FYI.

This story is over 5 years old.

​O que a Invasão ao AshleyMadison Pode Ensinar Sobre Segurança Operacional

Saiba como se proteger dos hackers que atacam os sites que você usa.
Crédito: AshleyMadison.com

Não é segredo que, desde ontem, um grande número de casados está pensando em um bom álibi. Isso porque hackers com um senso de humor bem peculiar invadiram o site de encontros extraconjugais AshleyMadison e ameaçaram divulgar os dados dos 37 milhões de usuários cadastrados no serviço.

As informações em posse dos invasores incluem nome verdadeiro, endereço, números de cartões de crédito, fantasias sexuais e, claro, o óbvio fato de estar em um site voltado para traições amorosas.

Publicidade

É difícil prever o que os hackers farão com essas informações, mas uma coisa é fácil afirmar: tem muita gente suando frio. Sobretudo aqueles que negligenciaram o uso de um bom OpSec.

OpSec é a abreviação de segurança operacional (operational security, em inglês); consiste na prática de manter certos fragmentos de informações ou atividades escondidas dos inimigos. Nessa lista de dados sensíveis, podem estar a identidade real de um agente do serviço secreto, as estratégias de uma companhia ou, vá lá, indícios de um relacionamento proibido.

Captura de tela do AshleyMadison. Eis as máscaras disponíveis para disfarçar os usuários. Crédito: AshleyMadison.com

A segurança operacional não tem a ver com tecnologia ou criptografia. Diz mais sobre como lidar com as informações. No caso específico de cadastro no AshleyMadison, trata-se de evitar que o site recolha dados que poderão ser publicados por hackers e conduzidos à identidade verdadeira.

A segurança operacional ideal busca a compartimentalização: isto é, manter todas as atividades relacionadas a seu caso separadas de sua identidade

Um bom modo de começar uma segurança operacional eficaz no site seria escolher um nome falso. É possível se cadastrar no AshleyMadison com informações inverídicas, como descobri ao fazer uma conta fictícia hoje cedo. Também não é recomendado utilizar o e-mail profissional já que isso pode revelar seu local de trabalho e causar uma baita dor de cabeça. Foi o que aconteceu com vítimas da invasão ao AdultFriendFinder em maio: o hacker Andrew Aurenheimer, também conhecido como weev, revelou nomes dos funcionários públicos cujas informações se encontravam no banco de dados.

Publicidade

Por razões óbvias, fotos que facilitem a identificação também não são uma boa estratégia para quem quer se esconder. O AshleyMadison permite que seus usuários modifiquem as imagens de maneiras sutis, com colagens de máscaras de baile à fantasia e outros apetrechos.

Em seguida, vem a parte mais delicada: o método de pagamento. Os usuários do Ashley Madison podem se cadastrar de modo no site, mas, depois, são encorajados a pagar por serviços de aprimoramento do perfil nas listas do site. Pagar com um cartão de crédito é uma péssima ideia já que sua identidade verdadeira está associada à tarjeta e à conta bancária.

Uma possibilidade é pagar pelos serviços do site com um cartão de presente, disponível em diversas lojas de departamento por vários países. Os vale-presentes podem ser comprados pessoalmente, com dinheiro, ou de outro site, e depois trocado por outros serviços na internet.

O AshleyMadison oferece a opção "Use um Cartão-Presente de Marca" na mesma tela em que é possível preencher o número do cartão de crédito. Basta digitar o código do cartãozinho, que pode ser do Starbucks, da Target, da BestBuy ou de dezenas de outras lojas.

Captura de tela dos cartões-presentes: AshleyMadison.com

Em resumo, o objetivo é manter todas as atividades relacionadas a seu caso separadas de sua identidade de todos os dias — um conceito chamado de compartimentalização.

É claro que teria sido muito mais inteligente tomar essas precauções ao usar o AshleyMadison. O motivo por que muitos não fizeram isso, de acordo com o que o especialista em segurança conhecido como thegrugq, é a "despreocupação".

Publicidade

"O problema em todas as falhas de opsec, em geral, é que as punições pelo erro estão muito distante do erro em si", contou ao Motherboard em um chat criptografado. "Então você comete um erro, como se cadastrar com seu endereço de e-mail pessoal, e nada acontece até anos mais tarde se revelar uma burrice fatal."

Para permanecer fora dos radares, thegrugq sugeriu a criação de uma persona completa, com nome e telefone exclusivos. Isso porque há outras ameaças a seu caso secreto também — seu/sua cônjuge pode descobrir tudo por meio de sua atividade offline. Uma conta de telefone pode indicar ligações para um número desconhecido ou, ainda, seu telefone tocando durante o jantar com seu/sua companheiro(a) pode soar alguns alarmes.

Essas sugestões não são exclusivas para quem deseja se esconder de um caso, que fique claro. Estendem-se para a segurança operacional de modo geral. Manter identidades e informações separadas é a maneira como vários agentes do serviço secreto, criminosos, jornalistas e infiéis operam e, sem dúvida, continuarão a fazer isso.

Com uma nova notícia de invasão a bancos, a lojas e aos mais diversos serviços toda semana, talvez seja hora de todos começarmos a pensar em quais informações estão armazenadas sobre nós e o que faríamos se fossem vazadas on-line.

No fim das contas, quem não tomou precauções no AshleyMadison confiou totalmente que o site manteria seus casos em segredo. Agora, essa pessoas podem estar arrependidas por não ter pensado nesse processo com mais cuidado.

Tópicos: fidelidade, AshleyMadison, invasão, hackers, invadir, OPSEC, segurança operacional, infosec, segurança, identidade, compartimentalização

Tradução: Amanda Guizzo Zampieri