Por que a comunidade de SI, precisa parar os "especialistas" da Globo.

Eu confesso que não assisto TV aberta, normalmente meu uso do aparelho se resume a streaming de filmes, séries e documentários. Minha exceção é quando resolvo acompanhar algum acontecimento importante na TV Senado, TV Câmara, ou alguma coisa de destaque nos telejornais. Porém toda sorte de peripécias que ocorrem na TV acaba de uma forma ou outra chegando a mim através das redes sociais, na maioria das vezes é o tipo do post que costumo ignorar, mas as vezes não tem como.

Recentemente eu escrevi aqui a respeito da matéria do fantástico onde um "especialista" em segurança da informação afirma que "site seguro não tem cadeado". Escrevi sobre o assunto por uma simples razão, desinformação, ou informação falsa, a respeito de segurança, é mais danosa que a falta de informação. E uma semana depois do ocorrido, chega a meu conhecimento, mais um episódio desastroso, provando que Tiririca estava muito errado e sim, pode ficar muito pior.

Dessa vez, no programa Como Será? no quadro O Tema é de 16/12/2017 o tema sugerido por um espectador foi Segurança Digital, e o resultado é isso que vocês veêm aqui. O "especialista" Sérgio Muniz fornece uma entrevista recheada de desinformação e inverdades. Eu não acho que a intenção tenha sido ruim, acho que pode ser puro desconhecimento mesmo, porém, um meio que possui tamanho alcance como a TV representa uma grande responsabilidade para o entrevistado, uma informação falsa que você passe ali, tem o potencial de desinformar milhares de pessoas. Eu comecei a trabalhar na área de segurança da informação em 1997, na época a Checkpoint conduzia uma campanha de marketing para divulgar o seu excelente Firewall-1 e usava uma frase, pra tentar promover a conscientização de que conhecer os riscos de segurança é importante, que até hoje é amplamente usada na área de segurança da informação.

"Falsa sensação de segurança é pior do que não estar seguro"

Isso porque uma pessoa que não sabe, costuma redobrar os cuidados necessários que a prudência manda, justamente pelo desconhecimento. Por outro lado uma pessoa que pensa estar segura (quando na verdade não esta) não tomará os mesmos cuidados e será um alvo ainda mais fácil para os criminosos, e tudo porque um "especialista" disse na TV que estava tudo bem.

Voltando ao programa em questão o entrevistado começa com uma afirmação que na minha opinião é no mínimo discutível. A internet é tudo menos segura. Pra falar bem a verdade ela nem foi feita pra isso, e em consequência ela oferece no máximo, níveis aceitáveis de segurança. Dizer pra pessoas comuns que a internet é segura é um erro, mas como ele complementou com "desde que tomados alguns cuidados" então vamos deixar essa passar né?

Na sequência ele dá uma bola dentro e repete o que centenas de profissionais da segurança da informação repetem à exaustão por aí: "Não insira seus dados financeiros, ou dados sensíveis sobre você em qualquer site, ou qualquer link de e-mail que você receba. Ou seja, bacana, dentro do esperado, legal, porém em seguida eles começam a falar sobre compras na internet, e é aí que o fantasma dos natais passados, patrocinado pelo nosso Wanderson Castilho nos visita, mas muito pior. Primeiro porque o entrevistado claramente admite como segura uma conduta que não é, contradizendo um conselho que ele mesmo ouviu, repetiu corretamente no início da matéria, mas pisou na bola na hora de entrar na parte prática. Num site de compras, a partir do minuto que você precisar digitar qualquer informação sobre você, seja nome, sobrenome, CPF, endereço, você já deve estar usando HTTPS, não somente na hora de passar os números do cartão de crédito. Vou mais além, num mundo ideal, e grandes sites já tem colocado isso em prática, absolutamente toda a sua navegação no site é conduzida em HTTPS, reduzindo significativamente a possibilidade que alguém tenha sequer as informações do que você colocou no carrinho, e acredite, essa informação vale muito dinheiro. Porém além disso, Sérgio reforçou a noção completamente falsa de que páginas fraudulentas não tem HTTPS. Isso é extremamente grave, primeiro porque absolutamente não é verdade, muito pelo contrário como já deixei claro no último artigo, mas a razão mais grave, é justamente a falsa sensação de segurança, percebam, uma pessoa comum, a partir do momento que vê um "especialista em segurança da informação" dizendo uma coisa dessas passa piamente a acreditar que se tem o tal "cadeadinho" não é um site falso, ou um site fraudulento que quer roubar os dados dela, e se torna presa fácil para esse tipo de site abaixo por exemplo:

Na sequência Sandra questiona se uma página em HTTP pode captar as suas informações, ou o seu perfil, embora você não tenha colocado seus dados nela. E ele responde que ela pode captar "a forma com que você se relaciona com a internet" mas aí vem a pérola "mediante uma autorização prévia quando você entra naquele site" WTF????

Sério gente eu não gosto de ser o chato, mas poxa, estamos em 2017. É amplamente documentado e quase de conhecimento público que dezenas de milhares de sites rastreiam o que você esta fazendo, de onde você veio, onde você clicou, literalmente meio que stalkeiam você na internet, e eu nunca vi absolutamente nenhum site pedir autorização pra fazer isso. A única coisa que me passa pela cabeça que ele possa ter se referido como "autorização" seja o aviso de uso de cookies que alguns sites emitem, e embora cookies sejam UMA DAS ferramentas pra se rastrear usuários na internet ela esta longe de ser a única, e dizer que os sites pedem sua autorização para te rastrear é no mínimo uma inverdade.

Na sequência Jairo Silva, "Analista de Segurança da informação" pergunta:

Podemos conectar em qualquer rede wifi, ou existe qualquer outro risco?

A primeira coisa que eu particularmente me pergunto, é porque um "analista de Segurança da informação perguntaria uma coisa dessas. No mínimo seria um bom indicativo pra mudar de profissão. Em partes eu meio que sei como essa pergunta chegou na matéria. Se chama pauta, o script já foi traçado, muito provavelmente o programa já tivesse até sido gravado, mas para dar uma dinâmica ao processo, canais de TV costumam inserir o que eles chamam de "externas". Ou seja, eles enviam uma equipe, com um câmera e um repórter pra rua, pra "entrevistar" pessoas e conseguir que elas façam as perguntas. Isso aconteceu comigo mesmo há muitos anos atrás, você pode me ver na Globo mesmo se não me falha a memória "fazendo uma pergunta" num programa desses matinais, onde eu pergunto "Eu gostaria de saber se a enxaqueca tem cura?" Detalhe interessante, eu nunca tive uma única enxaqueca na vida. A repórter precisava da pergunta, me parou, e perguntou se eu gostaria de participar, fazendo aquela pergunta, eu falei, ok sem problema, e pronto. Então a parte intrigante não é necessariamente a pergunta, mas a profissão, o cara se identificou como analista de segurança, ou eles colocaram essa informação numa tentativa de dar mais "credibilidade" a pergunta?

Mas a resposta do nosso entrevistado, mais uma vez foi "interessante" ele de certa forma acerta, pois fala, que "se for inevitável, acesse somente pra fazer uma pesquisa, ou algo sem importância, mas evite acessar o seu correio corporativo, um site de compras, ou o seu banco". Bom existem vários problemas nessa resposta. Primeiro e mais importante, os celulares executam uma enorme gama de operações de forma automática, então caso um usuário comum entre num wifi público, mesmo que seja só pra fazer uma "pesquisa sem importância na internet" o celular automaticamente vai checar o correio eletrônico dele por exemplo. O que caso o correio tenha sido implementado de forma correta pelo administrador, não chega a ser um grande problema, uma vez que a conexão ocorrerá encapsulada dentro do protocolo TLS, que é até superior ao SSL (o S do HTTPS). Isso claro, caso tenha sido configurado corretamente, pois como me lembraram no grupo de discussão sobre segurança da informação do SecurityCast, nosso amigo Wanderson Castilho, foi uma das vítimas do Wall of Sheep da Defcon ano passado.

Então, na verdade o conselho para usuários comuns é simples. Não use Wifi aberto. PONTO! Se for usar, use com uma VPN. (Uma que você pague, não aquela que te ofereceram "de graça"). Mas Sérgio reservou o melhor pro final. Quase no fim, Sandra pergunta se uma pessoa pode invadir seu computador e te olhar pela Webcam. Nosso entrevistado corretamente responde, PODE. Porém em seguida ele afirma que é muito pouco comum que ocorra nas "marcas mais conhecidas que a gente tá acostumado a comprar" WHAT???????

Essa é a informação mais absurda e completamente falsa que alguém poderia ter passado num programa ao vivo. Coincidentemente, um dia depois vejo no linked.in um post do amigo Roberto Gallo da Kryptus.

É amplamente conhecido na área de segurança da informação esse problema que na verdade são problemas distintos, aqui misturados numa salada indigesta pelo entrevistado. De um lado temos os dispositivos IOT, nesse caso as câmeras IP, dispositivos autônomos, independentes que realizam uma determinada função, do outro temos as webcams essas, gerenciadas pelo Sistema Operacional da máquina. Ambos ameaças graves de segurança. As câmeras IP um problema mais real, e simples de explorar. Não requer prática nem tampouco habilidade. Você mesmo caro leitor pode acessar agora mesmo através de uma ferramenta amplamente conhecida da comunidade hacker o sensacional Shodan. Caso não consiga, esse site aqui ensina um passo a passo.

Problemas de segurança com IOT não são novos, e já são considerados um dos grandes desafios para a área de segurança para os próximos anos. É quase trivial invadir uma quantidade gigantesca de dispositivos IOT ou porque as pessoas não mudam a senha padrão (e o fabricante não força isso, quando poderia) ou porque eles tem problemas de segurança no código do firmware que gere o dispositivo. E o que é pior, muitas vezes uma única vulnerabilidade, afeta MILHARES de dispositivos de diferentes marcas, já que é comum que um determinado código que executa uma determinada função seja simplesmente reaproveitado por dezenas de fabricantes em centenas de modelos.

Já em relação a Webcam, se trata de uma invasão via sistema operacional, mais complexa e de menor incidência, mas ainda assim plenamente possível e viável de ser feita, independente de sistema operacional. Esse assunto recebeu bastante atenção quando Mark Zuckerberg do Facebook foi fotografado e em seu laptop havia uma fita em cima da Webcam.

E quando você pensa que acabou, Sandra pergunta se alguém que invade o seu computador, pode ter acesso a suas fotos já tiradas, ao que novamente corretamente Sérgio responde PODE. O problema é sempre o complemento, onde ele diz que você precisa ser um alvo muito desejado pelo fraudador, e por isso celebridades e empresas é que seriam um alvo pela questão financeira. Veja, sem dúvida que celebridades são um alvo MAIOR para uma invasão direcionada buscando por esse tipo de coisa, mas isso absolutamente não reduz em nada o número de vítimas desse tipo de coisa, que também podem ser facilmente identificadas em vídeos e fotos de CAIU NA NET e assemelhados. Embora vários sejam produto de imagens e vídeos achados em celulares perdidos, centenas são produto de invasões. Note que uma quantidade imensa de hackers não conduz ataques direcionados, pelo contrário, roda scans pela internet em busca de hosts vulneráveis, e encontrando um, busca as informações que estejam ali dentro, sejam lá quais forem.

Então a questão aqui é: Vocês conseguem perceber os danos causado por esse tipo de matéria? Ela tem um alcance gigantesco, em um público que em sua maioria não lê blogs e outras fontes de informação onde poderia descobrir que "aprendeu errado" então ao invés de ajudar, torna essas pessoas presas mais fáceis para os fraudadores. É o perigo da desinformação, deixar as pessoas com uma falsa sensação de segurança, de que basta elas comprarem uma câmera de marca boa, que não terão problemas, ou que sites que tem HTTPS são seguros. A comunidade de segurança da informação precisa fazer alguma coisa pra deter esse tipo de coisa. Recebi feedbacks de várias pessoas, em relação ao meu último artigo sobre isso, dizendo que entraram em contato com a Globo para que eles corrigissem a informação errada. Eu mesmo, os marquei nas redes sociais e enviei mensagem a respeito. A resposta foi zero, por uma razão muito simples, em geral, emissoras não gostam de fazer isso. Mina a credibilidade se você repetidamente precisa corrigir uma informação que você passou. E embora esses artigos falem sobre a Globo especificamente, eu tenho certeza que esse tipo de coisa se repete em outras emissoras. Só acaba não chegando a nós (ou a mim) pelo tamanho do alcance. Por outro lado também acho complexo a posição dos profissionais que fazem isso, "com grandes poderes, vem grandes responsabilidades", ou seja, se você se apresenta como "especialista em segurança da informação" e passa esse tipo de informação você é sim parcialmente (ou diretamente) responsável pelas consequências da sua afirmação, afinal sua palavra tem para o público, um peso. Até por isso, por eles não saberem, é que eles estão ali te entrevistando. Acho que as vezes falta nas pessoas a nobreza e a coragem de adotar a postura que uma atriz global adotou esses tempos, infelizmente como a zoeira no Brasil não tem limites, ela foi ridicularizada na internet, mas sua postura revela grandeza de caráter, honestidade e coragem, a coragem de com humildade dizer: