A praticidade e a facilidade de acesso à informação com a popularização dos smartphones também transformou o telefone celular em um alvo especialmente valioso para criminosos virtuais. Não é exagero afirmar que “uma parte da vida” está dentro daquela caixinha de bolso conectada com o mundo. O risco de ter informações vazadas ficou mais evidente nos últimos meses a partir do caso das mensagens obtidas pelo site The Intercept BR, de autoridades envolvidas na maior investigação anticorrupção do Brasil, a Operação Lava Jato. Mas ele não é novo.
“O computador ainda é mais vulnerável a ataques, mas o celular é como uma mina de ouro”, alerta Vinicius Serafim, consultor da empresa especializada em segurança digital Brown Pipe e mestre em Ciência da Computação pela Ufrgs. “O celular é um alvo muito mais interessante hoje em dia. Pois ali tem tudo: conversas das pessoas, ligações que fez, e-mail, perfis de rede social, home-banking, fotos. Tem muito mais informação pessoal que pode ter valor para um estelionatário”, alerta Serafim. Ele salienta, contudo, que os notebooks e computadores pessoais ainda recebem a carga maior de ataques. “O computador, por ser um ambiente flexível, tem muito mais recursos e acaba sendo mais vulnerável para um atacante”, explica.
Certo, mas os hackers estão aí e será questão de sorte não perder dados ou sofrer um prejuízo na Internet? Serafim indica que é possível evitar os transtornos com alguns hábitos essenciais, espelhados até no cotidiano fora da telinha. “Na vida real, de acordo com lugares que você sai e atividades que faz, fica mais exposto”, avalia. “Quando vai ao banco e ao shopping, não é muito indicado sair por aí abanando a carteira e cheio de sacolas para depois entrar no beco mais escuro da cidade para comprar um DVD pirata. Na Internet, não é muito diferente. Você tem seu perfil de uso. O cara faz compras na loja virtual e acessa home banking. Só que por estar on-line não se dá conta que também está exposto”, aponta Serafim. “Daí vai lá e fica baixando joguinho da Internet que não sabe de onde é, ou instalando software com o que se chama de crack, para liberar o programa”, acrescenta o especialista. “E quase nunca se sabe quem desenvolveu esses programas de desbloqueio. Ninguém desenvolve essas coisas de graça. É quase certo que aquilo coleta informações, ou gera algum outro tipo de problema que poderá dar acesso à sua máquina ou celular”, define o consultor. “É bom evitar certos sites, aqueles que oferecem jogos, software pirateados. Sites de pornografia também têm coisas indesejadas que acabam infectando sua máquina."
No entanto, mesmo quem mantém bons hábitos precisa se precaver com ferramentas especializadas. Além disso, ninguém está livre de um deslize, uma escapadinha num clique desavisado naquele título chamativo, ou música preferida. “É essencial usar um bom antivírus. E isso quer dizer um antivírus pago, pois senão é como um médico que você encontra na rua e do nada vai te atender de graça. Não é a mesma coisa”, reforça Serafim, que completa: “Pior ainda, existem outros programas, que instalam na máquina supostamente um antivírus, mas quando o usuário vê, é uma coisa de propaganda e baixa outros arquivos indesejados na máquina”.
Mas em relação aos smartphones e como seus dados são mais cobiçados, atualmente, o que se aconselha? “No caso do celular, essencialmente não pode violar a segurança do próprio dispositivo”, explica o consultor. “Isso se chama jailbreak ou 'rootear'. Tem gente que diz que libera mais memória, que pode instalar coisas diferentes. Mas, simplesmente, isso acaba com a segurança do celular. E no caso do (sistema) Android, não pode instalar nada que não seja da loja, da PlayStore.”
Mas até na loja coisas desagradáveis podem acontecer. “Sim, precisa cuidar com o que vai instalar. Precisa prestar atenção em qual é o fornecedor e que tipo de liberações aquele app vai exigir", indica Serafim. “Uns anos atrás tinha um app ‘Lanterna’. Que só ligava o flash do celular, mas pedia autorização para acessar tudo: mensagens, fotos, localização. E as pessoas davam a permissão. O pessoal não tem noção do que é o acesso a esse tipo de dado”, alerta o especialista.
Para quem não se controla e precisa “viver perigosamente” no mundo digital, Serafim indica uma alternativa: “Existe a possibilidade de ter uma máquina só para fazer coisas sérias e outra para jogar e navegar em sites em que corro algum risco de instalar coisas estranhas”, cita. “Mas precisa cuidar muito para nunca usar as mesmas contas nas duas máquinas ou telefones. Não pode fazer o login no e-mail de jeito nenhum, pois tendo acesso a isso consegue daqui a pouco usar cadastro de site de loja, fazer um novo cadastro e até uma compra, por exemplo.”
A forma de ataque não mudou muito ao longo do tempo, apenas a sofisticação dos softwares, que podem disparar contra cada vez mais computadores e celulares. “O atacante precisa de alguma maneira fazer você executar no seu computador ou celular, um programa ou código que ele controla”, detalha Serafim. “Ele te manda um e-mail ou mensagem com link. Você clica ali e o programa que o criminoso elaborou potencialmente dá acesso a toda a máquina”, afirma. “Isso é bastante antigo, existe há anos. E tem também os phishings, aqueles e-mails que a pessoa quer pegar teu dinheiro com depósitos em troca de mais dinheiro, etc., ou buscar informações pessoais.”
Há uma modalidade que mistura o digital e a vida real. Parece até coisa de filme, um pouco assustadora. “Existe um outro tipo, usado para ataques pessoais ou ainda contra empresas. O hacker pode ter acesso à sua rotina e deixar um pendrive em um lugar que você passa, ou fazer alguém te oferecer de brinde. Aí, você espeta aquele 'pendrive grátis' na máquina e imediatamente você dá o controle para o atacante. É preciso sempre se perguntar. Se esse negócio é de graça, como é que estão sustentando isso?", orienta Serafim, tanto para brindes quando para downloads. “O cara vai lá e desbloqueia um jogo grande para você jogar sem pagar nada por ele. É totalmente possível botar um código lá dentro para entrar na sua máquina.”
Afora os ataques, a exposição nas redes sociais é um fator em que os brasileiros são campeões em evitar bons hábitos. “As pessoas não se preocupam com segurança digital de forma alguma no Brasil. Estão completamente vulneráveis, não têm noção alguma e acham que ver um cadeado fechado no navegador é o suficiente para estarem seguras”, indica.
Perigo nas redes sociais
Conforme Serafim, estelionatários estão sempre atentos a Facebook, Instagram e afins. “As redes sociais representam um risco na medida em que a pessoa se expõe demais. Vou dar o exemplo do que aconteceu com uma amiga, que foi procurar um auxílio e a pessoa começou a adivinhar coisas da vida dela. O pessoal usou o que tinha no Facebook dela para assustar. Para o estelionatário, é um prato cheio. E muita gente faz isso, ficando sujeita aos ataques. As pessoas botam um excesso de informação no Facebook e Instagram, que podem ser usadas para aplicar os mais diversos golpes.”
O problema, segundo ele, é que não existe um nível de divulgação realmente seguro. “A recomendação é sempre se expor o mínimo necessário. É muito subjetivo o que pode botar no Facebook. Eu uso, por exemplo, mas só vou ter coisas específicas de trabalho, palestras, conferências. Uma foto lá que outra que não indica algo muito pessoal. Dificilmente uma informação da família, ou viagem, para onde vou e volto. E existem pessoas mais reservadas do que eu”, conta.
O uso indiscriminado é porta escancarada para sofrer ataques. “As pessoas precisam avaliar para o que elas vão utilizar a rede social. O meu objetivo é profissional e divulgar algumas causas”, exemplifica Serafim. “Mas em geral, o objetivo é ficar fazendo um diário público da sua vida particular. O ideal é o mínimo possível”, aponta.
Está bem, mas e as mensagens de WhatsApp e Telegram, podem ser roubadas por hackers? Não dá mais para contar aquela fofoca para os amigos sem correr o risco de cair na rede? Serafim esclarece que nenhum dos aplicativos pode ser invadido desta forma. “A comunicação entre os aparelhos é segura no WhatsApp e no Telegram”, enfatiza.
“Para se ter uma ideia, na época da CPI do Cibercrime, a polícia queria que fosse enfraquecida a criptografia para poder fazer interceptações. Mas na relação entre o celular A e o celular B, é impossível fazer algo”, garante o especialista. “O problema é na relação do usuário com o aparelho. O smartphone ser perdido, roubado, o cara instalar um software de cavalo de Tróia, que libera acesso a terceiros na sua conversa. Ou através de obter a senha e o cadastro do número”, explica.
Serafim lembra que é bom utilizar tecnologias que impeçam o acesso aos dados no caso de roubo. “Existem recursos no Android para cifrar todas as informações dele em caso de perda. Ou então, as fotos acabam vazando e as pessoas acabam virando vítimas de extorsão”, orienta. “Mas precisa enfatizar que as mensagens são coletadas no aparelho, vide o caso da Vaza-Jato. Não foi quebrada a criptografia, alguém conseguiu habilitar o Telegram com o computador e mandou baixar toda a conversa dos grupos. Precisa conseguir a chave para habilitar em outra máquina”, descreve.
E no caso das empresas, é preciso de segurança total na comunicação? “Para conversas importantes, o recomendado é usar o Signal, um aplicativo que funciona igual, mas tem a opção de mensagens efêmeras. Posso me comunicar e dizer que nas conversas com determinada pessoa tudo suma depois de uma semana, um dia ou 15 minutos”, lembra.
Por falar em empresas, a Brown Pipe se especializou na proteção de dados e redes de companhias. Serafim comenta que até hoje grande parte da procura é reativa, quando já ocorreram invasões e perdas de dados. “O problema das companhias é que elas se preocupam em desenvolver um software para aquilo que elas fazem e não têm a preocupação do que alguém de fora pode fazer com o software da empresa. Por isso, a gente testa e aponta a falha para se protegerem.”
Crédito: Ricardo Giusti
Essa é uma questão que se estende para o meio público, nas diversas repartições de governo e, claro, nas receitas federal e estadual. O coordenador de comunicação da Procergs, Rodrigo Bandara, explica que a parte tecnológica é extremamente segura no governo do Rio Grande do Sul. A relação entre usuários internos do governo e o ambiente externo é que gera mais cuidados. “Em 45 anos de operação da Procergs, consigo lembrar de meia dúzia de casos talvez, e todos por falhas externas ao sistema. O que seria isso? Quatro anos atrás, por exemplo, conseguiram hackear e editar um dos sites do governo, mas foi com a senha obtida diretamente de um servidor (funcionário público) e não 'hackeando' as defesas eletrônicas”, detalha.
Ele garante que nunca ocorreram falhas do sistema de segurança em ataques. “As eventuais invasões ocorridas sempre foram com acessos restritos e a partir da obtenção de um login e uma senha. Pode ser pela invasão do computador pessoal do servidor ou por algum ataque por e-mail ou celular fora do sistema Procergs”, opina.
Para mitigar essa questão, a Procergs também promove cuidados. “Contra isso, temos alguns controles. As senhas têm validade bem limitada, tendo a obrigação de serem trocadas em curtos períodos de tempo. Além disso, há campanhas de conscientização e todos precisam criar senhas com maiúsculas e minúsculas, caracteres especiais, etc.”, informa Bandara. Para o caso de vazamento interno de senhas, também são feitas contramedidas diretas. “Temos métodos para fazer auditorias internas e rastrear de onde ou de quem partiu a falha”, diz.
Ele avalia, contudo, que os ataques mais agressivos são contra organismos financeiros. “As invasões mais sofisticadas, usualmente, são aplicadas contra bancos e entidades de sistema financeiro”, cita o coordenador. “Faz mais sentido para um criminoso digital usar essas técnicas complexas e caras para obter dinheiro diretamente: desviar alguns centavos de milhões de contas, por exemplo. Posso garantir que, no caso da Procergs, a confiança é de mais de 99% no sistema e ainda maior contra os tipos de ataque que esperamos sofrer”, diz.
Mesmo em serviços mais sofisticados, que envolvem a participação da população de forma interativa, Bandara atesta a segurança: “No caso da Consulta Popular, por exemplo, temos uma barreira bem segura que é a necessidade de inserir o título de eleitor sempre que for participar de uma votação. Cada pessoa só tem um voto por título de eleitor. Claro que alguém pode pensar num cenário de um sujeito malicioso obter uma lista de centenas de títulos de eleitor para uma região. Aí, temos meios de verificar se muitos votos foram disparados do mesmo IP e no mesmo horário. Além disso, se forem detectados mais votos provenientes de um mesmo título, burlando de alguma forma a limitação, todos são anulados”.
Baranda frisa a importância e o cuidado com a segurança, que leva inclusive à impossibilidade de dar mais detalhes sobre o processo. “Mais do que isso não podemos falar, na medida em que qualquer informação pode se tornar uma ‘dica’ para quem não possui boa intenções com relação às bases públicas”, justifica.
A questão de roubo de dados e documentos é outro alerta para o usuário de Internet. “Perder teu CPF e RG para um hacker é um problema muito sério”, avisa o consultor de segurança Vinicius Serafim. “O cara pode, desde abrir uma conta com teu nome, fazer um cartão, até cancelar tua conta de luz. Nome de pai e mãe também servem normalmente para autenticar pessoas. E essas informações não são mais sigilosas como se pensa. Elas circulam, precisa cuidar muito. A gama de falcatruas que alguém pode fazer é bastante ampla. Ainda mais com essas contas por aplicativos de hoje em dia.”
Os dados estão seguros?
Outro aspecto que gera preocupação diz respeito aos dados do contribuinte. A Secretaria da Fazenda do Estado é, por óbvio, muito cuidadosa em explicar o funcionamento da proteção de dados da população, mas responde em linhas gerais quais são os procedimentos. “É importante ressaltar que a Secretaria Estadual da Fazenda (Sefaz) e a Procergs adotam as melhores práticas, metodologias e ferramentas existentes no mercado, com o objetivo de assegurar, com permanente atualização, a melhor segurança disponível para todos os dados e sistemas que estejam sob sua responsabilidade”, assegura a Sefaz, através da sua assessoria de comunicação. Os servidores também passam por cursos de qualificação e outras orientações. “Todas as equipes envolvidas na gestão de dados recebem treinamento constante visando manterem-se permanentemente atualizadas”, aponta a Secretaria.
O monitoramento, conforme a Secretaria, é constante. “As atualizações de segurança ocorrem de forma permanente, estando tanto o hardware quanto o software monitorados pelas equipes técnicas, além de cobertos por contratos de atualização, suporte e garantia com os próprios fornecedores e fabricantes, tudo isto em regime de 24 horas por dia, 7 dias por semana”, aponta a assessoria.
Nos casos específicos, como as notas fiscais e, por exemplo, o fornecimento do CPF na nota, os controles garantem que o acesso seja apenas em duas vias. “Com relação à privacidade das Notas Fiscais, cabe esclarecer que todos os dados trafegam de forma criptografada, com uso de certificações digitais e que os mesmos só são acessíveis pelas duas Entidades envolvidas: o emitente (empresas) e o destinatário (Fazenda). Além disso, o ambiente de Notas Fiscais Eletrônicas utiliza uma infraestrutura isolada, específica para este fim, projetada levando em consideração a redundância de seus componentes, o que garante a integridade, confiabilidade e alta disponibilidade da solução como um todo.”
Crédito: Mauro Schaefer
Outra pauta de proteção de dados que gera debates e até polêmicas é a urna eletrônica. O Tribunal Regional Eleitoral do Rio Grande do Sul (TRE-RS) vaticina a segurança do sistema de votação adotado no Brasil em 1996. Uma das principais medidas é o funcionamento do sistema em si off-line. Conforme Daniel Wobeto, secretário de tecnologia e informação do TRE-RS, o acesso ao sistema “é limitado com ausência de conexão de rede, uso de hardware de segurança que valida o software que será executado e limitações de interface com o usuário. Do ponto de vista do sistema, há garantia de integridade dos programas, com possibilidade de análise de seu código-fonte (texto escrito pelo programador) por especialistas”, acrescenta. Além disso, os dados passam por um sistema de codificação complexo: “Há um uso massivo de criptografia, impedindo que os dados dos cartões de memória sejam acessados ou modificados.”
Mesmo depois da votação, quando os votos são enviados para apuração, não há contato externo. “Os votos saem da urna eletrônica em um arquivo criptografado e assinado digitalmente. A criptografia impede que alguém acesse seu conteúdo, enquanto que a assinatura impede que uma eventual alteração passe despercebida pelo sistema da Justiça Eleitoral. Assim, não há exposição. Além disso, há sempre uma cópia impressa do boletim de urna, que permite a conferência do resultado da seção com os dados publicados no site do TSE”, afirma o secretário. Segundo Wobeto, não há registros no Estado de tentativas de fraudar as urnas. “Jamais foi registrado um ataque capaz de colocar em risco o resultado da eleição. Houve várias denúncias alegando diferentes mecanismos de fraude, mas, em todas as vezes, foi possível provar que o ataque não existiu, consistindo basicamente de alegações falsas baseadas na falta de conhecimento de quem fez a denúncia”, garante o representante do TRE-RS.
Wobeto destaca, ainda, que uma eventual impressão do voto não significa mais segurança. “O próprio voto impresso depende de outras etapas de verificação, dependentes da intervenção humana. Assim, se agrega segurança de um lado e abre margem a outros tipos de manipulação impensáveis em um sistema totalmente eletrônico”, analisa. Por fim, ele lembra os casos nas últimas eleições em que eleitores filmaram urnas eletrônicas e alegaram não aparecer o candidato desejado. “Na medida em que a urna garante que só o programa oficial do TSE pode ser utilizado, não há conexão com Internet e possui proteção de seus dados com assinaturas digitais, não é possível fazê-lo indicar outro candidato. Nos casos em que houve alegação de que o candidato não aparecia na urna, verificou-se que o eleitor votava para o cargo errado. A título de exemplo, cito que mais de 115.000 eleitores votaram no candidato 17 para governador no RS, sendo que não existia tal candidato”.
