Uma reflexão sobre segurança e informação na era digital

Caio De Paula Silva
Feb 1 · 14 min read
Bulb by Michael William Lester (CC)

Escrito especialmente visando alcançar aqueles que nascidos entre meados dos anos de 1979 e 1995, os ditos Old Millennials (25–34) e Young Millennials (18–24), esta série de artigos busca discutir e salientar importantes tópicos relacionados ao que podemos considerar um uso seguro da internet por seu usuário comum. Isto é, cujo os hábitos envolvem, por exemplo, o uso de redes sociais, troca de mensagens, participação em discussões de fóruns e semelhantes e o acesso a microblogs e relacionados, hábitos tais como esses, cujo o perfil baseia-se em leitura realizada de indicadores fornecidos pelo Centro Regional de Estudos para o Desenvolvimento da Sociedade da Informação(CETIC.br); que demonstram que nós — os Millennials — representamos tendencialmente a faixa etária de maior atividade nesse sentido. Tendo isto definido, vamos abordar aqui temáticas relacionadas a qualidade de informação, legislação, privacidade e segurança de dados, hábitos de acesso, consumo e mais.

Todavia, devo salientar que caso tenha você leitor nascido em outro período, ainda acredito que a mensagem também te cabe, pois entendo que todos nós hoje temos uma obrigação a cumprir. Chegou a hora de utilizarmos o que aprendemos até o momento para tornar daqui um lugar melhor. Bons hábitos também devem ser compartilhados.

Daqui

Responda-me algumas questões e direi quem tu és! 🕹️

Essa poderia ser mais uma das minhas justificativas para esta série de artigos terem sido feitos para o Millennials, eles provavelmente conhecem o jogo do gênio adivinho, Akinator. Mas tudo bem se você não conhece. Risos. Eu explico do que se trata e onde quero chegar com essa informação. Trata-se de um jogo de dinâmica realmente simples, onde o gênio te faz algumas perguntas, você as responde e ele advinha em quem você está pensando, seja esse um personagem real ou fictício.

E por que estamos falando dele? Porque além de ser um jogo de fama considerável, visto os seus onze anos de estrada e adaptações para quinze idiomas diferentes, ele é também um ótimo exemplo para abordarmos a temática de coleta e cruzamento de dados, o nosso pontapé para esse capítulo. Afinal, como pode ser possível rastrear e descobrir informações sobre alguém com tão pouco? Nesse caso, com coisa de umas vinte ou trinta perguntas? Que as vezes parecem nem ter nexo entre si? A verdade é que eu também gostaria de saber. Entretanto, tenho alguma ideia e o que por hora já sei é que tudo se inicia na coleta dos dados. E por isso, nada melhor que tratarmos desse assunto. Neste capítulo falaremos de privacidade e segurança de dados. E também da nova lei sancionada neste ano no Brasil a respeito desta temática.

Mas antes, para descontrair:

Daqui

Lei Nº 13.709 — Lei Geral de Proteção de Dados 💻

Sancionada em 14 de Agosto de 2018 e com previsão de vigor para fevereiro de 2020, prazo correspondente a dezoito meses decorridos após sua publicação oficial, a LGPD surge para dar ordem a algumas questões importantes relacionadas à segurança dos dados fornecidos por um usuário em suas experiências dentro e fora do ambiente web. A nova lei busca, de forma geral, construir um ambiente mais seguro para o cidadão ao visar protegê-lo da exposição de suas informações pessoais, o que significa nesse sentido, a regulamentação das atividades que envolvem o tratamento de dados de um usuário por um serviço, visando não permitir que seja realizado uso indevido dos dados e garantindo a clareza de finalidade em todo o processo que envolve o uso dos mesmos.

A temática sobre proteção de dados já é uma discussão de longa data no Brasil, que já contava até então com cerca de quarenta normas que pleiteavam de alguma forma o assunto, mas a coisa veio realmente à tona após a aprovação da GDPR, regulamentação aprovada pela União Europeia, que por ser um documento de aplicabilidade extraterritorial, estimulou que outros países também se organizassem a respeito, visto que com somente sua aprovação, por exemplo, muitas empresas (dentre as quais, brasileiras) já precisariam se adequar a uma nova realidade. Isto, além dos inúmeros escândalos de vazamento de dados, ataques cibernéticos e falhas de segurança que vimos pelo mundo nos ultimo tempos. A necessidade de discutirmos proteção de dados se tornou efetivamente uma realidade. E pensando nisso, tomei a liberdade de elaborar um conjunto de perguntas e respostas para que se possa compreender melhor o impacto da lei Nº 13.709 a nós brasileiros. Ressalto que toda a informação aqui contida depende única e exclusivamente de pesquisa e estudo individual e que portanto, está sujeita a divergências e interpretações. Esta é uma pauta recente permeada de questões técnicas, portanto, peço compreensão por eventuais inconsistências.

I — Pois bem, mas então quando e a quem essa lei se aplica?

A lei se aplica a quem coleta dados de indivíduos localizados em território nacional. E também a quem realiza tratamento de dados ou oferta bens e serviços nas mesmas condições. E não se aplica a quem utiliza dos dados coletados para uso pessoal e não comercial, jornalistico, artístico, acadêmico e a fins de segurança publica.

II — Certo. E existem termos de grande importância que eu deva saber?

Sim. Existem muitos na verdade. Por exemplo, muito irá se falar sobre dados pessoais e dados pessoais sensíveis. Termos que apesar de próximos são relativamente bem diferentes. Isto além dos termos descritos na lei para aquilo que aqui descrevemos como organização e usuário por exemplo, onde os termos mais próximos a eles seriam respectivamente controlador e titular e que também serão descritos a seguir.

Informações retiradas do Art. 5º da Lei Nº 13.709Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

III — E como a lei afeta a experiência de um usuário/titular?

A lei passa a exigir que os serviços devam garantir o direito do usuário de que ele possa saber quais dados serão coletados, para que serão utilizados e principalmente se ele permite o seu uso diante dos critérios que serão indicados. Além disso, o serviço em questão deve fornecer ainda meios para que o usuário solicite a exclusão de tais informações, que seja interrompida a sua coleta ou que seja gerado em formato portátil e legível relatório de quais dados o serviço possui sobre o usuário, se assim houver de ser solicitado por ele. Dessa forma o usuário dentro desse formato passa a possuir um controle muito maior sobre suas informações, atuando como protagonista.

É empoderamento que fala, gente?

IV — E quanto as empresas que não adotarem a lei e/ou tiverem dados vazados?

É difícil que se defina exatamente como a lei irá interagir com cada uma de suas partes tão previamente, pois do momento onde se iniciou este artigo a até o momento de sua publicação por exemplo, mudanças relevantes chegaram a ocorrer. A principio, por exemplo, não havia ainda uma autoridade nacional existente definida para que pudesse zelar pela proteção dos dados dos cidadãos e que pudesse deliberar sobre a interpretação da lei. Apenas sabia-se que isso seria necessário e então dessa forma, alguns meses após sua publicação, em 27 de Dezembro de 2018 foi publicada a MEDIDA PROVISÓRIA Nº 869, que além de promover alteração de alguns pontuais artigos da lei 13.709, propôs a criação da chamada ANPD — Autoridade Nacional de Proteção de Dados.

Para citar um exemplo do que podemos esperar e de como as coisas mudariam com a existência da LGPD, podemos tomar por base um dos grandes casos de vazamento de dados que vimos ocorrer no ano de 2018, quando o Facebook tomou conhecimento que os dados 87 milhões de pessoas (dentre essas, brasileiros) haviam sido entregues à empresa de marketing digital Cambridge Analytica e não avisou aos usuários afetados. Essa situação hoje se enquadraria como uma grave infração aos termos da lei, uma vez que o compartilhamento de dados entre empresas exige o consentimento prévio dos usuários e seu tratamento deve se restringir a um conjunto claro de finalidade x necessidade.

Além disso, a lei especifica ainda que em caso de um incidente de segurança, como vazamento de dados, seja ele acidental ou criminoso, a empresa possui a obrigação de notificar a todos os clientes. Podendo do contrário receber sanções como multas que devam variar de 2% o faturamento da empresa a até um máximo de R$ 50 milhões. Além de possivelmente a aplicação de multa diária se for cabível e a suspensão e/ou proibição a organização de exercer novos manuseios de dados.

V — E como empresa, com o que devo me preocupar? O que diabos é DPO?

O Data Protection Officer ou DPO como muito se fala, é o nome dado ao profissional responsável por intermediar as relações entre a organização para qual esta pessoa presta serviço, a autoridade nacional e os usuários de um serviço prestado, sendo este profissional aquele quem verifica o perfeito cumprimento do que dizem as leis de proteção de seu país e também quem está diretamente envolvido no desenvolvimento de produtos, serviços e na formulação de políticas públicas para que a proteção da privacidade seja um valor de atenção recorrente em sua organização. No Brasil, tem-se tratado este profissional pelo termo de “encarregado”, conforme se pode notar no que descrito na seção II, art. 41º da lei em questão.

Para maiores informações a respeito do termo, recomendo a leitura do texto vinculado a seguir:

E bem, quanto às preocupações, preocupe-se com tudo. A lei parece possuir ainda muitas questões que contrastam aos interesses das organizações. A própria premissa de que se deve haver clareza total em finalidade x necessidade no tratamento dos dados tem enfrentado resistência pelo argumento de que determinadas explanações poderiam revelar “segredos de negócio” de uma organização. Isto além de, por exemplo ao que se refere a necessidade de conseguir consentimento específico dos usuários para o compartilhamento de dados entre empresas, uma vez que este processo seria demasiadamente longo e complexo e poderia inviabilizar alguns negócios.

Novamente, para maiores informações a respeito destas e de outras discussões, segue mais um ótimo texto. Este de Cristina De Luca, publicado pelo blog Porta 23 disponível na UOL.

O dilema da privacidade e anonimização 👥

Você por um acaso conhece alguém ou quem sabe já teve a impressão de que a internet te permite fazer coisas que não seriam possíveis no mundo real? E mais, se positivo, você acredita que a internet possibilita anonimato suficiente aos seus usuários de forma a não descrimina-los? Certa vez eu ouvi dizer:

“O preço da liberdade é a eterna vigilância”

Pense a respeito, você sabe que dados fornece a todos os serviços que consome? Você leu atentamente aos termos de uso e politicas de privacidade de cada um deles? Sabe que está sendo rastreado a cada uso? Conhece os critérios dos algoritmos que cerceiam o que você vê? Muito se fala hoje sobre o mito do anonimato, pois parece que o caminho natural das coisas é que consumam cada vez mais e mais os nossos dados, de forma que para cada dado que tenhamos anonimizado hajam inúmeros outros capazes de nos identificar. É como dar um passo para frente e dez para trás. Somos rastreados constantemente e nem sequer sabemos. E um eficiente cruzamento de dados pode ser capaz de descobrir coisas surpreendentes sobre nós. As músicas que gostamos de ouvir. O que gostamos de assistir. Os lugares que frequentamos. As pessoas com quem estamos. Em quem estamos pensando e até se estamos grávidos. Têm de tudo. E se nós não tivermos clareza sobre o que estamos fornecendo podemos estar muitos passos além (quero dizer, de forma negativa) de apenas um serviço personalizado. É preciso saber reconhecer até onde vão os tais ‘vigilantes’.

Quer saber mais a respeito? Passo a bola novamente. O projeto Me and My Shadow tem muito para contribuir nesse sentido. Seu lema é “Assuma o controle de seus dados” e bom, isso já diz muito não é mesmo? Espero boa leitura.

Dia de maldade: phishing, engenharia social e mais ☠️

Como já mencionamos antes, é importante duvidar de tudo. Muito além do que se imagina, um único clique pode ser o suficiente por causar enormes estragos a vida de usuário despreparado; existem inúmeras formas pelas quais se pode sofrer um ataque hacker nos dias de hoje. E o que antes era uma realidade somente aos computadores hoje também é uma realidade presente aos aparelhos móveis, sendo as técnicas empregadas nesses ataques cada vez mais sofisticadas; destinadas a atingir a um único aparelho ou usuário especificamente ou então buscando infestação em massa. São literalmente infinitas as possibilidades de se hackear alguém e não seria possível que abordássemos todas essas técnicas em uma única publicação. Isso posto, tratemos daquela que é a mais recorrente na atualidade, o phishing. A técnica de ataque cibernético mais praticada nos últimos tempos.

O termo phishing tem derivação da palavra “fishing” (“pescar”, em inglês) e faz referência de forma pejorativa a como o ataque é empregado: atraindo os usuários para uma isca; um site, mensagem ou e-mail falso que buscará estimulá-lo a compartilhar informações confidenciais e possivelmente infectá-lo com conteúdo malicioso sem o seu consentimento.

Assim como dito por Adam Kujawa, diretor do Malwarebytes Labs:

Esse tipo de afirmação como a que dita por Adam recorre da ideia de que os praticantes desta técnica buscam atacar o elo mais fraco do sistema: os seres humanos. Isso porque muitas vezes os criminosos recorrem ao phishing justamente porque não conseguem encontrar vulnerabilidades técnicas no sistema que gostariam de invadir, então para isso usam de engenharia social para subverter suas vitimas aos seus objetivos. Afinal, como também sabiamente apontam no artigo em destaque, “por que perder tempo derrubando camadas de segurança se você pode induzir alguém a lhe entregar a chave?”.

Lidar com phishing é uma tarefa que exige além de algum conhecimento, muita atenção, pois os ataques tem se tornado cada vez mais sofisticados; por exemplo, estive lendo recentemente que 49% dos sites de phishing agora usam HTTPS, e isto é algo muito interessante de se perceber. Um site cujo o domínio possui um certificado SSL atribuído a ele, ou seja, um site https, não é automaticamente por isso um site em que se possa confiar; o certificado apenas garante efetivamente que a comunicação entre o usuário e o servidor será criptografada, não permitindo que sejam interceptados os dados durante uma requisição. Entretanto, se o servidor no qual esta página esta hospedada é de um domínio falso, de qualquer forma você estará em apuros, pois você não estará navegando em um ambiente legitimo e seguro. Essa foi uma descoberta muito intrigante para mim.

Agora, lidando com isso de forma mais técnica e objetiva, a pergunta que devemos nos fazer é, como podemos nos proteger desses e de outros ataques? Bem, eu tenho alguma sugestões:

  1. Quanto ao phishing especificamente, tenha muita atenção a tudo o que compõe a mensagem ou e-mail recebido do qual você tem desconfiança. Qualquer pequena parcela de dúvida já é suficiente. Procure não se deixar guiar por links. Atente-se ao remetente, busque inconsistências no corpo do texto. Suspeite de arquivos anexados. Pesquise sobre quem lhe enviou o e-mail/mensagem. Faça tudo quanto possível, e por fim, se verificado que se trata de um ataque, denuncie.
  2. Independente de estarmos falando de um aparelho móvel ou de seu computador pessoal, busque sempre possuir algum programa de segurança instalado. Existem diversas opções, gratuitas ou pagas (que geralmente são mais completas). Busque por programas que incluam tecnologias de combate ao maior tipo de ameaças possível: trojans, ransomwares, malwares, spywares, adwares e afins. Isso deve valer realmente sua atenção pois parte da ideia de aprimorar a segurança de um sistema envolve possuir ferramentas para lidar não somente com a prevenção mas também com as consequências de um ataque ou infecção caso aconteçam. Em um ambiente seguro deve-se ser possível se prevenir e também remediar.
  3. Use os recursos de privacidade de seu navegador. Navegações que envolvem transações bancárias são um caso comum para aplicar essa técnica, uma vez que o uso de guia anonima não permite o uso de cookies. Aliás, quer um conselho? busque limpa-los de vez em quando, por precaução.
  4. Talvez seja uma boa ideia possuir também um gerenciador de senhas. Isso não somente te livra da responsabilidade de lembrar cada uma delas como também abstém de você a responsabilidade de ter de pensar em uma senha que seja “segura” o suficiente, sozinho. Quero dizer, usar um gerenciador permite que você possa atribuir a cada uma de suas contas uma senha única, complexa e segura o suficiente precisando que você se lembre de apenas uma. O que é um grande beneficio aliás por ventura de alguma violação, uma vez que as contas não compartilhariam mais as mesmas credenciais, fazendo com que a invasão a uma conta não transborde em outra. Eu devo dizer que, pessoalmente, ter tomado conhecimento dos gerenciadores de senhas foi algo muito grandioso para mim. Estou realmente muito mais seguro hoje.
  5. Ative a autenticação de dois fatores! Isso previne que mesmo após uma violação e ainda que o criminoso esteja em posse de seus dados, ele não possa acessar sua conta sem uma aprovação emitida por você (geralmente através de um código enviado por telefone).
  6. Busque conhecimento o tempo todo.

Hackerspectiva 2018: outro dia, outra violação ⚠️

O que pretendi construir neste tópico a principio seria uma lista dos cinco maiores casos de vazamento de dados e ciberataques que tivemos no ano que passou. Entretanto, esse é o tipo de informação que encontramos aos montes. E o que queremos aqui é tentar alcançar de você, o interesse sobre o quanto o que estamos discutindo é importante, recorrente e presente em todo o mundo, certo? Então que assim seja.

Como já concluímos anteriormente, buscar informação de qualidade é um dos grandes princípios para um bom uso do que a internet pode nos proporcionar. Por isso, novamente apresento-lhes quem entende do assunto: The Hack, um produto editorial cujo a missão é falar sobre hacking, segurança e tecnologia com um discurso diferente do que costumamos ver por aí.

Eu devo confessar que sou a-pai-xô-na-do por eles e o porquê eles mesmos anunciam, sua equipe é formada por jornalistas que também são hackers. Quer combinação melhor? Vá em frente assine essa newsletter você também.


Então é isso. Assim encerramos mais um capítulo. Espero que essa esteja sendo uma jornada de conhecimento para você. Caso seja possível considere algumas palmas ou deixe um comentário. Todo retorno é significativo.

*Este capítulo tem a intenção de ser muito informativo! Assim, os emojis tem links interessantes associados a eles. Volte e divirta-se.


NEW ORDER

Produção colaborativa de histórias e tendências para instigar você. Somos a primeira e maior publicação brasileira no Medium, vamos juntos?

Thanks to Rodrigo Goldacker

Caio De Paula Silva

Written by

Fui tudo o que poderia e nunca serei mais.

NEW ORDER

NEW ORDER

Produção colaborativa de histórias e tendências para instigar você. Somos a primeira e maior publicação brasileira no Medium, vamos juntos?

Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch
Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore
Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade