terça-feira, julho 28, 2009

Porque não uso o Gmail.

É conveniente, porreiro, gratuito e dá estilo. Quase todos os meus colegas o usam. De qualquer sítio onde tenham acesso à Internet – e hoje em dia é quase qualquer sítio – podem consultar todas as mensagens que receberam e enviaram, e todos os anexos, sem limite de espaço.

O problema é que qualquer pessoa com a password certa pode fazer o mesmo. O francês “Hacker Croll”, por exemplo, obteve acesso à conta de email de um empregado do Twitter indicando ao Gmail que se tinha esquecido da password. O Gmail enviou uma mensagem para um endereço secundário que o dono da conta tinha indicado. Mas como este era um endereço desactivado no Hotmail, o hacker pode criar novamente essa conta e obter o link para alterar a password da conta de Gmail da vítima.

O problema depois foi descobrir a password original, porque tendo a password alterada pelo hacker o dono ia descobrir que a sua conta tinha sido “raptada” assim que não conseguisse ler o email. Mas com acesso a todos os emails guardados o hacker descobriu várias mensagens de outros serviços que enviam a password ao utilizador. E era sempre a mesma. Arriscando, mudou a password da conta no Gmail para essa. E funcionou. O dono nem desconfiou. Puxando o fio à meada, a partir da conta de Gmail de um empregado do Twitter o hacker obteve centenas de documentos confidenciais da empresa (1).

O caso do Twitter revela o problema de ter tudo na Internet, acessível de qualquer sítio e protegido apenas por uma password. A empresa também usava vários serviços de colaboração e partilha de documentos que eram vulneráveis a qualquer pessoa que penetrasse a rede de confiança dos vários colaboradores. Ter todas as minhas mensagens acessíveis a todos é um risco grande e, além disso, é provável que eu dure mais que o Gmail. A Google não deve falir tão cedo, mas é raro uma empresa durar muitas décadas e nada garante que se mantenha proprietária do Gmail.

Um exemplo recente foi a falência da Clear, que facilitava a passagem pela segurança nos aeroportos. Os clientes forneciam à empresa vários dados pessoais, incluindo fotografia e impressões digitais, e a empresa disponibilizava esta informação aos serviços de segurança dos aeroportos nos EUA. Só que agora que a Clear fechou (2) não se sabe ao certo o que acontecerá a essa informação. Se um dia o Gmail for vendido ou a Google concluir que não dá negócio, o destino das muitas caixas de correio também será incerto.

Eu uso o email da Netcabo. É rudimentar, tem pouca capacidade e não é especialmente seguro. Mas como tiro de lá tudo cada vez que leio o email, mesmo que me cacem a password não ficam com grande coisa. E quando vou para algum lado posso levar uma cópia dos documentos e caixas de correio. São só alguns gigabytes, cabe num pendisk ou disco portátil. E vai tudo encriptado com uma frase secreta, que é tão fácil de recordar como uma palavra mas muito mais difícil de adivinhar.

A conveniência de ter tudo online é sedutora. Há muita gente que deixa o seu email, fotografias, documentos e o que calhar em servidores alheios porque é prático. Mas eu prefiro não arriscar. Se precisar, posso levar tudo comigo e, se bem que a protecção seja sempre por uma frase ou palavra secreta, o acesso é diferente. É mais fácil ir à página do Gmail que roubar um pendisk.

1- Tech Crunch, The Anatomy Of The Twitter Attack
2- www.flyclear.com, via Schneier on Security

45 comentários:

  1. A segurança é sempre um compromisso. A principal razão pela qual não é existem mais problemas de segurança prende-se com o facto de na maior parte das vezes não somos alvos apetecíveis. Não somos alvos de ataques de hackers com regularidade porque não há grande probabilidade, com o comum dos mortais, do benefício compensar o esforço. Uma segunda razão é porque a grande maioria das pessoas é de facto honesta e não tenta esse tipo de actos. Muitos dos serviços que necessitamos são algo burocráticos, porque se parte do pressuposto que todos somos potencialmente bandidos. A nossa vida ficaria muito mais simples se os processos estivessem alinhados com o risco inerente aos mesmos. Por exemplo se ligar para a PT, é absurdo que me peçam uma password e validem quem sou para me darem uma informação sobre como posso pagar uma factura. Mas é normal que me peçam essa password se eu pedir detalhes da factura e também normal que digam que para mudar a morada devo enviar um comprovativo de morada, não vá eu ter tentação de enviar as minhas facturas para a casa do vizinho.
    É bom sentirmos que a informação que temos no gmail não está acessível com facilidade, mas diria que mais importante ainda é que o processo de registo e de obtenção da password se nos esquecermos dela, não seja tortuoso. E devo usar o gmail para aquilo que ache, que os benefícios compensam os riscos. Se calhar não é boa ideia enviar as minhas passwords do online banking num mail, mas não vejo problema em enviar as fotografias das férias Como cidadão comum prefiro que a Google não me complique a vida, afinal de conta o risco é bastante baixo.

    ResponderEliminar
  2. Seja como for, é sempre pouco recomendável ter sempre a mesma password para tudo. E guardar emails para todo o sempre na caixa de correio. Já o Schneier dizia: se está na internet, não é privado. Se colarmos um post-it ao lado da secretária para não nos esquecermos disso, em princípio não cometeremos muitos erros.

    Mas o que mais me incomoda na Google é a forma como todos os vários serviços são cruzados.

    Um exemplo:

    As contas Picasa dão jeito para partilhar fotografias de férias em álbuns privados temporários quando ninguém tem paciência para ficar à espera que o nosso amigo nos empreste uma pen com as fotografias da viagem. No entanto, conheço pessoas que não deram pelo facto de que basta conhecer o seu endereço Gmail para aceder ao seu álbum público.

    Um amigo meu que se juntou ao Facebook há pouco tempo chegou à conclusão de que todos aqueles que acediam ao álbum público de um amigo o podiam identificar facilmente lá, uma vez que tinha o seu nome em cima da cara dele em bastantes fotografias: no local de férias, nos sítios onde costuma ir à noite...

    O grande problema de segurança da Internet é o nosso desconhecimento da forma como a informação é tratada. O carácter perene da informação que lá depositamos e o nosso desconhecimento desse facto.

    No dia-a-dia não estamos habituados a que o simples facto de nos apresentarem a uma pessoa desconhecida a permita saber mais do que gostaríamos - a nossa memória desvanece-se naturalmente e os laços sociais precisam de reforço para que realmente conheçamos alguém. Se levarmos o mesmo à vontade para a Internet, corremos grandes riscos...

    ResponderEliminar
  3. E já agora, tive em tempos receio de que a Netcabo não fosse muito segura pela forma como as passwords predefinidas eram atribuídas.

    ResponderEliminar
  4. Qualquer sistema é tão seguro quanto o seu elo mais fraco. Essa sua estratégia de tirar tudo para o computador do email da netcabo é tão segura quanto a dificuldade de algum hacker entrar no seu computador enquanto faz download "legal" de algum filme num sistema peer-to-peer. E isso não é impossivel.

    ResponderEliminar
  5. Usar a mesma password para vários serviços de Internet é um erro. Não só porque se descobrirem uma password de um registo descobrem de todos os outros mas também porque não sabemos se a quem estamos a dar a password é de confiança.

    Eu uso uma password composta por diferentes tipos de caracteres e diferente para cada site. além disso altero-as todos os anos. Só isto não garante que não me roubem uma password mas é um bom princípio.

    Em relação a não saber se o Gmail será sempre da Google, ainda à pouco tempo a Yahoo fechou o seu serviço de blogues . Já imaginou se a Google fizer o mesmo com o Blogger?

    Pelo sim pelo não vou apagar os email que tenho no Gmail com passwords...

    ResponderEliminar
  6. João,

    A segurança é sempre um compromisso. Mas penso que muita gente não sabe o que compromete -- ou seja, desconhece os tradeoffs.

    O comentário anónimo das 19:18 é um exemplo disso.

    Anónimo,

    É possível que um hacker tire informação do meu computador. Essa possibilidade nunca pode ser posta de lado -- nem mesmo desligando o computador da internet, visto que é possível interceptar o sinal do teclado sem fios ou mesmo obter informação por fuga de sinais para a rede eléctrica.

    No entanto, na Internet o meu computador em particular é um alvo difícil porque o seu endereço é atribuido pelo ISP cada vez que me ligo e não há maneira fácil de comunicar com ele ou de saber que é o meu.

    Quanto ao software p2p, tenho muito menos receio desses problemas num programa open source, cujo código já foi examinado por muita gente com medo desses problemas, do que tenho de um sistema operativo como o Windows, com um código proprietário e um hábito de esconder os bugs.

    Por isso se disser que arrisco por usar o windows num PC ligado à net, concordo. Tento minorar o risco com a firewall. Mas esse risco é relativamente pequeno. E se alguém tentar sacar os dois ou três giga de emails que tenho provavelmente eu vou notar.

    ResponderEliminar
  7. De notar que o exemplo apresentado é uma falha de segurança mas do utilizador que não actualiza os seus dados de segurança (endereços secundário, passwords, pergunta, etc).

    Assim sendo continuo a usar o GMail, já que não sou particularmente fã dos clientes de email e posso aceder em qualquer computador com ligação à internet.

    ResponderEliminar
  8. Se bem me lembro, há uns tempos atrás, após o envio da password para o email secundário, o nome desse email era visível e, há uns meses para cá, o Gmail censura o nome do email. Ex: "password enviada para p******@*****.com" ou algo assim parecido.

    Cumps.

    ResponderEliminar
  9. Sócrates,

    Sim, neste caso houve várias falhas de segurança daquele utilizador, e de serviços que ele usava (e.g. enviar passwords por email).

    Mas, a meu ver, ter todos os emails armazenados num servidor com endereço publicamente acessível e protegido apenas por password é, em si, uma falha de segurança também. É o tal tradeoff que o João falava.

    Com dois problemas adicionais. Primeiro, é preciso estar sempre atento a alterações no sistema de segurança do serviço. E, principalmente, está-se sujeito ao que acontece quando o serviço for encerrado ou vendido.

    Tiago Santos,

    Apagar esses emails é uma boa ideia mas, já agora para a paranóia, será que eles ficam mesmo apagados ou só marcados como apagados? Na Netcabo tenho quase a certeza que apagam tudo porque duvido que tenham espaço de armazenamento para ter lá os emails todos. Mas no Gmail não sei. Com sistemas redundantes de backups e armazenamento quase ilimitado, basta terem uma flag qualquer de undo activa na base de dados para nunca desaparecer nada, por muito que o utlizador tente apagar...

    Captomente,

    Tens razão. Foi isso que aconteceu. Mas o que o Gmail tinha neste caso era *****@h*****.com ou assim, e o hacker viu que era um email do Hotmail. O username também costuma ser fácil de adivinhar, e penso que foi isso que ele fez. O artigo que refiro em rodapé dá mais detalhes.

    ResponderEliminar
  10. 1. antes de enviar link de recuperaçäo de password para a conta secundária, é necessária a resposta a uma pergunta previamente definida pelo utilizador. Se é fácil responder a essa questäo a culpa é do utilizador.
    2. é recomendado utilizar a recuperaçäo de password via SMS nas contas Google. ao contrário de contas de email näo é normalmente fácil ou gratuito re-obter um número de telefone que tenha deixado de existir. Näo tenho conhecimento de outros serviços de email que disponibilizem este serviço.
    3. Através do Gmail é possível verificar em que endereços IP se acedeu à conta de correio. Se necessário pode-se forçar o log off remoto. Se há informaçöes estranhas é lógico mudar a password. ¨Tambén näo conheço outros serviços de email gratuitos que permitam fazer isto.
    4. Se näo me engano muito, o serviço de email NetCabo permite acesso por Web y por POP3. O serviço Gmail permite acesso por Web, POP3 e também IMAP. Se alguém näo quer que os correios fiquem guardados no servidor Google basta utilizar o acesso POP3. Contudo, arrisca-se a perder todos os correios se passa algo ao computador.
    5. Para criar uma conta Google só säo necessários dados "fundamentais" como o nome e idade. Todos os restantes serviços de outras empresas que conheço pedem bastante mais dados. Se alguma empresa falir e os meus dados ficarem comprometidos prefiro que sejam os da conta Google, porque säo menos.
    6. prefiro utilizar uma conta Google pelo investimento €€€ feito em segurança de autenticaçäo. O Gmail näo se pode dar ao luxo de falhar neste sentido. Seria mau em termos de marketing e imagem da empresa e comprometeria milhöes de utilizadores. Já na NetCabo o investimento será menor e também menor o número de testes para encontrar vulnerabilidades no sistema (feitas a nível interno ou por "hackers"/investigadores). Pouca gente utiliza o email NetCabo pelo que a a imagem da NetCabo näo seria muito afectada num caso similar.
    7. Prefiro näo utilizar uma conta de email associada a um serviço de fornecimento de internet porque senäo perco o endereço de email se decidir mudar de fornecedor.
    8. Convenhamos que a soluçäo proposta neste post - fazer backup regular do correio para uma pendrive e encriptar em seguida - näo é das mais simples nem das mais acessíveis ao comum dos mortais.
    9. Todos os sistemas operativos têm falhas. Quase todas as semanas há actualizaçöes para falhas de segurança que permitem a terceiros tomar controlo do computador de uma maneira ou de outra. Ter todos dados só no computador näo é assim täo seguro quanto possa parecer. É bastante mais difícil, na minha perspectiva, tomar controlo de um servidor, neste caso de um servidor da Google (acho que nunca aconteceu sequer).
    10. muitas empresas já se converteram ao Gmail "empresarial" pelas vantagens que têm relativamente ao correio unicamente nos seus próprios servidores (e suas possíveis falhas de segurança e downtime).

    ResponderEliminar
  11. ettiago,

    O Gmail, se bem usado, pode ser bastante seguro. Mas para ser bem usado é preciso saber bem o que se está a fazer e, além disso, o sistema de segurança vai mudando.

    Gerir cópias de segurança e ter o cuidado de encriptar os documentos que se leva em pendisks é algo que convém saber fazer mesmo para quem use o Gmail. E é mais simples que usar o Gmail de forma segura. Por exemplo, poucas pessoas se lembram que a pergunta de segurança não é uma segurança adicional à password mas uma verificaão que é usada *em vez da password* em certas situações. Por isso devia ser tão difícil de adivinhar quanto a password. Mas como é para quando nos esquecemos da password, ser tão difícil de adivinhar derrotaria o propósito e acaba por ser uma fraqueza grave na prática.

    Quanto a ter o endereço de email associado a um provedor, admito que é inconveniente. Mas mais inconveniente é ter, além do endereço, todas as mensagens também.

    Finalmente, concordo que os servidores de email da Netcabo devam ser mais susceptíveis de ataque que os da Gmail. Mas, por outro lado, se alguém for tentar sacar emails o alvo preferencial não será os servidores da Netcabo.

    «Ter todos dados só no computador näo é assim täo seguro quanto possa parecer.»

    Um computador com firewall é bastante seguro. E, tanto quanto sei, a maioria dos casos de hacking são a alvos em servidores e não nos PC...

    ResponderEliminar
  12. Nao esquecer que a Google ja permite recuperacao de password por SMS.
    O que quer dizer que a password ja nao arranca (se assim o quisermos) para o email secundario, mas sim para o nosso telemovel...

    Mais uma vez, podem-nos sempre roubar o telemovel, tb, lol.

    ResponderEliminar
  13. ainda ninguem referio aqui o fato de a google ter usado um registrador de teclas pressionadas no crome, que gravaca os imputs no teclado mesmo antes de pressionar o enter.

    De a google ter milhares de IPs gravados com as buscas efectuadas por cada IP. E sem estar encriptado.

    Não há Stress?

    ResponderEliminar
  14. Eu tento evitar tanto a exposição evitável, quanto a paranóia do controlo total. Acho as duas atitudes muito doentias. Mas, a sensatez é necessária em tudo e pensar sequer, no controlo de todas as possibilidades de insegurança é completamente insensato. Em todas as coisas da vida e não somente neste caso da rede.

    ResponderEliminar
  15. Ludwig:

    Más noticias. És um naturalista do pior, segundo o Mats, porque não te assumes:

    "O pior naturalista não é aquele que o proclama sem rodeios, mas sim aquele que o esconde por trás do manto da tão-mal-definida "ciência". O ateu evolucionista Ludwig Krippahl é um bom exemplo."

    É verdade Ludwig? Eu até pensava que não havia nada de naturalista em ti... Os teus pais já sabem?

    ResponderEliminar
  16. Cristal,

    Concordo que devemos ser moderados. O problema é que a segurança à qual estamos habituados não funciona da mesma maneira na internet.

    Por exemplo, muitas pessoas farão uma distinção entre mostrar as fotografias dos filhos ou das férias a alguém ou dar-lhes cópias. Mostrar não tem grande problema, mesmo com quem não temos confiança, mas se algum estranho nos pedir cópias das fotos dos nossos filhos temos relutância em dar.

    O que muitos se esquecem é que pôr fotos na net é o equivalente a dar cópias e não o equivalente a mostrar as fotos. O mesmo se passa com comentários, posts, videos, dados pessoais e assim por diante.

    Quando mostramos algo na internet não estamos apenas a mostrar. Estamos a dar cópias que os outros podem copiar, agregar, usar para procurar mais informação noutro sítio, etc... E penso que muita gente não tem consciência disso.

    ResponderEliminar
  17. João,

    Já estou a escrever um post sobre a dificuldade destes nossos amigos em entender o óbvio...

    ResponderEliminar
  18. Ludwig:

    "Quando mostramos algo na internet não estamos apenas a mostrar. Estamos a dar cópias que os outros podem copiar, agregar, usar para procurar mais informação noutro sítio, etc... E penso que muita gente não tem consciência disso."

    Acho que era interessante desenvolveres esse tema. Eu estou de acordo contigo, mas quando vejo paginas do Facebook é só pais com os miudos, toda a gente em fato de banho na praia (uma professora universitaria americana caiu no ridiculo por uma questão proxima)...

    Esse tema tem sido abordado la fora desde que começaram a surgir, mais que o roubo de identidade, as ridcularizações de massa (que são a nova doença social). Apesar do caso da miuda que gritou com a professora a propria exposição tem sido pouco discutida pelos nossos média e opinadores publicos.

    É a questão do rastro electronico que deixamos para traz...

    Sinceramente ainda não sei muito bem viver com ele. Não estou disposto a que toda a gente que me le aqui saiba onde moro, como se chama a minha filha, etc. (Mas ja agora, chamo-me mesmo João).

    ResponderEliminar
  19. João,

    Sim, é um assunto interessante...

    ResponderEliminar
  20. A REDUÇÃO DE INFORMAÇÃO GENÉTICA NOS MAMÍFEROS

    Os criacionistas afirmam que a evolução das espécies não aconteceu, mas não necessariamente porque prefiram explicações religiosas a todo o custo.

    Existem boas razões teológicas, hermenêuticas e científicas para reconhece que a Bíblia é, efectivamente, Palavra de Deus e que, por isso a sua autoridade deve ser reconhecida.

    Quando se reconhece a autoridade da Palavra de Deus obtém-se uma grelha interpretativa que funciona como critério de verdade e guia de pesquisa, permitindo compreender o que se observa e fazer previsões sobre o que se espera observar.

    A Bíblia ensina que todos os seres vivos foram criados de forma inteligente, reproduzindo-se de acordo com a sua espécie.

    O conceito bíblico de espécie está mais perto do de género ou família, traduzindo um determinado potencial genómico.

    A existência de um Criador Comum inteligente para todas as espécies permite compreender, não apenas as semelhanças e as diferenças que encontramos entre elas (estamos a falar de um Criador Comum para todas elas), mas também a dependência da vida de informação codificada, sendo que a informação codificada é a marca, por excelência, da inteligência e da racionalidade.

    No entanto, a Bíblia também diz que depois do pecado humano toda a criação ficou sujeita à corrupção e à morte.

    Esta afirmação permite compreender porque é que os genomas estão a perder informação genética. Isso foi recentemente observado em estudos sobre o Cromossoma Y (que está a perder genes) e foi novamente confirmado no estudo de muitos mamíferos.

    Esses estudos confirmam a trajectória descendente da informação, exactamente o oposto da trajectória ascendente que existiria se a evolução fosse verdade.

    Ou seja, as mutações e a selecção natural degradam e eliminam informação genética pré-existente, dando origem a genomas de menor dimensão e com menor variedade e funcionalidade.

    Por esse motivo, o que nós vemos na natureza não é evolução (criando informação genética nova e mais complexa), mas corrupção (eliminando e degradando a informação genética pré-existente).

    A corrupção observada é exactamente o contrário da evolução.

    Esta realidade permite compreender que os fósseis e as camadas de sedimentos não são evidência de evolução (na verdade não existe evidência de evolução gradual no registo fóssil!) mas sim da ocorrência de um dilúvio global, com uma causa fortemente teológica e proporções cataclísmicas globais, por causa do pecado do ser humano.

    Assim se compreendem bem as evidências de catastrofismo na coluna geológica (que explica a emergência do neo-catastrofismo) e a descoberta repetida de tecidos moles, hemoglobina, vasos sanguíneos, etc., em ossos de dinossauros (T Rex e Hadrossauros) não fossilizados.


    Veja-se o recente estudo:

    After Dinosaurs, Mammals Rise But Their Genomes Get Smaller
    ScienceDaily (July 29, 2009)

    Aí se diz: “The depressed numbers of very young LTRs, Lynch says, strongly suggests a contraction in overall genome sizes of the lineages of the mammals the scientists studied.”

    ResponderEliminar
  21. Perspectiva:

    "os genomas estão a perder informação genética. Isso foi recentemente observado em estudos sobre o Cromossoma Y (que está a perder genes) e foi novamente confirmado no estudo de muitos mamíferos. "

    Olha só a ajuda que me vens dar. A perda de informação do cromossoma Y é um excelente exemplo de informação ganha a partir de deleções. De muitas de uma só vez.

    Claro que tu não sabias, mas o cromossoma Y é um cromossoma X a que falta um bocado. É igual em tudo.

    No entanto permite informação relacionada com o dimorfismo sexual. XY são machos, não sei se sabias, XX são femeas.

    Como a parte que caiu do Y, o bracinho que falta para fazer os 4 braços do X, não encontra genes homologos para os seus, ao expremir-se o fenotipo, só podem vir do X determinadas caracteristicas. Na pratica, um conjunto de genes do X não tem homologos no do Y. É mais que dominancia.

    Já tenho post para o fim de semana. Nunca tinha pensado usar isso como prova da evolução. Mas tu mostrastes como.

    Fica bem.

    ResponderEliminar
  22. Eu cá não uso o Gmail porque não diz na bíblia que eu posso. A não ser que o Perspectiva tenha descoberto qualquer coisa nesse sentido ...
    Cristy

    ResponderEliminar
  23. Na verdade, a Netcabo parece-me bastante segura. Fui experimentar agora clickar o link "esqueci-me da password" a ver como era, e deparei-me com um sistema muito seguro, que dificulta imenso o trabalho a qualquer hacker:

    «My ZON - Recuperar password de conta de e-mail Netcabo principal

    Devido a problemas técnicos, de momento não é possível responder ao seu pedido. Por favor tente mais tarde.»


    Querem mais seguro que isto? ;)

    ResponderEliminar
  24. Cristy:

    Sim, em Matheus 65 diz: não deves usar a caixa em vez do caixote.

    Só que caixa vem de taixa que na tradução grega original do sabanaico queria dizer email. E caixote, é do Grego do sul já latinizado que foi usado só porque suava a baixote. Na realidade o baixote é o poste do correio daquela altura, que como os postes eram caros era um buraco no chão

    ResponderEliminar
  25. "na verdade não existe evidência de evolução gradual no registo fóssil!"

    Prespy ma, man! Não te esquentes.

    Ja vêm aí fosseis a 60 imagens por segundo. Não tenhas pressa.

    ResponderEliminar
  26. Ludwig,
    Eu também uso netcabo, mudo frequentemente as minhas passwords e não confio facilmente os meus dados em sites da internet. No entanto uso netbanco, comunico com amigos através do facebook, tenho dados em outras redes, uso skype e msn e outras coisas do género há muito tempo e, embora com alguma consciência dos riscos e alguns cuidados para os evitar sei perfeitamente que nem eu,nem as medidas de protecção são infalíveis e que se alguém tentar "apanhar-me" para vítima de alguma coisa, certamente o conseguirá fazer. Mas, da mesma maneira que não deixo de andar na rua com medo que me assaltem, de me relacionar com pessoas novas, com medo que sejam bandidos ou, no momento actual, olhar desconfiada para toda a criatura que soltar um espirro, recuso-me a entrar nas paranóias que me impediriam de usar as facilidades deste meio de comunicar, porque perfiro pensar, como se diz aí mais acima, que a maioria das pessoas não anda propriamente a procurar fazer coisas erradas e que sou suficientemente insignificante e os conteúdos que comunico suficientemente inócuos para despertarem interesses obscuros... Mas sei que também é uma questão de sorte. Cair no meio de qualquer coisa inesperadamente ou estar no tempo e no espaço errados, pode acontecer... a qualquer um. E depois? Vamos parar de aprender?

    ResponderEliminar
  27. Cristal,

    Eu também uso o netbanking, não uso muito o skype mas só porque me irrita ser interrompido, e não tenho problemas em comunicar com estas tecnologias.

    Mas há uma distinção entre alguns serviços. Imagine que o skype guardava todas as conversas num servidor onde cada pessoa podia aceder com uma password e ouvir as suas. Proponho que isso era diferente. É certo que qualquer pessoa com quem eu converse usando o skype pode estar a gravar a conversa no seu PC. Mas um repositório online com todas as conversas seria algo diferente.

    É essa diferença que estou a apontar no Gmail. O problema não é a comunicação poder ser interceptada. Se me apanham um email, paciência -- e é coisa que nem vale o trabalho, por isso preocupa-me pouco. Mas ter todos os emails armazenados online cria riscos adicionais. Torna o alvo mais apetecível e torna-nos mais vulneráveis às vicissitudes da empresa que os aloja.

    O mesmo se passa com o facebook e afins. Enviar umas fotos por email a um amigo é diferente de a por online num site desses.

    ResponderEliminar
  28. "Não uso muito o skype mas só porque me irrita ser interrompido"

    Como assim?

    ResponderEliminar
  29. Xpto,

    É muito parecido com o telefone. Começa a apitar e temos a compulsão de largar tudo para atender. Por isso acabava por estar quase sempre online, e finalmente decidi nem pôr aquilo a correr.

    Para a maior parte das situações, gosto mais do email. Não interrompe ninguém, pode-se pensar no que se lê e escreve e responder na calma.

    Por isso skype lá em casa só nos magalhães. Têm câmara e microfone incorporados, os miudos gostam de usar o skype para falar com os tios e avós (e fartam-se de se divertir com a senhora do test call, a gravar disparates), e eu quando quero aparecer no boneco vou lá ao quarto deles. Assim consigo trabalhar mais à vontade :)

    ResponderEliminar
  30. oops, onde escrevi "online" era "offline".

    ResponderEliminar
  31. Ludwig:

    Entendo perfeitamente :)

    ResponderEliminar
  32. Ludwig,

    acho que a Netcabo usa SMTP sem autenticação (ou pelo menos usava). Tinha feito um cliente de e-mail que não pedia autenticação e pude enviar mensagens com endereços de emails de familiares e inventados. Com o Gmail não funciona. Ah, e já recebi um e-mail da Netcabo com uma acusação de download do "Bruce Almighty" (e tinha de ser esse filme...) - nunca me responderam à minha mensagem.

    ResponderEliminar
  33. Pedro AC,

    Tenho a impressão que o smpt da netcabo exige autenticação (mas não tenho a certeza).

    Quanto a esse aviso, é apenas um forward de quem quer que seja que se tenha queixado à Netcabo. Esses normalmente vão aos servidores de Bittorrent, pedem uma lista de IPs, e mandam mensagens para todos os ISPs. Como os endereços IP são atribuidos dinamicamente e as listas nos servidores só são actualizadas uma vez por hora ou coisa assim, acaba por ser muito parecido com mandar queixas ao acaso...

    Mas isso não tem nada que ver com o email, nem sequer com a netcabo, que se está a marimbar para o que tu descarregas.

    ResponderEliminar
  34. Ludwig,

    parece que tens razão. Tentei usar o telnet para enviar uma mensagem por smtp.netcabo.pt, mas nem sequer existe - agora é smtpa.netcabo.pt . Mas com o outro servidor deu para pregar uma partida à minha mãe usando um endereço falso LOL

    ResponderEliminar
  35. Sim, lembro-me vagamente desta alteração há um par de anos ou coisa assim.

    Mas fazerem spoofing do endereço não é tão mau como sacarem todos os emails...

    ResponderEliminar
  36. Mário Miguel01/08/09, 22:08

    PAC e Ludwig,

    Ainda dá para usar o mail da Netcabo. Uma pessoa amiga tinha Netcabo (ISP) há uns bons anos, eu configurei Cliente de e-mail via POP3+SMTP, essa pessoa mudou de ISP e eu reconfigurei o Cliente de e-mail, mudando unicamente o SMPT para o novo ISP, o POP3 (smtpa.netcabo.pt) esse continua a funcionar sem o mínimo problema, até os avisos de recepção do Cliente de e-mail funcionam, etc... E mais, o Webmail também funciona(!), essa pessoa já mudou, depois da Netcabo, duas vezes de ISP, e eu sempre com a mesma estratégia tive até hoje resultados 100% satisfatórios. Essa pessoa tinha mais dois mails de diferentes, dependentes de ISP's, aplicando a mesma estratégia os resultados foram exactamente os mesmos. Não sei se este caso na Netcabo é a normalidade, mas parece-me que não é coisa regular, pois o fim do serviço deveria implicar o fim de todos os serviços.

    ResponderEliminar
  37. Com o uso de um bom gestor de passwords, um conhecimento elementar dos tipo de ataque, e não dar mais informação VERDADEIRA que o estrito mínimo o gmail é o mais seguro que conheço. Muito mais seguro do que POP com algum gestor de sistema ignorante e ainda mais se não se seguirem as regras enunciadas.

    (Tem alguma fragilidade contra as buscas da polícia)

    Claro que ser o primeiro a....faz muitas pessoas trabalhar no trapézio sem rede e ganhar a coisa a quem faz as coisas como deve ser.

    José Simões

    ResponderEliminar
  38. José,

    Como é que se avalia o risco da Google vender o hosting de correio electrónico a outra empresa, de alguém aceder aos emails por social engineering ou deles não apagarem os discos devidamente quando fazem upgrades e vendem os usados em segunda mão?

    Há tanta coisa que pode acontecer quando se tem todos os dados armazenados na mão de uma empresa que me parece que só com um conhecimento muito detalhado dos procedimentos (e das pessoas que os executam) é que se pode afirmar que é «o mais seguro que conheço».

    Eu não tenho ilusões quanto à segurança do servidor de email da Netcabo. Mas tenho razões para crer que quando eu descarrego o meu email e o apago do servidor, em pouco tempo esses clusters do disco já foram escritos com os emails de outra pessoa qualquer e que por muito frouxa que seja a segurança deles agora a segurança dos meus dados só depende de mim.

    ResponderEliminar
  39. "Como é que se avalia o risco da Google vender o hosting de correio electrónico a outra empresa"

    Não é necessário avaliar a longo prazo. Avaliar a curto prazo é trivial. Falo do risco de venda ou de falência.

    Por isso só é seguro usar empresas cotadas na bolsa (em países razoavelmente seguros).

    Qualquer compra ou venda ou falência demoraria meses se não anos. Portanto a avaliação a curto prazo é trivial.

    Tempo suficiente para fazer o download de tudo, repetir tudo 3 vezes por segurança, apagar tudo e colocar um forward para outro email (com delete do que ficaria para trás) e avisar toda a gente do nosso novo endereço.

    (o antigo haveria ainda de funcionar uns meses para facilitar a transição).

    Conheço poucos casos em que uma transição tão suave seja possível.

    José Simões

    ResponderEliminar
  40. José,

    Não sei se leste o privacy policy... Esta parte é importante:

    «Residual copies of deleted messages and accounts may take up to 60 days to be deleted from our active servers and may remain in our offline backup systems.»

    Não me parece que a Netcabo faça isto pela simples razão que é preciso ter imenso espaço de armazenamento. Coisa que à Google não falta...

    ResponderEliminar
  41. Mário Miguel18/08/09, 15:02

    Ludwig,

    O Gmail, de tempos a tempos, pelo menos recentemente, pergunta de forma automática se o mail de recuperação de password é actualmente válido, e em contas que não haja mail de recuperação, avisa desse facto. O que me parece uma boa pratica que não conheço existir noutro serviço, se calhar essas praticas foram implementadas por esta notícia.

    ResponderEliminar
  42. O caso do Twitter revela o problema de ter tudo na Internet, acessível de qualquer sítio e protegido apenas por uma password. A empresa também usava vários serviços de colaboração e partilha de documentos que eram vulneráveis a qualquer pessoa que penetrasse a rede de confiança dos vários colaboradores. Ter todas as minhas mensagens acessíveis a todos é um risco grande e, além disso, é provável que eu dure mais que o Gmail. A Google não deve falir tão cedo, mas é raro uma empresa durar muitas décadas e nada garante que se mantenha proprietária do Gmail.

    Um exemplo recente foi a falência da Clear, que facilitava a passagem pela segurança nos aeroportos. Os clientes forneciam à empresa vários dados pessoais, incluindo fotografia e impressões digitais, e a empresa disponibilizava esta informação aos serviços de segurança dos aeroportos nos EUA. Só que agora que a Clear fechou (2) não se sabe ao certo o que acontecerá a essa informação. Se um dia o Gmail for vendido ou a Google concluir que não dá negócio, o destino das muitas caixas de correio também será incerto

    ResponderEliminar
  43. Paranóia, o problema não é o gmail, são as pessoas, e quem quiser ter gmail e não armazenar mensagens é só configurar certinho....

    ResponderEliminar

Se quiser filtrar algum ou alguns comentadores consulte este post.