Serviços confundem usuários quando equiparam ausência de recursos a funções de privacidade.
Muita gente ficou surpresa quando conversas de áudio do Clubhouse foram gravadas e replicadas na internet, em um caso que chegou a ser considerado um “vazamento”.
Isso foi possível sem nenhuma violação do aplicativo, graças à existência de uma lacuna entre o que foi prometido e a segurança real que existe no serviço.
A mesma coisa acontece em qualquer serviço – seja uma rede social, como o Facebook, serviços de mensagens como Telegram e WhatsApp, ou até o sistema que faz seu computador funcionar.
Não é incomum algumas conveniências sejam confundidas com segurança (é o caso da senha de login no computador sem criptografia).
Em outros casos, a mera ausência de funções também é confundida com a segurança – isso aconteceu no Clubhouse, onde usuários acharam não ser possível gravar as conversas só pela ausência de um botão com essa finalidade.
Só que o Clubhouse não tinha mecanismos específicos para “bloquear” gravações.
Ele não fornecia essa opção dentro do próprio app, claro, mas existe uma diferença entre “não permitir” e “bloquear” – assim como há uma diferença entre uma linha de giz e um muro de concreto.
O que é Clubhouse? Saiba mais sobre a rede social
Para evitar que você tenha alguma falsa expectativa sobre a segurança dos serviços que utiliza, o blog elencou algumas “regras máximas” (ou quase isso) da segurança digital.
Essas regras não devem levar você a abandonar os aplicativos ou serviços. Inclusive, a maioria dos serviços hoje oferece uma segurança adequada.
Mas essas regras ajudam a ligar os pontos entre as promessas dos apps e a realidade.
Quem recebe pode copiar quantas vezes quiser
Muitos apps promovem a capacidade de apagar dados nos dispositivos de quem já recebeu um conteúdo.
Essa promessa está implícita nas mensagens ditas “temporárias” ou “autodestrutivas”. Também está no WhatsApp, que oferece um recurso chamado “apagar para todos”. Mas não é bem assim.
Todos esses recursos são apenas uma “tentativa”, ou “melhor esforço”. Eles funcionam quando ninguém tem o interesse em gravar a conversa de antemão, mas não há nada para sustentar esse tipo de função contra alguém realmente interessado em subvertê-la.
O mundo digital, dos “bits”, funciona apenas com zeros e uns. Essa exatidão dos números nos permite copiar informações com precisão absoluta, sem as perdas ou imperfeições inerentes do mundo analógico.
Qualquer conteúdo, uma vez recebido, pode ser copiado infinitas vezes. Não adianta apagar ou colocar um prazo em uma cópia específica da mensagem quando o destinatário pode simplesmente copiá-la outras vezes.
O último recurso de quem tem interesse em copiar uma mensagem ou conteúdo é o “buraco analógico”.
Está vendo algo em seu celular que por algum motivo o app não quer deixar que você copie? Basta filmar a tela do seu celular com outro aparelho celular.
É um áudio? Encoste um microfone no alto-falante e grave.
Como se trata de uma cópia analógica, a qualidade não terá mais a perfeição do digital. Mas é suficiente para guardar uma mensagem ou imagem. Se esse tipo de possibilidade for um problema, só existe um remédio: não envie a mensagem.
A tecnologia não é capaz de fazer com que uma pessoa desleal se torne confiável. Se desentendimentos ocorrerem, o caso terá de ser resolvido na Justiça.
Todos dividem a guarda de dados compartilhados
Os numerosos ajustes de privacidade dos aplicativos e redes sociais podem dar a impressão de que é possível evitar qualquer perigo ao compartilhar dados. Afinal, você pode controlar quem vê sua informação.
É verdade, mas só até certo ponto.
Quando você compartilha dados com amigos, todos os seus amigos se tornam responsáveis pela guarda daquela informação.
Se qualquer um deles tiver uma conta invadida por um hacker, é possível que seus dados sejam coletados e espalhados por aí.
Isso acontece quando um invasor obtém a conta de alguém que está em grupos de WhatsApp, por exemplo.
Imediatamente, esse invasor terá números, nomes e as novas mensagens enviadas ao grupo.
Da mesma forma, links e arquivos compartilhados em canais fechados podem ser compartilhados novamente – como já vimos, todos que recebem um conteúdo podem copiá-lo.
Uma pequena publicação em um grupo fechado, depois de sucessivos compartilhamentos, pode aparecer até em mecanismos de pesquisa.
Tenha sempre consciência de que dados compartilhados podem ser facilmente retransmitidos e que cada nova pessoa que recebe a informação é mais um ponto de risco para vazamentos.
Foi essa regra, em conjunto com a primeira, que permitiu a retransmissão de dados no Clubhouse: um participante entrou nas conversas com o intuito de retransmiti-las.
Como a privacidade da conversa depende de todos os participantes, o áudio deixou de ser restrito ao grupo.
Senha sem criptografia é ‘faz de conta’
Sabe aquela senha do Windows que você digita toda vez que liga seu computador? Por padrão, ela não é um recurso de segurança completo, mas sim de conveniência.
Toda a informação que está armazenada no seu computador pode ser facilmente retirada dele a qualquer momento.
Se alguém puder conectar um dispositivo USB preparado para isso e reiniciar seu computador, a senha de acesso pode ser burlada.
Na verdade, basta preparar um dispositivo USB com Linux e ligar o computador. O Linux poderá abrir todos os arquivos armazenados no sistema, pois a senha é solicitada apenas pelo Windows.
As redes sociais, e-mails e outros serviços que você deixa logado em seu computador também correm risco de acesso indevido por qualquer pessoa com acesso físico ao seu computador ou notebook – mesmo que não tenha a senha.
A senha atua, no máximo, como um recurso de conveniência para inibir ataques de ocasião decorrentes de descuidos. Mas ela jamais será capaz de deter um invasor.
Se você quer transformar a senha de acesso em um mecanismo de segurança real, é necessário usar a criptografia de dados. Através da criptografia, todos os seus arquivos são embaralhados com uma chave.
Quando você digita sua senha, o sistema é capaz de desbloquear essa chave e utilizá-la para abrir seus arquivos. Se a senha não for digitada, a chave fica inacessível e não há como decifrar os dados.
Computadores MacBook da Apple são criptografados de fábrica, assim como celulares.
No Windows, o recurso só é universal na versão Pro do sistema, que utiliza o BitLocker. Com a versão Home, a criptografia só é possível em alguns dispositivos e, normalmente, os fabricantes não informam essa possibilidade nas especificações.
Se você se importa com a segurança local do seu sistema e dispositivos, é aconselhado o uso da versão Pro do Windows ou outra solução de criptografia de disco.
É bom saber: O uso da criptografia pode causar um pequeno impacto no desempenho do computador, mas é imperceptível em máquinas modernas.
A criptografia também dificulta qualquer tentativa de recuperação de dados por falha de sistema. A realização de cópias de segurança para evitar perda de dados é ainda mais essencial quando o sistema está criptografado.
É possível criptografar unidades de armazenamento portáteis, como pen drives e HDs externos.
Chamado de “BitLocker To Go” no Windows, essa função exige o fornecimento de uma senha para abrir os dados armazenados. A unidade criptografada será incompatível com outros sistemas operacionais.
Criptografia no cartão do celular: os celulares vêm criptografados de fábrica, mas o cartão de memória que você utiliza no seu aparelho pode ser usado sem criptografia.
Se você não criptografar o cartão de memória, fotos e outros dados salvos no cartão poderão ser extraídos por alguém que consiga retirar o cartão do seu aparelho.
Se você quer proteger os dados no cartão, lembre-se de criptografar o armazenamento externo. E, mais uma vez, lembre-se que você não poderá usar o cartão em outros dispositivos após criptografá-lo.
A segurança atua no tempo
É verdade que a criptografia impede o acesso a dados, mas essa limitação é dada em termos de “tempo”.
Ou seja, ela não impede o acesso aos dados para sempre. Ela só impede o acesso dentro de um intervalo de tempo – pois um invasor pode decifrar a criptografia testando combinações à exaustão (o que exigiria muito tempo).
Felizmente, até a criptografia amplamente disponível para uso em sistemas domésticos é capaz de resistir por décadas ou séculos, por mais potente que seja o computador usado para quebrá-la.
Como tempo é dinheiro, quanto mais um ataque puder ser desacelerado, mais caro ele se torna – até ser inviável.
Essa questão do “tempo” atinge muitos outros recursos de segurança. Qualquer senha pode ser quebrada se um invasor realizar uma longa sequência de “tentativa e erro” contra a senha. Com paciência, a combinação pode ser descoberta.
É por isso que é tão importante criar senhas longas. Quanto mais longa sua senha for, mais tentativas serão necessárias para descobri-la.
Para diminuir a efetividade de táticas de tentativa e erro, adotam-se limites. Essa medida de segurança é a responsável por avisos de “excessos de tentativas” e “bloqueios temporários”.
O objetivo é estender o tempo do ataque para que o invasor desista ou até que o usuário acabe trocando a senha antes de ela ser descoberta.
Mas existem cenários onde o “tempo” é um fator muito mais relevante do que parece. Nas redes sociais, uma informação pública pode muito bem chegar quase que imediatamente aos bancos de dados de criminosos.
Tudo que você já compartilhou publicamente em uma rede social pode ser coletado por hackers.
A lista de publicações que você curtiu e todos os comentários que você fez podem ser reunidos. Se você pensar bem, isso é óbvio: todos os dados são públicos.
Essa prática permite vínculos de dados que não estão disponíveis nos sites das redes sociais.
Por exemplo: quem são as pessoas de uma cidade específica que curtem uma página específica? Quais comentários você já fez, em todas as páginas e redes sociais, com nomes de pessoas específicas? Com os dados completos em mãos, basta fazer uma pesquisa para responder a essas perguntas.
Coletar e armazenas os dados (a “raspagem de dados”) é proibido pelas redes sociais. Mas a proibição é efetivada, claro, pelo tempo.
A coleta começa a ser limitado quando muitas solicitações consecutivas são detectadas, impedindo a cópia de dados em série.
Com paciência, um raspador de dados será capaz de obter muitas informações dessa forma: todas as fotos públicas do WhatsApp, todas as imagens de capa e perfil do Facebook e do Instagram, tags, comentários públicos e assim por diante.
Foi assim que uma empresa chamada Clearview obteve fotos para construir uma base de dados capaz de encontrar os perfis de qualquer pessoa a partir de uma foto tirada com o celular. Eram 3 bilhões de registros – tudo com dados públicos.
Quando você for configurar seu perfil em rede social, escolher uma senha ou decidir se deve ou não usar a verificação em duas etapas, lembre-se da regra do tempo: quanto menos você compartilhar uma informação, mais tempo ela permanecerá privada; quanto maior a senha for, mais longeva ela será.
Fonte: G1