O trabalho de quatro pesquisadores brasileiros sobre vazamento de senhas foi publicado na edição Summer 2017 do periódico científico Journal of Payments Strategy & Systems. O artigo se chama “The leakage of passwords from home banking sites: A threat to global cyber security?” e seus autores são Rodrigo Ruiz (CTI Renato Archer), Rogério Winter (Exército Brasileiro), Kil Jin Brandini Park (Universidade Federal de Uberlândia) e Fernando Amatte (da empresa CIPHER). Nesta entrevista, Rodrigo Ruiz explica como foi feito o trabalho:PB – O que levou a equipe a fazer essa pesquisa?
Rodrigo Ruiz – Usuário: maria, senha: 1234, é assim que grandes bancos, comércio eletrônico e gerenciadores de e-mail em todo mundo estão gravando as suas credenciais de acesso, da mesma forma que você escreve o seu nome em um fomulário, isto é, em texto claro para qualquer um poder ler. Para chegar a essas conclusões foi um longo caminho iniciado em 2010 e que teve o seu primeiro artigo publicado em 2012 sob o título Tornando Pública a Navegação “In Private”. Nosso objetivo à época era validar ou não se os fabricantes de browsers cumpriam a promessa de privacidade nesse tipo de navegação, também conhecida como navegação “incógnito”. O resultado apresentado no artigo mostra a fragilidade das alegações da indústria pois conseguiu expor todos os dados de navegação do usuário, incluindo e-mails, páginas e imagens após a utilização de diversos navegadores.
Após esse primeiro resultado positivo, a pesquisa evoluiu respondendo outros questionamentos da comunidade de segurança. Para tanto, os artigos Opening the ” Private Browsing ” Data – Acquiring Evidence of Browsing Activities, de 2014, e Overconfidence: Personal Behaviors Regarding Privacy that Allows the Leakage of Information in Private Browsing Mode, de 2015, ampliaram o número de navegadores incluindo o aclamado Tor Browser, sistemas operacionais como o Win10, Linux e Apple, além de testes em máquinas físicas para descartar qualquer alegação contrária às máquinas virtuais. Em todos os casos, o resgate da navegação foi executado com êxito.
PB – Como era a definição (ao menos inicial) de escopo do estudo?
Rodrigo Ruiz – Consolidada a questão da falta de privacidade, o próximo passo da pesquisa naturalmente se voltou para o gerenciamento de credenciais. Ponto crítico de qualquer sistema analógico como onde e como você guarda as chaves da sua casa e do seu carro, o manejo das credenciais de acesso, começando pelos sistemas de criptografia que resultaram em três artigos: Security Issue on Cloned TrueCrypt Containers and Backup Headers, de 2014; Corrosive secrecy and confidence: the paradox among bypassing cryptographic software, loss of privacy and information security, de 2016; e Lazarus: Data Leakage with PGP and Resurrection of the Revoked User, de 2016. Há um ponto em que você, como pesquisador, segue as evidências que se apresentam. Você sabe onde começa, baseado em suas primeiras observações e teorias, mas são as evidências que ditam o caminho.
PB – Entendi que as credenciais foram localizadas nos discos. Caso os pesquisadores não as conhecessem, mesmo assim seria possível localizá-las? Por que?
Rodrigo Ruiz – Em todas as vertentes de nossa pesquisa, inclusive no último artigo (The leakage of passwords from home banking sites: A threat to global cyber security?), os dados foram encontrados no disco e em texto completamente claro. Tente imaginar a tela do seu site de e-mail, você digita o seu e-mail e em seguida sua senha, onde aparece para você um monte de ******. Infelizmente, para o usuário, o texto literal da sua senha está sendo armazenado em disco, permitindo que qualquer invasor não tenha dificuldade alguma em ter acesso à sua credencial para acesso a vários serviços como e-mail, e-commerce e home banking. Conseguimos isso criando um catálogo de possui as coordenadas para as credencias de cada sitio, fizemos isso analisando manualmente vários sitios, buscando por padrões de expressões para depois aplicar em sítios desconhecidos.
PB – É possível indicar outras pesquisas que irão complementar as descobertas agora publicadas?
Rodrigo Ruiz – Nossa pesquisa é sustentada por extensa literatura disponível nas referências dos artigos. Todavia, os resultados alcançados são originais e colaboraram para a correção de sítios como o da Caixa Econômica Federal.
