O custo do vazamento de dados nunca esteve tão alto em função do crescimento exponencial dos ataques – uma situação evitável se os usuários se conscientizassem sobre a gestão segura de suas credenciais de acesso. / Foto: olieman.eth (Unsplash)
[18.03.2022]
Por Alexandre Adoglio, CMO na Sonica e empreendedor digital.
Escreve quinzenalmente sobre Cultura Digital para o SC Inova
Em setembro de 2021 o dfndr lab, laboratório de segurança digital da PSafe, identificou um vazamento em massa de dados de brasileiros através de um site público, que disponibilizou 429 milhões de informações pessoais e 109 milhões de cadastros CNPJ na Deep Web. Segundo análise do laboratório, tido como o melhor da América Latina, detectou-se tratar de uma super base, provavelmente enriquecida a partir do compilado de outros vazamentos.
O que deu-se em seguida, e até meados deste ano, foi uma enxurrada de casos dos já comuns golpes de WhatsApp, roubos de identidade e movimentações financeiras não autorizadas, promovidas por grupos ligados ao crime local mas também estabelecidos em locais como Israel e África, utilizando enormes estruturas de telemarketing ativo com pessoas de língua lusófana para interagir com os brasileiros desavisados.
Uma nova realidade que tem impactado a economia mundial, calculado em US$ 4,24 milhões por vazamento, o maior custo total médio em 17 anos de estudo do relatório anual da IBM. O vetor de ataque inicial mais comum são credenciais comprometidas, responsável por 20% das violações a um custo médio de violação de US$ 4,37 milhões. Uma situação perfeitamente evitável se conseguíssemos conscientizar os usuários sobre a importância da gestão segura de suas credenciais de acesso.
ABRA-TE SÉSAMO!
Credenciais de acesso via senha são usadas desde os tempos antigos. Sentinelas romanos desafiavam aqueles que desejassem entrar em uma área para fornecer uma senha ou palavra de ordem, e só permitiriam a passagem de uma pessoa ou grupo se soubessem a senha. O historiador grego Polybius já descrevia o sistema para a distribuição de palavras de ordem nas forças armadas romanas, em uma seleção de membros do exército que conduziam modo operante intricado com tábuas de marcação que eram validadas entre suas fileiras.
As senhas em uso militar evoluíram para incluir não apenas uma senha, mas uma senha e uma contrasenha; por exemplo, nos primeiros dias da Batalha da Normandia, os pára-quedistas da 101ª Divisão Aerotransportada dos EUA usaram uma senha — flash — que foi apresentada como um desafio e respondeu com a resposta correta — trovão. O desafio e a resposta foram trocados a cada três dias. Os pára-quedistas americanos também usaram um dispositivo conhecido como “grilo” no Dia D no lugar de um sistema de senha como um método de identificação temporariamente exclusivo; um clique metálico dado pelo dispositivo em vez de uma senha deveria ser respondido por dois cliques em resposta.
Na área digital, as senhas têm sido usadas nos computadores desde seus primeiros dias. Fernando J. Corbató, cientista da computação egresso da física, foi um pioneiro norte-americano na área de informática, criador do primeiro sistema de acesso via credenciais. O Sistema de Compartilhamento de Tempo Compatível (CTSS), um sistema operacional introduzido no MIT em 1961, foi o primeiro a implementar o login por senha.
O CTSS tinha um comando LOGIN que solicitava uma senha de usuário: Depois de digitar PASSWORD, o sistema desliga o mecanismo de impressão, se possível, para que o usuário possa digitar sua senha com privacidade como parte do sistema operacional Unix. Este tipo de sistema foi baseado em uma máquina de criptografia de rotor Hagelin e apareceu pela primeira vez na 6ª Edição Unix em 1974, aonde uma versão posterior de seu algoritmo, conhecido como crypt, usou um login de 12 bits e invocou uma forma modificada do DES algoritmo de 25 vezes para reduzir o risco de ataques via dicionários pré-computador.
SORRY, THE PASSWORD MUST BE…
Quem nunca se enervou em frente a tentativa de configurar uma nova conta em algum serviço online e se deparou com uma série de obstáculos, mais parecidos com aquela palavra cruzada do vovô. Uma forma de nos convencer que o sistema é seguro, mas também uma prévia de aceite do contrato de serviços, visto que em muitas vezes damos nosso check no de acordo sem ler os termos, de tão putos que ficamos com as 7 ou 8 tentativas fracassadas de criar um usuário.
Em uma época de excessiva preocupação sobre nossos dados privados, e segurança cibernética em uma forma geral, a gestão de passwords passa a ser crítica em nossa rotina como humanidade, pois para qualquer tipo de iteração atual necessitamos provar quem somos através de credenciais pré-estabelecidas, seja em São Paulo ou no Quênia.
Segundo estudo da empresa de segurança SpyCloud, 60% das pessoas utilizam senhas fracas, inclusive a mesma em várias contas de serviços diferentes, resultando em 850 incidentes de vazamento em 2021. Um outro motivo, aponta o relatório, é que 32% das senhas vazadas estavam criptografadas com o algoritmo MD5, e 22% com o SHA1, ambos demonstradamente fracos contra ataques de “força bruta”, que atualmente são capazes de quebrar a criptografia em poucos minutos.
E já são muitos os estudos mostrando as brechas de segurança causadas por má uso de credenciais, desde lista com as senhas mais usadas até tutoriais mostrando de forma clara como gerar e manter senhas seguras.
I’M NOT A ROBOT
Obter uma senha pode ser um grande incômodo para os introvertidos na mesa do bar, que por vezes passavam aquela vergonha básica em não entender muito bem o que o garçom dizia ao ser questionado sobre as credenciais de wifi do estabelecimento. Ainda mais com máscara de pandemia, ficamos meio que de olhos estreitos olhando o sujeito grunir caracteres inteligíveis na nossa frente. Fora os inúmeros casos de passwords engraçadinhos encontrados mundo afora, provocativos para qualquer hacker de prontidão.
De tão incomodado com esta situação, o lendário empresário Alekssander Mandic criou uma ferramenta própria de compartilhamento de senhas públicas. O app WiFi Magic promete disponibilizar senhas públicas de wifi em todo o mundo, através de um mapa que mostra todos os estabelecimentos à sua volta, juntamente com as senhas das redes Wi-Fi correspondentes. As senhas são reveladas pelos usuários do próprio aplicativo – que enriquecem este banco de senhas adicionando as combinações dos estabelecimentos que tem acesso.
CONHEÇA NOSSO CANAL SOBRE CULTURA DIGITAL
CRIPTO ASSETS
E neste novo mundo que se abre a todos nós, das Finanças Descentralizadas (DeFi), nunca se tornou tão necessária uma gestão segura de credenciais. Repito: nunca se tornou tão necessária uma gestão segura de credenciais. Já é famosa a história de Stefan Thomas, que recebeu como pagamento o valor de 7.002 Bitcoins por serviços prestados e, simplesmente, perdeu a senha de acesso a carteira digital.
Na época, 2017, o BTC valia poucos dólares, então Stefan deixou ali para um dia caso precisasse, mantendo sua senha em três lugares diferentes. Sendo que dois destes desapareceram da história do rapaz, restava-lhe um IronKey, hardware de nível militar, impenetrável até mesmo pelo seu fabricante, e que depois de 10 tentativas apaga todas as informações permanentemente. Como Stefan já tentou 8 vezes, aguarda ele um momento de inspiração cerebral para acessar seus assets, avaliados atualmente em U$ 283 milhões.
E este mesmo novo mercado nos ensina uma atitude preciosa em relação as senhas, principalmente em carteiras digitais, que é nunca salvar sua credencial de forma online. Cadastre, escreva em um papel, no segundo papel e no terceiro. Em seguida guarde cada um deles em um cofre diferente e coloque a chave embaixo do seu travesseiro.
LEIA TAMBÉM:
SIGA NOSSAS REDES