Albert Rivera e WhatsApp. Isso é o que podemos aprender

O que aconteceu com Albert Rivera e WhatsApp novamente mostra duas coisas; os políticos não sabem nada sobre tecnologia, e jornalistas, também.

Vou começar esclarecendo que sou argentino e moro na Argentina. Já estou farto da situação política do meu país para lidar com os políticos espanhóis. O objetivo desta postagem não é desqualificar ou defender o Sr. Rivera, é educar para que a mesma coisa não aconteça com outras pessoas.

Criptografia do WhatsApp e cadeado indiano

Peter Drucker Ele foi um dos mais importantes especialistas em organizações do século XX. Um dos meus professores costumava compará-lo com outros especialistas com a frase:

Peter Drucker trabalhou com as empresas mais importantes do mundo, o resto leu nas bibliotecas das universidades mais importantes do mundo.

Drucker conta que um de seus primeiros empregos (na década de 20) foi em uma empresa que exportava para a Índia. O produto de maior sucesso foi um cadeado muito simples, um modelo muito fácil de abrir mesmo sem a chave.

A empresa decidiu comercializar um modelo melhor, que resistisse a qualquer tentativa de abertura não autorizada. Foi um fracasso.

Quando foram investigar, descobriram que o cadeado, para os hindus menos instruídos, era um símbolo mágico. Bastava ver o cadeado de uma porta para que ninguém ousasse entrar sem autorização.

O novo modelo era muito caro e complexo para a indústria que comprou o outro modelo. E também desnecessário, já que a proteção buscada era psicológica.

Claro que bastava alguém menos supersticioso para que essa vantagem desaparecesse.

Neste caso, estávamos falando sobre pessoas sem educação. Mas quando se trata de tecnologia, existem pessoas com um bom nível de treinamento a quem isso acontece. Uma confiança cega e irracional na tecnologia que faz esquecer os cuidados básicos.

E antes de cair para o Sr. Rivera, vamos lembrar que dentro da comunidade Linux o mantra é freqüentemente repetido: "Estou protegido de ataques de computador porque uso Linux"

Albert Rivera e WhatsApp. Isso é o que aconteceu

Desenvolvedores de WhatsApp querem seu aplicativo deve ser usado com um telefone Móvel. Mesmo os aplicativos de desktop precisam do celular para acessá-los lendo um código QR.

Agora, o aplicativo não precisa necessariamente ser instalado no celular. Por anos eu usei o WhatsApp em um tablet Android sem capacidade de telefone. Você só precisa de um celular que possa receber um SMS e uma conexão sem fio.

O procedimento para acessar a conta de Rivera foi o seguinte:

• Pessoa (s) desconhecida (s) relatou (m) ao WhatsApp que o número do celular que Rivera usava foi usurpado.
• WhatsApp enviou Rivera um SMS com um código de verificação para validar sua propriedade.
• A (s) pessoa (s) desconhecida (s), fazendo-se passar por WhatsApp, pediu-lhe paraEnvie o código de verificação por sms.

Diferenças entre hacking e phishing

E aí vem porque falei no início da ignorância do jornalismo. Rivera não foi hackeado, ele foi vítima de pishing.

Em suma:

Hacking: É o uso de técnicas de computador para obter acesso não autorizado a sistemas ou informações.

Phishing: É fazer-se passar por uma instituição ou pessoa para fazer com que a vítima forneça voluntariamente informações privadas.

Embora ambas as práticas sejam formas de obtenção de informações, elas diferem na escolha do método utilizado. Em phishing um usuário é enganado com um e-mail, uma ligação ou talvez uma mensagem de texto e você convence-o a fazê-lo responder "voluntariamente"com informações. Obter informações não é mais complicado do que fazer um e-mail ou site parecer oficial o suficiente para enganar a vítima.

Em um hack, informação é extraída inadvertidamente, o que força o autor a assumir o controle de seu sistema de computador, por força bruta ou métodos mais sofisticados, para acessar dados confidenciais.

Na verdade, as duas técnicas costumam ser combinadas.

Anos atrás, o gerenciador de conteúdo Joomla tinha um bug que permitia o acesso aos servidores nos quais ele estava instalado. Alguém usou a instalação de um dos meus clientes para criar uma página falsa de home banking do Bank Of America. Ele então enviou e-mails para uma lista de mala direta com um link para essa página disfarçado como um e-mail oficial do banco.

Acabei tendo que deletar o domínio porque por meses os seguranças do banco monitoraram continuamente o servidor, consumindo a largura de banda.

Lá aprendi não só a verificar os links que me chegam pelo correio, a controlar periodicamente cada um dos arquivos que hospedei em meus servidores e a garantir a identidade de meus interlocutores por outros meios.