Nesta sexta feira, a coluna “Os Nerds na Vida Real”, assinada pelo analista de sistemas Rodrigo Felga, a partir do caso do roubo de senhas ocorrido esta semana no Twitter e do caso da atriz global Carolina Dieckmann (acima, em foto do site Ego) analisa a questão da segurança na internet.
E a comemoração do terceiro aniversário do Ouro de Tolo está somente começando.
Segurança na Internet
Olá Amigos,

A coluna de hoje abordará novamente o tema segurança.

Muitos de vocês devem ter visto durante a semana notícias em grandes portais sobre a divulgação de mais de 55 mil senhas de usuários do serviço de microblog Twitter. A divulgação dessas senhas desencadeou uma onda de problemas com os usuários que tiveram suas contas comprometidas – forçando alguns usuários, inclusive famosos, a encerrarem suas contas no serviço. Até o momento em que fechei a coluna ainda não se sabia como essas senhas foram parar em mãos erradas e farei hoje um exercício de enumerar alguns possíveis métodos que os criminosos podem ter usado para chegar às senhas.

Parêntese. Durante essa semana também veio à tona o caso da atriz Carolina Dieckmann que teve fotos pessoais divulgadas na internet após aparentemente ter sido chantegeada por um criminoso. Nesse caso as investigações indicam como suspeitos pessoas que tiveram acesso ao computador de Carolina para realizar uma manutenção no mesmo e seria nesse momento que teriam obtido as fotos.

Caso seja confirmada essa hipótese, o crime foi cometido por uma pessoa que teve acesso físico ao computador comprometido, portanto as dicas desse post não serão efetivas para esse tipo de golpe. Existem meios de se proteger em caso de equipamento roubado mas esse tema não será abordado na coluna de hoje, que visa dar dicas sobre a chamada segurança online, principalmente no que diz respeito às senhas. Fecha o parêntese.

A primeira e menos provável possibilidade é a de que o cybercriminosos invadiram os servidores do Twitter e capturaram as senhas “direto na fonte”. Essa hipótese é improvável principalmente porque as senhas dos usuários são armazenadas criptografadas (codificadas), o que significa que além de invadir os servidores do serviço de microblog os hackers precisariam também decodificar cada uma dessas senhas, uma tarefa pouco provável (contudo não impossível) com a criptografia existente nos dias de hoje.

Outro fato que corrobora a minha tese é o fato que o número de usuários atingidos é muito pequeno se compararmos com o universo de mais de 380 milhões de contas (dados de Janeiro/2012) registradas no serviço: por que tendo acesso a todos os dados seriam divulgados “apenas” 55 mil? Com que critérios esses 55 mil foram “selecionados”?

Outro método que pode ter sido utilizado é o que explora senhas fracas criadas pelo usuário. Dando uma rápida olhada na lista divulgada pode-se perceber que muitas das senhas eram consideradas fracas, pois continham somente letras ou somente números. Ou, o que é pior, a senha era uma sequência numérica (123456) ou uma palavra encontrada em qualquer dicionário (vaca, por exemplo).

Existiam ainda usuários que utilizavam como senha o próprio nome de usuário, ou variações do nome de usuário. Os criminosos de hoje usam ferramentas que testam em segundos todo o dicionário da língua portuguesa ou combinações numéricas, o que torna até certo ponto fácil descobrir senhas desse tipo.
A dica para criar senhas mais seguras é que elas utilizem sempre combinações (nunca palavras inteiras) de pelo menos 8 dígitos que contenham letras maiúsculas e minúsculas além de números (e se possível também caracteres especiais).

Outra forma de se conseguir acesso às contas do Twitter pode ser por meio da utilização de computadores públicos.

Existem programas que monitoram todas as teclas pressionadas pelo usuários e as enviam de tempos em tempos para o email do criminoso: esses programas são conhecidos como keyloggers. Agora, imaginem o estrago que pode ser causado por um keylogger instalado no computador da faculdade ou de uma lan house: todos que efetuaram login através do computador infectado terão suas senhas comprometidas.
O mesmo pode acontecer quando se usa redes públicas, como essas redes wi-fi que se encontram em alguns shoppings: existem meios de capturar todo o tráfego de rede e “garimpar” as senhas. A dica nesses casos é nunca logar em computadores ou redes públicas, somente assim se evita o risco de ter a sua senha “garimpada” em meio aos dados que podem estar sendo “espionados”.

Uma possibilidade que vejo como umas das mais prováveis é de que os criminosos utilizaram ataques de phishing e/ou engenharia social para obter essas contas (para saber mais sobre esses ataques leia o post sobre fraudes digitais que fiz aqui no Ouro de Tolo). Hoje mesmo recebi alguns e-mails que prometiam as famosas fotos da Carolina Dieckmann e que na verdade se tratavam de ataques. As dicas para se prevenir desses ataques podem sem encontradas no post citado mas é sempre bom reforçar: desconfie sempre de emails “inesperados” que venham de desconhecidos e até de conhecidos.

Acredito que um destes métodos (ou uma combinação deles) foi utilizado pelos criminosos para se conseguir essa lista de senhas. Seguindo algumas dicas simples deste post acredito você possa ter uma vida virtual um pouco mais tranquila.

E você, tem mais alguma dica para proteger suas senhas? Compartilhe nos comentários.

Um feliz aniversário a este Ouro de Tolo e até o próximo mês.


Escrito por: Pedro Migão em 11 de maio de 2012.