De que forma a Google mantém os seus dados seguros

Pietraszek, juntamente com a sua equipa, é responsável pela segurança das contas de utilizador. Como impede os hackers de obterem acesso?

Tadek Pietraszek, Principal Software Engineer para a segurança das contas de utilizador: Primeiro, é importante conseguirmos detetar o ataque inicial. Usamos mais de um centena de variáveis para identificar atividade suspeita. Imagine que vive na Alemanha, muito raramente viaja para o estrangeiro e alguém tenta aceder à sua conta a partir de outro país. Esta situação faz disparar os alarmes.

Stephan Micklitz, Director of Engineering na equipa de segurança e privacidade da Google: É por este motivo que, por vezes, pedimos ao utilizador que confirme o número de telefone que forneceu ou outras informações que apenas o titular da conta saberia.

Para Tadek Pietraszek (à esquerda), o phishing é uma das maiores ameaças à segurança online.

Com que frequência ocorrem este tipo de ataques?

Pietraszek: todos os dias, são lançados centenas de milhares de ciberataques. O nosso maior problema é que a Internet contém inúmeras listas de nomes de utilizadores e palavras-passe roubados de Websites pirateados. Como inúmeros dos nossos utilizadores usam a mesma palavra-passe em contas diferentes, estas listas incluem também os dados de início de sessão nas Contas Google.

Estas listas representam a maior ameaça à segurança?

Pietraszek: Sim, sem dúvida. Isso e os ataques de phishing clássicos. Quase todas as pessoas receberam emails de criminosos a tentar obter as palavras-passe das contas. Naturalmente, fazemos a nossa parte para garantir que estas ações não são bem-sucedidas. Se considerarmos que um email destinado à caixa de entrada do Gmail parece suspeito, podemos marcá-lo com um aviso para analisá-lo melhor ou podemos filtrá-lo automaticamente. O nosso navegador Chrome também envia alertas quando tenta visitar um site que sabemos ser um Website de phishing.

Micklitz: Existem dois tipos básicos de phishing. Os emails em massa, que os criminosos usam para recolher o máximo de dados de início de sessão possível, e o que é conhecido como “phishing de spear”, em que atacam a conta de uma pessoa específica. Podem ser operações muito sofisticadas que duram vários meses, período em que o criminoso examina detalhadamente a vida da vítima e lança um ataque bastante direcionado.

"Se considerarmos que um email destinado à sua caixa de entrada do Gmail parece suspeito, podemos marcá-lo com um aviso."

Tadek Pietraszek

Como é que a Google ajuda os utilizadores a evitar que estes ataques tenham êxito?

Pietraszek: Um exemplo é o nosso sistema de validação em dois passos. Muitos utilizadores conhecem este tipo de sistema por causa das contas bancárias online. Se quiser transferir dinheiro, por exemplo, pode ter de introduzir a palavra-passe e um código enviado por mensagem de texto. A Google introduziu a autenticação de dois fatores em 2009, mais cedo que a maioria dos principais fornecedores de email. Além disso, os utilizadores da Google que registaram o número de telemóvel automaticamente beneficiam de um nível semelhante de proteção contra tentativas de início de sessão suspeitas.

Micklitz: A autenticação de dois fatores é um bom método, mas mesmo os códigos enviados por mensagem de texto podem ser intercetados. Por exemplo, os criminosos podem contactar o seu fornecedor de serviços móveis e tentar que lhes seja enviado um segundo cartão SIM. A autenticação com um token de segurança físico, como um transmissor Bluetooth ou uma pen USB, é ainda mais segura.

Pietraszek: Usamos este recurso como parte do nosso Programa de Proteção avançada.

O que é isso?

Pietraszek: O Programa de Proteção avançada foi introduzido pela Google em 2017 e destina-se às pessoas em maior risco de serem pirateadas, como jornalistas, CEOs, dissidentes políticos e políticos.

Micklitz: Além da nossa chave de segurança física, também limitamos o acesso aos dados a partir de apps de terceiros, incorporando passos adicionais em que os utilizadores têm de validar a sua identidade caso percam a chave.

O Director of Engineering Stephan Micklitz é responsável pela privacidade e segurança globais na Google. Estudou ciência da computação na Universidade Técnica de Munique e trabalha nos escritórios da Google, em Munique, desde o final de 2007.

Pode falar-nos de um grande ciberataque e como reagiu?

Pietraszek: Um destes ataques ocorreu no início de 2017. Os hackers criaram um programa malicioso para obter acesso às Contas Google das vítimas e enviar emails falsos para os contactos dos utilizadores. Nestes emails, era pedido aos destinatários para concederem acesso a um documento Google falso. Quem o fez, concedeu involuntariamente acesso ao software malicioso e enviou automaticamente os mesmos emails falsos para os próprios contactos. O vírus espalhou-se rapidamente. Temos planos de contingência para situações como estas.

Micklitz: Neste caso em particular, por exemplo, bloqueámos a distribuição destes emails no Gmail, revogámos o acesso concedido ao programa e protegemos as contas. Como é óbvio, também adicionámos salvaguardas sistemáticas para dificultar ataques semelhantes no futuro. As Contas Google estão constantemente sob ataque e os nossos sistemas automáticos oferecem a proteção mais eficaz. Isto depende, obviamente, de conseguirmos contactar os nossos utilizadores por outros meios sem ser através da Conta Google, ou seja, um segundo endereço de email ou um número de telemóvel.

"Na verdade, seguir algumas regras básicas é, normalmente, suficiente."

Stephan Micklitz

Quão importante é a segurança para o utilizador médio?

Pietraszek: Inúmeras pessoas consideram-na muito importante, mas seguir as precauções de segurança necessárias pode ser aborrecido. Isto explica, por exemplo, por que motivo as pessoas usam frequentemente a mesma palavra-passe para várias contas, o que é o pior erro que se pode cometer. O nosso trabalho é explicar aos utilizadores como podem proteger as contas com o mínimo esforço. É por isso que disponibilizamos a função Verificação de segurança na Conta Google, que permite aos utilizadores verificar facilmente as definições.

Micklitz: Na verdade, seguir algumas regras básicas é, normalmente, suficiente.

E quais são essas regras?

Micklitz: Não usar a mesma palavra-passe para vários serviços, instalar atualizações de segurança e evitar software suspeito. Fornecer um número de telefone ou um endereço de email alternativo para contacto por outros meios. E ativar o bloqueio de ecrã do telemóvel para dificultar o acesso por pessoas não autorizadas. Estes passos, por si só, são um bom começo.

.

Fotos: Conny Mirbach