Introdução
Um amigo me fez a pergunta porque entendo de segurança.
Entendo disso em parte para os meus amigos crackers não brincarem de invadir meus sistemas (já tiveram a cara de pau de reclamar que não conseguiram), em parte porque, infelizmente, todo mundo precisa sacar de segurança atualmente. Ah! Também porque sou da área de TI e já trabalhei em sistemas corporativos que precisavam ser paranoicos com segurança.
A maior preocupação dele é que acessem os bancos, afinal os celulares se tornaram nossa porta principal de entrada na nossa vida financeira desde investimentos e cartões de crédito aos próprios bancos.
É bem provável que você também entenda de segurança e esteja pensando, como eu pensei, que não tem mistério, que é só ter uma boa senha de bloqueio, não baixar aplicativos fora da loja, não deixar o celular na mão de gente em quem a gente não confie… Já começou a complicar, percebe?
Além do mais, a gente, que se preocupa com segurança, faz um monte de coisas no automático – como não ligar para um número recebido por SMS – e menos ainda clicar em um link que não dê para ler claramente em uma olhada.
Se você for pensar tem um monte de coisas que podemos listar para quem não tem tempo de se atualizar na área de segurança.
A bem da verdade muita gente prefere não pensar nisso porque dá nervoso e ansiedade, afinal parece ser muita coisa… E é mesmo. Ao menos para dominar o assunto.
Felizmente não é necessário dominar nada ou ser hacker para proteger seu sistema e ter hábitos seguros. Já falei aqui sobre senhas, em como e porque mascarar o endereço de email, e dei dicas gerais de segurança no post Virei Espião, e agora?
Esse post é especificamente para a segurança do que você tem instalado no celular e do próprio aparelho.
Preparação é o segredo da tranquilidade
Quando nos preparamos para o caso do celular quebrar, ser perdido ou furtado deixamos de nos preocupar com isso o tempo todo pois já sabemos como proceder.
A primeira coisa a fazer é configurar o acesso ao celular pela Internet. O Find do Android e o Find da Apple. Pode ser bom entrar lá umas 2x por ano para se lembrar de como usar. Também é bom que esse acesso esteja liberado no computador que você usa em casa ou até no computador de uma pessoa em que você confie e possa ligar numa emergência e pedir para apagar os dados do seu celular, fazê-lo emitir um som, ver onde está etc.
Lembre-se que, se você realmente leva segurança a sério, o login na Apple ou no Google estará protegido por uma senha em duas etapas, aquela que gera um número aleatório que muda a cada x segundos… E o app que faz isso está no celular que você acaba de perder!
Uma alternativa à verificação em duas etapas são as chaves físicas, mas essa é uma medida que pode ser exagerada. Falarei delas mais para baixo.
Por isso um bom gerenciador de senhas que você possa acessar de qualquer computador também é uma preparação importante já que eles geram a verificação em duas etapas (TOTP) te permitindo acessar a página de gerenciamento do seu celular por qualquer aparelho conectado à Internet, mas certifique-se de ter tudo que precisa para acessar seu gerenciador de senhas em qualquer dispositivo.
Ideias de preparação:
- Para nível hard:
- Saiba de cor a senha do seu “find phone” e use uma chave física
- Use uma chave física com o seu gerenciador de senhas
- Nível meio tenso
- Saiba de cor a senha do seu “find phone” e… glup… não use uma verificação em dois fatores. Que seja ao menos uma senha complexa
- Dê acesso ao seu “find phone” para algumas pessoas muito bem escolhidas e com quem você possa entrar em contato muito facilmente
- Nível muito tenso
- Não use uma verificação de dois fatores no seu gerenciador de senhas
- Nível entre meio e muito tenso: alguns gerenciadores de senha tem uma chave secreta além da senha. Você pode carregar essa chave em um pendrive contigo muito bem escondida e assim entrar no seu gerenciador de senhas a qq momento.
Antivírus – ainda na fase de preparação
Sempre desaconselhei o uso de antivírus em celulares. Nunca usei e nunca peguei um vírus ou tive problemas de segurança com os meus celulares. Só que, durante as pesquisas para escrever esse post, fui convencido que a grande maioria das pessoas precisa sim de um auxílio extra, algo que lhes avise que estão entrando em território perigoso ou que estão prestes a clicar no que não deveriam.
Desde os primeiros antivírus para celulares que eles tentam oferecer um pacote completo de segurança, mas eram pesados e falhavam muito. No entanto eles tem evoluído temos algumas boas alternativas de segurança como Bitdefender, ESET, Kaspersky e Trend Micro. Veja o relatório da AV Comparatives na sessão de links.
Esses pacotes, além de proteger contra vírus, avisam sobre links perigosos, mensagens suspeitas por SMS, permitem proteger qualquer aplicativo com bloqueio biométrico ou com senha, incluem VPN, analisam a rede wi-fi a que nos conectamos em busca de ameaças e criam conexões mais seguras para usar com aplicativos de banco entre outros recursos.
Vale a pena se informar sobre esses aplicativos e considerar incluir a adoção de algum deles na fase de preparação da segurança do seu celular. Alguns tem planos anuais bem em conta.
Senha, padrão ou biometria?
Há muitos anos uma amiga desbloqueou o meu celular acidentalmente enquanto brincava com os padrões de pontos na tela.
Então, né? Padrão não é seguro e contra indico veementemente!
Mas vamos por pontos.
Proximidade de um smartwatch
Essa deve ser a pior forma de desbloqueio: a proximidade de algum dispositivo bluetooth, normalmente um smartwatch.
É muito fácil alguém te distrair enquanto outra pessoa pega o seu celular desbloqueado e instala algum software espião, por exemplo.
Nem vou comentar mais sobre essa forma de desbloqueio. Só usei uma vez para ver como funcionava. Em casa. Por meia hora ;-P
Desbloqueio por padrão
Um dos fatos mais importantes sobre senhas é que humanos não são bons em criar coisas aleatórias. No caso do padrão de pontinhos que temos que ligar com os dedos eu não me surpreenderia se uns 10 padrões cobrissem 90% dos usados.
Se quiser muito usar o desbloqueio por padrão de pontinhos do Android sugiro fortemente usar todos os pontinhos e procurar evitar padrões. Por exemplo, não faça uma espiral, uma letra ou siga sempre no mesmo sentido. Também sugiro (mas não tenho evidências) não começar o padrão pelos cantos. O seu padrão começa em um canto? ;-P
E, claro, sempre olhe ao redor antes de desenhar o seu padrão.
Senha com números
Ainda não é lá muito segura, mas certamente é muito melhor que o padrão de pontinhos.
Lembrando que nós, humanos, somos ruins em produzir coisas aleatórias é bom levar em consideração que uma senha de 4 números, apesar de resultar em 10 mil combinações, na prática acabará se reduzindo a um conjunto muito menor de códigos mais usados. Recomendo senhas numéricas de uns 6 números no mínimo.
Claro, sempre levando em consideração a sua memória e a importância do que você mantém no celular
Senhas alfanuméricas
Agora as coisas começam a ficar realmente seguras! Uma senha de seis caracteres incluindo números, maiúsculas, minúsculas e símbolos resulta em uns 175 bilhões de combinações distintas. Até mesmo nós humanos conseguimos ser aleatórios com tantas alternativas.
Claro que uma senha dessas é bem mais difícil de memorizar e essa não é uma opção para todo mundo, mas recomendo bastante que você a use. Pode ser uma palavra em leet (1337), um código hacker antigo que substitui letras por números. Algo como 51n41Z4# para “sinalizar”.
Mesmo que a sua senha alfanumérica seja até simples, algo como “TiraAMão” pode ser que o invasor desista de tentar ao ver que tem um teclado inteiro e bilhões de combinações pela frente.
Felizmente, apesar dos sistemas nos obrigarem a criar uma senha numérica ou alfanumérica temos mais três formas de desbloqueio que podem nos poupar de ter que digitar uma senha dessas toda vez que desbloquearmos o aparelho.
Digital
Os celulares mais antigos e os mais baratos não costumam ter desbloqueio por biometria, mas atualmente já começam a se tornar comuns modelos mais acessíveis capazes de ler nossas digitais.
Pode até não ser estatisticamente mais eficiente do que uma boa senha alfanumérica, mas é rápido e não pode ser observado por outras pessoas (a alfanumérica pode ser filmada à distância com uma câmera potente).
Reconhecimento facial
Olha, é bem eficiente… dependendo do caso. Até fabricantes, como a Samsung (link no final) alertam que é menos seguro que outras formas de bloqueio.
Para ser realmente um método seguro é muito importante que o celular seja capaz de detectar o relevo do rosto. São aparelhos um pouco mais caros que a média. A Samsung tem alguns, mas nem todos, e os da Apple com esse recurso também fazem a leitura 3D.
No entanto tem o risco das suas crianças pegarem seu celular, desbloquearem com o seu rosto e sair correndo hehehehe! História real.
Leitura da íris
Nunca achei que isso ia pegar, mas até hoje alguns celulares ainda mais caros que os que fazem leitura facial tridimensional oferecem esse método de desbloqueio. Tecnicamente é bem melhor que as digitais, mas eu não escolheria um celular baseado nesse recurso. e nem sei se usaria já que os outros métodos me parecem suficientes para 99% das pessoas, eu incluído.
Chave de segurança
As chaves de segurança são dispositivos físicos que parecem com um pendrive, mas servem como autenticação em dois fatores como as chaves de validação geradas por apps como o Authy e o Google Authenticator.
De uns poucos anos para cá essas chaves passaram a estar disponíveis também para celulares ao incorporar NFC, Bluethooth (não recomendo) e conectores compatíveis.
Na prática funciona assim: depois que você insere o login e a senha a tela seguinte pedirá para você conectar ou aproximar a chave em vez de copiar e colar o código TOTP gerado em um dos apps que citei acima ou pelo próprio gerenciador de senhas que você usa.
Minha opinião sobre chaves de segurança
Caso você use um gerenciador de senhas (use! por amor à sua paz!) que não ofereça a geração de senhas TOTP, então uma chave física de segurança pode te garantir um nível excelente de proteção.
Eu, por exemplo, até hoje não senti necessidade de usar uma chave desse tipo, mas é claro que você pode achar os seus motivos como não confiar em um serviço que está todo na nuvem, afinal uma chave física está na sua mão.
Uma forma de usar esse tipo de chave é configurá-la como segundo fator de verificação do seu gerenciador de senhas, assim você pode ter acesso a todas as suas senhas e códigos TOTP em qualquer dispositivo conectado à Internet.
Só tenha o cuidado de não ter apenas uma chave. Tenha no mínimo duas: a que anda com você e outra guardada em um lugar seguro. Uma terceira ou mesmo uma quarta chave podem ficar com alguém de confiança ou num cofre de banco… Se eu tivesse centenas de bitcoins ou outra criptomoeda cara em uma carteira certamente guardaria a chave em um banco (isso foi uma piada).
O site Manual do Usuário fez um bom artigo sobre o uso de chaves de segurança.
VPN e DNS criptografado
Redes Wi-Fi não são seguras e você não devia acessar email, bancos etc em uma rede Wi-Fi que não está sob o seu controle, como redes de aeroportos, restaurantes ou públicas.
O que pode acontecer, entre outras coisas, é um tipo de ataque chamado de “homem no meio”, ou seja, uma pessoa tem acesso ao que está trafegando nessa rede Wi-Fi e pode acabar observando o que você está fazendo ou até mesmo desviar o tráfego de seubanco.com.br para uma cópia do site do banco onde ele poderá pegar o seu login e fazer um estrago antes que você possa perceber.
A solução mais segura é usar uma VPN, que protege todo o seu tráfego na Internet, inclusive de aplicativos de mensagens, bancos e outros. Existem vários serviços gratuitos, mas verifique bem qual é o modelo de negócios do serviço antes de usá-lo. Sempre recomendo a ProtonVPN. O plano gratuito dela já é o suficiente para te proteger.
Uma alternativa que também oferece uma boa proteção é usar um DNS próprio e não o da rede em que você se conectou.
Explico: quando a gente digita um endereço no navegador ou quando qualquer coisa no nosso dispositivo se conecta a um serviço na Internet esse endereço é interpretado por um servidor de nomes da Internet, um servidor DNS.
É através desse servidor que uma pessoa mal intencionada pode desviar os seus acessos para outros sites.
Usar um servidor DNS seguro já te oferece uma grande proteção. Tenho recomendado o do Mullvad. Não se assuste com as instruções de configuração, é mais simples do que parece e está tudo bem explicado na página.
Instalação de aplicativos
As lojas de aplicativos da sua plataforma (Google Play ou App Store por exemplo) já procuram garantir que os aplicativos que você baixa de lá sejam seguros, mas de vez em quando a segurança deles falha.
A minha recomendação é evitar aplicativos mais obscuros mesmo que estejam na loja do sistema. Por obscuro me refiro a aplicativos novos que façam promessas apelativas para tentar atrair o máximo de usuários no menor tempo possível. São aplicativos que podem estar tentando se aproveitar da demora em serem detectados para contaminar o máximo de pessoas possível.
No entanto o risco ao baixar aplicativos da loja do seu sistema é muito baixo.
Ah! Tem aplicativos que não estão na loja e juram que são seguros, que você pode desativar o bloqueio do seu aparelho que evita a instalação de aplicativos não certificados. Contra indico isso veementemente! Não que sejam todos malignos, mas o risco é grande.
Criptografia dos dados
Já há muitos anos é possível ativar a criptografia de todo o conteúdo do celular criando mais uma camada de segurança e impedindo que tentem acessar seus dados conectando o aparelho fisicamente a um computador.
É uma medida que só é realmente útil se o seu bloqueio do celular for realmente seguro, ou seja, nada de padrão de pontinhos ou senha de 4 números, certo?
Se o seu aparelho não é um dos mais rápidos ou se a sua bateria já não dura muito tempo ele pode piorar com o uso da criptografia.
Para a grande maioria das pessoas eu acho que é uma medida exagerada. Foque em uma forma de bloqueio muito segura.
Aplicativos que protegem aplicativos
Existem aplicativos que permitem forçar o uso de uma senha ou desbloqueio com face ou digital para acessar qualquer aplicativo do celular, ou seja, você pode querer bloquear o acesso ao navegador web, por exemplo.
Também existem aplicativos que escondem a existência de outros aplicativos, ou seja, quem conseguir desbloquear o seu aparelho não verá o ícone do aplicativo do seu banco, por exemplo.
A princípio parecem uma boa ideia, mas não me sinto seguro para indicar nenhum deles. São aplicativos que fazem um acesso mais profundo no sistema e acho que temos que nos certificar muito bem da confiabilidade da empresa que o desenvolve. Prefiro não sugerir o uso deles.
Software espião
Ano passado já escrevi um post sobre o Pegasus, um software espião que tem sido usado, alegadamente, até por governos para espionar os adversários políticos e pessoas que os critiquem.
Se você for uma pessoa altamente visada sugiro ler o post… Talvez seja bom ser mais específico: se você não tem uns bilhões de dólares ou se não trabalha no laboratório secreto de uma dessas corporações de trilhões de dólares é muito provável que você seja uma pessoa irrelevante como eu hehehe.
Para a maioria de nós é suficiente manter o sistema do celular atualizado e não deixá-lo desbloqueado na mão de alguém que sua intuição lhe diga para não confiar.
Proteja seu email principal
Todo celular precisa de um login para permitir acesso à loja segura e você provavelmente usa seu email principal para fazer esse login, o mesmo email, por exemplo, que dá acesso a tudo que você usa do Google e que usa para se conectar a outros serviços online.
Se uma pessoa conseguir obter acesso ao celular e verificar qual é o email que você usa para fazer login no serviço, ela já terá 50% do caminho para invadir uma série de outras contas suas.
Temos duas soluções para isso:
- Use um mascarador de email ao criar sua contat Google, Apple etc
- Use um mascarador de email ao se cadastrar em qualquer serviço.
Já falei nisso em “Como e por que mascarar seu email“.
Links
- How Spies Snuck Malware Into the Google Play Store—Again and Again
- Previsibilidade dos padrões de bloqueio (Psafe)
- Sobre criptografia dos dados no celular
- Artigo da Samsung sobre reconhecimento facial alertando que é menos seguro que digital ou senha alfanumérica
- How Secure Are Face ID and Touch ID? – Spoiler: bem seguros
- Forbes em inglês (2019): desbloqueio do FaceID com a pessoa desacordada (é mais difícil do que parece)
- AV Mobility Security Review 2023: Artigo bem completo sobre apps de segurança para Android
Deixe um comentário