Black Friday: Assine a partir de 1,49/semana
Continua após publicidade

Se até o Moro foi hackeado, você também pode ser

A maioria dos softwares e aplicativos tem falhas de segurança gravíssimas, e elas nunca serão consertadas. Entenda por quê.

Por Bruno Garattoni Materia seguir SEGUIR Materia seguir SEGUINDO
Atualizado em 11 jul 2019, 16h12 - Publicado em 19 jun 2019, 19h08

Para disparar um míssil nuclear, o presidente dos EUA precisa cumprir duas etapas. Primeiro, pegar uma maleta blindada, a Presidential Emergency Satchel. Então, abrir e tirar um pequeno cartão de plástico, com 13×7,5 cm, que fica guardado ali dentro. E aí ler, em voz alta e na presença de um comandante do Exército, uma sequência de senhas impressas no cartão. Elas são a informação mais secreta do mundo. Mas, sozinhas, não autorizam a operação. Isso requer mais um elemento: os Gold Codes, códigos temporários que são gerados pela National Security Agency (a superagência de espionagem americana), impressos em outro cartão de plástico e entregues diariamente ao presidente dos EUA. Só com as duas coisas, as senhas e os códigos, é possível ordenar um ataque nuclear – e começar uma guerra como o mundo jamais viu.

E você, no seu celular e computador, usa exatamente o mesmo mecanismo. Sabe quando você vai acessar o site do seu banco, e além da senha ele pede um segundo código, o token? Ou, então, quando se cadastra em algum app, ou esquece a senha dele, e ele exige que você digite um código que chega por SMS? Esse procedimento se chama autenticação em dois fatores (2FA), e sua lógica é a seguinte: juntar uma coisa que você sabe (a senha) com uma coisa que você recebe (os códigos secundários). Isso dificulta muito a vida dos hackers. Mesmo se eles obtiverem a senha, não conseguirão invadir as suas contas – ou disparar um míssil nuclear –, pois não terão o segundo elemento. Simples, eficiente, genial.

A autenticação de dois fatores é uma ideia tão boa que, nos últimos anos, todos os principais sites e apps a adotaram. Em alguns casos, como no WhatsApp e no Telegram, nem existe senha: o código secundário funciona como único elemento de autenticação. Mas a indústria de tecnologia se esqueceu de uma verdade óbvia: a internet não é um ambiente controlado, como o militar. Ela é uma colcha de retalhos formada por dezenas de sistemas – e cheia de furos.

A autenticação de dois fatores é uma colcha de retalhos formada por dezenas de sistemas – e cheia de furos.

Vamos imaginar algumas situações. Cenário 1: o seu smartphone é roubado na rua. Os dados contidos no aparelho estão criptografados, e ele está protegido com a sua impressão digital e senha. Mas sabe o que o hacker faz? Tira o chip da operadora (SIM card), coloca em outro celular e voilá: assume a sua identidade. Com isso, consegue destravar e formatar o smartphone roubado, para revendê-lo. Mas pode ir muito além. Pode se passar por você no WhatsApp ou Telegram e ler todas as mensagens que você já recebeu ou enviou. E, pior, pode redefinir as suas senhas do Gmail, do Facebook, etc. – porque irá receber, por SMS, os códigos necessários para isso. Percebe? Você não perdeu só o smartphone. Perdeu o controle sobre a sua vida digital.

Continua após a publicidade

Esses ataques também podem ser feitos a distância, sem precisar roubar o celular. Seja bem-vindo ao Cenário 2, ainda mais perturbador. Se o hacker tiver acesso a algumas informações fáceis de conseguir (seu nome, CPF, endereço e data de nascimento), pode ligar para a operadora, se passar por você – e pedir que a empresa habilite a sua linha telefônica em outro chip, que está com ele. Esse método é comum nos EUA, onde houve muitos casos do tipo nos últimos meses.

Dá para evitar? Dá. A primeira medida é colocar uma senha no chip. No Android, entre em Configurações, Segurança, Bloqueio do cartão SIM e Exigir PIN. No iPhone, vá a Ajustes, Celular e PIN do SIM. Você vai precisar de um cartão de plástico com alguns códigos, que veio junto com o chip (se você o perdeu ou jogou fora, terá de ir até uma loja da sua operadora de celular).

O segundo passo é instalar o aplicativo Google Authenticator. Ele funciona como uma alternativa, muito mais segura, aos códigos enviados por SMS. Depois de instalar e ativar esse app no seu celular, você deverá entrar nos serviços e sites que utiliza e selecionar a opção correspondente. No Facebook, por exemplo, é só clicar em Configurações, Segurança e Autenticação de dois fatores. Para proteger a sua conta do Gmail, acesse accounts.google.com, entre em Segurança e Verificação em duas etapas. Escolha sempre a opção Google Authenticator – e não SMS.

Continua após a publicidade

Cansou? Falta mais um pouco. No WhatsApp, entre em Configurações, Conta, Confirmação em duas etapas, e defina uma senha (no Telegram, clique em Configurações, Privacidade e Verificação em duas etapas). Fazendo esses ajustes, você estará protegido contra a maioria das ameaças. Mas continuará exposto a um risco misterioso e incontrolável: os ataques de dia zero.

Os defeitos eternos

Você provavelmente nunca ouviu falar da NSO, uma empresa de 500 funcionários que fica na cidade de Herzliya, à beira do Mar Mediterrâneo. Ela trabalha em sigilo, e com motivo. Seu negócio é descobrir falhas de segurança em softwares, criar ferramentas para explorá-las, e vender para os chamados atores estatais: governos e agências de espionagem, que usam os produtos da NSO para atacar seus inimigos.

As falhas são mantidas em segredo. Dessa forma, ficam para sempre no “dia zero”: o momento em que o defeito não é conhecido, e portanto não pode ser consertado. As falhas zero-day são armas de destruição em massa, cobiçadíssimas pelos hackers. Em 2017 eles conseguiram uma ferramenta do tipo, que explorava uma brecha do Windows e fora criada pelo governo americano, e a usaram para invadir computadores em 150 países.

Continua após a publicidade

No dia 14 de maio de 2019, em circunstâncias pouco claras, o Facebook – dono do WhatsApp – ficou sabendo que a NSO criara um método para violar o aplicativo. Bastava que o hacker fizesse uma ligação de voz no Whats, usando a ferramenta israelense, para assumir controle total sobre o smartphone da vítima, que não percebia nada e nem precisava atender a chamada. Quando o caso veio à tona, o WhatsApp recebeu uma correção (se você ainda não atualizou o seu, faça isso).

É provável que os ataques ao aplicativo Telegram, ligados ao vazamento de mensagens da Lava Jato, tenham misturado falhas de autenticação com uma brecha zero-day. O hacker entrou no site do Telegram, solicitou um código de autenticação, invadiu o celular de um procurador para roubar esse código – e assumiu o controle da conta da vítima.

O Telegram ainda não foi consertado. E, mesmo se fosse, não adiantaria muito: ele, e outros apps que o mundo usa todos os dias, continuarão cheios de furos. As brechas zero-day sempre vão existir, pois são uma arma geopolítica poderosa. E você, mesmo se não for alvo de nenhum ator estatal, também viverá sob a mira delas – porque algumas sempre acabarão caindo nas mãos de hackers.

É um pouco desesperador, mas é a vida. E podia ser pior: pelo menos ninguém invadiu, até hoje, o sistema que dispara mísseis nucleares.

Publicidade

Matéria exclusiva para assinantes. Faça seu login

Este usuário não possui direito de acesso neste conteúdo. Para mudar de conta, faça seu login

Black Friday

A melhor notícia da Black Friday

BLACK
FRIDAY
Digital Completo
Digital Completo

Acesso ilimitado ao site, edições digitais e acervo de todos os títulos Abril nos apps*

Apenas 5,99/mês*

ou
BLACK
FRIDAY

MELHOR
OFERTA

Impressa + Digital
Impressa + Digital

Receba Super impressa e tenha acesso ilimitado ao site, edições digitais e acervo de todos os títulos Abril nos apps*

a partir de 10,99/mês

ou

*Acesso ilimitado ao site e edições digitais de todos os títulos Abril, ao acervo completo de Veja e Quatro Rodas e todas as edições dos últimos 7 anos de Claudia, Superinteressante, VC S/A, Você RH e Veja Saúde, incluindo edições especiais e históricas no app.
*Pagamento único anual de R$71,88, equivalente a 5,99/mês.

PARABÉNS! Você já pode ler essa matéria grátis.
Fechar

Não vá embora sem ler essa matéria!
Assista um anúncio e leia grátis
CLIQUE AQUI.