Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.) vá até o fim da reportagem e utilize o espaço de comentários ou envie um e-mail para [email protected]. A coluna responde perguntas deixadas por leitores no pacotão, às quintas-feiras.

O termo "computação nas nuvens" não foi cunhado para descrever o site "Have I Been Pwned?" (HIBP), mas poderia ter sido: o site foi criado literalmente nas nuvens - durante uma viagem aérea - e Troy Hunt, o australiano que programou o site e opera sozinho o serviço, fala com entusiasmo sobre como hoje qualquer um pode criar um site ou serviço e mantê-lo no ar sem precisar se preocupar com picos de acesso, graças, também, ao uso de sistemas de "computação nas nuvens".

"Have I Been Pwned?" é um trocadilho e significa algo como "eu fui hackeado?". O site ajuda internautas a descobrirem se seus dados estão presentes em pacotes de dados vazados por hackers na internet. Ao cadastrar o endereço de e-mail na página, o serviço faz uma checagem em mais de 1,4 bilhão de registros e informa ao internauta se ele já teve seus dados expostos em algum vazamento. Também é possível optar para receber avisos no futuro e assim saber quando é preciso trocar uma senha.

Usar o site é grátis, mas a manutenção dele também não pesa no bolso: o Hunt conta que tem como princípio poder manter a página on-line "com menos dinheiro do que gasta com café". E não é por falta de acessos: a página já enviou 600 mil avisos para pessoas expostas em brechas e conta com 890 mil cadastros de pessoas de todo mundo, sendo que parte desses cadastros são corporativos - de bancos, empresas de telecomunicação e agências governamentais -, em que um único cadastro pode estar monitorando milhares de pessoais. Quando há um vazamento grande, a página chega a ter um milhão de visitantes em um único dia.

O HIBP ainda não tem os dados do recente vazamento do Yahoo - o pacote ainda não surgiu na web -, mas conta com outros nomes grandes, como Adobe, LinkedIn, MySpace, Tumblr e Dropbox.

Troy Hunt é um especialista em segurança que foi reconhecido pela Microsoft com dois títulos (o MVP  e o de "Diretor Regional") que a empresa concede a pessoas sem ligação funcional com a Microsoft e que contribuem com usuários de produtos Microsoft ou com a internet em geral. O primeiro prêmio, de MVP, chegou após Hunt publicar uma extensa série de artigos on-line sobre as brechas identificadas como as mais comuns da web pelo Projeto Aberto de Segurança de Aplicações Web (Owasp, na sigla em inglês).

Como lida com informações vazadas, o especialista e apenas registra no site o mínimo necessário para o serviço funcionar. É uma medida de precaução para que ele mesmo não acabe expondo os usuários se um dia for vítima de um ataque.

Hunt, que hoje tem 40 anos, conta que começou a se interessar por computadores quando era adolescente. Na época, ele vivia na Holanda e, segundo, ele, "era frio e não tinha muita coisa para se fazer". Ele então se formou na área e mais tarde se tornou arquiteto de software na empresa farmacêutica Pfizer, onde atuou de 2001 a 2015. Hoje, trabalha com cursos e treinamento on-line e presencial.

Para ele, porém, o projeto mais interessante em que já trabalhou é o "Have I Been Pwned". O motivo? A maneira como o site ficou popular e como ele consegue mantê-lo no ar.

"Sempre amei o fato de que, com a internet, tudo pode ser tão popular ou famoso quanto se imagina. Estava mesmo explicando para meu filho de seis anos sobre o Minecraft e como o criador vendeu o jogo por dois bilhões de dólares. Ele não sabe o que é um bilhão de dólares, mas ainda é algo incrível. E quando se olha para pessoas como Zuckerberg, que com praticamente nada fizeram algo grande, acho que isso é algo incrível da tecnologia. Não chego nem perto do sucesso dessas pessoas, mas fico feliz por ter desenvolvido algo 100% meu, no meu tempo livre, e poder usar serviços de nuvem como o Microsoft Azure para manter ele no ar em uma escala impressionante", explica Hunt. 

Página Have I Been Pwned. Para usar, basta digitar o endereço de e-mail e clicar em "pwned?". (Foto: Reprodução)

O site também faz uso do serviço gratuito Cloudflare para lidar com tráfego malicioso, voltado a sobrecarregar o site, que às vezes chega a ser 99% de todas as solicitações.

"Essa é a maravilha do que você pode construir hoje. Se dez anos atrás você tivesse que gastar com infraestrutura para lidar com um grande número de solicitações e lidar com tráfego malicioso, custaria centenas de milhares de dólares", diz.

Em uma conversa com Segurança Digital, Hunt contou sobre sua delicada relação com as fontes dos dados (pessoas que colaboram enviando os vazamentos), sobre soluções para gerenciamento de senhas, as reações das empresas após vazamentos e como ele verifica os vazamentos que inclui no site.

G1: Onde você acha os dados vazados? Você já pagou por alguma das informações vendidas na web para adicioná-las ao website?
Hunt:  Não, nunca paguei. Acho que pagar por vazamentos é uma coisa ruim por várias razões. Sei que outros sites que fazem notificações pagam por dados, mas o que me preocupa é que isso incentiva as pessoas a roubar os dados. Então se você pagar dois, três mil dólares, e é mais ou menos isso que custam, você justifica a atitude deles de hackear o site e vender os dados, então vão fazer isso de novo.

Para mim, isso é contraproducente, porque um serviço como esse deve tentar fazer da web um lugar melhor. Não queremos que sites sejam hackeados. Queremos que sites sejam mais protegidos e que, se forem hackeados, que as pessoas impactadas saibam o que aconteceu. Mas a última coisa que eu quero é fazer algo que incentive as pessoas a hackear mais sites. Por isso, nunca pago pelos dados, é errado.

Quase sempre os dados vêm de colaboradores. Tem muitas pessoas com quem converso, e a maioria delas nem sei quem é, e eles me enviam dados. Temos uma ideia do grupo demográfico: eles sã do sexo masculino, a maioria deles deve ser de adolescentes ou jovens adultos com seus 20 anos, são meio receosos, desconfiados, e têm tendências hacktivistas, acreditando que a informação deve ser livre. É um estereótipo, mas quase sempre se encaixam nesse gênero.

É complicado para mim porque sou o oposto em muitos pontos. Sou obviamente mais velho, sou uma pessoa bem pública, não tento esconder o que faço ou o que penso das coisas e estou do lado "White hat" das coisas. Mas o relacionamento com esses caras é importante, porque é deles que os dados vêm. É importante que eu cultive essas relações, mas que ao mesmo tempo não justifique o que eles fazem. Frequentemente falo com essas pessoas e digo: se você sabe de uma vulnerabilidade em um site, precisa entrar em contato e comunicá-los. Mas nem sempre funciona.

É um conflito. Se eles roubarem dados de novo, então os dados são úteis para o serviço. Mas não quero encorajá-los. Isso é importante, não só eticamente, mas legalmente, se alguém vier perguntar se eu encorajei alguém a invadir sistemas, a resposta tem que ser "não, eu nunca fiz isso".

G1: Como você não conhece as pessoa que mandam as informações, como você verifica a legitimidade dos dados, que eles vieram da fonte que a pessoa alega?
Hunt: Tento reunir indícios o suficiente para me deixar confiante de que o vazamento é legítimo antes de colocá-lo no site. Por exemplo, às vezes, só de olhar o arquivo dá para ver que algo não é normal - uma estrutura estranha, repetições que não estariam no sistema original... e às vezes isso acontece de verdade, e isso dificulta as coisas, mas tem certos "cheiros", por assim dizer, que ajudam a definir.

Outra questão é se a invasão foi revelada publicamente, se já foi noticiado. Também dá para checar se os endereços de e-mail no pacote estão no site que teria vazado. Dá para fazer isso porque a maioria dos sites tem "riscos de enumeração", você pode ir na página de "esqueci minha senha", digitar o endereço de e-mail e, se o e-mail for cadastrado, o site vai dizer que enviou um e-mail para aquele endereço; se o endereço não existe, vai dizer "endereço não encontrado". É um bom indicador. Dá para fazer isso também com contas do Mailinator. É um e-mail descartável que ninguém espera que seja particular.

Outra coisa que tenho feito, em especial no último ano, se eu ainda não tiver certeza que a brecha é legítima, é entrar em contato com usuários cadastrados do Have I Been Pwned que aparecem no vazamento para perguntar se os dados estão corretos.

G1: Quanto tempo tudo isso demora?
Hunt: Depende da brecha. Algumas levam poucos minutos, em pacotes pequenos o risco de errar é menor do que em um pacote grande. Diria que em geral leva uma hora. As que demoram mais envolvem comunicação com a empresa, repórteres -- eu falo bastante com repórteres porque eles são bons em conseguir respostas de empresas -, e quando publico no meu blog sobre um vazamento. Isso leva bem mais tempo para se fazer, cada fato precisa ser checado porque minhas declarações podem ter um impacto negativo para a empresa.

G1: Você já indicou o programa de gerenciamento de senhas 1Password no seu blog. Você recomenda programas de gerenciamento de senhas de modo geral ou existem programas ruins? Todo mundo devia usar um?
Hunt: Olha, acho que até um gerenciador de senhas ruim é melhor do que não usar um gerenciador de senhas. Vimos notícias dos incidentes de segurança da LastPass, mas eles sempre lidaram bem com isso e os incidentes não foram significativos. Mas ainda assim seria muito melhor estar usando o LastPass, mesmo com esses incidentes, do que não usar.

Tavis Ormandy, um pesquisador do Google, achou vulnerabilidades em programas antivírus e fez alguns comentários sobre gerenciadores de senha. E me preocupa que as pessoas vejam isso e voltem a uma prática menos segura.

Sempre que o assunto é segurança, a questão não é se o que você está fazendo é perfeitamente seguro, é uma questão de como o que você faz se compara com as alternativas. E quando a alternativa é sua memória... (risos)... sua memória não é boa. Você não vaise  lembrar de todas as suas senhas fortes e únicas. Não dá. E isso é o que as pessoas desconsideram. E o único meio viável de garantir o uso de senhas fortes no momento é com um gerenciador de senhas.

G1: O especialista em segurança Bruce Schneier recomendou que as pessoas escrevam a senha em papel e guardem o papel na carteira. O que você acha disso?
Hunt: Acho que isso também é uma discussão relativa. Fazer isso é melhor do que tentar memorizar e do que repetir a mesma senha de novo e de novo. Mas o caso é que algo escrito em papel não "escala" bem. Claro, tem a questão demográfica também - se estamos falando de alguém sem muita aptidão tecnológica, que não consegue usar um gerenciador de senha, então essa pode ser uma solução muito boa.

Mas vai dificultar a vida na hora de garantir que as senhas sejam fortes e que elas sejam sincronizadas em vários dispositivos. Acho que nossas necessidades para o uso das senhas tornam essa abordagem bem complicada.

G1: Então não é só a segurança, mas a facilidade de uso?
Hunt: Absolutamente. Profissionais de segurança em especial dizem frequentemente que "você deve fazer as coisas desse jeito e só desse jeito" e negligenciam completamente o aspecto da facilidade de uso. E nem acho que sempre a facilidade de uso é contrária à segurança. Por exemplo, o TouchID [sistema de biometria do iPhone], é lindo, funciona muito bem e é eficaz na proteção contra os riscos mais comuns envolvendo os dispositivos móveis, quais sejam, alguém pega seu telefone de uma mesa ou rouba ele de você. Todas essas coisas são resolvidas com algo como o TouchID.

Claro, talvez a Agência de Segurança Nacional dos Estados Unidos possa fazer uma réplica da sua digital e acessar seu telefone. Mas essa não é uma ameaça para a maioria das pessoas.

G1: E o que é um bom gerenciador de senhas? Sincronizar as senhas no navegador conta como "ter um gerenciador de senhas"?
Hunt: É preciso ter cuidado. Esses integrados aos navegadores me preocupam, porque é possível pegar suas senhas se você estiver logado na máquina, então se você se afastar da máquina, você tem um problema. Já gerenciadores de senhas dedicados como o 1Password travam as suas senhas, você precisa se autenticar de novo. Isso é importante.

Outro problema é que hoje usamos aplicativos móveis com frequência e você precisa se autenticar nesses serviços. Armazenando a senha no navegador, isso fica difícil. O que as pessoas precisam se perguntar é "em quais dispositivos eu preciso que isso funcione?" Um dos problemas com o 1Password é que não há versão para Linux, então se você usa Linux não vai funcionar. É preciso achar algo que funcione.

E tem a questão de conforto. Tem gente que não usa o 1Password porque ele sincroniza com o Dropbox. Dá para sincronizar com outros canais, também, mas as pessoas se incomodam porque "o Dropbox foi hackeado", "o governo dos EUA tem acesso", mas isso não é algo com que você precisa se preocupar (risos). Você tem que se preocupar com operadores de malware e criminosos. É isso que temos que resolver. Não o governo com 12 bilhões de dólares no orçamento que pode vir e te pegar se quiser algo de você.

G1: Muitas invasões que ocorreram em 2012 apareceram esse ano. Vamos descobrir quem está sendo hackeado hoje também só daqui quatro anos, em 2020?
Hunt: É quase certo que sim. Há incidentes ocorrendo o tempo todo que não temos conhecimento e que talvez a gente fique sabendo no futuro - tem muitos outros que nem vamos ficar sabendo. Muitas organizações são bem ruins na hora de detectar esses incidentes. Isso significa que vai demorar até a gente saber sobre os incidentes que estão ocorrendo agora.

Mas não sei por que tantos incidentes de 2012 só apareceram agora. Suspeito que há uma linha comum, porque é coincidência demais, mas não sei se veremos mais informações do tipo. Talvez alguém tenha acumulado muitos dados ou comprado de alguém que invadiu e esteja liquidando essas informações. Não está claro, mas são dados demais para ser mera coincidência.

G1: Se as empresas estivessem fazendo o suficiente para avisar os usuários sobre os vazamentos, ninguém precisaria do Have I Been Pwned. Então, o que as companhias estão fazendo de errado e como poderiam melhorar?
Hunt: Acho que um dos problemas é que elas não demonstram urgência. Este ano falei pelo Twitter com um oficial da comissão eleitoral das Filipinas e perguntei: por que vocês não confirmam o vazamento [com 55 milhões de eleitores]? E ele disse: "bom, nós não confirmamos isso ainda". Mas os dados estão lá, é só baixar os dados do "torrent" e ver se é idêntico ao que está no sistema. Se é idêntico, então é legítimo, qual é a dificuldade? Mas eles não querem fazer isso.

E às vezes tenta-se esconder o vazamento. Escrevi sobre o vazamento do Lifeboat este ano. Eles sabiam que tinham perdido os dados e decidiram não dizer para ninguém, alegando que, se fizessem isso, os hackers ficariam sabendo e tentariam explorar os dados antes das pessoas mudarem suas senhas. O que é uma bobagem estúpida, é ruim demais (risos). Mas foi o que alegaram..

Também tenta-se diminuir a gravidade do vazamento. Não sei quanto disso é porque estão em "modo de contenção de danos" e quanto disso é por nem ter ideia de quantas informações vazaram. Ou há uma falta de orientação. Caso da Ashley Madison: eles perderam milhões de contas e disseram "seus cartões de crédito não estavam inclusos". (risos) Pessoas se mataram porque tiveram o adultério exposto, elas não se importam com o cartão de crédito. E cartões de crédito podem ser substituídos. Bancos reembolsam as transações e te mandam um cartão novo e é isso. Acabou. Não é a mesma coisa que ser exposto como adúltero ou ter revelada sua senha que você usa em outro site.

Imagem: Troy Hunt. (Foto: Arquivo pessoal)

Siga a coluna no Twitter em @g1seguranca.

O Yahoo confirmou que dados de 500 milhões de seus usuários foram obtidos no final de 2014 por invasores que, segundo a empresa, provavelmente foram patrocinados por um governo.  A brecha é a maior já divulgada por um prestador de serviços on-line, ofuscando as 360 milhões de contas roubadas da rede social MySpace. Quem utiliza os serviços do Yahoo e tem cadastro no site precisa agir para se proteger.

O Yahoo já está solicitando uma troca de senha para todos que não mudaram a senha desde a data do vazamento.  Usuários "potencialmente afetados" (o Yahoo não esclareceu exatamente quem são esses usuários) devem receber um comunicado por e-mail alertando sobre o ocorrido. Por enquanto, a maior parte das informações só está disponível em inglês no site do Yahoo.

Confira oito pontos importantes sobre esse vazamento:

1. Qualquer senha cadastrada na sua conta do Yahoo durante o ano de 2014 deve ser considerada vulnerável e trocada. Como o Yahoo não informou exatamente quando a invasão ocorreu, é melhor supor que qualquer senha configurada durante o ano de 2014 possa ter sido obtida pelos invasores. Isso significa que você não deve usar essas senhas em nenhum outro lugar, nunca mais, especialmente combinada com sua conta do Yahoo (por exemplo, você usou seu e-mail do Yahoo em um cadastro em outros sites e usou a mesma senha). Caso você tenha reciclado essa senha em outros lugares, troque-a imediatamente. Senhas de contas de e-mail devem estar entre as mais fortes que você usa e devem ser sempre únicas.

2. E-mail, telefone e data de nascimento. Segundo o Yahoo, cada cadastro roubado pode ter incluído as seguintes informações: nome, número de telefone, data de nascimento e perguntas e respostas de segurança. O que exatamente foi vazado dependerá em parte do detalhamento do cadastro de cada usuário (por exemplo, se você não cadastrou seu telefone no Yahoo, então não há chance do número estar no vazamento).

3. Contas expostas não foram necessariamente acessadas. O Yahoo notificará todos os usuários cujas informações de cadastro foram obtidas indevidamente pelos invasores. Receber a notificação, porém, não é o mesmo que uma confirmação de acesso indevido á conta em si. Todos os acessos à sua conta ficam registrados no painel "Atividade recente" (veja) e é preciso conferir esses dados para saber se a conta foi realmente acessada por um terceiro.

4. O vazamento não afetou contas do Tumblr, mas o Tumblr foi alvo de outro ataque em 2013. O Tumblr é um serviço do Yahoo, mas as contas são armazenadas em outro sistema e, segundo a empresa, não houve acesso indevido. Mas o Tumblr foi atacado em 2013, antes de ser adquirido pelo Yahoo, e um pacote com 65 milhões de registros do serviço (usuários e representações de senhas) começou a circular na web em maio deste ano.

Ataque ao Tumblr e ao Yahoo ocorreram em datas diferentes. (Foto: Reprodução)

5. A quebra das senhas leva tempo, mas é possível. As senhas no banco de dados do Yahoo estavam, em sua maioria, protegidas com uma técnica chamada Bcrypt. Esse é um método seguro para armazenar uma representação numérica das senhas (não é a senha em si). Porém, com tempo suficiente, é possível encontrar a senha a partir dessa representação. Os computadores de hoje levariam muito tempo para essa tarefa, mas o avanço da capacidade de processamento tende a facilitar esse trabalho com o passar dos anos. Além disso, algumas senhas estão protegidas com outro método não identificado pelo Yahoo, e essas senhas provavelmente estão mais vulneráveis. Também não se sabe qual a capacidade que os invasores têm para quebrar essas senhas, e senhas mais curtas são mais fáceis de quebrar.

SAIBA MAIS:
Quanto tempo um computador precisa para quebrar sua senha?
Como hackers retiram senhas de dados vazados? G1 Explica

6. Os dados parecem ser diferentes de outros que já caíram na web. Em agosto de 2016, um pacote supostamente contendo dados de 200 milhões de usuários do Yahoo, obtido em 2012, foi colocado à venda na web. Além do número de contas comprometidas e da data serem diferentes, as senhas do pacote estavam gravadas em MD5, uma representação muito inferior ao Bcrypt. O Yahoo não confirmou a veracidade desse pacote de 2012 e especialistas independentes também têm dúvidas de que essas informações do pacote foram mesmo roubadas do Yahoo. Não se sabia, até a divulgação do Yahoo, desta invasão em 2014.

7. Não há confirmação de que os dados estão na web, mas eles ainda podem ser publicados. O comunicado do Yahoo afirma que uma cópia dos dados foi obtida por um invasor, mas não chega a dizer se os dados estão na web ou não. Isso significa que o invasor pode estar reservando os dados para seu uso exclusivo ou de um grupo restrito. No entanto, muitos vazamentos que caíram na web este ano ocorreram em 2012, então não é impossível que esses dados circulem pela rede no futuro. Por isso, é melhor agir o quanto antes.

8. O diretor de segurança da informação do Yahoo foi para o Facebook. A mensagem que o Yahoo está enviando para seus usuários traz o nome de Bob Lord, atual diretor de segurança da informação do Yahoo. Em 2014, quando a invasão ocorreu, o diretor de segurança da informação do Yahoo era Alex Stamos, que saiu da companhia em junho de 2015 após uma oferta para ocupar o mesmo cargo no Facebook, onde está até hoje.

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]

A fabricante de dispositivos de armazenamento Seagate foi vítima de um golpe por e-mail que convenceu um funcionário da empresa a encaminhar dados de milhares de funcionários a um golpista. O ataque ocorreu no dia 1º de março e rendeu aos criminosos uma declaração chamada de W-2 usada no imposto de renda dos Estados Unidos.

O golpe é praticamente idêntico ao que atingiu o Snapchat. Isso significa que as informações não foram roubadas da Seagate - um funcionário foi convencido, por uma mensagem falsa, a simplesmente entregar os dados.

O vazamento foi confirmado pela Seagate ao site "Krebs on Security". A empresa não divulgou o número exato de funcionários que foram prejudicados pela falha, mas disse que o número, embora esteja na casa dos "milhares", também é "bem baixo de dez mil".

De acordo com o site "Krebs on Security", o e-mail fraudulento chegou para um funcionário como uma carta do CEO da Seagate, Stephen Luczo, pedindo os dados de declaração W-2 de todos os funcionários. Essa declaração, além de informações pessoais, também inclui o salário dos colaboradores.

O pacote tem tudo que os golpistas precisam para criar declarações falsas de imposto de renda e faturar com as restituições devidas aos contribuintes.

O Internal Revenue Service (IRS), a "Receita Federal" dos Estados Unidos, divulgou um alerta sobre o crescimento desses golpes em 2016: já foram registrados 1.026 casos de e-mails e vírus criados com o intuito de roubar informações referentes ao imposto de renda. É um aumento de 400% em relação ao ano passado, quando 254 casos foram registrados pelo IRS.

Os funcionários e ex-funcionários da Seagate cujos dados foram vazados terão direito à proteção de identidade da Experian nos Estados Unidos. Mas, segundo o "Krebs on Security", esse serviço não oferece proteção para declarações não autorizadas do imposto de renda.

A Seagate é uma das maiores fabricantes de discos rígidos do mundo. A companhia teve um faturamento de US$ 13,7 bilhões (cerca de R$ 50 bilhões) em 2015.

Imagem: Sede da Seagate nos Estados Unidos, na Califórnia. (Foto: Wikimedia Commons/Domínio Público)
Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]

Um pesquisador de segurança, que se identifica apenas como "Z Balazs", descobriu que uma câmera IP que possui um "canal secreto" de administração cuja senha não pode ser mudada pelo usuário: 123456. Caso um invasor possa acessar a câmera em questão pela rede, a câmera pode ser invadida a partir desse acesso. A análise do problema foi publicada no sábado (26) no blog "Jump ESP, Jump".

Câmeras IP são filmadoras cujo acesso ao vídeo e configuração são realizados pela rede. É um considerado um equipamento de "internet das coisas". O pesquisador não revelou o modelo e a marca da câmera, porque disse que ainda vai aguardar uma resposta do fabricante. Há ainda a possibilidade de o problema existir em outras câmeras, inclusive de marcas diferentes, pois vários equipamentos usam tecnologia semelhante em seu desenvolvimento.

O canal secreto de controle da câmera funciona por meio do protocolo "telnet". O pesquisador tentou várias senhas comuns para entrar nesse canal, mas acabou desistindo.

A senha foi descoberta quando o pesquisador tentou usar um recurso da câmera que permite o envio de dados a um servidor de arquivos FTP. O recurso não funcionou, porque a senha do FTP tinha o caractere "$". Esse caractere não é corretamente processado pela câmera, permitindo então que a senha do FTP com "$" torne-se uma via para a execução de comandos.

Com isso, o pesquisador conseguiu enviar um comando para alterar a senha da câmera. Uma vez dentro, ele identificou que a senha original era simplesmente "123456".

Para o pesquisador, esse canal secreto desprotegido é uma "porta dos fundos". Ele não está descrito no manual. A vulnerabilidade só não é maior porque a câmera não foi projetada para expor esse canal na internet. Mas, dependendo da configuração da rede, isso pode acontecer.

O uso da câmera em redes locais, como empresas, pode viabilizar um ataque a alguém que tenha acesso à mesma rede em que a câmera está. Isso pode acontecer, por exemplo, se uma empresa usa mesma rede para a câmera e para um Wi-Fi destinado a visitantes ou colaboradores.

No entanto, mesmo o painel normal da câmera - que é configurado para ficar exposto na internet - não tem uma segurança adequada, pois usa uma senha de apenas quatro números.

O blog Segurança Digital já alertou que dispositivos para a "internet das coisas" devem ser inteligentes e trazer uma boa configuração de segurança de fábrica. Infelizmente, casos como esse mostram que os fabricantes estão mais preocupados em reduzir custos do que desenvolver sistemas minimamente seguros.

A análise completa pode ser lida (em inglês) aqui.

A notícia de que um especialista conseguiu descobrir senhas como "123456" nas informações vazadas do site Ashley Madison pode parecer preocupante e até engraçado, mas o conjunto dos fatos, na realidade, é muito positivo.

As senhas dos usuários do site de traição Ashley Madison foram publicadas no pacote de dados liberado pelo "Impact Team". Mas há um detalhe: elas não estão "prontas" para serem usadas. É preciso "decifrá-las". Vamos entender.

O Ashley Madison guarda as senhas dos usuários usando um método conhecido como "bcrypt". O "bcrypt" aplica na senha uma mesma fórmula matemática diversas vezes com o intuito de derivar uma chave. Esse processo é de via única: não há como "retornar" a chave derivada para a senha original.

Por isso é incorreto dizer que a senha pode ser "decifrada". Em um processo de criptografia, a fórmula é conhecida, mas a chave é a secreta e a chave precisa ser encontrada para decifrar o conteúdo. No caso do bcrypt, não há uma chave; temos a fórmula e um modificador (chamado de "salt"). O problema é que, mesmo com essa informação, só e possível encontrar a senha com tentativa e erro. Ou seja, é preciso aplicar o "bcrypt" em "123456" (por exemplo) com a fórmula e o modificador e, então, se o valor for idêntico ao que está armazenado, é porque essa é a senha do usuário. Se não for, é preciso tentar outras combinações.

Como o site Ashley Madison adotou um modificador na fórmula diferente para cada usuário, as tentativas feitas para um não valem para outro e o processo precisa ser refeito. Ou seja, para você descobrir quais dos 32 milhões de usuários usavam a senha "123456", é preciso fazer esse processo 32 milhões de vezes.

Em vazamentos anteriores, como no caso do LinkedIn, não havia o uso de um modificador, o que tornava as senhas muito mais fáceis de serem encontradas. Bastava tentar "123456" uma vez e você já identificaria todo mundo que usou aquela senha. Ataques em massa, portanto, ficam mais difíceis.

Fórmula lenta
O bcrypt adotado pelo Ashley Madison repete diversas vezes os cálculos sobre seus próprios resultados. Essa repetição reduz a velocidade de um ataque de tentativa e erro, porque o cálculo se torna mais longo e demorado para o computador realizar.

O ataque ficou na velocidade de 156 tentativas por segundo na máquina de Dean Pierce - o especialista que divulgou as senhas quebradas. Pierce usou um computador com quatro placas de vídeo de desempenho considerável (Radeon R9 290). Placas de vídeo, pela natureza de seus chips gráficos, são mais rápidas para fazer os cálculos envolvidos nessas tentativas do que um processador comum.

É claro que, uma vez que as senhas foram vazadas nesse formato, elas podem ser descobertas, desde que seja dado tempo a um hardware potente. Mas, pelo menos nesse sentido, o Ashley Madison fez o dever de casa. Pierce precisou de cinco dias para descobrir as senhas de apenas quatro mil contas, ou cerca de 800 contas por dia, mesmo na fase de "senhas simples".

Quando o ataque começasse a tentativa e erro nas contas que usaram senhas melhores, a eficiência do ataque cairia ainda mais. Mesmo a 800 contas por dia, Pierce levaria nada menos que 100 anos para quebrar todas as 32 milhões de senhas no pacote.

Mas isso está totalmente fora da realidade. Segundo um cálculo já divulgado por essa coluna, um interessado levaria 3,7 milhões de anos para quebrar uma única senha de dez caracteres alfanuméricos (sem símbolos especiais); mesmo uma senha de sete caracteres levaria 14 anos com 10 mil tentativas por segundo. Mas, lembrando, Pierce conseguiu apenas 39 tentativas por segundo por placa de vídeo. Seriam necessárias 256 placas de vídeo para chegar a esse número e, mesmo assim, levar 14 anos para quebrar a senha - uma única senha.

Se a senha é de 13 caracteres alfanuméricos, a 10 mil tentativas, seriam necessários 958 bilhões de anos.

É por isso que essa "quebra" de senhas é uma boa notícia: foi difícil e lenta. Se somente quatro mil pessoas em um universo de 32 milhões usaram senhas fracas, então está tudo certo. É normal que pessoas façam cadastros com senhas fracas "só para dar uma olhada", então algumas senhas fracas sempre existirão em qualquer lista considerável.

Comentando no blog de Pierce, um anônimo afirmou que chegou a quebrar 20 mil senhas do pacote adotando um truque: tentando o nome de usuário na senha. Isso também aumenta a eficiência inicial do ataque, mas vai pegar só quem não usou o site de verdade ou quem realmente se descuidou completamente.

Quem usou uma senha decente está protegido, mas outros dados, como o e-mail e informações do perfil - que não estavam protegidos de nenhuma forma - podem ser facilmente localizados. Na maioria das vezes, a informação mais importante não é a senha, mas sim o que ela guarda. Pouco adianta dizer que não é possível encontrar a chave da arca do tesouro se ela já está aberta.

SAIBA MAIS
Ashley Madison: Hackers vazam mais 13 GB de dados do site de traição
São Paulo é a cidade com mais perfis no site de traição Ashley Madison

O site de traição Ashley Madison defendeu o recurso de privacidade criticado pelos hackers que colocaram dados de usuários do serviço na rede. Segundo um comunicado enviado à imprensa nesta segunda-feira (20), o recurso realmente apaga todos os dados do serviço e nenhuma informação permanece com a companhia.

Os hackers do "Impact Team", que vazaram dados do serviço, disseram que o nome completo do usuário permanecia no banco de dados do site, junto com a informação relativa ao pagamento do pedido de remoção, que custava cerca de US$ 20 (R$ 60).

Por conta do ataque, o Ashley Madison disse que a opção para ser ou não membro do site, "a qualquer tempo", será livre a partir de agora.

"Ao contrário das notas que estão sendo divulgadas nos meios de comunicação, e baseado em acusações postadas no correio online por um criminoso ciber, o 'pago - elimina' a opção oferecida por AshleyMadison.com realmente, retira, de fato, toda a informação relacionada ao perfil de um membro e suas atividades em nosso site e, inclusive a remoção de quadros postados no correio e todas as mensagens enviadas a outras caixas de correio eletrônico de usuários de sistema. Esta opção desenvolveu-se devido a pedidos de membro específicos em somente em termos esse serviço e e foi realizada, baseada no seu feedback", diz o trecho da nota enviada pelo site.

O Ashley Madison diz ainda que tem conseguido retirar do ar a maior parte dos dados publicados pelos criminosos usando o DMCA (Digital Millennium Copyright Act), lei norte-americana que exige que provedores retirem conteúdo do ar para não serem responsabilizados por infração de direito autoral.

O "Impact Team" exigiu o desligamento dos sites Ashley Madison e Established Men, ambos operados pela mesma companhia. Os hackers ameaçam vazar o banco de dados inteiro do site caso as exigências não sejam cumpridas. No comunicado, a empresa garantiu que "todos os responsáveis por este ato de ciberterrorismo serão responsabilizados com vigor".

O Ashley Madison é um site de relacionamento voltado para encontros casuais, especialmente para pessoas casadas que procuram um caso com discrição. O slogan da página é "a vida é curta. Curta um caso".

De acordo com a Alexa, que mede o tráfego de páginas visitadas na web, o Ashley Madison é o 177º site mais acessado no Brasil.

SAIBA MAIS:
Site de traição Ashley Madison é invadido e dados vazam na web