Entre 7 e 11 de fevereiro realizou-se, em Tenerife, a oitava edição da Security Analyst Summit (SAS), a cimeira de cibersegurança organizada anualmente pela companhia de segurança informática Kaspersky. Como já aqui desenvolvemos, trata-se de um encontro onde se reúnem especialistas que têm em comum interesses relacionados com o desenvolvimento de soluções de segurança em vários domínios, que vão desde o setor doméstico ao industrial, passando pela segurança pessoal e pelos ataques de grupos organizados ao setor financeiro.

Foi nesta cimeira que o Observador falou com David Emm, investigador sénior da Kaspersky. Responsável de segurança na empresa russa desde 2004, trabalha no sector desde 1990, tendo passado pela McAfee e pela Dr. Solomon’s Sofware. Além da componente técnica, o especialista britânico é consultor e conferencista, escreve regularmente para o The Huffington Post e tem-se dedicado, mais recentemente, à análise e investigação de segurança na área da Internet das Coisas (IoT – Internet of Things).

Simpático e conversador, David Emm vestiu a pele de pedagogo e falou da história do cibercrime (de como os ataques informáticos passaram de brincadeira a negócio), explicou porque é que está preocupado com a explosão da Internet das Coisas e deixou um alerta importante: todos os utilizadores da Internet têm um papel importante na defesa comum.

Começou o seu trabalho no princípio dos anos 1990 mas o mundo mudou muito desde então. Como olha para essa mudança?

É interessante que a tecnologia e o malware [software malicioso], e o que fazemos com a tecnologia, condicionem-se mutuamente. Nos anos 1990 nem todos tínhamos computadores. As empresas tinham, mas não dependiam deles. Se os telefones não funcionassem, aí é que havia problema, mas se o computador não funcionasse durante uma parte do dia não era um grande problema. Mas, hoje em dia, todos dependemos dos computadores para todos os aspetos da nossa vida.

PUB • CONTINUE A LER A SEGUIR

Estamos a chegar a um ponto em que o computador é necessário nas empresas, na vida pessoal e mesmo os objetos que temos em casa serão, em breve, todos digitais. Até mesmo os brinquedos das crianças. Neste momento estamos dependentes da Internet. E nas entrelinhas desta nossa crescente dependência da Internet é possível descortinar uma espécie de caminho trilhado para os criadores de malware.

Nos primeiros anos, quando não havia muitas pessoas a utilizar malware, este consistia, essencialmente, em vandalismo. Eram pessoas a tentar destruir dados, a tentar exibir uma mensagem assustadora no ecrã, como, por exemplo, “Olá, o meu nome é Bob e fui eu que escrevi isto. Sou inteligente”, a tentar corromperem dados ou a eliminar informações de discos rígidos. O que não estava a ser feito era ganhar dinheiro, pelo menos diretamente. As empresas estavam a aumentar a sua produtividade mas, na verdade, não estavam a realizar transações financeiras. Os departamentos de contabilidade não utilizavam computadores para realizar o seu trabalho financeiro.

Há cerca de 12 ou 13 anos atingimos um ponto de viragem onde o comércio, em grande parte, começou a ser realizado online e os criadores de malware começaram a pensar que esta seria uma área que podia ser rentável. Se aquelas transações pudessem ser intercetadas, havia dinheiro a ganhar com isso. Ou, tendo em conta que os utilizadores estavam a começar a tratar dos seus assuntos bancários na Internet e a presença física no banco tornou-se dispensável, passou a ser possível colocar malware nos computadores desses utilizadores para capturar palavras-passe e para roubar dinheiro das contas bancárias.

Simultaneamente, e tendo em conta que os criadores de malware observam o que fazemos, presenciámos grandes mudanças a nível da tecnologia que visaram melhorar o nosso estilo de vida e tornar as empresas mais eficientes. A tecnologia melhorou e o objetivo dessa tecnologia é beneficiar-nos mas, tal como acontece em todos os tipos de crimes, há sempre pessoas que estão a tentar subverter o que estamos a fazer. Se o dinheiro estiver depositado num edifício que chamamos de banco, o benefício consiste no facto de que todos podemos nos dirigir a esse sítio e levantar dinheiro ou fazer um depósito mas um ladrão de bancos pode atacar esse edifício e ficar com o dinheiro. Se estivermos a realizar transações online alguém pode intercetá-las. Se os sistemas dos bancos, que são a base para a movimentação de dinheiro, forem suscetíveis de ataques, serão atacados. Portanto, além das vantagens que a tecnologia traz também há uma oportunidade para as pessoas se aproveitarem dela para outros fins.

Os bancos estão preparados para isso?

Acho que sim porque tiveram 10 ou mais anos de serviços bancários online em computadores e tiveram a oportunidade de aprender. E quando desenvolveram as apps [aplicações] de serviços bancários para smartphones, tinham toda a experiência e puderam falar com os especialistas na indústria de segurança com quem se aconselharam, para tornar os sistemas mais resilientes. No entanto, acho que é necessário reconhecer que não existe garantia de segurança.

Se formos a qualquer cidade na Europa ou em qualquer outra parte do mundo, existe sempre o perigo de se ser assaltado ou de se ser atropelado mas isso não nos impede de lá ir porque estamos dotados de uma espécie de senso comum do mundo real. Ensinamos os nossos filhos a atravessarem a estrada de modo seguro, a não entrarem em becos escuros, a andarem em grupo quando saem da escola até que os pais cheguem. Tentamos arranjar soluções para as ameaças reais para reduzir a nossa exposição ao perigo. E aplicar essa estratégia no mundo online é menos comum, na minha opinião. Existem comunicados de serviço público sobre segurança rodoviária, sobre o uso dos cintos de segurança no carro e sobre o perigo de conduzir alcoolizado mas o senso comum online é algo muito recente.

As pessoas não estão a ser devidamente informadas sobre a segurança online?

Claramente, as pessoas não estão suficientemente informadas. E é algo que está a começar a mudar. No Reino Unido estão a começar a aparecer anúncios televisivos direcionados para a população, vídeos no YouTube publicados pelo governo, para tentar consciencializar as pessoas destas ameaças. Do meu ponto de vista isso é importante porque se analisarmos os ataques mais sofisticados, que visam uma empresa ou uma indústria específica, como a indústria energética ou das telecomunicações, ou mesmo ataques entre governos, estes podem ser muito sofisticados mas tudo começa, muitas vezes, por alguém a clicar numa ligação ou num anexo que enviados por email. O ponto inicial de um ataque consiste, muitas vezes, em atacar seres humanos. Seja esse ataque levado a cabo por um governo ou tenha ele como objetivo obter as nossas informações de acesso a contas bancárias. Portanto, é muito importante corrigir as pessoas e isso não é uma tarefa fácil.

O que quer dizer com “corrigir as pessoas”?

As empresas já estão habituadas a aplicarem as novas atualizações de software porque os cibercriminosos utilizam os erros e falhas do software como porta de entrada para introduzir aplicações no nosso computador. Todos nós utilizamos o Adobe Reader para visualizar ficheiros PDF mas o que não nos apercebemos é que existe um ponto fraco no código do programa, não detetado pelos programadores, que permite esconder aplicações que, após abrirmos o documento, são abertas no nosso computador. A Microsoft e empresas de software como a Adobe ou a Java publicam, periodicamente, atualizações para corrigir estas falhas.

É um bocado como estar em casa e não nos apercebermos que deixámos a janela aberta antes de irmos de férias e há o perigo de alguém poder entrar pela janela. E é isso que está a acontecer com o nosso software. Cada vez que a empresa que desenvolveu o software lança uma correção (patch) devemos aplicá-la imediatamente. E nas empresas todos estão a começar a habituar-se a isso. Nós, enquanto consumidores, podemos não estar conscientes disso mas o software é corrigido. Quando falo em corrigir pessoas quer dizer que nós, enquanto sociedade, temos de começar a desenvolver um senso comum online. Não estou a falar de ensinar às pessoas qual é que vai ser a aparência de um email de phishing porque têm sempre um aspeto diferente. Mas no mundo real todas as estradas são diferentes e, ainda assim, conseguimos ensinar aos nossos filhos como é que eles devem atravessar uma estrada de modo seguro porque lhes incutimos um conjunto de regras de segurança rodoviária.

O que precisamos é de um conjunto de regras de segurança online que nos faça pensar “Nunca vi isto na vida mas talvez não seja boa ideia clicar nesta ligação ou abrir este anexo”, ou “Isto parece que foi enviado pelo Bob mas talvez não tenha sido enviado por ele, se calhar foi enviado por um cibercriminoso”, assim como ter o hábito de verificar as transações das nossas contas bancárias e reportar as que forem suspeitas. Creio que nos estamos a habituar à ideia de que o cibermundo é parte do nosso dia a dia e de que precisamos de um equivalente à mentalidade de segurança rodoviária para o mundo online.

Mas nesta conferência [SAS 2016] assistimos a uma apresentação brilhante de um rapaz, o Rúben, de 10 anos. Estamos a educar bem as crianças para a tecnologia?

Acho que há sinais de que o estamos a começar a fazer.

Claro que este rapaz é uma exceção.

Sim, claro. Bem, no caso do Rúben ele não é só conhecedor da tecnologia mas também dos aspetos de segurança. Ele compreende as questões de segurança e essa combinação é incomum. Existem muitas crianças que conseguem interagir com a tecnologia, usá-la para o que precisam, seja a jogar ou a escrever pequenos programas mas o que elas não percebem é a componente ética da tecnologia.

Por exemplo, podem estar num ambiente pedagógico, na escola, e todos podem enviar mensagens a todos ou achar divertido mudar os perfis das outras pessoas porque descobriram a sua palavra-passe. Mas será que é a coisa certa a fazer? Nós ensinamos às crianças que não é correto roubar aqueles doces mas também precisamos de lhes ensinar o que está certo e errado em termos de tecnologia.

Mesmo olhando para algo como o Twitter, que é mais usado por adultos, devíamos verificar o que vamos dizer porque dizemos coisas através de sistemas de mensagem que não diríamos presencialmente. E se pararmos por um momento e pensarmos se o que estamos prestes a dizer é ou não ofensivo, se calhar não o devíamos escrever.

Hoje [9 de fevereiro] é o Dia da Internet segura e todas as organizações na Europa, nos E.U.A. e no resto do mundo estão a passar uma mensagem sobre segurança, mas isto inclui a componente ética e penso que essa é a razão pela qual se deva dizer, nas escolas, que precisamos de designers de software, de engenheiros de software e de pessoas que compreendam essa tecnologia, mas também é necessário que todos, crianças incluídas, compreendam o lado ético da tecnologia.

Creio que a componente ética é muito importante. Sou da opinião de que não só os governos são responsável, como também as empresas porque são os locais que empregam os comerciantes ou os representantes de vendas, as pessoas que não são técnicas. E para eles, a tecnologia de computadores é um meio para atingir um fim.

Não pensam muito sobre o que é um computador. Está tudo bem desde que funcionem, é apenas uma ferramenta.

Exato. Além disso, não são especialistas de segurança nem de TI [Tecnologias de Informação]. No entanto, se a empresa for atacada porque alguém fez algo que comprometeu a segurança, será necessário encontrar uma forma dessa empresa incorporar os aspetos humanos da segurança na sua defesa. Debatemo-nos muito sobre que firewall escolher, temos monitorização e filtragem de emails, limitamos o tempo que os empregados passam na Internet para que não desperdicem tempo no trabalho. No entanto, não formamos os trabalhadores de modo a que tenham uma noção de como um cibercriminoso atua.

E na sua opinião de quem é a responsabilidade? Do empregado ou da empresa?

Acho que é um bocado como conduzir. Todos têm uma responsabilidade. Eu quero que os governos construam estradas seguras, que os fabricantes de automóveis desenvolvam bons sistemas de travagem e airbags. No entanto, quando eu estou ao volante sou responsável por uma condução segura e sim, eu acho que os empregados têm o dever de saberem trabalhar com ferramentas como o Word, Excel ou SalesForce mas também têm de compreender as questões de segurança.

Do mesmo modo, as empresas têm um papel a desempenhar e creio que, por vezes, há o perigo de as empresas criarem um documento de políticas que visa os empregados mas que se baseia no que se pode fazer e não fazer. Esse documento é apresentado aos empregados quando começam a trabalhar na empresa e eles assinam-no, mas o que eles querem saber é onde fica a casa de banho, ou onde podem comprar uma sandes na hora de almoço ou como é que se vão lembrar do nome de todos os colegas. Não é uma boa altura para formar pessoas nesse aspeto.

Além disso, algumas pessoas aprendem através da leitura, outras através de imagens, outras a ouvir e eu acho que, tendencialmente, formamos apenas os técnicos. Por exemplo, temos os profissionais do departamento de marketing e de vendas que convencem as pessoas de que estão a vender um bom produto. É necessário usar essas mesmas técnicas para os nossos empregados e sermos mais criativos. Talvez criar cartoons, campanhas com posters ou competições que envolvam todos e que façam as pessoas refletir sobre a segurança. Creio que há outro aspeto importante, e creio que isto é verdade para os consumidores mas também para as empresas: existe uma linha muito ténue entre o que é legítimo e o que não é.

Vou dar-lhe um exemplo: muitas empresas dizem aos seus empregados para não clicar em ligações ou em anexos mas, ao mesmo tempo, enviam-lhes emails com ligações para eles clicarem. Como é possível esperar que aprendam a lição? É a mesma coisa que dizer às pessoas para não se aproximarem do fogo porque se podem queimar e no dia a seguir pedir-lhes para irem apagar um incêndio. É difícil de compreender.

As empresas precisam de começar a olhar, realisticamente, para aquilo que é comunicado aos empregados. É algo importante, não transmitir mensagens contraditórias, mas é necessário que seja um esforço constante. É como limpar uma casa – temos de o fazer semanalmente senão o pó vai acumular-se. E acho que o mesmo se aplica à segurança no que toca ao lado humano. É como limpar uma casa ou pintar a vedação no jardim, é necessário refazê-lo periodicamente ou torna-se inócuo.

Estamos cada vez mais ligados, especialmente agora com a Internet das Coisas. Devemos preocupar-nos com a segurança destes novos dispositivos?

Acho que sim. Acho que a tecnologia passou de objetos que são considerados computadores tradicionais para objetos da nossa vida diária, onde é menos óbvio que um computador esteja envolvido. Se a minha empresa de energia me fornece um medidor inteligente, esse medidor está a fazer o mesmo trabalho que os medidores de eletricidade sempre fizeram. Portanto, não vou olhar para ele de modo diferente, é uma maneira mais interessante de olhar para a informação, tenho mais informação do que com os medidores antigos mas não vou pensar que aquilo é um computador e que pode haver um problema de segurança.

Se eu oferecer uma Barbie à minha filha e essa Barbie tiver a capacidade de ouvir e de falar, e tiver software de reconhecimento de voz, e conseguir dar uma resposta à minha filha em contexto, eu vou pensar que é um extra interessante a um brinquedo que já existia. Não vou pensar que ali está um computador e que, se calhar, isso vai ter impacto na minha rede Wi-Fi. Portanto, psicologicamente as pessoas não estão a pensar nas questões de segurança.

O outro aspeto desta questão é que, se oferecer um tablet, um computador portátil ou um smartphone, empresas como a Kaspersky Lab podem produzir software que pode ser instalado nesses dispositivos e que os pode tornar mais seguros, mas não há nada que possa ser feito em relação ao medidor inteligente, à Barbie ou a um carro. As pessoas que estão a desenvolver a tecnologia para tornar os objetos do dia a dia digitais é que têm a responsabilidade de pensarem sobre segurança durante a concepção do produto, já que tentar incorporar aspetos de segurança retroativamente pode ser muito difícil.

E qual é a sua opinião sobre a “nuvem” [cloud – armazenamento remoto]? Devemos confiar nessa tecnologia?

Acho que devíamos pensar sobre a cloud como se tivéssemos nós mesmos a armazenar as informações.

Acha que é o mesmo? Armazenar as informações num disco rígido em casa ou enviá-las para a cloud, que fisicamente pode estar alojada num servidor noutro país?

Existem riscos evidentes mas o quero dizer é que não devemos pensar que lá por estar noutro lado deva ser outra pessoa a tomar conta dessas informações. Devemos é pensar sobre o que faríamos se nós armazenássemos essas informações. E posso fazer o mesmo se mudar essas informações de sítio ou se alguém estiver a guardá-las por mim? Por exemplo, se houver um ataque no operador da “nuvem” e os dados perderem-se. São os meus dados e agora todos têm acesso a eles, mas se eu os tivesse encriptado eles estariam seguros mesmo na eventualidade de um ataque. Ou não armazenar algumas informações na nuvem. Não é obrigatório sincronizar tudo no iCloud, por exemplo. Há certas informações que eu não quero armazenar no meu dispositivo.

Então o que deve ou não deve ser colocado na cloud?

A minha regra é, se não quer que a informação seja publicada num jornal, não a armazene na “nuvem”. E essa regra vale para o que é dito nas redes sociais e para as fotografias que publica. Talvez isto seja excesso de prudência mas já aconteceram alguns incidentes de destaque. Quando olhamos para o ataque ao iCloud, há 18 meses, em que fotografias íntimas da Jennifer Lawrence e de outras celebridades foram publicadas, nós pensamos que não nos vai acontecer mas pode acontecer. E o que precisamos de pensar é que nem uma palavra-passe eficaz poderia ter evitado o que aconteceu. Naquele caso, as palavra-passe fracas mais a vulnerabilidade da Apple, que já foi corrigida, foram os dois componentes que permitiram o ataque aos dados.

Preocupa-se com as palavras-passe, não é? Com as palavras-passe e com o modo como as pessoas as gerem.

Sim, mais uma vez é como no mundo real. Eu iria estar preocupado se tivesse a mesma fechadura para o meu carro, para a porta de casa, para as janelas, para a porta do escritório. Com uma chave seria possível ter acesso a toda a minha vida. E é isso que as pessoas fazem, escolhem uma palavra-passe para as suas contas online ou escolhem palavras-passe fáceis de adivinhar. Os criminosos usam o que se chama de ataques de dicionário que consistem na utilização de uma base de dados repleta de palavras reais que usam um programa que tenta uma após a outra, muito rapidamente, até acertarem na palavra-passe correta. É necessário utilizar palavras-passes únicas e complexas. Existem algumas dicas para tornar uma palavra-passe complexa mas, ainda assim, memorizável. No entanto, caso não consiga existem programas de gestão que guardam todas as palavras-passe num cofre, as introduzem automaticamente e temos uma chave mestra para esse cofre.

Assim apenas é necessário memorizar uma palavra-passe.

Sim, mas algumas pessoas não estão confortáveis com isso. Ainda assim, não é a pior ideia de sempre escrever as palavras-passe num papel e eu sei que isto parece um conselho terrível.

Num papel?

Sim. Claro que não estou a dizer para as colocar num pedaço de papel e colá-lo no computador da empresa. Estou a falar de casa. O cibercriminoso não entra pela porta, entra pelo computador. Eu não quero que os meus filhos ou visitantes saibam a palavra-passe do meu banco mas prefiro anotar 25 palavras-passe complexas e únicas num papel do que me lembrar de uma que é utilizada para tudo. Se transportar essa informação consigo, não a transporte com o telefone ou com o tablet para não perder toda a informação. O objetivo é não dar acesso a todas as palavras-passe no caso de o telefone ser roubado ou de perder o tablet. Manter essas palavras-passe seguras em casa não é uma ideia assim tão má.

Para dizer a verdade, acho que o problema com as palavras-passe não está na palavra-passe que usamos todos os dias – essa é fácil de memorizar – mas sim aquela que só precisamos de vez em quando. A que utilizamos para iniciarmos a sessão, uma vez por mês, numa loja online. Que palavra-passe utilizei? Não me consigo lembrar. Não nos esquecemos daquela palavra-passe que utilizamos diariamente no escritório mas em relação às outras, aquelas que temos dificuldades em memorizar, devíamos considerar escrevê-las num papel e guardá-las num espaço seguro.

Preocupamo-nos em ter antivírus no PC mas não vemos os smartphones e tablets como um pequeno computador. Não acha que as pessoas ainda estão pouco preocupadas com a segurança nestes dispositivos?

Concordo. Acho que todas as tecnologias avançadas que foram desenvolvidas no telefone cresceram imenso desde que as começámos a utilizar. Se tivermos um dispositivo Samsung ou um iPhone nas mãos chamamos-lhe telefones ou telemóveis e não computadores, e isso acontece porque os aspetos do telefone, que têm uma componente de segurança, desenvolveram-se de forma orgânica. E continuamos a pensar nesses dispositivos como telefones. Esse é o ponto que queria destacar sobre a Internet das Coisas, está a ganhar uma nova dimensão. Porque havíamos de pensar que uma boneca é um computador? Nunca foi.

O que faz uma empresa como a Kaspersky para proteger o meu telefone?

Bem, existem diferentes aspetos. Podemos cooperar com fornecedores de Internet para que eles implementem medidas de segurança, de filtragem e de monitorização. Podemos fornecer aplicações para serem instaladas nos dispositivos, que eliminem o malware ou que avaliem uma ligação antes de se clicar nela ou, por exemplo, que permitam a eliminação dos dados num dispositivo.
Se achar que perdeu o seu dispositivo pode bloquear acesso ao mesmo remotamente. Se voltar encontrar o dispositivo pode voltar a desbloqueá-lo. Mas se se passarem uns quantos dias e achar que não o vai voltar a encontrar, pois pode tê-lo deixado no táxi ou alguém pode tê-lo roubado, pode eliminar, remotamente, os dados desse dispositivo.

Hoje em dia já existe tecnologia que identifica o cartão SIM de alguém que tenha roubado o seu dispositivo e tenha trocado os cartões por não ter conseguido aceder ao telemóvel por estar bloqueado. E com essa informação pode ir à polícia e reportar o número da pessoa que lhe roubou o dispositivo. A tecnologia [de segurança] para os dispositivos móveis existe. O problema não é tanto que esses dispositivos não estejam protegidos, a questão é que as pessoas não se apercebem que eles precisam de ser protegidos.

O problema com a Internet das Coisas está no facto de não conseguirmos instalar software do ponto de vista do utilizador. Por exemplo, um medidor inteligente – contém tantos dados e não há espaço para instalar um antivírus ou algo semelhante. Para que isso aconteça é necessário que as pessoas que concebem o dispositivo falem com pessoas como nós na fase de concepção, e algumas fazem-no mas raramente. Não sei se se lembra mas há uns meses a VTech, uma empresa de computadores para crianças, teve uma falha de segurança e as informações de alguns destes dispositivos foram tornadas públicas. Seria de esperar que a resposta passasse pelo reforço de segurança dos sistemas deles mas vi hoje uma notícia que dizia que a solução que eles encontraram foi alterar os termos e condições para se desresponsabilizarem de situações como estas.

Mas então como nos podemos proteger? Deixamos de comprar coisas?

Muitos países já têm sistemas de segurança quando compramos cortinas para as nossas casas, roupas para crianças ou aparelhos elétricos. No Reino Unido existe um indicador de cumprimento de regulamentos. Se o produto tiver essa marca sabemos que cumpre os requisitos do governo. Não existem requisitos como esses em relação à segurança digital.

Não é fácil a distinção entre o que é e não é seguro para os cidadãos comuns. Acho que vamos chegar a uma altura em que um sistema como esse vai ser desenvolvido e as pessoas só vão comprar um produto que tenha essa marca de segurança digital. Entretanto, as pessoas têm de estar informadas sobre as últimas novidades da comunidade de segurança. Da mesma maneira que as pessoas leem as notícias no tablet ou no telefone, podem informar-se sobre questões de segurança porque temos jornais como o Observador a transmitir informação de forma não técnica.

Há cinco anos, se quiséssemos compreender o que as pessoas da indústria da segurança estavam a dizer, tínhamos de ter conhecimentos técnicos e isso está a começar a mudar. E mesmo nos meios de comunicação, onde há 5 anos, em casos de incidentes de segurança, os meios de comunicação entrariam em contacto para saber mais sobre o assunto e agora tal já não acontece. Existe um correspondente de tecnologia na TV que é capaz de elaborar sobre o assunto e ainda bem porque significa que a segurança se está a tornar numa questão mais compreensível.

Ainda sobre o aspeto da responsabilidade, acho que todos os consumidores têm a responsabilidade de considerar, quando compram um brinquedo para os filhos, o quão segura é a tecnologia desse brinquedo. Todos temos de pensar sobre isso do mesmo modo que temos de mudar a palavra-passe quando compramos um router Wi-Fi.

Tradução de Francisco Ferreira