Relatório aponta uso de senhas fracas e softwares desatualizados pelo museu, prática comum em muitas casas e empresas
O roubo histórico das joias do Museu do Louvre, em Paris, avaliadas em US$ 102 milhões (cerca de R$ 550 milhões), em 19 de outubro, expôs falhas de segurança que vão além do físico. Documentos de auditorias privadas e da Agência Francesa de Segurança da Informação (ANSSI) obtidos pelo jornal Libération indicam negligência estrutural na cibersegurança da instituição.
O principal ponto de vulnerabilidade encontrado foi a fragilidade extrema das senhas de acesso. Um relatório de 2014 já alertava que a senha do servidor que gerenciava a extensa rede de câmeras de segurança do museu era simplesmente “LOUVRE”. O software administrado pela empresa Thales, responsável pela tecnologia de segurança, era protegido por uma senha igualmente básica: “THALES”.
Além das senhas previsíveis, os relatórios apontam o uso de programas e sistemas operacionais desatualizados, o que compromete a proteção contra “exploits”, ou seja, um pedaço de código, técnica ou sequência de comandos que tira proveito de uma vulnerabilidade (uma falha, erro de configuração ou comportamento inesperado) em um sistema, aplicativo ou protocolo para alcançar um objetivo intencional, muitas vezes malicioso — por exemplo, executar código remoto, escalar privilégios, obter dados sensíveis ou interromper serviço.
Lições essenciais para o usuário comum
O episódio do Louvre serve como um alerta para a segurança de residências e dispositivos pessoais conectados à internet (Internet das Coisas – IoT), como câmeras de vigilância, smart TVs, lâmpadas inteligentes, computadores e celulares. As mesmas más práticas observadas no museu são comuns também no ambiente doméstico. “No episódio do Museu do Louvre ficaram muito evidentes as más práticas em relação ao sistema de vigilância. A senha usada era muito fraca, com o próprio nome do museu como senha do sistema de vigilância. Além disso, foram apurados ainda o uso de um sistema operacional desatualizado e falta de autenticação forte, como uma autenticação de dois fatores, enumera Dra. Michele Nogueira, PhD em Ciências da Computação pela Universidade de Sorbonne e professora da Universidade Federal de Minas Gerais (UFMG).
Para ela, as falhas de segurança do Museu do Louvre mostram mais uma vez o quanto as pessoas comuns estão vulneráveis se não adotarem as seguintes sugestões em seus aparelhos conectados à Internet:
1. Senhas Fortes e Únicas
A principal lição é a adoção de senhas robustas. Senhas baseadas em nomes, datas, ou palavras comuns são facilmente quebradas por ferramentas automatizadas de ataque que usam dicionários (dictionary attacks). “Uma senha forte não deve ter os próprios nomes, nomes de entes que estão próximos ou de algo que esteja relacionado com a pessoa em si, ou a família; não utilizar senhas com um padrão muito fácil de ser detectado”, enumera a professora.
2. Atualização Constante de Softwares
A desatualização do sistema, como o Windows levantado no caso do Louvre, é um ponto crítico. “O usuário comum deve ficar atento, porque essas atualizações servem para corrigir bugs de implementação, bugs de funcionamento, que no primeiro momento não foram detectados, mas que são sutis e podem levar a um exploit”, explica a cientista da computação.
3. Autenticação de Dois Fatores (2FA)
Outra falha crucial do Louvre foi a falta de uma autenticação robusta. A autenticação de dois fatores (2FA) adiciona uma camada extra de segurança, exigindo uma segunda forma de verificação (como um código enviado ao celular) além da senha. Isso impede que credenciais roubadas sejam usadas para acesso imediato.
“O usuário comum tem a lição de perceber que, infelizmente, não está sozinho em não seguir essas boas práticas, mas, ao mesmo tempo, aprender que é uma necessidade se fazer esse tipo de ajuste nos nossos sistemas, para não ser pego por um ataque, uma exploração de vulnerabilidade, que poderiam ter sido facilmente coibidos”, finaliza Dra. Michele Nogueira.
Por Chris Coelho – Assessoria de Imprensa
