Março 7, 2022
Do Passa Palavra
242 visualizações

Por Marcelo Tavares de Santana

Mês retrasado fomos surpreendidos com uma nova forma de captura de dados para golpes financeiros que se aproveita da fragilidade jurídica na sociedade sobre direito de imagem; infelizmente a Educação Básica brasileira trata o conhecimento das leis de forma muito superficial quando deveria fortalecer tal conhecimento durante o Ensino Médio. Tal golpe depende de um entregador de aplicativo de celular que peça para tirar uma foto de rosto dizendo que é para confirmar com a empresa para quem foi entregue, onde essa foto será utilizada para fazer financiamentos em nome da vítima ficando esta com a dívida também, e os golpistas com o dinheiro do empréstimo – a captura dos demais dados já foi tratada em outros artigos nessa coluna, recomendo que leiam ao menos o artigo Captura de dados pessoais. Seria fantástico que diante dessa situação dissessem “não autorizo, é meu direito de imagem”, mas estar diante de um trabalhador numa profissão desvalorizada acaba sensibilizando em colaborar com a captura da foto.

Apesar da importância de menção desse tipo de golpe, o aspecto da situação que motivou este artigo não é o da captura de dados, foi o da autenticação do indivíduo. Autenticação do ponto de vista de segurança de dados significa como certificar quem é o autor, e por isso o grifo do radical “aut” nas duas palavras; cuidado para não confundirem técnicas computacionais de verificação de integridade com autenticação, pois verificar que algo está íntegro significa confirmar que não exista alteração de dados acidental ou proposital, por exemplo, que uma cópia de arquivo corresponde bit a bit com o original. É perceptível que existe falta de regulamentação, ou talvez descaso, por parte de autoridades governamentais sobre a forma como um agência financeira pode “autenticar” quem faz um pedido de empréstimo só com dados e foto, mas mesmo que tivéssemos um Governo mais sério seria importantíssimo entendermos como funcionam autenticações de múltiplos fatores, até para criticarmos e nos defendermos de empresas com sistemas frágeis.

Uma Autenticação Multifatorial (ou Autenticação de Múltiplo Fatores, MFA na sigla em inglês) é aquela onde são verificadas duas ou mais evidências dos seguintes tipos de fatores:

Conhecimento: algo que somente determinado indivíduo possa saber, como uma senha que foi decorada ou está bem protegida num chaveiro digital com senha forte;

Posse: algo que somente determinado indivíduo possa ter, como um celular com um número de telefonia móvel habilitado para este equipamento;

Inerência: algo que faça parte de terminado indivíduo, como impressão digital ou imagem de íris, geralmente uma medição biométrica, quem sabe num futuro distante tenhamos verificação rápida de DNA;

Localização: ainda em discussão, um lugar onde determinado indivíduo esteja, bastante utilizado em aplicativos de viagem de automóvel para confirmar onde o passageiro está pelo sistema de GPS.

Um aspecto importante da MFA que não achei em artigos pela Web é o de fluxo de dados, que trataremos em dois exemplos. Quando temos um computador criptografado é necessário digitar a senha da criptografia, depois usamos a senha do usuário, ambas inseridas no mesmo equipamento, e por isso não é MFA, é somente um acesso de dois passos. Com segundo exemplo pensaremos de sistemas de Webmail que solicitam um código de acesso enviado por SMS. Inicialmente, entramos no site e colocamos nosso usuário em senha (primeiro fator, conhecimento) usando a Internet, e na sequência nos é enviado um código pela rede de telefonia móvel para um número de telefone previamente cadastrado, portanto, esse código trafega por uma rede de dados diferente da Internet para um único aparelho no mundo (segundo fator, posse).

É pertinente citar o exemplo do banco que uso para certificação de equipamentos confiáveis. Não faz um mês que o armazenamento de meu notebook pifou e precisei reinstalar tudo (felizmente pratico o quê escrevo e dispunha de dois backups). Sistema operacional e aplicativos instalados, chega o momento de usar a página da instituição bancária, onde tenho que solicitar a autorização do equipamento. Para concluir essa autorização precisei me deslocar até um caixa eletrônico dentro de uma agência bancária (primeiro fator, localização), usar o meu cartão magnético (segundo fator, posse), usar minha senha de transações (terceiro fator, conhecimento) que é diferente da senha de acesso Web, colocar minha digital (quarto fator, inerência) e ainda me é apresentado a data e horário de quando fiz a solicitação de meu notebook (quinto fator, conhecimento pela segunda vez). Notem que também existem dois caminhos de fluxo de dados nessa autenticação de minha pessoa, um pela banda larga de minha casa e outro pelo caixa eletrônico, sem falar que também fui filmado durante o uso do caixa de auto atendimento. Depois desse processo, meu notebook passa a ser um equipamento confiável para transações, e ainda sim em muitas delas eu preciso de meu celular previamente autorizado de modo similar para confirmar tais transações, ou seja, a MFA acontece em outros momentos de uso da página bancária. Apesar de ser um tanto chato ter que ir pessoalmente no banco, prefiro esse modo de funcionamento aos bancos totalmente digitais; e acabo fazendo isso por volta de uma vez a cada dois anos, portanto, é uma inconveniência muito pequena considerada a segurança proporcionada.

Nosso Mapa de Segurança Digital na dessa vez ganhou dois novos níveis e mais informação que em outras mudanças; agora senhas fortes passa a ser parte do fator Conhecimento. Existem outros exemplos que poderiam ser colocados nos tipos de fatores, como smartcards de identificação em Posse, mas vamos nos restringir aos exemplos deste artigo pois o mapa ficaria enorme e nunca retrataríamos todas as possibilidades, confiando que tais exemplo sejam suficientes.


Figura: Mapa de Segurança Digital com acréscimo dos conceitos de MFA

Espero ter sensibilizado para a importância de se usar MFA, algumas vezes chamada de autenticação de dois fatores (2FA, na sigla em inglês). Não cabe aqui falar de todos os aplicativos que usam MFA pois são muitos, então vamos colocar como tarefas a serem pesquisadas e implementadas por cada um de nós:

  • Semana 1: em aplicativos de comunicação, e-mail, de mensagens rápidas, procure e habilite a autenticação multifatorial, também conhecida como ‘verificação/confirmação em duas etapas’;
  • Semana 2: mesmo que não seja MFA, usar impressão digital nos aplicativos de mensagens pode ser prático e colocar mais um passo de autenticação, isso também previne que alguém use esses aplicativos caso empreste para uma ligação telefônica, configure se possível;
  • Semana 3: verifique nas instituições financeiras que usa se existem outros fatores de autenticação, e se só usarem e-mail como fator de verificação de posse procure usar uma conta com senha forte e que use MFA;
  • Semana 4: verifique se o SO que usa tem algum tipo de autenticação extra, mesmo que não seja MFA; no LineageOS 18.1 em “Config. tela inicial → Aplicativos ocultos e protegidos”, é possível bloquear aplicativos para uso somente com digital e dá inclusive para esconder o ícone do aplicativo também.
    No próximo artigo voltaremos a tratar de programas livres, mas sobre o aspecto da segurança de dados dos formatos abertos e independência tecnológica.



Fonte: Passapalavra.info