Se até o Moro foi hackeado, você também pode ser
A maioria dos softwares e aplicativos tem falhas de segurança gravíssimas, e elas nunca serão consertadas. Entenda por quê.
Para disparar um míssil nuclear, o presidente dos EUA precisa cumprir duas etapas. Primeiro, pegar uma maleta blindada, a Presidential Emergency Satchel. Então, abrir e tirar um pequeno cartão de plástico, com 13×7,5 cm, que fica guardado ali dentro. E aí ler, em voz alta e na presença de um comandante do Exército, uma sequência de senhas impressas no cartão. Elas são a informação mais secreta do mundo. Mas, sozinhas, não autorizam a operação. Isso requer mais um elemento: os Gold Codes, códigos temporários que são gerados pela National Security Agency (a superagência de espionagem americana), impressos em outro cartão de plástico e entregues diariamente ao presidente dos EUA. Só com as duas coisas, as senhas e os códigos, é possível ordenar um ataque nuclear – e começar uma guerra como o mundo jamais viu.
E você, no seu celular e computador, usa exatamente o mesmo mecanismo. Sabe quando você vai acessar o site do seu banco, e além da senha ele pede um segundo código, o token? Ou, então, quando se cadastra em algum app, ou esquece a senha dele, e ele exige que você digite um código que chega por SMS? Esse procedimento se chama autenticação em dois fatores (2FA), e sua lógica é a seguinte: juntar uma coisa que você sabe (a senha) com uma coisa que você recebe (os códigos secundários). Isso dificulta muito a vida dos hackers. Mesmo se eles obtiverem a senha, não conseguirão invadir as suas contas – ou disparar um míssil nuclear –, pois não terão o segundo elemento. Simples, eficiente, genial.
A autenticação de dois fatores é uma ideia tão boa que, nos últimos anos, todos os principais sites e apps a adotaram. Em alguns casos, como no WhatsApp e no Telegram, nem existe senha: o código secundário funciona como único elemento de autenticação. Mas a indústria de tecnologia se esqueceu de uma verdade óbvia: a internet não é um ambiente controlado, como o militar. Ela é uma colcha de retalhos formada por dezenas de sistemas – e cheia de furos.
A autenticação de dois fatores é uma colcha de retalhos formada por dezenas de sistemas – e cheia de furos.
Vamos imaginar algumas situações. Cenário 1: o seu smartphone é roubado na rua. Os dados contidos no aparelho estão criptografados, e ele está protegido com a sua impressão digital e senha. Mas sabe o que o hacker faz? Tira o chip da operadora (SIM card), coloca em outro celular e voilá: assume a sua identidade. Com isso, consegue destravar e formatar o smartphone roubado, para revendê-lo. Mas pode ir muito além. Pode se passar por você no WhatsApp ou Telegram e ler todas as mensagens que você já recebeu ou enviou. E, pior, pode redefinir as suas senhas do Gmail, do Facebook, etc. – porque irá receber, por SMS, os códigos necessários para isso. Percebe? Você não perdeu só o smartphone. Perdeu o controle sobre a sua vida digital.
Esses ataques também podem ser feitos a distância, sem precisar roubar o celular. Seja bem-vindo ao Cenário 2, ainda mais perturbador. Se o hacker tiver acesso a algumas informações fáceis de conseguir (seu nome, CPF, endereço e data de nascimento), pode ligar para a operadora, se passar por você – e pedir que a empresa habilite a sua linha telefônica em outro chip, que está com ele. Esse método é comum nos EUA, onde houve muitos casos do tipo nos últimos meses.
Dá para evitar? Dá. A primeira medida é colocar uma senha no chip. No Android, entre em Configurações, Segurança, Bloqueio do cartão SIM e Exigir PIN. No iPhone, vá a Ajustes, Celular e PIN do SIM. Você vai precisar de um cartão de plástico com alguns códigos, que veio junto com o chip (se você o perdeu ou jogou fora, terá de ir até uma loja da sua operadora de celular).
O segundo passo é instalar o aplicativo Google Authenticator. Ele funciona como uma alternativa, muito mais segura, aos códigos enviados por SMS. Depois de instalar e ativar esse app no seu celular, você deverá entrar nos serviços e sites que utiliza e selecionar a opção correspondente. No Facebook, por exemplo, é só clicar em Configurações, Segurança e Autenticação de dois fatores. Para proteger a sua conta do Gmail, acesse accounts.google.com, entre em Segurança e Verificação em duas etapas. Escolha sempre a opção Google Authenticator – e não SMS.
Cansou? Falta mais um pouco. No WhatsApp, entre em Configurações, Conta, Confirmação em duas etapas, e defina uma senha (no Telegram, clique em Configurações, Privacidade e Verificação em duas etapas). Fazendo esses ajustes, você estará protegido contra a maioria das ameaças. Mas continuará exposto a um risco misterioso e incontrolável: os ataques de dia zero.
Os defeitos eternos
Você provavelmente nunca ouviu falar da NSO, uma empresa de 500 funcionários que fica na cidade de Herzliya, à beira do Mar Mediterrâneo. Ela trabalha em sigilo, e com motivo. Seu negócio é descobrir falhas de segurança em softwares, criar ferramentas para explorá-las, e vender para os chamados atores estatais: governos e agências de espionagem, que usam os produtos da NSO para atacar seus inimigos.
As falhas são mantidas em segredo. Dessa forma, ficam para sempre no “dia zero”: o momento em que o defeito não é conhecido, e portanto não pode ser consertado. As falhas zero-day são armas de destruição em massa, cobiçadíssimas pelos hackers. Em 2017 eles conseguiram uma ferramenta do tipo, que explorava uma brecha do Windows e fora criada pelo governo americano, e a usaram para invadir computadores em 150 países.
No dia 14 de maio de 2019, em circunstâncias pouco claras, o Facebook – dono do WhatsApp – ficou sabendo que a NSO criara um método para violar o aplicativo. Bastava que o hacker fizesse uma ligação de voz no Whats, usando a ferramenta israelense, para assumir controle total sobre o smartphone da vítima, que não percebia nada e nem precisava atender a chamada. Quando o caso veio à tona, o WhatsApp recebeu uma correção (se você ainda não atualizou o seu, faça isso).
É provável que os ataques ao aplicativo Telegram, ligados ao vazamento de mensagens da Lava Jato, tenham misturado falhas de autenticação com uma brecha zero-day. O hacker entrou no site do Telegram, solicitou um código de autenticação, invadiu o celular de um procurador para roubar esse código – e assumiu o controle da conta da vítima.
O Telegram ainda não foi consertado. E, mesmo se fosse, não adiantaria muito: ele, e outros apps que o mundo usa todos os dias, continuarão cheios de furos. As brechas zero-day sempre vão existir, pois são uma arma geopolítica poderosa. E você, mesmo se não for alvo de nenhum ator estatal, também viverá sob a mira delas – porque algumas sempre acabarão caindo nas mãos de hackers.
É um pouco desesperador, mas é a vida. E podia ser pior: pelo menos ninguém invadiu, até hoje, o sistema que dispara mísseis nucleares.