Hackers? Eles vão hackear!

Recentemente, o candidato à presidência norte-americana Mitt Romney percebeu que é igual a muitas pessoas do mundo: teve sua conta de e-mail invadida e exposta. O assunto repercutiu de diversas formas na imprensa trazendo à tona um problema ainda velado às grandes populações que, igual a mim e a você, têm uma conta pessoal de e-mail em um serviço público e gratuito.

A conta do candidato, hospedada em um provedor popular gratuito de correio eletrônico, teve seus dados revelados publicamente deixando a dúvida se o que ocorreu foi de fato uma invasão ou consequência do descaso perante recomendações e boas práticas ao administrar contas de e-mail público.

Romney usou o nome de seu cachorro ?Seamus? como pergunta chave de recuperação de senha em sua conta do Hotmail. Ao ter seu endereço eletrônico revelado em uma matéria do Wall Street Jornal, foi apenas uma questão de horas até que alguém criativo e esperto o suficiente conseguisse invadir sua conta.

O Dropbox, serviço de armazenagem e compartilhamento de arquivos na nuvem, também teve esta semana um caso de denúncia sobre alguns usuários que alegaram receber spams através de seu sistema.

Uma onda recente de dedução de senhas e dicas de recuperação de e-mails levou-nos a repensar as formas de criação de senhas e dicas de recuperação das mesmas.

Desde o começo do ano, serviços de e-mail gratuitos e boa parte das redes sociais passaram a exigir números e letras maiúsculas e minúsculas misturadas para tentar diminuir as chances de dedução de senhas de terceiros.

CERTO, MAS QUAL É A SENHA DO SEU CIO?

Alguns altos executivos do nosso meio revelaram em sessões de brainstorming usar trechos inteiros de músicas, como hinos de países ou de times com senhas de acesso misturadas a sequências de telefones celulares desativados de familiares. Alguns deles revelaram que suas senhas chegam a ter mais de 50 caracteres. Elas são fáceis de lembrar e difíceis de adivinhar.

Isso não é um exagero, dependendo da situação. Entre as práticas recomendadas por especialistas estão o uso de senhas fortes, incluindo números, letras maiúsculas, minúsculas e símbolos, quando possível. A troca frequente das senhas também aumenta exponencialmente a segurança e força de impenetrabilidade das contas alheias.

No entanto, não importa a senha para sua conta, a maior preocupação aqui é saber se o nível de segurança oferecido por alguns serviços on-line gratuitos atendem aos requisitos do seu negócio. Às vezes, com a intenção de resolver um problema rapidamente, encontramos uma maneira de enviar arquivos grandes que não estão suficientemente protegidos e não está claro se são realmente seguros.

Então, novamente, levantamos a questão: o serviço gratuito é suficientemente seguro para se utilizar em um ambiente corporativo? Posso confiar em ambos os lados do firewall? Outra discussão que se deu sobre a segurança das senhas foi no que diz respeito às práticas de trazer seu próprio device ao trabalho (BYOD). Determinados arquivos e pastas na rede não podem e não devem ser acessados de qualquer aparelho e por qualquer nível hierárquico das companhias. Isso deve ser organizado de acordo com o nível de interesse da companhia em ter seu colaborador conectado e exposto ao conteúdo criado pela empresa. Diferentes níveis hierárquicos também garantem vários tipos de acesso a pastas distintas.

TERMOS & CONDIÇÕES DE USO

Um parágrafo frequentemente ignorado pelos novos clientes de contas de e-mail é exatamente o que se refere aos termos e condições de uso do serviço. As famosas letras miúdas do contrato de adesão trazem sempre pelo menos um aspecto em comum, seja qual for o serviço utilizado: a empresa jamais se responsabiliza pelas informações trocadas pelos usuários.

CUIDADO: O CONTEÚDO PODE ESTAR QUENTE

Os termos e serviços propostos por grandes fornecedores de e-mail nos parece um pouco com aqueles copos térmicos vendidos em parques temáticos com seus alertas em letras garrafais dizendo: ?Cuidado – o conteúdo pode estar quente?. Soa-me uma ironia, pois ao adquirir o copo você não está comprando também o conteúdo, compra apenas o copo numa loja de souvenires. O que você vai colocar dentro é de responsabilidade sua e se o mesmo vai queimar ou congelar a sua boca com água ou café escaldante continua sendo apenas um problema que só te diz respeito.

Parece-nos quase tolo alertar um consumidor sobre isso uma vez que o produto adquirido é um copo térmico. O mesmo se dá ao adquirir um serviço de email: estamos recebendo um tráfego de informação e não o seu conteúdo. Preste atenção no que vai colocar no copo e perceba se o está fechando direito.

Dada a política americana de costumer service e SLA, fica a pergunta inconveniente no ar: quem se beneficia com esse tipo de condição de serviço? As empresas, os usuários ou os hackers?

ESQUECEU SUA SENHA?

Medidas de segurança, como não usar o nome de seu cachorro, ou dados de conhecimento público, como chave de recuperação de sua senha (por exemplo: ?Seamus?) podem parecer tolices, mas de fato ocorrem bastante.

Então fica outra pergunta, ainda sem uma resposta adequada: será que os serviços gratuitos de e-mail e hospedagem de arquivos nos instruem e alertam o bastante sobre os riscos que corremos ao escolher nossa senha e a chave de recuperação? Ou será que sempre haverá um espertinho tentando descobrir sua senha através de informações pessoais publicados na web?

Seja lá qual foi a sua opinião, cuidado com o que vai afirmar: sua resposta pode acabar queimando a sua boca.

*Claudio Yamashita é managing director da Intralinks na LATAM