Monthly Archives: January 2016

[TI] Pitacos : VPN/Proxy x WhatsApp

whatsapp-100

A chamada pode assustar um pouco, mas, você já parou para pensar se tudo que você acessa do computador, smartphone etc., está 100% seguro?

Tirando como exemplo o ocorrido no mês de dezembro/2015, quando a 1ª Vara Criminal de São Bernardo do Campo, entrou com uma ação para retirar do ar, por 48 horas, o serviço de mensagens instantâneas WhatsApp.

Com isso, brotam ideias de usuários, micreiros*, analistas meia-boca** que “instruem” o pessoal a utilizarem meios para burlar tais serviços.

Micreiros: Geralmente são profissionais de outras áreas, acham que só pelo fato de terem formatado o computador algumas vezes, sabem tudo de Informática / TI. Vivem em blogs de tecnologia, e não sabem da metade dos termos falados em tais mídias, gostam também de acalorar quando não gostam de determinadas marcas, sabe aquela história Apple vs. Samsung, por exemplo? Pois bem, são os micreiros que incitam isso.

Analistas Meia-boca: Fazem de tudo para se aparecer, muitos até sabem o perigo que é instruir usuários com este tipo de procedimento, mas, esquecem no mesmo momento. Já cansei de ver essas pessoas entrarem em tantos termos técnicos, se confundirem, confundirem os que estavam ouvindo e por fim acabar elas por elas, ou seja, eu finjo que entendi e ele finge que explicou.

Seguindo o raciocínio, vamos à alguns cenários.

Sabemos que a internet em si já não é segura, menos ainda quando temos pontos de conexão (HOPS na linguagem técnica) que podem transformar a conexão menos segura do que já é.

Na primeira imagem, vemos o caminho que a sua conexão faz, para alcançar um determinado site.

 

whatsapp_1

No exemplo acima, o Cliente (você) solicita uma chamada de um site, através do endereço www.google.com, a operadora por sua vez, questiona esta requisição para um servidor DNS (Domain Name Server) disponível na região (Ao todo, são 13 servidores DNS espalhados pelo mundo). O DNS sai pesquisando em seus registros onde fica hospedado o tal site www.google.com. Em miúdos, é a mesma coisa que você chegar no meio de uma sala e gritar: – Quem tem o CPF número 123.123.123-12? Alguém deverá se manifestar, caso contrário alguma tratativa deverá ser tomada (Site não encontrado, Tempo Esgotado etc).

Assim que os servidores do Google percebem tal requisição, se manifestam com uma mensagem de “OK”, e passam o conteúdo solicitado pelo cliente.

Este exemplo, é o mecanismo mais simplista dos chamados Hops (saltos), não inseri todos os mecanismos, para não fugirmos do foco.

Este mundo de requisições, como o exemplo citado acima, parece funcionar muito bem, e funciona mesmo! O problema é quando envolvemos determinadas informações como senhas, informações bancarias etc. É aí que começa o perigo.

Na década de 90, um cracker (não confunda com hacker) chamado Kevin Mitnik, testou a paciência de muita gente, invadindo sistemas, se passando por outras pessoas (Engenharia Social) e chamando a atenção para o que hoje chamamos de segurança cibernética. Kevin fez muito estrago, como efetuar compras com cartões de terceiros, derrubar serviços de Telefonia e Energia dos Estados Unidos, e até mesmo, iniciar uma das mais épicas batalhas através da rede com seu rival, então administrador do parque de servidores da Universidade de San Diego – TsutomuShimomura. A partir desse momento, a segurança começou a ser aplicada em toda a rede.

Episódio WhatsApp.

Ok, sem mais delongas, vamos ao ponto.

Quando o WhatsApp ficou indisponível no Brasil, poucas horas depois, surgiram alguns posts nas redes sociais, instruindo o pessoal a utilizarem um serviço de VPN (Virtual Private Network). A VPN, estabelece uma conexão entre um ponto A e B, é um meio de conexão extremamente seguro, quando sabido que ambos os pontos são seguros, claro! Você conhece o ponto A, que é o seu computador, mas, e o ponto B?

Muitas empresas utilizam serviços de VPN, pois de fato é o meio de transmissão mais seguro que existe hoje. Mas, existem muitos procedimentos para tal conexão (troca de chaves simétricas e assimétricas, manutenção preventiva no servidor de VPN, manutenção preventiva no cliente que irá se conectar).Sendo assim, conectar-se em um serviço de VPN que desconhecemos, pode acarretar em:

No serviço de VPN:

  • Servidor pode estar infectado;
  • Servidor pode ter um serviço que coleta informações como senhas, contas bancarias etc., armazenando tudo que está passando por ele, para uso futuro;
  • Com a alta demanda de solicitações, pode chamar a atenção para ataques de todos os tipos e também ocorrer uma sobrecarga (Overload) do sistema;

Quais as desvantagens de fazer isso?

  • Com a alta procura de usuários pela conexão, o serviço ficara sobrecarregado, por ser gratuito, você não poderá reclamar de absolutamente nada;
  • Com o sistema sobrecarregado, a probabilidade da sua conexão “cair” é alta, fazendo com que tanto o WhatsApp quanto o serviço de VPN tentem se conectar novamente, com isso, a bateria e sua banda de internet (principalmente 3G/4G), sejam consumidos bem mais do que o normal;
  • Se por algum motivo seus dados vazarem, para quem você irá recorrer?

Quais as Vantagens?

  • Ficar online e conseguir falar com quem também conseguiu ficar online (menos de 10%);
  • Postar nas redes sociais, se gabando do feito (Para quem gosta de fazer isso, claro);

Existem meios paliativos?

Claro que sim! O serviço ficou off-line por 12 horas, com isso muitos migraram para o Telegram, ICQ e até mesmo para o próprio Instant Messenger do Facebook.

Alguns Cenários

Partindo agora para o lado deSegurança da Informação, elaborei dois cenários para entendermos melhor os pontos de falhas/indisponibilidade etc. da conexão entre seu celular, por exemplo, e o servidor do WhatsApp.

No primeiro cenário, vemos que o próprio servidor do WhatsApp é um forte candidato a invasões, mas, com políticas e processos que previnem o usuário quanto a isso (Patches e correções do sistema, equipe de segurança da informação, SLA, proteção quanto à vazamento de informações, Termos de Aceite etc.);

whatsApp2

 

No segundo cenário, vemos um serviço de VPN ou Proxy como intermediário, ou seja, ele receberá todas as solicitações de conexão, e fará a requisição de acordo com a solicitação do cliente. Se o cliente acessar o WhatsApp, a conexão passará pela VPN/Proxy e seguirá para o servidor WhatsApp, se o cliente solicitar uma conexão bancária, será tal servidor de VPN/Proxy que também fará tal conexão.

whatsApp3

Na imagem, vemos que o serviço assume todas as conexões com a Internet, passando as requisições correspondentes.

A indisponibilidade pode de fato ocorrer em todos os pontos de conexão, desde o cliente até o servidor requisitado, mas, temos termos de aceite da operadora (cliente), quanto nos servidores (Google, Itaú, UOLetc.) informando tais procedimentos e providencias que serão tomadas. No servidor gratuito de VPN/Proxy, não temos, pois, o mesmo é gratuito.

O servidor de VPN/Proxy, também não garante quantos usuários ele suportará, ou seja, se este está apto a receber uma média de, por exemplo, 10.000 usuários por dia, em vista que temos cerca de quase 50 milhões de usuários do WhatsApp no Brasil, se jogarmos um percentual baixíssimo de 1% de usuários tentando fazer a mesma coisa em um determinado serviço de VPN/Proxy*, teremos 500.000 usuários. Você acha que de fato isso funcionará bem?

*Lembrando que temos poucos serviços gratuitos e de qualidade desse tipo como “App”, o mais utilizado foi o BetterNet (pois teve mais disseminação nas redes).

Portanto, sempre que algum serviço estiver indisponível ou bloqueado, seja ele no escritório, cidade ou pais que você mora, não tente usar meios paliativos para burlar tal procedimento. Isso pode desencadear vários outros problemas, e com certeza te deixara com uma dor de cabeça maior ainda.

E lembrando, sempre procure algum analista de sua confiança para responder suas duvidas.