Especialista em cibersegurança explica limites da privacidade de arquivos armazenados na nuvem e como usuários podem se proteger
Um recente caso investigado pela Polícia Federal trouxe à tona a discussão sobre a segurança e privacidade dos dados armazenados na nuvem e até que ponto os serviços como o iCloud e Google Drive podem ser acessados por terceiros?
De acordo com informações da investigação, backups armazenados na nuvem foram utilizados com evidências, mesmo após a suposta exclusão desses arquivos, trazendo como pauta o questionamento sobre o funcionamento desses sistemas de armazenamento em nuvem.
Para falar mais sobre o tema e esclarecer dúvidas sobre como manter dados em segurança na nuvem, Leonardo Ribeiro Pinto, executivo de tecnologia com mais de 15 anos de experiência, respondeu algumas questões:
1 – Ao apagar/excluir um dado ou registro, esse realmente é excluído de maneira definitiva?
Os serviços de armazenamento de dados mais conhecidos como iCloud, Google Drive e Dropbox, são reconhecidos como um ambiente seguro, porém são baseados em recuperação de dados, e não em destruição imediata. Ou seja, para prevenir que um arquivo seja apagado de maneira equivocada pelos usuários, esses arquivos são mantidos uma “lixeira” por um período, esse período pode variar entre cada serviço. Eu atuo a mais de 15 anos na área de tecnologia, há 3 anos focado em cibersegurança e, mesmo com todo o conhecimento e processos, já exclui dados indevidamente e o uso desse recurso de recuperação de dados não fez eu perder esses arquivos.
O caso noticiado pela mídia expõe um ponto que sempre existiu, mas que não é claro para o usuário, esse tipo de serviço em nuvem não foi projetado para excluir dados imediatamente e de maneira definitiva, e sim para garantir recuperação em caso de necessidade. Isso cria uma falsa sensação de que, ao deletar um arquivo, ele já não existe mais.
2- Qual a segurança e privacidade que tenho ao deixar meu arquivo em nuvem?
De acordo com a minha visão e conhecimento, a imagem de que os dados na nuvem são inacessíveis em qualquer cenário não é verdadeira. As empresas investem em proteção de dados, mas operam dentro de legislações que são diferentes entre os países e, dentre essas, algumas podem exigir o acesso e fornecimento de dados mediante ordem judicial. Mas aí está um ponto muito importante, existem maneiras de fazer uma criptografia forte (inclusive end-to-end), com Advanced Data Protection, os dados ficam criptografados ponta a ponta e acessíveis apenas nos seus dispositivos confiáveis.
Usando o caso em questão e o iCloud, nem a Apple conseguiria acessar esses dados.
3- Como usuários comuns podem manter seus dados seguros?
Existem diversas maneiras e procedimentos que podem ser incluídos e associados às camadas de segurança de serviços de armazenamento de dados em nuvem. Existem ferramentas que criptografam o arquivo localmente, ou seja, antes de subir para o ambiente em nuvem, e somente você tem a chave para descriptografar e acessar esses
arquivos. Isso garante que nem mesmo a empresa que oferece o serviço tenha acesso aos seus arquivos criptografados. Mas isso requer cuidado, se perder a chave, o arquivo continua existindo em nuvem, porém, inacessível.
Outras técnicas mais comuns são: a ativação de autenticação em dois fatores (2FA), que irá dificultar ou até mesmo evitar acessos indevidos, e sempre revisam os repositórios que mantem dados excluídos dentro de cada serviço. Por exemplo, o iCloud mantém um backup de até 30 dias mesmo após excluído do dispositivo. O usuário deve sempre acessar a área de “Recently Deleted” e excluir manualmente caso queira a exclusão definitiva.
Um ponto de descontração e algo utilizado por grandes empresas e fins militares, nos anos 90 nos desenhos animados do professor bugiganga; nos anos 2000 nos filmes do 007 e até hoje em filmes como Missão Impossível, eles têm em comum algo relacionamento à “mensagens que se autodestrói”. E a pergunta, será que isso existe? A resposta é sim, dentro desses scripts de cibersegurança existem sistemas de encriptografica como ATDD (Attribute-Based Encryption) que permite definir tempo de vida do dado e programar a destruição do acesso automaticamente.
