Não há como escapar: nas últimas semanas, poucos temas causaram mais furor na internet do que a “Vaza Jato”, que expôs mensagens privadas de múltiplas figuras importantes do cenário político nacional, incluindo entre eles o juiz Sergio Moro.
Sem entrar no mérito da legalidade ou ilegalidade do vazamento ou da publicação, o acontecimento chama a atenção para a falta de cuidado que autoridades do auto escalão brasileiro têm com suas vidas tecnológicas, o que pode ter impactos graves não só em relação à política nacional, mas também no que tange à cibersegurança do país em um momento em que a ciberespionagem é um temor real no mundo inteiro.
Alguns passos muito simples poderiam evitar todo o transtorno visto nos últimos tempos. São dicas que você, leitor, também pode aplicar à sua vida; por mais que você sinta que não tem nada a esconder e que sua vida não é interessante para um hacker, um ataque bem-feito pode gerar prejuízos graves.
Autenticação em dois passos é chave
Mesmo que você não entenda nada sobre tecnologia, não é difícil entender o que é a autenticação em duas etapas. Na maioria dos serviços que você usa, é necessário digitar uma senha que você cadastrou na hora do registro. Trata-se da primeira etapa de autenticação. A segunda etapa geralmente envolve digitar algum tipo de código que você recebeu por SMS, por ligação, ou às vezes até mesmo por um app que você tem instalado no seu celular. Praticamente todos os bancos hoje em dia aplicam algum método de verificação por código para que você acesse sua conta pela internet.
Roubar uma senha, afinal de contas, não é muito complicado. Muitas pessoas repetem suas senhas em múltiplos serviços e com frequência bancos de dados de aplicativos vazam, então aquele app suspeito que você uma vez pode revelar o seu nome de usuário e sua senha no Gmail, por exemplo, que tem informações importantíssimas sobre sua vida digital. Muitas pessoas também não se dão ao trabalho de pensar em senhas complexas, usando, por exemplo, o nome do cachorro como palavra-chave, o que pode ser facilmente descoberto com uma pesquisa nas redes sociais. Por fim, também existe o método de força-bruta, no qual uma máquina tenta incontáveis combinações diferentes de caracteres até achar a correta.
A senha pode até ser fácil de descobrir, mas um código aleatório que dura apenas alguns minutos não é. Por este motivo, a combinação de dois fatores de autenticação dificulta consideravelmente a vida de um potencial cibercriminoso interessado em suas contas digitais.
O Telegram nessa história
O Telegram, que foi central na história da Vaza Jato, possui uma característica curiosa que inverte a autenticação em duas fases: em vez de colocar uma senha primeiro, sua etapa inicial envolve o envio de um código por meio da rede telefônica, o que pode ser feito por SMS ou uma ligação telefônica.
Teoricamente, isso poderia significar mais segurança, já que não há como um deduzir o código. No entanto, por depender exclusivamente da rede telefônica, o sistema conta com algumas brechas, que foram usadas para obtenção das mensagens dos membros da Lava Jato e outras figuras da política.
Acontece que o sistema telefônico não foi criado para ser seguro. Existem vulnerabilidades sérias quando informações delicadas são transmitidas por meio de SMS ou de uma chamada de voz.
As vulnerabilidades da rede telefônica
“Vermelho”, como é identificado Walter Delgatti Neto, preso pela Polícia Federal, teria usado uma vulnerabilidade nas caixas postais das operadoras para obter os códigos de acesso ao Telegram de suas vítimas. Ele solicitava um código de autenticação ao Telegram por chamada, mas congestionava a linha telefônica com ligações, que normalmente apareciam partir do número da própria vítima (ato conhecido como “spoofing”). Desta forma, a mensagem acabava caindo na caixa postal, onde podia ser extraída pelo hacker.
É uma técnica simples quando você sabe qual é a vulnerabilidade, mas também há outros métodos que permitiriam interceptar o código SMS por meio de uma vulnerabilidade em um sistema chamado SS7 (sigla para Sistema de Sinalização 7), que permite, resumidamente, que celulares de diferentes operadoras se comuniquem normalmente. É um sistema fundamental, mas que não foi pensado para ser seguro e, portanto, é bastante vulnerável. Um hacker experiente, que esteja conectado à mesma antena celular que você, pode tomar controle do seu número e, por fim, receber o código SMS usado para autenticação.
O que deveria ter sido feito (e o que você pode fazer)?
Diante das vulnerabilidade mencionadas acima, quem quer usar o Telegram de forma realmente segura precisa configurar a segunda etapa de autenticação. Como mencionamos anteriormente, o Telegram inverte a ordem das coisas, e a segunda fase de autenticação é uma senha que apenas o usuário conhece.
Seria importante que as autoridades tivessem o cuidado de criar uma senha forte e longa, mesclando caracteres maiúsculos e minúsculos, números e símbolos. Desta forma, mesmo se o código do Telegram fosse interceptado, o hacker não poderia fazer nada sem a senha.
Existem métodos mais seguros
O Olhar Digital já mencionou no passado: configurar a autenticação em duas etapas é sempre melhor do que não configurar, mas, sempre que possível, dê preferência por métodos que não envolvam o envio de códigos por meio da rede telefônica.
Hoje em dia, existem aplicativos como o Google Authenticator, Authy e Microsoft Authenticator que geram códigos no seu celular, sem precisar recebe-lo por meio da rede de telefonia e funcionam mesmo se o dispositivo estiver no modo avião. Assim, mesmo se você estiver em outro país, ainda é possível fazer login na sua conta.
Alguns bancos já se deram conta dos riscos de enviar códigos por meio da rede telefônica e já não usam mais o SMS para isso. Em alguns casos, o próprio aplicativo do banco gera os códigos localmente, permitindo até mesmo que o usuário não tenha que digitar os números para ser verificado.
Quem realmente está preocupado com sua segurança pode ir além e adquirir uma chave física como uma YubiKey. É um dispositivo que pode ser colocado em um chaveiro e que pode se conectar ao seu computador por USB como método de autenticação em duas etapas; alguns modelos também contam com NFC, o que significa que você pode aproximar o aparelho do seu celular para realizar a verificação.
O problema é que nem todos os serviços estão habilitados a funcionar com múltiplos métodos de autenticação em duas etapas. Novamente: se o SMS é tudo que você pode usar, use.