Estive com Vicente Diaz (Senior Malware Analyst da Kaspersky) para uma cavaqueira de 15 minutos sobre alguns problemas que me causam uma certa perplexidade. Tempo contado e escasso, pois o Vicente demonstrou ser um bom entrevistado e a conversa teria seguido mais destinos… muitos mais.
Xá das 5 (X5): Uma primeira questão: pagamentos de pequenas quantias com cartões de débito sem PIN ou assinatura. Esta nova realidade, denominada ‘contactless’ (sem contacto), permitirá fazer um pagamento simples acenando ou pousando o nosso precioso cartão numa base que lerá os dados e processará o pagamento. Simples e rápido. Mas este tipo de operação não terá também um risco acrescido de possível roubo de data/dados? Afinal, teremos de estar mais atentos ou a tecnologia de segurança está reforçada para novos e mais directos ataques?
Vicente Diaz (VD): Entendo que as pessoas queiram pagar as pequenas compras de uma forma mais facilitada e confortável, mas não percebo a necessidade deste facilitismo. Já fiz algumas pesquisas e tudo vai depender do fabricante e do provider tanto tecnológico como comercial. Em Espanha, um amigo meu fez um estudo com diferentes cartões de diversos bancos e conseguimos aceder facilmente a toda a data que está no cartão. Se o banco fornecer um cartão ao cliente com certo tipo de informação registada, logicamente que vai atiçar a curiosidade dos malfeitores que vão querer uma fatia desse novo bolo. De acordo com a PCI, esta informação não pode estar presente nestes cartões nem pode ser reutilizada, mas de acordo com os dados e estudos, sabemos que outro dos grandes problemas é a data guardada pelas próprias lojas, nos seus próprios sistemas de base de dados, onde podem reunir um imenso conjunto de informações sobre cada um dos seus clientes. Estas bases de dados são, por si só, uma dádiva para os malfeitores, pois em muitos casos é fácil penetrar no sistema.
Os smartphones vão ser o método de pagamento principal num futuro próximo. Existem vários estudos para combater as possíveis fraudes possibilitadas pela sua utilização, desde a obrigação de digitar um código a abrir uma janela que só permita a operação de pagamento em cerca de 5 ou 10 segundos. Se existirem pagamentos até 10 euros sem a necessidade de um código PIN, porque só se está a pagar um café ou um chupa chupa, e se o malfeitor tiver acesso ao equipamento do lojista, pode recolher com facilidade os dados de qualquer cartão e, por conseguinte, do seu titular.
X5: A minha segunda questão tem a ver com os wearables, o novo trend tecnológico com novidades diárias, das pulseiras desportivas a apps de realidade aumentada, que depressa chegará massivamente à moda, roupa, utensílios e tudo o mais. Mas, e tendo como base os portadores de pacemakers, não poderá este novo meio causar problemas para a própria saúde de quem os utiliza?
VD: Há uma grande discussão sobre como esta tecnologia pode prejudicar o nosso corpo. Aliás, é uma discussão global e muito actual. Existem vários estudos, contraditórios, que apontam para problemas já actuais relacionados com toda a frequência de sinais wireless, por exemplo, mas só daqui a vinte anos é que saberemos dados concretos. Eu ainda não comento. Mas em termos de segurança, nomeadamente nos equipamentos actuais que podem interferir com a nossa saúde, há um “proof of concept” sobre o impacto real. O investigador que levou a cabo estes primeiros estudos, infelizmente morreu no ano passado, publicou um estudo que demonstra que toda a tecnologia actual causa problemas sérios para a saúde de pacientes portadores de, como citou, pacemakers e outros instrumentos semelhantes. E quanto mais nos rodeamos de tecnologia, mais débil se torna a segurança deste tipo de equipamentos.
X5: Ou seja, e relembrando alguns filmes, a própria tecnologia que nos ajuda pode ser realmente usada para, por exemplo, modificar à distância os parâmetros de um pacemaker e causar um ataque real e letal para quem o utiliza?
VD: Pode! Estamos neste momento a considerar todas essas possibilidades. Podem ser esses, como ataques definidos para causar danos globais. Modificar o comportamento de um carro, de um comboio, de um prédio inteligente. Em conversa com um colega da Europol, fiquei a saber que a polícia foi alertada para um contentor que estava no porto de Roterdão porque estava a ser alvo de ataque por alguém externo a todas as entidades que controlam este tipo de transporte e armazenamento, tendo como objectivo alterar os dados sobre a carga e o seu destino.
X5: Todos teremos mais possibilidades para atacar o que ou quem quisermos devido à tecnologia. Não só os ciber-criminosos, mas cidadãos comuns. Bom, pouco comuns, pois são malfeitores. Mais a mais, facilitamos a vida ao tradicional larápio, por exemplo, gritando ao mundo que estamos de férias e fora de casa, através do Facebook.
VD: Exactamente! Aliás, deparei-me recentemente com um site… não me membro exactamente do nome mas era qualquer coisa como robmeplease.com (foi por pouco, pois é pleaserobme.com), em que listava toda a gente que estava fora de casa numa determinada área.
X5: E quanto mais tecnologia temos no bolso ou em casa…
VD: Com certeza! Vamos tomar como exemplo o primeiro ministro português, que tem a sua casa tremendamente vigiada, cheia de sistemas de segurança. O computador de trabalho está muito protegido mas ligado à smart tv, às câmaras de vigilância, ao tablet dos filhos, ao frigorífico que está ligado ao supermercado, etc. Como vê, são cada vez mais as portas abertas ao mundo e fechar todas em total segurança é muito complexo. Ao comprarmos os novos gadgets, que pode ser a última câmara de vigilância montada num pequeno helicóptero ou carrinho teleguiado pelo nosso mais recente smartphone que cada vez está mais preenchido com apps que encomendam a comida em falta, ligam o aquecimento central meia hora antes da minha chegada, que me abrem a porta da garagem quando o meu carro comunica que está à entrada, temos de ter consciência que os nossos hábitos mudaram e a vida também.
X5: E a Smart Tv que nos abre a casa ao mundo, algumas com câmaras de video embutidas e sem qualquer tipo de segurança, são ferramentas fantásticas para um ciber-criminoso.
VD: As smarttvs são um problema e são já conhecidos alguns malwares dedicados. Por exemplo, a transferência de dados sobre o que vemos, quando vemos e, pior, o que temos na pen USB que ligamos à tv. Aliás, até esse conteúdo pode ser retransmitido.
X5: E as pessoas estão a começar a usar o “bigscreen” para as suas tarefas e conversas que estavam confinadas a um computador ou tablet que, em muitos casos, tinham uma anti-vírus instalado.
VD: Sim, a porta está aberta de par em par e são as pessoas que têm de entender que é obrigatória uma mudança de hábitos. O vector de ataque está a expandir-se e vai ser difícil para o consumidor conseguir proteger todas estas portas. Num futuro, também a segurança informática será diferente, feita de forma invisível e mais user friendly.
Esta conversa ocorreu durante a realização do “Going Underground”, o mote do mais recente evento da Kaspersky, um Press Tour que aconteceu em Londres na penúltima semana de Junho.
O Xá das 5 foi o meio de comunicação português exclusivo presente neste mega e intensivo curso sobre “Cyber Self Defence”.
Para ler as duas primeiras partes, favor clicar nas fotos
