Descriptografar o WhatsApp, como juíza pediu, está fora de questão

Em artigo, especialista afirma que tecnologia usada garante que nem o próprio serviço consiga ouvir ou ler mensagens enviadas pelos usuários

Autor: Rita D’Andrea (Diretora geral da F5 Networks Brasil)

WhatsApp tem no Brasil 100 milhões de usuários e já foi bloqueado três vezes desde 2015, sempre por ordens judiciais. Ontem o Facebook – a empresa que controla o WhatsApp – recebeu uma intimação ordenando que a empresa interceptasse e entregasse às autoridades do Rio de Janeiro mensagens de supostos criminosos sendo investigados. A juíza Daniela Barbosa Assumpção, responsável por esta notificação, exigia que a criptografia das mensagens WhatsApp fosse quebrada e os conteúdos das mensagens sejam entregues às autoridades. O bloqueio durou algumas horas e acabou suspenso ontem mesmo, por uma decisão do STF. Neste e nos outros episódios, o Facebook/WhatsApp disse que não poderia realizar o que a notificação pedia por motivos técnicos.

digitalkey_625.jpg

Os responsáveis pelo WhatsApp estão falando a verdade.

Desde abril deste ano, qualquer usuário do aplicativo recebe a mensagem: “As mensagens que você envia para esta conversa e as chamadas de voz são, agora, protegidas com criptografia de ponta a ponta. Toque para obter mais informações”.

 Este curto recado é, na verdade, o topo do iceberg de uma era em que quase todas as principais aplicações do mercado são criptografadas e trafegam em sistemas SSL/TLS.  A maior parte dos serviços que está na nuvem é criptografada – isso vale para o Office 365, para as Oracle Applications, para a plataforma Totvs, etc.

No caso específico do WhatsApp, a tecnologia usada por essa plataforma garante que nem o próprio WhatsApp nem ninguém – governo, empresas, pessoas comuns, criminosos – conseguirão ouvir ou ler algo enviado de um usuário a outro – o que inclui mensagens, fotos, vídeos, mensagens de voz, documentos ou chamadas de voz.

O WhatsApp não ter acesso a esses dados é algo muito importante.

A criptografia é muito comum em toda a Internet. Se um usuário faz uma compra online ou visita Google.com, um cadeado e HTTPS são visíveis no navegador, o que significa que os dados enviados via Internet são criptografados ou ocultados de quem quer que possa tentar bisbilhotar ou roubar a informação, tal como um número de cartão de crédito. O WhatsApp levou isso adiante, devido a ser a maior aplicação multiplataforma de troca de mensagens do mundo, uma aplicação que funciona em um grande número de diferentes dispositivos. A criptografia de ponta a ponta é a diferença entre enviar um cartão postal em papel, em que qualquer um – incluindo o carteiro — pode ler a sua mensagem, e fechar esse cartão postal em um envelope, algo que garanta que somente você e o destinatário conseguirão ler a mensagem.

É importante ressaltar que uma mensagem enviada por WhatsApp é criptografada desde o momento em que sai do dispositivo do remetente até o momento em que é recebida pelo destinatário. Nenhum intermediário, incluindo o WhatsApp, pode ver o conteúdo da mensagem, mesmo se capturada em trânsito. Com isso, os usuários podem ter a certeza de que as mensagens e chamadas de voz estão protegidas contra qualquer pessoa que tente interceptá-las.

O fato de nem mesmo o WhatsApp ser capaz de ver as mensagens ou escutar as chamadas significa que, se a empresa receber um pedido judicial de acesso aos dados pessoais ou mensagens de alguém, o WhatsApp não terá acesso a eles e não terá como entregar o que quer que seja. Devido à maneira como o WhatsApp implementou isso, será muito difícil que as agências policiais e governamentais consigam acesso legal a dados que poderiam ser necessários para auxiliar nas suas investigações.

Discutiu-se se as agências governamentais tentariam proibir isso – a criptografia –, mas rapidamente percebeu-se que seria muito difícil realizar esse feito. Proibir a criptografia poderia causar enormes danos à economia digital. Necessitamos de criptografia para manter seguros os nossos dados pessoais. Por outro lado, seria sim importante encontrar um equilíbrio no qual as forças policiais pudessem obter acesso judicial a dados do WhatsApp para auxiliar as suas investigações.

Estamos vivendo uma interessante disjuntiva. Somos muito livres com os nossos dados pessoais e seu compartilhamento online. Junto com a liberdade, exigimos garantias de não sermos monitorados, algo que roubaria a nossa privacidade. A grande questão, porém, é que criptografia e privacidade andam juntas tanto para pessoas honestas, que nada têm a esconder, como para criminosos, que muito têm a esconder. A tecnologia não é “pessoal”, tratando uns e outros de forma diferente.

O que define este quadro é que o mundo deseja que o WhatsApp ofereça garantias de privacidade e proteção de dados. Com bloqueio ou sem bloqueio, isso continuará acontecendo.

Fonte: IDG NOW!

Instituto lança certificado de segurança em cloud no Brasil

CCSP é recomendada para especialistas envolvidos com aquisição, proteção e gerenciamento de ambientes ou serviços em nuvem.

seguranca internet

A (ISC)² e a Cloud Security Alliance trouxeram para o mercado latino-americano uma certificação de segurança em cloud computing. O Certified Cloud Security Professional (CCSP) é direcionado a profissionais envolvidos com aquisição, proteção e gerenciamento de ambientes ou serviços em nuvem.

“A Certificação Profissional de Segurança em Nuvem é ainda mais relevante diante das atuais preocupações legais e regulamentares presentes em todo o mundo”, classificou Elise Yacobellis, diretora de desenvolvimento de negócios do (ISC)² para países das Américas.

O atestado é focado aos profissionais de segurança da informação com mais de cinco anos de experiência em TI, dos quais três têm que ser em segurança da informação, e um em segurança em nuvem,

Segundo os certificadores, a certificação é recomendada para especialistas envolvidos com arquitetura de TI, engenharia de web, segurança da informação, governança, risco, compliance (conformidade) e auditoria de TI.

O CCSP avalia os profissionais nas seguintes competências: Conceitos de arquitetura e Requisitos de Design, Segurança de dados em Nuvem, Plataforma em Nuvem e Infraestrutura de Segurança, Aplicação de Segurança em Nuvem, Legislação e Compliance.

“Pesquisas revelam que o mercado de infraestrutura de serviços na nuvem crescerá mais de 30% em 2015. A partir desta informação, é fundamental ter profissionais certificados e preparados para a correta gestão de sistemas e de aplicações”, enfatiza a executiva.

Fonte: IDG NOW!

Cresce o ataque de phising aos dados na nuvem

cloud_segurancaOs ataques de phising não param de crescer no mundo e o país com o maior número de usuários atingidos segue sendo o Brasil, com 21,7% do total, revela estudo divulgado pelo Kaspersky Lab. Segundo a empresa, foram registrados 36,3 milhões de ataques de phising no terceiro trimestre de 2015. Esse montante é seis milhões de vezes maior que o registrado no trimestre anterior.

De acordo com o levantamento, o percentual de ataques contra usuários no Japão e na China também cresceram consideravelmente, 10,9% e 7,85%, respectivamente – o que fez com que esses países figurassem na segunda e terceira posição do ranking, com 16,86% e 15,08% do total de usuários globais atingidos por phishing.Também aparecem no ranking o Vietnã (14,5%), Bangladesh (13,32%), Nigéria (13,05%), Rússia (12,91%), Casaquistão (12,85%), Índia (12,44%), Colômbia (12,25%).

No terceiro trimestre do ano, os sites mais visados para ataques phishing eram portais com acesso globais,que responderam por 30,93% dos ataques. Seguido por redes sociais, com 21.44% do total – número 6,69% maior – e sites de bancos (18,07%). A categoria de games online dobrou o número de ataques, e resultou em 4,02%.

A proporção de ataques phishing em organizações na categoria Armazenamento de Dados na Nuvem aumentou 0,26 pontos percentuais, chegando a 1,06%. Isso se deve especialmente ao aumento da adoção do armazenamento em nuvem por parte de usuários, o que chama cada vez mais a atenção dos cibercriminosos. As informações roubadas são usadas para chantagem, vendidas na internet a terceiros ou usadas em ataques direcionados.

Este tipo de phishing é frequentemente distribuído por meio de mensagens via e-mail ou redes sociais, as quais convidam os usuários a baixar um documento supostamente enviado para um serviço de nuvem popular. As mensagens podem chegar a partir de uma conta comprometida ou, no caso de e-mail, em nome de um administrador de serviços de nuvem.

O estudo também aponta para o aumento no número de spam global, responsável por 54,2% do tráfego de e-mails. Os países que mais produzem esse tipo de mensagem são Estados Unidos, Vietnã e China. O Brasil aparece como sendo responsável por 2,8% do total de spam global.

Fonte: Convergência Digital