Antes de trabalhar para a Google, Mark Risher era conhecido como o ‘Czar do spam’ na Yahoo. Agora que é o guardião das contas de email de 1,5 mil milhões de pessoas, diz que adoraria matar as passwords, mas que o mundo ainda não está preparado para este passo.
Se imagina a equipa de segurança do Gmail numa sala repleta de ecrãs, computadores e outros equipamentos sofisticados, a acompanhar em direto centenas de tentativas de ataques aos emails dos utilizadores, numa verdadeira luta entre o bem e o mail, o cenário não é bem esse. “Quem me dera ter algo tão fixe como nos filmes. Temos muitas pessoas a monitorizar, mas normalmente não com luzes dramáticas ou com pessoas a usar casacos pretos”, brincou Mark Risher.
No papel, o norte-americano é diretor de gestão de produto da área de segurança e privacidade da Google, ocupando assim um dos cargos mais importantes dentro da tecnológica de Mountain View. Para os utilizadores, Mark Risher é o anjo da guarda que está sempre de vigia para que nada de mal aconteça às contas Google, sobretudo as do serviço de email.
Com 1,5 mil milhões de utilizadores em todo o mundo, o Gmail é uma das principais plataformas sociais de sempre. O Gmail não é apenas a porta de entrada para as comunicações, pessoais e empresariais, das pessoas – pode também ser a porta de entrada para todos os outros serviços Google que estejam a usar.
“Mantemos os utilizadores da Google protegidos através de uma vigilância contínua das ameaças que existem. Estamos constantemente a monitorizar todos os diferentes tipos de ataques, todas as coisas que as pessoas más estão a tentar fazer”, disse o perito em cibersegurança em entrevista à Insider.
A Google usa, na prática, tudo o que tem à mão para tentar proteger os seus utilizadores. Além de disponibilizar um processo de autenticação em dois passos, no qual é necessário fazer uma verificação de identidade extra além da introdução da password, a empresa também envia notificações sempre que deteta um início de sessão estranho.
“Queremos limitar os danos daquilo que pode ser feito e conter o raio da explosão, se pensares numa bomba, para que o atacante possa fazer muito pouco caso consiga entrar na tua conta”.
Leia também | Adora Portugal, mas tem problemas na Europa. Entrevista a Matt Brittin, o patrão europeu da Google
Proteger centenas de milhões de utilizadores, cada um com os seus hábitos e comportamentos de risco, não é uma tarefa fácil. Ainda bem que para Mark Risher o maior motor de busca da internet está na ‘porta ao lado’. O executivo da gigante norte-americana revelou à Insider que a empresa também varre a web à procura de passwords e nomes de utilizador que estejam ‘à vista de todos’. E acredite, são muitos.
“Em poucas semanas, encontrámos mais de três mil milhões de pares de nomes de utilizador e passwords. Parece claro que existe um problema”, comentou.
Mark Risher garante que mesmo que alguém tenha a password e o nome de utilizador de uma pessoa, “99% das vezes eles não conseguem autenticar-se porque nós usamos factores de autenticação adicionais”.
Questionado sobre o número de utilizadores da Google que já têm a autenticação em dois passos ativada, o ‘anjo da guarda’ das passwords não revelou um número, dizendo apenas que é a “maioria”.
Depois, a pergunta inevitável: e matar as passwords de vez, é fazível? “Todos gostaríamos de fazê-lo, porque as passwords são terríveis, são vulneráveis, expostas a perigos”, começou por dizer. “As passwords funcionam em dezenas, centenas de milhões de propriedades existentes, portanto vai demorar tempo até evoluirmos além disso”.
Leia também | Sistema da Google que escreve os emails por si chega a Portugal
Como decretar o óbito das passwords não vai ser possível no futuro próximo, pelo menos a uma escala global, a Google tem outro plano: tornar as passwords o mais invisíveis possível. A tecnológica continua a melhorar a sua tecnologia de preenchimento automático de passwords, sobretudo no navegador Google Chrome, justamente para que apenas seja preciso introduzir a palavra-chave de um determinado serviço uma única vez.
A partir daí é o próprio navegador que faz uma gestão inteligente das passwords: quando detetar que o utilizador quer entrar no mesmo serviço, mas noutro dispositivo, preenche o campo de segurança de forma automática.
“O preenchimento automático de passwords significa que ainda poderá haver uma password em segundo plano, mas os utilizadores não têm que interagir com ela. É gerado de forma segura pelo navegador Chrome ou pelo sistema operativo do Android. As passwords ainda vão existir, mas é algo com o qual os utilizadores vão interagir de forma menos frequente”.
Máquina, a melhor amiga do Homem
As campanhas de phishing estão cada vez mais sofisticadas – não porque usam tecnologia de ponta, mas sim porque os criminosos estão a tornar os seus ataques cada vez mais difíceis de detetar, mesmo para utilizadores ativos de internet.
A Google não tem problemas em admitir que investe muito pouco tempo em saber qual a origem dos ataques de phishing ou spam, estando antes mais interessada em “construir defesas” que funcionam de forma universal. “O ataque mais sofisticado é o mais convincente”.
“Se receberes um email de alguém chamado Virginia, talvez haja uma letra que está em falta, mas não reparas. Os nossos sistemas reparam e mostram avisos muito grandes para que não sejas enganado a responder a esta Virginia falsa. Nós contámos fortemente com a aprendizagem automática (machine learning), é um dos casos mais antigos e nos quais mais investimos nesta área na Google”, explicou Mark Risher.
Leia também | O português líder na Google que ocupa a cadeira de sonho da inteligência artificial
Este é um daqueles casos em que o trabalho feito pelas máquinas é indubitavelmente superior ao trabalho que seria feito pelos humanos. “Existem vantagens tremendas na aprendizagem automática e na inteligência artificial, permite-nos olhar para um vector muito, muito amplo de forma rápida. Nem todos os problemas acontecem nos emails, mas se pensares como os emails processam centenas de milhares de mensagens todos os segundos, temos de ser rápidos e não podes ter pessoas a fazer isso”.
Numa cenário em que a máquina parece ser a melhor amiga do Homem, ainda há tarefas muito importantes que só os trabalhadores de carne e osso conseguem garantir. “Um dos desafios do machine learning é que não te dá uma explicação do senso comum. Precisamos de ter especialistas neste domínio que trabalhem junto com as ferramentas de aprendizagem automática para melhorar os sistemas, os padrões, as regras, a generalização que está a ser feita”.
Mas a ferramenta mais eficaz de deteção de emails indesejados ou perigosos ainda está do lado do utilizador – o botão de denúncia do spam que existe na caixa do Gmail. “Essa é a coisa com a qual mais nos preocupamos – se o utilizador disse que não quer, então não lhe deve ser entregue”.
Dentro do mundo da segurança informática, existem neste momento duas tendências que preocupam Mark Risher. Uma: ataques persistentes e assimétricos. “Há uma assimetria natural entre atacar e defender. Para defender um prédio, precisas de garantir que todas as janelas e todas as portas estão trancadas em todos os 25 andares. O atacante só precisa de encontrar uma que está aberta. Essa assimetria é assustadora”.
Dois: criminosos que estejam a usar técnicas de machine learning nos seus ataques e campanhas de phishing, aquilo a que Mark Risher chama de aprendizagem automática de conflito. “Nós usamos machine learning do lado da defesa, os atacantes podem usar machine learning do seu lado também. Acabas com esta guerra, como no filme Exterminador, máquina contra máquina, em que cada uma está a jogar com as suas forças”.
Perante tamanhos desafios e tamanha responsabilidade na proteção de centenas de milhões de pessoas, que nome de guerra os googlers reservaram para o ex-Czar do spam na Yahoo? “Mark. Eles chamam-me Mark”.
