Return to Video

O que você precisa saber sobre "stalkerware"

  • 0:01 - 0:06
    Quero que façam
    uma viagem no tempo comigo,
  • 0:06 - 0:09
    para o "antes do tempo", para 2017.
  • 0:09 - 0:13
    Não sei se conseguem lembrar,
    dinossauros vagavam pela Terra.
  • 0:13 - 0:15
    Eu era pesquisadora de segurança,
  • 0:15 - 0:17
    tinha passado cerca de cinco ou seis anos
  • 0:17 - 0:20
    pesquisando as formas em que APTs,
  • 0:20 - 0:25
    que é abreviação para ameaças
    persistentes avançadas,
  • 0:25 - 0:29
    ou seja, hackers de estados-nação
  • 0:29 - 0:33
    espiam jornalistas e ativistas,
  • 0:33 - 0:35
    advogados e cientistas
  • 0:35 - 0:39
    e, geralmente, pessoas que dizem
    a verdade a quem detém poder.
  • 0:39 - 0:41
    E estava fazendo isso há algum tempo
  • 0:41 - 0:45
    quando descobri que um
    dos meus colegas pesquisadores,
  • 0:45 - 0:48
    com quem trabalhei esse tempo todo,
  • 0:48 - 0:53
    era supostamente um estuprador em série.
  • 0:55 - 0:57
    Então a primeira coisa que fiz
  • 0:57 - 1:00
    foi ler um punhado de artigos sobre isso.
  • 1:00 - 1:03
    E em janeiro de 2018,
  • 1:03 - 1:08
    li um artigo com algumas
    das supostas vítimas dele.
  • 1:08 - 1:12
    E algo que realmente chamou
    a minha atenção nesse artigo
  • 1:12 - 1:14
    foi como elas estavam assustadas.
  • 1:14 - 1:16
    Estavam realmente aterrorizadas
  • 1:16 - 1:22
    e haviam tapado a câmera do celular
    e laptop delas com fita,
  • 1:22 - 1:25
    estavam preocupadas com o fato
    de que ele era um hacker
  • 1:25 - 1:29
    que iria invadir informações pessoais
    e arruinar a vida delas.
  • 1:29 - 1:32
    E isso manteve as vítimas
    em silêncio por muito tempo.
  • 1:34 - 1:36
    Então, fiquei furiosa.
  • 1:37 - 1:41
    E não queria que ninguém
    se sentisse assim de novo.
  • 1:41 - 1:44
    Então fiz o que geralmente faço
    quando estou com raiva.
  • 1:44 - 1:45
    Eu postei um tuíte.
  • 1:45 - 1:47
    (Risos)
  • 1:47 - 1:53
    E postei que se você era mulher
    e tinha sido abusada por um hacker,
  • 1:53 - 1:56
    e ele ameaçou invadir seus dispositivos,
  • 1:56 - 1:58
    você podia me contatar
  • 1:58 - 2:00
    e eu tentaria me certificar
  • 2:00 - 2:05
    que seu dispositivo teria uma espécie
    de análise forense completa.
  • 2:05 - 2:07
    E aí fui almoçar.
  • 2:07 - 2:09
    (Risos)
  • 2:10 - 2:12
    Dez mil retweets depois,
  • 2:12 - 2:13
    (Risos)
  • 2:13 - 2:17
    eu havia acidentalmente
    começado um projeto.
  • 2:18 - 2:23
    Então toda manhã, acordava
    e minha caixa de e-mail estava cheia
  • 2:23 - 2:28
    de histórias de homens e mulheres
  • 2:28 - 2:32
    me contando a pior coisa
    que já havia acontecido com eles.
  • 2:33 - 2:38
    Fui contatada por mulheres
    que estavam sendo espionadas por homens,
  • 2:38 - 2:40
    por homens que estavam
    sendo espionados por homens,
  • 2:40 - 2:43
    por mulheres que estavam sendo
    espionadas por mulheres,
  • 2:43 - 2:45
    mas muitos dos que me contavam
  • 2:45 - 2:49
    eram mulheres que tinham sido
    abusadas sexualmente por homens
  • 2:49 - 2:51
    que agora as estavam espionando.
  • 2:51 - 2:53
    Um caso particularmente interessante
  • 2:53 - 2:55
    envolvia um homem que veio até mim,
  • 2:55 - 3:00
    porque o namorado dele
    revelou que ele era gay
  • 3:00 - 3:04
    para a família coreana
    ultraconservadora dele.
  • 3:04 - 3:09
    Então essa não é só uma questão
    de homens-espionando-mulheres.
  • 3:10 - 3:13
    E estou aqui para compartilhar
  • 3:13 - 3:16
    o que descobri com essa experiência.
  • 3:17 - 3:20
    Descobri que dados vazam.
  • 3:20 - 3:22
    É como água,
  • 3:22 - 3:24
    entra em lugares que você não quer.
  • 3:24 - 3:25
    Humanos vazam.
  • 3:25 - 3:30
    Seus amigos e sua família revelam
    informações sobre você.
  • 3:30 - 3:32
    Você vai a uma festa,
  • 3:32 - 3:34
    alguém te marca mostrando que esteve lá.
  • 3:34 - 3:36
    E essa é uma das maneiras
  • 3:36 - 3:38
    com a qual agressores
    obtêm informações suas
  • 3:38 - 3:41
    que você não quer que eles tenham.
  • 3:41 - 3:46
    Não é incomum para os agressores
    irem atrás de amigos e familiares
  • 3:46 - 3:49
    e pedir informações sobre suas vítimas
  • 3:49 - 3:52
    sob o pretexto de estarem preocupados
    com a "saúde mental" delas.
  • 3:53 - 3:56
    Uma forma de vazamento que vi
  • 3:56 - 4:00
    é o que chamamos de conta comprometida.
  • 4:01 - 4:06
    Sua conta do Gmail, do Twitter,
  • 4:06 - 4:08
    ou do Instagram,
  • 4:08 - 4:10
    seu iCloud,
  • 4:10 - 4:12
    seu ID da Apple,
  • 4:12 - 4:13
    seu Netflix, seu Tiktok...
  • 4:13 - 4:15
    Tive que descobrir o que era TikTok.
  • 4:16 - 4:18
    Se tinha um login,
  • 4:18 - 4:21
    eu vi que ele foi comprometido.
  • 4:21 - 4:26
    E isso porque o agressor
    não é sempre seu agressor.
  • 4:26 - 4:30
    É comum que pessoas em relacionamentos
    compartilhem suas senhas.
  • 4:30 - 4:34
    Além disso, pessoas que têm intimidade
    e sabem muito umas sobre as outras,
  • 4:34 - 4:37
    podem adivinhar as respostas
    às perguntas de segurança.
  • 4:37 - 4:39
    Ou podem olhar discretamente
  • 4:39 - 4:42
    para ver qual código estão usando
    para desbloquear seus telefones.
  • 4:42 - 4:47
    Elas costumam ter acesso físico
    ao celular ou ao laptop,
  • 4:47 - 4:51
    e isso lhes dá muitas oportunidades
  • 4:51 - 4:54
    para invadir as contas das pessoas,
  • 4:54 - 4:56
    o que é muito perigoso.
  • 4:56 - 4:59
    A boa notícia é que temos orientação
  • 4:59 - 5:01
    para as pessoas bloquearem suas contas.
  • 5:01 - 5:05
    A orientação já existe,
    e se resume a isso:
  • 5:05 - 5:10
    use senhas fortes e únicas
    para todas as suas contas.
  • 5:12 - 5:15
    Use senhas mais únicas e fortes
  • 5:15 - 5:18
    como respostas
    para suas perguntas de segurança,
  • 5:18 - 5:22
    para que alguém que saiba o nome
    do seu animalzinho de infância
  • 5:22 - 5:24
    não consiga redefinir sua senha.
  • 5:25 - 5:29
    E, por fim, acione o maior nível
    de autenticação de dois fatores
  • 5:29 - 5:31
    que você se sinta confortável em usar.
  • 5:31 - 5:35
    Assim, mesmo que um agressor
    consiga roubar a sua senha,
  • 5:35 - 5:37
    como eles não têm
    a autenticação de dois fatores,
  • 5:37 - 5:40
    não conseguirão acessar a sua conta.
  • 5:40 - 5:43
    A outra coisa que deveriam fazer
  • 5:43 - 5:48
    é checar as abas de segurança
    e privacidade da maioria das suas contas.
  • 5:48 - 5:51
    A maioria delas tem uma aba
    de segurança e privacidade
  • 5:51 - 5:58
    que diz quais dispositivos estão logados
    e de onde estão sendo logados.
  • 5:58 - 6:00
    Por exemplo, estou eu aqui,
  • 6:00 - 6:02
    logando no Facebook daqui de La Quinta,
  • 6:02 - 6:03
    onde estamos tendo esse encontro,
  • 6:03 - 6:05
    e se por exemplo,
  • 6:05 - 6:10
    eu verificasse o login do meu Facebook
    e visse alguém logando de Dubai,
  • 6:10 - 6:12
    eu acharia isso suspeito,
  • 6:12 - 6:16
    porque já faz algum tempo
    que não vou para Dubai.
  • 6:16 - 6:19
    Mas às vezes, é na verdade um RAT,
  • 6:19 - 6:22
    ou seja, uma ferramenta de acesso remoto.
  • 6:24 - 6:29
    que é o que queremos dizer
    quando falamos de "stalkerware".
  • 6:30 - 6:34
    Do mesmo modo que ter
    acesso total ao seu dispositivo
  • 6:34 - 6:36
    é incrivelmente tentador para os governos
  • 6:36 - 6:42
    também é muito tentador
    para parceiros abusivos
  • 6:42 - 6:45
    e ex-parceiros terem esse acesso.
  • 6:45 - 6:49
    Carregamos um dispositivo de rastreamento
    no nosso bolso o dia inteiro,
  • 6:49 - 6:53
    um dispositivo que contém nossas senhas,
  • 6:53 - 6:55
    nossas comunicações,
  • 6:55 - 6:58
    incluindo nossas comunicações
    de criptografia de ponta-a-ponta,
  • 6:58 - 7:01
    nossos e-mails, nossos contatos.
  • 7:01 - 7:05
    Todas as nossas selfies
    estão todas em um só dispositivo.
  • 7:05 - 7:08
    Geralmente nossas informações
    financeiras também estão no celular.
  • 7:08 - 7:11
    E por isso, acesso total
    ao telefone de uma pessoa
  • 7:11 - 7:16
    é a próxima etapa para ter acesso total
    à mente de uma pessoa.
  • 7:16 - 7:22
    E o stalkerware permite esse acesso.
  • 7:22 - 7:25
    Então, podem perguntar: "Como funciona?"
  • 7:25 - 7:31
    O stalkerware é um programa
    disponível no mercado,
  • 7:31 - 7:34
    que um agressor pode adquirir,
  • 7:34 - 7:37
    instala no dispositivo
    que ele quer espionar,
  • 7:38 - 7:39
    geralmente porque ele tem acesso físico
  • 7:40 - 7:45
    ou consegue enganar suas vítimas
    fazendo com que elas mesmas o instale,
  • 7:45 - 7:50
    dizendo: "Esse é um programa importante,
    você deveria instalar em seu dispositivo".
  • 7:50 - 7:54
    E aí ele paga a empresa de stalkerware
  • 7:54 - 7:57
    para ter acesso a um portal,
  • 7:57 - 8:00
    que dá a ele todas as informações
    daquele dispositivo.
  • 8:00 - 8:04
    E geralmente paga-se
    cerca de US$ 40 ao mês.
  • 8:04 - 8:07
    Então esse tipo de espionagem
    é incrivelmente barato.
  • 8:10 - 8:11
    Será que essas empresas sabem
  • 8:12 - 8:16
    que suas ferramentas
  • 8:16 - 8:19
    estão sendo usadas
    como ferramentas de abuso?
  • 8:19 - 8:20
    Com certeza.
  • 8:20 - 8:23
    Se observarmos o texto
    de marketing do Cocospy,
  • 8:23 - 8:24
    que é um desses produtos,
  • 8:24 - 8:28
    diz lá no site
  • 8:28 - 8:31
    que o Cocospy lhe permite
    espionar a sua esposa com facilidade;
  • 8:31 - 8:34
    você não precisa se preocupar
    aonde ela vai,
  • 8:34 - 8:37
    com quem ela fala
    ou quais sites ela visita.
  • 8:37 - 8:38
    Isso é assustador.
  • 8:39 - 8:42
    HelloSpy, que é outro produto similar,
  • 8:42 - 8:47
    tinha uma página de marketing
    que em grande parte de seu texto
  • 8:47 - 8:49
    falava sobre a prevalência da traição
  • 8:49 - 8:52
    e o quanto é importante pegar
    o seu parceiro na traição,
  • 8:52 - 8:54
    incluindo essa bela foto de um homem
  • 8:54 - 8:57
    que nitidamente acabou de pegar
    sua parceira lhe traindo,
  • 8:57 - 8:58
    e bateu nela.
  • 8:58 - 9:01
    Ela tem um hematoma no olho,
    e sangue no rosto.
  • 9:01 - 9:05
    E não acho que fica muita dúvida
  • 9:05 - 9:10
    de quem a HelloSpy está tomando partido
    nesse caso em especial,
  • 9:10 - 9:12
    e para quem estão tentando
    vender seu produto.
  • 9:15 - 9:21
    Acontece que se você tiver stalkerware
    no seu computador ou no seu telefone,
  • 9:21 - 9:25
    pode ser muito difícil saber
    se ele está instalado ou não.
  • 9:25 - 9:29
    E isso porque as empresas de antivírus
  • 9:29 - 9:35
    muitas vezes não reconhecem
    stalkerware como malicioso,
  • 9:35 - 9:38
    como um cavalo de Troia, por exemplo,
  • 9:38 - 9:41
    ou qualquer outro programa malicioso
    que normalmente encontramos
  • 9:41 - 9:42
    e recebemos um alerta.
  • 9:42 - 9:46
    Esses são alguns resultados
    do VirusTotal do início desse ano.
  • 9:46 - 9:53
    De uma amostra que examinei,
    tive um resultado aproximado de 7 de 60
  • 9:54 - 9:57
    das plataformas de stalkerware
    reconhecidas que estava testando.
  • 9:57 - 10:01
    E aqui é outra, na qual consegui dez.
  • 10:01 - 10:02
    Dez de 61.
  • 10:02 - 10:06
    Então, é ainda um resultado muito ruim.
  • 10:08 - 10:11
    Consegui convencer algumas
    empresas de antivírus
  • 10:11 - 10:14
    a começar a identificar
    stalkerware como malicioso.
  • 10:14 - 10:19
    Tudo o que terão que fazer se estiverem
    preocupados em ter um no seu computador
  • 10:19 - 10:22
    é baixar o programa,
  • 10:22 - 10:24
    executar uma análise e ele dirá:
  • 10:24 - 10:28
    "Existe um programa potencialmente
    indesejado em seu dispositivo".
  • 10:28 - 10:32
    Ele dará a opção de removê-lo,
    mas não automaticamente.
  • 10:32 - 10:36
    E isso por conta da forma
    como o abuso funciona.
  • 10:36 - 10:37
    Normalmente,
  • 10:37 - 10:41
    vítimas de abuso não têm certeza
    se querem ou não denunciar seu agressor
  • 10:41 - 10:43
    cortando o acesso dele ou dela.
  • 10:43 - 10:49
    Ou ficam preocupadas que seu agressor
    vá partir para a violência
  • 10:49 - 10:52
    ou, talvez, uma violência ainda maior
  • 10:52 - 10:54
    do que já vem praticando.
  • 10:56 - 10:58
    Kaspersky foi uma das primeiras empresas
  • 10:58 - 11:01
    que falaram que começariam
    a levar isso a sério.
  • 11:01 - 11:05
    E em novembro de 2019,
  • 11:05 - 11:07
    eles emitiram um relatório no qual falam
  • 11:07 - 11:11
    que desde que começaram a rastrear
    stalkerware entre seus usuários
  • 11:11 - 11:15
    viram um aumento de 35%.
  • 11:18 - 11:21
    A Lookout também fez uma declaração
  • 11:21 - 11:24
    dizendo que iriam levar isso
    muito mais a sério.
  • 11:24 - 11:29
    E, por fim, uma empresa chamada
    Malwarebytes também fez tal declaração
  • 11:29 - 11:33
    e disse que encontraram 2,5 mil programas
  • 11:33 - 11:35
    no período que estavam procurando
  • 11:35 - 11:38
    que poderiam ser classificados
    como stalkerware.
  • 11:39 - 11:40
    Finalmente,
  • 11:42 - 11:48
    em novembro, ajudei a lançar uma coligação
    chamada Coligação contra Stalkerware,
  • 11:48 - 11:52
    constituída de acadêmicos,
  • 11:52 - 11:55
    pessoas que estão fazendo
    esse tipo de trabalho no campo,
  • 11:55 - 11:59
    os especialistas ajudando pessoas
  • 11:59 - 12:02
    a escaparem de violência
    por parceiro íntimo,
  • 12:02 - 12:04
    e as empresas de antivírus.
  • 12:04 - 12:10
    E nosso objetivo é tanto educar pessoas
    sobre esses programas,
  • 12:10 - 12:13
    como convencer empresas de antivírus
  • 12:13 - 12:15
    a mudar a norma
  • 12:15 - 12:20
    de como elas agem em relação
    a esse software muito assustador.
  • 12:20 - 12:25
    Assim, logo, se eu falar com vocês
    sobre isso no ano que vem,
  • 12:25 - 12:28
    poderei dizer que o problema
    já foi resolvido,
  • 12:28 - 12:31
    e tudo o que precisam fazer
    é baixar qualquer antivírus
  • 12:31 - 12:35
    e será considerado normal
    que ele detecte stalkerware.
  • 12:35 - 12:37
    Essa é a minha esperança.
  • 12:37 - 12:38
    Muito obrigada.
  • 12:38 - 12:40
    (Aplausos)
Title:
O que você precisa saber sobre "stalkerware"
Speaker:
Eva Galperin
Description:

"Acesso completo ao telefone de uma pessoa é o próximo passo para o acesso completo à mente de uma pessoa", diz a perita em cybersegurança, Eva Galperin. Em uma palestra urgente, ela descreve os crescentes perigos do "stalkerware": software criado para espionar alguém ao ganhar acesso a seus dispositivos sem o conhecimento da pessoa, e recorre a empresas de antivírus para reconhecer esses programas como maliciosos a fim de desencorajar agressores e proteger vítimas.
more » « less
Video Language:
English
Team:
closed TED
Project:
TEDTalks
Duration:
12:56

Portuguese, Brazilian subtitles

Revisions

Our website uses cookies for analysis purposes.