos de fotografias, por exemplo, tem de ter acesso à câmara, ao microfone e aos contactos do telemóvel? Quase ninguém se questiona e aceitam simplesmente tudo o que lhes é apresentado.

O armazenamento na nuvem é seguro?
Não quero desenvolver muito porque ainda é um tema que causa muita discordância entre muitos dos profissionais da área. Eu, pessoalmente, fujo sempre de alguns dos serviços mais conhecidos e usados — como a Dropbox ou a Google Drive — e ainda sou daquelas pessoas que usam discos rígidos para guardar toda a informação pessoal. A cloud ainda não me convenceu porque na verdade nunca sabemos bem onde é que os nossos dados estão guardados e quem é que pode ter acesso a eles.

E os serviços que dizem encriptar as nossas mensagens e torná-las privadas? É mesmo assim?
Creio que para nós, que trabalhamos na área, é difícil confiar a 100% no que nos dizem. Por vezes só o fazemos quando existe um certificado que dita que aquele serviço é totalmente seguro, mas também não podemos viver num mundo à parte. Pessoalmente, gosto muito de usar o WhatsApp, que foi um dos serviços a encriptar as mensagens enviadas e recebidas entre utilizadores — o que significa que supostamente estão livres de olhos alheios.

No entanto, o serviço foi comprado pelo Facebook… e não sei bem até que ponto é que nos estão a dizer toda a verdade.

(...)

Qual é a melhor forma de preservar a segurança de alguém online?
Uma vez li uma frase que dizia qualquer coisa como: “Se não é capaz de estampar uma t-shirt com aquilo que está a pensar, porque haveria de o publicar em plataformas online?” Acho que é um bocadinho por aí.

(...)

O utilizador continua a ser o maior obstáculo à sua segurança?
Sim, e é por isso que, para mim, é essencial formar pessoas. Quanto mais informação houver, mais seguras as pessoas vão estar. Já o disse e volto a repetir: muitas das pessoas dão a sua segurança como garantida. Não sabem quando foi o último grande ataque informático e nem questionam se podem ou não ter um vírus instalado no computador. Simplesmente assumem que não e não se preocupam mais com isso.

Qual é a melhor password?
Não há uma password ideal, mas aquelas que demoram mais tempo a descobrir são as melhores. Há várias formas para criar uma palavra-passe forte, como escrever uma frase e alternar entre números, caracteres especiais — como parêntesis, arrobas ou pontos de exclamação — e colocar as letras em caixa alta e caixa baixa. Tudo o que seja mais difícil de descobrir é suficiente. E qualquer coisa é melhor do que a típica chave “123456”.

Ainda faz sentido meter fita adesiva na câmara da portátil?
Sim, sem dúvida. Eu uso e não me arrependo. É muito fácil ser estabelecido um acesso indevido às câmaras dos computadores e muitas vezes as luzes das câmaras não são acionadas para que o utilizador não desconfie. Desde usar fita adesiva ou aquelas tampas que colam ao ecrã, tudo serve.

Caso contrário, costumo sempre dizer às pessoas com quem falo para não irem para a casa de banho ou se despirem em frente ao computador. Tudo por uma questão de privacidade. Não custa nada prevenir".

Excerto de entrevista por Fábio Marins para MAGG, em 2 de junho de 2018.

Sem comentários:

Enviar um comentário