12 dezembro 2017

Segurança informática

Resultado de imagem para cybercrime

Uma vez deixei o carro mal travado num parque de estacionamento, e ele foi bater noutros dois. Não houve danos pessoais, tanto mais que ninguém estava presente. A seguradora pagou os danos que o meu carro causou nos outros e os danos do meu carro saíram-me do bolso. Tirando as fotos e o gozo dos colegas, a história ficou por ali. Não é este, no entanto, o típico acidente automóvel. O normal é o condutor, ou um peão, fazerem alguma coisa de errado –pode ser uma manobra desastrada, ou mera distração que leve a uma omissão – e em consequência disso haver um acidente, frequentemente com danos pessoais.

Quando os acidentes ocorrem na estrada já todos sabemos o que há a fazer. Afinal de contas, por um lado, as regras do código da estrada já têm muitos anos – de facto, é de 3 de Outubro de 1901 a publicação do Regulamento sobre Circulação de Automóveis, e de 1928 o primeiro Código da Estrada. Por outro, não podemos conduzir um automóvel sem aprender primeiro como se faz, e passar um par de exames que o atestem. Por tudo isto, dar hoje um toque com o carro não é propriamente notícia – a sociedade já teve cerca de um século para se ir habituando ao fenómeno dos automóveis nas estradas e transmitir essa experiência através das gerações.

Apesar de a Internet existir desde os anos 70 – há quase 50 anos - só há pouco mais de 20 começou a ser usada em contexto doméstico. Até então, o seu uso estava reservado aos governos, instituições militares, universidades e algumas grandes empresas, normalmente ligadas à tecnologia. Foi na última década que o uso da Internet explodiu, sendo hoje raro o computador – e não esqueçamos que os smartphones não são outra coisa – que não esteja ligado à autoestrada digital.
Ao contrário dos automóveis, que só podem, pelo menos em teoria, ser conduzidos por quem conheça o Código da Estrada e seja portador de Carta de Condução, qualquer pessoa pode comprar um computador ou um telemóvel e, sem mais cerimónias, ligar-se à Internet. É, aliás, o que faz a esmagadora maioria das pessoas. Para facilitar este fenómeno, os fabricantes de computadores tornam-nos, a cada ano, mais fáceis de utilizar. Já o mesmo não se pode dizer dos telefones… mas enfim.

Os primeiros condutores de automóveis eram entusiastas da mecânica, tal como os primeiros utilizadores da internet eram entusiastas da tecnologia. Hoje os carros avisam quando precisam de manutenção, e largamo-los na oficina para o efeito, arrancando pouco depois num automóvel de substituição. De resto, metemos combustível, líquido no limpa-para-brisas, e está feita a nossa parte. Compramos computadores, usamo-los durante um tempo, depois ficam lentos e esquisitos, pedimos ao filho do vizinho para os reinstalar, o que começamos a fazer com alguma regularidade, e ao fim de um tempo compramos outro. Com os telemóveis é igual: carregamo-los à noite, reiniciamo-los de vez em quando se ficam lentos, e ao fim de um a dois anos trocamo-los por um modelo novo e deixamos o antigo a apanhar pó numa gaveta. A maioria das pessoas não sabe nada da tecnologia que constitui a Internet, nem dos cuidados a ter, nem há ainda uma cultura na nossa sociedade quanto aos riscos e comportamentos a evitar.

Entretanto, temos uma conta no Facebook, outra no Gmail, mais umas quantas de outras redes sociais, vemos notícias, trocamos links com outros, visitamos sites… A certa altura damos por nós em sites com publicidade agressiva, e mesmo obscena, janelinhas a abrir umas depois das outras, o botão de voltar atrás que não funciona… Depois aparece outra janelinha a dizer: “Tem vírus! Descarregue aqui um antivírus grátis!”. E nós, atarantados, lá fechamos o Chrome, ou o Internet Explorer… para logo depois nos aparecer no email uma mensagem: “O acesso à sua conta na CGD está bloqueado. Visite este site e introduza os seus dados pessoais para o desbloquear”… Pouca sorte, logo eu que só tenho conta no Montepio… mas está aqui outra mensagem… uma promoção… “Olha, posso ganhar uma Nespresso, ou 400 euros em cartão no LIDL… deixa lá ver o que é…” e carregamos… e, sem que alguma vez venhamos a aperceber-nos, o nosso computador passou a ser usado por uma rede internacional de ciber-criminosos. E a promoção? Ah… a rena do Pai Natal depois traz.

Há essencialmente duas coisas que as redes de crime organizado procuram obter dos cidadãos mais desavisados através dos computadores: os dados pessoais, e o acesso aos próprios computadores. Os dados pessoais servem para nos imputar despesas, revertendo os proveitos para os criminosos. Eles podem ficar, num exemplo muito simples, alojados num hotel, e ficar o pagamento da estadia por nossa conta. Também podem tentar obter os nossos dados de acesso ao homebanking para transferir as nossas poupanças para uma offshore… Mais prosaicamente, podem limitar-se a vender os nossos dados pessoais para efeitos de marketing – e lá passamos a receber uma montanha de emails com publicidade.

Já o acesso aos nossos computadores é mais apetecível, pois é mais útil aos criminosos, mas só pode obter-se de uma de duas maneiras: ou através de um defeito no sistema – do mesmo modo que uma janela que não feche pode ser usada por um ladrão para nos entrar em casa – ou porque voluntariamente os deixamos entrar – como alguém que nos toque à campainha a pedir para usar o nosso telefone para ligar para o 112 por ter havido um acidente na rua, e nós, cheios de boa vontade, abrimos a porta...

Tal como muitas doenças podem ser evitadas através de vacinação e/ou prevenção, não se tendo comportamentos de risco, também aqui a estratégia é semelhante. Vacinar-nos corresponde à atualização permanente dos sistemas – o que é fácil com os computadores mas pouco comum nos smartphones por responsabilidade dos fabricantes. Já os comportamentos de risco de que nos devemos abster são, na verdade, a maior brecha, e o mais bem sucedido vetor de ataque. Os criminosos só querem uma coisa: que instalemos um pequeno software no nosso dispositivo. Para isso contarão todas as histórias da carochinha: que é um anti-vírus, que é para pôr o smartphone mais rápido, que é para ver filmes de graça… oferecem sempre qualquer coisa. Só temos que instalar o tal programa – que até pode ser um joguinho, que até funciona... mas não é só um joguinho. Não é por acaso que se chama “cavalos de Tróia”, ou trojan a esses programas, que parecem ser uma coisa inocente mas são só um dispositivo de penetração da nossa segurança perimétrica.

Uma vez instalados, podem com facilidade intercetar todas as teclas em que carregamos, e assim ficar a saber as nossas passwords em todos os sites que visitamos, assim como o conteúdo de todos os textos que escrevemos. Pode ser, depois, que o nosso PC comece a ficar muito lento, pois está a fazer operações matemáticas que servem para gerar dinheiro digital. Um programa malicioso pode também codificar todos os nossos ficheiros – as fotos, os trabalhos, tudo! – e depois pedir um resgate em troca da chave de descodificação. Sem a chave correta, os nossos dados estão perdidos para sempre. É certo que tudo isto é grandemente inconveniente para nós, mas estamos longe de ser as únicas vítimas da nossa falta de cuidado: é que a maioria desses programas maliciosos logo trata de se tentar espalhar por mais dispositivos.

É assim que todos os nossos amigos com quem trocamos emails vão receber uma mensagem, aparentemente enviada por nós, convidando-os a instalar, também eles, o programa. A mensagem pode ser variada, desde um genérico “olha lá para isto” a um específico “Vamos contribuir para a UNICEF este Natal. Se quiseres entrar, acrescenta o teu nome e o montante na lista em anexo e manda-ma de volta”. E depois a lista é, afinal, um cavalo de Tróia. Já começámos a fazer estragos junto dos que nos estão mais próximos.

Pouco depois, o nosso computador – ou smartphone – liga-se a um site na China, ou na Rússia, na América Latina ou na cidade ao lado da nossa… e recebe uma lista de instruções. Pode ser uma lista de endereços de emails, e logo uns milhares de emails com publicidade, ou maliciosos, serão enviados a outros tantos alvos. Pode ser uma lista de sites a que o dispositivo vai aceder, uma vez após outra, durante o dia todo. Um oceano é feito de uma multidão de gotas de água. Ninguém se afoga numa uma gota de água; agora, num milhão de gotas de água… É assim que um site pode ficar inacessível por ter dezenas ou centenas de milhares de dispositivos a aceder-lhes repetidamente. E para que serve isso? Uma vez mais, para que os criminosos possam pedir um resgate ao dono do site: “Paguem, e nós paramos.”

Como se vê, as nossas ações não nos afetam só a nós – tal como podemos transmitir certas doenças aos que nos rodeiam se não formos cuidadosos. Uma vez afetados, só com software especializado poderemos remover o bicharoco. De novo, o filho do vizinho saberá o que usar. Podemos zelar pela segurança dos nossos dispositivos ligados à Internet através de três medidas:

– A primeira consiste em mantermos o dispositivo atualizado. Todos os sistemas modernos podem atualizar-se de forma automática, sejam MacOS, Linux ou Windows. Convém é ver se para as versões que temos instaladas ainda se produzem correções. Quando assim é, é normal haver várias atualizações por mês. Já os smartphones atualizam-se menos frequentemente – alguns nunca. A única coisa que podemos fazer, na maioria dos casos em que assim é, é comprar um mais recente. Curioso…

– A segunda medida é não executar programas – nenhuns! – sem primeiro averiguar, através de uma busca do Google, por exemplo, se o programa em causa é malicioso. Se o estamos a fazer a pedido de alguém que conheçamos, convém confirmar a autenticidade do pedido…

– A última medida – a mais difícil – passa por interiorizar que não há ofertas grátis. Toda a gente nos tenta oferecer qualquer coisa, e é difícil dizer que não. Para isso, temos que nos voltar a recordar do que nos ensinaram em crianças: que não devemos abrir a porta a estranhos. Neste caso, a nossa porta é o nosso dispositivo, abri-la é instalar coisas, e os estranhos são o mundo inteiro…

A Internet foi democratizada há 20 anos. Entretanto, os avanços tecnológicos têm sido tremendos. Enquanto a indústria não resolve as fragilidades deste ecossistema em constante e acelerada mudança, temos que, cada um e para benefício de todos, zelar por defender os nossos dispositivos da sua principal vulnerabilidade: nós mesmos.

Paulo M.

Sem comentários: