Mark Risher, Gestor de Produto para a Área da Segurança e da Privacidade da Google, explica como nem sempre a password mais longa e complexa chega par evitar um ataque de hackers. No Gmail, é o combate ao spam que tem centrado as atenções – e também o poder computacional da gigante da Internet e também dos grupos de cibercriminosos que se aproveitam da credulidade alheia.
O que é que as passwords têm de errado?
Toda a gente odeia as passwords; são horríveis, mas é verdade que que têm características que as tornam úteis. É difícil perder a password; podemos esquecê-la, mas não desaparece. E é difícil alguém roubar uma password sem enganar outra pessoa. O problema é que não podemos depender exclusivamente das passwords. Fizemos um estudo na Internet com os crawlers de busca da Google, e em três semanas descobrimos três mil milhões de pares com nomes de utilizadores e respetivas passwords. Não há qualquer dúvida de que há várias passwords aí à solta, e não podemos depender apenas delas. E por isso usamos também um segundo fator de segurança automático…
Os maus do costume já estão a explorar essas passwords?
Sem dúvida. Infelizmente, as passwords costumam ficar comprometidas. O conselho que damos é: usem uma password diferente para cada site. Se usarmos a mesma password para três sites, a partir do momento em que, uma password usada num desses sites é descoberta, passa a ser possível aceder aos vários sites.
Os hackers já encontraram forma de vencer passwords que são longas e têm símbolos que não pertencem ao alfabeto?
As pessoas não precisam de se preocupar a criar passwords longas, com números e maiúsculas, para que os hackers não tentem descobri-las. Em vez disso, as pessoas deveriam preocupar-se com hackers que tentam enganá-las, levando-as a inserir as passwords em sites forjados… quem cair nestas armadilhas, bem que pode ter passwords longas, maiúsculas e símbolos, porque é a própria pessoa que está ceder a password.
É uma questão de enganar humanos e não uma questão de superar a tecnologia.
Exato. E é por isso que decidimos lançar o nosso programa de proteção avançado. Os humanos serão sempre vítimas destas coisas – é da natureza humana. E com esse programa de proteção avançada evoluímos para uma coisa que se chama Security Key. O utilizador não tem de se preocupar com a página, e é esta tecnologia física (e aponta para um dispositivo USB que autentica o utilizador quando se conecta a um serviço). Tal como a porta da sua casa, também passa a ser necessário este dispositivo para poder usar um computador ou um telemóvel… e sem essa chave ninguém consegue entrar na sua conta. Esta solução tem princípios de segurança muito diferentes, que são muito mais robustos.
Qual a adoção que este dispositivo tem vindo a registar no mercado?
Fizemos uma estreia restringida ao mercado dos EUA em agosto. Em apenas nove horas, esgotou o stock! Tivemos de mandar fazer mais para dar seguimento a dezenas de milhares de pedidos. Parece-nos que tem bastante popularidade, as pessoas estão atentas e há muita procura no mercado. Estamos a trabalhar em diferentes mercados… usamos uma norma que permite que fabricantes e representantes locais criem as suas soluções (de Security Keys).
Há quem diga que os computadores quânticos vão acabar por vencer os sistemas de passwords convencionais. Será que este tipo de chave tecnológica conseguirá resistir a ataques com computadores quânticos?
Há esse receio de que a computação quântica, que ainda está em fase de desenvolvimento, vai acabar por tornar obsoletos os sistemas de passwords tradicionais. No entanto, há investigadores que já começaram a trabalhar em algoritmos de encriptação pós-quântica, que serão suficientemente robustos, mesmo quando houver computadores quânticos a operar. Esta chave de segurança já permite suportar várias cifras, tendo em conta essa evolução.
O Gmail tem conseguido ganhar a guerrra ao spam?
A Google tem investido na prevenção do spam. Os números de que estou a falar são: mais de 99,9% das mensagens de spam são bloqueadas, o que significa que a há centenas de milhões de pessoas que não recebem uma única mensagem de spam. Mesmo a passe 0,01%, essas mensagens não se disseminam de forma uniforme para todas as pessoas – e muitas não receberão qualquer mensagem destas.
As técnicas de spam não evoluíram nos últimos anos?
As técnicas usadas pelos spamers estão sempre a mudar, a fim de saber quais são aquelas que conseguem passar (pelos filtros antisspam). Já há spammers a usar aprendizagem máquina (machine learning), porque sabem que nós usamos machine learning para bloquear as mensagens. Temos aquela versão de (banda desenhada) Spy Vs Spy, mas com computadores. Eles têm algoritmos que mudam rapidamente as mensagens e nós temos algoritmos que rapidamente detetam isso…
Tendo em conta os custos e a sofisticação das tecnologias, mesmo com uma taxa de sucesso tão reduzida, o spam continua a compensar!
Historicamente, o spam sempre funcionou numa lógica de volume e escala. A taxa de sucesso é reduzida, logo os spammers tentam chegar a uma audiência muito grande. Se vemos cerca de 20 milhões de mensagens a anunciar um página específica com produtos farmacêuticos, ficamos em condições de intervir. Mas agora os spammers usam mensagens mais precisas e personalizadas para cada pessoa, como é normal fazer em termos de marketing, quando se envia mensagens à medida. Eles (os spammers) podem saber onde é que as pessoas vivem, eventualmente fizeram alguma pesquisa prévia para tornar a mensagem mais personalizada.
… com o spam surge depois o phishing, não é?
Correto. Há esta ligação entre o tipo de conteúdos que são distribuídos e os ganhos que podem providenciar. O spam que tem uma mensagem muito genérica tem uma taxa de resposta muito reduzida; mas há formas de ganhar muito mais dinheiro que podem passar por tentar chegar a alguém que usa a banca on-line com mensagens relacionadas criptomoedas … e que poderão ter muito mais sucesso.
Quando a Google identifica uma organização de spam avisa as autoridades?
Não investimos muito em tentar identificar spammers junto da polícia… porque não faz grande diferença. As técnicas de ataque mudam muito rapidamente. Além disso, trabalhar ao nível internacional pode revelar-se demasiado lento. E é por isso que nos focamos nas técnicas comuns das mensagens de spam, e em como podemos detetá-las.
Também não deve ser muito fácil detetar este tipo de grupos de spammers…
Pode ser muito caro tentar atribuir uma campanha de spam à fonte original. E pode nem valer a pena, porque esses grupos conseguem transformar-se e mudar de lugar.
Sim, é sempre possível estar num país e usar números de IP de outros países!
Exato. É por isso é que nos focamos no que há de comum nos diferentes ataques. Usamos aprendizagem máquina e diferentes sistemas que criámos para detetar spam independentemente do local de origem.
Mas não há grupos de IP de determinados países mais usados que outros?
Na verdade, está muito distribuído (pelo mundo todo). Durante um tempo, o endereço de rede era um dos indícios mais importantes. A partir do momento em que esses endereços ficaram associados a spam, os spammers passaram a usar outros. O que pode ser muito insidioso, quando o spammer começa a usar os endereços de IP de outras pessoas. Há até endereços “negros”, que nunca enviam ´mensagens legítimas e que os spammers poderão querer usar durante curtos períodos em que ainda têm boa reputação. Com a versão 6 do Protocolo de Internet (IPv6), que vai multiplicar o número de endereços, mas ainda está em fase de implementação, também pode ser explorado.
Historicamente, os produtos de segurança têm centrado as atenções nos computadores, mas não será muito mais fácil atacar um telemóvel nos dias que correm?
Não tenho qualquer gosto em dizer que está errado, mas é mais difícil atacar os telemóveis. Porque têm uma tecnologia que, na maioria dos casos, é nova, os sistemas operativos são mais recentes, e há barreiras de segurança bastante mais elevadas nos telemóveis… Há caixas de quarentena, os sistemas operativos foram desenhados já tendo em conta uma abordagem de segurança. Uma pessoa que limitação os downloads de apps às lojas oficias de apps, como a Play Store, terá um dispositivo bem mais seguro, porque se está usar um sistema isolado, que faz monitorizações automáticas que analisam também os telemóveis.
Um hacker também pode tentar atacar através das redes de Wi-Fi ou Bluetooth!
Sim, mas é importante distinguir vulnerabilidades de oportunidades de ataque. As vulnerabilidades podem causar, potencialmente, um problema. Imagine que vive num apartamento que tem uma janela para a rua no 25º piso. Potencialmente, alguém pode atacar a sua casa se apanhar um helicóptero… mas a probabilidade de alguém fazer isso é muito baixa. Em contrapartida, a oportunidade de ataque surge quando alguém demonstra que pode tirar partido de uma vulnerabilidade para extrair informação. Faço esta distinção porque muito do que vemos nos média incide nas vulnerabilidades, que teoricamente são exequíveis, mas nunca ninguém conseguiu demonstrar.
O Regulamento Geral de Proteção de Dados que foi aplicado pela UE aumentou a pressão sobre empresas como a Google…
Sem dúvida. Tem sido uma das áreas em que investimos mais nos últimos anos. Sempre tivemos a privacidade como algo primordial para a nossa empresa. E há implicações na área da segurança. A melhor forma de descobrir que alguém se conectou à sua conta (da Google) é comparar com a história dos registos de acesso… mas sem essa informação torna-se mais difícil de descobrir quem acedeu a uma conta. Há uma potencial tensão entre a necessidade de limpar os registos por questões de privacidade e a obtenção de dados úteis em termos de segurança.
Será que esse problema pode ser superado com sistemas mais robustos?
Claro, mas não foi uma surpresa. Temos investido na nossas plataformas durante os últimos anos. O RGPD ajudou-nos a cristalizar o modelo de trabalho e evangelizar quem anda à volta da nossa empresa, mas há muitos anos que usamos ferramentas de quarentena de dados, encriptação, privacidade ou eliminação de informação.
