Falha no WhatsApp: grandes erros e conclusões piores ainda

Os eventos que ocorrem (bons ou ruins) nos permitem avançar e melhorar graças às conclusões e lições aprendidas ou experiências que podemos extrair deles. Sem aprender, os eventos, em si próprios ou outros, permaneceriam como simples perda de tempo em vez de servir como experiências enriquecedoras.

Portanto, é interessante tirar as conclusões apropriadas de cada evento relevante, para que se possa tirar o máximo de proveito de tudo o que acontece ao nosso redor.

Há algum tempo, soubemos de uma falha muito grave no WhatsApp, que permitia executar códigos no telefone a partir apenas de uma chamada telefônica à vítima. Todavia as conclusões da mídia foram diversas.

Alguns sugeriram que qualquer usuário do WhatsApp poderia estar infectado, afinal ninguém iria «desperdiçar» uma falha tão grande, certo?

As vítimas de interesse são poucas e escolhidas a dedo, mas não custa nada manter o aplicativo atualizado em seu aparelho telefônico para poder se prevenir de ataques similares num futuro, fechando um possível backdoor existente.

Por um outro lado, o criador do Telegram não poderia perder esta oportunidade de colocar na mesa os benefícios de seu próprio software que, por coincidência, é o concorrente direto do WhatsApp. Embora em seu blog ele venha a explicar corretamente alguns pontos (e é indubitável que o Telegram priorizou a privacidade e segurança desde o primeiro momento) ele não pode deixar de mencionar que devido ao fato de que o WhatsApp não abre seu código, ninguém pode ter certeza de que não contenha backdoors.

Infelizmente, mesmo no programa de código aberto foram detectadas falhas que pareciam verdadeiros desfiladeiros: backdoors que podem ser achadas facilmente, o que até aparentou ingenuidade, dado a simplicidade com que foram detectadas. O código aberto TrueCrypt por exemplo, precisou de um complexo investimento de tempo e financiamento e uma enorme dose de paciência para ser auditado.

O código aberto facilita a investigação, mas não é garantia de nada. Mesmo que fosse completamente aberto (e compilável em casa), quando as mensagens passam por certos servidores, cujo código interno é desconhecido, ou por causa de bibliotecas de terceiros, pode-se especular a vontade sobre a possibilidade de backdoors abertas, que podem vir a ser exploradas.

O prêmio quanto a uma conclusão precipitada referente às notícias sobre o WhatsApp se dá a Bloomberg, que chamou a criptografia ponto-a-ponto de fraude, devido a esse incidente. A agencia confundiu e assustou os usuários mais leigos e sem muito conhecimento sobre, mostrou de passagem, que eles também não tinham ideia do que estavam falando.

Todo software possui falhas de segurança, sem exceção, mas confundir medidas (já comprovadas matematicamente como invioláveis) como a criptografia destinada à privacidade com vulnerabilidades no código, chega a ser um crime. Tanto viram que se equivocaram que tentaram reescrever às pressas e alteraram o título, mas erraram novamente e depositaram de novo a culpa na criptografia e acrescentaram “ Não é tão seguro quanto você pensa que é”.

Difícil afirmar se a razão é uma ignorância sobre o assunto ou uma expressão ideológica, política (como aconteceu quando qualificaram como «malicioso» o antivírus. Uma coisa é certa, notícias e textos com este tipo de sutileza não fazem bem a ninguém.

Quais conclusões são mais precisas, então?
Um evento deste tipo, que salta para a mídia generalista é sempre uma faca de dois gumes. Pois ao mesmo tempo que pode vir a alertar a população, também pode confundir e assustar, causando mais prejuízos do que benefícios.

Este tipo de falha tão séria, em um software tão grande não é novidade. De tempos em tempos encontramos APTs (Advanced Persistent Threat) que empresas utilizam para atacar outras empresas específicas, (muitos destes ataques no próprio Windows), graças a simples possibilidade de se valer do zero-day, mesmo que os ransomwares propagados possam vir a paralisar hospitais ou outras organizações prioritárias, ou de emergência.

No entanto, estes ataques não estão no dia a dia das notícias, enquanto uma situação análoga como foi a do Whatsapp, em dispositivos móveis, surpreende a população. Desta forma a população recebe a notícia como se fosse uma grande novidade (quase como um tipo de magia negra), apesar do trabalho de conscientização feito ao longo de anos sobre os potenciais perigos do malware e a necessidade de atualização continua em todas as plataformas, incluindo os celulares.

Manchetes inadequadas e irresponsáveis, como esta sobre o WhatsApp acabará por se tornar uma piada simples no imaginário coletivo e não se tornará uma experiência, de onde se possa tirar conhecimentos, e que possa nos indicar qual será o próximo grande bug em sistemas populares?

Chegaremos ao ponto de ter alguma ameaça realmente preocupante que possa se propagar através do celular? E aí? Estaremos prontos? Ou será que receberemos, de novo, com a mesma surpresa, estranheza e … inexperiência.

Este ponto nos faz pensar, embora haja muitas deficiências no trabalho de conscientização feito no passado, estamos ainda fracassando no trabalho de conscientização atual! E esta questão pode nos levar a um caminhar sem saber para onde.

Em segurança cibernética, onde parece que estamos sempre um passo atrás dos agressores, onde as tecnologias recaem sobre nós antes das fórmulas para protegê-las, é essencial e de estrema importância saber como tirar grandes conclusões de grandes erros. Assim, evitamos passos falsos e esse desejo de nos atingir repetidamente com a mesma pedra.