sábado, 10 de abril de 2010

Senhas, Serra e segurança informática

Segurança informática envolve algumas precauções às vezes nada perceptíveis pela média das pessoas que usam computador ou a Internet; mas, mesmo pelas que têm alguma consciência do problema e dos riscos, as recomendações soam como aquelas corriqueiras regras de boa saúde: não fumar, exercitar-se, dormir bem, ter hábitos alimentares saudáveis, comer frutas e verduras, etc e tal. Todos as conhecem, mas nem sempre as seguem.

Serra lançou sua candidatura à Presidência da República neste último sábado e, como foi divulgado na imprensa, teria dito em seu discurso as seguintes palavras:

"Porque tudo o que eu sou aprendi em duas escolas: a escola pública e a escola da vida pública. Aliás, e isto é um perigo dizer, com freqüência uso senhas de computador baseadas no nome de minhas professoras no curso primário. E toda vez que escrevo lembro da sua fisionomia, da sua voz, do seu esforço, e até das broncas, de um puxão de orelhas, quando eu fazia alguma bagunça."

Pois é... querendo falar bem da escola pública de sua infância, o ex-governador acabou entregando um segredo muito delicado. Sem dúvida, "é um perigo dizer" isso!

Certa vez, um profissional de segurança da informação me relatou que um cliente seu, empresário, usava como senha para sistemas informáticos a placa do automóvel de um familiar - não a dos filhos ou da esposa, talvez a de algum tio ou primo mais distante (mas nem tanto). Achava isso tão seguro, que não se intimidava em dizer a uns e outros que sua senha era assim escolhida: afinal, quem iria conhecer a chapa do carro dessa pessoa, se nem sequer a pessoa saberia quem é? Tolice. Um cracker, com essa informação, não precisaria nem ver o carro. Foi-lhe entregue um padrão: três letras (possivelmente maiúsculas) seguidas de quatro números, nesta ordem. Isso restringe o universo de senhas a experimentar em um "ataque de força bruta", isto é, aquele em que o atacante põe alguns computadores para experimentar todas as senhas possíveis. Meu interlocutor considerou que, com essa dica, quebrar uma senha dessas seria moleza. Notem que estamos falando de um universo de 175 milhões de combinações possíveis:

26^3 x 9999 = 175.742.424

Na verdade, talvez bem menos, se considerarmos que uma placa existente, de um carro mais ou menos recente, deve começar por umas cinco ou seis letras iniciais do alfabeto, já que os Detrans ainda nem de longe esgotaram todas as combinações possíveis. Aí, tentando inicialmente com essas seis letras, estaríamos falando de "apenas" 40 milhões de combinações para experimentar, isto é:

6 x 26^2 x 9999 = 40.555.944.

Isso pode parecer difícil de quebrar mas, acreditem, não o é para um computador potente nas mãos de gente experimentada. Para comparar, vamos brevemente analisar aqui qual o grau de segurança daquela "boa receita de saúde" que muitos já ouviram dizer e mesmo assim não a seguem. Recomenda-se usar como senha de 6 a 8 caracteres aleatórios, mesclando letras minúsculas (são 26), maiúsculas (outras 26), algarismos (mais 10) e caracteres não alfanuméricos (digamos, uns 20...): são, assim, 82 possibilidades em cada uma das posições, o que equivale a 304 bilhões de combinações com seis caracteres, ou incríveis 2 quatrilhões, com oito caracteres:

82^6 = 304.006.671.424

82^8 = 2.044.140.858.654.976

Esse é um universo considerado seguro pelos especialistas...

Algo me diz que a "dica" dada pelo ex-governador é ainda mais útil a um cracker, do que a que foi dada pelo empresário da estória acima. Quantos nomes de mulher existem na língua portuguesa? Eu não sei dizer... mas quem lida com segurança da informação - para protegê-la ou quebrá-la - deve não apenas saber estimar aproximadamente esse número, como possivelmente tem um "dicionário" de nomes ao alcance dos dedos, quero dizer, do mouse. Mas arrisco dizer que deve ser de uma grandeza bem inferior do que as já fracas 40 milhões de possibilidades.

Mas a coisa foi ainda pior: Serra deve ter tido apenas quatro professoras primárias, salvo algum fato excepcional, como morte ou aposentadoria de algumas delas durante o ano letivo, o que provavelmente não levaria esse número para além de cinco ou seis. E não são nomes aleatórios: são nomes de pessoas reais que certamente constam dos registros escolares e da memória de outros alunos contemporâneos a ele. As senhas são "baseadas" em seus nomes, foi dito, o que permite supor que alguns caracteres devem ter sido inseridos ou alterados. Mesmo assim, dada esta dica inicial, a dificuldade de lançar um bem sucedido ataque de força bruta diminuiu... brutalmente!

Poucos se dariam ao trabalho de tentar "adivinhar" a senha de uma pessoa qualquer do povo que lhes desse tais dicas, ou de escarafunchar velhos registros escolares para encontrar os nomes de suas quatro professoras primárias. Serra, entretanto, é candidato ao mais alto cargo da República e, se eleito, virá a ocupá-lo. Suas senhas podem interessar a um bocado de gente, que não mediria esforços para obtê-las...

Enfim, usar variantes dos nomes de suas antigas professoras primárias até podia ser um método razoável para escolha de senhas. Afinal, pode ser mais seguro usar uma senha um pouco mais fácil que possa ser memorizada do que uma mais difícil que de tão aleatória precise ser anotada... Só que o critério não poderia ter sido anunciado publicamente! Acabou! Se estivesse em seu lugar, eu trocaria imediatamente todas as suas senhas e passaria a usar outros critérios para facilitar a sua memorização. Este não presta mais. De agora em diante, o nome de suas antigas professoras deve servir apenas para ocupar um lugar na mente e no coração.

PS: Textos como este, apontando falhas de segurança, costumam ser criticados por divulgar o problema. Não me parece o caso, aqui. Seu discurso foi público, amplamente divulgado na grande imprensa online e já deve ter sido fartamente analisado. Se eu, que sou "apenas um advogado", notei a gafe cometida com sua própria segurança, quem estivesse interessado numa invasão dos sistemas do ex-governador a essa hora já está estaria com as mãos na massa, e certamente não precisou ler este meu texto para localizar o alvo. A você que o está lendo agora, espero que tenha servido para que reflita um pouco mais sobre como protege as suas próprias senhas!

Nenhum comentário: