Só este ano o Facebook já testou mais de mil milhões de palavras-passe que estão à venda no submundo da internet e notificou dezenas de milhões de pessoas cujas senhas de acesso estavam acessíveis a quem estivesse disposto a pagar por elas. As declarações são do diretor de segurança do Facebook, Alex Stamos, que esteve esta manhã no Web Summit para partilhar como é que um gigante como a rede social defende-se contra os perigos do mundo online.
“O negócio do Facebook é fazer o mundo mais aberto e conectado. Quando as pessoas estão conectadas acontecem coisas maravilhosas. (…) Se vamos conectar o mundo, é nossa responsabilidade conectar o mundo de forma segura”, começou por dizer o CTO.
“Podemos construir software perfeitamente seguro e as pessoas ainda assim conseguem ser afetadas”, explicou Alex Stamos que depois usou como metáfora a indústria automóvel. Ou seja, os veículos têm de ser à prova de tudo, mesmo de má utilização e de situações pouco comuns. “É o que estamos a tentar fazer com o software no Facebook”.
Alex Stamos constatou um facto muito simples, mas que não deixa de ser desafiador. Os sistemas de autenticação que têm por base palavras-passe foram concebidos em 1970 e não foram definitivamente pensados para os perfis de utilização dos dias atuais.
“Como resultado, a reutilização de passwords é o problema de segurança número um na internet”. Motivo pelo qual o Facebook utiliza os dados que são ‘despejados’ no mercado negro para manter os utilizadores seguros.
A tecnológica diz que acede aos dados através de parceiros. Com as passwords roubadas o Facebook faz uma comparação com aquelas que existem na rede social. Alex Stamos explicou que esta é uma tarefa complicada pois a rede social tem as passwords dos utilizadores protegidas com cifras e esta comparação tem de ser feita respeitando este aspeto técnico.
O valor de mil milhões de passwords anunciado por Alex Stamos não surpreende. Este ano têm sido revelados dados de ataques de grande perfil: LinkedIn, Yahoo e Dropbox.
Existem outros dois aspetos interessantes na política de segurança do Facebook que merecem um destaque. Quando está a aceder ao Facebook, a tecnológica analisa 80 indicadores diferentes relacionados com a utilização daquele momento. Estes dados são processados por uma rede de inteligência artificial que tenta perceber se a pessoa é quem diz ser. Caso exista algum aspeto pouco confiável, o sistema vai defender-se com questões que só o verdadeiro utilizador conseguiria responder.
O segundo elemento é o facto de o Facebook ter um código cifrado próprio associado a todas as suas aplicações. O objetivo com esta aposta é garantir que as aplicações não ficam dependentes da segurança dos sistemas operativos, algo que é um problema sobretudo no Android devido à grande fragmentação do software e às fracas taxas de atualização.
No final da sua apresentação, o CTO do Facebook partilhou aquela que é a sua visão para a segurança do século XXI: uma plataforma conjunta, gratuita, onde as empresas partilham dados de ameaças informáticas, sejam simples campanhas de spam ou alguns dos mais sofisticados ataques informáticos do mundo.
Havendo partilha de conhecimento, pode haver uma resposta conjunta e muito mais rápida.
