Mas
o fato é que os celulares de muitas autoridades públicas brasileiras viraram
uma espécie de casa da mãe joana. Em outras palavras, devido ao descaso
absoluto com medidas básicas de segurança, muitas das informações desses
aparelhos se tornaram totalmente vulneráveis.
Os
fatos divulgados na semana passada sobre a invasão do celular do ministro
Sergio Moro e outras autoridades do primeiro escalão podem indicar que o buraco
é muito mais profundo.
A
técnica empregada pelos "hackers" da cidade de Araraquara na verdade
não requer nenhum conhecimento profundo em tecnologia para ser utilizada. Ao
contrário, o procedimento é tão rudimentar e simples que há inúmeros vídeos na
internet ensinando como fazer a mesma coisa que os golpistas que vazaram os
dados da Lava Jato fizeram (boa parte desses vídeos tem menos de um minuto e
meio de duração).
Ou
seja, não é preciso ser hacker com conhecimentos técnicos para executar a
modalidade de vazamento que aparentemente afetou centenas de pessoas públicas
no país.
Dado
o caráter rudimentar do golpe, é possível conjecturar que potencialmente
inúmeros aventureiros —talvez centenas— possam ter resolvido brincar de hacker,
experimentando para ver se conseguiriam obter informações de pessoas
politicamente expostas.
É
como se os celulares dessas autoridades tivessem se tornado lugares públicos,
acessíveis a qualquer pessoa com a paciência de assistir a um vídeo de um
minuto e meio e que obtenha o número de telefone de alguma autoridade pública
(porque, assim que ela for hackeada, dará acesso também à sua lista completa de
contatos para o golpista).
Então
qual foi a falha? Como sempre, em casos como esse, o problema acontece em
múltiplos pontos. O primeiro é o uso do aplicativo Telegram, que já foi
apontado por instituições como a Electronic Frontier Foundation como tendo
vários pontos vulneráveis.
Outro
problema é não ter acionado o segundo fator de autenticação do aplicativo,
dando-se por satisfeito em utilizar apenas o número do telefone.
Outra
vulnerabilidade está no fato de que as caixas de mensagens de voz dos
celulares, em regra, podem ser acessadas automaticamente quando recebem uma
ligação do próprio número da linha. Como o caso da semana passada demonstrou,
fazer spoofing ("simular") um número de telefone é prática trivial
hoje.
Mas
um dos pontos cruciais é o fato de que não há política de cibersegurança
implementada na administração pública brasileira.
Quem
lida com questões de segurança nacional (ou mesmo de interesse público) no
primeiro escalão não deveria ter a opção de usar seu telefone comum, cheio de
aplicativos comerciais com graus incertos de segurança. É o que acontece nos
EUA, onde o presidente (e o primeiro escalão) passa a utilizar aparelhos
especiais fornecidos pelas autoridades de segurança institucional, com exceção
de Trump, que não topou todas as medidas.
Talvez
a visibilidade que esse tema ganhou possa levar ao amadurecimento da cibe
segurança na administração pública do país. Esse amadurecimento é tardio. Mas,
se a lição da semana passada não foi suficiente, difícil dizer o que será. (FOLHA
DE SP)
Segunda-feira,
29 de julho, 2019 ás 11:00
