Categoria: privacidade

Publicado em in privacidade, Segurança

Sua impressão digital pode ser hackeada por R$ 10

A autenticação por impressão digital é, sem dúvida, uma alternativa conveniente para senhas e códigos PIN. Quem quer gastar tempo digitando uma longa sequência de números, letras e caracteres quando um simples toque é suficiente?

Imagem: pexels.com

Infelizmente, essa conveniência tem um custo. Porque, ao contrário de uma senha normal, sua impressão digital é pública – você deixa sua impressão digital nos corrimãos das escadas, na maçaneta da porta, nas portas dos táxis, telas do Smartphone iPhone, taças de vinho no seu restaurante preferido. e em muitos outros lugares.

Neste artigo, a equipe da empresa Kraken Security Labs demonstra como é fácil para os agentes mal-intencionados contornar esse método de login que está se tornando o favorito dos usuários.

Roubando a impressão digital

Para comprometer seu dispositivo, ou conta, não é preciso nem mesmo o acesso direto à sua impressão digital. Uma foto de uma superfície que você tocou (de uma mesa na biblioteca ao equipamento de sua academia de ginástica) é o suficiente.

Uma foto da impressão digital de uma vítima na tela do computador – Imagem: Kraken Labs

Com esta imagem disponível, uma hora de trabalho no Photoshop rende um negativo bem decente:

Imagem em negativo da foto anterior – Imagem: Kraken Labs

Em seguida, a imagem foi impressa em uma folha de acetato, usando uma impressora a laser – o toner cria na folha uma estrutura 3D da impressão digital.

A folha de acetato com a nossa nova impressão – Imagem: Kraken Labs

Na etapa final, adiciona-se um pouco de cola de madeira por cima da impressão para dar uma textura macia e vívida à impressão digital fake, para que ela possa ser usada em um scanner.

Construindo a impressão digital sintética – Imagem: Kraken Labs

Lançando o Ataque

De posse da impressão digital, tudo o que o agente precisa fazer é colocá-la no scanner.

A impressão digital fake funcionando em um MacBook Pro – Imagem: Kraken Labs

O laboratório foi capaz de reproduzir esse (conhecido) ataque na maioria dos dispositivos que foi disponibilizada para teste. Se este fosse um ataque real, o atacante teria acesso a uma vasta gama de informações confidenciais.

Protegendo-se do Ataque

Segundo Kraken Labs, uma impressão digital não deve ser considerada uma alternativa segura a uma senha forte. Esse método deixa suas informações – e, potencialmente, seus ativos digitais – vulneráveis ​​até mesmo ao menos sofisticado dos invasores.

Deve estar claro agora que, embora sua impressão digital seja exclusivamente sua, ela ainda pode ser explorada com relativa facilidade. Na melhor das hipóteses, você deve considerar usá-lo apenas como um elemento de autenticação de segundo fator (2FA).

Fonte: Kraken Security Labs

Publicado em in privacidade, tecnologia

Tire sua Câmera da Minha Cara

A tecnologia de vigilância biométrica, como o reconhecimento facial, é uma tecnologia que permite que você seja identificado, analisado e rastreado em espaços públicos. Ela se alastra fora de controle.

Imagem: Pexels

O que está acontecendo?

A vigilância biométrica está aumentando assustadoramente. Vemos câmeras de reconhecimento facial em cada vez mais lugares. Pense, por exemplo, no posto de gasolina, no supermercado, nos estádios de futebol. Pense nas casas, nas ruas e nas câmeras voltadas diretamente para o seu rosto enquanto você caminha pela calçada. E então pense no uso de toda essa informação pelos aparelhos de repressão policial local e nacional. É sabido que a polícia aplica o reconhecimento facial a imagens de câmeras comuns, de baixa tecnologia. Mas sabemos também que eles estão fazendo experimentos com aplicações de reconhecimento facial de maior alcance e tecnologia mais especializada.

O reconhecimento facial é muito intrusivo. Mas isso não impede os legisladores, nas cidades e no Congresso, de apresentar cada vez mais projetos para sua implantação. Poucos parlamentares se importam com as garantias constitucionais, e de seus gabinetes saem projetos de lei cada vez mais penetrantes.

Não conheço nenhum vereador ou deputado que defenda a regulamentação da vigilância urbana ou que cobre maior responsabilidade das empresas de tecnologia. Mas conheço muitos que defendem mais e mais vigilância. Então você sabe que algo está realmente errado. Além do reconhecimento facial, também vemos outras maneiras pelas quais nossos corpos são rastreados, analisados ​​e controlados [os passaportes de imunidade são apenas a iteração mais recente desse controle].

Por que estou preocupado?

O espaço público desempenha um papel importante em uma sociedade livre e aberta. É o lugar onde a vida pública e o debate público acontecem e onde exercemos nossos direitos democráticos. É importante que todos se sintam livres nesses espaços. Livres para se reunir, expressar sua opinião e se movimentar. Os custos sociais associados ao uso da vigilância biométrica no espaço público são inaceitáveis.

Devido à aplicação não direcionada de vigilância biométrica, os transeuntes são capturados indiscriminadamente. Isso permite que os indivíduos sejam identificados, analisados, rastreados, traçados e controlados em grande escala. Essa tecnologia cria uma sociedade de desconfiança, de controle e de discriminação na qual você não pode mais participar de forma anônima da vida pública. Isso tem um efeito limitador [“the chilling effect“] sobre o quão livre você se sente para exercer seus direitos.

A biometria significa que as características do seu corpo são reduzidas a unidades mensuráveis. A vigilância biométrica transforma as pessoas em códigos de barras ambulantes que podem ser digitalizados e combinados com os dados já coletados anteriormente sobre elas. É muito importante lembrar que você só tem um rosto, cujas características não pode mudar e que não pode deixar em casa. Depois que um código de barras for vinculado ao seu rosto, você sempre poderá ser rastreado com ele. Uma vez capturado, você perde o controle dos dados e não há como escapar da vigilância.

O sistema de crédito social da China

A vigilância biométrica está tornando realidade o pesadelo burocrático descrito por George Orwell em seu 1984. O estado chinês está estabelecendo um vasto sistema que irá monitorar o comportamento de sua enorme população e classificá-los todos com base em seu “crédito social”. O Sistema de Crédito Social [SCS] na China não é apenas destinado a punir quem critica o governo e o Estado, como é o caso na maioria dos regimes totalitários. O SCS pode acusar até mesmo a menor infração, como fumar em uma zona de não fumantes.

Esse sistema, anunciado pela primeira vez em 2014, visa reforçar a ideia de que “manter a confiança é glorioso e quebrar a confiança é vergonhoso”, de acordo com um documento do governo chinês. O programa já está totalmente operacional em todo o país, mas ainda está em fase de testes. O esquema será obrigatório. No momento, o sistema é fragmentado – alguns são administrados por prefeituras, outros são avaliados por plataformas tecnológicas privadas que armazenam dados pessoais.

Como nas pontuações de milhas ou crédito privado que conhecemos, a pontuação social de uma pessoa pode subir e descer dependendo de seu comportamento. A metodologia exata é um segredo – mas exemplos de infrações incluem dirigir mal, fumar em zonas não fumantes, comprar muitos videogames e postar notícias falsas online. Violar o “código social” pode resultar em proibição de voar ou usar o trem, usar a internet, ter uma escolaridade decente, conseguir um emprego, se hospedar em hotéis e até mesmo de ter um animal de estimação.

A China obviamente está tirando proveito da mentalidade de rebanho, ao rotular os violadores de “maus cidadãos” [observo aqui que mentalidade de rebanho é algo que não falta em nossa sociedade desconfiada da ciência]. Alguém duvida que esses mesmos argumentos poderão ser e serão adotados pelos governos do ocidente, especialmente em uma época de radicalização política e ameaças à ordem publica?

Como toda tecnologia de criação e monitoramento de perfis, a vigilância por câmeras é construída, em sua essência mais íntima, para diferenciar e classificar as pessoas. Isso reforça as desigualdades existentes na sociedade, bem como o desequilíbrio de poder entre governos, empresas de tecnologia e cidadãos.

Acredito que essa tecnologia é uma violação brutal de nossos direitos e liberdades e uma ameaça à nossa sociedade livre e aberta. Com as tecnologias de reconhecimento facial sendo crescentemente aplicadas ao redor, é hora de lutar por nossa liberdade na rua. Os reguladores nacionais parecem não estar suficientemente equipados [ou com vontade] para fazer cumprir a Constituição; para impedir o uso desta tecnologia nefasta.

Claramente, a maioria das pessoas está completamente no escuro sobre esses programas subterrâneos e suas implicações perigosas. Portanto, a missão para aqueles que estão “por dentro” deve ser espalhar a palavra e alertar o maior número possível de pessoas. É preciso também que cada um assuma responsabilidade pessoal pela quantidade de dados que compartilha voluntariamente com sites de mídia social, aplicativos e a Internet em geral. A única defesa contra a erosão total da privacidade – e, portanto, da liberdade – é um público educado que defende seus próprios direitos.

Não há lugar para a tecnologia de vigilância biométrica em uma sociedade livre. É por isso que eu acredito que essas tecnologias deveriam ser efetivamente banidas da vida pública. Como bem disse Winston Churchill, uma sociedade que troca a liberdade por segurança não merece nem liberdade e nem segurança.

Publicado em in Comportamento, Internet, Mídias Sociais, privacidade, Segurança

OnlyFans: ex-Empregados Mantinham Acesso às Informações de Usuários

Alguns ex-funcionários da equipe de suporte do OnlyFans ainda continuavam com acesso aos dados dos usuários – incluindo informações pessoais e financeiras confidenciais, mesmo depois de serem demitidos da empresa – usada por profissionais do sexo para vender nus e vídeos pornôs.

Photo by Valeria Boltneva from Pexels

De acordo com um ex-funcionário do OnlyFans – que pediu para permanecer anônimo por temer retaliação, alguns ex-funcionários ainda tinham acesso ao Zendesk, um software de atendimento ao cliente usado por muitas empresas, incluindo o OnlyFans, para rastrear e responder a tíquetes de suporte ao cliente, muito tempo depois de sair da empresa. OnlyFans usa o Zendesk para se relacionar tanto com os usuários que postam conteúdo quanto com os usuários pagantes, consumidores de conteúdo. A revista Motherboard conseguiu confirmar essas informações com mais de um ex-funcionário.

De acordo com a fonte e os usuários do OnlyFans que falaram com a Motherboard, dependendo do assunto para o qual o usuário abre o chamado de suporte, os tíquetes podem conter informações de cartão de crédito, carteiras de motorista, passaportes, nomes completos, endereços, extratos bancários, quanto eles ganharam ou gastaram no OnlyFans, selfies do serviço Know Your Customer (KYC), em que o performer fotografa uma carteira de identificação ao lado do rosto para verificação, além de formulários de licenciamento do material produzido.

Nossa fonte demonstrou à Motherboard como eles faziam para acessar as informações muito depois de terem parado de trabalhar para o OnlyFans.

Em profundidade em motherboard.vice.com

Publicado em in Internet, Mídias Sociais, privacidade, tecnologia

Thoughts.page: um Micro Blog para Ideias Rápidas

Em minhas interações diárias com a Internet geralmente frequento grupos de desenvolvedores de software, de veneráveis pesquisadores de segurança e de fundadores de startups. Não é surpresa que eu, portanto, às vezes tenha a sorte de conhecer coisas em primeira mão. Foi o que aconteceu na semana passada ao conhecer o thoughts.page, um site para ‘microblogging’ muito ágil e inovador.

Ilustração: Vox Leone

À primeira vista ele parece um blog com um tema gráfico muito simples, como os blogs de forma longa, comuns em serviços como Medium e Substack – assim como muitos no WordPress. Desfeita a primeira impressão visual, emerge então um site muito parecido com o Twitter.

Mas sem limites estritos de caracteres. Também sem títulos de postagens. Sem comentários, sem respostas nem @menções. Sem foto de perfil ou avatar. Sem notificações. Com interface apenas em inglês. Fácil de descobrir na plataforma. Fácil de se inscrever. Rápido para ler. Pensamentos controversos permitidos, mas protegidos pela própria arquitetura do sistema, tanto contra ataques dos haters quanto contra o abuso de bots e propaganda. Monetização não suportada. Sem algoritmo, sem cancelamentos.

Para coroar o inusitado, a rigor não é uma plataforma grátis. O preço proposto é de US$ 5 mensais para quem ganha mais de US$ 40,000 por ano [não sei como eles vão verificar – presumo que para os brasileiros será eternamente grátis]. Essa é a grande novidade do Thoughts, que se contrapõe à regra quase universal dos serviços “grátis”, que são oferecidos ao usuário em troca de seus dados comportamentais na rede – o que se tornou a fonte de todos os males na web.

Como há apenas a versão Web, para acessá-lo é necessário usar o “protocolo do dedo”, como nos primeiros dias da web: “aqui está o endereço dos meus status/pensamentos/sentimentos – digite em seu navegador e adicione aos seus favoritos”. Para divulgar o site é preciso propagar o link entre os seus contatos. Ou esperar que ele entre no índice do Google e outros.

No que diz respeito à segurança e privacidade, observo que, pelas suas características, ele é menos propenso a ‘stalking’ ou ‘bullying’ do que Twitter, Instagram, FB, etc. É uma forma de comunicação um-para-muitos sem as interações tóxicas.

Ilustração: Vox Leone

O fato de a plataforma não ter um feed RSS aumenta o nível de esforço necessário para seguir alguém. Mas tem suas compensações. Eu não uso o Twitter, mas há um punhado de pessoas que ocasionalmente checo usando o velho Firefox para ver sua página [que favoritei]. Isso tem a vantagem de manter o número de pessoas que eu sigo a um mínimo absoluto e limitar a frequência com que leio seus tweets, independentemente da frequência com que me lembro de verificar se elas disseram algo novo.

Difícil de descobrir

Com o Thoughts é mais difícil seguir um número muito grande de pessoas [mas esse parece ser o ponto!]. Depois de criado seu blog se torna um subdomínio da plataforma, como por exemplo, leone.thoughts.page. Na prática, não é diferente de visitar um site por meio de um item favorito do navegador [eu com certeza visitaria uma página de pensamentos de uma banda local, de um comediante ou qualquer outra pessoa que tivesse ideias interessantes]. O Twitter começou recentemente a desencorajar esse tipo de visualização passiva [sem login]. Apenas navegar para o perfil do Twitter de alguém [Ex: https://twitter.com/mr-nice-guy] agora resulta em um pop-up me pedindo para fazer o login, e tentar seguir qualquer link resulta em um pop-up semelhante que não pode ser fechado.

Isso pode representar uma oportunidade para esta nova plataforma. Os ventos da web estão para mudar, com a Web 2.0 mostrando sinais de fadiga. A princípio parece que sua configuração que não permite que as pessoas enviem mensagens ou sigam umas às outras (e na qual você não precisa usar seu nome verdadeiro) não pode ser usada para interações sociais. Mas em um segundo pensamento lembro que o mundo está repleto de comunicações unidirecionais [ou bi ou multi-unidirecionais] e portanto sempre haverá casos de uso computacionais para elas. Dois efeitos colaterais positivos dessas comunicações são que, no mínimo, esse esquema neutraliza as interações nocivas e o efeito “bolha de opinião”.

Ilustração: Vox Leone

Eu me pergunto se a falta de ferramentas de interação entre os pares fará com que os eventuais usuários do Thoughts tentem criar soluções alternativas para interagir de outras maneiras. Por exemplo, no início do Twitter as pessoas usavam RT e outras técnicas para divulgar e/ou responder a tweets, embora a própria plataforma não tivesse essas funções. Eu pessoalmente adoraria ver um concorrente para o Twitter [o que é a própria motivação deste post]. Será interessante observar.

Para um leitor, Thoughts desarticula a ideia de ir a um único site específico [como o Twitter], escolher um tópico e ver imediatamente nele um fluxo de pensamentos de muitas pessoas diferentes. Para um escritor, porém, acredito que um micro blog como esse pode ser combinado a um full blog WordPress para complementar e estender pensamentos iniciados nos grandes blogposts e criar uma retroalimentação positiva para ambos os sites.

Como tudo na vida, é preciso conhecer sua audiência. Quem é o público para seus pensamentos? Presumivelmente, não o seu círculo de amigos – que têm suas próprias vidas e não vão atualizar sua página várias vezes ao dia para te ver. As únicas possibilidades que vejo para quem pretende usar a plataforma como um fim em si mesmo são a) que nenhuma outra alma jamais chegue a ler seus escritos lá – caso em que você pode muito bem escrever suas ideias em um arquivo de texto em seu disco rígido, ou b) que atraia a atenção de um tipo que você prefere não receber: um seguidor obsessivo com assustadoramente muito tempo livre em suas mãos ou então enxames de robôs russos visando os vulneráveis e os propensos a compartilhar demais suas emoções.

Mas se você tem uma visão estratégica do que pretende atingir, como blogger ou no relacionamento com clientes, Thoughts parece ser uma grande ferramenta para complementar seu Blog ou para fazer backlinks para aumentar o pagerank de seu(s) site(s). Os seguidores do seu blog principal provavelmente sempre darão uma olhada em seu micro blog.

Ilustração: Vox Leone

E se você é do tipo social ou ‘early adopter’ também sabe que é sempre bom reservar seu nome ou marca em uma nova plataforma que surge [ok, não precisa me agradecer]. A propósito, criei uma conta, e meus pensamentos estão [ou estarão] em leone.thoughts.page [ainda testando]. Salve entre seus favoritos, please. 🙂

* * *

Termo de Isenção de Responsabilidade:

  • Não tenho nenhum tipo de relação com esse site/domínio. Conheci a ferramenta durante a exposição que seu fundador fez no site Hacker News.
  • É bem possível que em breve eu me arrependa de ter postado isto, se o serviço não decolar.
  • E como evangelista da Segurança digital, aproveito para avisar do risco sempre existente de ataques do tipo Cross-Site Scripting neste tipo de site [como é corriqueiro no FB, Twitter et al]. Sempre navegue com consciência.

Publicado em in Internet, Mídias Sociais, privacidade

Abuso Psicológico nas Redes: da AOL ao Facebook

Era uma vez, há cerca de trinta anos, uma rede de computadores chamada America Online. Já existia uma Internet, mas a maioria das pessoas não sabia de sua existência ou sobre como usá-la. A AOL e alguns concorrentes, Compuserve e Prodigy, ofereciam às pessoas atividades simples que elas podiam fazer online, como conversar com outras pessoas. Os serviços tinham apenas uma desvantagem: eram limitados.

Imagem: iStock

As pessoas não podiam fazer o que queriam, só podiam escolher o que havia em um pequeno menu de funções que os serviços disponibilizavam.

À medida que crescia e crescia, a World Wide Web se tornava um lugar incrível, em contraste com a AOL. As pessoas estavam tão empolgadas com a World Wide Web que nunca mais quiseram voltar para a AOL, Compuserve ou Prodigy. Os três serviços definharam.

Entra na história o Facebook

As pessoas ficaram entusiasmadas com o Facebook porque era um lugar onde podiam encontrar pessoas reais que elas conheciam, assim como o MySpace, mas também porque tinha alguns recursos também comuns a AOL, como o jogo Farmville. As empresas ficavam cada vez mais entusiasmadas porque o Facebook começou a gerar muita receita de publicidade.

Os anunciantes gostavam do Facebook porque ele não apenas sabia quem estava falando com quem, mas também sabia bastante sobre os hobbies e interesses das pessoas. Os anunciantes gostaram disso porque podiam agora usar as informações para “direcionar” seus anúncios como nunca antes. Acadêmicos e pundits diziam que o Facebook tinha o que é conhecido como “efeito de rede”. Ele se tornava mais poderoso quanto mais pessoas se juntavam a ele.

Acontece que havia alguns problemas com o Facebook. O Facebook era muito parecido com a AOL. Limitava as pessoas, dizendo-lhes com quem podiam se comunicar. Depois de um tempo, as pessoas não tinham mais controle. Elas haviam fornecido tantas informações íntimas para o Facebook e seus concorrentes que era como se essas empresas fossem donas das pessoas quando elas estavam no ciberespaço. Esses serviços também não pareciam fazer um bom trabalho com as informações que acumulavam sobre os usuários.

Por causa de seu notório sigilo, é difícil saber o quão consciente o Facebook está a respeito dos danos que ele causa a seus “usuários”. Por exemplo, em setembro de 2019, a Insider Magazine publicou um artigo que analisava dados do CDC [Centro de Controle de Doenças dos EUA] a respeito do suicídio de adolescentes nos Estados Unidos.

Eu me pergunto quantos desses adolescentes foram empurrados para o abismo graças a comentários descuidados no Facebook? Quantas outras Michelles Carters [link em inglês] existem por aí?

O problema mais amplo que enfrentamos como sociedade é que simplesmente não sabemos o quão nocivas as redes sociais podem ser. Esse problema das redes sociais é muito parecido com a luta que enfrentamos com as empresas de tabaco – que sempre souberam o quão prejudicial o tabaco era, mas se esforçavam para esconder a pesquisa que eles mesmos realizavam comprovando os fatos. As empresas petroquímicas também se encaixam nesse perfil, com seus próprios cientistas alertando sobre a ligação entre combustíveis fósseis e o aquecimento global.

Há um crescente corpo de evidências a nos indicar que o que o Facebook faz não é apenas algo “inofensivo” como “publicidade direcionada”. Seria muito mais preciso descrever seu modus operandi como “manipulação psicológica”. Essas evidências sugerem que, no contexto amplo da sociedade, a dinâmica entre o Facebook e seus usuários é uma forma de abuso psicológico.

Combater o problema

Talvez seja hora de reunirmos algum tipo de Comissão Parlamentar de Inquérito [sob os auspícios da OMS] e fazer com que se exija, para o bem da saúde pública, que todas as grandes redes sociais sejam obrigadas a entregar detalhes de todas as “análises internas” que possuem sobre os efeitos de sua plataforma em sua base de usuários. Essa CPI idealmente deve ter autoridade para forçar o testemunho de todos profissionais de psicologia empregados por essas empresas.

Na verdade, talvez seja hora de determinar que todas essas empresas [acima de um determinado tamanho de base de usuários] devem, por lei, ter psicólogos clínicos na equipe e exigir que esse pessoal esteja envolvido na supervisão das decisões estratégicas em relação ao design e implementação dos recursos da plataforma.

Há uma expressão comumente usada em sistemas legais do Ocidente: “Ignorância da lei não é defesa”. No Brasil, o artigo 3 da Introdução ao Código Civil dispõe: “Ninguém se escusa de cumprir a lei alegando que não a conhece” Por uma linha de pensamento semelhante, ocultar atos de dano criminoso ou negligência parece, à primeira vista, tornar uma corporação cúmplice, se o ato original atingir o nível de comportamento criminoso.

Infelizmente, as coisas começam a ficar muito obscuras quando você explora o desafio de definir “dano mental” em termos de um ato criminoso. Pelo que li antes de postar este comentário, o problema fica quase intratável quando combinamos o desafio de estabelecer o grau de dano que um indivíduo pode sofrer, com o desafio de demonstrar que o dano veio como resultado direto das ações das corporações. Perguntas complexas surgem: o usuário/paciente era predisposto? Era vulnerável, emocional ou mentalmente?

Em outras palavras, parece ser bastante possível que uma empresa estabeleça um modelo de negócios nocivo ao bem-estar emocional e/ou mental de usuários e ainda assim opere impunemente, escondendo-se atrás da dificuldade de se provar que a empresa foi a causadora do dano.

É o que provavelmente pode estar acontecendo agora: estamos bloqueados nas nossas ações – cientes de que há um dano sendo causado pelas redes sociais, mas incapazes de fazer qualquer coisa a respeito.