O guia paranóico da privacidade para os serviços da Google

31 de Maio de 2010 às 15:03:55 por computerworld

Há quem confie na Google como se fosse a própria mãe. Mas já percebeu o quanto a empresa sabe ou pode descobrir sobre si?

O Google é praticamente o melhor amigo de cada um. Mas já percebeu o quanto a Google sabe sobre si?

Sabe que a Google pode ter gravado e armazenado cada termo de busca digitado na sua caixa de pesquisa? Pode ser que algumas dessas buscas sejam sérias ameaças à sua reputação. E que dizer do Gmail? Já enviou algum e-mail sigiloso? Quantas informações empresariais estão armazenadas no Google Docs?

A menos que tenha passado a última década totalmente offline, já deve ter construído um belo perfil de si mesmo nos servidores da Google. Dependendo de quais das dúzias de serviços usa, dados sobre os seus hábitos, interesses, actividades, agendas, objectivos profissionais, portefólio de acções e registos médicos podem estar nesses servidores – junto com os registos das rotas de viagem nos mapas que usou, os sites que visitou e muito mais.

O lado bom é que a Google torna anónimos os registos dos seus servidores. Após nove meses, apaga os últimos três dígitos dos endereços de IP associados às buscas. Após 18 meses, os cookies associados também são apagados, o que dificulta ligá-los às buscas feitas há mais de um ano e meio.

Mesmo assim, há uma grande e bela janela de tempo que mostra a sua vida aos curiosos. E se algum ou todos os dados se tornarem públicos? Um cibercriminoso pode, em teoria, ter acesso à sua informação na Google ao entrar directamente nos servidores ou mesmo na sua conta individual.

Quantidade enorme de dados

“Há uma enorme quantidade de dados na Google”, diz o vice-presidente de pesquisas da Gartner, Jay Heiser, “e seria tolice ignorar que toda essa informação é de enorme interesse para uma enorme variedade de pessoas”.

O grande número de serviços que a Google oferece significa que há muitas formas de aceder a esses dados. “Cada serviço traz os seus próprios riscos”, diz Heiser. “Há um potencial para que uma vulnerabilidade menor de um deles se possa tornar numa vulnerabilidade mais significativa quando combinada com outro.”

Os criminosos não são os únicos que podem potencialmente aceder aos seus registos na Google. Basta uma ligação do governo (ou de advogados nalgum processo legal no qual esteja envolvido) e, com uma simples intimação, a Google é forçada a entregar a sua informação pessoal, como prevê a política de privacidade da empresa.

Conclusão: o Big Brother sabe muito mais sobre você do que se pode imaginar. Mas não é preciso evitar a Google para manter-se razoavelmente a salvo. Em primeiro lugar, basta seguir alguns passos para prevenir que informação potencialmente perigosa seja armazenada nos servidores da Google e proteger a integridade da sua conta.

Ao tomar algumas precauções básicas – e outras não tão básicas -, pode minimizar a sua exposição aos criminosos. Para cada precaução, há dois níveis de conselhos sobre como se proteger:

Defcon 2 (boa segurança) identifica as dicas sobre o que pode fazer com as ferramentas já disponíveis, para minimizar os riscos de segurança envolvidos no uso dos diversos serviços da Google.

Defcon 1 (segurança avançada) – também conhecido como “a solução das celebridades” (passos para tomar se tem, ou pretende ter, um perfil público altamente visível) – identifica as dicas que oferecem muito mais segurança, mas são menos práticas e frequentemente exigem o uso de ferramentas de terceiros.

No fim das contas, só você pode determinar qual é o melhor equilíbrio entre segurança e conveniência.

Risco 1: busca de dados e de metadados

Se visitar a página de histórico da web da Google, verá todas as buscas que já fez na Google, enquanto estava ligado na sua conta, por anos. E não está limitado a buscas de textos: o histórico inclui buscas de imagem, de vídeo, de mapas, e muito mais. Estes dados são armazenados por padrão; os utilizadores devem activar o Histórico da Web para lhe aceder.

A Google usa essa informação para diversos propósitos benignos, como a sintonia mais fina dos seus algoritmos de busca e a determinação de padrões mais amplos em buscas na Web para a página Google Trends. Mas embora seja útil para a empresa, é quase certo que não quer que alguém veja todas as buscas que fez.

Defcon 2:

A coisa mais simples que pode fazer para prevenir o acumular de dados de busca é certificar-se de que saiu da sua conta antes de efectuar buscas. Se estiver ligado, o seu endereço de e-mail será mostrado no canto superior direito da página inicial da Google, das páginas de resultado ou de qualquer página da Google em que estiver.

Desligue também o Histórico da Web do Google. Do canto superior direito da página da Google, escolha Configurações -> Configurações da Conta, clique em Editar (à frente de Meus Produtos) no lado esquerdo da página, e clique “Remover histórico da web permanentemente”. (Se não vê essa opção, significa que nunca activou o Histórico da Web).

Isso fará com que o serviço Histórico da Web seja desligado e apagará todos os dados específicos ligados à sua conta nos servidores da Google. A empresa manterá os dados de busca associados ao seu IP por nove meses e outras informações não pessoais por 18 meses, mas estes dados não estão especificamente ligados à sua identidade.

Contudo, o serviço de Histórico da Web pode ser de valor para utilizadores individuais e não apenas para a Google. Se quiser manter o serviço e simplesmente apagar apenas buscas que poderiam “incriminá-lo”, escolha Histórico da Web em Meus Produtos na sua página de Contas e clique em Remover Itens no menu esquerdo. Isso colocará uma caixa de escolha para cada pesquisa em seu histórico; seleccione aquelas que quer apagar e clique em Remover.

Pode também clicar em “Limpar o Histórico da Web inteiro” no rodapé da página, para apagar todas as suas buscas de uma só vez, ou “pausar” o Histórico da Web por algum tempo. Para colocar o Histórico da Web em pausa, clique em Pausar no menu esquerdo, depois clique em Resume para que ele grave as suas buscas novamente.

Defcon 1:

Sair da Google evita a associação directa entre o seu e-mail e as suas buscas, mas não a associação entre o seu endereço de IP e outras informações. Para prevenir isso, torne a sua navegação na Web anónima usando ferramentas como Tor, Anonymizer ou a extensão PhZilla para o Firefox.

Risco 2: Registo de cookies

O Google usa cookies para armazenar os dados de ligação para vários serviços. Assim, por exemplo, não tem que se identificar no Google Agenda se já estiver usando o Gmail. Mas isso significa que está a deixar um rasto de “logins” que pode ser acedido tanto pelos servidores da Google como no seu disco rígido.

Além disso, o serviço de anúncios Doubleclick, da Google, usa os cookies para registar a navegação pelos sites. E esta informação, combinada com o login, pode identificar exactamente que sites visitou.

Defcon 2:

Use as configurações de segurança do browser para rejeitar cookies de terceiros – isto é, cookies de outros sites além do que você está a visitar.

O bloqueio de todos os cookies pode ser um problema se quiser que sites específicos se lembrem das suas preferências ou das informações de login. Mas bloquear apenas cookies de terceiros, por outro lado, não trará problemas na maioria dos sites e elevará o seu nível de privacidade.

O bloqueio de cookies de terceiros não faz desaparecer os que já estão instalados mas pode usar as configurações de segurança do browser para apagar todos os cookies, ou pesquisar um a um para escolher os que merecem ser apagados.

Uma opção é usar o recurso de “navegação privada”, presente em muitos browsers. As versões mais recentes do Firefox, Safari, Internet Explorer, Opera e Chrome oferecem sessões de navegação privada, que apagam cookies e palavras-senhas (password) quando encerra o browser, e também apagam o seu histórico e a cache.

Defcon 1:

Bloqueie “scripts” e anúncios completamente. Use um bloqueador como o AdSweep para Firefox, Opera e Chrome, ou o AdblockIE para o IE8 para impedir sites de oferecerem anúncios. Ou utilize a extensão NoScript, se usa o Firefox.

Muitos anúncios usam JavaScript para carregar. O bloqueio de scripts impede o carregamento desses anúncios e de cookies de terceiros, mas também faz com que muitos sites sejam impossíveis de visitar. Podem-se criar excepções usando a lista “Sites confiáveis” do IE8, ou clicando o ícone do NoScript e selecionando Permitir para sites que você deseja receber scripts.

Risco 3: Hackers atacam a Google

Mesmo se confia muito na Google, a quantidade de dados que a empresa guarda sobre você é de susto – ainda mais se considerarmos o que aconteceria se alguém de fora tivesse acesso aos servidores.

Defcon 2:

Use o senso comum. “Caso se trate de propriedade intelectual absolutamente crítica, não use serviços online”, diz Mark Kadrich, CEO da The Security Consortium, empresa de pesquisas e serviços de segurança.

O mesmo vale para informação pessoal. Nenhum sistema é 100% perfeito. Se não puder recuperar nenhum pedaço de informação, nenhum sistema será suficientemente seguro.

Os mecanismos da Google são robustos para proteger contra as ameaças mais comuns, mas um invasor determinado que tiver acesso à sua conta pode aceder a tudo que tenha confido à empresa.

É você quem deve separar a informação que pode ser confiada à Google da que não pode.

Defcon 1:

Cifre o seu e-mail. Se usa um programa de e-mail como o Outlook ou o Thunderbird para aceder à sua conta Gmail, pode usar um produto como o PGP Desktop Home ou o seu equivalente de código aberto GnuPG para cifrar todos os e-mails enviados. Ou usar a extensão FireGPG para encriptar a interface Web do Gmail.

As empresas podem usar ferramentas como a PGP Desktop Corporate no desktop ou um dos produtos para servidor da PGP para encriptar todas as mensagens de e-mail ao nível da rede.

Terá também que pedir aos seus remetentes que lhe enviem apenas e-mail cifrado ou todos os seus e-mails continuam a ser em texto puro. Infelizmente não há ferramentas de cifra para outros serviços da Google.

Risco 4: Hackers descobrem o seu login

Hackear o Google pode ser difícil, mas invadir a sua conta particular provavelmente não é. Muitas pessoas usam passwords simples e fáceis de lembrar. Um hacker com alguma informação básica sobre si pode facilmente invadir a sua conta.

Se usa uma palavra existente como password, um hacker que saiba apenas o seu endereço de e-mail pode aceder à sua conta em segundos, usando ferramentas que testam cada palavra do dicionário.

Defcon 2:

Use um programa de gestão de passwords, como o KeePass ou o RoboForm, para gerar e lembrar passwords fortes, que são [quase] impossíveis de adivinhar. E mude a sua senha regularmente – uma vez ou mais por mês.

Defcon 1:

Use a autenticação multifactor. Usar apenas uma password para entrar num serviço é pouco porque se alguém a descobre, fica vulnerável. A autenticação multifactor exige a verificação de identidade em dois ou mais meios.

“A autenticação multifactor baseia-se em pelo menos duas de três coisas: algo que você sabe, algo que você tem e algo que você é”, diz Vatsal Sonecha, vice-presidente de desenvolvimento de negócios da empresa de segurança TriCipher. Serviços como o MyOneLogin da TriCipher controlam o acesso exigindo verificações adicionais, como um token de segurança, um arquivo no seu computador ou uma impressão digital.

O MyOneLogin oferece um serviço de autorização segura grátis para utilizadores do Google Apps. Por três dólares mensais, pode contratar um serviço que cobre toda a sua actividade online.

Risco 5: Hackers acedem ilegalmente ao seu login

Mesmo que tenha uma password difícil de adivinhar, um hacker pode aceder à sua conta na Google fazendo-o visitar um link fraudulento, ou pela instalação de malware para roubo de passwords. Se o seu computador estiver comprometido, pode pensar que está a entrar no Google mas, na verdade, está dando a sua informação a um hacker.

Dica: preste sempre atenção ao URL no seu browser antes de digitar informação sigilosa, caso tenha chegado ao site por meio de um clique num link que lhe chegou por e-mail ou numa página de terceiros. Se o nome de domínio é estranho ou não coincide com o que deveria ser, pode ser indicador de que alguém está a tentar enganá-lo.

Defcon 2:

Se ainda usa o Internet Explorer 6, actualize-o imediatamente. De acordo com a empresa de segurança Secunia, o IE6 tem 24 vulnerabilidades sem solução, muito mais que qualquer outro browser actual. Foi uma falha no IE6 que permitiu a falha na rede da Google em Dezembro de 2009.

Além disso, pratique o bom comportamento em segurança na Internet: use software anti-malware no seu sistema (mesmo em Macs); não clique em links de e-mails, mesmo de pessoas em quem confia (ou, se o fizer, preste atenção ao URL); não abra ficheiros anexos de que não esteja à espera; atenção a sites Web suspeitos (de pornografia, de transferências ilegais de dinheiro ou de “warez”); e nunca clique em pop-ups, nem mesmo para fechá-los (em vez disso, use os comandos Alt-F4 no Windows ou Command-W nos Macs).

Defcon 1:

Mantenha o seu browser numa “caixa de areia” (“sandbox”). Use software de virtualização como o VMware Player ou o Parallels Desktop para criar um sistema operativo autocontido para que vírus e malware não possam aceder ao seu disco rígido directamente – e quando tiver terminado, encerre a sessão e comece outra a partir do disco da imagem original. Um browser isolado numa “sandbox”, como o Sandboxie, também oferece alguma protecção ao isolar o seu browser do resto do sistema.

Nem máquinas virtuais, nem caixas de areia fornecem uma proteção completa de keyloggers e outro malware. Mas usados apropriadamente, com outras aplicações padrão de segurança, eles podem ajudar a prevenir malware de instalar qualquer coisa no sistema.

Conselho final

Finalmente, tenha atenção ao que fornece à Google e o que espera obter em troca. “Não se pode ser passivo na proteção dos rastos digitais”, explica Bill Morrow, CEO da CSIdentity, fornecedora de serviços e de soluções contra o roubo de identidade. “Tem de se pensar como se o inimigo estivesse no quarto, vendo tudo o que se faz. Este tipo de filtros reduz não apenas onde vai mas que informação quer deixar.”

A Google pode não ser um seu inimigo – agora. Mas uma mudança na gestão da empresa ou a sua aquisição por outra (isso pode acontecer) pode mudar tudo. Mesmo um processo legal pode dar problemas se a Google receber uma intimação. E as pessoas da Google – um empregado descontente, alguém com uma vingança pessoal ou um hacker – pode realmente ser o seu inimigo. E naturalmente, quanto maior é o seu perfil público, mais se torna um alvo.

Amiga ou não, a Google terá a sua informação nos seus servidores durante muito tempo. Um pouco de paranóia não mata ninguém e pode até salvá-lo caso a empresa passe a negar a sua famosa máxima “Não seja mau”.

(por Logan Kugler, Computerworld/EUA, via Now!Digital Business Ltda; artwork: Chip Taylor)

Tags: , , ,

Pode acompanhar os comentários a este artigo via RSS 2.0.

Partilhar |

Notícias Relacionadas

Insira um comentário, ou crie um trackback no seu próprio site.

Um comentário a “O guia paranóico da privacidade para os serviços da Google”

  1. DCA diz:
    31 de Maio de 2010 às 22:57

    Falta aqui um ícone para “print”. Este artigo vale muito e seria óptimo poder imprimir all-in-one, em pdf por exemplo.

Deixe o seu Comentário

  • Pesquisa

  • Siga o Computerworld

  • Newsletter

  • Computerworld TV

  • InfoClipz

    Virtualização de Armazenamento em 3 minutos
    Saiba como a virtualização de ficheiros e blocos transcende a abordagem clássica de SAN ao armazenamento.

    Gestão de Risco em 3 minutos
    Uma estratégia de gestão de risco coerente fornece um quadro abrangente para a regulamentação, segurança de dados e continuidade do negócio.

    Virtualização de servidores em 3 minutos
    Três tipos de virtualização de servidores e os seus benefícios.

    Green IT em 3 minutos
    Custos energéticos elevados, espaço limitado do centro de dados e a pressão das questões ambientais, estão a fazer com que muitas empresas acelerem a implementação de iniciativas de Green IT.

    Comunicações unificadas em 3 minutos
    O conceito de presença e a proliferação de novas aplicações de dados e voz estão a mudar as comunicações empresariais.

    Protecção de Dados Empresariais em 3 minutos
    O essencial para proteger os dados, sistemas e comunicações do seu negócio.

    Cloud Computing em 3 minutos
    A Cloud Computing – ou computação na nuvem – tornou-se numa tecnologia indispensável. Promete menores custos para as empresas, maior flexibilidade na gestão das soluções informáticas, garante melhorias na eficiência e uma escalabilidade à medida.