Cartilha para Seguranca Na Internet 2

2
Cartilha de Seguranc a para Internet
o das salas de cinema, vericar a agenda de espet consultar a programac a aculos teatrais, expo es e shows e adquirir seus ingressos antecipadamente; sic o ` obra de grandes artistas, onde e poss consultar acervos de museus e sites dedicados a vel conhecer a biograa e as t ecnicas empregadas por cada um. Estes s ao apenas alguns exemplos de como voc e pode utilizar a Internet para facilitar e melhorar a sua vida. Aproveitar esses benef cios de forma segura, entretanto, requer que alguns cuidados sejam importante que voc tomados e, para isto, e e esteja informado dos riscos aos quais est a exposto para que possa tomar as medidas preventivas necess arias. Alguns destes riscos s ao: Acesso a conteudos impr oprios ou ofensivos: ao navegar voc e pode se deparar com p aginas que dio e o racismo. contenham pornograa, que atentem contra a honra ou que incitem o o o de Contato com pessoas mal-intencionadas: existem pessoas que se aproveitam da falsa sensac a anonimato da Internet para aplicar golpes, tentar se passar por outras pessoas e cometer crimes como, por exemplo, estelionato, pornograa infantil e sequestro. Furto de identidade: assim como voc e pode ter contato direto com impostores, tamb em pode ocor es em seu nome, levando outras pessoas rer de algu em tentar se passar por voc e e executar ac o a acreditarem que est ao se relacionando com voc e, e colocando em risco a sua imagem ou o. reputac a ` Internet podem ser Furto e perda de dados: os dados presentes em seus equipamentos conectados a o de ladr furtados e apagados, pela ac a oes, atacantes e c odigos maliciosos. o de informac es pessoais pode comprometer a sua privacidade, Invas ao de privacidade: a divulgac a o de seus amigos e familiares e, mesmo que voc e restrinja o acesso, n ao h a como controlar que elas n ao ser ao repassadas. Al em disto, os sites costumam ter pol ticas pr oprias de privacidade e podem alter a-las sem aviso pr evio, tornando p ublico aquilo que antes era privado. o de boatos: as informac es na Internet podem se propagar rapidamente e atingir um Divulgac a o grande n umero de pessoas em curto per odo de tempo. Enquanto isto pode ser desej avel em o de informac es falsas, que podem gerar certos casos, tamb em pode ser usado para a divulgac a o p anico e prejudicar pessoas e empresas.
1. Seguranc a na Internet
o e, provavelmente para estas A Internet j a est a presente no cotidiano de grande parte da populac a pessoas, seria muito dif cil imaginar como seria a vida sem poder usufruir das diversas facilidades e oportunidades trazidas por esta tecnologia. Por meio da Internet voc e pode:
encontrar antigos amigos, fazer novas amizades, encontrar pessoas que compartilham seus gostos e manter contato com amigos e familiares distantes;
` dist acessar sites de not cias e de esportes, participar de cursos a ancia, pesquisar assuntos de interesse e tirar d uvidas em listas de discuss ao;
divulgado na Internet nem sempre pode ser totalmente exDiculdade de exclus ao: aquilo que e clu do ou ter o acesso controlado. Uma opini ao dada em um momento de impulso pode car acess vel por tempo indeterminado e pode, de alguma forma, ser usada contra voc e e acessada por diferentes pessoas, desde seus familiares at e seus chefes.
o de extratos; efetuar servic os banc arios, como transfer encias, pagamentos de contas e vericac a
fazer compras em supermercados e em lojas de com ercio eletr onico, pesquisar prec os e vericar a opini ao de outras pessoas sobre os produtos ou servic os ofertados por uma determinada loja;
Diculdade de detectar e expressar sentimentos: quando voc e se comunica via Internet n ao h a como observar as express oes faciais ou o tom da voz das outras pessoas, assim como elas n ao podem observar voc e (a n ao ser que voc es estejam utilizando webcams e microfones). Isto o do risco, gerar mal-entendido e interpretac o d pode dicultar a percepc a a ubia. poss Diculdade de manter sigilo: no seu dia a dia e vel ter uma conversa condencial com algu em e tomar cuidados para que ningu em mais tenha acesso ao que est a sendo dito. Na Internet, caso es podem trafegar ou car armazenadas n ao sejam tomados os devidos cuidados, as informac o de forma que outras pessoas tenham acesso ao conte udo.
1
acessar sites dedicados a brincadeiras, passatempos e hist orias em quadrinhos, al em de grande variedade de jogos, para as mais diversas faixas et arias;
o de Imposto de Renda, emitir boletim de ocorr enviar a sua declarac a encia, consultar os pontos o e agendar a emiss em sua carteira de habilitac a ao de passaporte;
1. Seguranc a na Internet 3
Uso excessivo: o uso desmedido da Internet, assim como de outras tecnologias, pode colocar em risco a sua sa ude f sica, diminuir a sua produtividade e afetar a sua vida social ou prossional.
o de direitos autorais: a c o ou distribuic o n Pl agio e violac a opia, alterac a a ao autorizada de conte udos e materiais protegidos pode contrariar a lei de direitos autorais e resultar em problemas jur dicos e em perdas nanceiras.
o de voc Outro grande risco relacionado ao uso da Internet e e achar que n ao corre riscos, pois sup oe que ningu em tem interesse em utilizar o seu computador1 ou que, entre os diversos computa justamente este tipo de pensamento ` Internet, o seu dicilmente ser dores conectados a a localizado. E explorado pelos atacantes, pois, ao se sentir seguro, voc que e e pode achar que n ao precisa se prevenir.
Esta ilus ao, infelizmente, costuma terminar quando os primeiros problemas comec am a acontecer. Muitas vezes os atacantes est ao interessados em conseguir acesso a grandes quantidades de computadores, independente de quais s ao, e para isto, podem efetuar varreduras na rede e localizar grande ` Internet, inclusive o seu. parte dos computadores conectados a
Um problema de seguranc a em seu computador pode torn a-lo indispon vel e colocar em risco a condencialidade e a integridade dos dados nele armazenados. Al em disto, ao ser comprometido, seu computador pode ser usado para a pr atica de atividades maliciosas como, por exemplo, servir de reposit orio para dados fraudulentos, lanc ar ataques contra outros computadores (e assim esconder a o do atacante), propagar c real identidade e localizac a odigos maliciosos e disseminar spam.
Os principais riscos relacionados ao uso da Internet s ao detalhados nos Cap tulos: Golpes na Internet, Ataques na Internet, C odigos maliciosos (Malware), Spam e Outros riscos.
estar ciente de que O primeiro passo para se prevenir dos riscos relacionados ao uso da Internet e realizado por meio da Internet e real: os dados ela n ao tem nada de virtual. Tudo o que ocorre ou e s ao reais e as empresas e pessoas com quem voc e interage s ao as mesmas que est ao fora dela. Desta forma, os riscos aos quais voc e est a exposto ao us a-la s ao os mesmos presentes no seu dia a dia e os ` queles que ocorrem na rua ou por telefone. golpes que s ao aplicados por meio dela s ao similares a
preciso, portanto, que voc es E e leve para a Internet os mesmos cuidados e as mesmas preocupac o que voc e tem no seu dia a dia, como por exemplo: visitar apenas lojas con aveis, n ao deixar p ublicos es a dados sens veis, car atento quando for ao banco ou zer compras, n ao passar informac o estranhos, n ao deixar a porta da sua casa aberta, etc.
importante que voc Para tentar reduzir os riscos e se proteger e e adote uma postura preventiva e o com a seguranc ` sua rotina, independente de quest que a atenc a a seja um h abito incorporado a oes como local, tecnologia ou meio utilizado. Para ajud a-lo nisto, h a diversos mecanismos de seguranc a a, Contas e senhas e que voc e pode usar e que s ao detalhados nos Cap tulos: Mecanismos de seguranc Criptograa.
Outros cuidados, relativos ao uso da Internet, como aqueles que voc e deve tomar para manter a sua privacidade e ao utilizar redes e dispositivos m oveis, s ao detalhados nos demais Cap tulos: Uso seguro da Internet, Privacidade, Seguranc a de computadores, Seguranc a de redes e Seguranc a em dispositivos m oveis.
1 Nesta Cartilha a palavra computador ser a usada para se referir a todos os dispositivos computacionais pass veis de o por c invas ao e/ou de infecc a odigos maliciosos, como computadores e dispositivos m oveis.
2.1
Furto de identidade (Identity theft)
2. Golpes na Internet
o ato pelo qual uma pessoa tenta se passar por outra, O furto de identidade, ou identity theft, e atribuindo-se uma falsa identidade, com o objetivo de obter vantagens indevidas. Alguns casos de furto de identidade podem ser considerados como crime contra a f e p ublica, tipicados como falsa identidade. No seu dia a dia, sua identidade pode ser furtada caso, por exemplo, algu em abra uma empresa ou uma conta banc aria usando seu nome e seus documentos. Na Internet isto tamb em pode ocorrer, caso algu em crie um perl em seu nome em uma rede social, acesse sua conta de e-mail e envie mensagens se passando por voc e ou falsique os campos de e-mail, fazendo parecer que ele foi enviado por voc e. es voc Quanto mais informac o e disponibiliza sobre a sua vida e rotina, mais f acil se torna para um golpista furtar a sua identidade, pois mais dados ele tem dispon veis e mais convincente ele pode es sobre ser. Al em disto, o golpista pode usar outros tipos de golpes e ataques para coletar informac o voc e, inclusive suas senhas, como c odigos maliciosos (mais detalhes no Cap tulo C odigos maliciosos o de tr a bruta e interceptac a afego (mais detalhes no Cap tulo Ataques na (Malware)), ataques de forc Internet). Caso a sua identidade seja furtada, voc e poder a arcar com consequ encias como perdas nanceiras, o e falta de cr perda de reputac a edito. Al em disto, pode levar muito tempo e ser bastante desgastante at e que voc e consiga reverter todos os problemas causados pelo impostor. o: Prevenc a evitar que o impostor tenha acesso A melhor forma de impedir que sua identidade seja furtada e ` s suas contas de usu em disto, aos seus dados e a ario (mais detalhes no Cap tulo Privacidade). Al muito importante que voc para evitar que suas senhas sejam obtidas e indevidamente usadas, e e seja cuidadoso, tanto ao us a-las quanto ao elabor a-las (mais detalhes no Cap tulo Contas e senhas). necess E ario tamb em que voc e que atento a alguns ind cios que podem demonstrar que sua identidade est a sendo indevidamente usada por golpistas, tais como:
rg o de cr voc e comec a a ter problemas com o aos de protec a edito; voc e recebe o retorno de e-mails que n ao foram enviados por voc e; es de acesso que a sua conta de e-mail ou seu perl na rede social voc e verica nas noticac o foi acessado em hor arios ou locais em que voc e pr oprio n ao estava acessando; es ao analisar o extrato da sua conta banc aria ou do seu cart ao de cr edito voc e percebe transac o que n ao foram realizadas por voc e; es telef voc e recebe ligac o onicas, correspond encias e e-mails se referindo a assuntos sobre os quais voc e n ao sabe nada a respeito, como uma conta banc aria que n ao lhe pertence e uma compra n ao realizada por voc e.
uma tarefa simples atacar e fraudar dados em um servidor de uma instituiNormalmente, n ao e o banc o de c a aria ou comercial e, por este motivo, golpistas v em concentrando esforc os na explorac a fragilidades dos usu arios. Utilizando t ecnicas de engenharia social e por diferentes meios e discursos, es sens os golpistas procuram enganar e persuadir as potenciais v timas a fornecerem informac o veis es, como executar c ou a realizarem ac o odigos maliciosos e acessar p aginas falsas.
es nanceiras, acessar De posse dos dados das v timas, os golpistas costumam efetuar transac o sites, enviar mensagens eletr onicas, abrir empresas fantasmas e criar contas banc arias ileg timas, entre outras atividades maliciosas.
Muitos dos golpes aplicados na Internet podem ser considerados crimes contra o patrim onio, tipicados como estelionato. Dessa forma, o golpista pode ser considerado um estelionat ario.
es s Nas pr oximas sec o ao apresentados alguns dos principais golpes aplicados na Internet e alguns cuidados que voc e deve tomar para se proteger deles.
2. Golpes na Internet 7 8
2.2
o de recursos (Advance fee fraud) Fraude de antecipac a
o de recursos, ou advance fee fraud, e aquela na qual um golpista procura A fraude de antecipac a es condenciais ou a realizar um pagamento adiantado, com induzir uma pessoa a fornecer informac o a promessa de futuramente receber algum tipo de benef cio.
Loteria internacional: voc e recebe um e-mail informando que foi sorteado em uma loteria internacional, mas que para receber o pr emio a que tem direito, precisa fornecer seus dados pessoais e es sobre a sua conta banc informac o aria. Cr edito f acil: voc e recebe um e-mail contendo uma oferta de empr estimo ou nanciamento com ` s praticadas no mercado. Ap taxas de juros muito inferiores a os o seu cr edito ser supostamente informado que necessita efetuar um dep aprovado voc ee osito banc ario para o ressarcimento das despesas. o de animais: voc Doac a e deseja adquirir um animal de uma rac a bastante cara e, ao pesquisar por o. Ap poss veis vendedores, descobre que h a sites oferecendo estes animais para doac a os entrar solicitado que voc em contato, e e envie dinheiro para despesas de transporte. Oferta de emprego: voc e recebe uma mensagem em seu celular contendo uma proposta tentadora o, no entanto, e necess de emprego. Para efetivar a contratac a ario que voc e informe detalhes de sua conta banc aria. es sobre um poss Noiva russa: algu em deixa um recado em sua rede social contendo insinuac o vel relacionamento amoroso entre voc es. Esta pessoa mora em outro pa s, geralmente a R ussia, e ap os alguns contatos iniciais sugere que voc es se encontrem pessoalmente, mas, para que ela possa vir at e o seu pa s, necessita ajuda nanceira para as despesas de viagem. o: Prevenc a identicar as mensagens contendo tentativas de golpes. Uma A melhor forma de se prevenir e mensagem deste tipo, geralmente, possui caracter sticas como: oferece quantias astron omicas de dinheiro; es; solicita sigilo nas transac o solicita que voc e a responda rapidamente; apresenta palavras como urgente e condencial no campo de assunto; apresenta erros gramaticais e de ortograa (muitas mensagens s ao escritas por meio do uso de o e de concord programas tradutores e podem apresentar erros de traduc a ancia). Al em disto, adotar uma postura preventiva pode, muitas vezes, evitar que voc e seja v tima de muito importante que voc golpes. Por isto, e e: questione-se por que justamente voc e, entre os in umeros usu arios da Internet, foi escolhido para receber o benef cio proposto na mensagem e como chegaram at e voc e; es onde e necess descone de situac o ario efetuar algum pagamento com a promessa de futuramente receber um valor maior (pense que, em muitos casos, as despesas poderiam ser descontadas do valor total). demais, o santo descona ou Aplicar a sabedoria popular de ditados como Quando a esmola e Tudo que vem f acil, vai f acil, tamb em pode ajud a-lo nesses casos.
Por meio do recebimento de mensagens eletr onicas ou do acesso a sites fraudulentos, a pessoa envolvida em alguma situac o ou hist e a oria mirabolante, que justique a necessidade de envio de es pessoais ou a realizac o de algum pagamento adiantado, para a obtenc o de um benef informac o a a cio futuro. Ap os fornecer os recursos solicitados a pessoa percebe que o tal benef cio prometido n ao existe, constata que foi v tima de um golpe e que seus dados/dinheiro est ao em posse de golpistas.
um dos tipos de fraude de antecipac o de recursos O Golpe da Nig eria (Nigerian 4-1-9 Scam1 ) e a aplicado, geralmente, da seguinte forma: mais conhecidos e e
o dizendoa. Voc e recebe uma mensagem eletr onica em nome de algu em ou de alguma instituic a solicitado que voc se ser da Nig eria, na qual e e atue como intermedi ario em uma transfer encia internacional de fundos;
absurdamente alto e, caso voc o, b. o valor citado na mensagem e e aceite intermediar a transac a recebe a promessa de futuramente ser recompensado com uma porcentagem deste valor;
o c. o motivo, descrito na mensagem, pelo qual voc e foi selecionado para participar da transac a a indicac o de algum funcion geralmente e a ario ou amigo que o apontou como sendo uma pessoa honesta, con avel e merecedora do tal benef cio;
d. a mensagem deixa claro que se trata de uma transfer encia ilegal e, por isto, solicita sigilo absoluto e urg encia na resposta, caso contr ario, a pessoa procurar a por outro parceiro e voc e perder a a oportunidade;
e. ap os responder a mensagem e aceitar a proposta, os golpistas solicitam que voc e pague antecipadamente uma quantia bem elevada (por em bem inferior ao total que lhe foi prometido) para arcar com custos, como advogados e taxas de transfer encia de fundos;
informado que necessita reaf. ap os informar os dados e efetivar o pagamento solicitado, voc ee lizar novos pagamentos ou perde o contato com os golpistas;
g. nalmente, voc e percebe que, al em de perder todo o dinheiro investido, nunca ver a a quantia prometida como recompensa e que seus dados podem estar sendo indevidamente usados.
Apesar deste golpe ter cado conhecido como sendo da Nig eria, j a foram registrados diversos casos semelhantes, originados ou que mencionavam outros pa ses, geralmente de regi oes pobres ou que estejam passando por conitos pol ticos, econ omicos ou raciais.
o de recursos possui diversas variac es que, apesar de apresentarem difeA fraude de antecipac a o rentes discursos, assemelham-se pela forma como s ao aplicadas e pelos danos causados. Algumas es s destas variac o ao:
` sec o do C n umero 419 refere-se a a odigo Penal da Nig eria equivalente ao artigo 171 do C odigo Penal Brasileiro, ou seja, estelionato.
1O
Vale alertar que mensagens deste tipo nunca devem ser respondidas, pois isto pode servir para v o pode ser usada, por exemplo, para conrmar que o seu enderec o de e-mail e alido. Esta informac a inclu -lo em listas de spam ou de poss veis v timas em outros tipos de golpes.
2.3
Phishing
o tipo de Phishing2 , phishing-scam ou phishing/scam, e fraude por meio da qual um golpista tenta obter dados pessoais o combinada de meios e nanceiros de um usu ario, pela utilizac a t ecnicos e engenharia social.
T opico Albuns de fotos e v deos
o de recadastramento: voc Solicitac a e recebe uma mensagem, supostamente enviada pelo grupo de o de ensino que frequenta ou da empresa em que trabalha, informando que suporte da instituic a o e que e necess o servic o de e-mail est a passando por manutenc a ario o recadastramento. Para preciso que voc isto, e e fornec a seus dados pessoais, como nome de usu ario e senha.
O phishing ocorre por meio do envio de mensagens eletr onicas que:
o ocial de uma instituic o conhecida, como um banco, uma tentam se passar pela comunicac a a empresa ou um site popular;
o do usu procuram atrair a atenc a ario, seja por curiosidade, por caridade ou pela possibilidade de obter alguma vantagem nanceira;
o dos procedimentos descritos pode acarretar s informam que a n ao execuc a erias consequ encias, o em servic o de cr como a inscric a os de protec a edito e o cancelamento de um cadastro, de uma conta banc aria ou de um cart ao de cr edito;
tentam induzir o usu ario a fornecer dados pessoais e nanceiros, por meio do acesso a p aginas o; da instalac o de c falsas, que tentam se passar pela p agina ocial da instituic a a odigos malicio es sens sos, projetados para coletar informac o veis; e do preenchimento de formul arios contidos na mensagem ou em p aginas Web.
o do usu Para atrair a atenc a ario as mensagens apresentam diferentes t opicos e temas, normalmente explorando campanhas de publicidade, servic os, a imagem de pessoas e assuntos em destaque no es envolvendo phishing s momento, como exemplicado na Tabela 2.13 . Exemplos de situac o ao:
P aginas falsas de com ercio eletr onico ou Internet Banking: voc e recebe um e-mail, em nome de o nanceira, que tenta induzi-lo a clicar em um site de com ercio eletr onico ou de uma instituic a direcionado para uma p um link. Ao fazer isto, voc ee agina Web falsa, semelhante ao site que voc e realmente deseja acessar, onde s ao solicitados os seus dados pessoais e nanceiros.
P aginas falsas de redes sociais ou de companhias a ereas: voc e recebe uma mensagem contendo um link para o site da rede social ou da companhia a erea que voc e utiliza. Ao clicar, voc e direcionado para uma p solicitado o seu nome de usu e agina Web falsa onde e ario e a sua senha que, ao serem fornecidos, ser ao enviados aos golpistas que passar ao a ter acesso ao site e es em seu nome, como enviar mensagens ou emitir passagens a poder ao efetuar ac o ereas.
Mensagens contendo formul arios: voc e recebe uma mensagem eletr onica contendo um formul a o de dados pessoais e nanceiros. A mensagem solicita que rio com campos para a digitac a es. Ao voc e preencha o formul ario e apresenta um bot ao para conrmar o envio das informac o preencher os campos e conrmar o envio, seus dados s ao transmitidos para os golpistas.
Mensagens contendo links para c odigos maliciosos: voc e recebe um e-mail que tenta induzi-lo a apresentada uma menclicar em um link, para baixar e abrir/executar um arquivo. Ao clicar, e sagem de erro ou uma janela pedindo que voc e salve o arquivo. Ap os salvo, quando voc e abri-lo/execut a-lo, ser a instalado um c odigo malicioso em seu computador.
2 A palavra phishing, do ingl es shing, vem de uma analogia criada pelos fraudadores, onde iscas (mensagens eletr onicas) s ao usadas para pescar senhas e dados nanceiros de usu arios da Internet. 3 Esta lista n exaustiva e nem se aplica a todos os casos, pois ela pode variar conforme o destaque do momento. ao e
Tema da mensagem pessoa supostamente conhecida, celebridades algum fato noticiado em jornais, revistas ou televis ao o, nudez ou pornograa, servic traic a o de acompanhantes o de vacinas, eliminac o de v Antiv rus atualizac a a rus lanc amento de nova vers ao ou de novas funcionalidades es assistenciais Associac o AACD Teleton, Click Fome, Crianc a Esperanc a o para participac o em audi Avisos judiciais intimac a a encia comunicado de protesto, ordem de despejo o Cart oes de cr edito programa de delidade, promoc a Cart oes virtuais UOL, Voxcards, Yahoo! Cart oes, O Carteiro, Emotioncard o de compra Com ercio eletr onico cobranc a de d ebitos, conrmac a o de cadastro, devoluc o de produtos atualizac a a oferta em site de compras coletivas o, programa de milhagem Companhias a ereas promoc a es o para mes Eleic o t tulo eleitoral cancelado, convocac a ario o de curr Empregos cadastro e atualizac a culos, processo seletivo em aberto o de programa Imposto de renda nova vers ao ou correc a o, problema nos dados da declarac o consulta de restituic a a o de bancos e contas, suspens Internet Banking unicac a ao de acesso o de cadastro e de cart atualizac a ao de senhas o de m lanc amento ou atualizac a odulo de seguranc a comprovante de transfer encia e dep osito, cadastramento de computador es de tr Multas e infrac o ansito aviso de recebimento, recurso, transfer encia de pontos o dedicada por amigos M usicas canc a Not cias e boatos fato amplamente noticiado, ataque terrorista, trag edia natural o nanceira Pr emios loteria, instituic a Programas em geral lanc amento de nova vers ao ou de novas funcionalidades es Promoc o vale-compra, assinatura de jornal e revista o gratuita desconto elevado, prec o muito reduzido, distribuic a Propagandas produto, curso, treinamento, concurso Reality shows Big Brother Brasil, A Fazenda, Idolos o pendente, convite para participac o Redes sociais noticac a a o de foto aviso sobre foto marcada, permiss ao para divulgac a Servic os de Correios recebimento de telegrama online o de banco de dados Servic os de e-mail recadastramento, caixa postal lotada, atualizac a o de cr o de d o ou pend Servic os de protec a edito regularizac a ebitos, restric a encia nanceira Servic os de telefonia recebimento de mensagem, pend encia de d ebito bloqueio de servic os, detalhamento de fatura, cr editos gratuitos Sites com dicas de seguranc a aviso de conta de e-mail sendo usada para envio de spam (Antispam.br) cartilha de seguranc a (CERT.br, FEBRABAN, Abranet, etc.) es o de prec Solicitac o orc amento, documento, relat orio, cotac a os, lista de produtos Tabela 2.1: Exemplos de t opicos e temas de mensagens de phishing.
o: Prevenc a
o direta de um invasor, que venha a ter acesso a ` s congurac es do servic pela ac a o o de DNS do seu computador ou modem de banda larga. o: Prevenc a descone se, ao digitar uma URL, for redirecionado para outro site, o qual tenta realizar alguma o suspeita, como abrir um arquivo ou tentar instalar um programa; ac a descone imediatamente caso o site de com ercio eletr onico ou Internet Banking que voc e est a acessando n ao utilize conex ao segura. Sites con aveis de com ercio eletr onico e Internet Banking sempre usam conex oes seguras quando dados pessoais e nanceiros s ao solicitados (mais o 10.1.1 do Cap detalhes na Sec a tulo Uso seguro da Internet); observe se o certicado apresentado corresponde ao do site verdadeiro (mais detalhes na Se o 10.1.2 do Cap tulo Uso seguro da Internet). c a
o, que tentem induzi-lo a que atento a mensagens, recebidas em nome de alguma instituic a es, instalar/executar programas ou clicar em links; fornecer informac o
es com as quais voc questione-se por que instituic o e n ao tem contato est ao lhe enviando men o pr sagens, como se houvesse alguma relac a evia entre voc es (por exemplo, se voc e n ao tem conta em um determinado banco, n ao h a porque recadastrar dados ou atualizar m odulos de seguranc a);
o e que, de alguma forma, que atento a mensagens que apelem demasiadamente pela sua atenc a o ameacem caso voc e n ao execute os procedimentos descritos;
con n ao considere que uma mensagem e avel com base na conanc a que voc e deposita em seu remetente, pois ela pode ter sido enviada de contas invadidas, de pers falsos ou pode ter sido o 3.3 do Cap tulo Ataques na Internet); forjada (mais detalhes na Sec a
seja cuidadoso ao acessar links. Procure digitar o enderec o diretamente no navegador Web;
verique o link apresentado na mensagem. Golpistas costumam usar t ecnicas para ofuscar o poss link real para o phishing. Ao posicionar o mouse sobre o link, muitas vezes e vel ver o enderec o real da p agina falsa ou c odigo malicioso;
2.4
Golpes de com ercio eletr onico
utilize mecanismos de seguranc a, como programas antimalware, rewall pessoal e ltros an a); tiphishing (mais detalhes no Cap tulo Mecanismos de seguranc
Golpes de com ercio eletr onico s ao aqueles nos quais golpistas, com o objetivo de obter vantagens o de conanc o nanceiras, exploram a relac a a existente entre as partes envolvidas em uma transac a es. comercial. Alguns destes golpes s ao apresentados nas pr oximas sec o
verique se a p agina utiliza conex ao segura. Sites de com ercio eletr onico ou Internet Banking con aveis sempre utilizam conex oes seguras quando dados sens veis s ao solicitados (mais o 10.1.1 do Cap detalhes na Sec a tulo Uso seguro da Internet);
2.4.1
Golpe do site de com ercio eletr onico fraudulento
es mostradas no certicado. Caso a p verique as informac o agina falsa utilize conex ao segura, um novo certicado ser a apresentado e, possivelmente, o enderec o mostrado no navegador Web o 10.1.2 do ser a diferente do enderec o correspondente ao site verdadeiro (mais detalhes na Sec a Cap tulo Uso seguro da Internet);
Neste golpe, o golpista cria um site fraudulento, com o objetivo espec co de enganar os poss veis clientes que, ap os efetuarem os pagamentos, n ao recebem as mercadorias. Para aumentar as chances de sucesso, o golpista costuma utilizar artif cios como: enviar spam, fazer propaganda via links patrocinados, anunciar descontos em sites de compras coletivas e ofertar produtos muito procurados e com prec os abaixo dos praticados pelo mercado. Al em do comprador, que paga mas n ao recebe a mercadoria, este tipo de golpe pode ter outras v timas, como: uma empresa s eria, cujo nome tenha sido vinculado ao golpe; um site de compras coletivas, caso ele tenha intermediado a compra; o do site ou para abertura de empresas uma pessoa, cuja identidade tenha sido usada para a criac a fantasmas. o: Prevenc a fac a uma pesquisa de mercado, comparando o prec o do produto exposto no site com os valores obtidos na pesquisa e descone caso ele seja muito abaixo dos praticados pelo mercado;
o que supostamente enviou a mensagem e procure por informac es acesse a p agina da instituic a o (voc e vai observar que n ao faz parte da pol tica da maioria das empresas o envio de mensagens, de forma indiscriminada, para os seus usu arios).
2.3.1
Pharming
um tipo espec o da navegac o do usu Pharming e co de phishing que envolve a redirec a a ario para es no servic sites falsos, por meio de alterac o o de DNS (Domain Name System). Neste caso, quando redirecionado, de forma transparente, para voc e tenta acessar um site leg timo, o seu navegador Web e o pode ocorrer: uma p agina falsa. Esta redirec a
por meio do comprometimento do servidor de DNS do provedor que voc e utiliza;
o de c pela ac a odigos maliciosos projetados para alterar o comportamento do servic o de DNS do seu computador;
pesquise na Internet sobre o site, antes de efetuar a compra, para ver a opini ao de outros clientes;
2.4.3
Golpe do site de leil ao e venda de produtos
es de consumidores insatisfeitos, para vericar acesse sites especializados em tratar reclamac o es referentes a esta empresa; se h a reclamac o
que atento a propagandas recebidas atrav es de spam (mais detalhes no Cap tulo Spam);
aquele, por meio do qual, um comprador ou O golpe do site de leil ao e venda de produtos e es acordadas ou utiliza os dados pessoais e vendedor age de m a-f e e n ao cumpre com as obrigac o o comercial para outros ns. Por exemplo: nanceiros envolvidos na transac a o comprador tenta receber a mercadoria sem realizar o pagamento ou o realiza por meio de transfer encia efetuada de uma conta banc aria ileg tima ou furtada; o vendedor tenta receber o pagamento sem efetuar a entrega da mercadoria ou a entrega danicada, falsicada, com caracter sticas diferentes do anunciado ou adquirida de forma il cita e criminosa (por exemplo, proveniente de contrabando ou de roubo de carga); o comprador ou o vendedor envia e-mails falsos, em nome do sistema de gerenciamento de o do pagamento ou o envio da mercadoria pagamentos, como forma de comprovar a realizac a que, na realidade, n ao foi feito. o: Prevenc a fac a uma pesquisa de mercado, comparando o prec o do produto com os valores obtidos na pesquisa e descone caso ele seja muito abaixo dos praticados pelo mercado; marque encontros em locais p ublicos caso a entrega dos produtos seja feita pessoalmente; es de consumidores insatisfeitos e que os coloca acesse sites especializados em tratar reclamac o em contato com os respons aveis pela venda (voc e pode avaliar se a forma como o problema foi resolvido foi satisfat oria ou n ao); o dos utilize sistemas de gerenciamento de pagamentos pois, al em de dicultarem a aplicac a golpes, impedem que seus dados pessoais e nanceiros sejam enviados aos golpistas;
o 6.5 do Cap seja cuidadoso ao acessar links patrocinados (mais detalhes na Sec a tulo Outros riscos);
procure validar os dados de cadastro da empresa no site da Receita Federal4 ;
n ao informe dados de pagamento caso o site n ao oferec a conex ao segura ou n ao apresente um o 10.1 do Cap tulo Uso seguro da Internet). certicado con avel (mais detalhes na Sec a
2.4.2
Golpe envolvendo sites de compras coletivas
Sites de compras coletivas t em sido muito usados em golpes de sites de com ercio eletr onico frau o 2.4.1. Al ` s relac es comerciais cotidianas, dulentos, como descrito na Sec a em dos riscos inerentes a o os sites de compras coletivas tamb em apresentam riscos pr oprios, gerados principalmente pela press ao imposta ao consumidor em tomar decis oes r apidas pois, caso contr ario, podem perder a oportunidade de compra.
Golpistas criam sites fraudulentos e os utilizam para anunciar produtos nos sites de compras coletivas e, assim, conseguir grande quantidade de v timas em um curto intervalo de tempo.
Al em disto, sites de compras coletivas tamb em podem ser usados como tema de mensagens de phishing. Golpistas costumam mandar mensagens como se tivessem sido enviadas pelo site verdadeiro e, desta forma, tentam induzir o usu ario a acessar uma p agina falsa e a fornecer dados pessoais, como n umero de cart ao de cr edito e senhas.
o: Prevenc a
o de um pagamento diretamente em sua conta banc procure conrmar a realizac a aria ou pelo site do sistema de gerenciamento de pagamentos (n ao cone apenas em e-mails recebidos, pois eles podem ser falsos); o o do usu a verique a reputac a ario5 (muitos sites possuem sistemas que medem a reputac de compradores e vendedores, por meio da opini ao de pessoas que j a negociaram com este usu ario); acesse os sites, tanto do sistema de gerenciamento de pagamentos como o respons avel pelas vendas, diretamente do navegador, sem clicar em links recebidos em mensagens; mesmo que o vendedor lhe envie o c odigo de rastreamento fornecido pelos Correios, n ao utilize o para comprovar o envio e liberar o pagamento (at esta informac a e que voc e tenha a mercadoria realmente o que foi solicitado). em m aos n ao h a nenhuma garantia de que o que foi enviado e
procure n ao comprar por impulso apenas para garantir o produto ofertado;
seja cauteloso e fac a pesquisas pr evias, pois h a casos de produtos anunciados com desconto, mas que na verdade, apresentam valores superiores aos de mercado;
pesquise na Internet sobre o site de compras coletivas, antes de efetuar a compra, para ver a opini ao de outros clientes e observar se foi satisfat oria a forma como os poss veis problemas foram resolvidos;
o 2.3 para se prevenir de golpes envolvendo phishing; siga as dicas apresentadas na Sec a
o 2.4.1 para se prevenir de golpes envolvendo sites de com er siga as dicas apresentadas na Sec a cio eletr onico fraudulento.
5 As informac es dos sistemas de reputac o, apesar de auxiliarem na selec o de usu o a a arios, n ao devem ser usadas como nica medida de prevenc o, pois contas com reputac o alta s u a a ao bastante visadas para golpes de phishing.
4 http://www.receita.fazenda.gov.br/.
2.5
enfatiza que ele deve ser repassado rapidamente para o maior n umero de pessoas;
Boato (Hoax)
poss j a foi repassado diversas vezes (no corpo da mensagem, normalmente, e vel observar cabec alhos de e-mails repassados por outras pessoas). Al em disto, muitas vezes, uma pesquisa na Internet pelo assunto da mensagem pode ser suciente importante ressaltar que voc para localizar relatos e den uncias j a feitas. E e nunca deve repassar boatos pois, ao fazer isto, estar a endossando ou concordando com o seu conte udo.
uma mensagem que Um boato, ou hoax, e possui conte udo alarmante ou falso e que, geralmente, tem como remetente, ou aponta o, empresa imcomo autora, alguma instituic a rg portante ou o ao governamental. Por meio de uma leitura minuciosa de seu conte udo, normalmente, poss es sem sentido e tentativas de golpes, como correntes e pir e vel identicar informac o amides.
Boatos podem trazer diversos problemas, tanto para aqueles que os recebem e os distribuem, como para aqueles que s ao citados em seus conte udos. Entre estes diversos problemas, um boato pode:
o 2.6 Prevenc a
Outras dicas gerais para se proteger de golpes aplicados na Internet s ao:
conter c odigos maliciosos;
o pela Internet; espalhar desinformac a importante noticar a instituic o envolvida, Notique: caso identique uma tentativa de golpe, e a o 7.2 do para que ela possa tomar as provid encias que julgar cab veis (mais detalhes na Sec a Cap tulo Mecanismos de seguranc a). muito importante que Mantenha-se informado: novas formas de golpes podem surgir, portanto e o que voc voc e se mantenha informado. Algumas fontes de informac a e pode consultar s ao: es de inform o e de sites de not sec o atica de jornais de grande circulac a cias que, normalmente, trazem mat erias ou avisos sobre os golpes mais recentes; sites de empresas mencionadas nas mensagens (algumas empresas colocam avisos em suas o est p aginas quando percebem que o nome da instituic a a sendo indevidamente usado); sites especializados que divulgam listas contendo os golpes que est ao sendo aplicados e seus respectivos conte udos. Alguns destes sites s ao:
ocupar, desnecessariamente, espac o nas caixas de e-mails dos usu arios;
o de pessoas ou entidades referenciadas na mensagem; comprometer a credibilidade e a reputac a
o da pessoa que o repassa pois, ao fazer isto, esta comprometer a credibilidade e a reputac a pessoa estar a supostamente endossando ou concordando com o conte udo da mensagem;
aumentar excessivamente a carga de servidores de e-mail e o consumo de banda de rede, necess arios para a transmiss ao e o processamento das mensagens;
es a serem realizadas e que, se forem efetivadas, podem indicar, no conte udo da mensagem, ac o resultar em s erios danos, como apagar um arquivo que supostamente cont em um c odigo mali parte importante do sistema operacional instalado no computador. cioso, mas que na verdade e
o: Prevenc a
Normalmente, os boatos se propagam pela boa vontade e solidariedade de quem os recebe, pois h a uma grande tend encia das pessoas em conar no remetente, n ao vericar a proced encia e n ao o de boatos conferir a veracidade do conte udo da mensagem. Para que voc e possa evitar a distribuic a muito importante conferir a proced e encia dos e-mails e, mesmo que tenham como remetente algu em preciso certicar-se de que a mensagem n um boato. conhecido, e ao e
Um boato, geralmente, apresenta pelo menos uma das seguintes caracter sticas6 :
arma n ao ser um boato;
sugere consequ encias tr agicas caso uma determinada tarefa n ao seja realizada;
Monitor das Fraudes http://www.fraudes.org/ (em portugu es) Quatro Cantos http://www.quatrocantos.com/LENDAS/ (em portugu es) Snopes.com - Urban Legends Reference Pages http://www.snopes.com/ (em ingl es) Symantec Security Response Hoaxes http://www.symantec.com/avcenter/hoax.html (em ingl es) TruthOrFiction.com http://www.truthorfiction.com/ (em ingl es) Urban Legends and Folklore http://urbanlegends.about.com/ (em ingl es)
o de alguma ac o; promete ganhos nanceiros ou pr emios mediante a realizac a a
apresenta erros gramaticais e de ortograa;
es contradit apresenta informac o orias;
6 Estas caracter sticas devem ser usadas apenas como guia, pois podem existir boatos que n ao apresentem nenhuma delas, assim como podem haver mensagens leg timas que apresentem algumas.
18
es comerciais: tornar inacess Motivac o vel ou invadir sites e computadores de empresas concorren o destas empresas. tes, para tentar impedir o acesso dos clientes ou comprometer a reputac a Para alcanc ar estes objetivos os atacantes costumam usar t ecnicas, como as descritas nas pr oximas es. sec o
3. Ataques na Internet
o de vulnerabilidades 3.1 Explorac a
denida como uma condic o que, quando explorada por um atacante, Uma vulnerabilidade e a o de seguranc pode resultar em uma violac a a. Exemplos de vulnerabilidades s ao falhas no projeto, na o ou na congurac o de programas, servic implementac a a os ou equipamentos de rede. o de vulnerabilidades ocorre quando um atacante, utilizando-se de uma Um ataque de explorac a es maliciosas, como invadir um sistema, acessar informac es convulnerabilidade, tenta executar ac o o denciais, disparar ataques contra outros computadores ou tornar um servic o inacess vel.
3.2 Varredura em redes (Scan)

uma t Varredura em redes, ou scan1 , e ecnica que consiste em efetuar buscas minuciosas em re es sobre eles como, por des, com o objetivo de identicar computadores ativos e coletar informac o es coletadas e exemplo, servic os disponibilizados e programas instalados. Com base nas informac o poss vel associar poss veis vulnerabilidades aos servic os disponibilizados e aos programas instalados nos computadores ativos detectados. o de vulnerabilidades associadas podem ser usadas de forma: A varredura em redes e a explorac a Leg tima: por pessoas devidamente autorizadas, para vericar a seguranc a de computadores e redes e, assim, tomar medidas corretivas e preventivas.
Ataques costumam ocorrer na Internet com diversos objetivos, visando diferentes alvos e usando variadas t ecnicas. Qualquer servic o, computador ou rede que seja acess vel via Internet pode ser alvo ` Internet pode participar de um ataque. de um ataque, assim como qualquer computador com acesso a
Os motivos que levam os atacantes a desferir ataques na Internet s ao bastante diversos, variando o de ac es criminosas. Alguns exemplos s da simples divers ao at e a realizac a o ao:
o de poder: mostrar a uma empresa que ela pode ser invadida ou ter os servic Demonstrac a os suspensos e, assim, tentar vender servic os ou chantage a-la para que o ataque n ao ocorra novamente.
Maliciosa: por atacantes, para explorar as vulnerabilidades encontradas nos servic os disponibili o de atividades maliciosas. Os atacantes zados e nos programas instalados para a execuc a tamb em podem utilizar os computadores ativos detectados como potenciais alvos no processo o autom de propagac a atica de c odigos maliciosos e em ataques de forc a bruta (mais detalhes no o 3.5, respectivamente). odigos maliciosos (Malware) e na Sec a Cap tulo C
Prest gio: vangloriar-se, perante outros atacantes, por ter conseguido invadir computadores, tornar servic os inacess veis ou desgurar sites considerados visados ou dif ceis de serem atacados; disputar com outros atacantes ou grupos de atacantes para revelar quem consegue realizar o maior n umero de ataques ou ser o primeiro a conseguir atingir um determinado alvo.
3.3
o de e-mail (E-mail spoong) Falsicac a

o de e-mail, ou e-mail spoong, e uma t Falsicac a ecnica que consiste em alterar campos do cabec alho de um e-mail, de forma a aparentar que ele foi enviado de uma determinada origem quando, na verdade, foi enviado de outra.
1 N ao confunda scan com scam. Scams, com m, s ao esquemas para enganar um usu ario, geralmente, com nalidade de obter vantagens nanceiras (mais detalhes no Cap tulo Golpes na Internet).
es nanceiras: coletar e utilizar informac es condenciais de usu Motivac o o arios para aplicar golpes (mais detalhes no Cap tulo Golpes na Internet).
es ideol ` opiMotivac o ogicas: tornar inacess vel ou invadir sites que divulguem conte udo contr ario a ni ao do atacante; divulgar mensagens de apoio ou contr arias a uma determinada ideologia.
17
3. Ataques na Internet 19 20
poss Esta t ecnica e vel devido a caracter sticas do protocolo SMTP (Simple Mail Transfer Protocol) que permitem que campos do cabec alho, como From: (enderec o de quem enviou a mensagem), Reply-To (enderec o de resposta da mensagem) e Return-Path (enderec o para onde poss veis erros no envio da mensagem s ao reportados), sejam falsicados.
3.5
Forc a bruta (Brute force)
o de c Ataques deste tipo s ao bastante usados para propagac a odigos maliciosos, envio de spam e em golpes de phishing. Atacantes utilizam-se de enderec os de e-mail coletados de computadores infectados para enviar mensagens e tentar fazer com que os seus destinat arios acreditem que elas partiram de pessoas conhecidas.
Um ataque de forc a bruta, ou brute force, consiste em adivinhar, por tentativa e erro, um nome de usu ario e senha e, assim, executar processos e acessar sites, computadores e servic os em nome e com os mesmos privil egios deste usu ario. Qualquer computador, equipamento de rede ou servic o que seja acess vel via Internet, com um nome de usu ario e uma senha, pode ser alvo de um ataque de forc a bruta. Dispositivos m oveis, que estejam protegidos por senha, al em de poderem ser atacados pela rede, tamb em podem ser alvo deste tipo de ataque caso o atacante tenha acesso f sico a eles. es Se um atacante tiver conhecimento do seu nome de usu ario e da sua senha ele pode efetuar ac o maliciosas em seu nome como, por exemplo: trocar a sua senha, dicultando que voc e acesse novamente o site ou computador invadido; ` invadir o servic o de e-mail que voc e utiliza e ter acesso ao conte udo das suas mensagens e a sua lista de contatos, al em de poder enviar mensagens em seu nome; acessar a sua rede social e enviar mensagens aos seus seguidores contendo c odigos maliciosos es de privacidade; ou alterar as suas opc o es, como invadir o seu computador e, de acordo com as permiss oes do seu usu ario, executar ac o es condenciais e instalar c apagar arquivos, obter informac o odigos maliciosos. Mesmo que o atacante n ao consiga descobrir a sua senha, voc e pode ter problemas ao acessar a sua conta caso ela tenha sofrido um ataque de forc a bruta, pois muitos sistemas bloqueiam as contas quando v arias tentativas de acesso sem sucesso s ao realizadas. Apesar dos ataques de forc a bruta poderem ser realizados manualmente, na grande maioria dos casos, eles s ao realizados com o uso de ferramentas automatizadas facilmente obtidas na Internet e que permitem tornar o ataque bem mais efetivo. o costumam ser baseadas em: As tentativas de adivinhac a dicion arios de diferentes idiomas e que podem ser facilmente obtidos na Internet; listas de palavras comumente usadas, como personagens de lmes e nomes de times de futebol; es o bvias de caracteres, como trocar a por @ e o por 0; substituic o sequ encias num ericas e de teclado, como 123456, qwert e 1qaz2wsx; es pessoais, de conhecimento pr informac o evio do atacante ou coletadas na Internet em redes sociais e blogs, como nome, sobrenome, datas e n umeros de documentos. realizado, pode resultar em um ataque de Um ataque de forc a bruta, dependendo de como e o de servic ` sobrecarga produzida pela grande quantidade de tentativas realizadas negac a o, devido a em um pequeno per odo de tempo (mais detalhes no Cap tulo Contas e senhas).
Exemplos de e-mails com campos falsicados s ao aqueles recebidos como sendo:
de algu em conhecido, solicitando que voc e clique em um link ou execute um arquivo anexo;
do seu banco, solicitando que voc e siga um link fornecido na pr opria mensagem e informe dados da sua conta banc aria;
es pessoais e do administrador do servic o de e-mail que voc e utiliza, solicitando informac o ameac ando bloquear a sua conta caso voc e n ao as envie.
es onde o seu pr Voc e tamb em pode j a ter observado situac o oprio enderec o de e-mail foi indevidamente utilizado. Alguns ind cios disto s ao:
voc e recebe respostas de e-mails que voc e nunca enviou;
voc e recebe e-mails aparentemente enviados por voc e mesmo, sem que voc e tenha feito isto;
o de e-mails que voc voc e recebe mensagens de devoluc a e nunca enviou, reportando erros como usu ario desconhecido e caixa de entrada lotada (cota excedida).
o de tr 3.4 Interceptac a afego (Snifng)
o de tr uma t Interceptac a afego, ou snifng, e ecnica que consiste em inspecionar os dados trafegados em redes de computadores, por meio do uso de programas espec cos chamados de sniffers. Esta t ecnica pode ser utilizada de forma:
Leg tima: por administradores de redes, para detectar problemas, analisar desempenho e monitorar atividades maliciosas relativas aos computadores ou redes por eles administrados.
es sens Maliciosa: por atacantes, para capturar informac o veis, como senhas, n umeros de cart ao de cr edito e o conte udo de arquivos condenciais que estejam trafegando por meio de conex oes inseguras, ou seja, sem criptograa.
es capturadas por esta t Note que as informac o ecnica s ao armazenadas na forma como trafegam, es que trafegam criptografadas apenas ser teis ao atacante se ele conseguir ou seja, informac o ao u decodic a-las (mais detalhes no Cap tulo Criptograa).
3. Ataques na Internet 21 22
3.6
o de p Desgurac a agina (Defacement)
o de grande tr pela gerac a afego de dados para uma rede, ocupando toda a banda dispon vel e tornando indispon vel qualquer acesso a computadores ou servic os desta rede; o de vulnerabilidades existentes em programas, que podem fazer com que um pela explorac a determinado servic o que inacess vel.
o de p o, e uma t Desgurac a agina, defacement ou pichac a ecnica que consiste em alterar o conte udo da p agina Web de um site.
As principais formas que um atacante, neste caso tamb em chamado de defacer, pode utilizar para desgurar uma p agina Web s ao:
o Web; explorar erros da aplicac a
o Web; explorar vulnerabilidades do servidor de aplicac a
es onde h o de recursos, caso um servic Nas situac o a saturac a o n ao tenha sido bem dimensionado, es leg ele pode car inoperante ao tentar atender as pr oprias solicitac o timas. Por exemplo, um site de transmiss ao dos jogos da Copa de Mundo pode n ao suportar uma grande quantidade de usu arios que queiram assistir aos jogos nais e parar de funcionar.
o ou dos pacotes utilizados no desenvol explorar vulnerabilidades da linguagem de programac a o Web; vimento da aplicac a
o 3.8 Prevenc a
o Web est invadir o servidor onde a aplicac a a hospedada e alterar diretamente os arquivos que comp oem o site;
` interface Web usada para administrac o remota. furtar senhas de acesso a a
o conjunto de O que dene as chances de um ataque na Internet ser ou n ao bem sucedido e es e administradores dos medidas preventivas tomadas pelos usu arios, desenvolvedores de aplicac o computadores, servic os e equipamentos envolvidos. Se cada um zer a sua parte, muitos dos ataques realizados via Internet podem ser evitados ou, ao menos, minimizados. proteger os seus dados, fazer uso dos mecaA parte que cabe a voc e, como usu ario da Internet, e o dispon nismos de protec a veis e manter o seu computador atualizado e livre de c odigos maliciosos. Ao fazer isto, voc e estar a contribuindo para a seguranc a geral da Internet, pois: quanto menor a quantidade de computadores vulner aveis e infectados, menor ser a a pot encia o de servic o 4.3, das botnets e menos ecazes ser ao os ataques de negac a o (mais detalhes na Sec a do Cap tulo C odigos maliciosos (Malware)); quanto mais consciente dos mecanismos de seguranc a voc e estiver, menores ser ao as chances a); de sucesso dos atacantes (mais detalhes no Cap tulo Mecanismos de seguranc quanto melhores forem as suas senhas, menores ser ao as chances de sucesso de ataques de forc a bruta e, consequentemente, de suas contas serem invadidas (mais detalhes no Cap tulo Contas e senhas); quanto mais os usu arios usarem criptograa para proteger os dados armazenados nos computadores ou aqueles transmitidos pela Internet, menores ser ao as chances de tr afego em texto claro ser interceptado por atacantes (mais detalhes no Cap tulo Criptograa); quanto menor a quantidade de vulnerabilidades existentes em seu computador, menores ser ao as chances de ele ser invadido ou infectado (mais detalhes no Cap tulo Seguranc a de computadores). Fac a sua parte e contribua para a seguranc a da Internet, incluindo a sua pr opria!
o e atingir maior n Para ganhar mais visibilidade, chamar mais atenc a umero de visitantes, geralmente, os atacantes alteram a p agina principal do site, por em p aginas internas tamb em podem ser alteradas.
o de servic 3.7 Negac a o (DoS e DDoS)
o de servic uma t Negac a o, ou DoS (Denial of Service), e ecnica pela qual um atacante utiliza um o um servic ` Internet. computador para tirar de operac a o, um computador ou uma rede conectada a Quando utilizada de forma coordenada e distribu da, ou seja, quando um conjunto de computadores utilizado no ataque, recebe o nome de negac o de servic e a o distribu do, ou DDoS (Distributed Denial of Service).
invadir e nem coletar informac es, mas sim exaurir recursos e O objetivo destes ataques n ao e o causar indisponibilidades ao alvo. Quando isto ocorre, todas as pessoas que dependem dos recursos es desejadas. afetados s ao prejudicadas, pois cam impossibilitadas de acessar ou realizar as operac o
Nos casos j a registrados de ataques, os alvos caram impedidos de oferecer servic os durante o per odo em que eles ocorreram, mas, ao nal, voltaram a operar normalmente, sem que tivesse havido es ou comprometimento de sistemas ou computadores. vazamento de informac o
Uma pessoa pode voluntariamente usar ferramentas e fazer com que seu computador seja utilizado em ataques. A grande maioria dos computadores, por em, participa dos ataques sem o conhe o 4.3 do cimento de seu dono, por estar infectado e fazendo parte de botnets (mais detalhes na Sec a Cap tulo C odigos maliciosos (Malware)).
o de servic Ataques de negac a o podem ser realizados por diversos meios, como:
es para um servic pelo envio de grande quantidade de requisic o o, consumindo os recursos necess arios ao seu funcionamento (processamento, n umero de conex oes simult aneas, mem oria es dos demais usu e espac o em disco, por exemplo) e impedindo que as requisic o arios sejam atendidas;
24
Os principais motivos que levam um atacante a desenvolver e a propagar c odigos maliciosos s ao a o de vantagens nanceiras, a coleta de informac es condenciais, o desejo de autopromoc o obtenc a o a e o vandalismo. Al em disto, os c odigos maliciosos s ao muitas vezes usados como intermedi arios e o de ataques e a disseminac o de spam (mais detalhes nos possibilitam a pr atica de golpes, a realizac a a Cap tulos Golpes na Internet, Ataques na Internet e Spam, respectivamente). es. Os principais tipos de c odigos maliciosos existentes s ao apresentados nas pr oximas sec o
4. C odigos maliciosos (Malware)

4.1 V rus
um programa ou parte de um programa de computaV rus e dor, normalmente malicioso, que se propaga inserindo c opias de si mesmo e se tornando parte de outros programas e arquivos.
o, o v Para que possa se tornar ativo e dar continuidade ao processo de infecc a rus depende da o do programa ou arquivo hospedeiro, ou seja, para que o seu computador seja infectado e execuc a preciso que um programa j a infectado seja executado. o de v O principal meio de propagac a rus costumava ser os disquetes. Com o tempo, por em, estas m dias ca ram em desuso e comec aram a surgir novas maneiras, como o envio de e-mail. Atualmente, o, n as m dias remov veis tornaram-se novamente o principal meio de propagac a ao mais por disquetes, mas, principalmente, pelo uso de pen-drives. H a diferentes tipos de v rus. Alguns procuram permanecer ocultos, infectando arquivos do disco e executando uma s erie de atividades sem o conhecimento do usu ario. H a outros que permanecem inativos durante certos per odos, entrando em atividade apenas em datas espec cas. Alguns dos tipos de v rus mais comuns s ao: V rus propagado por e-mail: recebido como um arquivo anexo a um e-mail cujo conte udo tenta induzir o usu ario a clicar sobre este arquivo, fazendo com que seja executado. Quando entra o, infecta arquivos e programas e envia c em ac a opias de si mesmo para os e-mails encontrados nas listas de contatos gravadas no computador.
es C odigos maliciosos (malware) s ao programas especicamente desenvolvidos para executar ac o danosas e atividades maliciosas em um computador. Algumas das diversas formas como os c odigos maliciosos podem infectar ou comprometer um computador s ao:
o de vulnerabilidades existentes nos programas instalados; pela explorac a
o de m pela auto-execuc a dias remov veis infectadas, como pen-drives;
V rus de script: escrito em linguagem de script, como VBScript e JavaScript, e recebido ao acessar uma p agina Web ou por e-mail, como um arquivo anexo ou como parte do pr oprio e-mail escrito o do em formato HTML. Pode ser automaticamente executado, dependendo da congurac a navegador Web e do programa leitor de e-mails do usu ario. V rus de macro: tipo espec co de v rus de script, escrito em linguagem de macro, que tenta infectar arquivos manipulados por aplicativos que utilizam esta linguagem como, por exemplo, os que comp oe o Microsoft Ofce (Excel, Word e PowerPoint, entre outros). V rus de telefone celular: v rus que se propaga de celular para celular por meio da tecnologia blue o ocorre quando um tooth ou de mensagens MMS (Multimedia Message Service). A infecc a usu ario permite o recebimento de um arquivo infectado e o executa. Ap os infectar o celular, o v rus pode destruir ou sobrescrever arquivos, remover ou transmitir contatos da agenda, efetuar es telef ligac o onicas e drenar a carga da bateria, al em de tentar se propagar para outros celulares.
pelo acesso a p aginas Web maliciosas, utilizando navegadores vulner aveis;
o direta de atacantes que, ap pela ac a os invadirem o computador, incluem arquivos contendo c odigos maliciosos;
o de arquivos previamente infectados, obtidos em anexos de mensagens eletr pela execuc a onicas, via m dias remov veis, em p aginas Web ou diretamente de outros computadores (atrav es do compartilhamento de recursos).
Uma vez instalados, os c odigos maliciosos passam a ter acesso aos dados armazenados no com es em nome dos usu putador e podem executar ac o arios, de acordo com as permiss oes de cada usu ario.
23
4. Codigos maliciosos (Malware) 25 26 Cartilha de Seguranc a para Internet
4.2 4.3
um programa que disp Bot e oe de mecanismos de comunica o com o invasor que permitem que ele seja controlado remotac a o e propagac o similar ao do mente. Possui processo de infecc a a capaz de se propagar automaticamente, exploworm, ou seja, e rando vulnerabilidades existentes em programas instalados em computadores.
Worm
Bot e botnet
um programa capaz de se propagar automaticamente pelas redes, Worm e enviando c opias de si mesmo de computador para computador.
Diferente do v rus, o worm n ao se propaga por meio da inclus ao de c opias de si mesmo em outros programas ou arquivos, mas sim pela o direta de suas c o autom execuc a opias ou pela explorac a atica de vulnerabilidades existentes em programas instalados em computadores.
` grande quantidade Worms s ao notadamente respons aveis por consumir muitos recursos, devido a de c opias de si mesmo que costumam propagar e, como consequ encia, podem afetar o desempenho o de computadores. de redes e a utilizac a
o entre o invasor e o computador infectado pelo bot pode ocorrer via canais de A comunicac a IRC, servidores Web e redes do tipo P2P, entre outros meios. Ao se comunicar, o invasor pode es para que ac es maliciosas sejam executadas, como desferir ataques, furtar dados do enviar instruc o o computador infectado e enviar spam. Um computador infectado por um bot costuma ser chamado de zumbi (zombie computer), pois pode ser controlado remotamente, sem o conhecimento do seu dono. Tamb em pode ser chamado de spam zombie quando o bot instalado o transforma em um servidor de e-mails e o utiliza para o envio de spam.
o e infecc o dos worms ocorre da seguinte maneira: O processo de propagac a a
o dos computadores alvos: ap a. Identicac a os infectar um computador, o worm tenta se propa o. Para isto, necessita identicar os computadores alvos gar e continuar o processo de infecc a para os quais tentar a se copiar, o que pode ser feito de uma ou mais das seguintes maneiras:
efetuar varredura na rede e identicar computadores ativos;
aguardar que outros computadores contatem o computador infectado;
o dos alvos; utilizar listas, predenidas ou obtidas na Internet, contendo a identicac a
uma rede formada por Botnet e centenas ou milhares de computadores zumbis e que permite potencializar as es danosas executadas pelos bots. ac o
es contidas no computador infectado, como arquivos de congurac o e utilizar informac o a listas de enderec os de e-mail.
b. Envio das c opias: ap os identicar os alvos, o worm efetua c opias de si mesmo e tenta envi a-las para estes computadores, por uma ou mais das seguintes formas:
o de vulnerabilidades existentes em programas instalados no com como parte da explorac a putador alvo;
Quanto mais zumbis participarem da botnet mais potente ela ser a. O atacante que a controlar, al em de us ala para seus pr oprios ataques, tamb em pode alug a-la para outras pessoas ou o magrupos que desejem que uma ac a liciosa espec ca seja executada.
anexadas a e-mails;
via canais de IRC (Internet Relay Chat);
via programas de troca de mensagens instant aneas;
es maliciosas que costumam ser executadas por interm Algumas das ac o edio de botnets s ao: ata o de servic o de c ques de negac a o, propagac a odigos maliciosos (inclusive do pr oprio bot), coleta de es de um grande n informac o umero de computadores, envio de spam e camuagem da identidade do atacante (com o uso de proxies instalados nos zumbis). O esquema simplicado apresentado a seguir exemplica o funcionamento b asico de uma botnet: a. Um atacante propaga um tipo espec co de bot na esperanc a de infectar e conseguir a maior quantidade poss vel de zumbis; ` disposic o do atacante, agora seu controlador, a ` espera dos comandos b. os zumbis cam ent ao a a a serem executados; o seja realizada, ele envia aos zumbis os comandos a c. quando o controlador deseja que uma ac a serem executados, usando, por exemplo, redes do tipo P2P ou servidores centralizados; d. os zumbis executam ent ao os comandos recebidos, durante o per odo predeterminado pelo controlador; o se encerra, os zumbis voltam a car a ` espera dos pr e. quando a ac a oximos comandos a serem executados.
inclu das em pastas compartilhadas em redes locais ou do tipo P2P (Peer to Peer).
o das c c. Ativac a opias: ap os realizado o envio da c opia, o worm necessita ser executado para que o ocorra, o que pode acontecer de uma ou mais das seguintes maneiras: a infecc a
o de vulnerabilidades em progra imediatamente ap os ter sido transmitido, pela explorac a mas sendo executados no computador alvo no momento do recebimento da c opia;
o de uma das c diretamente pelo usu ario, pela execuc a opias enviadas ao seu computador;
o de uma ac o espec pela realizac a a ca do usu ario, a qual o worm est a condicionado como, o de uma m por exemplo, a inserc a dia remov vel.
o e infecc o recod. Rein cio do processo: ap os o alvo ser infectado, o processo de propagac a a mec a, sendo que, a partir de agora, o computador que antes era o alvo passa a ser tamb em o computador originador dos ataques.
4.4 4.5 Backdoor

um programa que permite o Backdoor e retorno de um invasor a um computador comprometido, por meio da inclus ao de servic os criados ou modicados para este m. o de outros Pode ser inclu do pela ac a c odigos maliciosos, que tenham previamente infectado o computador, ou por atacantes, que exploram vulnerabilidades existentes nos programas instalados no computador para invadi-lo.
Spyware
um programa projetado para monitorar as atividades Spyware e es coletadas para terceiros. de um sistema e enviar as informac o
Pode ser usado tanto de forma leg tima quanto maliciosa, de instalado, das ac es realizadas, do tipo de pendendo de como e o o monitorada e do uso que e feito por quem recebe as informac a es coletadas. Pode ser considerado de uso: informac o
Leg timo: quando instalado em um computador pessoal, pelo pr oprio dono ou com consentimento deste, com o objetivo de vericar se outras pessoas o est ao utilizando de modo abusivo ou n ao autorizado.
es que podem comprometer a privacidade do usu Malicioso: quando executa ac o ario e a seguranc a es referentes a ` navegac o do usu do computador, como monitorar e capturar informac o a ario ou inseridas em outros programas (por exemplo, conta de usu ario e senha).
usado para assegurar o acesso futuro ao computador comprometido, Ap os inclu do, o backdoor e permitindo que ele seja acessado remotamente, sem que haja necessidade de recorrer novamente aos o da invas o e, na maioria dos casos, sem que seja notado. m etodos utilizados na realizac a ao ou infecc a
Alguns tipos espec cos de programas spyware s ao:
o de um novo servic A forma usual de inclus ao de um backdoor consiste na disponibilizac a o ou o de um determinado servic na substituic a o por uma vers ao alterada, normalmente possuindo recursos o remota, como BackOrice, NetBus, Subque permitem o acesso remoto. Programas de administrac a Seven, VNC e Radmin, se mal congurados ou utilizados sem o consentimento do usu ario, tamb em podem ser classicados como backdoors. o de H a casos de backdoors inclu dos propositalmente por fabricantes de programas, sob alegac a ` seguranc necessidades administrativas. Esses casos constituem uma s eria ameac a a a de um computador que contenha um destes programas instalados pois, al em de comprometerem a privacidade do usu ario, tamb em podem ser usados por invasores para acessarem remotamente o computador.
Keylogger: capaz de capturar e armazenar as teclas digitadas pelo o, em muitos casos, e usu ario no teclado do computador. Sua ativac a o pr condicionada a uma ac a evia do usu ario, como o acesso a um site espec co de com ercio eletr onico ou de Internet Banking.
o do cursor e Screenlogger: similar ao keylogger, capaz de armazenar a posic a clicado, ou a a tela apresentada no monitor, nos momentos em que o mouse e bastante utilizado por o onde o mouse e clicado. E regi ao que circunda a posic a atacantes para capturar as teclas digitadas pelos usu arios em teclados virtuais, dispon veis principalmente em sites de Internet Banking.
4.6 Cavalo de troia (Trojan)

um programa que, al Cavalo de troia1 , trojan ou trojan-horse, e em es para as quais foi aparentemente projetado, de executar as func o es, normalmente maliciosas, e sem o cotamb em executa outras func o nhecimento do usu ario. Exemplos de trojans s ao programas que voc e recebe ou obt em de sites na Internet e que parecem lbuns de fotos, jogos e protetores de tela, entre outros. Estes ser apenas cart oes virtuais animados, a nico arquivo e necessitam ser explicitamente executados programas, geralmente, consistem de um u para que sejam instalados no computador. Trojans tamb em podem ser instalados por atacantes que, ap os invadirem um computador, alteram es originais, tamb programas j a existentes para que, al em de continuarem a desempenhar as func o em es maliciosas. executem ac o es maliciosas que costumam H a diferentes tipos de trojans, classicados2 de acordo com as ac o executar ao infectar um computador. Alguns destes tipos s ao:
1 O Cavalo de Troia, segundo a mitologia grega, foi uma grande est atua, utilizada como instrumento de guerra pelos ` cidade de Troia. A est gregos para obter acesso a atua do cavalo foi recheada com soldados que, durante a noite, abriram o de Troia. os port oes da cidade possibilitando a entrada dos gregos e a dominac a 2 Esta classicac o baseia-se em colet a anea feita sobre os nomes mais comumente usados pelos programas antimalware.
Adware: projetado especicamente para apresentar propagandas. Pode ser usado para ns leg timos, quando incorporado a programas e servic os, como forma de patroc nio ou retorno nanceiro para quem desenvolve programas livres ou presta servic os gratuitos. Tamb em pode ser usado para ns maliciosos, quando as propagandas apresentadas o do usu s ao direcionadas, de acordo com a navegac a ario e sem que este saiba que tal monitoramento est a sendo feito.
Trojan Downloader: instala outros c odigos maliciosos, obtidos de sites na Internet.
muito importante ressaltar que o nome rootkit n E ao indica que os programas e as t ecnicas que o comp oe s ao usadas para obter acesso privilegiado a um computador, mas sim para mant e-lo.
Trojan Dropper: instala outros c odigos maliciosos, embutidos no pr oprio c odigo do trojan.
Trojan Backdoor: inclui backdoors, possibilitando o acesso remoto do atacante ao computador.
o de servic Trojan DoS: instala ferramentas de negac a o e as utiliza para desferir ataques.
Trojan Destrutivo: altera/apaga arquivos e diret orios, formata o disco r gido e pode deixar o com o. putador fora de operac a
Rootkits inicialmente eram usados por atacantes que, ap os invadirem um computador, os instalavam para manter o acesso privilegiado, sem precisar recorrer novamente aos m etodos utilizados na invas ao, e para esconder suas atividades do respons avel e/ou dos usu arios do computador. Apesar de ainda serem bastante usados por atacantes, os rootkits atualmente t em sido tamb em utilizados e incorporados por outros c odigos maliciosos para carem ocultos e n ao serem detectados pelo usu ario o. e nem por mecanismos de protec a
o do usu Trojan Clicker: redireciona a navegac a ario para sites espec cos, com o objetivo de aumentar a quantidade de acessos a estes sites ou apresentar propagandas.
Trojan Proxy: instala um servidor de proxy, possibilitando que o computador seja utilizado para o an navegac a onima e para envio de spam.
es sens Trojan Spy: instala programas spyware e os utiliza para coletar informac o veis, como senhas e n umeros de cart ao de cr edito, e envi a-las ao atacante.
H a casos de rootkits instalados propositalmente por empresas distribuidoras de CDs de m usica, o de necessidade de protec o aos direitos autorais de suas obras. A instalac o nestes sob a alegac a a a casos costumava ocorrer de forma autom atica, no momento em que um dos CDs distribu dos con importante ressaltar que estes casos constituem tendo o c odigo malicioso era inserido e executado. E ` seguranc uma s eria ameac a a a do computador, pois os rootkits instalados, al em de comprometerem a privacidade do usu ario, tamb em podem ser recongurados e utilizados para esconder a presenc a e os arquivos inseridos por atacantes ou por outros c odigos maliciosos.
o de programas Trojan Banker ou Bancos: coleta dados banc arios do usu ario, atrav es da instalac a similar ao Trojan spyware que s ao ativados quando sites de Internet Banking s ao acessados. E Spy por em com objetivos mais espec cos.
o 4.8 Prevenc a
o dos c Para manter o seu computador livre da ac a odigos maliciosos existe um conjunto de medidas preventivas que voc e precisa adotar. Essas medidas incluem manter os programas instalados com es dispon as vers oes mais recentes e com todas as atualizac o veis aplicadas e usar mecanismos de seguranc a, como antimalware e rewall pessoal. Al em disso, h a alguns cuidados que voc e e todos que usam o seu computador devem tomar sempre que forem manipular arquivos. Novos c odigos maliciosos podem surgir, a velocidades nem sempre o dos mecanismos de seguranc acompanhadas pela capacidade de atualizac a a. es sobre os principais mecanismos de seguranc Informac o a que voc e deve utilizar s ao apresenta a. Outros cuidados que voc e deve tomar para manter seu dos no Cap tulo Mecanismos de seguranc computador seguro s ao apresentados no Cap tulo Seguranc a de computadores.
4.7
Rootkit
um conjunto de programas e t ecnicas que permite esRootkit3 e conder e assegurar a presenc a de um invasor ou de outro c odigo malicioso em um computador comprometido.
O conjunto de programas e t ecnicas fornecido pelos rootkits pode ser usado para:
o 7.6 do Cap tulo Mecanismos remover evid encias em arquivos de logs (mais detalhes na Sec a de seguranc a);
4.9
Resumo comparativo
Cada tipo de c odigo malicioso possui caracter sticas pr oprias que o dene e o diferencia dos o, forma de instalac o, meios usados para propagac o e ac es demais tipos, como forma de obtenc a a a o o e a maliciosas mais comuns executadas nos computadores infectados. Para facilitar a classicac a o, a Tabela 4.1 apresenta um resumo comparativo das caracter sticas de cada tipo. conceituac a importante ressaltar, entretanto, que denir e identicar essas caracter E sticas t em se tornado ` s diferentes classicac es existentes e ao surgimento de varitarefas cada vez mais dif ceis, devido a o antes que mesclam caracter sticas dos demais c odigos. Desta forma, o resumo apresentado na tabela denitivo e baseia-se nas denic es apresentadas nesta Cartilha. n ao e o
instalar outros c odigos maliciosos, como backdoors, para assegurar o acesso futuro ao computador infectado;
es, como arquivos, diret esconder atividades e informac o orios, processos, chaves de registro, conex oes de rede, etc;
mapear potenciais vulnerabilidades em outros computadores, por meio de varreduras na rede;
es da rede onde o computador comprometido est capturar informac o a localizado, pela intercep o de tr tac a afego.
3 O termo rootkit origina-se da junc o das palavras root (que corresponde a ` conta de superusu a ario ou administrador do computador em sistemas Unix) e kit (que corresponde ao conjunto de programas usados para manter os privil egios de acesso desta conta).
4. Codigos maliciosos (Malware) 31
C odigos Maliciosos
V rus
Worm Bot
Trojan
Spyware
Backdoor Rootkit
obtido: Como e Recebido automaticamente pela rede Recebido por e-mail Baixado de sites na Internet Compartilhamento de arquivos Uso de m dias remov veis infectadas Redes sociais Mensagens instant aneas Inserido por um invasor o de outro c Ac a odigo malicioso
o: Como ocorre a instalac a o de um arquivo infectado Execuc a o expl Execuc a cita do c odigo malicioso o de outro c Via execuc a odigo malicioso o de vulnerabilidades Explorac a
Como se propaga: Insere c opia de si pr oprio em arquivos Envia c opia de si pr oprio automaticamente pela rede Envia c opia de si pr oprio automaticamente por e-mail N ao se propaga

es maliciosas mais comuns: Ac o Altera e/ou remove arquivos Consome grande quantidade de recursos es sens Furta informac o veis Instala outros c odigos maliciosos Possibilita o retorno do invasor Envia spam e phishing Desfere ataques na Internet Procura se manter escondido
Tabela 4.1: Resumo comparativo entre os c odigos maliciosos.
34
` seguranc Spams est ao diretamente associados a ataques a a da Internet e do usu ario, sendo um dos grandes respons aveis pela o de c o de golpes e venda propagac a odigos maliciosos, disseminac a ilegal de produtos. Algumas das formas como voc e pode ser afetado pelos problemas causados pelos spams s ao: Perda de mensagens importantes: devido ao grande volume de spam recebido, voc e corre o risco de n ao ler mensagens importantes, l e-las com atraso ou apag a-las por engano. impr Conteudo oprio ou ofensivo: como grande parte dos spams s ao enviados para conjuntos alea bastante prov t orios de enderec os de e-mail, e avel que voc e receba mensagens cujo conte udo considere impr oprio ou ofensivo. necess Gasto desnecess ario de tempo: para cada spam recebido, e ario que voc e gaste um tempo para l e-lo, identic a-lo e remov e-lo da sua caixa postal, o que pode resultar em gasto desnecess ario de tempo e em perda de produtividade. N ao recebimento de e-mails: caso o n umero de spams recebidos seja grande e voc e utilize um rea de servic o de e-mail que limite o tamanho de caixa postal, voc e corre o risco de lotar a sua a e-mail e, at e que consiga liberar espac o, car a impedido de receber novas mensagens. o errada de mensagens: caso utilize sistemas de ltragem com regras antispam ineciClassicac a entes, voc e corre o risco de ter mensagens leg timas classicadas como spam e que, de acordo es, podem ser apagadas, movidas para quarentena ou redirecionadas com as suas congurac o para outras pastas de e-mail. ` Internet usado, e o destinat Independente do tipo de acesso a ario do spam quem paga pelo envio da mensagem. Os provedores, para tentar minimizar os problemas, provisionam mais recursos computacionais e os custos derivados acabam sendo transferidos e incorporados ao valor mensal que os usu arios pagam. Alguns dos problemas relacionados a spam que provedores e empresas costumam enfrentar s ao: Impacto na banda: o volume de tr afego gerado pelos spams faz com que seja necess ario aumentar a capacidade dos links de conex ao com a Internet. o dos servidores: boa parte dos recursos dos servidores de e-mail, como tempo de proM a utilizac a cessamento e espac o em disco, s ao consumidos no tratamento de mensagens n ao solicitadas. Inclus ao em listas de bloqueio: um provedor que tenha usu arios envolvidos em casos de envio de spam pode ter a rede inclu da em listas de bloqueio, o que pode prejudicar o envio de e-mails por parte dos demais usu arios e resultar em perda de clientes. Investimento extra em recursos: os problemas gerados pelos spams fazem com que seja necess ario o de equipamentos e sistemas de ltragem e para a aumentar os investimentos, para a aquisic a o de mais t o. contratac a ecnicos especializados na sua operac a
5. Spam
o termo usado para se referir aos e-mails n Spam1 e ao solicitados, que geralmente s ao enviados para um grande n umero de pessoas. Quando este tipo de mensagem possui conte udo exclusivamente referenciado como UCE (Unsolicited Commercial E-mail). comercial tamb em e
O spam em alguns pontos se assemelha a outras formas de propaganda, como a carta colocada o telef na caixa de correio, o paneto recebido na esquina e a ligac a onica ofertando produtos. Por em, justamente o que o torna t o que o difere e ao atraente e motivante para quem o envia (spammer): ao passo que nas demais formas o remetente precisa fazer algum tipo de investimento, o spammer necessita investir muito pouco, ou at e mesmo nada, para alcanc ar os mesmos objetivos e em uma escala muito maior.
Desde o primeiro spam registrado e batizado como tal, em 1994, essa pr atica tem evolu do, acom es e tecnologias. Atualmente, o envio de panhando o desenvolvimento da Internet e de novas aplicac o uma pr o, tanto pelo aumento desenfreado do volume de mensagens spam e atica que causa preocupac a na rede, como pela natureza e pelos objetivos destas mensagens.
1 Para mais detalhes acesse o site Antispam.br, http://www.antispam.br/, mantido pelo Comit e Gestor da Internet no Brasil (CGI.br), que constitui uma fonte de refer encia sobre o spam e tem o compromisso de informar usu arios e es destas mensagens e as formas de protec o e de combate existentes. administradores de redes sobre as implicac o a
33
5. Spam 35 36
Os spammers utilizam diversas t ecnicas para coletar enderec os de e-mail, desde a compra de o de suas pr bancos de dados at e a produc a oprias listas, geradas a partir de:
Ataques de dicion ario: consistem em formar enderec os de e-mail a partir de listas de nomes de o de caracteres alfanum pessoas, de palavras presentes em dicion arios e/ou da combinac a ericos.
Apresentam no campo Assunto textos alarmantes ou vagos: na tentativa de confundir os ltros o dos usu antispam e de atrair a atenc a arios, os spammers costumam colocar textos alarmantes, atraentes ou vagos demais, como Sua senha est a inv alida, A informac ao que voc e ens. pediu e Parab
C odigos maliciosos: muitos c odigos maliciosos s ao projetados para varrer o computador infectado em busca de enderec os de e-mail que, posteriormente, s ao repassados para os spammers.
o de remoc o da lista de divulgac o: alguns spams tentam justicar o abuso, aleOferecem opc a a a poss o, clicando no enderec gando que e vel sair da lista de divulgac a o anexo ao e-mail. Este artif cio, por em, al em de n ao retirar o seu enderec o de e-mail da lista, tamb em serve para validar lido por algu que ele realmente existe e que e em. necess Prometem que ser ao enviados uma unica vez: ao alegarem isto, sugerem que n ao e ario o para impedir que a mensagem seja novamente enviada. que voc e tome alguma ac a es inexistentes: muitos spams tentam embasar o envio em leis Baseiam-se em leis e regulamentac o es brasileiras referentes a ` pr e regulamentac o atica de spam que, at e o momento de escrita desta Cartilha, n ao existem. Alguns cuidados que voc e deve tomar para tentar reduzir a quantidade de spams recebidos s ao:
Harvesting: consiste em coletar enderec os de e-mail por meio de varreduras em p aginas Web e arquivos de listas de discuss ao, entre outros. Para tentar combater esta t ecnica, muitas p aginas Web e listas de discuss ao apresentam os enderec os de forma ofuscada (por exemplo, substituindo o es s @ por (at) e os pontos pela palavra dot). Infelizmente, tais substituic o ao previstas por v arios dos programas que implementam esta t ecnica.
Ap os efetuarem a coleta, os spammers procuram conrmar a exist encia dos enderec os de e-mail e, para isto, costumam se utilizar de artif cios, como:
enviar mensagens para os enderec os coletados e, com base nas respostas recebidas dos servidores de e-mail, identicar quais enderec os s ao v alidos e quais n ao s ao;
procure ltrar as mensagens indesejadas, por meio de programas instalados em servidores ou interessante em seu computador e de sistemas integrados a Webmails e leitores de e-mails. E consultar o seu provedor de e-mail, ou o administrador de sua rede, para vericar os recursos existentes e como us a-los; exigido do remetente a con alguns Webmails usam ltros baseados em tira-teima, onde e o do envio (ap inclu rmac a os conrm a-la, ele e do em uma lista de remetentes autorizados e, a partir da , pode enviar e-mails livremente). Ao usar esses sistemas, procure autorizar previamente os remetentes desej aveis, incluindo f oruns e listas de discuss ao, pois nem todos conrmam o envio e, assim, voc e pode deixar de receber mensagens importantes; importante que muitos ltros colocam as mensagens classicadas como spam em quarentena. E voc e, de tempos em tempos, verique esta pasta, pois podem acontecer casos de falsos positivos e mensagens leg timas virem a ser classicadas como spam. Caso voc e, mesmo usando ltros, receba um spam, deve classic a-lo como tal, pois estar a ajudando a treinar o ltro; es onde n seja cuidadoso ao fornecer seu enderec o de e-mail. Existem situac o ao h a motivo para realmente que o seu e-mail seja fornecido. Ao preencher um cadastro, por exemplo, pense se e necess ario fornecer o seu e-mail e se voc e deseja receber mensagens deste local; es pr que atento a opc o e-selecionadas. Em alguns formul arios ou cadastros preenchidos pela es e lanc Internet, existe a pergunta se voc e quer receber e-mails, por exemplo, sobre promoc o amentos de produtos, cuja resposta j a vem marcada como armativa. Fique atento a esta quest ao e desmarque-a, caso n ao deseje receber este tipo de mensagem; es podem n ao siga links recebidos em spams e n ao responda mensagens deste tipo (estas ac o v servir para conrmar que seu e-mail e alido); desabilite a abertura de imagens em e-mails HTML (o fato de uma imagem ser acessada pode servir para conrmar que a mensagem foi lida); crie contas de e-mail secund arias e fornec a-as em locais onde as chances de receber spam s ao grandes, como ao preencher cadastros em lojas e em listas de discuss ao;
o da lista de e-mails, como um link ou incluir no spam um suposto mecanismo para a remoc a o, na verdade est um enderec o de e-mail (quando o usu ario solicita a remoc a a conrmando para v o spammer que aquele enderec o de e-mail e alido e realmente utilizado);
incluir no spam uma imagem do tipo Web bug, projetada para monitorar o acesso a uma p agina acessado e o spammer recebe a Web ou e-mail (quando o usu ario abre o spam, o Web bug e o que aquele enderec v conrmac a o de e-mail e alido).
o 5.1 Prevenc a
muito importante que voc E e saiba como identicar os spams, para poder detect a-los mais facilmente e agir adequadamente. As ao: principais caracter sticas2 dos spams s
Apresentam cabec alho suspeito: o cabec alho do e-mail aparece incompleto, por exemplo, os campos de remetente e/ou destinat ario aparecem vazios ou com apelidos/nomes gen ericos, como amigo@ e suporte@.
Apresentam no campo Assunto (Subject) palavras com graa errada ou suspeita: a maioria dos ltros antispam utiliza o conte udo deste campo para barrar e-mails com assuntos considerados suspeitos. No entanto, os spammers adaptam-se e tentam enganar os ltros colocando neste campo conte udos enganosos, como vi@gra (em vez de viagra).
2 Vale ressaltar que nem todas essas caracter sticas podem estar presentes ao mesmo tempo, em um mesmo spam. Da ` s propriedades citadas, podendo, eventualmente, ser um novo tipo. mesma forma, podem existir spams que n ao atendam a
5. Spam 37
es de privacidade das redes sociais (algumas redes permitem esconder o seu utilize as opc o enderec o de e-mail ou restringir as pessoas que ter ao acesso a ele);
o de Bcc: ao enviar e-mail para respeite o enderec o de e-mail de outras pessoas. Use a opc a grandes quantidades de pessoas. Ao encaminhar mensagens, apague a lista de antigos destinat arios, pois mensagens reencaminhadas podem servir como fonte de coleta para spammers.
40
6.1 Cookies
Cookies s ao pequenos arquivos que s ao gravados em seu computador quando voc e acessa sites na Internet e que s ao reenviados a estes mesmos sites quando novamente visitados. S ao usados para man es sobre voc o. ter informac o e, como carrinho de compras, lista de produtos e prefer encias de navegac a apagado no momento em que o navegaUm cookie pode ser tempor ario (de sess ao), quando e fechado, ou permanente (persistente), quando ca gravado dor Web ou programa leitor de e-mail e no computador at e expirar ou ser apagado. Tamb em pode ser prim ario (rst-party), quando denido pelo dom nio do site visitado, ou de terceiros (third-party), quando pertencente a outro dom nio ` p (geralmente relacionado a an uncios ou imagens incorporados a agina que est a sendo visitada). Alguns dos riscos relacionados ao uso de cookies s ao: es: as informac es coletadas pelos cookies podem ser indevidaCompartilhamento de informac o o incomum, por exemplo, mente compartilhadas com outros sites e afetar a sua privacidade. N ao e acessar pela primeira vez um site de m usica e observar que as ofertas de CDs para o seu g enero musical preferido j a est ao dispon veis, sem que voc e tenha feito qualquer tipo de escolha. o de vulnerabilidades: quando voc Explorac a e acessa uma p agina Web, o seu navegador disponibi es sobre o seu computador, como hardware, sistema operacional e liza uma s erie de informac o programas instalados. Os cookies podem ser utilizados para manter refer encias contendo estas es e us informac o a-las para explorar poss veis vulnerabilidades em seu computador. o autom es como Lembre-se de mim e Continuar conectado nos Autenticac a atica: ao usar opc o es sobre a sua conta de usu sites visitados, informac o ario s ao gravadas em cookies e usadas em es futuras. Esta pr autenticac o atica pode ser arriscada quando usada em computadores infectados ou de terceiros, pois os cookies podem ser coletados e permitirem que outras pessoas se autentiquem como voc e. es pessoais: dados preenchidos por voc Coleta de informac o e em formul arios Web tamb em podem ser gravados em cookies, coletados por atacantes ou c odigos maliciosos e indevidamente acessados, caso n ao estejam criptografados. o: quando voc Coleta de h abitos de navegac a e acessa diferentes sites onde s ao usados cookies de poss terceiros, pertencentes a uma mesma empresa de publicidade, e vel a esta empresa deter o e, assim, comprometer a sua privacidade. minar seus h abitos de navegac a o: Prevenc a indicado bloquear totalmente o recebimento de cookies, pois isto pode impedir o uso adeN ao e quado ou at e mesmo o acesso a determinados sites e servic os. Para se prevenir dos riscos, mas sem o, h comprometer a sua navegac a a algumas dicas que voc e deve seguir, como: ao usar um navegador Web baseado em n veis de permiss ao, como o Internet Explorer, procure n ao selecionar n veis de permiss ao inferiores a m edio; em outros navegadores ou programas leitores de e-mail, congure para que, por padr ao, os sites es, cadastrando sites considerados con n ao possam denir cookies e crie listas de excec o aveis e realmente necess onde o uso de cookies e ario, como Webmails e de Internet Banking e com ercio eletr onico;
39
6. Outros riscos
` grande quantidade de servic es dos usu Atualmente, devido a os dispon veis, a maioria das ac o arios na Internet s ao executadas pelo acesso a p aginas Web, seja pelo uso de navegadores ou de programas leitores de e-mails com capacidade de processar mensagens em formato HTML.
Para atender a grande demanda, incorporar maior funcionalidade e melhorar a apar encia das o foram desenvolvidos e novos servic p aginas Web, novos recursos de navegac a os foram disponibilizados. Estes novos recursos e servic os, infelizmente, n ao passaram despercebidos por pessoas es e aplicar golpes. mal-intencionadas, que viram neles novas possibilidades para coletar informac o Alguns destes recursos e servic os, os riscos que representam e os cuidados que voc e deve tomar ao es 6.1, 6.2, 6.3, 6.4, 6.5 e 6.6. utiliz a-los s ao apresentados nas Sec o
` rede propiciou e facilitou o comAl em disto, a grande quantidade de computadores conectados a partilhamento de recursos entre os usu arios, seja por meio de programas espec cos ou pelo uso de es oferecidas pelos pr opc o oprios sistemas operacionais. Assim como no caso dos recursos e servic os Web, o compartilhamento de recursos tamb em pode representar riscos e necessitar de alguns cuidados es 6.7 e 6.8. especiais, que s ao apresentados nas Sec o
6. Outros riscos 41 42
caso voc e, mesmo ciente dos riscos, decida permitir que por padr ao os sites possam denir es e nela cadastre os sites que deseja bloquear; cookies, procure criar uma lista de excec o
permita que componentes ActiveX sejam executados em seu computador apenas quando vierem de sites conhecidos e con aveis; o de componentes n seja cuidadoso ao permitir a instalac a ao assinados (mais detalhes na Se o 9.3 do Cap c a tulo Criptograa).
congure para que os cookies sejam apagados assim que o navegador for fechado;
o n congure para n ao aceitar cookies de terceiros (ao fazer isto, a sua navegac a ao dever a ser prejudicada, pois apenas conte udos relacionados a publicidade ser ao bloqueados);
es de navegar anonimamente, quando usar computadores de terceiros (ao fazer isto, utilize opc o es sobre a sua navegac o, incluindo cookies, n informac o a ao ser ao gravadas).
6.3
Janelas de pop-up
o de privacidade ela e aplicada aos novos cookies, Veja que, quando voc e altera uma congurac a importante que voc mas n ao aos que j a est ao gravados em seu computador. Assim, ao fazer isto, e e o seja aplicada a todos. remova os cookies j a gravados para garantir que a nova congurac a
Janelas de pop-up s ao aquelas que aparecem automaticamente e sem permiss ao, sobrepondo a janela do navegador Web, ap os voc e acessar um site. Alguns riscos que podem representar s ao: apresentar mensagens indesejadas, contendo propagandas ou conte udo impr oprio; o para uma p apresentar links, que podem redirecionar a navegac a agina falsa ou induzi-lo a instalar c odigos maliciosos. o: Prevenc a congure seu navegador Web para, por padr ao, bloquear janelas de pop-up; es, contendo apenas sites conhecidos e con crie uma lista de excec o aveis e onde forem realmente necess arias.
6.2 C odigos m oveis
C odigos m oveis s ao utilizados por desenvolvedores para incorporar maior funcionalidade e me teis, podem representar riscos quando lhorar a apar encia de p aginas Web. Embora sejam bastante u mal-implementados ou usados por pessoas mal-intencionadas.
Alguns tipos de c odigos m oveis e os riscos que podem representar s ao:
Programas e applets Java: normalmente os navegadores cont em m odulos espec cos para processar programas Java que, apesar de possu rem mecanismos de seguranc a, podem conter falhas de o e permitir que um programa Java hostil viole a seguranc implementac a a do computador.
6.4
Plug-ins, complementos e extens oes
es de seguranc JavaScripts: assim como outros scripts Web, podem ser usados para causar violac o a em computadores. Um exemplo de ataque envolvendo JavaScript consiste em redirecionar usu arios de um site leg timo para um site falso, para que instalem c odigos maliciosos ou es pessoais. fornec am informac o
Plug-ins, complementos e extens oes s ao programas geralmente desenvolvidos por terceiros e que voc e pode instalar em seu navegador Web ou leitor de e-mails para prover funcionalidades extras. Esses programas, na maioria das vezes, s ao disponibilizados em reposit orios, onde podem ser baixados livremente ou comprados. Alguns reposit orios efetuam controle r gido sobre os programas es referentes ao tipo de revis antes de disponibiliz a-los, outros utilizam classicac o ao, enquanto outros n ao efetuam nenhum tipo de controle. Apesar de grande parte destes programas serem con aveis, h a a chance de existir programas o, especicamente criados para executar atividades maliciosas ou que, devido a erros de implementac a es danosas em seu computador. possam executar ac o o: Prevenc a assegure-se de ter mecanismos de seguranc a instalados e atualizados, antes de instalar progra a); mas desenvolvidos por terceiros (mais detalhes no Cap tulo Mecanismos de seguranc mantenha os programas instalados sempre atualizados (mais detalhes no Cap tulo Seguranc a de computadores);
Componentes (ou controles) ActiveX: o navegador Web, pelo esquema de certicados digitais, verica a proced encia de um componente ActiveX antes de receb e-lo. Ao aceitar o certicado, o executado e pode efetuar qualquer tipo de ac o, desde enviar um arquivo pela Incomponente e a ternet at e instalar programas (que podem ter ns maliciosos) em seu computador (mais detalhes o 9.4 do Cap tulo Criptograa). sobre certicados digitais s ao apresentados na Sec a
o: Prevenc a
indicado bloquear totalmente a execuc o dos c Assim como no caso de cookies, n ao e a odigos m oveis, pois isto pode afetar o acesso a determinados sites e servic os. Para se prevenir dos riscos, o, h mas sem comprometer a sua navegac a a algumas dicas que voc e deve seguir, como:
o de programas Java e de JavaScripts mas assegure-se de utilizar comple permita a execuc a mentos, como por exemplo o NoScript (dispon vel para alguns navegadores), para liberar gra o, conforme necess dualmente a execuc a ario e apenas em sites con aveis;
6. Outros riscos 43 44
procure obter arquivos apenas de fontes con aveis;
maliciosos e, por meio de servic os de publicidade, apresent a-los em diversas p aginas Web. Geral induzido a acreditar que se trata de um an mente, o servic o de publicidade e uncio leg timo e, ao o e faz com que ele seja mostrado em diversas p aceit a-lo, intermedia a apresentac a aginas. o: Prevenc a seja cuidadoso ao clicar em banners de propaganda (caso o an uncio lhe interesse, procure ir diretamente para a p agina do fabricante); mantenha o seu computador protegido, com as vers oes mais recentes e com todas as atualiza es aplicadas (mais detalhes no Cap c o tulo Seguranc a de computadores); utilize e mantenha atualizados mecanismos de seguranc a, como antimalware e rewall pessoal a); (mais detalhes no Cap tulo Mecanismos de seguranc es de privacidade em seu navegador Web (mais detalhes no seja cuidadoso ao congurar as opc o Cap tulo Privacidade).
utilize programas com grande quantidade de usu arios (considerados populares) e que tenham o, baseado em quansido bem avaliados. Muitos reposit orios possuem sistema de classicac a es recebidas. Selecione aqueles com tidade de estrelas, concedidas de acordo com as avaliac o mais estrelas;
veja coment arios de outros usu arios sobre o programa, antes de instal a-lo (muitos sites disponibilizam listas de programas mais usados e mais recomendados);
o e execuc o s verique se as permiss oes necess arias para a instalac a a ao coerentes, ou seja, um programa de jogos n ao necessariamente precisa ter acesso aos seus dados pessoais;
seja cuidadoso ao instalar programas que ainda estejam em processo de revis ao;
denuncie aos respons aveis pelo reposit orio caso identique programas maliciosos.
6.5 Links patrocinados 6.7 o de arquivos (P2P) Programas de distribuic a
Um anunciante que queira fazer propaganda de um produto ou site paga para o site de busca apresentar o link em destaque quando palavras espec cas s ao pesquisadas. Quando voc e clica em um link patrocinado, o site de busca recebe do anunciante um valor previamente combinado.
O anunciante geralmente possui uma p agina Web - com acesso via conta de usu ario e senha - para es, vericar acessos e fazer pagamentos. Este tipo de interagir com o site de busca, alterar congurac o bastante visado por atacantes, com o intuito de criar redirecionamentos para p conta e aginas de phishing ou contendo c odigos maliciosos e representa o principal risco relacionado a links patrocinados.
o de arquivos, ou P2P, s Programas de distribuic a ao aqueles que permitem que os usu arios compartilhem arquivos entre si. Alguns exemplos s ao: Kazaa, Gnutella e BitTorrent. Alguns riscos relacionados ao uso destes programas s ao: o Acesso indevido: caso esteja mal congurado ou possua vulnerabilidades o programa de distribuic a de arquivos pode permitir o acesso indevido a diret orios e arquivos (al em dos compartilhados). o de arquivos maliciosos: os arquivos distribu Obtenc a dos podem conter c odigos maliciosos e assim, infectar seu computador ou permitir que ele seja invadido. o de direitos autorais: a distribuic o n Violac a a ao autorizada de arquivos de m usica, lmes, textos ou o desta lei. programas protegidos pela lei de direitos autorais constitui a violac a o: Prevenc a o de arquivos sempre atualizado e bem congurado; mantenha seu programa de distribuic a certique-se de ter um antimalware instalado e atualizado e o utilize para vericar qualquer a); arquivo obtido (mais detalhes no Cap tulo Mecanismos de seguranc mantenha o seu computador protegido, com as vers oes mais recentes e com todas as atualiza es aplicadas (mais detalhes no Cap a de computadores); c o tulo Seguranc certique-se que os arquivos obtidos ou distribu dos s ao livres, ou seja, n ao violam as leis de direitos autorais.
o: Prevenc a
n ao use sites de busca para acessar todo e qualquer tipo de site. Por exemplo: voc e n ao precisa o site do seu banco, j bem conhecido. pesquisar para saber qual e a que geralmente o enderec o e
6.6
Banners de propaganda
A Internet n ao trouxe novas oportunidades de neg ocio apenas para anunciantes e sites de busca. Usu arios, de forma geral, podem obter rendimentos extras alugando espac o em suas p aginas para servic os de publicidade.
Caso tenha uma p agina Web, voc e pode disponibilizar um espac o nela para que o servic o de acessada e quanto mais publicidade apresente banners de seus clientes. Quanto mais a sua p agina e cliques s ao feitos nos banners por interm edio dela, mais voc e pode vir a ser remunerado.
Infelizmente pessoas mal-intencionadas tamb em viram no uso destes servic os novas oportunidauncios des para aplicar golpes, denominados malvertising1 . Este tipo de golpe consiste em criar an
1 Malvertising
uma palavra em ingl o de malicious (malicioso) e advertsing (propaganda). e es originada da junc a
6. Outros riscos 45
6.8
Compartilhamento de recursos
Alguns sistemas operacionais permitem que voc e compartilhe com outros usu arios recursos do seu computador, como diret orios, discos, e impressoras. Ao fazer isto, voc e pode estar permitindo:
es sens o acesso n ao autorizado a recursos ou informac o veis;
que seus recursos sejam usados por atacantes caso n ao sejam denidas senhas para controle de acesso ou sejam usadas senhas facilmente descobertas.
Por outro lado, assim como voc e pode compartilhar recursos do seu computador, voc e tamb em pode acessar recursos que foram compartilhados por outros. Ao usar estes recursos, voc e pode estar se arriscando a abrir arquivos ou a executar programas que contenham c odigos maliciosos.
o: Prevenc a
estabelec a senhas para os compartilhamentos;
estabelec a permiss oes de acesso adequadas, evitando que usu arios do compartilhamento tenham mais acessos que o necess ario;
compartilhe seus recursos pelo tempo m nimo necess ario;
tenha um antimalware instalado em seu computador, mantenha-o atualizado e utilize-o para ve a); ricar qualquer arquivo compartilhado (mais detalhes no Cap tulo Mecanismos de seguranc
mantenha o seu computador protegido, com as vers oes mais recentes e com todas as atualiza es aplicadas (mais detalhes no Cap c o tulo Seguranc a de computadores).
48
o: vericar se a entidade e realmente quem ela diz ser. Autenticac a o: determinar as ac es que a entidade pode executar. Autorizac a o o contra alterac o n Integridade: proteger a informac a a ao autorizada. o contra acesso n Condencialidade ou sigilo: proteger uma informac a ao autorizado. o. N ao repudio: evitar que uma entidade possa negar que foi ela quem executou uma ac a Disponibilidade: garantir que um recurso esteja dispon vel sempre que necess ario. Para prover e garantir estes requisitos, foram adaptados e desenvolvidos os mecanismos de seguranc a que, quando corretamente congurados e utilizados, podem auxili a-lo a se proteger dos riscos envolvendo o uso da Internet. importante que voc Antes de detalhar estes mecanismos, por em, e e seja advertido sobre a possi usado para designar uma situac o na qual bilidade de ocorr encia de falso positivo. Este termo e a um mecanismo de seguranc a aponta uma atividade como sendo maliciosa ou an omala, quando na verdade trata-se de uma atividade leg tima. Um falso positivo pode ser considerado um falso alarme (ou um alarme falso). classicada como phishing, Um falso positivo ocorre, por exemplo, quando uma p agina leg tima e considerada spam, um arquivo e erroneamente detectado como estando uma mensagem leg tima e ` s solicitac es feitas pelo infectado ou um rewall indica como ataques algumas respostas dadas a o pr oprio usu ario. Apesar de existir esta possibilidade, isto n ao deve ser motivo para que os mecanismos de seguranc a geralmente baixa e, muitas vezes, pode ser resoln ao sejam usados, pois a ocorr encia destes casos e es de congurac o ou nas regras de vericac o. vida com alterac o a a es s Nas pr oximas sec o ao apresentados alguns dos principais mecanismos de seguranc a e os cuidados que voc e deve tomar ao usar cada um deles.
7. Mecanismos de seguranc a
Agora que voc e j a est a ciente de alguns dos riscos relacionados ao uso de computadores e da poss Internet e que, apesar disso, reconhece que n ao e vel deixar de usar estes recursos, est a no momento de aprender detalhadamente a se proteger.
7.1 Pol tica de seguranc a

o a ` seA pol tica de seguranc a dene os direitos e as responsabilidades de cada um em relac a ` s quais est guranc a dos recursos computacionais que utiliza e as penalidades a a sujeito, caso n ao a cumpra.
No seu dia a dia, h a cuidados que voc e toma, muitas vezes de forma instintiva, para detectar e o de documentos possibilitam que voc evitar riscos. Por exemplo: o contato pessoal e a apresentac a e conrme a identidade de algu em, a presenc a na ag encia do seu banco garante que h a um relacionamento com ele, os Cart orios podem reconhecer a veracidade da assinatura de algu em, etc.
es s E como fazer isto na Internet, onde as ac o ao realizadas sem contato pessoal e por um meio de o que, em princ considerado inseguro? comunicac a pio, e
considerada como um importante mecanismo de seguranc es como E a, tanto para as instituic o poss para os usu arios, pois com ela e vel deixar claro o comportamento esperado de cada um. Desta forma, casos de mau comportamento, que estejam previstos na pol tica, podem ser tratados de forma adequada pelas partes envolvidas. A pol tica de seguranc a pode conter outras pol ticas espec cas, como: Pol tica de senhas: dene as regras sobre o uso de senhas nos recursos computacionais, como tama o e periodicidade de troca. nho m nimo e m aximo, regra de formac a o de c Pol tica de backup: dene as regras sobre a realizac a opias de seguranc a, como tipo de m dia o e frequ o. utilizada, per odo de retenc a encia de execuc a
Para permitir que voc e possa aplicar na Internet cuidados similares aos que costuma tomar em seu necess es realizadas por este meio dia a dia, e ario que os servic os disponibilizados e as comunicac o garantam alguns requisitos b asicos de seguranc a, como:
o: permitir que uma entidade1 se identique, ou seja, diga quem ela e . Identicac a
1 Uma
entidade pode ser, por exemplo, uma pessoa, uma empresa ou um programa de computador.
47
7. Mecanismos de seguranc a 49 50
es pessoais, sejam elas de clientes, Pol tica de privacidade: dene como s ao tratadas as informac o usu arios ou funcion arios.
7.2
o de incidentes e abusos Noticac a
es institucionais, ou seja, se Pol tica de condencialidade: dene como s ao tratadas as informac o elas podem ser repassadas a terceiros.
Um incidente de seguranc a pode ser denido como qualquer evento adverso, conrmado ou sob ` seguranc o ou de redes de computadores. suspeita, relacionado a a de sistemas de computac a Alguns exemplos de incidentes de seguranc a s ao: tentativa de uso ou acesso n ao autorizado a o em sistemas (sem o conhesistemas ou dados, tentativa de tornar servic os indispon veis, modicac a ` pol ` pol cimento ou consentimento pr evio dos donos) e o desrespeito a tica de seguranc a ou a tica de o. uso aceit avel de uma instituic a
Pol tica de uso aceit avel (PUA) ou Acceptable Use Policy (AUP): tamb em chamada de Termo de Uso ou Termo de Servic o, dene as regras de uso dos recursos computacionais, os direitos es que s e as responsabilidades de quem os utiliza e as situac o ao consideradas abusivas.
A pol tica de uso aceit avel costuma ser disponibilizada na p agina Web e/ou ser apresentada no momento em que a pessoa passa a ter acesso aos recursos. Talvez voc e j a tenha se deparado com estas pol ticas, por exemplo, ao ser admitido em uma empresa, ao contratar um provedor de acesso e ao utilizar servic os disponibilizados por meio da Internet, como redes sociais e Webmail.
es que geralmente s Algumas situac o ao consideradas de uso abusivo (n ao aceit avel) s ao:
muito importante que voc E e notique sempre que se deparar com uma atitude que considere abusiva ou com um incidente de seguranc a. De modo geral, a lista de pessoas/entidades a serem noticadas inclui: os respons aveis pelo computador que originou a atividade, os respons aveis pela rede que originou o incidente (incluindo o grupo de seguranc a e abusos, se existir um para aquela rede) e o grupo de seguranc a e abusos da rede a qual voc e est a conectado (seja um provedor, empresa, o). universidade ou outro tipo de instituic a Ao noticar um incidente, al em de se proteger e contribuir para a seguranc a global da Internet, tamb em ajudar a outras pessoas a detectarem problemas, como computadores infectados, falhas de o e violac es em pol congurac a o ticas de seguranc a ou de uso aceit avel de recursos.
compartilhamento de senhas;
o de informac es condenciais; divulgac a o
envio de boatos e mensagens contendo spam e c odigos maliciosos;
envio de mensagens com objetivo de difamar, caluniar ou ameac ar algu em;
o n c opia e distribuic a ao autorizada de material protegido por direitos autorais;
Para encontrar os respons aveis por uma rede voc e deve consultar um servidor de WHOIS, onde s ao mantidas as bases de dados sobre os respons aveis por cada bloco de n umeros IP existentes. Para IPs alocados ao Brasil voc e pode consultar o servidor em http://registro.br/cgi-bin/whois/, para os demais pa ses voc e pode acessar o site http://www.geektools.com/whois.php que aceita consultas referentes a qualquer n umero IP e as redireciona para os servidores apropriados2 . importante que voc es3 , pois isto contribuir a E e mantenha o CERT.br na c opia das suas noticac o para as atividades deste grupo e permitir a que: os dados relativos a v arios incidentes sejam correlacionados, ataques coordenados sejam identicados e novos tipos de ataques sejam descobertos; es corretivas possam ser organizadas em cooperac o com outras instituic es; ac o a o sejam geradas estat sticas que reitam os incidentes ocorridos na Internet brasileira; sejam geradas estat sticas sobre a incid encia e origem de spams no Brasil; es e manuais, direcionados a ` s necessidades dos sejam escritos documentos, como recomendac o usu arios da Internet no Brasil. o deve incluir a maior quantidade de informac es poss A noticac a o vel, tais como: logs completos; data, hor ario e fuso hor ario (time zone) dos logs ou da atividade que est a sendo noticada;
2 Os
ataques a outros computadores;
comprometimento de computadores ou redes.
` pol ` pol o pode ser O desrespeito a tica de seguranc a ou a tica de uso aceit avel de uma instituic a considerado como um incidente de seguranc a e, dependendo das circunst ancias, ser motivo para en o de servic cerramento de contrato (de trabalho, de prestac a os, etc.).
Cuidados a serem tomados:
procure estar ciente da pol tica de seguranc a da empresa onde voc e trabalha e dos servic os que voc e utiliza (como Webmail e redes sociais);
` s mudanc que atento a as que possam ocorrer nas pol ticas de uso e de privacidade dos servic os que voc e utiliza, principalmente aquelas relacionadas ao tratamento de dados pessoais, para n ao es que possam comprometer a sua privacidade; ser surpreendido com alterac o
` pol que atento a tica de condencialidade da empresa onde voc e trabalha e seja cuidadoso ao es prossionais, principalmente em blogs e redes sociais (mais detalhes na divulgar informac o o 11.1 do Cap Sec a tulo Privacidade);
notique sempre que se deparar com uma atitude considerada abusiva (mais detalhes na Se o 7.2). c a
e-mails encontrados nestas consultas n ao s ao necessariamente da pessoa que praticou o ataque, mas sim dos ` qual o computador est respons aveis pela rede a a conectado, ou seja, podem ser os administradores da rede, s ocios da o com a Internet. empresa, ou qualquer outra pessoa que foi designada para cuidar da conex ao da instituic a 3 Os enderec os de e-mail usados pelo CERT.br para o tratamento de incidentes de seguranc a s ao: cert@cert.br (para es gerais) e mail-abuse@cert.br (espec es de spam). noticac o co para reclamac o
o de spam, trojan, o e-mail completo, incluindo cabec alhos e conte udo (no caso de noticac a phishing ou outras atividades maliciosas recebidas por e-mail);
o que tenha sido utilizada para iden dados completos do incidente ou qualquer outra informac a ticar a atividade.
o de dados: voc es como Protec a e pode preservar seus dados para que sejam recuperados em situac o o mal-sucedida do sistema operacional, exclus o falha de disco r gido, atualizac a ao ou substituic a o de c acidental de arquivos, ac a odigos maliciosos/atacantes e furto/perda de dispositivos. o de vers Recuperac a oes: voc e pode recuperar uma vers ao antiga de um arquivo alterado, como uma parte exclu da de um texto editado ou a imagem original de uma foto manipulada. Arquivamento: voc e pode copiar ou mover dados que deseja ou que precisa guardar, mas que n ao s ao necess arios no seu dia a dia e que raramente s ao alterados.
es e respostas para as d Outras informac o uvidas mais comuns referentes ao processo de notica o de incidentes podem ser encontradas na lista de quest c a oes mais frequentes (FAQ) mantida pelo CERT.br e dispon vel em http://www.cert.br/docs/faq1.html.
7.3
Contas e senhas
o integradas e tamMuitos sistemas operacionais j a possuem ferramentas de backup e recuperac a o de instalar programas externos. Na maioria dos casos, ao usar estas ferramentas, basta b em h a a opc a que voc e tome algumas decis oes, como:
Contas e senhas s ao atualmente o mecanismo de au o mais usado para o controle de acesso a sites e tenticac a servic os oferecidos pela Internet.
por meio das suas contas e senhas que os sistemas E e denir as ac es que voc conseguem saber quem voc ee o e pode realizar.
Onde gravar os backups: voc e pode usar m dias (como CD, DVD, pen-drive, disco de Blu-ray e disco r gido interno ou externo) ou armazen a-los remotamente (online ou off-site). A escolha depende do programa de backup que est a sendo usado e de quest oes como capacidade de armazenamento, custo e conabilidade. Um CD, DVD ou Blu-ray pode bastar para pequenas quantidades de dados, um pen-drive pode ser indicado para dados constantemente modicados, ao passo que um disco r gido pode ser usado para grandes volumes que devam perdurar.
o, alterac o e gerenciamento, assim como os cuidados que voc Dicas de elaborac a a e deve ter ao usar suas contas e senhas, s ao apresentados no Cap tulo Contas e senhas.
7.4 Criptograa
Quais arquivos copiar: apenas arquivos con aveis4 e que tenham import ancia para voc e devem ser copiados. Arquivos de programas que podem ser reinstalados, geralmente, n ao precisam ser copiados. Fazer c opia de arquivos desnecess arios pode ocupar espac o inutilmente e dicultar o dos demais dados. Muitos programas de backup j a localizac a a possuem listas de arquivos e diret orios recomendados, voc e pode optar por aceit a-las ou criar suas pr oprias listas. Com que periodicidade devo realiz a-los: depende da frequ encia com que voc e cria ou modica arquivos. Arquivos frequentemente modicados podem ser copiados diariamente ao passo que aqueles pouco alterados podem ser copiados semanalmente ou mensalmente. Cuidados a serem tomados: o dos dados; mantenha seus backups atualizados, de acordo com a frequ encia de alterac a mantenha seus backups em locais seguros, bem condicionados (longe de poeira, muito calor ou umidade) e com acesso restrito (apenas de pessoas autorizadas); congure para que seus backups sejam realizados automaticamente e certique-se de que eles estejam realmente sendo feitos (backups manuais est ao mais propensos a erros e esquecimento); es no sis al em dos backups peri odicos, sempre fac a backups antes de efetuar grandes alterac o o de hardware, atualizac o do sistema operacional, etc.) e de enviar o computador tema (adic a a o; para manutenc a armazene dados sens veis em formato criptografado (mais detalhes no Cap tulo Criptograa);
4 Arquivos que possam conter c odigos maliciosos ou ter sido modicados/substitu dos por invasores n ao devem ser copiados.
Usando criptograa voc e pode proteger seus dados contra acessos indevidos, tanto os que trafegam pela Internet como os j a gravados em seu computador.
Detalhes sobre como a criptograa pode contribuir para manter a seguranc a dos seus dados e os conceitos de certicados e assinaturas digitais s ao apresentados no Cap tulo Criptograa.
Detalhes sobre como a criptograa pode ser usada para garantir a conex ao segura aos sites na o 10.1 do Cap Internet s ao apresentados na Sec a tulo Uso seguro da Internet.
7.5 C opias de seguranc a (Backups)
Voc e j a imaginou o que aconteceria se, de uma hora para outra, perdesse alguns ou at e mesmo todos os dados armazenados em seu computador? E se fossem todas as suas fotos ou os dados o, voc armazenados em seus dispositivos m oveis? E se, ao enviar seu computador para manutenc a e es acontec o recebesse de volta com o disco r gido formatado? Para evitar que estas situac o am, e necess ario que voc e aja de forma preventiva e realize c opias de seguranc a (backups).
tarde demais, Muitas pessoas, infelizmente, s o percebem a import ancia de ter backups quando j ae ou seja, quando os dados j a foram perdidos e n ao se pode fazer mais nada para recuper a-los. Backups s ao extremamente importantes, pois permitem:
mantenha backups redundantes, ou seja, v arias c opias, para evitar perder seus dados em um o, furto ou pelo uso de m inc endio, inundac a dias defeituosas (voc e pode escolher pelo menos duas das seguintes possibilidades: sua casa, seu escrit orio e um reposit orio remoto); o de alguma vulnerabilidade; detectar um ataque, como de forc a bruta ou a explorac a
detectar o uso indevido do seu computador, como um usu ario tentando acessar arquivos de outros usu arios, ou alterar arquivos do sistema;
cuidado com m dias obsoletas (disquetes j a foram muito usados para backups, por em, atualmente, acess a-los t em-se se tornado cada vez mais complicado pela diculdade em encontrar o natural do material); computadores com leitores deste tipo de m dia e pela degradac a
es executadas por um usu rastrear (auditar) as ac o ario no seu computador, como programas utilizados, comandos executados e tempo de uso do sistema; detectar problemas de hardware ou nos programas e servic os instalados no computador. Baseado nisto, voc e pode tomar medidas preventivas para tentar evitar que um problema maior ocorra ou, caso n ao seja poss vel, tentar reduzir os danos. Alguns exemplos s ao: se o disco r gido do seu computador estiver apresentando mensagens de erro, voc e pode se ante o; cipar, fazer backup dos dados nele contidos e no momento oportuno envi a-lo para manutenc a se um atacante estiver tentando explorar uma vulnerabilidade em seu computador, voc e pode vericar se as medidas preventivas j a foram aplicadas e tentar evitar que o ataque ocorra; es executadas pelo se n ao for poss vel evitar um ataque, os logs podem permitir que as ac o es acessadas. atacante sejam rastreadas, como arquivos alterados e as informac o o de incidentes, pois permitem que diversas informac es imLogs s ao essenciais para noticac a o portantes sejam detectadas, como por exemplo: a data e o hor ario em que uma determinada atividade ocorreu, o fuso hor ario do log, o enderec o IP de origem da atividade, as portas envolvidas e o protocolo utilizado no ataque (TCP, UDP, ICMP, etc.), os dados completos que foram enviados para o computador ou rede e o resultado da atividade (se ela ocorreu com sucesso ou n ao). Cuidados a serem tomados: registrado e usado mantenha o seu computador com o hor ario correto (o hor ario em que o log e o de incidentes de seguranc na correlac a a e, por este motivo, deve estar sincronizado6 ); verique o espac o em disco livre em seu computador (logs podem ocupar bastante espac o em es feitas); disco, dependendo das congurac o evite registrar dados desnecess arios, pois isto, al em de poder ocupar espac o excessivo no disco, o de tarefas tamb em pode degradar o desempenho do computador, comprometer a execuc a o de informac es de interesse; b asicas e dicultar a localizac a o que atento e descone caso perceba que os logs do seu computador foram apagados ou que es deixaram de ser gerados por um per odo (muitos atacantes, na tentativa de esconder as ac o executadas, desabilitam os servic os de logs e apagam os registros relacionados ao ataque ou, at e mesmo, os pr oprios arquivos de logs); necess restrinja o acesso aos arquivos de logs. N ao e ario que todos os usu arios tenham acesso ` s informac es contidas nos logs. Por isto, sempre que poss a o vel, permita que apenas o usu ario administrador tenha acesso a estes dados.
6 Informac es o
o de testes peri assegure-se de conseguir recuperar seus backups (a realizac a odicos pode evitar a p essima surpresa de descobrir que os dados est ao corrompidos, em formato obsoleto ou que o); voc e n ao possui mais o programa de recuperac a
mantenha seus backups organizados e identicados (voc e pode etiquet a-los ou nome a-los com es que facilitem a localizac o, como tipo do dado armazenado e data de gravac o); informac o a a
copie dados que voc e considere importantes e evite aqueles que podem ser obtidos de fontes externas con aveis, como os referentes ao sistema operacional ou aos programas instalados;
nunca recupere um backup se desconar que ele cont em dados n ao con aveis.
Ao utilizar servic os de backup online h a alguns cuidados adicionais que voc e deve tomar, como:
es (alta dis observe a disponibilidade do servic o e procure escolher um com poucas interrupc o ponibilidade);
o do backup quanto observe o tempo estimado de transmiss ao de dados (tanto para realizac a o dos dados). Dependendo da banda dispon para recuperac a vel e da quantidade de dados a ser copiada (ou recuperada), o backup online pode se tornar impratic avel;
seja seletivo ao escolher o servic o. Observe crit erios como suporte, tempo no mercado (h a oferecido), a opini quanto tempo o servic o e ao dos demais usu arios e outras refer encias que voc e possa ter;
o o tempo que seus arquivos s leve em considerac a ao mantidos, o espac o de armazenagem e a pol tica de privacidade e de seguranc a;
procure aqueles nos quais seus dados trafeguem pela rede de forma criptografada (caso n ao haja esta possibilidade, procure voc e mesmo criptografar os dados antes de envi a-los).
7.6 Registro de eventos (Logs)
o registro de atividade gerado por programas e servic os de um computador. Ele pode car Log5 e armazenado em arquivos, na mem oria do computador ou em bases de dados. A partir da an alise desta o voc informac a e pode ser capaz de:
5 Log e um termo t ecnico que se refere ao registro de atividades de diversos tipos como, por exemplo, de conex ao es sobre a conex ` Internet) e de acesso a aplicac es (informac es de acesso de um (informac o ao de um computador a o o o de Internet). Na Cartilha este termo e usado para se referir ao registro das atividades que computador a uma aplicac a ocorrem no computador do usu ario.
sobre como manter o hor ario do seu computador sincronizado podem ser obtidas em http://ntp.br/.
7.7
VirusTotal - Free Online Virus, Malware and URL Scanner https://www.virustotal.com/
Ferramentas antimalware
Ferramentas antimalware s ao aquelas que procuram detectar e, ent ao, anular ou remover os c odigos maliciosos de um computador. Antiv rus, antispyware, antirootkit e antitrojan s ao exemplos de ferramentas deste tipo.
Ainda que existam ferramentas espec cas para os diferentes tipos de c odigos maliciosos, muitas dif rea de atuac o de cada uma delas, pois a denic o do tipo de c vezes e cil delimitar a a a a odigo malicioso depende de cada fabricante e muitos c odigos mesclam as caracter sticas dos demais tipos (mais detalhes no Cap tulo C odigos maliciosos (Malware)). AV-Comparatives - Independent Tests of Anti-Virus Software http://www.av-comparatives.org/ Virus Bulletin - Independent Malware Advice http://www.virusbtn.com/ Cuidados a serem tomados:
` sua necessidade e importante levar em conta Para escolher o antimalware que melhor se adapta a o entre o custo o uso que voc e faz e as caracter sticas de cada vers ao. Observe que n ao h a relac a e a eci encia de um programa, pois h a vers oes gratuitas que apresentam mais funcionalidades que vers oes pagas de outros fabricantes. Alguns sites apresentam comparativos entre os programas de diferentes fabricantes que podem gui a-lo na escolha do qual melhor lhe atende, tais como:
Entre as diferentes ferramentas existentes, a que engloba a maior quantidade de funcionalidades o antiv e rus. Apesar de inicialmente eles terem sido criados para atuar especicamente sobre v rus, com o passar do tempo, passaram tamb em a englobar as funcionalidades dos demais programas, fazendo com que alguns deles ca ssem em desuso.
H a diversos tipos de programas antimalware que diferem entre si das seguintes formas:
o: assinatura (uma lista de assinaturas7 e usada a ` procura de padr oes), heur stica M etodo de detecc a es e caracter (baseia-se nas estruturas, instruc o sticas que o c odigo malicioso possui) e comportamento (baseia-se no comportamento apresentado pelo c odigo malicioso quando executado) s ao alguns dos m etodos mais comuns.
tenha um antimalware instalado em seu computador (programas online, apesar de bastante teis, exigem que seu computador esteja conectado a ` Internet para que funcionem corretamente u e podem conter funcionalidades reduzidas); utilize programas online quando suspeitar que o antimalware local esteja desabilitado/comprometido ou quando necessitar de uma segunda opini ao (quiser conrmar o estado de um arquivo que j a foi vericado pelo antimalware local); congure o antimalware para vericar toda e qualquer extens ao de arquivo; congure o antimalware para vericar automaticamente arquivos anexados aos e-mails e obtidos pela Internet; congure o antimalware para vericar automaticamente os discos r gidos e as unidades remov veis (como pen-drives, CDs, DVDs e discos externos); mantenha o arquivo de assinaturas sempre atualizado (congure o antimalware para atualiz a-lo automaticamente pela rede, de prefer encia diariamente); mantenha o antimalware sempre atualizado, com a vers ao mais recente e com todas as atuali es existentes aplicadas; zac o evite executar simultaneamente diferentes programas antimalware (eles podem entrar em con o um do outro); ito, afetar o desempenho do computador e interferir na capacidade de detecc a crie um disco de emerg encia e o utilize-o quando desconar que o antimalware instalado est a desabilitado/comprometido ou que o comportamento do computador est a estranho (mais lento, gravando ou lendo o disco r gido com muita frequ encia, etc.).
o: podem ser gratuitos (quando livremente obtidos na Internet e usados por prazo Forma de obtenc a indeterminado), experimentais (trial, usados livremente por um prazo predeterminado) e pagos (exigem que uma licenc a seja adquirida). Um mesmo fabricante pode disponibilizar mais de um tipo de programa, sendo que a vers ao gratuita costuma possuir funcionalidades b asicas ao passo que a vers ao paga possui funcionalidades extras, al em de poder contar com suporte.
o: podem ser localmente instalados no computador ou executados sob demanda por inExecuc a term edio do navegador Web. Tamb em podem ser online, quando enviados para serem executados em servidores remotos, por um ou mais programas.
es b Funcionalidades apresentadas: al em das func o asicas (detectar, anular e remover c odigos maliciosos) tamb em podem apresentar outras funcionalidade integradas, como a possibilidade de o de discos de emerg o 7.8). gerac a encia e rewall pessoal (mais detalhes na Sec a
Alguns exemplos de antimalware online s ao:
Anubis - Analyzing Unknown Binaries http://anubis.iseclab.org/
Norman Sandbox - SandBox Information Center http://www.norman.com/security_center/security_tools/
ThreatExpert - Automated Threat Analysis http://www.threatexpert.com/
7 A assinatura de um c odigo malicioso corresponde a caracter sticas espec cas nele contidas e que permitem que seja identicado unicamente. Um arquivo de assinaturas corresponde ao conjunto de assinaturas denidas pelo fabricante para os c odigos maliciosos j a detectados.
7.8
` maioria dos Webmails e proOs ltros antispam j a vem integrado a gramas leitores de e-mails e permite separar os e-mails desejados dos indesejados (spams). A maioria dos ltros passa por um per odo inicial de treinamento, no qual o usu ario seleciona manualmente as mensagens es, o ltro vai aprenconsideradas spam e, com base nas classicac o dendo a distinguir as mensagens.
Firewall pessoal
7.9
Filtro antispam
um tipo espec utiliFirewall pessoal e co de rewall que e zado para proteger um computador contra acessos n ao autorizados vindos da Internet.
Os programas antimalware, apesar da grande quantidade de funcionalidades, n ao s ao capazes de impedir que um atacante tente explorar, via rede, alguma vulnerabilidade existente em seu computador e nem de evitar o acesso n ao autorizado, caso haja algum o do antimalware, e necess backdoor nele instalado8 . Devido a isto, al em da instalac a ario que voc e utilize um rewall pessoal.
Quando bem congurado, o rewall pessoal pode ser capaz de:
es sobre ltros antispam e cuidados a serem tomados podem ser encontradas em Mais informac o o contra spam s http://antispam.br/. Mais detalhes sobre outras formas de prevenc a ao apresentadas no Cap tulo Spam.
registrar as tentativas de acesso aos servic os habilitados no seu computador;
7.10 Outros mecanismos

` maioria dos navegadores Web e serve para alertar os usu Filtro antiphishing: j a vem integrado a arios acessada. O usu quando uma p agina suspeita de ser falsa e ario pode ent ao decidir se quer acess a-la mesmo assim ou navegar para outra p agina. ` maioria dos navegadores Web e permite que voc Filtro de janelas de pop-up: j a vem integrado a e o de janelas de pop-up. Voc controle a exibic a e pode optar por bloquear, liberar totalmente ou permitir apenas para sites espec cos. o de c Filtro de c odigos m oveis: ltros, como o NoScript, permitem que voc e controle a execuc a o o destes c digos Java e JavaScript. Voc e pode decidir quando permitir a execuc a odigos e se eles ser ao executados temporariamente ou permanentemente - http://noscript.net/ Filtro de bloqueio de propagandas: ltros, como o Adblock, permitem o bloqueio de sites conhecidos por apresentarem propagandas - http://adblockplus.org/ o de site: complementos, como o WOT (Web of Trust), permitem determinar a Teste de reputac a o dos sites que voc o reputac a e acessa. Por meio de um esquema de cores, ele indica a reputac a do site, como: verde escuro (excelente), verde claro (boa), amarelo (insatisfat oria), vermelho claro (m a) e vermelho escuro (p essima) - http://www.mywot.com/
es coletadas por invasores e c bloquear o envio para terceiros de informac o odigos maliciosos;
o de vulnerabilidades do seu computador e bloquear as tentativas de invas ao e de explorac a o das origens destas tentativas; possibilitar a identicac a
analisar continuamente o conte udo das conex oes, ltrando diversos tipos de c odigos maliciosos o entre um invasor e um c e barrando a comunicac a odigo malicioso j a instalado;
evitar que um c odigo malicioso j a instalado seja capaz de se propagar, impedindo que vulnerabilidades em outros computadores sejam exploradas.
Alguns sistemas operacionais possuem rewall pessoal integrado. Caso o sistema instalado em es dispon seu computador n ao possua um ou voc e n ao queira us a-lo, h a diversas opc o veis (pagas ou gratuitas). Voc e tamb em pode optar por um antimalware com funcionalidades de rewall pessoal integradas.
antes de obter um rewall pessoal, verique a proced encia e certique-se de que o fabricante e con avel;
certique-se de que o rewall instalado esteja ativo (estado: ativado);
es poss congure seu rewall para registrar a maior quantidade de informac o veis (desta forma, poss e vel detectar tentativas de invas ao ou rastrear as conex oes de um invasor).
o de vulnerabilidades: programas, como o PSI (Secunia Personal SoftPrograma para vericac a ware Inspector), permitem vericar vulnerabilidades nos programas instalados em seu computador e determinar quais devem ser atualizados http://secunia.com/vulnerability_scanning/personal/ Sites e complementos para expans ao de links curtos: complementos ou sites espec cos, como o o link de destino de um link curto. Desta forma, voc LongURL, permitem vericar qual e e pode vericar a URL de destino, sem que para isto necessite acessar o link curto http://longurl.org/ o an Anonymizer: sites para navegac a onima, conhecidos como anonymizers, intermediam o envio e es entre o seu navegador Web e o site que voc recebimento de informac o e deseja visitar. Desta es por ele fornecidas n forma, o seu navegador n ao recebe cookies e as informac o ao s ao repassadas para o site visitado - http://www.anonymizer.com/
es do rewall dependem de cada fabricante. De forma geral, a mais indicada e : As congurac o
liberar todo tr afego de sa da do seu computador (ou seja, permitir que seu computador acesse outros computadores e servic os) e;
bloquear todo tr afego de entrada ao seu computador (ou seja, impedir que seu computador seja acessado por outros computadores e servic os) e liberar as conex oes conforme necess ario, de acordo com os programas usados.
8 Exceto
aqueles que possuem rewall pessoal integrado.
60
` sua senha ela poder Se uma outra pessoa souber a sua conta de usu ario e tiver acesso a a us a-las es em seu nome, como: para se passar por voc e na Internet e realizar ac o acessar a sua conta de correio eletr onico e ler seus e-mails, enviar mensagens de spam e/ou contendo phishing e c odigos maliciosos, furtar sua lista de contatos e pedir o reenvio de senhas de outras contas para este enderec o de e-mail (e assim conseguir acesso a elas); es sens acessar o seu computador e obter informac o veis nele armazenadas, como senhas e n umeros de cart oes de cr edito; utilizar o seu computador para esconder a real identidade desta pessoa (o invasor) e, ent ao, desferir ataques contra computadores de terceiros; es feitas por voc es acessar sites e alterar as congurac o e, de forma a tornar p ublicas informac o que deveriam ser privadas; acessar a sua rede social e usar a conanc a que as pessoas da sua rede de relacionamento es sens depositam em voc e para obter informac o veis ou para o envio de boatos, mensagens de spam e/ou c odigos maliciosos.
8. Contas e senhas
8.1
Uso seguro de contas e senhas
Algumas das formas como a sua senha pode ser descoberta s ao: ao ser usada em computadores infectados. Muitos c odigos maliciosos, ao infectar um computador, armazenam as teclas digitadas (inclusive senhas), espionam o teclado pela webcam (caso o da tela onde o mouse voc e possua uma e ela esteja apontada para o teclado) e gravam a posic a o 4.4 do Cap tulo C odigos maliciosos (Malware)); foi clicado (mais detalhes na Sec a ao ser usada em sites falsos. Ao digitar a sua senha em um site falso, achando que est a no site verdadeiro, um atacante pode armazen a-la e, posteriormente, us a-la para acessar o site es em seu nome (mais detalhes na Sec o 2.3 do Cap tulo Golpes verdadeiro e realizar operac o a na Internet); o (mais detalhes na Sec o 3.5 do Cap por meio de tentativas de adivinhac a a tulo Ataques na Internet); o 3.4 ao ser capturada enquanto trafega na rede, sem estar criptografada (mais detalhes na Sec a do Cap tulo Ataques na Internet); por meio do acesso ao arquivo onde a senha foi armazenada caso ela n ao tenha sido gravada de forma criptografada (mais detalhes no Cap tulo Criptograa); com o uso de t ecnicas de engenharia social, como forma a persuadi-lo a entreg a-la voluntariamente; o da movimentac o dos seus dedos no teclado ou dos cliques do mouse em pela observac a a teclados virtuais.
59
Uma conta de usu ario, tamb em chamada de nome de usu ario, nome de login e username, ` identicac o u nica de um usu corresponde a a ario em um computador ou servic o. Por meio das contas poss de usu ario e vel que um mesmo computador ou servic o seja compartilhado por diversas pessoas, es espec pois permite, por exemplo, identicar unicamente cada usu ario, separar as congurac o cas de cada um e controlar as permiss oes de acesso.
de conhecimento geral e e o que permite a sua identicac o. Ela e , muitas A sua conta de usu ario e a vezes, derivada do seu pr oprio nome, mas pode ser qualquer sequ encia de caracteres que permita que voc e seja identicado unicamente, como o seu enderec o de e-mail. Para garantir que ela seja usada que existem os mecanismos de autenticac o. apenas por voc e, e por mais ningu em, e a
o, que se utilizam de: aquilo que voc Existem tr es grupos b asicos de mecanismos de autenticac a ee es biom (informac o etricas, como a sua impress ao digital, a palma da sua m ao, a sua voz e o seu olho), aquilo que apenas voc e possui (como seu cart ao de senhas banc arias e um token gerador de senhas) e, nalmente, aquilo que apenas voc e sabe (como perguntas de seguranc a e suas senhas).
usada no processo de Uma senha, ou password, serve para autenticar uma conta, ou seja, e o da sua identidade, assegurando que voc realmente quem diz ser e que possui o divericac a ee um dos principais mecanismos de autenticac o usados na reito de acessar o recurso em quest ao. E a Internet devido, principalmente, a simplicidade que possui.
8. Contas e senhas 61 62
Cuidados a serem tomados ao usar suas contas e senhas:
certique-se de n ao estar sendo observado ao digitar as suas senhas;
n ao fornec a as suas senhas para outra pessoa, em hip otese alguma; o de suas senhas s Alguns elementos que voc e deve usar na elaborac a ao:
Palavras que fac am parte de listas: evite palavras presentes em listas publicamente conhecidas, como nomes de m usicas, times de futebol, personagens de lmes, dicion arios de diferentes idiomas, etc. Existem programas que tentam descobrir senhas combinando e testando estas pa o 3.5 do Cap lavras e que, portanto, n ao devem ser usadas (mais detalhes na Sec a tulo Ataques na Internet).
o certique-se de fechar a sua sess ao ao acessar sites que requeiram o uso de senhas. Use a opc a es sejam mantidas no navegador; de sair (logout), pois isto evita que suas informac o
o 8.2; elabore boas senhas, conforme descrito na Sec a
o 8.3; altere as suas senhas sempre que julgar necess ario, conforme descrito na Sec a
Numeros aleat orios: quanto mais ao acaso forem os n umeros usados melhor, principalmente em sistemas que aceitem exclusivamente caracteres num ericos. Grande quantidade de caracteres: quanto mais longa for a senha mais dif cil ser a descobri-la. Apesar de senhas longas parecerem, a princ pio, dif ceis de serem digitadas, com o uso frequente elas acabam sendo digitadas facilmente.
n ao use a mesma senha para todos os servic os que acessa (dicas de gerenciamento de senhas o 8.4); s ao fornecidas na Sec a
o de senhas, evite escolher quest ao usar perguntas de seguranc a para facilitar a recuperac a oes o 8.5); cujas respostas possam ser facilmente adivinhadas (mais detalhes na Sec a
certique-se de utilizar servic os criptografados quando o acesso a um site envolver o forneci o 10.1 do Cap mento de senha (mais detalhes na Sec a tulo Uso seguro da Internet);
Diferentes tipos de caracteres: quanto mais bagunc ada for a senha mais dif cil ser a descobri-la. o e letras mai Procure misturar caracteres, como n umeros, sinais de pontuac a usculas e min us o pode dicultar bastante que a senha seja descoberta, sem culas. O uso de sinais de pontuac a necessariamente torn a-la dif cil de ser lembrada. o de boas senhas s aticas que voc e pode usar na elaborac a ao: Algumas dicas2 pr Selecione caracteres de uma frase: baseie-se em uma frase e selecione a primeira, a segunda ou a ltima letra de cada palavra. Exemplo: com a frase O Cravo brigou com a Rosa debaixo u o foi colocado de uma sacada voc e pode gerar a senha ?OCbcaRddus (o sinal de interrogac a ` senha). no in cio para acrescentar um s mbolo a Utilize uma frase longa: escolha uma frase longa, que fac a sentido para voc e, que seja f acil de ser es comuns memorizada e que, se poss vel, tenha diferentes tipos de caracteres. Evite citac o ` voc (como ditados populares) e frases que possam ser diretamente ligadas a e (como o refr ao de sua m usica preferida). Exemplo: se quando crianc a voc e sonhava em ser astronauta, pode usar como senha 1 dia ainda verei os aneis de Saturno!!!. es de caracteres: invente um padr o baseado, por exemplo, na seFac a substituic o ao de substituic a etica (ca e k) entre os caracteres. Crie o seu melhanc a visual (w e vv) ou de fon bvias. Exemplo: duplicando as letras s e pr oprio padr ao pois algumas trocas j a s ao bastante o umero zero) e usando a frase Sol, astro-rei do Sistema r, substituindo o por 0 (n Solar voc e pode gerar a senha SS0l, asstrr0-rrei d0 SSisstema SS0larr.
es que possam ser cole procure manter sua privacidade, reduzindo a quantidade de informac o tadas sobre voc e, pois elas podem ser usadas para adivinhar a sua senha, caso voc e n ao tenha sido cuidadoso ao elabor a-la (mais detalhes no Cap tulo Privacidade);
a de computa mantenha a seguranc a do seu computador (mais detalhes no Cap tulo Seguranc dores);
seja cuidadoso ao usar a sua senha em computadores potencialmente infectados ou comprome es de navegac o an tidos. Procure, sempre que poss vel, utilizar opc o a onima (mais detalhes na o 12.3 do Cap tulo Seguranc a de computadores). Sec a
o de senhas 8.2 Elaborac a
aquela que e dif Uma senha boa, bem elaborada, e cil de ser descoberta (forte) e f acil de ser lembrada. N ao conv em que voc e crie uma senha forte se, quando for us a-la, n ao conseguir record ala. Tamb em n ao conv em que voc e crie uma senha f acil de ser lembrada se ela puder ser facilmente descoberta por um atacante.
o de suas senhas s Alguns elementos que voc e n ao deve usar na elaborac a ao:
Qualquer tipo de dado pessoal: evite nomes, sobrenomes, contas de usu ario, n umeros de documentos, placas de carros, n umeros de telefones e datas1 (estes dados podem ser facilmente obtidos e usados por pessoas que queiram tentar se autenticar como voc e).
Existem servic os que permitem que voc e teste a complexidade de uma senha e que, de acordo com crit erios, podem classic a-la como sendo, por exemplo, muito fraca, fraca, forte importante ter em mente que, mesmo que uma senha os e ou muito forte. Ao usar estes servic ao seja uma boa senha caso contenha tenha sido classicada como muito forte, pode ser que ela n dados pessoais que n ao s ao de conhecimento do servic o, mas que podem ser de conhecimento de um atacante. capaz de denir se a senha elaborada e realmente boa! Apenas voc ee
senhas e os padr oes usados para ilustrar as dicas, tanto nesta como nas vers oes anteriores da Cartilha, n ao devem ser usados pois j a s ao de conhecimento p ublico. Voc e deve adaptar estas dicas e criar suas pr oprias senhas e padr oes.
2 As
` proximidade entre os caracteres no teclado, como Sequ encias de teclado: evite senhas associadas a 1qaz2wsx e QwerTAsdfG, pois s ao bastante conhecidas e podem ser facilmente observadas ao serem digitadas.
1 Qualquer
data que possa estar relacionada a voc e, como a data de seu anivers ario ou de seus familiares.
8.3
o de senhas Alterac a
Voc e deve alterar a sua senha imediatamente sempre que desconar que ela pode ter sido descoberta ou que o computador no qual voc e a utilizou pode ter sido invadido ou infectado. jamais as utilize em computadores de terceiros.
es como Lembre-se de mim e Continuar conectado: o uso destas opc es faz com Usar opc o o es da sua conta de usu que informac o ario sejam salvas em cookies que podem ser indevidamente coletados e permitam que outras pessoas se autentiquem como voc e. es somente nos sites nos quais o risco envolvido e bastante baixo; use estas opc o
es onde voc Algumas situac o e deve alterar rapidamente a sua senha s ao:
se um computador onde a senha esteja armazenada tenha sido furtado ou perdido;
o de senhas e desconar que uma delas tenha sido descoberta. se usar um padr ao para a formac a Neste caso, tanto o padr ao como todas as senhas elaboradas com ele devem ser trocadas pois, com base na senha descoberta, um atacante pode conseguir inferir as demais; assegure-se de congurar uma chave mestra;
bastante arriscada, pois caso as senhas n Salvar as senhas no navegador Web: esta pr atica e ao estejam criptografadas com uma chave mestra, elas podem ser acessadas por c odigos maliciosos, atacantes ou outras pessoas que venham a ter acesso ao computador.
se utilizar uma mesma senha em mais de um lugar e desconar que ela tenha sido descoberta usada; em algum deles. Neste caso, esta senha deve ser alterada em todos os lugares nos quais e n ao esquec a sua chave mestra.
seja bastante cuidadoso ao elaborar sua chave mestra, pois a seguranc a das demais senhas depende diretamente da seguranc a dela;
ao adquirir equipamentos acess veis via rede, como roteadores Wi-Fi, dispositivos bluetooth e modems ADSL (Asymmetric Digital Subscriber Line). Muitos destes equipamentos s ao congurados de f abrica com senha padr ao, facilmente obtida em listas na Internet, e por isto, sempre que poss vel, deve ser alterada (mais detalhes no Cap tulo Seguranc a de redes).
Para n ao ter que recorrer a estas t ecnicas ou correr o risco de esquecer suas contas/senhas ou, pior ainda, ter que apelar para o uso de senhas fracas, voc e pode buscar o aux lio de algumas das formas de gerenciamento dispon veis. listar suas contas/senhas em um papel e guard Uma forma bastante simples de gerenciamento e alo em um local seguro (como uma gaveta trancada). Neste caso, a seguranc a depende diretamente da diculdade de acesso ao local escolhido para guardar este papel (de nada adianta col a-lo no monitor, prefer deix a-lo embaixo do teclado ou sobre a mesa). Veja que e vel usar este m etodo a optar pelo uso mais f de senhas fracas pois, geralmente, e acil garantir que ningu em ter a acesso f sico ao local onde o papel est a guardado do que evitar que uma senha fraca seja descoberta na Internet. Caso voc e considere este m etodo pouco pr atico, pode optar por outras formas de gerenciamento como as apresentadas a seguir, juntamente com alguns cuidados b asicos que voc e deve ter ao us a-las:
importante que a sua senha seja alterada regularmente, como forma de asNos demais casos e segurar a condencialidade. N ao h a como denir, entretanto, um per odo ideal para que a troca seja e de quanto voc feita, pois depende diretamente de qu ao boa ela e e a exp oe (voc e a usa em computadores de terceiros? Voc e a usa para acessar outros sites? Voc e mant em seu computador atualizado?).
N ao conv em que voc e troque a senha em per odos muito curtos (menos de um m es, por exemplo) se, para conseguir se recordar, precisar a elaborar uma senha fraca ou anot a-la em um papel e col a-lo no monitor do seu computador. Per odos muito longos (mais de um ano, por exemplo) tamb em n ao s ao desej aveis pois, caso ela tenha sido descoberta, os danos causados podem ser muito grandes.
8.4 Gerenciamento de contas e senhas
Voc e j a pensou em quantas contas e senhas diferentes precisa memorizar e combinar para acessar o? Atualmente, conar apenas na memorizac o todos os servic os que utiliza e que exigem autenticac a a pode ser algo bastante arriscado.
nicas e basCriar grupos de senhas, de acordo com o risco envolvido: voc e pode criar senhas u tante fortes e us a-las onde haja recursos valiosos envolvidos (por exemplo, para acesso a In nicas, por ternet Banking ou e-mail). Outras senhas u em um pouco mais simples, para casos inferior (por exemplo, sites de com nos quais o valor do recurso protegido e ercio eletr onico, es de pagamento, como n desde que suas informac o umero de cart ao de cr edito, n ao sejam armazenadas para uso posterior) e outras simples e reutilizadas para acessos sem risco (como o cadastro para baixar um determinado arquivo). bastante baixo. reutilize senhas apenas em casos nos quais o risco envolvido e Usar um programa gerenciador de contas/senhas: programas, como 1Password3 e KeePass4 , per nico arquivo, acess mitem armazenar grandes quantidades de contas/senhas em um u vel por meio de uma chave mestra. seja bastante cuidadoso ao elaborar sua chave mestra, pois a seguranc a das demais senhas depende diretamente da seguranc a dela;
3 1Password 4 KeePass
Para resolver este problema muitos usu arios acabam usando t ecnicas que podem ser bastante perigosas e que, sempre que poss vel, devem ser evitadas. Algumas destas t ecnicas e os cuidados que voc e deve tomar caso, mesmo ciente dos riscos, opte por us a-las s ao:
Reutilizar as senhas: usar a mesma senha para acessar diferentes contas pode ser bastante arriscado, pois basta ao atacante conseguir a senha de uma conta para conseguir acessar as demais contas onde esta mesma senha foi usada.
procure n ao usar a mesma senha para assuntos pessoais e prossionais;
jamais reutilize senhas que envolvam o acesso a dados sens veis, como as usadas em Internet Banking ou e-mail.
- https://agilebits.com/onepassword. - http://keepass.info/.
n ao esquec a sua chave mestra (sem ela, n ao h a como voc e acessar os arquivos que foram criptografados, ou seja, todas as suas contas/senhas podem ser perdidas);
assegure-se de obter o programa gerenciador de senhas de uma fonte con avel e de sempre mant e-lo atualizado;
es que voc seja cuidadoso com as informac o e disponibiliza em blogs e redes sociais, pois podem ser usadas por atacantes para tentar conrmar os seus dados cadastrais, descobrir dicas e responder perguntas de seguranc a (mais detalhes no Cap tulo Privacidade); evite cadastrar perguntas de seguranc a que possam ser facilmente descobertas, como o nome do seu cachorro ou da sua m ae. Procure criar suas pr oprias perguntas e, de prefer encia, com respostas falsas. Exemplo: caso voc e tenha medo de altura, pode criar a pergunta Qual seu esporte favorito? e colocar como resposta paraquedismo ou alpinismo; ao receber senhas por e-mail procure alter a-las o mais r apido poss vel. Muitos sistemas enviam as senhas em texto claro, ou seja, sem nenhum tipo de criptograa e elas podem ser obtidas caso ` sua conta de e-mail ou utilize programas para interceptac o de tr algu em tenha acesso a a afego o 3.4 do Cap (mais detalhes na Sec a tulo Ataques na Internet); o que voc procure cadastrar um e-mail de recuperac a e acesse regularmente, para n ao esquecer a senha desta conta tamb em; procure n ao depender de programas gerenciadores de senhas para acessar o e-mail de recupe o (caso voc rac a e esquec a sua chave mestra ou, por algum outro motivo, n ao tenha mais acesso ` s suas senhas, o acesso ao e-mail de recuperac o pode ser a u nica forma de restabelecer os a a acessos perdidos); o ao cadastrar o e-mail de recuperac o para n preste muita atenc a a ao digitar um enderec o que seja inv alido ou pertencente a outra pessoa. Para evitar isto, muitos sites enviam uma mensagem de o assim que o cadastro e realizado. Tenha certeza de receb conrmac a e-la e de que as eventuais es de vericac o tenham sido executadas. instruc o a
evite depender do programa gerenciador de senhas para acessar a conta do e-mail de re o (mais detalhes na Sec o 8.5). cuperac a a
Gravar em um arquivo criptografado: voc e pode manter um arquivo criptografado em seu computador e utiliz a-lo para cadastrar manualmente todas as suas contas e senhas.
assegure-se de manter o arquivo sempre criptografado;
assegure-se de manter o arquivo atualizado (sempre que alterar uma senha que esteja cadastrada no arquivo, voc e deve lembrar de atualiz a-lo);
fac a backup do arquivo de senhas, para evitar perd e-lo caso haja problemas em seu computador.
o de senhas 8.5 Recuperac a
Mesmo que voc e tenha tomado cuidados para elaborar a sua senha e utilizado mecanismos de gerenciamento, podem ocorrer casos, por in umeros motivos, de voc e perd e-la. Para restabelecer o acesso perdido, alguns sistemas disponibilizam recursos como:
permitir que voc e responda a uma pergunta de seguranc a previamente determinada por voc e;
o previamente denido por voc enviar a senha, atual ou uma nova, para o e-mail de recuperac a e;
es cadastrais, como data de anivers conrmar suas informac o ario, pa s de origem, nome da m ae, n umeros de documentos, etc;
apresentar uma dica de seguranc a previamente cadastrada por voc e;
enviar por mensagem de texto para um n umero de celular previamente cadastrado por voc e.
teis, desde que cuidadosamente utilizados, pois assim Todos estes recursos podem ser muito u como podem permitir que voc e recupere um acesso, tamb em podem ser usados por atacantes que queiram se apossar da sua conta. Alguns cuidados que voc e deve tomar ao us a-los s ao:
cadastre uma dica de seguranc a que seja vaga o suciente para que ningu em mais consiga descobri-la e clara o bastante para que voc e consiga entend e-la. Exemplo: se sua senha for SS0l, asstrr0-rrei d0 SSisstema SS0larr5 , pode cadastrar a dica Uma das notas a se lembrar da palavra Sol e se recordar da senha; musicais, o que o far
5 Esta
o 8.2. senha foi sugerida na Sec a
68

Termo Texto claro Texto codicado (cifrado) Codicar (cifrar) Decodicar (decifrar) M etodo criptogr aco Chave o Canal de comunicac a Remetente Destinat ario
9. Criptograa
Signicado o leg Informac a vel (original) que ser a protegida, ou seja, que ser a codicada o de um texto claro Texto ileg vel, gerado pela codicac a Ato de transformar um texto claro em um texto codicado Ato de transformar um texto codicado em um texto claro es Conjunto de programas respons avel por codicar e decodicar informac o utilizada como elemento secreto pelos m Similar a uma senha, e etodos crip geralmente medido em quantidade de bits togr acos. Seu tamanho e es Meio utilizado para a troca de informac o o Pessoa ou servic o que envia a informac a o Pessoa ou servic o que recebe a informac a
es via Internet. Tabela 9.1: Termos empregados em criptograa e comunicac o
9.1
Criptograa de chave sim etrica e de chaves assim etricas
De acordo com o tipo de chave usada, os m etodos criptogr acos podem ser subdivididos em duas grandes categorias: criptograa de chave sim etrica e criptograa de chaves assim etricas. nica, utiCriptograa de chave sim etrica: tamb em chamada de criptograa de chave secreta ou u es, sendo usada liza uma mesma chave tanto para codicar como para decodicar informac o principalmente para garantir a condencialidade dos dados.
A criptograa, considerada como a ci encia e a arte de escrever mensagens em forma cifrada ou um dos principais mecanismos de seguranc em c odigo, e a que voc e pode usar para se proteger dos riscos associados ao uso da Internet.
o e codicada e decodicada por uma mesma pessoa n Casos nos quais a informac a ao h a ne es envolvem cessidade de compartilhamento da chave secreta. Entretanto, quando estas operac o necess pessoas ou equipamentos diferentes, e ario que a chave secreta seja previamente combi o seguro (para n nada por meio de um canal de comunicac a ao comprometer a condencialidade da chave). Exemplos de m etodos criptogr acos que usam chave sim etrica s ao: AES, Blowsh, RC4, 3DES e IDEA. Criptograa de chaves assim etricas: tamb em conhecida como criptograa de chave p ublica, utiliza duas chaves distintas: uma p ublica, que pode ser livremente divulgada, e uma privada, que deve ser mantida em segredo por seu dono.
A primeira vista ela at e pode parecer complicada, mas para usufruir dos benef cios que proporciona voc e n ao precisa estud a-la profundamente e nem ser nenhum matem atico experiente. Atualmente, ` grande maioria dos sistemas opea criptograa j a est a integrada ou pode ser facilmente adicionada a o de algumas congurac es ou racionais e aplicativos e para us a-la, muitas vezes, basta a realizac a o cliques de mouse.
Por meio do uso da criptograa voc e pode:
proteger os dados sigilosos armazenados em seu computador, como o seu arquivo de senhas e o de Imposto de Renda; a sua declarac a
o e codicada com uma das chaves, somente a outra chave do par pode Quando uma informac a o que se deseja, se condencidecodic a-la. Qual chave usar para codicar depende da protec a o, integridade e n alidade ou autenticac a ao-rep udio. A chave privada pode ser armazenada de diferentes maneiras, como um arquivo no computador, um smartcard ou um token. Exemplos de m etodos criptogr acos que usam chaves assim etricas s ao: RSA, DSA, ECC e Dife-Hellman. a mais A criptograa de chave sim etrica, quando comparada com a de chaves assim etricas, e indicada para garantir a condencialidade de grandes volumes de dados, pois seu processamento e es, se torna complexa e mais r apido. Todavia, quando usada para o compartilhamento de informac o pouco escal avel, em virtude da: o seguro para promover o compartilhamento da chave necessidade de um canal de comunicac a secreta entre as partes (o que na Internet pode ser bastante complicado) e; diculdade de gerenciamento de grandes quantidades de chaves (imagine quantas chaves secretas seriam necess arias para voc e se comunicar com todos os seus amigos).
rea (partic o) espec es que forem criar uma a a ca no seu computador, na qual todas as informac o l a gravadas ser ao automaticamente criptografadas;
reas de proteger seus backups contra acesso indevido, principalmente aqueles enviados para a armazenamento externo de m dias;
es realizadas pela Internet, como os e-mails enviados/recebidos e as proteger as comunicac o es banc transac o arias e comerciais realizadas.
es s imporNas pr oximas sec o ao apresentados alguns conceitos de criptograa. Antes, por em, e tante que voc e se familiarize com alguns termos geralmente usados e que s ao mostrados na Tabela 9.1.
67
9. Criptograa 69 70
A criptograa de chaves assim etricas, apesar de possuir um processamento mais lento que a de chave sim etrica, resolve estes problemas visto que facilita o gerenciamento (pois n ao requer que se mantenha uma chave secreta com cada um que desejar se comunicar) e dispensa a necessidade de um o seguro para o compartilhamento de chaves. canal de comunicac a
9.4
Certicado digital
o uso combinado de ambos, Para aproveitar as vantagens de cada um destes m etodos, o ideal e usada para a codicac o da informac o e a criptograa onde a criptograa de chave sim etrica e a a utilizada para o compartilhamento da chave secreta (neste caso, tamb de chaves assim etricas e em o que e utilizado pelos navegadores Web e chamada de chave de sess ao). Este uso combinado e programas leitores de e-mails. Exemplos de uso deste m etodo combinado s ao: SSL, PGP e S/MIME.
Como dito anteriormente, a chave p ubica pode ser livremente divulgada. Entretanto, se n ao houver como comprovar a quem ela pertence, pode ocorrer de voc e se comunicar, de forma cifrada, diretamente com um impostor. Um impostor pode criar uma chave p ublica falsa para um amigo seu e envi a-la para voc e ou dispo o para o seu amigo, voc nibiliz a-la em um reposit orio. Ao us a-la para codicar uma informac a e estar a, na verdade, codicando-a para o impostor, que possui a chave privada correspondente e conseguir a pelo uso de certicados digitais. decodicar. Uma das formas de impedir que isto ocorra e um registro eletr O certicado digital e onico composto por um conjunto de dados que distingue uma entidade e associa a ela uma chave p ublica. Ele pode ser emitido para pessoas, empresas, equipamentos ou servic os na rede (por exemplo, um site Web) e pode ser homologado para diferentes usos, como condencialidade e assinatura digital.
o de resumo (Hash) 9.2 Func a
o de resumo e um m o, Uma func a etodo criptogr aco que, quando aplicado sobre uma informac a nico e de tamanho xo, chamado hash1 . independente do tamanho que ela tenha, gera um resultado u
Voc e pode utilizar hash para:
Um certicado digital pode ser comparado a um documento de identidade, por exemplo, o seu o de quem o emitiu. No caso do passaporte, no qual constam os seus dados pessoais e a identicac a a Pol passaporte, a entidade respons avel pela emiss ao e pela veracidade dos dados e cia Federal. No uma Autoridade Certicadora (AC). caso do certicado digital esta entidade e
vericar a integridade de um arquivo armazenado em seu computador ou em seus backups;
vericar a integridade de um arquivo obtido da Internet (alguns sites, al em do arquivo em si, tamb em disponibilizam o hash correspondente, para que voc e possa vericar se o arquivo foi corretamente transmitido e gravado);
tamb es sobre certicados que n Uma AC emissora e em respons avel por publicar informac o ao s ao informada que um certicado n mais con mais con aveis. Sempre que a AC descobre ou e ao e avel, ela o inclui em uma lista negra, chamada de Lista de Certicados Revogados (LCR) para que um arquivo eletr os usu arios possam tomar conhecimento. A LCR e onico publicado periodicamente o. pela AC, contendo o n umero de s erie dos certicados que n ao s ao mais v alidos e a data de revogac a ao apresentados nos navegadores Web. Note A Figura 9.1 ilustra como os certicados digitais s o gr que, embora os campos apresentados sejam padronizados, a representac a aca pode variar entre diferentes navegadores e sistemas operacionais. De forma geral, os dados b asicos que comp oem um certicado digital s ao: vers ao e n umero de s erie do certicado; dados que identicam a AC que emitiu o certicado; dados que identicam o dono do certicado (para quem ele foi emitido); chave p ublica do dono do certicado; v validade do certicado (quando foi emitido e at e quando e alido); o da assinatura. assinatura digital da AC emissora e dados para vericac a
o 9.3. gerar assinaturas digitais, como descrito na Sec a
Para vericar a integridade de um arquivo, por exemplo, voc e pode calcular o hash dele e, quando julgar necess ario, gerar novamente este valor. Se os dois hashes forem iguais ent ao voc e pode concluir que o arquivo n ao foi alterado. Caso contr ario, este pode ser um forte ind cio de que o arquivo esteja corrompido ou que foi modicado. Exemplos de m etodos de hash s ao: SHA-1, SHA-256 e MD5.
9.3 Assinatura digital
o, ou A assinatura digital permite comprovar a autenticidade e a integridade de uma informac a seja, que ela foi realmente gerada por quem diz ter feito isto e que ela n ao foi alterada.
A assinatura digital baseia-se no fato de que apenas o dono conhece a chave privada e que, se ela o, ent o foi usada para codicar uma informac a ao apenas seu dono poderia ter feito isto. A vericac a feita com o uso da chave p da assinatura e ublica, pois se o texto foi codicado com a chave privada, somente a chave p ublica correspondente pode decodic a-lo.
Para contornar a baixa eci encia caracter stica da criptograa de chaves assim etricas, a codicao e feita sobre o hash e n mais r c a ao sobre o conte udo em si, pois e apido codicar o hash (que possui o toda. tamanho xo e reduzido) do que a informac a
1 O hash e gerado de tal forma que n poss o original ao e vel realizar o processamento inverso para se obter a informac a o na informac o original produzir e que qualquer alterac a a a um hash distinto. Apesar de ser teoricamente poss vel que es diferentes gerem hashes iguais, a probabilidade disto ocorrer e bastante baixa. informac o
emitido, geralmente, por outra AC, estabelecendo uma hierarO certicado digital de uma AC e o, conforme ilustrado na quia conhecida como cadeia de certicados ou caminho de certicac a aa ncora de conanc Figura 9.2. A AC raiz, primeira autoridade da cadeia, e a para toda a hierarquia e, por n ao existir outra AC acima dela, possui um certicado autoassinado (mais detalhes a seguir). Os certicados das ACs ra zes publicamente reconhecidas j a v em inclusos, por padr ao, em grande parte dos sistemas operacionais e navegadores e s ao atualizados juntamente com os pr oprios sistemas. Al es realizadas na base de certicados dos navegadores s guns exemplos de atualizac o ao: inclus ao de o de certicados vencidos e exclus novas ACs, renovac a ao de ACs n ao mais con aveis.
9. Criptograa 71 72
Figura 9.2: Cadeia de certicados. Certicado EV SSL (Extended Validation Secure Socket Layer): certicado emitido sob um pro o do solicitante. Inclui a vericac o de que a empresa foi legalcesso mais rigoroso de validac a a mente registrada, encontra-se ativa e que det em o registro do dom nio para o qual o certicado ser a emitido, al em de dados adicionais, como o enderec o f sico. o avanc Dicas sobre como reconhecer certicados autoassinados e com validac a ada s ao apresenta o 10.1 do Cap tulo Uso seguro da Internet. dos na Sec a
9.5
Programas de criptograa
importante usar programas leitores de e-mails Para garantir a seguranc a das suas mensagens e com suporte nativo a criptograa (por exemplo, que implementam S/MIME - Secure/Multipurpose o de outros programas e complementos esInternet Mail Extensions) ou que permitam a integrac a pec cos para este m.
Figura 9.1: Exemplos de certicados digitais.
Alguns tipos especiais de certicado digital que voc e pode encontrar s ao:
Programas de criptograa, como o GnuPG2 , al em de poderem ser integrados aos programas lei o, tores de e-mails, tamb em podem ser usados separadamente para cifrar outros tipos de informac a como os arquivos armazenados em seu computador ou em m dias remov veis. Existem tamb em programas (nativos do sistema operacional ou adquiridos separadamente) que permitem cifrar todo o disco do computador, diret orios de arquivos e dispositivos de armazenamento es em caso de externo (como pen-drives e discos), os quais visam preservar o sigilo das informac o perda ou furto do equipamento.
aquele no qual o dono e o emissor s Certicado autoassinado: e ao a mesma entidade. Costuma ser usado de duas formas:
Leg tima: al em das ACs ra zes, certicados autoassinados tamb em costumam ser usados por es de ensino e pequenos grupos que querem prover condencialidade e integriinstituic o nus de adquirir dade nas conex oes, mas que n ao desejam (ou n ao podem) arcar com o o um certicado digital validado por uma AC comercial.
Maliciosa: um atacante pode criar um certicado autoassinado e utilizar, por exemplo, mensa o 2.3 do Cap tulo Golpes na Internet), para induzir gens de phishing (mais detalhes na Sec a os usu arios a instal a-lo. A partir do momento em que o certicado for instalado no navegador, passa a ser poss vel estabelecer conex oes cifradas com sites fraudulentos, sem que ` conabilidade do certicado. o navegador emita alertas quanto a
2 http://www.gnupg.org/. O GnuPG n ao utiliza o conceito de certicados digitais emitidos por uma hierarquia estabelecida por meio do modelo conhecido como rede de de autoridades certicadoras. A conanc a nas chaves e conanc a, no qual prevalece a conanc a entre cada entidade.
9. Criptograa 73 74
9.6
Seja cuidadoso ao aceitar um certicado digital:
Cuidados a serem tomados
Proteja seus dados:
utilize criptograa sempre que, ao enviar uma mensagem, quiser assegurar-se que somente o destinat ario possa l e-la;
mantenha seu sistema operacional e navegadores Web atualizados (al em disto contribuir para a seguranc a geral do seu computador, tamb em serve para manter as cadeias de certicados sempre atualizadas); mantenha seu computador com a data correta. Al em de outros benef cios, isto impede que certicados v alidos sejam considerados n ao con aveis e, de forma contr aria, que certicados n ao con aveis sejam considerados v alidos (mais detalhes no Cap tulo Seguranc a de computadores); o ao acessar um site Web, observe os s mbolos indicativos de conex ao segura e leia com atenc a o 10.1 do Cap tulo Uso seguro eventuais alertas exibidos pelo navegador (mais detalhes na Sec a da Internet); o caso o navegador n ao reconhec a o certicado como con avel, apenas prossiga com a navegac a o e da integridade do certicado, pois, do contr se tiver certeza da idoneidade da instituic a ario, poder a estar aceitando um certicado falso, criado especicamente para cometer fraudes (deta o 10.1.2 do Cap tulo Uso seguro da Internet). lhes sobre como fazer isto na Sec a
utilize assinaturas digitais sempre que, ao enviar uma mensagem, quiser assegurar ao destinat ario que foi voc e quem a enviou e que o conte udo n ao foi alterado;
s o envie dados sens veis ap os certicar-se de que est a usando uma conex ao segura (mais deta o 10.1 do Cap lhes na Sec a tulo Uso seguro da Internet);
utilize criptograa para conex ao entre seu leitor de e-mails e os servidores de e-mail do seu provedor;
cifre o disco do seu computador e dispositivos remov veis, como disco externo e pen-drive. Desta forma, em caso de perda ou furto do equipamento, seus dados n ao poder ao ser indevidamente acessados;
verique o hash, quando poss vel, dos arquivos obtidos pela Internet (isto permite que voc e detecte arquivos corrompidos ou que foram indevidamente alterados durante a transmiss ao).
Seja cuidadoso com as suas chaves e certicados:
utilize chaves de tamanho adequado. Quanto maior a chave, mais resistente ela ser a a ataques o 3.5 do Cap de forc a bruta (mais detalhes na Sec a tulo Ataques na Internet);
bvias (mais detalhes na Sec o 8.2 do Cap n ao utilize chaves secretas o a tulo Contas e senhas);
o; certique-se de n ao estar sendo observado ao digitar suas chaves e senhas de protec a
o seguros quando compartilhar chaves secretas; utilize canais de comunicac a
o, como por exemplo senha, armazene suas chaves privadas com algum mecanismo de protec a para evitar que outra pessoa fac a uso indevido delas;
preserve suas chaves. Procure fazer backups e mantenha-os em local seguro (se voc e perder uma chave secreta ou privada, n ao poder a decifrar as mensagens que dependiam de tais chaves);
tenha muito cuidado ao armazenar e utilizar suas chaves em computadores potencialmente infectados ou comprometidos, como em LAN houses, cybercafes, stands de eventos, etc;
` sua chave privada (por exemplo, porque perdeu o se suspeitar que outra pessoa teve acesso a dispositivo em que ela estava armazenada ou porque algu em acessou indevidamente o compu o do certicado junto a ` AC tador onde ela estava guardada), solicite imediatamente a revogac a emissora.
76
permita que programas ActiveX sejam executados apenas quando vierem de sites conhecidos e o 6.2, do Cap con aveis (mais detalhes tamb em na Sec a tulo Outros riscos); o 6.1 do seja cuidadoso ao usar cookies caso deseje ter mais privacidade (mais detalhes na Sec a Cap tulo Outros riscos); caso opte por permitir que o navegador grave as suas senhas, tenha certeza de cadastrar uma o 8.4, do Cap tulo Contas e senhas); chave mestra e de jamais esquec e-la (mais detalhes na Sec a mantenha seu computador seguro (mais detalhes no Cap tulo Seguranc a de computadores). Ao usar programas leitores de e-mails: es aplicadas; mantenha-o atualizado, com a vers ao mais recente e com as todas atualizac o es, tanto dele pr congure-o para vericar automaticamente atualizac o oprio como de complementos que estejam instalados; o no formato HTML); n ao utilize-o como navegador Web (desligue o modo de visualizac a o 6.1 do seja cuidadoso ao usar cookies caso deseje ter mais privacidade (mais detalhes na Sec a Cap tulo Outros riscos); seja cuidadoso ao clicar em links presentes em e-mails (se voc e realmente quiser acessar a p agina do link, digite o enderec o diretamente no seu navegador Web); ` mensagem mesmo que tenham sido enviados por pessoas ou descone de arquivos anexados a es conhecidas (o enderec instituic o o do remetente pode ter sido falsicado e o arquivo anexo pode estar infectado); ` mensagem tenha certeza de que ele n antes de abrir um arquivo anexado a ao apresenta riscos, vericando-o com ferramentas antimalware; verique se seu sistema operacional est a congurado para mostrar a extens ao dos arquivos anexados; es que permitem abrir ou executar automaticamente arquivos ou programas desligue as opc o ` s mensagens; anexados a es de execuc o de JavaScript e de programas Java; desligue as opc o a es para marcar mensagens suspeitas de serem fraude; habilite, se poss vel, opc o use sempre criptograa para conex ao entre seu leitor de e-mails e os servidores de e-mail do seu provedor; mantenha seu computador seguro (mais detalhes no Cap tulo Seguranc a de computadores). Ao acessar Webmails: seja cuidadoso ao acessar a p agina de seu Webmail para n ao ser v tima de phishing. Digite a URL diretamente no navegador e tenha cuidado ao clicar em links recebidos por meio de o 2.3 do Cap mensagens eletr onicas (mais detalhes na Sec a tulo Golpes na Internet);
75
10. Uso seguro da Internet
A Internet traz in umeras possibilidades de uso, por em para aproveitar cada uma delas de forma importante que alguns cuidados sejam tomados. Al es segura e em disto, como grande parte das ac o igualmente importante que voc realizadas na Internet ocorrem por interm edio de navegadores Web e e saiba reconhecer os tipos de conex oes existentes e vericar a conabilidade dos certicados digitais o 10.1). antes de aceit a-los (detalhes sobre como fazer isto s ao apresentados na Sec a
Alguns dos principais usos e cuidados que voc e deve ter ao utilizar a Internet s ao:
Ao usar navegadores Web:
es aplicadas; mantenha-o atualizado, com a vers ao mais recente e com todas as atualizac o
es, tanto dele pr congure-o para vericar automaticamente atualizac o oprio como de complementos que estejam instalados;
o de programas Java e JavaScript, por permita a execuc a em assegure-se de utilizar complementos, como o NoScript (dispon vel para alguns navegadores), para liberar gradualmente a o, conforme necess o 6.2 do execuc a ario, e apenas em sites con aveis (mais detalhes na Sec a Cap tulo Outros riscos);
10. Uso seguro da Internet 77 78
n ao utilize um site de busca para acessar seu Webmail (n ao h a necessidade disto, j a que URLs deste tipo s ao, geralmente, bastante conhecidas);
es comerciais e acessar sites de com Ao efetuar transac o ercio eletr onico: o de conex certique-se da proced encia do site e da utilizac a oes seguras ao realizar compras e o 10.1); pagamentos via Web (mais detalhes na Sec a somente acesse sites de com ercio eletr onico digitando o enderec o diretamente no navegador Web, nunca clicando em um link existente em uma p agina ou em uma mensagem; n ao utilize um site de busca para acessar o site de com ercio eletr onico que voc e costuma acessar (n ao h a necessidade disto, j a que URLs deste tipo s ao, geralmente, bastante conhecidas); pesquise na Internet refer encias sobre o site antes de efetuar uma compra; descone de prec os muito abaixo dos praticados no mercado; n ao realize compras ou pagamentos por meio de computadores de terceiros ou redes Wi-Fi p ublicas; sempre que car em d uvida, entre em contato com a central de relacionamento da empresa onde est a fazendo a compra; verique periodicamente o extrato da sua conta banc aria e do seu cart ao de cr edito e, caso detecte algum lanc amento suspeito, entre em contato imediatamente com o seu banco ou com a operadora do seu cart ao de cr edito; ao efetuar o pagamento de uma compra, nunca fornec a dados de cart ao de cr edito em sites sem conex ao segura ou em e-mails n ao criptografados; a de computadores). mantenha seu computador seguro (mais detalhes no Cap tulo Seguranc
seja cuidadoso ao elaborar sua senha de acesso ao Webmail para evitar que ela seja descoberta o 8.2 do Cap tulo Contas e senhas); por meio de ataques de forc a bruta (mais detalhes na Sec a
es de recuperac o de senha, como um enderec congure opc o a o de e-mail alternativo, uma o 8.5 do Cap quest ao de seguranc a e um n umero de telefone celular (mais detalhes na Sec a tulo Contas e senhas);
evite acessar seu Webmail em computadores de terceiros e, caso seja realmente necess ario, o an o 12.3 do Cap ative o modo de navegac a onima (mais detalhes na Sec a tulo Seguranc a de computadores);
certique-se de utilizar conex oes seguras sempre que acessar seu Webmail, especialmente ao usar redes Wi-Fi p ublicas. Se poss vel congure para que, por padr ao, sempre seja utilizada o 10.1); conex ao via https (mais detalhes na Sec a
mantenha seu computador seguro (mais detalhes no Cap tulo Seguranc a de computadores).
es banc Ao efetuar transac o arias e acessar sites de Internet Banking:
o de conex es certique-se da proced encia do site e da utilizac a oes seguras ao realizar transac o o 10.1); banc arias via Web (mais detalhes na Sec a
es banc somente acesse sites de instituic o arias digitando o enderec o diretamente no navegador Web, nunca clicando em um link existente em uma p agina ou em uma mensagem;
n ao utilize um site de busca para acessar o site do seu banco (n ao h a necessidade disto, j a que URLs deste tipo s ao, geralmente, bastante conhecidas);
o do seu cart ao acessar seu banco, fornec a apenas uma posic a ao de seguranc a (descone caso, o); em um mesmo acesso, seja solicitada mais de uma posic a
10.1 Seguranc a em conex oes Web

muito prov Ao navegar na Internet, e avel que a grande maioria dos acessos que voc e realiza n ao es sigilosas, como quando voc envolva o tr afego de informac o e acessa sites de pesquisa ou de not cias. es trafegam em texto Esses acessos s ao geralmente realizados pelo protocolo HTTP, onde as informac o claro, ou seja, sem o uso de criptograa.
n ao fornec a senhas ou dados pessoais a terceiros, especialmente por telefone;
es banc o, princi desconsidere mensagens de instituic o arias com as quais voc e n ao tenha relac a o de m palmente aquelas que solicitem dados pessoais ou a instalac a odulos de seguranc a;
sempre que car em d uvida, entre em contato com a central de relacionamento do seu banco ou diretamente com o seu gerente;
es banc n ao realize transac o arias por meio de computadores de terceiros ou redes Wi-Fi p ublicas;
verique periodicamente o extrato da sua conta banc aria e do seu cart ao de cr edito e, caso detecte algum lanc amento suspeito, entre em contato imediatamente com o seu banco ou com a operadora do seu cart ao;
O protocolo HTTP, al em de n ao oferecer criptograa, tamb em n ao garante que os dados n ao possam ser interceptados, coletados, modicados ou retransmitidos e nem que voc e esteja se comuni indicado para transmiss cando exatamente com o site desejado. Por estas caracter sticas, ele n ao e oes es sigilosas, como senhas, n que envolvem informac o umeros de cart ao de cr edito e dados banc arios, e deve ser substitu do pelo HTTPS, que oferece conex oes seguras.
antes de instalar um m odulo de seguranc a, de qualquer Internet Banking, certique-se de que o realmente a instituic o em quest autor m odulo e a ao;
O protocolo HTTPS utiliza certicados digitais para assegurar a identidade, tanto do site de destino como a sua pr opria, caso voc e possua um. Tamb em utiliza m etodos criptogr acos e outros protocolos, como o SSL (Secure Sockets Layer) e o TLS (Transport Layer Security), para assegurar es. a condencialidade e a integridade das informac o es sigilosas, e importante certicarSempre que um acesso envolver a transmiss ao de informac o se do uso de conex oes seguras. Para isso, voc e deve saber como identicar o tipo de conex ao sendo
a de computadores). mantenha seu computador seguro (mais detalhes no Cap tulo Seguranc
o, para que realizada pelo seu navegador Web e car atento aos alertas apresentados durante a navegac a possa, se necess ario, tomar decis oes apropriadas. Dicas para ajud a-lo nestas tarefas s ao apresentadas es 10.1.1 e 10.1.2. nas Sec o
10.1.1
Figura 10.2: Conex ao segura em diversos navegadores.
Tipos de conex ao
o do tipo de conex Para facilitar a identicac a ao em uso voc e pode buscar aux lio dos mecanismos gr acos dispon veis nos navegadores Web1 mais usados atualmente. Estes mecanismos, apesar de poderem variar de acordo com o fabricante de cada navegador, do sistema operacional e da vers ao em uso, servem como um forte ind cio do tipo de conex ao sendo usada e podem orient a-lo a tomar decis oes corretas.
De maneira geral, voc e vai se deparar com os seguintes tipos de conex oes:
a usada na maioria dos acessos realizados. N Conex ao padr ao: e ao prov e requisitos de seguranc a. ao: Alguns indicadores deste tipo de conex ao, ilustrados na Figura 10.1, s
Conex ao segura com EV SSL: prov e os mesmos requisitos de seguranc a que a conex ao segura an` identidade do site e de seu dono, pois terior, por em com maior grau de conabilidade quanto a o 9.4 do Cap utiliza certicados EV SSL (mais detalhes na Sec a tulo Criptograa). Al em de apresentar indicadores similares aos apresentados na conex ao segura sem o uso de EV SSL, : tamb em introduz um indicador pr oprio, ilustrado na Figura 10.3, que e colocado a barra de enderec o e/ou o recorte s ao apresentados na cor verde e no recorte e o dona do site3 . o nome da instituic a
o enderec o do site comec a com http://;
em alguns navegadores, o tipo de protocolo usado (HTTP), por ser o padr ao das conex oes, pode ser omitido na barra de enderec os;
apresentado pr ` barra de enderec um s mbolo do site (logotipo) e oximo a o e, ao passar o poss mouse sobre ele, n ao e vel obter detalhes sobre a identidade do site.
Figura 10.3: Conex ao segura usando EV SSL em diversos navegadores.
Figura 10.1: Conex ao n ao segura em diversos navegadores.
o de conex Outro n vel de protec a ao usada na Internet envolve o uso de certicados autoassinados o n e/ou cuja cadeia de certicac a ao foi reconhecida. Este tipo de conex ao n ao pode ser caracterizado como sendo totalmente seguro (e nem totalmente inseguro) pois, apesar de prover integridade e o, j condencialidade, n ao prov e autenticac a a que n ao h a garantias relativas ao certicado em uso. Quando voc e acessa um site utilizando o protocolo HTTPS, mas seu navegador n ao reconhece a o, ele emite avisos como os descritos na Sec o 10.1.2 e ilustrados na Figura 10.6. cadeia de certicac a a Caso voc e, apesar dos riscos, opte por aceitar o certicado, a simbologia mostrada pelo seu navegador ser a a ilustrada na Figura 10.4. Alguns indicadores deste tipo de conex ao s ao: apresentado na barra de enderec um cadeado com um X vermelho e o;
1A
a que deve ser utilizada quando dados sens Conex ao segura: e veis s ao transmitidos, geralmente o, usada para acesso a sites de Internet Banking e de com ercio eletr onico. Prov e autenticac a integridade e condencialidade, como requisitos de seguranc a. Alguns indicadores deste tipo de conex ao, ilustrados na Figura 10.2, s ao:
o enderec o do site comec a com https://;
mostrado na barra de enderec o desenho de um cadeado fechado e o e, ao clicar sobre ele, detalhes sobre a conex ao e sobre o certicado digital em uso s ao exibidos;
mostrado ao lado um recorte colorido (branco ou azul) com o nome do dom nio do site e ` direita) e, ao passar o mouse ou clicar sobre ele, s da barra de enderec o (` a esquerda ou a ao exibidos detalhes sobre conex ao e certicado digital em uso2 .
simbologia usada pelos navegadores Web pode ser diferente quando apresentada em dispositivos m oveis. Ao passo que as cores amarelo e vermelho indicam que pode haver algum tipo de problema relacionado ao certicado em uso. 3 As cores azul e branco indicam que o site possui um certicado de validac o de dom a nio (a entidade dona do site o estendida det em o direito de uso do nome de dom nio) e a cor verde indica que o site possui um certicado de validac a (a entidade dona do site det em o direito de uso do nome de dom nio em quest ao e encontra-se legalmente registrada).
2 De maneira geral, as cores branco, azul e verde indicam que o site usa conex ao segura.
o do protocolo https e apresentado em vermelho e riscado; a identicac a con necess Para saber se um certicado e avel, e ario observar alguns requisitos, dentre eles:
10.1.2
con Como vericar se um certicado digital e avel
a barra de enderec o muda de cor, cando totalmente vermelha;
apresentado na barra de enderec um indicativo de erro do certicado e o; se o certicado foi emitido por uma AC con avel (pertence a uma cadeia de conanc a reconhecida); se o certicado est a dentro do prazo de validade; se o certicado n ao foi revogado pela AC emissora; se o dono do certicado confere com a entidade com a qual est a se comunicando (por exemplo: o nome do site). Quando voc e tenta acessar um site utilizando conex ao segura, normalmente seu navegador j a es. Caso alguma delas falhe, o navegador emite alertas semelhantes aos realiza todas estas vericac o mostrados na Figura 10.6.
o (dona do certicado) e um recorte colorido com o nome do dom nio do site ou da instituic a informado que uma mostrado ao lado da barra de enderec o e, ao passar o mouse sobre ele, e o foi adicionada. excec a
o n Figura 10.4: Conex ao HTTPS com cadeia de certicac a ao reconhecida.
Certos sites fazem uso combinado, na mesma p agina Web, de conex ao segura e n ao segura. Neste caso, pode ser que o cadeado desaparec a, que seja exibido um cone modicado (por exemplo, um es sobre o site deixe de ser exibido cadeado com tri angulo amarelo), que o recorte contendo informac o ou ainda haja mudanc a de cor na barra de enderec o, como ilustrado na Figura 10.5.
Figura 10.5: Uso combinado de conex ao segura e n ao segura.
Mais detalhes sobre como reconhecer o tipo de conex ao em uso podem ser obtidos em:
Chrome - Como funcionam os indicadores de seguranc a do website (em portugu es) http://support.google.com/chrome/bin/answer.py?hl=pt-BR&answer=95617
Mozilla Firefox - How do I tell if my connection to a website is secure? (em ingl es) http://support.mozilla.org/en-US/kb/Site Identity Button Figura 10.6: Alerta de certicado n ao con avel em diversos navegadores.
es online seguras (em portugu Internet Explorer - Dicas para fazer transac o es) http://windows.microsoft.com/pt-BR/windows7/Tips-for-making-secure-onlinetransaction-in-Internet-Explorer-9
Safari - Using encryption and secure connections (em ingl es) http://support.apple.com/kb/HT2573
10. Uso seguro da Internet 83
es como: Em geral, alertas s ao emitidos em situac o
o certicado est a fora do prazo de validade;
o (dentre as possibilidades, o certicado o navegador n ao identicou a cadeia de certicac a pode pertencer a uma cadeia n ao reconhecida, ser autoassinado ou o navegador pode estar desatualizado e n ao conter certicados mais recentes de ACs);
o enderec o do site n ao confere com o descrito no certicado;
o certicado foi revogado.
Ao receber os alertas do seu navegador voc e pode optar por:
o: dependendo do navegador, ao selecionar esta opc o voc Desistir da navegac a a e ser a redirecionado para uma p agina padr ao ou a janela do navegador ser a fechada.
o, detalhes t Solicitar detalhes sobre o problema: ao selecionar esta opc a ecnicos ser ao mostrados e o selecionar. voc e pode us a-los para compreender o motivo do alerta e decidir qual opc a
o, a p Aceitar os riscos: caso voc e, mesmo ciente dos riscos, selecione esta opc a agina desejada ser a o de visualizar o certicado apresentada e, dependendo do navegador, voc e ainda ter a a opc a o (permanente ou tempor antes de efetivamente aceit a-lo e de adicionar uma excec a aria).
o, e importante que, antes de enviar Caso voc e opte por aceitar os riscos e adicionar uma excec a qualquer dado condencial, verique o conte udo do certicado e observe:
o apresentado no certicado e realmente da instituic o que voc se o nome da instituic a a e deseja um forte ind acessar. Caso n ao seja, este e cio de certicado falso;
es de dono do certicado e da AC emissora s um se as identicac o ao iguais. Caso sejam, este e es nanceiras forte ind cio de que se trata de um certicado autoassinado. Observe que instituic o e de com ercio eletr onico s erias dicilmente usam certicados deste tipo;
se o certicado encontra-se dentro do prazo de validade. Caso n ao esteja, provavelmente o certicado est a expirado ou a data do seu computador n ao est a corretamente congurada.
De qualquer modo, caso voc e receba um certicado desconhecido ao acessar um site e tenha o para o site antes de entrar em contato alguma d uvida ou desconanc a, n ao envie qualquer informac a o que o mant com a instituic a em para esclarecer o ocorrido.
86
o s seus h abitos e suas prefer encias de navegac a ao coletadas pelos sites que voc e acessa e repas o 6.1 do Cap sadas para terceiros (mais detalhes na Sec a tulo Outros riscos). Para tentar proteger a sua privacidade na Internet h a alguns cuidados que voc e deve tomar, como: Ao acessar e armazenar seus e-mails: congure seu programa leitor de e-mails para n ao abrir imagens que n ao estejam na pr opria mensagem (o fato da imagem ser acessada pode ser usado para conrmar que o e-mail foi lido); utilize programas leitores de e-mails que permitam que as mensagens sejam criptografadas, de modo que apenas possam ser lidas por quem conseguir decodic a-las; armazene e-mails condenciais em formato criptografado para evitar que sejam lidos por ata o de c cantes ou pela ac a odigos maliciosos (voc e pode decodic a-los sempre que desejar l e-los); utilize conex ao segura sempre que estiver acessando seus e-mails por meio de navegadores Web, para evitar que eles sejam interceptados; utilize criptograa para conex ao entre seu leitor de e-mails e os servidores de e-mail do seu provedor; seja cuidadoso ao usar computadores de terceiros ou potencialmente infectados, para evitar que suas senhas sejam obtidas e seus e-mails indevidamente acessados; seja cuidadoso ao acessar seu Webmail, digite a URL diretamente no navegador e tenha cuidado ao clicar em links recebidos por meio de mensagens eletr onicas; mantenha seu computador seguro (mais detalhes no Cap tulo Seguranc a de computadores). Ao navegar na Web: seja cuidadoso ao usar cookies, pois eles podem ser usados para rastrear e manter as suas pre o, as quais podem ser compartilhadas entre diversos sites (mais detalhes fer encias de navegac a o 6.1 do Cap na Sec a tulo Outros riscos); o an es dis utilize, quando dispon vel, navegac a onima, por meio de anonymizers ou de opc o ponibilizadas pelos navegadores Web (chamadas de privativa ou InPrivate). Ao fazer isto, es, como cookies, sites acessados e dados de formul informac o arios, n ao s ao gravadas pelo navegador Web; es que indiquem aos sites que voc utilize, quando dispon vel, opc o e n ao deseja ser rastreado es de privacidade que permitem (Do Not Track). Alguns navegadores oferecem congurac o es que possam afetar sua privacidade que voc e informe aos sites que n ao deseja que informac o sejam coletadas2 ; o contra rastreamento, que permitem que voc utilize, quando dispon vel, listas de protec a e libere ou bloqueie os sites que podem rastre a-lo; a de computadores). mantenha seu computador seguro (mais detalhes no Cap tulo Seguranc
2 At es. Al e o momento de escrita desta Cartilha, n ao existe um consenso sobre quais s ao essas informac o em disto, as es de rastreamento servem como um indicativo ao sites Web e n congurac o ao h a nada que os obrigue a respeit a-las.
11. Privacidade
Nada impede que voc e abdique de sua privacidade e, de livre e espont anea vontade, divulgue es sobre voc es em que, mesmo que voc informac o e. Entretanto, h a situac o e queira manter a sua privacidade, ela pode ser exposta independente da sua vontade, por exemplo quando:
es sobre voc outras pessoas divulgam informac o e ou imagens onde voc e est a presente, sem a o pr sua autorizac a evia;
es que trafegam na rede sem estarem criptografadas, algu em, indevidamente, coleta informac o o 3.4 do como o conte udo dos e-mails enviados e recebidos por voc e (mais detalhes na Sec a Cap tulo Ataques na Internet);
um atacante ou um c odigo malicioso obt em acesso aos dados que voc e digita ou que est ao odigos maliciosos (Malware)); armazenados em seu computador (mais detalhes no Cap tulo C
es restritas; um atacante invade a sua conta de e-mail ou de sua rede social e acessa informac o
um atacante invade um computador no qual seus dados est ao armazenados como, por exemplo, um servidor de e-mails1 ;
1 Normalmente existe um consenso e tico entre administradores de redes e provedores de nunca lerem a caixa postal de um usu ario sem o seu consentimento.
85
11. Privacidade 87 88
es na Web: Ao divulgar informac o
es divulgadas em sua p esteja atento e avalie com cuidado as informac o agina Web ou blog, pois elas podem n ao s o ser usadas por algu em mal-intencionado, por exemplo, em um golpe de engenharia social, mas tamb em para atentar contra a seguranc a do seu computador, ou mesmo contra a sua seguranc a f sica;
Furto de identidade: assim como voc e pode ter um impostor na sua lista de contatos, tamb em pode es acontecer de algu em tentar se passar por voc e e criar um perl falso. Quanto mais informac o voc e divulga, mais convincente o seu perl falso poder a ser e maiores ser ao as chances de seus amigos acreditarem que est ao realmente se relacionando com voc e. Invas ao de perl: por meio de ataques de forc a bruta, do acesso a p aginas falsas ou do uso de computadores infectados, voc e pode ter o seu perl invadido. Atacantes costumam fazer isto para, al em de furtar a sua identidade, explorar a conanc a que a sua rede de contatos deposita em voc e e us a-la para o envio de spam e c odigos maliciosos. es: as informac es que voc Uso indevido de informac o o e divulga, al em de poderem ser usadas para o de perl falso, tamb a criac a em podem ser usadas em ataques de forc a bruta, em golpes de o de senhas. engenharia social e para responder quest oes de seguranc a usadas para recuperac a o n Invas ao de privacidade: quanto maior a sua rede de contatos, maior e umero de pessoas que es n possui acesso ao que voc e divulga, e menores s ao as garantias de que suas informac o ao ser ao repassadas. Al em disso, n ao h a como controlar o que os outros divulgam sobre voc e. es: h Vazamento de informac o a diversos casos de empresas que tiveram o conte udo de reuni oes e detalhes t ecnicos de novos produtos divulgados na Internet e que, por isto, foram obrigadas a rever pol ticas e antecipar, adiar ou cancelar decis oes. o de informac es condenciais: em uma troca amig Disponibilizac a o avel de mensagens voc e pode ser persuadido a fornecer seu e-mail, telefone, enderec o, senhas, n umero do cart ao de cr edito, etc. As consequ encias podem ser desde o recebimento de mensagens indesej aveis at e a utiliza o do n c a umero de seu cart ao de cr edito para fazer compras em seu nome. Recebimento de mensagens maliciosas: algu em pode lhe enviar um arquivo contendo c odigos maliciosos ou induzi-lo a clicar em um link que o levar a a uma p agina Web comprometida. Acesso a conteudos impr oprios ou ofensivos: como n ao h a um controle imediato sobre o que as pessoas divulgam, pode ocorrer de voc e se deparar com mensagens ou imagens que contenham dio e o racismo. pornograa, viol encia ou que incitem o o ` imagem e a ` reputac o: cal o podem rapidamente se propagar, jamais serem Danos a a unia e difamac a ` s pessoas envolvidas, colocando em risco a vida prossiexclu das e causarem grandes danos a onal e trazendo problemas familiares, psicol ogicos e de conv vio social. Tamb em podem fazer com que empresas percam clientes e tenham preju zos nanceiros. o podem ser usados por criminosos para descobrir a sua rotina e Sequestro: dados de localizac a planejar o melhor hor ario e local para abord a-lo. Por exemplo: se voc e zer check-in (se registrar no sistema) ao chegar em um cinema, um sequestrador pode deduzir que voc e car a o m por l a cerca de 2 horas (durac a edia de um lme) e ter a este tempo para se deslocar e programar o sequestro.
es, tanto sobre voc procure divulgar a menor quantidade poss vel de informac o e como sobre seus amigos e familiares, e tente orient a-los a fazer o mesmo;
sempre que algu em solicitar dados sobre voc e ou quando preencher algum cadastro, reita se e ` quelas informac es; realmente necess ario que aquela empresa ou pessoa tenha acesso a o
ao receber ofertas de emprego pela Internet, que solicitem o seu curr culo, tente limitar a quan es nele disponibilizada e apenas fornec tidade de informac o a mais dados quando estiver seguro de que a empresa e a oferta s ao leg timas;
es telef que atento a ligac o onicas e e-mails pelos quais algu em, geralmente falando em nome o, solicita informac es pessoais sobre voc de alguma instituic a o e, inclusive senhas;
es em redes sociais, principalmente aquelas envolvendo seja cuidadoso ao divulgar informac o o geogr poss a sua localizac a aca pois, com base nela, e vel descobrir a sua rotina, deduzir es (como h informac o abitos e classe nanceira) e tentar prever os pr oximos passos seus ou de o 11.1). seus familiares (mais detalhes na Sec a
11.1 Redes sociais
As redes sociais permitem que os usu arios criem pers e os utili es e se zem para se conectar a outros usu arios, compartilhar informac o agrupar de acordo com interesses em comum. Alguns exemplos s ao: Facebook, Orkut, Twitter, Linkedin, Google+ e foursquare.
As redes sociais, atualmente, j a fazem parte do cotidiano de grande parte do usu arios da Internet, que as utilizam para se informar sobre os assuntos do momento e para saber o que seus amigos e dolos est ao fazendo, o que est ao pensando e onde est ao. Tamb em s ao usadas para outros ns, como o de candidatos para vagas de emprego, pesquisas de opini es sociais. selec a ao e mobilizac o
As redes sociais possuem algumas caracter sticas pr oprias que as diferenciam de outros meios o, como a velocidade com que as informac es se propagam, a grande quantidade de de comunicac a o es pessoais que elas disponibilizam. pessoas que elas conseguem atingir e a riqueza de informac o Essas caracter sticas, somadas ao alto grau de conanc a que os usu arios costumam depositar entre si, o, tamb fez com que as redes sociais chamassem a atenc a em, de pessoas mal-intencionadas.
Alguns dos principais riscos relacionados ao uso de redes sociais s ao:
Furto de bens: quando voc e divulga que estar a ausente por um determinado per odo de tempo para o pode ser usada por ladr curtir as suas merecidas f erias, esta informac a oes para saber quando e por quanto tempo a sua resid encia car a vazia. Ao retornar, voc e pode ter a infeliz surpresa de descobrir que seus bens foram furtados.
Contato com pessoas mal-intencionadas: qualquer pessoa pode criar um perl falso, tentando se passar por uma pessoa conhecida e, sem que saiba, voc e pode ter na sua rede (lista) de contatos pessoas com as quais jamais se relacionaria no dia a dia.
11. Privacidade 89 90
A seguir, observe alguns cuidados que voc e deve ter ao usar as redes sociais.
Previna-se contra c odigos maliciosos e phishing: es mantenha o seu computador seguro, com os programas atualizados e com todas as atualizac o aplicadas (mais detalhes no Cap tulo Seguranc a de computadores); o, como antimalware e rewall pessoal utilize e mantenha atualizados mecanismos de protec a (mais detalhes no Cap tulo Mecanismos de seguranc a); descone de mensagens recebidas mesmo que tenham vindo de pessoas conhecidas, pois elas podem ter sido enviadas de pers falsos ou invadidos; seja cuidadoso ao acessar links reduzidos. H a sites e complementos para o seu navegador que o 7.10 do permitem que voc e expanda o link antes de clicar sobre ele (mais detalhes na Sec a Cap tulo Mecanismos de seguranc a). Proteja o seu perl: seja cuidadoso ao usar e ao elaborar as suas senhas (mais detalhes no Cap tulo Contas e senhas); es de login, pois assim ca mais f habilite, quando dispon vel, as noticac o acil perceber se outras pessoas estiverem utilizando indevidamente o seu perl; o de logout para n use sempre a opc a ao esquecer a sess ao aberta; denuncie casos de abusos, como imagens indevidas e pers falsos ou invadidos. Proteja sua vida prossional:
Preserve a sua privacidade:
considere que voc e est a em um local p ublico, que tudo que voc e divulga pode ser lido ou acessado por qualquer pessoa, tanto agora como futuramente;
pense bem antes de divulgar algo, pois n ao h a possibilidade de arrependimento. Uma frase ou imagem fora de contexto pode ser mal-interpretada e causar mal-entendidos. Ap os uma o ou imagem se propagar, dicilmente ela poder informac a a ser totalmente exclu da;
es de privacidade oferecidas pelos sites e procure ser o mais restritivo poss use as opc o vel es costumam vir, por padr (algumas opc o ao, conguradas como p ublicas e devem ser alteradas);
mantenha seu perl e seus dados privados, permitindo o acesso somente a pessoas ou grupos espec cos;
procure restringir quem pode ter acesso ao seu enderec o de e-mail, pois muitos spammers utilizam esses dados para alimentar listas de envio de spam;
seja seletivo ao aceitar seus contatos, pois quanto maior for a sua rede, maior ser a o n umero ` s suas informac es. Aceite convites de pessoas que voc de pessoas com acesso a o e realmente es que costuma divulgar; conhec a e para quem contaria as informac o
n ao acredite em tudo que voc e l e. Nunca repasse mensagens que possam gerar p anico ou afetar o; outras pessoas, sem antes vericar a veracidade da informac a
seja cuidadoso ao se associar a comunidades e grupos, pois por meio deles muitas vezes e es pessoais, como h poss vel deduzir informac o abitos, rotina e classe social.
o: Seja cuidadoso ao fornecer a sua localizac a
o, procure avaliar se, de cuide da sua imagem prossional. Antes de divulgar uma informac a alguma forma, ela pode atrapalhar um processo seletivo que voc e venha a participar (muitas ` procura de informac es sobre os candidatos, antes de empresas consultam as redes sociais a o contrat a-los); verique se sua empresa possui um c odigo de conduta e procure estar ciente dele. Observe o de informac es; principalmente as regras relacionadas ao uso de recursos e divulgac a o evite divulgar detalhes sobre o seu trabalho, pois isto pode beneciar empresas concorrentes e colocar em risco o seu emprego; o, procure avaliar se, de preserve a imagem da sua empresa. Antes de divulgar uma informac a alguma forma, ela pode prejudicar a imagem e os neg ocios da empresa e, indiretamente, voc e mesmo; proteja seu emprego. Sua rede de contatos pode conter pessoas do c rculo prossional que podem n ao gostar de saber que, por exemplo, a causa do seu cansac o ou da sua aus encia e aquela festa que voc e foi e sobre a qual publicou diversas fotos;
o; observe o fundo de imagens (como fotos e v deos), pois podem indicar a sua localizac a
n ao divulgue planos de viagens e nem por quanto tempo car a ausente da sua resid encia;
o, procure se registrar (fazer check-in) em locais ao usar redes sociais baseadas em geolocalizac a movimentados e nunca em locais considerados perigosos;
o, procure fazer check-in quando sair do local, ao usar redes sociais baseadas em geolocalizac a ao inv es de quando chegar.
Respeite a privacidade alheia:
o, imagens em que outras pessoas aparec n ao divulgue, sem autorizac a am;
n ao divulgue mensagens ou imagens copiadas do perl de pessoas que restrinjam o acesso;
es, h seja cuidadoso ao falar sobre as ac o abitos e rotina de outras pessoas;
use redes sociais ou c rculos distintos para ns espec cos. Voc e pode usar, por exemplo, uma rede social para amigos e outra para assuntos prossionais ou separar seus contatos em es de acordo com os diferentes tipos diferentes grupos, de forma a tentar restringir as informac o de pessoas com os quais voc e se relaciona;
tente imaginar como a outra pessoa se sentiria ao saber que aquilo est a se tornando p ublico.
11. Privacidade 91
Proteja seus lhos:
procure deixar seus lhos conscientes dos riscos envolvidos no uso das redes sociais;
` toa); procure respeitar os limites de idade estipulados pelos sites (eles n ao foram denidos a
oriente seus lhos para n ao se relacionarem com estranhos e para nunca fornecerem informa es pessoais, sobre eles pr c o oprios ou sobre outros membros da fam lia;
es sobre h o oriente seus lhos a n ao divulgarem informac o abitos familiares e nem de localizac a (atual ou futura);
oriente seus lhos para jamais marcarem encontros com pessoas estranhas;
oriente seus lhos sobre os riscos de uso da webcam e que eles nunca devem utiliz a-la para se comunicar com estranhos;
procure deixar o computador usado pelos seus lhos em um local p ublico da casa (dessa forma, poss mesmo a dist ancia, e vel observar o que eles est ao fazendo e vericar o comportamento deles).
94
es para vers Al em disto, alguns fabricantes deixam de dar suporte e de desenvolver atualizac o oes antigas, o que signica que vulnerabilidades que possam vir a ser descobertas n ao ser ao corrigidas. remova programas que voc e n ao utiliza mais. Programas n ao usados tendem a ser esquecidos e a car com vers oes antigas (e potencialmente vulner aveis); remova as vers oes antigas. Existem programas que permitem que duas ou mais vers oes estejam instaladas ao mesmo tempo. Nestes casos, voc e deve manter apenas a vers ao mais recente e remover as mais antigas; es disponibilizadas tenha o h abito de vericar a exist encia de novas vers oes, por meio de opc o pelos pr oprios programas ou acessando diretamente os sites dos fabricantes. es aplicadas: Mantenha os programas instalados com todas as atualizac o Quando vulnerabilidades s ao descobertas, certos fabri es espec cantes costumam lanc ar atualizac o cas, chamadas de patches, hot xes ou service packs. Portanto, para manter os programas instalados livres de vulnerabilidades, al em importante que sejam de manter as vers oes mais recentes, e es dispon aplicadas todas as atualizac o veis. congure, quando poss vel, para que os programas sejam atualizados automaticamente; es autom programe as atualizac o aticas para serem baixadas e aplicadas em hor arios em que ` Internet. Alguns programas, por padr seu computador esteja ligado e conectado a ao, s ao con es sejam feitas de madrugada, per gurados para que as atualizac o odo no qual grande parte es que n dos computadores est a desligada (as atualizac o ao foram feitas no hor ario programado podem n ao ser feitas quando ele for novamente ligado); o autom no caso de programas que n ao possuam o recurso de atualizac a atica, ou caso voc e opte importante visitar constantemente os sites dos fabricantes para por n ao utilizar este recurso, e es; vericar a exist encia de novas atualizac o o de vulnerabilidades, como o PSI (mais detalhes na Sec o 7.10 utilize programas para vericac a a do Cap tulo Mecanismos de seguranc a), para vericar se os programas instalados em seu computador est ao atualizados. Use apenas programas originais: O uso de programas n ao originais pode colocar em risco a seguranc a do seu computador j a que o de atualizac es quando detectam vers muitos fabricantes n ao permitem a realizac a o oes n ao licencia o de programas deste tipo, obtidos de m das. Al em disto, a instalac a dias e sites n ao con aveis ou via o de c programas de compartilhamento de arquivos, pode incluir a instalac a odigos maliciosos. ao adquirir computadores com programas pr e-instalados, procure certicar-se de que eles s ao originais solicitando ao revendedor as licenc as de uso; o, n o de programas que n ao enviar seu computador para manutenc a ao permita a instalac a ao sejam originais;
93
12. Seguranc a de computadores
em seu computador pessoal que a maioria dos seus dados est Muito provavelmente e a gravada e, es banc por meio dele, que voc e acessa e-mails e redes sociais e realiza transac o arias e comerciais. essencial para se proteger dos riscos envolvidos no uso da Internet. Por isto, mant e-lo seguro e
Al em disto, ao manter seu computador seguro, voc e diminui as chances dele ser indevidamente o de spam, propagac o de c utilizado para atividades maliciosas, como disseminac a a odigos maliciosos o em ataques realizados via Internet. e participac a
` grande quantidade de comMuitas vezes, os atacantes est ao interessados em conseguir o acesso a es que possuem. Por isto, acreditar que seu putadores, independente de quais s ao e das congurac o computador est a protegido por n ao apresentar atrativos para um atacante pode ser um grande erro.
importante que voc Para manter seu computador pessoal seguro, e e:
Mantenha os programas instalados com as vers oes mais recentes:
Fabricantes costumam lanc ar novas vers oes quando h a recursos a serem adicionados e vulnerabilidades a serem corrigidas. Sempre que uma nova vers ao for lanc ada, ela deve ser prontamente o de atacantes e c instalada, pois isto pode ajudar a proteger seu computador da ac a odigos maliciosos.
12. Seguranc a de computadores 95 96
caso deseje usar um programa propriet ario, mas n ao tenha recursos para adquirir a licenc a, procure por alternativas gratuitas ou mais baratas e que apresentem funcionalidades semelhantes as desejadas. n ao abra ou execute arquivos sem antes veric a-los com seu antimalware;
o de m desabilite a auto-execuc a dias remov veis (se estiverem infectadas, elas podem comprometer o seu computador ao serem executadas);
o: Use mecanismos de protec a
o, como programas antimalware O uso de mecanismos de protec a e rewall pessoal, pode contribuir para que seu computador n ao seja infectado/invadido e para que n ao participe de atividades maliciosas.
congure seu antimalware para vericar todos os formatos de arquivo pois, apesar de inicial o de c mente algumas extens oes terem sido mais usadas para a disseminac a odigos maliciosos, mais v atualmente isso j a n ao e alido;
utilize mecanismos de seguranc a, como os descritos no Cap tulo Mecanismos de seguranc a;
mantenha seu antimalware atualizado, incluindo o arquivo de assinaturas;
o padr tenha cuidado com extens oes ocultas. Alguns sistemas possuem como congurac a ao ocultar a extens ao de tipos de arquivos conhecidos. Exemplo: se um atacante renomear o arquivo exemplo.scr para exemplo.txt.scr, ao ser visualizado o nome do arquivo ser a a que a extens ao .scr n ao ser a mostrada. mostrado como exemplo.txt, j Alguns cuidados especiais para manipular arquivos contendo macros s ao: ` execuc o de macros e certique-se de associar um verique o n vel de seguranc a associado a a n vel que, no m nimo, pergunte antes de execut a-las (normalmente associado ao n vel m edio); o de macros apenas quando realmente necess permita a execuc a ario (caso n ao tenha certeza, e o); melhor n ao permitir a execuc a utilize visualizadores. Arquivos gerados, por exemplo, pelo Word, PowerPoint e Excel podem ser visualizados e impressos, sem que as macros sejam executadas, usando visualizadores gratuitos disponibilizados no site do fabricante. Proteja seus dados: , provavelmente, onde a maioria dos seus dados ca gravada. Por este O seu computador pessoal e importante que voc motivo, e e tome medidas preventivas para evitar perd e-los. fac a regularmente backup dos seus dados. Para evitar que eles sejam perdidos em caso de furto o por c ou mal-funcionamento do computador (por exemplo, invas ao, infecc a odigos maliciosos ou problemas de hardware; o 7.5 do Cap tulo Mecanismos de siga as dicas relacionadas a backups apresentadas na Sec a seguranc a. Mantenha seu computador com a data e a hora corretas: o de logs, na correlac o de incidentes de A data e a hora do seu computador s ao usadas na gerac a a o de certicados digitais (para conferir se est muito seguranc a, na vericac a ao v alidos). Portanto, e importante que tome medidas para garantir que estejam sempre corretas. observe as dicas sobre como manter a hora do seu computador sincronizado apresentadas em http://ntp.br/.
assegure-se de ter um rewall pessoal instalado e ativo em seu computador;
crie um disco de emerg encia e o utilize quando desconar que o antimalware instalado est a desabilitado/comprometido ou que o comportamento do computador est a estranho (mais lento, gravando ou lendo o disco r gido com muita frequ encia, etc.);
verique periodicamente os logs gerados pelo seu rewall pessoal, sistema operacional e antimalware (observe se h a registros que possam indicar algum problema de seguranc a).
es de seguranc Use as congurac o a j a dispon veis:
es de seguranc Muitos programas disponibilizam opc o a, mas que, por padr ao, v em desabilitadas ou o destas opc es pode contribuir para melhorar em n veis considerados baixos. A correta congurac a o a seguranc a geral do seu computador.
es de seguranc observe as congurac o a e privacidade oferecidas pelos programas instalados em seu computador (como programas leitores de e-mails e navegadores Web) e altere-as caso n ao estejam de acordo com as suas necessidades.
Seja cuidadoso ao manipular arquivos:
Alguns mecanismos, como os programas antimalware, s ao importantes para proteger seu computador contra ameac as j a conhecidas, mas podem n ao servir para aquelas ainda n ao detectadas. Novos c odigos maliciosos podem surgir, a velocidades nem sempre acompanhadas pela capacidade de o dos mecanismos de seguranc t atualizac a a e, por isto, adotar uma postura preventiva e ao importante quanto as outras medidas de seguranc a aplicadas.
seja cuidadoso ao clicar em links, independente de como foram recebidos e de quem os enviou;
seja cuidadoso ao clicar em links curtos, procure usar complementos que possibilitem que o link de destino seja visualizado;
n ao considere que mensagens vindas de conhecidos s ao sempre con aveis, pois o campo de remetente pode ter sido falsicado ou elas podem ter sido enviadas de contas falsas ou invadidas;
o de arquivos anexados; desabilite, em seu seu programa leitor de e-mails, a auto-execuc a
o de sistema: Crie um disco de recuperac a A maioria dos sistemas operacionais possui 3 tipos de conta de usu ario:
12.1
o de contas de usu Administrac a arios
o s teis em caso de emerg es mal-sucedidas ou desDiscos de recuperac a ao u encia, como atualizac o ligamentos abruptos que tenham corrompido arquivos essenciais ao funcionamento do sistema (causado geralmente por queda de energia). Al em disso, tamb em podem socorrer caso seu computador seja infectado e o c odigo malicioso tenha apagado arquivos essenciais. Podem ser criados por meio es do sistema operacional ou de programas antimalware que oferec de opc o am esta funcionalidade.
Administrador (administrator, admin ou root): fornece controle completo sobre o computador, devendo ser usada para atividades como criar/alterar/excluir outras contas, instalar programas de o que afetem os demais usu uso geral e alterar de congurac a arios ou o sistema operacional. Padr ao (standard, limitada ou limited): considerada de uso normal e que cont em os privil egios que a grande maioria dos usu arios necessita para realizar tarefas rotineiras, como alterar con es pessoais, navegar, ler e-mails, redigir documentos, etc. gurac o
o do seu sistema e certique-se de t crie um disco de recuperac a e-lo sempre por perto, no caso de emerg encias.
Seja cuidadoso ao instalar aplicativos desenvolvidos por terceiros: Convidado (guest): destinada aos usu arios eventuais, n ao possui senha e n ao pode ser acessada remotamente. Permite que o usu ario realize tarefas como navegar na Internet e executar programas j a instalados. Quando o usu ario que utilizou esta conta deixa de usar o sistema, todas as es e arquivos que foram criados referentes a ela s informac o ao apagados.
ao instalar plug-ins, complementos e extens oes, procure ser bastante criterioso e siga as dicas o apresentadas na Sec o 6.4 do Cap de prevenc a a tulo Outros riscos.
o: Seja cuidadoso ao enviar seu computador para servic os de manutenc a
procure selecionar uma empresa com boas refer encias;
executado, ele herda as permiss Quando um programa e oes da conta do usu ario que o execu es e acessar arquivos de acordo com estas permiss tou e pode realizar operac o oes. Se o usu ario em quest ao estiver utilizando a conta de administrador, ent ao o programa poder a executar qualquer tipo o e acessar todo tipo de arquivo. de operac a es nas quais uma conta A conta de administrador, portanto, deve ser usada apenas em situac o o1 . E, sobretudo, pelo menor tempo padr ao n ao tenha privil egios sucientes para realizar uma operac a poss vel. Muitas pessoas, entretanto, por quest oes de comodidade ou falta de conhecimento, utilizam esta conta para realizar todo tipo de atividade. um h Utilizar nas atividades cotidianas uma conta com privil egios de administrador e abito que deve ser evitado, pois voc e pode, por exemplo, apagar acidentalmente arquivos essenciais para o funcionamento do sistema operacional ou instalar inadvertidamente um c odigo malicioso, que ter a acesso irrestrito ao seu computador. ` administrac o de contas em computadores pessoais s Alguns cuidados espec cos referentes a a ao: nunca compartilhe a senha de administrador; o de suas tarefas rotineiras; crie uma conta padr ao e a utilize para a realizac a utilize a conta de administrador apenas o m nimo necess ario; o de executar como administrador quando necessitar de privil use a opc a egios administrativos; crie tantas contas padr ao quantas forem as pessoas que utilizem o seu computador; assegure que todas as contas existentes em seu computador tenham senha; mantenha a conta de convidado sempre desabilitada (caso voc e queira utiliz a-la, libere-a pelo tempo necess ario, mas tenha certeza de novamente bloque a-la quando n ao estiver mais em uso);
1 Esta recomendac o baseia-se em um princ a pio de seguranc a conhecido como privil egio m nimo e visa evitar danos por uso equivocado ou n ao autorizado.
` procura de opini pesquise na Internet sobre a empresa, a ao de clientes sobre ela;
o de programas n n ao permita a instalac a ao originais;
se poss vel, fac a backups dos seus dados antes de enviar seu computador, para n ao correr o risco o do seu computador; de perd e-los acidentalmente ou como parte do processo de manutenc a
o seja feita em sua resid se poss vel, pec a que a manutenc a encia, assim ca mais f acil de acom o do servic panhar a realizac a o.
Seja cuidadoso ao utilizar o computador em locais publicos:
importante tomar cuidados para evitar que ele seja Quando usar seu computador em p ublico, e furtado ou indevidamente utilizado por outras pessoas.
procure manter a seguranc a f sica do seu computador, utilizando travas que dicultem que ele seja aberto, que tenha pec as retiradas ou que seja furtado, como cadeados e cabos de ac o;
procure manter seu computador bloqueado, para evitar que seja usado quando voc e n ao estiver por perto (isso pode ser feito utilizando protetores de tela com senha ou com programas que impedem o uso do computador caso um dispositivo espec co n ao esteja conectado);
congure seu computador para solicitar senha na tela inicial (isso impede que algu em reinicie seu computador e o acesse diretamente);
utilize criptograa de disco para que, em caso de perda ou furto, seus dados n ao sejam indevidamente acessados.
assegure que o seu computador esteja congurado para solicitar a conta de usu ario e a senha na tela inicial;
o de login (inicio de sess assegure que a opc a ao) autom atico esteja desabilitada; a. Certique-se de que seu rewall pessoal esteja ativo;
Executar estes passos, na maioria das vezes, consegue resolver grande parte dos problemas rela necess cionados a c odigos maliciosos. E ario, por em, que voc e verique se seu computador n ao foi invadido e, para isto, voc e deve seguir os seguintes passos:
n ao crie e n ao permita o uso de contas compartilhadas, cada conta deve ser acessada apenas por poss es realizadas por cada um e detectar uso indevido); uma pessoa (assim e vel rastrear as ac o
crie tantas contas com privil egio de administrador quantas forem as pessoas que usem o seu computador e que necessitem destes privil egios.
b. verique os logs do seu rewall pessoal. Caso encontre algo fora do padr ao e que o fac a concluir reinstal que seu computador tenha sido invadido, o melhor a ser feito e a-lo, pois dicilmente e es do invasor; poss vel determinar com certeza as ac o c. antes de reinstal a-lo, fac a backups de logs e notique ao CERT.br sobre a ocorr encia (mais o 7.2 do Cap detalhes na Sec a tulo Mecanismos de seguranc a); es, principalmente as de seguranc d. reinstale o sistema operacional e aplique todas as atualizac o a; e. instale e atualize o seu programa antimalware; f. instale ou ative o seu rewall pessoal; g. recupere seus dados pessoais, por meio de um backup con avel. importante alterar rapidamente Independente de seu computador ter sido infectado ou invadido, e todas as senhas dos servic os que voc e costuma acessar por meio dele.
12.2 O que fazer se seu computador for comprometido
H a alguns ind cios que, isoladamente ou em conjunto, podem indicar que seu computador foi comprometido. Alguns deles s ao:
o computador desliga sozinho e sem motivo aparente;
o computador ca mais lento, tanto para ligar e desligar como para executar programas;
` Internet ca mais lento; o acesso a
12.3 Cuidados ao usar computadores de terceiros
o acesso ao disco se torna muito frequente;
janelas de pop-up aparecem de forma inesperada;
mensagens de logs s ao geradas em excesso ou deixam de ser geradas;
arquivos de logs s ao apagados, sem nenhum motivo aparente;
Ao usar outros computadores, seja de seus amigos, na sua escola, em lanhouse e cyber caf e, e necess ario que os cuidados com seguranc a sejam redobrados. Ao passo que no seu computador e poss vel tomar medidas preventivas para evitar os riscos de uso da Internet, ao usar um outro computador n ao h a como saber, com certeza, se estes mesmos cuidados est ao sendo devidamente tomados e quais as atitudes dos demais usu arios. Alguns cuidados que voc e deve ter s ao: es de navegar anonimamente, caso queria garantir sua privacidade (voc utilize opc o e pode usar es do pr opc o oprio navegador Web ou anonymizers); utilize um antimalware online para vericar se o computador est a infectado; es banc n ao efetue transac o arias ou comerciais; es como Lembre-se de mim e Continuar conectado; n ao utilize opc o n ao permita que suas senhas sejam memorizadas pelo navegador Web; o e cookies (os limpe os dados pessoais salvos pelo navegador, como hist orico de navegac a es que permitem que isto seja facilmente realizado); navegadores disponibilizam opc o assegure-se de sair (logout) de sua conta de usu ario, nos sites que voc e tenha acessado;
es do sistema operacional ou do antimalware n atualizac o ao podem ser aplicadas.
Caso perceba estes ind cios em seu computador e conclua que ele possa estar infectado ou inva importante que voc dido, e e tome medidas para tentar reverter os problemas. Para isto, os seguintes passos devem ser executados por voc e:
a. Certique-se de que seu computador esteja atualizado (com a vers ao mais recente e com todas es aplicadas). Caso n as atualizac o ao esteja, atualize-o imediatamente;
b. certique-se de que seu antimalware esteja sendo executado e atualizado, incluindo o arquivo de assinaturas;
c. execute o antimalware, congurando-o para vericar todos os discos e analisar todas as extens oes de arquivos;
d. limpe os arquivos que o antimalware detectar como infectado caso haja algum;
seja cuidadoso ao conectar m dias remov veis, como pen-drives. Caso voc e use seu pen-drive no computador de outra pessoa, assegure-se de veric a-lo com seu antimalware quando for utiliz a-lo em seu computador; ao retornar ao seu computador, procure alterar as senhas que, por ventura, voc e tenha utilizado.
e. caso deseje, utilize outro antimalware como, por exemplo, uma vers ao online (neste caso, o do antimalware local). certique-se de temporariamente interromper a execuc a
102
` rede e utiUso indevido de recursos: um atacante pode ganhar acesso a um computador conectado a liz a-lo para a pr atica de atividades maliciosas, como obter arquivos, disseminar spam, propagar c odigos maliciosos, desferir ataques e esconder a real identidade do atacante. Varredura: um atacante pode fazer varreduras na rede, a m de descobrir outros computadores e, es maliciosas, como ganhar acesso e explorar vulnerabilidades (mais ent ao, tentar executar ac o o 3.2 do Cap detalhes na Sec a tulo Ataques na Internet). o de tr ` rede, pode tentar interceptar o Interceptac a afego: um atacante, que venha a ter acesso a tr afego e, ent ao, coletar dados que estejam sendo transmitidos sem o uso de criptograa (mais o 3.4 do Cap tulo Ataques na Internet). detalhes na Sec a o de vulnerabilidades: por meio da explorac o de vulnerabilidades, um computador pode Explorac a a ser infectado ou invadido e, sem que o dono saiba, participar de ataques, ter dados indevida o de c mente coletados e ser usado para a propagac a odigos maliciosos. Al em disto, equipamentos de rede (como modems e roteadores) vulner aveis tamb em podem ser invadidos, terem as es alteradas e fazerem com que as conex congurac o oes dos usu arios sejam redirecionadas para sites fraudulentos. o de servic Ataque de negac a o: um atacante pode usar a rede para enviar grande volume de mensagens para um computador, at e torn a-lo inoperante ou incapaz de se comunicar. ` rede e que usem senhas como m Ataque de forc a bruta: computadores conectados a etodo de auten o, est ticac a ao expostos a ataques de forc a bruta. Muitos computadores, infelizmente, utilizam, por padr ao, senhas de tamanho reduzido e/ou de conhecimento geral dos atacantes. o: um atacante pode introduzir ou substituir um dispositivo de rede para Ataque de personicac a induzir outros a se conectarem a este, ao inv es do dispositivo leg timo, permitindo a captura de es que por ele passem a trafegar. senhas de acesso e informac o es s Nas pr oximas sec o ao apresentados os cuidados gerais e independentes de tecnologia que voc e ` Internet, os riscos adicionais que eles podem ter ao usar redes, os tipos mais comuns de acesso a o. representar e algumas dicas de prevenc a
13. Seguranc a de redes
` Internet eram realizados por meio de conex Inicialmente, grande parte dos acessos a ao discada com velocidades que dicilmente ultrapassavam 56 Kbps. O usu ario, de posse de um modem e de uma linha telef onica, se conectava ao provedor de acesso e mantinha esta conex ao apenas pelo tempo es que dependessem da rede. necess ario para realizar as ac o
13.1 Cuidados gerais

Alguns cuidados que voc e deve tomar ao usar redes, independentemente da tecnologia, s ao: es mantenha seu computador atualizado, com as vers oes mais recentes e com todas as atualizac o a de computadores); aplicadas (mais detalhes no Cap tulo Seguranc utilize e mantenha atualizados mecanismos de seguranc a, como programa antimalware e rewall pessoal (mais detalhes no Cap tulo Mecanismos de seguranc a); seja cuidadoso ao elaborar e ao usar suas senhas (mais detalhes no Cap tulo Contas e senhas); o envolver dados condenciais (mais detalhes utilize conex ao segura sempre que a comunicac a o 10.1 do Cap na Sec a tulo Uso seguro da Internet); o e somente a caso seu dispositivo permita o compartilhamento de recursos, desative esta func a ative quando necess ario e usando senhas dif ceis de serem descobertas.
Desde ent ao, grandes avanc os ocorreram e novas alternativas surgiram, sendo que atualmente ` rede pelo tempo em que estiverem ligados grande parte dos computadores pessoais cam conectados a ` Internet tamb e a velocidades que podem chegar a at e 100 Mbps1 . Conex ao a em deixou de ser um ` recurso oferecido apenas a computadores, visto a grande quantidade de equipamentos com acesso a udio. rede, como dispositivos m oveis, TVs, eletrodom esticos e sistemas de a
` rede ele pode estar Independente do tipo de tecnologia usada, ao conectar o seu computador a sujeito a ameac as, como:
es pessoais e outros dados podem ser obtidos tanto pela interceptac o de Furto de dados: informac o a o de poss tr afego como pela explorac a veis vulnerabilidades existentes em seu computador.
1 Estes
dados baseiam-se nas tecnologias dispon veis no momento de escrita desta Cartilha.
101
13. Seguranc a de redes 103 104
13.2 Wi-Fi
um tipo de rede local que utiliza sinais de r o. Wi-Fi (Wireless Fidelity) e adio para comunicac a o: Possui dois modos b asicos de operac a
desabilite o modo ad-hoc (use-o apenas quando necess ario e desligue-o quando n ao precisar). o caso o Alguns equipamentos permitem inibir conex ao com redes ad-hoc, utilize essa func a dispositivo permita; o e criptograa entre o cliente e o AP use, quando poss vel, redes que oferecem autenticac a (evite conectar-se a redes abertas ou p ublicas, sem criptograa, especialmente as que voc e n ao conhece a origem); es, como por exemplo, PGP para o envio de e-mails, considere o uso de criptograa nas aplicac o SSH para conex oes remotas ou ainda VPNs; evite o acesso a servic os que n ao utilizem conex ao segura (https); evite usar WEP, pois ele apresenta vulnerabilidades que, quando exploradas, permitem que o mecanismo seja facilmente quebrado; use WPA2 sempre que dispon vel (caso seu dispositivo n ao tenha este recurso, utilize no m nimo WPA). Cuidados ao montar uma rede sem o dom estica: o posicione o AP longe de janelas e pr oximo ao centro de sua casa a m de reduzir a propagac a do sinal e controlar a abrang encia (conforme a pot encia da antena do AP e do posicionamento rea muito maior que apenas a da sua resid no recinto, sua rede pode abranger uma a encia e, com isto, ser acessada sem o seu conhecimento ou ter o tr afego capturado por vizinhos ou pessoas que estejam nas proximidades); es padr altere as congurac o ao que acompanham o seu AP. Alguns exemplos s ao: o do AP como de autenticac o de usu altere as senhas originais, tanto de administrac a a arios; assegure-se de utilizar senhas bem elaboradas e dif ceis de serem descobertas (mais detalhes no Cap tulo Contas e senhas); altere o SSID (Server Set IDentier); ao congurar o SSID procure n ao usar dados pessoais e nem nomes associados ao fabri o de caracter cante ou modelo, pois isto facilita a identicac a sticas t ecnicas do equipa es sejam associadas a poss mento e pode permitir que essas informac o veis vulnerabilidades existentes; desabilite a difus ao (broadcast) do SSID, evitando que o nome da rede seja anunciado para outros dispositivos;
Infraestrutura: normalmente o mais encontrado, utiliza um concentrador de acesso (Access Point AP) ou um roteador wireless.
Ponto a ponto (ad-hoc): permite que um pequeno grupo de m aquinas se comunique diretamente, sem a necessidade de um AP.
o Redes Wi-Fi se tornaram populares pela mobilidade que oferecem e pela facilidade de instalac a e de uso em diferentes tipos de ambientes. Embora sejam bastante convenientes, h a alguns riscos que voc e deve considerar ao us a-las, como:
por se comunicarem por meio de sinais de r adio, n ao h a a necessidade de acesso f sico a um ambiente restrito, como ocorre com as redes cabeadas. Devido a isto, os dados transmitidos por clientes leg timos podem ser interceptados por qualquer pessoa pr oxima com um m nimo de equipamento (por exemplo, um notebook ou tablet);
o bastante simples, muitas pessoas as instalam em casa (ou mesmo em em por terem instalac a presas, sem o conhecimento dos administradores de rede), sem qualquer cuidado com congu es m rac o nimas de seguranc a, e podem vir a ser abusadas por atacantes, por meio de uso n ao autorizado ou de sequestro2 ;
em uma rede Wi-Fi p ublica (como as disponibilizadas em aeroportos, hot eis e confer encias) os dados que n ao estiverem criptografados podem ser indevidamente coletados por atacantes;
uma rede Wi-Fi aberta pode ser propositadamente disponibilizada por atacantes para atrair o para usu arios, a m de interceptar o tr afego (e coletar dados pessoais) ou desviar a navegac a sites falsos.
Para resolver alguns destes riscos foram desenvolvidos mecanismos de seguranc a, como:
considerado WEP (Wired Equivalent Privacy): primeiro mecanismo de seguranc a a ser lanc ado. E fr agil e, por isto, o uso deve ser evitado.
WPA (Wi-Fi Protected Access): mecanismo desenvolvido para resolver algumas das fragilidades do o n recomendado. WEP. E vel m nimo de seguranc a que e
o mecanismo mais recoWPA-2: similar ao WPA, mas com criptograa considerada mais forte. E mendado.
es desabilite o gerenciamento do AP via rede sem o, de tal forma que, para acessar func o o, seja necess de administrac a ario conectar-se diretamente a ele usando uma rede cabeada. Desta maneira, um poss vel atacante externo (via rede sem o) n ao ser a capaz de acessar o. o AP para promover mudanc as na congurac a n ao ative WEP, pois ele apresenta vulnerabilidades que, quando exploradas, permitem que o mecanismo seja facilmente quebrado; utilize WPA2 ou, no m nimo, WPA;
habilite a interface de rede Wi-Fi do seu computador ou dispositivo m ovel somente quando us a-la e desabilite-a ap os o uso;
2 Por sequestro de rede Wi-Fi entende-se uma situac o em que um terceiro ganha acesso a ` rede e altera congurac es a o no AP para que somente ele consiga acess a-la.
13. Seguranc a de redes 105 106
caso seu AP disponibilize WPS (Wi-Fi Protected Setup), desabilite-o a m de evitar acessos indevidos;
13.4
Banda larga xa
desligue seu AP quando n ao usar sua rede.
um tipo de conex ` rede com capacidade acima daquela conseguida, usualBanda larga xa e ao a o de m mente, em conex ao discada via sistema telef onico. N ao h a uma denic a etrica de banda larga comum que conex que seja aceita por todos, mas e oes deste tipo sejam permanentes e n ao comutadas, como as discadas. Usualmente, compreende conex oes com mais de 100 Kbps, por em esse limite e muito vari avel de pa s para pa s e de servic o para servic o3 . Computadores conectados via banda larga xa, geralmente, possuem boa velocidade de conex ao, ` Internet por longos per mudam o enderec o IP com pouca frequ encia e cam conectados a odos. Por estas caracter sticas, s ao visados por atacantes para diversos prop ositos, como reposit orio de dados o de ataques de negac o de servic fraudulentos, para envio de spam e na realizac a a o. O seu equipamento de banda larga (modem ADSL, por exemplo) tamb em pode ser invadido, pela o de vulnerabilidades ou pelo uso de senhas fracas e/ou padr explorac a ao (facilmente encontradas na es, Internet). Caso um atacante tenha acesso ao seu equipamento de rede, ele pode alterar congurac o bloquear o seu acesso ou desviar suas conex oes para sites fraudulentos. Cuidados a serem tomados: altere, se poss vel, a senha padr ao do equipamento de rede (verique no contrato se isto e permitido e, caso seja, guarde a senha original e lembre-se de restaur a-la quando necess ario);
13.3 Bluetooth
um padr o de dados e voz, baseado em radiofreBluetooth e ao para tecnologia de comunicac a ` conex o de redes qu encia e destinado a ao de dispositivos em curtas dist ancias, permitindo a formac a pessoais sem o. Est a dispon vel em uma extensa variedade de equipamentos, como dispositivos udio, aparelhos de GPS e monitores m oveis, videogames, mouses, teclados, impressoras, sistemas de a es tamb vasta, incluindo sincronismo de dados de frequ encia card aca. A quantidade de aplicac o em e o entre computadores e perif entre dispositivos, comunicac a ericos e transfer encia de arquivos.
Embora traga muitos benef cios, o uso desta tecnologia traz tamb em riscos, visto que est a sujeita ` s v a arias ameac as que acompanham as redes em geral, como varredura, furto de dados, uso indevido o de servic o de tr de recursos, ataque de negac a o, interceptac a afego e ataque de forc a bruta.
o dos atacantes, e que muitos dispositivos v Um agravante, que facilita a ac a em, por padr ao, com o bluetooth ativo. Desta forma, muitos usu arios n ao percebem que possuem este tipo de conex ao ativa e n ao se preocupam em adotar uma postura preventiva.
desabilite o gerenciamento do equipamento de rede via Internet (WAN), de tal forma que, para es de administrac o (interfaces de congurac o), seja necess acessar func o a a ario conectar-se diretamente a ele usando a rede local (desta maneira, um poss vel atacante externo n ao ser a capaz o). de acess a-lo para promover mudanc as na congurac a
mantenha as interfaces bluetooth inativas e somente as habilite quando zer o uso;
o de visibilidade seja Oculto ou Invis congure as interfaces bluetooth para que a opc a vel, evitando que o nome do dispositivo seja anunciado publicamente. O dispositivo s o deve car rastre avel quando for necess ario autenticar-se a um novo dispositivo (pareamento);
13.5 Banda Larga M ovel

` s tecnologias de acesso sem o, de longa dist A banda larga m ovel refere-se a ancia, por meio da rede de telefonia m ovel, especialmente 3G e 4G4 . Este tipo de tecnologia est a dispon vel em grande quantidade de dispositivos m oveis (como celu uma das respons o destes dispositivos e das lares, smartphones e tablets) e e aveis pela popularizac a redes sociais. Al em disto, tamb em pode ser adicionada a computadores e dispositivos m oveis que ainda n ao tenham esta capacidade, por meio do uso de modems espec cos. Assim como no caso da banda larga xa, dispositivos com suporte a este tipo de tecnologia podem ` Internet por longos per car conectados a odos e permitem que o usu ario esteja online, independente o. Por isto, s de localizac a ao bastante visados por atacantes para a pr atica de atividades maliciosas. Cuidados a serem tomados: o 13.1. aplique os cuidados b asicos de seguranc a, apresentados na Sec a
3 Fonte:
o do novo nome dados que iden altere o nome padr ao do dispositivo e evite usar na composic a tiquem o propriet ario ou caracter sticas t ecnicas do dispositivo;
sempre que poss vel, altere a senha (PIN) padr ao do dispositivo e seja cuidadoso ao elaborar a nova (mais detalhes no Cap tulo Contas e senhas);
evite realizar o pareamento em locais p ublicos, reduzindo as chances de ser rastreado ou interceptado por um atacante;
o ou PIN (n que atento ao receber mensagens em seu dispositivo solicitando autorizac a ao res` solicitac o se n ponda a a ao tiver certeza que est a se comunicando com o dispositivo correto);
es de conanc no caso de perda ou furto de um dispositivo bluetooth, remova todas as relac o a j a estabelecidas com os demais dispositivos que possui, evitando que algu em, de posse do dispositivo roubado/perdido, possa conectar-se aos demais.
http://www.cetic.br/. ` terceira e quarta gerac es de padr e 4G correspondem, respectivamente, a o oes de telefonia m ovel denidos pela International Telecommunication Union - ITU .
4 3G
108
Maior possibilidade de perda e furto: em virtude do tamanho reduzido, do alto valor que podem possuir, pelo status que podem representar e por estarem em uso constante, os dispositivos o de assaltantes. m oveis podem ser facilmente esquecidos, perdidos ou atrair a atenc a
14. Seguranc a em dispositivos m oveis
es desenvolvidas por terceiros: h es Grande quantidade de aplicac o a uma innidade de aplicac o sendo desenvolvidas, para diferentes nalidades, por diversos autores e que podem facilmente es com erros de implementac o, n ser obtidas e instaladas. Entre elas podem existir aplicac o a ao o de atividades maliciosas. con aveis ou especicamente desenvolvidas para execuc a o dos modelos: em virtude da grande quantidade de novos lanc Rapidez de substituic a amentos, do desejo dos usu arios de ter o modelo mais recente e de pacotes promocionais oferecidos pelas operadoras de telefonia, os dispositivos m oveis costumam ser rapidamente substitu dos e descartados, sem que nenhum tipo de cuidado seja tomado com os dados nele gravados. De forma geral, os cuidados que voc e deve tomar para proteger seus dispositivos m oveis s ao os mesmos a serem tomados com seu computador pessoal, como mant e-lo sempre atualizado e utili muito importante que voc zar mecanismos de seguranc a. Por isto e e siga as dicas apresentadas no Cap tulo Seguranc a de computadores. Outros cuidados complementares a serem tomados s ao: Antes de adquirir seu dispositivo m ovel: considere os mecanismos de seguranc a que s ao disponibilizadas pelos diferentes modelos e fabricantes e escolha aquele que considerar mais seguro; es originais, ou de caso opte por adquirir um modelo j a usado, procure restaurar as congurac o f abrica, antes de comec ar a us a-lo; evite adquirir um dispositivo m ovel que tenha sido ilegalmente desbloqueado (jailbreak) ou cujas permiss oes de acesso tenham sido alteradas. Esta pr atica, al em de ser ilegal, pode violar os termos de garantia e comprometer a seguranc a e o funcionamento do aparelho. Ao usar seu dispositivo m ovel: o, se dispon vel, instale um programa antimalware antes de instalar qualquer tipo de aplicac a principalmente aquelas desenvolvidas por terceiros; es instaladas sempre com a vers mantenha o sistema operacional e as aplicac o ao mais recente e es aplicadas; com todas as atualizac o ` s not ` segu que atento a cias veiculadas no site do fabricante, principalmente as relacionadas a ranc a;
Dispositivos m oveis, como tablets, smartphones, celulares e PDAs, t em se tornado cada vez mais es realizadas em computadores pessoais, como populares e capazes de executar grande parte das ac o o Web, Internet Banking e acesso a e-mails e redes sociais. Infelizmente, as semelhanc navegac a as ` s funcionalidades apresentadas, elas tamb n ao se restringem apenas a em incluem os riscos de uso que podem representar.
Assim como seu computador, o seu dispositivo m ovel tamb em pode ser usado para a pr atica de o de c atividades maliciosas, como furto de dados, envio de spam e a propagac a odigos maliciosos, al em de poder fazer parte de botnets e ser usado para disparar ataques na Internet.
Somadas a estes riscos, h a caracter sticas pr oprias que os dispositivos m oveis possuem que, quando abusadas, os tornam ainda mais atraentes para atacantes e pessoas mal-intencionadas, como:
es desenvolvidas por terceiros, como complementos, ex seja cuidadoso ao instalar aplicac o es de fontes con tens oes e plug-ins. Procure usar aplicac o aveis e que sejam bem avaliadas pelos usu arios. Verique coment arios de outros usu arios e se as permiss oes necess arias o s o da aplicac o (mais detalhes na Sec o 6.4 do para a execuc a ao coerentes com a destinac a a a Cap tulo Outros riscos); seja cuidadoso ao usar aplicativos de redes sociais, principalmente os baseados em geolocaliza o, pois isto pode comprometer a sua privacidade (mais detalhes na Sec o 11.1 do Cap tulo Pric a a vacidade).
es pessoais armazenadas: informac es como conte Grande quantidade de informac o o udo de mensagens SMS, lista de contatos, calend arios, hist orico de chamadas, fotos, v deos, n umeros de cart ao de cr edito e senhas costumam car armazenadas nos dispositivos m oveis.
107
14. Seguranc a em dispositivos moveis 109
Ao acessar redes1 :
seja cuidadoso ao usar redes Wi-Fi p ublicas;
o, como bluetooth, infravermelho e Wi-Fi, desabilitadas e mantenha interfaces de comunicac a somente as habilite quando for necess ario;
congure a conex ao bluetooth para que seu dispositivo n ao seja identicado (ou descoberto) o aparece como Oculto ou Invis por outros dispositivos (em muitos aparelhos esta opc a vel).
Proteja seu dispositivo m ovel e os dados nele armazenados:
es sens mantenha as informac o veis sempre em formato criptografado;
fac a backups peri odicos dos dados nele gravados;
mantenha controle f sico sobre ele, principalmente em locais de risco (procure n ao deix a-lo sobre a mesa e cuidado com bolsos e bolsas quando estiver em ambientes p ublicos);
o envolver dados condenciais (mais detalhes na use conex ao segura sempre que a comunicac a o 10.1 do Cap tulo Uso seguro da Internet); Sec a
n ao siga links recebidos por meio de mensagens eletr onicas;
cadastre uma senha de acesso que seja bem elaborada e, se poss vel, congure-o para aceitar senhas complexas (alfanum ericas);
congure-o para que seja localizado e bloqueado remotamente, por meio de servic os de geolo o (isso pode ser bastante u til em casos de perda ou furto); calizac a
congure-o, quando poss vel, para que os dados sejam apagados ap os um determinado n umero o com bastante cautela, principalmente de tentativas de desbloqueio sem sucesso (use esta opc a se voc e tiver lhos e eles gostarem de brincar com o seu dispositivo).
Ao se desfazer do seu dispositivo m ovel:
es nele contidas; apague todas as informac o
es de f restaure a opc o abrica.
O que fazer em caso de perda ou furto:
infome sua operadora e solicite o bloqueio do seu n umero (chip);
altere as senhas que possam estar nele armazenadas (por exemplo, as de acesso ao seu e-mail ou rede social);
bloqueie cart oes de cr edito cujo n umero esteja armazenado em seu dispositivo m ovel;
o remota, voc se tiver congurado a localizac a e pode ativ a-la e, se achar necess ario, apagar remotamente todos os dados nele armazenados.
1 Mais
detalhes sobre estas dicas no Cap tulo Seguranc a de redes.

Cartilha para Seguranca Na Internet 2

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Cartilha para Seguranca Na Internet 2

Hochgeladen von

Copyright:

Verfügbare Formate

2

Cartilha de Seguranc a para Internet

Cartilha de Seguranc a para Internet

Furto de identidade (Identity theft)

Cartilha de Seguranc a para Internet

o de recursos (Advance fee fraud) Fraude de antecipac a

Cartilha de Seguranc a para Internet

O phishing ocorre por meio do envio de mensagens eletr onicas que:

Cartilha de Seguranc a para Internet

Golpes de com ercio eletr onico

Golpe do site de com ercio eletr onico fraudulento

por meio do comprometimento do servidor de DNS do provedor que voc e utiliza;

Cartilha de Seguranc a para Internet

Golpe do site de leil ao e venda de produtos

procure validar os dados de cadastro da empresa no site da Receita Federal4 ;

Golpe envolvendo sites de compras coletivas

procure n ao comprar por impulso apenas para garantir o produto ofertado;

Cartilha de Seguranc a para Internet

conter c odigos maliciosos;

ocupar, desnecessariamente, espac o nas caixas de e-mails dos usu arios;

o de pessoas ou entidades referenciadas na mensagem; comprometer a credibilidade e a reputac a

arma n ao ser um boato;

o de alguma ac o; promete ganhos nanceiros ou pr emios mediante a realizac a a

apresenta erros gramaticais e de ortograa;

es contradit apresenta informac o orias;

Cartilha de Seguranc a para Internet

3.2 Varredura em redes (Scan)

o de e-mail (E-mail spoong) Falsicac a

Cartilha de Seguranc a para Internet

Forc a bruta (Brute force)

Exemplos de e-mails com campos falsicados s ao aqueles recebidos como sendo:

voc e recebe respostas de e-mails que voc e nunca enviou;

o de tr 3.4 Interceptac a afego (Snifng)

Cartilha de Seguranc a para Internet

o de p Desgurac a agina (Defacement)

o Web; explorar erros da aplicac a

o Web; explorar vulnerabilidades do servidor de aplicac a

` interface Web usada para administrac o remota. furtar senhas de acesso a a

o de servic 3.7 Negac a o (DoS e DDoS)

Cartilha de Seguranc a para Internet

4. C odigos maliciosos (Malware)

o de vulnerabilidades existentes nos programas instalados; pela explorac a

o de m pela auto-execuc a dias remov veis infectadas, como pen-drives;

pelo acesso a p aginas Web maliciosas, utilizando navegadores vulner aveis;

4. Codigos maliciosos (Malware) 25 26 Cartilha de Seguranc a para Internet

o e infecc o dos worms ocorre da seguinte maneira: O processo de propagac a a

efetuar varredura na rede e identicar computadores ativos;

aguardar que outros computadores contatem o computador infectado;

o dos alvos; utilizar listas, predenidas ou obtidas na Internet, contendo a identicac a

via canais de IRC (Internet Relay Chat);

via programas de troca de mensagens instant aneas;

4. Codigos maliciosos (Malware) 27 28 Cartilha de Seguranc a para Internet

4.4 4.5 Backdoor

Alguns tipos espec cos de programas spyware s ao:

4.6 Cavalo de troia (Trojan)

4. Codigos maliciosos (Malware) 29 30 Cartilha de Seguranc a para Internet

Trojan Downloader: instala outros c odigos maliciosos, obtidos de sites na Internet.

Trojan Backdoor: inclui backdoors, possibilitando o acesso remoto do atacante ao computador.

mapear potenciais vulnerabilidades em outros computadores, por meio de varreduras na rede;

4. Codigos maliciosos (Malware) 31

Tabela 4.1: Resumo comparativo entre os c odigos maliciosos.

Cartilha de Seguranc a para Internet

Cartilha de Seguranc a para Internet