Ação
é parte de uma pesquisa da F-Secure, realizada em Londres
Quarta, 22 julho
2015 00:00 Escrito por Redação
Mostra
aponta a facilidade com que dados pessoais são roubados em Wi-Fi público
Políticos do
parlamento inglês passaram pela experiência de ter seus dispositivos hackeados.
Essa ação é parte de uma pesquisa da F-Secure realizada em Londres que
demonstrou a facilidade com que dados pessoais podem ser hackeados quando o
alvo está usando Wi-Fi público. Para examinar esse ponto a F-Secure uniu-se à
especialista em auditoria de segurança Mandalorian Security Services e ao Cyber
Security Research Institute. O objetivo era realizar um experimento que
previsse a invasão dos dispositivos de três políticos do parlamento inglês.
Os alvos,
deliberadamente selecionados dentre os mais influentes políticos do Reino
Unido, foram Rt.Hon. David Davis MP, Mary Honeyball MEP e Lord Strasburger. O
exercício foi realizado com a permissão desses representantes que, a despeito
de ocuparem cargos importantes nos diferentes parlamentos, admitiram não ter
recebido instrução formal ou informação acerca da relativa facilidade com que computadores
podem ser invadidos durante o uso de Wi-Fi público – um serviço que todos eles
admitiram usar regularmente.
Comentando
sobre o seu e-mail ter sido acessado, Davis disse: “É aterrorizante. O que
vocês extraíram foi uma senha muito forte, mais difícil do que a maioria das
pessoas usa. Certamente, não é password. O problema é que a senha do Rt. Hon.
David Davis MP teria sido decifrada por mais forte que fosse. Isso acontece
porque o Wi-Fi público é inerentemente inseguro – nomes de usuários e senhas
são mostrados em texto legível na retaguarda de um ponto de acesso Wi-Fi,
simplificando seu roubo por um hacker.
Para
enfatizar o risco, os hackers éticos da Mandalorian deixaram na pasta de
rascunhos deste parlamentar um e-mail destinado à imprensa nacional, anunciando
a sua deserção para o partido UKIP, da oposição. Sua conta do PayPal também foi
comprometida. Isso aconteceu pelo fato de Davis usar nesta conta o mesmo nome
de usuário e senha do seu Gmail – um hábito comum.
No caso de
Lord Strasburger, uma chamada de voz sobre IP (VoIP) feita por ele em um quarto
de hotel foi interceptada e gravada usando tecnologia disponível gratuitamente
na Internet e relativamente fácil de dominar. Strasburger disse: “Isso é muito
preocupante. Esse é um equipamento muito poderoso. O pensamento de que um
hacker principiante seria capaz de estar operante em poucas horas é realmente
preocupante. Penso que isso prova que, ao usar tecnologia, as pessoas precisam
saber muito mais a respeito dela. A conclusão é que os usuários precisam cuidar
de si mesmos porque o uso do dispositivo móvel é individual – ninguém fará isso
pela pessoa. ”
Mary
Honeyball MEP, membro da comissão da UE responsável pela campanha ‘We love
Wi-Fi’ (Nós amamos Wi-Fi), estava navegando na Internet em um café quando o
hacker ético lhe enviou uma mensagem, supostamente do Facebook, convidando-a a
fazer novo login na sua conta, por haver expirado o tempo de conexão. Foi assim
que, sem saber, ela entregou as suas credenciais de login ao hacker, que então acessou
a conta dela no Facebook.
Honeyball,
que estava usando um tablet que lhe fora destinado dias antes pelos
funcionários de tecnologia do Parlamento Europeu, ficou particularmente
preocupada por não lhe terem sido feitas advertências. “Penso que algo deve ser
feito. Todos nós pensamos que as senhas deixam tudo seguro. Sempre pensei que
esse fosse o objetivo das senhas. Estou surpresa e chocada”, disse ela.
Cada invasão
demonstrou não apenas a facilidade com que um hacker pode burlar serviços
protegidos por senha, mas também como os dados pessoais poderiam ser usados
para ataques adicionais. “Uma pessoa comum acredita que saber para qual time
ela torce seria uma informação bastante inútil para um hacker”, disse Steve
Lord, diretor da Mandalorian. “Mas, em posse desse dado, o hacker poderá criar
um e-mail de phishing especificamente voltado a essa pessoa e às suas
preferências esportivas, sabendo que um torcedor terá maior probabilidade de
abrir o e-mail de phishing. Ao clicar em um link nesse e-mail ou abrir um
anexo, a pessoa estará nas mãos dos hackers – eles carregarão malware nos
dispositivos do usuário, que sem querer acabará entregando ao inimigo todas as
suas informações. Não apenas isso, mas também as informações da sua empresa, se
este usuário costuma usar seus dispositivos para acessar a rede da empresa. ”
Sean
Sullivan, Consultor de Segurança da F-Secure, dá o seguinte conselho aos
usuários de Wi-Fi público: “As pessoas não devem ter medo de usar Wi-Fi público
– ele é um serviço fantástico. Mas é necessário compreender que há riscos e é
responsabilidade do usuário proteger-se. Para isso, basta usar uma Rede Privada
Virtual (ou VPN, Virtual Private Network). As VPNs estão disponíveis como app
para telefones e tablets. A VPN Freedome, da F-Secure, criptografa todos os
dados que trafegam do dispositivo para a rede, o que significa que o hacker não
conseguirá roubar os dados do usuário. Usar a VPN dá a melhor proteção que uma
pessoa poderá ter para permanecer seguro em Wi-Fi público. É isso que permite o
usuário focar-se no que está fazendo, em vez de preocupar-se com permanecer seguro.
”