A morte das senhas – Elas não podem mais proteger você.

Você tem um segredo. Ele pode arruinar a sua vida.

E nem é tão bem guardado assim, uma sequência de caracteres, 6 talvez 16 se você for do tipo cauteloso, mas que pode revelar tudo a seu respeito, sua conta bancária, senha do cartão de crédito, seus emails, seu endereço.

Na era da informação nós compramos a ideia de que as senhas podem nos proteger. Mas em 2012 isso se provou uma mentira, uma fantasia, e qualquer um que ainda o diga ou é um idiota, ou tenta fazer de você um.

Olhe a sua volta, hackers invadindo sistemas e divulgando listas de logins e senhas pela web são acontecimentos regulares.
E a forma como as contas estão interligadas faz com que uma pequena falha gere resultados devastadores, graças a uma explosão de informações pessoais armazenadas na nuvem quebrar senhas nunca foi tão fácil.

É aterrorizadoramente fácil crackear nossas vidas digitais. Imagine que eu quero entrar em seu e-mail. Tudo o que preciso fazer é digitar seu nome e talvez a cidade em que você nasceu, para encontrar a sua idade no Google. E com essas informações, a AOL, por exemplo, me dá o reset da senha e posso logar como se fosse você.

Primeira coisa a fazer logado? Pesquiso a palavra “banco” para encontrar emails do seu internet banking, vou até lá e clico em “Esqueceu a senha?” uso o email de reset e agora controlo o seu email e tenho acesso a informações da sua conta bancária.

O fator em comum em todas as ocorrências de invasão é a senha. E isso vem de uma época em que nossos computadores e dispositivos ainda não eram hyper-conectados.
Hoje em dia, nada do que você faça, nenhuma precaução que você tome, nem uma senha longa e randômica, nada pode parar alguém que esteja verdadeiramente dedicado em crackear sua conta.

A era das senhas chegou ao fim, nós só não percebemos isso ainda.

Senhas, são tão velhas quando a civilização, e desde que existem elas vem sendo quebradas.

Vamos começar com a forma mais simples de hack, adivinhação.

A falta de cuidado que a possibilita, é o maior risco de todos. Apesar de há anos as pessoas serem informadas para não fazerem isso, continuam usando senhas fáceis de adivinhar.

Quando o consultor de segurança Mark Burnett compilou uma lista de 10000 senhas mais comuns, ele encontrou a senha mais usada pelas pessoas, e acredite era “password” e a segunda mais popular? O número 123456.

Se você usa senhas fáceis, entrar em suas contas é algo trivial. Alguns programas gratuitos como o Cain and Abel ou John the Ripper automatizam a quebra de senhas como essas, de forma tão simples que qualquer idiota pode fazer isso.

Tudo o que você precisa é de uma conexão com a internet e uma lista de senhas comuns – que é facilmente obtida na internet e geralmente em formatos amigáveis de bancos de dados.

O mais chocante não é apenas que as pessoas ainda usem senhas como essas, mas que as empresas de serviços online continuem permitindo isso, pois a mesma lista que é usada para um hack pode ser usada para a segurança das contas. Não seria possível, pois nem as empresas tem acesso ao que usuário digita? A lógica é boa mas incompleta, o fato de usarmos algoritmos de encriptação baseados em hash como o MD5 para senhas, impede que os valores sejam descriptografados, mas para cada valor existe um hash correspondente, então ter uma lista de senhas comuns, também significa ter uma lista de hashs comuns a serem evitados.

Outro erro comum, é o reuso das senhas. Durante os últimos 2 anos mais de 280 milhões de senhas foram postadas online para qualquer um visualizar. LinkedIn, Yahoo, Gawker, e eHarmony todos esses tiveram falhas de segurança nas quais logins e senhas foram roubadas e divulgadas pela web.

Uma comparação de dois dumps revelou que 49% das pessoas reutilizava a mesma senha entre os sites hackeados.

 


“O reuso das senhas é o que realmente mata” – Nas palavras de Diana Smetters, uma engenheira de softwares na Google que trabalha na autenticação de sistemas. Os hackers que divulgam as suas senhas na internet são, relativamente falando, os bonzinhos, os maus vendem essas informações no mercado negro, os dados da sua conta ja podem até
estar comprometidos e você nem desconfia.

Hackers também conseguem senhas através de truques, enganam as pessoas, e uma das formas mais conhecidas é o phishing. Um site muito semelhante ao original, mas falso. Uma senha bem elaborada pode não passar de um esforço inútil, pois é desnecessário tentar quebrar sua senha, se ela for fornecida livremente.

Geralmente, o phishing começa com um e-mail falso de uma companhia famosa com um link para um site que é uma cópia quase perfeita.

Há algum tempo atrás, meu pai recebeu um e-mail da Cielo, com uma promoção para o uso do cartão de crédito, e me chamou para ver se era verdadeiro, ao seguir o link o site exibido era quase indetectável, na dúvida acessei o site oficial da Cielo, e encontrei o site falso entre os que na página oficial são delatados como no link: http://www.cielo.com.br/portal/cielo/cobrancas-indevidas.html

Scam Cielo
Imagem de E-mail – phishing. Muitas são as costumeiras mensagens de instituições bancárias, sempre fique com um pé atrás

 

Veja que os 4 sites apresentados, são muito bem construídos e enganam facilmente pessoas desatentas com a segurança.

Os casos de phishing são inúmeros, o Centro de Atendimento a Incidentes de Segurança – CAIS da Rede Nacional de Ensino e Pesquisa – RNEP
catalogou uma grande quantidade de fraudes que podem ver vistas neste link: http://www.rnp.br/cais/fraudes.php?tag_extend=&tag=476

Uma forma ainda mais sinistra de roubar senhas, é o uso de spywares, programas ocultos instalados em seu computador que secretamente enviam informações para outras pessoas, pesquisas indicam
que 69% das invasões no ano de 2011 foram resultado desses programas maliciosos.

Em 2010, o FBI ajudou a prender hackers da Ucrania que usaram o ZeuS um programa especializado em roubar senhas de bancos para roubar 70 milhões de 390 vítimas que eram essencialmente pequenas empresas nos Estados Unidos.

As pequenas empresas estão entre os maiores alvos, elas tem mais dinheiro que pessoas comuns, e menos segurança que as grandes corporações.

E infelizmente os problemas não param por aí, a memória é outra grande fraqueza. Devido a possibilidade de esquecermos nossas senhas, todos os mecanismos de senhas tem que possuir
uma funcionalidade para redefini-las, e esses mecanismos são alvos frequentes de hackers que usam engenharia social, uma forma de hack que obtem de você suas senhas com base na analise da sua vida.

E quem faz isso? Quem são as pessoas interessadas na destruição de vidas?

Basicamente, dois grupos assustadores.

O primeiro, são os grupos de criminosos, e são assustadores pois são bem organizados e com recursos consolidados para as atividades criminosas, como o caso dos hacker ucranianos citados há pouco.

O segundo grupo, é provavelmente ainda mais assustador, jovens entediados.Nerds frustados ou revoltados, crianças geniais querendo se exibir ou brincar de forma incomum, entre alguns outros casos bem específicos e que assustam pela capacidade inovadora empregada, que pode torná-los imprevisíveis e difíceis de serem combatidos. Existem casos catalogados de jovens de 14 anos que ficavam ligando para empresas de forma aleatória pedindo por redefinições de senhas, eles não eram hackers propriamente ditos, mas não eram menos efetivos. E com um pouco de dedicação conseguem acesso a contas de e-mail, arquivos e fotos.

Novos sistemas de segurança precisam ser pensados e aplicados. Biometria? É cara, e cheia de erros, quase ninguém usa. E se ninguém usa, ela não se torna melhor e nem mais barata. Outro problema dessa tecnologia é que não tem redefinição de senha, se você perder o pedaço de um dedo em um acidente, você perdeu a conta que seria acessada por aquela digital junto, o mesmo para a íris.

As diversas inovações em interatividade e integração de serviços na vida digital estão gritando silenciosamente que o nosso sistema de segurança, que certamente nunca será perfeito, está, atualmente, muito obsoleto.

 

Written by David Ohio

Tem 10 anos de experiência no mercado de tecnologia da informação, prestando serviços para empresas nacionais e multinacionais.
Atualmente é CIO na Ohiotech, empresa especializada em desenvolvimento de soluções em tecnologia da informação.

Um comentário

Comente :)

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *