Portuguese, Brazilian subtitles

← O que você precisa saber sobre "stalkerware"

Get Embed Code
28 Languages

Showing Revision 32 created 04/09/2020 by Maricene Crus.

  1. Quero que façam
    uma viagem no tempo comigo,
  2. para o "antes do tempo", para 2017.
  3. Não sei se conseguem lembrar,
    dinossauros vagavam pela Terra.
  4. Eu era pesquisadora de segurança,
  5. tinha passado cerca de cinco ou seis anos
  6. pesquisando as formas em que APTs,
  7. que é abreviação para ameaças
    persistentes avançadas,
  8. ou seja, hackers de estados-nação
  9. espiam jornalistas e ativistas,
  10. advogados e cientistas
  11. e, geralmente, pessoas que dizem
    a verdade a quem detém poder.
  12. E estava fazendo isso há algum tempo

  13. quando descobri que um
    dos meus colegas pesquisadores,
  14. com quem trabalhei esse tempo todo,
  15. era supostamente um estuprador em série.
  16. Então a primeira coisa que fiz
  17. foi ler um punhado de artigos sobre isso.
  18. E em janeiro de 2018,
  19. li um artigo com algumas
    das supostas vítimas dele.
  20. E algo que realmente chamou
    a minha atenção nesse artigo
  21. foi como elas estavam assustadas.
  22. Estavam realmente aterrorizadas
  23. e haviam tapado a câmera do celular
    e laptop delas com fita,
  24. estavam preocupadas com o fato
    de que ele era um hacker
  25. que iria invadir informações pessoais
    e arruinar a vida delas.
  26. E isso manteve as vítimas
    em silêncio por muito tempo.
  27. Então, fiquei furiosa.

  28. E não queria que ninguém
    se sentisse assim de novo.
  29. Então fiz o que geralmente faço
    quando estou com raiva.
  30. Eu postei um tuíte.
  31. (Risos)

  32. E postei que se você era mulher
    e tinha sido abusada por um hacker,

  33. e ele ameaçou invadir seus dispositivos,
  34. você podia me contatar
  35. e eu tentaria me certificar
  36. que seu dispositivo teria uma espécie
    de análise forense completa.
  37. E aí fui almoçar.
  38. (Risos)

  39. Dez mil retweets depois,

  40. (Risos)

  41. eu havia acidentalmente
    começado um projeto.

  42. Então toda manhã, acordava
    e minha caixa de e-mail estava cheia

  43. de histórias de homens e mulheres
  44. me contando a pior coisa
    que já havia acontecido com eles.
  45. Fui contatada por mulheres
    que estavam sendo espionadas por homens,
  46. por homens que estavam
    sendo espionados por homens,
  47. por mulheres que estavam sendo
    espionadas por mulheres,
  48. mas muitos dos que me contavam
  49. eram mulheres que tinham sido
    abusadas sexualmente por homens
  50. que agora as estavam espionando.
  51. Um caso particularmente interessante
  52. envolvia um homem que veio até mim,
  53. porque o namorado dele
    revelou que ele era gay
  54. para a família coreana
    ultraconservadora dele.
  55. Então essa não é só uma questão
    de homens-espionando-mulheres.
  56. E estou aqui para compartilhar

  57. o que descobri com essa experiência.
  58. Descobri que dados vazam.
  59. É como água,
  60. entra em lugares que você não quer.
  61. Humanos vazam.
  62. Seus amigos e sua família revelam
    informações sobre você.
  63. Você vai a uma festa,
  64. alguém te marca mostrando que esteve lá.
  65. E essa é uma das maneiras
  66. com a qual agressores
    obtêm informações suas
  67. que você não quer que eles tenham.
  68. Não é incomum para os agressores
    irem atrás de amigos e familiares
  69. e pedir informações sobre suas vítimas
  70. sob o pretexto de estarem preocupados
    com a "saúde mental" delas.
  71. Uma forma de vazamento que vi

  72. é o que chamamos de conta comprometida.
  73. Sua conta do Gmail, do Twitter,
  74. ou do Instagram,
  75. seu iCloud,
  76. seu ID da Apple,
  77. seu Netflix, seu Tiktok...
  78. Tive que descobrir o que era TikTok.
  79. Se tinha um login,
  80. eu vi que ele foi comprometido.
  81. E isso porque o agressor
    não é sempre seu agressor.

  82. É comum que pessoas em relacionamentos
    compartilhem suas senhas.
  83. Além disso, pessoas que têm intimidade
    e sabem muito umas sobre as outras,
  84. podem adivinhar as respostas
    às perguntas de segurança.
  85. Ou podem olhar discretamente
  86. para ver qual código estão usando
    para desbloquear seus telefones.
  87. Elas costumam ter acesso físico
    ao celular ou ao laptop,
  88. e isso lhes dá muitas oportunidades
  89. para invadir as contas das pessoas,
  90. o que é muito perigoso.
  91. A boa notícia é que temos orientação

  92. para as pessoas bloquearem suas contas.
  93. A orientação já existe,
    e se resume a isso:
  94. use senhas fortes e únicas
    para todas as suas contas.
  95. Use senhas mais únicas e fortes
  96. como respostas
    para suas perguntas de segurança,
  97. para que alguém que saiba o nome
    do seu animalzinho de infância
  98. não consiga redefinir sua senha.
  99. E, por fim, acione o maior nível
    de autenticação de dois fatores
  100. que você se sinta confortável em usar.
  101. Assim, mesmo que um agressor
    consiga roubar a sua senha,
  102. como eles não têm
    a autenticação de dois fatores,
  103. não conseguirão acessar a sua conta.
  104. A outra coisa que deveriam fazer

  105. é checar as abas de segurança
    e privacidade da maioria das suas contas.
  106. A maioria delas tem uma aba
    de segurança e privacidade
  107. que diz quais dispositivos estão logados
    e de onde estão sendo logados.
  108. Por exemplo, estou eu aqui,
  109. logando no Facebook daqui de La Quinta,
  110. onde estamos tendo esse encontro,
  111. e se por exemplo,
  112. eu verificasse o login do meu Facebook
    e visse alguém logando de Dubai,
  113. eu acharia isso suspeito,
  114. porque já faz algum tempo
    que não vou para Dubai.
  115. Mas às vezes, é na verdade um RAT,

  116. ou seja, uma ferramenta de acesso remoto.
  117. que é o que queremos dizer
    quando falamos de "stalkerware".
  118. Do mesmo modo que ter
    acesso total ao seu dispositivo
  119. é incrivelmente tentador para os governos
  120. também é muito tentador
    para parceiros abusivos
  121. e ex-parceiros terem esse acesso.
  122. Carregamos um dispositivo de rastreamento
    no nosso bolso o dia inteiro,

  123. um dispositivo que contém nossas senhas,
  124. nossas comunicações,
  125. incluindo nossas comunicações
    de criptografia de ponta-a-ponta,
  126. nossos e-mails, nossos contatos.
  127. Todas as nossas selfies
    estão todas em um só dispositivo.
  128. Geralmente nossas informações
    financeiras também estão no celular.
  129. E por isso, acesso total
    ao telefone de uma pessoa
  130. é a próxima etapa para ter acesso total
    à mente de uma pessoa.
  131. E o stalkerware permite esse acesso.

  132. Então, podem perguntar: "Como funciona?"
  133. O stalkerware é um programa
    disponível no mercado,
  134. que um agressor pode adquirir,
  135. instala no dispositivo
    que ele quer espionar,
  136. geralmente porque ele tem acesso físico
  137. ou consegue enganar suas vítimas
    fazendo com que elas mesmas o instale,
  138. dizendo: "Esse é um programa importante,
    você deveria instalar em seu dispositivo".
  139. E aí ele paga a empresa de stalkerware
  140. para ter acesso a um portal,
  141. que dá a ele todas as informações
    daquele dispositivo.
  142. E geralmente paga-se
    cerca de US$ 40 ao mês.
  143. Então esse tipo de espionagem
    é incrivelmente barato.
  144. Será que essas empresas sabem

  145. que suas ferramentas
  146. estão sendo usadas
    como ferramentas de abuso?
  147. Com certeza.
  148. Se observarmos o texto
    de marketing do Cocospy,
  149. que é um desses produtos,
  150. diz lá no site
  151. que o Cocospy lhe permite
    espionar a sua esposa com facilidade;
  152. você não precisa se preocupar
    aonde ela vai,
  153. com quem ela fala
    ou quais sites ela visita.
  154. Isso é assustador.
  155. HelloSpy, que é outro produto similar,

  156. tinha uma página de marketing
    que em grande parte de seu texto
  157. falava sobre a prevalência da traição
  158. e o quanto é importante pegar
    o seu parceiro na traição,
  159. incluindo essa bela foto de um homem
  160. que nitidamente acabou de pegar
    sua parceira lhe traindo,
  161. e bateu nela.
  162. Ela tem um hematoma no olho,
    e sangue no rosto.
  163. E não acho que fica muita dúvida
  164. de quem a HelloSpy está tomando partido
    nesse caso em especial,
  165. e para quem estão tentando
    vender seu produto.
  166. Acontece que se você tiver stalkerware
    no seu computador ou no seu telefone,

  167. pode ser muito difícil saber
    se ele está instalado ou não.
  168. E isso porque as empresas de antivírus
  169. muitas vezes não reconhecem
    stalkerware como malicioso,
  170. como um cavalo de Troia, por exemplo,
  171. ou qualquer outro programa malicioso
    que normalmente encontramos
  172. e recebemos um alerta.
  173. Esses são alguns resultados
    do VirusTotal do início desse ano.
  174. De uma amostra que examinei,
    tive um resultado aproximado de 7 de 60
  175. das plataformas de stalkerware
    reconhecidas que estava testando.
  176. E aqui é outra, na qual consegui dez.
  177. Dez de 61.
  178. Então, é ainda um resultado muito ruim.
  179. Consegui convencer algumas
    empresas de antivírus

  180. a começar a identificar
    stalkerware como malicioso.
  181. Tudo o que terão que fazer se estiverem
    preocupados em ter um no seu computador
  182. é baixar o programa,
  183. executar uma análise e ele dirá:
  184. "Existe um programa potencialmente
    indesejado em seu dispositivo".
  185. Ele dará a opção de removê-lo,
    mas não automaticamente.
  186. E isso por conta da forma
    como o abuso funciona.
  187. Normalmente,
  188. vítimas de abuso não têm certeza
    se querem ou não denunciar seu agressor
  189. cortando o acesso dele ou dela.
  190. Ou ficam preocupadas que seu agressor
    vá partir para a violência
  191. ou, talvez, uma violência ainda maior
  192. do que já vem praticando.
  193. Kaspersky foi uma das primeiras empresas

  194. que falaram que começariam
    a levar isso a sério.
  195. E em novembro de 2019,
  196. eles emitiram um relatório no qual falam
  197. que desde que começaram a rastrear
    stalkerware entre seus usuários
  198. viram um aumento de 35%.
  199. A Lookout também fez uma declaração
  200. dizendo que iriam levar isso
    muito mais a sério.
  201. E, por fim, uma empresa chamada
    Malwarebytes também fez tal declaração
  202. e disse que encontraram 2,5 mil programas
  203. no período que estavam procurando
  204. que poderiam ser classificados
    como stalkerware.
  205. Finalmente,

  206. em novembro, ajudei a lançar uma coligação
    chamada Coligação contra Stalkerware,
  207. constituída de acadêmicos,
  208. pessoas que estão fazendo
    esse tipo de trabalho no campo,
  209. os especialistas ajudando pessoas
  210. a escaparem de violência
    por parceiro íntimo,
  211. e as empresas de antivírus.
  212. E nosso objetivo é tanto educar pessoas
    sobre esses programas,
  213. como convencer empresas de antivírus
  214. a mudar a norma
  215. de como elas agem em relação
    a esse software muito assustador.
  216. Assim, logo, se eu falar com vocês
    sobre isso no ano que vem,
  217. poderei dizer que o problema
    já foi resolvido,
  218. e tudo o que precisam fazer
    é baixar qualquer antivírus
  219. e será considerado normal
    que ele detecte stalkerware.
  220. Essa é a minha esperança.
  221. Muito obrigada.

  222. (Aplausos)