00:00Vamos falar de uma falha de segurança que chocou o mundo
00:03e que levanta perguntas importantes sobre como as instituições precisam proteger seus bens
00:09e, nesse caso, bens que nem têm preço.
00:13Documentos da investigação do roubo no Louvre, em Paris, no mês passado,
00:17indicam que a senha usada pelo sistema de segurança era simplesmente Louvre.
00:23Ou seja, uma senha óbvia que deixa todas as portas abertas.
00:27O audacioso roubo das joias deixou um prejuízo avaliado em dezenas de milhões de dólares.
00:34Os relatórios apontam ainda que os sistemas de proteção do museu
00:37rodavam com um software obsoleto, sem atualizações.
00:41Para ajudar a gente a entender o que deu errado
00:44e o que é que instituições públicas e privadas precisam fazer para não repetir esse tipo de erro,
00:50eu recebo aqui no estúdio o João Brazio, especialista em cibersegurança
00:54e nosso comentarista do quadro CyberAlerta.
00:57Tudo bem, João? Boa tarde.
00:58Tudo bom e com você, Fábio?
00:59Tudo jóia.
01:00Como por sempre, imenso prazer estar aqui.
01:02Prazer é nosso te receber aqui, João.
01:04Rapaz, é difícil de acreditar nessa notícia.
01:07Uma falha tão básica assim, é difícil de acreditar que isso ainda acontece
01:12até em instituições do peso de um museu do Louvre.
01:16Exatamente.
01:17A gente pode imaginar que isso está acontecendo em empresas também?
01:21Com certeza absoluta.
01:22Eu diria que, fazendo uma analogia, ter a senha Louvre, um museu chamado Louvre,
01:27sequer é comparado com guardar a chave debaixo do tapete.
01:31Pra mim, isso é basicamente deixar a porta destrancada e ainda entreaberta.
01:35Pra que todos olhem de longe e saibam que é simplesmente um empurrãozinho pra adentrar.
01:41É um convite pra acontecer alguma coisa, né?
01:42É um convite.
01:43Agora, quando uma senha tão simples assim é suficiente pra abrir brechas tão grandes,
01:50o problema é mais técnico ou é cultural?
01:53Quer dizer, falta tecnologia ou, na verdade, falta conscientização de quem tá ali por trás tomando decisão?
01:59Sabe o ambos?
02:00Porque o problema, ele é técnico.
02:01Uma vez que ele permite que uma senha tão fraca seja escolhida.
02:05E também é cultural quando ele permite que alguém a escolha.
02:08Então, nós temos um misto de problema técnico, onde algumas regras poderiam ser impostas aos usuários
02:15e um problema cultural que alguém com devido treinamento jamais escolheria uma senha como Louvre.
02:22Uma brincadeira nem Louvre e alguns algarismos, né?
02:25Nem Louvre 1, 2, 3 era.
02:27Era literalmente uma palavra curta e de fácil adivinhação.
02:31Interessante porque, assim, muitas vezes a gente vai fazer um cadastro num site, num aplicativo
02:36e precisa criar uma senha, e o próprio sistema, às vezes, acusa que a senha tá fraca,
02:40que ela tem que ter um mínimo de caracteres, tem que ter maiúscula, minúscula, número, símbolos.
02:46Quer dizer, pelo visto, esse sistema do Louvre sequer tem esse sistema de alerta
02:51ou de qualificação daquela senha que tá sendo programada, né?
02:55Exatamente.
02:55Existem relatos, através de uma auditoria que tá sendo feita,
02:59que os sistemas estavam desatualizados em mais de 11 anos.
03:02Então, como você muito bem pontuou, nós estamos acostumados, hoje em dia,
03:06a usar sistemas, sites pela internet, que nos exigem uma senha mais complexa,
03:10que não permitem que nós reutilizemos senhas do passado.
03:14E o Museu do Louvre, um dos museus mais importantes do mundo,
03:18que, pasmem, guarda um acervo que só a Monalisa, se viesse a mercado,
03:22é avaliada em bilhões de dólares e de euros.
03:26Não há um valor, ela é inestimável, mas seria avaliada em 5 a 10 bilhões,
03:29algumas estimativas, dizem uma das peças.
03:33Usava uma senha e usa um sistema desatualizado em mais de uma década.
03:37O roubo já passou, nas análises, 105 milhões de dólares de prejuízo.
03:43No dia a dia das empresas, brasileiros, sejam grandes, sejam pequenas,
03:47que tipo de lição prática a gente pode tirar desse episódio envolvendo o Louvre
03:51pra proteger o patrimônio e os dados das empresas?
03:54Eu trouxe aqui uma arte, a gente vai explanar alguns itens, alguns tópicos,
03:59exatamente pra entender como nós podemos deixar os sistemas mais robustos.
04:04Primeiro, não usar frases óbvias, ou seja, uma frase, uma palavra-chave, na verdade,
04:11a famosa senha, longa.
04:12Muita gente acredita que só misturar caracteres já deixará difícil.
04:17Porém, pode deixar mais difícil pro usuário, que tende a esquecer,
04:20e, portanto, anota num papelzinho, a reutiliza em múltiplos sistemas.
04:24É preferível uma senha grande, uma frase que você lembra e que não é um bordão seu,
04:30ou seja, que você não fica dizendo pra todo mundo.
04:33Então, uma brincadeira aqui, eu amo tomar refrigerante de sábado à noite.
04:37Se você não diz isso com frequência, ou seja, ninguém sabe dessa brincadeira
04:40que você tem consigo próprio, é uma frase extremamente longa
04:44e altamente difícil de ser quebrado.
04:46A gente tem essa ilusão de que caracteres especiais e maiúsculas com minúsculas,
04:51só que só tendo oito dígitos de tamanho, isso seria suficiente pra bloquear um ataque.
04:57Não é verdade.
04:58Prefira sempre algo longo e que você se recorde, e mais ninguém.
05:02Nós temos aqui também a necessidade de gerenciador de senhas,
05:07pra evitar a reutilização.
05:09Imagina, temos contas em centenas de sistemas.
05:11Se a gente for usar uma senha longa e difícil em cada um, tendemos a esquecer,
05:16portanto, vamos anotar.
05:18Com os gerenciadores de senhas, a gente pode até chamar de cofres de senhas,
05:21fica muito mais fácil gerenciá-las em cada sistema usar uma senha diferente.
05:27Uma pro e-mail, uma pra rede social, uma pra VPN do nosso trabalho.
05:31Sempre ative a autenticação multifator.
05:35É aquele numerozinho que muitas vezes a gente tem que abrir um aplicativo no celular,
05:39ou a gente recebe um SMS no momento de adentrar o sistema.
05:42Por quê?
05:43Muita gente não entende o que faz essa autenticação multifator.
05:47Quando a nossa senha é vazada, ou seja, o atacante já tem ela,
05:50ele ainda não terá esse segundo fator de autenticação.
05:54Então, ele insere a senha, o sistema apresenta uma nova tela,
05:57e ele vai ser barrado.
05:58É como se fossem dois muros, até que se chegue, de fato,
06:02à residência que o atacante está tentando entrar.
06:06Controle e proteja acessos privilegiados.
06:08Ou seja, quanto mais privilegiado é um sistema,
06:11maior é o acesso que algum colaborador tenha, maior o controle.
06:15Então, a gente pode até colocar novas camadas,
06:17além de um segundo fator, terceiros e quartos fatores.
06:20De novo, mais muros.
06:22Quanto mais muros, mais difícil do atacante chegar perto do prédio principal.
06:26E, por fim, monitoramento contínuo.
06:29O que quer dizer?
06:30Se todo falhar, os cinco muros, a cerca elétrica,
06:34o monitoramento é aquele que vai entender
06:36que a pessoa que entrou com determinada credencial,
06:39por exemplo, não é o Fábio.
06:41Então, está acessando o sistema de um país,
06:43onde aquele funcionário ou aquela pessoa nunca foi.
06:46Você pode servir num banco correntista,
06:48nada está acessando sua conta da Malásia.
06:50liberar uma red flag, aquele alerta vermelho.
06:53Liga, bloqueia o acesso, liga para ele, liga para o seu colaborador,
06:57tentando fazer acessos que não são comuns,
06:59movimentar uma quantia de dinheiro que não tem costume.
07:02Então, o monitoramento contínuo,
07:04ele tenta identificar um desvio de comportamento.
07:07E, através desse desvio,
07:08algumas medidas podem ser tomadas.
07:10Como eu disse, um bloqueio, por exemplo,
07:12e uma posterior ligação.
07:14Fábio, é você mesmo?
07:15Sim, viajei para a Malásia, preciso acessar o sistema.
07:18Então, estou fazendo uma liberação momentânea aqui.
07:22Basicamente, esses cinco fatores
07:24ajudariam muito a robustecer sistemas
07:26de pequenas, médias e, inclusive, grandes corporações,
07:30como o Luver.
07:31Aí a gente tem, então, exemplos de camadas de proteção
07:34que vão além da senha
07:35para evitar que uma falha,
07:37às vezes, de uma pessoa,
07:39vire um desastre de segurança.
07:40Exatamente.
07:41Porque, apesar do treinamento,
07:42nós temos que partir do pressuposto
07:43que as pessoas podem errar e erram.
07:46Então, essas múltiplas camadas
07:47são, literalmente, os muros.
07:50Então, a gente pode ter o segundo fator,
07:52que é aquele número que sempre altera,
07:54um cartão para ser inserido
07:55num leitor de cartão dentro da empresa,
07:57uma impressão digital,
07:59uma identificação por voz,
08:01uma identificação facial
08:02e diversas, uma pergunta de segurança.
08:05Então, são várias, literalmente,
08:07camadas adicionais
08:08para que só a senha não seja suficiente
08:10para abrir a porta principal daquele cofre.
08:14E nunca usar o nome da empresa,
08:17o nome do museu, no caso,
08:18como uma senha, né?
08:20Não cometemos obviedades,
08:22porque o atacante,
08:23a primeira opção são sempre
08:25datas de nascimento, documentos,
08:28o nome da empresa,
08:30nome 123.
08:31Muitas pessoas têm, infelizmente,
08:34ainda essa tendência.
08:35O que, de novo, mostra o ponto.
08:37Falta treinamento.
08:37Se as pessoas estão cometendo esses erros,
08:41na verdade, eu acredito que tem um outro erro,
08:43que é o erro da alfabetização
08:44em segurança cibernética.
08:47João Brazio, especialista em cibersegurança.
08:50Brazio, obrigado por mais essa aula aqui.
08:52Eu que agradeço.
08:53Sempre um imenso prazer
08:54trazer alguns insights para vocês.
08:56Até a semana que vem.
08:57Obrigado.
08:57Obrigado.
08:58Obrigado.
08:59Obrigado.
Comentários