Cartilha seguranca-internet

2,218 views

Published on

Published in: Technology, Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
2,218
On SlideShare
0
From Embeds
0
Number of Embeds
627
Actions
Shares
0
Downloads
31
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Cartilha seguranca-internet

  1. 1. Comitê Gestor da Internet no Brasil Cartilha de Segurança para Internet Versão 3.1 2006
  2. 2. Cartilha de Seguranca ¸ para Internet ˜ Versao 3.1 2006 Centro de Estudos, Resposta e Tratamento de Incidentes de Seguranca no Brasil ¸ ˆ Comite Gestor da Internet no Brasil ˜ Sao Paulo
  3. 3. Copyright c 2006 Comitˆ Gestor da Internet no Brasil e Copyright c 2006 CERT.br Cartilha de Seguranca para Internet, vers˜ o 3.1 / CERT.br – S˜ o Paulo: Comitˆ Gestor da Internet no ¸ a a e Brasil, 2006. ISBN: 978-85-60062-06-5 ISBN: 85-60062-06-8 Textos e Revis˜ o: Equipe do CERT.br a Jornalista Respons´ vel: Mariana Balboni, MTB 28.997 a Comitˆ Gestor da Internet no Brasil e http://www.cgi.br/ Tel: +55 11 5509-3511 Fax: +55 11 5509-3512
  4. 4. Pref´ cio a ´ ¸˜ A Cartilha de Seguranca para Internet e um documento com recomendacoes e dicas sobre como ¸ o usu´ rio de Internet deve se comportar para aumentar a sua seguranca e se proteger de poss´veis a ¸ ı ameacas. ¸ Produzido pelo Centro de Estudos, Resposta e Tratamento de Incidentes de Seguranca no Brasil ¸ – CERT.br, com o apoio do Comitˆ Gestor da Internet no Brasil – CGI.br, o documento apresenta o e significado de diversos termos e conceitos utilizados na Internet e fornece uma s´ rie de procedimentos e que visam melhorar a seguranca de um computador. ¸ N´ s esperamos que esta Cartilha possa auxili´ -lo n˜ o s´ a compreender as ameacas do ambi- o a a o ¸ ente Internet, mas tamb´ m a manter seu sistema mais seguro. Gostar´amos ainda de lembrar que e e ı ´ muito importante ficar sempre atento ao usar a Internet, pois somente aliando medidas t´ cnicas a boas e ´ pr´ ticas e poss´vel atingir um n´vel de seguranca que permita o pleno uso da Internet. a ı ı ¸ Caso vocˆ tenha alguma sugest˜ o para este documento ou encontre algum erro, por favor, entre e a em contato atrav´ s do endereco doc@cert.br. e ¸ Equipe do CERT.br Outubro de 2006 Estrutura da Cartilha ´ Este documento conta com oito partes, que dividem o conte´ do em diferentes areas relacionadas u e a ¸˜ com a seguranca da Internet, al´ m de um gloss´ rio, um checklist e uma compilacao de dicas r´ pidas. ¸ a Parte I: Conceitos de Seguranca ¸ Apresenta conceitos gerais de seguranca de computadores, importantes para o entendimento ¸ das partes subseq¨ entes. u Parte II: Riscos Envolvidos no Uso da Internet e M´ todos de Prevencao e ¸˜ ¸˜ Aborda diversos riscos envolvidos no uso da Internet e m´ todos de prevencao, como programas e que possibilitam aumentar a seguranca de um computador e medidas preventivas no dia-a-dia ¸ do uso da Internet. Parte III: Privacidade o ` Discute quest˜ es relacionadas a privacidade do usu´ rio ao utilizar a Internet e aos cuidados que a ele deve ter com seus dados pessoais. iii
  5. 5. iv Cartilha de Seguranca para Internet – c 2006 CERT.br ¸ Parte IV: Fraudes na Internet S˜ o abordadas quest˜ es relacionadas a fraudes na Internet e medidas preventivas que devem ser a o adotadas no acesso a sites de com´ rcio eletrˆ nico ou Internet Banking. e o Parte V: Redes de Banda Larga e Redes Sem Fio (Wireless) ´ E dedicada aos usu´ rios de conex˜ es banda larga e de redes sem fio, sendo discutidas as a o ¸˜ ¸˜ implicacoes de seguranca e m´ todos de prevencao peculiares a estes ambientes. ¸ e Parte VI: Spam S˜ o discutidos os problemas acarretados pelo spam, principalmente aqueles que possam ter a ¸˜ ¸˜ implicacoes de seguranca, e m´ todos de prevencao. ¸ e Parte VII: Incidentes de Seguranca e Uso Abusivo da Rede ¸ ¸˜ Trata dos conceitos relacionados a incidentes de seguranca, t´ cnicas de deteccao e recomenda- ¸ e co ¸ ˜ es sobre como proceder para notificar ataques recebidos via Internet. Parte VIII: C´ digos Maliciosos (Malware) o ¸˜ Agrupa informacoes detalhadas sobre os tipos mais comuns de c´ digos maliciosos que podem o a ˆ infectar os computadores dos usu´ rios, dando enfase no tipo de ameaca que cada c´ digo oferece ¸ o a ¸˜ e quais s˜ o as medidas de prevencao espec´ficas para cada caso. ı Gloss´ rio a ¸˜ Apresenta definicoes de diversos termos usados na Cartilha. Checklist Consiste em um resumo das boas pr´ ticas discutidas ao longo da Cartilha e que devem ser a adotadas pelos usu´ rios para se previnirem das ameacas discutidas. Pode ser usado como um a ¸ guia r´ pido para conferir se as boas pr´ ticas est˜ o sendo seguidas. a a a Dicas ¸˜ a ¸ u ¸˜ Compilacao de dicas b´ sicas de seguranca, que re´ nem formas de prevencao contra os proble- mas mais freq¨ entes enfrentados pelos usu´ rios de Internet. u a Outros Formatos ¸ ´ A Cartilha de Seguranca para Internet e um documento p´ blico e gratuito, dispon´vel no site u ı http://cartilha.cert.br/, em diversos formatos: • arquivo PDF deste livro; • arquivos PDF de cada uma das partes, do gloss´ rio e do checklist; a • dois folders de dicas: – em frente e verso (dobr´ vel); a – em tamanho A4; • vers˜ o em HTML de todo o conte´ do. a u
  6. 6. ´ Prefacio v Licenca de Uso da Cartilha ¸ Este documento e Copyright c 2000–2006 CERT.br. Ele pode ser livremente distribu´do desde ´ ı ¸˜ que sejam respeitadas as seguintes condicoes: ´ 1. E permitido fazer e distribuir gratuitamente c´ pias impressas inalteradas deste documento, o ¸ ¸˜ acompanhado desta Licenca de Uso e de instrucoes de como obtˆ -lo atrav´ s da Internet. e e ´ 2. E permitido fazer links para a p´ gina http://cartilha.cert.br/, ou para p´ ginas dentro a a deste site que contenham partes espec´ficas da Cartilha. ı ¸˜ 3. Para reproducao do documento, completo ou em partes, como parte de site ou de outro tipo de material, deve ser assinado um Termo de Licenca de Uso, e a autoria deve ser citada da seguinte ¸ forma: “Texto extra´do da Cartilha de Seguranca para Internet, desenvolvida pelo CERT.br, ı ¸ mantido pelo NIC.br, com inteiro teor em http://cartilha.cert.br/.” ´ ¸˜ ¸˜ 4. E vedada a exibicao ou a distribuicao total ou parcial de vers˜ es modificadas deste docu- o ¸˜ ¸˜ mento, a producao de material derivado sem expressa autorizacao do CERT.br, bem como a ¸˜ comercializacao no todo ou em parte de c´ pias do referido documento. o ¸˜ Informacoes sobre o Termo de Licenca de Uso podem ser solicitadas para doc@cert.br. Embora ¸ ¸˜ todos os cuidados tenham sido tomados na preparacao deste documento, o CERT.br n˜ o garante a a ¸˜ ¸˜ uˆ correcao absoluta das informacoes nele contidas, nem se responsabiliza por eventuais conseq¨ encias que possam advir do seu uso. Hist´ rico da Cartilha o No in´cio de 2000, um grupo de estudos que, entre outros, envolveu a Abranet e o CERT.br (que ı ` ´ a epoca chamava-se NBSO – NIC BR Security Office), identificou a necessidade de um guia com ¸˜ informacoes sobre seguranca que pudesse ser usado como referˆ ncia pelos diversos setores usu´ rios ¸ e a uˆ de Internet. Como conseq¨ encia, a pedido do Comitˆ Gestor da Internet no Brasil e sob supervis˜ o e a do CERT.br, em julho do mesmo ano foi lancada a Cartilha de Seguranca para Internet Vers˜ o 1.0. ¸ ¸ a Em 2003 foi verificada a necessidade de uma revis˜ o geral do documento, que n˜ o s´ inclu´sse a a o ı o e ¸˜ novos t´ picos, mas que tamb´ m facilitasse sua leitura e a localizacao de assuntos espec´ficos. Neste ı a ` processo de revis˜ o a Cartilha foi completamente reescrita, dando origem a vers˜ o 2.0. Esta vers˜ o, a a a primeira totalmente sob responsabilidade do CERT.br, consolidou o formato e a base de conte´ do u que at´ hoje comp˜ em o documento, trazendo a divis˜ o em partes, o checklist e o gloss´ rio. Tamb´ m e o a a e ¸˜ nesta vers˜ o foram introduzidas as secoes relativas a fraudes na Internet, banda larga, redes sem fio, a spam e incidentes de seguranca. ¸ ` ¸˜ Na vers˜ o 3.0, de 2005, a Cartilha continuou com sua estrutura, mas, devido a evolucao da tec- a nologia, novos assuntos foram inclu´dos. Foi criada uma parte espec´fica sobre c´ digos maliciosos, ı ı o expandida a parte sobre seguranca de redes sem fio e inclu´dos t´ picos espec´ficos sobre seguranca ¸ ı o ı ¸ em dispositivos m´ veis, como telefones celulares e computadores de m˜ o. Esta vers˜ o tamb´ m foi o a a e a ¸˜ a primeira a disponibilizar um folheto com as dicas b´ sicas para protecao contra as ameacas mais ¸ comuns. A vers˜ o 3.1 n˜ o introduziu partes novas, mas incorporou diversas sugest˜ es de melhoria recebi- a a o ¸˜ ¸´ das, corrigiu alguns erros de digitacao e atendeu a um pedido de muitos leitores: lanca-la em formato de livro, para facilitar a leitura e a impress˜ o do conte´ do completo. a u
  7. 7. Agradecimentos e ı ¸˜ Agradecemos a todos leitores da Cartilha, que tˆ m contribu´do para a elaboracao deste documento, enviando coment´ rios, cr´ticas, sugest˜ es ou revis˜ es. a ı o o ¸˜ Agradecemos especialmente a Nelson Murilo pela contribuicao na Parte V, em particular redes ¸˜ sem fio; a Luiz E. R. Cordeiro pelo texto da primeira vers˜ o; a Marcelo H. P. C. Chaves pela producao a da Vers˜ o 2.0, que deu origem ao documento atual, e por ser o principal mantenedor da Cartilha; e a a Rafael Rodrigues Obelheiro por ter sido nosso revisor externo e por ter contribu´do com diversas ı id´ ias para t´ picos a serem abordados no documento. e o vii
  8. 8. Sum´ rio a Pref´ cio a iii Agradecimentos vii Lista de Figuras xix Parte I: Conceitos de Seguranca ¸ 1 1.1 Seguranca de Computadores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ¸ 1 1.1.1 Por que devo me preocupar com a seguranca do meu computador? . . . . . . ¸ 1 1.1.2 Por que algu´ m iria querer invadir meu computador? . . . . . . . . . . . . . e 2 1.2 Senhas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 1.2.1 ¸˜ O que n˜ o se deve usar na elaboracao de uma senha? . . . . . . . . . . . . . a 3 1.2.2 ´ O que e uma boa senha? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 1.2.3 Como elaborar uma boa senha? . . . . . . . . . . . . . . . . . . . . . . . . 3 1.2.4 Quantas senhas diferentes devo usar? . . . . . . . . . . . . . . . . . . . . . 3 1.2.5 uˆ Com que freq¨ encia devo mudar minhas senhas? . . . . . . . . . . . . . . . 4 1.2.6 Quais os cuidados especiais que devo ter com as senhas? . . . . . . . . . . . 4 1.2.7 Que cuidados devo ter com o usu´ rio e senha de Administrator (ou root) em a um computador? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 1.3 Cookies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 1.4 Engenharia Social . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 1.4.1 Que exemplos podem ser citados sobre este m´ todo de ataque? . . . . . . . . e 6 1.5 Vulnerabilidade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 1.6 C´ digos Maliciosos (Malware) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o 7 1.7 ¸˜ Negacao de Servico (Denial of Service) . . . . . . . . . . . . . . . . . . . . . . . . ¸ 7 1.7.1 ´ O que e DDoS? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 ix
  9. 9. x Cartilha de Seguranca para Internet – c 2006 CERT.br ¸ 1.7.2 Se uma rede ou computador sofrer um DoS, isto significa que houve uma invas˜ o? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a 8 1.8 Criptografia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 1.8.1 ´ ´ O que e criptografia de chave unica? . . . . . . . . . . . . . . . . . . . . . . 9 1.8.2 ´ O que e criptografia de chaves p´ blica e privada? . . . . . . . . . . . . . . . u 9 1.8.3 ´ O que e assinatura digital? . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 1.8.4 ´ Que exemplos podem ser citados sobre o uso de criptografia de chave unica e de chaves p´ blica e privada? . . . . . . . . . . . . . . . . . . . . . . . . . . u 10 1.8.5 Que tamanho de chave deve ser utilizado? . . . . . . . . . . . . . . . . . . . 10 1.9 Certificado Digital . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 1.9.1 ´ O que e Autoridade Certificadora (AC)? . . . . . . . . . . . . . . . . . . . . 11 1.9.2 Que exemplos podem ser citados sobre o uso de certificados? . . . . . . . . . 12 e ¸˜ Parte II: Riscos Envolvidos no Uso da Internet e M´ todos de Prevencao 13 2.1 Programas Leitores de E-mails . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 2.1.1 Quais s˜ o os riscos associados ao uso de um programa leitor de e-mails? . . . a 13 2.1.2 ´ E poss´vel configurar um programa leitor de e-mails de forma mais segura? . ı 13 2.1.3 Que medidas preventivas devo adotar no uso dos programas leitores de e-mails? 14 2.2 Browsers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 2.2.1 Quais s˜ o os riscos associados ao uso de um browser? . . . . . . . . . . . . a 15 2.2.2 ` ¸˜ Quais s˜ o os riscos associados a execucao de JavaScripts e de programas Java? 15 a 2.2.3 ` ¸˜ Quais s˜ o os riscos associados a execucao de programas ActiveX? . . . . . . a 15 2.2.4 Quais s˜ o os riscos associados ao uso de cookies? . . . . . . . . . . . . . . . a 15 2.2.5 ` Quais s˜ o os riscos associados as pop-up windows? . . . . . . . . . . . . . . a 16 2.2.6 a a ¸˜ Quais s˜ o os cuidados necess´ rios para realizar transacoes via Web? . . . . . 16 2.2.7 Que medidas preventivas devo adotar no uso de browsers? . . . . . . . . . . 16 2.2.8 Que caracter´sticas devo considerar na escolha de um browser? . . . . . . . ı 17 2.3 Antiv´rus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ı 17 2.3.1 Que funcionalidades um bom antiv´rus deve possuir? . . . . . . . . . . . . . ı 18 2.3.2 Como faco bom uso do meu antiv´rus? . . . . . . . . . . . . . . . . . . . . . ¸ ı 18 2.3.3 O que um antiv´rus n˜ o pode fazer? . . . . . . . . . . . . . . . . . . . . . . ı a 19 2.4 Firewalls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
  10. 10. ´ Sumario xi 2.4.1 Como o firewall pessoal funciona? . . . . . . . . . . . . . . . . . . . . . . . 19 2.4.2 Por que devo instalar um firewall pessoal em meu computador? . . . . . . . 19 2.4.3 Como posso saber se est˜ o tentando invadir meu computador? . . . . . . . . a 20 2.5 Vulnerabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 2.5.1 Como posso saber se os softwares instalados em meu computador possuem alguma vulnerabilidade? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 2.5.2 Como posso corrigir as vulnerabilidades dos softwares em meu computador? 20 2.6 Programas de Troca de Mensagens . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 2.6.1 Quais s˜ o os riscos associados ao uso de salas de bate-papo e de programas a como o ICQ ou IRC? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 2.6.2 Existem problemas de seguranca espec´ficos nos programas de troca ins- ¸ ı tantˆ nea de mensagens? . . . . . . . . . . . . . . . . . . . . . . . . . . . . a 21 2.6.3 Que medidas preventivas devo adotar no uso de programas de troca de men- sagens? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 2.7 ¸˜ Programas de Distribuicao de Arquivos . . . . . . . . . . . . . . . . . . . . . . . . 22 2.7.1 ¸˜ Quais s˜ o os riscos associados ao uso de programas de distribuicao de arquivos? 22 a 2.7.2 ¸˜ Que medidas preventivas devo adotar no uso de programas de distribuicao de arquivos? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 2.8 Compartilhamento de Recursos do Windows . . . . . . . . . . . . . . . . . . . . . . 22 2.8.1 Quais s˜ o os riscos associados ao uso do compartilhamento de recursos? . . . a 22 2.8.2 Que medidas preventivas devo adotar no uso do compartilhamento de recursos? 23 2.9 ¸˜ Realizacao de C´ pias de Seguranca (Backups) . . . . . . . . . . . . . . . . . . . . . o ¸ 23 2.9.1 ´ Qual e a importˆ ncia de fazer c´ pias de seguranca? . . . . . . . . . . . . . . a o ¸ 23 2.9.2 Quais s˜ o as formas de realizar c´ pias de seguranca? . . . . . . . . . . . . . a o ¸ 23 2.9.3 uˆ Com que freq¨ encia devo fazer c´ pias de seguranca? . . . . . . . . . . . . . o ¸ 24 2.9.4 Que cuidados devo ter com as c´ pias de seguranca? . . . . . . . . . . . . . . o ¸ 24 2.9.5 ¸˜ Que cuidados devo ter ao enviar um computador para a manutencao? . . . . 25 Parte III: Privacidade 27 3.1 Privacidade dos E-mails . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 3.1.1 ´ E poss´vel algu´ m ler e-mails de outro usu´ rio? . . . . . . . . . . . . . . . . ı e a 27 3.1.2 ´ Como e poss´vel assegurar a privacidade dos e-mails? . . . . . . . . . . . . . ı 27 3.1.3 ¸˜ ´ A utilizacao de programas de criptografia e suficiente para assegurar a priva- cidade dos e-mails? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
  11. 11. xii Cartilha de Seguranca para Internet – c 2006 CERT.br ¸ 3.2 ¸˜ Privacidade no Acesso e Disponibilizacao de P´ ginas Web . . . . . . . . . . . . . . a 28 3.2.1 Que cuidados devo ter ao acessar p´ ginas Web e ao receber cookies? . . . . . a 28 3.2.2 Que cuidados devo ter ao disponibilizar uma p´ gina na Internet, como por a exemplo um blog? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 3.3 Cuidados com seus Dados Pessoais . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 3.3.1 Que cuidados devo ter em sites de redes de relacionamentos, como por exem- plo o orkut? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 3.4 Cuidados com os Dados Armazenados em um Disco R´gido . . . . . . . . . . . . . ı 30 3.4.1 Como posso sobrescrever todos os dados de um disco r´gido? . . . . . . . . ı 31 3.5 Cuidados com Telefones Celulares, PDAs e Outros Aparelhos com Bluetooth . . . . 31 3.5.1 Que riscos est˜ o associados ao uso de aparelhos com bluetooth? . . . . . . . a 32 3.5.2 ¸˜ ¸˜ Que cuidados devo ter para evitar a exposicao de informacoes de um aparelho com bluetooth? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 Parte IV: Fraudes na Internet 33 4.1 Engenharia Social . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 4.1.1 Como me protejo deste tipo de abordagem? . . . . . . . . . . . . . . . . . . 33 4.2 Fraudes via Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 4.2.1 ´ ¸˜ O que e scam e que situacoes podem ser citadas sobre este tipo de fraude? . . 34 4.2.1.1 Sites de leil˜ es e de produtos com precos “muito atrativos” . . . . o ¸ 34 4.2.1.2 O golpe da Nig´ ria (Nigerian 4-1-9 Scam) . . . . . . . . . . . . . e 35 4.2.2 ´ ¸˜ O que e phishing e que situacoes podem ser citadas sobre este tipo de fraude? 35 4.2.2.1 Mensagens que contˆ m links para programas maliciosos . . . . . . e 36 4.2.2.2 P´ ginas de com´ rcio eletrˆ nico ou Internet Banking falsificadas . . a e o 38 4.2.2.3 E-mails contendo formul´ rios para o fornecimento de informacoes a ¸˜ sens´veis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ı 39 4.2.2.4 ¸˜ Comprometimento do servico de resolucao de nomes . . . . . . . ¸ 40 4.2.2.5 ¸˜ Utilizacao de computadores de terceiros . . . . . . . . . . . . . . 40 4.2.3 Quais s˜ o os cuidados que devo ter ao acessar sites de com´ rcio eletrˆ nico ou a e o Internet Banking? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 4.2.4 a ´ Como verificar se a conex˜ o e segura (criptografada)? . . . . . . . . . . . . 42 4.2.5 Como posso saber se o site que estou acessando n˜ o foi falsificado? . . . . . a 43 4.2.6 ´ Como posso saber se o certificado emitido para o site e leg´timo? . . . . . . ı 43
  12. 12. ´ Sumario xiii 4.2.7 O que devo fazer se perceber que meus dados financeiros est˜ o sendo usados a por terceiros? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 4.3 Boatos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 4.3.1 Quais s˜ o os problemas de seguranca relacionados aos boatos? . . . . . . . . a ¸ 45 4.3.2 ¸˜ Como evitar a distribuicao dos boatos? . . . . . . . . . . . . . . . . . . . . 45 4.3.3 ´ Como posso saber se um e-mail e um boato? . . . . . . . . . . . . . . . . . 46 Parte V: Redes de Banda Larga e Redes Sem Fio (Wireless) 47 5.1 Servicos de Banda Larga . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ¸ 47 5.1.1 Por que um atacante teria maior interesse por um computador com banda larga e quais s˜ o os riscos associados? . . . . . . . . . . . . . . . . . . . . . a 47 5.1.2 O que fazer para proteger um computador conectado por banda larga? . . . . 48 5.1.3 O que fazer para proteger uma rede conectada por banda larga? . . . . . . . 48 5.2 Redes Sem Fio (Wireless) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 5.2.1 Quais s˜ o os riscos do uso de redes sem fio? . . . . . . . . . . . . . . . . . . a 49 5.2.2 Que cuidados devo ter com um cliente de uma rede sem fio? . . . . . . . . . 50 5.2.3 Que cuidados devo ter ao montar uma rede sem fio dom´ stica? . . . . . . . . e 51 Parte VI: Spam 53 6.1 Spam . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 6.1.1 Quais s˜ o os problemas que o spam pode causar para um usu´ rio da Internet? a a 53 6.1.2 Quais s˜ o os problemas que o spam pode causar para os provedores de acesso, a backbones e empresas? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 6.1.3 Como os spammers conseguem enderecos de e-mail? . . . . . . . . . . . . . ¸ 54 6.1.4 Como os spammers confirmam que um endereco de e-mail existe? . . . . . . ¸ 55 6.1.5 Como fazer para filtrar os e-mails de modo a barrar o recebimento de spams? 56 6.1.6 Para quem devo reclamar quando receber um spam? . . . . . . . . . . . . . 56 6.1.7 ¸˜ ¸˜ Que informacoes devo incluir numa reclamacao de spam? . . . . . . . . . . 57 6.1.8 O que devo fazer ao identificar em um spam um caso de phishing/scam? . . . 57 6.1.9 ¸˜ Onde posso encontrar outras informacoes sobre spam? . . . . . . . . . . . . 57 Parte VII: Incidentes de Seguranca e Uso Abusivo da Rede ¸ 59 7.1 Incidentes de Seguranca e Abusos . . . . . . . . . . . . . . . . . . . . . . . . . . . ¸ 59 7.1.1 ´ O que e incidente de seguranca? . . . . . . . . . . . . . . . . . . . . . . . . ¸ 59
  13. 13. xiv Cartilha de Seguranca para Internet – c 2006 CERT.br ¸ 7.1.2 ´ O que e pol´tica de seguranca? . . . . . . . . . . . . . . . . . . . . . . . . . ı ¸ 59 7.1.3 ´ O que e pol´tica de uso aceit´ vel (AUP)? . . . . . . . . . . . . . . . . . . . ı a 60 7.1.4 O que pode ser considerado uso abusivo da rede? . . . . . . . . . . . . . . . 60 7.2 Registros de Eventos (logs) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 7.2.1 O que s˜ o logs? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a 60 7.2.2 ´ ¸˜ O que e um sistema de deteccao de intrus˜ o (IDS)? . . . . . . . . . . . . . . a 61 7.2.3 ¸˜ Que tipo de atividade pode ocasionar a geracao de um log? . . . . . . . . . . 61 7.2.4 ´ O que e um falso positivo? . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 7.2.5 ¸˜ Que tipo de informacao est´ presente em um log? . . . . . . . . . . . . . . . a 61 7.3 ¸˜ Notificacoes de Incidentes e Abusos . . . . . . . . . . . . . . . . . . . . . . . . . . 62 7.3.1 Por que devo notificar incidentes? . . . . . . . . . . . . . . . . . . . . . . . 62 7.3.2 Para quem devo notificar os incidentes? . . . . . . . . . . . . . . . . . . . . 62 7.3.3 ¸˜ Por que devo manter o CERT.br na c´ pia das notificacoes? . . . . . . . . . . o 63 7.3.4 Como encontro os respons´ veis pela m´ quina de onde partiu um ataque? . . a a 63 7.3.5 ¸˜ ¸˜ Que informacoes devo incluir em uma notificacao de incidente? . . . . . . . 64 7.3.6 Como devo proceder para notificar casos de phishing/scam? . . . . . . . . . 64 7.3.7 ¸˜ ¸˜ Onde posso encontrar outras informacoes a respeito de notificacoes de inci- dentes? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64 Parte VIII: C´ digos Maliciosos (Malware) o 65 8.1 V´rus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ı 65 8.1.1 Como um v´rus pode afetar um computador? . . . . . . . . . . . . . . . . . ı 65 8.1.2 ´ Como o computador e infectado por um v´rus? . . . . . . . . . . . . . . . . ı 65 8.1.3 Um computador pode ser infectado por um v´rus sem que se perceba? . . . . ı 66 8.1.4 ´ O que e um v´rus propagado por e-mail? . . . . . . . . . . . . . . . . . . . . ı 66 8.1.5 ´ O que e um v´rus de macro? . . . . . . . . . . . . . . . . . . . . . . . . . . ı 66 8.1.6 Como posso saber se um computador est´ infectado? . . . . . . . . . . . . . a 67 8.1.7 Existe alguma maneira de proteger um computador de v´rus? . . . . . . . . . ı 67 8.1.8 ´ O que e um v´rus de telefone celular? . . . . . . . . . . . . . . . . . . . . . ı 67 8.1.9 Como posso proteger um telefone celular de v´rus? . . . . . . . . . . . . . . ı 68 8.2 Cavalos de Tr´ ia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o 68 8.2.1 Como um cavalo de tr´ ia pode ser diferenciado de um v´rus ou worm? . . . . o ı 69
  14. 14. ´ Sumario xv 8.2.2 Como um cavalo de tr´ ia se instala em um computador? . . . . . . . . . . . o 69 8.2.3 Que exemplos podem ser citados sobre programas contendo cavalos de tr´ ia? o 69 8.2.4 O que um cavalo de tr´ ia pode fazer em um computador? . . . . . . . . . . . o 69 8.2.5 Um cavalo de tr´ ia pode instalar programas sem o conhecimento do usu´ rio? o a 70 8.2.6 ´ E poss´vel saber se um cavalo de tr´ ia instalou algo em um computador? . . ı o 70 8.2.7 Existe alguma maneira de proteger um computador dos cavalos de tr´ ia? . . o 70 8.3 Adware e Spyware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 8.3.1 Que exemplos podem ser citados sobre programas spyware? . . . . . . . . . 71 8.3.2 ´ E poss´vel proteger um computador de programas spyware? . . . . . . . . . ı 72 8.4 Backdoors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 8.4.1 ´ Como e feita a inclus˜ o de um backdoor em um computador? . . . . . . . . a 72 8.4.2 A existˆ ncia de um backdoor depende necessariamente de uma invas˜ o? . . . e a 72 8.4.3 Backdoors s˜ o restritos a um sistema operacional espec´fico? . . . . . . . . . a ı 73 8.4.4 Existe alguma maneira de proteger um computador de backdoors? . . . . . . 73 8.5 Keyloggers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 8.5.1 ¸˜ Que informacoes um keylogger pode obter se for instalado em um computador? 74 8.5.2 ¸˜ Diversos sites de instituicoes financeiras utilizam teclados virtuais. Neste caso eu estou protegido dos keyloggers? . . . . . . . . . . . . . . . . . . . . 74 8.5.3 ´ Como e feita a inclus˜ o de um keylogger em um computador? . . . . . . . . a 74 8.5.4 Como posso proteger um computador dos keyloggers? . . . . . . . . . . . . 74 8.6 Worms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 8.6.1 Como um worm pode afetar um computador? . . . . . . . . . . . . . . . . . 75 8.6.2 Como posso saber se meu computador est´ sendo utilizado para propagar um a worm? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 8.6.3 Como posso proteger um computador de worms? . . . . . . . . . . . . . . . 75 8.7 Bots e Botnets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 8.7.1 Como o invasor se comunica com o bot? . . . . . . . . . . . . . . . . . . . 76 8.7.2 O que o invasor pode fazer quando estiver no controle de um bot? . . . . . . 76 8.7.3 O que s˜ o botnets? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a 76 8.7.4 Como posso saber se um bot foi instalado em um computador? . . . . . . . . 77 8.7.5 Como posso proteger um computador dos bots? . . . . . . . . . . . . . . . . 77 8.8 Rootkits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
  15. 15. xvi Cartilha de Seguranca para Internet – c 2006 CERT.br ¸ 8.8.1 Que funcionalidades um rootkit pode conter? . . . . . . . . . . . . . . . . . 78 8.8.2 Como posso saber se um rootkit foi instalado em um computador? . . . . . . 78 8.8.3 Como posso proteger um computador dos rootkits? . . . . . . . . . . . . . . 78 Apˆ ndice A: Gloss´ rio e a 79 Apˆ ndice B: Checklist e 87 ¸˜ B.1 Prevencao Contra Riscos e C´ digos Maliciosos (Malware) . . . . . . . . . . . . . . o 87 B.1.1 Contas e senhas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 B.1.2 V´rus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ı 87 B.1.3 Worms, bots e botnets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 B.1.4 Cavalos de tr´ ia, backdoors, keyloggers e spywares . . . . . . . . . . . . . . o 88 B.2 Cuidados no Uso da Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 B.2.1 Programas Leitores de E-mails . . . . . . . . . . . . . . . . . . . . . . . . . 88 B.2.2 Browsers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 B.2.3 Programas de troca de mensagens . . . . . . . . . . . . . . . . . . . . . . . 89 B.2.4 ¸˜ Programas de distribuicao de arquivos . . . . . . . . . . . . . . . . . . . . . 89 B.2.5 Compartilhamento de recursos . . . . . . . . . . . . . . . . . . . . . . . . . 90 B.2.6 C´ pias de seguranca . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o ¸ 90 B.3 Fraude . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90 B.3.1 Engenharia social . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90 B.3.2 ¸˜ Cuidados ao realizar transacoes banc´ rias ou comerciais . . . . . . . . . . . a 90 B.3.3 Boatos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 B.4 Privacidade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 B.4.1 E-mails . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 B.4.2 Cookies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 B.4.3 Cuidados com dados pessoais em p´ ginas Web, blogs e sites de redes de rela- a cionamentos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92 B.4.4 Cuidados com os dados armazenados em um disco r´gido . . . . . . . . . . . ı 92 B.4.5 Cuidados com telefones celulares, PDAs e outros aparelhos com bluetooth . 92 B.5 Banda Larga e Redes Sem Fio (Wireless) . . . . . . . . . . . . . . . . . . . . . . . . 92 B.5.1 ¸˜ Protecao de um computador utilizando banda larga . . . . . . . . . . . . . . 92 B.5.2 ¸˜ Protecao de uma rede utilizando banda larga . . . . . . . . . . . . . . . . . 93
  16. 16. ´ Sumario xvii B.5.3 Cuidados com um cliente de rede sem fio . . . . . . . . . . . . . . . . . . . 93 B.5.4 Cuidados com uma rede sem fio dom´ stica . . . . . . . . . . . . . . . . . . e 94 B.6 Spam . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 B.7 Incidentes de Seguranca e Uso Abusivo da Rede . . . . . . . . . . . . . . . . . . . . ¸ 94 B.7.1 Registros de eventos (logs) . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 B.7.2 ¸˜ Notificacoes de incidentes . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 Apˆ ndice C: Dicas e 95
  17. 17. Lista de Figuras 2.1 Exemplos de ´cones para recursos compartilhados. . . . . . . . . . . . . . . . . . . ı 22 4.1 https - identificando site com conex˜ o segura. . . . . . . . . . . . . . . . . . . . . . a 42 4.2 Cadeado – identificando site com conex˜ o segura. . . . . . . . . . . . . . . . . . . a 42 4.3 Cadeado forjado. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 xix
  18. 18. Parte I: Conceitos de Seguranca ¸ Esta parte da Cartilha apresenta conceitos de seguranca de computadores, onde s˜ o abordados ¸ a ` ¸˜ temas relacionados as senhas, engenharia social, malware, vulnerabilidade, ataques de negacao de servico, criptografia e certificados digitais. Os conceitos aqui apresentados s˜ o importantes para o ¸ a entendimento de partes subseq¨ entes desta Cartilha. u 1.1 Seguranca de Computadores ¸ ´ Um computador (ou sistema computacional) e dito seguro se este atende a trˆ s requisitos b´ sicos e a relacionados aos recursos que o comp˜ em: confidencialidade, integridade e disponibilidade. o ¸˜ o a A confidencialidade diz que a informacao s´ est´ dispon´vel para aqueles devidamente autoriza- ı ¸˜ a ´ dos; a integridade diz que a informacao n˜ o e destru´da ou corrompida e o sistema tem um desempe- ı nho correto, e a disponibilidade diz que os servicos/recursos do sistema est˜ o dispon´veis sempre que ¸ a ı forem necess´ rios. a ¸˜ Alguns exemplos de violacoes a cada um desses requisitos s˜ o: a Confidencialidade: algu´ m obt´ m acesso n˜ o autorizado ao seu computador e lˆ todas as informa- e e a e ¸˜ ¸˜ coes contidas na sua declaracao de Imposto de Renda; Integridade: algu´ m obt´ m acesso n˜ o autorizado ao seu computador e altera informacoes da sua e e a ¸˜ ¸˜ a ` declaracao de Imposto de Renda, momentos antes de vocˆ envi´ -la a Receita Federal; e Disponibilidade: o seu provedor sofre uma grande sobrecarga de dados ou um ataque de negacao ¸˜ ¸ e ¸˜ de servico e por este motivo vocˆ fica impossibilitado de enviar sua declaracao de Imposto de Renda a` Receita Federal. 1.1.1 Por que devo me preocupar com a seguranca do meu computador? ¸ e a u ¸˜ Computadores dom´ sticos s˜ o utilizados para realizar in´ meras tarefas, tais como: transacoes fi- a ¸ ¸˜ nanceiras, sejam elas banc´ rias ou mesmo compra de produtos e servicos; comunicacao, por exemplo, atrav´ s de e-mails; armazenamento de dados, sejam eles pessoais ou comerciais, etc. e ´ E importante que vocˆ se preocupe com a seguranca de seu computador, pois vocˆ , provavelmente, e ¸ e n˜ o gostaria que: a • suas senhas e n´ meros de cart˜ es de cr´ dito fossem furtados e utilizados por terceiros; u o e 1
  19. 19. 2 Cartilha de Seguranca para Internet – c 2006 CERT.br ¸ • sua conta de acesso a Internet fosse utilizada por algu´ m n˜ o autorizado; e a • seus dados pessoais, ou at´ mesmo comerciais, fossem alterados, destru´dos ou visualizados e ı por terceiros; • seu computador deixasse de funcionar, por ter sido comprometido e arquivos essenciais do sistema terem sido apagados, etc. 1.1.2 Por que algu´ m iria querer invadir meu computador? e a ´ A resposta para esta pergunta n˜ o e simples. Os motivos pelos quais algu´ m tentaria invadir seu e computador s˜ o in´ meros. Alguns destes motivos podem ser: a u • utilizar seu computador em alguma atividade il´cita, para esconder a real identidade e localiza- ı ¸˜ cao do invasor; • utilizar seu computador para lancar ataques contra outros computadores; ¸ • utilizar seu disco r´gido como reposit´ rio de dados; ı o • destruir informacoes (vandalismo); ¸˜ • disseminar mensagens alarmantes e falsas; • ler e enviar e-mails em seu nome; • propagar v´rus de computador; ı • furtar n´ meros de cart˜ es de cr´ dito e senhas banc´ rias; u o e a • furtar a senha da conta de seu provedor, para acessar a Internet se fazendo passar por vocˆ ; e • furtar dados do seu computador, como por exemplo, informacoes do seu Imposto de Renda. ¸˜ 1.2 Senhas Uma senha (password) na Internet, ou em qualquer sistema computacional, serve para autenticar ´ ¸˜ o usu´ rio, ou seja, e utilizada no processo de verificacao da identidade do usu´ rio, assegurando que a a ´ este e realmente quem diz ser. Se uma outra pessoa tem acesso a sua senha, ela poder´ utiliz´ -la para se passar por vocˆ na a a e Internet. Alguns dos motivos pelos quais uma pessoa poderia utilizar sua senha s˜ o: a • ler e enviar e-mails em seu nome; • obter informacoes sens´veis dos dados armazenados em seu computador, tais como n´ meros de ¸˜ ı u cart˜ es de cr´ dito; o e • esconder sua real identidade e ent˜ o desferir ataques contra computadores de terceiros. a ¸˜ ´ Portanto, a senha merece consideracao especial, afinal ela e de sua inteira responsabilidade.
  20. 20. Parte I: Conceitos de Seguranca ¸ 3 ¸˜ 1.2.1 O que n˜ o se deve usar na elaboracao de uma senha? a Nomes, sobrenomes, n´ meros de documentos, placas de carros, n´ meros de telefones e datas1 u u dever˜ o estar fora de sua lista de senhas. Esses dados podem ser facilmente obtidos e uma pessoa a ¸˜ mal intencionada, possivelmente, utilizaria este tipo de informacao para tentar se autenticar como vocˆ . e Existem v´ rias regras de criacao de senhas, sendo que uma regra muito importante e jamais utili- a ¸˜ ´ zar palavras que facam parte de dicion´ rios. Existem softwares que tentam descobrir senhas combi- ¸ a nando e testando palavras em diversos idiomas e geralmente possuem listas de palavras (dicion´ rios) a e listas de nomes (nomes pr´ prios, m´ sicas, filmes, etc.). o u ´ 1.2.2 O que e uma boa senha? Uma boa senha deve ter pelo menos oito caracteres2 (letras, n´ meros e s´mbolos), deve ser simples u ı de digitar e, o mais importante, deve ser f´ cil de lembrar. a Normalmente os sistemas diferenciam letras mai´ sculas das min´ sculas, o que j´ ajuda na com- u u a ¸˜ posicao da senha. Por exemplo, “pAraleLepiPedo” e “paRalElePipEdo” s˜ o senhas diferentes. a Entretanto, s˜ o senhas f´ ceis de descobrir utilizando softwares para quebra de senhas, pois n˜ o pos- a a a u ı e ¸˜ suem n´ meros e s´mbolos, al´ m de conter muitas repeticoes de letras. 1.2.3 Como elaborar uma boa senha? Quanto mais “baguncada” for a senha melhor, pois mais dif´cil ser´ descobr´-la3 . Assim, tente ¸ ı a ı u u ¸˜ misturar letras mai´ sculas, min´ sculas, n´ meros e sinais de pontuacao. Uma regra realmente pr´ tica u a ´ e que gera boas senhas dif´ceis de serem descobertas e utilizar uma frase qualquer e pegar a primeira, ı ´ segunda ou a ultima letra de cada palavra. Por exemplo, usando a frase “batatinha quando nasce se esparrama pelo ch˜ o” podemos gerar a ¸˜ a senha “!BqnsepC” (o sinal de exclamacao foi colocado no in´cio para acrescentar um s´mbolo a ı ı ` senha). Senhas geradas desta maneira s˜ o f´ ceis de lembrar e s˜ o normalmente dif´ceis de serem a a a ı descobertas. Mas lembre-se: a senha “!BqnsepC” deixou de ser uma boa senha, pois faz parte desta Cartilha. e ´ Vale ressaltar que se vocˆ tiver dificuldades para memorizar uma senha forte, e prefer´vel anot´ -la ı a e guard´ -la em local seguro, do que optar pelo uso de senhas fracas. a 1.2.4 Quantas senhas diferentes devo usar? Procure identificar o n´ mero de locais onde vocˆ necessita utilizar uma senha. Este n´ mero u e u deve ser equivalente a quantidade de senhas distintas a serem mantidas por vocˆ . Utilizar senhas e 1 Qualquer data que possa estar relacionada com vocˆ , como por exemplo a data de seu anivers´ rio ou de familiares. e a 2 Existem servicos que permitem utilizar senhas maiores do que oito caracteres. Quanto maior for a senha, mais dif´cil ¸ ı ser´ descobr´-la, portanto procure utilizar a senha de maior tamanho poss´vel. a ı ı 3 Observe que a senha “1qaz2wsx” parece ser suficientemente “baguncada”, mas n˜ o e considerada uma boa senha, ¸ a ´ ` pois est´ associada a proximidade entre esses caracteres no teclado. a
  21. 21. 4 Cartilha de Seguranca para Internet – c 2006 CERT.br ¸ ´ diferentes, uma para cada local, e extremamente importante, pois pode atenuar os preju´zos causados, ı caso algu´ m descubra uma de suas senhas. e a e ´ Para ressaltar a importˆ ncia do uso de senhas diferentes, imagine que vocˆ e respons´ vel por a ¸˜ realizar movimentacoes financeiras em um conjunto de contas banc´ rias e todas estas contas possuem a a mesma senha. Ent˜ o, procure responder as seguintes perguntas: a • Quais seriam as conseq¨ encias se algu´ m descobrisse esta senha? uˆ e • E se fossem usadas senhas diferentes para cada conta, caso algu´ m descobrisse uma das senhas, e ı ı ¸˜ um poss´vel preju´zo teria a mesma proporcao? ¨e 1.2.5 Com que frequˆ ncia devo mudar minhas senhas? Vocˆ deve trocar suas senhas regularmente, procurando evitar per´odos muito longos. Uma su- e ı a ´ gest˜ o e que vocˆ realize tais trocas a cada dois ou trˆ s meses. e e Procure identificar se os servicos que vocˆ utiliza e que necessitam de senha, quer seja o acesso ¸ e ao seu provedor, e-mail, conta banc´ ria, ou outro, disponibilizam funcionalidades para alterar senhas a e use regularmente tais funcionalidades. Caso vocˆ n˜ o possa escolher sua senha na hora em que contratar o servico, procure troc´ -la com e a ¸ a a maior urgˆ ncia poss´vel. Procure utilizar servicos em que vocˆ possa escolher a sua senha. e ı ¸ e Lembre-se que trocas regulares s˜ o muito importantes para assegurar a confidencialidade de suas a senhas. 1.2.6 Quais os cuidados especiais que devo ter com as senhas? De nada adianta elaborar uma senha bastante segura e dif´cil de ser descoberta, se ao usar a senha ı algu´ m puder vˆ -la. Existem v´ rias maneiras de algu´ m poder descobrir a sua senha. Dentre elas, e e a e algu´ m poderia: e • observar o processo de digitacao da sua senha; ¸˜ • utilizar algum m´ todo de persuas˜ o, para tentar convencˆ -lo a entregar sua senha (vide se- e a e ¸˜ cao 1.4.1); • capturar sua senha enquanto ela trafega pela rede. ¸˜ ´ ` Em relacao a este ultimo caso, existem t´ cnicas que permitem observar dados, a medida que estes e trafegam entre redes. E ´ poss´vel que algu´ m extraia informacoes sens´veis desses dados, como por ı e ¸˜ ı ¸˜ exemplo senhas, caso n˜ o estejam criptografados (vide secao 1.8). a Portanto, alguns dos principais cuidados que vocˆ deve ter com suas senhas s˜ o: e a • certifique-se de n˜ o estar sendo observado ao digitar a sua senha; a • n˜ o forneca sua senha para qualquer pessoa, em hip´ tese alguma; a ¸ o
  22. 22. Parte I: Conceitos de Seguranca ¸ 5 • n˜ o utilize computadores de terceiros (por exemplo, em LAN houses, cybercafes, stands de a ¸˜ eventos, etc) em operacoes que necessitem utilizar suas senhas; • certifique-se que seu provedor disponibiliza servicos criptografados, principalmente para aque- ¸ les que envolvam o fornecimento de uma senha. 1.2.7 Que cuidados devo ter com o usu´ rio e senha de Administrator (ou root) a em um computador? ´ O usu´ rio Administrator (ou root) e de extrema importˆ ncia, pois det´ m todos os privil´ gios em a a e e ¸˜ um computador. Ele deve ser usado em situacoes onde um usu´ rio normal n˜ o tenha privil´ gios para a a e ¸˜ realizar uma operacao, como por exemplo, em determinadas tarefas administrativas, de manutencao ¸˜ ¸˜ ¸˜ ou na instalacao e configuracao de determinados tipos de software. Sabe-se que, por uma quest˜ o de comodidade e principalmente no ambiente dom´ stico, muitas a e pessoas utilizam o usu´ rio Administrator (ou root) para realizar todo e qualquer tipo de atividade. Ele a ´ ` e usado para se conectar a Internet, navegar utilizando o browser, ler e-mails, redigir documentos, etc. Este e um procedimento que deve ser sempre evitado, pois vocˆ , como usu´ rio Administrator (ou ´ e a root), poderia acidentalmente apagar arquivos essenciais para o funcionamento do sistema operacio- nal ou de algum software instalado em seu computador. Ou ainda, poderia instalar inadvertidamente um software malicioso que, como usu´ rio Administrator (ou root), teria todos os privil´ gios que ne- a e cessitasse, podendo fazer qualquer coisa. Portanto, alguns dos principais cuidados que vocˆ deve ter s˜ o: e a • elaborar uma boa senha para o usu´ rio Administrator (ou root), como discutido na secao 1.2.3, a ¸˜ ¸˜ e seguir os procedimentos descritos na secao 1.2.6; • utilizar o usu´ rio Administrator (ou root) somente quando for estritamente necess´ rio; a a • criar tantos usu´ rios com privil´ gios normais, quantas forem as pessoas que utilizam seu com- a e putador, para substituir assim o usu´ rio Administrator (ou root) em tarefas rotineiras, como a ¸˜ ¸˜ leitura de e-mails, navegacao na Internet, producao de documentos, etc. 1.3 Cookies a ¸˜ Cookies s˜ o pequenas informacoes que os sites visitados por vocˆ podem armazenar em seu e browser. Estes s˜ o utilizados pelos sites de diversas formas, tais como: a • guardar a sua identificacao e senha quando vocˆ vai de uma p´ gina para outra; ¸˜ e a • manter listas de compras ou listas de produtos preferidos em sites de com´ rcio eletrˆ nico; e o • personalizar sites pessoais ou de not´cias, quando vocˆ escolhe o que quer que seja mostrado ı e nas p´ ginas; a
  23. 23. 6 Cartilha de Seguranca para Internet – c 2006 CERT.br ¸ • manter a lista das p´ ginas vistas em um site, para estat´stica ou para retirar as p´ ginas que vocˆ a ı a e n˜ o tem interesse dos links. a A Parte III: Privacidade apresenta alguns problemas relacionados aos cookies, bem como algumas sugest˜ es para que se tenha maior controle sobre eles. o 1.4 Engenharia Social ´ O termo e utilizado para descrever um m´ todo de ataque, onde algu´ m faz uso da persuas˜ o, e e a ¸ a ¸˜ muitas vezes abusando da ingenuidade ou confianca do usu´ rio, para obter informacoes que podem ¸˜ ser utilizadas para ter acesso n˜ o autorizado a computadores ou informacoes. a 1.4.1 Que exemplos podem ser citados sobre este m´ todo de ataque? e Os dois primeiros exemplos apresentam casos onde foram utilizadas mensagens de e-mail. O ´ ultimo exemplo apresenta um ataque realizado por telefone. Exemplo 1: vocˆ recebe uma mensagem e-mail, onde o remetente e o gerente ou algu´ m em nome e ´ e do departamento de suporte do seu banco. Na mensagem ele diz que o servico de Internet Bank- ¸ ing est´ apresentando algum problema e que tal problema pode ser corrigido se vocˆ executar a e ` ¸˜ o aplicativo que est´ anexado a mensagem. A execucao deste aplicativo apresenta uma tela a ` an´ loga aquela que vocˆ utiliza para ter acesso a conta banc´ ria, aguardando que vocˆ digite a e a e sua senha. Na verdade, este aplicativo est´ preparado para furtar sua senha de acesso a conta a banc´ ria e envi´ -la para o atacante. a a Exemplo 2: vocˆ recebe uma mensagem de e-mail, dizendo que seu computador est´ infectado por e a um v´rus. A mensagem sugere que vocˆ instale uma ferramenta dispon´vel em um site da ı e ı ¸˜ a ´ Internet, para eliminar o v´rus de seu computador. A real funcao desta ferramenta n˜ o e eliminar ı um v´rus, mas sim permitir que algu´ m tenha acesso ao seu computador e a todos os dados nele ı e armazenados. Exemplo 3: algum desconhecido liga para a sua casa e diz ser do suporte t´ cnico do seu provedor. e ¸˜ Nesta ligacao ele diz que sua conex˜ o com a Internet est´ apresentando algum problema e, a a ent˜ o, pede sua senha para corrig´-lo. Caso vocˆ entregue sua senha, este suposto t´ cnico a ı e e poder´ realizar uma infinidade de atividades maliciosas, utilizando a sua conta de acesso a a Internet e, portanto, relacionando tais atividades ao seu nome. Estes casos mostram ataques t´picos de engenharia social, pois os discursos apresentados nos ı exemplos procuram induzir o usu´ rio a realizar alguma tarefa e o sucesso do ataque depende unica e a ´ exclusivamente da decis˜ o do usu´ rio em fornecer informacoes sens´veis ou executar programas. a a ¸˜ ı A Parte IV: Fraudes na Internet apresenta algumas formas de se prevenir deste tipo de ataque.
  24. 24. Parte I: Conceitos de Seguranca ¸ 7 1.5 Vulnerabilidade ´ ¸˜ ¸˜ Vulnerabilidade e definida como uma falha no projeto, implementacao ou configuracao de um soft- ¸˜ ware ou sistema operacional que, quando explorada por um atacante, resulta na violacao da seguranca ¸ de um computador. Existem casos onde um software ou sistema operacional instalado em um computador pode con- ¸˜ ter uma vulnerabilidade que permite sua exploracao remota, ou seja, atrav´ s da rede. Portanto, um e ` atacante conectado a Internet, ao explorar tal vulnerabilidade, pode obter acesso n˜ o autorizado ao a computador vulner´ vel. a ¸˜ A Parte II: Riscos Envolvidos no Uso da Internet e M´ todos de Prevencao apresenta algumas e ¸˜ ¸˜ ¸˜ formas de identificacao de vulnerabilidades, bem como maneiras de prevencao e correcao. 1.6 C´ digos Maliciosos (Malware) o o ´ C´ digo malicioso ou Malware (Malicious Software) e um termo gen´ rico que abrange todos os e ¸˜ tipos de programa especificamente desenvolvidos para executar acoes maliciosas em um computador. e ´ Na literatura de seguranca o termo malware tamb´ m e conhecido por “software malicioso”. ¸ Alguns exemplos de malware s˜ o: a • v´rus; ı • worms e bots; • backdoors; • cavalos de tr´ ia; o • keyloggers e outros programas spyware; • rootkits. ¸˜ A Parte VIII: C´ digos Maliciosos (Malware) apresenta descricoes detalhadas e formas de identi- o ¸˜ ¸˜ ficacao e prevencao para os diversos tipos de c´ digo malicioso. o 1.7 ¸˜ Negacao de Servico (Denial of Service) ¸ Nos ataques de negacao de servico (DoS – Denial of Service) o atacante utiliza um computador ¸˜ ¸ ¸˜ ` para tirar de operacao um servico ou computador conectado a Internet. ¸ Exemplos deste tipo de ataque s˜ o: a • gerar uma grande sobrecarga no processamento de dados de um computador, de modo que o usu´ rio n˜ o consiga utiliz´ -lo; a a a
  25. 25. 8 Cartilha de Seguranca para Internet – c 2006 CERT.br ¸ • gerar um grande tr´ fego de dados para uma rede, ocupando toda a banda dispon´vel, de modo a ı que qualquer computador desta rede fique indispon´vel; ı • tirar servicos importantes de um provedor do ar, impossibilitando o acesso dos usu´ rios a suas ¸ a caixas de correio no servidor de e-mail ou ao servidor Web. ´ 1.7.1 O que e DDoS? ¸˜ DDoS (Distributed Denial of Service) constitui um ataque de negacao de servico distribu´do, ¸ ı ou seja, um conjunto de computadores e utilizado para tirar de operacao um ou mais servicos ou ´ ¸˜ ¸ ` computadores conectados a Internet. Normalmente estes ataques procuram ocupar toda a banda dispon´vel para o acesso a um com- ı a e ¸˜ putador ou rede, causando grande lentid˜ o ou at´ mesmo indisponibilizando qualquer comunicacao com este computador ou rede. 1.7.2 Se uma rede ou computador sofrer um DoS, isto significa que houve uma invas˜ o? a a ´ N˜ o. O objetivo de tais ataques e indisponibilizar o uso de um ou mais computadores, e n˜ o a ´ invad´-los. E importante notar que, principalmente em casos de DDoS, computadores comprometidos ı ¸˜ podem ser utilizados para desferir os ataques de negacao de servico. ¸ Um exemplo deste tipo de ataque ocorreu no in´cio de 2000, onde computadores de v´ rias partes ı a do mundo foram utilizados para indisponibilizar o acesso aos sites de algumas empresas de com´ rcio e eletrˆ nico. Estas empresas n˜ o tiveram seus computadores comprometidos, mas sim ficaram impos- o a sibilitadas de vender seus produtos durante um longo per´odo. ı 1.8 Criptografia ´ ´ Criptografia e a ciˆ ncia e arte de escrever mensagens em forma cifrada ou em c´ digo. E parte de e o ¸˜ um campo de estudos que trata das comunicacoes secretas, usadas, dentre outras finalidades, para: • autenticar a identidade de usu´ rios; a • autenticar e proteger o sigilo de comunicacoes pessoais e de transacoes comerciais e banc´ rias; ¸˜ ¸˜ a • proteger a integridade de transferˆ ncias eletrˆ nicas de fundos. e o Uma mensagem codificada por um m´ todo de criptografia deve ser privada, ou seja, somente e aquele que enviou e aquele que recebeu devem ter acesso ao conte´ do da mensagem. Al´ m disso, u e uma mensagem deve poder ser assinada, ou seja, a pessoa que a recebeu deve poder verificar se o ´ remetente e mesmo a pessoa que diz ser e ter a capacidade de identificar se uma mensagem pode ter sido modificada.
  26. 26. Parte I: Conceitos de Seguranca ¸ 9 Os m´ todos de criptografia atuais s˜ o seguros e eficientes e baseiam-se no uso de uma ou mais e a chaves. A chave e uma seq¨ encia de caracteres, que pode conter letras, d´gitos e s´mbolos (como ´ uˆ ı ı ´ uma senha), e que e convertida em um n´ mero, utilizado pelos m´ todos de criptografia para codificar u e e decodificar mensagens. Atualmente, os m´ todos criptogr´ ficos podem ser subdivididos em duas grandes categorias, de e a ´ ¸˜ acordo com o tipo de chave utilizada: a criptografia de chave unica (vide secao 1.8.1) e a criptografia ¸˜ de chave p´ blica e privada (vide secao 1.8.2). u ´ ´ 1.8.1 O que e criptografia de chave unica? ´ A criptografia de chave unica utiliza a mesma chave tanto para codificar quanto para decodificar ¸˜ mensagens. Apesar deste m´ todo ser bastante eficiente em relacao ao tempo de processamento, ou e seja, o tempo gasto para codificar e decodificar mensagens, tem como principal desvantagem a ne- ¸˜ cessidade de utilizacao de um meio seguro para que a chave possa ser compartilhada entre pessoas ou ¸˜ entidades que desejem trocar informacoes criptografadas. ¸˜ Exemplos de utilizacao deste m´ todo de criptografia e sugest˜ es para o tamanho m´nimo da chave e o ı ´ ¸˜ unica podem ser vistos nas secoes 1.8.4 e 1.8.5, respectivamente. ´ ´ 1.8.2 O que e criptografia de chaves publica e privada? A criptografia de chaves p´ blica e privada utiliza duas chaves distintas, uma para codificar e u outra para decodificar mensagens. Neste m´ todo cada pessoa ou entidade mant´ m duas chaves: uma e e p´ blica, que pode ser divulgada livremente, e outra privada, que deve ser mantida em segredo pelo u seu dono. As mensagens codificadas com a chave p´ blica s´ podem ser decodificadas com a chave u o privada correspondente. Seja o exemplo, onde Jos´ e Maria querem se comunicar de maneira sigilosa. Ent˜ o, eles ter˜ o e a a que realizar os seguintes procedimentos: 1. Jos´ codifica uma mensagem utilizando a chave p´ blica de Maria, que est´ dispon´vel para o e u a ı uso de qualquer pessoa; 2. Depois de criptografada, Jos´ envia a mensagem para Maria, atrav´ s da Internet; e e ´ 3. Maria recebe e decodifica a mensagem, utilizando sua chave privada, que e apenas de seu conhecimento; 4. Se Maria quiser responder a mensagem, dever´ realizar o mesmo procedimento, mas utilizando a a chave p´ blica de Jos´ . u e ¸˜ Apesar deste m´ todo ter o desempenho bem inferior em relacao ao tempo de processamento, e ´ ¸˜ quando comparado ao m´ todo de criptografia de chave unica (secao 1.8.1), apresenta como principal e ¸˜ vantagem a livre distribuicao de chaves p´ blicas, n˜ o necessitando de um meio seguro para que chaves u a ¸˜ sejam combinadas antecipadamente. Al´ m disso, pode ser utilizado na geracao de assinaturas digitais, e ¸˜ como mostra a secao 1.8.3. ¸˜ Exemplos de utilizacao deste m´ todo de criptografia e sugest˜ es para o tamanho m´nimo das e o ı ¸˜ chaves p´ blica e privada podem ser vistos nas secoes 1.8.4 e 1.8.5, respectivamente. u

×