Entrevista a uma hacker: “O envio de fotos íntimas é sempre inseguro”

Ana Santos é uma hacker profissional e vive a testar sistemas de segurança. Leia uma entrevista que deve deixar-nos alerta. E preocupados.

Ana Santos trabalha na área da segurança informática e diz que, devido à importância dos dados com que lida diariamente, a sua equipa de análise se encontra afastada dos restantes funcionários da empresa

O uso de fita adesiva nas câmaras dos portáteis é justificado, em 2018 já não se admite que as palavras-chaves sejam básicas e simples de adivinhar, e são cada vez mais os riscos associados à falta de proteção no meio online. Quem o diz é Ana Santos, 28 anos, natural de Lousada, mas que reside agora em Lisboa a trabalhar na área da segurança informática.

Ana é uma hacker ética e grande parte do seu trabalho passa por monitorizar a infraestrutura informática da empresa onde está empregada, onde também aposta em medidas de prevenção contra possíveis ataques ou vulnerabilidades. À MAGG não só respondeu a 21 perguntas acerca do seu trabalho, como também contou como foi singrar num meio tipicamente masculino. E revelou ainda qual é a forma mais frequentemente utilizada para roubo de informação pessoal.

O que é um hacker ético?
É um hacker que tem como objetivo detetar vulnerabilidades num sistema para benefício da empresa que contratou aquele serviço. É uma pessoa que age dentro da lei e presta um serviço a terceiros com o intuito de identificar possíveis falhas de segurança numa infraestrutura informática para que novos ataques não aconteçam.

Há duas principais categorias de hackers. Há os white hat hackers e os black hat hackers — estes últimos são aqueles que invadem sistemas com a única intenção de estragar, destruir, expor e roubar informação pessoal. Há ainda uma terceira categoria composta por grey hat hackers. Estes são aqueles que, geralmente se encontram à margem da lei e têm atitudes criminosas mas não têm intenção maliciosa. É uma categoria um pouco difícil de definir

Em que categorias grupos como os Anonymous se inserem?
É difícil definir, em parte porque esses grupos são, geralmente, compostos por muitas pessoas com agendas e objetivos muito vincados e independentes. Por vezes vezes atuam para estragar — e vimos isso em 2014 quando atacaram o site da Assembleia da República em que a plataforma esteve inacessível durante quase todo o dia. Teoricamente eles quiseram mostrar como a plataforma estava vulnerável a invasões mas, por ter sido um ataque não consentido, foi tudo menos legal.

Em que consiste o seu trabalho?
O meu dia a dia passa por monitorizar a rede, reportar vulnerabilidades e fazer auditorias aos sistemas informáticos. Antes, numa outra empresa, estava responsável pela análise de malware e resposta a incidentes. Atualmente, trabalho com dados muito sensíveis — o suficiente para estar completamente separada dos restantes funcionários da empresa, já que vemos coisas que outras pessoas não podem, nem devem, ver.

Se me perguntar se a nível pessoal já fiz uma coisa ou outra ilegal, a resposta possível é talvez sim.

Quais são as ideias mais erradas que as pessoas geralmente têm acerca de um hacker?
Que somos os típicos nerds ou ratos de laboratório, ou que somos criminosos e que só atuamos para provocar estragos. A verdade é que quando as pessoas ouvem a palavra “hacker”, pensam logo na conotação negativa e acham que estamos ali para roubar ou para fazer mal. Quase nunca olham para nós como uma mais-valia para a segurança de uma empresa e da respetiva infraestrutura.

Alguma vez tirou proveito dos seus conhecimentos para fins ilegais?
Depende. Em meio académico é óbvio que sim, mas nesse aspeto não era ilegal porque eram-nos dadas ferramentas e alvos específicos, como servidores, para atacarmos. Era um meio totalmente controlado em que tudo era construído com o intuito de ser exposto e destruído por nós, já que a avaliação a uma determinada disciplina dependia disso. Claro que fora da sala de aula tudo aquilo era considerado ilegal e até criminoso. Se me perguntar se a nível pessoal já fiz uma coisa ou outra ilegal, a resposta possível é talvez sim. Mas preferia não me alongar muito mais sobre isto.

Qual é a forma mais usada para roubo de informação?
A engenharia social, que dita que o elemento mais vulnerável de qualquer sistema de segurança é o ser humano. Precisamente porque possui traços comportamentais e psicológicos que o torna suscetível a ser vítima de um ataque informático. O simples facto de ir na rua e alguém lhe pedir os seus dados para uma promoção fantástica onde é possível vir a ganhar não sei o quê, é uma forma muito simples de um ataque à base de engenharia social.

A partir do momento em que fornece aqueles dados, a sua segurança e privacidade está automaticamente posta em causa já que perdeu o controlo total acerca da forma como aquela informação poderá vir a ser utilizada no futuro.

Lembro-me que quando me encontrou no Facebook, disse-me que nunca se devia colocar o local de trabalho visível no perfil. Porquê?
Costumo fazer sempre uma espécie de jogo nas formações que dou. Olho para a lista de presenças, vejo os nomes de todos os presentes e vou ao Facebook procurar por eles. Além dos nomes, procuro também pelo nome da empresa onde estão empregados e facilmente os encontro. Depois é só uma questão de confirmar os dados através de outras redes sociais — como o LinkedIn — e como é óbvio a informação está lá toda o que me permite ficar a saber tudo acerca daquele indivíduo que, há coisa de cinco minutos, não fazia ideia quem era.

Mas como é que essa informação é usada em engenharia social?
Imagine que faço um levantamento exaustivo sobre si. Sei onde passou férias e onde trabalha. Dirijo-me à sua empresa com um cartão falso de funcionário e digo que sou nova na empresa. Geralmente todos aproveitam o tempo de pausa para ir almoçar ou para vir fumar um cigarro cá fora e eu faço uso disso para meter conversa consigo. Digo que sou nova na empresa e estamos durante um bocadinho a falar. Eu finjo que não sei nada sobre si e a conversa flui livremente, até que chega à hora de entrar no edifício e eu não consigo — já que o meu cartão não é real.

O segurança, por ver que tenho um cartão exatamente igual ao de outros funcionários, abre a porta — numa empresa com dezenas de pessoas é muito improvável que seja capaz de memorizar caras. Depois é uma questão de chegar ao departamento onde me desejo infiltrar, e é tão fácil como pedir indicações. Ninguém vai desconfiar ou negar a entrada, precisamente porque sou nova na empresa e fiz uso de toda a informação que descobri previamente sobre si para conseguir passar da porta da entrada.

Acha que as pessoas subestimam os perigos da falta de segurança nas redes sociais?
Sim, são cada vez mais os casos de rapto ou desaparecimento de miúdos porque foram criados perfis falsos de Facebook para atrair crianças através do mais variados pretextos.

Ainda sou daquelas pessoas que usam discos rídigos para guardar toda a informação pessoal. A cloud ainda não me convenceu porque na verdade nunca sabemos bem onde é que os nossos dados estão guardados e quem é que pode ter acesso a eles.

Há informação suficiente acerca dos perigos?
Não há informação suficiente e as pessoas não estão formadas. Além de darem a sua segurança como garantida, não fazem o mínimo esforço para camuflar um bocadinho das suas vidas privadas. Parece que não há filtro e tudo de domínio público, o pior é que há muita gente que faz vida do uso indevido dessa informação.

Quão inseguro é o sexting e o envio de fotografias íntimas?
O envio de fotos íntimas é sempre inseguro. Nunca se sabe quem é que vai conseguir entrar no computador ou no telemóvel ou, pior, o que vai acontecer a essas fotografias depois de enviadas. É um bocadinho o que acontece com a instalação de aplicações no telemóvel. São muitas as pessoas que, ao instalar uma determinada app, não questionam tudo aquilo a que passa a ter acesso.

Porque é que uma simples aplicação de efeitos de fotografias, por exemplo, tem de ter acesso à câmara, ao microfone e aos contactos do telemóvel? Quase ninguém se questiona e aceitam simplesmente tudo o que lhes é apresentado.

Um simples telefonema para venderem um serviço já é considerado roubo de informação.

O armazenamento na nuvem é seguro?
Não quero desenvolver muito porque ainda é um tema que causa muita discordância entre muitos dos profissionais da área. Eu, pessoalmente, fujo sempre de alguns dos serviços mais conhecidos e usados — como a Dropbox ou a Google Drive — e ainda sou daquelas pessoas que usam discos rígidos para guardar toda a informação pessoal. A cloud ainda não me convenceu porque na verdade nunca sabemos bem onde é que os nossos dados estão guardados e quem é que pode ter acesso a eles.

E os serviços que dizem encriptar as nossas mensagens e torná-las privadas? É mesmo assim?
Creio que para nós, que trabalhamos na área, é difícil confiar a 100% no que nos dizem. Por vezes só o fazemos quando existe um certificado que dita que aquele serviço é totalmente seguro, mas também não podemos viver num mundo à parte. Pessoalmente, gosto muito de usar o WhatsApp, que foi um dos serviços a encriptar as mensagens enviadas e recebidas entre utilizadores — o que significa que supostamente estão livres de olhos alheios.

No entanto, o serviço foi comprado pelo Facebook… e não sei bem até que ponto é que nos estão a dizer toda a verdade.

Alguma vez foi vítima de algum ataque ou roubo de informação?
Sim, um simples telefonema para venderem um serviço já é considerado roubo de informação. A menos que eu tenha dado o meu número pessoal à empresa, não há motivo nenhum para que me estejam a contactar acerca de um serviço para o qual eu nunca mostrei qualquer tipo de interessa. Talvez antes da área tenha acontecido um ou outro caso, mas depois não. Nunca.

Porque é que os filmes sobre hackers são sempre tão irrealistas?
Eu acho que é para fazer as pessoas acreditarem que o nosso trabalho é fácil e incrível [risos]. Nos filmes e nas séries as personagens fazem coisas num curto espaço de tempo que, na vida real, demora horas ou dias a ser feito. É engraçado.

Qual é a melhor forma de preservar a segurança de alguém online?
Uma vez li uma frase que dizia qualquer coisa como: “Se não é capaz de estampar uma t-shirt com aquilo que está a pensar, porque haveria de o publicar em plataformas online?” Acho que é um bocadinho por aí.

Muitas das pessoas dão a sua segurança como garantida. Não sabem quando foi o último grande ataque informático e nem questionam se podem ou não ter um vírus instalado no computador.

Como é ser mulher num meio tipicamente masculino?
Muito complicado. Somos muito poucas na área em Portugal, e somos sempre vistas como o elo mais fraco. Muitas vezes acham que não percebemos ou que não nos interessamos tanto, porque ainda existe muito a mentalidade de que a área da informática é exclusiva aos homens e as mulheres não são bem vindas.

Sente que teve de mostrar mais que os outros?
Sim, embora agora costume dizer que já sou meio homem [risos]. Dizem-me coisas que já me passam ao lado. Ao início foi tudo muito difícil porque não olhavam para mim como uma profissional. Lembro-me que uma vez cheguei a uma entrevista e toda a gente ficou a olhar para mim como que a dizer “esta se calhar enganou-se no sítio.”

Eu venho de uma vila muito pequena onde toda a gente se conhece. Quando hoje digo que trabalho no meio de muitos homens, levo com imenso preconceito e sou olhada de lado apesar de já ter demonstrado várias vezes que sou uma mais valia para a área.

O utilizador continua a ser o maior obstáculo à sua segurança?
Sim, e é por isso que, para mim, é essencial formar pessoas. Quanto mais informação houver, mais seguras as pessoas vão estar. Já o disse e volto a repetir: muitas das pessoas dão a sua segurança como garantida. Não sabem quando foi o último grande ataque informático e nem questionam se podem ou não ter um vírus instalado no computador. Simplesmente assumem que não e não se preocupam mais com isso.

Qual é a melhor password?
Não há uma password ideal, mas aquelas que demoram mais tempo a descobrir são as melhores. Há várias formas para criar uma palavra-passe forte, como escrever uma frase e alternar entre números, caracteres especiais — como parêntesis, arrobas ou pontos de exclamação — e colocar as letras em caixa alta e caixa baixa. Tudo o que seja mais difícil de descobrir é suficiente. E qualquer coisa é melhor do que a típica chave “123456”.

Ainda faz sentido meter fita adesiva na câmara da portátil?
Sim, sem dúvida. Eu uso e não me arrependo. É muito fácil ser estabelecido um acesso indevido às câmaras dos computadores e muitas vezes as luzes das câmaras não são acionadas para que o utilizador não desconfie. Desde usar fita adesiva ou aquelas tampas que colam ao ecrã, tudo serve.

Caso contrário, costumo sempre dizer às pessoas com quem falo para não irem para a casa de banho ou se despirem em frente ao computador. Tudo por uma questão de privacidade. Não custa nada prevenir.

Partilhe
Fale connosco
Se encontrou algum erro ou incorreção no artigo, alerte-nos. Muito obrigado. [email protected]