Phishing: burlas e como se proteger

Tendo em conta o recente ataque aos cartões de pontos Continente, uma notícia muito bem coberta pelo Lourenço Medeiros da SIC, talvez o grande público (e as grandes empresas!) comece a compreender que as coisas já não são como dantes: a Internet pode ser a plataforma mais segura do mundo, mas não podemos dar-nos ao luxo de sermos negligentes com a segurança informática. Neste mundo onde podemos pagar tudo (mesmo os impostos) via Internet, onde as facturas e os recibos podem ser enviados digitalmente, e onde praticamente todas as empresas que têm os nossos dados pessoais têm-nos de alguma forma acessíveis via um site qualquer, e em que recebemos toneladas de mails todos os dias — muitos parecendo vir de empresas das quais somos clientes ou fornecedores — há que tomar os mesmos cuidados que temos com as comunicações que são feitas em papel.

É por isso que o Paulo Laureano também está a fazer uma série de podcasts sobre informática chamado Os Zeros e os Uns — e sobre segurança informática, à parte do seu trabalho constante de informar o público em geral através do seu blog pessoal — e, neste episódio, em que ele convidou um caramelo gordo e feio para o programa, fala-se justamente de quão fácil é «enganar» as pessoas com aldrabices simples mas altamente eficazes; do cuidado mínimo que devemos ter todos os dias quando lemos comunicações aparentemente «sérias» no email ou nos sites que parecem ser legítimos mas são tudo menos isso; e das soluções que podemos adoptar para que seja muito, mas muito mais difícil, «apanharem-nos» as passwords.

Podcast disponível no iTunes: https://itunes.apple.com/us/podcast/os-zeros-e-os-uns/id595785752, via Feedburnerhttp://feeds.feedburner.com/OsZerosEOsUns, MEO Kanal 508991, e, claro, no YouTube.

Para quem que, como eu, detesta ver um vídeo com meia hora quando a informação relevante se lê em três minutos, cá vai uma sinopse.

No início dos anos 90 do século passado, haviam já milhões de pessoas na Internet, mas os administradores de redes e sistemas eram poucos. Conheciam-se todos por reputação. Era uma tarefa árdua e complicada, e poucos os que sabiam o que fazer, pelo que o número de pessoas nesta área era pequeno. Logo, havia um excesso de confiança, que «éramos todos amigos» e que a ninguém lhe passava pela cabeça andar a usar a Internet para fins não legítimos.

Entrando no século XXI, obviamente que tudo mudou. Com a democratização e massificação do acesso à Internet, também os vigaristas e burlões passaram a ter precisamente o mesmo tipo de acesso. E chegaram a desenvolver ideias geniais, baseadas no seguinte pressuposto: as pessoas, por falta de hábito e de educação, «acreditam» mais em comunicações electrónicas do que em papel.

Quando recebemos uma factura da EDP em papel, vem num envelope com o logotipo impresso em offset (e não impresso numa impressora jacto de tinta). Há um selo ou carimbo da estação dos correios. No interior, temos papel timbrado, eventualmente com uma marca de água, que nos identifica correctamente como clientes da EDP. Podemos ter, pois, uma razoável confiança que a factura que recebemos, é, de facto, da EDP.

Na Internet recebemos apenas… uns bytes que têm um logotipo e uns dizeres e um link ou outro para fazermos login. Infelizmente, hoje em dia, é perfeitamente básico e trivial fazer um duplicado perfeito de uma mensagem legítima, e alterá-la subtilmente para um site de vigaristas. A maioria das pessoas nunca notará a diferença. Graças ao novo acordo ortográfico, já nem sequer se consegue distinguir a linguagem usada — dantes, eram os ardilosos programadores brasileiros (ou russos e chineses usando o Google Translate…) que mandavam a maioria das mensagens numa coisa que passava por português, e ainda poderíamos desconfiar que o email não viesse, de facto, da EDP. Hoje em dia, claro, já ninguém sabe como se escreve português e é muito mais fácil forjar mensagens.

Os phishers — criminosos informáticos que se fazem passar por entidades «legítimas» com o objectivo de aceder ilicitamente aos nossos dados — estão cada vez mais sofisticados, mas a verdade é que o esforço deles é muito menor que o nosso. Lembro-me de que o passatempo favorito da minha turma na universidade era «forjar» um login de entrada no servidor central dos alunos, tornando-o mais perfeito possível, para obter as passwords dos colegas e depois ler-lhes as mensagens, deixar-lhes ficheiros pornográficos e coisas parecidas (ou usar a área deles para ter mais espaço em disco!). Apesar de todos nessa turma estarmos a estudar informática, não havia ano em que não houvessem uma meia dúzia que caíssem que nem uns patinhos. Tenho a certeza que isto continua a ser assim hoje 🙂

Se estudantes de informática são facilmente enganados, quanto mais o público em geral. Por exemplo, quantas vezes olhamos para o endereço de onde vem o mail da EDP? Será que vem mesmo de lá? E o link para a página deles? É mesmo o da EDP? É que pode ser, por exemplo, o www.edp.ru, que é suficientemente parecido, e que, à primeira vista, parece ser o endereço correcto. Mas não é. Não é o caso, mas se fossemos parar a uma página igualzinha à da EDP, será que não nos sentiríamos tentados a meter lá o nosso login e password?

Os sites bons de phishing são quase indetectáveis. Por exemplo, nós já nos tempos da faculdade sabíamos que a primeira coisa que as pessoas notam logo é que, quando metem o login e password correctos, estão à espera de que se entre na página e pronto. Um site que dê erros quando metemos o login e a password é de desconfiar. Por isso o que fazíamos era simples: primeiro pedíamos o login e a password, guardávamos num ficheiro, mas depois redirecionávamos para a autenticação legítima. A vítima inocente assumia que se tinha enganado, colocava os dados outra vez, e como tudo funcionava bem a partir daí, raramente desconfiava. É que estamos habituados a enganarmo-nos uma ou talvez mesmo duas vezes na password. Só quando «nada funciona» é que desconfiamos. Se este tipo de conhecimento estava ao alcance de alunos do 1º ou 2º ano de informática no final dos anos 80, quanto mais será conhecido dos criminosos informáticos profissionais.

É que fomos entretanto aprendendo que os sites têm também comunicações encriptadas e certificados digitais para se validarem. Ou seja, estamos habituados a ver, nos sites que usamos e que envolvem transacções monetárias, que o endereço comece por https:// (o s é justamente de seguro). Talvez até saibamos que este tipo de comunicações é completamente encriptado, pelo que realmente ninguém pode interceptar a comunicação entre o nosso browser e o site a que estamos a aceder (é verdade). E se calhar até já reparámos que, para esta comunicação funcionar, o site tem de possuir uma assinatura digital. Isto é um certificado que é passado por uma entidade credível e legítima (por exemplo, em Portugal, a Multicert, uma empresa do grupo SIBS), que valida a idoneidade da entidade que detém o site a que estamos a aceder. Por isso, quando vemos lá o cadeadozinho, ou qualquer outro símbolo que nos indica que a comunicação é encriptada, sentimo-nos seguros.

O que não sabemos é que qualquer pessoa pode criar assinaturas digitais para si próprio (auto-assinar certificados digitais). Isto leva microsegundos a fazer, e as comunicações vão, de facto, ser encriptadas para o nosso site pirata. Vai aparecer lá também o cadeadozinho. Mas o site a que acedemos é completamente pirata… pois não houve nenhuma entidade idónea que lhe tenha passado o certificado. Foram os piratas a fazê-lo.

Ora a maioria dos browsers hoje em dia detecta este tipo de coisas, e até nos avisa muito bem de que estamos a aceder a um site cujo certificado digital foi assinado pelo próprio (e, logo, não há garantia de idoneidade). A maioria das pessoas não percebe o jargão, acha que foi «um erro qualquer» e que carregando em «continuar» o problema desaparece. E, realmente, de facto «desaparece» a mensagem de erro… e passamos a aceder a um servidor pirata, pensando que estamos «seguros».

Pior que isso é, obviamente, saber que há piratas que adquirem, realmente, certificados digitais perfeitamente legítimos para os seus sites piratas. Imaginem que alguém cria o domínio http://www.edp.com e pede um certificado digital para este. Os certificados digitais não são muito caros, e, dependendo da organização que os emite, podem também não estar muito «atentos» a quem está a fazer o pedido — podem apenas validar que o site existe e pouco mais (já houve broncas destas). Claro que mais cedo ou mais tarde, a EDP vai desconfiar (após queixas de clientes) e poderá obrigar os piratas a fechar o site, ou, pelo menos, mandar revogar esse certificado digital falso. Mas pode ser tarde demais: podem já ter sido enganados milhares ou dezenas de milhares de pessoas. Os criminosos informáticos sabem que têm janelas de oportunidade curtas. Geralmente, ao fim de umas horas ou dias, são fechados — ou, melhor, bloqueados por redes anti-spam e anti-phishing. O «jogo» deles, pois, é tentar apanhar o maior número de vítimas enquanto podem.

Como é que isto funciona? Não é muito complicado. Existem várias listas de sites falsos, de piratas, de scammers, de spammers, listas essas que são constantemente actualizadas: sempre que alguém, algures, detecta um «ataque», manda o endereço para essa lista. Faz-se uma pequena validação (nalguns casos, manual), e a lista é rapidamente actualizada. A partir daí, um fonecedor de serviços Internet (ISP) consciencioso, que tenha aderido a esta lista, imediatamente impede o acesso dos seus clientes aos sites forjados. Isto acontece automaticamente: bem que podemos tentar lá chegar, mas o ISP pura e simplesmente não deixa. Nem passa mail, nem passa Web, pois ambos dependem do Domain Name System (DNS) para funcionarem — a «lista telefónica» que informa qual o servidor a que se deve ligar quando alguém escreve http://www.edp.com na barra do browser. Estas listas actuam directamente ao nível do DNS, o que significa que o nosso browser vai receber uma mensagem do tipo «endereço inexistente». Simples, não é?

Mas a maioria dos operadores portugueses, especialmente os mais populares e com mais clientes, não implementam nenhum destes esquemas de protecção dos seus clientes. Porquê? Essencialmente por completa incompetência (pois é facílimo de fazer e não dá trabalho quase nenhum). Mas os seus clientes também nem sequer sabem que estas listas existem, pelo que também não fazem «pressão» para que o «seu» operador implemente o sistema.

Claro que este sistema, mesmo nos operadores conscienciosos, não é perfeito. Afinal de contas, tem de haver alguém que reporte o problema primeiro. Se alguém mandar uma dezena de milhão de spams via Google, é verdade que a Google pode, em pouco tempo, bloqueá-los a todos. Mas tem primeiro de detectar se um mail é ou não spam. Esta operação pode não ser «instantânea». Podem, de facto, passar algumas centenas ou milhares de mails (ou centenas de milhares!) falsos antes da Google os bloquear. E se dessas centenas, milhares, ou centenas de milhares, uns poucos forem «enganados», já compensou o trabalho do criminoso informático. Há sempre gente desatenta.

Como se pode resolver isto então? Bom, os certificados digitais também servem para assinar digitalmente os emails, e até para os encriptar. Isto funciona de uma forma mais ou menos parecida às assinaturas normais. Porque é que o banco nos pede que a gente assine cheques? É porque previamente recolheu a nossa assinatura; assim, sempre que passamos um cheque, comparam essa assinatura com a que têm nos seus registos. Se coincidir, aceitam o cheque. Se não, rejeitam-no, e avisam as autoridades.

As assinaturas digitais são a mesma coisa. Hoje em dia são muito baratas, ou mesmo gratuitas, e não há nenhuma razão para não as usar. Basicamente a ideia é que duas pessoas que queiram comunicar uma com a outra, trocam entre si certificados digitais. Depois, sempre que enviam emails uma para a outra, assinam-nos digitalmente. Isto é um processo que coloca uns dígitos (ou um ficheiro extra) no final do mail, e que qualquer pessoa que conheça a nossa assinatura digital pode «descodificar» e garantir que fomos mesmo nós que escrevemos aquela mensagem. O sistema até tem mais duas vantagens: é que sabe-se se o mail foi alterado ou não (se isso acontecer, a assinatura digital já não bate certo!); e, claro, podemos mandar as mensagens completamente encriptadas, sabendo assim que só quem conheça a nossa assinatura digital as consiga ler.

Isto não parece ser demasiada paranóia? Não. Hoje em dia, são populares os serviços de Webmail — desde o Google Mail, ao Hotmail, ao Yahoo Mail, Sapo, etc. Por preguiça, e por facilidade e comodismo, toda a gente tem endereços nestes fornecedores de email gratuitos. Podemos pensar que estas entidades estão dotadas de um altruismo fenomenal, mas não é assim. There ain’t no such thing as a free lunch: em troca dos vários Gigabytes de espaço em disco gratuito para os nossos mails, a Google lê todos os nossos mails.

Claro está, não são humanos a ler os mails, mas sim programas informáticos. Ao saber que mails recebemos e de quem, e de qual o seu conteúdo, a Google pode personalizar os anúncios que nos envia. Pode também agregar-nos consoante determinado perfil e vender essa informação a terceiros. Se estivermos, por exemplo, sempre a comprar livros na Amazon (que manda emails a confirmar as compras), a Google sabe isso, e sabe que temos um perfil de compradores de livros. Essa informação é valiosa, e a Google pode vendê-la à Amazon (ou aos seus clientes) dizendo: temos aqui uma pessoa que compra muitos livros online. Se nos pagarem, a gente manda-lhes publicidade sobre livros. Isto é um excelente negócio. Rende 42 mil milhões de dólares à Google por ano. (Mas os outros fazem o mesmo, claro, não é a Google que é a «má da fita».)

Ora aqui somos uma vez mais induzidos em erro. Porque a comunicação com a Google é encriptada (está lá o https:// no endereço, aparece o cadeadozinho, e até podemos confirmar que realmente estamos mesmo a falar com a Google, verificando o certificado digital que o browser nos apresenta), ficamos com a ideia de que está tudo seguro, encriptado, e impossível de ler por terceiros. Só que a única coisa que é encriptada é a comunicação da mensagem — entre o nosso browser e os servidores da Google. Uma vez lá arquivada, a mensagem fica em plain text — jargão que significa «sem qualquer tipo de encriptação». Tem de ser assim, senão os programas automáticos da Google não conseguiam ler os nossos mails — nem nós!

E de vez em quando também há um humano ou outro que os consegue ler… talvez não seja frequente na Google. Mas e na nossa empresa? Na nossa universidade? No Tribunal? O administrador de sistemas dessas entidades tem acesso ao servidor de email da organização, e pode ler todas as mensagens impunemente (sem sequer ninguém saber que os fez). Se estamos a fazer um negócio de milhões, ou a mandar contratos para clientes, será que queremos mesmo que o puto borbulhento, tímido e silencioso, que nos faz a administração dos servidores, leia todas as nossas mensagens confidenciais?

Seria a mesma coisa que uma empresa ter alguém que abrisse todas as cartas recebidas e enviadas, as lesse, e as voltasse a colocar no envelope, seladas, sem que ninguém desconfiasse. Como é sabido, a leitura de correio por parte de terceiros é um crime, na maior parte dos países democráticos. Nem a Polícia o pode fazer sem mandato. Embora o mesmo se aplique ao correio electrónico, o problema é como evitar que os administradores de sistema o façam!

Na realidade, é muito simples. Se não usarmos os serviços de Webmail, mas sim uma aplicação de email externa (o Microsoft Outlook, o Apple Mail, ou o Mozilla Thunderbird que é gratuito e funciona em qualquer plataforma — há mais, mas estes são os mais populares), então podemos instalar certificados digitais para as nossas mensagens, e aceitar certificados digitais das entidades com quem comunicamos. Então todas estas mensagens vão ficar encriptadas não só na transmissão, mas sim nos discos dos servidores de mail. A Google deixa de poder ler os nossos mails e vender o nosso perfil a terceiros. O nosso administrador de sistemas ficará frustrado pois não poderá mais saber com quem é que estamos a celebrar contratos e a enviar transferências bancárias. A informação encriptada é completamente segura; só nós e o destinatário é que a podemos ler.

Demasiada paranóia? Não. É que com o correio em papel tínhamos estes mecanismos todos e considerávamo-los seguros. Não passa pela cabeça de ninguém mandar um cartão postal com logins e passwords — pois qualquer pessoa o poderia ler! Se queremos enviar isso, metemos dentro de um envelope. Opaco. Reparem bem o trabalho e o cuidado com que as entidades gestoras de cartões de débito e crédito, os operadores de telemóvel, ou a Autoridade Tributária tem para nos mandarem cartas em que não se consiga ler o interior à transparência: para se ler os códigos que vão lá dentro é preciso mesmo rasgar o envelope. E se recebermos um envelope rasgado ou descolado, sabemos que os dados lá dentro já não são secretos, e desconfiamos de imediato, e pedimos dados novos.

Essas mesmas entidades, no entanto, mandam-nos os mesmos códigos por email, sem encriptação, sem sequer uma assinatura digital. Ficam na caixa de correio para serem lidas por qualquer pessoa.

Bom, nem todas as entidades fazem isso, é claro. Por exemplo, as Finanças, sempre que mudamos a password, mandam-nos uma carta. Ou então temos de usar o Cartão de Cidadão para aceder a sites seguros — porque o Cartão de Cidadão contém, para cada cidadão português, um certificado digital (e o aparelhinho para o usar custa apenas €17 — menos do que se paga anualmente em muitas entidades que emitem certificados digitais). Mas são comparativamente poucas as entidades que o fazem. Continuam a mandar facturas sem assinatura — e desencriptadas. Mandam-nos passwords sem se preocuparem com quem vai ler os emails.

Isto é desleixo — e falta de informação. Como clientes, deveríamos ser mais exigentes para com as empresas que comunicam connosco. Deveríamos eliminar toda e qualquer hipótese de receber mensagens forjadas, ou mensagens que fiquem desencriptadas nas nossas caixas de correio. Desconhecendo que isso é possível, também não fazemos pressão junto dos nossos fornecedores e clientes para adoptarem formas de comunicação segura. E, ao negligenciarmos isso, estamos a dar oportunidade a vigaristas e piratas informáticos de forjarem emails e sites Web para obterem os nossos dados confidenciais.

O podcast termina com um último ponto: passwords. Hoje em dia temos tantas passwords de tantos sites diferentes que é impossível lembrarmo-nos de todas. É infelizmente natural que usemos sempre as mesmas. Ora um pirata informático sabe isso muito bem. Se este quiser obter o PIN Multibanco do nosso cartão, «ataca» primeiro um site com segurança mais «fraquinha», obtém a password, e depois vai tentar atacar sites com segurança mais forte. Por exemplo, ao obter os dados do Cartão de Pontos Continente — algo a que pouca gente dá importância — ficou com o nosso número de telemóvel e BI. Muita gente usa isso como password. Depois basta tentar entrar no site de Home Banking com esses dados. Por vezes é só o que é preciso.

Como ninguém tem memória de elefante, neste podcast mostram-se algumas soluções simples para contornar o problema. São sistemas seguros de gestão de passwords. Basicamente o que acontece é  seguinte: sempre que nos registamos num site, geramos uma password aleatória diferente, que é completamente impossível de memorizar por um ser humano, e que não tem nada a ver com nada. Guardamos essa password, associada ao site onde a usamos, neste sistema de gestão de passwords. Sempre que nos precisamos de «recordar» da password, temos uma «master password» para entrar na aplicação e obter assim a password correcta. Escusado será dizer que essa «master password» jamais deverá ser usada. E, claro, se alguém nos roubar o computador, se não souber essa «master password», também não fica a saber nenhum dos nossos dados. Ficamos completamente seguros. A não ser, evidentemente, que sejamos assaltados à ponta de uma arma e que nos exijam que revelemos a «master password» — mas aí já estamos a falar de um assaltante com um excelente background informático! Qual é a probabilidade disso acontecer??

Em resumo: é muito fácil forjar emails, websites, e aceder à nossa informação alegadamente confidencial. Mas também é muito fácil (muito mais fácil!) defendermo-nos contra isso de forma activa — basta saber como, que foi o objectivo deste podcast. Nalguns casos, para a segurança ser perfeita, precisamos de exigir, enquanto consumidores, que os nossos clientes e fornecedores façam o mesmo. Mas este é um processo que requer alguma educação: temos de saber primeiro o que está em causa, como nos podemos defender, e depois explicar aos nossos clientes e fornecedores porque é que é importante que tenhamos comunicações seguras com eles.

Afinal de contas, sempre tivémos comunicações seguras em papel nos últimos séculos. Foi algo a que nos habituámos. Só nos últimos 20 anos é que as comunicações passaram a ser digitais e inseguras. Não parece fazer sentido!

Anúncios

Deixe uma Resposta

Preencha os seus detalhes abaixo ou clique num ícone para iniciar sessão:

Logótipo da WordPress.com

Está a comentar usando a sua conta WordPress.com Terminar Sessão / Alterar )

Imagem do Twitter

Está a comentar usando a sua conta Twitter Terminar Sessão / Alterar )

Facebook photo

Está a comentar usando a sua conta Facebook Terminar Sessão / Alterar )

Google+ photo

Está a comentar usando a sua conta Google+ Terminar Sessão / Alterar )

Connecting to %s