5 minute read
Segurança
Um “novo” normal?
É normal que as autoridades antes de grandes eventos ou competições, como os Jogos Olímpicos, publiquem recomendações a seus cidadãos viajando ao país estrangeiro sobre segurança pessoal ou como se comportar de acordo com as normas e cultura do país visitado. E foi o que o FBI, a polícia federal americana, fez antes dos atletas do país viajarem aos Jogos de Inverno de Pequim este ano. A recomendação, porém, foi um tanto quanto diferente: “O FBI recomenda a todos os atletas que mantenham seus celulares pessoais em casa e usem um telefone temporário durante os Jogos”. A maior preocupação era com o app oficial que todos teriam que instalar para monitoramento da viagem e saúde, mas também com dados pessoais que poderiam ser roubados dos aparelhos, ou de malware que poderia ser instalado e trazido de volta ao país. E não foram os únicos. O Comitê Olímpico Canadense incluiu em suas recomendações ao time olímpico nacional não levar dispositivos pessoais, limitar informações pessoais nos dispositivos levados à China, conectar-se apenas à rede Wi-Fi oficial, desligar os recursos de comunicação quando não estivessem em uso (leiase Wi-Fi, bluetooth e o próprio sinal de celular) e remover imediatamente quaisquer aplicativos relacionados aos Jogos que não fossem mais necessários.
O que à primeira vista parece algo isolado pode estar se transformando em uma espécie de “novo normal”. Os organizadores da COP27 no Egito também criaram um app para auxiliar participantes e visitantes estrangeiros, que, na opinião de especialistas de países ocidentais, também serviu para espionar e-mails, mensagens de texto e até capturar conversas por voz, além de conter um backdoor para acesso não autorizado pelos órgãos de controle egípcios. Tais suspeitas não foram unânimes, e diversos especialistas não viram nada de anormal no app. As autoridades egípcias, como era de se esperar, negaram qualquer rastreamento ou acesso não autorizado.
Saindo do Egito e indo ao Catar para a Copa do Mundo encontramos uma situação parecida. Ao chegar ao país, o visitante é solicitado a baixar dois apps. O primeiro se chama Ehteraz e se destina a rastrear a disseminação do Covid-19. O segundo é o Hayya, app oficial do campeonato. Para especialistas, também ocidentais, o Ehteraz solicita permissões excessivas para funcionar (lembrando que é obrigatório) incluindo alterar conteúdo no celular, conectar ao Wi-Fi e bluetooth, impedir que o aparelho entre no modo “sleep”, rastrear a localização, desabilitar a tela de bloqueio e fazer ligações pelo telefone. O Hayya, comparado com o primeiro, pede poucas permissões: rastreamento da localização e permissão para compartilhar os dados pessoais amplamente, mas também impede que o aparelho entre em modo de descanso e visualiza as suas conexões de rede.
Tais apps e suas permissões e ações não impediram milhares de pessoas de comparecer aos Jogos na China, assim como no Qatar ou na conferência no Egito, ou de viajar para os mais variados destinos de férias
sem levar em conta o controle governamental. Os riscos tampouco impedem que a cada dia instalemos cada vez mais aplicativos em nossos telefones, que usamos para praticamente tudo hoje em dia. Podemos criticar o governo de um país que obriga seus visitantes a baixá-lo, mas a verdade é que, aqui mesmo no Brasil, somos obrigados a baixar apps de bancos e outros serviços a fim de acessá-los na Internet, em muitos casos o único meio de acesso. E o que devia ser a ferramenta perfeita se transforma no problema perfeito. Por um lado, carregamos porque assim queremos, para estarmos conectados e termos acesso aos serviços e produtos que desejamos. Por outro, podemos ser roubados ou espionados a cada minuto, mas não temos alternativa. Ou temos?
O fato é que, para cada solução tecnológica que facilita a nossa vida, há uma que facilita a vida do bandido. Os cartões por aproximação foram inventados para agilizar pequenos pagamentos e facilitar a vida dos comerciantes, mas permitiram roubos através de pequenos POS – Pontos de Venda. Até que a indústria traga soluções de fato, a sociedade vai se organizando. Cada vez mais pessoas estão instalando seus apps financeiros em celulares antigos e deixando-os em casa, enquanto outros contratam seguros especiais para perda, roubo ou sequestro relâmpago. Ao mesmo tempo, desabilitam as funções de aproximação de seus cartões, ou compram carteiras antifurto, ou antiRFID, e seguem a vida. Esses desafios são o grande “novo normal” de nossas vidas. Estamos cada vez mais conectados, e enquanto a indústria se organiza, foi assim com o Wi-Fi e o computador pessoal, vamos nos adaptando para aproveitar o máximo de seus benefícios.
As dificuldades das pessoas físicas, no entanto, não precisam ser vividas também pelas empresas, que possuem um leque de opções bem mais extenso para aumentar a segurança de seus negócios e impedir a espionagem. Obviamente irá necessitar de investimentos para tal. Começando pelos dispositivos móveis, é possível hoje controlá-los e obter controle sobre aplicativos instalados, com a opção de apagá-los completamente, através dos sistemas MDM. As modernas tecnologias ZTNA - Zero Trust Network Access não só agilizam o acesso dos usuários como ajudam a impedir o acesso indevido, mesmo que vindo de um aparelho roubado, perdido ou mal utilizado, com ou sem o roubo da credencial e senha. Como eu comentei no artigo do mês passado, cabe trazer o usuário, o indivíduo, como protagonista da segurança digital através da educação e conscientização, o que irá multiplicar o efeito das tecnologias de segurança implementadas. Como sempre teremos adversários à espreita, as empresas precisam de equipes bem treinadas, internas ou terceirizadas, de monitoração e resposta a incidentes. Os riscos de digitalização de nossa sociedade e negócios estarão sempre presentes, e o processo (ou progresso) é irrefreável. Os benefícios serão sempre maiores que os riscos, mas para quem implementar com atenção uma boa estratégia de segurança.
Marcelo Bezerra é especialista em segurança da informação, escritor e palestrante internacional. Atua há mais de 30 anos na área, com experiência em diferentes áreas de segurança cibernética. E-mail: marcelo.alonso.bezerra@gmail.com.
