Proponha uma correção, faça uma sugestão
Espionagem – “Quem vê o que eu faço na Internet?”
Será que algumas das tecnologias existentes hoje em dia, como a utilização de certificados digitais e protocolos associados, nos garantem a privacidade das comunicações? Pretende-se que ninguém não autorizado possa ver ou alterar conteúdos e que se tenha a certeza de estar a comunicar apenas com quem se pretende. Se as ferramentas de segurança tivessem sido introduzidas na World Wide Web desde o início, será que hoje em dia estaríamos seguros?
Vince Cerf, um dos “pais” da Internet, acredita que sim e veio a público reforçar a ideia de que a segurança devia ter sido incorporada na Internet desde o seu início. Nos últimos 25 anos, a Internet tem sido aberta e sem segurança intrínseca, sendo possível ter-se acesso ao conteúdo das comunicações se não se tomarem algumas precauções. A utilização de certificados digitais e protocolos associados permite que comunicações críticas, como o acesso ao homebanking, possam ser cifradas (confidenciais), garantindo ainda a identidade do prestador de serviço.
Hoje em dia as vantagens destes mecanismos de segurança estão a ser amplamente utilizadas, levando a uma mudança de paradigma – estamos a passar de uma Internet sem privacidade, para uma Internet com privacidade. Pela sua natureza, para algumas entidades isto torna-se um obstáculo ao seu serviço principal, pelo que decidem adoptar técnicas alternativas que criam vulnerabilidades de segurança críticas. Seguem-se alguns exemplos em diversas áreas de actividade.
Empresas de publicidade online
Para conseguirem direccionar os anúncios, as empresas de publicidade online decidiram que seria importante aceder às comunicações seguras entre o utilizador e os serviços que este utiliza.
Foi o caso dos portáteis Lenovo, em que era instalado nos equipamentos dos clientes finais um software que permitia ver as comunicações estabelecidas (Man-In-The-Middle), apresentando a publicidade adequada ao que estava a ser acedido. Este software funcionava como um proxy das comunicações do portátil e usava um certificado digital de raiz auto-assinado como confiável. Isto significa que o utilizador ao aceder, por exemplo, ao seu homebanking, toda informação passava pelo software em claro, podendo ser analisada e manipulada.
Como o mesmo certificado era usado para todos os clientes e era obrigatório que estivesse no computador para criar os certificados digitais SSL, qualquer pessoa poderia usar esse certificado para emitir certificados digitais de outros sites, permitindo ataques de phishing com alto grau de sucesso.
Diz a sabedoria popular que “não há duas sem três” e, no caso da Lenovo, a “pièce de résistance” reside na password pouco segura que protegia esse certificado, que correspondia ao nome da empresa que criou o módulo chamado de SSL-DecoderDigestor.
Contudo, a Lenovo não se trata de um caso isolado. Existem várias empresas que usam este tipo de soluções, como a Nokia ou até a solução Forefront da Microsoft.
Empresas de Antivírus
Algumas das funcionalidades core dos antivírus são a análise do que o utilizador faz quando está online, os sites a que acede e o que faz nesses sites. No entanto, com o aumento das comunicações cifradas, este serviço está cada vez mais limitado. Foi, por isso, implementado por várias empresas (como a Kaspersky ou a ESET) a possibilidade de ver as comunicações cifradas dos seus utilizadores, criando vulnerabilidades graves no acesso à informação.
Política Bring Your Own Device
Existem cada vez mais empresas que permitem, ou até incentivam, que os seus colaboradores levem os seus equipamentos para o trabalho (Bring Your Own Device). Como estes equipamentos são pontos de insegurança, pois as empresas não têm controlo sobre o que neles está instalado, por uma questão de segurança vêem-se forçadas a implementar sistemas que permitem monitorizar ocultamente os seus colaboradores. Esta medida acarreta também outros objectivos indirectos, como o impedimento de tarefas de lazer ou simplesmente controlar as acções dos colaboradores.
Fornecedores de Serviços de Internet
São vários os Governos que impõem restrições de acesso a sites e serviços. Isto leva a que os fornecedores de serviços de Internet se vejam obrigados a criar soluções para impedir acessos indevidos, ou para simplesmente registarem os acessos. No entanto, como em comunicações cifradas não é possível fazer este controlo, estas empresas recorrem a algumas ferramentas alternativas. Em Portugal, por exemplo, temos a recente imposição do Tribunal da Propriedade Intelectual que obrigou os operadores a bloquearem o acesso a alguns sites de partilha de ficheiros.
Temos também o exemplo da Gogo, empresa que fornece acesso à Internet via Wi-Fi durante voos comerciais, que utilizou a mesma técnica de certificados falsos para conseguir fazer Man-In-The-Middle e espiar e controlar os acessos dos passageiros. Segundo a companhia aérea este sistema permite fazer caching de conteúdos de vídeo (do Youtube, por exemplo) para que a Internet seja mais rápida para todos os passageiros.
Empresas de Segurança
A MCS Holding é uma empresa Egípcia que se tornou numa Entidade de Certificação Intermédia da China Internet Network Information Center (CNNIC). O acordo com a Entidade Chinesa passava pela emissão de certificados para uso próprio da MCS Holding, ou seja, certificados para os seus domínios. No entanto, durante testes para o que chamam de serviços seguros baseados na cloud, a empresa Egípcia usou uma firewall (Proxy SSL), permitindo a geração de certificados para domínios em HTTPS de forma automática, o que iria permitir ataques do tipo Man-In-The-Middle. Se estas ferramentas forem disponibilizadas e instaladas por exemplo em redes sem fios de hotéis, podem de uma forma muito simples permitir, a quem tem acesso a esse software, ver todas as comunicações em claro dos seus utilizadores, mesmo as que assumimos que estão cifradas.
Governos
As agências de segurança governamentais têm como principal objectivo a segurança da população do seu país. Com o aumento de ferramentas mais seguras para comunicações escritas, orais ou visuais, alguns governos, uns de forma clara, outros de forma mais obscura, obrigam a criação de acessos alternativos à informação (Skype, Google, Apple, etc). A ideia por detrás destas imposições é que exista uma “backdoor” que, em caso de um atentado à segurança nacional, seja possível que a Microsoft (proprietária do Skype) ceda as conversas de um cidadão específico a pedido da agência governamental. Outro exemplo de vulnerabilidade crítica criada por entidades governamentais foi o pagamento de 10 milhões de dólares à RSA, por parte da NSA (National Security Agency dos Estados Unidos), para definição de um algoritmo inseguro por omissão, permitindo que os serviços secretos americanos conseguissem quebrar e interceptar as comunicações de quem utilizasse esta tecnologia.
Como nos poderemos proteger?
Estes foram alguns exemplos de entidades que para sobreviverem e se destacarem ou em prol da proteção nacional, tomaram medidas de controlo que colocam em causa a própria privacidade e segurança dos teus utilizadores. Posto isto, de que forma é que nós, como simples utilizadores de serviços, nos poderemos proteger?
Uma ideia simples de garantir que estamos ligados a um determinado serviço é possuir de antemão a chave pública do certificado digital que nos vai ser apresentado. Desta forma, ao invés de se confiar uma hierarquia de certificados, como normalmente realizado, poderemos verificar se o certificado que temos guardado na nossa lista de certificados confiáveis é o que nos está a ser apresentado. A isto chama-se de Certificate Pinning. A Google já utiliza esta tecnologia no Chrome de forma transparente para o utilizador. O browser descobre automaticamente o uso de certificados falsos ao verificar se os sites estão a apresentar o certificado correto.
Quem controla quem nos controla?
Muitas empresas querem ver tudo o que fazemos, sempre com o objectivo de aumentar a velocidade do serviço, melhorar a nossa segurança como cidadão, ou até prestar um serviço personalizado e centrado em nós. Contudo, será suficiente o que nos oferecem em troca da nossa privacidade?
Por Pedro Tarrinho, Information Security Manager/Auditor da Multicert
Este artigo tem mais de um ano
Loading ...
Este gajo aqui sentado atrás de mim também está a ver o que eu faço na Internet :/
Agora sem brincadeiras, a mim pouco ou nada me incomoda. Gosto que a publicidade que vejo seja direccionada a mim, em vez de estar a ver alguma coisa que, de facto, näo me interessa.
+1
Sim, sinceramente já comprei muita coisa ou vim a saber de muita coisa, através da tal publicidade direccionada…:)
É esse o objetivo, sacar-te o máximo de dinheiro possível para o lado do transportador da mensagem como para o vendedor, e ficam todos felizes tu e eles, mas tu é só até acabar o dinheiro.
Podem direcionar-me a melhor publicidade do mundo. Só compro se quiser. Não me obrigam.
Se de facto, comprar o produto que promovem, ficam eles felizes porque vendem, fico eu feliz por gastar o dinheiro naquilo que quero.
Podem sacar-me todo o dinheiro que eu tenho disponível para gastar no que me vendem, que eu ficarei feliz. É para isso que serve o dinheiro.
Sim, mas torna-se chato, no outro dia pesquisei por waffle makers na amazon, ainda hoje sou bombardeado com pub e popups dessas nos sites… Mesmo para o ebay e outros, torna-se irritante, claro que usio extensoes, mas ha sites que nao se portam bem com adblocks etc.
Pela imagem de perfil vemos o grau de intelectualidade.
Mas não somos todos intelectuais na Internet?
No tempo do Salazar é que havia liberdade… Era preciso haver um bufo a menos de um metro para saberem o que dizia!
Agora até dentro de casa filmam e gravam tudo o que quiserem, o utente 44, até queria um chip obrigatório de matricula, para sermos controlados e pagar portagens 24,5 horas por dia.
Já farta,vou começar a levar o smartfone para a retrete, para ouvirem quantos são, HIRRA!
Falar é fácil…fazer, nem por isso…
Por exemplo o site das Finanças, para entrega do IRS, está a utilizar certificados não válidos, uma vez que não foram emitidos para determinados sites…
Resultado…ou se aceita o certificado ou não se entrega o IRS…:D
E experimentem ligar para o IT deles…que a resposta é sempre a mesma…”Tem que aceitar o certificado, não há problema!”
lol, eu reparei nisso mas foi no site da segurança social direta…
No das finanças não vi qualquer problema
“As agências de segurança governamentais têm como principal objectivo a segurança da população do seu país.”
Não é esta a prioridade das agência de espionagem.
FALTOU REFERIR AS REDES SOCIAIS E SERVIÇOS “GRÁTIS” QUE SÃO OS PIORES FOCOS DE ATENTADO CONTRA A PRIVACIDADE
GOOGLE, FACEBOOK, APPLE, ETC, ETC, ETC…
Que são frontends da NSA PIORES QUE CARRAÇAS.
desde que comprei um macbook retina fiquei livre de espionagem e malware. estou seguro com o lumia ou preciso mudar para iphone tb? Sei que android é mto fraco na seguranca como na performance.
Compra Blackberry. Nunca teras problemas de seguranca.
Sim sim, muda para iPhone também…
Ficas livre dessa escumalha toda de uma vez…!!!
(TROLLLLLLL)
Vejam o Last Week Tonight with John Oliver da última semena com entrevista ao Edward Snowden e ficam esclarecidos de muita coisa que se passa:
https://www.youtube.com/watch?v=XEVlyP4_11M
aqui esta que nos espia
No tempo do Salazar é que havia liberdade… Era preciso haver um bufo a menos de um metro para saberem o que dizia!
Agora até dentro de casa filmam e gravam tudo o que quiserem, o utente 44, até queria um chip obrigatório de matricula, para sermos controlados e pagar portagens 24,5 horas por dia.
Já farta,vou começar a levar o smartfone para a retrete, para ouvirem quantos são, HIRRA!
Boa tarde,
Podem explicar melhor essa dos programas de antivirus?
Todos eles fazem o mesmo apenas essas duas empresas?
Os dados não são todos analisados localmente?
Devo pensar em mudar de antivirus? xD
Deves é pensar em deixar de usar antivírus.
A questão dos anti-virus é muito pretinente, por acaso já cheguei a usar o BitDefender (que é considerado por mim o melhor – não estou a falar de versões gratis), mas recentemente deixei de usar anti-virus.
Tenho a proteção base do meu SO.
O que é preciso ter em atenção quando se deixa de usar anti-virus é que tens de ter cuidado nos links ao navegar na Web, ter cuidado com aquilo que se descarrega para o computador, ter cuidado com dispositivos de armazenamento externos, ter cuidado com publicidade, ter cuidado com a pirataria (muito dela trás trojans ou instalam um ‘backdoor’ no computador), ter cuidado com os dados pessoais que se “oferece” aos WebSites na Web (o antivirus não trata disso xp), e ter cuidado com mais algumas coisas…
Eu sabia que o anti-virus mandava informação minha para analise, mas por outro lado também dava para alterar essa opção.
Mas a questão realmente passa a ser “Será que os nossos dados são mantidos nossos, ou será que parte deles vai para os developers dos anti-virus na mesma?”
Já agora um à parte, a nossa informação pessoal tem muito valor, por isso devemos ter cuidado a quem a damos, por exemplo, no meu caso se fosse hoje não tinha posto tanta informação no Facebook.
Concordo.
Os antivírus só conseguem fazer a análise de sites que não estejam cifrados, razão pela qual alguns oferecem segurança extra, decifrando a camada SSL/TLS.
http://kb.eset.com/esetkb/index?page=content&id=SOLN3126
É este ponto que deve ser bem decidido:
– opção 1 – queremos estar seguros ou seja, que vejam se estamos a ser atacados por vírus ou trojans? – implica que também vão conseguir ver as nossas passwords;
– opção 2 – queremos manter as nossas passwords seguras? – virus ou trojans em sites https vão passar despercebidos pelos antivírus.
O Microsoft Security oferece proteção suficiente?
A minha questão vem porque eu uso exatamente o Kaspersky, e sei que eles tem o Kaspersky Security Network, que permite enviar dados automaticamente, coisa que eu tenho desativada.
Gostava mesmo que alguém que percebesse um bocadito mais disto me esclarecesse, porque sinceramente, não fico nada contente se o antivirus pelo qual paguei, processa as minhas ligações seguras fora do meu computador
Olá Pedro,
não sou expert em Kaspersky e nem uso. No entanto, de acordo com a informação do site deles, essa opção é customizável.
http://support.kaspersky.com/6851
“How to enable SSL connection scan
Open Kaspersky Anti-Virus configuration screen.
Select Network in the left list.
Enable the option Scan encrypted connections in the Encrypted connections section and click the button Install certificate. ”
A parte desta informação, se o objetivo é verificar ao pormenor as funcionalidades do software, é preciso fazer algo semelhante do que foi feito ao TrueCrypt ->
http://fortconsult.net/en/en/nyheder/ncc-group-audits-truecrypt