“Sem hackers, o mundo seria menos seguro”

ChemaAlonso_850

Chema Alonso é um hacker, conhecido no seu meio como “O Maligno” e que usa sempre um gorro de listras. Mas não sejamos preconceituosos, porque a nossa personagem é uma das referências de segurança informática mais importantes do mundo que não para de participar em fóruns, conferências e nos meios de comunicação social para lavar o bom nome da profissão de hacker e avisar os usuários crédulos sobre os constantes perigos da Internet. Atualmente, ele é o CEO da Eleven Parths, empresa de segurança que é uma filial da Telefónica Digital, tem um doutoramento em Segurança Informática pela Universidade Rei Juan Carlos de Madrid, formou-se Engenheiro Informático pela mesma universidade e Engenheiro Informático de Sistemas pela Universidade Politécnica de Madrid, que também o nomeou Embaixador Honorário da Escola Universitária de Informática no ano de 2012. E, como se não bastasse, contabiliza isto tudo com a autoria de vários livros sobre hacking, leciona cursos em meio mundo e edita também o seu blog: Un informático en el lado del mal (Um Informático do Lado do Mal), onde nos mostra as fragilidades da Rede em que todos navegamos.

1.- Quando se pensa num hacker, vem-nos à cabeça uma espécie de herói dotado dos superpoderes que advêm de ter conhecimentos para entrar em dispositivos, contas ou páginas de Internet onde os restantes mortais não sabem como entrar. Todo este conhecimento faz com que você se sinta superior aos comuns mortais? Qual é a Kryptonite de um hacker, o seu ponto fraco?

Não há nenhum hacker que se julgue acima das outras pessoas. O mundo do hacking e da segurança informática é muito extenso e amplo, e estamos longe de conhecer todas as tecnologias que usamos ao pormenor. Normalmente, os hackers costumam ter áreas de investigação especializadas e, quanto mais estudamos um tema em profundidade, menos o estudamos em toda a sua amplitude, e vice-versa. Portanto, a minha resposta é que não creio que os hackers se sintam superiores; se algum se sentir, é um idiota que vai acabar tendo problemas.

2.- Graças às suas intervenções nos meios de comunicação, já sabemos que o hacker não é o mau da fita da Internet e que, pelo contrário, é uma pessoa que se dedica a descobrir e avisar outros de falhas de segurança. Você acredita que lutar contra o mal limpou a imagem de um nome que sempre se associou a cavalos de Troia, malware e outros vírus informáticos? O que seria de nós sem profissionais como você?

Percebemos que a nossa imagem não está limpa quando na RAE (Real Academia Espanhola) catalogaram os hackers como piratas informáticos. É uma pena que a RAE tenha definido o termo assim, ao contrário do ISOC, um organismo internacional ligado ao mundo da Internet e que o descreve no seu glossário como:

WD_Cluod_hackers

(Pessoa que retira prazer de ter um conhecimento profundo do funcionamento interno de um sistema, em particular de computadores e de redes informáticas. O termo é frequentemente usado de forma errônea num contexto pejorativo, em que o termo correto seria “cracker”. Ver também: cracker.)

Sem hackers, o mundo seria um pouco menos seguro, um pouco menos evoluído e, em suma, um pouco pior. Mas, ainda assim, não creio que um hacker deva lutar contra os vilões para limpar o seu nome. Um hacker é um investigador que faz o que faz por paixão, e não porque deva ter um qualquer tipo de responsabilidade para com a sociedade. De fato, se analisarmos as motivações de todos, provavelmente encontraremos muitas interpretações diferentes.

3.- Imagens de choques violentos nas campanhas publicitárias relativas ao trânsito ou fotos de pulmões destruídos nos maços de cigarros. Desde sempre se usou como exemplo as piores consequências de um determinado ato para que tenhamos um cuidado extremo ao realizá-lo, procurando que, com o medo ou a sensação de insegurança que provocam, sejamos capazes de tomar realmente consciência da necessidade de proteção. Por isso, proponho a você que nos descreva a pior situação possível de cibersegurança que consiga imaginar, para que fique bem gravado nas nossas mentes que é necessário tomar consciência dos perigos da Rede.

Infelizmente, vejo as piores situações todos os dias. Pessoas que têm problemas e processos legais porque alguém lhes roubou a identidade e pediu empréstimos ou serviços em seu nome. Empresas e particulares a quem roubaram dinheiro, pessoas espiadas e perseguidas na sua vida particular, empresas que não podem trabalhar porque codificaram os dados dos seus servidores com um cryptolocker, pessoas extorquidas porque foram gravadas fazendo sexting ou na sua intimidade, etc. A nossa vida digital tem muito impacto na nossa vida física e não tomar precauções nela pode ser um verdadeiro problema.

4.- Curiosamente, são os jovens que mais descuram a privacidade na Internet, justamente a geração que mais contato tem com os novos dispositivos. Onde acha que está o erro? Parece que alguns governos têm consciência disso e vão começar a fomentar o estudo de programação nas escolas, como recomenda o Instituto Tecnológico do Massachusetts (MIT). Você acredita que estas futuras gerações com conhecimentos técnicos muito superiores aos do usuário comum atual poderão levantar mais obstáculos aos cibercriminosos? Sabe de algum programa atual em que se insista no ensino da segurança online para as crianças e adolescentes?

O mundo mudou e a forma como nos relacionamos também. O conceito de socialização entre os mais jovens levou a uma exposição sem pudores na Internet. Apesar de ser raro ver uma criança pequena sozinha na rua, eles ficam muito tempo sozinhos na Internet e expõem-se sem grande controle. É necessário que os seus pais ou tutores os acompanhem tal como faziam antigamente no parque.

Por outro lado, cada vez há mais tecnologias e pontos de exposição. No futuro, ser um analfabeto digital será a pior das torturas para os novos cidadãos, pelo que é positivo que as pessoas tenham formação em tecnologia e compreendam como funcionam as coisas.

Em Espanha, já há programas de formação de estudantes, e é preciso tentar que recebam esta formação de forma obrigatória nas aulas, para evitar que tenham problemas na sua vida por causa do desconhecimento dos perigos da Internet.

5.- O comércio eletrônico está crescendo a passo de gigante, apesar de todos sabermos que o que ainda o restringe é a falta de confiança em realizar um pagamento numa loja virtual. Tendo em conta os dados que manejamos, acha que é realmente seguro comprar na Internet? Entre o cartão de crédito, o pagamento na entrega e o PayPal, qual é o método de pagamento com menos riscos?

Eu tenho uma loja online de livros chamada 0xWord.com, onde vendemos pela Internet e que tem cada vez mais clientes. Por outro lado, eu próprio faço compras regularmente pela Internet. Ainda hoje comprei umas coisas e faço-o com muita frequência. As equipes dos bancos estão sempre lutando contra a fraude bancária, pelo que o perigo está nos sítios em que fazemos as compras. Se o fizermos numa página de confiança, as probabilidades de termos problemas não são muitas.

É mais fácil que clonem o nosso cartão de crédito no mundo físico do que no virtual, mas ainda assim é melhor manter uma boa gestão e cuidado diferenciado do seu equipamento se o tenciona usar para comprar ou trabalhar. Recomendo a todo o mundo a leitura do livro de Sergio de los Santos “” (“Máxima Segurança no Windows”), que nos faz pensar sobre como se gere a segurança de um equipamento.

Quanto a métodos de pagamento, o melhor é um cartão virtual de compra pela Internet com limite de dinheiro ou o PayPal. Eu uso essas duas formas de pagamento.

6.- Se os antigos cavalos de Troia se alojavam nos nossos discos rígidos, seria de pensar que escolher a tecnologia do cloud computing, que armazena e trabalha diretamente com programas alojados na nuvem, é muito mais fiável. Pensou-se na segurança num universo tão atual como o cloud computing? É necessário tomar medidas especiais de segurança para usar este tipo de meio?

Pensar que o mero fato de ser cloud ou mobile é melhor ou pior é um erro. O cloud computing pode ser entendido como uma plataforma para serviços, como um centro de processamento de dados para servidores ou como uma infraestrutura virtual de serviços e servidores, mas em todos os casos há riscos que a Cloud Security Alliance trata de identificar e ajudar as empresas e os particulares a compreender e mitigar.

Por outro lado, os incidentes de segurança a que assistimos no Celebgate tiveram mais a ver com ataques dirigidos a pessoas que utilizavam dispositivos móveis sem grandes medidas de proteção do que com falhas de segurança na nuvem, apesar de ter havido alguns.

Hoje em dia, todos os fabricantes de tecnologias tentam incluir muita segurança nos seus produtos mas, infelizmente, um produto 100% seguro é mais um sonho do que uma realidade.

7.- Além de tapar a webcam do portátil, que é algo que aprendi com você, que outros pequenos truques nos pode ensinar para utilizarmos como uma espécie de kit de primeiros socorros de segurança?

Aqui ficam 5 conselhos:

  1. Atualize o seu software regularmente. Determine uma rotina e atualize todo o software do seu sistema operativo uma vez por semana.
  2. Use um segundo fator de autenticação em todas as suas contas: Google Authenticator, SMS, Latch ou a verificação em dois passos da Apple. É infinitamente mais seguro do que as passwords.
  3. Instale um anti-malware com proteção em tempo real: Eu prefiro os pagos e, apesar de não serem perfeitos, é infinitamente melhor do que não ter nada.
  4. Instale um software antirroubo no seu portátil e no seu celular: Find My iPhone, Prey ou qualquer outro. Um dia, você pode perder o seu celular ou o seu portátil, pelo que o melhor é localizá-lo.
  5. Encripte o seu disco rígido e use passwords de BIOS para o arranque: Use o Bitlocker, FileVault, TrueCrypt ou o PGP, mas não perca os seus dados.

8.- Todo o mundo sempre disse que o iOS é mais seguro do que o Android. Como especialista em segurança móvel, estamos mais protegidos com o iOS ou com o Android? Triunfará a sensatez dos celulares ultraprivados como o Blackphone ou continuaremos a nos deslumbrar mais com o design e as telas de alta resolução do que com a segurança?

Achei engraçado isso de dizer que o iOS é seguro e o Android não. Eu recomendaria a leitura do livro de Hacking de dispositivos iOS: iPhone & iPad, em que eu participei. Pensar que a tecnologia nos salva de nós mesmos é um erro.

No iOS, há menos malware, mas têm problemas com os ataques dirigidos. No Android, há problemas de segurança no Google Play ou na atualização do sistema operativo em todas as plataformas disponíveis. Ambos têm pontos positivos e negativos.

Não sei se os Blackphone ou semelhantes triunfarão massivamente, mas acredito que há um espaço para eles no mundo atual em que as pessoas querem ter alguma proteção extra na sua privacidade.

9.- Queixas relativas às cláusulas de privacidade abusivas das redes sociais, governos que se imiscuem até nas nossas cozinhas, criminosos que nos filmam no duche. Quem tem realmente a culpa de que a segurança e a privacidade sejam um problema: os governos, os criminosos, os próprios usuários ou as grandes empresas tecnológicas?

Todos têm a sua quota de culpa. Para começar, antes de utilizar um serviço e subir dados pessoais ou instalar uma aplicação no seu terminal ou sistema operativo, recomendo a todo o mundo que leia as cláusulas com cuidado ou que espere que sejam analisadas pela comunidade. Não é fácil entender todos os atalhos legais em que os agreements (acordos de utilização) nos envolvem. Por outro lado, às vezes são pouco claros ou explicitamente ambíguos para dificultar ainda mais a coisa.

O governo devia, na minha humilde opinião, investir mais em educação para jovens e garantir uma geração ainda mais preparada, ao mesmo tempo que, a nível europeu, se deveria castigar as práticas abusivas das empresas que não mostrem respeito pela privacidade e/ou a segurança dos seus clientes.

10.- Sexta-feira 13, I Love You e Operação Aurora são alguns dos casos históricos de violação de segurança mais famosos. Houve melhorias desde essa altura? Como imagina um futuro a médio ou longo prazo em termos de segurança? Que mudanças podem se produzir e que novos atos criminosos se preveem? Acha que, um dia, teremos de usar as nossas próprias células como único método de identificação fiável?

Tantas perguntas numa só! O mundo da segurança continuará evoluindo à medida que nós continuemos a colocar a nossa sociedade na Internet ou esta seja mais suportada pela tecnologia. Hoje em dia, falamos da Internet das coisas, de SmartCities, de Connected Cars (automóveis conectados), do voto eletrônico, etc., mas temos já o ehealth e o Connected Human dando os primeiros passos.

No futuro, poderíamos falar de ataques a dispositivos médicos implantados em humanos – já vimos casos como os trabalhos do desaparecido Barnaby Jack -, de fraudes em eleições nacionais realizadas pela Internet ou de cidades inteiras mergulhadas no caos. Quem sabe? Teremos de reler os livros de ficção científica, que acabam sempre sendo ultrapassados pela realidade.

11.- Com os seus conhecimentos, você seguramente conhece bem todos os meandros da Internet e poderia assumir o papel de repórter de guerra por uns instantes e nos dizer: Como vai a ciberguerra? Há algum país que esteja vencendo a luta? Há novas armas no palco de guerra?

Uff. Depois de ver o Iron Dome, Stuxnet, Flame, Duqu, as fugas da NSA, as operações Tempora, o sistema X-KeyScore, o relatório Mandiant sobre APT1 e as operações de Red October, parece que os do costume vão na frente. Por enquanto, ainda não há mudanças. Veremos nos próximos anos, mas o custo que a cibersegurança informática implica não está ao alcance de todos.

12.- Esta é uma pergunta recorrente, mas não podíamos entrevistar um hacker e não a fazer. Você já entrou na rede do Pentágono? Como sabemos que não se pode responder publicamente a este tipo de coisas, fica outra pergunta: Você acha que há alguma instituição pública ou privada em que um ataque cibernético foi ou seria totalmente justificado porque as entidades o mereçam?

Quem sou eu para julgar os atos de outros? Pessoalmente, tenho as minhas opiniões em relação ao que vejo nos noticiários, mas creio que não é a minha missão entrar num debate sobre se as operações militares ou cibernéticas de um país são adequadas. Vivemos num mundo delicado e a cibersegurança afeta a nossa vida muito mais do que nós julgamos. É preciso proteger o modo de vida dos cidadãos, inclusive na sua vertente cibernética.


Miguel Ángel Corcobado
Departamento de Transformación de PRISA

Deixe uma resposta

MENU
Leer entrada anterior
Congreso de Mentes Brillantes
Madrid vuelve a reunir a las 21 mentes más brillantes del mundo

Desculpe-nos, mas este texto esta apenas disponível em Español.

Cerrar