A segurança online é o conjunto de práticas, ferramentas e hábitos que mantêm as suas contas, os seus dados e a sua identidade fora do alcance de quem não deveria ter acesso a eles. Quase tudo o que fazemos hoje passa por um ecrã: o banco, a saúde, o trabalho, as conversas com a família. Cada um desses serviços guarda informação sobre nós e troca essa informação através da Internet. Proteger essa troca, e proteger o sítio onde a informação fica guardada, é aquilo de que esta secção trata.
Aqui na shattered.io olhamos para a segurança a partir da criptografia, a ciência que estuda como proteger informação. Foi nesse terreno que a nossa equipa deixou marca, ao produzir em 2017 a primeira colisão prática da função de hash SHA-1. Mas a criptografia, por si só, não chega. Mesmo o melhor cadeado é inútil se a chave ficar debaixo do tapete. Por isso esta secção trata tanto da tecnologia que protege as ligações como dos comportamentos que decidem, na prática, se essa proteção serve para alguma coisa.
O que a segurança online abrange
Costuma ser útil dividir o tema em três frentes que se sobrepõem. A primeira é a proteção das ligações, ou seja, garantir que os dados que viajam entre o seu dispositivo e um servidor não podem ser lidos nem alterados por terceiros pelo caminho. A segunda é a proteção das contas, isto é, impedir que outra pessoa se faça passar por si para entrar onde só você deveria entrar. A terceira é a proteção contra o engano, porque muitos ataques nem sequer tentam furar a tecnologia: convencem a vítima a abrir a porta de livre vontade.
Estas três frentes encaixam umas nas outras. Uma ligação cifrada protege a sua palavra-passe enquanto ela viaja, mas não serve de nada se a palavra-passe for fácil de adivinhar. Uma palavra-passe forte protege a conta, mas não impede que um site onde se registou seja invadido e a perca numa fuga de dados. E nenhuma das duas o protege de um email falso que o convença a escrever, de boa vontade, as suas credenciais num formulário fraudulento. A segurança real nasce da combinação das camadas, não de uma só.
Por que é que isto importa
É tentador pensar que a segurança só interessa a alvos importantes: empresas, políticos, pessoas com muito dinheiro. Na verdade, a maior parte dos ataques não escolhe a vítima. São automáticos, lançados em massa, à procura de qualquer conta fraca, qualquer dispositivo desatualizado, qualquer pessoa distraída. Reutilizar a mesma palavra-passe em vários sítios, ignorar as atualizações ou clicar sem pensar é o que transforma um utilizador comum num alvo fácil.
As consequências de uma falha raramente ficam contidas. Uma única conta de email comprometida costuma ser a chave-mestra para tudo o resto, porque é por aí que se recuperam as palavras-passe de todos os outros serviços. Uma fuga de dados num site onde se registou há anos pode entregar as suas credenciais a quem as vai experimentar em dezenas de outros sítios. E um momento de descuido perante uma mensagem bem construída pode dar a um desconhecido acesso à sua conta bancária. O custo não é apenas financeiro: há a invasão da privacidade, o tempo perdido a recuperar contas e o desgaste de descobrir que algo nosso anda nas mãos erradas.
A boa notícia é que a defesa não exige conhecimentos de especialista. Um pequeno conjunto de hábitos, aplicado com consistência, trava a esmagadora maioria dos ataques. Palavras-passe únicas e longas, um gestor de palavras-passe a memorizá-las por nós, a autenticação de dois fatores ativada, atenção crítica perante mensagens inesperadas e os dispositivos sempre atualizados. Nenhuma destas medidas é difícil. O que faz a diferença é praticá-las todas, e não só uma.
O que vai encontrar nesta secção
A partir deste centro, quatro artigos aprofundam os temas que mais pesam na prática. Cada um pode ser lido por si só, mas em conjunto desenham o retrato completo.
O artigo sobre violações de dados explica como é que os sites são invadidos, que tipo de informação acaba exposta, que impacto tem na vida de quem foi afetado e o que se pode fazer para limitar os estragos. É o lado da segurança que está fora do nosso controlo direto, porque acontece nos servidores de terceiros, mas que ainda assim nos atinge.
O texto sobre segurança de palavras-passe trata daquilo que está, esse sim, ao nosso alcance: como criar palavras-passe que resistem, por que motivo o comprimento conta mais do que os símbolos esquisitos, como os sites guardam as palavras-passe sem as guardar em texto simples e por que razão um gestor de palavras-passe com dois fatores é, hoje, a base de qualquer defesa séria.
O artigo sobre HTTPS e TLS abre o cadeado que aparece no navegador e mostra o que está por trás dele: como uma ligação é cifrada, o que é um certificado, quem são as autoridades que os emitem e, importante, o que o cadeado não garante. Muita gente confia demais nesse pequeno ícone, e convém perceber exatamente até onde vai a sua promessa.
Por fim, o texto sobre phishing descreve a forma de ataque que ignora a tecnologia e ataca a pessoa. Explica as táticas da engenharia social, ensina a reconhecer os sinais de uma mensagem fraudulenta e diz o que fazer no momento em que se percebe que se caiu no engano.
Quem quiser perceber os fundamentos técnicos que sustentam grande parte desta proteção encontra-os na nossa secção de criptografia, onde explicamos como funcionam as funções de hash, as assinaturas digitais e os algoritmos que tornam tudo isto possível. Segurança e criptografia são as duas faces da mesma moeda: uma é a teoria que protege, a outra é a prática de quem a usa no dia a dia.
Uma forma simples de pensar na sua defesa
Se houvesse que resumir tudo a uma só ideia, seria esta: a segurança funciona por camadas. Nenhuma medida isolada o protege de tudo, e é precisamente por isso que vale a pena ter várias. Quando uma falha, outra ainda está de pé.
Pense na palavra-passe única como a primeira camada, na autenticação de dois fatores como a segunda, no olhar crítico perante mensagens estranhas como a terceira e nos dispositivos atualizados como a base sobre a qual tudo assenta. Um atacante teria de furar todas ao mesmo tempo, e é essa acumulação de obstáculos, e não a perfeição de qualquer um deles, que torna a sua vida digital difícil de invadir. Os artigos que se seguem mostram como construir cada uma destas camadas sem precisar de ser especialista em nada.
Perguntas frequentes
Eu não sou um alvo importante. Mesmo assim tenho de me preocupar?
Sim, porque a maioria dos ataques não o escolhe a si em particular. São campanhas automáticas que varrem a Internet à procura de qualquer conta fraca ou pessoa distraída. Não ser importante não o torna invisível, torna-o um alvo conveniente.
Qual é a medida de segurança mais importante de todas?
Não há uma só, e essa é a questão. Ainda assim, se tivesse de escolher por onde começar, seria usar palavras-passe únicas guardadas num gestor e ativar a autenticação de dois fatores nas contas mais importantes, sobretudo no email. Essas duas medidas, juntas, travam a grande maioria dos ataques comuns.
A tecnologia não devia tratar disto sozinha?
Trata de muita coisa, e cada vez melhor. Mas a parte que depende de decisões humanas, como reconhecer um email falso ou escolher uma boa palavra-passe, continua a ser nossa. É por isso que esta secção mistura tecnologia e comportamento: as duas coisas têm de andar a par.
