ATAQUES HACKER A DISPOSITIVOS IoT

NÃO BASTA VOCÊ BURLAR AS REGRAS, É PRECISO CRIAR AS SUAS PRÓPRIAS REGRAS E TER PODER PARA PUNIR QUEM AS DESOBEDECER.

As postagens publicadas do último dia 24 até ontem focaram os efeitos da evolução tecnológica no universo dos automóveis, a exemplo de dezenas de outras que eu venho publicando há algum tempo. Mas chegou a hora de fazer mais um intervalo e retomar os posts sobre TI, que são o carro chefe deste Blog desde quando eu o criei em 2006. Ainda há o que dizer sobre comandos variáreis, e essa lacuna será preenchida antes de passarmos à sobrealimentação, que, conforme já adiantei, é o pulo do gato quando se trata de melhorar o desempenho de um motor de combustão interna sem alterar seu deslocamento volumétrico. Feito esse rápido preâmbulo, vamos ao assunto do dia.

A empresa russa Kaspersky, referência mundial em cibersegurança, registrou no primeiro semestre deste ano cerca de 105 milhões de ataques contra dispositivos IoT (sigla em inglês para Internet das Coisas) provenientes de 276 mil endereços exclusivos IP. O número é quase dez vezes maior que o do primeiro semestre de 2018, quando foram identificados cerca de 12 milhões de ataques oriundos de 69.000 endereços IP.

O levantamento, feito com ajuda de honeypots — pote de mel, em tradução literal, mas que no jargão da cibersegurança designa "armadilhas" que simulam brechas num um sistema para colher informações sobre os invasores —, dá conta de que o Brasil figura entre os países mais atacados, mas o problema é mundial, já que ciberataques a dispositivos conectados se tornam cada vez mais frequentes à medida que a IoT se populariza, ao passo que usuários de dispositivos "inteligentes" — como roteadores, câmeras de segurança com gravação de vídeo et al — parecem não se convencer de que é preciso protegê-los.

De acordo com os dados coletados pela equipe da Kaspersky, os ataques contra dispositivos IoT não são sofisticados, mas tendem a passar despercebidos aos olhos dos usuários. A família de malwares Mirai, responsável por 39% das ofensivas, utiliza exploits para, através de vulnerabilidades não corrigidas nos sistemas, assumir o controle do dispositivo. Ataques de força bruta (modalidade que tenta descobrir senhas/logins através de processos manuais ou automatizados) é o método escolhido pelo Nyadrop, segundo colocado na lista das famílias de malwares mais atuantes (ele foi identificado em 38,57% dos ataques e não raro propicia o download do Mirai), seguido pelo Gafgyt, com 2,12%, que também se vale de ataques brut force.

A pesquisa também apurou que as regiões atingidas com mais frequência no primeiro semestre de 2019 são China, com 30% de todos os ataques ocorridos no país; Brasil, com 19%, e Egito, com 12%. No mesmo período do ano anterior, o Brasil liderava a lista com 28% dos ataques, a China estava em segundo lugar com 14% e o Japão vinha em seguida com 11%.

Para manter seus dispositivos seguros, a Kaspersky recomenda:

— Instalar atualizações de firmware sempre que possível. Quando uma vulnerabilidade é detectada, ela pode ser corrigida por meio de pacotes de correções contidos nessas atualizações.

— Usar senhas fortes, que combinem letras maiúsculas e minúsculas, números e caracteres especiais (&, %, #, @, *, §, entre outros).

— Reiniciar o dispositivo sempre que achar que ele apresenta um comportamento estranho.

— Assegurar-se de que o software de todos os dispositivos esteja sempre atualizado.

Para mais dicas de segurança, digite no campo de buscas do Blog palavras chave como segurança, vírus, malware, spyware e antivírus, entre outras. 

CAUTELA E CANJA DE GALINHA...

A CRENÇA FORTE SÓ PROVA A PRÓPRIA FORÇA, NÃO A VERDADE DAQUILO EM QUE SE CRÊ.

Assim como o Windows, o sistema operacional do seu smartphone ou tablet pode ter brechas passíveis de ser exploradas por bisbilhoteiros ou criminosos. Então, da mesma forma como você mantém seu PC protegido com as atualizações críticas e de segurança fornecidas pela Microsoft (saiba mais nesta postagem), proteja também seus dispositivos móveis aplicando as correções / atualizações disponibilizadas pelo Google (para o Android) ou pela Apple (para iPhone e iPad).

   

É fato que, no caso dos smartphones e tablets, o grande vilão costuma ser os aplicativos, daí ser importante baixá-los somente de fontes oficiais (como a loja do próprio fabricante do sistema ou do aparelho) e ficar de olho nas permissões exigidas durante a instalação.

Qualquer que seja a plataforma, a ação do spyware se dá de maneira dissimulada, praticamente invisível por quem não é tecnicamente habilidoso para saber exatamente onde procurar. Diante da suspeita de infecção, varra o sistema com um anti malware responsável; se não resolver (pode não ser possível neutralizar a ameaça), faça um backup dos seus arquivos mais importantes, reinstale o sistema no seu PC (ou resete seu dispositivo móvel) e mude suas senhas (de email, net banking, Facebook etc.). 

Observação: No caso de tablets e smartphones baseados no Android, acesse Configurações, selecione Backup e reset e escolha redefinir dados de fábrica. No iOS, selecione Configurações > Geral > Redefinir > apagar todo conteúdo e configurações. 

A melhor defesa contra o spyware ― e também contra os demais malwares ― é manter um arsenal de defesa responsável e evitar abrir emails de remetentes desconhecidos e baixar arquivos sem antes certificar-se da idoneidade da fonte. Igualmente importante é não seguir links sem antes verificar para onde eles realmente levam (na dúvida, não clique).

Quando você for instalar uma suíte de segurança (tipo Internet Security), assegure-se de que a opção que você tem em vista ofereça proteção em tempo real ― ou por outra, que seja capaz de bloquear as ameaças antes que elas se instalem, já que removê-las a posteriori nem sempre é possível ou, quando é, geralmente requer um procedimento complexo e trabalhoso. Sem mencionar que entre o momento da infecção e a identificação da praga pela ferramenta de segurança um cibercriminoso pode bisbilhotar seus dados e capturar suas senhas e outras informações confidenciais/pessoais.  

Antivírus que se baseiam somente na assinatura das pragas não provêm proteção adequada, uma vez que são capazes de identificar ameaças que ainda não estão nos seus bancos de dados. A versão premium do Malwarebytes é bem conceituada entre os especialistas, de modo que fica aqui a sugestão.

SEGURANÇA DIGITAL — PREVENIR ACIDENTES É DEVER DE TODOS

PERCA A BATALHA, MAS VENÇA A GUERRA.

Prevenir acidentes é dever de todos, já dizia meu avô. E como navegar na Web há muito que passou de bucólico passeio no parque a safári selvagem, melhor pôr as barbinhas de molho. Lembre-se: em rio que tem piranha jacaré nada de costas e cautela e canja de galinha não fazem mal a ninguém.

As ferramentas antimalware estão longe de prover a proteção de que precisamos, dizem alguns analistas, especialistas e palpiteiros de plantão. Pode ser, mas a questão é que ainda não criaram nada que as substitua com vantagens, e como sempre é melhor pingar do que secar, a conclusão é óbvia. Todavia, considerando que ainda não foi criado um software idiot proof a ponto de proteger o usuário de si mesmo, agir com bom senso é fundamental, e nos meandros obscuros da grande rede isso significa desconfiar de tudo e de todos.

Além de escolher um pacote de Internet Security responsável, ativar a atualização automática e habilitar todas as proteções disponíveis — mesmo que isso resulte aborrecidas mensagens pedindo autorização para acessar tal arquivo e baixar esse ou aquele app; afinal, melhor prevenir do que remediar, sem falar que segurança e conforto raramente andam de mãos dadas —, convém fazer varreduras por demanda (pelo menos uma vez por semana) e obter uma segunda opinião a partir de um serviço online de confiança, além de submeter quaisquer itens suspeitos ao Virustotal, que faz a checagem a partir de mais de 70 ferramentas de análise.

Igualmente recomendável é rodar quinzenalmente o MS Safety Scanner. Depois de baixar a versão adequada ao seu sistema, dê duplo clique sobre o executável, aceite o contrato de licença, clique em Avançar nas duas telas seguintes, selecione a opção de varredura desejada, torne a clicar em Avançar e aguarde o resultado — que pode demorar de muitos minutos a algumas horas, dependendo do número de arquivos envolvidos

Observação: O Safety Scanner não oferece proteção em tempo real, de modo que não o desobriga de manter um pacote de segurança residente. Demais disso, ele expira 10 dias após o download; para rodar uma nova verificação com as definições atualizadas, é preciso baixar novamente o executável a partir do site da Microsoft.

FRAUDES E MAIS FRAUDES — EM RIO QUE TEM PIRANHA, JACARÉ NADA DE COSTAS

AINDA HÁ TEMPO. CADA VEZ MENOS, PORÉM

Depois da popularização da computação doméstica, do acesso à Internet por usuários comuns e, principalmente, da disseminação do smartphone e outros dispositivos computacionais ultraportáteis, o número de malwares cresceu mais que a inflação da Venezuela, deixando-nos saudosos do tempo em que pragas digitais eram simples brincadeiras de programadores desocupados e que bastava reinstalar o Windows para tudo voltar aos eixos. 

Segundo relatório "Fast Facts" — da renomada empresa de segurança digital Trend Micro —, o Brasil é o 9° colocado no ranking de países com mais malware — 1,3 milhão de ameaças detectadas, um avanço de duas posições em relação ao estudo realizado no primeiro trimestre deste ano. O Japão lidera o ranking, com 8,7 milhões de ameaças, seguido por Estados Unidos (8,5 milhões) e Itália (com 2,3 milhões).

Os golpes digitais estão em constante evolução. Já não basta — se é que algum dia bastou — contar com uma suíte "Internet Security" para navegar despreocupado nas águas turvas da Web. Nenhum software, por mais rebuscado que seja, é "idiot proof" a ponto de nos proteger de nós mesmos. Afinal, de que adianta o antivírus alertar para possíveis problemas na execução de um arquivo ou na instalação de um app se simplesmente ignoramos a mensagem e damos sequência ao processo?

Os jovens tendem a ser mais inconsequentes, mas pesa em favor deles o fato de terem começado a usar smartphones e PCs antes mesmo de aprender a escrever. Já os idosos costumam ser mais fáceis de engabelar, talvez por não assimilar as novas tecnologias (cães velhos não aprendem truques novos) ou por pensar que ainda vivem nos tempos de D. João Charuto, quando acordos eram feitos no "fio do bigode" e sacramentados por um vigoroso aperto de mão.

Mais de 20 milhões de aposentados e pensionistas têm direito a empréstimos consignados, o que os torna atraentes aos olhos dos vigaristas, que só precisam obter o número do cartão de benefício para pedir tomar um empréstimo em nome do segurado e indicar a conta corrente de um laranja para o crédito do valor. Na maioria das vezes, a vítima só se dá conta da fraude quando a primeira parcela é descontada de seu pagamento.

Observação: Os golpistas costumam agir em municípios ou estados diferentes daquele onde a vítima é domiciliada, mas os funcionários, quase sempre mal remunerados e desmotivados, não se dão ao trabalho de cruzar a informações com o banco de dados do INSS.

Outras modalidades comuns de fraudes:

1) O estelionatário se posiciona junto aos caixas eletrônicos e observa a senha que o aposentado digita ao sacar o benefício (em muitos casos, familiares da vítima — filhos, netos, sobrinhos, genros e noras — se valem dos dados do aposentado para sacar dinheiro ou até comprar coisas em nome).

2) Os criminosos se apresentam às vítimas como vendedores e oferecem todo tipo de produto — quando a lábia é boa, e quase sempre é, os incautos lhes entregam de bandeja todo tipo de informação, cópias de documentos, cartão do benefício, e até assina documentos em branco.

3) No golpe do andamento processual, o idoso é procurado por falsos advogados que prometem apressar andamento do processo previdenciário na Justiça, liberar valores atrasados e até agilizar a concessão do benefício em agências do INSS.

4) No golpe do recadastramento, os vigaristas se passam por funcionários do INSS e, a pretexto de um falso recadastramento, apropriam-se de dados sigilosos, como número da conta bancária e da senha do aposentado.

— Em caso de dúvida na operação do caixa eletrônico, o segurado deve se dirigir a um funcionário do banco, ou seja, nunca aceitar ajuda de pessoas não autorizadas, por mais "distintas, gentis e bem-intencionadas" que elas pareçam ser.

— Em hipótese alguma o segurado de fornecer a terceiros o número do benefício e a senha do cartão, nem tampouco permitir que terceiros examinem seu cartão sob qualquer pretexto, já que os vigaristas são habilidosos e podem trocar a mídia sem que a vítima perceba.

— Ao escolher uma senha, deve-se fugir do previsível (data de nascimento, placa do carro, número do telefone, etc.); se for preciso anotá-la, deve-se fazê-lo longe das vistas de terceiros. O papel deve ser guardado separado do cartão, em local seguro (por incrível que pareça, tem gente que cola a senha com durex no verso do cartão).

— Em caso de perda do cartão magnético, o segurado deve comunicar o fato à central de atendimento do banco e solicitar o devido cancelamento. Em caso de furto ou roubo, é preciso registar a ocorrência na delegacia policial mais próxima de onde o fato ocorreu e enviar uma cópia à agência do INSS onde o benefício é mantido.

— Ao utilizar caixas eletrônicos, deve-se dar preferência às praças de autoatendimento das agências bancárias. Na impossibilidade, caixas eletrônicos em shoppings, lojas de conveniência e postos de gasolina também são uma opção, desde que utilizadas em horários em que haja grande movimentação de pessoas no entrono (dificultando a abordagem, após o saque, por um assaltante de plantão).

— Em caso de retenção do cartão no interior da máquina, deve-se pressionar a tecla a tecla "anula" e comunicar imediatamente o fato ao banco, utilizando o telefone instalado na própria cabine. Jamais se deve usar celulares de terceiros para fazer essa comunicação, pois a senha fica registrada na memória do aparelho, dando ao fraudador a possibilidade de agir.

— Aposentados e pensionistas não devem fornecer dados pessoais nem documentos a pessoas estranhas que os procurem para oferecer financiamentos, produtos, revisão de benefícios e liberação de pagamentos atrasados, bem como desconfiar sempre de quem se apresenta em nome de banco ou do INSS (funcionário).

— Qualquer suspeita deve ser denunciada imediatamente à Ouvidoria do INSS pelo telefone 135 (ou pelo site www.previdencia.gov.br), à polícia, ou diretamente na agência da Previdência Social da região. Convém anotar e guardar tudo que possa servir como prova (documentos, cartões de visita, papéis). Se confirmada a ocorrência de fraude, o INSS adota providências imediatas junto à instituição financeira, que tem 10 dias para solucionar o problema, interromper o desconto e devolver os valores (corrigidos) ao segurado.

De acordo com Banco Central, a verificação da identidade do segurado que solicita o empréstimo consignado é de responsabilidade de cada instituição bancária. O segurado que receber um empréstimo não solicitado deve contatar a instituição que o concedeu e solicitar os dados bancários para a devolução do valor recebido (é obrigação dos bancos receber o valor de volta e cancelar a operação imediatamente, sem qualquer custo).

DE VOLTA À AUTENTICAÇÃO EM DOIS FATORES

NÃO SOU PRECONCEITUOSO, MAS SUPERIOR.

Diz um velho ditado que o que abunda não excede; outro, que é melhor pecar por ação que por omissão; outro, ainda, que seguro morreu de velho. Então vamos lá:

A vaza-jato, como ficou conhecido o vazamento de mensagens obtidas de forma criminosa (mediante hackeamento de aproximadamente 1000 smartphones de autoridades) e divulgadas seletivamente pelo site Intercept, trouxe preocupação a usuários de aplicativos mensageiros, como o Telegram e o WhatsApp.

Uma das maneiras de aprimorar a segurança desses programas (e de diversos serviços online) é a dupla autenticação, até porque não é boa política confiar apenas numa simples senha alfanumérica, não importa quão segura ela pareça ser — menos pela "insegurança" propriamente dita das senhas e mais pela negligência dos usuários, que não raro criam senhas robustas — isto é, difíceis de memorizar —, mas as anotam num post-it que candidamente colam na moldura do monitor do PC, por exemplo.

Outras prática a evitar, a despeito da comodidade que ela proporciona (conforto e segurança raramente andam de mãos dadas), é usar a mesma senha para se logar em diversos serviços — e, pior ainda, salvá-la no navegador, para que seja preenchida automaticamente sempre que necessário. Mesmo que só você utilize seu PC (ou smartphone, que não deixa de ser um computador), bisbilhoteiros não faltam, e alguém sempre pode se aproveitar... enfim, acho que já me fiz entender.   

O sequestro de contas em redes sociais tem sido uma prática recorrente, e uma maneira de dificultá-lo é justamente a autenticação em dois fatores (conforme já frisei uma porção de vezes, mas volto a repetir em atenção aos recém-chegados). Por autenticação de dois fatores (ou 2FA), entenda-se a criação de uma camada adicional de segurança de login, que visa limitar ao legítimo usuário o acesso a um aplicativo ou serviço, mesmo se alguém descobrir a senha. O segundo fator é um código de segurança que não precisa ser memorizado, pois é criado aleatoriamente a cada login e pode ser recebido por SMS ou email, ou mesmo gerado num aplicativo (soft token) ou num dispositivo específico para esse fim (hard token).

Apps de troca de mensagens, como os populares WhatsApp e o Telegram, oferecem nativamente o recurso, mas é preciso ativá-lo para uso. Em smartphones com Android 7 e versões superiores pode ser usado como chave de segurança um mecanismo que combina a localização do GPS com o sensor de proximidade conectado pelo Bluetooth. As contas no Facebook e Instagram também oferecem a opção, e uma maneira universal de gerar o código de segurança é recorrer ao aplicativos Google Authenticator e Microsoft Authenticator. Os dois funcionam como geradores de códigos aleatórios para proteger as contas de redes sociais, email, entre outros tipos de serviço online.

Atualmente diversos mecanismos de controle de acesso suportam a autenticação de dois fatores, mas, de novo, é preciso ativar essa segunda camada de segurança. Convém fazê-lo o quanto antes; depois não adianta chorar.