O usuário é mesmo o elo mais fraco em segurança?

Kevin Townsend, 15 de Março de 2021 13h50min57s CET
Kevin Townsend, 15 de Março de 2021 13h50min57s CET

Ao examinar um vazamento de dados na cadeia de suprimento, quase sempre é possível apontar práticas de segurança inadequadas dos usuários. Saiba como evitar esse tipo de erro o quanto antes.

A maioria das pessoas acredita que o usuário é o elo mais fraco na cadeia de suprimento do setor de segurança. Essa ideia foi tão difundida, que se tornou um paradigma. Sua justificativa se baseia em alguns fatores: a inerente imprevisibilidade humana, o conhecimento de que brechas de segurança podem ser descobertas e corrigidas em qualquer aplicativo ou código, além da diferença entre erro de “máquina” e erro humano. Erros humanos são coisas naturalmente aleatórias. Uma falta de atenção ou julgamento equivocado podem surgir a qualquer momento, geralmente sem nenhum aviso.

Nunca questionamos a ideia de o usuário ser o elo mais fraco, mas seria justo estigmatizá-lo e considerá-lo o inimigo número um nessa questão? É preciso avaliar se essa ideia realmente faz sentido.

Falhas de usuários em segurança

Geralmente o comprometimento de dados de um usuário é resultado direto de uma falha ou procedimento inadequado feito por ele mesmo. Se é quase certo que um cibercriminoso determinado a atacar uma certa pessoa terá sucesso em sua empreitada, pois provavelmente ele conseguirá superar todas as medidas de segurança que encontrar na sua frente, do outro, vale ressaltar que a maioria de nós nunca será um alvo direto tão específico assim. A manutenção de medidas básicas e conscientização em segurança bastam para nos proteger contra quase todos os perigos espalhados pela internet. Ainda assim, o comprometimento de contas e roubo de credenciais são causados por falhas dos usuários.

Senhas frágeis

A implementação de senhas fortes e únicas continua sendo uma das práticas mais difíceis de serem adotadas pelos usuários. Nossas senhas são a porta de entrada para as nossas contas online e, provavelmente, para nossos dados mais sigilosos. De pouco adianta que um site tenha um altíssimo nível de segurança contra invasões se os usuários deixarem que suas senhas sejam descobertas ou roubadas, dando livre acesso aos cibercriminosos a qualquer dado armazenado naquela plataforma. Mas muitos usuários contam com senhas fracas, mesmo conhecendo os riscos e sabendo como melhorar suas senhas.

Em 2019, a SplashData estimou que cerca de 10% dos usuários contavam com pelo menos uma das 25 senhas mais fracas daquele ano. Isoladamente isso pode não ser um grande problema. Nem todas as nossas contas online armazenam dados pessoais super sigilosos, e algumas violações podem não oferecer muito valor aos bandidos. Mas isso vale somente para os usuários com senhas diferentes em cada conta online, já que os cibercriminosos não poderiam usar as mesmas credenciais para invadir outras contas com informações mais sigilosas. Dez por cento pode não parecer muito, mas isso é apenas a ponta do iceberg.

Também em 2019, a Microsoft revelou que 44 milhões de usuários de várias contas de serviços oferecidos pela empresa utilizavam senhas vulneráveis presentes em uma lista de credenciais já vazadas que circulava na dark web*. Uma pesquisa da LastPass feita um ano antes revelava a prática comum de reúso de senhas, com quase 60% dos usuários utilizando as mesmas credenciais em diferentes sites, mesmo que 90% dos participantes do estudo entendessem os riscos dessa prática. A mesma pesquisa revelou que mais de 50% dos usuários passaram mais de um ano sem atualizar suas senhas.

O uso de senhas antigas, vazadas ou fracas diante do fato de que tantas pessoas entendem os riscos de segurança provocados pela negligência nessa área é uma acusação contundente aos usuários. Além disso, nunca foi tão fácil manter senhas boas e seguras com aplicativos gratuitos que podem gerar e gerenciar senhas seguras e complexas em diferentes contas, eliminando problemas de reutilização de senha, memorização e códigos fracos em um mesmo pacote. Há também o Avast Hack Check, que pode identificar rapidamente se um usuário está usando uma senha vazada que deveria ser alterada para manter as contas seguras.

Ingenuidade

Usuários também são constantemente enganados pelo ataque mais simples e evitável que existe: o phishing*. Há muitas informações que explicam o que é um golpe phishing e como evitá-lo, incluindo esta postagem na Academia da Avast e este artigo A anatomia de um phish, no Blog da Avast. Mesmo que a taxa de sucesso de ataques phishing continue caindo ano após ano, ainda há usuários que caem nesses golpes, o que faz com que eles continuem vantajosos. Para se ter uma ideia, esses ataques representam 22% de todas as violações de dados ocorridas em 2019.

Segundo o Relatório de Investigações de Violações de Dados da Verizon de 2020, 96% dos ataques phishing são feitos via e-mail, enquanto credenciais de acesso, dados pessoais identificáveis (PII), dados empresariais internos, informações médicas e credenciais financeiras são os tipos de dados mais desejadas. Também vemos muita interação entre phishing e malware. 

Negligência e malware

Os usuários também permitem que os malwares sejam um problema maior do que deveriam ser. Campanhas phishing empregam técnicas de manipulação emocional e psicológica, portanto, cair em um golpe pode ser explicado como um lapso humano. Em 2017, um estudo descobriu que metade dos usuários do Windows tinham algum tipo de vírus instalado no computador. A situação é ainda pior entre usuários de smartphones, com apenas 39% deles tendo um aplicativo antivírus instalado no dispositivo.

Mesmo com a melhoria da segurança integrada dos dispositivos, as pessoas continuam a se arriscar ao não atualizar os softwares. O Relatório de tendências em PC da Avast (2019)* revela que mesmo o Windows 10, que tem atualizações automáticas integradas, está desatualizado em 8% dos usuários. As estatísticas pioram com programas mais específicos: 15% dos usuários do Microsoft Office 2007 e 2010 têm versões vulneráveis do software instalado. No que se refere a softwares em geral, 55% de todos os programas não são corrigidos, enquanto o Adobe Shockwave, o VLC Media layer, o Skype, o Java Runtime, o 7-Zip e o Foxit Read estão desatualizados em 90% dos usuários.

Como a segurança deixa usuários na mão

É claro que os usuários poderiam fazer muito mais para se protegerem, mas será que isso faz deles o elo mais fraco em segurança? É fácil dizer que os usuários não são vigilantes o bastante e pronto. Mas o fato é que, sem um exame cuidadoso dos motivos que fazem que fiquem tão vulneráveis, não é possível ter um retrato exato da situação.

Segurança desde o início

A segurança desde o início, ou security by design, é um princípio que ganha popularidade entre reguladores e analistas da indústria tecnológica. Isso se refere ao conceito de que a segurança deveria estar no coração dos processos de desenvolvimento e produção de qualquer novo projeto ou serviço, ao invés de um desenvolvimento focado em funcionalidades vendáveis, deixando a segurança para ser adicionada mais tarde. O artigo 25 do Regulamento Geral sobre Proteção de Dados* (GDPR) da União Europeia (UE) exige a implementação de algo parecido com isso, com seus princípios de proteção de dados desde a concepção e como padrão em um projeto. Ele estipula que qualquer controlador de dados deve implementar medidas de proteção em sua estrutura organizacional e processos de desenvolvimento, além de armazenar e processar somente os dados necessários para acessar essas operações específicas.

No entanto, a segurança desde o início tem visto uma taxa de adoção muito baixa na maioria dos setores. Por natureza, as empresas estão vulneráveis a pressões comerciais. Isso significa que elas são sempre incentivadas a lançar um produto no mercado o mais rápido possível. Práticas rigorosas de segurança naturalmente ficam para trás, deixando softwares e produtos com falhas e vulnerabilidades que podem ser exploradas. Isso fica ainda mais evidente quando o assunto é a Internet das Coisas (IoT), que se tornou um dos setores mais inseguros do mercado de tecnologia. Uma pesquisa recente revela que 83% dos dispositivos IoT se comunicam sem criptografia SSL, ficando vulneráveis a pacotes farejadores e ataques man-in-the-middle, entre muitos outros riscos. Felizmente os usuários podem contar com soluções como o Avast Smart Home* para proteger seus dispositivos IoT, mas não dá para culpar os usuários pela falta de segurança integrada em tantos produtos.

A pressão contínua enfraquece qualquer cadeia

A tendência dos fornecedores em priorizar interesses comerciais no lugar da segurança tem um efeito indireto no comportamento dos usuários. Para funcionarem, golpes phishing dependem totalmente de erros dos usuários. Geralmente, esses erros acontecem quando os usuários reagem emocionalmente ao invés de serem racionais e críticos. Campanhas de marketing, publicidade e promoções estariam encrencadas se os usuários não fossem vulneráveis às suas emoções. Basta considerar o conceito de clickbait e como as fontes de notícias legítimas precisam criar manchetes super atraentes para gerar engajamento entre seus visitantes. Um golpe phishing bem produzido pode se passar por uma campanha de marketing legítima de um novo produto ou serviço. Na verdade, marketeiros passaram a incorporar aspectos de golpes phishing em suas técnicas de trabalho.

Em um contexto mais profissional, até mesmo um ambiente de trabalho pode exercer uma pressão leve, mas constante, fazendo com que seus funcionários se tornem elos fracos de segurança. Em um artigo sobre autenticação*, examinamos o conceito de “fricção do usuário”, uma forma de descrever quanto esforço é preciso fazer para alguém ficar seguro. Especialmente no local de trabalho, mais segurança quase sempre significa maior fricção de usuário, o que leva as pessoas a não cumprirem as medidas de segurança implementadas. Até mesmo a decisão de fazer isso depende de cada usuário. Toda organização deve esperar que pelo menos parte dos funcionários irá comprometer sua segurança como resposta à fricção do usuário. Um estudo de 2017 mostra que 95% das empresas sofreram com isso de alguma forma.

Um mundo confuso

Isso está longe de ser uma exclusividade dos ambientes empresariais. Mesmo as pessoas com bom conhecimento de segurança e risco podem se sentir sobrecarregadas com os diferentes tipos de práticas e produtos disponíveis para apoiar nessa missão. Se todos tivessem que colocar em prática medidas de segurança perfeitas o tempo todo, seria preciso utilizar soluções de firewall e antimalware diferentes em cada dispositivo, conectar a internet por um serviço VPN confiável, contar com um gerenciador de senhas para gerar códigos únicos e seguros para cada conta online, além de ativar uma autenticação de dois fatores (algumas vezes com um dispositivo MFA) dedicada para cada serviço. Em muitos casos, a única alternativa razoável para deixar algumas dessas etapas de fora é usar um pacote de segurança consolidado, como o antivírus da Avast, que pode proteger uma rede inteira de dispositivos e conta com opções integradas para o gerenciamento de rede, além de uma VPN.

Falhas de segurança fundamentais

A autenticação de usuário no mundo da tecnologia atual conta com uma falha profunda: uma senha, mesmo com uma autenticação multifator (MFA) ativada, não prova a identidade do usuário. Tudo o que se prova com os métodos utilizados no momento da autenticação é que a pessoa conectada tem acesso à senha do usuário e algum dispositivo MFA relevante. Qualquer um de posse dessas coisas tem acesso à conta do usuário e a todas as informações armazenadas nela, sem checagens ou obstáculos.

Já contamos com a tecnologia para substituir as senhas, mas novos sistemas e produtos continuam a implementar senhas para autenticação, e com frequência, credenciais relativamente fracas são permitidas. Na maioria dos casos, a MFA não é obrigatória e a complexidade exigida nas senhas é frouxa. Isso deixa nossas contas com uma falta de segurança integrada, colocando a responsabilidade nos usuários para que protejam brechas de segurança inerentes aos sistemas. Além disso, processos de autenticação nunca oferecem nenhum incentivo ou exigência para que os usuários compensem essa fraqueza.

Todos esses problemas poderiam ser solucionados se a indústria de segurança atualizasse sua abordagem. Já existem tecnologias para biometria e biometria comportamental. Elas já foram implementadas com bons resultados fora da esfera do consumidor. Seria necessária alguma adaptação na implementação desses serviços, mas o fato é que a incorporação desses dois conceitos em um novo padrão de autenticação seria possível hoje mesmo. Exigir uma forma simples de biometria, como impressão digital ou reconhecimento facial, e usar biometria comportamental no processo interno ofereceria uma prova muito mais contundente da autenticidade de um usuário do que as senhas, com mais checagens e medidas de proteção do que as formas atuais de autenticação. Isso também acabaria com o ônus de o usuário de ter que compensar falhas de segurança inerentes aos sistemas.

Antimalware

Já falamos que muitos usuários não estão suficientemente protegidos contra malwares e não utilizam um antivírus, mesmo conhecendo os riscos disso. O que não falamos até agora é sobre o porquê dessas soluções antimalware serem necessárias em primeiro lugar. Malwares exploram falhas. Elas podem estar em um sistema operacional, em softwares ou no desenvolvimento do hardware de algum dispositivo. Então, será que podemos dizer que o usuário é o culpado pela falta de prevenção contra malwares, já que uma infecção pode ser reduzida com a eliminação de falhas e vulnerabilidade nos produtos e processos que utilizamos?

Desenvolvedores de software não contam com um órgão institucional ou autorregulação. Além disso, conformidades de segurança parecem estar totalmente focadas no ambiente do usuário final, ao invés de processos de desenvolvimento. Enquanto a regulação na área de segurança vai aumentando, com medidas como o GDPR e a Lei de Privacidade do Consumidor da Califórnia (CCPA), essas medidas estão mais focadas nas informações pessoais e proteção de dados em terminais. 

Essa falta de regulação na fase inicial do projeto e no desenvolvimento de novos produtos significa que essas iniciativas contam com falhas que podem ser exploradas por cibercriminosos agora ou no futuro.

O desdobramento atual da polêmica em volta dos produtos da Huawei nos EUA e no Reino Unido é um exemplo disso. Os EUA estão preocupados com a possibilidade de a Huawei criar back doors em seus produtos para serem utilizados por grupos de hackers apoiados pelo governo. Investigações conduzidas pelo Reino Unido não confirmam isso, mas as autoridades da região encontraram diversas práticas inseguras no ciclo de desenvolvimento da Huawei, deixando potencialmente inúmeras falhas em seus aparelhos que podem ser exploradas.

Conclusão

Erros cometidos por usuários são claramente os catalisadores da maioria das brechas. Ao examinar em que ponto da cadeia de suprimentos uma invasão aconteceu, podemos, quase sempre, identificar práticas de segurança indesejadas por parte do usuário, seja por cometer um erro crasso, ser vítima de um golpe ou alguma forma de ataque de engenharia social. Através dessas lentes, parece óbvio que os usuários são o elo mais fraco na cadeia de suprimentos e o principal problema em segurança. Mas ao olhar para toda a cadeia de suprimento, percebemos que as circunstâncias que provocam o erro do usuário poderiam ser prevenidas muito antes.

Os golpes phishing* talvez sejam exceção. Como eles exploram as fraquezas humanas, a única forma eficaz de defesa é a educação e a conscientização dos usuários*. Somente com a disponibilização dessa educação a todos é que isso seria possível. Até mesmo empresas com treinamento obrigatório de segurança relatam casos de usuários se arriscando de formas que sabem que não deveriam. Algo em torno de 60% a 74% dos funcionários dizem desrespeitar de alguma maneira a política de segurança de suas companhias. Basta um lapso pessoal, e não somente falta de inteligência ou conscientização, para cair em um golpe phishing.

Erros dos usuários nunca serão completamente eliminados da segurança. Estamos falando de humanos, e como humanos, todos nós cometemos erros e continuaremos a cometer. Mas a indústria poderia fazer muito mais para prevenir esses erros. Os usuários têm a permissão - e são encorajados - de serem o elo mais fraco em uma cadeia de segurança. Não deve ser nossa primeira preocupação distribuirmos corretamente a culpa entre a indústria e os usuários. Isso não ajuda a resolver os problemas de segurança que enfrentamos. Para avançarmos nessa questão, é preciso minimizar as oportunidades para que um erro humano cause prejuízo. Além disso, deve-se trabalhar com as necessidades dos usuários em adotar bom hábitos de segurança para que isso não seja apenas uma exceção.


A Avast é líder global em segurança cibernética, protegendo centenas de milhões de usuários em todo o mundo. Saiba mais sobre os produtos que protegem sua vida digital em nosso site e receba todas as últimas notícias sobre como vencer as ameaças virtuais através do nosso Blog, no Facebook ou no Twitter.

* Original em inglês.