Como tantas autoridades foram hackeadas, apesar das regras de segurança digital do governo

• 2

A invasão dos celulares de várias autoridades brasileiras por hackers colocou em xeque os métodos de segurança digital do governo federal – a Polícia Federal (PF) estima que quase mil pessoas podem ter tido seus telefones invadidos. O Centro de Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov), vinculado ao Gabinete de Segurança Institucional (GSI) da Presidência da República, publicou oito manuais com recomendações e alertas sobre segurança digital desde o início do ano. De um modo geral, as orientações são adequadas, embora possam ser aperfeiçoadas. Como então as tantas autoridades foram hackeadas com facilidade?

Isso ocorreu por dois fatores. Havia uma falha no sistema nacional de telefonia celular. E a mera divulgação de normas sobre segurança digital não dá conta de garantir a proteção de informações sigilosas; é necessário uma cultura de implementação de boas práticas.

Segurança digital: só o manual não basta; tem de ser usado 

Dentre as recomendações de segurança digital do CTIR Gov estão indicações sobre como proceder em caso de invasão de contas no Telegram, Twitter, além de recomendações gerais.

Professor de Engenharia da Computação do Insper, Rodolfo Avelino avaliou os manuais do governo a pedido da Gazeta do Povo. Ele considera que, de um modo geral, as recomendações são pertinentes.

Mas Avelino alerta que só isso não é suficiente. Um problema é justamente o componente humano – ou seja, autoridades e servidores não seguirem as orientações. O próprio presidente Jair Bolsonaro se recusou a usar um Terminal de Comunicação Seguro (TCS), celular criptografado desenvolvido pela Agência Brasileira de Inteligência (Abin); e continua usando um telefone comum.

Segundo Avelino, não basta o governo apenas publicar os manuais em seu site. É preciso divulgá-los para todos os órgãos de governo e entidades vinculadas, criando uma cultura de segurança digital.

Falha técnica explica a invasão dos hackers

Além disso, há falhas técnicas que explicam a invasão dos hackers. “Pelo que está sendo divulgado, a fraude se deu numa falha técnica, longe do controle das pessoas. Então, mesmo com essas normativas e recomendações, você estaria vulnerável”, diz ele.

A investigação da Polícia Federal, que levou à prisão de quatro suspeitos de estarem envolvidos na invasão de celulares de autoridades, chegou à conclusão de que os hackers teriam se aproveitado de uma falha no sistema da caixa de recados que lhes permitiu ter acesso à senha da conta do aplicativo de mensagens Telegram. Eles teria usado o sistema Voip, de telefonia via internet, para simular números de autoridades e assim acessar aplicativos de mensagens pelo computador. A falha obrigou o Telegram e as operadoras de telefonia do Brasil a mudarem seus sistemas.

Confira as indicações do CTIR Gov para segurança digital 

Confira o que dizem os manuais do governo sobre seguranças digital (as orientações podem ser usadas por qualquer pessoa que queira aumentar sua proteção on-line):

• Recomendações de segurança da informação para integrantes do órgãos e entidades de governo - Alerta n.º 02/2019 

Determina regras para utilização de mídias sociais, o que fazer em casos de clonagem ou furto, senhas adequadas, e como agir em caso de recebimento de phishing (mensagens com links maliciosos).

• Como agir em caso de perfil falso em redes sociais (Twitter) - Recomendação n.º 03/2019

Ensina passos para denunciar perfis falsos ao Twitter, ativar a autenticação em dois fatores, e explica em detalhes como configurar a verificação de acesso na rede social.

• Como agir em caso de perfil falso em redes sociais (Telegram) - Recomendação n.º 04/2019

As recomendações mostram o que fazer em caso de roubo do celular, como acessar o aplicativo em outro dispositivo e o que fazer se caso não tiver essa opção. Como remover dados confidenciais e denunciar irregularidades diretamente à empresa. Reforça a necessidade de autenticação em dois fatores e descreve as opções de chats secretos e timer de autodestruição (de texto fotos, vídeos e arquivos).

• Como agir em caso de clonagem do celular - Recomendação n.º 05/2019

A recomendação é sobre como agir em caso de clonagem do celulares usando o SIM Swap. Técnica que a pessoa precisa ter acesso ao chip do celular ou ter vínculo com a operadora de telefonia e se aproveitar disso para executar a clonagem.

Precauções extras

A pedido da Gazeta do Povo, Clarissa Luz, advogada de direito da tecnologia e proteção de dados, especializada pela Universidade da Califórnia, elaborou algumas recomendações extras que podem ser usadas não apenas por autoridades e servidores públicos, mas por qualquer pessoa que queira ter mais segurança digital. Confira as dicas:

• Instalação de aplicativos de anti-theft.
• Utilizar aplicativos password manager, que criam senhas randomizadas e as gerenciam.
• Usar VPN (rede privada virtual) ao entrar em redes wifi públicas ou de terceiros 
• Checar permissões dos aplicativos. Por exemplo, uma calculadora não precisa ter acesso à sua lista de contatos ou câmera.
• Utilizar o aplicativo da Kaspersky no Android, que permite ao usuário inclusive bloquear o telefone ou deletar dados remotamente, em caso de furto.
• O phishing – ataque por email malicioso – é um dos meios mais usados em incidentes. Evitar abrir links desconhecidos e prestar atenção aos remetentes, pois hackers utilizam endereços de email com a marca do serviço oferecido, com algum elemento específico suspeito. O intruso pode até obter informações e dados pessoais de outros com os quais o aparelho estabelece contato. O phishing vem crescendo em meios diversos como aplicativos de mídias sociais ou mensagens.  
• No iPhone, desabilitar Siri e auto-fill.
• Diminuir a quantidade de aplicativos no celular minimiza os riscos de acesso indevido à câmera e ao microfone. Torna-se mais seguro o uso de aplicações como Google Hangouts, Skype e Zoom no navegador do aparelho.
• Uso de geolocalização, como find my iphone.