Revista Executive IT

Com o início de um novo ano, deparamo-nos invariavelmente com as tradicionais listas de resoluções de Ano Novo, ao mesmo tempo que fazemos uma retrospectiva do que correu bem e menos bem no ano que passou. Infelizmente, para muitos gestores, o investimento em cibersegurança raramente faz parte dessas resoluções.

Neste particular, a protecção das informações digitais, dos dispositivos e dos recursos de pessoas e empresas é hoje mais crítico do que nunca. Creio, aliás, ser importante fazer uma análise com enfoque em duas temáticas que mais temos visto crescer nos últimos 12 meses, sendo que a segurança digital deve ser sempre vista de dois pontos de vista: por um lado, do utilizador final, e, por outro, da perspectiva das empresas que criam os sistemas e serviços utilizados.

No que diz respeito ao primeiro, um ataque muito conhecido remete para engenharia social, que consiste na manipulação de pessoas com o objectivo de divulgação de informação ou de execução de acções que comprometam os sistemas. Uma das técnicas mais conhecidas neste tipo de ataque é o phishing, que se traduz no envio de emails parecidos, ou mesmo iguais, aos de empresas como a Apple, Microsoft ou UPS, e que reencaminham para sites fraudulentos. O número deste tipo de ataques registou um crescimento até 2020, sendo que no ano passado se verificou uma estagnação – ainda que continue a representar um valor elevado. O certo é que os criminosos começaram a dar maior foco a outros dois tipos de ataque: o smishing e o vishing.

Quando nos referimos a smishing, estamos a falar de uma técnica de SIM swapping, através da qual recebemos mensagens SMS com links fraudulentos que nos chegam como mensagens do banco ou de cariz promocional de um hipermercado. Por sua vez, estas mensagens falsas misturam-se com as que são reais e que foram anteriormente recebidas. Desta forma, é possível enganar completamente os clientes desse tipo de serviços.

Já no caso do vishing, os ataques são realizados através de chamadas telefónicas, sendo cada vez mais frequentes e, inclusive, tendo já acontecido a vários dos meus colegas. Neste caso, uma das situações mais recorrentes é a de alguém que se faz passar pelo suporte da Microsoft, onde referem ter detectado uma licença ilegal e que, para que o problema seja corrigido, é preciso instalarem um software de acesso remoto para análise ou, simplesmente, correrem um software que vai resolver o problema. Ora, a partir do momento que é instalado este software, o atacante passa a ter acesso remoto ao computador do utilizador.

Além da segurança do utilizador final, é importante ter em conta o desenvolvimento seguro dos serviços das empresas, sendo esta uma das máximas que recomendo para todo e qualquer projecto ou produto, incluindo o desenho, a programação (o código fonte), os testes de qualidade, a entrega e operação do mesmo. No entanto, uma das problemáticas que tenho constatado remete para a falta de controlo nas bibliotecas usadas por estes projectos. Um exemplo disso é a famosa (e crítica) vulnerabilidade “log4shell”, onde aplicações que usem a biblioteca log4j (código já existente para registo de eventos), abaixo da versão 2.14.1, permitem acesso não autenticado ao servidor.

Mesmo após saírem versões que mitigavam ou resolviam o problema, 50% dos downloads realizados remetiam para a versão com vulnerabilidade, o que significa que esses projectos estão a colocar uma versão com problemas em produção, ainda que já existisse uma outra sem a vulnerabilidade.

Felizmente, houve um grande esforço por parte das empresas no sentido de disponibilizar versões dos seus produtos corrigidos. No entanto, do que pudemos apurar, estas dão foco única e exclusivamente a resolver essa vulnerabilidade, sendo que existem muitas outras com nível de risco alto ou até crítico sem correcção adequada. Nestes casos, as vulnerabilidades são colocadas na lista de acções a desenvolver, mas com muito baixo nível de criticidade face às novas funcionalidades ou outras correcções.

Multi Factor Authentication

Por fim, importa deixar cinco recomendações para o aumento da segurança individual:

  • A utilização de um gestor de passwords permitirá ter uma palavra-chave segura por cada site, uma vez que a reutilização da password é um grande problema que compromete a segurança dos utilizadores.
  • Manter os sistemas actualizados, quer seja o do computador, telemóvel ou qualquer outro dispositivo.
  • Igualmente crucial é optar sempre pelo segundo factor de autenticação, seja através de SMS, notificação Push, aplicação no telemóvel, entre outras.
  • Utilizar um bom antivírus actualizado – pode parecer uma sugestão antiquada, mas não deixa de ser pertinente.
  • Não enviar dados sensíveis, como dados pessoais ou passwords, em canais abertos (como o email). É preferível optar por uma solução de mensagens cifradas, tal como o Signal.

A cibersegurança deve ser uma preocupação e uma prioridade de todos, tendo em conta que vivemos num mundo que é cada vez mais digital e móvel e no qual as tecnologias assumem um importante papel no dia-a-dia. Assim, para que a tecnologia esteja sempre a nosso favor e nunca contra nós, é fundamental garantir a máxima segurança na utilização dos nossos dispositivos.

Artigo publicado na Revista Executive IT (n.º 2) Revista Executive IT