Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.) vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quintas-feiras.

É difícil adivinhar o futuro e não há bola de cristal. A única maneira de dar um belo "chute" é olhando para trás. E o que se tem visto nos últimos anos aponta para uma mudança curiosa: computadores domésticos estão deixando de serem os grandes alvos de ataques, que estão passando a atingir grandes empresas.

Em abril de 2014, o Windows XP deixará de receber atualizações de segurança, o que pode afetar 20 milhões de PCs no Brasil. Eis a dica da coluna: se você ainda está no Windows XP, atualize. Se o seu computador não aguenta o Windows 8, troque de computador. Ou mude para o Linux. Faça qualquer coisa, mas não continue usando o Windows XP.

Usar um sistema que não recebe mais atualizações de segurança é o mesmo que segurar uma bomba relógio. Uma falha grave de segurança pode ser descoberta a qualquer momento e, quando isso acontecer, não haverá modo de se proteger. Aqui, com certeza, há chance de algum ataque muito sério caso esses computadores não sejam atualizados, porque o Windows XP tem semelhanças com versões mais novas do Windows que o tornam alvo fácil das falhas que serão corrigidas em versões mais novas do Windows.

No entanto - eis aqui o que é importante para esta tentativa de adivinhar o futuro: o abandono do Windows XP, um sistema lançado em 2001, significa que mais pessoas estarão fazendo uso de sistemas mais novos, mais robustos e, portanto, mais seguros. Relatório divulgado pela Microsoft em outubro mostrou que o Windows XP tem quase duas vezes a taxa de infecção por vírus das versões mais novas do sistema.

Com computadores usados em casa ficando mais seguros e resistentes à ataques, e os dados sendo cada mais vez movidos para a "nuvem", o ataque que antes era direcionado ao computador vai ficar mais difícil. A tendência, portanto, é atacar empresas.

Esses ataques podem ocorrer via web. Sistemas de internet foram desenvolvidos com uma velocidade enorme nos últimos anos, acompanhando o crescimento da rede impulsionado pelo uso dos smartphones e da necessidade de dados disponíveis em qualquer lugar. Esses sistemas muitas vezes não tiveram um acompanhamento adequado do ponto de vista da segurança, e cresceram muito rápido: empresas jovens já armazenam diversos gigabytes de informações.

Os ataques também podem acontecer contra os próprios usuários. A segurança mais robusta nos computadores não impede ataques já usados pelos criminosos, como sites falsos, promoções fantasiosas ou outros tipos de fraude que não envolvem o computador e sim a própria vítima. Se o uso de vírus realmente for mais complicado, e novas técnicas de infecção não forem desenvolvidas, esse tipo de ataque poderá se proliferar.

Embora exista grande possibilidade de que celulares, TVs e outros aparelhos "inteligentes" comecem a ser vítimas de ataques - e certamente serão, em ambientes de pesquisa -, ainda é difícil imaginar que esses ataques cheguem em peso, exceto para os usuários de Android onde eles já são uma realidade, por mais limitados que sejam (ainda é muito difícil ser infectado apenas instalando um app no Google Play). A única coisa que pode mudar esse cenário é a descoberta de alguma falha muito grave.

Outro "ataque" às empresas deve vir da legislação: a questão de privacidade vem ganhando cada vez mais atenção, em parte por conta da grande quantidade de informações que agora estão na mão dessas empresas (pelas razões já explicadas anteriormente). O direito do esquecimento, regras de espionagem e interceptação internacional, regras para guarda e compartilhamento de dados, entre outros temas, certamente deverão aparecer como discussões políticas em 2014.

O Marco Civil da Internet brasileira, ainda não aprovado, será a manifestação mais óbvia desse assunto por aqui. Mas não há como ignorar a possibilidade de que outras questões venham à tona, conforme novos fatos acendam discussões. Um exemplo foram os recentes casos de fotos íntimas publicadas na web. Uma invasão a uma empresa de armazenamento em nuvem ou novas revelações de documentos vazados por Edward Snowden, sobre ações de espionagem dos Estados Unidos, também podem mudar o rumo da discussão.

E você, o que espera da segurança em 2014? Tem algum palpite ou bola de cristal?

Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.) vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quintas-feiras.

>>> E-mail enviando vírus
Meu email manda vírus pra todo mundo da minha lista. Já troquei a senha e não adiantou. O que devo fazer?
André

André, a primeira questão é se estes e-mails estão mesmo vindo de sua conta de e-mail. Como não existe verificação de remetente em e-mail, o criminoso pode continuar enviando e-mail como se fosse você aos seus contatos, mesmo que não tenha mais acesso à sua conta. Se ele já teve acesso uma vez, pode usar a lista de contatos e com isso continuar enviando os e-mails.

Outro detalhe é que, além do acesso à própria conta de e-mail, é possível que seu computador esteja infectado com um vírus.

Não se esqueça também de trocar a resposta secreta e, se disponível, ative a autenticação de dois fatores (via SMS) em seu serviço de e-mail.

>>> Mais e-mail com vírus
Olá, meu e-mail está com vírus, pois ele envia e-mails aos meus contatos (inclusive para mim, já que envio e-mails para mim mesmo com frequência, para guardar arquivos); porém não consigo encontrar um antivírus que consiga analisar meu e-mail para encontrar o vírus, então gostaria de saber se existe um programa confiável que possa retirar esse vírus do meu e-mail.
Obrigado.
Arthur

Nenhum antivírus poderá analisar seu e-mail, Arthur. O antivírus faz isso quando você abre uma mensagem: nesse momento ele verifica se aquela mensagem específica está infectada. Mas é só isso.

No mais, vale o mesmo que foi dito acima para o André: é preciso trocar a senha, resposta secreta e avaliar se os e-mails estão realmente partindo da sua conta de e-mail. Pode muito bem ser o caso que seu endereço de e-mail esteja apenas sendo usado pelos criminosos.

>>> Copiando e colando
Normalmente eu copio e colo (de um bloco de notas) o número da agência e da conta.
Isso garante uma segurança extra contra esses programas que capturam teclado?
Luiz Alberto

Não, Luiz. Evitar digitar a conta ou sua senha não vai lhe ajudar a impedir a captura das senhas. Muitas das pragas digitais que roubam senhas monitoram os campos de formulário do navegador. Desse modo, não importa como os dados foram colocados no formulário, apenas aquilo que foi enviado.

Em outros casos, o código é capaz de monitorar a área de transferência (onde fica o conteúdo do que é copiado e colado).

>>> Endereço real do endereço IP
Olá! Gostaria da ajuda de vocês: quando coloco o nº do meu IP em alguns sites que mostram de onde ele vem, em vez de aparecer o endereço da minha casa aparece o endereço de uma pessoa que conheço. É possível que esta pessoa esteja me hackeando/acessando meu computador? Como posso me proteger disto? (Obs.: mesmo mudando nº de IP o problema continua).
Fabíola

Não, Fabíola. O endereço físico, do "mundo real", ligado a um endereço IP pertence ao provedor de acesso, que é o "dono" daquele endereço IP. Quando um provedor de acesso usa determinados endereços para uma cidade ou região, esses serviços de "geolocalização", como são chamados, exibem essa região aproximada. Isso, claro, se souberem como o provedor usa aquele endereço. Às vezes, a informação está completamente equivocada.

O endereço só vai ser 100% correto em alguns casos. Exemplo: você está acessando de uma universidade que tem endereços próprios e esses endereços foram registrados para o campus da instituição de onde você está acessando.

>>> E-mail e senha
Sempre que vamos preencher cadastros a maioria dos sites pede para colocarmos o email que acho normal, mas depois pede a senha. Aí eu fico preocupado: tem como eles saberem a senha? Obrigado.
Jose Aldo

José, a "senha" de cadastro pedida pelos sites é uma senha específica para aquele site, não a senha do seu e-mail. O ideal é usar uma senha diferente para cada site ou serviço, porque é sim possível que aquele site tenha acesso à senha. Embora as senhas não sejam normalmente armazenadas em formato legível, toda vez que você preenche sua senha no site ela está legível, portanto pode ser vista pelo responsável pelo site.

Por esses e outros motivos, o ideal é sempre usar uma senha diferente. Especialmente seu endereço de e-mail deve estar protegido com uma senha que você não utiliza em nenhum outro lugar.

O pacotão da coluna Segurança Digital vai ficando por aqui. Não se esqueça de deixar sua dúvida na área de comentários, logo abaixo. Até a próxima!

Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quintas-feiras.

O assunto de neutralidade da rede voltou a causar polêmica desde a semana passada com duas notícias - uma no Brasil e outra nos Estados Unidos. Aqui, o texto do Marco Civil da Internet, projeto de lei que tramita no Congresso e deve ser votado ainda este mês, foi alterado para deixar claro que as operadoras têm direito de limitar a conexão de internautas. Nos Estados Unidos, o Google, notório defensor da neutralidade da rede, argumentou que clientes do serviço Google Fiber não têm direito a criar "servidores" com a conexão ofertada. Na prática, é um bloqueio de conexões.

A neutralidade da rede é um conceito segundo o qual as redes de comunicação da internet não devem priorizar uma conexão em detrimento de outra, garantindo que todos os sites e serviços sejam acessados com a melhor velocidade possível em condições iguais. A coluna Segurança Digital já explicou em detalhes a polêmica, e de que forma certos serviços ainda teriam vantagens mesmo em uma internet "neutra".

A alteração no texto do projeto do Marco Civil da Internet tem o objetivo de permitir que as operadoras possam oferecer serviços com franquias de acesso que, uma vez ultrapassadas, levam a uma redução da velocidade da conexão. Esse tipo de serviço já é oferecido hoje. As operadoras temiam que o texto anterior do projeto inviabilizasse a venda desses planos.

O Marco Civil tramita desde 2011 no Congresso. Um dos pontos mais polêmicos e que pode ter impedido a aprovação do texto é justamente a neutralidade da rede.

Enquanto isso, porém, os Estados Unidos estão considerando um ponto que até hoje não apareceu no debate brasileiro sobre o assunto: servidores caseiros. Um servidor é um software que fornece algum tipo de serviço, que acessado pelo software cliente. Por exemplo, seu navegador web acessa sites, mas um servidor web é o software que permite colocar uma página on-line para que outros a acessem.

A instalação de servidores é proibida pela maior parte dos contratos de acesso à internet, inclusive no Brasil, exceto quando o cliente paga mais por uma conexão "empresarial". Foi exatamente esse argumento que o Google fez ao responder uma reclamação aberta no FCC, órgão dos Estados Unidos equivalente à Anatel.

Nos Estados Unidos, o Google também é provedor de internet por meio do serviço "Google Fiber", oferecendo velocidades de até 1 Gbps. Por enquanto, não há maneira de adquirir uma conexão "empresarial", mas o Google informou ao FCC que irá fornecer uma conexão desse tipo no futuro.

O jornalista Ryan Singel publicou um texto no site da revista Wired (veja aqui) afirmando que a postura do Google contradiz os argumentos que a empresa tem feito em favor da neutralidade da rede. Para o jornalista, o Google está adotando uma posição bastante conveniente na questão da neutralidade: os provedores são obrigados a fornecer um acesso sem diferença de preço ou qualidade a serviços como o YouTube, mas usuários de internet são proibidos de criar, em casa, serviços concorrentes.

"Parece que temos de ser bons consumidores de serviços de nuvem, mas não podemos ter nossas próprias Freedom Boxes, servidores de conteúdo multimídia, serviços comerciais de pequena escala ou servidores de e-mail", escreveu o jornalista. (Freedom Box é um conjunto de softwares para oferecer diversos tipos de conteúdo a partir da própria conexão, sem o uso de intermediários.)

Por outro lado, as medidas que impedem servidores domésticos também podem beneficiar internautas. No Brasil, por exemplo, a quantidade de spam (mensagens indesejadas) enviado por computadores do país caiu com o bloqueio da porta 25, que impediu na prática a criação de servidores de envio de e-mail.

Se o bloqueio de servidores caseiros também é assunto da "neutralidade da rede", a internet como é hoje não é neutra.

O FCC não tomou nenhuma decisão sobre a questão, o que significa que os bloqueios de servidores caseiros devem continuar - tanto nos Estados Unidos, como no Brasil, onde a questão nem chegou a ser levantada.

A coluna Segurança Digital quis saber como os leitores acessam os serviços bancários de forma remota - seja por telefone ou internet. Hoje, a coluna vai comentar e analisar algumas das mais de 70 respostas deixadas por leitores.

Antes das perguntas, vale destacar que essa coluna já deu dicas sobre as formas mais seguras de se acessar os serviços bancários. No entanto, como nem sempre esses meios "ideias" estão disponíveis, ainda vale saber se as práticas que adotamos são seguras.

Dito isso, vamos lá!

1. O que você usa para acessar o banco e onde faz esse acesso? Exemplo: computador em casa, notebook via Wi-Fi, celular via 3G, telefone convencional etc.

Eu utilizo meu iPad e agora meu iPhone. Não experimentei o 3G ainda, uso normalmente o Wi-Fi de casa ou da faculdade (ambos com senha WPA-2). Utilizo os apps disponibilizados pelos bancos.
Bárbara

Uso internet residencial e do trabalho
Eduardo

Respostas:

Em uma rede Wi-Fi com WPA2, ainda pode ser possível que outro usuário da rede Wi-Fi consiga capturar os dados da sua conexão, desde que ele já esteja conectado à rede (e, portanto, saiba a senha dela) quando você for conectar. Ele poderá "observar" a troca entre seu computador e a estação Wi-Fi, permitindo que ele capture a chave de segurança que será usada em transmissões futuras. Portanto, acessar de qualquer rede Wi-Fi pública normalmente é uma má ideia, embora o ataque não seja fácil de realizar. O 3G será mais seguro.

O mesmo vale para acesso na rede do trabalho. Em alguns casos, outros computadores da rede podem ver os dados trafegados em sua conexão e alterá-la. Além disso, o computador do trabalho está conectado em uma rede com diversos usuários, o que significa que um vírus que atacou outro computador pode acabar se alojando no seu, mesmo que não por culpa diretamente sua.

Por esses motivos, é sempre preferível o uso do computador de casa. Se você só precisa verificar seu extrato, pode usar o seu telefone celular. Aliás, o acesso para qualquer operação pelo telefone convencional não foi mencionado por ninguém nas respostas!

2. Quais os recursos disponibilizados pelo seu banco (token, cartão de senhas, smartcard) que você utiliza? Como você lida com esses recursos? Sua senha bancária é aleatória ou é baseada em alguma informação fácil de lembrar, como uma data?

O banco da conta jurídica dá apenas um token. Já tentei cadastrar o aplicativo no Android mas o banco é tão enrolado que teria que ir até a agência para isso. Desisti. A conta física me dá SMS, Token e aplicativo no Android. Possuo os três, mas utilizo apenas o aplicativo, já que SMS pode demorar a chegar e o Token é mais um penduricalho que teria de carregar.
Jorge

Token, senha e data de fácil lembrança.
Maria Cristina Fernandes de Gusmão

O banco disponibiliza acesso via certificado digital, BB code (espécie de autenticador) e cadastramento de micros. Porém só uso esse último. A senha é aleatória, mas sempre com dígitos diferentes e numa ordem não muito óbvia, mas fácil de memorizar.
Ney Fabrício

Respostas:

Qualquer meio que gera senhas aleatórias é excelente, Jorge. Não é preciso usar todos. Apenas conheça qual o procedimento do banco que será necessário no caso de perda ou problema no celular, pois isso pode vir a impedi-lo de fazer alguma transferência bancária.

Maria, o uso de datas em senhas é inadequado. Mesmo que você pense ser uma data que só você sabe, simplesmente o fato de se usar uma data diminui o número de possibilidades (por exemplo, os dias vão até 31, e o mês apenas até 12, em vez de ambos irem de 00 a 99). É claro que, além disso, caso alguém saiba quais datas são importantes para você, o número de possibilidades fica bastante reduzido.

O cadastramento de computadores é uma medida interessante, Ney, mas não dispensa outros meios. Isso porque existem pragas digitais que atuam no seu próprio computador, quer dizer, realizam o roubo a partir do seu sistema. Esse tipo de fraude burla o cadastramento de micros, e o ideal é que exista outro mecanismo que impeça o vírus de agir livremente.

3. Quais são os passos que você segue para acessar o banco? Por exemplo, em que momento você procura a presença do cadeado de segurança (SSL)? Você fica atento a outros recursos de segurança? Quais?

A partir do momento que eu digitei o número da agência, a conta e clico em "ok" na próxima tela já vejo o cadeado indicando que o site é seguro. Depois vejo se o meu nome está correto, aguardo o teclado virtual aparecer, e também sempre leio os avisos de segurança, pois as vezes tenho que atualizar o software de segurança que o banco pede. Um outro detalhe é que já tenho o site do meu banco nos favoritos, mas sempre que acesso a página inicial do banco. Eu confiro se o endereço está correto, porque sei que pessoas mal intencionadas criam "clones" de sites de bancos, com pequenas diferenças no endereço para tentar confundir o correntista.
Jean Cesar Vasconcelos

Não sigo e-mail enviados, uso apenas por apps seguros e sites confiáveis. É muito difícil clonar um site de banco com todos os detalhes idênticos. Como uso o bankline quase todos os dias, percebo facilmente quando existe algo de errado.
Leonardo

Procuro o cadeado assim que me é solicitada a digitação da senha. Confiro a correção das horas mostradas no relógio apresentado no site. Eventualmente digito a senha de forma incorreta para conferir à negativa ao acesso.
Joaquim Freitas

Respostas:

Jean, suas práticas estão corretas.

Leonardo, não é verdade que clonar um site de banco é difícil. Pelo contrário: é muito fácil. Em alguns casos é até mesmo possível que o site seja inteiramente idêntico ao original, exceto pela captura de senhas que será realizada. Por esse motivo, não confie apenas no aspecto visual. Seus procedimentos quanto a e-mails estão corretos.

Joaquim, sua prática quanto a procurar o cadeado na hora de digitar a senha está correta. No entanto, a questão da hora e digitar a senha errada não funcionam. Você pode dispensar esses passos. Um site falso pode "bater" sua senha no site verdadeiro e, se o site verdadeiro retornar erro, ele repassa o erro para você. Já a hora é muito simples de deixá-la correta, de modo que só um ataque muito pouco sofisticado cometeria essa gafe.

Ainda tem dúvidas? Você pode escrever na área de comentários, logo abaixo. Até a próxima!

Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quintas-feiras.

Na semana passada, o G1 noticiou sobre um ataque que tem atingido sistemas brasileiros: um vírus que "sequestra" os arquivos do computador e exige que a vítima pague um valor - US$ 3 mil ou R$ 6,6 mil nos casos vistos aqui no Brasil, em maioria - para que uma senha que possa abrir os arquivos seja fornecida.

A fraude faz parte de uma extensa família de golpes, os "ransomwares", e não é nem um pouco nova. No entanto, por ser desconhecido no Brasil, assustou muita gente - é só verificar espaços de discussão relacionados à informática, inclusive o próprio fórum da Microsoft (veja aqui).

Dentro da categoria de "ransomware" se enquadram golpes que tentam assustar a vítima de alguma forma e bloquear o computador. Pornografia infantil, software pirata e violação de direito autoral são algumas das ameaças feitas pelas pragas digitais, que em sua maioria tem origem em países do leste europeu, onde também fazem muitas de suas vítimas. Muitas pragas do gênero atacam a Rússia, por exemplo, e permitem até que o "resgate" seja pago por SMS.

Internautas brasileiros foram vítimas frequentes de antivírus e antispywares falsos. A ideia é a mesma: um vírus instala um programa de segurança falso no computador, diz que a vítima está infectada (sequestro) e cobra para limpar a infecção (resgate). Esses softwares mudam de nome e marca a todo momento, para que uma busca na internet retorne a "página oficial" do programa - repleta apenas de bons comentários. E o computador estará "limpo" só depois que o internauta pagar.

De fato, o esquema é tão bom que até empresas de segurança mais "sérias" usam, fazendo com que versões de "testes" dos programas de segurança não possam eliminar pragas, apenas detectá-las. Na opinião desta coluna, esse comportamento não é ético: a correta maneira de testar um software é dando um prazo de tempo em que o software opera com todos os seus recursos.

Mas, voltando ao assunto, até brasileiros já tentaram criar um "antivírus falso". O golpe, porém, não parece ter dado certo e não foi visto mais por aqui.

No ano passado, porém, outra praga digital brasileira buscava convencer o internauta de que, por possuir o Windows pirata, era preciso comprar uma licença. Tudo, porém, era falso. E diferente dos ransomwares tradicionais - em que um pagamento é feito diretamente aos criminosos, o código brasileiro buscava apenas fazer com que a vítima digitasse os dados do cartão de crédito para que este fosse clonado. Ou seja, era uma versão bem "brasileira" da fraude.

Apesar disso, o tipo de ransomware que sequestra arquivos não tinha aparecido de forma significativa aqui no Brasil, apesar de já existir em outras partes do mundo pelo menos desde 2005. Isso mudou na semana passada.

Um dos motivos para a mudança pode estar nas investigações norte-americanas que desmantelaram um serviço comumente usado para o pagamento dos resgates, o Liberty Reserve. Como consequência, o concorrente Perfect Money, que foi usado nos ataques contra brasileiros, não aceita mais pagamentos dos Estados Unidos. Com isso, os hackers teriam sido obrigados a procurar vítimas em outros países.

Mas tudo indica que o principal motivo da expansão geográfica do ataque é uma brecha corrigida pela Microsoft no ano passado na função de "Área de Trabalho Remota". Usando a vulnerabilidade, um hacker pode invadir um computador com Windows e controlar a máquina totalmente, pela internet. O recurso de área de trabalho remota é mais usado em empresas para o gerenciamento de computadores pelo departamento de TI, além de servidores - os computadores que fornecem serviços para a empresa, como acesso a dados externos e internos (intranet), e-mail, e outros serviços.

Como servidores são os principais candidatos a terem uma conexão direta com a internet, eles foram as maiores vítimas do vírus que sequestrou os arquivos. É improvável que o ataque tenha sido direcionado ao Brasil. Porém, práticas inadequadas de segurança, sem a aplicação das atualizações necessárias, facilitaram o ataque.

Vírus brasileiros em geral não exploram esse tipo de vulnerabilidade, o que pode deixar a sensação de que não é necessário atualizar o Windows. Hackers brasileiros normalmente preferem utilizar essas vulnerabilidades para atacar servidores de modo mais sorrateiro, permanecendo no sistema sem serem notados - diferente de um vírus que bloqueia o computador e deixa sua presença muito clara para os responsáveis.

Isso, porém, só demonstra a falta de cuidados básicos mesmo em serviços de alto risco, como o uso da área de trabalho remota, mesmo quando são - ou deveriam ser - configurados por técnicos da área.

De qualquer forma, a solução mais correta é seguir o exemplo norte-americano e investigar as redes que intermediam os pagamentos para os criminosos. É a única maneira de garantir que não haverá maneira de lucrar com esse tipo de ataque.

Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quintas-feiras.

Quando guardamos algo em uma gaveta que necessita de uma chave, ou dentro de um cofre que exige uma combinação, entendemos que só é possível obter o que está ali dentro tendo a chave ou sabendo a combinação, ou então danificando de alguma forma o cofre ou a gaveta. Na segurança de muitos dados hoje, porém, esse não é o caso. Informações são sempre salvas sem proteção alguma, e a senha é uma mera formalidade para dar acesso a essas informações.

Na semana passada, uma ex-funcionária do Facebook, Katherine Losse, revelou que a rede social dispõe de uma "senha mestra" que dá acesso a qualquer informação, de qualquer usuário. Embora Losse talvez tenha entendido que isso é algo "anormal", na verdade essa é a exatamente a forma que boa parte dos sistemas informatizados funciona: as senhas são uma mera formalidade, e o que vale é o controle de acesso.

Um exemplo: o login do Windows. Embora o uso do computador esteja protegido pela senha do seu usuário do Windows, os dados armazenados pelo computador na verdade não dispõe de proteção alguma. Se o computador for iniciado com outro sistema operacional por meio de um CD, ou o disco rígido for instalado em outro computador, todas as informações poderão ser lidas, sem a necessidade de utilizar senha alguma.

Outro caso: em 2011, uma falha de segurança no serviço de armazenamento em nuvem Dropbox permitia que qualquer conta fosse acessada mesmo sem a senha correta. Isso porque o sistema simplesmente não estava verificando a senha, dando acesso aos dados.

O acesso a sistemas informatizados, seja sua conta no Facebook ou os arquivos armazenados em seu computador, é feito de uma forma menos "dura" e a autorização para o acesso é puramente lógica. Funciona da seguinte forma: quando você digita seu usuário e senha, o sistema verifica se as credenciais estão corretas e a quem pertence essas credenciais. Uma vez identificado o usuário, o sistema cria uma "sessão de acesso", que define quais dados serão acessados.

Iniciada essa sessão, a senha já não mais importa.

Em sites de internet, a página de login informa ao navegador um identificador de sessão. Esse identificador é reenviado pelo navegador ao site em cada acesso, permitindo que o site associe uma sessão autorizada com aquele acesso e apresente os dados corretos. Esse identificador de sessão é normalmente armazenado nos chamados "cookies" do navegador, que são meramente dados que o navegador guarda a pedido do site reenvia a cada acesso.

Isso significa que é possível obter acesso a uma conta sem jamais roubar a senha, usando apenas o roubo do identificador de sessão. E isso já ocorreu diversas vezes, devido a falhas que, por algum motivo, vazaram esse identificador de sessão de alguma forma.

Os cookies também podem ser lidos diretamente, de modo que, caso alguém tenha acesso a seu computador e leia os cookies do seu navegador, talvez ele possa acessar o serviço ao qual você está logado, especialmente se você usou a opção "lembrar de mim". Na verdade, em muitos sites o "lembrar de mim" armazena um identificador de sessão fixo, ou seja, um cookie roubado nesse caso continuará funcionando mesmo após você clicar em "logout" ou "sair".

Felizmente, muitos serviços incluem algumas proteções, como impedir o cookie de ser usado a partir de um endereço diferente (o que significa que você precisa refazer login quando viaja), ou incluem alguma verificação do navegador utilizado.

A única forma de proteger uma informação verdadeiramente com senha é usando criptografia. Esta coluna já ensinou a usar o TrueCrypt e a criptografia básica do Windows, enquanto a coluna Tira-dúvidas, também do G1, mostrou como usar o BitLocker, disponível em algumas versões do Windows.

Também o Mega, novo serviço de armazenamento do Kim Dotcom, fundador do Megaupload, utiliza uma criptografia associada à sua senha. Isso significa que a senha está realmente atrelada ao acesso ao site. Prova disso é que não é nem sequer possível mudar uma senha esquecida: se você esqueceu sua senha, perdeu seus dados.

De uma forma ou de outra, a lição importante é lembrar que a proteção dos seus dados hoje em muitos casos não depende da senha, e sim do sistema responsável pelo gerenciamento das sessões de acesso. Se esse sistema tiver uma falha (como aconteceu no Dropbox) ou puder ser burlado (como acontece no login do Windows), a senha se torna rapidamente irrelevante. Considere isso quando pensar na proteção dos seus dados.