Vírus eletrônicos prosperam com ajuda de erros primários de usuários de computadores e celulares, diz Kaspersky
O especialista russo dá orientações para o combate a ameaças virtuais e defende um controverso controle na web com a mesma finalidade
“Não acredito em nada 100% seguro neste mundo.” Ouvir tal afirmação da boca de Eugene Kaspersky, uma das maiores autoridades do planeta quando o assunto é combate a ameaças virtuais, soa como uma condenação a conviver com as pragas eletrônicas. Afinal, à frente da empresa Kaspersky Lab, o especialista russo de 47 anos fez fortuna a partir da confiança de milhões de usuários de computadores, tablets e smartphones na sua capacidade de debelar pragas. Ninguém deve se desesperar. Kaspersky garante que boas práticas podem reduzir significativamente os riscos de ataques virtuais. O problema, acrescente o russo, é que muita gente se descuida, cometendo falhas primárias que permitem o avanço dos ataques. Na entrevista a seguir, a segunda parte de uma conversa ocorrida em Moscou, Kaspersky conta quais práticas ele mesmo adota no dia a dia para evitar a contaminação por vírus eletrônicos. Fala também sobre sua contreversa ideia de criar algum tipo de controle na internet, apresentado como forma de combater ameaças maliciosas. “Eu sugiro que a partir de determinado nível de interação com um serviço, o usuário tenha de ter uma carteira de identificação para navegar em alguns sites”, diz. Tal ponto de vista não surpreende. Em diversas entrevistas, Kaspersky já deixou transparecer que a internet lhe parece “livre demais” em sua capacidade de propagar ideias causadoras de agitação política – um ponto de vista compartilhado pelo regime linha-dura de Vladimir Putin. Confira os melhores momentos da entrevista a seguir.
Leia mais: na 1ª parte da entrevista, Karspersky diz que ‘ciberguerra’ já começou
Assistimos à ascensão dos dispositivos móveis, cada vez mais numerosos. Isso nos torna mais ou menos vulneráveis às ameaças virtuais? A chegada de smartphones, tablets e outros dispositivos que tornaram a internet ainda mais móvel e vulnerável. Muitos smartphones estão vinculados diretamente a uma conta bancária, o que multiplica o risco de golpes. Entre maio e agosto deste ano, identificamos 14.923 malwares concebidos para atacar dispositivos móveis. É catorze vezes mais do que o registrado há um ano. Os ataques comuns incluem o envio de SMS para beliscar um pouco do dinheiro alheio cada vez que uma mensagem é aberta, invadindo os smartphones para fazer ligações às custas dos outros, além de capturar listas de contatos ou dados bancários. Potencialmente, há muito mais memória e informações instaladas em um aparelho móvel atual do que havia em um desktop do final da década de 1990. Só que as pessoas não estão nem aí na hora de clicar em um link suspeito, tampouco reforçam suas senhas, que em geral são óbvias demais.
Como o senhor se defende de tais ameaças? Para começar, não navego em um dispositivo, seja computador, tablet ou smartphone, sem um software de segurança instalado. Acredito na proteção dos softwares fabricados pela minha empresa (risos). Também tomo providências adicionais. Não clico em qualquer link que recebo, não confio em qualquer um na internet, mesmo que jure que é meu amigo, não faço transações bancárias a partir do meu smarphone ou quando não tenho conexão segura. Também não uso programas de envio de arquivos digitais, não instalo arquivos que chegam por e-mail ou Facebook, não deixo para depois atualizações solicitadas por programas instalados nas minhas máquinas e mantenho ao menos dois back-ups, HDs com minhas informações mais relevantes e fotografias. Quando possível, uso um cartão de crédito virtual para pagar uma única transação bancária. Por fim, mas não menos importante: mesmo sendo um ativo usuário do Facebook e do Twitter, não baixo a guarda em redes sociais.
Essas práticas garantem navegação 100% segura? Minimizam os riscos de ataques. Ainda assim, qualquer um está sujeito a ser vítima de um ataque a seu notebook, smartphone ou tablet. As únicas medidas que poderiam evitar a contaminação a computadores é banir máquinas ou usuários. Claro que ambas alternativas são completamente despropositadas. O melhor, portanto, é reduzir brechas que facilitem ações de cibercriminosos.
Como gerenciar senhas? Acho recomendável ter várias, uma para cada finalidade: uma senha para Facebook, outra para Twitter, uma terceira para e-mails, uma nova sequência para contas bancárias e assim por diante. Aconselho os usuários ainda a alterá-las constantemente: eu as renovo a cada três meses. O ideal é que os usuários criem senhas que possuam ao menos oito dígitos – combinando letras, números e caracteres maiúsculos e minúsculos – e evitem palavras ou nomes que podem ser encontrados em um dicionário.
O senhor disse que não baixa a guarda em redes sociais. Por que desconfia tanto desses serviços? As pessoas acham que as redes sociais são ambientes frequentados apenas por amigos e que podem abrir qualquer arquivo ou link. Não é nada disso. E essa confiança abre espaço para vulnerabilidades, que poderão ser exploradas por ataques. Eu costumo brincar que o maior problema das redes sociais relativo a segurança é o fato de elas serem… sociais.
Diante de tantas ameaças e ataques propriamente, o senhor acha que a regulamentação internacional de combate aos crimes virtuais é vunerável? Eu diria que é bastante vulnerável. Enquanto os cibercriminosos falam entre si de várias partes do planeta e armam golpes em poucos segundos, as polícias de diferentes países perdem um tempo enorme para colocar as mãos neles. Existe a Interpol, mas ela não foi desenhada para investigar delitos na internet. Para combater o crime na internet seria preciso muito mais agilidade por parte dos países, além de leis de alcance internacional para facilitar as investigações.
O senhor defende a controversa criação de controles na internet para combater os crimes. Como seria esse controle? Eu sugiro que a partir de determinado nível de interação com um serviço, o usuário tenha de ter uma carteira de identificação para navegar em alguns sites. Quem defende a internet do jeito que ela está hoje, sem nenhum controle, provavelmente acredita que seria possível controlar o trânsito em um mundo no qual automóveis circulariam sem placas de identificação.
Não é uma solução invasiva demais? Não acho. Em um aeroporto, você tem de mostrar passaporte ou cartão de embarque e também passar pelo crivo de aparelhos de raio-X se quiser entrer na sala de embarque. O mesmo procedimento deveria valer para proteger informações que fossem valiosas na rede mundial de computadores.
Que tipo de acesso teria controle mais rígido? Ficariam mais restritos os acessos aos bancos, a troca de informações entre duas empresas ou transmissão de dados com um número de cartão de crédito, por exemplo. Claro que quem quisesse fazer uma consulta a um site de informação, bater papo com os amigos em um chat ou checar se choverá ou fará sol amanhã estaria fora deste controle.
Como seria feita a identificação do usuário? O sistema de identificação eficiente poderia usar tecnologias de coleta de dados biométricos: pupila dos olhos ou impressões digitais, captados por meio de um scanner mais uma combinação criptografada. Uma máquina dessas custa hoje cerca de 100 euros, mas daria uma garantia adicional de que o usuário que está acessando o computador ou o smartphone é de fato ele mesmo.
Se esse passaporte eletrônico entrasse em vigor acabariam os ataques a computadores, tablets ou smartphones? Sou paranoico e não acredito em nada 100% seguro neste mundo. Então, acho que ainda haveria cibrecriminosos atuando na rede. Mas essas medidas afastariam os amadores desse jogo. Claro que é possível falsificar passaportes, mas o fato de eles existirem deixa a vida de criminosos mais difícil. Haveria duas áreas na internet: uma mais segura, voltada a todos que precisam proteger seus dados; outra sem controle nenhum, como é a internet dos dias de hoje.
O que o senhor acha de organizações como o Anonymous, que vem promovendo vazamento de dados de usuários sob pretexto de expor falhas de segurança de serviços? Muita gente os define como criminosos. Não sei se são. Mas a maior parte desses grupos não entendeu a definição de liberdade de informação. Há dados que devem ser confidenciais para não molestar pessoas e empresas. Uma organização como o Anonymous pode até trazer informações interessantes à tona, mas não tem direito de espalhar qualquer coisa por aí.
Recentemente o senhor declarou que a Apple está dez anos atrasada em relação à Microsoft quando se trata de prevenção a ataques. Por quê? O que eu disse é que enquanto a Microsoft aproximou-se das empresas de segurança para desenvolver sistemas de segurança mais robustos, a Apple não fez isso. No ano de 2000, quando máquinas com o sistema operacional da Microsoft foram atacadas por um malware chamado Blaster, os dirigentes da companhia chamaram empresas de segurança para discutir o problema e investiram recursos para fazer atualizações que fossem necessárias cada vez que fossem identificadas vulnerabilidades. Já a Apple tinha uma fama, despropositada na minha opinião, de que o seu sistema era invulnerável, mas está cada vez mais sendo atacado.
A ideia de que máquinas da Apple são menos vulneráveis é um mito? Cibercriminosos seguem a mesma lógica de qualquer bandido: atacam primeiro onde há um volume de dinheiro maior para roubar. Como a proporção de PCs no mercado é muito mais alta do que a de Macs, durante anos o desenvolvimento de malwares se concentrou nesse tipo de dispositivo. O mesmo vale para smartphones com plataforma Android (do Google), mais numerosos do que iPhones. Há que se reconhecer que há mais requerimentos para desenhar aplicativos para a Apple do que para o Android. Mas também é indiscutível que sobra espaço para criadores de malware infectarem qualquer sistema operacional.
Por Fernando Valeika de Barros, de Moscou
Fonte: Revista Veja