Apple e Google em alerta: ataques cibernéticos atingem autoridades no mundo; entenda

TIMES BRASIL - LICENCIADO EXCLUSIVO CNBC

Apple e Google emitiram alertas inéditos sobre campanhas de espionagem digital direcionadas a líderes e grandes executivos. O especialista em segurança digital João Brasio explica o nível de sofisticação desses ataques e os novos riscos para governos e empresas.   🚨Inscreva-se no canal e ative o sininho para receber todo o nosso conteúdo!   Siga o Times Brasil - Licenciado Exclusivo CNBC nas redes sociais: @otimesbrasil   📌 ONDE ASSISTIR AO MAIOR CANAL DE NEGÓCIOS DO MUNDO NO BRASIL:   🔷 Canal 562 ClaroTV+ | Canal 562 Sky | Canal 592 Vivo | Canal 187 Oi | Operadoras regionais   🔷 TV SINAL ABERTO: parabólicas canal 562   🔷 ONLINE: https://timesbrasil.com.br | YouTube   🔷 FAST Channels: Samsung TV Plus, LG Channels, TCL Channels, Pluto TV, Roku, Soul TV, Zapping | Novos Streamings   #CNBCNoBrasil  #JornalismoDeNegócios  #TimesBrasilCNBC

Transcript

00:004 horas, 29 minutos, Apple e Google dispararam alertas inéditos sobre uma nova onda de cyberataques

00:13globais, alguns ligados até a grupos estatais que acendem o sinal vermelho para usuários e empresas.

00:21Esse é o assunto do CyberAlerta de hoje com o nosso comentarista João Brásio, especialista em

00:26segurança digital. Brásio, boa tarde, tudo bem contigo? Boa tarde, Turci, muito bem, é um prazer estar aqui com vocês de novo

00:33para a gente desvendar esses mistérios dos novos ataques. Pois é, falando nesse mistério, Brásio, qual é a magnitude

00:40desses novos ataques, hein? A gente está falando de campanhas de espionagem de alta sofisticação,

00:48então, essas campanhas, elas não estão focadas na massa dos usuários, são muito mais focadas em

00:56alvos de alto valor, autoridades, ministros, grandes empresários. Eu vou até chamar uma arte aqui para a gente

01:03tentar entender qual é o potencial de um ataque desses.

01:07A gente tem então a Apple e o Google fazendo novos alertas em relação a essas novas ameaças.

01:13Queria pedir que você explicasse para a gente um pouco mais sobre a magnitude desses novos ataques.

01:20Turci, esses alertas são sobre campanhas de espionagem digital altamente sofisticadas.

01:26É diferente daqueles ataques em massa que nós vemos todos os dias.

01:30Eles são mais focados em autoridades, grandes empresários, ministros, presidentes, ou seja,

01:36são realizados por organizações criminosas ou até por estados-nação, muitas vezes inimigo,

01:42do que está sendo atacado, para conseguir dados altamente sensíveis.

01:47Eu vou chamar para vocês aqui uma arte, onde nós vamos conseguir entender o impacto

01:52dessas ferramentas, desses softwares espiões que estão sendo utilizados.

01:58A gente tem aqui, ele consegue invadir tanto iPhones quanto Androids,

02:01explorando falhas graves. A gente chama falhas de zero day, de dia zero.

02:07O que é uma falha de dia zero?

02:08Uma falha que o fabricante daquela plataforma, o software, ainda não tem conhecimento.

02:14Ou seja, se o próprio fabricante não tem conhecimento, não há uma correção.

02:18Então, são vulnerabilidades muito sofisticadas e muito caras.

02:23Então, não está à mercê de qualquer criminoso.

02:26Apenas organizações de alto nível ou, de novo, estados-nação têm acesso a essas plataformas.

02:32Ele acessa mensagens, inclusive criptografadas, WhatsApp, Signal, Telegram.

02:38Muitas vezes, a gente acredita que nós estamos seguros, dependendo da plataforma.

02:43Estamos mais seguros, mas não totalmente, contra essas ameaças.

02:48Essas ameaças são gravíssimas.

02:50Ele pode ativar câmera e microfone sem que nós percebamos.

02:54Então, imagina um chefe de Estado em uma reunião de determinação de estratégias militares sendo ouvido pelo próprio dispositivo.

03:03Ele rastreia a localização em tempo real.

03:06Então, a vítima está sendo rastreada através do próprio dispositivo e pode copiar arquivos, fotos e até históricos de navegação.

03:15Ou seja, como a gente pode ver, é um acesso quase que universal ao seu aparelho.

03:20Por isso, é gravíssimo.

03:21E, bom, esse nível de sofisticação dos ataques, João, é claro que tem que mudar as exigências de ciberdefesa.

03:30Corporativo, no caso, se a gente pensar nas organizações.

03:34Tem muita proteção que já envelheceu, já caducou rapidamente?

03:39Exatamente, Turci.

03:40Nós estamos acostumados com vários termos, como antivírus, faro.

03:44Essas defesas, por mais que ainda sejam necessárias,

03:47nós chamamos de as defesas normais, que estão sendo utilizadas há mais de uma década,

03:52não são mais suficientes.

03:55Nós precisamos de mais coisas.

03:57Por exemplo, hoje precisamos de práticas avançadas de gestão de vulnerabilidades.

04:02Ou seja, identificar os problemas, as portas abertas que o sistema possui,

04:07para o quanto antes nós corrigirmos as mesmas.

04:10Como? Aplicando atualizações dos softwares de forma imediata.

04:16Lembra que eu falei da falha de dia zero?

04:18A falha de dia zero, em algum momento, vai ser detectada pela fabricante.

04:22O fabricante, em uma velocidade muito grande, vai tentar corrigir,

04:26através de uma atualização.

04:28E se nós deixarmos as atualizações pendentes,

04:30amanhã eu reinicio no dispositivo,

04:33nós estaremos todo esse tempo vulneráveis.

04:36A gente também precisa inspecionar comportamentos anômalos.

04:38Vamos dizer que, num escritório,

04:42a gente está acostumado a ver os nossos colegas transitando.

04:45E um atacante tem a capacidade de vestir uma roupa

04:48se passando para uma outra pessoa.

04:50Então, o que é investigar e inspecionar comportamentos anômalos?

04:54Entender que aquele colega está andando diferente,

04:56está com hábitos diferentes, fuçando nas gavetas.

04:59Vou usando uma analogia,

05:00mas no sistema digital isso faz muito sentido.

05:03Do nada, um usuário começa a entrar em sistemas que não entrava,

05:07abaixar mais arquivos do que estava acostumado.

05:10O time de segurança tem que ser alertado imediatamente

05:13em uma ação tomada.

05:14E também contar com ferramentas de identificação rápida de intrusão.

05:19Para quê?

05:20Para que um alerta seja trazido o mais próximo possível do momento zero.

05:24O momento zero é quando a intrusão ocorre.

05:27O mais próximo do momento zero nós descobrimos

05:29que fomos vítimas de uma intrusão,

05:32melhor vai ser a contenção do dano.

05:34Brás, e aí tem um lado também do ser humano,

05:39que você sempre pontuou aqui no nosso quadro CyberAlerta,

05:42a pessoa que muitas vezes acaba sendo o ponto vulnerável

05:46e a porta de entrada para um ataque desses.

05:49O que é que cada um precisa rever

05:51nas suas práticas de segurança digital

05:54para também não virar alvo?

05:57Turse, não existe bala de prata.

05:59A gente sempre diz que um sistema não é unbreakable,

06:03do inglês inquebrável.

06:05Mas a gente tem algumas dicas.

06:06Por exemplo, utilizar plataformas de mensagens cifradas.

06:10Perdão, gostaria de uma arte,

06:12exatamente para discorrer sobre alguns itens

06:14para que todos possam entender.

06:17De novo, como não existe bala de prata,

06:19a gente vai tentar trazer coisas mais fáceis

06:21de serem implementadas

06:23e te dar uma camada de proteção maior.

06:26Então, utilizar plataformas de mensagem cifrada.

06:28O que é isso?

06:29A gente escreve uma mensagem.

06:31Muitas vezes, quando estamos dentro de uma corporação,

06:34são mensagens confidenciais, sensíveis.

06:37O ciframento é o embaralhamento dessa mensagem

06:40de uma forma que se alguém interceptar a tua carta,

06:43que é uma carta digital, a mensagem,

06:46e abrir, não vai conseguir identificar o conteúdo.

06:48Não vai ter um monte de letras embaralhadas.

06:51Apenas a pessoa que a recebe

06:52tem uma chave de desembaralhamento.

06:55Ou seja, de criptografia.

06:58Evitar o uso de VPNs.

07:00Não digo as VPNs de trabalho.

07:02Claro que dentro de uma empresa, muitas vezes,

07:04nós temos, até por segurança, que usar VPNs.

07:07O problema é quando a gente usa VPNs

07:09de fabricantes que nós não conhecemos,

07:12ao redor do mundo,

07:13pagamos algumas dezenas de dólares ou de reais,

07:16acreditando que aquilo está nos deixando mais seguro.

07:18Mas, na verdade, podemos estar entregando

07:20metadados muito sensíveis

07:22e o nosso tráfego para alguma empresa

07:25ou até para algum país que nós não sabemos

07:27o que pretende com eles.

07:30Revisar permissões de aplicativos,

07:32removendo acessos desnecessários.

07:34Imagina que você tem um joguinho,

07:36você joga para se distrair todo dia,

07:38e ele tem uma permissão de te localizar,

07:40de te fotografar.

07:42Concorda que, muitas vezes, isso é desnecessário?

07:44Isso é um alerta.

07:45Tem algo muito estranho nesse aplicativo.

07:47Ele não deveria ter essas permissões.

07:49Adotar autenticação do tipo FIDO,

07:52que dispensa senhas

07:53e usa pesquisa armazenados no dispositivo.

07:57O que isso significa?

07:58Se você for vítima de um vazamento de dados

08:01e um vazamento da tua senha,

08:03uma pessoa, ou seja, um atacante

08:05que não tenha uma pecinha de hardware,

08:07ele não vai conseguir acessar os sistemas.

08:09Então, a senha, a gente diz que é algo que você sabe.

08:12E esse tipo de autenticação é algo que você tem.

08:15Então, se o atacante souber

08:16o que você sabe que é a senha e não tiver o que você tem

08:19que está no seu bolso,

08:21ele não vai conseguir se autenticar no sistema.

08:24E, por fim, tomar conta com contas da Microsoft, Apple e Google.

08:28Pois, muitas vezes, elas funcionam como porta de entrada.

08:31As pessoas podem estar se perguntando,

08:32mas como?

08:33A gente cria contas, por exemplo, nas redes sociais.

08:35O que a gente usa?

08:36Um e-mail do Google, da Microsoft, muitas vezes.

08:39Esses e-mails e essas contas,

08:41esses trens gigantes,

08:42muitas vezes é a porta de entrada.

08:44Se a gente não coloca uma senha e camadas de segurança robustas

08:48nessas contas,

08:49uma vez que elas sejam comprometidas,

08:52tudo linkado a elas, como as redes sociais,

08:55contas de banco,

08:57podem ser comprometidas como efeito colateral.

09:01O Brasil, esse novo patamar de ameaças,

09:04ele, por um lado, representa uma oportunidade de mercado,

09:08mas também, por outro lado,

09:09um risco de que soluções tradicionais

09:12fiquem obsoletas rapidamente.

09:13Que tipo de tecnologia o mercado deve priorizar?

09:19Nós, hoje, precisamos priorizar

09:20ferramentas de Twitter Intel,

09:22ou seja, de inteligência de ameaças.

09:24São ferramentas que captam informações

09:26da rede de computadores,

09:28seja da Surface ou da Dark Web,

09:30e te posicionam melhor

09:31no que os atacantes estão planejando,

09:34das novas ameaças que estão despontando no horizonte.

09:36Também, uma gestão ágil e efetiva

09:39de correção, de vulnerabilidade

09:41e de atualização do sistema.

09:44Quanto antes a gente detecte e corrija a vulnerabilidade,

09:47mais resiliente e robusto nós vamos ficar.

09:50A gente precisa também de soluções de identidade forte.

09:53O que isso quer dizer?

09:54Que simplesmente um e-mail,

09:55um usuário e senha não são mais suficientes

09:57para garantir que quem está logando no sistema

10:00é, de fato, o João Brásio.

10:01A gente precisa de hardware

10:02e outras camadas de segurança

10:05para impedir que os atacantes tenham esses acessos.

10:08Nós também precisamos de soluções

10:10de proteção para dispositivos móveis.

10:12Muitas vezes, todos os servidores

10:14e sistemas da empresa estão altamente seguros,

10:17mas a ameaça entra no nosso bolso.

10:20É o celular que a gente usa no trabalho,

10:22mas também usa em casa,

10:23que é um ambiente, na maior parte das vezes,

10:26mais vulnerável.

10:27E, por fim, ferramentas de inteligência artificial.

10:30Temos que usar as ferramentas

10:32que estão despontando

10:33e que usam essa tecnologia

10:35que é vital daqui em diante

10:37para coibir os cybercrimes.

10:41Brasil, esse tipo de ataque

10:44também tem uma série de impactos

10:45para a reputação, para a credibilidade,

10:47para o compliance,

10:48para o valor de mercado da empresa.

10:51Primeiro que um ataque desse

10:52vai gerar perda de reputação e confiança.

10:55Imagina você como cliente, Tursi,

10:57vendo um banco vazar estratos bancários.

10:59Muitas vezes, simplesmente no dia seguinte,

11:02a gente vai mover os nossos fundos

11:03para uma instituição concorrente.

11:05Então, a perda de reputação e confiança

11:07é impangível, difícil de se mensurar

11:09e difícil de entender por quanto tempo

11:12aquilo vai ser um problema para a empresa.

11:14Também risco de problema regulatório.

11:17Nós temos a lei no Brasil, a LGPD,

11:20que é a Lei Geral de Proteção de Dados,

11:21que pode multar uma empresa

11:22em até 50 milhões de reais

11:24por incidente cibernético.

11:26Então, a cada incidente,

11:28imagina uma empresa grande

11:29tomando uma multa de 50 milhões,

11:3150 milhões,

11:32isso não é desejável por ninguém.

11:35Impacto no valor de mercado.

11:36Se você tem multas regulatórias,

11:39perda de reputação e confiança

11:40dos seus clientes,

11:42o que vai acontecer com as ações

11:43de empresas listadas?

11:45Uma perda de valor de mercado.

11:47E, por fim, o ataque,

11:49na maior parte das vezes,

11:50gera exposição de dados sensíveis.

11:52E, muitas vezes, também atrelado a isso,

11:55a extorsão do atacante.

11:57O atacante, ele vaza os seus dados,

11:59que sabe que são sensíveis,

12:01e ele te extorque.

12:02Ele pede, me pague 10 milhões,

12:0420 milhões de reais,

12:06ou vou vazar isso.

12:07Então, esses ataques são imensuráveis.

12:11João Brazio, especialista em segurança digital,

12:15nosso comentarista aqui no Radar.

12:17Obrigado, Brazio, pela sua análise aqui.

12:19Uma boa tarde para você.

12:21É um prazer.

12:21Uma boa tarde a todos.

12:22Obrigado, Brazio.

12:23Obrigado, Brazio.

12:24Obrigado, Brazio.

12:25Obrigado, Brazio.

12:26Obrigado, Brazio.

12:27Obrigado, Brazio.

12:28Obrigado, Brazio.

12:29Obrigado, Brazio.

12:30Obrigado, Brazio.

12:31Obrigado, Brazio.

12:32Obrigado, Brazio.

12:33Obrigado, Brazio.

12:34Obrigado, Brazio.

12:35Obrigado, Brazio.

12:36Obrigado, Brazio.

12:37Obrigado, Brazio.

12:38Obrigado, Brazio.

12:39Obrigado, Brazio.

12:40Obrigado, Brazio.

12:41Obrigado, Brazio.

Categoria

Transcrição

Seja a primeira pessoa a comentar

Recomendado