Políticos do parlamento inglês passaram pela experiência de ter seus dispositivos hackeados. Essa ação é parte de uma pesquisa da F-Secure realizada em Londres que demonstrou a facilidade com que dados pessoais podem ser hackeados quando o alvo está usando Wi-Fi público. Para examinar esse ponto a F-Secure uniu-se à especialista em auditoria de segurança Mandalorian Security Services e ao Cyber Security Research Institute. O objetivo era realizar um experimento que previsse a invasão dos dispositivos de três políticos do parlamento inglês.
Os alvos, deliberadamente selecionados dentre os mais influentes políticos do Reino Unido, foram Rt. Hon. David Davis MP, Mary Honeyball MEP eLord Strasburger. O exercício foi realizado com a permissão desses representantes que, a despeito de ocuparem cargos importantes nos diferentes parlamentos, admitiram não ter recebido instrução formal ou informação acerca da relativa facilidade com que computadores podem ser invadidos durante o uso de Wi-Fi público – um serviço que todos eles admitiram usar regularmente.
Comentando sobre o seu e-mail ter sido acessado, Davis disse: “É aterrorizante. O que vocês extraíram foi uma senha muito forte, mais difícil do que a maioria das pessoas usa. Certamente, não é ‘Password’.” O problema é que a senha do Rt. Hon. David Davis MP teria sido decifrada por mais forte que fosse. Isso acontece porque o Wi-Fi público é inerentemente inseguro – nomes de usuários e senhas são mostrados em texto legível na retaguarda de um ponto de acesso Wi-Fi, simplificando seu roubo por um hacker.
Para enfatizar o risco, os hackers éticos da Mandalorian deixaram na pasta de rascunhos deste parlamentar um e-mail destinado à imprensa nacional, anunciando a sua deserção para o partido UKIP, da oposição. Sua conta do PayPal também foi comprometida. Isso aconteceu pelo fato de Davis usar nesta conta o mesmo nome de usuário e senha do seu Gmail – um hábito comum.
No caso de Lord Strasburger, uma chamada de voz sobre IP (VoIP) feita por ele em um quarto de hotel foi interceptada e gravada usando tecnologia disponível gratuitamente na Internet e relativamente fácil de dominar. Strasburger disse: “Isso é muito preocupante. Esse é um equipamento muito poderoso. O pensamento de que um hacker principiante seria capaz de estar operante em poucas horas é realmente preocupante. Penso que isso prova que, ao usar tecnologia, as pessoas precisam saber muito mais a respeito dela. A conclusão é que os usuários precisam cuidar de si mesmos porque o uso do dispositivo móvel é individual – ninguém fará isso pela pessoa.”
Mary Honeyball MEP, membro da comissão da UE responsável pela campanha ‘We love Wi-Fi’ (Nós amamos Wi-Fi), estava navegando na Internet em um café quando o hacker ético lhe enviou uma mensagem, supostamente do Facebook, convidando-a a fazer novo login na sua conta, por haver expirado o tempo de conexão. Foi assim que, sem saber, ela entregou as suas credenciais de login ao hacker, que então acessou a conta dela no Facebook.
Honeyball, que estava usando um tablet que lhe fora destinado dias antes pelos funcionários de tecnologia do Parlamento Europeu, ficou particularmente preocupada por não lhe terem sido feitas advertências. “Penso que algo deve ser feito. Todos nós pensamos que as senhas deixam tudo seguro. Sempre pensei que esse fosse o objetivo das senhas. Estou surpresa e chocada”, disse ela.
Cada invasão demonstrou não apenas a facilidade com que um hacker pode burlar serviços protegidos por senha, mas também como os dados pessoais poderiam ser usados para ataques adicionais. “Uma pessoa comum acredita que saber para qual time ela torce seria uma informação bastante inútil para um hacker”, disse Steve Lord, diretor da Mandalorian. “Mas, em posse desse dado, o hacker poderá criar um e-mail de phishing especificamente voltado a essa pessoa e às suas preferências esportivas, sabendo que um torcedor terá maior probabilidade de abrir o e-mail de phishing. Ao clicar em um link nesse e-mail ou abrir um anexo, a pessoa estará nas mãos dos hackers – eles carregarão malware nos dispositivos do usuário, que sem querer acabará entregando ao inimigo todas as suas informações. Não apenas isso, mas também as informações da sua empresa, se este usuário costuma usar seus dispositivos para acessar a rede da empresa.”
Sean Sullivan, Consultor de Segurança da F-Secure, dá o seguinte conselho aos usuários de Wi-Fi público: “As pessoas não devem ter medo de usar Wi-Fi público – ele é um serviço fantástico. Mas é necessário compreender que há riscos e é responsabilidade do usuário proteger-se. Para isso, basta usar uma Rede Privada Virtual (ou VPN, Virtual Private Network). As VPNs estão disponíveis como app para telefones e tablets. A VPN Freedome, da F-Secure, criptografa todos os dados que trafegam do dispositivo para a rede, o que significa que o hacker não conseguirá roubar os dados do usuário. Usar a VPN dá a melhor proteção que uma pessoa poderá ter para permanecer seguro em Wi-Fi público. É isso que permite o usuário focar-se no que está fazendo, em vez de preocupar-se com permanecer seguro.”
F-Secure – Switch on freedom
A F-Secure é uma empresa finlandesa que há mais de 25 anos defende dezenas de milhões de pessoas ao redor do mundo contra ameaças digitais. Nossos produtos premiados protegem pessoas e empresas contra todo tipo de ameaça, desde crimeware (um tipo de malware projetado para automatizar o crime digital) até ataques cibernéticos contra ambientes corporativos. Nossas soluções estão disponíveis em mais de 6000 revendas e 200 grandes operadoras de Telecomunicações em mais de 40 países. Nossa missão é ajudar pessoas a se conectarem ao mundo de maneira segura. Junte-se ao movimento “Switch on freedom”.
Blog em inglês: http://safeandsavvy.f-secure.com/
Mandalorian
A Mandalorian foi fundada em 2005 e, desde então, vem prestando serviços de qualidade e valor em auditoria de segurança. Uma consultoria butique, a Mandalorian oferece serviços pessoais e profissionais com suporte comercial e técnico consistentes; sua oferta destaca-se por ser um serviço fácil de se utilizar. As certificações da Mandalorian demonstram a capacidade técnica de sua equipe, habilitada a fornecer uma ampla variedade de serviços de teste de segurança. Entre seus diferenciais inclui-se a oferta de testes personalizados de todos os tipos de dispositivos, sistemas e aplicações. Embora baseada no Reino Unido, a Mandalorian presta serviços no mundo todo para os setores Público e Privado, incluindo organizações de Defesa, Administração e Finanças.