Wednesday, 25 de December de 2024 ISSN 1519-7670 - Ano 24 - nº 1319

Segurança ultrapassada

Na noite do dia 3, um hacker invadiu a conta da Apple de Mat Honan, e remotamente apagou os dados do seu iPhone, iPad e MacBook e deletou sua conta no Google; ele se apoderou da conta dele no Twitter e depois postou uma série de coisas asquerosas em nome de Honan. Até recentemente, Honan, que escreve na revista Wired e é um dos meus jornalistas de tecnologia prediletos, trabalhava no Gizmodo e sua conta no Twitter ainda estava ligava à pagina do blog de tecnologia. De maneira que, durante cerca de 15 minutos, o hacker conseguiu também postar um punhado de mensagens racistas e obscenas.

Foi num voo atravessando o país que li a primeira postagem de Honan sobre o ataque do hacker. Quando o comandante liberou o Wi-Fi a bordo, fiz o que sempre faço quando tomo conhecimento de um ataque que poderia ter acontecido comigo: mudei minha senha. Isso fez com que eu me sentisse melhor, mas certamente não era o suficiente. Honan passou o fim de semana ao telefone falando com o pessoal do suporte da Apple e, curiosamente, conversando com o hacker. Na manhã de segunda-feira, ele viu exatamente como suas identidades online foram comprometidas. A conclusão: criar senhas melhores não o ajudou.

Num longo artigo na Wired, Honan explicou que o hacker invadiu sua conta não tentando adivinhar suas senhas, mas pedindo por elas. No dia 3, ele ligou para o serviço de suporte da Apple e, fingindo ser Honan, alegou que sua conta na Apple tinha sido fechada.

O atendente pediu então que ele respondesse a algumas perguntas de segurança sobre a conta, mas o hacker disse que havia esquecido as respostas.

Nenhum problema, porque ele sabia algo que muitos de nós desconhecemos: se você não consegue responder às perguntas de segurança, a Apple assim mesmo fornece uma nova senha se você provar que é aquele que afirma que é por meio de uma outra forma de identificação. Que identificação a Apple pede para restabelecer sua senha? Um endereço de cobrança de alguma fatura e os últimos quatro dígitos do seu cartão de crédito.

Endereços de cobrança podem ser encontrados facilmente online e números de cartões de créditos não são muito mais difíceis de obter. O hacker tinha ambos os dados de Honan. Ele conseguiu o endereço examinando o registro do website pessoal de Honan e obteve o número do cartão de crédito ligando para a central de atendimento de outra gigante da área de tecnologia, a Amazon. Ele pediu à Amazon para trocar e-mail registrado na conta de Honan pelo seu – ou seja, o do hacker – , o que a Amazon fez com prazer.
Em seguida, ele fez um pedido de nova senha no website da Amazon – o que remeteu um link para o e-mail do hacker, permitindo que ele mudasse a senha de Honan e tivesse pleno acesso à sua conta na Amazon, incluindo a possibilidade de ver os últimos quatro dígitos do seu cartão de crédito.

E pronto! Foi assim que o hacker conseguiu entrar na conta de Honan na Apple, e a partir daí ele conseguiu apagar tudo que estivesse ligado à conta do iCloud de Honan (seu iPad, iPhone e Mac). E como Honan havia indicado sua conta do Google como o endereço de e-mail alternativo na conta da Apple, o hacker só precisou fazer um outro pedido de nova senha para entrar no Gmail de Honan também.

Esta é uma história lamentável. Neste caso houve muitas falhas – relativamente pequenas da parte de Honan (ele não tinha feito backup dos seus dados) e enormes, gritantes, horripilantes, por parte da Apple e da Amazon. Mas se você examinar este ataque épico, encontrará algumas lições muito simples.

Nada online é perfeitamente seguro – hackers determinados podem acessar qualquer coisa se estiverem realmente dispostos a isso. Mas o sujeito que atacou Honan não era alguém especializado. Apenas um garoto que só queria provocar o caos e por acaso conhecia alguns pontos vulneráveis da Apple, da Amazon e em sistemas que governam nossas vidas online. Mas algumas medidas simples tornariam esses ataques muito mais difíceis. O que estou sugerindo não é difícil. Faça isso agora.

Abaixo vão quatro dicas que usuários e empresas poderiam adotar imediatamente para reduzir o risco desse tipo de ataque.

Brechas

Depois que o caso do jornalista Mat Honan foi noticiado, a Amazon e a Apple mudaram suas políticas de atendimento por telefone. Segundo a Wired, os atendentes da Amazon não estavam mais autorizados a mudar informações da conta na loja por telefone, como o e-mail ou número de cartão de crédito. O serviço de atendimento da Apple também suspendeu a troca de senhas das contas por telefone, o que permitiu o roubo da conta de Honan. Um atendente disse à Wired na terça-feira que a suspensão duraria 24 horas até que fosse encontrada uma solução mais segura.

***

Dicas para proteger suas contas de ataques

>> 1) Use a verificação em duas etapas

Houve uma época em que uma senha era suficiente. Mas hoje nós temos tantas contas online, com informações muito valiosas, que precisamos de algo além.

Felizmente, esse algo além existe. Infelizmente, poucas pessoas o utilizam. É a chamada “verificação em duas etapas” – um sistema de segurança que exige duas credenciais para acessar uma conta. A primeira é sua senha. A segunda é algo que você carrega: sua impressão digital, um gerador de senha eletrônica, ou – o mais fácil de todos – um celular que pode gerar um código exclusivo.

No ano passado, o Google adotou o método em suas contas. Depois de ligar seu smartphone, instale o aplicativo Authenticator. Agora, para se logar, você digita sua senha e o código gerado pelo aplicativo no telefone (funciona mesmo desconectado). Se você não possui smartphone, o código pode ser enviado por mensagem de texto. O Facebook também tem a verificação em duas etapas.

O problema é que o método é um pouco incômodo. Você pode configurar o Google para que o código seja pedido a cada duas semanas nos aparelhos registrados, mas para algumas pessoas preguiçosas isso é muito problemático.

Acho que é por isso que a Apple não adicionou a verificação em duas etapas aos seus serviços. Mas espero que ela esteja trabalhando para encontrar uma maneira de tornar este nível de proteção fácil para as massas.

Se um sistema como este estivesse instalado, o ataque contra os aparelhos Apple de Honan não teria ocorrido.

>> 2) Use serviço de backup online

Apesar do que você já ouviu, fazer o backup para armazenar seus dados é fácil e barato. Uso um serviço chamado CrashPlan – a maneira mais barata e mais fácil de armazenar todos os seus dados.

Veja como fazer. Entre no CrashPlan. Baixe o software. Escolha o que você quer armazenar – seus documentos, fotos, vídeos, música, etc. Depois deixe o programa rodar. Durante os dias seguintes, dependendo do volume de dados e da velocidade da banda larga, seus dados serão codificados e depois enviados para os servidores do CrashPlan, onde estarão muito mais seguros do que você conseguiria fazer sozinho.

Por todo este trabalho, o CrashPlan cobra US$ 1,50 por mês para armazenar 10 GB de dados de um computador, US$ 3 para ter espaço ilimitado para guardar arquivos de um computador e US$ 6 mensais por dados ilimitados de até 10 computadores (em outras palavras, para proteger todos os aparelhos em sua casa).

Quando recomendo serviços assim, as pessoas reagem preocupadas: e se os servidores do CrashPlan forem destruídos ou atacados por hackers? Se o CrashPlan for hackeado, os seus dados estão codificados. Mas nesta questão de armazenamento de dados você nunca está completamente seguro. De maneira que, se deseja se assegurar e fazer um backup local em um HD externo, por favor faça.

Na verdade, se eu fosse rei da internet, preferiria fazer backups automáticos. Cada aparelho deveria vir com um sistema assim.

>> 3) Desligue o “Buscar Meu Mac” (Find My Mac)

Localizar seus aparelhos perdidos parece ótimo. Mas a maneira que a Apple implementa o seu sistema “Find My” não é muito segura. Se um hacker entrar na sua conta do iCloud, ele não precisará de nenhuma outra credencial para localizar seus aparelhos e deletar todos os seus dados remotamente. Foi o que ocorreu com Honan e pode acontecer com você também.

Enquanto a Apple não encontrar uma maneira melhor para proteger seus clientes contra esta possibilidade (talvez exigindo uma segunda forma de autenticação para limpezas remotas), você deve desligar o Find My Mac.

Mas e se uma pessoa se apodera do seu computador? Como prevenir que seus dados sejam acessados se o seu computador cair em mãos erradas? O fato é que existe um sistema de segurança melhor do que apagar remotamente os dados. É chamado “encriptação de disco” e está embutido no Mac e nas versões Ultimate e Enterprise do Windows 7. Você só tem de acioná-lo.

A encriptação embaralha os bits em todo o disco rígido do computador; a única maneira de ter acesso aos dados é fornecendo uma senha (Neste caso também seria melhor se fosse exigida a autenticação em duas etapas do que apenas uma senha). A codificação dos dados deixa seu computador um pouco mais lento, mas não é um grande problema. E se o seu computador for roubado, você pode ficar seguro de que seus dados estão protegidos – a menos que o hacker saiba sua senha, seus dados continuarão ocultos para ele.

>> 4) A recuperação de senha é uma ameaça

Por último, você deve checar como suas contas online estão ligadas pelos pedidos de recuperação de senhas. Principalmente, olhe as contas de e-mail importantes, suas contas de serviços financeiros, redes sociais e outros. Cada um deles exigirá que você indique um e-mail para qual a nova senha será enviada.

Se eles apontam um para a outro, um hacker pode acessar tudo com um único ataque. Por exemplo, se o Gmail está configurado para enviar novas senhas para sua conta na Apple e o seu banco envia as solicitações para o Gmail, então tudo o que hacker necessita para semear o caos nas suas finanças é roubar sua senha do iTunes (que provavelmente não é muito forte porque você odeia digitar uma senha difícil numa tela sensível a toque para baixar aplicativos). Com a sua senha no iTunes, ele poderá acessar o Gmail pedindo uma nova senha. E uma vez dentro do Gmail, só precisa pedir uma outra senha para entrar no seu banco. Foi exatamente isso que ocorreu com Honan.

O que fazer neste caso? Eu criaria um único endereço de e-mail secreto para enviar todas as novas senhas. O que quero dizer com seguro? Uma nova conta do Gmail – algo como apostequevocêconsegueadivinhar@gmail.com – com uma senha muito segura e autenticação em duas etapas. Agora acesse todas as suas contas e envie pedidos de senha para este endereço secreto. É importante não utilizar este e-mail para nada. Enquanto este endereço for secreto, qualquer senha nova enviada a você deve estar protegida.

***

[Farhad Manjoo, da Slate]