Cartilha de Segurança para Internet
Upcoming SlideShare
Loading in...5
×
 

Cartilha de Segurança para Internet

on

  • 2,214 views

Cartilha retirada do site do CERT.br (http://cartilha.cert.br/livro/cartilha-seguranca-internet.pdf).

Cartilha retirada do site do CERT.br (http://cartilha.cert.br/livro/cartilha-seguranca-internet.pdf).
Vale a pena ler.

Statistics

Views

Total Views
2,214
Views on SlideShare
2,206
Embed Views
8

Actions

Likes
1
Downloads
49
Comments
1

2 Embeds 8

http://emersonmorresi.com 7
https://twitter.com 1

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
  • 11-Título = Jogando.net/mu Venha se divertir de verdade !!!
    [b]Ola,sou o Pr1nceMG,Divulgador oficial do Servidor de Mu online Season 6 do Brasil
    ESTÁ ON HÁ MAIS DE 5 ANOS,Produzindo sua Diversão com qualidade.
    TODOS OS SERVERS ficam ON 24 horas por dia, Sempre Buscamos o Melhor para os Gamers.
    São varios Server esperando por você :
    * MuWar' 1000x/1500x
    * Super - 10.000x ** Pvp 15.000x
    * Very Easy - 5.000x
    * Hard 100 x
    * Extreme 10x
    * Novo servidor Phoenix: Free 3000x | Vip: 4000x Phoenix
    SÓ NO http://www.jogando.net/mu VOCÊ ENCONTRA
    Os Melhores itens e kits mais tops de um server De MU Online:
    * Novas asas level 4
    * Novos Kits DEVASTADOR
    * Novos Kits DIAMOND v2 + Kit Mystical (a combinação da super força)
    * Novos Sets especiais de TIME.
    *CASTLE SIEGE AOS SÁBADOS e DOMINGOS.
    Site http://www.jogando.net/mu/
    Esperamos pela sua visita.Sejam todos muito benvindos ao nosso Servidor.
    *Um mês de grandes eventos e Promoções do dia das Crianças e Sorteio de 1 iPad e 2.000.000 de Golds!
    E obrigado pela atençao de todos voces !!!
    Conheça também animes cloud http://animescloud.com/ São mais de 20.000 mil videos online.
    By:Pr1nceMG divulgador oficial do jogando.net/mu
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Cartilha de Segurança para Internet Cartilha de Segurança para Internet Document Transcript

  • Publicaçãohttp://cartilha.cert.br/
  • ¸˜ATRIBUICAO ˜ USO NAO COMERCIAL ¸˜ VEDADA A CRIACAO DE OBRAS DERIVADAS 3.0 BRASIL ˆVOCE PODE: ¸˜ copiar, distribuir e transmitir a obra sob as seguintes condicoes: ATRIBUICAO:¸˜ Vocˆ deve creditar a obra da forma especificada pelo autor ou licenciante e (mas n˜ o de maneira que sugira que estes concedem qualquer aval a vocˆ ou a e ao seu uso da obra). ˜ USO NAO COMERCIAL: Vocˆ n˜ o pode usar esta obra para fins comerciais. e a ¸˜ VEDADA A CRIACAO DE OBRAS DERIVADAS: Vocˆ n˜ o pode alterar, transformar ou criar em cima desta obra. e a
  • ¸˜ ¸˜Nucleo de Informacao e Coordenacao do Ponto BR ´ Centro de Estudos, Resposta e Tratamento de Incidentes de Seguranca no Brasil ¸ Cartilha de Seguranca ¸ para Internet ˜ Versao 4.0 ˆ Comite Gestor da Internet no Brasil ˜ Sao Paulo 2012 View slide
  • Comitˆ Gestor da Internet no Brasil (CGI.br) e ¸˜ ¸˜N´ cleo de Informacao e Coordenacao do Ponto BR (NIC.br) uCentro de Estudos, Resposta e Tratamento de Incidentes de Seguranca no Brasil (CERT.br) ¸ ¸˜Textos e Edicao: Equipe do CERT.br ¸˜Ilustracoes: H´ ctor G´ mez e Osnei e oCartilha de Seguranca para Internet, vers˜ o 4.0 / CERT.br – S˜ o Paulo: Comitˆ Gestor da Internet no ¸ a a eBrasil, 2012. ¸˜Primeira edicao: 2006ISBN: 978-85-60062-05-8ISBN: 85-60062-05-X ¸˜Segunda edicao: 2012ISBN: 978-85-60062-54-6 ´ ¸˜A “Cartilha de Seguranca para Internet” e uma publicacao independente, produzida pelo Centro de Estudos, Resposta e ¸ ¸˜ ¸˜Tratamento de Incidentes de Seguranca no Brasil (CERT.br), do N´ cleo de Informacao e Coordenacao do Ponto BR ¸ u ¸ e a ¸˜ ¸˜(NIC.br), braco executivo do Comitˆ Gestor da Internet no Brasil (CGI.br) e n˜ o possui qualquer relacao de afiliacao, ¸˜ ¸˜patroc´nio ou aprovacao de outras instituicoes ou empresas citadas em seu conte´ do. ı uOs nomes de empresas e produtos bem como logotipos mencionados nesta obra podem ser marcas registradas ou marcasregistradas comerciais, de produtos ou servicos, no Brasil ou em outros pa´ses, e s˜ o utilizados com prop´ sito de ¸ ı a o ¸˜ ¸˜exemplificacao, sem intencao de promover, denegrir ou infringir. ¸˜ ¸˜ ¸˜Embora todas as precaucoes tenham sido tomadas na elaboracao desta obra, autor e editor n˜ o garantem a correcao a ¸˜absoluta ou a completude das informacoes nela contidas e n˜ o se responsabilizam por eventuais danos ou perdas que apossam advir do seu uso. View slide
  • Pref´ cio a ´ ¸˜ A Cartilha de Seguranca para Internet e um documento com recomendacoes e dicas sobre como ¸o usu´ rio de Internet deve se comportar para aumentar a sua seguranca e se proteger de poss´veis a ¸ ıameacas. O documento apresenta o significado de diversos termos e conceitos utilizados na Internet, ¸aborda os riscos de uso desta tecnologia e fornece uma s´ rie de dicas e cuidados a serem tomados epelos usu´ rios para se protegerem destas ameacas. a ¸ ¸˜ A producao desta Cartilha foi feita pelo Centro de Estudos, Resposta e Tratamento de Incidentes ¸ ´de Seguranca no Brasil (CERT.br), que e um dos servicos prestados para a comunidade Internet do ¸ u ¸˜ ¸˜Brasil pelo N´ cleo de Informacao e Coordenacao do Ponto BR (NIC.br), o braco executivo do Comitˆ ¸ eGestor da Internet no Brasil (CGI.br). N´ s esperamos que esta Cartilha possa auxili´ -lo n˜ o s´ a compreender as ameacas do ambiente o a a o ¸Internet, mas tamb´ m a usufruir dos benef´cios de forma consciente e a manter a seguranca de seus e ı ¸ o ı ´dados, computadores e dispositivos m´ veis. Gostar´amos ainda de ressaltar que e muito importante e a ´ficar sempre atento ao usar a Internet, pois somente aliando medidas t´ cnicas a boas pr´ ticas e poss´vel ıatingir um n´vel de seguranca que permita o pleno uso deste ambiente. ı ¸ Caso vocˆ tenha alguma sugest˜ o para este documento ou encontre algum erro, por favor, entre e aem contato por meio do endereco doc@cert.br. ¸ Boa leitura!Equipe do CERT.brJunho de 2012Estrutura da Cartilha ı u ´ Este documento conta com quatorze cap´tulos, que dividem o conte´ do em diferentes areas rela-cionadas com a seguranca da Internet, al´ m de um gloss´ rio e um ´ndice remissivo. ¸ e a ı ı ¸˜ De forma geral, o Cap´tulo 1 apresenta uma introducao sobre a importˆ ncia de uso da Internet, os ariscos a que os usu´ rios est˜ o sujeitos e os cuidados a serem tomados. Do Cap´tulo 2 ao 6 os riscos a a ıs˜ o apresentados de forma mais detalhada, enquanto que do Cap´tulo 7 ao 14 o foco principal s˜ o os a ı acuidados a serem tomados e os mecanismos de seguranca existentes. ¸1. Seguranca na Internet: Trata dos benef´cios que a Internet pode trazer na realizacao de atividades ¸ ı ¸˜ cotidianas e descreve, de forma geral, os riscos relacionados ao seu uso. Procura tamb´ m e esclarecer que a Internet n˜ o tem nada de “virtual” e que os cuidados a serem tomados ao a us´ -la s˜ o semelhantes aos que se deve ter no dia a dia. a a iii
  • iv Cartilha de Seguranca para Internet ¸2. Golpes na Internet: Apresenta os principais golpes aplicados na Internet, os riscos que estes gol- pes representam e os cuidados que devem ser tomados para se proteger deles.3. Ataques na Internet: Aborda os ataques que costumam ser realizados por meio da Internet, as ¸˜ motivacoes que levam os atacantes a praticar atividades deste tipo e as t´ cnicas que costumam e ser utilizadas. Ressalta a importˆ ncia de cada um fazer a sua parte para que a seguranca geral a ¸ da Internet possa ser melhorada.4. C´ digos maliciosos (Malware): Aborda os diferentes tipos de c´ digos maliciosos, as diversas for- o o ¸˜ ¸˜ mas de infeccao e as principais acoes danosas e atividades maliciosas por eles executadas. ¸˜ Apresenta tamb´ m um resumo comparativo para facilitar a classificacao dos diferentes tipos. e5. Spam: Discute os problemas acarretados pelo spam, principalmente aqueles que possam ter im- ¸˜ ¸˜ plicacoes de seguranca, e m´ todos de prevencao. ¸ e6. Outros riscos: Aborda alguns dos servicos e recursos de navegacao incorporados a grande maioria ¸ ¸˜ dos navegadores Web e leitores de e-mails, os riscos que eles podem representar e os cuidados que devem ser tomados ao utiliz´ -los. Trata tamb´ m dos riscos apresentados e dos cuidados a a e serem tomados ao compartilhar recursos na Internet.7. Mecanismos de seguranca: Apresenta os principais mecanismos de seguranca existentes e os cui- ¸ ¸ a a ¸˜ dados que devem ser tomados ao utiliz´ -los. Ressalta a importˆ ncia de utilizacao de ferramentas de seguranca aliada a uma postura preventiva. ¸8. Contas e senhas: Aborda o principal mecanismo de autenticacao usado na Internet que s˜ o as ¸˜ a ¸˜ ¸˜ ¸˜ contas e as senhas. Inclui dicas de uso, elaboracao, gerenciamento, alteracao e recuperacao, entre outras.9. Criptografia: Apresenta alguns conceitos de criptografia, como funcoes de resumo, assinatura ¸˜ digital, certificado digital e as chaves sim´ tricas e assim´ tricas. Trata tamb´ m dos cuidados que e e e devem ser tomados ao utiliz´ -la. a10. Uso seguro da Internet: Apresenta, de forma geral, os principais usos que s˜ o feitos da Internet a e os cuidados que devem ser tomados ao utiliz´ -los. Aborda quest˜ es referentes a seguranca a o ¸ nas conex˜ es Web especialmente as envolvem o uso de certificados digitais. o11. Privacidade: Discute quest˜ es relacionadas a privacidade do usu´ rio ao utilizar a Internet e aos o ` a cuidados que ele deve ter com seus dados pessoais. Apresenta detalhadamente dicas referentes ¸˜ ¸˜ a disponibilizacao de informacoes pessoais nas redes sociais.12. Seguranca de computadores: Apresenta os principais cuidados que devem ser tomados ao usar ¸ computadores, tanto pessoais como de terceiros. Ressalta a importˆ ncia de manter os compu- a ¸˜ tadores atualizados e com mecanismos de protecao instalados.13. Seguranca de redes: Apresenta os riscos relacionados ao uso das principais tecnologias de aces- ¸ ` so a Internet, como banda larga (fixa e m´ vel), Wi-Fi e Bluetooth. o14. Seguranca em dispositivos m´ veis: Aborda os riscos relacionados ao uso de dispositivos m´ - ¸ o o veis e procura demonstrar que eles s˜ o similares aos computadores e que, por isto, necessitam a dos mesmos cuidados de seguranca. ¸
  • vLicenca de Uso da Cartilha ¸ ¸ ´ A Cartilha de Seguranca para Internet e disponibilizada sob a licenca “Creative Commons Atribui- ¸¸˜ ¸˜cao-Uso n˜ o-comercial-Vedada a criacao de obras derivadas 3.0 Brasil” (CC BY-NC-ND 3.0). a A licenca completa est´ dispon´vel em: http://cartilha.cert.br/cc/. ¸ a ıHist´ rico da Cartilha o No in´cio de 2000, um grupo de estudos que, entre outros, envolveu a Abranet e o CERT.br (que ı` ´a epoca chamava-se NBSO – NIC BR Security Office), identificou a necessidade de um guia com ¸˜informacoes sobre seguranca que pudesse ser usado como referˆ ncia pelos diversos setores usu´ rios ¸ e a uˆde Internet. Como conseq¨ encia, a pedido do Comitˆ Gestor da Internet no Brasil e sob supervis˜ o e ado CERT.br, em julho do mesmo ano foi lancada a Cartilha de Seguranca para Internet Vers˜ o 1.0. ¸ ¸ a Em 2003 foi verificada a necessidade de uma revis˜ o geral do documento, que n˜ o s´ inclu´sse a a o ı o e ¸˜novos t´ picos, mas que tamb´ m facilitasse sua leitura e a localizacao de assuntos espec´ficos. Neste ı a `processo de revis˜ o a Cartilha foi completamente reescrita, dando origem a vers˜ o 2.0. Esta vers˜ o, a a aprimeira totalmente sob responsabilidade do CERT.br, possu´a estrutura dividida em partes, al´ m de ı e a e a ¸˜contar com o checklist e o gloss´ rio. Tamb´ m nesta vers˜ o foram introduzidas as secoes relativas afraudes na Internet, banda larga, redes sem fio, spam e incidentes de seguranca. ¸ ` ¸˜ Na vers˜ o 3.0, de 2005, a Cartilha continuou com sua estrutura, mas, devido a evolucao da tec- anologia, novos assuntos foram inclu´dos. Foi criada uma parte espec´fica sobre c´ digos maliciosos, ı ı oexpandida a parte sobre seguranca de redes sem fio e inclu´dos t´ picos espec´ficos sobre seguranca ¸ ı o ı ¸em dispositivos m´ veis. Esta vers˜ o tamb´ m foi a primeira a disponibilizar um folheto com as dicas o a e a ¸˜b´ sicas para protecao contra as ameacas mais comuns. ¸ A vers˜ o 3.1 n˜ o introduziu partes novas, mas incorporou diversas sugest˜ es de melhoria recebi- a a o ¸˜ ¸´das, corrigiu alguns erros de digitacao e atendeu a um pedido de muitos leitores: lanca-la em formatode livro, para facilitar a leitura e a impress˜ o do conte´ do completo. a u Em 2012 foi verificada novamente a necessidade de revis˜ o geral do documento, o que deu origem a`a vers˜ o 4.0. Com o uso crescente da Internet e das redes sociais, impulsionado principalmente a ¸˜pela popularizacao dos dispositivos m´ veis e facilidades de conex˜ o, constatou-se a necessidade de o aabordar novos conte´ dos e agrupar os assuntos de maneira diferente. Esta vers˜ o conta com um livro u a u a a ´com todo o conte´ do que, com o objetivo de facilitar a leitura e torn´ -la mais agrad´ vel, e totalmente ´ilustrado. Este livro, por sua vez, e complementado por fasc´culos com vers˜ es resumidas de alguns ı odos t´ picos, de forma a facilitar a difus˜ o de conte´ dos espec´ficos. o a u ı
  • Agradecimentos e ı ¸˜ Agradecemos a todos leitores da Cartilha, que tˆ m contribu´do para a elaboracao deste documento,enviando coment´ rios, cr´ticas, sugest˜ es ou revis˜ es. a ı o o ¸˜ Agradecemos as contribuicoes de Rafael Rodrigues Obelheiro, na vers˜ o 3.0, e de Nelson Murilo, ana Parte V da vers˜ o 3.1 e no Cap´tulo 13 da atual vers˜ o. a ı a Agradecemos a toda equipe do CERT.br, especialmente a Luiz E. R. Cordeiro, pelo texto da ¸˜ ¸˜primeira vers˜ o; a Marcelo H. P. C. Chaves, pela producao das vers˜ es 2.0, 3.0 e 3.1 e pela criacao a o a a ¸˜das figuras da atual vers˜ o; a Lucimara Desider´ , pelas pesquisas realizadas, pela contribuicao nos ı e ¸˜Cap´tulos 9 e 13 e tamb´ m pela pela criacao das figuras da atual vers˜ o; e a Miriam von Zuben, pela a ¸˜producao da vers˜ o 4.0 e por ser a principal mantenedora da Cartilha. a vii
  • Sum´ rio aPref´ cio a iiiAgradecimentos viiLista de Figuras xiiiLista de Tabelas xiii1 Seguranca na Internet ¸ 12 Golpes na Internet 5 2.1 Furto de identidade (Identity theft) . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 2.2 ¸˜ Fraude de antecipacao de recursos (Advance fee fraud) . . . . . . . . . . . . . . . . 7 2.3 Phishing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 2.3.1 Pharming . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 2.4 Golpes de com´ rcio eletrˆ nico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . e o 12 2.4.1 Golpe do site de com´ rcio eletrˆ nico fraudulento . . . . . . . . . . . . . . . e o 12 2.4.2 Golpe envolvendo sites de compras coletivas . . . . . . . . . . . . . . . . . 13 2.4.3 Golpe do site de leil˜ o e venda de produtos . . . . . . . . . . . . . . . . . . a 14 2.5 Boato (Hoax) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 2.6 ¸˜ Prevencao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163 Ataques na Internet 17 3.1 ¸˜ Exploracao de vulnerabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 3.2 Varredura em redes (Scan) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 3.3 ¸˜ Falsificacao de e-mail (E-mail spoofing) . . . . . . . . . . . . . . . . . . . . . . . . 18 3.4 ¸˜ Interceptacao de tr´ fego (Sniffing) . . . . . . . . . . . . . . . . . . . . . . . . . . . a 19 ix
  • x Cartilha de Seguranca para Internet ¸ 3.5 Forca bruta (Brute force) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ¸ 20 3.6 ¸˜ Desfiguracao de p´ gina (Defacement) . . . . . . . . . . . . . . . . . . . . . . . . . a 21 3.7 ¸˜ Negacao de servico (DoS e DDoS) . . . . . . . . . . . . . . . . . . . . . . . . . . . ¸ 21 3.8 ¸˜ Prevencao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224 C´ digos maliciosos (Malware) o 23 4.1 V´rus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ı 24 4.2 Worm . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 4.3 Bot e botnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 4.4 Spyware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 4.5 Backdoor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 4.6 Cavalo de troia (Trojan) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 4.7 Rootkit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 4.8 ¸˜ Prevencao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 4.9 Resumo comparativo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305 Spam 33 5.1 ¸˜ Prevencao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356 Outros riscos 39 6.1 Cookies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 6.2 C´ digos m´ veis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o o 41 6.3 Janelas de pop-up . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 6.4 Plug-ins, complementos e extens˜ es . . . . . . . . . . . . . . . . . . . . . . . . . . o 42 6.5 Links patrocinados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 6.6 Banners de propaganda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 6.7 ¸˜ Programas de distribuicao de arquivos (P2P) . . . . . . . . . . . . . . . . . . . . . . 44 6.8 Compartilhamento de recursos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 457 Mecanismos de seguranca ¸ 47 7.1 Pol´tica de seguranca . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ı ¸ 48 7.2 ¸˜ Notificacao de incidentes e abusos . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 7.3 Contas e senhas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
  • ´Sumario xi 7.4 Criptografia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 7.5 C´ pias de seguranca (Backups) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o ¸ 51 7.6 Registro de eventos (Logs) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 7.7 Ferramentas antimalware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 7.8 Firewall pessoal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 7.9 Filtro antispam . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 7.10 Outros mecanismos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 588 Contas e senhas 59 8.1 Uso seguro de contas e senhas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 8.2 ¸˜ Elaboracao de senhas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 8.3 ¸˜ Alteracao de senhas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 8.4 Gerenciamento de contas e senhas . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 8.5 ¸˜ Recuperacao de senhas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 659 Criptografia 67 9.1 Criptografia de chave sim´ trica e de chaves assim´ tricas . . . . . . . . . . . . . . . e e 68 9.2 ¸˜ Funcao de resumo (Hash) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 9.3 Assinatura digital . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 9.4 Certificado digital . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 9.5 Programas de criptografia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 9.6 Cuidados a serem tomados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7310 Uso seguro da Internet 75 10.1 Seguranca em conex˜ es Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ¸ o 78 10.1.1 Tipos de conex˜ o . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a 79 ´ 10.1.2 Como verificar se um certificado digital e confi´ vel . . . . . . . . . . . . . . a 8211 Privacidade 85 11.1 Redes sociais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8712 Seguranca de computadores ¸ 93 ¸˜ 12.1 Administracao de contas de usu´ rios . . . . . . . . . . . . . . . . . . . . . . . . . . a 98 12.2 O que fazer se seu computador for comprometido . . . . . . . . . . . . . . . . . . . 99
  • xii Cartilha de Seguranca para Internet ¸ 12.3 Cuidados ao usar computadores de terceiros . . . . . . . . . . . . . . . . . . . . . . 10013 Seguranca de redes ¸ 101 13.1 Cuidados gerais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 13.2 Wi-Fi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 13.3 Bluetooth . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 13.4 Banda larga fixa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 13.5 Banda Larga M´ vel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 o14 Seguranca em dispositivos m´ veis ¸ o 107Gloss´ rio a 111´Indice Remissivo 123
  • Lista de Figuras 9.1 Exemplos de certificados digitais. . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 9.2 Cadeia de certificados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 10.1 Conex˜ o n˜ o segura em diversos navegadores. . . . . . . . . . . . . . . . . . . . . . a a 79 10.2 Conex˜ o segura em diversos navegadores. . . . . . . . . . . . . . . . . . . . . . . . a 80 10.3 Conex˜ o segura usando EV SSL em diversos navegadores. . . . . . . . . . . . . . . a 80 a ¸˜ a 10.4 Conex˜ o HTTPS com cadeia de certificacao n˜ o reconhecida. . . . . . . . . . . . . 81 10.5 Uso combinado de conex˜ o segura e n˜ o segura. . . . . . . . . . . . . . . . . . . . . a a 81 10.6 Alerta de certificado n˜ o confi´ vel em diversos navegadores. . . . . . . . . . . . . . a a 82Lista de Tabelas 2.1 Exemplos de t´ picos e temas de mensagens de phishing. . . . . . . . . . . . . . . . o 10 4.1 Resumo comparativo entre os c´ digos maliciosos. . . . . . . . . . . . . . . . . . . . o 31 9.1 ¸˜ Termos empregados em criptografia e comunicacoes via Internet. . . . . . . . . . . . 68 xiii
  • 1. Seguranca na Internet ¸ ¸˜ A Internet j´ est´ presente no cotidiano de grande parte da populacao e, provavelmente para estas a apessoas, seria muito dif´cil imaginar como seria a vida sem poder usufruir das diversas facilidades e ıoportunidades trazidas por esta tecnologia. Por meio da Internet vocˆ pode: e • encontrar antigos amigos, fazer novas amizades, encontrar pessoas que compartilham seus gos- tos e manter contato com amigos e familiares distantes; • acessar sites de not´cias e de esportes, participar de cursos a distˆ ncia, pesquisar assuntos de ı ` a interesse e tirar d´ vidas em listas de discuss˜ o; u a • efetuar servicos banc´ rios, como transferˆ ncias, pagamentos de contas e verificacao de extratos; ¸ a e ¸˜ • fazer compras em supermercados e em lojas de com´ rcio eletrˆ nico, pesquisar precos e verificar e o ¸ a opini˜ o de outras pessoas sobre os produtos ou servicos ofertados por uma determinada loja; a ¸ • acessar sites dedicados a brincadeiras, passatempos e hist´ rias em quadrinhos, al´ m de grande o e variedade de jogos, para as mais diversas faixas et´ rias; a • enviar a sua declaracao de Imposto de Renda, emitir boletim de ocorrˆ ncia, consultar os pontos ¸˜ e ¸˜ em sua carteira de habilitacao e agendar a emiss˜ o de passaporte; a 1
  • 2 Cartilha de Seguranca para Internet ¸ • consultar a programacao das salas de cinema, verificar a agenda de espet´ culos teatrais, expo- ¸˜ a ¸˜ sicoes e shows e adquirir seus ingressos antecipadamente; • consultar acervos de museus e sites dedicados a obra de grandes artistas, onde e poss´vel co- ` ´ ı nhecer a biografia e as t´ cnicas empregadas por cada um. e Estes s˜ o apenas alguns exemplos de como vocˆ pode utilizar a Internet para facilitar e melhorar a a esua vida. Aproveitar esses benef´cios de forma segura, entretanto, requer que alguns cuidados sejam ı ´tomados e, para isto, e importante que vocˆ esteja informado dos riscos aos quais est´ exposto para e aque possa tomar as medidas preventivas necess´ rias. Alguns destes riscos s˜ o: a a ´Acesso a conteudos impr´ prios ou ofensivos: ao navegar vocˆ pode se deparar com p´ ginas que o e a ´ contenham pornografia, que atentem contra a honra ou que incitem o odio e o racismo.Contato com pessoas mal-intencionadas: existem pessoas que se aproveitam da falsa sensacao de ¸˜ anonimato da Internet para aplicar golpes, tentar se passar por outras pessoas e cometer crimes como, por exemplo, estelionato, pornografia infantil e sequestro.Furto de identidade: assim como vocˆ pode ter contato direto com impostores, tamb´ m pode ocor- e e e e ¸˜ rer de algu´ m tentar se passar por vocˆ e executar acoes em seu nome, levando outras pessoas a acreditarem que est˜ o se relacionando com vocˆ , e colocando em risco a sua imagem ou a e ¸˜ reputacao.Furto e perda de dados: os dados presentes em seus equipamentos conectados a Internet podem ser ` ¸˜ furtados e apagados, pela acao de ladr˜ es, atacantes e c´ digos maliciosos. o oInvas˜ o de privacidade: a divulgacao de informacoes pessoais pode comprometer a sua privacidade, a ¸˜ ¸˜ de seus amigos e familiares e, mesmo que vocˆ restrinja o acesso, n˜ o h´ como controlar que e a a elas n˜ o ser˜ o repassadas. Al´ m disto, os sites costumam ter pol´ticas pr´ prias de privacidade a a e ı o e podem alter´ -las sem aviso pr´ vio, tornando p´ blico aquilo que antes era privado. a e u ¸˜Divulgacao de boatos: as informacoes na Internet podem se propagar rapidamente e atingir um ¸˜ grande n´ mero de pessoas em curto per´odo de tempo. Enquanto isto pode ser desej´ vel em u ı a ¸˜ ¸˜ certos casos, tamb´ m pode ser usado para a divulgacao de informacoes falsas, que podem gerar e pˆ nico e prejudicar pessoas e empresas. aDificuldade de exclus˜ o: aquilo que e divulgado na Internet nem sempre pode ser totalmente ex- a ´ clu´do ou ter o acesso controlado. Uma opini˜ o dada em um momento de impulso pode ficar ı a acess´vel por tempo indeterminado e pode, de alguma forma, ser usada contra vocˆ e acessada ı e por diferentes pessoas, desde seus familiares at´ seus chefes. eDificuldade de detectar e expressar sentimentos: quando vocˆ se comunica via Internet n˜ o h´ e a a como observar as express˜ es faciais ou o tom da voz das outras pessoas, assim como elas o n˜ o podem observar vocˆ (a n˜ o ser que vocˆ s estejam utilizando webcams e microfones). Isto a e a e ¸˜ ¸˜ u pode dificultar a percepcao do risco, gerar mal-entendido e interpretacao d´ bia.Dificuldade de manter sigilo: no seu dia a dia e poss´vel ter uma conversa confidencial com algu´ m ´ ı e e tomar cuidados para que ningu´ m mais tenha acesso ao que est´ sendo dito. Na Internet, caso e a ¸˜ n˜ o sejam tomados os devidos cuidados, as informacoes podem trafegar ou ficar armazenadas a de forma que outras pessoas tenham acesso ao conte´ do. u
  • 1. Seguranca na Internet ¸ 3Uso excessivo: o uso desmedido da Internet, assim como de outras tecnologias, pode colocar em risco a sua sa´ de f´sica, diminuir a sua produtividade e afetar a sua vida social ou profissional. u ı ¸˜Pl´ gio e violacao de direitos autorais: a c´ pia, alteracao ou distribuicao n˜ o autorizada de conte´ - a o ¸˜ ¸˜ a u dos e materiais protegidos pode contrariar a lei de direitos autorais e resultar em problemas jur´dicos e em perdas financeiras. ı ´ Outro grande risco relacionado ao uso da Internet e o de vocˆ achar que n˜ o corre riscos, pois e asup˜ e que ningu´ m tem interesse em utilizar o seu computador o e 1 ou que, entre os diversos computa- ` ´dores conectados a Internet, o seu dificilmente ser´ localizado. E justamente este tipo de pensamento a ´que e explorado pelos atacantes, pois, ao se sentir seguro, vocˆ pode achar que n˜ o precisa se prevenir. e a Esta ilus˜ o, infelizmente, costuma terminar quando os primeiros problemas comecam a acontecer. a ¸Muitas vezes os atacantes est˜ o interessados em conseguir acesso a grandes quantidades de compu- atadores, independente de quais s˜ o, e para isto, podem efetuar varreduras na rede e localizar grande a `parte dos computadores conectados a Internet, inclusive o seu. Um problema de seguranca em seu computador pode torn´ -lo indispon´vel e colocar em risco a ¸ a ıconfidencialidade e a integridade dos dados nele armazenados. Al´ m disto, ao ser comprometido, eseu computador pode ser usado para a pr´ tica de atividades maliciosas como, por exemplo, servir de areposit´ rio para dados fraudulentos, lancar ataques contra outros computadores (e assim esconder a o ¸ ¸˜real identidade e localizacao do atacante), propagar c´ digos maliciosos e disseminar spam. o Os principais riscos relacionados ao uso da Internet s˜ o detalhados nos Cap´tulos: Golpes na a ıInternet, Ataques na Internet, C´ digos maliciosos (Malware), Spam e Outros riscos. o ´ O primeiro passo para se prevenir dos riscos relacionados ao uso da Internet e estar ciente de que ´ ´ela n˜ o tem nada de “virtual”. Tudo o que ocorre ou e realizado por meio da Internet e real: os dados as˜ o reais e as empresas e pessoas com quem vocˆ interage s˜ o as mesmas que est˜ o fora dela. Desta a e a aforma, os riscos aos quais vocˆ est´ exposto ao us´ -la s˜ o os mesmos presentes no seu dia a dia e os e a a a a a `golpes que s˜ o aplicados por meio dela s˜ o similares aqueles que ocorrem na rua ou por telefone. ´ E preciso, portanto, que vocˆ leve para a Internet os mesmos cuidados e as mesmas preocupacoes e ¸˜que vocˆ tem no seu dia a dia, como por exemplo: visitar apenas lojas confi´ veis, n˜ o deixar p´ blicos e a a udados sens´veis, ficar atento quando “for ao banco” ou “fizer compras”, n˜ o passar informacoes a ı a ¸˜estranhos, n˜ o deixar a porta da sua casa aberta, etc. a ´ Para tentar reduzir os riscos e se proteger e importante que vocˆ adote uma postura preventiva e e ¸˜ ¸ a `que a atencao com a seguranca seja um h´ bito incorporado a sua rotina, independente de quest˜ es ocomo local, tecnologia ou meio utilizado. Para ajud´ -lo nisto, h´ diversos mecanismos de seguranca a a ¸que vocˆ pode usar e que s˜ o detalhados nos Cap´tulos: Mecanismos de seguranca, Contas e senhas e e a ı ¸Criptografia. Outros cuidados, relativos ao uso da Internet, como aqueles que vocˆ deve tomar para manter a esua privacidade e ao utilizar redes e dispositivos m´ veis, s˜ o detalhados nos demais Cap´tulos: Uso o a ıseguro da Internet, Privacidade, Seguranca de computadores, Seguranca de redes e Seguranca em ¸ ¸ ¸dispositivos m´ veis. o 1 Nesta Cartilha a palavra “computador” ser´ usada para se referir a todos os dispositivos computacionais pass´veis de a ı a ¸˜invas˜ o e/ou de infeccao por c´ digos maliciosos, como computadores e dispositivos m´ veis. o o
  • 2. Golpes na Internet a ´ Normalmente, n˜ o e uma tarefa simples atacar e fraudar dados em um servidor de uma institui-¸˜ a e ¸ ¸˜cao banc´ ria ou comercial e, por este motivo, golpistas vˆ m concentrando esforcos na exploracao defragilidades dos usu´ rios. Utilizando t´ cnicas de engenharia social e por diferentes meios e discursos, a e ı ¸˜os golpistas procuram enganar e persuadir as potenciais v´timas a fornecerem informacoes sens´veis ı ¸˜ou a realizarem acoes, como executar c´ digos maliciosos e acessar p´ ginas falsas. o a ¸˜ De posse dos dados das v´timas, os golpistas costumam efetuar transacoes financeiras, acessar ısites, enviar mensagens eletrˆ nicas, abrir empresas fantasmas e criar contas banc´ rias ileg´timas, o a ıentre outras atividades maliciosas. Muitos dos golpes aplicados na Internet podem ser considerados crimes contra o patrimˆ nio, otipificados como estelionato. Dessa forma, o golpista pode ser considerado um estelionat´ rio. a o ¸˜ Nas pr´ ximas secoes s˜ o apresentados alguns dos principais golpes aplicados na Internet e alguns acuidados que vocˆ deve tomar para se proteger deles. e 5
  • 6 Cartilha de Seguranca para Internet ¸2.1 Furto de identidade (Identity theft) ´ O furto de identidade, ou identity theft, e o ato pelo qual uma pessoa tenta se passar por outra,atribuindo-se uma falsa identidade, com o objetivo de obter vantagens indevidas. Alguns casos defurto de identidade podem ser considerados como crime contra a f´ p´ blica, tipificados como falsa e uidentidade. No seu dia a dia, sua identidade pode ser furtada caso, por exemplo, algu´ m abra uma empresa ou euma conta banc´ ria usando seu nome e seus documentos. Na Internet isto tamb´ m pode ocorrer, caso a ealgu´ m crie um perfil em seu nome em uma rede social, acesse sua conta de e-mail e envie mensagens ese passando por vocˆ ou falsifique os campos de e-mail, fazendo parecer que ele foi enviado por vocˆ . e e ¸˜ Quanto mais informacoes vocˆ disponibiliza sobre a sua vida e rotina, mais f´ cil se torna para e aum golpista furtar a sua identidade, pois mais dados ele tem dispon´veis e mais convincente ele pode ı ¸˜ser. Al´ m disto, o golpista pode usar outros tipos de golpes e ataques para coletar informacoes sobre evocˆ , inclusive suas senhas, como c´ digos maliciosos (mais detalhes no Cap´tulo C´ digos maliciosos e o ı o ¸ ¸˜(Malware)), ataques de forca bruta e interceptacao de tr´ fego (mais detalhes no Cap´tulo Ataques na a ıInternet). Caso a sua identidade seja furtada, vocˆ poder´ arcar com consequˆ ncias como perdas financeiras, e a e ¸˜perda de reputacao e falta de cr´ dito. Al´ m disto, pode levar muito tempo e ser bastante desgastante e eat´ que vocˆ consiga reverter todos os problemas causados pelo impostor. e e ¸˜Prevencao: ´ A melhor forma de impedir que sua identidade seja furtada e evitar que o impostor tenha acesso `aos seus dados e as suas contas de usu´ rio (mais detalhes no Cap´tulo Privacidade). Al´ m disto, a ı e ´para evitar que suas senhas sejam obtidas e indevidamente usadas, e muito importante que vocˆ seja ecuidadoso, tanto ao us´ -las quanto ao elabor´ -las (mais detalhes no Cap´tulo Contas e senhas). a a ı ´ E necess´ rio tamb´ m que vocˆ fique atento a alguns ind´cios que podem demonstrar que sua a e e ıidentidade est´ sendo indevidamente usada por golpistas, tais como: a • vocˆ comeca a ter problemas com org˜ os de protecao de cr´ dito; e ¸ ´ a ¸˜ e • vocˆ recebe o retorno de e-mails que n˜ o foram enviados por vocˆ ; e a e • vocˆ verifica nas notificacoes de acesso que a sua conta de e-mail ou seu perfil na rede social e ¸˜ foi acessado em hor´ rios ou locais em que vocˆ pr´ prio n˜ o estava acessando; a e o a • ao analisar o extrato da sua conta banc´ ria ou do seu cart˜ o de cr´ dito vocˆ percebe transacoes a a e e ¸˜ que n˜ o foram realizadas por vocˆ ; a e • vocˆ recebe ligacoes telefˆ nicas, correspondˆ ncias e e-mails se referindo a assuntos sobre os e ¸˜ o e quais vocˆ n˜ o sabe nada a respeito, como uma conta banc´ ria que n˜ o lhe pertence e uma e a a a compra n˜ o realizada por vocˆ . a e
  • 2. Golpes na Internet 72.2 ¸˜ Fraude de antecipacao de recursos (Advance fee fraud) ¸˜ ´ A fraude de antecipacao de recursos, ou advance fee fraud, e aquela na qual um golpista procura ¸˜induzir uma pessoa a fornecer informacoes confidenciais ou a realizar um pagamento adiantado, coma promessa de futuramente receber algum tipo de benef´cio. ı Por meio do recebimento de mensagens eletrˆ nicas ou do acesso a sites fraudulentos, a pessoa o´ ¸˜e envolvida em alguma situacao ou hist´ ria mirabolante, que justifique a necessidade de envio de o ¸˜ ¸˜ ¸˜informacoes pessoais ou a realizacao de algum pagamento adiantado, para a obtencao de um benef´- ıcio futuro. Ap´ s fornecer os recursos solicitados a pessoa percebe que o tal benef´cio prometido n˜ o o ı aexiste, constata que foi v´tima de um golpe e que seus dados/dinheiro est˜ o em posse de golpistas. ı a O Golpe da Nig´ ria (Nigerian 4-1-9 Scam1 ) e um dos tipos de fraude de antecipacao de recursos e ´ ¸˜ ´mais conhecidos e e aplicado, geralmente, da seguinte forma: e o e ¸˜ a. Vocˆ recebe uma mensagem eletrˆ nica em nome de algu´ m ou de alguma instituicao dizendo- ´ se ser da Nig´ ria, na qual e solicitado que vocˆ atue como intermedi´ rio em uma transferˆ ncia e e a e internacional de fundos; ´ ¸˜ b. o valor citado na mensagem e absurdamente alto e, caso vocˆ aceite intermediar a transacao, e recebe a promessa de futuramente ser recompensado com uma porcentagem deste valor; ¸˜ c. o motivo, descrito na mensagem, pelo qual vocˆ foi selecionado para participar da transacao e ´ ¸˜ geralmente e a indicacao de algum funcion´ rio ou amigo que o apontou como sendo uma pessoa a honesta, confi´ vel e merecedora do tal benef´cio; a ı d. a mensagem deixa claro que se trata de uma transferˆ ncia ilegal e, por isto, solicita sigilo e absoluto e urgˆ ncia na resposta, caso contr´ rio, a pessoa procurar´ por outro parceiro e vocˆ e a a e perder´ a oportunidade; a e. ap´ s responder a mensagem e aceitar a proposta, os golpistas solicitam que vocˆ pague anteci- o e padamente uma quantia bem elevada (por´ m bem inferior ao total que lhe foi prometido) para e arcar com custos, como advogados e taxas de transferˆ ncia de fundos; e e´ f. ap´ s informar os dados e efetivar o pagamento solicitado, vocˆ e informado que necessita rea- o lizar novos pagamentos ou perde o contato com os golpistas; g. finalmente, vocˆ percebe que, al´ m de perder todo o dinheiro investido, nunca ver´ a quantia e e a prometida como recompensa e que seus dados podem estar sendo indevidamente usados. Apesar deste golpe ter ficado conhecido como sendo da Nig´ ria, j´ foram registrados diversos e acasos semelhantes, originados ou que mencionavam outros pa´ses, geralmente de regi˜ es pobres ou ı oque estejam passando por conflitos pol´ticos, econˆ micos ou raciais. ı o ¸˜ ¸˜ A fraude de antecipacao de recursos possui diversas variacoes que, apesar de apresentarem dife-rentes discursos, assemelham-se pela forma como s˜ o aplicadas e pelos danos causados. Algumas a ¸˜destas variacoes s˜ o: a 1O u ` ¸˜ n´ mero 419 refere-se a secao do C´ digo Penal da Nig´ ria equivalente ao artigo 171 do C´ digo Penal Brasileiro, o e oou seja, estelionato.
  • 8 Cartilha de Seguranca para Internet ¸Loteria internacional: vocˆ recebe um e-mail informando que foi sorteado em uma loteria interna- e cional, mas que para receber o prˆ mio a que tem direito, precisa fornecer seus dados pessoais e e ¸˜ informacoes sobre a sua conta banc´ ria. aCr´ dito f´ cil: vocˆ recebe um e-mail contendo uma oferta de empr´ stimo ou financiamento com e a e e ` taxas de juros muito inferiores as praticadas no mercado. Ap´ s o seu cr´ dito ser supostamente o e e´ aprovado vocˆ e informado que necessita efetuar um dep´ sito banc´ rio para o ressarcimento o a das despesas. ¸˜Doacao de animais: vocˆ deseja adquirir um animal de uma raca bastante cara e, ao pesquisar por e ¸ ı a ¸˜ poss´veis vendedores, descobre que h´ sites oferecendo estes animais para doacao. Ap´ s entrar o ´ em contato, e solicitado que vocˆ envie dinheiro para despesas de transporte. eOferta de emprego: vocˆ recebe uma mensagem em seu celular contendo uma proposta tentadora e ¸˜ ´ de emprego. Para efetivar a contratacao, no entanto, e necess´ rio que vocˆ informe detalhes de a e sua conta banc´ ria. aNoiva russa: algu´ m deixa um recado em sua rede social contendo insinuacoes sobre um poss´vel e ¸˜ ı relacionamento amoroso entre vocˆ s. Esta pessoa mora em outro pa´s, geralmente a R´ ssia, e e ı u ap´ s alguns contatos iniciais sugere que vocˆ s se encontrem pessoalmente, mas, para que ela o e possa vir at´ o seu pa´s, necessita ajuda financeira para as despesas de viagem. e ı ¸˜Prevencao: ´ A melhor forma de se prevenir e identificar as mensagens contendo tentativas de golpes. Umamensagem deste tipo, geralmente, possui caracter´sticas como: ı • oferece quantias astronˆ micas de dinheiro; o • solicita sigilo nas transacoes; ¸˜ • solicita que vocˆ a responda rapidamente; e • apresenta palavras como “urgente” e “confidencial” no campo de assunto; • apresenta erros gramaticais e de ortografia (muitas mensagens s˜ o escritas por meio do uso de a ¸˜ programas tradutores e podem apresentar erros de traducao e de concordˆ ncia). a Al´ m disto, adotar uma postura preventiva pode, muitas vezes, evitar que vocˆ seja v´tima de e e ı ´golpes. Por isto, e muito importante que vocˆ : e • questione-se por que justamente vocˆ , entre os in´ meros usu´ rios da Internet, foi escolhido para e u a receber o benef´cio proposto na mensagem e como chegaram at´ vocˆ ; ı e e • desconfie de situacoes onde e necess´ rio efetuar algum pagamento com a promessa de futura- ¸˜ ´ a mente receber um valor maior (pense que, em muitos casos, as despesas poderiam ser descon- tadas do valor total). ´ Aplicar a sabedoria popular de ditados como “Quando a esmola e demais, o santo desconfia” ou“Tudo que vem f´ cil, vai f´ cil”, tamb´ m pode ajud´ -lo nesses casos. a a e a Vale alertar que mensagens deste tipo nunca devem ser respondidas, pois isto pode servir para ´ a ¸˜confirmar que o seu endereco de e-mail e v´ lido. Esta informacao pode ser usada, por exemplo, para ¸inclu´-lo em listas de spam ou de poss´veis v´timas em outros tipos de golpes. ı ı ı
  • 2. Golpes na Internet 92.3 Phishing Phishing2 , phishing-scam ou phishing/scam, e o tipo de ´fraude por meio da qual um golpista tenta obter dados pessoais ¸˜e financeiros de um usu´ rio, pela utilizacao combinada de meios at´ cnicos e engenharia social. e O phishing ocorre por meio do envio de mensagens eletrˆ nicas que: o • tentam se passar pela comunicacao oficial de uma instituicao conhecida, como um banco, uma ¸˜ ¸˜ empresa ou um site popular; • procuram atrair a atencao do usu´ rio, seja por curiosidade, por caridade ou pela possibilidade ¸˜ a de obter alguma vantagem financeira; • informam que a n˜ o execucao dos procedimentos descritos pode acarretar s´ rias consequˆ ncias, a ¸˜ e e ¸˜ ¸˜ como a inscricao em servicos de protecao de cr´ dito e o cancelamento de um cadastro, de uma ¸ e conta banc´ ria ou de um cart˜ o de cr´ dito; a a e • tentam induzir o usu´ rio a fornecer dados pessoais e financeiros, por meio do acesso a p´ ginas a a ¸˜ ¸˜ falsas, que tentam se passar pela p´ gina oficial da instituicao; da instalacao de c´ digos malicio- a o ¸˜ sos, projetados para coletar informacoes sens´veis; e do preenchimento de formul´ rios contidos ı a na mensagem ou em p´ ginas Web. a ¸˜ Para atrair a atencao do usu´ rio as mensagens apresentam diferentes t´ picos e temas, normalmente a oexplorando campanhas de publicidade, servicos, a imagem de pessoas e assuntos em destaque no ¸momento, como exemplificado na Tabela 2.13 . Exemplos de situacoes envolvendo phishing s˜ o: ¸˜ aP´ ginas falsas de com´ rcio eletrˆ nico ou Internet Banking: vocˆ recebe um e-mail, em nome de a e o e e o ¸˜ um site de com´ rcio eletrˆ nico ou de uma instituicao financeira, que tenta induzi-lo a clicar em e´ um link. Ao fazer isto, vocˆ e direcionado para uma p´ gina Web falsa, semelhante ao site que a vocˆ realmente deseja acessar, onde s˜ o solicitados os seus dados pessoais e financeiros. e aP´ ginas falsas de redes sociais ou de companhias a´ reas: vocˆ recebe uma mensagem contendo a e e um link para o site da rede social ou da companhia a´ rea que vocˆ utiliza. Ao clicar, vocˆ e e e ´ ´ e direcionado para uma p´ gina Web falsa onde e solicitado o seu nome de usu´ rio e a sua se- a a nha que, ao serem fornecidos, ser˜ o enviados aos golpistas que passar˜ o a ter acesso ao site e a a a ¸˜ poder˜ o efetuar acoes em seu nome, como enviar mensagens ou emitir passagens a´ reas. eMensagens contendo formul´ rios: vocˆ recebe uma mensagem eletrˆ nica contendo um formul´ - a e o a ¸˜ rio com campos para a digitacao de dados pessoais e financeiros. A mensagem solicita que e a a ¸˜ vocˆ preencha o formul´ rio e apresenta um bot˜ o para confirmar o envio das informacoes. Ao preencher os campos e confirmar o envio, seus dados s˜ o transmitidos para os golpistas. aMensagens contendo links para c´ digos maliciosos: vocˆ recebe um e-mail que tenta induzi-lo a o e ´ clicar em um link, para baixar e abrir/executar um arquivo. Ao clicar, e apresentada uma men- sagem de erro ou uma janela pedindo que vocˆ salve o arquivo. Ap´ s salvo, quando vocˆ e o e abri-lo/execut´ -lo, ser´ instalado um c´ digo malicioso em seu computador. a a o 2A palavra phishing, do inglˆ s “fishing”, vem de uma analogia criada pelos fraudadores, onde “iscas” (mensagens eeletrˆ nicas) s˜ o usadas para “pescar” senhas e dados financeiros de usu´ rios da Internet. o a a 3 Esta lista n˜ o e exaustiva e nem se aplica a todos os casos, pois ela pode variar conforme o destaque do momento. a ´
  • 10 Cartilha de Seguranca para Internet ¸ ¸˜Solicitacao de recadastramento: vocˆ recebe uma mensagem, supostamente enviada pelo grupo de e ¸˜ suporte da instituicao de ensino que frequenta ou da empresa em que trabalha, informando que ¸ a ¸˜ ´ o servico de e-mail est´ passando por manutencao e que e necess´ rio o recadastramento. Para a ´ isto, e preciso que vocˆ forneca seus dados pessoais, como nome de usu´ rio e senha. e ¸ a T´ pico o Tema da mensagem ´ Albuns de fotos e v´deos ı pessoa supostamente conhecida, celebridades algum fato noticiado em jornais, revistas ou televis˜ o a ¸˜ traicao, nudez ou pornografia, servico de acompanhantes ¸ Antiv´rus ı ¸˜ ¸˜ atualizacao de vacinas, eliminacao de v´rus ı lancamento de nova vers˜ o ou de novas funcionalidades ¸ a ¸˜ Associacoes assistenciais AACD Teleton, Click Fome, Crianca Esperanca¸ ¸ Avisos judiciais intimaca¸ ˜ o para participacao em audiˆ ncia ¸ ˜ e comunicado de protesto, ordem de despejo Cart˜ es de cr´ dito o e programa de fidelidade, promocao ¸˜ Cart˜ es virtuais o UOL, Voxcards, Yahoo! Cart˜ es, O Carteiro, Emotioncard o Com´ rcio eletrˆ nico e o ¸˜ cobranca de d´ bitos, confirmacao de compra ¸ e ¸˜ ¸˜ atualizacao de cadastro, devolucao de produtos oferta em site de compras coletivas Companhias a´ reas e ¸˜ promocao, programa de milhagem ¸˜ Eleicoes ¸˜ t´tulo eleitoral cancelado, convocacao para mes´ rio ı a Empregos ¸˜ cadastro e atualizacao de curr´culos, processo seletivo em aberto ı Imposto de renda ¸˜ nova vers˜ o ou correcao de programa a ¸˜ consulta de restituicao, problema nos dados da declaracao ¸˜ Internet Banking ¸˜ unificacao de bancos e contas, suspens˜ o de acesso a ¸˜ atualizacao de cadastro e de cart˜ o de senhas a ¸ ¸˜ lancamento ou atualizacao de m´ dulo de seguranca o ¸ comprovante de transferˆ ncia e dep´ sito, cadastramento de computador e o ¸˜ Multas e infracoes de trˆ nsito a aviso de recebimento, recurso, transferˆ ncia de pontos e M´ sicas u ¸˜ cancao dedicada por amigos Not´cias e boatos ı fato amplamente noticiado, ataque terrorista, trag´ dia natural e Prˆ mios e ¸˜ loteria, instituicao financeira Programas em geral lancamento de nova vers˜ o ou de novas funcionalidades ¸ a Promocoes¸˜ vale-compra, assinatura de jornal e revista ¸˜ desconto elevado, preco muito reduzido, distribuicao gratuita ¸ Propagandas produto, curso, treinamento, concurso Reality shows Big Brother Brasil, A Fazenda, ´ Idolos Redes sociais ¸˜ notificacao pendente, convite para participacao ¸˜ aviso sobre foto marcada, permiss˜ o para divulgacao de foto a ¸˜ Servicos de Correios ¸ recebimento de telegrama online Servicos de e-mail ¸ ¸˜ recadastramento, caixa postal lotada, atualizacao de banco de dados ¸ ¸˜ e ¸˜ e ¸˜ Servicos de protecao de cr´ dito regularizacao de d´ bitos, restricao ou pendˆ ncia financeira e Servicos de telefonia ¸ recebimento de mensagem, pendˆ ncia de d´ bito e e bloqueio de servicos, detalhamento de fatura, cr´ ditos gratuitos ¸ e Sites com dicas de seguranca¸ aviso de conta de e-mail sendo usada para envio de spam (Antispam.br) cartilha de seguranca (CERT.br, FEBRABAN, Abranet, etc.) ¸ ¸˜ Solicitacoes ¸˜ orcamento, documento, relat´ rio, cotacao de precos, lista de produtos ¸ o ¸ Tabela 2.1: Exemplos de t´ picos e temas de mensagens de phishing. o
  • 2. Golpes na Internet 11 ¸˜Prevencao: • fique atento a mensagens, recebidas em nome de alguma instituicao, que tentem induzi-lo a ¸˜ ¸˜ fornecer informacoes, instalar/executar programas ou clicar em links; • questione-se por que instituicoes com as quais vocˆ n˜ o tem contato est˜ o lhe enviando men- ¸˜ e a a ¸˜ sagens, como se houvesse alguma relacao pr´ via entre vocˆ s (por exemplo, se vocˆ n˜ o tem e e e a conta em um determinado banco, n˜ o h´ porque recadastrar dados ou atualizar m´ dulos de a a o seguranca); ¸ • fique atento a mensagens que apelem demasiadamente pela sua atencao e que, de alguma forma, ¸˜ o ameacem caso vocˆ n˜ o execute os procedimentos descritos; e a • n˜ o considere que uma mensagem e confi´ vel com base na confianca que vocˆ deposita em seu a ´ a ¸ e remetente, pois ela pode ter sido enviada de contas invadidas, de perfis falsos ou pode ter sido ¸˜ forjada (mais detalhes na Secao 3.3 do Cap´tulo Ataques na Internet); ı • seja cuidadoso ao acessar links. Procure digitar o endereco diretamente no navegador Web; ¸ • verifique o link apresentado na mensagem. Golpistas costumam usar t´ cnicas para ofuscar o e ´ link real para o phishing. Ao posicionar o mouse sobre o link, muitas vezes e poss´vel ver o ı endereco real da p´ gina falsa ou c´ digo malicioso; ¸ a o • utilize mecanismos de seguranca, como programas antimalware, firewall pessoal e filtros an- ¸ tiphishing (mais detalhes no Cap´tulo Mecanismos de seguranca); ı ¸ • verifique se a p´ gina utiliza conex˜ o segura. Sites de com´ rcio eletrˆ nico ou Internet Bank- a a e o ing confi´ veis sempre utilizam conex˜ es seguras quando dados sens´veis s˜ o solicitados (mais a o ı a ¸˜ detalhes na Secao 10.1.1 do Cap´tulo Uso seguro da Internet); ı • verifique as informacoes mostradas no certificado. Caso a p´ gina falsa utilize conex˜ o segura, ¸˜ a a um novo certificado ser´ apresentado e, possivelmente, o endereco mostrado no navegador Web a ¸ a ¸ ¸˜ ser´ diferente do endereco correspondente ao site verdadeiro (mais detalhes na Secao 10.1.2 do Cap´tulo Uso seguro da Internet); ı • acesse a p´ gina da instituicao que supostamente enviou a mensagem e procure por informacoes a ¸˜ ¸˜ (vocˆ vai observar que n˜ o faz parte da pol´tica da maioria das empresas o envio de mensagens, e a ı de forma indiscriminada, para os seus usu´ rios). a2.3.1 Pharming ´ ¸˜ ¸˜ Pharming e um tipo espec´fico de phishing que envolve a redirecao da navegacao do usu´ rio para ı asites falsos, por meio de alteracoes no servico de DNS (Domain Name System). Neste caso, quando ¸˜ ¸ e ı ´vocˆ tenta acessar um site leg´timo, o seu navegador Web e redirecionado, de forma transparente, para ¸˜uma p´ gina falsa. Esta redirecao pode ocorrer: a • por meio do comprometimento do servidor de DNS do provedor que vocˆ utiliza; e • pela acao de c´ digos maliciosos projetados para alterar o comportamento do servico de DNS ¸˜ o ¸ do seu computador;
  • 12 Cartilha de Seguranca para Internet ¸ • pela acao direta de um invasor, que venha a ter acesso as configuracoes do servico de DNS do ¸˜ ` ¸˜ ¸ seu computador ou modem de banda larga. ¸˜Prevencao: • desconfie se, ao digitar uma URL, for redirecionado para outro site, o qual tenta realizar alguma ¸˜ acao suspeita, como abrir um arquivo ou tentar instalar um programa; • desconfie imediatamente caso o site de com´ rcio eletrˆ nico ou Internet Banking que vocˆ est´ e o e a acessando n˜ o utilize conex˜ o segura. Sites confi´ veis de com´ rcio eletrˆ nico e Internet Bank- a a a e o ing sempre usam conex˜ es seguras quando dados pessoais e financeiros s˜ o solicitados (mais o a ¸˜ detalhes na Secao 10.1.1 do Cap´tulo Uso seguro da Internet); ı • observe se o certificado apresentado corresponde ao do site verdadeiro (mais detalhes na Se- ¸˜ cao 10.1.2 do Cap´tulo Uso seguro da Internet). ı2.4 Golpes de com´ rcio eletrˆ nico e o Golpes de com´ rcio eletrˆ nico s˜ o aqueles nos quais golpistas, com o objetivo de obter vantagens e o a ¸˜financeiras, exploram a relacao de confianca existente entre as partes envolvidas em uma transacao ¸ ¸˜ a o ¸˜comercial. Alguns destes golpes s˜ o apresentados nas pr´ ximas secoes.2.4.1 Golpe do site de com´ rcio eletrˆ nico fraudulento e o Neste golpe, o golpista cria um site fraudulento, com o objetivo espec´fico de enganar os poss´veis ı ıclientes que, ap´ s efetuarem os pagamentos, n˜ o recebem as mercadorias. o a Para aumentar as chances de sucesso, o golpista costuma utilizar artif´cios como: enviar spam, ıfazer propaganda via links patrocinados, anunciar descontos em sites de compras coletivas e ofertarprodutos muito procurados e com precos abaixo dos praticados pelo mercado. ¸ Al´ m do comprador, que paga mas n˜ o recebe a mercadoria, este tipo de golpe pode ter outras e av´timas, como: ı • uma empresa s´ ria, cujo nome tenha sido vinculado ao golpe; e • um site de compras coletivas, caso ele tenha intermediado a compra; • uma pessoa, cuja identidade tenha sido usada para a criacao do site ou para abertura de empresas ¸˜ fantasmas. ¸˜Prevencao: • faca uma pesquisa de mercado, comparando o preco do produto exposto no site com os valores ¸ ¸ obtidos na pesquisa e desconfie caso ele seja muito abaixo dos praticados pelo mercado;
  • 2. Golpes na Internet 13 • pesquise na Internet sobre o site, antes de efetuar a compra, para ver a opini˜ o de outros clientes; a • acesse sites especializados em tratar reclamacoes de consumidores insatisfeitos, para verificar ¸˜ ¸˜ se h´ reclamacoes referentes a esta empresa; a • fique atento a propagandas recebidas atrav´ s de spam (mais detalhes no Cap´tulo Spam); e ı • seja cuidadoso ao acessar links patrocinados (mais detalhes na Secao 6.5 do Cap´tulo Outros ¸˜ ı riscos); • procure validar os dados de cadastro da empresa no site da Receita Federal4 ; • n˜ o informe dados de pagamento caso o site n˜ o ofereca conex˜ o segura ou n˜ o apresente um a a ¸ a a a ¸˜ certificado confi´ vel (mais detalhes na Secao 10.1 do Cap´tulo Uso seguro da Internet). ı2.4.2 Golpe envolvendo sites de compras coletivas Sites de compras coletivas tˆ m sido muito usados em golpes de sites de com´ rcio eletrˆ nico frau- e e o ¸˜ ` ¸˜dulentos, como descrito na Secao 2.4.1. Al´ m dos riscos inerentes as relacoes comerciais cotidianas, eos sites de compras coletivas tamb´ m apresentam riscos pr´ prios, gerados principalmente pela press˜ o e o aimposta ao consumidor em tomar decis˜ es r´ pidas pois, caso contr´ rio, podem perder a oportunidade o a ade compra. Golpistas criam sites fraudulentos e os utilizam para anunciar produtos nos sites de compras co-letivas e, assim, conseguir grande quantidade de v´timas em um curto intervalo de tempo. ı Al´ m disto, sites de compras coletivas tamb´ m podem ser usados como tema de mensagens de e ephishing. Golpistas costumam mandar mensagens como se tivessem sido enviadas pelo site verda-deiro e, desta forma, tentam induzir o usu´ rio a acessar uma p´ gina falsa e a fornecer dados pessoais, a acomo n´ mero de cart˜ o de cr´ dito e senhas. u a e ¸˜Prevencao: • procure n˜ o comprar por impulso apenas para garantir o produto ofertado; a • seja cauteloso e faca pesquisas pr´ vias, pois h´ casos de produtos anunciados com desconto, ¸ e a mas que na verdade, apresentam valores superiores aos de mercado; • pesquise na Internet sobre o site de compras coletivas, antes de efetuar a compra, para ver a opini˜ o de outros clientes e observar se foi satisfat´ ria a forma como os poss´veis problemas a o ı foram resolvidos; • siga as dicas apresentadas na Secao 2.3 para se prevenir de golpes envolvendo phishing; ¸˜ • siga as dicas apresentadas na Secao 2.4.1 para se prevenir de golpes envolvendo sites de com´ r- ¸˜ e cio eletrˆ nico fraudulento. o 4 http://www.receita.fazenda.gov.br/.
  • 14 Cartilha de Seguranca para Internet ¸2.4.3 Golpe do site de leil˜ o e venda de produtos a ´ O golpe do site de leil˜ o e venda de produtos e aquele, por meio do qual, um comprador ou a a e a ¸˜vendedor age de m´ -f´ e n˜ o cumpre com as obrigacoes acordadas ou utiliza os dados pessoais e ¸˜financeiros envolvidos na transacao comercial para outros fins. Por exemplo: • o comprador tenta receber a mercadoria sem realizar o pagamento ou o realiza por meio de transferˆ ncia efetuada de uma conta banc´ ria ileg´tima ou furtada; e a ı • o vendedor tenta receber o pagamento sem efetuar a entrega da mercadoria ou a entrega dani- ficada, falsificada, com caracter´sticas diferentes do anunciado ou adquirida de forma il´cita e ı ı criminosa (por exemplo, proveniente de contrabando ou de roubo de carga); • o comprador ou o vendedor envia e-mails falsos, em nome do sistema de gerenciamento de ¸˜ pagamentos, como forma de comprovar a realizacao do pagamento ou o envio da mercadoria que, na realidade, n˜ o foi feito. a ¸˜Prevencao: • faca uma pesquisa de mercado, comparando o preco do produto com os valores obtidos na ¸ ¸ pesquisa e desconfie caso ele seja muito abaixo dos praticados pelo mercado; • marque encontros em locais p´ blicos caso a entrega dos produtos seja feita pessoalmente; u • acesse sites especializados em tratar reclamacoes de consumidores insatisfeitos e que os coloca ¸˜ em contato com os respons´ veis pela venda (vocˆ pode avaliar se a forma como o problema foi a e resolvido foi satisfat´ ria ou n˜ o); o a • utilize sistemas de gerenciamento de pagamentos pois, al´ m de dificultarem a aplicacao dos e ¸˜ golpes, impedem que seus dados pessoais e financeiros sejam enviados aos golpistas; • procure confirmar a realizacao de um pagamento diretamente em sua conta banc´ ria ou pelo ¸˜ a site do sistema de gerenciamento de pagamentos (n˜ o confie apenas em e-mails recebidos, pois a eles podem ser falsos); • verifique a reputacao do usu´ rio5 (muitos sites possuem sistemas que medem a reputacao ¸˜ a ¸˜ de compradores e vendedores, por meio da opini˜ o de pessoas que j´ negociaram com este a a usu´ rio); a • acesse os sites, tanto do sistema de gerenciamento de pagamentos como o respons´ vel pelas a vendas, diretamente do navegador, sem clicar em links recebidos em mensagens; • mesmo que o vendedor lhe envie o c´ digo de rastreamento fornecido pelos Correios, n˜ o utilize o a ¸˜ esta informacao para comprovar o envio e liberar o pagamento (at´ que vocˆ tenha a mercadoria e e a a a ´ em m˜ os n˜ o h´ nenhuma garantia de que o que foi enviado e realmente o que foi solicitado). 5 As ¸˜ ¸˜ ¸˜ informacoes dos sistemas de reputacao, apesar de auxiliarem na selecao de usu´ rios, n˜ o devem ser usadas como a a´ ¸˜ ¸˜unica medida de prevencao, pois contas com reputacao alta s˜ o bastante visadas para golpes de phishing. a
  • 2. Golpes na Internet 152.5 Boato (Hoax) ´ Um boato, ou hoax, e uma mensagem quepossui conte´ do alarmante ou falso e que, ugeralmente, tem como remetente, ou aponta ¸˜como autora, alguma instituicao, empresa im- ´ aportante ou org˜ o governamental. Por meio de uma leitura minuciosa de seu conte´ do, normalmente, u´ ¸˜e poss´vel identificar informacoes sem sentido e tentativas de golpes, como correntes e pirˆ mides. ı a Boatos podem trazer diversos problemas, tanto para aqueles que os recebem e os distribuem, comopara aqueles que s˜ o citados em seus conte´ dos. Entre estes diversos problemas, um boato pode: a u • conter c´ digos maliciosos; o • espalhar desinformacao pela Internet; ¸˜ • ocupar, desnecessariamente, espaco nas caixas de e-mails dos usu´ rios; ¸ a • comprometer a credibilidade e a reputacao de pessoas ou entidades referenciadas na mensagem; ¸˜ • comprometer a credibilidade e a reputacao da pessoa que o repassa pois, ao fazer isto, esta ¸˜ pessoa estar´ supostamente endossando ou concordando com o conte´ do da mensagem; a u • aumentar excessivamente a carga de servidores de e-mail e o consumo de banda de rede, ne- cess´ rios para a transmiss˜ o e o processamento das mensagens; a a • indicar, no conte´ do da mensagem, acoes a serem realizadas e que, se forem efetivadas, podem u ¸˜ resultar em s´ rios danos, como apagar um arquivo que supostamente cont´ m um c´ digo mali- e e o ´ cioso, mas que na verdade e parte importante do sistema operacional instalado no computador. ¸˜Prevencao: Normalmente, os boatos se propagam pela boa vontade e solidariedade de quem os recebe, poish´ uma grande tendˆ ncia das pessoas em confiar no remetente, n˜ o verificar a procedˆ ncia e n˜ o a e a e a u e ¸˜conferir a veracidade do conte´ do da mensagem. Para que vocˆ possa evitar a distribuicao de boatos´e muito importante conferir a procedˆ ncia dos e-mails e, mesmo que tenham como remetente algu´ m e e ´ a ´conhecido, e preciso certificar-se de que a mensagem n˜ o e um boato. Um boato, geralmente, apresenta pelo menos uma das seguintes caracter´sticas6 : ı • afirma n˜ o ser um boato; a • sugere consequˆ ncias tr´ gicas caso uma determinada tarefa n˜ o seja realizada; e a a • promete ganhos financeiros ou prˆ mios mediante a realizacao de alguma acao; e ¸˜ ¸˜ • apresenta erros gramaticais e de ortografia; • apresenta informacoes contradit´ rias; ¸˜ o 6 Estas caracter´sticas devem ser usadas apenas como guia, pois podem existir boatos que n˜ o apresentem nenhuma ı adelas, assim como podem haver mensagens leg´timas que apresentem algumas. ı
  • 16 Cartilha de Seguranca para Internet ¸ • enfatiza que ele deve ser repassado rapidamente para o maior n´ mero de pessoas; u • j´ foi repassado diversas vezes (no corpo da mensagem, normalmente, e poss´vel observar ca- a ´ ı becalhos de e-mails repassados por outras pessoas). ¸ Al´ m disto, muitas vezes, uma pesquisa na Internet pelo assunto da mensagem pode ser suficiente e u a ´para localizar relatos e den´ ncias j´ feitas. E importante ressaltar que vocˆ nunca deve repassar eboatos pois, ao fazer isto, estar´ endossando ou concordando com o seu conte´ do. a u2.6 ¸˜ Prevencao Outras dicas gerais para se proteger de golpes aplicados na Internet s˜ o: aNotifique: caso identifique uma tentativa de golpe, e importante notificar a instituicao envolvida, ´ ¸˜ e ı ¸˜ para que ela possa tomar as providˆ ncias que julgar cab´veis (mais detalhes na Secao 7.2 do Cap´tulo Mecanismos de seguranca). ı ¸Mantenha-se informado: novas formas de golpes podem surgir, portanto e muito importante que ´ e ¸˜ vocˆ se mantenha informado. Algumas fontes de informacao que vocˆ pode consultar s˜ o: e a • secoes de inform´ tica de jornais de grande circulacao e de sites de not´cias que, normal- ¸˜ a ¸˜ ı mente, trazem mat´ rias ou avisos sobre os golpes mais recentes; e • sites de empresas mencionadas nas mensagens (algumas empresas colocam avisos em suas a ¸˜ p´ ginas quando percebem que o nome da instituicao est´ sendo indevidamente usado); a • sites especializados que divulgam listas contendo os golpes que est˜ o sendo aplicados e a seus respectivos conte´ dos. Alguns destes sites s˜ o: u a – Monitor das Fraudes http://www.fraudes.org/ (em portuguˆ s) e – Quatro Cantos http://www.quatrocantos.com/LENDAS/ (em portuguˆ s) e – Snopes.com - Urban Legends Reference Pages http://www.snopes.com/ (em inglˆ s) e – Symantec Security Response Hoaxes http://www.symantec.com/avcenter/hoax.html (em inglˆ s) e – TruthOrFiction.com http://www.truthorfiction.com/ (em inglˆ s)e – Urban Legends and Folklore http://urbanlegends.about.com/ (em inglˆ s)e
  • 3. Ataques na Internet Ataques costumam ocorrer na Internet com diversos objetivos, visando diferentes alvos e usandovariadas t´ cnicas. Qualquer servico, computador ou rede que seja acess´vel via Internet pode ser alvo e ¸ ı `de um ataque, assim como qualquer computador com acesso a Internet pode participar de um ataque. Os motivos que levam os atacantes a desferir ataques na Internet s˜ o bastante diversos, variando a ¸˜ ¸˜da simples divers˜ o at´ a realizacao de acoes criminosas. Alguns exemplos s˜ o: a e a ¸˜Demonstracao de poder: mostrar a uma empresa que ela pode ser invadida ou ter os servicos sus-¸ pensos e, assim, tentar vender servicos ou chantage´ -la para que o ataque n˜ o ocorra novamente. ¸ a aPrest´gio: vangloriar-se, perante outros atacantes, por ter conseguido invadir computadores, tornar ı servicos inacess´veis ou desfigurar sites considerados visados ou dif´ceis de serem atacados; ¸ ı ı disputar com outros atacantes ou grupos de atacantes para revelar quem consegue realizar o maior n´ mero de ataques ou ser o primeiro a conseguir atingir um determinado alvo. u ¸˜Motivacoes financeiras: coletar e utilizar informacoes confidenciais de usu´ rios para aplicar golpes ¸˜ a (mais detalhes no Cap´tulo Golpes na Internet). ı ¸˜Motivacoes ideol´ gicas: tornar inacess´vel ou invadir sites que divulguem conte´ do contr´ rio a opi- o ı u a ` ni˜ o do atacante; divulgar mensagens de apoio ou contr´ rias a uma determinada ideologia. a a 17
  • 18 Cartilha de Seguranca para Internet ¸ ¸˜Motivacoes comerciais: tornar inacess´vel ou invadir sites e computadores de empresas concorren- ı ¸˜ tes, para tentar impedir o acesso dos clientes ou comprometer a reputacao destas empresas. Para alcancar estes objetivos os atacantes costumam usar t´ cnicas, como as descritas nas pr´ ximas ¸ e o ¸˜secoes.3.1 ¸˜ Exploracao de vulnerabilidades ´ ¸˜ Uma vulnerabilidade e definida como uma condicao que, quando explorada por um atacante, ¸˜pode resultar em uma violacao de seguranca. Exemplos de vulnerabilidades s˜ o falhas no projeto, na ¸ a ¸˜ ¸˜implementacao ou na configuracao de programas, servicos ou equipamentos de rede. ¸ ¸˜ Um ataque de exploracao de vulnerabilidades ocorre quando um atacante, utilizando-se de uma ¸˜ ¸˜vulnerabilidade, tenta executar acoes maliciosas, como invadir um sistema, acessar informacoes con-fidenciais, disparar ataques contra outros computadores ou tornar um servico inacess´vel. ¸ ı3.2 Varredura em redes (Scan) Varredura em redes, ou scan1 , e uma t´ cnica que consiste em efetuar buscas minuciosas em re- ´ e ¸˜des, com o objetivo de identificar computadores ativos e coletar informacoes sobre eles como, por ¸˜exemplo, servicos disponibilizados e programas instalados. Com base nas informacoes coletadas e ¸ ´poss´vel associar poss´veis vulnerabilidades aos servicos disponibilizados e aos programas instalados ı ı ¸nos computadores ativos detectados. ¸˜ A varredura em redes e a exploracao de vulnerabilidades associadas podem ser usadas de forma:Leg´tima: por pessoas devidamente autorizadas, para verificar a seguranca de computadores e redes ı ¸ e, assim, tomar medidas corretivas e preventivas.Maliciosa: por atacantes, para explorar as vulnerabilidades encontradas nos servicos disponibili- ¸ ¸˜ zados e nos programas instalados para a execucao de atividades maliciosas. Os atacantes tamb´ m podem utilizar os computadores ativos detectados como potenciais alvos no processo e ¸˜ de propagacao autom´ tica de c´ digos maliciosos e em ataques de forca bruta (mais detalhes no a o ¸ ı o ¸˜ Cap´tulo C´ digos maliciosos (Malware) e na Secao 3.5, respectivamente).3.3 ¸˜ Falsificacao de e-mail (E-mail spoofing) ¸˜ ´ Falsificacao de e-mail, ou e-mail spoofing, e uma t´ cnica que consiste em alterar campos do ca- ebecalho de um e-mail, de forma a aparentar que ele foi enviado de uma determinada origem quando, ¸na verdade, foi enviado de outra. 1 N˜ o aconfunda scan com scam. Scams, com “m”, s˜ o esquemas para enganar um usu´ rio, geralmente, com finalidade a ade obter vantagens financeiras (mais detalhes no Cap´tulo Golpes na Internet). ı
  • 3. Ataques na Internet 19 Esta t´ cnica e poss´vel devido a caracter´sticas do protocolo SMTP (Simple Mail Transfer Proto- e ´ ı ıcol) que permitem que campos do cabecalho, como “From:” (endereco de quem enviou a mensagem), ¸ ¸“Reply-To” (endereco de resposta da mensagem) e “Return-Path” (endereco para onde poss´veis ¸ ¸ ıerros no envio da mensagem s˜ o reportados), sejam falsificados. a a ¸˜ Ataques deste tipo s˜ o bastante usados para propagacao de c´ digos maliciosos, envio de spam oe em golpes de phishing. Atacantes utilizam-se de enderecos de e-mail coletados de computadores ¸infectados para enviar mensagens e tentar fazer com que os seus destinat´ rios acreditem que elas apartiram de pessoas conhecidas. Exemplos de e-mails com campos falsificados s˜ o aqueles recebidos como sendo: a • de algu´ m conhecido, solicitando que vocˆ clique em um link ou execute um arquivo anexo; e e • do seu banco, solicitando que vocˆ siga um link fornecido na pr´ pria mensagem e informe e o dados da sua conta banc´ ria; a • do administrador do servico de e-mail que vocˆ utiliza, solicitando informacoes pessoais e ¸ e ¸˜ ameacando bloquear a sua conta caso vocˆ n˜ o as envie. ¸ e a e a ¸˜ Vocˆ tamb´ m pode j´ ter observado situacoes onde o seu pr´ prio endereco de e-mail foi indevida- e o ¸mente utilizado. Alguns ind´cios disto s˜ o: ı a • vocˆ recebe respostas de e-mails que vocˆ nunca enviou; e e • vocˆ recebe e-mails aparentemente enviados por vocˆ mesmo, sem que vocˆ tenha feito isto; e e e • vocˆ recebe mensagens de devolucao de e-mails que vocˆ nunca enviou, reportando erros como e ¸˜ e usu´ rio desconhecido e caixa de entrada lotada (cota excedida). a3.4 ¸˜ Interceptacao de tr´ fego (Sniffing) a ¸˜ ´ Interceptacao de tr´ fego, ou sniffing, e uma t´ cnica que consiste em inspecionar os dados trafega- a edos em redes de computadores, por meio do uso de programas espec´ficos chamados de sniffers. Esta ıt´ cnica pode ser utilizada de forma: eLeg´tima: por administradores de redes, para detectar problemas, analisar desempenho e monitorar ı atividades maliciosas relativas aos computadores ou redes por eles administrados.Maliciosa: por atacantes, para capturar informacoes sens´veis, como senhas, n´ meros de cart˜ o de ¸˜ ı u a cr´ dito e o conte´ do de arquivos confidenciais que estejam trafegando por meio de conex˜ es e u o inseguras, ou seja, sem criptografia. ¸˜ Note que as informacoes capturadas por esta t´ cnica s˜ o armazenadas na forma como trafegam, e a ¸˜ a ´ou seja, informacoes que trafegam criptografadas apenas ser˜ o uteis ao atacante se ele conseguirdecodific´ -las (mais detalhes no Cap´tulo Criptografia). a ı
  • 20 Cartilha de Seguranca para Internet ¸3.5 Forca bruta (Brute force) ¸ Um ataque de forca bruta, ou brute force, consiste em adivinhar, por tentativa e erro, um nome de ¸usu´ rio e senha e, assim, executar processos e acessar sites, computadores e servicos em nome e com a ¸os mesmos privil´ gios deste usu´ rio. e a Qualquer computador, equipamento de rede ou servico que seja acess´vel via Internet, com um ¸ ınome de usu´ rio e uma senha, pode ser alvo de um ataque de forca bruta. Dispositivos m´ veis, que a ¸ oestejam protegidos por senha, al´ m de poderem ser atacados pela rede, tamb´ m podem ser alvo deste e etipo de ataque caso o atacante tenha acesso f´sico a eles. ı ¸˜ Se um atacante tiver conhecimento do seu nome de usu´ rio e da sua senha ele pode efetuar acoes amaliciosas em seu nome como, por exemplo: • trocar a sua senha, dificultando que vocˆ acesse novamente o site ou computador invadido; e • invadir o servico de e-mail que vocˆ utiliza e ter acesso ao conte´ do das suas mensagens e a ¸ e u ` sua lista de contatos, al´ m de poder enviar mensagens em seu nome; e • acessar a sua rede social e enviar mensagens aos seus seguidores contendo c´ digos maliciosos o ¸˜ ou alterar as suas opcoes de privacidade; • invadir o seu computador e, de acordo com as permiss˜ es do seu usu´ rio, executar acoes, como o a ¸˜ ¸˜ apagar arquivos, obter informacoes confidenciais e instalar c´ digos maliciosos. o Mesmo que o atacante n˜ o consiga descobrir a sua senha, vocˆ pode ter problemas ao acessar a a esua conta caso ela tenha sofrido um ataque de forca bruta, pois muitos sistemas bloqueiam as contas ¸quando v´ rias tentativas de acesso sem sucesso s˜ o realizadas. a a Apesar dos ataques de forca bruta poderem ser realizados manualmente, na grande maioria dos ¸casos, eles s˜ o realizados com o uso de ferramentas automatizadas facilmente obtidas na Internet e aque permitem tornar o ataque bem mais efetivo. ¸˜ As tentativas de adivinhacao costumam ser baseadas em: • dicion´ rios de diferentes idiomas e que podem ser facilmente obtidos na Internet; a • listas de palavras comumente usadas, como personagens de filmes e nomes de times de futebol; • substituicoes obvias de caracteres, como trocar “a” por “@” e “o” por “0”’; ¸˜ ´ • sequˆ ncias num´ ricas e de teclado, como “123456”, “qwert” e “1qaz2wsx”; e e • informacoes pessoais, de conhecimento pr´ vio do atacante ou coletadas na Internet em redes ¸˜ e sociais e blogs, como nome, sobrenome, datas e n´ meros de documentos. u ´ Um ataque de forca bruta, dependendo de como e realizado, pode resultar em um ataque de ¸ ¸˜ `negacao de servico, devido a sobrecarga produzida pela grande quantidade de tentativas realizadas ¸em um pequeno per´odo de tempo (mais detalhes no Cap´tulo Contas e senhas). ı ı
  • 3. Ataques na Internet 213.6 ¸˜ Desfiguracao de p´ gina (Defacement) a ¸˜ a ¸˜ ´ Desfiguracao de p´ gina, defacement ou pichacao, e uma t´ cnica que consiste em alterar o conte´ do e uda p´ gina Web de um site. a As principais formas que um atacante, neste caso tamb´ m chamado de defacer, pode utilizar para edesfigurar uma p´ gina Web s˜ o: a a • explorar erros da aplicacao Web; ¸˜ • explorar vulnerabilidades do servidor de aplicacao Web; ¸˜ • explorar vulnerabilidades da linguagem de programacao ou dos pacotes utilizados no desenvol- ¸˜ ¸˜ vimento da aplicacao Web; • invadir o servidor onde a aplicacao Web est´ hospedada e alterar diretamente os arquivos que ¸˜ a comp˜ em o site; o • furtar senhas de acesso a interface Web usada para administracao remota. ` ¸˜ ¸˜ Para ganhar mais visibilidade, chamar mais atencao e atingir maior n´ mero de visitantes, geral- umente, os atacantes alteram a p´ gina principal do site, por´ m p´ ginas internas tamb´ m podem ser a e a ealteradas.3.7 ¸˜ Negacao de servico (DoS e DDoS) ¸ Negacao de servico, ou DoS (Denial of Service), e uma t´ cnica pela qual um atacante utiliza um ¸˜ ¸ ´ ecomputador para tirar de operacao um servico, um computador ou uma rede conectada a Internet. ¸˜ ¸ `Quando utilizada de forma coordenada e distribu´da, ou seja, quando um conjunto de computadores ıe utilizado no ataque, recebe o nome de negacao de servico distribu´do, ou DDoS (Distributed Denial´ ¸˜ ¸ ıof Service). a ´ ¸˜ O objetivo destes ataques n˜ o e invadir e nem coletar informacoes, mas sim exaurir recursos ecausar indisponibilidades ao alvo. Quando isto ocorre, todas as pessoas que dependem dos recursos ¸˜afetados s˜ o prejudicadas, pois ficam impossibilitadas de acessar ou realizar as operacoes desejadas. a Nos casos j´ registrados de ataques, os alvos ficaram impedidos de oferecer servicos durante o a ¸per´odo em que eles ocorreram, mas, ao final, voltaram a operar normalmente, sem que tivesse havido ı ¸˜vazamento de informacoes ou comprometimento de sistemas ou computadores. Uma pessoa pode voluntariamente usar ferramentas e fazer com que seu computador seja utili-zado em ataques. A grande maioria dos computadores, por´ m, participa dos ataques sem o conhe- e ¸˜cimento de seu dono, por estar infectado e fazendo parte de botnets (mais detalhes na Secao 4.3 doCap´tulo C´ digos maliciosos (Malware)). ı o ¸˜ Ataques de negacao de servico podem ser realizados por diversos meios, como: ¸ • pelo envio de grande quantidade de requisicoes para um servico, consumindo os recursos ne- ¸˜ ¸ cess´ rios ao seu funcionamento (processamento, n´ mero de conex˜ es simultˆ neas, mem´ ria a u o a o ¸ ¸˜ e espaco em disco, por exemplo) e impedindo que as requisicoes dos demais usu´ rios sejam a atendidas;
  • 22 Cartilha de Seguranca para Internet ¸ • pela geracao de grande tr´ fego de dados para uma rede, ocupando toda a banda dispon´vel e ¸˜ a ı tornando indispon´vel qualquer acesso a computadores ou servicos desta rede; ı ¸ • pela exploracao de vulnerabilidades existentes em programas, que podem fazer com que um ¸˜ determinado servico fique inacess´vel. ¸ ı ¸˜ ¸˜ Nas situacoes onde h´ saturacao de recursos, caso um servico n˜ o tenha sido bem dimensionado, a ¸ a o ¸˜ele pode ficar inoperante ao tentar atender as pr´ prias solicitacoes leg´timas. Por exemplo, um site de ıtransmiss˜ o dos jogos da Copa de Mundo pode n˜ o suportar uma grande quantidade de usu´ rios que a a aqueiram assistir aos jogos finais e parar de funcionar.3.8 ¸˜ Prevencao ´ O que define as chances de um ataque na Internet ser ou n˜ o bem sucedido e o conjunto de a ¸˜medidas preventivas tomadas pelos usu´ rios, desenvolvedores de aplicacoes e administradores dos acomputadores, servicos e equipamentos envolvidos. ¸ Se cada um fizer a sua parte, muitos dos ataques realizados via Internet podem ser evitados ou, aomenos, minimizados. e a ´ A parte que cabe a vocˆ , como usu´ rio da Internet, e proteger os seus dados, fazer uso dos meca- ¸˜nismos de protecao dispon´veis e manter o seu computador atualizado e livre de c´ digos maliciosos. ı oAo fazer isto, vocˆ estar´ contribuindo para a seguranca geral da Internet, pois: e a ¸ • quanto menor a quantidade de computadores vulner´ veis e infectados, menor ser´ a potˆ ncia a a e ¸˜ ¸˜ das botnets e menos eficazes ser˜ o os ataques de negacao de servico (mais detalhes na Secao 4.3, a ¸ do Cap´tulo C´ digos maliciosos (Malware)); ı o • quanto mais consciente dos mecanismos de seguranca vocˆ estiver, menores ser˜ o as chances ¸ e a de sucesso dos atacantes (mais detalhes no Cap´tulo Mecanismos de seguranca); ı ¸ • quanto melhores forem as suas senhas, menores ser˜ o as chances de sucesso de ataques de forca a ¸ bruta e, consequentemente, de suas contas serem invadidas (mais detalhes no Cap´tulo Contas ı e senhas); • quanto mais os usu´ rios usarem criptografia para proteger os dados armazenados nos computa- a dores ou aqueles transmitidos pela Internet, menores ser˜ o as chances de tr´ fego em texto claro a a ser interceptado por atacantes (mais detalhes no Cap´tulo Criptografia); ı • quanto menor a quantidade de vulnerabilidades existentes em seu computador, menores ser˜ o a as chances de ele ser invadido ou infectado (mais detalhes no Cap´tulo Seguranca de computa- ı ¸ dores). Faca sua parte e contribua para a seguranca da Internet, incluindo a sua pr´ pria! ¸ ¸ o
  • 4. C´ digos maliciosos (Malware) o o a ¸˜ C´ digos maliciosos (malware) s˜ o programas especificamente desenvolvidos para executar acoesdanosas e atividades maliciosas em um computador. Algumas das diversas formas como os c´ digos omaliciosos podem infectar ou comprometer um computador s˜ o: a • pela exploracao de vulnerabilidades existentes nos programas instalados; ¸˜ • pela auto-execucao de m´dias remov´veis infectadas, como pen-drives; ¸˜ ı ı • pelo acesso a p´ ginas Web maliciosas, utilizando navegadores vulner´ veis; a a • pela acao direta de atacantes que, ap´ s invadirem o computador, incluem arquivos contendo ¸˜ o c´ digos maliciosos; o • pela execucao de arquivos previamente infectados, obtidos em anexos de mensagens eletrˆ ni- ¸˜ o cas, via m´dias remov´veis, em p´ ginas Web ou diretamente de outros computadores (atrav´ s do ı ı a e compartilhamento de recursos). Uma vez instalados, os c´ digos maliciosos passam a ter acesso aos dados armazenados no com- o ¸˜putador e podem executar acoes em nome dos usu´ rios, de acordo com as permiss˜ es de cada usu´ rio. a o a 23
  • 24 Cartilha de Seguranca para Internet ¸ Os principais motivos que levam um atacante a desenvolver e a propagar c´ digos maliciosos s˜ o a o a ¸˜ ¸˜obtencao de vantagens financeiras, a coleta de informacoes confidenciais, o desejo de autopromocao ¸˜e o vandalismo. Al´ m disto, os c´ digos maliciosos s˜ o muitas vezes usados como intermedi´ rios e e o a a ¸˜ ¸˜possibilitam a pr´ tica de golpes, a realizacao de ataques e a disseminacao de spam (mais detalhes nos aCap´tulos Golpes na Internet, Ataques na Internet e Spam, respectivamente). ı o a o ¸˜ Os principais tipos de c´ digos maliciosos existentes s˜ o apresentados nas pr´ ximas secoes.4.1 V´rus ı ´ V´rus e um programa ou parte de um programa de computa- ıdor, normalmente malicioso, que se propaga inserindo c´ pias de si omesmo e se tornando parte de outros programas e arquivos. ¸˜ Para que possa se tornar ativo e dar continuidade ao processo de infeccao, o v´rus depende da ı ¸˜execucao do programa ou arquivo hospedeiro, ou seja, para que o seu computador seja infectado e´preciso que um programa j´ infectado seja executado. a ¸˜ O principal meio de propagacao de v´rus costumava ser os disquetes. Com o tempo, por´ m, estas ı em´dias ca´ram em desuso e comecaram a surgir novas maneiras, como o envio de e-mail. Atualmente, ı ı ¸ ı ı ¸˜as m´dias remov´veis tornaram-se novamente o principal meio de propagacao, n˜ o mais por disquetes, amas, principalmente, pelo uso de pen-drives. H´ diferentes tipos de v´rus. Alguns procuram permanecer ocultos, infectando arquivos do disco a ıe executando uma s´ rie de atividades sem o conhecimento do usu´ rio. H´ outros que permanecem e a ainativos durante certos per´odos, entrando em atividade apenas em datas espec´ficas. Alguns dos tipos ı ıde v´rus mais comuns s˜ o: ı aV´rus propagado por e-mail: recebido como um arquivo anexo a um e-mail cujo conte´ do tenta ı u induzir o usu´ rio a clicar sobre este arquivo, fazendo com que seja executado. Quando entra a ¸˜ em acao, infecta arquivos e programas e envia c´ pias de si mesmo para os e-mails encontrados o nas listas de contatos gravadas no computador.V´rus de script: escrito em linguagem de script, como VBScript e JavaScript, e recebido ao acessar ı uma p´ gina Web ou por e-mail, como um arquivo anexo ou como parte do pr´ prio e-mail escrito a o em formato HTML. Pode ser automaticamente executado, dependendo da configuracao do ¸˜ navegador Web e do programa leitor de e-mails do usu´ rio. aV´rus de macro: tipo espec´fico de v´rus de script, escrito em linguagem de macro, que tenta infec- ı ı ı tar arquivos manipulados por aplicativos que utilizam esta linguagem como, por exemplo, os que comp˜ e o Microsoft Office (Excel, Word e PowerPoint, entre outros). oV´rus de telefone celular: v´rus que se propaga de celular para celular por meio da tecnologia blue- ı ı tooth ou de mensagens MMS (Multimedia Message Service). A infeccao ocorre quando um ¸˜ usu´ rio permite o recebimento de um arquivo infectado e o executa. Ap´ s infectar o celular, o a o v´rus pode destruir ou sobrescrever arquivos, remover ou transmitir contatos da agenda, efetuar ı ¸˜ ligacoes telefˆ nicas e drenar a carga da bateria, al´ m de tentar se propagar para outros celulares. o e
  • ´4. Codigos maliciosos (Malware) 254.2 Worm ´ Worm e um programa capaz de se propagar automaticamente pelas redes,enviando c´ pias de si mesmo de computador para computador. o Diferente do v´rus, o worm n˜ o se propaga por meio da inclus˜ o ı a ade c´ pias de si mesmo em outros programas ou arquivos, mas sim pela o ¸˜ ¸˜execucao direta de suas c´ pias ou pela exploracao autom´ tica de vulnera- o abilidades existentes em programas instalados em computadores. a a ` Worms s˜ o notadamente respons´ veis por consumir muitos recursos, devido a grande quantidadede c´ pias de si mesmo que costumam propagar e, como consequˆ ncia, podem afetar o desempenho o e ¸˜de redes e a utilizacao de computadores. ¸˜ ¸˜ O processo de propagacao e infeccao dos worms ocorre da seguinte maneira: ¸˜ a. Identificacao dos computadores alvos: ap´ s infectar um computador, o worm tenta se propa- o ¸˜ gar e continuar o processo de infeccao. Para isto, necessita identificar os computadores alvos para os quais tentar´ se copiar, o que pode ser feito de uma ou mais das seguintes maneiras: a • efetuar varredura na rede e identificar computadores ativos; • aguardar que outros computadores contatem o computador infectado; • utilizar listas, predefinidas ou obtidas na Internet, contendo a identificacao dos alvos; ¸˜ • utilizar informacoes contidas no computador infectado, como arquivos de configuracao e ¸˜ ¸˜ listas de enderecos de e-mail. ¸ b. Envio das c´ pias: ap´ s identificar os alvos, o worm efetua c´ pias de si mesmo e tenta envi´ -las o o o a para estes computadores, por uma ou mais das seguintes formas: • como parte da exploracao de vulnerabilidades existentes em programas instalados no com- ¸˜ putador alvo; • anexadas a e-mails; • via canais de IRC (Internet Relay Chat); • via programas de troca de mensagens instantˆ neas; a • inclu´das em pastas compartilhadas em redes locais ou do tipo P2P (Peer to Peer). ı ¸˜ c. Ativacao das c´ pias: ap´ s realizado o envio da c´ pia, o worm necessita ser executado para que o o o ¸˜ a infeccao ocorra, o que pode acontecer de uma ou mais das seguintes maneiras: • imediatamente ap´ s ter sido transmitido, pela exploracao de vulnerabilidades em progra- o ¸˜ mas sendo executados no computador alvo no momento do recebimento da c´ pia;o • diretamente pelo usu´ rio, pela execucao de uma das c´ pias enviadas ao seu computador; a ¸˜ o • pela realizacao de uma acao espec´fica do usu´ rio, a qual o worm est´ condicionado como, ¸˜ ¸˜ ı a a ¸˜ por exemplo, a insercao de uma m´dia remov´vel. ı ı d. Rein´cio do processo: ap´ s o alvo ser infectado, o processo de propagacao e infeccao reco- ı o ¸˜ ¸˜ meca, sendo que, a partir de agora, o computador que antes era o alvo passa a ser tamb´ m o ¸ e computador originador dos ataques.
  • 26 Cartilha de Seguranca para Internet ¸4.3 Bot e botnet ´ Bot e um programa que disp˜ e de mecanismos de comunica- o¸˜cao com o invasor que permitem que ele seja controlado remota- ¸˜ ¸˜mente. Possui processo de infeccao e propagacao similar ao do ´worm, ou seja, e capaz de se propagar automaticamente, explo-rando vulnerabilidades existentes em programas instalados emcomputadores. ¸˜ A comunicacao entre o invasor e o computador infectado pelo bot pode ocorrer via canais deIRC, servidores Web e redes do tipo P2P, entre outros meios. Ao se comunicar, o invasor pode ¸˜ ¸˜enviar instrucoes para que acoes maliciosas sejam executadas, como desferir ataques, furtar dados docomputador infectado e enviar spam. Um computador infectado por um bot costuma ser chamado de zumbi (zombie computer), pois pode ser controlado remotamente, sem o conhecimento do seu dono. Tamb´ m pode ser chamado de spam zombie quando o bot instalado o e transforma em um servidor de e-mails e o utiliza para o envio de spam. ´ Botnet e uma rede formada porcentenas ou milhares de computadoreszumbis e que permite potencializar as ¸˜acoes danosas executadas pelos bots. Quanto mais zumbis participaremda botnet mais potente ela ser´ . O aatacante que a controlar, al´ m de us´ - e ala para seus pr´ prios ataques, tamb´ m o epode alug´ -la para outras pessoas ou a ¸˜grupos que desejem que uma acao ma-liciosa espec´fica seja executada. ı ¸˜ Algumas das acoes maliciosas que costumam ser executadas por interm´ dio de botnets s˜ o: ata- e a ¸˜ ¸ ¸˜ques de negacao de servico, propagacao de c´ digos maliciosos (inclusive do pr´ prio bot), coleta de o o ¸˜informacoes de um grande n´ mero de computadores, envio de spam e camuflagem da identidade do uatacante (com o uso de proxies instalados nos zumbis). O esquema simplificado apresentado a seguir exemplifica o funcionamento b´ sico de uma botnet: a a. Um atacante propaga um tipo espec´fico de bot na esperanca de infectar e conseguir a maior ı ¸ quantidade poss´vel de zumbis; ı a ` ¸˜ ` b. os zumbis ficam ent˜ o a disposicao do atacante, agora seu controlador, a espera dos comandos a serem executados; ¸˜ c. quando o controlador deseja que uma acao seja realizada, ele envia aos zumbis os comandos a serem executados, usando, por exemplo, redes do tipo P2P ou servidores centralizados; d. os zumbis executam ent˜ o os comandos recebidos, durante o per´odo predeterminado pelo con- a ı trolador; ¸˜ ` e. quando a acao se encerra, os zumbis voltam a ficar a espera dos pr´ ximos comandos a serem o executados.
  • ´4. Codigos maliciosos (Malware) 274.4 Spyware ´ Spyware e um programa projetado para monitorar as atividades ¸˜de um sistema e enviar as informacoes coletadas para terceiros. Pode ser usado tanto de forma leg´tima quanto maliciosa, de- ı ´ ¸˜pendendo de como e instalado, das acoes realizadas, do tipo de ¸˜ ´informacao monitorada e do uso que e feito por quem recebe as ¸˜informacoes coletadas. Pode ser considerado de uso:Leg´timo: quando instalado em um computador pessoal, pelo pr´ prio dono ou com consentimento ı o deste, com o objetivo de verificar se outras pessoas o est˜ o utilizando de modo abusivo ou n˜ o a a autorizado.Malicioso: quando executa acoes que podem comprometer a privacidade do usu´ rio e a seguranca ¸˜ a ¸ ¸˜ ` ¸˜ do computador, como monitorar e capturar informacoes referentes a navegacao do usu´ rio ou a inseridas em outros programas (por exemplo, conta de usu´ rio e senha). a Alguns tipos espec´ficos de programas spyware s˜ o: ı aKeylogger: capaz de capturar e armazenar as teclas digitadas pelo ¸˜usu´ rio no teclado do computador. Sua ativacao, em muitos casos, e a ´ ¸˜condicionada a uma acao pr´ via do usu´ rio, como o acesso a um site e aespec´fico de com´ rcio eletrˆ nico ou de Internet Banking. ı e o Screenlogger: similar ao keylogger, capaz de armazenar a posicao do cursor e ¸˜ ´ a tela apresentada no monitor, nos momentos em que o mouse e clicado, ou a ¸˜ ´ ´ regi˜ o que circunda a posicao onde o mouse e clicado. E bastante utilizado por a atacantes para capturar as teclas digitadas pelos usu´ rios em teclados virtuais, a dispon´veis principalmente em sites de Internet Banking. ıAdware: projetado especificamente para apresentar propagandas. Podeser usado para fins leg´timos, quando incorporado a programas e ıservicos, como forma de patroc´nio ou retorno financeiro para quem de- ¸ ısenvolve programas livres ou presta servicos gratuitos. Tamb´ m pode ¸ eser usado para fins maliciosos, quando as propagandas apresentadas a ¸˜s˜ o direcionadas, de acordo com a navegacao do usu´ rio e sem que aeste saiba que tal monitoramento est´ sendo feito. a
  • 28 Cartilha de Seguranca para Internet ¸4.5 Backdoor ´ Backdoor e um programa que permite oretorno de um invasor a um computador com-prometido, por meio da inclus˜ o de servicos a ¸criados ou modificados para este fim. ¸˜ Pode ser inclu´do pela acao de outros ıc´ digos maliciosos, que tenham previamen- ote infectado o computador, ou por atacantes,que exploram vulnerabilidades existentes nosprogramas instalados no computador para invadi-lo. o ı ´ Ap´ s inclu´do, o backdoor e usado para assegurar o acesso futuro ao computador comprometido,permitindo que ele seja acessado remotamente, sem que haja necessidade de recorrer novamente aos ¸˜ ¸˜m´ todos utilizados na realizacao da invas˜ o ou infeccao e, na maioria dos casos, sem que seja notado. e a a ¸˜ A forma usual de inclus˜ o de um backdoor consiste na disponibilizacao de um novo servico ou ¸ ¸˜na substituicao de um determinado servico por uma vers˜ o alterada, normalmente possuindo recursos ¸ a ¸˜que permitem o acesso remoto. Programas de administracao remota, como BackOrifice, NetBus, Sub-Seven, VNC e Radmin, se mal configurados ou utilizados sem o consentimento do usu´ rio, tamb´ m a epodem ser classificados como backdoors. a ı ¸˜ H´ casos de backdoors inclu´dos propositalmente por fabricantes de programas, sob alegacao de e ¸ `necessidades administrativas. Esses casos constituem uma s´ ria ameaca a seguranca de um compu- ¸tador que contenha um destes programas instalados pois, al´ m de comprometerem a privacidade do eusu´ rio, tamb´ m podem ser usados por invasores para acessarem remotamente o computador. a e4.6 Cavalo de troia (Trojan) Cavalo de troia1 , trojan ou trojan-horse, e um programa que, al´ m ´ e ¸˜de executar as funcoes para as quais foi aparentemente projetado, ¸˜tamb´ m executa outras funcoes, normalmente maliciosas, e sem o co- enhecimento do usu´ rio. a Exemplos de trojans s˜ o programas que vocˆ recebe ou obt´ m de sites na Internet e que parecem a e e ´ser apenas cart˜ es virtuais animados, albuns de fotos, jogos e protetores de tela, entre outros. Estes o ´programas, geralmente, consistem de um unico arquivo e necessitam ser explicitamente executadospara que sejam instalados no computador. Trojans tamb´ m podem ser instalados por atacantes que, ap´ s invadirem um computador, alteram e o a e ¸˜programas j´ existentes para que, al´ m de continuarem a desempenhar as funcoes originais, tamb´ m e ¸˜executem acoes maliciosas. H´ diferentes tipos de trojans, classificados2 de acordo com as acoes maliciosas que costumam a ¸˜executar ao infectar um computador. Alguns destes tipos s˜ o: a 1O“Cavalo de Troia”, segundo a mitologia grega, foi uma grande est´ tua, utilizada como instrumento de guerra pelos a `gregos para obter acesso a cidade de Troia. A est´ tua do cavalo foi recheada com soldados que, durante a noite, abriram a ¸˜os port˜ es da cidade possibilitando a entrada dos gregos e a dominacao de Troia. o 2 Esta classificacao baseia-se em coletˆ nea feita sobre os nomes mais comumente usados pelos programas antimalware. ¸˜ a
  • ´4. Codigos maliciosos (Malware) 29Trojan Downloader: instala outros c´ digos maliciosos, obtidos de sites na Internet. oTrojan Dropper: instala outros c´ digos maliciosos, embutidos no pr´ prio c´ digo do trojan. o o oTrojan Backdoor: inclui backdoors, possibilitando o acesso remoto do atacante ao computador.Trojan DoS: instala ferramentas de negacao de servico e as utiliza para desferir ataques. ¸˜ ¸Trojan Destrutivo: altera/apaga arquivos e diret´ rios, formata o disco r´gido e pode deixar o com- o ı ¸˜ putador fora de operacao.Trojan Clicker: redireciona a navegacao do usu´ rio para sites espec´ficos, com o objetivo de aumen- ¸˜ a ı tar a quantidade de acessos a estes sites ou apresentar propagandas.Trojan Proxy: instala um servidor de proxy, possibilitando que o computador seja utilizado para ¸˜ navegacao anˆ nima e para envio de spam. oTrojan Spy: instala programas spyware e os utiliza para coletar informacoes sens´veis, como senhas ¸˜ ı e n´ meros de cart˜ o de cr´ dito, e envi´ -las ao atacante. u a e aTrojan Banker ou Bancos: coleta dados banc´ rios do usu´ rio, atrav´ s da instalacao de programas a a e ¸˜ a a ´ spyware que s˜ o ativados quando sites de Internet Banking s˜ o acessados. E similar ao Trojan Spy por´ m com objetivos mais espec´ficos. e ı4.7 Rootkit Rootkit3 e um conjunto de programas e t´ cnicas que permite es- ´ econder e assegurar a presenca de um invasor ou de outro c´ digo ma- ¸ olicioso em um computador comprometido. O conjunto de programas e t´ cnicas fornecido pelos rootkits pode ser usado para: e • remover evidˆ ncias em arquivos de logs (mais detalhes na Secao 7.6 do Cap´tulo Mecanismos e ¸˜ ı de seguranca); ¸ • instalar outros c´ digos maliciosos, como backdoors, para assegurar o acesso futuro ao compu- o tador infectado; • esconder atividades e informacoes, como arquivos, diret´ rios, processos, chaves de registro, ¸˜ o conex˜ es de rede, etc; o • mapear potenciais vulnerabilidades em outros computadores, por meio de varreduras na rede; • capturar informacoes da rede onde o computador comprometido est´ localizado, pela intercep- ¸˜ a ¸˜ tacao de tr´ fego. a 3O ¸˜ ` termo rootkit origina-se da juncao das palavras “root” (que corresponde a conta de superusu´ rio ou administrador ado computador em sistemas Unix) e “kit” (que corresponde ao conjunto de programas usados para manter os privil´ gios ede acesso desta conta).
  • 30 Cartilha de Seguranca para Internet ¸ ´ E muito importante ressaltar que o nome rootkit n˜ o indica que os programas e as t´ cnicas que o a ecomp˜ e s˜ o usadas para obter acesso privilegiado a um computador, mas sim para mantˆ -lo. o a e Rootkits inicialmente eram usados por atacantes que, ap´ s invadirem um computador, os instala- ovam para manter o acesso privilegiado, sem precisar recorrer novamente aos m´ todos utilizados na einvas˜ o, e para esconder suas atividades do respons´ vel e/ou dos usu´ rios do computador. Apesar a a ade ainda serem bastante usados por atacantes, os rootkits atualmente tˆ m sido tamb´ m utilizados e e eincorporados por outros c´ digos maliciosos para ficarem ocultos e n˜ o serem detectados pelo usu´ rio o a a ¸˜e nem por mecanismos de protecao. H´ casos de rootkits instalados propositalmente por empresas distribuidoras de CDs de m´ sica, a u ¸˜ ¸˜ ¸˜sob a alegacao de necessidade de protecao aos direitos autorais de suas obras. A instalacao nestescasos costumava ocorrer de forma autom´ tica, no momento em que um dos CDs distribu´dos con- a ı ´tendo o c´ digo malicioso era inserido e executado. E importante ressaltar que estes casos constituem o e ¸ `uma s´ ria ameaca a seguranca do computador, pois os rootkits instalados, al´ m de comprometerem a ¸ eprivacidade do usu´ rio, tamb´ m podem ser reconfigurados e utilizados para esconder a presenca e os a e ¸arquivos inseridos por atacantes ou por outros c´ digos maliciosos. o4.8 ¸˜ Prevencao ¸˜ Para manter o seu computador livre da acao dos c´ digos maliciosos existe um conjunto de medidas opreventivas que vocˆ precisa adotar. Essas medidas incluem manter os programas instalados com e o ¸˜as vers˜ es mais recentes e com todas as atualizacoes dispon´veis aplicadas e usar mecanismos de ıseguranca, como antimalware e firewall pessoal. ¸ Al´ m disso, h´ alguns cuidados que vocˆ e todos que usam o seu computador devem tomar sempre e a eque forem manipular arquivos. Novos c´ digos maliciosos podem surgir, a velocidades nem sempre o ¸˜acompanhadas pela capacidade de atualizacao dos mecanismos de seguranca.¸ ¸˜ Informacoes sobre os principais mecanismos de seguranca que vocˆ deve utilizar s˜ o apresenta- ¸ e ados no Cap´tulo Mecanismos de seguranca. Outros cuidados que vocˆ deve tomar para manter seu ı ¸ ecomputador seguro s˜ o apresentados no Cap´tulo Seguranca de computadores. a ı ¸4.9 Resumo comparativo Cada tipo de c´ digo malicioso possui caracter´sticas pr´ prias que o define e o diferencia dos o ı o ¸˜ ¸˜ ¸˜demais tipos, como forma de obtencao, forma de instalacao, meios usados para propagacao e acoes ¸˜ ¸˜maliciosas mais comuns executadas nos computadores infectados. Para facilitar a classificacao e a ¸˜conceituacao, a Tabela 4.1 apresenta um resumo comparativo das caracter´sticas de cada tipo. ı ´ E importante ressaltar, entretanto, que definir e identificar essas caracter´sticas tˆ m se tornado ı e ` ¸˜tarefas cada vez mais dif´ceis, devido as diferentes classificacoes existentes e ao surgimento de vari- ıantes que mesclam caracter´sticas dos demais c´ digos. Desta forma, o resumo apresentado na tabela ı o a ´ ¸˜n˜ o e definitivo e baseia-se nas definicoes apresentadas nesta Cartilha.
  • ´4. Codigos maliciosos (Malware) 31 C´ digos Maliciosos o Backdoor Spyware Rootkit Trojan Worm V´rus Bot ı ´ Como e obtido: Recebido automaticamente pela rede   Recebido por e-mail      Baixado de sites na Internet      Compartilhamento de arquivos      Uso de m´dias remov´veis infectadas ı ı      Redes sociais      Mensagens instantˆ neas a      Inserido por um invasor       ¸˜ Acao de outro c´ digo malicioso o       ¸˜ Como ocorre a instalacao: ¸˜ Execucao de um arquivo infectado  ¸˜ Execucao expl´cita do c´ digo malicioso ı o     ¸˜ Via execucao de outro c´ digo malicioso o   ¸˜ Exploracao de vulnerabilidades     Como se propaga: Insere c´ pia de si pr´ prio em arquivos o o  Envia c´ pia de si pr´ prio automaticamente pela rede o o   Envia c´ pia de si pr´ prio automaticamente por e-mail o o   N˜ o se propaga a     ¸˜ Acoes maliciosas mais comuns: Altera e/ou remove arquivos    Consome grande quantidade de recursos   ¸˜ Furta informacoes sens´veis ı    Instala outros c´ digos maliciosos o     Possibilita o retorno do invasor   Envia spam e phishing  Desfere ataques na Internet   Procura se manter escondido     Tabela 4.1: Resumo comparativo entre os c´ digos maliciosos. o
  • 5. Spam Spam1 e o termo usado para se referir aos e-mails n˜ o solicitados, que geralmente s˜ o enviados ´ a apara um grande n´ mero de pessoas. Quando este tipo de mensagem possui conte´ do exclusivamente u ucomercial tamb´ m e referenciado como UCE (Unsolicited Commercial E-mail). e ´ O spam em alguns pontos se assemelha a outras formas de propaganda, como a carta colocada ¸˜na caixa de correio, o panfleto recebido na esquina e a ligacao telefˆ nica ofertando produtos. Por´ m, o e ´o que o difere e justamente o que o torna t˜ o atraente e motivante para quem o envia (spammer): aao passo que nas demais formas o remetente precisa fazer algum tipo de investimento, o spammernecessita investir muito pouco, ou at´ mesmo nada, para alcancar os mesmos objetivos e em uma e ¸escala muito maior. Desde o primeiro spam registrado e batizado como tal, em 1994, essa pr´ tica tem evolu´do, acom- a ı ¸˜panhando o desenvolvimento da Internet e de novas aplicacoes e tecnologias. Atualmente, o envio de ´ ¸˜spam e uma pr´ tica que causa preocupacao, tanto pelo aumento desenfreado do volume de mensagens ana rede, como pela natureza e pelos objetivos destas mensagens. 1 Paramais detalhes acesse o site Antispam.br, http://www.antispam.br/, mantido pelo Comitˆ Gestor da Internet eno Brasil (CGI.br), que constitui uma fonte de referˆ ncia sobre o spam e tem o compromisso de informar usu´ rios e e a ¸˜ ¸˜administradores de redes sobre as implicacoes destas mensagens e as formas de protecao e de combate existentes. 33
  • 34 Cartilha de Seguranca para Internet ¸ a ` Spams est˜ o diretamente associados a ataques a seguranca da ¸Internet e do usu´ rio, sendo um dos grandes respons´ veis pela a a ¸˜ ¸˜propagacao de c´ digos maliciosos, disseminacao de golpes e venda oilegal de produtos. Algumas das formas como vocˆ pode ser afetado pelos problemas ecausados pelos spams s˜ o: aPerda de mensagens importantes: devido ao grande volume de spam recebido, vocˆ corre o risco e de n˜ o ler mensagens importantes, lˆ -las com atraso ou apag´ -las por engano. a e a ´Conteudo impr´ prio ou ofensivo: como grande parte dos spams s˜ o enviados para conjuntos alea- o a ¸ ´ t´ rios de enderecos de e-mail, e bastante prov´ vel que vocˆ receba mensagens cujo conte´ do o a e u considere impr´ prio ou ofensivo. oGasto desnecess´ rio de tempo: para cada spam recebido, e necess´ rio que vocˆ gaste um tempo a ´ a e para lˆ -lo, identific´ -lo e removˆ -lo da sua caixa postal, o que pode resultar em gasto desne- e a e cess´ rio de tempo e em perda de produtividade. aN˜ o recebimento de e-mails: caso o n´ mero de spams recebidos seja grande e vocˆ utilize um a u e ¸ e ´ servico de e-mail que limite o tamanho de caixa postal, vocˆ corre o risco de lotar a sua area de e-mail e, at´ que consiga liberar espaco, ficar´ impedido de receber novas mensagens. e ¸ a ¸˜Classificacao errada de mensagens: caso utilize sistemas de filtragem com regras antispam inefici- entes, vocˆ corre o risco de ter mensagens leg´timas classificadas como spam e que, de acordo e ı ¸˜ com as suas configuracoes, podem ser apagadas, movidas para quarentena ou redirecionadas para outras pastas de e-mail. ` ´ Independente do tipo de acesso a Internet usado, e o destinat´ rio a do spam quem paga pelo envio da mensagem. Os provedores, para tentar minimizar os problemas, provisionam mais recursos computa- cionais e os custos derivados acabam sendo transferidos e incorpora- dos ao valor mensal que os usu´ rios pagam. a Alguns dos problemas relacionados a spam que provedores e empresas costumam enfrentar s˜ o: aImpacto na banda: o volume de tr´ fego gerado pelos spams faz com que seja necess´ rio aumentar a a a capacidade dos links de conex˜ o com a Internet. a ¸˜M´ utilizacao dos servidores: boa parte dos recursos dos servidores de e-mail, como tempo de pro- a cessamento e espaco em disco, s˜ o consumidos no tratamento de mensagens n˜ o solicitadas. ¸ a aInclus˜ o em listas de bloqueio: um provedor que tenha usu´ rios envolvidos em casos de envio de a a spam pode ter a rede inclu´da em listas de bloqueio, o que pode prejudicar o envio de e-mails ı por parte dos demais usu´ rios e resultar em perda de clientes. aInvestimento extra em recursos: os problemas gerados pelos spams fazem com que seja necess´ rio a ¸˜ aumentar os investimentos, para a aquisicao de equipamentos e sistemas de filtragem e para a ¸˜ ¸˜ contratacao de mais t´ cnicos especializados na sua operacao. e
  • 5. Spam 35 Os spammers utilizam diversas t´ cnicas para coletar enderecos de e-mail, desde a compra de e ¸ e ¸˜bancos de dados at´ a producao de suas pr´ prias listas, geradas a partir de: oAtaques de dicion´ rio: consistem em formar enderecos de e-mail a partir de listas de nomes de a ¸ a ¸˜ pessoas, de palavras presentes em dicion´ rios e/ou da combinacao de caracteres alfanum´ ricos. eC´ digos maliciosos: muitos c´ digos maliciosos s˜ o projetados para varrer o computador infectado o o a em busca de enderecos de e-mail que, posteriormente, s˜ o repassados para os spammers. ¸ aHarvesting: consiste em coletar enderecos de e-mail por meio de varreduras em p´ ginas Web e arqui- ¸ a vos de listas de discuss˜ o, entre outros. Para tentar combater esta t´ cnica, muitas p´ ginas Web a e a e listas de discuss˜ o apresentam os enderecos de forma ofuscada (por exemplo, substituindo o a ¸ ¸˜ “@” por “(at)” e os pontos pela palavra “dot”). Infelizmente, tais substituicoes s˜ o previstas a por v´ rios dos programas que implementam esta t´ cnica. a e Ap´ s efetuarem a coleta, os spammers procuram confirmar a o existˆ ncia dos enderecos de e-mail e, para isto, costumam se utili- e ¸ zar de artif´cios, como: ı • enviar mensagens para os enderecos coletados e, com base nas respostas recebidas dos servido- ¸ res de e-mail, identificar quais enderecos s˜ o v´ lidos e quais n˜ o s˜ o; ¸ a a a a • incluir no spam um suposto mecanismo para a remocao da lista de e-mails, como um link ou ¸˜ ¸ a ¸˜ um endereco de e-mail (quando o usu´ rio solicita a remocao, na verdade est´ confirmando para a ´ a o spammer que aquele endereco de e-mail e v´ lido e realmente utilizado); ¸ • incluir no spam uma imagem do tipo Web bug, projetada para monitorar o acesso a uma p´ gina a ´ Web ou e-mail (quando o usu´ rio abre o spam, o Web bug e acessado e o spammer recebe a a ¸˜ ´ a confirmacao que aquele endereco de e-mail e v´ lido). ¸5.1 ¸˜ Prevencao ´ E muito importante que vocˆ saiba como identificar os spams, epara poder detect´ -los mais facilmente e agir adequadamente. As aprincipais caracter´sticas2 dos spams s˜ o: ı aApresentam cabecalho suspeito: o cabecalho do e-mail aparece incompleto, por exemplo, os cam- ¸ ¸ pos de remetente e/ou destinat´ rio aparecem vazios ou com apelidos/nomes gen´ ricos, como a e “amigo@” e “suporte@”.Apresentam no campo Assunto (Subject) palavras com grafia errada ou suspeita: a maioria dos filtros antispam utiliza o conte´ do deste campo para barrar e-mails com assuntos considerados u suspeitos. No entanto, os spammers adaptam-se e tentam enganar os filtros colocando neste campo conte´ dos enganosos, como ‘‘vi@gra” (em vez de “viagra”). u 2 Vale ressaltar que nem todas essas caracter´sticas podem estar presentes ao mesmo tempo, em um mesmo spam. Da ı `mesma forma, podem existir spams que n˜ o atendam as propriedades citadas, podendo, eventualmente, ser um novo tipo. a
  • 36 Cartilha de Seguranca para Internet ¸Apresentam no campo Assunto textos alarmantes ou vagos: na tentativa de confundir os filtros ¸˜ antispam e de atrair a atencao dos usu´ rios, os spammers costumam colocar textos alarmantes, a atraentes ou vagos demais, como “Sua senha est´ inv´lida”, “A informac˜o que vocˆ a a ¸a e pediu” e “Parab´ns”. e ¸˜ ¸˜ ¸˜Oferecem opcao de remocao da lista de divulgacao: alguns spams tentam justificar o abuso, ale- ´ ¸˜ gando que e poss´vel sair da lista de divulgacao, clicando no endereco anexo ao e-mail. Este ı ¸ artif´cio, por´ m, al´ m de n˜ o retirar o seu endereco de e-mail da lista, tamb´ m serve para validar ı e e a ¸ e ´ que ele realmente existe e que e lido por algu´ m.e a ´Prometem que ser˜ o enviados “uma unica vez”: ao alegarem isto, sugerem que n˜ o e necess´ rio a ´ a ¸˜ que vocˆ tome alguma acao para impedir que a mensagem seja novamente enviada. e ¸˜Baseiam-se em leis e regulamentacoes inexistentes: muitos spams tentam embasar o envio em leis ¸˜ ` a e regulamentacoes brasileiras referentes a pr´ tica de spam que, at´ o momento de escrita desta e Cartilha, n˜ o existem. a Alguns cuidados que vocˆ deve tomar para tentar reduzir a quantidade de spams recebidos s˜ o: e a • procure filtrar as mensagens indesejadas, por meio de programas instalados em servidores ou ´ em seu computador e de sistemas integrados a Webmails e leitores de e-mails. E interessante consultar o seu provedor de e-mail, ou o administrador de sua rede, para verificar os recursos existentes e como us´ -los; a • alguns Webmails usam filtros baseados em “tira-teima”, onde e exigido do remetente a con- ´ ¸˜ o a ´ firmacao do envio (ap´ s confirm´ -la, ele e inclu´do em uma lista de remetentes autorizados ı e, a partir da´, pode enviar e-mails livremente). Ao usar esses sistemas, procure autorizar ı previamente os remetentes desej´ veis, incluindo f´ runs e listas de discuss˜ o, pois nem todos a o a confirmam o envio e, assim, vocˆ pode deixar de receber mensagens importantes; e ´ • muitos filtros colocam as mensagens classificadas como spam em quarentena. E importante que vocˆ , de tempos em tempos, verifique esta pasta, pois podem acontecer casos de falsos positivos e e mensagens leg´timas virem a ser classificadas como spam. Caso vocˆ , mesmo usando filtros, ı e receba um spam, deve classific´ -lo como tal, pois estar´ ajudando a treinar o filtro; a a • seja cuidadoso ao fornecer seu endereco de e-mail. Existem situacoes onde n˜ o h´ motivo para ¸ ¸˜ a a ´ que o seu e-mail seja fornecido. Ao preencher um cadastro, por exemplo, pense se e realmente necess´ rio fornecer o seu e-mail e se vocˆ deseja receber mensagens deste local; a e • fique atento a opcoes pr´ -selecionadas. Em alguns formul´ rios ou cadastros preenchidos pela ¸˜ e a e ¸˜ Internet, existe a pergunta se vocˆ quer receber e-mails, por exemplo, sobre promocoes e lanca- ¸ mentos de produtos, cuja resposta j´ vem marcada como afirmativa. Fique atento a esta quest˜ o a a e desmarque-a, caso n˜ o deseje receber este tipo de mensagem; a • n˜ o siga links recebidos em spams e n˜ o responda mensagens deste tipo (estas acoes podem a a ¸˜ ´ a servir para confirmar que seu e-mail e v´ lido); • desabilite a abertura de imagens em e-mails HTML (o fato de uma imagem ser acessada pode servir para confirmar que a mensagem foi lida); • crie contas de e-mail secund´ rias e forneca-as em locais onde as chances de receber spam s˜ o a ¸ a grandes, como ao preencher cadastros em lojas e em listas de discuss˜ o; a
  • 5. Spam 37 • utilize as opcoes de privacidade das redes sociais (algumas redes permitem esconder o seu ¸˜ endereco de e-mail ou restringir as pessoas que ter˜ o acesso a ele); ¸ a • respeite o endereco de e-mail de outras pessoas. Use a opcao de “Bcc:” ao enviar e-mail para ¸ ¸˜ grandes quantidades de pessoas. Ao encaminhar mensagens, apague a lista de antigos desti- nat´ rios, pois mensagens reencaminhadas podem servir como fonte de coleta para spammers. a
  • 6. Outros riscos ` ¸ ı ¸˜ Atualmente, devido a grande quantidade de servicos dispon´veis, a maioria das acoes dos usu´ rios ana Internet s˜ o executadas pelo acesso a p´ ginas Web, seja pelo uso de navegadores ou de programas a aleitores de e-mails com capacidade de processar mensagens em formato HTML. Para atender a grande demanda, incorporar maior funcionalidade e melhorar a aparˆ ncia das e a ¸˜p´ ginas Web, novos recursos de navegacao foram desenvolvidos e novos servicos foram disponi- ¸bilizados. Estes novos recursos e servicos, infelizmente, n˜ o passaram despercebidos por pessoas ¸ a ¸˜mal-intencionadas, que viram neles novas possibilidades para coletar informacoes e aplicar golpes.Alguns destes recursos e servicos, os riscos que representam e os cuidados que vocˆ deve tomar ao ¸ e a a ¸˜utiliz´ -los s˜ o apresentados nas Secoes 6.1, 6.2, 6.3, 6.4, 6.5 e 6.6. ` Al´ m disto, a grande quantidade de computadores conectados a rede propiciou e facilitou o com- epartilhamento de recursos entre os usu´ rios, seja por meio de programas espec´ficos ou pelo uso de a ı ¸˜opcoes oferecidas pelos pr´ prios sistemas operacionais. Assim como no caso dos recursos e servicos o ¸Web, o compartilhamento de recursos tamb´ m pode representar riscos e necessitar de alguns cuidados e ¸˜especiais, que s˜ o apresentados nas Secoes 6.7 e 6.8. a 39
  • 40 Cartilha de Seguranca para Internet ¸6.1 Cookies Cookies s˜ o pequenos arquivos que s˜ o gravados em seu computador quando vocˆ acessa sites na a a eInternet e que s˜ o reenviados a estes mesmos sites quando novamente visitados. S˜ o usados para man- a a ¸˜ ¸˜ter informacoes sobre vocˆ , como carrinho de compras, lista de produtos e preferˆ ncias de navegacao. e e a a ´ Um cookie pode ser tempor´ rio (de sess˜ o), quando e apagado no momento em que o navega- ´dor Web ou programa leitor de e-mail e fechado, ou permanente (persistente), quando fica gravadono computador at´ expirar ou ser apagado. Tamb´ m pode ser prim´ rio (first-party), quando defi- e e anido pelo dom´nio do site visitado, ou de terceiros (third-party), quando pertencente a outro dom´nio ı ı u ` a(geralmente relacionado a an´ ncios ou imagens incorporados a p´ gina que est´ sendo visitada). a Alguns dos riscos relacionados ao uso de cookies s˜ o: a ¸˜Compartilhamento de informacoes: as informacoes coletadas pelos cookies podem ser indevida- ¸˜ a ´ mente compartilhadas com outros sites e afetar a sua privacidade. N˜ o e incomum, por exemplo, acessar pela primeira vez um site de m´ sica e observar que as ofertas de CDs para o seu gˆ nero u e musical preferido j´ est˜ o dispon´veis, sem que vocˆ tenha feito qualquer tipo de escolha. a a ı e ¸˜Exploracao de vulnerabilidades: quando vocˆ acessa uma p´ gina Web, o seu navegador disponibi- e a ¸˜ liza uma s´ rie de informacoes sobre o seu computador, como hardware, sistema operacional e e programas instalados. Os cookies podem ser utilizados para manter referˆ ncias contendo estas e ¸˜ informacoes e us´ -las para explorar poss´veis vulnerabilidades em seu computador. a ı ¸˜Autenticacao autom´ tica: ao usar opcoes como “Lembre-se de mim” e “Continuar conectado” nos a ¸˜ ¸˜ sites visitados, informacoes sobre a sua conta de usu´ rio s˜ o gravadas em cookies e usadas em a a ¸˜ autenticacoes futuras. Esta pr´ tica pode ser arriscada quando usada em computadores infecta- a dos ou de terceiros, pois os cookies podem ser coletados e permitirem que outras pessoas se autentiquem como vocˆ . e ¸˜Coleta de informacoes pessoais: dados preenchidos por vocˆ em formul´ rios Web tamb´ m podem e a e ser gravados em cookies, coletados por atacantes ou c´ digos maliciosos e indevidamente aces- o sados, caso n˜ o estejam criptografados. a a ¸˜Coleta de h´ bitos de navegacao: quando vocˆ acessa diferentes sites onde s˜ o usados cookies de e a ´ terceiros, pertencentes a uma mesma empresa de publicidade, e poss´vel a esta empresa deter- ı ¸˜ minar seus h´ bitos de navegacao e, assim, comprometer a sua privacidade. a ¸˜Prevencao: a ´ N˜ o e indicado bloquear totalmente o recebimento de cookies, pois isto pode impedir o uso ade-quado ou at´ mesmo o acesso a determinados sites e servicos. Para se prevenir dos riscos, mas sem e ¸ ¸˜comprometer a sua navegacao, h´ algumas dicas que vocˆ deve seguir, como: a e • ao usar um navegador Web baseado em n´veis de permiss˜ o, como o Internet Explorer, procure ı a n˜ o selecionar n´veis de permiss˜ o inferiores a “m´ dio”; a ı a e • em outros navegadores ou programas leitores de e-mail, configure para que, por padr˜ o, os sites a a ¸˜ n˜ o possam definir cookies e crie listas de excecoes, cadastrando sites considerados confi´ veis e a ´ onde o uso de cookies e realmente necess´ rio, como Webmails e de Internet Banking e com´ rcio a e eletrˆ nico; o
  • 6. Outros riscos 41 • caso vocˆ , mesmo ciente dos riscos, decida permitir que por padr˜ o os sites possam definir e a ¸˜ cookies, procure criar uma lista de excecoes e nela cadastre os sites que deseja bloquear; • configure para que os cookies sejam apagados assim que o navegador for fechado; • configure para n˜ o aceitar cookies de terceiros (ao fazer isto, a sua navegacao n˜ o dever´ ser a ¸˜ a a prejudicada, pois apenas conte´ dos relacionados a publicidade ser˜ o bloqueados); u a • utilize opcoes de navegar anonimamente, quando usar computadores de terceiros (ao fazer isto, ¸˜ ¸˜ ¸˜ informacoes sobre a sua navegacao, incluindo cookies, n˜ o ser˜ o gravadas). a a ¸˜ ´ Veja que, quando vocˆ altera uma configuracao de privacidade ela e aplicada aos novos cookies, e a a a ´mas n˜ o aos que j´ est˜ o gravados em seu computador. Assim, ao fazer isto, e importante que vocˆ e ¸˜remova os cookies j´ gravados para garantir que a nova configuracao seja aplicada a todos. a6.2 C´ digos m´ veis o o C´ digos m´ veis s˜ o utilizados por desenvolvedores para incorporar maior funcionalidade e me- o o a e a ´lhorar a aparˆ ncia de p´ ginas Web. Embora sejam bastante uteis, podem representar riscos quandomal-implementados ou usados por pessoas mal-intencionadas. Alguns tipos de c´ digos m´ veis e os riscos que podem representar s˜ o: o o aProgramas e applets Java: normalmente os navegadores contˆ m m´ dulos espec´ficos para processar e o ı programas Java que, apesar de possu´rem mecanismos de seguranca, podem conter falhas de ı ¸ ¸˜ implementacao e permitir que um programa Java hostil viole a seguranca do computador. ¸JavaScripts: assim como outros scripts Web, podem ser usados para causar violacoes de seguranca ¸˜ ¸ em computadores. Um exemplo de ataque envolvendo JavaScript consiste em redirecionar usu´ rios de um site leg´timo para um site falso, para que instalem c´ digos maliciosos ou a ı o ¸˜ fornecam informacoes pessoais. ¸Componentes (ou controles) ActiveX: o navegador Web, pelo esquema de certificados digitais, ve- rifica a procedˆ ncia de um componente ActiveX antes de recebˆ -lo. Ao aceitar o certificado, o e e ´ ¸˜ componente e executado e pode efetuar qualquer tipo de acao, desde enviar um arquivo pela In- ternet at´ instalar programas (que podem ter fins maliciosos) em seu computador (mais detalhes e a ¸˜ sobre certificados digitais s˜ o apresentados na Secao 9.4 do Cap´tulo Criptografia). ı ¸˜Prevencao: a ´ ¸˜ Assim como no caso de cookies, n˜ o e indicado bloquear totalmente a execucao dos c´ digos om´ veis, pois isto pode afetar o acesso a determinados sites e servicos. Para se prevenir dos riscos, o ¸ ¸˜mas sem comprometer a sua navegacao, h´ algumas dicas que vocˆ deve seguir, como: a e • permita a execucao de programas Java e de JavaScripts mas assegure-se de utilizar comple- ¸˜ mentos, como por exemplo o NoScript (dispon´vel para alguns navegadores), para liberar gra- ı ¸˜ dualmente a execucao, conforme necess´ rio e apenas em sites confi´ veis; a a
  • 42 Cartilha de Seguranca para Internet ¸ • permita que componentes ActiveX sejam executados em seu computador apenas quando vierem de sites conhecidos e confi´ veis; a • seja cuidadoso ao permitir a instalacao de componentes n˜ o assinados (mais detalhes na Se- ¸˜ a ¸˜ cao 9.3 do Cap´tulo Criptografia). ı6.3 Janelas de pop-up Janelas de pop-up s˜ o aquelas que aparecem automaticamente e sem permiss˜ o, sobrepondo a a ajanela do navegador Web, ap´ s vocˆ acessar um site. Alguns riscos que podem representar s˜ o: o e a • apresentar mensagens indesejadas, contendo propagandas ou conte´ do impr´ prio; u o • apresentar links, que podem redirecionar a navegacao para uma p´ gina falsa ou induzi-lo a ¸˜ a instalar c´ digos maliciosos. o ¸˜Prevencao: • configure seu navegador Web para, por padr˜ o, bloquear janelas de pop-up; a • crie uma lista de excecoes, contendo apenas sites conhecidos e confi´ veis e onde forem real- ¸˜ a mente necess´ rias. a6.4 Plug-ins, complementos e extens˜ es o Plug-ins, complementos e extens˜ es s˜ o programas geralmente desenvolvidos por terceiros e que o avocˆ pode instalar em seu navegador Web ou leitor de e-mails para prover funcionalidades extras. e Esses programas, na maioria das vezes, s˜ o disponibilizados em reposit´ rios, onde podem ser a obaixados livremente ou comprados. Alguns reposit´ rios efetuam controle r´gido sobre os programas o ı a ¸˜antes de disponibiliz´ -los, outros utilizam classificacoes referentes ao tipo de revis˜ o, enquanto outros an˜ o efetuam nenhum tipo de controle. a Apesar de grande parte destes programas serem confi´ veis, h´ a chance de existir programas a a ¸˜especificamente criados para executar atividades maliciosas ou que, devido a erros de implementacao, ¸˜possam executar acoes danosas em seu computador. ¸˜Prevencao: • assegure-se de ter mecanismos de seguranca instalados e atualizados, antes de instalar progra- ¸ mas desenvolvidos por terceiros (mais detalhes no Cap´tulo Mecanismos de seguranca); ı ¸ • mantenha os programas instalados sempre atualizados (mais detalhes no Cap´tulo Seguranca de ı ¸ computadores);
  • 6. Outros riscos 43 • procure obter arquivos apenas de fontes confi´ veis; a • utilize programas com grande quantidade de usu´ rios (considerados populares) e que tenham a ¸˜ sido bem avaliados. Muitos reposit´ rios possuem sistema de classificacao, baseado em quan- o ¸˜ tidade de estrelas, concedidas de acordo com as avaliacoes recebidas. Selecione aqueles com mais estrelas; • veja coment´ rios de outros usu´ rios sobre o programa, antes de instal´ -lo (muitos sites dispo- a a a nibilizam listas de programas mais usados e mais recomendados); • verifique se as permiss˜ es necess´ rias para a instalacao e execucao s˜ o coerentes, ou seja, um o a ¸˜ ¸˜ a programa de jogos n˜ o necessariamente precisa ter acesso aos seus dados pessoais; a • seja cuidadoso ao instalar programas que ainda estejam em processo de revis˜ o; a • denuncie aos respons´ veis pelo reposit´ rio caso identifique programas maliciosos. a o6.5 Links patrocinados Um anunciante que queira fazer propaganda de um produto ou site paga para o site de buscaapresentar o link em destaque quando palavras espec´ficas s˜ o pesquisadas. Quando vocˆ clica em ı a eum link patrocinado, o site de busca recebe do anunciante um valor previamente combinado. O anunciante geralmente possui uma p´ gina Web - com acesso via conta de usu´ rio e senha - para a a ¸˜interagir com o site de busca, alterar configuracoes, verificar acessos e fazer pagamentos. Este tipo de ´conta e bastante visado por atacantes, com o intuito de criar redirecionamentos para p´ ginas de phish- aing ou contendo c´ digos maliciosos e representa o principal risco relacionado a links patrocinados. o ¸˜Prevencao: • n˜ o use sites de busca para acessar todo e qualquer tipo de site. Por exemplo: vocˆ n˜ o precisa a e a ´ ¸ ´ pesquisar para saber qual e o site do seu banco, j´ que geralmente o endereco e bem conhecido. a6.6 Banners de propaganda A Internet n˜ o trouxe novas oportunidades de neg´ cio apenas para anunciantes e sites de busca. a oUsu´ rios, de forma geral, podem obter rendimentos extras alugando espaco em suas p´ ginas para a ¸ aservicos de publicidade. ¸ Caso tenha uma p´ gina Web, vocˆ pode disponibilizar um espaco nela para que o servico de a e ¸ ¸ ´publicidade apresente banners de seus clientes. Quanto mais a sua p´ gina e acessada e quanto mais acliques s˜ o feitos nos banners por interm´ dio dela, mais vocˆ pode vir a ser remunerado. a e e Infelizmente pessoas mal-intencionadas tamb´ m viram no uso destes servicos novas oportunida- e ¸des para aplicar golpes, denominados malvertising1 . Este tipo de golpe consiste em criar an´ ncios u 1 Malvertising ´ ¸˜ e uma palavra em inglˆ s originada da juncao de “malicious” (malicioso) e “advertsing” (propaganda). e
  • 44 Cartilha de Seguranca para Internet ¸maliciosos e, por meio de servicos de publicidade, apresent´ -los em diversas p´ ginas Web. Geral- ¸ a a ¸ ´mente, o servico de publicidade e induzido a acreditar que se trata de um an´ ncio leg´timo e, ao u ı a ¸˜aceit´ -lo, intermedia a apresentacao e faz com que ele seja mostrado em diversas p´ ginas. a ¸˜Prevencao: • seja cuidadoso ao clicar em banners de propaganda (caso o an´ ncio lhe interesse, procure ir u diretamente para a p´ gina do fabricante); a • mantenha o seu computador protegido, com as vers˜ es mais recentes e com todas as atualiza- o ¸˜ coes aplicadas (mais detalhes no Cap´tulo Seguranca de computadores); ı ¸ • utilize e mantenha atualizados mecanismos de seguranca, como antimalware e firewall pessoal ¸ (mais detalhes no Cap´tulo Mecanismos de seguranca); ı ¸ • seja cuidadoso ao configurar as opcoes de privacidade em seu navegador Web (mais detalhes no ¸˜ Cap´tulo Privacidade). ı6.7 ¸˜ Programas de distribuicao de arquivos (P2P) ¸˜ Programas de distribuicao de arquivos, ou P2P, s˜ o aqueles que permitem que os usu´ rios com- a apartilhem arquivos entre si. Alguns exemplos s˜ o: Kazaa, Gnutella e BitTorrent. Alguns riscos arelacionados ao uso destes programas s˜ o: aAcesso indevido: caso esteja mal configurado ou possua vulnerabilidades o programa de distribuicao¸˜ de arquivos pode permitir o acesso indevido a diret´ rios e arquivos (al´ m dos compartilhados). o e ¸˜Obtencao de arquivos maliciosos: os arquivos distribu´dos podem conter c´ digos maliciosos e as- ı o sim, infectar seu computador ou permitir que ele seja invadido. ¸˜Violacao de direitos autorais: a distribuicao n˜ o autorizada de arquivos de m´ sica, filmes, textos ou ¸˜ a u ¸˜ programas protegidos pela lei de direitos autorais constitui a violacao desta lei. ¸˜Prevencao: • mantenha seu programa de distribuicao de arquivos sempre atualizado e bem configurado; ¸˜ • certifique-se de ter um antimalware instalado e atualizado e o utilize para verificar qualquer arquivo obtido (mais detalhes no Cap´tulo Mecanismos de seguranca); ı ¸ • mantenha o seu computador protegido, com as vers˜ es mais recentes e com todas as atualiza- o ¸˜ coes aplicadas (mais detalhes no Cap´tulo Seguranca de computadores); ı ¸ • certifique-se que os arquivos obtidos ou distribu´dos s˜ o livres, ou seja, n˜ o violam as leis de ı a a direitos autorais.
  • 6. Outros riscos 456.8 Compartilhamento de recursos Alguns sistemas operacionais permitem que vocˆ compartilhe com outros usu´ rios recursos do e aseu computador, como diret´ rios, discos, e impressoras. Ao fazer isto, vocˆ pode estar permitindo: o e • o acesso n˜ o autorizado a recursos ou informacoes sens´veis; a ¸˜ ı • que seus recursos sejam usados por atacantes caso n˜ o sejam definidas senhas para controle de a acesso ou sejam usadas senhas facilmente descobertas. Por outro lado, assim como vocˆ pode compartilhar recursos do seu computador, vocˆ tamb´ m e e epode acessar recursos que foram compartilhados por outros. Ao usar estes recursos, vocˆ pode estar ese arriscando a abrir arquivos ou a executar programas que contenham c´ digos maliciosos. o ¸˜Prevencao: • estabeleca senhas para os compartilhamentos; ¸ • estabeleca permiss˜ es de acesso adequadas, evitando que usu´ rios do compartilhamento tenham ¸ o a mais acessos que o necess´ rio; a • compartilhe seus recursos pelo tempo m´nimo necess´ rio; ı a • tenha um antimalware instalado em seu computador, mantenha-o atualizado e utilize-o para ve- rificar qualquer arquivo compartilhado (mais detalhes no Cap´tulo Mecanismos de seguranca); ı ¸ • mantenha o seu computador protegido, com as vers˜ es mais recentes e com todas as atualiza- o ¸˜ coes aplicadas (mais detalhes no Cap´tulo Seguranca de computadores). ı ¸
  • 7. Mecanismos de seguranca ¸ Agora que vocˆ j´ est´ ciente de alguns dos riscos relacionados ao uso de computadores e da e a a a ´Internet e que, apesar disso, reconhece que n˜ o e poss´vel deixar de usar estes recursos, est´ no ı amomento de aprender detalhadamente a se proteger. No seu dia a dia, h´ cuidados que vocˆ toma, muitas vezes de forma instintiva, para detectar e a e ¸˜evitar riscos. Por exemplo: o contato pessoal e a apresentacao de documentos possibilitam que vocˆ econfirme a identidade de algu´ m, a presenca na agˆ ncia do seu banco garante que h´ um relaciona- e ¸ e amento com ele, os Cart´ rios podem reconhecer a veracidade da assinatura de algu´ m, etc. o e ¸˜ E como fazer isto na Internet, onde as acoes s˜ o realizadas sem contato pessoal e por um meio de a ¸˜ ´comunicacao que, em princ´pio, e considerado inseguro? ı Para permitir que vocˆ possa aplicar na Internet cuidados similares aos que costuma tomar em seu e ´ ¸˜dia a dia, e necess´ rio que os servicos disponibilizados e as comunicacoes realizadas por este meio a ¸garantam alguns requisitos b´ sicos de seguranca, como: a ¸Identificacao: permitir que uma entidade1 se identifique, ou seja, diga quem ela e. ¸˜ ´ 1 Uma entidade pode ser, por exemplo, uma pessoa, uma empresa ou um programa de computador. 47
  • 48 Cartilha de Seguranca para Internet ¸ ¸˜Autenticacao: verificar se a entidade e realmente quem ela diz ser. ´ ¸˜Autorizacao: determinar as acoes que a entidade pode executar. ¸˜Integridade: proteger a informacao contra alteracao n˜ o autorizada. ¸˜ ¸˜ aConfidencialidade ou sigilo: proteger uma informacao contra acesso n˜ o autorizado. ¸˜ a a ´N˜ o repudio: evitar que uma entidade possa negar que foi ela quem executou uma acao. ¸˜Disponibilidade: garantir que um recurso esteja dispon´vel sempre que necess´ rio. ı a Para prover e garantir estes requisitos, foram adaptados e desenvolvidos os mecanismos de segu-ranca que, quando corretamente configurados e utilizados, podem auxili´ -lo a se proteger dos riscos ¸ aenvolvendo o uso da Internet. e ´ Antes de detalhar estes mecanismos, por´ m, e importante que vocˆ seja advertido sobre a possi- ebilidade de ocorrˆ ncia de “falso positivo”. Este termo e usado para designar uma situacao na qual e ´ ¸˜um mecanismo de seguranca aponta uma atividade como sendo maliciosa ou anˆ mala, quando na ¸ overdade trata-se de uma atividade leg´tima. Um falso positivo pode ser considerado um falso alarme ı(ou um alarme falso). a ı ´ Um falso positivo ocorre, por exemplo, quando uma p´ gina leg´tima e classificada como phishing, ´ ´uma mensagem leg´tima e considerada spam, um arquivo e erroneamente detectado como estando ı ` ¸˜infectado ou um firewall indica como ataques algumas respostas dadas as solicitacoes feitas pelopr´ prio usu´ rio. o a Apesar de existir esta possibilidade, isto n˜ o deve ser motivo para que os mecanismos de seguranca a ¸ a e ´n˜ o sejam usados, pois a ocorrˆ ncia destes casos e geralmente baixa e, muitas vezes, pode ser resol- ¸˜ ¸˜vida com alteracoes de configuracao ou nas regras de verificacao. ¸˜ o ¸˜ Nas pr´ ximas secoes s˜ o apresentados alguns dos principais mecanismos de seguranca e os cui- a ¸dados que vocˆ deve tomar ao usar cada um deles. e7.1 Pol´tica de seguranca ı ¸ ı ¸ ¸˜ ` A pol´tica de seguranca define os direitos e as responsabilidades de cada um em relacao a se- ¸ `guranca dos recursos computacionais que utiliza e as penalidades as quais est´ sujeito, caso n˜ o a a acumpra. ´ ¸˜ E considerada como um importante mecanismo de seguranca, tanto para as instituicoes como ¸ a ´para os usu´ rios, pois com ela e poss´vel deixar claro o comportamento esperado de cada um. Desta ıforma, casos de mau comportamento, que estejam previstos na pol´tica, podem ser tratados de forma ıadequada pelas partes envolvidas. A pol´tica de seguranca pode conter outras pol´ticas espec´ficas, como: ı ¸ ı ıPol´tica de senhas: define as regras sobre o uso de senhas nos recursos computacionais, como tama- ı ı a ¸˜ nho m´nimo e m´ ximo, regra de formacao e periodicidade de troca.Pol´tica de backup: define as regras sobre a realizacao de c´ pias de seguranca, como tipo de m´dia ı ¸˜ o ¸ ı ¸˜ ¸˜ utilizada, per´odo de retencao e frequˆ ncia de execucao. ı e
  • 7. Mecanismos de seguranca ¸ 49Pol´tica de privacidade: define como s˜ o tratadas as informacoes pessoais, sejam elas de clientes, ı a ¸˜ usu´ rios ou funcion´ rios. a aPol´tica de confidencialidade: define como s˜ o tratadas as informacoes institucionais, ou seja, se ı a ¸˜ elas podem ser repassadas a terceiros.Pol´tica de uso aceit´ vel (PUA) ou Acceptable Use Policy (AUP): tamb´ m chamada de “Termo de ı a e Uso” ou “Termo de Servico”, define as regras de uso dos recursos computacionais, os direitos ¸ ¸˜ e as responsabilidades de quem os utiliza e as situacoes que s˜ o consideradas abusivas. a A pol´tica de uso aceit´ vel costuma ser disponibilizada na p´ gina Web e/ou ser apresentada no ı a amomento em que a pessoa passa a ter acesso aos recursos. Talvez vocˆ j´ tenha se deparado com e aestas pol´ticas, por exemplo, ao ser admitido em uma empresa, ao contratar um provedor de acesso e ıao utilizar servicos disponibilizados por meio da Internet, como redes sociais e Webmail. ¸ ¸˜ Algumas situacoes que geralmente s˜ o consideradas de uso abusivo (n˜ o aceit´ vel) s˜ o: a a a a • compartilhamento de senhas; • divulgacao de informacoes confidenciais; ¸˜ ¸˜ • envio de boatos e mensagens contendo spam e c´ digos maliciosos; o • envio de mensagens com objetivo de difamar, caluniar ou ameacar algu´ m; ¸ e • c´ pia e distribuicao n˜ o autorizada de material protegido por direitos autorais; o ¸˜ a • ataques a outros computadores; • comprometimento de computadores ou redes. ` ı ¸ ` ı a ¸˜ O desrespeito a pol´tica de seguranca ou a pol´tica de uso aceit´ vel de uma instituicao pode serconsiderado como um incidente de seguranca e, dependendo das circunstˆ ncias, ser motivo para en- ¸ a ¸˜cerramento de contrato (de trabalho, de prestacao de servicos, etc.). ¸Cuidados a serem tomados: • procure estar ciente da pol´tica de seguranca da empresa onde vocˆ trabalha e dos servicos que ı ¸ e ¸ vocˆ utiliza (como Webmail e redes sociais); e • fique atento as mudancas que possam ocorrer nas pol´ticas de uso e de privacidade dos servicos ` ¸ ı ¸ que vocˆ utiliza, principalmente aquelas relacionadas ao tratamento de dados pessoais, para n˜ o e a ¸˜ ser surpreendido com alteracoes que possam comprometer a sua privacidade; • fique atento a pol´tica de confidencialidade da empresa onde vocˆ trabalha e seja cuidadoso ao ` ı e ¸˜ divulgar informacoes profissionais, principalmente em blogs e redes sociais (mais detalhes na ¸˜ Secao 11.1 do Cap´tulo Privacidade); ı • notifique sempre que se deparar com uma atitude considerada abusiva (mais detalhes na Se- ¸˜ cao 7.2).
  • 50 Cartilha de Seguranca para Internet ¸7.2 ¸˜ Notificacao de incidentes e abusos Um incidente de seguranca pode ser definido como qualquer evento adverso, confirmado ou sob ¸ ` ¸˜suspeita, relacionado a seguranca de sistemas de computacao ou de redes de computadores. ¸ Alguns exemplos de incidentes de seguranca s˜ o: tentativa de uso ou acesso n˜ o autorizado a ¸ a a ¸ ı ¸˜sistemas ou dados, tentativa de tornar servicos indispon´veis, modificacao em sistemas (sem o conhe- e ` ı ¸ `cimento ou consentimento pr´ vio dos donos) e o desrespeito a pol´tica de seguranca ou a pol´tica de ı ¸˜uso aceit´ vel de uma instituicao. a ´ E muito importante que vocˆ notifique sempre que se deparar com uma atitude que considere eabusiva ou com um incidente de seguranca. De modo geral, a lista de pessoas/entidades a serem ¸notificadas inclui: os respons´ veis pelo computador que originou a atividade, os respons´ veis pela a arede que originou o incidente (incluindo o grupo de seguranca e abusos, se existir um para aquela ¸rede) e o grupo de seguranca e abusos da rede a qual vocˆ est´ conectado (seja um provedor, empresa, ¸ e a ¸˜universidade ou outro tipo de instituicao). Ao notificar um incidente, al´ m de se proteger e contribuir para a seguranca global da Internet, e ¸tamb´ m ajudar´ outras pessoas a detectarem problemas, como computadores infectados, falhas de e a ¸˜ ¸˜configuracao e violacoes em pol´ticas de seguranca ou de uso aceit´ vel de recursos. ı ¸ a Para encontrar os respons´ veis por uma rede vocˆ deve consultar um “servidor de WHOIS”, onde a es˜ o mantidas as bases de dados sobre os respons´ veis por cada bloco de n´ meros IP existentes. Para a a uIPs alocados ao Brasil vocˆ pode consultar o servidor em http://registro.br/cgi-bin/whois/, epara os demais pa´ses vocˆ pode acessar o site http://www.geektools.com/whois.php que aceita ı econsultas referentes a qualquer n´ mero IP e as redireciona para os servidores apropriados2 . u ´ E importante que vocˆ mantenha o CERT.br na c´ pia das suas notificacoes3 , pois isto contribuir´ e o ¸˜ apara as atividades deste grupo e permitir´ que: a • os dados relativos a v´ rios incidentes sejam correlacionados, ataques coordenados sejam iden- a tificados e novos tipos de ataques sejam descobertos; • acoes corretivas possam ser organizadas em cooperacao com outras instituicoes; ¸˜ ¸˜ ¸˜ • sejam geradas estat´sticas que reflitam os incidentes ocorridos na Internet brasileira; ı • sejam geradas estat´sticas sobre a incidˆ ncia e origem de spams no Brasil; ı e • sejam escritos documentos, como recomendacoes e manuais, direcionados as necessidades dos ¸˜ ` usu´ rios da Internet no Brasil. a ¸˜ ¸˜ A notificacao deve incluir a maior quantidade de informacoes poss´vel, tais como: ı • logs completos; • data, hor´ rio e fuso hor´ rio (time zone) dos logs ou da atividade que est´ sendo notificada; a a a 2 Ose-mails encontrados nestas consultas n˜ o s˜ o necessariamente da pessoa que praticou o ataque, mas sim dos a a a `respons´ veis pela rede a qual o computador est´ conectado, ou seja, podem ser os administradores da rede, s´ cios da a o ¸˜empresa, ou qualquer outra pessoa que foi designada para cuidar da conex˜ o da instituicao com a Internet. a 3 Os enderecos de e-mail usados pelo CERT.br para o tratamento de incidentes de seguranca s˜ o: cert@cert.br (para ¸ ¸ a ¸˜ ¸˜notificacoes gerais) e mail-abuse@cert.br (espec´fico para reclamacoes de spam). ı
  • 7. Mecanismos de seguranca ¸ 51 • o e-mail completo, incluindo cabecalhos e conte´ do (no caso de notificacao de spam, trojan, ¸ u ¸˜ phishing ou outras atividades maliciosas recebidas por e-mail); • dados completos do incidente ou qualquer outra informacao que tenha sido utilizada para iden- ¸˜ tificar a atividade. ¸˜ Outras informacoes e respostas para as d´ vidas mais comuns referentes ao processo de notifica- u¸˜cao de incidentes podem ser encontradas na lista de quest˜ es mais frequentes (FAQ) mantida pelo oCERT.br e dispon´vel em http://www.cert.br/docs/faq1.html. ı7.3 Contas e senhas Contas e senhas s˜ o atualmente o mecanismo de au- a ¸˜tenticacao mais usado para o controle de acesso a sites eservicos oferecidos pela Internet. ¸ ´ E por meio das suas contas e senhas que os sistemas e´ ¸˜conseguem saber quem vocˆ e e definir as acoes que vocˆ epode realizar. ¸˜ ¸˜ Dicas de elaboracao, alteracao e gerenciamento, assim como os cuidados que vocˆ deve ter ao eusar suas contas e senhas, s˜ o apresentados no Cap´tulo Contas e senhas. a ı7.4 Criptografia Usando criptografia vocˆ pode proteger seus dados econtra acessos indevidos, tanto os que trafegam pela In-ternet como os j´ gravados em seu computador. a Detalhes sobre como a criptografia pode contribuir para manter a seguranca dos seus dados e os ¸conceitos de certificados e assinaturas digitais s˜ o apresentados no Cap´tulo Criptografia. a ı Detalhes sobre como a criptografia pode ser usada para garantir a conex˜ o segura aos sites na a a ¸˜Internet s˜ o apresentados na Secao 10.1 do Cap´tulo Uso seguro da Internet. ı7.5 C´ pias de seguranca (Backups) o ¸ Vocˆ j´ imaginou o que aconteceria se, de uma hora para outra, perdesse alguns ou at´ mesmo e a etodos os dados armazenados em seu computador? E se fossem todas as suas fotos ou os dados o ¸˜armazenados em seus dispositivos m´ veis? E se, ao enviar seu computador para manutencao, vocˆe ¸˜ ´o recebesse de volta com o disco r´gido formatado? Para evitar que estas situacoes acontecam, e ı ¸necess´ rio que vocˆ aja de forma preventiva e realize c´ pias de seguranca (backups). a e o ¸ o a a´ Muitas pessoas, infelizmente, s´ percebem a importˆ ncia de ter backups quando j´ e tarde demais,ou seja, quando os dados j´ foram perdidos e n˜ o se pode fazer mais nada para recuper´ -los. Backups a a as˜ o extremamente importantes, pois permitem: a
  • 52 Cartilha de Seguranca para Internet ¸ ¸˜Protecao de dados: vocˆ pode preservar seus dados para que sejam recuperados em situacoes como e ¸˜ ¸˜ ¸˜ falha de disco r´gido, atualizacao mal-sucedida do sistema operacional, exclus˜ o ou substituicao ı a ¸˜ acidental de arquivos, acao de c´ digos maliciosos/atacantes e furto/perda de dispositivos. o ¸˜Recuperacao de vers˜ es: vocˆ pode recuperar uma vers˜ o antiga de um arquivo alterado, como uma o e a parte exclu´da de um texto editado ou a imagem original de uma foto manipulada. ıArquivamento: vocˆ pode copiar ou mover dados que deseja ou que precisa guardar, mas que n˜ o e a s˜ o necess´ rios no seu dia a dia e que raramente s˜ o alterados. a a a ¸˜ Muitos sistemas operacionais j´ possuem ferramentas de backup e recuperacao integradas e tam- a ¸˜b´ m h´ a opcao de instalar programas externos. Na maioria dos casos, ao usar estas ferramentas, basta e aque vocˆ tome algumas decis˜ es, como: e oOnde gravar os backups: vocˆ pode usar m´dias (como CD, DVD, pen-drive, disco de Blu-ray e e ı disco r´gido interno ou externo) ou armazen´ -los remotamente (online ou off-site). A escolha ı a depende do programa de backup que est´ sendo usado e de quest˜ es como capacidade de ar- a o mazenamento, custo e confiabilidade. Um CD, DVD ou Blu-ray pode bastar para pequenas quantidades de dados, um pen-drive pode ser indicado para dados constantemente modificados, ao passo que um disco r´gido pode ser usado para grandes volumes que devam perdurar. ıQuais arquivos copiar: apenas arquivos confi´ veis4 e que tenham importˆ ncia para vocˆ devem ser a a e copiados. Arquivos de programas que podem ser reinstalados, geralmente, n˜ o precisam ser a copiados. Fazer c´ pia de arquivos desnecess´ rios pode ocupar espaco inutilmente e dificultar o a ¸ ¸˜ a localizacao dos demais dados. Muitos programas de backup j´ possuem listas de arquivos e a diret´ rios recomendados, vocˆ pode optar por aceit´ -las ou criar suas pr´ prias listas. o e a oCom que periodicidade devo realiz´ -los: depende da frequˆ ncia com que vocˆ cria ou modifica a e e arquivos. Arquivos frequentemente modificados podem ser copiados diariamente ao passo que aqueles pouco alterados podem ser copiados semanalmente ou mensalmente.Cuidados a serem tomados: • mantenha seus backups atualizados, de acordo com a frequˆ ncia de alteracao dos dados; e ¸˜ • mantenha seus backups em locais seguros, bem condicionados (longe de poeira, muito calor ou umidade) e com acesso restrito (apenas de pessoas autorizadas); • configure para que seus backups sejam realizados automaticamente e certifique-se de que eles estejam realmente sendo feitos (backups manuais est˜ o mais propensos a erros e esquecimento); a • al´ m dos backups peri´ dicos, sempre faca backups antes de efetuar grandes alteracoes no sis- e o ¸ ¸˜ ¸˜ ¸˜ tema (adicao de hardware, atualizacao do sistema operacional, etc.) e de enviar o computador ¸˜ para manutencao; • armazene dados sens´veis em formato criptografado (mais detalhes no Cap´tulo Criptografia); ı ı 4 Arquivos que possam conter c´ digos maliciosos ou ter sido modificados/substitu´dos por invasores n˜ o devem ser o ı acopiados.
  • 7. Mecanismos de seguranca ¸ 53 • mantenha backups redundantes, ou seja, v´ rias c´ pias, para evitar perder seus dados em um a o e ¸˜ incˆ ndio, inundacao, furto ou pelo uso de m´dias defeituosas (vocˆ pode escolher pelo menos ı e duas das seguintes possibilidades: sua casa, seu escrit´ rio e um reposit´ rio remoto); o o • cuidado com m´dias obsoletas (disquetes j´ foram muito usados para backups, por´ m, atual- ı a e mente, acess´ -los tˆ m-se se tornado cada vez mais complicado pela dificuldade em encontrar a e ¸˜ computadores com leitores deste tipo de m´dia e pela degradacao natural do material); ı • assegure-se de conseguir recuperar seus backups (a realizacao de testes peri´ dicos pode evitar ¸˜ o a p´ ssima surpresa de descobrir que os dados est˜ o corrompidos, em formato obsoleto ou que e a ¸˜ vocˆ n˜ o possui mais o programa de recuperacao); e a • mantenha seus backups organizados e identificados (vocˆ pode etiquet´ -los ou nome´ -los com e a a ¸˜ ¸˜ ¸˜ informacoes que facilitem a localizacao, como tipo do dado armazenado e data de gravacao); • copie dados que vocˆ considere importantes e evite aqueles que podem ser obtidos de fontes e externas confi´ veis, como os referentes ao sistema operacional ou aos programas instalados; a • nunca recupere um backup se desconfiar que ele cont´ m dados n˜ o confi´ veis. e a a Ao utilizar servicos de backup online h´ alguns cuidados adicionais que vocˆ deve tomar, como: ¸ a e • observe a disponibilidade do servico e procure escolher um com poucas interrupcoes (alta dis- ¸ ¸˜ ponibilidade); • observe o tempo estimado de transmiss˜ o de dados (tanto para realizacao do backup quanto a ¸˜ ¸˜ para recuperacao dos dados). Dependendo da banda dispon´vel e da quantidade de dados a ser ı copiada (ou recuperada), o backup online pode se tornar impratic´ vel; a • seja seletivo ao escolher o servico. Observe crit´ rios como suporte, tempo no mercado (h´ ¸ e a ¸ ´ quanto tempo o servico e oferecido), a opini˜ o dos demais usu´ rios e outras referˆ ncias que a a e vocˆ possa ter; e • leve em consideracao o tempo que seus arquivos s˜ o mantidos, o espaco de armazenagem e a ¸˜ a ¸ pol´tica de privacidade e de seguranca; ı ¸ • procure aqueles nos quais seus dados trafeguem pela rede de forma criptografada (caso n˜ o haja a esta possibilidade, procure vocˆ mesmo criptografar os dados antes de envi´ -los). e a7.6 Registro de eventos (Logs) Log5 e o registro de atividade gerado por programas e servicos de um computador. Ele pode ficar ´ ¸armazenado em arquivos, na mem´ ria do computador ou em bases de dados. A partir da an´ lise desta o a ¸˜informacao vocˆ pode ser capaz de: e 5 Log ´ e um termo t´ cnico que se refere ao registro de atividades de diversos tipos como, por exemplo, de conex˜ o e a ¸˜ ` ¸˜ ¸˜(informacoes sobre a conex˜ o de um computador a Internet) e de acesso a aplicacoes (informacoes de acesso de um a ¸˜ ´computador a uma aplicacao de Internet). Na Cartilha este termo e usado para se referir ao registro das atividades queocorrem no computador do usu´ rio. a
  • 54 Cartilha de Seguranca para Internet ¸ • detectar o uso indevido do seu computador, como um usu´ rio tentando acessar arquivos de a outros usu´ rios, ou alterar arquivos do sistema; a • detectar um ataque, como de forca bruta ou a exploracao de alguma vulnerabilidade; ¸ ¸˜ • rastrear (auditar) as acoes executadas por um usu´ rio no seu computador, como programas ¸˜ a utilizados, comandos executados e tempo de uso do sistema; • detectar problemas de hardware ou nos programas e servicos instalados no computador. ¸ Baseado nisto, vocˆ pode tomar medidas preventivas para tentar evitar que um problema maior eocorra ou, caso n˜ o seja poss´vel, tentar reduzir os danos. Alguns exemplos s˜ o: a ı a • se o disco r´gido do seu computador estiver apresentando mensagens de erro, vocˆ pode se ante- ı e ¸˜ cipar, fazer backup dos dados nele contidos e no momento oportuno envi´ -lo para manutencao; a • se um atacante estiver tentando explorar uma vulnerabilidade em seu computador, vocˆ podee verificar se as medidas preventivas j´ foram aplicadas e tentar evitar que o ataque ocorra; a • se n˜ o for poss´vel evitar um ataque, os logs podem permitir que as acoes executadas pelo a ı ¸˜ ¸˜ atacante sejam rastreadas, como arquivos alterados e as informacoes acessadas. ¸˜ ¸˜ Logs s˜ o essenciais para notificacao de incidentes, pois permitem que diversas informacoes im- aportantes sejam detectadas, como por exemplo: a data e o hor´ rio em que uma determinada atividade aocorreu, o fuso hor´ rio do log, o endereco IP de origem da atividade, as portas envolvidas e o pro- a ¸tocolo utilizado no ataque (TCP, UDP, ICMP, etc.), os dados completos que foram enviados para ocomputador ou rede e o resultado da atividade (se ela ocorreu com sucesso ou n˜ o). aCuidados a serem tomados: • mantenha o seu computador com o hor´ rio correto (o hor´ rio em que o log e registrado e usado a a ´ ´ na correlacao de incidentes de seguranca e, por este motivo, deve estar sincronizado6 ); ¸˜ ¸ • verifique o espaco em disco livre em seu computador (logs podem ocupar bastante espaco em ¸ ¸ ¸˜ disco, dependendo das configuracoes feitas); • evite registrar dados desnecess´ rios, pois isto, al´ m de poder ocupar espaco excessivo no disco, a e ¸ tamb´ m pode degradar o desempenho do computador, comprometer a execucao de tarefas e ¸˜ ¸˜ ¸˜ b´ sicas e dificultar a localizacao de informacoes de interesse; a • fique atento e desconfie caso perceba que os logs do seu computador foram apagados ou que ¸˜ deixaram de ser gerados por um per´odo (muitos atacantes, na tentativa de esconder as acoes ı executadas, desabilitam os servicos de logs e apagam os registros relacionados ao ataque ou, ¸ at´ mesmo, os pr´ prios arquivos de logs); e o • restrinja o acesso aos arquivos de logs. N˜ o e necess´ rio que todos os usu´ rios tenham acesso a ´ a a ` ¸˜ as informacoes contidas nos logs. Por isto, sempre que poss´vel, permita que apenas o usu´ rio ı a administrador tenha acesso a estes dados. 6 Informacoes ¸˜ sobre como manter o hor´ rio do seu computador sincronizado podem ser obtidas em http://ntp.br/. a
  • 7. Mecanismos de seguranca ¸ 557.7 Ferramentas antimalware Ferramentas antimalware s˜ o aquelas que procuram adetectar e, ent˜ o, anular ou remover os c´ digos maliciosos a ode um computador. Antiv´rus, antispyware, antirootkit e ıantitrojan s˜ o exemplos de ferramentas deste tipo. a Ainda que existam ferramentas espec´ficas para os diferentes tipos de c´ digos maliciosos, muitas ı o ´ ı ´ ¸˜ ¸˜vezes e dif´cil delimitar a area de atuacao de cada uma delas, pois a definicao do tipo de c´ digo omalicioso depende de cada fabricante e muitos c´ digos mesclam as caracter´sticas dos demais tipos o ı(mais detalhes no Cap´tulo C´ digos maliciosos (Malware)). ı o Entre as diferentes ferramentas existentes, a que engloba a maior quantidade de funcionalidades´e o antiv´rus. Apesar de inicialmente eles terem sido criados para atuar especificamente sobre v´rus, ı ıcom o passar do tempo, passaram tamb´ m a englobar as funcionalidades dos demais programas, efazendo com que alguns deles ca´ssem em desuso. ı H´ diversos tipos de programas antimalware que diferem entre si das seguintes formas: aM´ todo de deteccao: assinatura (uma lista de assinaturas7 e usada a procura de padr˜ es), heur´stica e ¸˜ ´ ` o ı ¸˜ (baseia-se nas estruturas, instrucoes e caracter´sticas que o c´ digo malicioso possui) e compor- ı o tamento (baseia-se no comportamento apresentado pelo c´ digo malicioso quando executado) o s˜ o alguns dos m´ todos mais comuns. a e ¸˜Forma de obtencao: podem ser gratuitos (quando livremente obtidos na Internet e usados por prazo indeterminado), experimentais (trial, usados livremente por um prazo predeterminado) e pagos (exigem que uma licenca seja adquirida). Um mesmo fabricante pode disponibilizar mais de ¸ um tipo de programa, sendo que a vers˜ o gratuita costuma possuir funcionalidades b´ sicas ao a a passo que a vers˜ o paga possui funcionalidades extras, al´ m de poder contar com suporte. a e ¸˜Execucao: podem ser localmente instalados no computador ou executados sob demanda por in- term´ dio do navegador Web. Tamb´ m podem ser online, quando enviados para serem exe- e e cutados em servidores remotos, por um ou mais programas.Funcionalidades apresentadas: al´ m das funcoes b´ sicas (detectar, anular e remover c´ digos ma- e ¸˜ a o liciosos) tamb´ m podem apresentar outras funcionalidade integradas, como a possibilidade de e ¸˜ ¸˜ geracao de discos de emergˆ ncia e firewall pessoal (mais detalhes na Secao 7.8). e Alguns exemplos de antimalware online s˜ o: a • Anubis - Analyzing Unknown Binaries http://anubis.iseclab.org/ • Norman Sandbox - SandBox Information Center http://www.norman.com/security_center/security_tools/ • ThreatExpert - Automated Threat Analysis http://www.threatexpert.com/ 7A assinatura de um c´ digo malicioso corresponde a caracter´sticas espec´ficas nele contidas e que permitem que seja o ı ıidentificado unicamente. Um arquivo de assinaturas corresponde ao conjunto de assinaturas definidas pelo fabricante paraos c´ digos maliciosos j´ detectados. o a
  • 56 Cartilha de Seguranca para Internet ¸ • VirusTotal - Free Online Virus, Malware and URL Scanner https://www.virustotal.com/ ` ´ Para escolher o antimalware que melhor se adapta a sua necessidade e importante levar em conta ı a a a ¸˜o uso que vocˆ faz e as caracter´sticas de cada vers˜ o. Observe que n˜ o h´ relacao entre o custo ee a eficiˆ ncia de um programa, pois h´ vers˜ es gratuitas que apresentam mais funcionalidades que e a overs˜ es pagas de outros fabricantes. Alguns sites apresentam comparativos entre os programas de odiferentes fabricantes que podem gui´ -lo na escolha do qual melhor lhe atende, tais como: a • AV-Comparatives - Independent Tests of Anti-Virus Software http://www.av-comparatives.org/ • Virus Bulletin - Independent Malware Advice http://www.virusbtn.com/Cuidados a serem tomados: • tenha um antimalware instalado em seu computador (programas online, apesar de bastante ´ ` uteis, exigem que seu computador esteja conectado a Internet para que funcionem corretamente e podem conter funcionalidades reduzidas); • utilize programas online quando suspeitar que o antimalware local esteja desabilitado/compro- metido ou quando necessitar de uma segunda opini˜ o (quiser confirmar o estado de um arquivo a que j´ foi verificado pelo antimalware local); a • configure o antimalware para verificar toda e qualquer extens˜ o de arquivo; a • configure o antimalware para verificar automaticamente arquivos anexados aos e-mails e obti- dos pela Internet; • configure o antimalware para verificar automaticamente os discos r´gidos e as unidades re- ı mov´veis (como pen-drives, CDs, DVDs e discos externos); ı • mantenha o arquivo de assinaturas sempre atualizado (configure o antimalware para atualiz´ -lo a automaticamente pela rede, de preferˆ ncia diariamente); e • mantenha o antimalware sempre atualizado, com a vers˜ o mais recente e com todas as atuali- a ¸˜ zacoes existentes aplicadas; • evite executar simultaneamente diferentes programas antimalware (eles podem entrar em con- ¸˜ flito, afetar o desempenho do computador e interferir na capacidade de deteccao um do outro); • crie um disco de emergˆ ncia e o utilize-o quando desconfiar que o antimalware instalado est´ e a desabilitado/comprometido ou que o comportamento do computador est´ estranho (mais lento, a gravando ou lendo o disco r´gido com muita frequˆ ncia, etc.). ı e
  • 7. Mecanismos de seguranca ¸ 577.8 Firewall pessoal ´ ´ Firewall pessoal e um tipo espec´fico de firewall que e utili- ızado para proteger um computador contra acessos n˜ o autoriza- ados vindos da Internet. Os programas antimalware, apesar da grande quantidade defuncionalidades, n˜ o s˜ o capazes de impedir que um atacante tente explorar, via rede, alguma vul- a anerabilidade existente em seu computador e nem de evitar o acesso n˜ o autorizado, caso haja algum abackdoor nele instalado 8 . Devido a isto, al´ m da instalacao do antimalware, e necess´ rio que vocˆ e ¸˜ ´ a eutilize um firewall pessoal. Quando bem configurado, o firewall pessoal pode ser capaz de: • registrar as tentativas de acesso aos servicos habilitados no seu computador; ¸ • bloquear o envio para terceiros de informacoes coletadas por invasores e c´ digos maliciosos; ¸˜ o • bloquear as tentativas de invas˜ o e de exploracao de vulnerabilidades do seu computador e a ¸˜ ¸˜ possibilitar a identificacao das origens destas tentativas; • analisar continuamente o conte´ do das conex˜ es, filtrando diversos tipos de c´ digos maliciosos u o o ¸˜ e barrando a comunicacao entre um invasor e um c´ digo malicioso j´ instalado; o a • evitar que um c´ digo malicioso j´ instalado seja capaz de se propagar, impedindo que vulnera- o a bilidades em outros computadores sejam exploradas. Alguns sistemas operacionais possuem firewall pessoal integrado. Caso o sistema instalado em e a a a ¸˜seu computador n˜ o possua um ou vocˆ n˜ o queira us´ -lo, h´ diversas opcoes dispon´veis (pagas ou a ıgratuitas). Vocˆ tamb´ m pode optar por um antimalware com funcionalidades de firewall pessoal e eintegradas.Cuidados a serem tomados: • antes de obter um firewall pessoal, verifique a procedˆ ncia e certifique-se de que o fabricante e e ´ confi´ vel; a • certifique-se de que o firewall instalado esteja ativo (estado: ativado); • configure seu firewall para registrar a maior quantidade de informacoes poss´veis (desta forma, ¸˜ ı ´ e poss´vel detectar tentativas de invas˜ o ou rastrear as conex˜ es de um invasor). ı a o ¸˜ ´ As configuracoes do firewall dependem de cada fabricante. De forma geral, a mais indicada e: • liberar todo tr´ fego de sa´da do seu computador (ou seja, permitir que seu computador acesse a ı outros computadores e servicos) e; ¸ • bloquear todo tr´ fego de entrada ao seu computador (ou seja, impedir que seu computador seja a acessado por outros computadores e servicos) e liberar as conex˜ es conforme necess´ rio, de ¸ o a acordo com os programas usados. 8 Exceto aqueles que possuem firewall pessoal integrado.
  • 58 Cartilha de Seguranca para Internet ¸7.9 Filtro antispam ` Os filtros antispam j´ vem integrado a maioria dos Webmails e pro- agramas leitores de e-mails e permite separar os e-mails desejados dosindesejados (spams). A maioria dos filtros passa por um per´odo inicial ıde treinamento, no qual o usu´ rio seleciona manualmente as mensagens a ¸˜consideradas spam e, com base nas classificacoes, o filtro vai “apren-dendo” a distinguir as mensagens. ¸˜ Mais informacoes sobre filtros antispam e cuidados a serem tomados podem ser encontradas em ¸˜http://antispam.br/. Mais detalhes sobre outras formas de prevencao contra spam s˜ o apresenta- adas no Cap´tulo Spam. ı7.10 Outros mecanismosFiltro antiphishing: j´ vem integrado a maioria dos navegadores Web e serve para alertar os usu´ rios a ` a a ´ quando uma p´ gina suspeita de ser falsa e acessada. O usu´ rio pode ent˜ o decidir se quer a a acess´ -la mesmo assim ou navegar para outra p´ gina. a aFiltro de janelas de pop-up: j´ vem integrado a maioria dos navegadores Web e permite que vocˆ a ` e ¸˜ controle a exibicao de janelas de pop-up. Vocˆ pode optar por bloquear, liberar totalmente ou e permitir apenas para sites espec´ficos. ıFiltro de c´ digos m´ veis: filtros, como o NoScript, permitem que vocˆ controle a execucao de c´ - o o e ¸˜ o e ¸˜ digos Java e JavaScript. Vocˆ pode decidir quando permitir a execucao destes c´ digos e se eles o ser˜ o executados temporariamente ou permanentemente - http://noscript.net/ aFiltro de bloqueio de propagandas: filtros, como o Adblock, permitem o bloqueio de sites conhe- cidos por apresentarem propagandas - http://adblockplus.org/ ¸˜Teste de reputacao de site: complementos, como o WOT (Web of Trust), permitem determinar a ¸˜ reputacao dos sites que vocˆ acessa. Por meio de um esquema de cores, ele indica a reputacao e ¸˜ do site, como: verde escuro (excelente), verde claro (boa), amarelo (insatisfat´ ria), vermelho o claro (m´ ) e vermelho escuro (p´ ssima) - http://www.mywot.com/ a e ¸˜Programa para verificacao de vulnerabilidades: programas, como o PSI (Secunia Personal Soft- ware Inspector), permitem verificar vulnerabilidades nos programas instalados em seu compu- tador e determinar quais devem ser atualizados - http://secunia.com/vulnerability_scanning/personal/Sites e complementos para expans˜ o de links curtos: complementos ou sites espec´ficos, como o a ı ´ LongURL, permitem verificar qual e o link de destino de um link curto. Desta forma, vocˆ e pode verificar a URL de destino, sem que para isto necessite acessar o link curto - http://longurl.org/Anonymizer: sites para navegacao anˆ nima, conhecidos como anonymizers, intermediam o envio e ¸˜ o ¸˜ recebimento de informacoes entre o seu navegador Web e o site que vocˆ deseja visitar. Desta e a ¸˜ forma, o seu navegador n˜ o recebe cookies e as informacoes por ele fornecidas n˜ o s˜ o repas- a a sadas para o site visitado - http://www.anonymizer.com/
  • 8. Contas e senhas Uma conta de usu´ rio, tamb´ m chamada de “nome de usu´ rio”, “nome de login” e username, a e a ` ¸˜ ´corresponde a identificacao unica de um usu´ rio em um computador ou servico. Por meio das contas a ¸ a ´de usu´ rio e poss´vel que um mesmo computador ou servico seja compartilhado por diversas pessoas, ı ¸ a ¸˜pois permite, por exemplo, identificar unicamente cada usu´ rio, separar as configuracoes espec´ficas ıde cada um e controlar as permiss˜ es de acesso. o a ´ ´ ¸˜ ´ A sua conta de usu´ rio e de conhecimento geral e e o que permite a sua identificacao. Ela e, muitasvezes, derivada do seu pr´ prio nome, mas pode ser qualquer sequˆ ncia de caracteres que permita que o evocˆ seja identificado unicamente, como o seu endereco de e-mail. Para garantir que ela seja usada e ¸ e ´ ¸˜apenas por vocˆ , e por mais ningu´ m, e que existem os mecanismos de autenticacao. e ¸˜ e´ Existem trˆ s grupos b´ sicos de mecanismos de autenticacao, que se utilizam de: aquilo que vocˆ e e a ¸˜(informacoes biom´ tricas, como a sua impress˜ o digital, a palma da sua m˜ o, a sua voz e o seu olho), e a aaquilo que apenas vocˆ possui (como seu cart˜ o de senhas banc´ rias e um token gerador de senhas) e a ae, finalmente, aquilo que apenas vocˆ sabe (como perguntas de seguranca e suas senhas). e ¸ ´ Uma senha, ou password, serve para autenticar uma conta, ou seja, e usada no processo de ¸˜ e ´verificacao da sua identidade, assegurando que vocˆ e realmente quem diz ser e que possui o di- a ´ ¸˜reito de acessar o recurso em quest˜ o. E um dos principais mecanismos de autenticacao usados naInternet devido, principalmente, a simplicidade que possui. 59
  • 60 Cartilha de Seguranca para Internet ¸ a ` Se uma outra pessoa souber a sua conta de usu´ rio e tiver acesso a sua senha ela poder´ us´ -las a a ¸˜para se passar por vocˆ na Internet e realizar acoes em seu nome, como: e • acessar a sua conta de correio eletrˆ nico e ler seus e-mails, enviar mensagens de spam e/ou o contendo phishing e c´ digos maliciosos, furtar sua lista de contatos e pedir o reenvio de senhas o de outras contas para este endereco de e-mail (e assim conseguir acesso a elas); ¸ • acessar o seu computador e obter informacoes sens´veis nele armazenadas, como senhas e ¸˜ ı n´ meros de cart˜ es de cr´ dito; u o e • utilizar o seu computador para esconder a real identidade desta pessoa (o invasor) e, ent˜ o, a desferir ataques contra computadores de terceiros; • acessar sites e alterar as configuracoes feitas por vocˆ , de forma a tornar p´ blicas informacoes ¸˜ e u ¸˜ que deveriam ser privadas; • acessar a sua rede social e usar a confianca que as pessoas da sua rede de relacionamento ¸ e ¸˜ depositam em vocˆ para obter informacoes sens´veis ou para o envio de boatos, mensagens de ı spam e/ou c´ digos maliciosos. o8.1 Uso seguro de contas e senhas Algumas das formas como a sua senha pode ser descoberta s˜ o: a • ao ser usada em computadores infectados. Muitos c´ digos maliciosos, ao infectar um compu- o tador, armazenam as teclas digitadas (inclusive senhas), espionam o teclado pela webcam (caso ¸˜ vocˆ possua uma e ela esteja apontada para o teclado) e gravam a posicao da tela onde o mouse e ¸˜ foi clicado (mais detalhes na Secao 4.4 do Cap´tulo C´ digos maliciosos (Malware)); ı o • ao ser usada em sites falsos. Ao digitar a sua senha em um site falso, achando que est´ no a site verdadeiro, um atacante pode armazen´ -la e, posteriormente, us´ -la para acessar o site a a ¸˜ ¸˜ verdadeiro e realizar operacoes em seu nome (mais detalhes na Secao 2.3 do Cap´tulo Golpes ı na Internet); • por meio de tentativas de adivinhacao (mais detalhes na Secao 3.5 do Cap´tulo Ataques na ¸˜ ¸˜ ı Internet); • ao ser capturada enquanto trafega na rede, sem estar criptografada (mais detalhes na Secao 3.4 ¸˜ do Cap´tulo Ataques na Internet); ı • por meio do acesso ao arquivo onde a senha foi armazenada caso ela n˜ o tenha sido gravada de a forma criptografada (mais detalhes no Cap´tulo Criptografia); ı • com o uso de t´ cnicas de engenharia social, como forma a persuadi-lo a entreg´ -la voluntaria- e a mente; • pela observacao da movimentacao dos seus dedos no teclado ou dos cliques do mouse em ¸˜ ¸˜ teclados virtuais.
  • 8. Contas e senhas 61Cuidados a serem tomados ao usar suas contas e senhas: • certifique-se de n˜ o estar sendo observado ao digitar as suas senhas; a • n˜ o forneca as suas senhas para outra pessoa, em hip´ tese alguma; a ¸ o • certifique-se de fechar a sua sess˜ o ao acessar sites que requeiram o uso de senhas. Use a opcao a ¸˜ ¸˜ de sair (logout), pois isto evita que suas informacoes sejam mantidas no navegador; • elabore boas senhas, conforme descrito na Secao 8.2; ¸˜ • altere as suas senhas sempre que julgar necess´ rio, conforme descrito na Secao 8.3; a ¸˜ • n˜ o use a mesma senha para todos os servicos que acessa (dicas de gerenciamento de senhas a ¸ ¸˜ s˜ o fornecidas na Secao 8.4); a • ao usar perguntas de seguranca para facilitar a recuperacao de senhas, evite escolher quest˜ es ¸ ¸˜ o ¸˜ cujas respostas possam ser facilmente adivinhadas (mais detalhes na Secao 8.5); • certifique-se de utilizar servicos criptografados quando o acesso a um site envolver o forneci- ¸ ¸˜ mento de senha (mais detalhes na Secao 10.1 do Cap´tulo Uso seguro da Internet); ı • procure manter sua privacidade, reduzindo a quantidade de informacoes que possam ser cole- ¸˜ tadas sobre vocˆ , pois elas podem ser usadas para adivinhar a sua senha, caso vocˆ n˜ o tenha e e a sido cuidadoso ao elabor´ -la (mais detalhes no Cap´tulo Privacidade); a ı • mantenha a seguranca do seu computador (mais detalhes no Cap´tulo Seguranca de computa- ¸ ı ¸ dores); • seja cuidadoso ao usar a sua senha em computadores potencialmente infectados ou comprome- ¸˜ ¸˜ tidos. Procure, sempre que poss´vel, utilizar opcoes de navegacao anˆ nima (mais detalhes na ı o ¸˜ Secao 12.3 do Cap´tulo Seguranca de computadores). ı ¸8.2 ¸˜ Elaboracao de senhas ´ ´ Uma senha boa, bem elaborada, e aquela que e dif´cil de ser descoberta (forte) e f´ cil de ser ı alembrada. N˜ o conv´ m que vocˆ crie uma senha forte se, quando for us´ -la, n˜ o conseguir record´ - a e e a a ala. Tamb´ m n˜ o conv´ m que vocˆ crie uma senha f´ cil de ser lembrada se ela puder ser facilmente e a e e adescoberta por um atacante. Alguns elementos que vocˆ n˜ o deve usar na elaboracao de suas senhas s˜ o: e a ¸˜ aQualquer tipo de dado pessoal: evite nomes, sobrenomes, contas de usu´ rio, n´ meros de documen- a u tos, placas de carros, n´ meros de telefones e datas u 1 (estes dados podem ser facilmente obtidos e usados por pessoas que queiram tentar se autenticar como vocˆ ).eSequˆ ncias de teclado: evite senhas associadas a proximidade entre os caracteres no teclado, como e ` “1qaz2wsx” e “QwerTAsdfG”, pois s˜ o bastante conhecidas e podem ser facilmente observadas a ao serem digitadas. 1 Qualquer data que possa estar relacionada a vocˆ , como a data de seu anivers´ rio ou de seus familiares. e a
  • 62 Cartilha de Seguranca para Internet ¸Palavras que facam parte de listas: evite palavras presentes em listas publicamente conhecidas, ¸ como nomes de m´ sicas, times de futebol, personagens de filmes, dicion´ rios de diferentes u a idiomas, etc. Existem programas que tentam descobrir senhas combinando e testando estas pa- a ¸˜ lavras e que, portanto, n˜ o devem ser usadas (mais detalhes na Secao 3.5 do Cap´tulo Ataques ı na Internet). Alguns elementos que vocˆ deve usar na elaboracao de suas senhas s˜ o: e ¸˜ a ´Numeros aleat´ rios: quanto mais ao acaso forem os n´ meros usados melhor, principalmente em o u sistemas que aceitem exclusivamente caracteres num´ ricos. eGrande quantidade de caracteres: quanto mais longa for a senha mais dif´cil ser´ descobri-la. A- ı a pesar de senhas longas parecerem, a princ´pio, dif´ceis de serem digitadas, com o uso frequente ı ı elas acabam sendo digitadas facilmente.Diferentes tipos de caracteres: quanto mais “baguncada” for a senha mais dif´cil ser´ descobri-la. ¸ ı a u ¸˜ Procure misturar caracteres, como n´ meros, sinais de pontuacao e letras mai´ sculas e min´ s- u u ¸˜ culas. O uso de sinais de pontuacao pode dificultar bastante que a senha seja descoberta, sem necessariamente torn´ -la dif´cil de ser lembrada. a ı Algumas dicas2 pr´ ticas que vocˆ pode usar na elaboracao de boas senhas s˜ o: a e ¸˜ aSelecione caracteres de uma frase: baseie-se em uma frase e selecione a primeira, a segunda ou a ´ ultima letra de cada palavra. Exemplo: com a frase “O Cravo brigou com a Rosa debaixo ¸˜ de uma sacada” vocˆ pode gerar a senha “?OCbcaRddus” (o sinal de interrogacao foi colocado e ı ı ` no in´cio para acrescentar um s´mbolo a senha).Utilize uma frase longa: escolha uma frase longa, que faca sentido para vocˆ , que seja f´ cil de ser ¸ e a ¸˜ memorizada e que, se poss´vel, tenha diferentes tipos de caracteres. Evite citacoes comuns ı ` (como ditados populares) e frases que possam ser diretamente ligadas a vocˆ (como o refr˜ o de e a sua m´ sica preferida). Exemplo: se quando crianca vocˆ sonhava em ser astronauta, pode usar u ¸ e como senha “1 dia ainda verei os aneis de Saturno!!!”. ¸ ¸˜Faca substituicoes de caracteres: invente um padr˜ o de substituicao baseado, por exemplo, na se- a ¸˜ melhanca visual (“w” e “vv”) ou de fon´ tica (“ca” e “k”) entre os caracteres. Crie o seu ¸ e o a a a ´ pr´ prio padr˜ o pois algumas trocas j´ s˜ o bastante obvias. Exemplo: duplicando as letras “s” e “r”, substituindo “o” por “0” (n´ mero zero) e usando a frase “Sol, astro-rei do Sistema u Solar” vocˆ pode gerar a senha “SS0l, asstrr0-rrei d0 SSisstema SS0larr”. e Existem servicos que permitem que vocˆ teste a complexidade de uma senha e que, de acordo ¸ ecom crit´ rios, podem classific´ -la como sendo, por exemplo, “muito fraca”, “fraca”, “forte” e a ¸ ´ou “muito forte”. Ao usar estes servicos e importante ter em mente que, mesmo que uma senhatenha sido classificada como “muito forte”, pode ser que ela n˜ o seja uma boa senha caso contenha adados pessoais que n˜ o s˜ o de conhecimento do servico, mas que podem ser de conhecimento de um a a ¸atacante. e´ ´ Apenas vocˆ e capaz de definir se a senha elaborada e realmente boa! 2 As senhas e os padr˜ es usados para ilustrar as dicas, tanto nesta como nas vers˜ es anteriores da Cartilha, n˜ o devem o o aser usados pois j´ s˜ o de conhecimento p´ blico. Vocˆ deve adaptar estas dicas e criar suas pr´ prias senhas e padr˜ es. a a u e o o
  • 8. Contas e senhas 638.3 ¸˜ Alteracao de senhas Vocˆ deve alterar a sua senha imediatamente sempre que desconfiar que ela pode ter sido desco- eberta ou que o computador no qual vocˆ a utilizou pode ter sido invadido ou infectado. e Algumas situacoes onde vocˆ deve alterar rapidamente a sua senha s˜ o: ¸˜ e a • se um computador onde a senha esteja armazenada tenha sido furtado ou perdido; • se usar um padr˜ o para a formacao de senhas e desconfiar que uma delas tenha sido descoberta. a ¸˜ Neste caso, tanto o padr˜ o como todas as senhas elaboradas com ele devem ser trocadas pois, a com base na senha descoberta, um atacante pode conseguir inferir as demais; • se utilizar uma mesma senha em mais de um lugar e desconfiar que ela tenha sido descoberta ´ em algum deles. Neste caso, esta senha deve ser alterada em todos os lugares nos quais e usada; • ao adquirir equipamentos acess´veis via rede, como roteadores Wi-Fi, dispositivos bluetooth e ı modems ADSL (Asymmetric Digital Subscriber Line). Muitos destes equipamentos s˜ o confi- a gurados de f´ brica com senha padr˜ o, facilmente obtida em listas na Internet, e por isto, sempre a a que poss´vel, deve ser alterada (mais detalhes no Cap´tulo Seguranca de redes). ı ı ¸ Nos demais casos e importante que a sua senha seja alterada regularmente, como forma de as- ´segurar a confidencialidade. N˜ o h´ como definir, entretanto, um per´odo ideal para que a troca seja a a ı ´feita, pois depende diretamente de qu˜ o boa ela e e de quanto vocˆ a exp˜ e (vocˆ a usa em computa- a e o edores de terceiros? Vocˆ a usa para acessar outros sites? Vocˆ mant´ m seu computador atualizado?). e e e N˜ o conv´ m que vocˆ troque a senha em per´odos muito curtos (menos de um mˆ s, por exemplo) a e e ı ese, para conseguir se recordar, precisar´ elaborar uma senha fraca ou anot´ -la em um papel e col´ -lo a a ano monitor do seu computador. Per´odos muito longos (mais de um ano, por exemplo) tamb´ m n˜ o ı e as˜ o desej´ veis pois, caso ela tenha sido descoberta, os danos causados podem ser muito grandes. a a8.4 Gerenciamento de contas e senhas Vocˆ j´ pensou em quantas contas e senhas diferentes precisa memorizar e combinar para acessar e a ¸˜ ¸˜todos os servicos que utiliza e que exigem autenticacao? Atualmente, confiar apenas na memorizacao ¸pode ser algo bastante arriscado. Para resolver este problema muitos usu´ rios acabam usando t´ cnicas que podem ser bastante a eperigosas e que, sempre que poss´vel, devem ser evitadas. Algumas destas t´ cnicas e os cuidados que ı evocˆ deve tomar caso, mesmo ciente dos riscos, opte por us´ -las s˜ o: e a aReutilizar as senhas: usar a mesma senha para acessar diferentes contas pode ser bastante arriscado, pois basta ao atacante conseguir a senha de uma conta para conseguir acessar as demais contas onde esta mesma senha foi usada. • procure n˜ o usar a mesma senha para assuntos pessoais e profissionais; a • jamais reutilize senhas que envolvam o acesso a dados sens´veis, como as usadas em ı Internet Banking ou e-mail.
  • 64 Cartilha de Seguranca para Internet ¸ ¸˜Usar opcoes como “Lembre-se de mim” e “Continuar conectado”: o uso destas opcoes faz com ¸˜ ¸˜ que informacoes da sua conta de usu´ rio sejam salvas em cookies que podem ser indevidamente a coletados e permitam que outras pessoas se autentiquem como vocˆ .e • use estas opcoes somente nos sites nos quais o risco envolvido e bastante baixo; ¸˜ ´ • jamais as utilize em computadores de terceiros.Salvar as senhas no navegador Web: esta pr´ tica e bastante arriscada, pois caso as senhas n˜ o es- a ´ a tejam criptografadas com uma chave mestra, elas podem ser acessadas por c´ digos maliciosos, o atacantes ou outras pessoas que venham a ter acesso ao computador. • assegure-se de configurar uma chave mestra; • seja bastante cuidadoso ao elaborar sua chave mestra, pois a seguranca das demais senhas ¸ depende diretamente da seguranca dela; ¸ • n˜ o esqueca sua chave mestra. a ¸ Para n˜ o ter que recorrer a estas t´ cnicas ou correr o risco de esquecer suas contas/senhas ou, pior a eainda, ter que apelar para o uso de senhas fracas, vocˆ pode buscar o aux´lio de algumas das formas e ıde gerenciamento dispon´veis. ı ´ Uma forma bastante simples de gerenciamento e listar suas contas/senhas em um papel e guard´ - alo em um local seguro (como uma gaveta trancada). Neste caso, a seguranca depende diretamente da ¸dificuldade de acesso ao local escolhido para guardar este papel (de nada adianta col´ -lo no monitor, a a ´deix´ -lo embaixo do teclado ou sobre a mesa). Veja que e prefer´vel usar este m´ todo a optar pelo uso ı e ´de senhas fracas pois, geralmente, e mais f´ cil garantir que ningu´ m ter´ acesso f´sico ao local onde a e a ıo papel est´ guardado do que evitar que uma senha fraca seja descoberta na Internet. a Caso vocˆ considere este m´ todo pouco pr´ tico, pode optar por outras formas de gerenciamento e e acomo as apresentadas a seguir, juntamente com alguns cuidados b´ sicos que vocˆ deve ter ao us´ -las: a e aCriar grupos de senhas, de acordo com o risco envolvido: vocˆ pode criar senhas unicas e bas- e ´ tante fortes e us´ -las onde haja recursos valiosos envolvidos (por exemplo, para acesso a In- a ´ ternet Banking ou e-mail). Outras senhas unicas, por´ m um pouco mais simples, para casos e nos quais o valor do recurso protegido e ´ inferior (por exemplo, sites de com´ rcio eletrˆ nico, e o ¸˜ desde que suas informacoes de pagamento, como n´ mero de cart˜ o de cr´ dito, n˜ o sejam ar- u a e a mazenadas para uso posterior) e outras simples e reutilizadas para acessos sem risco (como o cadastro para baixar um determinado arquivo). • reutilize senhas apenas em casos nos quais o risco envolvido e bastante baixo. ´Usar um programa gerenciador de contas/senhas: programas, como 1Password3 e KeePass4 , per- ´ mitem armazenar grandes quantidades de contas/senhas em um unico arquivo, acess´vel por ı meio de uma chave mestra. • seja bastante cuidadoso ao elaborar sua chave mestra, pois a seguranca das demais senhas ¸ depende diretamente da seguranca dela; ¸ 3 1Password - https://agilebits.com/onepassword. 4 KeePass - http://keepass.info/.
  • 8. Contas e senhas 65 • n˜ o esqueca sua chave mestra (sem ela, n˜ o h´ como vocˆ acessar os arquivos que foram a ¸ a a e criptografados, ou seja, todas as suas contas/senhas podem ser perdidas); • assegure-se de obter o programa gerenciador de senhas de uma fonte confi´ vel e de sempre a mantˆ -lo atualizado; e • evite depender do programa gerenciador de senhas para acessar a conta do e-mail de re- ¸˜ ¸˜ cuperacao (mais detalhes na Secao 8.5).Gravar em um arquivo criptografado: vocˆ pode manter um arquivo criptografado em seu com- e putador e utiliz´ -lo para cadastrar manualmente todas as suas contas e senhas. a • assegure-se de manter o arquivo sempre criptografado; • assegure-se de manter o arquivo atualizado (sempre que alterar uma senha que esteja ca- dastrada no arquivo, vocˆ deve lembrar de atualiz´ -lo); e a • faca backup do arquivo de senhas, para evitar perdˆ -lo caso haja problemas em seu com- ¸ e putador.8.5 ¸˜ Recuperacao de senhas Mesmo que vocˆ tenha tomado cuidados para elaborar a sua senha e utilizado mecanismos de egerenciamento, podem ocorrer casos, por in´ meros motivos, de vocˆ perdˆ -la. Para restabelecer o u e eacesso perdido, alguns sistemas disponibilizam recursos como: • permitir que vocˆ responda a uma pergunta de seguranca previamente determinada por vocˆ ; e ¸ e • enviar a senha, atual ou uma nova, para o e-mail de recuperacao previamente definido por vocˆ ; ¸˜ e • confirmar suas informacoes cadastrais, como data de anivers´ rio, pa´s de origem, nome da m˜ e, ¸˜ a ı a n´ meros de documentos, etc; u • apresentar uma dica de seguranca previamente cadastrada por vocˆ ; ¸ e • enviar por mensagem de texto para um n´ mero de celular previamente cadastrado por vocˆ . u e ´ Todos estes recursos podem ser muito uteis, desde que cuidadosamente utilizados, pois assimcomo podem permitir que vocˆ recupere um acesso, tamb´ m podem ser usados por atacantes que e equeiram se apossar da sua conta. Alguns cuidados que vocˆ deve tomar ao us´ -los s˜ o: e a a • cadastre uma dica de seguranca que seja vaga o suficiente para que ningu´ m mais consiga ¸ e descobri-la e clara o bastante para que vocˆ consiga entendˆ -la. Exemplo: se sua senha for e e “SS0l, asstrr0-rrei d0 SSisstema SS0larr”5 , pode cadastrar a dica “Uma das notas musicais”, o que o far´ se lembrar da palavra “Sol” e se recordar da senha; a 5 Esta ¸˜ senha foi sugerida na Secao 8.2.
  • 66 Cartilha de Seguranca para Internet ¸ • seja cuidadoso com as informacoes que vocˆ disponibiliza em blogs e redes sociais, pois po- ¸˜ e dem ser usadas por atacantes para tentar confirmar os seus dados cadastrais, descobrir dicas e responder perguntas de seguranca (mais detalhes no Cap´tulo Privacidade); ¸ ı • evite cadastrar perguntas de seguranca que possam ser facilmente descobertas, como o nome ¸ do seu cachorro ou da sua m˜ e. Procure criar suas pr´ prias perguntas e, de preferˆ ncia, com a o e respostas falsas. Exemplo: caso vocˆ tenha medo de altura, pode criar a pergunta “Qual seu e esporte favorito?” e colocar como resposta “paraquedismo” ou “alpinismo”; • ao receber senhas por e-mail procure alter´ -las o mais r´ pido poss´vel. Muitos sistemas enviam a a ı as senhas em texto claro, ou seja, sem nenhum tipo de criptografia e elas podem ser obtidas caso ` ¸˜ algu´ m tenha acesso a sua conta de e-mail ou utilize programas para interceptacao de tr´ fego e a ¸˜ (mais detalhes na Secao 3.4 do Cap´tulo Ataques na Internet); ı • procure cadastrar um e-mail de recuperacao que vocˆ acesse regularmente, para n˜ o esquecer a ¸˜ e a senha desta conta tamb´ m; e • procure n˜ o depender de programas gerenciadores de senhas para acessar o e-mail de recupe- a ¸˜ racao (caso vocˆ esqueca sua chave mestra ou, por algum outro motivo, n˜ o tenha mais acesso e ¸ a ` ¸˜ ´ as suas senhas, o acesso ao e-mail de recuperacao pode ser a unica forma de restabelecer os acessos perdidos); • preste muita atencao ao cadastrar o e-mail de recuperacao para n˜ o digitar um endereco que seja ¸˜ ¸˜ a ¸ inv´ lido ou pertencente a outra pessoa. Para evitar isto, muitos sites enviam uma mensagem de a ¸˜ ´ confirmacao assim que o cadastro e realizado. Tenha certeza de recebˆ -la e de que as eventuais e ¸˜ ¸˜ instrucoes de verificacao tenham sido executadas.
  • 9. Criptografia A criptografia, considerada como a ciˆ ncia e a arte de escrever mensagens em forma cifrada ou e o ´em c´ digo, e um dos principais mecanismos de seguranca que vocˆ pode usar para se proteger dos ¸ eriscos associados ao uso da Internet. A primeira vista ela at´ pode parecer complicada, mas para usufruir dos benef´cios que proporci- e ıona vocˆ n˜ o precisa estud´ -la profundamente e nem ser nenhum matem´ tico experiente. Atualmente, e a a a `a criptografia j´ est´ integrada ou pode ser facilmente adicionada a grande maioria dos sistemas ope- a a ¸˜ ¸˜racionais e aplicativos e para us´ -la, muitas vezes, basta a realizacao de algumas configuracoes ou acliques de mouse. Por meio do uso da criptografia vocˆ pode: e • proteger os dados sigilosos armazenados em seu computador, como o seu arquivo de senhas e ¸˜ a sua declaracao de Imposto de Renda; • criar uma area (particao) espec´fica no seu computador, na qual todas as informacoes que forem ´ ¸˜ ı ¸˜ l´ gravadas ser˜ o automaticamente criptografadas; a a • proteger seus backups contra acesso indevido, principalmente aqueles enviados para areas de ´ armazenamento externo de m´dias; ı • proteger as comunicacoes realizadas pela Internet, como os e-mails enviados/recebidos e as ¸˜ ¸˜ transacoes banc´ rias e comerciais realizadas. a ¸˜ e ´ Nas pr´ ximas secoes s˜ o apresentados alguns conceitos de criptografia. Antes, por´ m, e impor- o atante que vocˆ se familiarize com alguns termos geralmente usados e que s˜ o mostrados na Tabela 9.1. e a 67
  • 68 Cartilha de Seguranca para Internet ¸ Termo Significado Texto claro ¸˜ Informacao leg´vel (original) que ser´ protegida, ou seja, que ser´ codificada ı a a Texto codificado (cifrado) ¸˜ Texto ileg´vel, gerado pela codificacao de um texto claro ı Codificar (cifrar) Ato de transformar um texto claro em um texto codificado Decodificar (decifrar) Ato de transformar um texto codificado em um texto claro M´ todo criptogr´ fico e a Conjunto de programas respons´ vel por codificar e decodificar informacoes a ¸˜ Chave ´ Similar a uma senha, e utilizada como elemento secreto pelos m´ todos crip- e ´ togr´ ficos. Seu tamanho e geralmente medido em quantidade de bits a ¸˜ Canal de comunicacao ¸˜ Meio utilizado para a troca de informacoes Remetente Pessoa ou servico que envia a informacao ¸ ¸˜ Destinat´ rio a Pessoa ou servico que recebe a informacao ¸ ¸˜ ¸˜ Tabela 9.1: Termos empregados em criptografia e comunicacoes via Internet.9.1 Criptografia de chave sim´ trica e de chaves assim´ tricas e e De acordo com o tipo de chave usada, os m´ todos criptogr´ ficos podem ser subdivididos em duas e agrandes categorias: criptografia de chave sim´ trica e criptografia de chaves assim´ tricas. e eCriptografia de chave sim´ trica: tamb´ m chamada de criptografia de chave secreta ou unica, uti- e e ´ ¸˜ liza uma mesma chave tanto para codificar como para decodificar informacoes, sendo usada principalmente para garantir a confidencialidade dos dados. ¸˜ ´ Casos nos quais a informacao e codificada e decodificada por uma mesma pessoa n˜ o h´ ne- a a ¸˜ cessidade de compartilhamento da chave secreta. Entretanto, quando estas operacoes envolvem ´ pessoas ou equipamentos diferentes, e necess´ rio que a chave secreta seja previamente combi- a ¸˜ nada por meio de um canal de comunicacao seguro (para n˜ o comprometer a confidencialidade a da chave). Exemplos de m´ todos criptogr´ ficos que usam chave sim´ trica s˜ o: AES, Blowfish, e a e a RC4, 3DES e IDEA.Criptografia de chaves assim´ tricas: tamb´ m conhecida como criptografia de chave p´ blica, uti- e e u liza duas chaves distintas: uma p´ blica, que pode ser livremente divulgada, e uma privada, que u deve ser mantida em segredo por seu dono. ¸˜ ´ Quando uma informacao e codificada com uma das chaves, somente a outra chave do par pode ¸˜ decodific´ -la. Qual chave usar para codificar depende da protecao que se deseja, se confidenci- a ¸˜ alidade ou autenticacao, integridade e n˜ o-rep´ dio. A chave privada pode ser armazenada de di- a u ferentes maneiras, como um arquivo no computador, um smartcard ou um token. Exemplos de m´ todos criptogr´ ficos que usam chaves assim´ tricas s˜ o: RSA, DSA, ECC e Diffie-Hellman. e a e a e e ´ A criptografia de chave sim´ trica, quando comparada com a de chaves assim´ tricas, e a mais ´indicada para garantir a confidencialidade de grandes volumes de dados, pois seu processamento e ¸˜mais r´ pido. Todavia, quando usada para o compartilhamento de informacoes, se torna complexa e apouco escal´ vel, em virtude da: a • necessidade de um canal de comunicacao seguro para promover o compartilhamento da chave ¸˜ secreta entre as partes (o que na Internet pode ser bastante complicado) e; • dificuldade de gerenciamento de grandes quantidades de chaves (imagine quantas chaves secre- tas seriam necess´ rias para vocˆ se comunicar com todos os seus amigos). a e
  • 9. Criptografia 69 A criptografia de chaves assim´ tricas, apesar de possuir um processamento mais lento que a de echave sim´ trica, resolve estes problemas visto que facilita o gerenciamento (pois n˜ o requer que se e amantenha uma chave secreta com cada um que desejar se comunicar) e dispensa a necessidade de um ¸˜canal de comunicacao seguro para o compartilhamento de chaves. ´ Para aproveitar as vantagens de cada um destes m´ todos, o ideal e o uso combinado de ambos, e ´ ¸˜ ¸˜onde a criptografia de chave sim´ trica e usada para a codificacao da informacao e a criptografia e e ´de chaves assim´ tricas e utilizada para o compartilhamento da chave secreta (neste caso, tamb´ m e ´ ´chamada de chave de sess˜ o). Este uso combinado e o que e utilizado pelos navegadores Web e aprogramas leitores de e-mails. Exemplos de uso deste m´ todo combinado s˜ o: SSL, PGP e S/MIME. e a9.2 ¸˜ Funcao de resumo (Hash) ¸˜ ´ ¸˜ Uma funcao de resumo e um m´ todo criptogr´ fico que, quando aplicado sobre uma informacao, e aindependente do tamanho que ela tenha, gera um resultado unico e de tamanho fixo, chamado hash1 . ´ Vocˆ pode utilizar hash para: e • verificar a integridade de um arquivo armazenado em seu computador ou em seus backups; • verificar a integridade de um arquivo obtido da Internet (alguns sites, al´ m do arquivo em si, e tamb´ m disponibilizam o hash correspondente, para que vocˆ possa verificar se o arquivo foi e e corretamente transmitido e gravado); • gerar assinaturas digitais, como descrito na Secao 9.3. ¸˜ Para verificar a integridade de um arquivo, por exemplo, vocˆ pode calcular o hash dele e, quando ejulgar necess´ rio, gerar novamente este valor. Se os dois hashes forem iguais ent˜ o vocˆ pode concluir a a eque o arquivo n˜ o foi alterado. Caso contr´ rio, este pode ser um forte ind´cio de que o arquivo esteja a a ıcorrompido ou que foi modificado. Exemplos de m´ todos de hash s˜ o: SHA-1, SHA-256 e MD5. e a9.3 Assinatura digital ¸˜ A assinatura digital permite comprovar a autenticidade e a integridade de uma informacao, ouseja, que ela foi realmente gerada por quem diz ter feito isto e que ela n˜ o foi alterada. a A assinatura digital baseia-se no fato de que apenas o dono conhece a chave privada e que, se ela ¸˜ ¸˜foi usada para codificar uma informacao, ent˜ o apenas seu dono poderia ter feito isto. A verificacao a ´da assinatura e feita com o uso da chave p´ blica, pois se o texto foi codificado com a chave privada, usomente a chave p´ blica correspondente pode decodific´ -lo. u a Para contornar a baixa eficiˆ ncia caracter´stica da criptografia de chaves assim´ tricas, a codifica- e ı e¸˜ ´ a u ´cao e feita sobre o hash e n˜ o sobre o conte´ do em si, pois e mais r´ pido codificar o hash (que possui a ¸˜tamanho fixo e reduzido) do que a informacao toda. 1O ´ a ´ ¸˜ hash e gerado de tal forma que n˜ o e poss´vel realizar o processamento inverso para se obter a informacao original ı ¸˜ ¸˜e que qualquer alteracao na informacao original produzir´ um hash distinto. Apesar de ser teoricamente poss´vel que a ı ¸˜ ´informacoes diferentes gerem hashes iguais, a probabilidade disto ocorrer e bastante baixa.
  • 70 Cartilha de Seguranca para Internet ¸9.4 Certificado digital Como dito anteriormente, a chave p´ bica pode ser livremente divulgada. Entretanto, se n˜ o hou- u aver como comprovar a quem ela pertence, pode ocorrer de vocˆ se comunicar, de forma cifrada, ediretamente com um impostor. Um impostor pode criar uma chave p´ blica falsa para um amigo seu e envi´ -la para vocˆ ou dispo- u a e o a ¸˜nibiliz´ -la em um reposit´ rio. Ao us´ -la para codificar uma informacao para o seu amigo, vocˆ estar´ , a e ana verdade, codificando-a para o impostor, que possui a chave privada correspondente e conseguir´ a ´decodificar. Uma das formas de impedir que isto ocorra e pelo uso de certificados digitais. ´ O certificado digital e um registro eletrˆ nico composto por um conjunto de dados que distingue ouma entidade e associa a ela uma chave p´ blica. Ele pode ser emitido para pessoas, empresas, equipa- umentos ou servicos na rede (por exemplo, um site Web) e pode ser homologado para diferentes usos, ¸como confidencialidade e assinatura digital. Um certificado digital pode ser comparado a um documento de identidade, por exemplo, o seu ¸˜passaporte, no qual constam os seus dados pessoais e a identificacao de quem o emitiu. No caso do a a ´passaporte, a entidade respons´ vel pela emiss˜ o e pela veracidade dos dados e a Pol´cia Federal. No ı ´caso do certificado digital esta entidade e uma Autoridade Certificadora (AC). ´ e a ¸˜ Uma AC emissora e tamb´ m respons´ vel por publicar informacoes sobre certificados que n˜ o s˜ o a a ´ a ´mais confi´ veis. Sempre que a AC descobre ou e informada que um certificado n˜ o e mais confi´ vel, a aela o inclui em uma “lista negra”, chamada de “Lista de Certificados Revogados” (LCR) para que a ´os usu´ rios possam tomar conhecimento. A LCR e um arquivo eletrˆ nico publicado periodicamente o e a a a ¸˜pela AC, contendo o n´ mero de s´ rie dos certificados que n˜ o s˜ o mais v´ lidos e a data de revogacao. u A Figura 9.1 ilustra como os certificados digitais s˜ o apresentados nos navegadores Web. Note a ¸˜que, embora os campos apresentados sejam padronizados, a representacao gr´ fica pode variar entre adiferentes navegadores e sistemas operacionais. De forma geral, os dados b´ sicos que comp˜ em um a ocertificado digital s˜ o: a • vers˜ o e n´ mero de s´ rie do certificado; a u e • dados que identificam a AC que emitiu o certificado; • dados que identificam o dono do certificado (para quem ele foi emitido); • chave p´ blica do dono do certificado; u • validade do certificado (quando foi emitido e at´ quando e v´ lido); e ´ a • assinatura digital da AC emissora e dados para verificacao da assinatura. ¸˜ ´ O certificado digital de uma AC e emitido, geralmente, por outra AC, estabelecendo uma hierar- ¸˜quia conhecida como “cadeia de certificados” ou “caminho de certificacao”, conforme ilustrado na ´ ˆFigura 9.2. A AC raiz, primeira autoridade da cadeia, e a ancora de confianca para toda a hierarquia e, ¸por n˜ o existir outra AC acima dela, possui um certificado autoassinado (mais detalhes a seguir). Os acertificados das ACs ra´zes publicamente reconhecidas j´ vˆ m inclusos, por padr˜ o, em grande parte ı a e ados sistemas operacionais e navegadores e s˜ o atualizados juntamente com os pr´ prios sistemas. Al- a o ¸˜guns exemplos de atualizacoes realizadas na base de certificados dos navegadores s˜ o: inclus˜ o de a a ¸˜novas ACs, renovacao de certificados vencidos e exclus˜ o de ACs n˜ o mais confi´ veis. a a a
  • 9. Criptografia 71 Figura 9.1: Exemplos de certificados digitais. Alguns tipos especiais de certificado digital que vocˆ pode encontrar s˜ o: e aCertificado autoassinado: e aquele no qual o dono e o emissor s˜ o a mesma entidade. Costuma ser ´ a usado de duas formas: Leg´tima: al´ m das ACs ra´zes, certificados autoassinados tamb´ m costumam ser usados por ı e ı e ¸˜ instituicoes de ensino e pequenos grupos que querem prover confidencialidade e integri- o a a ˆ dade nas conex˜ es, mas que n˜ o desejam (ou n˜ o podem) arcar com o onus de adquirir um certificado digital validado por uma AC comercial. Maliciosa: um atacante pode criar um certificado autoassinado e utilizar, por exemplo, mensa- ¸˜ gens de phishing (mais detalhes na Secao 2.3 do Cap´tulo Golpes na Internet), para induzir ı os usu´ rios a instal´ -lo. A partir do momento em que o certificado for instalado no nave- a a gador, passa a ser poss´vel estabelecer conex˜ es cifradas com sites fraudulentos, sem que ı o ` o navegador emita alertas quanto a confiabilidade do certificado.
  • 72 Cartilha de Seguranca para Internet ¸ Figura 9.2: Cadeia de certificados.Certificado EV SSL (Extended Validation Secure Socket Layer): certificado emitido sob um pro- ¸˜ ¸˜ cesso mais rigoroso de validacao do solicitante. Inclui a verificacao de que a empresa foi legal- mente registrada, encontra-se ativa e que det´ m o registro do dom´nio para o qual o certificado e ı ser´ emitido, al´ m de dados adicionais, como o endereco f´sico. a e ¸ ı ¸˜ Dicas sobre como reconhecer certificados autoassinados e com validacao avancada s˜ o apresenta- ¸ a ¸˜dos na Secao 10.1 do Cap´tulo Uso seguro da Internet. ı9.5 Programas de criptografia ´ Para garantir a seguranca das suas mensagens e importante usar programas leitores de e-mails ¸com suporte nativo a criptografia (por exemplo, que implementam S/MIME - Secure/MultipurposeInternet Mail Extensions) ou que permitam a integracao de outros programas e complementos es- ¸˜pec´ficos para este fim. ı Programas de criptografia, como o GnuPG2 , al´ m de poderem ser integrados aos programas lei- e ¸˜tores de e-mails, tamb´ m podem ser usados separadamente para cifrar outros tipos de informacao, ecomo os arquivos armazenados em seu computador ou em m´dias remov´veis. ı ı Existem tamb´ m programas (nativos do sistema operacional ou adquiridos separadamente) que epermitem cifrar todo o disco do computador, diret´ rios de arquivos e dispositivos de armazenamento o ¸˜externo (como pen-drives e discos), os quais visam preservar o sigilo das informacoes em caso deperda ou furto do equipamento. 2 http://www.gnupg.org/. O GnuPG n˜ o utiliza o conceito de certificados digitais emitidos por uma hierarquia a ´de autoridades certificadoras. A confianca nas chaves e estabelecida por meio do modelo conhecido como “rede de ¸confianca”, no qual prevalece a confianca entre cada entidade. ¸ ¸
  • 9. Criptografia 739.6 Cuidados a serem tomadosProteja seus dados: • utilize criptografia sempre que, ao enviar uma mensagem, quiser assegurar-se que somente o destinat´ rio possa lˆ -la; a e • utilize assinaturas digitais sempre que, ao enviar uma mensagem, quiser assegurar ao desti- nat´ rio que foi vocˆ quem a enviou e que o conte´ do n˜ o foi alterado; a e u a • s´ envie dados sens´veis ap´ s certificar-se de que est´ usando uma conex˜ o segura (mais deta- o ı o a a ¸˜ lhes na Secao 10.1 do Cap´tulo Uso seguro da Internet); ı • utilize criptografia para conex˜ o entre seu leitor de e-mails e os servidores de e-mail do seu a provedor; • cifre o disco do seu computador e dispositivos remov´veis, como disco externo e pen-drive. ı Desta forma, em caso de perda ou furto do equipamento, seus dados n˜ o poder˜ o ser indevida- a a mente acessados; • verifique o hash, quando poss´vel, dos arquivos obtidos pela Internet (isto permite que vocˆ ı e detecte arquivos corrompidos ou que foram indevidamente alterados durante a transmiss˜ o). aSeja cuidadoso com as suas chaves e certificados: • utilize chaves de tamanho adequado. Quanto maior a chave, mais resistente ela ser´ a ataques a ¸ ¸˜ de forca bruta (mais detalhes na Secao 3.5 do Cap´tulo Ataques na Internet); ı • n˜ o utilize chaves secretas obvias (mais detalhes na Secao 8.2 do Cap´tulo Contas e senhas); a ´ ¸˜ ı • certifique-se de n˜ o estar sendo observado ao digitar suas chaves e senhas de protecao; a ¸˜ • utilize canais de comunicacao seguros quando compartilhar chaves secretas; ¸˜ • armazene suas chaves privadas com algum mecanismo de protecao, como por exemplo senha, ¸˜ para evitar que outra pessoa faca uso indevido delas; ¸ • preserve suas chaves. Procure fazer backups e mantenha-os em local seguro (se vocˆ perder uma e chave secreta ou privada, n˜ o poder´ decifrar as mensagens que dependiam de tais chaves); a a • tenha muito cuidado ao armazenar e utilizar suas chaves em computadores potencialmente in- fectados ou comprometidos, como em LAN houses, cybercafes, stands de eventos, etc; • se suspeitar que outra pessoa teve acesso a sua chave privada (por exemplo, porque perdeu o ` dispositivo em que ela estava armazenada ou porque algu´ m acessou indevidamente o compu- e ¸˜ ` tador onde ela estava guardada), solicite imediatamente a revogacao do certificado junto a AC emissora.
  • 74 Cartilha de Seguranca para Internet ¸Seja cuidadoso ao aceitar um certificado digital: • mantenha seu sistema operacional e navegadores Web atualizados (al´ m disto contribuir para e a seguranca geral do seu computador, tamb´ m serve para manter as cadeias de certificados ¸ e sempre atualizadas); • mantenha seu computador com a data correta. Al´ m de outros benef´cios, isto impede que cer- e ı tificados v´ lidos sejam considerados n˜ o confi´ veis e, de forma contr´ ria, que certificados n˜ o a a a a a confi´ veis sejam considerados v´ lidos (mais detalhes no Cap´tulo Seguranca de computadores); a a ı ¸ • ao acessar um site Web, observe os s´mbolos indicativos de conex˜ o segura e leia com atencao ı a ¸˜ ¸˜ eventuais alertas exibidos pelo navegador (mais detalhes na Secao 10.1 do Cap´tulo Uso seguro ı da Internet); • caso o navegador n˜ o reconheca o certificado como confi´ vel, apenas prossiga com a navegacao a ¸ a ¸˜ ¸˜ se tiver certeza da idoneidade da instituicao e da integridade do certificado, pois, do contr´ rio, a poder´ estar aceitando um certificado falso, criado especificamente para cometer fraudes (deta- a ¸˜ lhes sobre como fazer isto na Secao 10.1.2 do Cap´tulo Uso seguro da Internet). ı
  • 10. Uso seguro da Internet A Internet traz in´ meras possibilidades de uso, por´ m para aproveitar cada uma delas de forma u e ´segura e importante que alguns cuidados sejam tomados. Al´ m disto, como grande parte das acoes e ¸˜ e ´realizadas na Internet ocorrem por interm´ dio de navegadores Web e igualmente importante que vocˆ esaiba reconhecer os tipos de conex˜ es existentes e verificar a confiabilidade dos certificados digitais o a a ¸˜antes de aceit´ -los (detalhes sobre como fazer isto s˜ o apresentados na Secao 10.1). Alguns dos principais usos e cuidados que vocˆ deve ter ao utilizar a Internet s˜ o: e aAo usar navegadores Web: • mantenha-o atualizado, com a vers˜ o mais recente e com todas as atualizacoes aplicadas; a ¸˜ • configure-o para verificar automaticamente atualizacoes, tanto dele pr´ prio como de comple- ¸˜ o mentos que estejam instalados; • permita a execucao de programas Java e JavaScript, por´ m assegure-se de utilizar comple- ¸˜ e mentos, como o NoScript (dispon´vel para alguns navegadores), para liberar gradualmente a ı ¸˜ ¸˜ execucao, conforme necess´ rio, e apenas em sites confi´ veis (mais detalhes na Secao 6.2 do a a Cap´tulo Outros riscos); ı 75
  • 76 Cartilha de Seguranca para Internet ¸ • permita que programas ActiveX sejam executados apenas quando vierem de sites conhecidos e a e ¸˜ confi´ veis (mais detalhes tamb´ m na Secao 6.2, do Cap´tulo Outros riscos); ı • seja cuidadoso ao usar cookies caso deseje ter mais privacidade (mais detalhes na Secao 6.1 do ¸˜ Cap´tulo Outros riscos); ı • caso opte por permitir que o navegador grave as suas senhas, tenha certeza de cadastrar uma e ¸˜ chave mestra e de jamais esquecˆ -la (mais detalhes na Secao 8.4, do Cap´tulo Contas e senhas); ı • mantenha seu computador seguro (mais detalhes no Cap´tulo Seguranca de computadores). ı ¸Ao usar programas leitores de e-mails: • mantenha-o atualizado, com a vers˜ o mais recente e com as todas atualizacoes aplicadas; a ¸˜ • configure-o para verificar automaticamente atualizacoes, tanto dele pr´ prio como de comple- ¸˜ o mentos que estejam instalados; • n˜ o utilize-o como navegador Web (desligue o modo de visualizacao no formato HTML); a ¸˜ • seja cuidadoso ao usar cookies caso deseje ter mais privacidade (mais detalhes na Secao 6.1 do ¸˜ Cap´tulo Outros riscos); ı • seja cuidadoso ao clicar em links presentes em e-mails (se vocˆ realmente quiser acessar a e p´ gina do link, digite o endereco diretamente no seu navegador Web); a ¸ • desconfie de arquivos anexados a mensagem mesmo que tenham sido enviados por pessoas ou ` ¸˜ instituicoes conhecidas (o endereco do remetente pode ter sido falsificado e o arquivo anexo ¸ pode estar infectado); • antes de abrir um arquivo anexado a mensagem tenha certeza de que ele n˜ o apresenta riscos, ` a verificando-o com ferramentas antimalware; • verifique se seu sistema operacional est´ configurado para mostrar a extens˜ o dos arquivos a a anexados; • desligue as opcoes que permitem abrir ou executar automaticamente arquivos ou programas ¸˜ ` anexados as mensagens; • desligue as opcoes de execucao de JavaScript e de programas Java; ¸˜ ¸˜ • habilite, se poss´vel, opcoes para marcar mensagens suspeitas de serem fraude; ı ¸˜ • use sempre criptografia para conex˜ o entre seu leitor de e-mails e os servidores de e-mail do a seu provedor; • mantenha seu computador seguro (mais detalhes no Cap´tulo Seguranca de computadores). ı ¸Ao acessar Webmails: • seja cuidadoso ao acessar a p´ gina de seu Webmail para n˜ o ser v´tima de phishing. Digite a a ı a URL diretamente no navegador e tenha cuidado ao clicar em links recebidos por meio de o ¸˜ mensagens eletrˆ nicas (mais detalhes na Secao 2.3 do Cap´tulo Golpes na Internet); ı
  • 10. Uso seguro da Internet 77 • n˜ o utilize um site de busca para acessar seu Webmail (n˜ o h´ necessidade disto, j´ que URLs a a a a deste tipo s˜ o, geralmente, bastante conhecidas); a • seja cuidadoso ao elaborar sua senha de acesso ao Webmail para evitar que ela seja descoberta ¸ ¸˜ por meio de ataques de forca bruta (mais detalhes na Secao 8.2 do Cap´tulo Contas e senhas); ı • configure opcoes de recuperacao de senha, como um endereco de e-mail alternativo, uma ¸˜ ¸˜ ¸ ¸ u ¸˜ quest˜ o de seguranca e um n´ mero de telefone celular (mais detalhes na Secao 8.5 do Cap´- a ı tulo Contas e senhas); • evite acessar seu Webmail em computadores de terceiros e, caso seja realmente necess´ rio, a ¸˜ o ¸˜ ative o modo de navegacao anˆ nima (mais detalhes na Secao 12.3 do Cap´tulo Seguranca de ı ¸ computadores); • certifique-se de utilizar conex˜ es seguras sempre que acessar seu Webmail, especialmente ao o usar redes Wi-Fi p´ blicas. Se poss´vel configure para que, por padr˜ o, sempre seja utilizada u ı a conex˜ o via “https” (mais detalhes na Seca a ¸ ˜ o 10.1); • mantenha seu computador seguro (mais detalhes no Cap´tulo Seguranca de computadores). ı ¸ ¸˜Ao efetuar transacoes banc´ rias e acessar sites de Internet Banking: a • certifique-se da procedˆ ncia do site e da utilizacao de conex˜ es seguras ao realizar transacoes e ¸˜ o ¸˜ ¸˜ banc´ rias via Web (mais detalhes na Secao 10.1); a • somente acesse sites de instituicoes banc´ rias digitando o endereco diretamente no navegador ¸˜ a ¸ Web, nunca clicando em um link existente em uma p´ gina ou em uma mensagem; a • n˜ o utilize um site de busca para acessar o site do seu banco (n˜ o h´ necessidade disto, j´ que a a a a URLs deste tipo s˜ o, geralmente, bastante conhecidas); a • ao acessar seu banco, forneca apenas uma posicao do seu cart˜ o de seguranca (desconfie caso, ¸ ¸˜ a ¸ ¸˜ em um mesmo acesso, seja solicitada mais de uma posicao); • n˜ o forneca senhas ou dados pessoais a terceiros, especialmente por telefone; a ¸ • desconsidere mensagens de instituicoes banc´ rias com as quais vocˆ n˜ o tenha relacao, princi- ¸˜ a e a ¸˜ ¸˜ palmente aquelas que solicitem dados pessoais ou a instalacao de m´ dulos de seguranca; o ¸ • sempre que ficar em d´ vida, entre em contato com a central de relacionamento do seu banco ou u diretamente com o seu gerente; • n˜ o realize transacoes banc´ rias por meio de computadores de terceiros ou redes Wi-Fi p´ blicas; a ¸˜ a u • verifique periodicamente o extrato da sua conta banc´ ria e do seu cart˜ o de cr´ dito e, caso a a e detecte algum lancamento suspeito, entre em contato imediatamente com o seu banco ou com ¸ a operadora do seu cart˜ o; a • antes de instalar um m´ dulo de seguranca, de qualquer Internet Banking, certifique-se de que o o ¸ ´ ¸˜ autor m´ dulo e realmente a instituicao em quest˜ o; o a • mantenha seu computador seguro (mais detalhes no Cap´tulo Seguranca de computadores). ı ¸
  • 78 Cartilha de Seguranca para Internet ¸ ¸˜Ao efetuar transacoes comerciais e acessar sites de com´ rcio eletrˆ nico: e o • certifique-se da procedˆ ncia do site e da utilizacao de conex˜ es seguras ao realizar compras e e ¸˜ o ¸˜ pagamentos via Web (mais detalhes na Secao 10.1); • somente acesse sites de com´ rcio eletrˆ nico digitando o endereco diretamente no navegador e o ¸ Web, nunca clicando em um link existente em uma p´ gina ou em uma mensagem; a • n˜ o utilize um site de busca para acessar o site de com´ rcio eletrˆ nico que vocˆ costuma acessar a e o e (n˜ o h´ necessidade disto, j´ que URLs deste tipo s˜ o, geralmente, bastante conhecidas); a a a a • pesquise na Internet referˆ ncias sobre o site antes de efetuar uma compra; e • desconfie de precos muito abaixo dos praticados no mercado; ¸ • n˜ o realize compras ou pagamentos por meio de computadores de terceiros ou redes Wi-Fi a p´ blicas; u • sempre que ficar em d´ vida, entre em contato com a central de relacionamento da empresa onde u est´ fazendo a compra; a • verifique periodicamente o extrato da sua conta banc´ ria e do seu cart˜ o de cr´ dito e, caso a a e detecte algum lancamento suspeito, entre em contato imediatamente com o seu banco ou com ¸ a operadora do seu cart˜ o de cr´ dito; a e • ao efetuar o pagamento de uma compra, nunca forneca dados de cart˜ o de cr´ dito em sites sem ¸ a e conex˜ o segura ou em e-mails n˜ o criptografados; a a • mantenha seu computador seguro (mais detalhes no Cap´tulo Seguranca de computadores). ı ¸10.1 Seguranca em conex˜ es Web ¸ o ´ Ao navegar na Internet, e muito prov´ vel que a grande maioria dos acessos que vocˆ realiza n˜ o a e a a ¸˜envolva o tr´ fego de informacoes sigilosas, como quando vocˆ acessa sites de pesquisa ou de not´cias. e ı ¸˜Esses acessos s˜ o geralmente realizados pelo protocolo HTTP, onde as informacoes trafegam em texto aclaro, ou seja, sem o uso de criptografia. O protocolo HTTP, al´ m de n˜ o oferecer criptografia, tamb´ m n˜ o garante que os dados n˜ o e a e a apossam ser interceptados, coletados, modificados ou retransmitidos e nem que vocˆ esteja se comuni- e ı a ´cando exatamente com o site desejado. Por estas caracter´sticas, ele n˜ o e indicado para transmiss˜ es o ¸˜que envolvem informacoes sigilosas, como senhas, n´ meros de cart˜ o de cr´ dito e dados banc´ rios, e u a e adeve ser substitu´do pelo HTTPS, que oferece conex˜ es seguras. ı o O protocolo HTTPS utiliza certificados digitais para assegurar a identidade, tanto do site de des-tino como a sua pr´ pria, caso vocˆ possua um. Tamb´ m utiliza m´ todos criptogr´ ficos e outros o e e e aprotocolos, como o SSL (Secure Sockets Layer) e o TLS (Transport Layer Security), para assegurar ¸˜a confidencialidade e a integridade das informacoes. ¸˜ ´ Sempre que um acesso envolver a transmiss˜ o de informacoes sigilosas, e importante certificar- ase do uso de conex˜ es seguras. Para isso, vocˆ deve saber como identificar o tipo de conex˜ o sendo o e a
  • 10. Uso seguro da Internet 79 ¸˜realizada pelo seu navegador Web e ficar atento aos alertas apresentados durante a navegacao, para quepossa, se necess´ rio, tomar decis˜ es apropriadas. Dicas para ajud´ -lo nestas tarefas s˜ o apresentadas a o a a ¸˜nas Secoes 10.1.1 e 10.1.2.10.1.1 Tipos de conex˜ o a ¸˜ Para facilitar a identificacao do tipo de conex˜ o em uso vocˆ pode buscar aux´lio dos mecanismos a e ıgr´ ficos dispon´veis nos navegadores Web a ı 1 mais usados atualmente. Estes mecanismos, apesar depoderem variar de acordo com o fabricante de cada navegador, do sistema operacional e da vers˜ o aem uso, servem como um forte ind´cio do tipo de conex˜ o sendo usada e podem orient´ -lo a tomar ı a adecis˜ es corretas. o De maneira geral, vocˆ vai se deparar com os seguintes tipos de conex˜ es: e oConex˜ o padr˜ o: e a usada na maioria dos acessos realizados. N˜ o provˆ requisitos de seguranca. a a ´ a e ¸ Alguns indicadores deste tipo de conex˜ o, ilustrados na Figura 10.1, s˜ o: a a • o endereco do site comeca com “http://”; ¸ ¸ • em alguns navegadores, o tipo de protocolo usado (HTTP), por ser o padr˜ o das conex˜ es, a o pode ser omitido na barra de enderecos; ¸ • um s´mbolo do site (logotipo) e apresentado pr´ ximo a barra de endereco e, ao passar o ı ´ o ` ¸ a ´ mouse sobre ele, n˜ o e poss´vel obter detalhes sobre a identidade do site. ı Figura 10.1: Conex˜ o n˜ o segura em diversos navegadores. a aConex˜ o segura: e a que deve ser utilizada quando dados sens´veis s˜ o transmitidos, geralmente a ´ ı a e o e ¸˜ usada para acesso a sites de Internet Banking e de com´ rcio eletrˆ nico. Provˆ autenticacao, integridade e confidencialidade, como requisitos de seguranca. Alguns indicadores deste tipo ¸ de conex˜ o, ilustrados na Figura 10.2, s˜ o: a a • o endereco do site comeca com “https://”; ¸ ¸ • o desenho de um “cadeado fechado” e mostrado na barra de endereco e, ao clicar sobre ´ ¸ ele, detalhes sobre a conex˜ o e sobre o certificado digital em uso s˜ o exibidos; a a • um recorte colorido (branco ou azul) com o nome do dom´nio do site e mostrado ao lado ı ´ ¸ a ` da barra de endereco (` esquerda ou a direita) e, ao passar o mouse ou clicar sobre ele, s˜ o a exibidos detalhes sobre conex˜ o e certificado digital em uso a 2.
  • 80 Cartilha de Seguranca para Internet ¸ Figura 10.2: Conex˜ o segura em diversos navegadores. aConex˜ o segura com EV SSL: provˆ os mesmos requisitos de seguranca que a conex˜ o segura an- a e ¸ a ` terior, por´ m com maior grau de confiabilidade quanto a identidade do site e de seu dono, pois e ¸˜ utiliza certificados EV SSL (mais detalhes na Secao 9.4 do Cap´tulo Criptografia). Al´ m de ı e apresentar indicadores similares aos apresentados na conex˜ o segura sem o uso de EV SSL, a e o ´ tamb´ m introduz um indicador pr´ prio, ilustrado na Figura 10.3, que e: • a barra de endereco e/ou o recorte s˜ o apresentados na cor verde e no recorte e colocado ¸ a ´ ¸˜ o nome da instituicao dona do site 3. Figura 10.3: Conex˜ o segura usando EV SSL em diversos navegadores. a ı ¸˜ Outro n´vel de protecao de conex˜ o usada na Internet envolve o uso de certificados autoassinados a ¸˜ ae/ou cuja cadeia de certificacao n˜ o foi reconhecida. Este tipo de conex˜ o n˜ o pode ser caracteri- a azado como sendo totalmente seguro (e nem totalmente inseguro) pois, apesar de prover integridade e a e ¸˜ aconfidencialidade, n˜ o provˆ autenticacao, j´ que n˜ o h´ garantias relativas ao certificado em uso. a a Quando vocˆ acessa um site utilizando o protocolo HTTPS, mas seu navegador n˜ o reconhece a e a ¸˜ ¸˜cadeia de certificacao, ele emite avisos como os descritos na Secao 10.1.2 e ilustrados na Figura 10.6.Caso vocˆ , apesar dos riscos, opte por aceitar o certificado, a simbologia mostrada pelo seu navegador eser´ a ilustrada na Figura 10.4. Alguns indicadores deste tipo de conex˜ o s˜ o: a a a • um cadeado com um “X” vermelho e apresentado na barra de endereco; ´ ¸ 1A simbologia usada pelos navegadores Web pode ser diferente quando apresentada em dispositivos m´ veis. o 2 De maneira geral, as cores branco,azul e verde indicam que o site usa conex˜ o segura. Ao passo que as cores amarelo ae vermelho indicam que pode haver algum tipo de problema relacionado ao certificado em uso. 3 As cores azul e branco indicam que o site possui um certificado de validacao de dom´nio (a entidade dona do site ¸˜ ı e ı ¸˜det´ m o direito de uso do nome de dom´nio) e a cor verde indica que o site possui um certificado de validacao estendida(a entidade dona do site det´ m o direito de uso do nome de dom´nio em quest˜ o e encontra-se legalmente registrada). e ı a
  • 10. Uso seguro da Internet 81 • a identificacao do protocolo “https” e apresentado em vermelho e riscado; ¸˜ ´ • a barra de endereco muda de cor, ficando totalmente vermelha; ¸ • um indicativo de erro do certificado e apresentado na barra de endereco; ´ ¸ • um recorte colorido com o nome do dom´nio do site ou da instituicao (dona do certificado) e ı ¸˜ ´ ´ mostrado ao lado da barra de endereco e, ao passar o mouse sobre ele, e informado que uma ¸ ¸˜ excecao foi adicionada. ¸˜ a Figura 10.4: Conex˜ o HTTPS com cadeia de certificacao n˜ o reconhecida. a Certos sites fazem uso combinado, na mesma p´ gina Web, de conex˜ o segura e n˜ o segura. Neste a a acaso, pode ser que o cadeado desapareca, que seja exibido um ´cone modificado (por exemplo, um ¸ ı ¸˜cadeado com triˆ ngulo amarelo), que o recorte contendo informacoes sobre o site deixe de ser exibido aou ainda haja mudanca de cor na barra de endereco, como ilustrado na Figura 10.5. ¸ ¸ Figura 10.5: Uso combinado de conex˜ o segura e n˜ o segura. a a Mais detalhes sobre como reconhecer o tipo de conex˜ o em uso podem ser obtidos em: a • Chrome - Como funcionam os indicadores de seguranca do website (em portuguˆ s) ¸ e http://support.google.com/chrome/bin/answer.py?hl=pt-BR&answer=95617 • Mozilla Firefox - How do I tell if my connection to a website is secure? (em inglˆ s) e http://support.mozilla.org/en-US/kb/Site Identity Button • Internet Explorer - Dicas para fazer transacoes online seguras (em portuguˆ s) ¸˜ e http://windows.microsoft.com/pt-BR/windows7/Tips-for-making-secure-online- transaction-in-Internet-Explorer-9 • Safari - Using encryption and secure connections (em inglˆ s) e http://support.apple.com/kb/HT2573
  • 82 Cartilha de Seguranca para Internet ¸ ´10.1.2 Como verificar se um certificado digital e confi´ vel a ´ ´ Para saber se um certificado e confi´ vel, e necess´ rio observar alguns requisitos, dentre eles: a a • se o certificado foi emitido por uma AC confi´ vel (pertence a uma cadeia de confianca reconhe- a ¸ cida); • se o certificado est´ dentro do prazo de validade; a • se o certificado n˜ o foi revogado pela AC emissora; a • se o dono do certificado confere com a entidade com a qual est´ se comunicando (por exemplo: a o nome do site). Quando vocˆ tenta acessar um site utilizando conex˜ o segura, normalmente seu navegador j´ e a a ¸˜realiza todas estas verificacoes. Caso alguma delas falhe, o navegador emite alertas semelhantes aosmostrados na Figura 10.6. Figura 10.6: Alerta de certificado n˜ o confi´ vel em diversos navegadores. a a
  • 10. Uso seguro da Internet 83 ¸˜ Em geral, alertas s˜ o emitidos em situacoes como: a • o certificado est´ fora do prazo de validade; a • o navegador n˜ o identificou a cadeia de certificacao (dentre as possibilidades, o certificado a ¸˜ pode pertencer a uma cadeia n˜ o reconhecida, ser autoassinado ou o navegador pode estar a desatualizado e n˜ o conter certificados mais recentes de ACs); a • o endereco do site n˜ o confere com o descrito no certificado; ¸ a • o certificado foi revogado. Ao receber os alertas do seu navegador vocˆ pode optar por: e ¸˜Desistir da navegacao: dependendo do navegador, ao selecionar esta opcao vocˆ ser´ redirecionado ¸˜ e a para uma p´ gina padr˜ o ou a janela do navegador ser´ fechada. a a aSolicitar detalhes sobre o problema: ao selecionar esta opcao, detalhes t´ cnicos ser˜ o mostrados e ¸˜ e a e a ¸˜ vocˆ pode us´ -los para compreender o motivo do alerta e decidir qual opcao selecionar.Aceitar os riscos: caso vocˆ , mesmo ciente dos riscos, selecione esta opcao, a p´ gina desejada ser´ e ¸˜ a a e a ¸˜ apresentada e, dependendo do navegador, vocˆ ainda ter´ a opcao de visualizar o certificado a ¸˜ antes de efetivamente aceit´ -lo e de adicionar uma excecao (permanente ou tempor´ ria). a ¸˜ ´ Caso vocˆ opte por aceitar os riscos e adicionar uma excecao, e importante que, antes de enviar equalquer dado confidencial, verifique o conte´ do do certificado e observe: u • se o nome da instituicao apresentado no certificado e realmente da instituicao que vocˆ deseja ¸˜ ´ ¸˜ e a ´ acessar. Caso n˜ o seja, este e um forte ind´cio de certificado falso; ı • se as identificacoes de dono do certificado e da AC emissora s˜ o iguais. Caso sejam, este e um ¸˜ a ´ ¸˜ forte ind´cio de que se trata de um certificado autoassinado. Observe que instituicoes financeiras ı e de com´ rcio eletrˆ nico s´ rias dificilmente usam certificados deste tipo; e o e • se o certificado encontra-se dentro do prazo de validade. Caso n˜ o esteja, provavelmente o a certificado est´ expirado ou a data do seu computador n˜ o est´ corretamente configurada. a a a De qualquer modo, caso vocˆ receba um certificado desconhecido ao acessar um site e tenha e u ¸ a ¸˜alguma d´ vida ou desconfianca, n˜ o envie qualquer informacao para o site antes de entrar em contatocom a instituica ¸ ˜ o que o mant´ m para esclarecer o ocorrido. e
  • 11. Privacidade Nada impede que vocˆ abdique de sua privacidade e, de livre e espontˆ nea vontade, divulgue e a ¸˜ e a ¸˜informacoes sobre vocˆ . Entretanto, h´ situacoes em que, mesmo que vocˆ queira manter a sua eprivacidade, ela pode ser exposta independente da sua vontade, por exemplo quando: • outras pessoas divulgam informacoes sobre vocˆ ou imagens onde vocˆ est´ presente, sem a ¸˜ e e a ¸˜ sua autorizacao pr´ via; e • algu´ m, indevidamente, coleta informacoes que trafegam na rede sem estarem criptografadas, e ¸˜ u e ¸˜ como o conte´ do dos e-mails enviados e recebidos por vocˆ (mais detalhes na Secao 3.4 do Cap´tulo Ataques na Internet); ı • um atacante ou um c´ digo malicioso obt´ m acesso aos dados que vocˆ digita ou que est˜ o o e e a armazenados em seu computador (mais detalhes no Cap´tulo C´ digos maliciosos (Malware)); ı o • um atacante invade a sua conta de e-mail ou de sua rede social e acessa informacoes restritas; ¸˜ • um atacante invade um computador no qual seus dados est˜ o armazenados como, por exemplo, a um servidor de e-mails1; 1 Normalmente ´ existe um consenso etico entre administradores de redes e provedores de nunca lerem a caixa postal deum usu´ rio sem o seu consentimento. a 85
  • 86 Cartilha de Seguranca para Internet ¸ • seus h´ bitos e suas preferˆ ncias de navegacao s˜ o coletadas pelos sites que vocˆ acessa e repas- a e ¸˜ a e ¸˜ sadas para terceiros (mais detalhes na Secao 6.1 do Cap´tulo Outros riscos). ı Para tentar proteger a sua privacidade na Internet h´ alguns cuidados que vocˆ deve tomar, como: a eAo acessar e armazenar seus e-mails: • configure seu programa leitor de e-mails para n˜ o abrir imagens que n˜ o estejam na pr´ pria a a o mensagem (o fato da imagem ser acessada pode ser usado para confirmar que o e-mail foi lido); • utilize programas leitores de e-mails que permitam que as mensagens sejam criptografadas, de modo que apenas possam ser lidas por quem conseguir decodific´ -las; a • armazene e-mails confidenciais em formato criptografado para evitar que sejam lidos por ata- ¸˜ cantes ou pela acao de c´ digos maliciosos (vocˆ pode decodific´ -los sempre que desejar lˆ -los); o e a e • utilize conex˜ o segura sempre que estiver acessando seus e-mails por meio de navegadores Web, a para evitar que eles sejam interceptados; • utilize criptografia para conex˜ o entre seu leitor de e-mails e os servidores de e-mail do seu a provedor; • seja cuidadoso ao usar computadores de terceiros ou potencialmente infectados, para evitar que suas senhas sejam obtidas e seus e-mails indevidamente acessados; • seja cuidadoso ao acessar seu Webmail, digite a URL diretamente no navegador e tenha cuidado ao clicar em links recebidos por meio de mensagens eletrˆ nicas; o • mantenha seu computador seguro (mais detalhes no Cap´tulo Seguranca de computadores). ı ¸Ao navegar na Web: • seja cuidadoso ao usar cookies, pois eles podem ser usados para rastrear e manter as suas pre- ¸˜ ferˆ ncias de navegacao, as quais podem ser compartilhadas entre diversos sites (mais detalhes e ¸˜ na Secao 6.1 do Cap´tulo Outros riscos); ı • utilize, quando dispon´vel, navegacao anˆ nima, por meio de anonymizers ou de opcoes dis- ı ¸˜ o ¸˜ ponibilizadas pelos navegadores Web (chamadas de privativa ou “InPrivate”). Ao fazer isto, ¸˜ informacoes, como cookies, sites acessados e dados de formul´ rios, n˜ o s˜ o gravadas pelo na- a a a vegador Web; • utilize, quando dispon´vel, opcoes que indiquem aos sites que vocˆ n˜ o deseja ser rastreado ı ¸˜ e a ¸˜ (“Do Not Track”). Alguns navegadores oferecem configuracoes de privacidade que permitem e a ¸˜ que vocˆ informe aos sites que n˜ o deseja que informacoes que possam afetar sua privacidade sejam coletadas2 ; • utilize, quando dispon´vel, listas de protecao contra rastreamento, que permitem que vocˆ libere ı ¸˜ e ou bloqueie os sites que podem rastre´ -lo; a • mantenha seu computador seguro (mais detalhes no Cap´tulo Seguranca de computadores). ı ¸ 2 At´ e ¸˜ o momento de escrita desta Cartilha, n˜ o existe um consenso sobre quais s˜ o essas informacoes. Al´ m disto, as a a e ¸˜configuracoes de rastreamento servem como um indicativo ao sites Web e n˜ o h´ nada que os obrigue a respeit´ -las. a a a
  • 11. Privacidade 87 ¸˜Ao divulgar informacoes na Web: • esteja atento e avalie com cuidado as informacoes divulgadas em sua p´ gina Web ou blog, pois ¸˜ a elas podem n˜ o s´ ser usadas por algu´ m mal-intencionado, por exemplo, em um golpe de a o e engenharia social, mas tamb´ m para atentar contra a seguranca do seu computador, ou mesmo e ¸ contra a sua seguranca f´sica; ¸ ı • procure divulgar a menor quantidade poss´vel de informacoes, tanto sobre vocˆ como sobre ı ¸˜ e seus amigos e familiares, e tente orient´ -los a fazer o mesmo; a • sempre que algu´ m solicitar dados sobre vocˆ ou quando preencher algum cadastro, reflita se e e e ´ ` ¸˜ realmente necess´ rio que aquela empresa ou pessoa tenha acesso aquelas informacoes; a • ao receber ofertas de emprego pela Internet, que solicitem o seu curr´culo, tente limitar a quan- ı ¸˜ tidade de informacoes nele disponibilizada e apenas forneca mais dados quando estiver seguro ¸ de que a empresa e a oferta s˜ o leg´timas; a ı • fique atento a ligacoes telefˆ nicas e e-mails pelos quais algu´ m, geralmente falando em nome ¸˜ o e ¸˜ ¸˜ de alguma instituicao, solicita informacoes pessoais sobre vocˆ , inclusive senhas; e • seja cuidadoso ao divulgar informacoes em redes sociais, principalmente aquelas envolvendo ¸˜ ¸˜ ´ a sua localizacao geogr´ fica pois, com base nela, e poss´vel descobrir a sua rotina, deduzir a ı ¸˜ informacoes (como h´ bitos e classe financeira) e tentar prever os pr´ ximos passos seus ou de a o ¸˜ seus familiares (mais detalhes na Secao 11.1).11.1 Redes sociais As redes sociais permitem que os usu´ rios criem perfis e os utili- a ¸˜zem para se conectar a outros usu´ rios, compartilhar informacoes e se aagrupar de acordo com interesses em comum. Alguns exemplos s˜ o: aFacebook, Orkut, Twitter, Linkedin, Google+ e foursquare. As redes sociais, atualmente, j´ fazem parte do cotidiano de grande parte do usu´ rios da Internet, a aque as utilizam para se informar sobre os assuntos do momento e para saber o que seus amigos e´dolos est˜ o fazendo, o que est˜ o pensando e onde est˜ o. Tamb´ m s˜ o usadas para outros fins, comoı a a a e a ¸˜ ¸˜selecao de candidatos para vagas de emprego, pesquisas de opini˜ o e mobilizacoes sociais. a As redes sociais possuem algumas caracter´sticas pr´ prias que as diferenciam de outros meios ı o ¸˜ ¸˜de comunicacao, como a velocidade com que as informacoes se propagam, a grande quantidade de ¸˜pessoas que elas conseguem atingir e a riqueza de informacoes pessoais que elas disponibilizam.Essas caracter´sticas, somadas ao alto grau de confianca que os usu´ rios costumam depositar entre si, ı ¸ a ¸˜fez com que as redes sociais chamassem a atencao, tamb´ m, de pessoas mal-intencionadas. e Alguns dos principais riscos relacionados ao uso de redes sociais s˜ o: aContato com pessoas mal-intencionadas: qualquer pessoa pode criar um perfil falso, tentando se passar por uma pessoa conhecida e, sem que saiba, vocˆ pode ter na sua rede (lista) de contatos e pessoas com as quais jamais se relacionaria no dia a dia.
  • 88 Cartilha de Seguranca para Internet ¸Furto de identidade: assim como vocˆ pode ter um impostor na sua lista de contatos, tamb´ m pode e e e e ¸˜ acontecer de algu´ m tentar se passar por vocˆ e criar um perfil falso. Quanto mais informacoes vocˆ divulga, mais convincente o seu perfil falso poder´ ser e maiores ser˜ o as chances de seus e a a amigos acreditarem que est˜ o realmente se relacionando com vocˆ . a eInvas˜ o de perfil: por meio de ataques de forca bruta, do acesso a p´ ginas falsas ou do uso de com- a ¸ a putadores infectados, vocˆ pode ter o seu perfil invadido. Atacantes costumam fazer isto para, e al´ m de furtar a sua identidade, explorar a confianca que a sua rede de contatos deposita em e ¸ vocˆ e us´ -la para o envio de spam e c´ digos maliciosos. e a o ¸˜Uso indevido de informacoes: as informacoes que vocˆ divulga, al´ m de poderem ser usadas para ¸˜ e e ¸˜ a criacao de perfil falso, tamb´ m podem ser usadas em ataques de forca bruta, em golpes de e ¸ o ¸ ¸˜ engenharia social e para responder quest˜ es de seguranca usadas para recuperacao de senhas.Invas˜ o de privacidade: quanto maior a sua rede de contatos, maior e o n´ mero de pessoas que a ´ u e a ¸˜ possui acesso ao que vocˆ divulga, e menores s˜ o as garantias de que suas informacoes n˜ o a ser˜ o repassadas. Al´ m disso, n˜ o h´ como controlar o que os outros divulgam sobre vocˆ . a e a a e ¸˜Vazamento de informacoes: h´ diversos casos de empresas que tiveram o conte´ do de reuni˜ es e a u o detalhes t´ cnicos de novos produtos divulgados na Internet e que, por isto, foram obrigadas a e rever pol´ticas e antecipar, adiar ou cancelar decis˜ es. ı o ¸˜ ¸˜Disponibilizacao de informacoes confidenciais: em uma troca “amig´ vel” de mensagens vocˆ pode a e ser persuadido a fornecer seu e-mail, telefone, endereco, senhas, n´ mero do cart˜ o de cr´ dito, ¸ u a e etc. As consequˆ ncias podem ser desde o recebimento de mensagens indesej´ veis at´ a utiliza- e a e ¸˜ cao do n´ mero de seu cart˜ o de cr´ dito para fazer compras em seu nome. u a eRecebimento de mensagens maliciosas: algu´ m pode lhe enviar um arquivo contendo c´ digos ma- e o liciosos ou induzi-lo a clicar em um link que o levar´ a uma p´ gina Web comprometida. a a ´Acesso a conteudos impr´ prios ou ofensivos: como n˜ o h´ um controle imediato sobre o que as o a a pessoas divulgam, pode ocorrer de vocˆ se deparar com mensagens ou imagens que contenham e ´ pornografia, violˆ ncia ou que incitem o odio e o racismo. e ` ` ¸˜Danos a imagem e a reputacao: cal´ nia e difamacao podem rapidamente se propagar, jamais serem u ¸˜ ` exclu´das e causarem grandes danos as pessoas envolvidas, colocando em risco a vida profissi- ı onal e trazendo problemas familiares, psicol´ gicos e de conv´vio social. Tamb´ m podem fazer o ı e com que empresas percam clientes e tenham preju´zos financeiros. ıSequestro: dados de localizacao podem ser usados por criminosos para descobrir a sua rotina e ¸˜ planejar o melhor hor´ rio e local para abord´ -lo. Por exemplo: se vocˆ fizer check-in (se a a e registrar no sistema) ao chegar em um cinema, um sequestrador pode deduzir que vocˆ ficar´ e a a ¸˜ por l´ cerca de 2 horas (duracao m´ dia de um filme) e ter´ este tempo para se deslocar e e a programar o sequestro.Furto de bens: quando vocˆ divulga que estar´ ausente por um determinado per´odo de tempo para e a ı e ¸˜ curtir as suas merecidas f´ rias, esta informacao pode ser usada por ladr˜ es para saber quando e o por quanto tempo a sua residˆ ncia ficar´ vazia. Ao retornar, vocˆ pode ter a infeliz surpresa de e a e descobrir que seus bens foram furtados.
  • 11. Privacidade 89 A seguir, observe alguns cuidados que vocˆ deve ter ao usar as redes sociais. ePreserve a sua privacidade: • considere que vocˆ est´ em um local p´ blico, que tudo que vocˆ divulga pode ser lido ou e a u e acessado por qualquer pessoa, tanto agora como futuramente; • pense bem antes de divulgar algo, pois n˜ o h´ possibilidade de arrependimento. Uma frase a a ou imagem fora de contexto pode ser mal-interpretada e causar mal-entendidos. Ap´ s uma o ¸˜ informacao ou imagem se propagar, dificilmente ela poder´ ser totalmente exclu´da; a ı • use as opcoes de privacidade oferecidas pelos sites e procure ser o mais restritivo poss´vel ¸˜ ı ¸˜ (algumas opcoes costumam vir, por padr˜ o, configuradas como p´ blicas e devem ser alteradas); a u • mantenha seu perfil e seus dados privados, permitindo o acesso somente a pessoas ou grupos espec´ficos; ı • procure restringir quem pode ter acesso ao seu endereco de e-mail, pois muitos spammers ¸ utilizam esses dados para alimentar listas de envio de spam; • seja seletivo ao aceitar seus contatos, pois quanto maior for a sua rede, maior ser´ o n´ mero a u ` ¸˜ de pessoas com acesso as suas informacoes. Aceite convites de pessoas que vocˆ realmente e ¸˜ conheca e para quem contaria as informacoes que costuma divulgar; ¸ • n˜ o acredite em tudo que vocˆ lˆ . Nunca repasse mensagens que possam gerar pˆ nico ou afetar a e e a ¸˜ outras pessoas, sem antes verificar a veracidade da informacao; • seja cuidadoso ao se associar a comunidades e grupos, pois por meio deles muitas vezes e ´ ı ¸˜ poss´vel deduzir informacoes pessoais, como h´ bitos, rotina e classe social. a ¸˜Seja cuidadoso ao fornecer a sua localizacao: • observe o fundo de imagens (como fotos e v´deos), pois podem indicar a sua localizacao; ı ¸˜ • n˜ o divulgue planos de viagens e nem por quanto tempo ficar´ ausente da sua residˆ ncia; a a e • ao usar redes sociais baseadas em geolocalizacao, procure se registrar (fazer check-in) em locais ¸˜ movimentados e nunca em locais considerados perigosos; • ao usar redes sociais baseadas em geolocalizacao, procure fazer check-in quando sair do local, ¸˜ ao inv´ s de quando chegar. eRespeite a privacidade alheia: • n˜ o divulgue, sem autorizacao, imagens em que outras pessoas aparecam; a ¸˜ ¸ • n˜ o divulgue mensagens ou imagens copiadas do perfil de pessoas que restrinjam o acesso; a • seja cuidadoso ao falar sobre as acoes, h´ bitos e rotina de outras pessoas; ¸˜ a • tente imaginar como a outra pessoa se sentiria ao saber que aquilo est´ se tornando p´ blico. a u
  • 90 Cartilha de Seguranca para Internet ¸Previna-se contra c´ digos maliciosos e phishing: o • mantenha o seu computador seguro, com os programas atualizados e com todas as atualizacoes ¸˜ aplicadas (mais detalhes no Cap´tulo Seguranca de computadores); ı ¸ • utilize e mantenha atualizados mecanismos de protecao, como antimalware e firewall pessoal ¸˜ (mais detalhes no Cap´tulo Mecanismos de seguranca); ı ¸ • desconfie de mensagens recebidas mesmo que tenham vindo de pessoas conhecidas, pois elas podem ter sido enviadas de perfis falsos ou invadidos; • seja cuidadoso ao acessar links reduzidos. H´ sites e complementos para o seu navegador que a ¸˜ permitem que vocˆ expanda o link antes de clicar sobre ele (mais detalhes na Secao 7.10 do e Cap´tulo Mecanismos de seguranca). ı ¸Proteja o seu perfil: • seja cuidadoso ao usar e ao elaborar as suas senhas (mais detalhes no Cap´tulo Contas e senhas); ı • habilite, quando dispon´vel, as notificacoes de login, pois assim fica mais f´ cil perceber se ı ¸˜ a outras pessoas estiverem utilizando indevidamente o seu perfil; • use sempre a opcao de logout para n˜ o esquecer a sess˜ o aberta; ¸˜ a a • denuncie casos de abusos, como imagens indevidas e perfis falsos ou invadidos.Proteja sua vida profissional: • cuide da sua imagem profissional. Antes de divulgar uma informacao, procure avaliar se, de ¸˜ alguma forma, ela pode atrapalhar um processo seletivo que vocˆ venha a participar (muitas e ` ¸˜ empresas consultam as redes sociais a procura de informacoes sobre os candidatos, antes de contrat´ -los); a • verifique se sua empresa possui um c´ digo de conduta e procure estar ciente dele. Observe o ¸˜ ¸˜ principalmente as regras relacionadas ao uso de recursos e divulgacao de informacoes; • evite divulgar detalhes sobre o seu trabalho, pois isto pode beneficiar empresas concorrentes e colocar em risco o seu emprego; • preserve a imagem da sua empresa. Antes de divulgar uma informacao, procure avaliar se, de ¸˜ alguma forma, ela pode prejudicar a imagem e os neg´ cios da empresa e, indiretamente, vocˆ o e mesmo; • proteja seu emprego. Sua rede de contatos pode conter pessoas do c´rculo profissional que ı a ¸ e ´ podem n˜ o gostar de saber que, por exemplo, a causa do seu cansaco ou da sua ausˆ ncia e aquela festa que vocˆ foi e sobre a qual publicou diversas fotos; e • use redes sociais ou c´rculos distintos para fins espec´ficos. Vocˆ pode usar, por exemplo, u- ı ı e ma rede social para amigos e outra para assuntos profissionais ou separar seus contatos em ¸˜ diferentes grupos, de forma a tentar restringir as informacoes de acordo com os diferentes tipos de pessoas com os quais vocˆ se relaciona; e
  • 11. Privacidade 91Proteja seus filhos: • procure deixar seus filhos conscientes dos riscos envolvidos no uso das redes sociais; • procure respeitar os limites de idade estipulados pelos sites (eles n˜ o foram definidos a toa); a ` • oriente seus filhos para n˜ o se relacionarem com estranhos e para nunca fornecerem informa- a ¸˜ coes pessoais, sobre eles pr´ prios ou sobre outros membros da fam´lia; o ı • oriente seus filhos a n˜ o divulgarem informacoes sobre h´ bitos familiares e nem de localizacao a ¸˜ a ¸˜ (atual ou futura); • oriente seus filhos para jamais marcarem encontros com pessoas estranhas; • oriente seus filhos sobre os riscos de uso da webcam e que eles nunca devem utiliz´ -la para se a comunicar com estranhos; • procure deixar o computador usado pelos seus filhos em um local p´ blico da casa (dessa forma, u a ´ mesmo a distˆ ncia, e poss´vel observar o que eles est˜ o fazendo e verificar o comportamento ı a deles).
  • 12. Seguranca de computadores ¸ ´ Muito provavelmente e em seu computador pessoal que a maioria dos seus dados est´ gravada e, a e ¸˜por meio dele, que vocˆ acessa e-mails e redes sociais e realiza transacoes banc´ rias e comerciais. a ´Por isto, mantˆ -lo seguro e essencial para se proteger dos riscos envolvidos no uso da Internet. e Al´ m disto, ao manter seu computador seguro, vocˆ diminui as chances dele ser indevidamente e e ¸˜ ¸˜utilizado para atividades maliciosas, como disseminacao de spam, propagacao de c´ digos maliciosos o ¸˜e participacao em ataques realizados via Internet. ` Muitas vezes, os atacantes est˜ o interessados em conseguir o acesso a grande quantidade de com- a ¸˜putadores, independente de quais s˜ o e das configuracoes que possuem. Por isto, acreditar que seu acomputador est´ protegido por n˜ o apresentar atrativos para um atacante pode ser um grande erro. a a ´ Para manter seu computador pessoal seguro, e importante que vocˆ : eMantenha os programas instalados com as vers˜ es mais recentes: o Fabricantes costumam lancar novas vers˜ es quando h´ recursos a serem adicionados e vulnera- ¸ o abilidades a serem corrigidas. Sempre que uma nova vers˜ o for lancada, ela deve ser prontamente a ¸ ¸˜instalada, pois isto pode ajudar a proteger seu computador da acao de atacantes e c´ digos maliciosos. o 93
  • 94 Cartilha de Seguranca para Internet ¸ e ¸˜Al´ m disto, alguns fabricantes deixam de dar suporte e de desenvolver atualizacoes para vers˜ es oantigas, o que significa que vulnerabilidades que possam vir a ser descobertas n˜ o ser˜ o corrigidas. a a • remova programas que vocˆ n˜ o utiliza mais. Programas n˜ o usados tendem a ser esquecidos e e a a a ficar com vers˜ es antigas (e potencialmente vulner´ veis); o a • remova as vers˜ es antigas. Existem programas que permitem que duas ou mais vers˜ es estejam o o instaladas ao mesmo tempo. Nestes casos, vocˆ deve manter apenas a vers˜ o mais recente e e a remover as mais antigas; • tenha o h´ bito de verificar a existˆ ncia de novas vers˜ es, por meio de opcoes disponibilizadas a e o ¸˜ pelos pr´ prios programas ou acessando diretamente os sites dos fabricantes. o ¸˜Mantenha os programas instalados com todas as atualizacoes aplicadas: Quando vulnerabilidades s˜ o descobertas, certos fabri- a ¸ ¸˜cantes costumam lancar atualizacoes espec´ficas, chamadas ıde patches, hot fixes ou service packs. Portanto, para man-ter os programas instalados livres de vulnerabilidades, al´ m e ´de manter as vers˜ es mais recentes, e importante que sejam o ¸˜aplicadas todas as atualizacoes dispon´veis. ı • configure, quando poss´vel, para que os programas sejam atualizados automaticamente; ı • programe as atualizacoes autom´ ticas para serem baixadas e aplicadas em hor´ rios em que ¸˜ a a ` seu computador esteja ligado e conectado a Internet. Alguns programas, por padr˜ o, s˜ o con- a a ¸˜ figurados para que as atualizacoes sejam feitas de madrugada, per´odo no qual grande parte ı a ¸˜ dos computadores est´ desligada (as atualizacoes que n˜ o foram feitas no hor´ rio programado a a podem n˜ o ser feitas quando ele for novamente ligado); a • no caso de programas que n˜ o possuam o recurso de atualizacao autom´ tica, ou caso vocˆ opte a ¸˜ a e ´ por n˜ o utilizar este recurso, e importante visitar constantemente os sites dos fabricantes para a ¸˜ verificar a existˆ ncia de novas atualizacoes; e • utilize programas para verificacao de vulnerabilidades, como o PSI (mais detalhes na Secao 7.10 ¸˜ ¸˜ do Cap´tulo Mecanismos de seguranca), para verificar se os programas instalados em seu com- ı ¸ putador est˜ o atualizados. aUse apenas programas originais: O uso de programas n˜ o originais pode colocar em risco a seguranca do seu computador j´ que a ¸ a a ¸˜ ¸˜muitos fabricantes n˜ o permitem a realizacao de atualizacoes quando detectam vers˜ es n˜ o licencia- o a ¸˜das. Al´ m disto, a instalacao de programas deste tipo, obtidos de m´dias e sites n˜ o confi´ veis ou via e ı a a ¸˜programas de compartilhamento de arquivos, pode incluir a instalacao de c´ digos maliciosos. o • ao adquirir computadores com programas pr´ -instalados, procure certificar-se de que eles s˜ o e a originais solicitando ao revendedor as licencas de uso; ¸ • ao enviar seu computador para manutencao, n˜ o permita a instalacao de programas que n˜ o ¸˜ a ¸˜ a sejam originais;
  • 12. Seguranca de computadores ¸ 95 • caso deseje usar um programa propriet´ rio, mas n˜ o tenha recursos para adquirir a licenca, pro- a a ¸ cure por alternativas gratuitas ou mais baratas e que apresentem funcionalidades semelhantes as desejadas. ¸˜Use mecanismos de protecao: ¸˜ O uso de mecanismos de protecao, como programas antimalwaree firewall pessoal, pode contribuir para que seu computador n˜ o seja ainfectado/invadido e para que n˜ o participe de atividades maliciosas. a • utilize mecanismos de seguranca, como os descritos no Cap´tulo Mecanismos de seguranca; ¸ ı ¸ • mantenha seu antimalware atualizado, incluindo o arquivo de assinaturas; • assegure-se de ter um firewall pessoal instalado e ativo em seu computador; • crie um disco de emergˆ ncia e o utilize quando desconfiar que o antimalware instalado est´ e a desabilitado/comprometido ou que o comportamento do computador est´ estranho (mais lento, a gravando ou lendo o disco r´gido com muita frequˆ ncia, etc.); ı e • verifique periodicamente os logs gerados pelo seu firewall pessoal, sistema operacional e anti- malware (observe se h´ registros que possam indicar algum problema de seguranca). a ¸ ¸˜Use as configuracoes de seguranca j´ dispon´veis: ¸ a ı ¸˜ Muitos programas disponibilizam opcoes de seguranca, mas que, por padr˜ o, vˆ m desabilitadas ou ¸ a e ¸˜ ¸˜em n´veis considerados baixos. A correta configuracao destas opcoes pode contribuir para melhorar ıa seguranca geral do seu computador. ¸ • observe as configuracoes de seguranca e privacidade oferecidas pelos programas instalados em ¸˜ ¸ seu computador (como programas leitores de e-mails e navegadores Web) e altere-as caso n˜ o a estejam de acordo com as suas necessidades.Seja cuidadoso ao manipular arquivos: Alguns mecanismos, como os programas antimalware, s˜ o importantes para proteger seu compu- atador contra ameacas j´ conhecidas, mas podem n˜ o servir para aquelas ainda n˜ o detectadas. No- ¸ a a avos c´ digos maliciosos podem surgir, a velocidades nem sempre acompanhadas pela capacidade de o ¸˜ ´ aatualizacao dos mecanismos de seguranca e, por isto, adotar uma postura preventiva e t˜ o importante ¸quanto as outras medidas de seguranca aplicadas. ¸ • seja cuidadoso ao clicar em links, independente de como foram recebidos e de quem os enviou; • seja cuidadoso ao clicar em links curtos, procure usar complementos que possibilitem que o link de destino seja visualizado; • n˜ o considere que mensagens vindas de conhecidos s˜ o sempre confi´ veis, pois o campo de re- a a a metente pode ter sido falsificado ou elas podem ter sido enviadas de contas falsas ou invadidas; • desabilite, em seu seu programa leitor de e-mails, a auto-execucao de arquivos anexados; ¸˜
  • 96 Cartilha de Seguranca para Internet ¸ • desabilite a auto-execucao de m´dias remov´veis (se estiverem infectadas, elas podem compro- ¸˜ ı ı meter o seu computador ao serem executadas); • n˜ o abra ou execute arquivos sem antes verific´ -los com seu antimalware; a a • configure seu antimalware para verificar todos os formatos de arquivo pois, apesar de inicial- o ¸˜ mente algumas extens˜ es terem sido mais usadas para a disseminacao de c´ digos maliciosos, o a a ´ atualmente isso j´ n˜ o e mais v´ lido; a • tenha cuidado com extens˜ es ocultas. Alguns sistemas possuem como configuracao padr˜ o o ¸˜ a ocultar a extens˜ o de tipos de arquivos conhecidos. Exemplo: se um atacante renomear o a arquivo “exemplo.scr” para “exemplo.txt.scr”, ao ser visualizado o nome do arquivo ser´a mostrado como “exemplo.txt”, j´ que a extens˜ o “.scr” n˜ o ser´ mostrada. a a a a Alguns cuidados especiais para manipular arquivos contendo macros s˜ o: a • verifique o n´vel de seguranca associado a execucao de macros e certifique-se de associar um ı ¸ ` ¸˜ n´vel que, no m´nimo, pergunte antes de execut´ -las (normalmente associado ao n´vel m´ dio); ı ı a ı e • permita a execucao de macros apenas quando realmente necess´ rio (caso n˜ o tenha certeza, e ¸˜ a a ´ ¸˜ melhor n˜ o permitir a execucao); a • utilize visualizadores. Arquivos gerados, por exemplo, pelo Word, PowerPoint e Excel po- dem ser visualizados e impressos, sem que as macros sejam executadas, usando visualizadores gratuitos disponibilizados no site do fabricante.Proteja seus dados: ´ O seu computador pessoal e, provavelmente, onde a maioria dos seus dados fica gravada. Por este ´motivo, e importante que vocˆ tome medidas preventivas para evitar perdˆ -los. e e • faca regularmente backup dos seus dados. Para evitar que eles sejam perdidos em caso de furto ¸ a ¸˜ ou mal-funcionamento do computador (por exemplo, invas˜ o, infeccao por c´ digos maliciosos o ou problemas de hardware; • siga as dicas relacionadas a backups apresentadas na Secao 7.5 do Cap´tulo Mecanismos de ¸˜ ı seguranca. ¸Mantenha seu computador com a data e a hora corretas: ¸˜ ¸˜ A data e a hora do seu computador s˜ o usadas na geracao de logs, na correlacao de incidentes de a ¸˜ ´seguranca, na verificacao de certificados digitais (para conferir se est˜ o v´ lidos). Portanto, e muito ¸ a aimportante que tome medidas para garantir que estejam sempre corretas. • observe as dicas sobre como manter a hora do seu computador sincronizado apresentadas em http://ntp.br/.
  • 12. Seguranca de computadores ¸ 97 ¸˜Crie um disco de recuperacao de sistema: ¸˜ a ´ ¸˜ Discos de recuperacao s˜ o uteis em caso de emergˆ ncia, como atualizacoes mal-sucedidas ou des- eligamentos abruptos que tenham corrompido arquivos essenciais ao funcionamento do sistema (cau-sado geralmente por queda de energia). Al´ m disso, tamb´ m podem socorrer caso seu computador e eseja infectado e o c´ digo malicioso tenha apagado arquivos essenciais. Podem ser criados por meio o ¸˜de opcoes do sistema operacional ou de programas antimalware que oferecam esta funcionalidade. ¸ • crie um disco de recuperacao do seu sistema e certifique-se de tˆ -lo sempre por perto, no caso ¸˜ e de emergˆ ncias. eSeja cuidadoso ao instalar aplicativos desenvolvidos por terceiros: • ao instalar plug-ins, complementos e extens˜ es, procure ser bastante criterioso e siga as dicas o ¸˜ ¸˜ de prevencao apresentadas na Secao 6.4 do Cap´tulo Outros riscos. ı ¸˜Seja cuidadoso ao enviar seu computador para servicos de manutencao: ¸ • procure selecionar uma empresa com boas referˆ ncias; e • pesquise na Internet sobre a empresa, a procura de opini˜ o de clientes sobre ela; ` a • n˜ o permita a instalacao de programas n˜ o originais; a ¸˜ a • se poss´vel, faca backups dos seus dados antes de enviar seu computador, para n˜ o correr o risco ı ¸ a ¸˜ de perdˆ -los acidentalmente ou como parte do processo de manutencao do seu computador; e • se poss´vel, peca que a manutencao seja feita em sua residˆ ncia, assim fica mais f´ cil de acom- ı ¸ ¸˜ e a ¸˜ panhar a realizacao do servico. ¸ ´Seja cuidadoso ao utilizar o computador em locais publicos: ´ Quando usar seu computador em p´ blico, e importante tomar cuidados para evitar que ele seja ufurtado ou indevidamente utilizado por outras pessoas. • procure manter a seguranca f´sica do seu computador, utilizando travas que dificultem que ele ¸ ı seja aberto, que tenha pecas retiradas ou que seja furtado, como cadeados e cabos de aco; ¸ ¸ • procure manter seu computador bloqueado, para evitar que seja usado quando vocˆ n˜ o estiver e a por perto (isso pode ser feito utilizando protetores de tela com senha ou com programas que impedem o uso do computador caso um dispositivo espec´fico n˜ o esteja conectado); ı a • configure seu computador para solicitar senha na tela inicial (isso impede que algu´ m reinicie e seu computador e o acesse diretamente); • utilize criptografia de disco para que, em caso de perda ou furto, seus dados n˜ o sejam indevi- a damente acessados.
  • 98 Cartilha de Seguranca para Internet ¸12.1 ¸˜ Administracao de contas de usu´ rios a A maioria dos sistemas operacionais possui 3 tipos de conta de usu´ rio: aAdministrador (administrator, admin ou root): fornece controle completo sobre o computador, de- vendo ser usada para atividades como criar/alterar/excluir outras contas, instalar programas de ¸˜ uso geral e alterar de configuracao que afetem os demais usu´ rios ou o sistema operacional. aPadr˜ o (standard, limitada ou limited): considerada de uso “normal” e que cont´ m os privil´ gios a e e que a grande maioria dos usu´ rios necessita para realizar tarefas rotineiras, como alterar confi- a ¸˜ guracoes pessoais, navegar, ler e-mails, redigir documentos, etc.Convidado (guest): destinada aos usu´ rios eventuais, n˜ o possui senha e n˜ o pode ser acessada re- a a a motamente. Permite que o usu´ rio realize tarefas como navegar na Internet e executar progra- a mas j´ instalados. Quando o usu´ rio que utilizou esta conta deixa de usar o sistema, todas as a a ¸˜ informacoes e arquivos que foram criados referentes a ela s˜ o apagados. a ´ Quando um programa e executado, ele herda as permiss˜ es da conta do usu´ rio que o execu- o a ¸˜tou e pode realizar operacoes e acessar arquivos de acordo com estas permiss˜ es. Se o usu´ rio em o aquest˜ o estiver utilizando a conta de administrador, ent˜ o o programa poder´ executar qualquer tipo a a a ¸˜de operacao e acessar todo tipo de arquivo. ¸˜ A conta de administrador, portanto, deve ser usada apenas em situacoes nas quais uma conta ¸˜padr˜ o n˜ o tenha privil´ gios suficientes para realizar uma operacao a a e 1 . E, sobretudo, pelo menor tempoposs´vel. Muitas pessoas, entretanto, por quest˜ es de comodidade ou falta de conhecimento, utilizam ı oesta conta para realizar todo tipo de atividade. e ´ Utilizar nas atividades cotidianas uma conta com privil´ gios de administrador e um h´ bito que adeve ser evitado, pois vocˆ pode, por exemplo, apagar acidentalmente arquivos essenciais para o efuncionamento do sistema operacional ou instalar inadvertidamente um c´ digo malicioso, que ter´ o aacesso irrestrito ao seu computador. ` ¸˜ Alguns cuidados espec´ficos referentes a administracao de contas em computadores pessoais s˜ o: ı a • nunca compartilhe a senha de administrador; • crie uma conta padr˜ o e a utilize para a realizacao de suas tarefas rotineiras; a ¸˜ • utilize a conta de administrador apenas o m´nimo necess´ rio; ı a • use a opcao de “executar como administrador” quando necessitar de privil´ gios administrativos; ¸˜ e • crie tantas contas padr˜ o quantas forem as pessoas que utilizem o seu computador; a • assegure que todas as contas existentes em seu computador tenham senha; • mantenha a conta de convidado sempre desabilitada (caso vocˆ queira utiliz´ -la, libere-a pelo e a tempo necess´ rio, mas tenha certeza de novamente bloque´ -la quando n˜ o estiver mais em uso); a a a 1 Esta ¸˜ recomendacao baseia-se em um princ´pio de seguranca conhecido como “privil´ gio m´nimo” e visa evitar danos ı ¸ e ıpor uso equivocado ou n˜ o autorizado. a
  • 12. Seguranca de computadores ¸ 99 • assegure que o seu computador esteja configurado para solicitar a conta de usu´ rio e a senha na a tela inicial; • assegure que a opcao de login (inicio de sess˜ o) autom´ tico esteja desabilitada; ¸˜ a a • n˜ o crie e n˜ o permita o uso de contas compartilhadas, cada conta deve ser acessada apenas por a a ´ ¸˜ uma pessoa (assim e poss´vel rastrear as acoes realizadas por cada um e detectar uso indevido); ı • crie tantas contas com privil´ gio de administrador quantas forem as pessoas que usem o seu e computador e que necessitem destes privil´ gios. e12.2 O que fazer se seu computador for comprometido H´ alguns ind´cios que, isoladamente ou em conjunto, podem indicar que seu computador foi a ıcomprometido. Alguns deles s˜ o: a • o computador desliga sozinho e sem motivo aparente; • o computador fica mais lento, tanto para ligar e desligar como para executar programas; • o acesso a Internet fica mais lento; ` • o acesso ao disco se torna muito frequente; • janelas de pop-up aparecem de forma inesperada; • mensagens de logs s˜ o geradas em excesso ou deixam de ser geradas; a • arquivos de logs s˜ o apagados, sem nenhum motivo aparente; a • atualizacoes do sistema operacional ou do antimalware n˜ o podem ser aplicadas. ¸˜ a Caso perceba estes ind´cios em seu computador e conclua que ele possa estar infectado ou inva- ı ´dido, e importante que vocˆ tome medidas para tentar reverter os problemas. Para isto, os seguintes epassos devem ser executados por vocˆ : e a. Certifique-se de que seu computador esteja atualizado (com a vers˜ o mais recente e com todas a ¸˜ as atualizacoes aplicadas). Caso n˜ o esteja, atualize-o imediatamente; a b. certifique-se de que seu antimalware esteja sendo executado e atualizado, incluindo o arquivo de assinaturas; c. execute o antimalware, configurando-o para verificar todos os discos e analisar todas as ex- tens˜ es de arquivos; o d. limpe os arquivos que o antimalware detectar como infectado caso haja algum; e. caso deseje, utilize outro antimalware como, por exemplo, uma vers˜ o online (neste caso, a ¸˜ certifique-se de temporariamente interromper a execucao do antimalware local).
  • 100 Cartilha de Seguranca para Internet ¸ Executar estes passos, na maioria das vezes, consegue resolver grande parte dos problemas rela- ´cionados a c´ digos maliciosos. E necess´ rio, por´ m, que vocˆ verifique se seu computador n˜ o foi o a e e ainvadido e, para isto, vocˆ deve seguir os seguintes passos: e a. Certifique-se de que seu firewall pessoal esteja ativo; b. verifique os logs do seu firewall pessoal. Caso encontre algo fora do padr˜ o e que o faca concluir a ¸ ´ que seu computador tenha sido invadido, o melhor a ser feito e reinstal´ -lo, pois dificilmente e a ´ ¸˜ poss´vel determinar com certeza as acoes do invasor; ı c. antes de reinstal´ -lo, faca backups de logs e notifique ao CERT.br sobre a ocorrˆ ncia (mais a ¸ e ¸˜ detalhes na Secao 7.2 do Cap´tulo Mecanismos de seguranca); ı ¸ ¸˜ d. reinstale o sistema operacional e aplique todas as atualizacoes, principalmente as de seguranca; ¸ e. instale e atualize o seu programa antimalware; f. instale ou ative o seu firewall pessoal; g. recupere seus dados pessoais, por meio de um backup confi´ vel. a ´ Independente de seu computador ter sido infectado ou invadido, e importante alterar rapidamentetodas as senhas dos servicos que vocˆ costuma acessar por meio dele. ¸ e12.3 Cuidados ao usar computadores de terceiros Ao usar outros computadores, seja de seus amigos, na sua escola, em lanhouse e cyber caf´ , e e ´necess´ rio que os cuidados com seguranca sejam redobrados. Ao passo que no seu computador e a ¸ ´poss´vel tomar medidas preventivas para evitar os riscos de uso da Internet, ao usar um outro compu- ıtador n˜ o h´ como saber, com certeza, se estes mesmos cuidados est˜ o sendo devidamente tomados e a a aquais as atitudes dos demais usu´ rios. Alguns cuidados que vocˆ deve ter s˜ o: a e a • utilize opcoes de navegar anonimamente, caso queria garantir sua privacidade (vocˆ pode usar ¸˜ e ¸˜ opcoes do pr´ prio navegador Web ou anonymizers); o • utilize um antimalware online para verificar se o computador est´ infectado; a • n˜ o efetue transacoes banc´ rias ou comerciais; a ¸˜ a • n˜ o utilize opcoes como “Lembre-se de mim” e “Continuar conectado”; a ¸˜ • n˜ o permita que suas senhas sejam memorizadas pelo navegador Web; a • limpe os dados pessoais salvos pelo navegador, como hist´ rico de navegacao e cookies (os o ¸˜ ¸˜ navegadores disponibilizam opcoes que permitem que isto seja facilmente realizado); • assegure-se de sair (logout) de sua conta de usu´ rio, nos sites que vocˆ tenha acessado; a e • seja cuidadoso ao conectar m´dias remov´veis, como pen-drives. Caso vocˆ use seu pen-drive ı ı e no computador de outra pessoa, assegure-se de verific´ -lo com seu antimalware quando for a utiliz´ -lo em seu computador; a • ao retornar ao seu computador, procure alterar as senhas que, por ventura, vocˆ tenha utilizado. e
  • 13. Seguranca de redes ¸ ` Inicialmente, grande parte dos acessos a Internet eram realizados por meio de conex˜ o discada acom velocidades que dificilmente ultrapassavam 56 Kbps. O usu´ rio, de posse de um modem e de auma linha telefˆ nica, se conectava ao provedor de acesso e mantinha esta conex˜ o apenas pelo tempo o a ¸˜necess´ rio para realizar as acoes que dependessem da rede. a Desde ent˜ o, grandes avancos ocorreram e novas alternativas surgiram, sendo que atualmente a ¸ `grande parte dos computadores pessoais ficam conectados a rede pelo tempo em que estiverem ligadose a velocidades que podem chegar a at´ 100 Mbps e 1 . Conex˜ o a Internet tamb´ m deixou de ser um a ` erecurso oferecido apenas a computadores, visto a grande quantidade de equipamentos com acesso a ` o e ´rede, como dispositivos m´ veis, TVs, eletrodom´ sticos e sistemas de audio. ` Independente do tipo de tecnologia usada, ao conectar o seu computador a rede ele pode estarsujeito a ameacas, como: ¸Furto de dados: informacoes pessoais e outros dados podem ser obtidos tanto pela interceptacao de ¸˜ ¸˜ a ¸˜ tr´ fego como pela exploracao de poss´veis vulnerabilidades existentes em seu computador. ı 1 Estes dados baseiam-se nas tecnologias dispon´veis no momento de escrita desta Cartilha. ı 101
  • 102 Cartilha de Seguranca para Internet ¸Uso indevido de recursos: um atacante pode ganhar acesso a um computador conectado a rede e uti- ` liz´ -lo para a pr´ tica de atividades maliciosas, como obter arquivos, disseminar spam, propagar a a c´ digos maliciosos, desferir ataques e esconder a real identidade do atacante. oVarredura: um atacante pode fazer varreduras na rede, a fim de descobrir outros computadores e, ¸˜ ent˜ o, tentar executar acoes maliciosas, como ganhar acesso e explorar vulnerabilidades (mais a ¸˜ detalhes na Secao 3.2 do Cap´tulo Ataques na Internet). ı ¸˜Interceptacao de tr´ fego: um atacante, que venha a ter acesso a rede, pode tentar interceptar o a ` tr´ fego e, ent˜ o, coletar dados que estejam sendo transmitidos sem o uso de criptografia (mais a a ¸˜ detalhes na Secao 3.4 do Cap´tulo Ataques na Internet). ı ¸˜Exploracao de vulnerabilidades: por meio da exploracao de vulnerabilidades, um computador pode ¸˜ ser infectado ou invadido e, sem que o dono saiba, participar de ataques, ter dados indevida- ¸˜ mente coletados e ser usado para a propagacao de c´ digos maliciosos. Al´ m disto, equipamen- o e tos de rede (como modems e roteadores) vulner´ veis tamb´ m podem ser invadidos, terem as a e ¸˜ configuracoes alteradas e fazerem com que as conex˜ es dos usu´ rios sejam redirecionadas para o a sites fraudulentos. ¸˜Ataque de negacao de servico: um atacante pode usar a rede para enviar grande volume de mensa- ¸ gens para um computador, at´ torn´ -lo inoperante ou incapaz de se comunicar. e aAtaque de forca bruta: computadores conectados a rede e que usem senhas como m´ todo de auten- ¸ ` e ¸˜ ticacao, est˜ o expostos a ataques de forca bruta. Muitos computadores, infelizmente, utilizam, a ¸ por padr˜ o, senhas de tamanho reduzido e/ou de conhecimento geral dos atacantes. a ¸˜Ataque de personificacao: um atacante pode introduzir ou substituir um dispositivo de rede para induzir outros a se conectarem a este, ao inv´ s do dispositivo leg´timo, permitindo a captura de e ı ¸˜ senhas de acesso e informacoes que por ele passem a trafegar. o ¸˜ Nas pr´ ximas secoes s˜ o apresentados os cuidados gerais e independentes de tecnologia que vocˆ a e `ter ao usar redes, os tipos mais comuns de acesso a Internet, os riscos adicionais que eles podem ¸˜representar e algumas dicas de prevencao.13.1 Cuidados gerais Alguns cuidados que vocˆ deve tomar ao usar redes, independentemente da tecnologia, s˜ o: e a • mantenha seu computador atualizado, com as vers˜ es mais recentes e com todas as atualizacoes o ¸˜ aplicadas (mais detalhes no Cap´tulo Seguranca de computadores); ı ¸ • utilize e mantenha atualizados mecanismos de seguranca, como programa antimalware e fire- ¸ wall pessoal (mais detalhes no Cap´tulo Mecanismos de seguranca); ı ¸ • seja cuidadoso ao elaborar e ao usar suas senhas (mais detalhes no Cap´tulo Contas e senhas); ı • utilize conex˜ o segura sempre que a comunicacao envolver dados confidenciais (mais detalhes a ¸˜ ¸˜ na Secao 10.1 do Cap´tulo Uso seguro da Internet); ı • caso seu dispositivo permita o compartilhamento de recursos, desative esta funcao e somente a ¸˜ ative quando necess´ rio e usando senhas dif´ceis de serem descobertas. a ı
  • 13. Seguranca de redes ¸ 10313.2 Wi-Fi Wi-Fi (Wireless Fidelity) e um tipo de rede local que utiliza sinais de r´ dio para comunicacao. ´ a ¸˜ ¸˜Possui dois modos b´ sicos de operacao: aInfraestrutura: normalmente o mais encontrado, utiliza um concentrador de acesso (Access Point - AP) ou um roteador wireless.Ponto a ponto (ad-hoc): permite que um pequeno grupo de m´ quinas se comunique diretamente, a sem a necessidade de um AP. ¸˜ Redes Wi-Fi se tornaram populares pela mobilidade que oferecem e pela facilidade de instalacaoe de uso em diferentes tipos de ambientes. Embora sejam bastante convenientes, h´ alguns riscos que avocˆ deve considerar ao us´ -las, como: e a • por se comunicarem por meio de sinais de r´ dio, n˜ o h´ a necessidade de acesso f´sico a um a a a ı ambiente restrito, como ocorre com as redes cabeadas. Devido a isto, os dados transmitidos por clientes leg´timos podem ser interceptados por qualquer pessoa pr´ xima com um m´nimo ı o ı de equipamento (por exemplo, um notebook ou tablet); • por terem instalacao bastante simples, muitas pessoas as instalam em casa (ou mesmo em em- ¸˜ presas, sem o conhecimento dos administradores de rede), sem qualquer cuidado com configu- ¸˜ racoes m´nimas de seguranca, e podem vir a ser abusadas por atacantes, por meio de uso n˜ o ı ¸ a autorizado ou de “sequestro”2 ; • em uma rede Wi-Fi p´ blica (como as disponibilizadas em aeroportos, hot´ is e conferˆ ncias) os u e e dados que n˜ o estiverem criptografados podem ser indevidamente coletados por atacantes; a • uma rede Wi-Fi aberta pode ser propositadamente disponibilizada por atacantes para atrair a a ¸˜ usu´ rios, a fim de interceptar o tr´ fego (e coletar dados pessoais) ou desviar a navegacao para sites falsos. Para resolver alguns destes riscos foram desenvolvidos mecanismos de seguranca, como: ¸ ¸ ¸ ´WEP (Wired Equivalent Privacy): primeiro mecanismo de seguranca a ser lancado. E considerado fr´ gil e, por isto, o uso deve ser evitado. aWPA (Wi-Fi Protected Access): mecanismo desenvolvido para resolver algumas das fragilidades do ´ ı ı ¸ ´ WEP. E o n´vel m´nimo de seguranca que e recomendado. ´WPA-2: similar ao WPA, mas com criptografia considerada mais forte. E o mecanismo mais reco- mendado.Cuidados a serem tomados: • habilite a interface de rede Wi-Fi do seu computador ou dispositivo m´ vel somente quando o us´ -la e desabilite-a ap´ s o uso; a o 2 Por ¸˜ ` ¸˜ sequestro de rede Wi-Fi entende-se uma situacao em que um terceiro ganha acesso a rede e altera configuracoesno AP para que somente ele consiga acess´ -la. a
  • 104 Cartilha de Seguranca para Internet ¸ • desabilite o modo ad-hoc (use-o apenas quando necess´ rio e desligue-o quando n˜ o precisar). a a ¸˜ Alguns equipamentos permitem inibir conex˜ o com redes ad-hoc, utilize essa funcao caso o a dispositivo permita; • use, quando poss´vel, redes que oferecem autenticacao e criptografia entre o cliente e o AP ı ¸˜ (evite conectar-se a redes abertas ou p´ blicas, sem criptografia, especialmente as que vocˆ n˜ o u e a conhece a origem); • considere o uso de criptografia nas aplicacoes, como por exemplo, PGP para o envio de e-mails, ¸˜ SSH para conex˜ es remotas ou ainda VPNs; o • evite o acesso a servicos que n˜ o utilizem conex˜ o segura (“https”); ¸ a a • evite usar WEP, pois ele apresenta vulnerabilidades que, quando exploradas, permitem que o mecanismo seja facilmente quebrado; • use WPA2 sempre que dispon´vel (caso seu dispositivo n˜ o tenha este recurso, utilize no m´ni- ı a ı mo WPA).Cuidados ao montar uma rede sem fio dom´ stica: e • posicione o AP longe de janelas e pr´ ximo ao centro de sua casa a fim de reduzir a propagacao o ¸˜ do sinal e controlar a abrangˆ ncia (conforme a potˆ ncia da antena do AP e do posicionamento e e ´ no recinto, sua rede pode abranger uma area muito maior que apenas a da sua residˆ ncia e, com e isto, ser acessada sem o seu conhecimento ou ter o tr´ fego capturado por vizinhos ou pessoas a que estejam nas proximidades); • altere as configuracoes padr˜ o que acompanham o seu AP. Alguns exemplos s˜ o: ¸˜ a a – altere as senhas originais, tanto de administracao do AP como de autenticacao de usu´ rios; ¸˜ ¸˜ a – assegure-se de utilizar senhas bem elaboradas e dif´ceis de serem descobertas (mais deta- ı lhes no Cap´tulo Contas e senhas); ı – altere o SSID (Server Set IDentifier); – ao configurar o SSID procure n˜ o usar dados pessoais e nem nomes associados ao fabri- a ¸˜ cante ou modelo, pois isto facilita a identificacao de caracter´sticas t´ cnicas do equipa- ı e ¸˜ mento e pode permitir que essas informacoes sejam associadas a poss´veis vulnerabilida- ı des existentes; – desabilite a difus˜ o (broadcast) do SSID, evitando que o nome da rede seja anunciado a para outros dispositivos; – desabilite o gerenciamento do AP via rede sem fio, de tal forma que, para acessar funcoes ¸˜ ¸˜ de administracao, seja necess´ rio conectar-se diretamente a ele usando uma rede cabeada. a Desta maneira, um poss´vel atacante externo (via rede sem fio) n˜ o ser´ capaz de acessar ı a a o AP para promover mudancas na configuracao. ¸ ¸˜ • n˜ o ative WEP, pois ele apresenta vulnerabilidades que, quando exploradas, permitem que o a mecanismo seja facilmente quebrado; • utilize WPA2 ou, no m´nimo, WPA; ı
  • 13. Seguranca de redes ¸ 105 • caso seu AP disponibilize WPS (Wi-Fi Protected Setup), desabilite-o a fim de evitar acessos indevidos; • desligue seu AP quando n˜ o usar sua rede. a13.3 Bluetooth ´ ¸˜ Bluetooth e um padr˜ o para tecnologia de comunicacao de dados e voz, baseado em radiofre- a e ` a a ¸˜quˆ ncia e destinado a conex˜ o de dispositivos em curtas distˆ ncias, permitindo a formacao de redespessoais sem fio. Est´ dispon´vel em uma extensa variedade de equipamentos, como dispositivos a ı ´m´ veis, videogames, mouses, teclados, impressoras, sistemas de audio, aparelhos de GPS e monitores o ¸˜ e ´de frequˆ ncia card´aca. A quantidade de aplicacoes tamb´ m e vasta, incluindo sincronismo de dados e ı ¸˜entre dispositivos, comunicacao entre computadores e perif´ ricos e transferˆ ncia de arquivos. e e Embora traga muitos benef´cios, o uso desta tecnologia traz tamb´ m riscos, visto que est´ sujeita ı e a` aas v´ rias ameacas que acompanham as redes em geral, como varredura, furto de dados, uso indevido ¸ ¸˜ ¸ ¸˜de recursos, ataque de negacao de servico, interceptacao de tr´ fego e ataque de forca bruta. a ¸ ¸˜ ´ Um agravante, que facilita a acao dos atacantes, e que muitos dispositivos vˆ m, por padr˜ o, com o e abluetooth ativo. Desta forma, muitos usu´ rios n˜ o percebem que possuem este tipo de conex˜ o ativa a a ae n˜ o se preocupam em adotar uma postura preventiva. aCuidados a serem tomados: • mantenha as interfaces bluetooth inativas e somente as habilite quando fizer o uso; • configure as interfaces bluetooth para que a opcao de visibilidade seja “Oculto” ou “Invis´vel”, ¸˜ ı evitando que o nome do dispositivo seja anunciado publicamente. O dispositivo s´ deve ficar o rastre´ vel quando for necess´ rio autenticar-se a um novo dispositivo (“pareamento”); a a • altere o nome padr˜ o do dispositivo e evite usar na composicao do novo nome dados que iden- a ¸˜ tifiquem o propriet´ rio ou caracter´sticas t´ cnicas do dispositivo; a ı e • sempre que poss´vel, altere a senha (PIN) padr˜ o do dispositivo e seja cuidadoso ao elaborar a ı a nova (mais detalhes no Cap´tulo Contas e senhas); ı • evite realizar o pareamento em locais p´ blicos, reduzindo as chances de ser rastreado ou inter- u ceptado por um atacante; • fique atento ao receber mensagens em seu dispositivo solicitando autorizacao ou PIN (n˜ o res- ¸˜ a ` ¸˜ ponda a solicitacao se n˜ o tiver certeza que est´ se comunicando com o dispositivo correto); a a • no caso de perda ou furto de um dispositivo bluetooth, remova todas as relacoes de confianca ¸˜ ¸ j´ estabelecidas com os demais dispositivos que possui, evitando que algu´ m, de posse do a e dispositivo roubado/perdido, possa conectar-se aos demais.
  • 106 Cartilha de Seguranca para Internet ¸13.4 Banda larga fixa ´ a ` Banda larga fixa e um tipo de conex˜ o a rede com capacidade acima daquela conseguida, usual- o a a ¸˜mente, em conex˜ o discada via sistema telefˆ nico. N˜ o h´ uma definicao de m´ trica de banda larga a e ´que seja aceita por todos, mas e comum que conex˜ es deste tipo sejam permanentes e n˜ o comutadas, o acomo as discadas. Usualmente, compreende conex˜ es com mais de 100 Kbps, por´ m esse limite e o e ´muito vari´ vel de pa´s para pa´s e de servico para servico3 . a ı ı ¸ ¸ Computadores conectados via banda larga fixa, geralmente, possuem boa velocidade de conex˜ o, a ¸ e `mudam o endereco IP com pouca frequˆ ncia e ficam conectados a Internet por longos per´odos. Por ıestas caracter´sticas, s˜ o visados por atacantes para diversos prop´ sitos, como reposit´ rio de dados ı a o o ¸˜ ¸˜fraudulentos, para envio de spam e na realizacao de ataques de negacao de servico.¸ O seu equipamento de banda larga (modem ADSL, por exemplo) tamb´ m pode ser invadido, pela e ¸˜exploracao de vulnerabilidades ou pelo uso de senhas fracas e/ou padr˜ o (facilmente encontradas na a ¸˜Internet). Caso um atacante tenha acesso ao seu equipamento de rede, ele pode alterar configuracoes,bloquear o seu acesso ou desviar suas conex˜ es para sites fraudulentos. oCuidados a serem tomados: • altere, se poss´vel, a senha padr˜ o do equipamento de rede (verifique no contrato se isto e ı a ´ permitido e, caso seja, guarde a senha original e lembre-se de restaur´ -la quando necess´ rio); a a • desabilite o gerenciamento do equipamento de rede via Internet (WAN), de tal forma que, para ¸˜ ¸˜ ¸˜ acessar funcoes de administracao (interfaces de configuracao), seja necess´ rio conectar-se dire- a tamente a ele usando a rede local (desta maneira, um poss´vel atacante externo n˜ o ser´ capaz ı a a a ¸ ¸˜ de acess´ -lo para promover mudancas na configuracao).13.5 Banda Larga M´ vel o o ` A banda larga m´ vel refere-se as tecnologias de acesso sem fio, de longa distˆ ncia, por meio da arede de telefonia m´ vel, especialmente 3G e 4G4 . o Este tipo de tecnologia est´ dispon´vel em grande quantidade de dispositivos m´ veis (como celu- a ı o ´ ¸˜lares, smartphones e tablets) e e uma das respons´ veis pela popularizacao destes dispositivos e das aredes sociais. Al´ m disto, tamb´ m pode ser adicionada a computadores e dispositivos m´ veis que e e oainda n˜ o tenham esta capacidade, por meio do uso de modems espec´ficos. a ı Assim como no caso da banda larga fixa, dispositivos com suporte a este tipo de tecnologia podem `ficar conectados a Internet por longos per´odos e permitem que o usu´ rio esteja online, independente ı a ¸˜de localizacao. Por isto, s˜ o bastante visados por atacantes para a pr´ tica de atividades maliciosas. a aCuidados a serem tomados: • aplique os cuidados b´ sicos de seguranca, apresentados na Secao 13.1. a ¸ ¸˜ 3 Fonte:http://www.cetic.br/. 4 3G ` ¸˜ e 4G correspondem, respectivamente, a terceira e quarta geracoes de padr˜ es de telefonia m´ vel definidos pela o oInternational Telecommunication Union - ITU.
  • 14. Seguranca em dispositivos m´ veis ¸ o Dispositivos m´ veis, como tablets, smartphones, celulares e PDAs, tˆ m se tornado cada vez mais o e ¸˜populares e capazes de executar grande parte das acoes realizadas em computadores pessoais, como ¸˜navegacao Web, Internet Banking e acesso a e-mails e redes sociais. Infelizmente, as semelhancas ¸ a `n˜ o se restringem apenas as funcionalidades apresentadas, elas tamb´ m incluem os riscos de uso que epodem representar. Assim como seu computador, o seu dispositivo m´ vel tamb´ m pode ser usado para a pr´ tica de o e a ¸˜atividades maliciosas, como furto de dados, envio de spam e a propagacao de c´ digos maliciosos, oal´ m de poder fazer parte de botnets e ser usado para disparar ataques na Internet. e Somadas a estes riscos, h´ caracter´sticas pr´ prias que os dispositivos m´ veis possuem que, a ı o oquando abusadas, os tornam ainda mais atraentes para atacantes e pessoas mal-intencionadas, como: ¸˜Grande quantidade de informacoes pessoais armazenadas: informacoes como conte´ do de men- ¸˜ u sagens SMS, lista de contatos, calend´ rios, hist´ rico de chamadas, fotos, v´deos, n´ meros de a o ı u cart˜ o de cr´ dito e senhas costumam ficar armazenadas nos dispositivos m´ veis. a e o 107
  • 108 Cartilha de Seguranca para Internet ¸Maior possibilidade de perda e furto: em virtude do tamanho reduzido, do alto valor que podem possuir, pelo status que podem representar e por estarem em uso constante, os dispositivos ¸˜ m´ veis podem ser facilmente esquecidos, perdidos ou atrair a atencao de assaltantes. o ¸˜Grande quantidade de aplicacoes desenvolvidas por terceiros: h´ uma infinidade de aplicacoes a ¸˜ sendo desenvolvidas, para diferentes finalidades, por diversos autores e que podem facilmente ¸˜ ¸˜ ser obtidas e instaladas. Entre elas podem existir aplicacoes com erros de implementacao, n˜ o a ¸˜ confi´ veis ou especificamente desenvolvidas para execucao de atividades maliciosas. a ¸˜Rapidez de substituicao dos modelos: em virtude da grande quantidade de novos lancamentos, do ¸ desejo dos usu´ rios de ter o modelo mais recente e de pacotes promocionais oferecidos pe- a las operadoras de telefonia, os dispositivos m´ veis costumam ser rapidamente substitu´dos e o ı descartados, sem que nenhum tipo de cuidado seja tomado com os dados nele gravados. De forma geral, os cuidados que vocˆ deve tomar para proteger seus dispositivos m´ veis s˜ o os e o amesmos a serem tomados com seu computador pessoal, como mantˆ -lo sempre atualizado e utili- e ¸ ´zar mecanismos de seguranca. Por isto e muito importante que vocˆ siga as dicas apresentadas no eCap´tulo Seguranca de computadores. Outros cuidados complementares a serem tomados s˜ o: ı ¸ aAntes de adquirir seu dispositivo m´ vel: o • considere os mecanismos de seguranca que s˜ o disponibilizadas pelos diferentes modelos e ¸ a fabricantes e escolha aquele que considerar mais seguro; • caso opte por adquirir um modelo j´ usado, procure restaurar as configuracoes originais, ou “de a ¸˜ f´ brica”, antes de comecar a us´ -lo; a ¸ a • evite adquirir um dispositivo m´ vel que tenha sido ilegalmente desbloqueado (jailbreak) ou o cujas permiss˜ es de acesso tenham sido alteradas. Esta pr´ tica, al´ m de ser ilegal, pode violar o a e os termos de garantia e comprometer a seguranca e o funcionamento do aparelho. ¸Ao usar seu dispositivo m´ vel: o • se dispon´vel, instale um programa antimalware antes de instalar qualquer tipo de aplicacao, ı ¸˜ principalmente aquelas desenvolvidas por terceiros; • mantenha o sistema operacional e as aplicacoes instaladas sempre com a vers˜ o mais recente e ¸˜ a ¸˜ com todas as atualizacoes aplicadas; • fique atento as not´cias veiculadas no site do fabricante, principalmente as relacionadas a segu- ` ı ` ranca; ¸ • seja cuidadoso ao instalar aplicacoes desenvolvidas por terceiros, como complementos, ex- ¸˜ o ¸˜ tens˜ es e plug-ins. Procure usar aplicacoes de fontes confi´ veis e que sejam bem avalia- a das pelos usu´ rios. Verifique coment´ rios de outros usu´ rios e se as permiss˜ es necess´ rias a a a o a ¸˜ a ¸˜ ¸˜ ¸˜ para a execucao s˜ o coerentes com a destinacao da aplicacao (mais detalhes na Secao 6.4 do Cap´tulo Outros riscos); ı • seja cuidadoso ao usar aplicativos de redes sociais, principalmente os baseados em geolocaliza- ¸˜ ¸˜ cao, pois isto pode comprometer a sua privacidade (mais detalhes na Secao 11.1 do Cap´tulo Pri- ı vacidade).
  • ´14. Seguranca em dispositivos moveis ¸ 109Ao acessar redes1 : • seja cuidadoso ao usar redes Wi-Fi p´ blicas; u • mantenha interfaces de comunicacao, como bluetooth, infravermelho e Wi-Fi, desabilitadas e ¸˜ somente as habilite quando for necess´ rio; a • configure a conex˜ o bluetooth para que seu dispositivo n˜ o seja identificado (ou “descoberto”) a a ¸˜ por outros dispositivos (em muitos aparelhos esta opcao aparece como “Oculto” ou “Invis´vel”). ıProteja seu dispositivo m´ vel e os dados nele armazenados: o • mantenha as informacoes sens´veis sempre em formato criptografado; ¸˜ ı • faca backups peri´ dicos dos dados nele gravados; ¸ o • mantenha controle f´sico sobre ele, principalmente em locais de risco (procure n˜ o deix´ -lo ı a a sobre a mesa e cuidado com bolsos e bolsas quando estiver em ambientes p´ blicos); u • use conex˜ o segura sempre que a comunicacao envolver dados confidenciais (mais detalhes na a ¸˜ ¸˜ Secao 10.1 do Cap´tulo Uso seguro da Internet); ı • n˜ o siga links recebidos por meio de mensagens eletrˆ nicas; a o • cadastre uma senha de acesso que seja bem elaborada e, se poss´vel, configure-o para aceitar ı senhas complexas (alfanum´ ricas); e • configure-o para que seja localizado e bloqueado remotamente, por meio de servicos de geolo- ¸ ¸˜ ´ calizacao (isso pode ser bastante util em casos de perda ou furto); • configure-o, quando poss´vel, para que os dados sejam apagados ap´ s um determinado n´ mero ı o u ¸˜ de tentativas de desbloqueio sem sucesso (use esta opcao com bastante cautela, principalmente se vocˆ tiver filhos e eles gostarem de “brincar” com o seu dispositivo). eAo se desfazer do seu dispositivo m´ vel: o • apague todas as informacoes nele contidas; ¸˜ • restaure a opcoes de f´ brica. ¸˜ aO que fazer em caso de perda ou furto: • infome sua operadora e solicite o bloqueio do seu n´ mero (chip); u • altere as senhas que possam estar nele armazenadas (por exemplo, as de acesso ao seu e-mail ou rede social); • bloqueie cart˜ es de cr´ dito cujo n´ mero esteja armazenado em seu dispositivo m´ vel; o e u o • se tiver configurado a localizacao remota, vocˆ pode ativ´ -la e, se achar necess´ rio, apagar ¸˜ e a a remotamente todos os dados nele armazenados. 1 Mais detalhes sobre estas dicas no Cap´tulo Seguranca de redes. ı ¸
  • Gloss´ rio a802.11 ¸˜ Conjunto de especificacoes desenvolvidas pelo IEEE para tecnologias de redes sem fio.AC Veja Autoridade certificadora.ADSL Do inglˆ s Asymmetric Digital Subscriber Line. Sistema que permite a utilizacao das e ¸˜ linhas telefˆ nicas para transmiss˜ o de dados em velocidades maiores que as permiti- o a das por um modem convencional.Advance Fee Fraud ¸˜ Veja Fraude de antecipacao de recursos.Adware Do inglˆ s Advertising Software. Tipo espec´fico de spyware. Programa projetado e ı especificamente para apresentar propagandas. Pode ser usado de forma leg´tima,ı quando incorporado a programas e servicos, como forma de patroc´nio ou retorno ¸ ı financeiro para quem desenvolve programas livres ou presta servicos gratuitos. Tam- ¸ b´ m pode ser usado para fins maliciosos quando as propagandas apresentadas s˜ o e a ¸˜ direcionadas, de acordo com a navegacao do usu´ rio e sem que este saiba que tal a monitoramento est´ sendo feito. aAntimalware Ferramenta que procura detectar e, ent˜ o, anular ou remover os c´ digos maliciosos a o de um computador. Os programas antiv´rus, antispyware, antirootkit e antitrojan s˜ o ı a exemplos de ferramentas antimalware.Antiv´rus ı Tipo de ferramenta antimalware desenvolvido para detectar, anular e eliminar de um computador v´rus e outros tipos de c´ digos maliciosos. Pode incluir tamb´ m a funci- ı o e onalidade de firewall pessoal.AP Do inglˆ s Access Point. Dispositivo que atua como ponte entre uma rede sem fio e e uma rede tradicional.Artefato ¸˜ Qualquer informacao deixada por um invasor em um sistema comprometido, como programas, scripts, ferramentas, logs e arquivos.Assinatura digital C´ digo usado para comprovar a autenticidade e a integridade de uma informacao, o ¸˜ ou seja, que ela foi realmente gerada por quem diz ter feito isso e que ela n˜ o foi a alterada.Atacante ¸˜ Pessoa respons´ vel pela realizacao de um ataque. Veja tamb´ m Ataque. a eAtaque Qualquer tentativa, bem ou mal sucedida, de acesso ou uso n˜ o autorizado de um a servico, computador ou rede. ¸ 111
  • 112 Cartilha de Seguranca para Internet ¸AUP Do inglˆ s Acceptable Use Policy. Veja Pol´tica de uso aceit´ vel. e ı aAutoridade certificadora Entidade respons´ vel por emitir e gerenciar certificados digitais. Estes certificados a podem ser emitidos para diversos tipos de entidades, tais como: pessoa, computador, ¸˜ ¸˜ departamento de uma instituicao, instituicao, etc.Backdoor Tipo de c´ digo malicioso. Programa que permite o retorno de um invasor a um o computador comprometido, por meio da inclus˜ o de servicos criados ou modificados a ¸ ´ para esse fim. Normalmente esse programa e colocado de forma a n˜ o a ser notado. aBanda, Bandwidth Veja Largura de banda.Banda larga a ` Tipo de conex˜ o a rede com capacidade acima daquela conseguida, usualmente, em o a a ¸˜ conex˜ o discada via sistema telefˆ nico. N˜ o h´ uma definicao de m´ trica de banda a e ´ larga que seja aceita por todos, mas e comum que conex˜ es em banda larga sejam o permanentes e n˜ o comutadas, como as conex˜ es discadas. Usualmente, compreende a o e ´ conex˜ es com mais de 100 Kbps, por´ m esse limite e muito vari´ vel de pa´s para pa´s o a ı ı e de servico para servico (Fonte: http://www.cetic.br/). ¸ ¸Banda larga fixa Tipo de conex˜ o banda larga que permite que um computador fique conectado a In- a ` ı e ¸˜ ternet por longos per´odos e com baixa frequˆ ncia de alteracao de endereco IP. ¸Banda larga m´ vel o Tipo de conex˜ o banda larga. Tecnologia de acesso sem fio, de longa distˆ ncia, a a por meio de rede de telefonia m´ vel, especialmente 3G e 4G (respectivamente a o ¸˜ terceira e a quarta geracao de padr˜ es de telefonia m´ vel definidos pelo International o o Telecommunication Union - ITU).Banner de propaganda Espaco disponibilizado por um usu´ rio em sua p´ gina Web para que servicos de pu- ¸ a a ¸ blicidade apresentem propagandas de clientes.Blacklist Lista de e-mails, dom´nios ou enderecos IP, reconhecidamente fontes de spam. Re- ı ¸ curso utilizado, tanto em servidores como em programas leitores de e-mails, para bloquear as mensagens suspeitas de serem spam.Bluetooth ¸˜ Padr˜ o para tecnologia de comunicacao de dados e voz, baseado em radiofrequˆ ncia a e ` ¸˜ e destinado a conex˜ o de dispositivos em curtas distˆ ncias, permitindo a formacao de a a redes pessoais sem fio.Boato Mensagem que possui conte´ do alarmante ou falso e que, geralmente, tem como u ¸˜ ´ a remetente, ou aponta como autora, alguma instituicao, empresa importante ou org˜ o governamental. Por meio de uma leitura minuciosa de seu conte´ do, normalmente, e u ´ ¸˜ poss´vel identificar informacoes sem sentido e tentativas de golpes, como correntes e ı pirˆ mides. aBot Tipo de c´ digo malicioso. Programa que, al´ m de incluir funcionalidades de worms, o e ¸˜ disp˜ e de mecanismos de comunicacao com o invasor que permitem que ele seja o ¸˜ ¸˜ ´ controlado remotamente. O processo de infeccao e propagacao do bot e similar ao ´ do worm, ou seja, o bot e capaz de se propagar automaticamente, explorando vul- nerabilidades existentes em programas instalados em computadores. Veja tamb´ m e Worm.
  • ´Glossario 113Botnet Rede formada por centenas ou milhares de computadores infectados com bots. Per- ¸˜ mite potencializar as acoes danosas executadas pelos bots e ser usada em ataques de ¸˜ negacao de servico, esquemas de fraude, envio de spam, etc. Veja tamb´ m Bot. ¸ eBrute force Veja Forca bruta. ¸Cable modem Modem projetado para operar sobre linhas de TV a cabo. Veja tamb´ m Modem. eCavalo de troia Tipo de c´ digo malicioso. Programa normalmente recebido como um “presente” o a ´ (por exemplo, cart˜ o virtual, album de fotos, protetor de tela, jogo, etc.) que, al´ m e ¸˜ de executar as funcoes para as quais foi aparentemente projetado, tamb´ m executa e ¸˜ outras funcoes, normalmente maliciosas e sem o conhecimento do usu´ rio.aCertificado digital Registro eletrˆ nico composto por um conjunto de dados que distingue uma entidade o e associa a ela uma chave p´ blica. Pode ser emitido para pessoas, empresas, equipa- u mentos ou servicos na rede (por exemplo, um site Web) e pode ser homologado para ¸ diferentes usos, como confidencialidade e assinatura digital.Certificado digital autoassinado Certificado digital no qual o dono e o emissor s˜ o a mesma entidade. aChave mestra Senha unica usada para proteger (criptografar) outras senhas. ´C´ digo malicioso o ¸˜ Termo gen´ rico usado para se referir a programas desenvolvidos para executar acoes e danosas e atividades maliciosas em um computador ou dispositivo m´ vel. Tipos o espec´ficos de c´ digos maliciosos s˜ o: v´rus, worm, bot, spyware, backdoor, cavalo ı o a ı de troia e rootkit.C´ digo m´ vel Tipo de c´ digo utilizado por desenvolvedores Web para incorporar maior funciona- o o o lidade e melhorar a aparˆ ncia de p´ ginas Web. Alguns tipos de c´ digos m´ veis s˜ o: e a o o a programas e applets Java, JavaScripts e componentes (ou controles) ActiveX.Com´ rcio eletrˆ nico e o ¸˜ Qualquer forma de transacao comercial onde as partes interagem eletronicamente. Conjunto de t´ cnicas e tecnologias computacionais utilizadas para facilitar e executar e ¸˜ transacoes comerciais de bens e servicos por meio da Internet. ¸Comprometimento Veja Invas˜ o. aComputador zumbi Nome dado a um computador infectado por bot, pois pode ser controlado remota- mente, sem o conhecimento do seu dono. Veja tamb´ m Bot. eConex˜ o discada a a ` Conex˜ o comutada a Internet, realizada por meio de um modem anal´ gico e uma o linha da rede de telefonia fixa, que requer que o modem disque um n´ mero telefˆ nico u o para realizar o acesso (Fonte: http://www.cetic.br/).Conex˜ o segura a Conex˜ o que utiliza um protocolo de criptografia para a transmiss˜ o de dados, como a a por exemplo, HTTPS ou SSH.
  • 114 Cartilha de Seguranca para Internet ¸Conta de usu´ rio a e a ` Tamb´ m chamada de “nome de usu´ rio” e “nome de login”. Corresponde a identifi- ¸˜ ´ cacao unica de um usu´ rio em um computador ou servico. a ¸Cookie ´ Pequeno arquivo que e gravado no computador quando o usu´ rio acessa um site a e reenviado a este mesmo site quando novamente acessado. E ´ usado para manter ¸˜ informacoes sobre o usu´ rio, como carrinho de compras, lista de produtos e pre- a ¸˜ ferˆ ncias de navegacao. e ¸˜Correcao de seguranca ¸ ¸˜ Correcao desenvolvida para eliminar falhas de seguranca em um programa ou sistema ¸ operacional.Criptografia ´ Ciˆ ncia e arte de escrever mensagens em forma cifrada ou em c´ digo. E parte de e o ¸˜ ´ um campo de estudos que trata das comunicacoes secretas. E usada, dentre outras a ¸˜ finalidades, para: autenticar a identidade de usu´ rios; autenticar transacoes banc´ rias; a proteger a integridade de transferˆ ncias eletrˆ nicas de fundos, e proteger o sigilo de e o ¸˜ comunicacoes pessoais e comerciais.DDoS Do inglˆ s Distributed Denial of Service. Veja Negacao de servico distribu´do. e ¸˜ ¸ ıDefacement ¸˜ Veja Desfiguracao de p´ gina. aDefacer ¸˜ ¸˜ Pessoa respons´ vel pela desfiguracao de uma p´ gina. Veja tamb´ m Desfiguracao de a a e p´ gina. a ¸˜Desfiguracao de p´ gina a ¸˜ Tamb´ m chamada de pichacao. T´ cnica que consiste em alterar o conte´ do da p´ gina e e u a Web de um site.Dispositivo m´ vel o Equipamento com recursos computacionais que, por ter tamanho reduzido, oferece grande mobilidade de uso, podendo ser facilmente carregado pelo seu dono. Exem- plos: notebooks, netbooks, tablets, PDAs, smartphones e celulares.DNS Do inglˆ s Domain Name System. O sistema de nomes de dom´nios, respons´ vel e ı a ¸˜ pela traducao, entre outros tipos, de nome de m´ quinas/dom´nios para o endereco IP a ı ¸ correspondente e vice-versa.DoS Do inglˆ s Denial of Service. Veja Negacao de servico. e ¸˜ ¸E-commerce Veja Com´ rcio eletrˆ nico. e oE-mail spoofing ¸˜ Veja Falsificacao de e-mail.Endereco IP ¸ ` Sequˆ ncia de n´ meros associada a cada computador conectado a Internet. No caso e u ´ de IPv4, o endereco IP e dividido em quatro grupos, separados por “.” e com- ¸ postos por n´ meros entre 0 e 255, por exemplo, “192.0.2.2”. No caso de IPv6, u ¸ ´ o endereco IP e dividido em at´ oito grupos, separados por “:” e compostos por e n´ meros hexadecimais (n´ meros e letras de “A” a “F”) entre 0 e FFFF, por exemplo, u u “2001:DB8:C001:900D:CA27:116A::1”.
  • ´Glossario 115Engenharia social T´ cnica por meio da qual uma pessoa procura persuadir outra a executar determina- e ¸˜ ´ das acoes. No contexto desta Cartilha, e considerada uma pr´ tica de m´ -f´ , usada a a e por golpistas para tentar explorar a ganˆ ncia, a vaidade e a boa-f´ ou abusar da inge- a e nuidade e da confianca de outras pessoas, a fim de aplicar golpes, ludibriar ou obter ¸ ¸˜ informacoes sigilosas e importantes. O popularmente conhecido “conto do vig´ rio” a utiliza engenharia social.EV SSL Do inglˆ s Extended Validation Secure Socket Layer. Certificado SSL de Validacao e ¸˜ Avancada ou Estendida. Veja tamb´ m SSL. ¸ eExploit ¸˜ Veja Exploracao de vulnerabilidade. ¸˜Exploracao de vulnerabilidade Programa ou parte de um programa malicioso projetado para explorar uma vulnera- bilidade existente em um programa de computador. Veja tamb´ m Vulnerabilidade. eFalsa identidade Veja Furto de identidade. ¸˜Falsificacao de e-mail T´ cnica que consiste em alterar campos do cabecalho de um e-mail, de forma a apa- e ¸ rentar que ele foi enviado de uma determinada origem quando, na verdade, foi envi- ado de outra.Filtro antispam Programa que permite separar os e-mails conforme regras pr´ -definidas. Utilizado e ¸˜ tanto para o gerenciamento das caixas postais como para a selecao de e-mails v´ lidos a dentre os diversos spams recebidos.Firewall Dispositivo de seguranca usado para dividir e controlar o acesso entre redes de com- ¸ putadores.Firewall pessoal Tipo espec´fico de firewall. Programa usado para proteger um computador contra ı acessos n˜ o autorizados vindos da Internet. aForca bruta ¸ Tipo de ataque que consiste em adivinhar, por tentativa e erro, um nome de usu´ rio e a senha e, assim, executar processos e acessar sites, computadores e servicos em nome ¸ e com os mesmos privil´ gios desse usu´ rio. e aFoursquare ¸˜ Rede social baseada em geolocalizacao que, assim como outras redes do mesmo tipo, utiliza os dados fornecidos pelo GPS do computador ou dispositivo m´ vel do usu´ rio o a para registrar (fazer check-in) nos lugares por onde ele passa. ¸˜Fraude de antecipacao de recursos Tipo de fraude na qual um golpista procura induzir uma pessoa a fornecer infor- ¸˜ macoes confidenciais ou a realizar um pagamento adiantado, com a promessa de futuramente receber algum tipo de benef´cio. ı ¸˜Funcao de resumo e a ¸˜ M´ todo criptogr´ fico que, quando aplicado sobre uma informacao, independente- ´ mente do tamanho que ela tenha, gera um resultado unico e de tamanho fixo, chamado hash.
  • 116 Cartilha de Seguranca para Internet ¸Furto de identidade Ato pelo qual uma pessoa tenta se passar por outra, atribuindo-se uma falsa identi- dade, com o objetivo de obter vantagens indevidas. Alguns casos de furto de identi- dade podem ser considerados como crime contra a f´ p´ blica, tipificados como falsa e u identidade.GnuPG Conjunto de programas gratuito e de c´ digo aberto, que implementa criptografia de o chave sim´ trica, de chaves assim´ tricas e assinatura digital. e eGolpe de com´ rcio eletrˆ nico e o Tipo de fraude na qual um golpista, com o objetivo de obter vantagens financeiras, ¸˜ ¸˜ explora a relacao de confianca existente entre as partes envolvidas em uma transacao ¸ comercial.GPG Veja GnuPG.Greylisting M´ todo de filtragem de spams, implantado diretamente no servidor de e-mails, que e ´ recusa temporariamente um e-mail e o recebe somente quando ele e reenviado. Ser- vidores leg´timos de e-mails, que se comportam de maneira correta e de acordo com ı ¸˜ as especificacoes dos protocolos, sempre reenviam as mensagens. Este m´ todo parte e do princ´pio que spammers raramente utilizam servidores leg´timos e, portanto, n˜ o ı ı a reenviam suas mensagens.Harvesting T´ cnica utilizada por spammers, que consiste em varrer p´ ginas Web, arquivos de e a listas de discuss˜ o, entre outros, em busca de enderecos de e-mail. a ¸Hash ¸˜ Veja Funcao de resumo.Hoax Veja Boato.Hot fix ¸˜ Veja Correcao de seguranca. ¸HTML Do inglˆ s HyperText Markup Language. Linguagem universal utilizada na elabora- e ¸˜ cao de p´ ginas na Internet. aHTTP Do inglˆ s HyperText Transfer Protocol. Protocolo usado para transferir p´ ginas Web e a entre um servidor e um cliente (por exemplo, o navegador).HTTPS Do inglˆ s HyperText Transfer Protocol Secure ou HyperText Transfer Protocol over e SSL. Protocolo que combina o uso do HTTP com mecanismos de seguranca, como o ¸ SSL e o TLS, a fim de prover conex˜ es seguras. Veja tamb´ m HTTP. o eIdentity theft Veja Furto de identidade.IDS Do inglˆ s Intrusion Detection System. Programa, ou um conjunto de programas, cuja e ¸˜ ´ funcao e detectar atividades maliciosas ou anˆ malas. oIEEE Acrˆ nimo para Institute of Electrical and Electronics Engineers, uma organizacao o ¸˜ composta por engenheiros, cientistas e estudantes, que desenvolvem padr˜ es para a o ind´ stria de computadores e eletroeletrˆ nicos. u oIncidente de seguranca ¸ ` Qualquer evento adverso, confirmado ou sob suspeita, relacionado a seguranca de ¸ ¸˜ sistemas de computacao ou de redes de computadores.
  • ´Glossario 117 ¸˜Interceptacao de tr´ fego a T´ cnica que consiste em inspecionar os dados trafegados em redes de computadores, e por meio do uso de programas espec´ficos chamados de sniffers. ıInvas˜ o a ¸˜ ¸˜ Ataque bem sucedido que resulte no acesso, manipulacao ou destruicao de informa- ¸˜ coes em um computador.Invasor ¸˜ Pessoa respons´ vel pela realizacao de uma invas˜ o (comprometimento). Veja tam- a a b´ m Invas˜ o. e aIP, IPv4, IPv6 Veja Endereco IP. ¸Janela de pop-up Tipo de janela que aparece automaticamente e sem permiss˜ o, sobrepondo a janela a do navegador Web, ap´ s o usu´ rio acessar um site. o aKeylogger Tipo espec´fico de spyware. Programa capaz de capturar e armazenar as teclas digi- ı ¸˜ tadas pelo usu´ rio no teclado do computador. Normalmente a ativacao do keylogger a ´ ¸˜ e condicionada a uma acao pr´ via do usu´ rio, como o acesso a um site espec´fico de e a ı com´ rcio eletrˆ nico ou de Internet Banking. Veja tamb´ m Spyware. e o eLargura de banda ¸˜ Quantidade de dados que podem ser transmitidos em um canal de comunicacao, em um determinado intervalo de tempo.Link curto Tipo de link gerado por meio de servicos que transformam um link convencional em ¸ ´ outro de tamanho reduzido. O link curto e automaticamente expandido para o link original, quando o usu´ rio clica nele. aLink patrocinado Tipo de link apresentado em destaque em site de busca quando palavras espec´ficası s˜ o pesquisadas pelo usu´ rio. Quando o usu´ rio clica em um link patrocinado, o site a a a de busca recebe do anunciante um valor previamente combinado.Log Registro de atividades gerado por programas e servicos de um computador. Termo ¸ t´ cnico que se refere ao registro de atividades de diversos tipos como, por exemplo, e ¸˜ ` de conex˜ o (informacoes sobre a conex˜ o de um computador a Internet) e de acesso a a ¸˜ ¸˜ ¸˜ a aplicacoes (informacoes de acesso de um computador a uma aplicacao de Internet).Malvertising Do inglˆ s Malicious advertsing. Tipo de golpe que consiste em criar an´ ncios ma- e u liciosos e, por meio de servicos de publicidade, apresent´ -los em diversas p´ ginas ¸ a a ´ Web. Geralmente, o servico de publicidade e induzido a acreditar que se trata de um ¸ u ı a ¸˜ an´ ncio leg´timo e, ao aceit´ -lo, intermedia a apresentacao e faz com que ele seja mostrado em diversas p´ ginas. aMalware Do inglˆ s Malicious software. Veja C´ digo malicioso. e oMaster password Veja Chave mestra.MMS Do inglˆ s Multimedia Message Service. Tecnologia amplamente utilizada em telefo- e a ´ nia celular para a transmiss˜ o de dados, como texto, imagem, audio e v´deo. ıModem Do inglˆ s Modulator/Demodulator. Dispositivo respons´ vel por converter os sinais e a ¸˜ do computador em sinais que possam ser transmitidos no meio f´sico de comunicacao ı ´ como, por exemplo, linha telefˆ nica, cabo de TV, ar e fibra otica. o
  • 118 Cartilha de Seguranca para Internet ¸ ¸˜Negacao de servico ¸ Atividade maliciosa pela qual um atacante utiliza um computador ou dispositivo o ¸˜ m´ vel para tirar de operacao um servico, um computador ou uma rede conectada ¸ ` a Internet. ¸˜Negacao de servico distribu´do ¸ ı Atividade maliciosa, coordenada e distribu´da pela qual um conjunto de computa- ı ´ ¸˜ dores e/ou dispositivos m´ veis e utilizado para tirar de operacao um servico, um o ¸ ` computador ou uma rede conectada a Internet.Netiqueta Conjunto de normas de conduta para os usu´ rios da Internet, definido no documento a “RFC 1855: Netiquette Guidelines”.NTP Do inglˆ s Network Time Protocol. Tipo de protocolo que permite a sincronizacao e ¸˜ ¸˜ dos rel´ gios dos dispositivos de uma rede, como servidores, estacoes de trabalho, o ` roteadores e outros equipamentos, a partir de referˆ ncias de tempo confi´ veis (Fonte: e a http://ntp.br/). ´Numero IP Veja Endereco IP. ¸Opt-in ´ Regra de envio de mensagens que define que e proibido mandar e-mails comerci- ais/spam, a menos que exista uma concordˆ ncia pr´ via por parte do destinat´ rio. Veja a e a tamb´ m Soft opt-in. eOpt-out ´ Regra de envio de mensagens que define que e permitido mandar e-mails comerci- ais/spam, mas deve-se prover um mecanismo para que o destinat´ rio possa parar de a receber as mensagens.P2P Acrˆ nimo para peer-to-peer. Arquitetura de rede onde cada computador tem funci- o onalidades e responsabilidades equivalentes. Difere da arquitetura cliente/servidor, ´ em que alguns dispositivos s˜ o dedicados a servir outros. Este tipo de rede e normal- a mente implementada via programas P2P, que permitem conectar o computador de um usu´ rio ao de outro para compartilhar ou transferir dados, como MP3, jogos, v´deos, a ı imagens, etc.Password Veja Senha.Patch ¸˜ Veja Correcao de seguranca. ¸PGP Do inglˆ s Pretty Good Privacy. Programa que implementa criptografia de chave e sim´ trica, de chaves assim´ tricas e assinatura digital. Possui vers˜ es comerciais e e e o gratuitas. Veja tamb´ m GnuPG. ePhishing, phishing scam, phishing/scam Tipo de golpe por meio do qual um golpista tenta obter dados pessoais e financeiros a ¸˜ de um usu´ rio, pela utilizacao combinada de meios t´ cnicos e engenharia social. ePlug-in, complemento, extens˜ o a Programa geralmente desenvolvido por terceiros e que pode ser istalado no navegador Web e/ou programa leitor de e-mails para prover funcionalidades extras.Pol´tica de seguranca ı ¸ ¸˜ ` Documento que define os direitos e as responsabilidades de cada um em relacao a ¸ ` seguranca dos recursos computacionais que utiliza e as penalidades as quais est´ a sujeito, caso n˜ o a cumpra. a
  • ´Glossario 119Pol´tica de uso aceit´ vel ı a Tamb´ m chamada de “Termo de Uso” ou “Termo de Servico”. Pol´tica na qual s˜ o e ¸ ı a definidas as regras de uso dos recursos computacionais, os direitos e as responsabili- ¸˜ dades de quem os utiliza e as situacoes que s˜ o consideradas abusivas. aProxy Servidor que atua como intermedi´ rio entre um cliente e outro servidor. Normal- a ´ mente e utilizado em empresas para aumentar o desempenho de acesso a determina- ¸ a ` dos servicos ou permitir que mais de uma m´ quina se conecte a Internet. Quando mal configurado (proxy aberto) pode ser abusado por atacantes e utilizado para tornar ¸˜ anˆ nimas algumas acoes na Internet, como atacar outras redes ou enviar spam. oProxy aberto Proxy mal configurado que pode ser abusado por atacantes e utilizado como uma ¸˜ forma de tornar anˆ nimas algumas acoes na Internet, como atacar outras redes ou o enviar spam.PUA Veja Pol´tica de uso aceit´ vel. ı aRede sem fio Rede que permite a conex˜ o entre computadores e outros dispositivos por meio da a a ¸˜ transmiss˜ o e recepcao de sinais de r´ dio. aRede Social Tipo de rede de relacionamento que permite que os usu´ rios criem perfis e os uti- a ¸˜ lizem para se conectar a outros usu´ rios, compartilhar informacoes e se agrupar de a acordo com interesses em comum. Alguns exemplos s˜ o: Facebook, Orkut, Twitter, a Linkedin, Google+ e foursquare.Rootkit Tipo de c´ digo malicioso. Conjunto de programas e t´ cnicas que permite esconder e o e assegurar a presenca de um invasor ou de outro c´ digo malicioso em um computador ¸ o comprometido. E ´ importante ressaltar que o nome rootkit n˜ o indica que as ferramen- a tas que o comp˜ em s˜ o usadas para obter acesso privilegiado (root ou Administrator) o a em um computador, mas, sim, para manter o acesso privilegiado em um computador previamente comprometido.Scam ¸˜ Esquemas ou acoes enganosas e/ou fraudulentas. Normalmente, tˆ m como finalidade e obter vantagens financeiras.Scan Veja Varredura em redes.Scanner Programa usado para efetuar varreduras em redes de computadores, com o intuito de identificar quais computadores est˜ o ativos e quais servicos est˜ o sendo disponibi- a ¸ a lizados por eles. Amplamente usado por atacantes para identificar potenciais alvos, pois permite associar poss´veis vulnerabilidades aos servicos habilitados em um com- ı ¸ putador.Screenlogger Tipo espec´fico de spyware. Programa similar ao keylogger, capaz de armazenar a ı ¸˜ posicao do cursor e a tela apresentada no monitor, nos momentos em que o mouse ´ ¸˜ ´ ´ e clicado, ou a regi˜ o que circunda a posicao onde o mouse e clicado. E bastante a utilizado por atacantes para capturar as teclas digitadas pelos usu´ rios em teclados a virtuais, dispon´veis principalmente em sites de Internet Banking. Veja tamb´ m Spy- ı e ware.Senha ´ Conjunto de caracteres, de conhecimento unico do usu´ rio, utilizado no processo de a ¸˜ ´ verificacao de sua identidade, assegurando que ele e realmente quem diz ser e que possui o direito de acessar o recurso em quest˜ o. a
  • 120 Cartilha de Seguranca para Internet ¸Service Pack ¸˜ Veja Correcao de seguranca. ¸Site Local na Internet identificado por um nome de dom´nio, constitu´do por uma ou mais ı ı a a ¸˜ p´ ginas de hipertexto, que podem conter textos, gr´ ficos e informacoes multim´dia. ıSite de compras coletivas Tipo de site por meio do qual os anunciantes ofertam produtos, normalmente com grandes descontos, por um tempo bastante reduzido e com quantidades limitadas. ´ E considerado como intermedi´ rio entre as empresas que fazem os an´ ncios e os a u clientes que adquirem os produtos.Site de leil˜ o e venda de produtos a Tipo de site que intermedia a compra e a venda de mercadorias entre os usu´ rios. a Alguns sites desse tipo oferecem sistema de gerenciamento por meio do qual o paga- ´ mento realizado pelo comprador somente e liberado ao vendedor quando a confirma- ¸˜ ´ cao de que a mercadoria foi corretamente recebida e enviada.S/MIME Do inglˆ s Secure/Multipurpose Internet Mail Extensions. Padr˜ o para assinatura e e a criptografia de e-mails.SMS Do inglˆ s Short Message Service. Tecnologia utilizada em telefonia celular para a e transmiss˜ o de mensagens de texto curtas. Diferente do MMS, permite apenas dados a ´ do tipo texto e cada mensagem e limitada em 160 caracteres alfanum´ ricos. eSMTP Do inglˆ s Simple Mail Transfer Protocol. Protocolo respons´ vel pelo transporte de e a mensagens de e-mail na Internet.Sniffer Dispositivo ou programa de computador utilizado para capturar e armazenar dados trafegando em uma rede de computadores. Pode ser usado por um invasor para cap- ¸˜ turar informacoes sens´veis (como senhas de usu´ rios), em casos onde estejam sendo ı a o e ¸˜ utilizadas conex˜ es inseguras, ou seja, sem criptografia. Veja tamb´ m Interceptacao de tr´ fego. aSniffing ¸˜ Veja Interceptacao de tr´ fego. aSoft opt-in ¸˜ Regra semelhante ao opt-in, mas neste caso prevˆ uma excecao quando j´ existe uma e a ¸˜ a ´ relacao comercial entre remetente e destinat´ rio. Dessa forma, n˜ o e necess´ ria a a a permiss˜ o expl´cita por parte do destinat´ rio para receber e-mails desse remetente. a ı a Veja tamb´ m Opt-in. eSpam Termo usado para se referir aos e-mails n˜ o solicitados, que geralmente s˜ o enviados a a para um grande n´ mero de pessoas. uSpam zombie Computador infectado por c´ digo malicioso (bot), capaz de transformar o sistema do o usu´ rio em um servidor de e-mail para envio de spam. Em muitos casos, o usu´ rio do a a computador infectado demora a perceber que seu computador est´ sendo usado por a um invasor para esse fim.Spamcop ¸˜ Instituicao que oferece diversos servicos antispam, sendo o mais conhecido o que ¸ permite reclamar automaticamente de spams recebidos.Spammer Pessoa que envia spam.
  • ´Glossario 121Spyware Tipo espec´fico de c´ digo malicioso. Programa projetado para monitorar as ativi- ı o ¸˜ dades de um sistema e enviar as informacoes coletadas para terceiros. Keylogger, screenlogger e adware s˜ o alguns tipos espec´ficos de spyware. a ıSSH Do inglˆ s Secure Shell. Protocolo que utiliza criptografia para acesso a um compu- e ¸˜ tador remoto, permitindo a execucao de comandos, transferˆ ncia de arquivos, entre e outros.SSID Do inglˆ s Service Set Identifier. Conjunto unico de caracteres que identifica uma rede e ´ sem fio. O SSID diferencia uma rede sem fio de outra, e um cliente normalmente s´ o pode conectar em uma rede sem fio se puder fornecer o SSID correto.SSL Do inglˆ s Secure Sockets Layer. Assim como o TLS, e um protocolo que por meio e ´ ¸˜ de criptografia fornece confidencialidade e integridade nas comunicacoes entre um ¸˜ cliente e um servidor, podendo tamb´ m ser usado para prover autenticacao. Veja e tamb´ m HTTPS. eTime zone Fuso hor´ rio. aTLS Do inglˆ s Transport Layer Security. Assim como o SSL, e um protocolo que por e ´ ¸˜ meio de criptografia fornece confidencialidade e integridade nas comunicacoes entre ¸˜ um cliente e um servidor, podendo tamb´ m ser usado para prover autenticacao. Veja e tamb´ m HTTPS. eTrojan, Trojan horse Veja Cavalo de troia.UBE Do inglˆ s Unsolicited Bulk E-mail. Termo usado para se referir aos e-mails n˜ o e a solicitados enviados em grande quantidade. Veja tamb´ m Spam. eUCE Do inglˆ s Unsolicited Commercial E-mail. Termo usado para se referir aos e-mails e comerciais n˜ o solicitados. Veja tamb´ m Spam. a eURL Do inglˆ s Universal Resource Locator. Sequˆ ncia de caracteres que indica a locali- e e ¸˜ zacao de um recurso na Internet como por exemplo, http://cartilha.cert.br/.Username Veja Conta de usu´ rio. aVarredura em redes T´ cnica que consiste em efetuar buscas minuciosas em redes, com o objetivo de e ¸˜ identificar computadores ativos e coletar informacoes sobre eles como, por exemplo, servicos disponibilizados e programas instalados. ¸V´rus ı Programa ou parte de um programa de computador, normalmente malicioso, que se propaga inserindo c´ pias de si mesmo, tornando-se parte de outros programas e o ¸˜ arquivos. O v´rus depende da execucao do programa ou arquivo hospedeiro para que ı ¸˜ possa se tornar ativo e dar continuidade ao processo de infeccao.VPN Do inglˆ s Virtual Private Network. Termo usado para se referir a construcao de uma e ` ¸˜ rede privada utilizando redes p´ blicas (por exemplo, a Internet) como infraestrutura. u Esses sistemas utilizam criptografia e outros mecanismos de seguranca para garantir ¸ ` que somente usu´ rios autorizados possam ter acesso a rede privada e que nenhum a dado ser´ interceptado enquanto estiver passando pela rede p´ blica. a u
  • 122 Cartilha de Seguranca para Internet ¸Vulnerabilidade ¸˜ ¸˜ Condicao que, quando explorada por um atacante, pode resultar em uma violacao de ¸ a ¸˜ seguranca. Exemplos de vulnerabilidades s˜ o falhas no projeto, na implementacao ¸˜ ou na configuracao de programas, servicos ou equipamentos de rede. ¸Web bug Imagem, normalmente muito pequena e invis´vel, que faz parte de uma p´ gina Web ou ı a ´ de uma mensagem de e-mail, e que e projetada para monitorar quem est´ acessando a esaa p´ gina Web ou mensagem de e-mail. aWEP Do inglˆ s Wired Equivalent Privacy. Protocolo de seguranca para redes sem fio que e ¸ implementa criptografia para a transmiss˜ o dos dados. aWhitelist Lista de e-mails, dom´nios ou enderecos IP, previamente aprovados e que, normal- ı ¸ mente, n˜ o s˜ o submetidos aos filtros antispam configurados. a aWi-Fi Do inglˆ s Wireless Fidelity. Marca registrada, genericamente usada para se referir a e redes sem fio que utilizam qualquer um dos padr˜ es 802.11. oWireless Veja Rede sem fio.WLAN Do inglˆ s Wireless Local-Area Network. Tipo de rede que utiliza ondas de r´ dio de e a ¸˜ alta frequˆ ncia, em vez de cabos, para a comunicacao entre os computadores. eWorm Tipo de c´ digo malicioso. Programa capaz de se propagar automaticamente pelas o redes, enviando c´ pias de si mesmo de computador para computador. Diferente do o v´rus, o worm n˜ o embute c´ pias de si mesmo em outros programas ou arquivos e ı a o a ¸˜ n˜ o necessita ser explicitamente executado para se propagar. Sua propagacao se d´ a ¸˜ ¸˜ por meio da exploracao de vulnerabilidades existentes ou falhas na configuracao de programas instalados em computadores.Zombie-computer Veja Computador zumbi.
  • ´Indice RemissivoA certificado digital . . . . . . . . . . . . . . . . . . . . 70–72advance fee fraud . .veja fraude de antecipacao ¸˜ autoassinado . . . . . . . . . . . . . . 70–72, 80, 83 de recursos EV SSL . . . . . . . . . . . . . . . . . . . . . . . . . 71, 80adware . . . . . . . . . . . . . . . . . . . . . . . veja spyware ´ verificar se e confi´ vel . . . . . . . . . . . . 82–83 aanonymizer . . . . . . . . . veja navegacao anˆ nima ¸˜ o chave sim´ trica . . . . . . . . . . . . . . . . . . . . . . 68–69 eantimalware 11, 30, 44, 45, 55–57, 76, 95–97, chaves assim´ tricas . . . . . . . . . . . . . . . . . . . 68–69 e 99, 100, 102, 108 c´ digos maliciosos . . . . . . . . . . . . . . . . . . . 23–30 o cuidados . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 ¸˜ prevencao . . . . . . . . . . . . . . . . . . . . . . . . . . . 30antirootkit . . . . . . . . . . . . . . . . . veja antimalware resumo comparativo . . . . . . . . . . . . . . . . . 30antispyware . . . . . . . . . . . . . . . veja antimalware tipos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24–30antitrojan . . . . . . . . . . . . . . . . . veja antimalware c´ digos m´ veis . . . . . . . . . . . . . . . . . . . . . . 41–42 o oantiv´rus . . . . . . . . . . . . . . . . . . veja antimalware ı com´ rcio eletrˆ nico . . . . . . 9, 11–14, 27, 40, 64 e oassinatura digital . . . . . . . . . . . . . . . . . . . . . 69–70 cuidados . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78ataques.3, 6, 17–23, 25, 26, 29, 33, 41, 48–50, golpes . . . . . . . . . . . . . . . . . . . . . . . . . . . 12–14 54, 60 compartilhamento de recursos . . . . 23, 45, 102 de dicion´ rio . . . . . . . . . . . . . . . . . . . . . . . . 35 a complementos . . 41–43, 58, 72, 75, 76, 95, 97, de forca bruta 6, 18, 20, 22, 54, 60, 61, 73, ¸ 108 77, 88, 102, 105 computador ¸˜ motivacao . . . . . . . . . . . . . . . . . . . . . . . 17–18 de terceiros . 40–42, 60, 61, 63, 64, 77, 78, ¸˜ prevencao . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 86, 100 t´ cnicas usadas . . . . . . . . . . . . . . . . . . . 18–22 e pessoal . . . . . . . . . . . . . . . . . . . . . . . . . 93–100autoridade certificadora . . . . . . . . . . . 70, 82, 83 conex˜ es Web . . . . . . . . . . . . . . . . . . . . . . . 78–83 o tipos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79–81B confidencialidade . 3, 48, 63, 68, 70, 71, 78–80backdoor . . . . . . . . . . . . . . . . . . . . . . . . 28–30, 57 pol´tica de . . . . . . . . . . . . . . . . . . . . . . . . . . 49 ıbackup . . . . 51–53, 67, 69, 73, 96, 97, 100, 109 cuidados . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 cookies . . . . . . . . 40–41, 58, 64, 76, 85, 86, 100 pol´tica de . . . . . . . . . . . . . . . . . . . . . . . . . . 48 ı c´ pia de seguranca . . . . . . . . . . . . . . veja backup o ¸banda larga criptografia . . . . . . . . . . . . . . . . . . . . . . 51, 67–74 fixa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 conceitos . . . . . . . . . . . . . . . . . . . . . . . . 68–72 m´ vel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 o cuidados . . . . . . . . . . . . . . . . . . . . . . . . 73–74banners de propaganda . . . . . . . . . . . . . . . 43–44 programas . . . . . . . . . . . . . . . . . . . . . . . . . . 72bluetooth . . . . . . . . . . . . . . . . . . . 24, 63, 105, 109 termos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67boato . . . . . . . . . . . . . . . . . . . . . . 2, 15–16, 49, 60 uso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67bot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26, 30 cuidados a serem tomadosbotnet . . . . . . . . . . . . . . . . . . . . . . . 21, 22, 26, 107 ¸˜ administracao de contas . . . . . . . . . . . 98–99brute force . . . . . . . . veja ataques de forca bruta ¸ ao usar computadores de terceiros . . . . 100 ao usar redes . . . . . . . . . . . . . . . . . . . . . . . 102C backup . . . . . . . . . . . . . . . . . . . . . . . . . . 52–53cavalo de troia . . . . . . . . . . . . . . . . . . . veja trojan banda larga fixa . . . . . . . . . . . . . . . . . . . . 106 123
  • 124 Cartilha de Seguranca para Internet ¸ banda larga m´ vel . . . . . . . . . . . . . . . . . . 106 o furto de identidade . . . . . . . . . . . . . . . . . . . . . . . . 6 bluetooth . . . . . . . . . . . . . . . . . . . . . . . . . . 105 com´ rcio eletrˆ nico . . . . . . . . . . . . . . . . . . 78 e o G computador pessoal . . . . . . . . . . . . . . 93–97 golpes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5–16 contas e senhas . . . . . . . . . . . . . . . . . . . . . . 61 da Nig´ ria . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 e criptografia . . . . . . . . . . . . . . . . . . . . . . 73–74 ¸˜ prevencao . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 dispositivos m´ veis . . . . . . . . . . . . 108–109 o sites de compras coletivas . . . . . . . . . . . . 13 ferramentas antimalware . . . . . . . . . . . . . 56 sites de leil˜ o e venda de produtos . . . . . 14 a filtro antispam . . . . . . . . . . . . . . . . . . . . . . . 58 sites fraudulentos . . . . . . . . . . . . . . . . . 12–13 firewall pessoal . . . . . . . . . . . . . . . . . . . . . . 57 tipos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–16 Internet Banking . . . . . . . . . . . . . . . . . . . . . 77 logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 H navegadores Web . . . . . . . . . . . . . . . . . 75–76 harvesting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 pol´tica de seguranca . . . . . . . . . . . . . . . . . 49 ı ¸ hash . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69, 73 privacidade . . . . . . . . . . . . . . . . . . . . . . 86–87 hoax . . . . . . . . . . . . . . . . . . . . . . . . . . . . veja boato programas leitores de e-mails . . . . . . . . . 76 redes sociais . . . . . . . . . . . . . . . . . . . . . 89–91 I Webmails . . . . . . . . . . . . . . . . . . . . . . . . 76–77 identity theft . . . . . . . . . veja furto de identidade Wi-Fi . . . . . . . . . . . . . . . . . . . . . . . . . 103–104 ¸˜ interceptacao de tr´ fego . . . 6, 19, 66, 102, 103 a InternetD ataques . . . . . . . . . . . . . . . . . . . . veja ataques ¸˜DDoS . . . . . . . . . . . . . . . veja negacao de servico ¸ golpes . . . . . . . . . . . . . . . . . . . . . . veja golpesdefacement . . . . . . veja desfiguracao de p´ gina ¸˜ a ¸˜ prevencao . . . . . . . . . . . . . . . veja prevencao ¸˜ ¸˜desfiguracao de p´ gina . . . . . . . . . . . . . . . . . . . 21 a riscos . . . . . . . . . . . . . . . . . . . . . . . veja riscosdispositivos m´ veis o seguranca . . . . . . . . . . . . . . . . veja seguranca ¸ ¸ cuidados . . . . . . . . . . . . . . . . . . . . . . 108–109 spam . . . . . . . . . . . . . . . . . . . . . . . . veja spam riscos . . . . . . . . . . . . . . . . . . . . . . . . . 107–108 uso seguro . . . . . . . . . . . . . . . . . . . . . . . 75–83 ¸˜DoS . . . . . . . . . . . . . . . . veja negacao de servico ¸ Internet Banking . 9, 11, 12, 27, 29, 40, 63, 64, 107E cuidados . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77e-commerce. . . . . . . . .veja com´ rcio eletrˆ nico e oe-mail spoofing . . . . veja falsificacao de e-mail ¸˜ Jengenharia social. . . . . . . . . . . . .5, 9, 60, 87, 88 janelas de pop-up . . . . . . . . . . . . . . . . . . . . . . . . 42extens˜ es . . . . . . . . . . . . . . . . . . . . 42–43, 97, 108 o KF keylogger . . . . . . . . . . . . . . . . . . . . . veja spywarefalsa identidade . . . . . . veja furto de identidade ¸˜falsificacao de e-mail . . . . . . . . . . . . . . . . . 18–19 Lfalso positivo . . . . . . . . . . . . . . . . . . . . . . . . 36, 48 linksfiltro curtos . . . . . . . . . . . . . . . . . . . . . . . . . . . 58, 95 antiphishing . . . . . . . . . . . . . . . . . . . . . 11, 58 patrocinados . . . . . . . . . . . . . . . . . . . . . 12, 43 antispam . . . . . . . . . . . . . . . . . . . . . 34, 35, 58 logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29, 53–54 de bloqueio de propagandas. . . . . . . . . . .58 de c´ digos m´ veis . . . . . . . . . . . . . . . . . . . 58 o o M de janelas de pop-up . . . . . . . . . . . . . . . . . 58 malvertising . . . . . veja banners de propagandafirewall pessoal . 11, 44, 48, 55, 57, 90, 95, 102 malware . . . . . . . . . . . . veja c´ digos maliciosos oforca bruta . . . . . . . . veja ataques de forca bruta ¸ ¸ ¸˜fraude de antecipacao de recursos . . . . . . . . 7–8 N ¸˜funcao de resumo . . . . . . . . . . . . . . . . . veja hash ¸˜ navegacao anˆ nima . . . . . . . . . . 41, 58, 86, 100 o
  • ´ndice RemissivoI 125navegador Web em redes sociais . . . . . . . veja redes sociais cuidados . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 pol´tica de . . . . . . . . . . . . . . . . . . . . . . . . . . 48 ı ¸˜negacao de servico . . . . . . . . . . . . . . . . . . . 21–22 ¸ programaNigerian 4-1-9 Scam . . . veja golpes da Nig´ ria e ¸˜ de distribuicao de arquivos. . . . . . . . . . . .44 ¸˜notificacao de incidentes e abusos . . . . . . 50–51 leitor de e-mails . . . . . . . . . . . . . . . . . . . . . 76 ¸˜ para verificacao de vulnerabilidades . . . 58Ppassword . . . . . . . . . . . . . . . . . . . . . . . . veja senha Rpharming . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 redesphishing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9–12 cuidados . . . . . . . . . . . . . . . . . . . . . . . . . . . 102phishing-scam . . . . . . . . . . . . . . . . . veja phishing riscos . . . . . . . . . . . . . . . . . . . . . . . . . 101–102phishing/scam . . . . . . . . . . . . . . . . . veja phishing sem fio dom´ stica . . . . . . . . . . . . . . 104–105 eplug-ins . . . . . . . . . . . . . . . . . . . . . 42–43, 97, 108 tipos de acesso . . . . . . . . . . . . . . . . . 102–106pol´tica ı redes sociais 6, 8, 9, 20, 36, 49, 60, 65, 87–91, de backup . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 93, 106–109 de confidencialidade . . . . . . . . . . . . . . . . . 49 cuidados . . . . . . . . . . . . . . . . . . . . . . . . 89–91 de privacidade . . . . . . . . . . . . . . . . . . . . . . . 48 riscos . . . . . . . . . . . . . . . . . . . . . . . . . . . 87–88 de seguranca . . . . . . . . . . . . . . . . . . . . . 48–49 ¸ registro de eventos . . . . . . . . . . . . . . . . . veja logs de senhas . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 riscos . . . . . . . . . . . . . . . . . . . . . . . . . . 2–3, 39–45 de uso aceit´ vel . . . . . . . . . . . . . . . . . . . . . 49 a rootkit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29–30prevencao¸˜ ataques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 S banners de propaganda . . . . . . . . . . . . . . . 44 scan . . . . . . . . . . . . . . . . veja varredura em redes boatos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 screenlogger . . . . . . . . . . . . . . . . . . veja spyware c´ digos m´ veis . . . . . . . . . . . . . . . . . . 41–42 o o seguranca . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–3 ¸ c´ digos maliciosos . . . . . . . . . . . . . . . . . . . 30 o de computadores . . . . . . . . . . . . . . . . 93–100 compartilhamento de recursos . . . . . . . . . 45 de redes . . . . . . . . . . . . . . . . . . . . . . . 101–106 complementos . . . . . . . . . . . . . . . . . . . 42–43 em conex˜ es Web . . . . . . . . . . . . . . . . . . . 111 o cookies . . . . . . . . . . . . . . . . . . . . . . . . . . 40–41 em dispositivos m´ veis . . . . . . . . . 107–109 o extens˜ es . . . . . . . . . . . . . . . . . . . . . . . . 42–43 o mecanismos de . . . . . . . . . . . . . . . . . . . 47–58 ¸˜ fraude de antecipacao de recursos . . . . . . 8 requisitos b´ sicos . . . . . . . . . . . . . . . . 47–48 a furto de identidade . . . . . . . . . . . . . . . . . . . . 6 senha . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51, 59–66 golpes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 como elaborar . . . . . . . . . . . . . . . . . . . 61–62 sites de compras coletivas . . . . . . . . . . 13 como gerenciar . . . . . . . . . . . . . . . . . . 63–65 sites de leil˜ o e venda de produtos . . . 14 a como pode ser descoberta . . . . . . . . . 60–61 sites fraudulentos . . . . . . . . . . . . . . . 12–13 como recuperar . . . . . . . . . . . . . . . . . . 65–66 janelas de pop-up . . . . . . . . . . . . . . . . . . . . 42 cuidados ao usar . . . . . . . . . . . . . . . . . . . . . 61 links patrocinados . . . . . . . . . . . . . . . . . . . 43 pol´tica de . . . . . . . . . . . . . . . . . . . . . . . . . . 48 ı pharming . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 quando alterar . . . . . . . . . . . . . . . . . . . . . . . 63 phishing . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 sigilo . . . . . . . . . . . . . . . . . veja confidencialidade plug-ins . . . . . . . . . . . . . . . . . . . . . . . . . 42–43 ¸˜ sniffing . . . . . . . . . veja interceptacao de tr´ fego a ¸˜ programa de distribuicao de arquivos . . 44 spam . . . 3, 8, 12, 13, 19, 23, 26, 33–37, 58, 60, spam . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35–37 88, 89, 93, 101, 106, 107privacidade . . . . . . . . . . . . . . . . . . . . . . . . . . 85–91 ¸˜ prevencao . . . . . . . . . . . . . . . . . . . . . . . 35–37 ¸˜ ao divulgar informacoes . . . . . . . . . . 86–87 problemas causados . . . . . . . . . . . . . . 34–35 ao navegar na Web . . . . . . . . . . . . . . . . . . . 86 spyware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27, 30 ao usar e-mails . . . . . . . . . . . . . . . . . . . . . . 86 adware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 como pode ser exposta . . . . . . . . . . . . 85–86 keylogger . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 como preservar . . . . . . . . . . . . 86–87, 89–91 screenlogger . . . . . . . . . . . . . . . . . . . . . . . . 27
  • 126 Cartilha de Seguranca para Internet ¸T v´rus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24, 30 ıtermo vulnerabilidades . . . . . . . . . . 18, 21–23, 25, 26, de servico . . . veja pol´tica de uso aceit´ vel ¸ ı a 28, 29, 40, 44, 54, 57, 58, 93, 94, 101, de uso . . . . . . veja pol´tica de uso aceit´ vel ı a 102, 104, 106 ¸˜teste de reputacao de site . . . . . . . . . . . . . . . . . 58trojan . . . . . . . . . . . . . . . . . . . . . . . . 28–30, 50, 55 Wtrojan-horse . . . . . . . . . . . . . . . . . . . . . veja trojan Webmail . . . . . . . . . . . . . . . . . . . . . . 36, 40, 58, 86 cuidados . . . . . . . . . . . . . . . . . . . . . . . . 76–77V Wi-Fi . . . . . . . . . . . . . . . . . . 63, 77, 78, 103–105varredura em redes . . . . . . . . . 3, 18, 25, 29, 102 worm . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25, 30