quinta-feira, 8 de agosto de 2019

DE VOLTA À AUTENTICAÇÃO EM DUAS ETAPAS

SE FERRADURA TROUXESSE SORTE, BURRO NÃO PUXAVA CARROÇA.

O material obtido criminosamente pelo grupo de hackers pé-de-chinelo (se é que somente os quatro suspeitos presos foram os responsáveis por invadir quase 1000 celulares de altas autoridades da República) e “entregue de mão beijada” ao criador do panfleto digital proselitista The Intercept — que vem vazando seletivamente trechos fora de contexto e possivelmente adulterados — é mais uma prova cabal de que segurança absoluta no universo digital é mera cantilena para dormitar bovinos.

Mesmo que a investigação ainda esteja em curso e os detalhes continuem sob segredo de Justiça, o que já foi divulgado deixa claro que as vítimas não se preocuparam em ativar a autenticação em duas etapas no Telegram e tampouco utilizaram o “chat privado”, no qual as mensagens são encriptadas e desaparecem automaticamente segundos ou minutos depois de lidas. Como a maioria de nós, Moro, Dallagnol e os demais envolvidos no furdunço privilegiaram a comodidade em detrimento da segurança, e o grande problema com as consequências é que elas vêm depois. 

Habilitar a autenticação em duas etapas é fundamental para garantir a segurança de contas e logins, seja em aplicativos mensageiros, como o WhatsApp e o próprio Telegram, seja em redes sociais, serviços e webmail e tudo mais que envolva dados “sensíveis”. Na maioria dos serviços, essa proteção adicional funciona por meio de um código numérico (token) registrado em aplicativos específicos, como Google Authenticator, Authy ou 1Password. Assim, sempre que se conectar usando um novo dispositivo, o usuário terá de informar o token para concluir o processo de login; se alguém descobrir sua senha, esse alguém só conseguirá acessar suas informações se obtiver também esse código adicional. 

A questão é que o envio do código pode ser feito por email ou SMS, e por ser essa a opção mais prática, ela é adotada por 9 em cada dez internautas. Mas praticidade e segurança nem sempre caminham juntas.

Por padrão, sempre que um email ou torpedo é recebido, o smartphone exibe uma notificação, mesmo que o bloqueio da tela esteja ativado. E é aí que mora o perigo. A Forbes publicou um vídeo de um grupo de hackers da Positive Technologies mostrando como foi possível acessar uma carteira de bitcoin na Coinbase por meio de interceptação de SMS.

Tudo começa quando os pesquisadores tentam recuperar a senha de uma conta do Gmail. Após obterem alguns dados (como nome e sobrenome) da “vítima”, eles solicitam um SMS com o código de recuperação, que é interceptado por meio de uma ferramenta. Depois que o Google confirma a identidade do usuário, é só mudar a combinação da conta. Feito isso, bastou entrar na Coinbase e acessar o “Esqueci minha senha”: o serviço de carteira de criptomoedas enviou um link de troca de senha, e a alteração foi realizada sem a menor dificuldade. Confira (são apenas 3 minutos):



Com informações do site Tecnoblog.