Hoje já não é nada difícil dizer onde você está e nem afirmar que um determinado acesso ao site vem exatamente do seu navegador, o que é um baita tapa na sua privacidade. Ouça no artigo de hoje.
Audio via YouTube
Audio via Odeo/Kiwi6 (arquivo disponível só durante alguns dias) Clique aqui para baixar o artigo do site da Kiwi6 em seu micro para poder carregá-lo em seu mp3-player.
Clique aqui para ler o artigo de Dennis Fisher, do Threatpost, sobre ataques direcionados.
Clique aqui para ir para a página do Panopticlick, a feramenta da Electronic Frontier Foundation que identifica univocamete uma configuração de navegador.
Para ler esse artigo, clique no botão abaixo.
Duas notícias recentes, quando somadas, dão uma dimensão preocupante sobre a questão da privacidade na Web. Em uma delas, Dennis Fisher do site Threatpost mostra como os hackers estão utilizando técnicas de geolocalização e de definição de perfis para descobrir quem são as pessoas a serem atacadas e onde estão localizadas geograficamente.
Este é um enfoque novo no que diz respeito aos ataques, apesar de a técnica já ser utilizada há bastante tempo por empresas de publicidade para servir anúncios que sejam pertinentes para quem chega a uma página da Web qualquer. Com base no endereço IP do computador visitante e de alguns outros dados de identificação, essas empresas de publicidade sabem, por exemplo, que eu estou no Brasil, e me mandam banners e anúncios de empresas brasileiras. Afinal de contas, não seria nada eficiente se eu começasse a receber anúncios, digamos, de empresas tailandesas.
Bem, o fato é que a mesma técnica passou a ser utilizada por bandidos para atrair vítimas com mais eficiência para os golpes que aplicam. Em seu artigo, Fisher aponta para um ataque de phishing em que uma falsa notícia da agência Reuters anuncia uma explosão nos arredores de Bangalore, na Índia. Mas se o usuário visitando a página fosse da Rússia, por exemplo, a falsa notícia diria que a explosão foi nos arredores de Moscou, aumentando consideravelmente a chance de o usuário clicar no link (que no caso é malicioso e tenta descarregar um cavalo de troia no computador da vitima). Em suma, a técnica desenvolvida pelo pessoal de marketing e publicidade está sendo adotada pela bandidagem.
A outra notícia foi a disponibilização pela EFF, a Electronic Frontier Foundation, de uma ferramenta que demonstra com técnicas simples que é possível identificar o seu navegador com certeza de que é você que visita uma página qualquer. A ferramenta da EFF usa dados coletados legalmente de sua máquina quando você clica no link do aplicativo, e diz que sistema operacional está sendo usado, que versão do navegador, quais os plugins instalados no navegador, quais as fontes instaladas no computador, e por aí vai. Tudo isso compõe uma espécie de “assinatura” que é então comparada com uma base de dados de assinaturas coletadas pela EFF através da aplicação. No meu caso (eu que particularmente gosto de conhecer e usar novas fontes sempre que possível) tenho uma assinatura única nos mais de 450 mil perfis traçados pela EFF.
O que significa isso? Significa que alguém usando a mesma técnica da EFF — e nada impede que essa técnica seja usada legalmente por quem quer que seja — poderá afirmar com certeza que sou eu visitando uma página qualquer na Web. Os publicitários podem, por exemplo, customizar seus anúncios não só com base em meu país ou nas páginas que costumo visitar, mas sim para meus gostos pessoais. Em suma: lá se vai mais um pedaço da nossa privacidade.
E tem alguma coisa que possamos fazer para evitar esses dois problemas mencionados? No primeiro caso, a dica é a mesma de sempre: evitar clicar em links de procedência duvidosa e definir um critério responsável de navegação. Não resolve tudo, mas já ajuda bastante. No segundo caso, não há o que fazer, infelizmente. Os remédios paliativos de desabilitar o Javascript, os cookies e o Flash no navegador vão restringir demais nossa capacidade de navegação, e é com esses mecanismos que nossas informações são levantadas. Há sugestões no sentido de criar uma proteção para certas informações, mas não existe esforço nesse momento para implementar essas sugestões. O que dá para fazer é saber que a técnica existe e ficar alerta para que não seja usada contra nós.
Nenhum comentário:
Postar um comentário