Quero que façam
uma viagem no tempo comigo,
para o "antes do tempo", para 2017.
Não sei se conseguem lembrar,
dinossauros vagavam pela Terra.
Eu era pesquisadora de segurança,
tinha passado cerca de cinco ou seis anos
pesquisando as formas em que APTs,
que é abreviação para ameaças
persistentes avançadas,
ou seja, hackers de estados-nação
espiam jornalistas e ativistas,
advogados e cientistas
e, geralmente, pessoas que dizem
a verdade a quem detém poder.
E estava fazendo isso há algum tempo
quando descobri que um
dos meus colegas pesquisadores,
com quem trabalhei esse tempo todo,
era supostamente um estuprador em série.
Então a primeira coisa que fiz
foi ler um punhado de artigos sobre isso.
E em janeiro de 2018,
li um artigo com algumas
das supostas vítimas dele.
E algo que realmente chamou
a minha atenção nesse artigo
foi como elas estavam assustadas.
Estavam realmente aterrorizadas
e haviam tapado a câmera do celular
e laptop delas com fita,
estavam preocupadas com o fato
de que ele era um hacker
que iria invadir informações pessoais
e arruinar a vida delas.
E isso manteve as vítimas
em silêncio por muito tempo.
Então, fiquei furiosa.
E não queria que ninguém
se sentisse assim de novo.
Então fiz o que geralmente faço
quando estou com raiva.
Eu postei um tuíte.
(Risos)
E postei que se você era mulher
e tinha sido abusada por um hacker,
e ele ameaçou invadir seus dispositivos,
você podia me contatar
e eu tentaria me certificar
que seu dispositivo teria uma espécie
de análise forense completa.
E aí fui almoçar.
(Risos)
Dez mil retweets depois,
(Risos)
eu havia acidentalmente
começado um projeto.
Então toda manhã, acordava
e minha caixa de e-mail estava cheia
de histórias de homens e mulheres
me contando a pior coisa
que já havia acontecido com eles.
Fui contatada por mulheres
que estavam sendo espionadas por homens,
por homens que estavam
sendo espionados por homens,
por mulheres que estavam sendo
espionadas por mulheres,
mas muitos dos que me contavam
eram mulheres que tinham sido
abusadas sexualmente por homens
que agora as estavam espionando.
Um caso particularmente interessante
envolvia um homem que veio até mim,
porque o namorado dele
revelou que ele era gay
para a família coreana
ultraconservadora dele.
Então essa não é só uma questão
de homens-espionando-mulheres.
E estou aqui para compartilhar
o que descobri com essa experiência.
Descobri que dados vazam.
É como água,
entra em lugares que você não quer.
Humanos vazam.
Seus amigos e sua família revelam
informações sobre você.
Você vai a uma festa,
alguém te marca mostrando que esteve lá.
E essa é uma das maneiras
com a qual agressores
obtêm informações suas
que você não quer que eles tenham.
Não é incomum para os agressores
irem atrás de amigos e familiares
e pedir informações sobre suas vítimas
sob o pretexto de estarem preocupados
com a "saúde mental" delas.
Uma forma de vazamento que vi
é o que chamamos de conta comprometida.
Sua conta do Gmail, do Twitter,
ou do Instagram,
seu iCloud,
seu ID da Apple,
seu Netflix, seu Tiktok...
Tive que descobrir o que era TikTok.
Se tinha um login,
eu vi que ele foi comprometido.
E isso porque o agressor
não é sempre seu agressor.
É comum que pessoas em relacionamentos
compartilhem suas senhas.
Além disso, pessoas que têm intimidade
e sabem muito umas sobre as outras,
podem adivinhar as respostas
às perguntas de segurança.
Ou podem olhar discretamente
para ver qual código estão usando
para desbloquear seus telefones.
Elas costumam ter acesso físico
ao celular ou ao laptop,
e isso lhes dá muitas oportunidades
para invadir as contas das pessoas,
o que é muito perigoso.
A boa notícia é que temos orientação
para as pessoas bloquearem suas contas.
A orientação já existe,
e se resume a isso:
use senhas fortes e únicas
para todas as suas contas.
Use senhas mais únicas e fortes
como respostas
para suas perguntas de segurança,
para que alguém que saiba o nome
do seu animalzinho de infância
não consiga redefinir sua senha.
E, por fim, acione o maior nível
de autenticação de dois fatores
que você se sinta confortável em usar.
Assim, mesmo que um agressor
consiga roubar a sua senha,
como eles não têm
a autenticação de dois fatores,
não conseguirão acessar a sua conta.
A outra coisa que deveriam fazer
é checar as abas de segurança
e privacidade da maioria das suas contas.
A maioria delas tem uma aba
de segurança e privacidade
que diz quais dispositivos estão logados
e de onde estão sendo logados.
Por exemplo, estou eu aqui,
logando no Facebook daqui de La Quinta,
onde estamos tendo esse encontro,
e se por exemplo,
eu verificasse o login do meu Facebook
e visse alguém logando de Dubai,
eu acharia isso suspeito,
porque já faz algum tempo
que não vou para Dubai.
Mas às vezes, é na verdade um RAT,
ou seja, uma ferramenta de acesso remoto.
que é o que queremos dizer
quando falamos de "stalkerware".
Do mesmo modo que ter
acesso total ao seu dispositivo
é incrivelmente tentador para os governos
também é muito tentador
para parceiros abusivos
e ex-parceiros terem esse acesso.
Carregamos um dispositivo de rastreamento
no nosso bolso o dia inteiro,
um dispositivo que contém nossas senhas,
nossas comunicações,
incluindo nossas comunicações
de criptografia de ponta-a-ponta,
nossos e-mails, nossos contatos.
Todas as nossas selfies
estão todas em um só dispositivo.
Geralmente nossas informações
financeiras também estão no celular.
E por isso, acesso total
ao telefone de uma pessoa
é a próxima etapa para ter acesso total
à mente de uma pessoa.
E o stalkerware permite esse acesso.
Então, podem perguntar: "Como funciona?"
O stalkerware é um programa
disponível no mercado,
que um agressor pode adquirir,
instala no dispositivo
que ele quer espionar,
geralmente porque ele tem acesso físico
ou consegue enganar suas vítimas
fazendo com que elas mesmas o instale,
dizendo: "Esse é um programa importante,
você deveria instalar em seu dispositivo".
E aí ele paga a empresa de stalkerware
para ter acesso a um portal,
que dá a ele todas as informações
daquele dispositivo.
E geralmente paga-se
cerca de US$ 40 ao mês.
Então esse tipo de espionagem
é incrivelmente barato.
Será que essas empresas sabem
que suas ferramentas
estão sendo usadas
como ferramentas de abuso?
Com certeza.
Se observarmos o texto
de marketing do Cocospy,
que é um desses produtos,
diz lá no site
que o Cocospy lhe permite
espionar a sua esposa com facilidade;
você não precisa se preocupar
aonde ela vai,
com quem ela fala
ou quais sites ela visita.
Isso é assustador.
HelloSpy, que é outro produto similar,
tinha uma página de marketing
que em grande parte de seu texto
falava sobre a prevalência da traição
e o quanto é importante pegar
o seu parceiro na traição,
incluindo essa bela foto de um homem
que nitidamente acabou de pegar
sua parceira lhe traindo,
e bateu nela.
Ela tem um hematoma no olho,
e sangue no rosto.
E não acho que fica muita dúvida
de quem a HelloSpy está tomando partido
nesse caso em especial,
e para quem estão tentando
vender seu produto.
Acontece que se você tiver stalkerware
no seu computador ou no seu telefone,
pode ser muito difícil saber
se ele está instalado ou não.
E isso porque as empresas de antivírus
muitas vezes não reconhecem
stalkerware como malicioso,
como um cavalo de Troia, por exemplo,
ou qualquer outro programa malicioso
que normalmente encontramos
e recebemos um alerta.
Esses são alguns resultados
do VirusTotal do início desse ano.
De uma amostra que examinei,
tive um resultado aproximado de 7 de 60
das plataformas de stalkerware
reconhecidas que estava testando.
E aqui é outra, na qual consegui dez.
Dez de 61.
Então, é ainda um resultado muito ruim.
Consegui convencer algumas
empresas de antivírus
a começar a identificar
stalkerware como malicioso.
Tudo o que terão que fazer se estiverem
preocupados em ter um no seu computador
é baixar o programa,
executar uma análise e ele dirá:
"Existe um programa potencialmente
indesejado em seu dispositivo".
Ele dará a opção de removê-lo,
mas não automaticamente.
E isso por conta da forma
como o abuso funciona.
Normalmente,
vítimas de abuso não têm certeza
se querem ou não denunciar seu agressor
cortando o acesso dele ou dela.
Ou ficam preocupadas que seu agressor
vá partir para a violência
ou, talvez, uma violência ainda maior
do que já vem praticando.
Kaspersky foi uma das primeiras empresas
que falaram que começariam
a levar isso a sério.
E em novembro de 2019,
eles emitiram um relatório no qual falam
que desde que começaram a rastrear
stalkerware entre seus usuários
viram um aumento de 35%.
A Lookout também fez uma declaração
dizendo que iriam levar isso
muito mais a sério.
E, por fim, uma empresa chamada
Malwarebytes também fez tal declaração
e disse que encontraram 2,5 mil programas
no período que estavam procurando
que poderiam ser classificados
como stalkerware.
Finalmente,
em novembro, ajudei a lançar uma coligação
chamada Coligação contra Stalkerware,
constituída de acadêmicos,
pessoas que estão fazendo
esse tipo de trabalho no campo,
os especialistas ajudando pessoas
a escaparem de violência
por parceiro íntimo,
e as empresas de antivírus.
E nosso objetivo é tanto educar pessoas
sobre esses programas,
como convencer empresas de antivírus
a mudar a norma
de como elas agem em relação
a esse software muito assustador.
Assim, logo, se eu falar com vocês
sobre isso no ano que vem,
poderei dizer que o problema
já foi resolvido,
e tudo o que precisam fazer
é baixar qualquer antivírus
e será considerado normal
que ele detecte stalkerware.
Essa é a minha esperança.
Muito obrigada.
(Aplausos)