Existem pessoas que afirmam com todas as letras: "Você deveria jogar fora agora o seu smartphone". Porém, não precisamos chegar a tal ponto. É sabido que diversas aplicações e softwares acabam criando uma rede de vigilância sobre os nossos aparelhos cotidianos. O seu smartphone, por exemplo, entrega a sua localização para uma empresa. O seu computador, companheiro de décadas, registra todos os seus dados sensíveis e também é facilmente acessado tanto por empresas como por cibercriminosos — isso se você não tomar cuidado, mas é outro papo, e você pode saber mais aqui.
Acontece que, de cada dez notícias sobre segurança e privacidade que você encontrar na internet, pelo menos nove delas possuem as seguintes expressões de leitores nas caixas de comentários: "Eu não devo nada para ninguém, pode olhar", "não preciso me proteger, eu não faço nada de errado" e até "privacidade é coisa pra bandido, eles sim têm o que esconder".
No momento, um dos maiores casos sobre privacidade e segurança é o jogo Pokémon GO. Veja bem: ele não é diferente do Google Maps e tantos outros apps instalados no seu smartphone, mas o aplicativo tem um grande potencial "rastreador" para companhias.
Como combater esse conglomerado de apps, malwares e softwares maliciosos?
Saindo do celular, o maior perigo para usuários e empresas se chama ransomware. O ransomware, um malware que sequestra o computador infectado e "cobra" um valor X para liberar o acesso, está cada vez mais espaço em todo o mundo. Além de perder dinheiro e arquivos, o ransomware vem destruindo reputações de equipes de segurança em todo o mundo.
Como combater esse conglomerado de apps, malwares e softwares maliciosos? E como evitar que simples games fiquem de olho em você? Precisamos lembrar que informação é a nova moeda em tempos digitais.
Por isso, conversamos com o diretor de Cibersegurança da Cipher, companhia global de segurança cibernética, Wolmer Godoi. Além de Wolmer, também batemos um papo com Daniel Bortolazo, system engineer manager da Palo Alto Networks, empresa global também focada em segurança cibernética.
Concessões de Pokemon GO
A maior ameaça
Não há como fugir da principal pergunta, de maneira direta: qual é a maior ameaça para usuários comuns e empresas na internet?
Wolmer Godoi: "Hoje, o maior problema que temos vivido no nosso dia a dia para ajudar nossos clientes e parceiros são os incidentes de ransomware (tipo de malware que restringe o acesso ao sistema infectado e cobra um valor de "resgate" para que o acesso possa ser reestabelecido). Abrir e-mails de remetentes desconhecidos ou clicar em links suspeitos é sempre um problema"
Daniel Bortolazo: "Esse risco (ransomware, por exemplo) se potencializa com o vazamento das informações de usuários e senhas utilizadas nos sistemas e acessadas remotamente. Diversos sites e aplicativos são facilmente infectados causando o roubo dos dados remotos de maneira muito simples para um atacante. Vemos essas vulnerabilidades levando os consumidores a perder a confiança em como a sua informação é tratada e por esse motivo é tão importante uma abordagem preventiva para cibersegurança – para evitar que essas violações ocorram e restaurar a confiança na nossa era digital"
TecMundo: mas o que um usuário comum, que não tem dinheiro para contratar uma empresa dedicada ao assunto, pode fazer para se sentir mais seguro?
Godoi: "A expressão "façam backup" nunca foi tão presente e necessária como agora. Quem tem um, tem nenhum. Quem tem dois, tem meio. Quem tem três, talvez, tenha um. Por isso, sempre faça backup tanto em nuvem como em ferramentas físicas (pen drives, HD externo, etc). Sobre celular, o básico é: sempre faça downloads de aplicativos nas lojas oficiais — e somente instalar aplicativos conhecidos, que alguém de sua confiança já tenha utilizado e indique"
O caminho mais seguro para limpeza do dispositivo? Apague o dispositivo
TecMundo: A Google Play Store e Apple App Store ainda oferecem riscos ao usuário?
Wolmer Godoi: "Apesar da Apple Store e Google Play contarem com ferramentas de validação e times de verificação, é possível encontrar casos de aplicativos que foram publicados contendo malware. Esses aplicativos, via de regra, utilizam-se de iscas, tais como: 'ganhe 14.500 pokecoins sem custo', 'como enganar o GPS', 'jogar o Pokémon GO sem sair de casa' etc"
Daniel Bortolazo: "Vamos usar como exemplo um incidente recente, no qual diversos aplicativos foram infectados e disponibilizados dentro da App Store. Nesse caso, o cibercriminoso não focou o ataque na loja oficial, nem nos desenvolvedores, e sim no compilador utilizado por vários desenvolvedores. É difícil acreditar que as lojas são 100% confiáveis — até mesmo as lojas oficiais —, pois não depende apenas dos fabricantes responsáveis pelas lojas, mas sim de toda a cadeia de desenvolvimento envolvida nesse ecossistema. Hoje, dispositivos Android continuam muito mais vulneráveis, porém os iOS também apresentam grandes problemas"
TecMundo: Ok. Instalei um aplicativo malicioso. Quais são os passos a serem tomados?
Wolmer Godoi: "A sugestão aqui é radical, mas muito efetiva. Apague o dispositivo e recupere o último backup, antes da instalação do artefato malicioso. Esse é o caminho mais seguro para limpeza do dispositivo"
Daniel Bortolazo: "Caso o dispositivo seja corporativo, o usuário deve informar sua área de segurança corporativa o quanto antes e desabilitar os acessos à internet do dispositivo até o processo de remoção. Após a desinfecção, é importante trocar as senhas dos sistemas acessados pelo dispositivo (se possível, realizar essa troca a partir de um outro equipamento), caso algumas delas tenham sido comprometidas"
O ransomware pode sequestrar o seu PC
Pokémon Go é perigoso?
São inúmeras as notícias de assaltos, sequestros e até mortes que envolvem o aplicativo. Obviamente, não é este o ponto que estamos olhando. Pokémon GO é uma aplicação que tem acesso aos pontos sensíveis de usuários: ele sabe onde você está, acessa a sua câmera, os seus horários de jogo etc.
Sobre o jogo, os especialistas têm opiniões parecidas, tanto para o usuário quanto para empresas.
TecMundo: Pokémon GO é um fenômeno. Você acha que ele tira a privacidade dos usuários? O que você pensa sobre o jogo?
Wolmer Godoi: "Pokémon GO é genial, seu potencial disruptivo é enorme. Se analisarmos a evolução do valor das ações da Nintendo, a partir de 2006 o preço das ações teve um “boom”. O Wii pode ser considerado o maior responsável. Ele mudou a indústria dos jogos de uma interação por joystick para uma interação por movimento, onde o jogador precisa fazer atividade física para jogar. O Pokémon GO traz uma nova dinâmica de jogo. Para uma sociedade majoritariamente sedentária, o jogo é genial. Por outro lado, a questão da privacidade é realmente um grande problema. Nas últimas versões do jogo já é possível jogar sem fazer com que se use a realidade aumentada, ou seja, o jogo não precisa usar a câmera para que o jogador capture pokémons. É o jogo evoluindo com as críticas e o feedback da grande mídia"
WiFi público é um perigo
TecMundo: Então a instalação é totalmente válida?
Wolmer Godoi: "O jogo Pokémon GO em sua versão 0.29, por exemplo, solicita acesso a todos os seus contatos do telefone. Acesso aos contatos é mandatório para se jogar? Faz sentido essa permissão? A orientação aqui é usar aplicativos de empresas conhecidas. Publicados e comentados pela grande mídia. A questão é sobre confiança. Você confia naquele aplicativo? Pessoalmente, me considero muito restrito no uso de novas ferramentas. Tenho um telefone para brincar que instalo qualquer coisa nova para conhecer o aplicativo e validar se aquilo faz sentido ou não, para depois utilizar no aparelho que uso no meu dia a dia"
TecMundo: e jogar Pokémon GO em redes ou contas corporativas? Há algum problema?
Daniel Bortolazo: "É muito importante evitar a instalação de aplicativos não corporativos ou não utilizados para negócios em dispositivos corporativos. Caso necessite, sugerimos ter um segundo dispositivo, sem acessos e sem relações com as contas corporativas. Se ainda assim quiser instalar, é muito importante ler a descrição de acessos necessários pelos apps e evitar relacionar os aplicativos a contas corporativas de emails, sistemas etc. A melhor dia é: criar contas de e-mails dedicadas para esse fim. Sem e-mails ou informações corporativas e pessoais. Além disso, ao usar um dispositivo corporativo, recomendamos que usuário certifique-se de utilizar uma conexão corporativa segura.
Fora o fato do consumo de recursos corporativos, assim como o tempo dos funcionários gastos com esse tipo de aplicativo, a disponibilidade dessas informações por meio do jogo pode ser muito nociva para a empresa. Como já descrito em diversas publicações sobre o assunto, esse tipo de jogo compartilha e acessa diversas informações do dispositivo e isso não é interessante para empresas"
TecMundo: por Pokémon GO ser jogado nas ruas, muitas pessoas utilizam WiFi público para tal. Esses pontos WiFi de acesso livre são seguros?
Daniel Bortolazo: "Redes públicas são facilmente clonadas, assim como possuem, no geral, uma segurança fraca. Comprometendo essas redes, um atacante pode monitorar e copiar todos os dados tráfegos pelos usuários da rede. A recomendação é evitar o acesso a essas redes e utilizar apenas conexões seguras de SSL e VPNs corporativas habilitadas. Com isso, todo o tráfego, caso monitorado, estará criptografado e o atacante não poderá decifrar/utilizar.
Utilize apenas conexões seguras de SSL e VPNs corporativas habilitadas
Essa recomendação vale também para todos os dispositivos corporativos, sejam smartphones ou notebooks. Com um acesso VPN, além de os dados não serem copiados, o tráfego dos dispositivos pode ser monitorado por equipamentos de segurança dentro da rede da empresa, e caso o dispositivo esteja infectado/afetado, a empresa pode tomar uma ação corretiva, bem como limpar preventivamente o conteúdo corporativo, caso necessário"
TecMundo: além de roubos de dados, fraudes e crimes, o que mais os dados sensíveis roubados permitem?
Wolmer Godoi: "Essa pergunta é um pouco a prática da paranoia. Qualquer aplicativo que tenha acesso à sua geolocalização tem a potencialidade de registrar essas informações para entender comportamentos. Exemplo: quantas pessoas passam por tal rua em um determinado horário. Como posso fazer para atrair essas pessoas a entrar na minha loja? Posso planejar alguma ação promocional? Ou ainda, o telefone registra que ao longo da semana o aparelho fica muito tempo parado em região de bares no período noturno. Quanto vale essa informação para as seguradoras de automóveis? No iOS, por exemplo, é possível definir os acessos ao microfone, câmera, fotos, contatos, localização, autorizar ou bloquear cada uma das opções. Dependendo da versão de Android, isso também é possível"
Daniel Bortolazo, da Palo Alto
Lembre-se: privacidade é importante
Como notamos a privacidade é algo necessário para o ser humano: dentro ou fora da internet. É possível usufruir da privacidade e continuar conectado? Difícil, mas sim.
TecMundo: Muitas pessoas comentam: "Eu não ligo que olhem o que eu estou fazendo, eu não faço nada de errado. Não tenho nada a esconder, então não ligo para esses aplicativos que nos vigiam". Por incrível que pareça, este tipo de comentário é frequente na internet. O que pensa sobre isso?
Wolmer Godoi: "O ser humano instintivamente tenta manter sua privacidade. Em um elevador com desconhecidos, naturalmente, as conversas estabelecidas acontecem tratando sobre assuntos com menor relevância, por exemplo, comentando sobre o tempo, futebol ou algum evento de destaque na grande mídia. Já no trabalho, em reuniões com pessoas com mais intimidade às vezes a conversa ganha níveis mais profundos, com assuntos sobre relacionamentos, uma festa do último final de semana ou alguma questão doméstica.
Fere a lógica afirmações do tipo "eu não ligo que olhem o que eu estou fazendo". Se não ligasse, conversaria com desconhecidos abordando assuntos de maior intimidade de forma natural. Perceba, o que se faz na vida real ainda é muito diferente do que acontece na vida virtual. Isso só mostra o quão imaturo estamos nas interações virtuais. Acredito que ainda vai levar mais um tempo para aprendermos a nos comportar no mundo virtual e, até lá, teremos muito trabalho de conscientização e educação digital"
E então, já contou para um estranho o que você fez sábado a madrugada toda?
Fontes
Categorias