25/09/2019 - Pior do que senha: o que ocorre se um hacker roubar sua impressão digital?

Estamos muito acostumados a ouvir falar de proteção de senhas e logins na internet, mas há algo que devemos nos preocupar ainda mais: a segurança da biometria de nossos dados, como impressão digital ou reconhecimento facial. Atualmente, usamos isso em nossos celulares, acesso a prédios, em caixas eletrônicos de bancos... Mas o que aconteceria se criminosos colocassem as mãos nesses nossos dados? Especialistas ouvidos por Tilt alertaram que ataques em recursos do tipo por hackers têm potenciais muito mais devastadores do que roubos de senha - e, inclusive, isso tem ocorrido. Por isso até que sistemas de banco, por exemplo, dão mais trabalho (e erros) para usuários. O problema principal é que senhas podem ser mudadas, mas a sua impressão digital ou o seu reconhecimento facial são eternos. "Em vazamentos de senhas, é simples: você troca a senha e não reutiliza. Mas isso não ocorre em dados biométricos. Como você muda suas impressões digitais, a cor do seu olho ou seus traços faciais?", afirma ao Tilt Fábio Assolini, analista da empresa de segurança Kaspersky. Já rolaram casos Recentemente, um caso no Reino Unido ficou notório: uma brecha gigante no sistema de biometria da empresa Biostar 2, usado por bancos, polícia, empresas e afins, expôs impressões digitais, reconhecimentos faciais e outras informações pessoais de mais de um milhão de pessoas em uma base pública. Um caso assim tem um potencial enorme para hackers e coloca em grande risco os usuários. O problema do caso não era nem a base exposta, mas sim o fato dela não estar criptografada. Qualquer um poderia pegar os dados de usuários, baixá-los e usá-los maliciosamente. O sistema ainda permitia que hackers criassem novos perfis na plataforma, liberando o acesso de pessoas aos locais restritos. "Qualquer um que acessasse os dados poderia ler o conteúdo. Além dos dados biométricos, os pesquisadores que detectaram a falha acharam ainda fotos de pessoas, nomes, endereços, senhas e até histórico de trabalho", aponta à reportagem Michal Salat, diretor de inteligência de ameaças da Avast. Segundo Assolini, a Kaspersky ainda identificou na Rússia um caixa eletrônico infectado por um malware que tinha, entre suas funções, buscar impressões digitais cadastradas e enviar para um servidor do criminoso. Eles só não tiveram sucesso porque as imagens eram grandes e a equipe de segurança descobriu antes que o envio fosse completo. O que hackers podem fazer? O grande diferencial de roubar um dado biométrico é a longevidade desse recurso: teoricamente, pode ser usado para sempre a partir do momento em que está nas mãos de um hacker. Existem instrumentos que podem ser usados por hackers para criar uma cópia física de uma digital, voz ou rosto para acesso físico a prédios, segundo Salat. Um deles é descrito por Assolini e não dá um trabalho tão grande para criminosos desbloquearem tecnologias mais frágeis: é o famoso dedo de silicone. "Imagine uma foto tirada do seu dedo ou uma cópia da impressão. Pode baixar essa foto, jogar no Photoshop para inverter cores. Usando uma impressora, imprime em alta resolução e, com o mesmo processo do carimbo, consegue transferir essa foto impressa em um papel especial para uma base de elemento plástico, como silicone. Com isso, ele tem um dedo falso", explica Assolini. Como na segurança biométrica nenhum sistema está 100% seguro, vazamentos desses dados abrem um precedente grave para usuários que cada vez mais se apoiam nessas "chaves" mais práticas. Todos os sistemas para celulares, por exemplo, já foram burlados de alguma forma. Como é a segurança do sistema Ao entregarmos nosso dado biométrico, confiamos que o "outro lado" está fazendo um bom trabalho em protegê-lo —ou seja, criptografando os dados e afins. Mas nem sempre é assim, como no caso da falha de segurança do Reino Unido. Empresas brasileiras ouvidas por Tilt alegam tratar os dados de brasileiros com prevenção a ataques do tipo. Executivo-chefe e fundador da startup FullFace, Danny Kabiljo afirmou que é impossível fazer uma engenharia reversa nos dados armazenados pela companhia, que tem parcerias com bancos, empresas aéreas e entidades educacionais. "É comum hoje no mercado que a empresa pegue uma imagem e faça só comparação, armazenando imagens. A gente transforma imagem em dados. Não tem como pegar os dados e transformar nas fotos. Se a FullFace quiser fazer engenharia reversa dos dados, o máximo que conseguirá reconstruir será seu crânio", aponta. Os dados também devem ser sempre mantidos criptografados, ainda mais em um momento com a proliferação de sistemas na nuvens reduzindo custos de empresas que não precisam ter grandes servidores próprios. Ismael Akiyama, diretor-presidente da Akiyama e fundador da Natosafe, aponta que muitas empresas deixam a criptografia de lado para manter o sistema rápido. "Como são informações confrontadas o tempo todo, quando você criptografa torna o processo mais complexo e demorado. Esse é um gargalo que algumas empresas se descuidam, deixando até propositalmente as informações em aberto. Cada um dentro do seu negócio tem que achar o ponto de equilíbrio", cita. Por que o banco dá mais erro que o celular Nesse ponto, é bom frisar que há sistemas e sistemas de segurança biométrica. Os desenvolvedores de soluções podem torná-los mais ou menos permissivos para a usabilidade dos usuários. É por isso, por exemplo, que é mais difícil acertar a sua digital no caixa do banco do que no celular - quanto menos permissivo você deixa o sistema, mais difícil será para o usuário acessá-lo. "Cada sistema de biometria pode ser configurado mais permissivo ou menos permissivo. Você pode configurar um sistema biométrico para ser exato, ou seja, na hora de pôr o dedo todas as linhas têm que ser lidas. Se não ocorrer a leitura, o acesso é negado, é um sistema menos permissivo. Isso vai acarretar em dificuldades para o usuário, como ocorre no banco", cita Assolini. Sistemas mais permissivos, como celular, podem possuir mais brechas, apesar de, na maioria das vezes, as marcas criptografarem bem os dados. Por exemplo, celulares da Samsung com reconhecimento facial podiam ser desbloqueados com uma foto --a própria marca avisava que o recurso era permissivo. Novas tecnologias de biometria têm chegado ao mercado para evitar que digitais obtidas ilegalmente sejam usadas por hackers. "O dedo de silicone não funciona, por exemplo, para sensores modernos que também detectam o campo elétrico que temos em nosso corpo ou a temperatura corporal, para evitar fraudes". Diz Alexandre de Moraes, engenheiro de segurança e gerente de vendas na América Latina da BlackBerry Cylance. Entre os novos recursos ainda estão detecções de correntes sanguíneas, análise de imagem para saber se a pessoa do outro lado tem sinais de vida, uso de espectros de luz e detecção de temperatura corporal, entre outros. Como você pode se proteger Infelizmente, neste ponto não há muita coisa que o usuário possa fazer para se defender. Os especialistas ouvidos por Tilt pedem que haja "bom senso" com sistemas de biometria —não usar automaticamente a opção só porque está disponível e é mais fácil. "Usuários precisam ser cautelosos em relação a para quem está fornecendo seus dados biométricos e não adicionarem essas informações cegamente. Esses dados não podem ser mudados. Em casos como o do Reino Unido, o problema estava com a empresa e aí não há muito o que o usuário fazer", aponta Salat. Há ainda discordâncias entre qual sistema seria mais seguro --uns citam o reconhecimento de íris, outros a impressão digital, e alguns o facial. Vale lembrar que os dados biométricos estão inseridos na nova lei de proteção de dados e podem render punições pesadas a empresas que não cuidarem direito dessas informações.