A notícia correu mundo e continua a dar que falar. Várias dezenas de personalidades viram as suas contas do iCloudserviço da Apple que integra mensagens, email e armazenamento de fotos e documentos — invadidas por um pirata informático, que publicou os dados em vários sítios na internet. Fotos íntimas de atrizes e modelos como Jennifer Lawrence, Kate Upton e Kim Kardashian. Algumas desvalorizaram a ocorrência, outras entregaram o caso à justiça. O FBI já anda à caça do pirata informático.

Luís Grangeia, especialista em segurança informática na empresa SysValue, é perentório ao afirmar que “genericamente, a ‘cloud’ é segura, a prática dos seus utilizadores é que não.” E explica porquê: “é importante que os utilizadores tenham a noção que quando mandam uma foto para alguém ela deixa de ser sua. E de nada serve termos todos os cuidados do nosso lado quando no outro, o de quem recebe, essas cautelas não existem. É importante confiar nas pessoas para quem mandamos conteúdos sensíveis”.

Mas não foi esse o caso, as fotos foram roubadas das contas das figuras públicas. Esta violação grosseira da privacidade não é nova, mas raramente atingiu tantas celebridades ao mesmo tempo. O “buraco” explorado neste ciberataque foi uma vulnerabilidade no sistema de acesso à password (palavra-passe ou senha) das contas iCloud da Apple. A empresa norte-americana reiterou esta terça-feira em comunicado a segurança global do sistema, mas a verdade é que os ataques dirigidos foram bem-sucedidos.

O Observador falou com Luís Grangeia para compreender se isto pode acontecer a qualquer pessoa, como é que funciona a “cloud” (a “nuvem”, ou seja, o armazenamento num servidor remoto) e quais os novos problemas de segurança associados a um serviço que cresce cada vez mais, muito à conta da utilização dos smartphones. O especialista esclarece que a segurança no computador pessoal e na “nuvem” são coisas diferentes. “A ‘cloud’ é particularmente sensível porque está sempre acessível, independentemente de estarmos ou não ligados à internet”. Identifica também que “a resiliência da ‘nuvem’ é uma das suas fragilidades”, uma vez que as grandes empresas conservam os dados dos utilizadores em diferentes servidores espalhados por vários pontos do globo. Ou seja, cada foto que importamos para o Google, Apple ou Dropbox é duplicada “éne” vezes por diferentes máquinas e é essa redundância que garante que os nossos dados se mantêm seguros e acessíveis. Mas esta comodidade para os utilizadores torna-se ao mesmo tempo um ponto fraco, porque quanto mais distribuída estiver a informação mais os perigos de um acesso indevido.

PUB • CONTINUE A LER A SEGUIR

Luís Grangeia explica que “a esmagadora maioria dos serviços acedem deliberadamente aos nossos dados”, e deu como exemplo a notícia recente da denúncia de pedofilia feita pela Google — a empresa monitoriza automaticamente o email dos utilizadores em busca de práticas criminosas. E são os modelos de negócio desta indústria que justificam o acesso dos fornecedores de serviços aos nossos dados. O especialista esclarece que “estas grandes empresas querem saber o mais possível sobre os seus utilizadores, para canalizar para eles publicidade específica, por isso oferecem os serviços sem pagar”. Todos os serviços de email e espaço gratuito na rede tem um preço: são os próprios utilizadores e toda a informação que fica registada pelas mensagens que trocam, pelos emails que subscrevem, e pelas páginas por onde navegam. Por exemplo, quando utiliza um browser (Internet Explorer, Chrome ou Firefox, p.ex), os sites leem a informação que fica registada no computador para saber que páginas foram consultadas. Luís Grangeia partilha a sua experiência pessoal: “uma vez fui ao site da Amazon procurar preços de um relógio para correr e durante as semanas seguintes, a maior parte da publicidade que me aparecia no Facebook era sobre esse tipo de relógios. Não foi coincidência”.

Esta invasão da privacidade é generalizada e não é segredo, está escrita nas letras pequenas dos termos e condições dos serviços. E são raros os que dizem ser “zero knowledge” (zero conhecimento), ou seja, que assumem não ter acesso aos dados dos utilizadores — aplicações tais como o SpiderOak e o Whisper. Mas será que vamos confiar em serviços que garantem a nossa privacidade… sem pagar? “Antes o anonimato era o comum. Hoje, quase tudo o que fazemos na internet está associado a um grande serviço [Google ou Facebook]”, por isso o especialista afirma que “o anonimato pode vir a ser um novo modelo de negócio, mas é preciso esclarecer primeiro como funciona”.

Na “nuvem” a privacidade é pouca e os ataques mais comuns são geralmente dirigidos a alvos específicos e designam-se tecnicamente por “roubo de identidade”. Acontecem quando um atacante se apropria das senhas de acesso a serviços online. As empresas gastam milhões em medidas de segurança para minimizar isto, mas mesmo assim ocorrem falhas e a Apple já teve alguns problemas no passado, “não está propriamente na vanguarda [comparando com os grandes], a Google é mais avançada, e até o Facebook, mais que a Apple”, afirma Luís Grangeia.

O que aconteceu às celebridades não foi propriamente nada de “complicado”, o atacante limitou-se a descobrir a password de acesso a um serviço específico (no caso, a senha de acesso à conta dos utilizadores), mas há esquemas muito complexos, que passam por contornar os sistemas de recuperação de password. Funciona da seguinte forma: quando subscreve um serviço é-lhe pedido que indique um endereço de email para onde será enviada a mensagem que permite a recuperação de palavra-passe, mas acontece que quando diferentes serviços são cruzados criam-se “pontos” de vulnerabilidade entre eles. Um caso conhecido foi o do jornalista Mat Honan, um especialista em tecnologia da revista Wired. Em síntese, um pirata informático conseguiu recuperar uma das senhas de acesso do jornalista com uma simples chamada telefónica. Depois, limitou-se a ir “passando” de uns serviços para os outros. Vale a pena ler a história.

As perguntas de segurança usadas para validar a recuperação de password (tais como “qual é o seu clube favorito”, ou “qual é o nome do seu animal de estimação”) são outro ponto fraco. Em 2008 o email da política norte-americana Sarah Palin foi controlado por um atacante simplesmente porque uma das perguntas de segurança era “o local onde nasceu”. O pirata só precisou de ir à Wikipédia. Ou seja, quanto mais conhecido, maior a possibilidade de se ser perseguido, porque mais informação sobre essa pessoa está naturalmente disponível na internet. Ainda assim, somos todos vulneráveis da mesma maneira? “Genericamente não, no sentido em que as fotos da Jeniffer Lawrence são mais ‘interessantes’ que as nossas”, explica Luís Granjeia, porque da mesma forma que há pessoas que são peritas em roubar fotos de celebridades — que depois são vendidas na “deep web” (a internet fora do alcance dos motores de busca), muitas nem chegam ao conhecimento público — “há outros agentes especializados em garantir a sua segurança e por um preço elevado”. Mas o roubo de identidade do cidadão comum tem outro objetivo: arranjar dinheiro — tentando descobrir, por exemplo, acessos às contas bancárias na caixa de email ou no bloco de notas online.

Para que os utilizadores tentem compreender os sistemas de recuperação da palavra-passe, Luís Grangeia recomenda que “se perca a senha de propósito”, para “avaliar as voltas que é preciso dar para a recuperar. Por vezes a password até pode ser forte, mas o mecanismo de recuperação não”. Por isso, avisa também: “o serviço principal deve ser o mais protegido. Por exemplo, se a conta de recuperação do Facebook ou do Twitter for o Gmail, então este deve ter a password mais forte (com dupla verificação) e mecanismos eficientes de recuperação” — entenda-se, não direcionar as diferentes contas de umas para as outras mas apenas para uma delas.

O especialista em segurança informática deixa ainda três sugestões práticas:

– para navegar com “alguma” privacidade, abrir um navegador diferente do habitual e/ou em modo privado — ou seja, sem contas associadas e palavras-passe guardadas

– usar computadores de confiança; “em certas situações, o acesso via telemóvel é mais seguro que num PC”

– nunca usar a mesma password para diferentes contas

A vulnerabilidade da Apple (já corrigida no início da semana) consistia na entrada na conta através de um acesso remoto que permitia a tentativa de introdução contínua da palavra-passe, ou seja, a conta não bloqueava ao fim de um determinado número de vezes. Este sistema de bloqueio automático evita que algoritmos informáticos tentem combinações infinitas de senhas de acesso. Os programas de computador usados nestas fraudes conseguem testar milhares de senhas por minuto. Uma vez que a maioria das pessoas usa palavras ou combinações simples de palavras, mais tarde ou mais cedo os computadores acertam na password. Por isso não se devem usar, por exemplo, palavras que constem do dicionário: os programas informáticos maliciosos testam todas as palavras de todos os dicionários, mesmo que combinadas numa frase — embora quanto mais complexa for a frase, mais difícil será de determinar. Luís Grangeia recomenda o uso de mAiscuLas, numer00s e caratere$ especiais, frasesl0ngasEsemSentido, que não apareçam em mais lado nenhum (evitar p.ex, nomes de filmes ou frases de livros) e que não sejam relacionadas com o utilizador (o nome do filho ou da cidade onde vive); e aderir aos sistemas de dupla verificação. E remata: “nunca colocar na ‘nuvem’ conteúdos que não queriam ver expostos”. O que entra na “cloud” nunca mais de lá sai.