Cartilha Seguranca Na Internet v2

P
u
b
l
i
c
a
o
http://cartilha.cert.br/
ATRIBUIC

AO USO N
AO COMERCIAL VEDADA A CRIAC

AO DE OBRAS DERIVADAS 3.0 BRASIL
VOC
E PODE:
copiar, distribuir e transmitir a obra sob as seguintes condic oes:
ATRIBUIC

AO:
Voc e deve creditar a obra da forma especicada pelo autor ou licenciante
(mas n ao de maneira que sugira que estes concedem qualquer aval a voc e ou
ao seu uso da obra).
USO N
AO COMERCIAL:
Voc e n ao pode usar esta obra para ns comerciais.
VEDADA A CRIAC

AO DE OBRAS DERIVADAS:
Voc e n ao pode alterar, transformar ou criar em cima desta obra.
N ucleo de Informac ao e Coordenac ao do Ponto BR
Centro de Estudos, Resposta e Tratamento
de Incidentes de Seguranca no Brasil
Cartilha de Seguranca
para Internet
Vers ao 4.0
Comit e Gestor da Internet no Brasil
S ao Paulo
2012
Comit e Gestor da Internet no Brasil (CGI.br)
N ucleo de Informac ao e Coordenac ao do Ponto BR (NIC.br)
Centro de Estudos, Resposta e Tratamento de Incidentes de Seguranca no Brasil (CERT.br)
Textos e Edic ao: Equipe do CERT.br
Ilustrac oes: H ector G omez e Osnei
Cartilha de Seguranca para Internet, vers ao 4.0 / CERT.br S ao Paulo: Comit e Gestor da Internet no
Brasil, 2012.
Primeira edic ao: 2006
ISBN: 978-85-60062-05-8
ISBN: 85-60062-05-X
Segunda edic ao: 2012
ISBN: 978-85-60062-54-6
A Cartilha de Seguranca para Internet e uma publicac ao independente, produzida pelo Centro de Estudos, Resposta e
Tratamento de Incidentes de Seguranca no Brasil (CERT.br), do N ucleo de Informac ao e Coordenac ao do Ponto BR
(NIC.br), braco executivo do Comit e Gestor da Internet no Brasil (CGI.br) e n ao possui qualquer relac ao de aliac ao,
patrocnio ou aprovac ao de outras instituic oes ou empresas citadas em seu conte udo.
Os nomes de empresas e produtos bem como logotipos mencionados nesta obra podem ser marcas registradas ou marcas
registradas comerciais, de produtos ou servicos, no Brasil ou em outros pases, e s ao utilizados com prop osito de
exemplicac ao, sem intenc ao de promover, denegrir ou infringir.
Embora todas as precauc oes tenham sido tomadas na elaborac ao desta obra, autor e editor n ao garantem a correc ao
absoluta ou a completude das informac oes nela contidas e n ao se responsabilizam por eventuais danos ou perdas que
possam advir do seu uso.
Pref acio
A Cartilha de Seguranca para Internet e um documento com recomendac oes e dicas sobre como
o usu ario de Internet deve se comportar para aumentar a sua seguranca e se proteger de possveis
ameacas. O documento apresenta o signicado de diversos termos e conceitos utilizados na Internet,
aborda os riscos de uso desta tecnologia e fornece uma s erie de dicas e cuidados a serem tomados
pelos usu arios para se protegerem destas ameacas.
A produc ao desta Cartilha foi feita pelo Centro de Estudos, Resposta e Tratamento de Incidentes
de Seguranca no Brasil (CERT.br), que e um dos servicos prestados para a comunidade Internet do
Brasil pelo N ucleo de Informac ao e Coordenac ao do Ponto BR (NIC.br), o braco executivo do Comit e
Gestor da Internet no Brasil (CGI.br).
N os esperamos que esta Cartilha possa auxili a-lo n ao s o a compreender as ameacas do ambiente
Internet, mas tamb em a usufruir dos benefcios de forma consciente e a manter a seguranca de seus
dados, computadores e dispositivos m oveis. Gostaramos ainda de ressaltar que e muito importante
car sempre atento ao usar a Internet, pois somente aliando medidas t ecnicas a boas pr aticas e possvel
atingir um nvel de seguranca que permita o pleno uso deste ambiente.
Caso voc e tenha alguma sugest ao para este documento ou encontre algum erro, por favor, entre
em contato por meio do endereco doc@cert.br.
Boa leitura!
Equipe do CERT.br
Junho de 2012
Estrutura da Cartilha
Este documento conta com quatorze captulos, que dividem o conte udo em diferentes areas rela-
cionadas com a seguranca da Internet, al em de um gloss ario e um ndice remissivo.
De forma geral, o Captulo 1 apresenta uma introduc ao sobre a import ancia de uso da Internet, os
riscos a que os usu arios est ao sujeitos e os cuidados a serem tomados. Do Captulo 2 ao 6 os riscos
s ao apresentados de forma mais detalhada, enquanto que do Captulo 7 ao 14 o foco principal s ao os
cuidados a serem tomados e os mecanismos de seguranca existentes.
1. Seguranca na Internet: Trata dos benefcios que a Internet pode trazer na realizac ao de atividades
cotidianas e descreve, de forma geral, os riscos relacionados ao seu uso. Procura tamb em
esclarecer que a Internet n ao tem nada de virtual e que os cuidados a serem tomados ao
us a-la s ao semelhantes aos que se deve ter no dia a dia.
iii
iv Cartilha de Seguranca para Internet
2. Golpes na Internet: Apresenta os principais golpes aplicados na Internet, os riscos que estes gol-
pes representam e os cuidados que devem ser tomados para se proteger deles.
3. Ataques na Internet: Aborda os ataques que costumam ser realizados por meio da Internet, as
motivac oes que levam os atacantes a praticar atividades deste tipo e as t ecnicas que costumam
ser utilizadas. Ressalta a import ancia de cada um fazer a sua parte para que a seguranca geral
da Internet possa ser melhorada.
4. C odigos maliciosos (Malware): Aborda os diferentes tipos de c odigos maliciosos, as diversas for-
mas de infecc ao e as principais ac oes danosas e atividades maliciosas por eles executadas.
Apresenta tamb em um resumo comparativo para facilitar a classicac ao dos diferentes tipos.
5. Spam: Discute os problemas acarretados pelo spam, principalmente aqueles que possam ter im-
plicac oes de seguranca, e m etodos de prevenc ao.
6. Outros riscos: Aborda alguns dos servicos e recursos de navegac ao incorporados a grande maioria
dos navegadores Web e leitores de e-mails, os riscos que eles podem representar e os cuidados
que devem ser tomados ao utiliz a-los. Trata tamb em dos riscos apresentados e dos cuidados a
serem tomados ao compartilhar recursos na Internet.
7. Mecanismos de seguranca: Apresenta os principais mecanismos de seguranca existentes e os cui-
dados que devemser tomados ao utiliz a-los. Ressalta a import ancia de utilizac ao de ferramentas
de seguranca aliada a uma postura preventiva.
8. Contas e senhas: Aborda o principal mecanismo de autenticac ao usado na Internet que s ao as
contas e as senhas. Inclui dicas de uso, elaborac ao, gerenciamento, alterac ao e recuperac ao,
entre outras.
9. Criptograa: Apresenta alguns conceitos de criptograa, como func oes de resumo, assinatura
digital, certicado digital e as chaves sim etricas e assim etricas. Trata tamb em dos cuidados que
devem ser tomados ao utiliz a-la.
10. Uso seguro da Internet: Apresenta, de forma geral, os principais usos que s ao feitos da Internet
e os cuidados que devem ser tomados ao utiliz a-los. Aborda quest oes referentes a seguranca
nas conex oes Web especialmente as envolvem o uso de certicados digitais.
11. Privacidade: Discute quest oes relacionadas ` a privacidade do usu ario ao utilizar a Internet e aos
cuidados que ele deve ter com seus dados pessoais. Apresenta detalhadamente dicas referentes
a disponibilizac ao de informac oes pessoais nas redes sociais.
12. Seguranca de computadores: Apresenta os principais cuidados que devem ser tomados ao usar
computadores, tanto pessoais como de terceiros. Ressalta a import ancia de manter os compu-
tadores atualizados e com mecanismos de protec ao instalados.
13. Seguranca de redes: Apresenta os riscos relacionados ao uso das principais tecnologias de aces-
so ` a Internet, como banda larga (xa e m ovel), Wi-Fi e Bluetooth.
14. Seguranca em dispositivos m oveis: Aborda os riscos relacionados ao uso de dispositivos m o-
veis e procura demonstrar que eles s ao similares aos computadores e que, por isto, necessitam
dos mesmos cuidados de seguranca.
v
Licenca de Uso da Cartilha
A Cartilha de Seguranca para Internet e disponibilizada sob a licenca Creative Commons Atribui-
c ao-Uso n ao-comercial-Vedada a criac ao de obras derivadas 3.0 Brasil (CC BY-NC-ND 3.0).
A licenca completa est a disponvel em: http://cartilha.cert.br/cc/.
Hist orico da Cartilha
No incio de 2000, um grupo de estudos que, entre outros, envolveu a Abranet e o CERT.br (que
` a epoca chamava-se NBSO NIC BR Security Ofce), identicou a necessidade de um guia com
informac oes sobre seguranca que pudesse ser usado como refer encia pelos diversos setores usu arios
de Internet. Como conseq u encia, a pedido do Comit e Gestor da Internet no Brasil e sob supervis ao
do CERT.br, em julho do mesmo ano foi lancada a Cartilha de Seguranca para Internet Vers ao 1.0.
Em 2003 foi vericada a necessidade de uma revis ao geral do documento, que n ao s o inclusse
novos t opicos, mas que tamb em facilitasse sua leitura e a localizac ao de assuntos especcos. Neste
processo de revis ao a Cartilha foi completamente reescrita, dando origem ` a vers ao 2.0. Esta vers ao, a
primeira totalmente sob responsabilidade do CERT.br, possua estrutura dividida em partes, al em de
contar com o checklist e o gloss ario. Tamb em nesta vers ao foram introduzidas as sec oes relativas a
fraudes na Internet, banda larga, redes sem o, spam e incidentes de seguranca.
Na vers ao 3.0, de 2005, a Cartilha continuou com sua estrutura, mas, devido ` a evoluc ao da tec-
nologia, novos assuntos foram includos. Foi criada uma parte especca sobre c odigos maliciosos,
expandida a parte sobre seguranca de redes sem o e includos t opicos especcos sobre seguranca
em dispositivos m oveis. Esta vers ao tamb em foi a primeira a disponibilizar um folheto com as dicas
b asicas para protec ao contra as ameacas mais comuns.
A vers ao 3.1 n ao introduziu partes novas, mas incorporou diversas sugest oes de melhoria recebi-
das, corrigiu alguns erros de digitac ao e atendeu a um pedido de muitos leitores: lanc a-la em formato
de livro, para facilitar a leitura e a impress ao do conte udo completo.
Em 2012 foi vericada novamente a necessidade de revis ao geral do documento, o que deu origem
` a vers ao 4.0. Com o uso crescente da Internet e das redes sociais, impulsionado principalmente
pela popularizac ao dos dispositivos m oveis e facilidades de conex ao, constatou-se a necessidade de
abordar novos conte udos e agrupar os assuntos de maneira diferente. Esta vers ao conta com um livro
com todo o conte udo que, com o objetivo de facilitar a leitura e torn a-la mais agrad avel, e totalmente
ilustrado. Este livro, por sua vez, e complementado por fascculos com vers oes resumidas de alguns
dos t opicos, de forma a facilitar a difus ao de conte udos especcos.
Agradecimentos
Agradecemos a todos leitores da Cartilha, que t emcontribudo para a elaborac ao deste documento,
enviando coment arios, crticas, sugest oes ou revis oes.
Agradecemos as contribuic oes de Rafael Rodrigues Obelheiro, na vers ao 3.0, e de Nelson Murilo,
na Parte V da vers ao 3.1 e no Captulo 13 da atual vers ao.
Agradecemos a toda equipe do CERT.br, especialmente a Luiz E. R. Cordeiro, pelo texto da
primeira vers ao; a Marcelo H. P. C. Chaves, pela produc ao das vers oes 2.0, 3.0 e 3.1 e pela criac ao
das guras da atual vers ao; a Lucimara Desider a, pelas pesquisas realizadas, pela contribuic ao nos
Captulos 9 e 13 e tamb em pela pela criac ao das guras da atual vers ao; e a Miriam von Zuben, pela
produc ao da vers ao 4.0 e por ser a principal mantenedora da Cartilha.
vii
Sum ario
Pref acio iii
Agradecimentos vii
Lista de Figuras xiii
Lista de Tabelas xiii
1 Seguranca na Internet 1
2 Golpes na Internet 5
2.1 Furto de identidade (Identity theft) . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
2.2 Fraude de antecipac ao de recursos (Advance fee fraud) . . . . . . . . . . . . . . . . 7
2.3 Phishing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
2.3.1 Pharming . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
2.4 Golpes de com ercio eletr onico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2.4.1 Golpe do site de com ercio eletr onico fraudulento . . . . . . . . . . . . . . . 12
2.4.2 Golpe envolvendo sites de compras coletivas . . . . . . . . . . . . . . . . . 13
2.4.3 Golpe do site de leil ao e venda de produtos . . . . . . . . . . . . . . . . . . 14
2.5 Boato (Hoax) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
2.6 Prevenc ao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
3 Ataques na Internet 17
3.1 Explorac ao de vulnerabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
3.2 Varredura em redes (Scan) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
3.3 Falsicac ao de e-mail (E-mail spoong) . . . . . . . . . . . . . . . . . . . . . . . . 18
3.4 Interceptac ao de tr afego (Snifng) . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
ix
x Cartilha de Seguranca para Internet
3.5 Forca bruta (Brute force) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
3.6 Desgurac ao de p agina (Defacement) . . . . . . . . . . . . . . . . . . . . . . . . . 21
3.7 Negac ao de servico (DoS e DDoS) . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
3.8 Prevenc ao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
4 C odigos maliciosos (Malware) 23
4.1 Vrus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
4.2 Worm . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
4.3 Bot e botnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
4.4 Spyware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
4.5 Backdoor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
4.6 Cavalo de troia (Trojan) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
4.7 Rootkit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
4.8 Prevenc ao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
4.9 Resumo comparativo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
5 Spam 33
5.1 Prevenc ao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
6 Outros riscos 39
6.1 Cookies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
6.2 C odigos m oveis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
6.3 Janelas de pop-up . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
6.4 Plug-ins, complementos e extens oes . . . . . . . . . . . . . . . . . . . . . . . . . . 42
6.5 Links patrocinados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
6.6 Banners de propaganda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
6.7 Programas de distribuic ao de arquivos (P2P) . . . . . . . . . . . . . . . . . . . . . . 44
6.8 Compartilhamento de recursos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
7 Mecanismos de seguranca 47
7.1 Poltica de seguranca . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
7.2 Noticac ao de incidentes e abusos . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
7.3 Contas e senhas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Sum ario xi
7.4 Criptograa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
7.5 C opias de seguranca (Backups) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
7.6 Registro de eventos (Logs) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
7.7 Ferramentas antimalware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
7.8 Firewall pessoal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
7.9 Filtro antispam . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
7.10 Outros mecanismos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
8 Contas e senhas 59
8.1 Uso seguro de contas e senhas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
8.2 Elaborac ao de senhas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
8.3 Alterac ao de senhas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
8.4 Gerenciamento de contas e senhas . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
8.5 Recuperac ao de senhas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
9 Criptograa 67
9.1 Criptograa de chave sim etrica e de chaves assim etricas . . . . . . . . . . . . . . . 68
9.2 Func ao de resumo (Hash) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
9.3 Assinatura digital . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
9.4 Certicado digital . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
9.5 Programas de criptograa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
9.6 Cuidados a serem tomados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
10 Uso seguro da Internet 75
10.1 Seguranca em conex oes Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
10.1.1 Tipos de conex ao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
10.1.2 Como vericar se um certicado digital e con avel . . . . . . . . . . . . . . 82
11 Privacidade 85
11.1 Redes sociais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
12 Seguranca de computadores 93
12.1 Administrac ao de contas de usu arios . . . . . . . . . . . . . . . . . . . . . . . . . . 98
12.2 O que fazer se seu computador for comprometido . . . . . . . . . . . . . . . . . . . 99
xii Cartilha de Seguranca para Internet
12.3 Cuidados ao usar computadores de terceiros . . . . . . . . . . . . . . . . . . . . . . 100
13 Seguranca de redes 101
13.1 Cuidados gerais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
13.2 Wi-Fi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
13.3 Bluetooth . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
13.4 Banda larga xa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
13.5 Banda Larga M ovel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
14 Seguranca em dispositivos m oveis 107
Gloss ario 111
Indice Remissivo 123

Lista de Figuras
9.1 Exemplos de certicados digitais. . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
9.2 Cadeia de certicados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
10.1 Conex ao n ao segura em diversos navegadores. . . . . . . . . . . . . . . . . . . . . . 79
10.2 Conex ao segura em diversos navegadores. . . . . . . . . . . . . . . . . . . . . . . . 80
10.3 Conex ao segura usando EV SSL em diversos navegadores. . . . . . . . . . . . . . . 80
10.4 Conex ao HTTPS com cadeia de certicac ao n ao reconhecida. . . . . . . . . . . . . 81
10.5 Uso combinado de conex ao segura e n ao segura. . . . . . . . . . . . . . . . . . . . . 81
10.6 Alerta de certicado n ao con avel em diversos navegadores. . . . . . . . . . . . . . 82
Lista de Tabelas
2.1 Exemplos de t opicos e temas de mensagens de phishing. . . . . . . . . . . . . . . . 10
4.1 Resumo comparativo entre os c odigos maliciosos. . . . . . . . . . . . . . . . . . . . 31
9.1 Termos empregados em criptograa e comunicac oes via Internet. . . . . . . . . . . . 68
xiii
1. Seguranca na Internet
A Internet j a est a presente no cotidiano de grande parte da populac ao e, provavelmente para estas
pessoas, seria muito difcil imaginar como seria a vida sem poder usufruir das diversas facilidades e
oportunidades trazidas por esta tecnologia. Por meio da Internet voc e pode:
encontrar antigos amigos, fazer novas amizades, encontrar pessoas que compartilham seus gos-
tos e manter contato com amigos e familiares distantes;
acessar sites de notcias e de esportes, participar de cursos ` a dist ancia, pesquisar assuntos de
interesse e tirar d uvidas em listas de discuss ao;
efetuar servicos banc arios, como transfer encias, pagamentos de contas e vericac ao de extratos;
fazer compras em supermercados e em lojas de com ercio eletr onico, pesquisar precos e vericar
a opini ao de outras pessoas sobre os produtos ou servicos ofertados por uma determinada loja;
acessar sites dedicados a brincadeiras, passatempos e hist orias em quadrinhos, al em de grande
variedade de jogos, para as mais diversas faixas et arias;
enviar a sua declarac ao de Imposto de Renda, emitir boletim de ocorr encia, consultar os pontos
em sua carteira de habilitac ao e agendar a emiss ao de passaporte;
1
2 Cartilha de Seguranca para Internet
consultar a programac ao das salas de cinema, vericar a agenda de espet aculos teatrais, expo-
sic oes e shows e adquirir seus ingressos antecipadamente;
consultar acervos de museus e sites dedicados ` a obra de grandes artistas, onde e possvel co-
nhecer a biograa e as t ecnicas empregadas por cada um.
Estes s ao apenas alguns exemplos de como voc e pode utilizar a Internet para facilitar e melhorar a
sua vida. Aproveitar esses benefcios de forma segura, entretanto, requer que alguns cuidados sejam
tomados e, para isto, e importante que voc e esteja informado dos riscos aos quais est a exposto para
que possa tomar as medidas preventivas necess arias. Alguns destes riscos s ao:
Acesso a conte udos impr oprios ou ofensivos: ao navegar voc e pode se deparar com p aginas que
contenham pornograa, que atentem contra a honra ou que incitem o odio e o racismo.
Contato com pessoas mal-intencionadas: existem pessoas que se aproveitam da falsa sensac ao de
anonimato da Internet para aplicar golpes, tentar se passar por outras pessoas e cometer crimes
como, por exemplo, estelionato, pornograa infantil e sequestro.
Furto de identidade: assim como voc e pode ter contato direto com impostores, tamb em pode ocor-
rer de algu em tentar se passar por voc e e executar ac oes em seu nome, levando outras pessoas
a acreditarem que est ao se relacionando com voc e, e colocando em risco a sua imagem ou
reputac ao.
Furto e perda de dados: os dados presentes em seus equipamentos conectados ` a Internet podem ser
furtados e apagados, pela ac ao de ladr oes, atacantes e c odigos maliciosos.
Invas ao de privacidade: a divulgac ao de informac oes pessoais pode comprometer a sua privacidade,
de seus amigos e familiares e, mesmo que voc e restrinja o acesso, n ao h a como controlar que
elas n ao ser ao repassadas. Al em disto, os sites costumam ter polticas pr oprias de privacidade
e podem alter a-las sem aviso pr evio, tornando p ublico aquilo que antes era privado.
Divulgac ao de boatos: as informac oes na Internet podem se propagar rapidamente e atingir um
grande n umero de pessoas em curto perodo de tempo. Enquanto isto pode ser desej avel em
certos casos, tamb em pode ser usado para a divulgac ao de informac oes falsas, que podem gerar
p anico e prejudicar pessoas e empresas.
Diculdade de exclus ao: aquilo que e divulgado na Internet nem sempre pode ser totalmente ex-
cludo ou ter o acesso controlado. Uma opini ao dada em um momento de impulso pode car
acessvel por tempo indeterminado e pode, de alguma forma, ser usada contra voc e e acessada
por diferentes pessoas, desde seus familiares at e seus chefes.
Diculdade de detectar e expressar sentimentos: quando voc e se comunica via Internet n ao h a
como observar as express oes faciais ou o tom da voz das outras pessoas, assim como elas
n ao podem observar voc e (a n ao ser que voc es estejam utilizando webcams e microfones). Isto
pode dicultar a percepc ao do risco, gerar mal-entendido e interpretac ao d ubia.
Diculdade de manter sigilo: no seu dia a dia e possvel ter uma conversa condencial com algu em
e tomar cuidados para que ningu em mais tenha acesso ao que est a sendo dito. Na Internet, caso
n ao sejam tomados os devidos cuidados, as informac oes podem trafegar ou car armazenadas
de forma que outras pessoas tenham acesso ao conte udo.
1. Seguranca na Internet 3
Uso excessivo: o uso desmedido da Internet, assim como de outras tecnologias, pode colocar em
risco a sua sa ude fsica, diminuir a sua produtividade e afetar a sua vida social ou prossional.
Pl agio e violac ao de direitos autorais: a c opia, alterac ao ou distribuic ao n ao autorizada de conte u-
dos e materiais protegidos pode contrariar a lei de direitos autorais e resultar em problemas
jurdicos e em perdas nanceiras.
Outro grande risco relacionado ao uso da Internet e o de voc e achar que n ao corre riscos, pois
sup oe que ningu em tem interesse em utilizar o seu computador
1
ou que, entre os diversos computa-
dores conectados ` a Internet, o seu dicilmente ser a localizado.

E justamente este tipo de pensamento
que e explorado pelos atacantes, pois, ao se sentir seguro, voc e pode achar que n ao precisa se prevenir.
Esta ilus ao, infelizmente, costuma terminar quando os primeiros problemas comecam a acontecer.
Muitas vezes os atacantes est ao interessados em conseguir acesso a grandes quantidades de compu-
tadores, independente de quais s ao, e para isto, podem efetuar varreduras na rede e localizar grande
parte dos computadores conectados ` a Internet, inclusive o seu.
Um problema de seguranca em seu computador pode torn a-lo indisponvel e colocar em risco a
condencialidade e a integridade dos dados nele armazenados. Al em disto, ao ser comprometido,
seu computador pode ser usado para a pr atica de atividades maliciosas como, por exemplo, servir de
reposit orio para dados fraudulentos, lancar ataques contra outros computadores (e assim esconder a
real identidade e localizac ao do atacante), propagar c odigos maliciosos e disseminar spam.
Os principais riscos relacionados ao uso da Internet s ao detalhados nos Captulos: Golpes na
Internet, Ataques na Internet, C odigos maliciosos (Malware), Spam e Outros riscos.
O primeiro passo para se prevenir dos riscos relacionados ao uso da Internet e estar ciente de que
ela n ao tem nada de virtual. Tudo o que ocorre ou e realizado por meio da Internet e real: os dados
s ao reais e as empresas e pessoas com quem voc e interage s ao as mesmas que est ao fora dela. Desta
forma, os riscos aos quais voc e est a exposto ao us a-la s ao os mesmos presentes no seu dia a dia e os
golpes que s ao aplicados por meio dela s ao similares ` aqueles que ocorrem na rua ou por telefone.
E preciso, portanto, que voc e leve para a Internet os mesmos cuidados e as mesmas preocupac oes
que voc e tem no seu dia a dia, como por exemplo: visitar apenas lojas con aveis, n ao deixar p ublicos
dados sensveis, car atento quando for ao banco ou zer compras, n ao passar informac oes a
estranhos, n ao deixar a porta da sua casa aberta, etc.
Para tentar reduzir os riscos e se proteger e importante que voc e adote uma postura preventiva e
que a atenc ao com a seguranca seja um h abito incorporado ` a sua rotina, independente de quest oes
como local, tecnologia ou meio utilizado. Para ajud a-lo nisto, h a diversos mecanismos de seguranca
que voc e pode usar e que s ao detalhados nos Captulos: Mecanismos de seguranca, Contas e senhas e
Criptograa.
Outros cuidados, relativos ao uso da Internet, como aqueles que voc e deve tomar para manter a
sua privacidade e ao utilizar redes e dispositivos m oveis, s ao detalhados nos demais Captulos: Uso
seguro da Internet, Privacidade, Seguranca de computadores, Seguranca de redes e Seguranca em
dispositivos m oveis.
1
Nesta Cartilha a palavra computador ser a usada para se referir a todos os dispositivos computacionais passveis de
invas ao e/ou de infecc ao por c odigos maliciosos, como computadores e dispositivos m oveis.
2. Golpes na Internet
Normalmente, n ao e uma tarefa simples atacar e fraudar dados em um servidor de uma institui-
c ao banc aria ou comercial e, por este motivo, golpistas v em concentrando esforcos na explorac ao de
fragilidades dos usu arios. Utilizando t ecnicas de engenharia social e por diferentes meios e discursos,
os golpistas procuram enganar e persuadir as potenciais vtimas a fornecerem informac oes sensveis
ou a realizarem ac oes, como executar c odigos maliciosos e acessar p aginas falsas.
De posse dos dados das vtimas, os golpistas costumam efetuar transac oes nanceiras, acessar
sites, enviar mensagens eletr onicas, abrir empresas fantasmas e criar contas banc arias ilegtimas,
entre outras atividades maliciosas.
Muitos dos golpes aplicados na Internet podem ser considerados crimes contra o patrim onio,
tipicados como estelionato. Dessa forma, o golpista pode ser considerado um estelionat ario.
Nas pr oximas sec oes s ao apresentados alguns dos principais golpes aplicados na Internet e alguns
cuidados que voc e deve tomar para se proteger deles.
5
2.1 Furto de identidade (Identity theft)
O furto de identidade, ou identity theft, e o ato pelo qual uma pessoa tenta se passar por outra,
atribuindo-se uma falsa identidade, com o objetivo de obter vantagens indevidas. Alguns casos de
furto de identidade podem ser considerados como crime contra a f e p ublica, tipicados como falsa
identidade.
No seu dia a dia, sua identidade pode ser furtada caso, por exemplo, algu em abra uma empresa ou
uma conta banc aria usando seu nome e seus documentos. Na Internet isto tamb em pode ocorrer, caso
algu em crie um perl em seu nome em uma rede social, acesse sua conta de e-mail e envie mensagens
se passando por voc e ou falsique os campos de e-mail, fazendo parecer que ele foi enviado por voc e.
Quanto mais informac oes voc e disponibiliza sobre a sua vida e rotina, mais f acil se torna para
um golpista furtar a sua identidade, pois mais dados ele tem disponveis e mais convincente ele pode
ser. Al em disto, o golpista pode usar outros tipos de golpes e ataques para coletar informac oes sobre
voc e, inclusive suas senhas, como c odigos maliciosos (mais detalhes no Captulo C odigos maliciosos
(Malware)), ataques de forca bruta e interceptac ao de tr afego (mais detalhes no Captulo Ataques na
Internet).
Caso a sua identidade seja furtada, voc e poder a arcar com consequ encias como perdas nanceiras,
perda de reputac ao e falta de cr edito. Al em disto, pode levar muito tempo e ser bastante desgastante
at e que voc e consiga reverter todos os problemas causados pelo impostor.
Prevenc ao:
A melhor forma de impedir que sua identidade seja furtada e evitar que o impostor tenha acesso
aos seus dados e ` as suas contas de usu ario (mais detalhes no Captulo Privacidade). Al em disto,
para evitar que suas senhas sejam obtidas e indevidamente usadas, e muito importante que voc e seja
cuidadoso, tanto ao us a-las quanto ao elabor a-las (mais detalhes no Captulo Contas e senhas).
E necess ario tamb em que voc e que atento a alguns indcios que podem demonstrar que sua
identidade est a sendo indevidamente usada por golpistas, tais como:
voc e comeca a ter problemas com org aos de protec ao de cr edito;
voc e recebe o retorno de e-mails que n ao foram enviados por voc e;
voc e verica nas noticac oes de acesso que a sua conta de e-mail ou seu perl na rede social
foi acessado em hor arios ou locais em que voc e pr oprio n ao estava acessando;
ao analisar o extrato da sua conta banc aria ou do seu cart ao de cr edito voc e percebe transac oes
que n ao foram realizadas por voc e;
voc e recebe ligac oes telef onicas, correspond encias e e-mails se referindo a assuntos sobre os
quais voc e n ao sabe nada a respeito, como uma conta banc aria que n ao lhe pertence e uma
compra n ao realizada por voc e.
2. Golpes na Internet 7
2.2 Fraude de antecipac ao de recursos (Advance fee fraud)
A fraude de antecipac ao de recursos, ou advance fee fraud, e aquela na qual um golpista procura
induzir uma pessoa a fornecer informac oes condenciais ou a realizar um pagamento adiantado, com
a promessa de futuramente receber algum tipo de benefcio.
Por meio do recebimento de mensagens eletr onicas ou do acesso a sites fraudulentos, a pessoa
e envolvida em alguma situac ao ou hist oria mirabolante, que justique a necessidade de envio de
informac oes pessoais ou a realizac ao de algum pagamento adiantado, para a obtenc ao de um benef-
cio futuro. Ap os fornecer os recursos solicitados a pessoa percebe que o tal benefcio prometido n ao
existe, constata que foi vtima de um golpe e que seus dados/dinheiro est ao em posse de golpistas.
O Golpe da Nig eria (Nigerian 4-1-9 Scam
1
) e um dos tipos de fraude de antecipac ao de recursos
mais conhecidos e e aplicado, geralmente, da seguinte forma:
a. Voc e recebe uma mensagem eletr onica em nome de algu em ou de alguma instituic ao dizendo-
se ser da Nig eria, na qual e solicitado que voc e atue como intermedi ario em uma transfer encia
internacional de fundos;
b. o valor citado na mensagem e absurdamente alto e, caso voc e aceite intermediar a transac ao,
recebe a promessa de futuramente ser recompensado com uma porcentagem deste valor;
c. o motivo, descrito na mensagem, pelo qual voc e foi selecionado para participar da transac ao
geralmente e a indicac ao de algum funcion ario ou amigo que o apontou como sendo uma pessoa
honesta, con avel e merecedora do tal benefcio;
d. a mensagem deixa claro que se trata de uma transfer encia ilegal e, por isto, solicita sigilo
absoluto e urg encia na resposta, caso contr ario, a pessoa procurar a por outro parceiro e voc e
perder a a oportunidade;
e. ap os responder a mensagem e aceitar a proposta, os golpistas solicitam que voc e pague anteci-
padamente uma quantia bem elevada (por em bem inferior ao total que lhe foi prometido) para
arcar com custos, como advogados e taxas de transfer encia de fundos;
f. ap os informar os dados e efetivar o pagamento solicitado, voc e e informado que necessita rea-
lizar novos pagamentos ou perde o contato com os golpistas;
g. nalmente, voc e percebe que, al em de perder todo o dinheiro investido, nunca ver a a quantia
prometida como recompensa e que seus dados podem estar sendo indevidamente usados.
Apesar deste golpe ter cado conhecido como sendo da Nig eria, j a foram registrados diversos
casos semelhantes, originados ou que mencionavam outros pases, geralmente de regi oes pobres ou
que estejam passando por conitos polticos, econ omicos ou raciais.
A fraude de antecipac ao de recursos possui diversas variac oes que, apesar de apresentarem dife-
rentes discursos, assemelham-se pela forma como s ao aplicadas e pelos danos causados. Algumas
destas variac oes s ao:
1
O n umero 419 refere-se ` a sec ao do C odigo Penal da Nig eria equivalente ao artigo 171 do C odigo Penal Brasileiro,
ou seja, estelionato.
Loteria internacional: voc e recebe um e-mail informando que foi sorteado em uma loteria interna-
cional, mas que para receber o pr emio a que tem direito, precisa fornecer seus dados pessoais e
informac oes sobre a sua conta banc aria.
Cr edito f acil: voc e recebe um e-mail contendo uma oferta de empr estimo ou nanciamento com
taxas de juros muito inferiores ` as praticadas no mercado. Ap os o seu cr edito ser supostamente
aprovado voc e e informado que necessita efetuar um dep osito banc ario para o ressarcimento
das despesas.
Doac ao de animais: voc e deseja adquirir um animal de uma raca bastante cara e, ao pesquisar por
possveis vendedores, descobre que h a sites oferecendo estes animais para doac ao. Ap os entrar
em contato, e solicitado que voc e envie dinheiro para despesas de transporte.
Oferta de emprego: voc e recebe uma mensagem em seu celular contendo uma proposta tentadora
de emprego. Para efetivar a contratac ao, no entanto, e necess ario que voc e informe detalhes de
sua conta banc aria.
Noiva russa: algu em deixa um recado em sua rede social contendo insinuac oes sobre um possvel
relacionamento amoroso entre voc es. Esta pessoa mora em outro pas, geralmente a R ussia, e
ap os alguns contatos iniciais sugere que voc es se encontrem pessoalmente, mas, para que ela
possa vir at e o seu pas, necessita ajuda nanceira para as despesas de viagem.
Prevenc ao:
A melhor forma de se prevenir e identicar as mensagens contendo tentativas de golpes. Uma
mensagem deste tipo, geralmente, possui caractersticas como:
oferece quantias astron omicas de dinheiro;
solicita sigilo nas transac oes;
solicita que voc e a responda rapidamente;
apresenta palavras como urgente e condencial no campo de assunto;
apresenta erros gramaticais e de ortograa (muitas mensagens s ao escritas por meio do uso de
programas tradutores e podem apresentar erros de traduc ao e de concord ancia).
Al em disto, adotar uma postura preventiva pode, muitas vezes, evitar que voc e seja vtima de
golpes. Por isto, e muito importante que voc e:
questione-se por que justamente voc e, entre os in umeros usu arios da Internet, foi escolhido para
receber o benefcio proposto na mensagem e como chegaram at e voc e;
descone de situac oes onde e necess ario efetuar algum pagamento com a promessa de futura-
mente receber um valor maior (pense que, em muitos casos, as despesas poderiam ser descon-
tadas do valor total).
Aplicar a sabedoria popular de ditados como Quando a esmola e demais, o santo descona ou
Tudo que vem f acil, vai f acil, tamb em pode ajud a-lo nesses casos.
Vale alertar que mensagens deste tipo nunca devem ser respondidas, pois isto pode servir para
conrmar que o seu endereco de e-mail e v alido. Esta informac ao pode ser usada, por exemplo, para
inclu-lo em listas de spam ou de possveis vtimas em outros tipos de golpes.
2.3 Phishing
Phishing
2
, phishing-scam ou phishing/scam, e o tipo de
fraude por meio da qual um golpista tenta obter dados pessoais
e nanceiros de um usu ario, pela utilizac ao combinada de meios
t ecnicos e engenharia social.
O phishing ocorre por meio do envio de mensagens eletr onicas que:
tentam se passar pela comunicac ao ocial de uma instituic ao conhecida, como um banco, uma
empresa ou um site popular;
procuram atrair a atenc ao do usu ario, seja por curiosidade, por caridade ou pela possibilidade
de obter alguma vantagem nanceira;
informam que a n ao execuc ao dos procedimentos descritos pode acarretar s erias consequ encias,
como a inscric ao em servicos de protec ao de cr edito e o cancelamento de um cadastro, de uma
conta banc aria ou de um cart ao de cr edito;
tentam induzir o usu ario a fornecer dados pessoais e nanceiros, por meio do acesso a p aginas
falsas, que tentam se passar pela p agina ocial da instituic ao; da instalac ao de c odigos malicio-
sos, projetados para coletar informac oes sensveis; e do preenchimento de formul arios contidos
na mensagem ou em p aginas Web.
Para atrair a atenc ao do usu ario as mensagens apresentam diferentes t opicos e temas, normalmente
explorando campanhas de publicidade, servicos, a imagem de pessoas e assuntos em destaque no
momento, como exemplicado na Tabela 2.1
3
. Exemplos de situac oes envolvendo phishing s ao:
P aginas falsas de com ercio eletr onico ou Internet Banking: voc e recebe um e-mail, em nome de
um site de com ercio eletr onico ou de uma instituic ao nanceira, que tenta induzi-lo a clicar em
um link. Ao fazer isto, voc e e direcionado para uma p agina Web falsa, semelhante ao site que
voc e realmente deseja acessar, onde s ao solicitados os seus dados pessoais e nanceiros.
P aginas falsas de redes sociais ou de companhias a ereas: voc e recebe uma mensagem contendo
um link para o site da rede social ou da companhia a erea que voc e utiliza. Ao clicar, voc e
e direcionado para uma p agina Web falsa onde e solicitado o seu nome de usu ario e a sua se-
nha que, ao serem fornecidos, ser ao enviados aos golpistas que passar ao a ter acesso ao site e
poder ao efetuar ac oes em seu nome, como enviar mensagens ou emitir passagens a ereas.
Mensagens contendo formul arios: voc e recebe uma mensagem eletr onica contendo um formul a-
rio com campos para a digitac ao de dados pessoais e nanceiros. A mensagem solicita que
voc e preencha o formul ario e apresenta um bot ao para conrmar o envio das informac oes. Ao
preencher os campos e conrmar o envio, seus dados s ao transmitidos para os golpistas.
Mensagens contendo links para c odigos maliciosos: voc e recebe um e-mail que tenta induzi-lo a
clicar em um link, para baixar e abrir/executar um arquivo. Ao clicar, e apresentada uma men-
sagem de erro ou uma janela pedindo que voc e salve o arquivo. Ap os salvo, quando voc e
abri-lo/execut a-lo, ser a instalado um c odigo malicioso em seu computador.
2
A palavra phishing, do ingl es shing, vem de uma analogia criada pelos fraudadores, onde iscas (mensagens
eletr onicas) s ao usadas para pescar senhas e dados nanceiros de usu arios da Internet.
3
Esta lista n ao e exaustiva e nem se aplica a todos os casos, pois ela pode variar conforme o destaque do momento.
Solicitac ao de recadastramento: voc e recebe uma mensagem, supostamente enviada pelo grupo de
suporte da instituic ao de ensino que frequenta ou da empresa em que trabalha, informando que
o servico de e-mail est a passando por manutenc ao e que e necess ario o recadastramento. Para
isto, e preciso que voc e forneca seus dados pessoais, como nome de usu ario e senha.
T opico Tema da mensagem
Albuns de fotos e vdeos pessoa supostamente conhecida, celebridades

algum fato noticiado em jornais, revistas ou televis ao
traic ao, nudez ou pornograa, servico de acompanhantes
Antivrus atualizac ao de vacinas, eliminac ao de vrus
lancamento de nova vers ao ou de novas funcionalidades
Associac oes assistenciais AACD Teleton, Click Fome, Crianca Esperanca
Avisos judiciais intimac ao para participac ao em audi encia
comunicado de protesto, ordem de despejo
Cart oes de cr edito programa de delidade, promoc ao
Cart oes virtuais UOL, Voxcards, Yahoo! Cart oes, O Carteiro, Emotioncard
Com ercio eletr onico cobranca de d ebitos, conrmac ao de compra
atualizac ao de cadastro, devoluc ao de produtos
oferta em site de compras coletivas
Companhias a ereas promoc ao, programa de milhagem
Eleic oes ttulo eleitoral cancelado, convocac ao para mes ario
Empregos cadastro e atualizac ao de currculos, processo seletivo em aberto
Imposto de renda nova vers ao ou correc ao de programa
consulta de restituic ao, problema nos dados da declarac ao
Internet Banking unicac ao de bancos e contas, suspens ao de acesso
atualizac ao de cadastro e de cart ao de senhas
lancamento ou atualizac ao de m odulo de seguranca
comprovante de transfer encia e dep osito, cadastramento de computador
Multas e infrac oes de tr ansito aviso de recebimento, recurso, transfer encia de pontos
M usicas canc ao dedicada por amigos
Notcias e boatos fato amplamente noticiado, ataque terrorista, trag edia natural
Pr emios loteria, instituic ao nanceira
Programas em geral lancamento de nova vers ao ou de novas funcionalidades
Promoc oes vale-compra, assinatura de jornal e revista
desconto elevado, preco muito reduzido, distribuic ao gratuita
Propagandas produto, curso, treinamento, concurso
Reality shows Big Brother Brasil, A Fazenda,

Idolos
Redes sociais noticac ao pendente, convite para participac ao
aviso sobre foto marcada, permiss ao para divulgac ao de foto
Servicos de Correios recebimento de telegrama online
Servicos de e-mail recadastramento, caixa postal lotada, atualizac ao de banco de dados
Servicos de protec ao de cr edito regularizac ao de d ebitos, restric ao ou pend encia nanceira
Servicos de telefonia recebimento de mensagem, pend encia de d ebito
bloqueio de servicos, detalhamento de fatura, cr editos gratuitos
Sites com dicas de seguranca aviso de conta de e-mail sendo usada para envio de spam (Antispam.br)
cartilha de seguranca (CERT.br, FEBRABAN, Abranet, etc.)
Solicitac oes orcamento, documento, relat orio, cotac ao de precos, lista de produtos
Tabela 2.1: Exemplos de t opicos e temas de mensagens de phishing.
Prevenc ao:
que atento a mensagens, recebidas em nome de alguma instituic ao, que tentem induzi-lo a
fornecer informac oes, instalar/executar programas ou clicar em links;
questione-se por que instituic oes com as quais voc e n ao tem contato est ao lhe enviando men-
sagens, como se houvesse alguma relac ao pr evia entre voc es (por exemplo, se voc e n ao tem
conta em um determinado banco, n ao h a porque recadastrar dados ou atualizar m odulos de
seguranca);
que atento a mensagens que apelem demasiadamente pela sua atenc ao e que, de alguma forma,
o ameacem caso voc e n ao execute os procedimentos descritos;
n ao considere que uma mensagem e con avel com base na conanca que voc e deposita em seu
remetente, pois ela pode ter sido enviada de contas invadidas, de pers falsos ou pode ter sido
forjada (mais detalhes na Sec ao 3.3 do Captulo Ataques na Internet);
seja cuidadoso ao acessar links. Procure digitar o endereco diretamente no navegador Web;
verique o link apresentado na mensagem. Golpistas costumam usar t ecnicas para ofuscar o
link real para o phishing. Ao posicionar o mouse sobre o link, muitas vezes e possvel ver o
endereco real da p agina falsa ou c odigo malicioso;
utilize mecanismos de seguranca, como programas antimalware, rewall pessoal e ltros an-
tiphishing (mais detalhes no Captulo Mecanismos de seguranca);
verique se a p agina utiliza conex ao segura. Sites de com ercio eletr onico ou Internet Bank-
ing con aveis sempre utilizam conex oes seguras quando dados sensveis s ao solicitados (mais
detalhes na Sec ao 10.1.1 do Captulo Uso seguro da Internet);
verique as informac oes mostradas no certicado. Caso a p agina falsa utilize conex ao segura,
um novo certicado ser a apresentado e, possivelmente, o endereco mostrado no navegador Web
ser a diferente do endereco correspondente ao site verdadeiro (mais detalhes na Sec ao 10.1.2 do
Captulo Uso seguro da Internet);
acesse a p agina da instituic ao que supostamente enviou a mensagem e procure por informac oes
(voc e vai observar que n ao faz parte da poltica da maioria das empresas o envio de mensagens,
de forma indiscriminada, para os seus usu arios).
2.3.1 Pharming
Pharming e um tipo especco de phishing que envolve a redirec ao da navegac ao do usu ario para
sites falsos, por meio de alterac oes no servico de DNS (Domain Name System). Neste caso, quando
voc e tenta acessar um site legtimo, o seu navegador Web e redirecionado, de forma transparente, para
uma p agina falsa. Esta redirec ao pode ocorrer:
por meio do comprometimento do servidor de DNS do provedor que voc e utiliza;
pela ac ao de c odigos maliciosos projetados para alterar o comportamento do servico de DNS
do seu computador;
pela ac ao direta de um invasor, que venha a ter acesso ` as congurac oes do servico de DNS do
seu computador ou modem de banda larga.
Prevenc ao:
descone se, ao digitar uma URL, for redirecionado para outro site, o qual tenta realizar alguma
ac ao suspeita, como abrir um arquivo ou tentar instalar um programa;
descone imediatamente caso o site de com ercio eletr onico ou Internet Banking que voc e est a
acessando n ao utilize conex ao segura. Sites con aveis de com ercio eletr onico e Internet Bank-
ing sempre usam conex oes seguras quando dados pessoais e nanceiros s ao solicitados (mais
detalhes na Sec ao 10.1.1 do Captulo Uso seguro da Internet);
observe se o certicado apresentado corresponde ao do site verdadeiro (mais detalhes na Se-
c ao 10.1.2 do Captulo Uso seguro da Internet).
2.4 Golpes de com ercio eletr onico
Golpes de com ercio eletr onico s ao aqueles nos quais golpistas, com o objetivo de obter vantagens
nanceiras, exploram a relac ao de conanca existente entre as partes envolvidas em uma transac ao
comercial. Alguns destes golpes s ao apresentados nas pr oximas sec oes.
2.4.1 Golpe do site de com ercio eletr onico fraudulento
Neste golpe, o golpista cria um site fraudulento, com o objetivo especco de enganar os possveis
clientes que, ap os efetuarem os pagamentos, n ao recebem as mercadorias.
Para aumentar as chances de sucesso, o golpista costuma utilizar artifcios como: enviar spam,
fazer propaganda via links patrocinados, anunciar descontos em sites de compras coletivas e ofertar
produtos muito procurados e com precos abaixo dos praticados pelo mercado.
Al em do comprador, que paga mas n ao recebe a mercadoria, este tipo de golpe pode ter outras
vtimas, como:
uma empresa s eria, cujo nome tenha sido vinculado ao golpe;
um site de compras coletivas, caso ele tenha intermediado a compra;
uma pessoa, cuja identidade tenha sido usada para a criac ao do site ou para abertura de empresas
fantasmas.
Prevenc ao:
faca uma pesquisa de mercado, comparando o preco do produto exposto no site com os valores
obtidos na pesquisa e descone caso ele seja muito abaixo dos praticados pelo mercado;
pesquise na Internet sobre o site, antes de efetuar a compra, para ver a opini ao de outros clientes;
acesse sites especializados em tratar reclamac oes de consumidores insatisfeitos, para vericar
se h a reclamac oes referentes a esta empresa;
que atento a propagandas recebidas atrav es de spam (mais detalhes no Captulo Spam);
seja cuidadoso ao acessar links patrocinados (mais detalhes na Sec ao 6.5 do Captulo Outros
riscos);
procure validar os dados de cadastro da empresa no site da Receita Federal
4
;
n ao informe dados de pagamento caso o site n ao ofereca conex ao segura ou n ao apresente um
certicado con avel (mais detalhes na Sec ao 10.1 do Captulo Uso seguro da Internet).
2.4.2 Golpe envolvendo sites de compras coletivas
Sites de compras coletivas t em sido muito usados em golpes de sites de com ercio eletr onico frau-
dulentos, como descrito na Sec ao 2.4.1. Al em dos riscos inerentes ` as relac oes comerciais cotidianas,
os sites de compras coletivas tamb emapresentamriscos pr oprios, gerados principalmente pela press ao
imposta ao consumidor em tomar decis oes r apidas pois, caso contr ario, podem perder a oportunidade
de compra.
Golpistas criam sites fraudulentos e os utilizam para anunciar produtos nos sites de compras co-
letivas e, assim, conseguir grande quantidade de vtimas em um curto intervalo de tempo.
Al em disto, sites de compras coletivas tamb em podem ser usados como tema de mensagens de
phishing. Golpistas costumam mandar mensagens como se tivessem sido enviadas pelo site verda-
deiro e, desta forma, tentam induzir o usu ario a acessar uma p agina falsa e a fornecer dados pessoais,
como n umero de cart ao de cr edito e senhas.
Prevenc ao:
procure n ao comprar por impulso apenas para garantir o produto ofertado;
seja cauteloso e faca pesquisas pr evias, pois h a casos de produtos anunciados com desconto,
mas que na verdade, apresentam valores superiores aos de mercado;
pesquise na Internet sobre o site de compras coletivas, antes de efetuar a compra, para ver a
opini ao de outros clientes e observar se foi satisfat oria a forma como os possveis problemas
foram resolvidos;
siga as dicas apresentadas na Sec ao 2.3 para se prevenir de golpes envolvendo phishing;
siga as dicas apresentadas na Sec ao 2.4.1 para se prevenir de golpes envolvendo sites de com er-
cio eletr onico fraudulento.
4
http://www.receita.fazenda.gov.br/.
2.4.3 Golpe do site de leil ao e venda de produtos
O golpe do site de leil ao e venda de produtos e aquele, por meio do qual, um comprador ou
vendedor age de m a-f e e n ao cumpre com as obrigac oes acordadas ou utiliza os dados pessoais e
nanceiros envolvidos na transac ao comercial para outros ns. Por exemplo:
o comprador tenta receber a mercadoria sem realizar o pagamento ou o realiza por meio de
transfer encia efetuada de uma conta banc aria ilegtima ou furtada;
o vendedor tenta receber o pagamento sem efetuar a entrega da mercadoria ou a entrega dani-
cada, falsicada, com caractersticas diferentes do anunciado ou adquirida de forma ilcita e
criminosa (por exemplo, proveniente de contrabando ou de roubo de carga);
o comprador ou o vendedor envia e-mails falsos, em nome do sistema de gerenciamento de
pagamentos, como forma de comprovar a realizac ao do pagamento ou o envio da mercadoria
que, na realidade, n ao foi feito.
Prevenc ao:
faca uma pesquisa de mercado, comparando o preco do produto com os valores obtidos na
pesquisa e descone caso ele seja muito abaixo dos praticados pelo mercado;
marque encontros em locais p ublicos caso a entrega dos produtos seja feita pessoalmente;
acesse sites especializados em tratar reclamac oes de consumidores insatisfeitos e que os coloca
em contato com os respons aveis pela venda (voc e pode avaliar se a forma como o problema foi
resolvido foi satisfat oria ou n ao);
utilize sistemas de gerenciamento de pagamentos pois, al em de dicultarem a aplicac ao dos
golpes, impedem que seus dados pessoais e nanceiros sejam enviados aos golpistas;
procure conrmar a realizac ao de um pagamento diretamente em sua conta banc aria ou pelo
site do sistema de gerenciamento de pagamentos (n ao cone apenas em e-mails recebidos, pois
eles podem ser falsos);
verique a reputac ao do usu ario
5
(muitos sites possuem sistemas que medem a reputac ao
de compradores e vendedores, por meio da opini ao de pessoas que j a negociaram com este
usu ario);
acesse os sites, tanto do sistema de gerenciamento de pagamentos como o respons avel pelas
vendas, diretamente do navegador, sem clicar em links recebidos em mensagens;
mesmo que o vendedor lhe envie o c odigo de rastreamento fornecido pelos Correios, n ao utilize
esta informac ao para comprovar o envio e liberar o pagamento (at e que voc e tenha a mercadoria
em m aos n ao h a nenhuma garantia de que o que foi enviado e realmente o que foi solicitado).
5
As informac oes dos sistemas de reputac ao, apesar de auxiliarem na selec ao de usu arios, n ao devem ser usadas como
unica medida de prevenc ao, pois contas com reputac ao alta s ao bastante visadas para golpes de phishing.
2.5 Boato (Hoax)
Um boato, ou hoax, e uma mensagem que
possui conte udo alarmante ou falso e que,
geralmente, tem como remetente, ou aponta
como autora, alguma instituic ao, empresa im-
portante ou org ao governamental. Por meio de uma leitura minuciosa de seu conte udo, normalmente,
e possvel identicar informac oes sem sentido e tentativas de golpes, como correntes e pir amides.
Boatos podem trazer diversos problemas, tanto para aqueles que os recebem e os distribuem, como
para aqueles que s ao citados em seus conte udos. Entre estes diversos problemas, um boato pode:
conter c odigos maliciosos;
espalhar desinformac ao pela Internet;
ocupar, desnecessariamente, espaco nas caixas de e-mails dos usu arios;
comprometer a credibilidade e a reputac ao de pessoas ou entidades referenciadas na mensagem;
comprometer a credibilidade e a reputac ao da pessoa que o repassa pois, ao fazer isto, esta
pessoa estar a supostamente endossando ou concordando com o conte udo da mensagem;
aumentar excessivamente a carga de servidores de e-mail e o consumo de banda de rede, ne-
cess arios para a transmiss ao e o processamento das mensagens;
indicar, no conte udo da mensagem, ac oes a serem realizadas e que, se forem efetivadas, podem
resultar em s erios danos, como apagar um arquivo que supostamente cont em um c odigo mali-
cioso, mas que na verdade e parte importante do sistema operacional instalado no computador.
Prevenc ao:
Normalmente, os boatos se propagam pela boa vontade e solidariedade de quem os recebe, pois
h a uma grande tend encia das pessoas em conar no remetente, n ao vericar a proced encia e n ao
conferir a veracidade do conte udo da mensagem. Para que voc e possa evitar a distribuic ao de boatos
e muito importante conferir a proced encia dos e-mails e, mesmo que tenham como remetente algu em
conhecido, e preciso certicar-se de que a mensagem n ao e um boato.
Um boato, geralmente, apresenta pelo menos uma das seguintes caractersticas
6
:
arma n ao ser um boato;
sugere consequ encias tr agicas caso uma determinada tarefa n ao seja realizada;
promete ganhos nanceiros ou pr emios mediante a realizac ao de alguma ac ao;
apresenta erros gramaticais e de ortograa;
apresenta informac oes contradit orias;
6
Estas caractersticas devem ser usadas apenas como guia, pois podem existir boatos que n ao apresentem nenhuma
delas, assim como podem haver mensagens legtimas que apresentem algumas.
enfatiza que ele deve ser repassado rapidamente para o maior n umero de pessoas;
j a foi repassado diversas vezes (no corpo da mensagem, normalmente, e possvel observar ca-
becalhos de e-mails repassados por outras pessoas).
Al em disto, muitas vezes, uma pesquisa na Internet pelo assunto da mensagem pode ser suciente
para localizar relatos e den uncias j a feitas.

E importante ressaltar que voc e nunca deve repassar
boatos pois, ao fazer isto, estar a endossando ou concordando com o seu conte udo.
2.6 Prevenc ao
Outras dicas gerais para se proteger de golpes aplicados na Internet s ao:
Notique: caso identique uma tentativa de golpe, e importante noticar a instituic ao envolvida,
para que ela possa tomar as provid encias que julgar cabveis (mais detalhes na Sec ao 7.2 do
Captulo Mecanismos de seguranca).
Mantenha-se informado: novas formas de golpes podem surgir, portanto e muito importante que
voc e se mantenha informado. Algumas fontes de informac ao que voc e pode consultar s ao:
sec oes de inform atica de jornais de grande circulac ao e de sites de notcias que, normal-
mente, trazem mat erias ou avisos sobre os golpes mais recentes;
sites de empresas mencionadas nas mensagens (algumas empresas colocamavisos emsuas
p aginas quando percebem que o nome da instituic ao est a sendo indevidamente usado);
sites especializados que divulgam listas contendo os golpes que est ao sendo aplicados e
seus respectivos conte udos. Alguns destes sites s ao:
Monitor das Fraudes
http://www.fraudes.org/ (em portugu es)
Quatro Cantos
http://www.quatrocantos.com/LENDAS/ (em portugu es)
Snopes.com - Urban Legends Reference Pages
http://www.snopes.com/ (em ingl es)
Symantec Security Response Hoaxes
http://www.symantec.com/avcenter/hoax.html (em ingl es)
TruthOrFiction.com
http://www.truthorfiction.com/ (em ingl es)
Urban Legends and Folklore
http://urbanlegends.about.com/ (em ingl es)
3. Ataques na Internet
Ataques costumam ocorrer na Internet com diversos objetivos, visando diferentes alvos e usando
variadas t ecnicas. Qualquer servico, computador ou rede que seja acessvel via Internet pode ser alvo
de um ataque, assim como qualquer computador com acesso ` a Internet pode participar de um ataque.
Os motivos que levam os atacantes a desferir ataques na Internet s ao bastante diversos, variando
da simples divers ao at e a realizac ao de ac oes criminosas. Alguns exemplos s ao:
Demonstrac ao de poder: mostrar a uma empresa que ela pode ser invadida ou ter os servicos sus-
pensos e, assim, tentar vender servicos ou chantage a-la para que o ataque n ao ocorra novamente.
Prestgio: vangloriar-se, perante outros atacantes, por ter conseguido invadir computadores, tornar
servicos inacessveis ou desgurar sites considerados visados ou difceis de serem atacados;
disputar com outros atacantes ou grupos de atacantes para revelar quem consegue realizar o
maior n umero de ataques ou ser o primeiro a conseguir atingir um determinado alvo.
Motivac oes nanceiras: coletar e utilizar informac oes condenciais de usu arios para aplicar golpes
(mais detalhes no Captulo Golpes na Internet).
Motivac oes ideol ogicas: tornar inacessvel ou invadir sites que divulguem conte udo contr ario ` a opi-
ni ao do atacante; divulgar mensagens de apoio ou contr arias a uma determinada ideologia.
17
Motivac oes comerciais: tornar inacessvel ou invadir sites e computadores de empresas concorren-
tes, para tentar impedir o acesso dos clientes ou comprometer a reputac ao destas empresas.
Para alcancar estes objetivos os atacantes costumam usar t ecnicas, como as descritas nas pr oximas
sec oes.
3.1 Explorac ao de vulnerabilidades
Uma vulnerabilidade e denida como uma condic ao que, quando explorada por um atacante,
pode resultar em uma violac ao de seguranca. Exemplos de vulnerabilidades s ao falhas no projeto, na
implementac ao ou na congurac ao de programas, servicos ou equipamentos de rede.
Um ataque de explorac ao de vulnerabilidades ocorre quando um atacante, utilizando-se de uma
vulnerabilidade, tenta executar ac oes maliciosas, como invadir um sistema, acessar informac oes con-
denciais, disparar ataques contra outros computadores ou tornar um servico inacessvel.
3.2 Varredura em redes (Scan)
Varredura em redes, ou scan
1
, e uma t ecnica que consiste em efetuar buscas minuciosas em re-
des, com o objetivo de identicar computadores ativos e coletar informac oes sobre eles como, por
exemplo, servicos disponibilizados e programas instalados. Com base nas informac oes coletadas e
possvel associar possveis vulnerabilidades aos servicos disponibilizados e aos programas instalados
nos computadores ativos detectados.
A varredura em redes e a explorac ao de vulnerabilidades associadas podem ser usadas de forma:
Legtima: por pessoas devidamente autorizadas, para vericar a seguranca de computadores e redes
e, assim, tomar medidas corretivas e preventivas.
Maliciosa: por atacantes, para explorar as vulnerabilidades encontradas nos servicos disponibili-
zados e nos programas instalados para a execuc ao de atividades maliciosas. Os atacantes
tamb em podem utilizar os computadores ativos detectados como potenciais alvos no processo
de propagac ao autom atica de c odigos maliciosos e em ataques de forca bruta (mais detalhes no
Captulo C odigos maliciosos (Malware) e na Sec ao 3.5, respectivamente).
3.3 Falsicac ao de e-mail (E-mail spoong)
Falsicac ao de e-mail, ou e-mail spoong, e uma t ecnica que consiste em alterar campos do ca-
becalho de um e-mail, de forma a aparentar que ele foi enviado de uma determinada origem quando,
na verdade, foi enviado de outra.
1
N ao confunda scan com scam. Scams, com m, s ao esquemas para enganar um usu ario, geralmente, com nalidade
de obter vantagens nanceiras (mais detalhes no Captulo Golpes na Internet).
3. Ataques na Internet 19
Esta t ecnica e possvel devido a caractersticas do protocolo SMTP (Simple Mail Transfer Proto-
col) que permitem que campos do cabecalho, como From: (endereco de quem enviou a mensagem),
Reply-To (endereco de resposta da mensagem) e Return-Path (endereco para onde possveis
erros no envio da mensagem s ao reportados), sejam falsicados.
Ataques deste tipo s ao bastante usados para propagac ao de c odigos maliciosos, envio de spam
e em golpes de phishing. Atacantes utilizam-se de enderecos de e-mail coletados de computadores
infectados para enviar mensagens e tentar fazer com que os seus destinat arios acreditem que elas
partiram de pessoas conhecidas.
Exemplos de e-mails com campos falsicados s ao aqueles recebidos como sendo:
de algu em conhecido, solicitando que voc e clique em um link ou execute um arquivo anexo;
do seu banco, solicitando que voc e siga um link fornecido na pr opria mensagem e informe
dados da sua conta banc aria;
do administrador do servico de e-mail que voc e utiliza, solicitando informac oes pessoais e
ameacando bloquear a sua conta caso voc e n ao as envie.
Voc e tamb em pode j a ter observado situac oes onde o seu pr oprio endereco de e-mail foi indevida-
mente utilizado. Alguns indcios disto s ao:
voc e recebe respostas de e-mails que voc e nunca enviou;
voc e recebe e-mails aparentemente enviados por voc e mesmo, sem que voc e tenha feito isto;
voc e recebe mensagens de devoluc ao de e-mails que voc e nunca enviou, reportando erros como
usu ario desconhecido e caixa de entrada lotada (cota excedida).
3.4 Interceptac ao de tr afego (Snifng)
Interceptac ao de tr afego, ou snifng, e uma t ecnica que consiste em inspecionar os dados trafega-
dos em redes de computadores, por meio do uso de programas especcos chamados de sniffers. Esta
t ecnica pode ser utilizada de forma:
Legtima: por administradores de redes, para detectar problemas, analisar desempenho e monitorar
atividades maliciosas relativas aos computadores ou redes por eles administrados.
Maliciosa: por atacantes, para capturar informac oes sensveis, como senhas, n umeros de cart ao de
cr edito e o conte udo de arquivos condenciais que estejam trafegando por meio de conex oes
inseguras, ou seja, sem criptograa.
Note que as informac oes capturadas por esta t ecnica s ao armazenadas na forma como trafegam,
ou seja, informac oes que trafegam criptografadas apenas ser ao uteis ao atacante se ele conseguir
decodic a-las (mais detalhes no Captulo Criptograa).
3.5 Forca bruta (Brute force)
Um ataque de forca bruta, ou brute force, consiste em adivinhar, por tentativa e erro, um nome de
usu ario e senha e, assim, executar processos e acessar sites, computadores e servicos em nome e com
os mesmos privil egios deste usu ario.
Qualquer computador, equipamento de rede ou servico que seja acessvel via Internet, com um
nome de usu ario e uma senha, pode ser alvo de um ataque de forca bruta. Dispositivos m oveis, que
estejam protegidos por senha, al em de poderem ser atacados pela rede, tamb em podem ser alvo deste
tipo de ataque caso o atacante tenha acesso fsico a eles.
Se um atacante tiver conhecimento do seu nome de usu ario e da sua senha ele pode efetuar ac oes
maliciosas em seu nome como, por exemplo:
trocar a sua senha, dicultando que voc e acesse novamente o site ou computador invadido;
invadir o servico de e-mail que voc e utiliza e ter acesso ao conte udo das suas mensagens e ` a
sua lista de contatos, al em de poder enviar mensagens em seu nome;
acessar a sua rede social e enviar mensagens aos seus seguidores contendo c odigos maliciosos
ou alterar as suas opc oes de privacidade;
invadir o seu computador e, de acordo com as permiss oes do seu usu ario, executar ac oes, como
apagar arquivos, obter informac oes condenciais e instalar c odigos maliciosos.
Mesmo que o atacante n ao consiga descobrir a sua senha, voc e pode ter problemas ao acessar a
sua conta caso ela tenha sofrido um ataque de forca bruta, pois muitos sistemas bloqueiam as contas
quando v arias tentativas de acesso sem sucesso s ao realizadas.
Apesar dos ataques de forca bruta poderem ser realizados manualmente, na grande maioria dos
casos, eles s ao realizados com o uso de ferramentas automatizadas facilmente obtidas na Internet e
que permitem tornar o ataque bem mais efetivo.
As tentativas de adivinhac ao costumam ser baseadas em:
dicion arios de diferentes idiomas e que podem ser facilmente obtidos na Internet;
listas de palavras comumente usadas, como personagens de lmes e nomes de times de futebol;
substituic oes obvias de caracteres, como trocar a por @ e o por 0;
sequ encias num ericas e de teclado, como 123456, qwert e 1qaz2wsx;
informac oes pessoais, de conhecimento pr evio do atacante ou coletadas na Internet em redes
sociais e blogs, como nome, sobrenome, datas e n umeros de documentos.
Um ataque de forca bruta, dependendo de como e realizado, pode resultar em um ataque de
negac ao de servico, devido ` a sobrecarga produzida pela grande quantidade de tentativas realizadas
em um pequeno perodo de tempo (mais detalhes no Captulo Contas e senhas).
3. Ataques na Internet 21
3.6 Desgurac ao de p agina (Defacement)
Desgurac ao de p agina, defacement ou pichac ao, e uma t ecnica que consiste emalterar o conte udo
da p agina Web de um site.
As principais formas que um atacante, neste caso tamb em chamado de defacer, pode utilizar para
desgurar uma p agina Web s ao:
explorar erros da aplicac ao Web;
explorar vulnerabilidades do servidor de aplicac ao Web;
explorar vulnerabilidades da linguagem de programac ao ou dos pacotes utilizados no desenvol-
vimento da aplicac ao Web;
invadir o servidor onde a aplicac ao Web est a hospedada e alterar diretamente os arquivos que
comp oem o site;
furtar senhas de acesso ` a interface Web usada para administrac ao remota.
Para ganhar mais visibilidade, chamar mais atenc ao e atingir maior n umero de visitantes, geral-
mente, os atacantes alteram a p agina principal do site, por em p aginas internas tamb em podem ser
alteradas.
3.7 Negac ao de servico (DoS e DDoS)
Negac ao de servico, ou DoS (Denial of Service), e uma t ecnica pela qual um atacante utiliza um
computador para tirar de operac ao um servico, um computador ou uma rede conectada ` a Internet.
Quando utilizada de forma coordenada e distribuda, ou seja, quando um conjunto de computadores
e utilizado no ataque, recebe o nome de negac ao de servico distribudo, ou DDoS (Distributed Denial
of Service).
O objetivo destes ataques n ao e invadir e nem coletar informac oes, mas sim exaurir recursos e
causar indisponibilidades ao alvo. Quando isto ocorre, todas as pessoas que dependem dos recursos
afetados s ao prejudicadas, pois cam impossibilitadas de acessar ou realizar as operac oes desejadas.
Nos casos j a registrados de ataques, os alvos caram impedidos de oferecer servicos durante o
perodo em que eles ocorreram, mas, ao nal, voltaram a operar normalmente, sem que tivesse havido
vazamento de informac oes ou comprometimento de sistemas ou computadores.
Uma pessoa pode voluntariamente usar ferramentas e fazer com que seu computador seja utili-
zado em ataques. A grande maioria dos computadores, por em, participa dos ataques sem o conhe-
cimento de seu dono, por estar infectado e fazendo parte de botnets (mais detalhes na Sec ao 4.3 do
Captulo C odigos maliciosos (Malware)).
Ataques de negac ao de servico podem ser realizados por diversos meios, como:
pelo envio de grande quantidade de requisic oes para um servico, consumindo os recursos ne-
cess arios ao seu funcionamento (processamento, n umero de conex oes simult aneas, mem oria
e espaco em disco, por exemplo) e impedindo que as requisic oes dos demais usu arios sejam
atendidas;
pela gerac ao de grande tr afego de dados para uma rede, ocupando toda a banda disponvel e
tornando indisponvel qualquer acesso a computadores ou servicos desta rede;
pela explorac ao de vulnerabilidades existentes em programas, que podem fazer com que um
determinado servico que inacessvel.
Nas situac oes onde h a saturac ao de recursos, caso um servico n ao tenha sido bem dimensionado,
ele pode car inoperante ao tentar atender as pr oprias solicitac oes legtimas. Por exemplo, um site de
transmiss ao dos jogos da Copa de Mundo pode n ao suportar uma grande quantidade de usu arios que
queiram assistir aos jogos nais e parar de funcionar.
3.8 Prevenc ao
O que dene as chances de um ataque na Internet ser ou n ao bem sucedido e o conjunto de
medidas preventivas tomadas pelos usu arios, desenvolvedores de aplicac oes e administradores dos
computadores, servicos e equipamentos envolvidos.
Se cada um zer a sua parte, muitos dos ataques realizados via Internet podem ser evitados ou, ao
menos, minimizados.
A parte que cabe a voc e, como usu ario da Internet, e proteger os seus dados, fazer uso dos meca-
nismos de protec ao disponveis e manter o seu computador atualizado e livre de c odigos maliciosos.
Ao fazer isto, voc e estar a contribuindo para a seguranca geral da Internet, pois:
quanto menor a quantidade de computadores vulner aveis e infectados, menor ser a a pot encia
das botnets e menos ecazes ser ao os ataques de negac ao de servico (mais detalhes na Sec ao 4.3,
do Captulo C odigos maliciosos (Malware));
quanto mais consciente dos mecanismos de seguranca voc e estiver, menores ser ao as chances
de sucesso dos atacantes (mais detalhes no Captulo Mecanismos de seguranca);
quanto melhores forem as suas senhas, menores ser ao as chances de sucesso de ataques de forca
bruta e, consequentemente, de suas contas serem invadidas (mais detalhes no Captulo Contas
e senhas);
quanto mais os usu arios usarem criptograa para proteger os dados armazenados nos computa-
dores ou aqueles transmitidos pela Internet, menores ser ao as chances de tr afego em texto claro
ser interceptado por atacantes (mais detalhes no Captulo Criptograa);
quanto menor a quantidade de vulnerabilidades existentes em seu computador, menores ser ao
as chances de ele ser invadido ou infectado (mais detalhes no Captulo Seguranca de computa-
dores).
Faca sua parte e contribua para a seguranca da Internet, incluindo a sua pr opria!
4. C odigos maliciosos (Malware)
C odigos maliciosos (malware) s ao programas especicamente desenvolvidos para executar ac oes
danosas e atividades maliciosas em um computador. Algumas das diversas formas como os c odigos
maliciosos podem infectar ou comprometer um computador s ao:
pela explorac ao de vulnerabilidades existentes nos programas instalados;
pela auto-execuc ao de mdias removveis infectadas, como pen-drives;
pelo acesso a p aginas Web maliciosas, utilizando navegadores vulner aveis;
pela ac ao direta de atacantes que, ap os invadirem o computador, incluem arquivos contendo
c odigos maliciosos;
pela execuc ao de arquivos previamente infectados, obtidos em anexos de mensagens eletr oni-
cas, via mdias removveis, em p aginas Web ou diretamente de outros computadores (atrav es do
compartilhamento de recursos).
Uma vez instalados, os c odigos maliciosos passam a ter acesso aos dados armazenados no com-
putador e podem executar ac oes em nome dos usu arios, de acordo com as permiss oes de cada usu ario.
23
Os principais motivos que levam um atacante a desenvolver e a propagar c odigos maliciosos s ao a
obtenc ao de vantagens nanceiras, a coleta de informac oes condenciais, o desejo de autopromoc ao
e o vandalismo. Al em disto, os c odigos maliciosos s ao muitas vezes usados como intermedi arios e
possibilitam a pr atica de golpes, a realizac ao de ataques e a disseminac ao de spam (mais detalhes nos
Captulos Golpes na Internet, Ataques na Internet e Spam, respectivamente).
Os principais tipos de c odigos maliciosos existentes s ao apresentados nas pr oximas sec oes.
4.1 Vrus
Vrus e um programa ou parte de um programa de computa-
dor, normalmente malicioso, que se propaga inserindo c opias de si
mesmo e se tornando parte de outros programas e arquivos.
Para que possa se tornar ativo e dar continuidade ao processo de infecc ao, o vrus depende da
execuc ao do programa ou arquivo hospedeiro, ou seja, para que o seu computador seja infectado e
preciso que um programa j a infectado seja executado.
O principal meio de propagac ao de vrus costumava ser os disquetes. Com o tempo, por em, estas
mdias caram em desuso e comecaram a surgir novas maneiras, como o envio de e-mail. Atualmente,
as mdias removveis tornaram-se novamente o principal meio de propagac ao, n ao mais por disquetes,
mas, principalmente, pelo uso de pen-drives.
H a diferentes tipos de vrus. Alguns procuram permanecer ocultos, infectando arquivos do disco
e executando uma s erie de atividades sem o conhecimento do usu ario. H a outros que permanecem
inativos durante certos perodos, entrando em atividade apenas em datas especcas. Alguns dos tipos
de vrus mais comuns s ao:
Vrus propagado por e-mail: recebido como um arquivo anexo a um e-mail cujo conte udo tenta
induzir o usu ario a clicar sobre este arquivo, fazendo com que seja executado. Quando entra
em ac ao, infecta arquivos e programas e envia c opias de si mesmo para os e-mails encontrados
nas listas de contatos gravadas no computador.
Vrus de script: escrito em linguagem de script, como VBScript e JavaScript, e recebido ao acessar
uma p agina Web ou por e-mail, como um arquivo anexo ou como parte do pr oprio e-mail escrito
em formato HTML. Pode ser automaticamente executado, dependendo da congurac ao do
navegador Web e do programa leitor de e-mails do usu ario.
Vrus de macro: tipo especco de vrus de script, escrito em linguagem de macro, que tenta infec-
tar arquivos manipulados por aplicativos que utilizam esta linguagem como, por exemplo, os
que comp oe o Microsoft Ofce (Excel, Word e PowerPoint, entre outros).
Vrus de telefone celular: vrus que se propaga de celular para celular por meio da tecnologia blue-
tooth ou de mensagens MMS (Multimedia Message Service). A infecc ao ocorre quando um
usu ario permite o recebimento de um arquivo infectado e o executa. Ap os infectar o celular, o
vrus pode destruir ou sobrescrever arquivos, remover ou transmitir contatos da agenda, efetuar
ligac oes telef onicas e drenar a carga da bateria, al em de tentar se propagar para outros celulares.
4. C odigos maliciosos (Malware) 25
4.2 Worm
Worm e umprograma capaz de se propagar automaticamente pelas redes,
enviando c opias de si mesmo de computador para computador.
Diferente do vrus, o worm n ao se propaga por meio da inclus ao
de c opias de si mesmo em outros programas ou arquivos, mas sim pela
execuc ao direta de suas c opias ou pela explorac ao autom atica de vulnera-
bilidades existentes em programas instalados em computadores.
Worms s ao notadamente respons aveis por consumir muitos recursos, devido ` a grande quantidade
de c opias de si mesmo que costumam propagar e, como consequ encia, podem afetar o desempenho
de redes e a utilizac ao de computadores.
O processo de propagac ao e infecc ao dos worms ocorre da seguinte maneira:
a. Identicac ao dos computadores alvos: ap os infectar um computador, o worm tenta se propa-
gar e continuar o processo de infecc ao. Para isto, necessita identicar os computadores alvos
para os quais tentar a se copiar, o que pode ser feito de uma ou mais das seguintes maneiras:
efetuar varredura na rede e identicar computadores ativos;
aguardar que outros computadores contatem o computador infectado;
utilizar listas, predenidas ou obtidas na Internet, contendo a identicac ao dos alvos;
utilizar informac oes contidas no computador infectado, como arquivos de congurac ao e
listas de enderecos de e-mail.
b. Envio das c opias: ap os identicar os alvos, o worm efetua c opias de si mesmo e tenta envi a-las
para estes computadores, por uma ou mais das seguintes formas:
como parte da explorac ao de vulnerabilidades existentes emprogramas instalados no com-
putador alvo;
anexadas a e-mails;
via canais de IRC (Internet Relay Chat);
via programas de troca de mensagens instant aneas;
includas em pastas compartilhadas em redes locais ou do tipo P2P (Peer to Peer).
c. Ativac ao das c opias: ap os realizado o envio da c opia, o worm necessita ser executado para que
a infecc ao ocorra, o que pode acontecer de uma ou mais das seguintes maneiras:
imediatamente ap os ter sido transmitido, pela explorac ao de vulnerabilidades em progra-
mas sendo executados no computador alvo no momento do recebimento da c opia;
diretamente pelo usu ario, pela execuc ao de uma das c opias enviadas ao seu computador;
pela realizac ao de uma ac ao especca do usu ario, a qual o worm est a condicionado como,
por exemplo, a inserc ao de uma mdia removvel.
d. Reincio do processo: ap os o alvo ser infectado, o processo de propagac ao e infecc ao reco-
meca, sendo que, a partir de agora, o computador que antes era o alvo passa a ser tamb em o
computador originador dos ataques.
4.3 Bot e botnet
Bot e um programa que disp oe de mecanismos de comunica-
c ao com o invasor que permitem que ele seja controlado remota-
mente. Possui processo de infecc ao e propagac ao similar ao do
worm, ou seja, e capaz de se propagar automaticamente, explo-
rando vulnerabilidades existentes em programas instalados em
computadores.
A comunicac ao entre o invasor e o computador infectado pelo bot pode ocorrer via canais de
IRC, servidores Web e redes do tipo P2P, entre outros meios. Ao se comunicar, o invasor pode
enviar instruc oes para que ac oes maliciosas sejam executadas, como desferir ataques, furtar dados do
computador infectado e enviar spam.
Umcomputador infectado por umbot costuma ser chamado de zumbi (zombie
computer), pois pode ser controlado remotamente, sem o conhecimento do seu
dono. Tamb em pode ser chamado de spam zombie quando o bot instalado o
transforma em um servidor de e-mails e o utiliza para o envio de spam.
Botnet e uma rede formada por
centenas ou milhares de computadores
zumbis e que permite potencializar as
ac oes danosas executadas pelos bots.
Quanto mais zumbis participarem
da botnet mais potente ela ser a. O
atacante que a controlar, al em de us a-
la para seus pr oprios ataques, tamb em
pode alug a-la para outras pessoas ou
grupos que desejem que uma ac ao ma-
liciosa especca seja executada.
Algumas das ac oes maliciosas que costumam ser executadas por interm edio de botnets s ao: ata-
ques de negac ao de servico, propagac ao de c odigos maliciosos (inclusive do pr oprio bot), coleta de
informac oes de um grande n umero de computadores, envio de spam e camuagem da identidade do
atacante (com o uso de proxies instalados nos zumbis).
O esquema simplicado apresentado a seguir exemplica o funcionamento b asico de uma botnet:
a. Um atacante propaga um tipo especco de bot na esperanca de infectar e conseguir a maior
quantidade possvel de zumbis;
b. os zumbis cam ent ao ` a disposic ao do atacante, agora seu controlador, ` a espera dos comandos
a serem executados;
c. quando o controlador deseja que uma ac ao seja realizada, ele envia aos zumbis os comandos a
serem executados, usando, por exemplo, redes do tipo P2P ou servidores centralizados;
d. os zumbis executam ent ao os comandos recebidos, durante o perodo predeterminado pelo con-
trolador;
e. quando a ac ao se encerra, os zumbis voltam a car ` a espera dos pr oximos comandos a serem
executados.
4.4 Spyware
Spyware e um programa projetado para monitorar as atividades
de um sistema e enviar as informac oes coletadas para terceiros.
Pode ser usado tanto de forma legtima quanto maliciosa, de-
pendendo de como e instalado, das ac oes realizadas, do tipo de
informac ao monitorada e do uso que e feito por quem recebe as
informac oes coletadas. Pode ser considerado de uso:
Legtimo: quando instalado em um computador pessoal, pelo pr oprio dono ou com consentimento
deste, com o objetivo de vericar se outras pessoas o est ao utilizando de modo abusivo ou n ao
autorizado.
Malicioso: quando executa ac oes que podem comprometer a privacidade do usu ario e a seguranca
do computador, como monitorar e capturar informac oes referentes ` a navegac ao do usu ario ou
inseridas em outros programas (por exemplo, conta de usu ario e senha).
Alguns tipos especcos de programas spyware s ao:
Keylogger: capaz de capturar e armazenar as teclas digitadas pelo
usu ario no teclado do computador. Sua ativac ao, em muitos casos, e
condicionada a uma ac ao pr evia do usu ario, como o acesso a um site
especco de com ercio eletr onico ou de Internet Banking.
Screenlogger: similar ao keylogger, capaz de armazenar a posic ao do cursor e
a tela apresentada no monitor, nos momentos em que o mouse e clicado, ou a
regi ao que circunda a posic ao onde o mouse e clicado.

E bastante utilizado por
atacantes para capturar as teclas digitadas pelos usu arios em teclados virtuais,
disponveis principalmente em sites de Internet Banking.
Adware: projetado especicamente para apresentar propagandas. Pode
ser usado para ns legtimos, quando incorporado a programas e
servicos, como forma de patrocnio ou retorno nanceiro para quemde-
senvolve programas livres ou presta servicos gratuitos. Tamb em pode
ser usado para ns maliciosos, quando as propagandas apresentadas
s ao direcionadas, de acordo com a navegac ao do usu ario e sem que
este saiba que tal monitoramento est a sendo feito.
4.5 Backdoor
Backdoor e um programa que permite o
retorno de um invasor a um computador com-
prometido, por meio da inclus ao de servicos
criados ou modicados para este m.
Pode ser includo pela ac ao de outros
c odigos maliciosos, que tenham previamen-
te infectado o computador, ou por atacantes,
que exploram vulnerabilidades existentes nos
programas instalados no computador para invadi-lo.
Ap os includo, o backdoor e usado para assegurar o acesso futuro ao computador comprometido,
permitindo que ele seja acessado remotamente, sem que haja necessidade de recorrer novamente aos
m etodos utilizados na realizac ao da invas ao ou infecc ao e, na maioria dos casos, sem que seja notado.
A forma usual de inclus ao de um backdoor consiste na disponibilizac ao de um novo servico ou
na substituic ao de um determinado servico por uma vers ao alterada, normalmente possuindo recursos
que permitem o acesso remoto. Programas de administrac ao remota, como BackOrice, NetBus, Sub-
Seven, VNC e Radmin, se mal congurados ou utilizados sem o consentimento do usu ario, tamb em
podem ser classicados como backdoors.
H a casos de backdoors includos propositalmente por fabricantes de programas, sob alegac ao de
necessidades administrativas. Esses casos constituem uma s eria ameaca ` a seguranca de um compu-
tador que contenha um destes programas instalados pois, al em de comprometerem a privacidade do
usu ario, tamb em podem ser usados por invasores para acessarem remotamente o computador.
4.6 Cavalo de troia (Trojan)
Cavalo de troia
1
, trojan ou trojan-horse, e um programa que, al em
de executar as func oes para as quais foi aparentemente projetado,
tamb em executa outras func oes, normalmente maliciosas, e sem o co-
nhecimento do usu ario.
Exemplos de trojans s ao programas que voc e recebe ou obt em de sites na Internet e que parecem
ser apenas cart oes virtuais animados, albuns de fotos, jogos e protetores de tela, entre outros. Estes
programas, geralmente, consistem de um unico arquivo e necessitam ser explicitamente executados
para que sejam instalados no computador.
Trojans tamb em podem ser instalados por atacantes que, ap os invadirem um computador, alteram
programas j a existentes para que, al em de continuarem a desempenhar as func oes originais, tamb em
executem ac oes maliciosas.
H a diferentes tipos de trojans, classicados
2
de acordo com as ac oes maliciosas que costumam
executar ao infectar um computador. Alguns destes tipos s ao:
1
O Cavalo de Troia, segundo a mitologia grega, foi uma grande est atua, utilizada como instrumento de guerra pelos
gregos para obter acesso ` a cidade de Troia. A est atua do cavalo foi recheada com soldados que, durante a noite, abriram
os port oes da cidade possibilitando a entrada dos gregos e a dominac ao de Troia.
2
Esta classicac ao baseia-se em colet anea feita sobre os nomes mais comumente usados pelos programas antimalware.
Trojan Downloader: instala outros c odigos maliciosos, obtidos de sites na Internet.
Trojan Dropper: instala outros c odigos maliciosos, embutidos no pr oprio c odigo do trojan.
Trojan Backdoor: inclui backdoors, possibilitando o acesso remoto do atacante ao computador.
Trojan DoS: instala ferramentas de negac ao de servico e as utiliza para desferir ataques.
Trojan Destrutivo: altera/apaga arquivos e diret orios, formata o disco rgido e pode deixar o com-
putador fora de operac ao.
Trojan Clicker: redireciona a navegac ao do usu ario para sites especcos, com o objetivo de aumen-
tar a quantidade de acessos a estes sites ou apresentar propagandas.
Trojan Proxy: instala um servidor de proxy, possibilitando que o computador seja utilizado para
navegac ao an onima e para envio de spam.
Trojan Spy: instala programas spyware e os utiliza para coletar informac oes sensveis, como senhas
e n umeros de cart ao de cr edito, e envi a-las ao atacante.
Trojan Banker ou Bancos: coleta dados banc arios do usu ario, atrav es da instalac ao de programas
spyware que s ao ativados quando sites de Internet Banking s ao acessados.

E similar ao Trojan
Spy por em com objetivos mais especcos.
4.7 Rootkit
Rootkit
3
e um conjunto de programas e t ecnicas que permite es-
conder e assegurar a presenca de um invasor ou de outro c odigo ma-
licioso em um computador comprometido.
O conjunto de programas e t ecnicas fornecido pelos rootkits pode ser usado para:
remover evid encias em arquivos de logs (mais detalhes na Sec ao 7.6 do Captulo Mecanismos
de seguranca);
instalar outros c odigos maliciosos, como backdoors, para assegurar o acesso futuro ao compu-
tador infectado;
esconder atividades e informac oes, como arquivos, diret orios, processos, chaves de registro,
conex oes de rede, etc;
mapear potenciais vulnerabilidades em outros computadores, por meio de varreduras na rede;
capturar informac oes da rede onde o computador comprometido est a localizado, pela intercep-
tac ao de tr afego.
3
O termo rootkit origina-se da junc ao das palavras root (que corresponde ` a conta de superusu ario ou administrador
do computador em sistemas Unix) e kit (que corresponde ao conjunto de programas usados para manter os privil egios
de acesso desta conta).
E muito importante ressaltar que o nome rootkit n ao indica que os programas e as t ecnicas que o
comp oe s ao usadas para obter acesso privilegiado a um computador, mas sim para mant e-lo.
Rootkits inicialmente eram usados por atacantes que, ap os invadirem um computador, os instala-
vam para manter o acesso privilegiado, sem precisar recorrer novamente aos m etodos utilizados na
invas ao, e para esconder suas atividades do respons avel e/ou dos usu arios do computador. Apesar
de ainda serem bastante usados por atacantes, os rootkits atualmente t em sido tamb em utilizados e
incorporados por outros c odigos maliciosos para carem ocultos e n ao serem detectados pelo usu ario
e nem por mecanismos de protec ao.
H a casos de rootkits instalados propositalmente por empresas distribuidoras de CDs de m usica,
sob a alegac ao de necessidade de protec ao aos direitos autorais de suas obras. A instalac ao nestes
casos costumava ocorrer de forma autom atica, no momento em que um dos CDs distribudos con-
tendo o c odigo malicioso era inserido e executado.

E importante ressaltar que estes casos constituem
uma s eria ameaca ` a seguranca do computador, pois os rootkits instalados, al em de comprometerem a
privacidade do usu ario, tamb em podem ser recongurados e utilizados para esconder a presenca e os
arquivos inseridos por atacantes ou por outros c odigos maliciosos.
4.8 Prevenc ao
Para manter o seu computador livre da ac ao dos c odigos maliciosos existe umconjunto de medidas
preventivas que voc e precisa adotar. Essas medidas incluem manter os programas instalados com
as vers oes mais recentes e com todas as atualizac oes disponveis aplicadas e usar mecanismos de
seguranca, como antimalware e rewall pessoal.
Al em disso, h a alguns cuidados que voc e e todos que usam o seu computador devem tomar sempre
que forem manipular arquivos. Novos c odigos maliciosos podem surgir, a velocidades nem sempre
acompanhadas pela capacidade de atualizac ao dos mecanismos de seguranca.
Informac oes sobre os principais mecanismos de seguranca que voc e deve utilizar s ao apresenta-
dos no Captulo Mecanismos de seguranca. Outros cuidados que voc e deve tomar para manter seu
computador seguro s ao apresentados no Captulo Seguranca de computadores.
4.9 Resumo comparativo
Cada tipo de c odigo malicioso possui caractersticas pr oprias que o dene e o diferencia dos
demais tipos, como forma de obtenc ao, forma de instalac ao, meios usados para propagac ao e ac oes
maliciosas mais comuns executadas nos computadores infectados. Para facilitar a classicac ao e a
conceituac ao, a Tabela 4.1 apresenta um resumo comparativo das caractersticas de cada tipo.
E importante ressaltar, entretanto, que denir e identicar essas caractersticas t em se tornado

tarefas cada vez mais difceis, devido ` as diferentes classicac oes existentes e ao surgimento de vari-
antes que mesclam caractersticas dos demais c odigos. Desta forma, o resumo apresentado na tabela
n ao e denitivo e baseia-se nas denic oes apresentadas nesta Cartilha.
C odigos Maliciosos
V
r
u
s
W
o
r
m
B
o
t
T
r
o
j
a
n
S
p
y
w
a
r
e
B
a
c
k
d
o
o
r
R
o
o
t
k
i
t
Como e obtido:
Recebido automaticamente pela rede
Recebido por e-mail
Baixado de sites na Internet
Compartilhamento de arquivos
Uso de mdias removveis infectadas
Redes sociais
Mensagens instant aneas
Inserido por um invasor
Ac ao de outro c odigo malicioso
Como ocorre a instalac ao:
Execuc ao de um arquivo infectado
Execuc ao explcita do c odigo malicioso
Via execuc ao de outro c odigo malicioso
Explorac ao de vulnerabilidades
Como se propaga:
Insere c opia de si pr oprio em arquivos
Envia c opia de si pr oprio automaticamente pela rede
Envia c opia de si pr oprio automaticamente por e-mail
N ao se propaga
Ac oes maliciosas mais comuns:
Altera e/ou remove arquivos
Consome grande quantidade de recursos
Furta informac oes sensveis
Instala outros c odigos maliciosos
Possibilita o retorno do invasor
Envia spam e phishing
Desfere ataques na Internet
Procura se manter escondido
Tabela 4.1: Resumo comparativo entre os c odigos maliciosos.
5. Spam
Spam
1
e o termo usado para se referir aos e-mails n ao solicitados, que geralmente s ao enviados
para um grande n umero de pessoas. Quando este tipo de mensagem possui conte udo exclusivamente
comercial tamb em e referenciado como UCE (Unsolicited Commercial E-mail).
O spam em alguns pontos se assemelha a outras formas de propaganda, como a carta colocada
na caixa de correio, o paneto recebido na esquina e a ligac ao telef onica ofertando produtos. Por em,
o que o difere e justamente o que o torna t ao atraente e motivante para quem o envia (spammer):
ao passo que nas demais formas o remetente precisa fazer algum tipo de investimento, o spammer
necessita investir muito pouco, ou at e mesmo nada, para alcancar os mesmos objetivos e em uma
escala muito maior.
Desde o primeiro spam registrado e batizado como tal, em 1994, essa pr atica tem evoludo, acom-
panhando o desenvolvimento da Internet e de novas aplicac oes e tecnologias. Atualmente, o envio de
spam e uma pr atica que causa preocupac ao, tanto pelo aumento desenfreado do volume de mensagens
na rede, como pela natureza e pelos objetivos destas mensagens.
1
Para mais detalhes acesse o site Antispam.br, http://www.antispam.br/, mantido pelo Comit e Gestor da Internet
no Brasil (CGI.br), que constitui uma fonte de refer encia sobre o spam e tem o compromisso de informar usu arios e
administradores de redes sobre as implicac oes destas mensagens e as formas de protec ao e de combate existentes.
33
Spams est ao diretamente associados a ataques ` a seguranca da
Internet e do usu ario, sendo um dos grandes respons aveis pela
propagac ao de c odigos maliciosos, disseminac ao de golpes e venda
ilegal de produtos.
Algumas das formas como voc e pode ser afetado pelos problemas
causados pelos spams s ao:
Perda de mensagens importantes: devido ao grande volume de spam recebido, voc e corre o risco
de n ao ler mensagens importantes, l e-las com atraso ou apag a-las por engano.
Conte udo impr oprio ou ofensivo: como grande parte dos spams s ao enviados para conjuntos alea-
t orios de enderecos de e-mail, e bastante prov avel que voc e receba mensagens cujo conte udo
considere impr oprio ou ofensivo.
Gasto desnecess ario de tempo: para cada spam recebido, e necess ario que voc e gaste um tempo
para l e-lo, identic a-lo e remov e-lo da sua caixa postal, o que pode resultar em gasto desne-
cess ario de tempo e em perda de produtividade.
N ao recebimento de e-mails: caso o n umero de spams recebidos seja grande e voc e utilize um
servico de e-mail que limite o tamanho de caixa postal, voc e corre o risco de lotar a sua area de
e-mail e, at e que consiga liberar espaco, car a impedido de receber novas mensagens.
Classicac ao errada de mensagens: caso utilize sistemas de ltragem com regras antispam ineci-
entes, voc e corre o risco de ter mensagens legtimas classicadas como spam e que, de acordo
com as suas congurac oes, podem ser apagadas, movidas para quarentena ou redirecionadas
para outras pastas de e-mail.
Independente do tipo de acesso ` a Internet usado, e o destinat ario
do spam quem paga pelo envio da mensagem. Os provedores, para
tentar minimizar os problemas, provisionam mais recursos computa-
cionais e os custos derivados acabam sendo transferidos e incorpora-
dos ao valor mensal que os usu arios pagam.
Alguns dos problemas relacionados a spam que provedores e empresas costumam enfrentar s ao:
Impacto na banda: o volume de tr afego gerado pelos spams faz com que seja necess ario aumentar
a capacidade dos links de conex ao com a Internet.
M a utilizac ao dos servidores: boa parte dos recursos dos servidores de e-mail, como tempo de pro-
cessamento e espaco em disco, s ao consumidos no tratamento de mensagens n ao solicitadas.
Inclus ao em listas de bloqueio: um provedor que tenha usu arios envolvidos em casos de envio de
spam pode ter a rede includa em listas de bloqueio, o que pode prejudicar o envio de e-mails
por parte dos demais usu arios e resultar em perda de clientes.
Investimento extra em recursos: os problemas gerados pelos spams fazem com que seja necess ario
aumentar os investimentos, para a aquisic ao de equipamentos e sistemas de ltragem e para a
contratac ao de mais t ecnicos especializados na sua operac ao.
5. Spam 35
Os spammers utilizam diversas t ecnicas para coletar enderecos de e-mail, desde a compra de
bancos de dados at e a produc ao de suas pr oprias listas, geradas a partir de:
Ataques de dicion ario: consistem em formar enderecos de e-mail a partir de listas de nomes de
pessoas, de palavras presentes em dicion arios e/ou da combinac ao de caracteres alfanum ericos.
C odigos maliciosos: muitos c odigos maliciosos s ao projetados para varrer o computador infectado
em busca de enderecos de e-mail que, posteriormente, s ao repassados para os spammers.
Harvesting: consiste em coletar enderecos de e-mail por meio de varreduras em p aginas Web e arqui-
vos de listas de discuss ao, entre outros. Para tentar combater esta t ecnica, muitas p aginas Web
e listas de discuss ao apresentam os enderecos de forma ofuscada (por exemplo, substituindo o
@ por (at) e os pontos pela palavra dot). Infelizmente, tais substituic oes s ao previstas
por v arios dos programas que implementam esta t ecnica.
Ap os efetuarem a coleta, os spammers procuram conrmar a
exist encia dos enderecos de e-mail e, para isto, costumam se utili-
zar de artifcios, como:
enviar mensagens para os enderecos coletados e, com base nas respostas recebidas dos servido-
res de e-mail, identicar quais enderecos s ao v alidos e quais n ao s ao;
incluir no spam um suposto mecanismo para a remoc ao da lista de e-mails, como um link ou
um endereco de e-mail (quando o usu ario solicita a remoc ao, na verdade est a conrmando para
o spammer que aquele endereco de e-mail e v alido e realmente utilizado);
incluir no spam uma imagem do tipo Web bug, projetada para monitorar o acesso a uma p agina
Web ou e-mail (quando o usu ario abre o spam, o Web bug e acessado e o spammer recebe a
conrmac ao que aquele endereco de e-mail e v alido).
5.1 Prevenc ao
E muito importante que voc e saiba como identicar os spams,

para poder detect a-los mais facilmente e agir adequadamente. As
principais caractersticas
2
dos spams s ao:
Apresentam cabecalho suspeito: o cabecalho do e-mail aparece incompleto, por exemplo, os cam-
pos de remetente e/ou destinat ario aparecem vazios ou com apelidos/nomes gen ericos, como
amigo@ e suporte@.
Apresentam no campo Assunto (Subject) palavras com graa errada ou suspeita: a maioria dos
ltros antispam utiliza o conte udo deste campo para barrar e-mails com assuntos considerados
suspeitos. No entanto, os spammers adaptam-se e tentam enganar os ltros colocando neste
campo conte udos enganosos, como vi@gra (em vez de viagra).
2
Vale ressaltar que nem todas essas caractersticas podem estar presentes ao mesmo tempo, em um mesmo spam. Da
mesma forma, podem existir spams que n ao atendam ` as propriedades citadas, podendo, eventualmente, ser um novo tipo.
Apresentam no campo Assunto textos alarmantes ou vagos: na tentativa de confundir os ltros
antispam e de atrair a atenc ao dos usu arios, os spammers costumam colocar textos alarmantes,
atraentes ou vagos demais, como Sua senha esta invalida, A informacao que voce
pediu e Parabens.
Oferecem opc ao de remoc ao da lista de divulgac ao: alguns spams tentam justicar o abuso, ale-
gando que e possvel sair da lista de divulgac ao, clicando no endereco anexo ao e-mail. Este
artifcio, por em, al em de n ao retirar o seu endereco de e-mail da lista, tamb em serve para validar
que ele realmente existe e que e lido por algu em.
Prometem que ser ao enviados uma unica vez: ao alegarem isto, sugerem que n ao e necess ario
que voc e tome alguma ac ao para impedir que a mensagem seja novamente enviada.
Baseiam-se em leis e regulamentac oes inexistentes: muitos spams tentam embasar o envio em leis
e regulamentac oes brasileiras referentes ` a pr atica de spam que, at e o momento de escrita desta
Cartilha, n ao existem.
Alguns cuidados que voc e deve tomar para tentar reduzir a quantidade de spams recebidos s ao:
procure ltrar as mensagens indesejadas, por meio de programas instalados em servidores ou
em seu computador e de sistemas integrados a Webmails e leitores de e-mails.

E interessante
consultar o seu provedor de e-mail, ou o administrador de sua rede, para vericar os recursos
existentes e como us a-los;
alguns Webmails usam ltros baseados em tira-teima, onde e exigido do remetente a con-
rmac ao do envio (ap os conrm a-la, ele e includo em uma lista de remetentes autorizados
e, a partir da, pode enviar e-mails livremente). Ao usar esses sistemas, procure autorizar
previamente os remetentes desej aveis, incluindo f oruns e listas de discuss ao, pois nem todos
conrmam o envio e, assim, voc e pode deixar de receber mensagens importantes;
muitos ltros colocam as mensagens classicadas como spam em quarentena.

E importante que
voc e, de tempos em tempos, verique esta pasta, pois podem acontecer casos de falsos positivos
e mensagens legtimas virem a ser classicadas como spam. Caso voc e, mesmo usando ltros,
receba um spam, deve classic a-lo como tal, pois estar a ajudando a treinar o ltro;
seja cuidadoso ao fornecer seu endereco de e-mail. Existem situac oes onde n ao h a motivo para
que o seu e-mail seja fornecido. Ao preencher um cadastro, por exemplo, pense se e realmente
necess ario fornecer o seu e-mail e se voc e deseja receber mensagens deste local;
que atento a opc oes pr e-selecionadas. Em alguns formul arios ou cadastros preenchidos pela
Internet, existe a pergunta se voc e quer receber e-mails, por exemplo, sobre promoc oes e lanca-
mentos de produtos, cuja resposta j a vem marcada como armativa. Fique atento a esta quest ao
e desmarque-a, caso n ao deseje receber este tipo de mensagem;
n ao siga links recebidos em spams e n ao responda mensagens deste tipo (estas ac oes podem
servir para conrmar que seu e-mail e v alido);
desabilite a abertura de imagens em e-mails HTML (o fato de uma imagem ser acessada pode
servir para conrmar que a mensagem foi lida);
crie contas de e-mail secund arias e forneca-as em locais onde as chances de receber spam s ao
grandes, como ao preencher cadastros em lojas e em listas de discuss ao;
5. Spam 37
utilize as opc oes de privacidade das redes sociais (algumas redes permitem esconder o seu
endereco de e-mail ou restringir as pessoas que ter ao acesso a ele);
respeite o endereco de e-mail de outras pessoas. Use a opc ao de Bcc: ao enviar e-mail para
grandes quantidades de pessoas. Ao encaminhar mensagens, apague a lista de antigos desti-
nat arios, pois mensagens reencaminhadas podem servir como fonte de coleta para spammers.
6. Outros riscos
Atualmente, devido ` a grande quantidade de servicos disponveis, a maioria das ac oes dos usu arios
na Internet s ao executadas pelo acesso a p aginas Web, seja pelo uso de navegadores ou de programas
leitores de e-mails com capacidade de processar mensagens em formato HTML.
Para atender a grande demanda, incorporar maior funcionalidade e melhorar a apar encia das
p aginas Web, novos recursos de navegac ao foram desenvolvidos e novos servicos foram disponi-
bilizados. Estes novos recursos e servicos, infelizmente, n ao passaram despercebidos por pessoas
mal-intencionadas, que viram neles novas possibilidades para coletar informac oes e aplicar golpes.
Alguns destes recursos e servicos, os riscos que representam e os cuidados que voc e deve tomar ao
utiliz a-los s ao apresentados nas Sec oes 6.1, 6.2, 6.3, 6.4, 6.5 e 6.6.
Al em disto, a grande quantidade de computadores conectados ` a rede propiciou e facilitou o com-
partilhamento de recursos entre os usu arios, seja por meio de programas especcos ou pelo uso de
opc oes oferecidas pelos pr oprios sistemas operacionais. Assim como no caso dos recursos e servicos
Web, o compartilhamento de recursos tamb em pode representar riscos e necessitar de alguns cuidados
especiais, que s ao apresentados nas Sec oes 6.7 e 6.8.
39
6.1 Cookies
Cookies s ao pequenos arquivos que s ao gravados em seu computador quando voc e acessa sites na
Internet e que s ao reenviados a estes mesmos sites quando novamente visitados. S ao usados para man-
ter informac oes sobre voc e, como carrinho de compras, lista de produtos e prefer encias de navegac ao.
Um cookie pode ser tempor ario (de sess ao), quando e apagado no momento em que o navega-
dor Web ou programa leitor de e-mail e fechado, ou permanente (persistente), quando ca gravado
no computador at e expirar ou ser apagado. Tamb em pode ser prim ario (rst-party), quando de-
nido pelo domnio do site visitado, ou de terceiros (third-party), quando pertencente a outro domnio
(geralmente relacionado a an uncios ou imagens incorporados ` a p agina que est a sendo visitada).
Alguns dos riscos relacionados ao uso de cookies s ao:
Compartilhamento de informac oes: as informac oes coletadas pelos cookies podem ser indevida-
mente compartilhadas comoutros sites e afetar a sua privacidade. N ao e incomum, por exemplo,
acessar pela primeira vez um site de m usica e observar que as ofertas de CDs para o seu g enero
musical preferido j a est ao disponveis, sem que voc e tenha feito qualquer tipo de escolha.
Explorac ao de vulnerabilidades: quando voc e acessa uma p agina Web, o seu navegador disponibi-
liza uma s erie de informac oes sobre o seu computador, como hardware, sistema operacional e
programas instalados. Os cookies podem ser utilizados para manter refer encias contendo estas
informac oes e us a-las para explorar possveis vulnerabilidades em seu computador.
Autenticac ao autom atica: ao usar opc oes como Lembre-se de mim e Continuar conectado nos
sites visitados, informac oes sobre a sua conta de usu ario s ao gravadas em cookies e usadas em
autenticac oes futuras. Esta pr atica pode ser arriscada quando usada em computadores infecta-
dos ou de terceiros, pois os cookies podem ser coletados e permitirem que outras pessoas se
autentiquem como voc e.
Coleta de informac oes pessoais: dados preenchidos por voc e em formul arios Web tamb em podem
ser gravados em cookies, coletados por atacantes ou c odigos maliciosos e indevidamente aces-
sados, caso n ao estejam criptografados.
Coleta de h abitos de navegac ao: quando voc e acessa diferentes sites onde s ao usados cookies de
terceiros, pertencentes a uma mesma empresa de publicidade, e possvel a esta empresa deter-
minar seus h abitos de navegac ao e, assim, comprometer a sua privacidade.
Prevenc ao:
N ao e indicado bloquear totalmente o recebimento de cookies, pois isto pode impedir o uso ade-
quado ou at e mesmo o acesso a determinados sites e servicos. Para se prevenir dos riscos, mas sem
comprometer a sua navegac ao, h a algumas dicas que voc e deve seguir, como:
ao usar um navegador Web baseado em nveis de permiss ao, como o Internet Explorer, procure
n ao selecionar nveis de permiss ao inferiores a m edio;
em outros navegadores ou programas leitores de e-mail, congure para que, por padr ao, os sites
n ao possam denir cookies e crie listas de excec oes, cadastrando sites considerados con aveis e
onde o uso de cookies e realmente necess ario, como Webmails e de Internet Banking e com ercio
eletr onico;
6. Outros riscos 41
caso voc e, mesmo ciente dos riscos, decida permitir que por padr ao os sites possam denir
cookies, procure criar uma lista de excec oes e nela cadastre os sites que deseja bloquear;
congure para que os cookies sejam apagados assim que o navegador for fechado;
congure para n ao aceitar cookies de terceiros (ao fazer isto, a sua navegac ao n ao dever a ser
prejudicada, pois apenas conte udos relacionados a publicidade ser ao bloqueados);
utilize opc oes de navegar anonimamente, quando usar computadores de terceiros (ao fazer isto,
informac oes sobre a sua navegac ao, incluindo cookies, n ao ser ao gravadas).
Veja que, quando voc e altera uma congurac ao de privacidade ela e aplicada aos novos cookies,
mas n ao aos que j a est ao gravados em seu computador. Assim, ao fazer isto, e importante que voc e
remova os cookies j a gravados para garantir que a nova congurac ao seja aplicada a todos.
6.2 C odigos m oveis
C odigos m oveis s ao utilizados por desenvolvedores para incorporar maior funcionalidade e me-
lhorar a apar encia de p aginas Web. Embora sejam bastante uteis, podem representar riscos quando
mal-implementados ou usados por pessoas mal-intencionadas.
Alguns tipos de c odigos m oveis e os riscos que podem representar s ao:
Programas e applets Java: normalmente os navegadores cont em m odulos especcos para processar
programas Java que, apesar de possurem mecanismos de seguranca, podem conter falhas de
implementac ao e permitir que um programa Java hostil viole a seguranca do computador.
JavaScripts: assim como outros scripts Web, podem ser usados para causar violac oes de seguranca
em computadores. Um exemplo de ataque envolvendo JavaScript consiste em redirecionar
usu arios de um site legtimo para um site falso, para que instalem c odigos maliciosos ou
fornecam informac oes pessoais.
Componentes (ou controles) ActiveX: o navegador Web, pelo esquema de certicados digitais, ve-
rica a proced encia de um componente ActiveX antes de receb e-lo. Ao aceitar o certicado, o
componente e executado e pode efetuar qualquer tipo de ac ao, desde enviar um arquivo pela In-
ternet at e instalar programas (que podem ter ns maliciosos) em seu computador (mais detalhes
sobre certicados digitais s ao apresentados na Sec ao 9.4 do Captulo Criptograa).
Prevenc ao:
Assim como no caso de cookies, n ao e indicado bloquear totalmente a execuc ao dos c odigos
m oveis, pois isto pode afetar o acesso a determinados sites e servicos. Para se prevenir dos riscos,
mas sem comprometer a sua navegac ao, h a algumas dicas que voc e deve seguir, como:
permita a execuc ao de programas Java e de JavaScripts mas assegure-se de utilizar comple-
mentos, como por exemplo o NoScript (disponvel para alguns navegadores), para liberar gra-
dualmente a execuc ao, conforme necess ario e apenas em sites con aveis;
permita que componentes ActiveX sejam executados em seu computador apenas quando vierem
de sites conhecidos e con aveis;
seja cuidadoso ao permitir a instalac ao de componentes n ao assinados (mais detalhes na Se-
c ao 9.3 do Captulo Criptograa).
6.3 Janelas de pop-up
Janelas de pop-up s ao aquelas que aparecem automaticamente e sem permiss ao, sobrepondo a
janela do navegador Web, ap os voc e acessar um site. Alguns riscos que podem representar s ao:
apresentar mensagens indesejadas, contendo propagandas ou conte udo impr oprio;
apresentar links, que podem redirecionar a navegac ao para uma p agina falsa ou induzi-lo a
instalar c odigos maliciosos.
Prevenc ao:
congure seu navegador Web para, por padr ao, bloquear janelas de pop-up;
crie uma lista de excec oes, contendo apenas sites conhecidos e con aveis e onde forem real-
mente necess arias.
6.4 Plug-ins, complementos e extens oes
Plug-ins, complementos e extens oes s ao programas geralmente desenvolvidos por terceiros e que
voc e pode instalar em seu navegador Web ou leitor de e-mails para prover funcionalidades extras.
Esses programas, na maioria das vezes, s ao disponibilizados em reposit orios, onde podem ser
baixados livremente ou comprados. Alguns reposit orios efetuam controle rgido sobre os programas
antes de disponibiliz a-los, outros utilizam classicac oes referentes ao tipo de revis ao, enquanto outros
n ao efetuam nenhum tipo de controle.
Apesar de grande parte destes programas serem con aveis, h a a chance de existir programas
especicamente criados para executar atividades maliciosas ou que, devido a erros de implementac ao,
possam executar ac oes danosas em seu computador.
Prevenc ao:
assegure-se de ter mecanismos de seguranca instalados e atualizados, antes de instalar progra-
mas desenvolvidos por terceiros (mais detalhes no Captulo Mecanismos de seguranca);
mantenha os programas instalados sempre atualizados (mais detalhes no Captulo Seguranca de
computadores);
6. Outros riscos 43
procure obter arquivos apenas de fontes con aveis;
utilize programas com grande quantidade de usu arios (considerados populares) e que tenham
sido bem avaliados. Muitos reposit orios possuem sistema de classicac ao, baseado em quan-
tidade de estrelas, concedidas de acordo com as avaliac oes recebidas. Selecione aqueles com
mais estrelas;
veja coment arios de outros usu arios sobre o programa, antes de instal a-lo (muitos sites dispo-
nibilizam listas de programas mais usados e mais recomendados);
verique se as permiss oes necess arias para a instalac ao e execuc ao s ao coerentes, ou seja, um
programa de jogos n ao necessariamente precisa ter acesso aos seus dados pessoais;
seja cuidadoso ao instalar programas que ainda estejam em processo de revis ao;
denuncie aos respons aveis pelo reposit orio caso identique programas maliciosos.
6.5 Links patrocinados
Um anunciante que queira fazer propaganda de um produto ou site paga para o site de busca
apresentar o link em destaque quando palavras especcas s ao pesquisadas. Quando voc e clica em
um link patrocinado, o site de busca recebe do anunciante um valor previamente combinado.
O anunciante geralmente possui uma p agina Web - com acesso via conta de usu ario e senha - para
interagir com o site de busca, alterar congurac oes, vericar acessos e fazer pagamentos. Este tipo de
conta e bastante visado por atacantes, com o intuito de criar redirecionamentos para p aginas de phish-
ing ou contendo c odigos maliciosos e representa o principal risco relacionado a links patrocinados.
Prevenc ao:
n ao use sites de busca para acessar todo e qualquer tipo de site. Por exemplo: voc e n ao precisa
pesquisar para saber qual e o site do seu banco, j a que geralmente o endereco e bem conhecido.
6.6 Banners de propaganda
A Internet n ao trouxe novas oportunidades de neg ocio apenas para anunciantes e sites de busca.
Usu arios, de forma geral, podem obter rendimentos extras alugando espaco em suas p aginas para
servicos de publicidade.
Caso tenha uma p agina Web, voc e pode disponibilizar um espaco nela para que o servico de
publicidade apresente banners de seus clientes. Quanto mais a sua p agina e acessada e quanto mais
cliques s ao feitos nos banners por interm edio dela, mais voc e pode vir a ser remunerado.
Infelizmente pessoas mal-intencionadas tamb em viram no uso destes servicos novas oportunida-
des para aplicar golpes, denominados malvertising
1
. Este tipo de golpe consiste em criar an uncios
1
Malvertising e uma palavra em ingl es originada da junc ao de malicious (malicioso) e advertsing (propaganda).
maliciosos e, por meio de servicos de publicidade, apresent a-los em diversas p aginas Web. Geral-
mente, o servico de publicidade e induzido a acreditar que se trata de um an uncio legtimo e, ao
aceit a-lo, intermedia a apresentac ao e faz com que ele seja mostrado em diversas p aginas.
Prevenc ao:
seja cuidadoso ao clicar em banners de propaganda (caso o an uncio lhe interesse, procure ir
diretamente para a p agina do fabricante);
mantenha o seu computador protegido, com as vers oes mais recentes e com todas as atualiza-
c oes aplicadas (mais detalhes no Captulo Seguranca de computadores);
utilize e mantenha atualizados mecanismos de seguranca, como antimalware e rewall pessoal
(mais detalhes no Captulo Mecanismos de seguranca);
seja cuidadoso ao congurar as opc oes de privacidade em seu navegador Web (mais detalhes no
Captulo Privacidade).
6.7 Programas de distribuic ao de arquivos (P2P)
Programas de distribuic ao de arquivos, ou P2P, s ao aqueles que permitem que os usu arios com-
partilhem arquivos entre si. Alguns exemplos s ao: Kazaa, Gnutella e BitTorrent. Alguns riscos
relacionados ao uso destes programas s ao:
Acesso indevido: caso esteja mal congurado ou possua vulnerabilidades o programa de distribuic ao
de arquivos pode permitir o acesso indevido a diret orios e arquivos (al em dos compartilhados).
Obtenc ao de arquivos maliciosos: os arquivos distribudos podem conter c odigos maliciosos e as-
sim, infectar seu computador ou permitir que ele seja invadido.
Violac ao de direitos autorais: a distribuic ao n ao autorizada de arquivos de m usica, lmes, textos ou
programas protegidos pela lei de direitos autorais constitui a violac ao desta lei.
Prevenc ao:
mantenha seu programa de distribuic ao de arquivos sempre atualizado e bem congurado;
certique-se de ter um antimalware instalado e atualizado e o utilize para vericar qualquer
arquivo obtido (mais detalhes no Captulo Mecanismos de seguranca);
c oes aplicadas (mais detalhes no Captulo Seguranca de computadores);
certique-se que os arquivos obtidos ou distribudos s ao livres, ou seja, n ao violam as leis de
direitos autorais.
6. Outros riscos 45
6.8 Compartilhamento de recursos
Alguns sistemas operacionais permitem que voc e compartilhe com outros usu arios recursos do
seu computador, como diret orios, discos, e impressoras. Ao fazer isto, voc e pode estar permitindo:
o acesso n ao autorizado a recursos ou informac oes sensveis;
que seus recursos sejam usados por atacantes caso n ao sejam denidas senhas para controle de
acesso ou sejam usadas senhas facilmente descobertas.
Por outro lado, assim como voc e pode compartilhar recursos do seu computador, voc e tamb em
pode acessar recursos que foram compartilhados por outros. Ao usar estes recursos, voc e pode estar
se arriscando a abrir arquivos ou a executar programas que contenham c odigos maliciosos.
Prevenc ao:
estabeleca senhas para os compartilhamentos;
estabeleca permiss oes de acesso adequadas, evitando que usu arios do compartilhamento tenham
mais acessos que o necess ario;
compartilhe seus recursos pelo tempo mnimo necess ario;
tenha um antimalware instalado em seu computador, mantenha-o atualizado e utilize-o para ve-
ricar qualquer arquivo compartilhado (mais detalhes no Captulo Mecanismos de seguranca);
c oes aplicadas (mais detalhes no Captulo Seguranca de computadores).
7. Mecanismos de seguranca
Agora que voc e j a est a ciente de alguns dos riscos relacionados ao uso de computadores e da
Internet e que, apesar disso, reconhece que n ao e possvel deixar de usar estes recursos, est a no
momento de aprender detalhadamente a se proteger.
No seu dia a dia, h a cuidados que voc e toma, muitas vezes de forma instintiva, para detectar e
evitar riscos. Por exemplo: o contato pessoal e a apresentac ao de documentos possibilitam que voc e
conrme a identidade de algu em, a presenca na ag encia do seu banco garante que h a um relaciona-
mento com ele, os Cart orios podem reconhecer a veracidade da assinatura de algu em, etc.
E como fazer isto na Internet, onde as ac oes s ao realizadas sem contato pessoal e por um meio de
comunicac ao que, em princpio, e considerado inseguro?
Para permitir que voc e possa aplicar na Internet cuidados similares aos que costuma tomar em seu
dia a dia, e necess ario que os servicos disponibilizados e as comunicac oes realizadas por este meio
garantam alguns requisitos b asicos de seguranca, como:
Identicac ao: permitir que uma entidade
1
se identique, ou seja, diga quem ela e.
1
Uma entidade pode ser, por exemplo, uma pessoa, uma empresa ou um programa de computador.
47
Autenticac ao: vericar se a entidade e realmente quem ela diz ser.
Autorizac ao: determinar as ac oes que a entidade pode executar.
Integridade: proteger a informac ao contra alterac ao n ao autorizada.
Condencialidade ou sigilo: proteger uma informac ao contra acesso n ao autorizado.
N ao rep udio: evitar que uma entidade possa negar que foi ela quem executou uma ac ao.
Disponibilidade: garantir que um recurso esteja disponvel sempre que necess ario.
Para prover e garantir estes requisitos, foram adaptados e desenvolvidos os mecanismos de segu-
ranca que, quando corretamente congurados e utilizados, podem auxili a-lo a se proteger dos riscos
envolvendo o uso da Internet.
Antes de detalhar estes mecanismos, por em, e importante que voc e seja advertido sobre a possi-
bilidade de ocorr encia de falso positivo. Este termo e usado para designar uma situac ao na qual
um mecanismo de seguranca aponta uma atividade como sendo maliciosa ou an omala, quando na
verdade trata-se de uma atividade legtima. Um falso positivo pode ser considerado um falso alarme
(ou um alarme falso).
Um falso positivo ocorre, por exemplo, quando uma p agina legtima e classicada como phishing,
uma mensagem legtima e considerada spam, um arquivo e erroneamente detectado como estando
infectado ou um rewall indica como ataques algumas respostas dadas ` as solicitac oes feitas pelo
pr oprio usu ario.
Apesar de existir esta possibilidade, isto n ao deve ser motivo para que os mecanismos de seguranca
n ao sejam usados, pois a ocorr encia destes casos e geralmente baixa e, muitas vezes, pode ser resol-
vida com alterac oes de congurac ao ou nas regras de vericac ao.
Nas pr oximas sec oes s ao apresentados alguns dos principais mecanismos de seguranca e os cui-
dados que voc e deve tomar ao usar cada um deles.
7.1 Poltica de seguranca
A poltica de seguranca dene os direitos e as responsabilidades de cada um em relac ao ` a se-
guranca dos recursos computacionais que utiliza e as penalidades ` as quais est a sujeito, caso n ao a
cumpra.
E considerada como um importante mecanismo de seguranca, tanto para as instituic oes como
para os usu arios, pois com ela e possvel deixar claro o comportamento esperado de cada um. Desta
forma, casos de mau comportamento, que estejam previstos na poltica, podem ser tratados de forma
adequada pelas partes envolvidas.
A poltica de seguranca pode conter outras polticas especcas, como:
Poltica de senhas: dene as regras sobre o uso de senhas nos recursos computacionais, como tama-
nho mnimo e m aximo, regra de formac ao e periodicidade de troca.
Poltica de backup: dene as regras sobre a realizac ao de c opias de seguranca, como tipo de mdia
utilizada, perodo de retenc ao e frequ encia de execuc ao.
7. Mecanismos de seguranca 49
Poltica de privacidade: dene como s ao tratadas as informac oes pessoais, sejam elas de clientes,
usu arios ou funcion arios.
Poltica de condencialidade: dene como s ao tratadas as informac oes institucionais, ou seja, se
elas podem ser repassadas a terceiros.
Poltica de uso aceit avel (PUA) ou Acceptable Use Policy (AUP): tamb em chamada de Termo de
Uso ou Termo de Servico, dene as regras de uso dos recursos computacionais, os direitos
e as responsabilidades de quem os utiliza e as situac oes que s ao consideradas abusivas.
A poltica de uso aceit avel costuma ser disponibilizada na p agina Web e/ou ser apresentada no
momento em que a pessoa passa a ter acesso aos recursos. Talvez voc e j a tenha se deparado com
estas polticas, por exemplo, ao ser admitido em uma empresa, ao contratar um provedor de acesso e
ao utilizar servicos disponibilizados por meio da Internet, como redes sociais e Webmail.
Algumas situac oes que geralmente s ao consideradas de uso abusivo (n ao aceit avel) s ao:
compartilhamento de senhas;
divulgac ao de informac oes condenciais;
envio de boatos e mensagens contendo spam e c odigos maliciosos;
envio de mensagens com objetivo de difamar, caluniar ou ameacar algu em;
c opia e distribuic ao n ao autorizada de material protegido por direitos autorais;
ataques a outros computadores;
comprometimento de computadores ou redes.
O desrespeito ` a poltica de seguranca ou ` a poltica de uso aceit avel de uma instituic ao pode ser
considerado como um incidente de seguranca e, dependendo das circunst ancias, ser motivo para en-
cerramento de contrato (de trabalho, de prestac ao de servicos, etc.).
Cuidados a serem tomados:
procure estar ciente da poltica de seguranca da empresa onde voc e trabalha e dos servicos que
voc e utiliza (como Webmail e redes sociais);
que atento ` as mudancas que possam ocorrer nas polticas de uso e de privacidade dos servicos
que voc e utiliza, principalmente aquelas relacionadas ao tratamento de dados pessoais, para n ao
ser surpreendido com alterac oes que possam comprometer a sua privacidade;
que atento ` a poltica de condencialidade da empresa onde voc e trabalha e seja cuidadoso ao
divulgar informac oes prossionais, principalmente em blogs e redes sociais (mais detalhes na
Sec ao 11.1 do Captulo Privacidade);
notique sempre que se deparar com uma atitude considerada abusiva (mais detalhes na Se-
c ao 7.2).
7.2 Noticac ao de incidentes e abusos
Um incidente de seguranca pode ser denido como qualquer evento adverso, conrmado ou sob
suspeita, relacionado ` a seguranca de sistemas de computac ao ou de redes de computadores.
Alguns exemplos de incidentes de seguranca s ao: tentativa de uso ou acesso n ao autorizado a
sistemas ou dados, tentativa de tornar servicos indisponveis, modicac ao em sistemas (sem o conhe-
cimento ou consentimento pr evio dos donos) e o desrespeito ` a poltica de seguranca ou ` a poltica de
uso aceit avel de uma instituic ao.
E muito importante que voc e notique sempre que se deparar com uma atitude que considere
abusiva ou com um incidente de seguranca. De modo geral, a lista de pessoas/entidades a serem
noticadas inclui: os respons aveis pelo computador que originou a atividade, os respons aveis pela
rede que originou o incidente (incluindo o grupo de seguranca e abusos, se existir um para aquela
rede) e o grupo de seguranca e abusos da rede a qual voc e est a conectado (seja um provedor, empresa,
universidade ou outro tipo de instituic ao).
Ao noticar um incidente, al em de se proteger e contribuir para a seguranca global da Internet,
tamb em ajudar a outras pessoas a detectarem problemas, como computadores infectados, falhas de
congurac ao e violac oes em polticas de seguranca ou de uso aceit avel de recursos.
Para encontrar os respons aveis por uma rede voc e deve consultar um servidor de WHOIS, onde
s ao mantidas as bases de dados sobre os respons aveis por cada bloco de n umeros IP existentes. Para
IPs alocados ao Brasil voc e pode consultar o servidor em http://registro.br/cgi-bin/whois/,
para os demais pases voc e pode acessar o site http://www.geektools.com/whois.php que aceita
consultas referentes a qualquer n umero IP e as redireciona para os servidores apropriados
2
.
E importante que voc e mantenha o CERT.br na c opia das suas noticac oes
3
, pois isto contribuir a
para as atividades deste grupo e permitir a que:
os dados relativos a v arios incidentes sejam correlacionados, ataques coordenados sejam iden-
ticados e novos tipos de ataques sejam descobertos;
ac oes corretivas possam ser organizadas em cooperac ao com outras instituic oes;
sejam geradas estatsticas que reitam os incidentes ocorridos na Internet brasileira;
sejam geradas estatsticas sobre a incid encia e origem de spams no Brasil;
sejam escritos documentos, como recomendac oes e manuais, direcionados ` as necessidades dos
usu arios da Internet no Brasil.
A noticac ao deve incluir a maior quantidade de informac oes possvel, tais como:
logs completos;
data, hor ario e fuso hor ario (time zone) dos logs ou da atividade que est a sendo noticada;
2
Os e-mails encontrados nestas consultas n ao s ao necessariamente da pessoa que praticou o ataque, mas sim dos
respons aveis pela rede ` a qual o computador est a conectado, ou seja, podem ser os administradores da rede, s ocios da
empresa, ou qualquer outra pessoa que foi designada para cuidar da conex ao da instituic ao com a Internet.
3
Os enderecos de e-mail usados pelo CERT.br para o tratamento de incidentes de seguranca s ao: cert@cert.br (para
noticac oes gerais) e mail-abuse@cert.br (especco para reclamac oes de spam).
o e-mail completo, incluindo cabecalhos e conte udo (no caso de noticac ao de spam, trojan,
phishing ou outras atividades maliciosas recebidas por e-mail);
dados completos do incidente ou qualquer outra informac ao que tenha sido utilizada para iden-
ticar a atividade.
Outras informac oes e respostas para as d uvidas mais comuns referentes ao processo de notica-
c ao de incidentes podem ser encontradas na lista de quest oes mais frequentes (FAQ) mantida pelo
CERT.br e disponvel em http://www.cert.br/docs/faq1.html.
7.3 Contas e senhas
Contas e senhas s ao atualmente o mecanismo de au-
tenticac ao mais usado para o controle de acesso a sites e
servicos oferecidos pela Internet.
E por meio das suas contas e senhas que os sistemas

conseguem saber quem voc e e e denir as ac oes que voc e
pode realizar.
Dicas de elaborac ao, alterac ao e gerenciamento, assim como os cuidados que voc e deve ter ao
usar suas contas e senhas, s ao apresentados no Captulo Contas e senhas.
7.4 Criptograa
Usando criptograa voc e pode proteger seus dados
contra acessos indevidos, tanto os que trafegam pela In-
ternet como os j a gravados em seu computador.
Detalhes sobre como a criptograa pode contribuir para manter a seguranca dos seus dados e os
conceitos de certicados e assinaturas digitais s ao apresentados no Captulo Criptograa.
Detalhes sobre como a criptograa pode ser usada para garantir a conex ao segura aos sites na
Internet s ao apresentados na Sec ao 10.1 do Captulo Uso seguro da Internet.
7.5 C opias de seguranca (Backups)
Voc e j a imaginou o que aconteceria se, de uma hora para outra, perdesse alguns ou at e mesmo
todos os dados armazenados em seu computador? E se fossem todas as suas fotos ou os dados
armazenados em seus dispositivos m oveis? E se, ao enviar seu computador para manutenc ao, voc e
o recebesse de volta com o disco rgido formatado? Para evitar que estas situac oes acontecam, e
necess ario que voc e aja de forma preventiva e realize c opias de seguranca (backups).
Muitas pessoas, infelizmente, s o percebem a import ancia de ter backups quando j a e tarde demais,
ou seja, quando os dados j a foram perdidos e n ao se pode fazer mais nada para recuper a-los. Backups
s ao extremamente importantes, pois permitem:
Protec ao de dados: voc e pode preservar seus dados para que sejam recuperados em situac oes como
falha de disco rgido, atualizac ao mal-sucedida do sistema operacional, exclus ao ou substituic ao
acidental de arquivos, ac ao de c odigos maliciosos/atacantes e furto/perda de dispositivos.
Recuperac ao de vers oes: voc e pode recuperar uma vers ao antiga de um arquivo alterado, como uma
parte excluda de um texto editado ou a imagem original de uma foto manipulada.
Arquivamento: voc e pode copiar ou mover dados que deseja ou que precisa guardar, mas que n ao
s ao necess arios no seu dia a dia e que raramente s ao alterados.
Muitos sistemas operacionais j a possuem ferramentas de backup e recuperac ao integradas e tam-
b em h a a opc ao de instalar programas externos. Na maioria dos casos, ao usar estas ferramentas, basta
que voc e tome algumas decis oes, como:
Onde gravar os backups: voc e pode usar mdias (como CD, DVD, pen-drive, disco de Blu-ray e
disco rgido interno ou externo) ou armazen a-los remotamente (online ou off-site). A escolha
depende do programa de backup que est a sendo usado e de quest oes como capacidade de ar-
mazenamento, custo e conabilidade. Um CD, DVD ou Blu-ray pode bastar para pequenas
quantidades de dados, um pen-drive pode ser indicado para dados constantemente modicados,
ao passo que um disco rgido pode ser usado para grandes volumes que devam perdurar.
Quais arquivos copiar: apenas arquivos con aveis
4
e que tenham import ancia para voc e devem ser
copiados. Arquivos de programas que podem ser reinstalados, geralmente, n ao precisam ser
copiados. Fazer c opia de arquivos desnecess arios pode ocupar espaco inutilmente e dicultar
a localizac ao dos demais dados. Muitos programas de backup j a possuem listas de arquivos e
diret orios recomendados, voc e pode optar por aceit a-las ou criar suas pr oprias listas.
Com que periodicidade devo realiz a-los: depende da frequ encia com que voc e cria ou modica
arquivos. Arquivos frequentemente modicados podem ser copiados diariamente ao passo que
aqueles pouco alterados podem ser copiados semanalmente ou mensalmente.
mantenha seus backups atualizados, de acordo com a frequ encia de alterac ao dos dados;
mantenha seus backups em locais seguros, bem condicionados (longe de poeira, muito calor ou
umidade) e com acesso restrito (apenas de pessoas autorizadas);
congure para que seus backups sejam realizados automaticamente e certique-se de que eles
estejamrealmente sendo feitos (backups manuais est ao mais propensos a erros e esquecimento);
al em dos backups peri odicos, sempre faca backups antes de efetuar grandes alterac oes no sis-
tema (adic ao de hardware, atualizac ao do sistema operacional, etc.) e de enviar o computador
para manutenc ao;
armazene dados sensveis em formato criptografado (mais detalhes no Captulo Criptograa);
4
Arquivos que possam conter c odigos maliciosos ou ter sido modicados/substitudos por invasores n ao devem ser
copiados.
mantenha backups redundantes, ou seja, v arias c opias, para evitar perder seus dados em um
inc endio, inundac ao, furto ou pelo uso de mdias defeituosas (voc e pode escolher pelo menos
duas das seguintes possibilidades: sua casa, seu escrit orio e um reposit orio remoto);
cuidado com mdias obsoletas (disquetes j a foram muito usados para backups, por em, atual-
mente, acess a-los t em-se se tornado cada vez mais complicado pela diculdade em encontrar
computadores com leitores deste tipo de mdia e pela degradac ao natural do material);
assegure-se de conseguir recuperar seus backups (a realizac ao de testes peri odicos pode evitar
a p essima surpresa de descobrir que os dados est ao corrompidos, em formato obsoleto ou que
voc e n ao possui mais o programa de recuperac ao);
mantenha seus backups organizados e identicados (voc e pode etiquet a-los ou nome a-los com
informac oes que facilitem a localizac ao, como tipo do dado armazenado e data de gravac ao);
copie dados que voc e considere importantes e evite aqueles que podem ser obtidos de fontes
externas con aveis, como os referentes ao sistema operacional ou aos programas instalados;
nunca recupere um backup se desconar que ele cont em dados n ao con aveis.
Ao utilizar servicos de backup online h a alguns cuidados adicionais que voc e deve tomar, como:
observe a disponibilidade do servico e procure escolher um com poucas interrupc oes (alta dis-
ponibilidade);
observe o tempo estimado de transmiss ao de dados (tanto para realizac ao do backup quanto
para recuperac ao dos dados). Dependendo da banda disponvel e da quantidade de dados a ser
copiada (ou recuperada), o backup online pode se tornar impratic avel;
seja seletivo ao escolher o servico. Observe crit erios como suporte, tempo no mercado (h a
quanto tempo o servico e oferecido), a opini ao dos demais usu arios e outras refer encias que
voc e possa ter;
leve em considerac ao o tempo que seus arquivos s ao mantidos, o espaco de armazenagem e a
poltica de privacidade e de seguranca;
procure aqueles nos quais seus dados trafeguem pela rede de forma criptografada (caso n ao haja
esta possibilidade, procure voc e mesmo criptografar os dados antes de envi a-los).
7.6 Registro de eventos (Logs)
Log
5
e o registro de atividade gerado por programas e servicos de um computador. Ele pode car
armazenado em arquivos, na mem oria do computador ou em bases de dados. A partir da an alise desta
informac ao voc e pode ser capaz de:
5
Log e um termo t ecnico que se refere ao registro de atividades de diversos tipos como, por exemplo, de conex ao
(informac oes sobre a conex ao de um computador ` a Internet) e de acesso a aplicac oes (informac oes de acesso de um
computador a uma aplicac ao de Internet). Na Cartilha este termo e usado para se referir ao registro das atividades que
ocorrem no computador do usu ario.
detectar o uso indevido do seu computador, como um usu ario tentando acessar arquivos de
outros usu arios, ou alterar arquivos do sistema;
detectar um ataque, como de forca bruta ou a explorac ao de alguma vulnerabilidade;
rastrear (auditar) as ac oes executadas por um usu ario no seu computador, como programas
utilizados, comandos executados e tempo de uso do sistema;
detectar problemas de hardware ou nos programas e servicos instalados no computador.
Baseado nisto, voc e pode tomar medidas preventivas para tentar evitar que um problema maior
ocorra ou, caso n ao seja possvel, tentar reduzir os danos. Alguns exemplos s ao:
se o disco rgido do seu computador estiver apresentando mensagens de erro, voc e pode se ante-
cipar, fazer backup dos dados nele contidos e no momento oportuno envi a-lo para manutenc ao;
se um atacante estiver tentando explorar uma vulnerabilidade em seu computador, voc e pode
vericar se as medidas preventivas j a foram aplicadas e tentar evitar que o ataque ocorra;
se n ao for possvel evitar um ataque, os logs podem permitir que as ac oes executadas pelo
atacante sejam rastreadas, como arquivos alterados e as informac oes acessadas.
Logs s ao essenciais para noticac ao de incidentes, pois permitem que diversas informac oes im-
portantes sejam detectadas, como por exemplo: a data e o hor ario em que uma determinada atividade
ocorreu, o fuso hor ario do log, o endereco IP de origem da atividade, as portas envolvidas e o pro-
tocolo utilizado no ataque (TCP, UDP, ICMP, etc.), os dados completos que foram enviados para o
computador ou rede e o resultado da atividade (se ela ocorreu com sucesso ou n ao).
mantenha o seu computador com o hor ario correto (o hor ario em que o log e registrado e usado
na correlac ao de incidentes de seguranca e, por este motivo, deve estar sincronizado
6
);
verique o espaco em disco livre em seu computador (logs podem ocupar bastante espaco em
disco, dependendo das congurac oes feitas);
evite registrar dados desnecess arios, pois isto, al em de poder ocupar espaco excessivo no disco,
tamb em pode degradar o desempenho do computador, comprometer a execuc ao de tarefas
b asicas e dicultar a localizac ao de informac oes de interesse;
que atento e descone caso perceba que os logs do seu computador foram apagados ou que
deixaram de ser gerados por um perodo (muitos atacantes, na tentativa de esconder as ac oes
executadas, desabilitam os servicos de logs e apagam os registros relacionados ao ataque ou,
at e mesmo, os pr oprios arquivos de logs);
restrinja o acesso aos arquivos de logs. N ao e necess ario que todos os usu arios tenham acesso
` as informac oes contidas nos logs. Por isto, sempre que possvel, permita que apenas o usu ario
administrador tenha acesso a estes dados.
6
Informac oes sobre como manter o hor ario do seu computador sincronizado podem ser obtidas em http://ntp.br/.
7.7 Ferramentas antimalware
Ferramentas antimalware s ao aquelas que procuram
detectar e, ent ao, anular ou remover os c odigos maliciosos
de um computador. Antivrus, antispyware, antirootkit e
antitrojan s ao exemplos de ferramentas deste tipo.
Ainda que existam ferramentas especcas para os diferentes tipos de c odigos maliciosos, muitas
vezes e difcil delimitar a area de atuac ao de cada uma delas, pois a denic ao do tipo de c odigo
malicioso depende de cada fabricante e muitos c odigos mesclam as caractersticas dos demais tipos
(mais detalhes no Captulo C odigos maliciosos (Malware)).
Entre as diferentes ferramentas existentes, a que engloba a maior quantidade de funcionalidades
e o antivrus. Apesar de inicialmente eles terem sido criados para atuar especicamente sobre vrus,
com o passar do tempo, passaram tamb em a englobar as funcionalidades dos demais programas,
fazendo com que alguns deles cassem em desuso.
H a diversos tipos de programas antimalware que diferem entre si das seguintes formas:
M etodo de detecc ao: assinatura (uma lista de assinaturas
7
e usada ` a procura de padr oes), heurstica
(baseia-se nas estruturas, instruc oes e caractersticas que o c odigo malicioso possui) e compor-
tamento (baseia-se no comportamento apresentado pelo c odigo malicioso quando executado)
s ao alguns dos m etodos mais comuns.
Forma de obtenc ao: podem ser gratuitos (quando livremente obtidos na Internet e usados por prazo
indeterminado), experimentais (trial, usados livremente por um prazo predeterminado) e pagos
(exigem que uma licenca seja adquirida). Um mesmo fabricante pode disponibilizar mais de
um tipo de programa, sendo que a vers ao gratuita costuma possuir funcionalidades b asicas ao
passo que a vers ao paga possui funcionalidades extras, al em de poder contar com suporte.
Execuc ao: podem ser localmente instalados no computador ou executados sob demanda por in-
term edio do navegador Web. Tamb em podem ser online, quando enviados para serem exe-
cutados em servidores remotos, por um ou mais programas.
Funcionalidades apresentadas: al em das func oes b asicas (detectar, anular e remover c odigos ma-
liciosos) tamb em podem apresentar outras funcionalidade integradas, como a possibilidade de
gerac ao de discos de emerg encia e rewall pessoal (mais detalhes na Sec ao 7.8).
Alguns exemplos de antimalware online s ao:
Anubis - Analyzing Unknown Binaries
http://anubis.iseclab.org/
Norman Sandbox - SandBox Information Center
http://www.norman.com/security_center/security_tools/
ThreatExpert - Automated Threat Analysis
http://www.threatexpert.com/
7
A assinatura de um c odigo malicioso corresponde a caractersticas especcas nele contidas e que permitem que seja
identicado unicamente. Um arquivo de assinaturas corresponde ao conjunto de assinaturas denidas pelo fabricante para
os c odigos maliciosos j a detectados.
VirusTotal - Free Online Virus, Malware and URL Scanner
https://www.virustotal.com/
Para escolher o antimalware que melhor se adapta ` a sua necessidade e importante levar em conta
o uso que voc e faz e as caractersticas de cada vers ao. Observe que n ao h a relac ao entre o custo
e a eci encia de um programa, pois h a vers oes gratuitas que apresentam mais funcionalidades que
vers oes pagas de outros fabricantes. Alguns sites apresentam comparativos entre os programas de
diferentes fabricantes que podem gui a-lo na escolha do qual melhor lhe atende, tais como:
AV-Comparatives - Independent Tests of Anti-Virus Software
http://www.av-comparatives.org/
Virus Bulletin - Independent Malware Advice
http://www.virusbtn.com/
tenha um antimalware instalado em seu computador (programas online, apesar de bastante
uteis, exigem que seu computador esteja conectado ` a Internet para que funcionem corretamente
e podem conter funcionalidades reduzidas);
utilize programas online quando suspeitar que o antimalware local esteja desabilitado/compro-
metido ou quando necessitar de uma segunda opini ao (quiser conrmar o estado de um arquivo
que j a foi vericado pelo antimalware local);
congure o antimalware para vericar toda e qualquer extens ao de arquivo;
congure o antimalware para vericar automaticamente arquivos anexados aos e-mails e obti-
dos pela Internet;
congure o antimalware para vericar automaticamente os discos rgidos e as unidades re-
movveis (como pen-drives, CDs, DVDs e discos externos);
mantenha o arquivo de assinaturas sempre atualizado (congure o antimalware para atualiz a-lo
automaticamente pela rede, de prefer encia diariamente);
mantenha o antimalware sempre atualizado, com a vers ao mais recente e com todas as atuali-
zac oes existentes aplicadas;
evite executar simultaneamente diferentes programas antimalware (eles podem entrar em con-
ito, afetar o desempenho do computador e interferir na capacidade de detecc ao um do outro);
crie um disco de emerg encia e o utilize-o quando desconar que o antimalware instalado est a
desabilitado/comprometido ou que o comportamento do computador est a estranho (mais lento,
gravando ou lendo o disco rgido com muita frequ encia, etc.).
7.8 Firewall pessoal
Firewall pessoal e um tipo especco de rewall que e utili-
zado para proteger um computador contra acessos n ao autoriza-
dos vindos da Internet.
Os programas antimalware, apesar da grande quantidade de
funcionalidades, n ao s ao capazes de impedir que um atacante tente explorar, via rede, alguma vul-
nerabilidade existente em seu computador e nem de evitar o acesso n ao autorizado, caso haja algum
backdoor nele instalado
8
. Devido a isto, al em da instalac ao do antimalware, e necess ario que voc e
utilize um rewall pessoal.
Quando bem congurado, o rewall pessoal pode ser capaz de:
registrar as tentativas de acesso aos servicos habilitados no seu computador;
bloquear o envio para terceiros de informac oes coletadas por invasores e c odigos maliciosos;
bloquear as tentativas de invas ao e de explorac ao de vulnerabilidades do seu computador e
possibilitar a identicac ao das origens destas tentativas;
analisar continuamente o conte udo das conex oes, ltrando diversos tipos de c odigos maliciosos
e barrando a comunicac ao entre um invasor e um c odigo malicioso j a instalado;
evitar que um c odigo malicioso j a instalado seja capaz de se propagar, impedindo que vulnera-
bilidades em outros computadores sejam exploradas.
Alguns sistemas operacionais possuem rewall pessoal integrado. Caso o sistema instalado em
seu computador n ao possua um ou voc e n ao queira us a-lo, h a diversas opc oes disponveis (pagas ou
gratuitas). Voc e tamb em pode optar por um antimalware com funcionalidades de rewall pessoal
integradas.
antes de obter um rewall pessoal, verique a proced encia e certique-se de que o fabricante e
con avel;
certique-se de que o rewall instalado esteja ativo (estado: ativado);
congure seu rewall para registrar a maior quantidade de informac oes possveis (desta forma,
e possvel detectar tentativas de invas ao ou rastrear as conex oes de um invasor).
As congurac oes do rewall dependem de cada fabricante. De forma geral, a mais indicada e:
liberar todo tr afego de sada do seu computador (ou seja, permitir que seu computador acesse
outros computadores e servicos) e;
bloquear todo tr afego de entrada ao seu computador (ou seja, impedir que seu computador seja
acessado por outros computadores e servicos) e liberar as conex oes conforme necess ario, de
acordo com os programas usados.
8
Exceto aqueles que possuem rewall pessoal integrado.
7.9 Filtro antispam
Os ltros antispam j a vem integrado ` a maioria dos Webmails e pro-
gramas leitores de e-mails e permite separar os e-mails desejados dos
indesejados (spams). A maioria dos ltros passa por um perodo inicial
de treinamento, no qual o usu ario seleciona manualmente as mensagens
consideradas spam e, com base nas classicac oes, o ltro vai apren-
dendo a distinguir as mensagens.
Mais informac oes sobre ltros antispam e cuidados a serem tomados podem ser encontradas em
http://antispam.br/. Mais detalhes sobre outras formas de prevenc ao contra spam s ao apresenta-
das no Captulo Spam.
7.10 Outros mecanismos
Filtro antiphishing: j a vem integrado ` a maioria dos navegadores Web e serve para alertar os usu arios
quando uma p agina suspeita de ser falsa e acessada. O usu ario pode ent ao decidir se quer
acess a-la mesmo assim ou navegar para outra p agina.
Filtro de janelas de pop-up: j a vem integrado ` a maioria dos navegadores Web e permite que voc e
controle a exibic ao de janelas de pop-up. Voc e pode optar por bloquear, liberar totalmente ou
permitir apenas para sites especcos.
Filtro de c odigos m oveis: ltros, como o NoScript, permitem que voc e controle a execuc ao de c o-
digos Java e JavaScript. Voc e pode decidir quando permitir a execuc ao destes c odigos e se eles
ser ao executados temporariamente ou permanentemente - http://noscript.net/
Filtro de bloqueio de propagandas: ltros, como o Adblock, permitem o bloqueio de sites conhe-
cidos por apresentarem propagandas - http://adblockplus.org/
Teste de reputac ao de site: complementos, como o WOT (Web of Trust), permitem determinar a
reputac ao dos sites que voc e acessa. Por meio de um esquema de cores, ele indica a reputac ao
do site, como: verde escuro (excelente), verde claro (boa), amarelo (insatisfat oria), vermelho
claro (m a) e vermelho escuro (p essima) - http://www.mywot.com/
Programa para vericac ao de vulnerabilidades: programas, como o PSI (Secunia Personal Soft-
ware Inspector), permitem vericar vulnerabilidades nos programas instalados em seu compu-
tador e determinar quais devem ser atualizados -
http://secunia.com/vulnerability_scanning/personal/
Sites e complementos para expans ao de links curtos: complementos ou sites especcos, como o
LongURL, permitem vericar qual e o link de destino de um link curto. Desta forma, voc e
pode vericar a URL de destino, sem que para isto necessite acessar o link curto -
http://longurl.org/
Anonymizer: sites para navegac ao an onima, conhecidos como anonymizers, intermediam o envio e
recebimento de informac oes entre o seu navegador Web e o site que voc e deseja visitar. Desta
forma, o seu navegador n ao recebe cookies e as informac oes por ele fornecidas n ao s ao repas-
sadas para o site visitado - http://www.anonymizer.com/
8. Contas e senhas
Uma conta de usu ario, tamb em chamada de nome de usu ario, nome de login e username,
corresponde ` a identicac ao unica de um usu ario em um computador ou servico. Por meio das contas
de usu ario e possvel que um mesmo computador ou servico seja compartilhado por diversas pessoas,
pois permite, por exemplo, identicar unicamente cada usu ario, separar as congurac oes especcas
de cada um e controlar as permiss oes de acesso.
A sua conta de usu ario e de conhecimento geral e e o que permite a sua identicac ao. Ela e, muitas
vezes, derivada do seu pr oprio nome, mas pode ser qualquer sequ encia de caracteres que permita que
voc e seja identicado unicamente, como o seu endereco de e-mail. Para garantir que ela seja usada
apenas por voc e, e por mais ningu em, e que existem os mecanismos de autenticac ao.
Existem tr es grupos b asicos de mecanismos de autenticac ao, que se utilizam de: aquilo que voc e e
(informac oes biom etricas, como a sua impress ao digital, a palma da sua m ao, a sua voz e o seu olho),
aquilo que apenas voc e possui (como seu cart ao de senhas banc arias e um token gerador de senhas)
e, nalmente, aquilo que apenas voc e sabe (como perguntas de seguranca e suas senhas).
Uma senha, ou password, serve para autenticar uma conta, ou seja, e usada no processo de
vericac ao da sua identidade, assegurando que voc e e realmente quem diz ser e que possui o di-
reito de acessar o recurso em quest ao.

E um dos principais mecanismos de autenticac ao usados na
Internet devido, principalmente, a simplicidade que possui.
59
Se uma outra pessoa souber a sua conta de usu ario e tiver acesso ` a sua senha ela poder a us a-las
para se passar por voc e na Internet e realizar ac oes em seu nome, como:
acessar a sua conta de correio eletr onico e ler seus e-mails, enviar mensagens de spam e/ou
contendo phishing e c odigos maliciosos, furtar sua lista de contatos e pedir o reenvio de senhas
de outras contas para este endereco de e-mail (e assim conseguir acesso a elas);
acessar o seu computador e obter informac oes sensveis nele armazenadas, como senhas e
n umeros de cart oes de cr edito;
utilizar o seu computador para esconder a real identidade desta pessoa (o invasor) e, ent ao,
desferir ataques contra computadores de terceiros;
acessar sites e alterar as congurac oes feitas por voc e, de forma a tornar p ublicas informac oes
que deveriam ser privadas;
acessar a sua rede social e usar a conanca que as pessoas da sua rede de relacionamento
depositam em voc e para obter informac oes sensveis ou para o envio de boatos, mensagens de
spam e/ou c odigos maliciosos.
8.1 Uso seguro de contas e senhas
Algumas das formas como a sua senha pode ser descoberta s ao:
ao ser usada em computadores infectados. Muitos c odigos maliciosos, ao infectar um compu-
tador, armazenam as teclas digitadas (inclusive senhas), espionam o teclado pela webcam (caso
voc e possua uma e ela esteja apontada para o teclado) e gravam a posic ao da tela onde o mouse
foi clicado (mais detalhes na Sec ao 4.4 do Captulo C odigos maliciosos (Malware));
ao ser usada em sites falsos. Ao digitar a sua senha em um site falso, achando que est a no
site verdadeiro, um atacante pode armazen a-la e, posteriormente, us a-la para acessar o site
verdadeiro e realizar operac oes em seu nome (mais detalhes na Sec ao 2.3 do Captulo Golpes
na Internet);
por meio de tentativas de adivinhac ao (mais detalhes na Sec ao 3.5 do Captulo Ataques na
Internet);
ao ser capturada enquanto trafega na rede, sem estar criptografada (mais detalhes na Sec ao 3.4
do Captulo Ataques na Internet);
por meio do acesso ao arquivo onde a senha foi armazenada caso ela n ao tenha sido gravada de
forma criptografada (mais detalhes no Captulo Criptograa);
com o uso de t ecnicas de engenharia social, como forma a persuadi-lo a entreg a-la voluntaria-
mente;
pela observac ao da movimentac ao dos seus dedos no teclado ou dos cliques do mouse em
teclados virtuais.
8. Contas e senhas 61
Cuidados a serem tomados ao usar suas contas e senhas:
certique-se de n ao estar sendo observado ao digitar as suas senhas;
n ao forneca as suas senhas para outra pessoa, em hip otese alguma;
certique-se de fechar a sua sess ao ao acessar sites que requeiram o uso de senhas. Use a opc ao
de sair (logout), pois isto evita que suas informac oes sejam mantidas no navegador;
elabore boas senhas, conforme descrito na Sec ao 8.2;
altere as suas senhas sempre que julgar necess ario, conforme descrito na Sec ao 8.3;
n ao use a mesma senha para todos os servicos que acessa (dicas de gerenciamento de senhas
s ao fornecidas na Sec ao 8.4);
ao usar perguntas de seguranca para facilitar a recuperac ao de senhas, evite escolher quest oes
cujas respostas possam ser facilmente adivinhadas (mais detalhes na Sec ao 8.5);
certique-se de utilizar servicos criptografados quando o acesso a um site envolver o forneci-
mento de senha (mais detalhes na Sec ao 10.1 do Captulo Uso seguro da Internet);
procure manter sua privacidade, reduzindo a quantidade de informac oes que possam ser cole-
tadas sobre voc e, pois elas podem ser usadas para adivinhar a sua senha, caso voc e n ao tenha
sido cuidadoso ao elabor a-la (mais detalhes no Captulo Privacidade);
mantenha a seguranca do seu computador (mais detalhes no Captulo Seguranca de computa-
dores);
seja cuidadoso ao usar a sua senha em computadores potencialmente infectados ou comprome-
tidos. Procure, sempre que possvel, utilizar opc oes de navegac ao an onima (mais detalhes na
Sec ao 12.3 do Captulo Seguranca de computadores).
8.2 Elaborac ao de senhas
Uma senha boa, bem elaborada, e aquela que e difcil de ser descoberta (forte) e f acil de ser
lembrada. N ao conv em que voc e crie uma senha forte se, quando for us a-la, n ao conseguir record a-
la. Tamb em n ao conv em que voc e crie uma senha f acil de ser lembrada se ela puder ser facilmente
descoberta por um atacante.
Alguns elementos que voc e n ao deve usar na elaborac ao de suas senhas s ao:
Qualquer tipo de dado pessoal: evite nomes, sobrenomes, contas de usu ario, n umeros de documen-
tos, placas de carros, n umeros de telefones e datas
1
(estes dados podem ser facilmente obtidos
e usados por pessoas que queiram tentar se autenticar como voc e).
Sequ encias de teclado: evite senhas associadas ` a proximidade entre os caracteres no teclado, como
1qaz2wsx e QwerTAsdfG, pois s ao bastante conhecidas e podem ser facilmente observadas
ao serem digitadas.
1
Qualquer data que possa estar relacionada a voc e, como a data de seu anivers ario ou de seus familiares.
Palavras que facam parte de listas: evite palavras presentes em listas publicamente conhecidas,
como nomes de m usicas, times de futebol, personagens de lmes, dicion arios de diferentes
idiomas, etc. Existem programas que tentam descobrir senhas combinando e testando estas pa-
lavras e que, portanto, n ao devem ser usadas (mais detalhes na Sec ao 3.5 do Captulo Ataques
na Internet).
Alguns elementos que voc e deve usar na elaborac ao de suas senhas s ao:
N umeros aleat orios: quanto mais ao acaso forem os n umeros usados melhor, principalmente em
sistemas que aceitem exclusivamente caracteres num ericos.
Grande quantidade de caracteres: quanto mais longa for a senha mais difcil ser a descobri-la. A-
pesar de senhas longas parecerem, a princpio, difceis de serem digitadas, com o uso frequente
elas acabam sendo digitadas facilmente.
Diferentes tipos de caracteres: quanto mais baguncada for a senha mais difcil ser a descobri-la.
Procure misturar caracteres, como n umeros, sinais de pontuac ao e letras mai usculas e min us-
culas. O uso de sinais de pontuac ao pode dicultar bastante que a senha seja descoberta, sem
necessariamente torn a-la difcil de ser lembrada.
Algumas dicas
2
pr aticas que voc e pode usar na elaborac ao de boas senhas s ao:
Selecione caracteres de uma frase: baseie-se em uma frase e selecione a primeira, a segunda ou a
ultima letra de cada palavra. Exemplo: com a frase O Cravo brigou com a Rosa debaixo
de uma sacada voc e pode gerar a senha ?OCbcaRddus (o sinal de interrogac ao foi colocado
no incio para acrescentar um smbolo ` a senha).
Utilize uma frase longa: escolha uma frase longa, que faca sentido para voc e, que seja f acil de ser
memorizada e que, se possvel, tenha diferentes tipos de caracteres. Evite citac oes comuns
(como ditados populares) e frases que possam ser diretamente ligadas ` a voc e (como o refr ao de
sua m usica preferida). Exemplo: se quando crianca voc e sonhava em ser astronauta, pode usar
como senha 1 dia ainda verei os aneis de Saturno!!!.
Faca substituic oes de caracteres: invente um padr ao de substituic ao baseado, por exemplo, na se-
melhanca visual (w e vv) ou de fon etica (ca e k) entre os caracteres. Crie o seu
pr oprio padr ao pois algumas trocas j a s ao bastante obvias. Exemplo: duplicando as letras s e
r, substituindo o por 0 (n umero zero) e usando a frase Sol, astro-rei do Sistema
Solar voc e pode gerar a senha SS0l, asstrr0-rrei d0 SSisstema SS0larr.
Existem servicos que permitem que voc e teste a complexidade de uma senha e que, de acordo
com crit erios, podem classic a-la como sendo, por exemplo, muito fraca, fraca, forte
ou muito forte. Ao usar estes servicos e importante ter em mente que, mesmo que uma senha
tenha sido classicada como muito forte, pode ser que ela n ao seja uma boa senha caso contenha
dados pessoais que n ao s ao de conhecimento do servico, mas que podem ser de conhecimento de um
atacante.
Apenas voc e e capaz de denir se a senha elaborada e realmente boa!
2
As senhas e os padr oes usados para ilustrar as dicas, tanto nesta como nas vers oes anteriores da Cartilha, n ao devem
ser usados pois j a s ao de conhecimento p ublico. Voc e deve adaptar estas dicas e criar suas pr oprias senhas e padr oes.
8.3 Alterac ao de senhas
Voc e deve alterar a sua senha imediatamente sempre que desconar que ela pode ter sido desco-
berta ou que o computador no qual voc e a utilizou pode ter sido invadido ou infectado.
Algumas situac oes onde voc e deve alterar rapidamente a sua senha s ao:
se um computador onde a senha esteja armazenada tenha sido furtado ou perdido;
se usar um padr ao para a formac ao de senhas e desconar que uma delas tenha sido descoberta.
Neste caso, tanto o padr ao como todas as senhas elaboradas com ele devem ser trocadas pois,
com base na senha descoberta, um atacante pode conseguir inferir as demais;
se utilizar uma mesma senha em mais de um lugar e desconar que ela tenha sido descoberta
em algum deles. Neste caso, esta senha deve ser alterada em todos os lugares nos quais e usada;
ao adquirir equipamentos acessveis via rede, como roteadores Wi-Fi, dispositivos bluetooth e
modems ADSL (Asymmetric Digital Subscriber Line). Muitos destes equipamentos s ao con-
gurados de f abrica com senha padr ao, facilmente obtida em listas na Internet, e por isto, sempre
que possvel, deve ser alterada (mais detalhes no Captulo Seguranca de redes).
Nos demais casos e importante que a sua senha seja alterada regularmente, como forma de as-
segurar a condencialidade. N ao h a como denir, entretanto, um perodo ideal para que a troca seja
feita, pois depende diretamente de qu ao boa ela e e de quanto voc e a exp oe (voc e a usa em computa-
dores de terceiros? Voc e a usa para acessar outros sites? Voc e mant em seu computador atualizado?).
N ao conv em que voc e troque a senha em perodos muito curtos (menos de um m es, por exemplo)
se, para conseguir se recordar, precisar a elaborar uma senha fraca ou anot a-la em um papel e col a-lo
no monitor do seu computador. Perodos muito longos (mais de um ano, por exemplo) tamb em n ao
s ao desej aveis pois, caso ela tenha sido descoberta, os danos causados podem ser muito grandes.
8.4 Gerenciamento de contas e senhas
Voc e j a pensou em quantas contas e senhas diferentes precisa memorizar e combinar para acessar
todos os servicos que utiliza e que exigem autenticac ao? Atualmente, conar apenas na memorizac ao
pode ser algo bastante arriscado.
Para resolver este problema muitos usu arios acabam usando t ecnicas que podem ser bastante
perigosas e que, sempre que possvel, devem ser evitadas. Algumas destas t ecnicas e os cuidados que
voc e deve tomar caso, mesmo ciente dos riscos, opte por us a-las s ao:
Reutilizar as senhas: usar a mesma senha para acessar diferentes contas pode ser bastante arriscado,
pois basta ao atacante conseguir a senha de uma conta para conseguir acessar as demais contas
onde esta mesma senha foi usada.
procure n ao usar a mesma senha para assuntos pessoais e prossionais;
jamais reutilize senhas que envolvam o acesso a dados sensveis, como as usadas em
Internet Banking ou e-mail.
Usar opc oes como Lembre-se de mim e Continuar conectado: o uso destas opc oes faz com
que informac oes da sua conta de usu ario sejam salvas em cookies que podem ser indevidamente
coletados e permitam que outras pessoas se autentiquem como voc e.
use estas opc oes somente nos sites nos quais o risco envolvido e bastante baixo;
jamais as utilize em computadores de terceiros.
Salvar as senhas no navegador Web: esta pr atica e bastante arriscada, pois caso as senhas n ao es-
tejam criptografadas com uma chave mestra, elas podem ser acessadas por c odigos maliciosos,
atacantes ou outras pessoas que venham a ter acesso ao computador.
assegure-se de congurar uma chave mestra;
seja bastante cuidadoso ao elaborar sua chave mestra, pois a seguranca das demais senhas
depende diretamente da seguranca dela;
n ao esqueca sua chave mestra.
Para n ao ter que recorrer a estas t ecnicas ou correr o risco de esquecer suas contas/senhas ou, pior
ainda, ter que apelar para o uso de senhas fracas, voc e pode buscar o auxlio de algumas das formas
de gerenciamento disponveis.
Uma forma bastante simples de gerenciamento e listar suas contas/senhas em um papel e guard a-
lo em um local seguro (como uma gaveta trancada). Neste caso, a seguranca depende diretamente da
diculdade de acesso ao local escolhido para guardar este papel (de nada adianta col a-lo no monitor,
deix a-lo embaixo do teclado ou sobre a mesa). Veja que e prefervel usar este m etodo a optar pelo uso
de senhas fracas pois, geralmente, e mais f acil garantir que ningu em ter a acesso fsico ao local onde
o papel est a guardado do que evitar que uma senha fraca seja descoberta na Internet.
Caso voc e considere este m etodo pouco pr atico, pode optar por outras formas de gerenciamento
como as apresentadas a seguir, juntamente com alguns cuidados b asicos que voc e deve ter ao us a-las:
Criar grupos de senhas, de acordo com o risco envolvido: voc e pode criar senhas unicas e bas-
tante fortes e us a-las onde haja recursos valiosos envolvidos (por exemplo, para acesso a In-
ternet Banking ou e-mail). Outras senhas unicas, por em um pouco mais simples, para casos
nos quais o valor do recurso protegido e inferior (por exemplo, sites de com ercio eletr onico,
desde que suas informac oes de pagamento, como n umero de cart ao de cr edito, n ao sejam ar-
mazenadas para uso posterior) e outras simples e reutilizadas para acessos sem risco (como o
cadastro para baixar um determinado arquivo).
reutilize senhas apenas em casos nos quais o risco envolvido e bastante baixo.
Usar um programa gerenciador de contas/senhas: programas, como 1Password
3
e KeePass
4
, per-
mitem armazenar grandes quantidades de contas/senhas em um unico arquivo, acessvel por
meio de uma chave mestra.
seja bastante cuidadoso ao elaborar sua chave mestra, pois a seguranca das demais senhas
depende diretamente da seguranca dela;
3
1Password - https://agilebits.com/onepassword.
4
KeePass - http://keepass.info/.
n ao esqueca sua chave mestra (sem ela, n ao h a como voc e acessar os arquivos que foram
criptografados, ou seja, todas as suas contas/senhas podem ser perdidas);
assegure-se de obter o programa gerenciador de senhas de uma fonte con avel e de sempre
mant e-lo atualizado;
evite depender do programa gerenciador de senhas para acessar a conta do e-mail de re-
cuperac ao (mais detalhes na Sec ao 8.5).
Gravar em um arquivo criptografado: voc e pode manter um arquivo criptografado em seu com-
putador e utiliz a-lo para cadastrar manualmente todas as suas contas e senhas.
assegure-se de manter o arquivo sempre criptografado;
assegure-se de manter o arquivo atualizado (sempre que alterar uma senha que esteja ca-
dastrada no arquivo, voc e deve lembrar de atualiz a-lo);
faca backup do arquivo de senhas, para evitar perd e-lo caso haja problemas em seu com-
putador.
8.5 Recuperac ao de senhas
Mesmo que voc e tenha tomado cuidados para elaborar a sua senha e utilizado mecanismos de
gerenciamento, podem ocorrer casos, por in umeros motivos, de voc e perd e-la. Para restabelecer o
acesso perdido, alguns sistemas disponibilizam recursos como:
permitir que voc e responda a uma pergunta de seguranca previamente determinada por voc e;
enviar a senha, atual ou uma nova, para o e-mail de recuperac ao previamente denido por voc e;
conrmar suas informac oes cadastrais, como data de anivers ario, pas de origem, nome da m ae,
n umeros de documentos, etc;
apresentar uma dica de seguranca previamente cadastrada por voc e;
enviar por mensagem de texto para um n umero de celular previamente cadastrado por voc e.
Todos estes recursos podem ser muito uteis, desde que cuidadosamente utilizados, pois assim
como podem permitir que voc e recupere um acesso, tamb em podem ser usados por atacantes que
queiram se apossar da sua conta. Alguns cuidados que voc e deve tomar ao us a-los s ao:
cadastre uma dica de seguranca que seja vaga o suciente para que ningu em mais consiga
descobri-la e clara o bastante para que voc e consiga entend e-la. Exemplo: se sua senha for
SS0l, asstrr0-rrei d0 SSisstema SS0larr
5
, pode cadastrar a dica Uma das notas
musicais, o que o far a se lembrar da palavra Sol e se recordar da senha;
5
Esta senha foi sugerida na Sec ao 8.2.
seja cuidadoso com as informac oes que voc e disponibiliza em blogs e redes sociais, pois po-
dem ser usadas por atacantes para tentar conrmar os seus dados cadastrais, descobrir dicas e
responder perguntas de seguranca (mais detalhes no Captulo Privacidade);
evite cadastrar perguntas de seguranca que possam ser facilmente descobertas, como o nome
do seu cachorro ou da sua m ae. Procure criar suas pr oprias perguntas e, de prefer encia, com
respostas falsas. Exemplo: caso voc e tenha medo de altura, pode criar a pergunta Qual seu
esporte favorito? e colocar como resposta paraquedismo ou alpinismo;
ao receber senhas por e-mail procure alter a-las o mais r apido possvel. Muitos sistemas enviam
as senhas em texto claro, ou seja, sem nenhum tipo de criptograa e elas podem ser obtidas caso
algu em tenha acesso ` a sua conta de e-mail ou utilize programas para interceptac ao de tr afego
(mais detalhes na Sec ao 3.4 do Captulo Ataques na Internet);
procure cadastrar um e-mail de recuperac ao que voc e acesse regularmente, para n ao esquecer a
senha desta conta tamb em;
procure n ao depender de programas gerenciadores de senhas para acessar o e-mail de recupe-
rac ao (caso voc e esqueca sua chave mestra ou, por algum outro motivo, n ao tenha mais acesso
` as suas senhas, o acesso ao e-mail de recuperac ao pode ser a unica forma de restabelecer os
acessos perdidos);
preste muita atenc ao ao cadastrar o e-mail de recuperac ao para n ao digitar um endereco que seja
inv alido ou pertencente a outra pessoa. Para evitar isto, muitos sites enviam uma mensagem de
conrmac ao assim que o cadastro e realizado. Tenha certeza de receb e-la e de que as eventuais
instruc oes de vericac ao tenham sido executadas.
9. Criptograa
A criptograa, considerada como a ci encia e a arte de escrever mensagens em forma cifrada ou
em c odigo, e um dos principais mecanismos de seguranca que voc e pode usar para se proteger dos
riscos associados ao uso da Internet.
A primeira vista ela at e pode parecer complicada, mas para usufruir dos benefcios que proporci-
ona voc e n ao precisa estud a-la profundamente e nem ser nenhum matem atico experiente. Atualmente,
a criptograa j a est a integrada ou pode ser facilmente adicionada ` a grande maioria dos sistemas ope-
racionais e aplicativos e para us a-la, muitas vezes, basta a realizac ao de algumas congurac oes ou
cliques de mouse.
Por meio do uso da criptograa voc e pode:
proteger os dados sigilosos armazenados em seu computador, como o seu arquivo de senhas e
a sua declarac ao de Imposto de Renda;
criar uma area (partic ao) especca no seu computador, na qual todas as informac oes que forem
l a gravadas ser ao automaticamente criptografadas;
proteger seus backups contra acesso indevido, principalmente aqueles enviados para areas de
armazenamento externo de mdias;
proteger as comunicac oes realizadas pela Internet, como os e-mails enviados/recebidos e as
transac oes banc arias e comerciais realizadas.
Nas pr oximas sec oes s ao apresentados alguns conceitos de criptograa. Antes, por em, e impor-
tante que voc e se familiarize com alguns termos geralmente usados e que s ao mostrados na Tabela 9.1.
67
Termo Signicado
Texto claro Informac ao legvel (original) que ser a protegida, ou seja, que ser a codicada
Texto codicado (cifrado) Texto ilegvel, gerado pela codicac ao de um texto claro
Codicar (cifrar) Ato de transformar um texto claro em um texto codicado
Decodicar (decifrar) Ato de transformar um texto codicado em um texto claro
M etodo criptogr aco Conjunto de programas respons avel por codicar e decodicar informac oes
Chave Similar a uma senha, e utilizada como elemento secreto pelos m etodos crip-
togr acos. Seu tamanho e geralmente medido em quantidade de bits
Canal de comunicac ao Meio utilizado para a troca de informac oes
Remetente Pessoa ou servico que envia a informac ao
Destinat ario Pessoa ou servico que recebe a informac ao
Tabela 9.1: Termos empregados em criptograa e comunicac oes via Internet.
9.1 Criptograa de chave sim etrica e de chaves assim etricas
De acordo com o tipo de chave usada, os m etodos criptogr acos podem ser subdivididos em duas
grandes categorias: criptograa de chave sim etrica e criptograa de chaves assim etricas.
Criptograa de chave sim etrica: tamb em chamada de criptograa de chave secreta ou unica, uti-
liza uma mesma chave tanto para codicar como para decodicar informac oes, sendo usada
principalmente para garantir a condencialidade dos dados.
Casos nos quais a informac ao e codicada e decodicada por uma mesma pessoa n ao h a ne-
cessidade de compartilhamento da chave secreta. Entretanto, quando estas operac oes envolvem
pessoas ou equipamentos diferentes, e necess ario que a chave secreta seja previamente combi-
nada por meio de um canal de comunicac ao seguro (para n ao comprometer a condencialidade
da chave). Exemplos de m etodos criptogr acos que usam chave sim etrica s ao: AES, Blowsh,
RC4, 3DES e IDEA.
Criptograa de chaves assim etricas: tamb em conhecida como criptograa de chave p ublica, uti-
liza duas chaves distintas: uma p ublica, que pode ser livremente divulgada, e uma privada, que
deve ser mantida em segredo por seu dono.
Quando uma informac ao e codicada com uma das chaves, somente a outra chave do par pode
decodic a-la. Qual chave usar para codicar depende da protec ao que se deseja, se condenci-
alidade ou autenticac ao, integridade e n ao-rep udio. A chave privada pode ser armazenada de di-
ferentes maneiras, como um arquivo no computador, um smartcard ou um token. Exemplos de
m etodos criptogr acos que usam chaves assim etricas s ao: RSA, DSA, ECC e Dife-Hellman.
A criptograa de chave sim etrica, quando comparada com a de chaves assim etricas, e a mais
indicada para garantir a condencialidade de grandes volumes de dados, pois seu processamento e
mais r apido. Todavia, quando usada para o compartilhamento de informac oes, se torna complexa e
pouco escal avel, em virtude da:
necessidade de um canal de comunicac ao seguro para promover o compartilhamento da chave
secreta entre as partes (o que na Internet pode ser bastante complicado) e;
diculdade de gerenciamento de grandes quantidades de chaves (imagine quantas chaves secre-
tas seriam necess arias para voc e se comunicar com todos os seus amigos).
9. Criptograa 69
A criptograa de chaves assim etricas, apesar de possuir um processamento mais lento que a de
chave sim etrica, resolve estes problemas visto que facilita o gerenciamento (pois n ao requer que se
mantenha uma chave secreta com cada um que desejar se comunicar) e dispensa a necessidade de um
canal de comunicac ao seguro para o compartilhamento de chaves.
Para aproveitar as vantagens de cada um destes m etodos, o ideal e o uso combinado de ambos,
onde a criptograa de chave sim etrica e usada para a codicac ao da informac ao e a criptograa
de chaves assim etricas e utilizada para o compartilhamento da chave secreta (neste caso, tamb em
chamada de chave de sess ao). Este uso combinado e o que e utilizado pelos navegadores Web e
programas leitores de e-mails. Exemplos de uso deste m etodo combinado s ao: SSL, PGP e S/MIME.
9.2 Func ao de resumo (Hash)
Uma func ao de resumo e um m etodo criptogr aco que, quando aplicado sobre uma informac ao,
independente do tamanho que ela tenha, gera um resultado unico e de tamanho xo, chamado hash
1
.
Voc e pode utilizar hash para:
vericar a integridade de um arquivo armazenado em seu computador ou em seus backups;
vericar a integridade de um arquivo obtido da Internet (alguns sites, al em do arquivo em si,
tamb em disponibilizam o hash correspondente, para que voc e possa vericar se o arquivo foi
corretamente transmitido e gravado);
gerar assinaturas digitais, como descrito na Sec ao 9.3.
Para vericar a integridade de um arquivo, por exemplo, voc e pode calcular o hash dele e, quando
julgar necess ario, gerar novamente este valor. Se os dois hashes foremiguais ent ao voc e pode concluir
que o arquivo n ao foi alterado. Caso contr ario, este pode ser um forte indcio de que o arquivo esteja
corrompido ou que foi modicado. Exemplos de m etodos de hash s ao: SHA-1, SHA-256 e MD5.
9.3 Assinatura digital
A assinatura digital permite comprovar a autenticidade e a integridade de uma informac ao, ou
seja, que ela foi realmente gerada por quem diz ter feito isto e que ela n ao foi alterada.
A assinatura digital baseia-se no fato de que apenas o dono conhece a chave privada e que, se ela
foi usada para codicar uma informac ao, ent ao apenas seu dono poderia ter feito isto. A vericac ao
da assinatura e feita com o uso da chave p ublica, pois se o texto foi codicado com a chave privada,
somente a chave p ublica correspondente pode decodic a-lo.
Para contornar a baixa eci encia caracterstica da criptograa de chaves assim etricas, a codica-
c ao e feita sobre o hash e n ao sobre o conte udo em si, pois e mais r apido codicar o hash (que possui
tamanho xo e reduzido) do que a informac ao toda.
1
O hash e gerado de tal forma que n ao e possvel realizar o processamento inverso para se obter a informac ao original
e que qualquer alterac ao na informac ao original produzir a um hash distinto. Apesar de ser teoricamente possvel que
informac oes diferentes gerem hashes iguais, a probabilidade disto ocorrer e bastante baixa.
9.4 Certicado digital
Como dito anteriormente, a chave p ubica pode ser livremente divulgada. Entretanto, se n ao hou-
ver como comprovar a quem ela pertence, pode ocorrer de voc e se comunicar, de forma cifrada,
diretamente com um impostor.
Um impostor pode criar uma chave p ublica falsa para um amigo seu e envi a-la para voc e ou dispo-
nibiliz a-la em um reposit orio. Ao us a-la para codicar uma informac ao para o seu amigo, voc e estar a,
na verdade, codicando-a para o impostor, que possui a chave privada correspondente e conseguir a
decodicar. Uma das formas de impedir que isto ocorra e pelo uso de certicados digitais.
O certicado digital e um registro eletr onico composto por um conjunto de dados que distingue
uma entidade e associa a ela uma chave p ublica. Ele pode ser emitido para pessoas, empresas, equipa-
mentos ou servicos na rede (por exemplo, um site Web) e pode ser homologado para diferentes usos,
como condencialidade e assinatura digital.
Um certicado digital pode ser comparado a um documento de identidade, por exemplo, o seu
passaporte, no qual constam os seus dados pessoais e a identicac ao de quem o emitiu. No caso do
passaporte, a entidade respons avel pela emiss ao e pela veracidade dos dados e a Polcia Federal. No
caso do certicado digital esta entidade e uma Autoridade Certicadora (AC).
Uma AC emissora e tamb em respons avel por publicar informac oes sobre certicados que n ao s ao
mais con aveis. Sempre que a AC descobre ou e informada que um certicado n ao e mais con avel,
ela o inclui em uma lista negra, chamada de Lista de Certicados Revogados (LCR) para que
os usu arios possam tomar conhecimento. A LCR e um arquivo eletr onico publicado periodicamente
pela AC, contendo o n umero de s erie dos certicados que n ao s ao mais v alidos e a data de revogac ao.
A Figura 9.1 ilustra como os certicados digitais s ao apresentados nos navegadores Web. Note
que, embora os campos apresentados sejam padronizados, a representac ao gr aca pode variar entre
diferentes navegadores e sistemas operacionais. De forma geral, os dados b asicos que comp oem um
certicado digital s ao:
vers ao e n umero de s erie do certicado;
dados que identicam a AC que emitiu o certicado;
dados que identicam o dono do certicado (para quem ele foi emitido);
chave p ublica do dono do certicado;
validade do certicado (quando foi emitido e at e quando e v alido);
assinatura digital da AC emissora e dados para vericac ao da assinatura.
O certicado digital de uma AC e emitido, geralmente, por outra AC, estabelecendo uma hierar-
quia conhecida como cadeia de certicados ou caminho de certicac ao, conforme ilustrado na
Figura 9.2. A AC raiz, primeira autoridade da cadeia, e a ancora de conanca para toda a hierarquia e,
por n ao existir outra AC acima dela, possui um certicado autoassinado (mais detalhes a seguir). Os
certicados das ACs razes publicamente reconhecidas j a v em inclusos, por padr ao, em grande parte
dos sistemas operacionais e navegadores e s ao atualizados juntamente com os pr oprios sistemas. Al-
guns exemplos de atualizac oes realizadas na base de certicados dos navegadores s ao: inclus ao de
novas ACs, renovac ao de certicados vencidos e exclus ao de ACs n ao mais con aveis.
9. Criptograa 71
Figura 9.1: Exemplos de certicados digitais.
Alguns tipos especiais de certicado digital que voc e pode encontrar s ao:
Certicado autoassinado: e aquele no qual o dono e o emissor s ao a mesma entidade. Costuma ser
usado de duas formas:
Legtima: al em das ACs razes, certicados autoassinados tamb em costumam ser usados por
instituic oes de ensino e pequenos grupos que querem prover condencialidade e integri-
dade nas conex oes, mas que n ao desejam (ou n ao podem) arcar com o onus de adquirir
um certicado digital validado por uma AC comercial.
Maliciosa: um atacante pode criar um certicado autoassinado e utilizar, por exemplo, mensa-
gens de phishing (mais detalhes na Sec ao 2.3 do Captulo Golpes na Internet), para induzir
os usu arios a instal a-lo. A partir do momento em que o certicado for instalado no nave-
gador, passa a ser possvel estabelecer conex oes cifradas com sites fraudulentos, sem que
o navegador emita alertas quanto ` a conabilidade do certicado.
Figura 9.2: Cadeia de certicados.
Certicado EV SSL (Extended Validation Secure Socket Layer): certicado emitido sob um pro-
cesso mais rigoroso de validac ao do solicitante. Inclui a vericac ao de que a empresa foi legal-
mente registrada, encontra-se ativa e que det em o registro do domnio para o qual o certicado
ser a emitido, al em de dados adicionais, como o endereco fsico.
Dicas sobre como reconhecer certicados autoassinados e com validac ao avancada s ao apresenta-
dos na Sec ao 10.1 do Captulo Uso seguro da Internet.
9.5 Programas de criptograa
Para garantir a seguranca das suas mensagens e importante usar programas leitores de e-mails
com suporte nativo a criptograa (por exemplo, que implementam S/MIME - Secure/Multipurpose
Internet Mail Extensions) ou que permitam a integrac ao de outros programas e complementos es-
peccos para este m.
Programas de criptograa, como o GnuPG
2
, al em de poderem ser integrados aos programas lei-
tores de e-mails, tamb em podem ser usados separadamente para cifrar outros tipos de informac ao,
como os arquivos armazenados em seu computador ou em mdias removveis.
Existem tamb em programas (nativos do sistema operacional ou adquiridos separadamente) que
permitem cifrar todo o disco do computador, diret orios de arquivos e dispositivos de armazenamento
externo (como pen-drives e discos), os quais visam preservar o sigilo das informac oes em caso de
perda ou furto do equipamento.
2
http://www.gnupg.org/. O GnuPG n ao utiliza o conceito de certicados digitais emitidos por uma hierarquia
de autoridades certicadoras. A conanca nas chaves e estabelecida por meio do modelo conhecido como rede de
conanca, no qual prevalece a conanca entre cada entidade.
9. Criptograa 73
9.6 Cuidados a serem tomados
Proteja seus dados:
utilize criptograa sempre que, ao enviar uma mensagem, quiser assegurar-se que somente o
destinat ario possa l e-la;
utilize assinaturas digitais sempre que, ao enviar uma mensagem, quiser assegurar ao desti-
nat ario que foi voc e quem a enviou e que o conte udo n ao foi alterado;
s o envie dados sensveis ap os certicar-se de que est a usando uma conex ao segura (mais deta-
lhes na Sec ao 10.1 do Captulo Uso seguro da Internet);
utilize criptograa para conex ao entre seu leitor de e-mails e os servidores de e-mail do seu
provedor;
cifre o disco do seu computador e dispositivos removveis, como disco externo e pen-drive.
Desta forma, em caso de perda ou furto do equipamento, seus dados n ao poder ao ser indevida-
mente acessados;
verique o hash, quando possvel, dos arquivos obtidos pela Internet (isto permite que voc e
detecte arquivos corrompidos ou que foram indevidamente alterados durante a transmiss ao).
Seja cuidadoso com as suas chaves e certicados:
utilize chaves de tamanho adequado. Quanto maior a chave, mais resistente ela ser a a ataques
de forca bruta (mais detalhes na Sec ao 3.5 do Captulo Ataques na Internet);
n ao utilize chaves secretas obvias (mais detalhes na Sec ao 8.2 do Captulo Contas e senhas);
certique-se de n ao estar sendo observado ao digitar suas chaves e senhas de protec ao;
utilize canais de comunicac ao seguros quando compartilhar chaves secretas;
armazene suas chaves privadas com algum mecanismo de protec ao, como por exemplo senha,
para evitar que outra pessoa faca uso indevido delas;
preserve suas chaves. Procure fazer backups e mantenha-os emlocal seguro (se voc e perder uma
chave secreta ou privada, n ao poder a decifrar as mensagens que dependiam de tais chaves);
tenha muito cuidado ao armazenar e utilizar suas chaves em computadores potencialmente in-
fectados ou comprometidos, como em LAN houses, cybercafes, stands de eventos, etc;
se suspeitar que outra pessoa teve acesso ` a sua chave privada (por exemplo, porque perdeu o
dispositivo em que ela estava armazenada ou porque algu em acessou indevidamente o compu-
tador onde ela estava guardada), solicite imediatamente a revogac ao do certicado junto ` a AC
emissora.
Seja cuidadoso ao aceitar um certicado digital:
mantenha seu sistema operacional e navegadores Web atualizados (al em disto contribuir para
a seguranca geral do seu computador, tamb em serve para manter as cadeias de certicados
sempre atualizadas);
mantenha seu computador com a data correta. Al em de outros benefcios, isto impede que cer-
ticados v alidos sejam considerados n ao con aveis e, de forma contr aria, que certicados n ao
con aveis sejam considerados v alidos (mais detalhes no Captulo Seguranca de computadores);
ao acessar um site Web, observe os smbolos indicativos de conex ao segura e leia com atenc ao
eventuais alertas exibidos pelo navegador (mais detalhes na Sec ao 10.1 do Captulo Uso seguro
da Internet);
caso o navegador n ao reconheca o certicado como con avel, apenas prossiga com a navegac ao
se tiver certeza da idoneidade da instituic ao e da integridade do certicado, pois, do contr ario,
poder a estar aceitando um certicado falso, criado especicamente para cometer fraudes (deta-
lhes sobre como fazer isto na Sec ao 10.1.2 do Captulo Uso seguro da Internet).
10. Uso seguro da Internet
A Internet traz in umeras possibilidades de uso, por em para aproveitar cada uma delas de forma
segura e importante que alguns cuidados sejam tomados. Al em disto, como grande parte das ac oes
realizadas na Internet ocorrem por interm edio de navegadores Web e igualmente importante que voc e
saiba reconhecer os tipos de conex oes existentes e vericar a conabilidade dos certicados digitais
antes de aceit a-los (detalhes sobre como fazer isto s ao apresentados na Sec ao 10.1).
Alguns dos principais usos e cuidados que voc e deve ter ao utilizar a Internet s ao:
Ao usar navegadores Web:
mantenha-o atualizado, com a vers ao mais recente e com todas as atualizac oes aplicadas;
congure-o para vericar automaticamente atualizac oes, tanto dele pr oprio como de comple-
mentos que estejam instalados;
permita a execuc ao de programas Java e JavaScript, por em assegure-se de utilizar comple-
mentos, como o NoScript (disponvel para alguns navegadores), para liberar gradualmente a
execuc ao, conforme necess ario, e apenas em sites con aveis (mais detalhes na Sec ao 6.2 do
Captulo Outros riscos);
75
permita que programas ActiveX sejam executados apenas quando vierem de sites conhecidos e
con aveis (mais detalhes tamb em na Sec ao 6.2, do Captulo Outros riscos);
seja cuidadoso ao usar cookies caso deseje ter mais privacidade (mais detalhes na Sec ao 6.1 do
caso opte por permitir que o navegador grave as suas senhas, tenha certeza de cadastrar uma
chave mestra e de jamais esquec e-la (mais detalhes na Sec ao 8.4, do Captulo Contas e senhas);
mantenha seu computador seguro (mais detalhes no Captulo Seguranca de computadores).
Ao usar programas leitores de e-mails:
mantenha-o atualizado, com a vers ao mais recente e com as todas atualizac oes aplicadas;
congure-o para vericar automaticamente atualizac oes, tanto dele pr oprio como de comple-
mentos que estejam instalados;
n ao utilize-o como navegador Web (desligue o modo de visualizac ao no formato HTML);
seja cuidadoso ao usar cookies caso deseje ter mais privacidade (mais detalhes na Sec ao 6.1 do
seja cuidadoso ao clicar em links presentes em e-mails (se voc e realmente quiser acessar a
p agina do link, digite o endereco diretamente no seu navegador Web);
descone de arquivos anexados ` a mensagem mesmo que tenham sido enviados por pessoas ou
instituic oes conhecidas (o endereco do remetente pode ter sido falsicado e o arquivo anexo
pode estar infectado);
antes de abrir um arquivo anexado ` a mensagem tenha certeza de que ele n ao apresenta riscos,
vericando-o com ferramentas antimalware;
verique se seu sistema operacional est a congurado para mostrar a extens ao dos arquivos
anexados;
desligue as opc oes que permitem abrir ou executar automaticamente arquivos ou programas
anexados ` as mensagens;
desligue as opc oes de execuc ao de JavaScript e de programas Java;
habilite, se possvel, opc oes para marcar mensagens suspeitas de serem fraude;
use sempre criptograa para conex ao entre seu leitor de e-mails e os servidores de e-mail do
seu provedor;
Ao acessar Webmails:
seja cuidadoso ao acessar a p agina de seu Webmail para n ao ser vtima de phishing. Digite
a URL diretamente no navegador e tenha cuidado ao clicar em links recebidos por meio de
mensagens eletr onicas (mais detalhes na Sec ao 2.3 do Captulo Golpes na Internet);
10. Uso seguro da Internet 77
n ao utilize um site de busca para acessar seu Webmail (n ao h a necessidade disto, j a que URLs
deste tipo s ao, geralmente, bastante conhecidas);
seja cuidadoso ao elaborar sua senha de acesso ao Webmail para evitar que ela seja descoberta
por meio de ataques de forca bruta (mais detalhes na Sec ao 8.2 do Captulo Contas e senhas);
congure opc oes de recuperac ao de senha, como um endereco de e-mail alternativo, uma
quest ao de seguranca e um n umero de telefone celular (mais detalhes na Sec ao 8.5 do Cap-
tulo Contas e senhas);
evite acessar seu Webmail em computadores de terceiros e, caso seja realmente necess ario,
ative o modo de navegac ao an onima (mais detalhes na Sec ao 12.3 do Captulo Seguranca de
computadores);
certique-se de utilizar conex oes seguras sempre que acessar seu Webmail, especialmente ao
usar redes Wi-Fi p ublicas. Se possvel congure para que, por padr ao, sempre seja utilizada
conex ao via https (mais detalhes na Sec ao 10.1);
Ao efetuar transac oes banc arias e acessar sites de Internet Banking:
certique-se da proced encia do site e da utilizac ao de conex oes seguras ao realizar transac oes
banc arias via Web (mais detalhes na Sec ao 10.1);
somente acesse sites de instituic oes banc arias digitando o endereco diretamente no navegador
Web, nunca clicando em um link existente em uma p agina ou em uma mensagem;
n ao utilize um site de busca para acessar o site do seu banco (n ao h a necessidade disto, j a que
URLs deste tipo s ao, geralmente, bastante conhecidas);
ao acessar seu banco, forneca apenas uma posic ao do seu cart ao de seguranca (descone caso,
em um mesmo acesso, seja solicitada mais de uma posic ao);
n ao forneca senhas ou dados pessoais a terceiros, especialmente por telefone;
desconsidere mensagens de instituic oes banc arias com as quais voc e n ao tenha relac ao, princi-
palmente aquelas que solicitem dados pessoais ou a instalac ao de m odulos de seguranca;
sempre que car em d uvida, entre em contato com a central de relacionamento do seu banco ou
diretamente com o seu gerente;
n ao realize transac oes banc arias por meio de computadores de terceiros ou redes Wi-Fi p ublicas;
verique periodicamente o extrato da sua conta banc aria e do seu cart ao de cr edito e, caso
detecte algum lancamento suspeito, entre em contato imediatamente com o seu banco ou com
a operadora do seu cart ao;
antes de instalar um m odulo de seguranca, de qualquer Internet Banking, certique-se de que o
autor m odulo e realmente a instituic ao em quest ao;
Ao efetuar transac oes comerciais e acessar sites de com ercio eletr onico:
certique-se da proced encia do site e da utilizac ao de conex oes seguras ao realizar compras e
pagamentos via Web (mais detalhes na Sec ao 10.1);
somente acesse sites de com ercio eletr onico digitando o endereco diretamente no navegador
Web, nunca clicando em um link existente em uma p agina ou em uma mensagem;
n ao utilize um site de busca para acessar o site de com ercio eletr onico que voc e costuma acessar
(n ao h a necessidade disto, j a que URLs deste tipo s ao, geralmente, bastante conhecidas);
pesquise na Internet refer encias sobre o site antes de efetuar uma compra;
descone de precos muito abaixo dos praticados no mercado;
n ao realize compras ou pagamentos por meio de computadores de terceiros ou redes Wi-Fi
p ublicas;
sempre que car em d uvida, entre em contato com a central de relacionamento da empresa onde
est a fazendo a compra;
verique periodicamente o extrato da sua conta banc aria e do seu cart ao de cr edito e, caso
detecte algum lancamento suspeito, entre em contato imediatamente com o seu banco ou com
a operadora do seu cart ao de cr edito;
ao efetuar o pagamento de uma compra, nunca forneca dados de cart ao de cr edito em sites sem
conex ao segura ou em e-mails n ao criptografados;
10.1 Seguranca em conex oes Web
Ao navegar na Internet, e muito prov avel que a grande maioria dos acessos que voc e realiza n ao
envolva o tr afego de informac oes sigilosas, como quando voc e acessa sites de pesquisa ou de notcias.
Esses acessos s ao geralmente realizados pelo protocolo HTTP, onde as informac oes trafegam em texto
claro, ou seja, sem o uso de criptograa.
O protocolo HTTP, al em de n ao oferecer criptograa, tamb em n ao garante que os dados n ao
possam ser interceptados, coletados, modicados ou retransmitidos e nem que voc e esteja se comuni-
cando exatamente com o site desejado. Por estas caractersticas, ele n ao e indicado para transmiss oes
que envolvem informac oes sigilosas, como senhas, n umeros de cart ao de cr edito e dados banc arios, e
deve ser substitudo pelo HTTPS, que oferece conex oes seguras.
O protocolo HTTPS utiliza certicados digitais para assegurar a identidade, tanto do site de des-
tino como a sua pr opria, caso voc e possua um. Tamb em utiliza m etodos criptogr acos e outros
protocolos, como o SSL (Secure Sockets Layer) e o TLS (Transport Layer Security), para assegurar
a condencialidade e a integridade das informac oes.
Sempre que um acesso envolver a transmiss ao de informac oes sigilosas, e importante certicar-
se do uso de conex oes seguras. Para isso, voc e deve saber como identicar o tipo de conex ao sendo
realizada pelo seu navegador Web e car atento aos alertas apresentados durante a navegac ao, para que
possa, se necess ario, tomar decis oes apropriadas. Dicas para ajud a-lo nestas tarefas s ao apresentadas
nas Sec oes 10.1.1 e 10.1.2.
10.1.1 Tipos de conex ao
Para facilitar a identicac ao do tipo de conex ao em uso voc e pode buscar auxlio dos mecanismos
gr acos disponveis nos navegadores Web
1
mais usados atualmente. Estes mecanismos, apesar de
poderem variar de acordo com o fabricante de cada navegador, do sistema operacional e da vers ao
em uso, servem como um forte indcio do tipo de conex ao sendo usada e podem orient a-lo a tomar
decis oes corretas.
De maneira geral, voc e vai se deparar com os seguintes tipos de conex oes:
Conex ao padr ao: e a usada na maioria dos acessos realizados. N ao prov e requisitos de seguranca.
Alguns indicadores deste tipo de conex ao, ilustrados na Figura 10.1, s ao:
o endereco do site comeca com http://;
em alguns navegadores, o tipo de protocolo usado (HTTP), por ser o padr ao das conex oes,
pode ser omitido na barra de enderecos;
um smbolo do site (logotipo) e apresentado pr oximo ` a barra de endereco e, ao passar o
mouse sobre ele, n ao e possvel obter detalhes sobre a identidade do site.
Figura 10.1: Conex ao n ao segura em diversos navegadores.
Conex ao segura: e a que deve ser utilizada quando dados sensveis s ao transmitidos, geralmente
usada para acesso a sites de Internet Banking e de com ercio eletr onico. Prov e autenticac ao,
integridade e condencialidade, como requisitos de seguranca. Alguns indicadores deste tipo
de conex ao, ilustrados na Figura 10.2, s ao:
o endereco do site comeca com https://;
o desenho de um cadeado fechado e mostrado na barra de endereco e, ao clicar sobre
ele, detalhes sobre a conex ao e sobre o certicado digital em uso s ao exibidos;
um recorte colorido (branco ou azul) com o nome do domnio do site e mostrado ao lado
da barra de endereco (` a esquerda ou ` a direita) e, ao passar o mouse ou clicar sobre ele, s ao
exibidos detalhes sobre conex ao e certicado digital em uso
2
.
Figura 10.2: Conex ao segura em diversos navegadores.
Conex ao segura com EV SSL: prov e os mesmos requisitos de seguranca que a conex ao segura an-
terior, por em com maior grau de conabilidade quanto ` a identidade do site e de seu dono, pois
utiliza certicados EV SSL (mais detalhes na Sec ao 9.4 do Captulo Criptograa). Al em de
apresentar indicadores similares aos apresentados na conex ao segura sem o uso de EV SSL,
tamb em introduz um indicador pr oprio, ilustrado na Figura 10.3, que e:
a barra de endereco e/ou o recorte s ao apresentados na cor verde e no recorte e colocado
o nome da instituic ao dona do site
3
.
Figura 10.3: Conex ao segura usando EV SSL em diversos navegadores.
Outro nvel de protec ao de conex ao usada na Internet envolve o uso de certicados autoassinados
e/ou cuja cadeia de certicac ao n ao foi reconhecida. Este tipo de conex ao n ao pode ser caracteri-
zado como sendo totalmente seguro (e nem totalmente inseguro) pois, apesar de prover integridade e
condencialidade, n ao prov e autenticac ao, j a que n ao h a garantias relativas ao certicado em uso.
Quando voc e acessa um site utilizando o protocolo HTTPS, mas seu navegador n ao reconhece a
cadeia de certicac ao, ele emite avisos como os descritos na Sec ao 10.1.2 e ilustrados na Figura 10.6.
Caso voc e, apesar dos riscos, opte por aceitar o certicado, a simbologia mostrada pelo seu navegador
ser a a ilustrada na Figura 10.4. Alguns indicadores deste tipo de conex ao s ao:
um cadeado com um X vermelho e apresentado na barra de endereco;
1
A simbologia usada pelos navegadores Web pode ser diferente quando apresentada em dispositivos m oveis.
2
De maneira geral, as cores branco, azul e verde indicam que o site usa conex ao segura. Ao passo que as cores amarelo
e vermelho indicam que pode haver algum tipo de problema relacionado ao certicado em uso.
3
As cores azul e branco indicam que o site possui um certicado de validac ao de domnio (a entidade dona do site
det em o direito de uso do nome de domnio) e a cor verde indica que o site possui um certicado de validac ao estendida
(a entidade dona do site det em o direito de uso do nome de domnio em quest ao e encontra-se legalmente registrada).
a identicac ao do protocolo https e apresentado em vermelho e riscado;
a barra de endereco muda de cor, cando totalmente vermelha;
um indicativo de erro do certicado e apresentado na barra de endereco;
um recorte colorido com o nome do domnio do site ou da instituic ao (dona do certicado) e
mostrado ao lado da barra de endereco e, ao passar o mouse sobre ele, e informado que uma
excec ao foi adicionada.
Figura 10.4: Conex ao HTTPS com cadeia de certicac ao n ao reconhecida.
Certos sites fazem uso combinado, na mesma p agina Web, de conex ao segura e n ao segura. Neste
caso, pode ser que o cadeado desapareca, que seja exibido um cone modicado (por exemplo, um
cadeado com tri angulo amarelo), que o recorte contendo informac oes sobre o site deixe de ser exibido
ou ainda haja mudanca de cor na barra de endereco, como ilustrado na Figura 10.5.
Figura 10.5: Uso combinado de conex ao segura e n ao segura.
Mais detalhes sobre como reconhecer o tipo de conex ao em uso podem ser obtidos em:
Chrome - Como funcionam os indicadores de seguranca do website (em portugu es)
http://support.google.com/chrome/bin/answer.py?hl=pt-BR&answer=95617
Mozilla Firefox - How do I tell if my connection to a website is secure? (em ingl es)
http://support.mozilla.org/en-US/kb/Site Identity Button
Internet Explorer - Dicas para fazer transac oes online seguras (em portugu es)
http://windows.microsoft.com/pt-BR/windows7/Tips-for-making-secure-online-
transaction-in-Internet-Explorer-9
Safari - Using encryption and secure connections (em ingl es)
http://support.apple.com/kb/HT2573
10.1.2 Como vericar se um certicado digital e con avel
Para saber se um certicado e con avel, e necess ario observar alguns requisitos, dentre eles:
se o certicado foi emitido por uma AC con avel (pertence a uma cadeia de conanca reconhe-
cida);
se o certicado est a dentro do prazo de validade;
se o certicado n ao foi revogado pela AC emissora;
se o dono do certicado confere com a entidade com a qual est a se comunicando (por exemplo:
o nome do site).
Quando voc e tenta acessar um site utilizando conex ao segura, normalmente seu navegador j a
realiza todas estas vericac oes. Caso alguma delas falhe, o navegador emite alertas semelhantes aos
mostrados na Figura 10.6.
Figura 10.6: Alerta de certicado n ao con avel em diversos navegadores.
Em geral, alertas s ao emitidos em situac oes como:
o certicado est a fora do prazo de validade;
o navegador n ao identicou a cadeia de certicac ao (dentre as possibilidades, o certicado
pode pertencer a uma cadeia n ao reconhecida, ser autoassinado ou o navegador pode estar
desatualizado e n ao conter certicados mais recentes de ACs);
o endereco do site n ao confere com o descrito no certicado;
o certicado foi revogado.
Ao receber os alertas do seu navegador voc e pode optar por:
Desistir da navegac ao: dependendo do navegador, ao selecionar esta opc ao voc e ser a redirecionado
para uma p agina padr ao ou a janela do navegador ser a fechada.
Solicitar detalhes sobre o problema: ao selecionar esta opc ao, detalhes t ecnicos ser ao mostrados e
voc e pode us a-los para compreender o motivo do alerta e decidir qual opc ao selecionar.
Aceitar os riscos: caso voc e, mesmo ciente dos riscos, selecione esta opc ao, a p agina desejada ser a
apresentada e, dependendo do navegador, voc e ainda ter a a opc ao de visualizar o certicado
antes de efetivamente aceit a-lo e de adicionar uma excec ao (permanente ou tempor aria).
Caso voc e opte por aceitar os riscos e adicionar uma excec ao, e importante que, antes de enviar
qualquer dado condencial, verique o conte udo do certicado e observe:
se o nome da instituic ao apresentado no certicado e realmente da instituic ao que voc e deseja
acessar. Caso n ao seja, este e um forte indcio de certicado falso;
se as identicac oes de dono do certicado e da AC emissora s ao iguais. Caso sejam, este e um
forte indcio de que se trata de umcerticado autoassinado. Observe que instituic oes nanceiras
e de com ercio eletr onico s erias dicilmente usam certicados deste tipo;
se o certicado encontra-se dentro do prazo de validade. Caso n ao esteja, provavelmente o
certicado est a expirado ou a data do seu computador n ao est a corretamente congurada.
De qualquer modo, caso voc e receba um certicado desconhecido ao acessar um site e tenha
alguma d uvida ou desconanca, n ao envie qualquer informac ao para o site antes de entrar em contato
com a instituic ao que o mant em para esclarecer o ocorrido.
11. Privacidade
Nada impede que voc e abdique de sua privacidade e, de livre e espont anea vontade, divulgue
informac oes sobre voc e. Entretanto, h a situac oes em que, mesmo que voc e queira manter a sua
privacidade, ela pode ser exposta independente da sua vontade, por exemplo quando:
outras pessoas divulgam informac oes sobre voc e ou imagens onde voc e est a presente, sem a
sua autorizac ao pr evia;
algu em, indevidamente, coleta informac oes que trafegam na rede sem estarem criptografadas,
como o conte udo dos e-mails enviados e recebidos por voc e (mais detalhes na Sec ao 3.4 do
Captulo Ataques na Internet);
um atacante ou um c odigo malicioso obt em acesso aos dados que voc e digita ou que est ao
armazenados em seu computador (mais detalhes no Captulo C odigos maliciosos (Malware));
um atacante invade a sua conta de e-mail ou de sua rede social e acessa informac oes restritas;
um atacante invade um computador no qual seus dados est ao armazenados como, por exemplo,
um servidor de e-mails
1
;
1
Normalmente existe um consenso etico entre administradores de redes e provedores de nunca lerem a caixa postal de
um usu ario sem o seu consentimento.
85
seus h abitos e suas prefer encias de navegac ao s ao coletadas pelos sites que voc e acessa e repas-
sadas para terceiros (mais detalhes na Sec ao 6.1 do Captulo Outros riscos).
Para tentar proteger a sua privacidade na Internet h a alguns cuidados que voc e deve tomar, como:
Ao acessar e armazenar seus e-mails:
congure seu programa leitor de e-mails para n ao abrir imagens que n ao estejam na pr opria
mensagem (o fato da imagem ser acessada pode ser usado para conrmar que o e-mail foi lido);
utilize programas leitores de e-mails que permitam que as mensagens sejam criptografadas, de
modo que apenas possam ser lidas por quem conseguir decodic a-las;
armazene e-mails condenciais em formato criptografado para evitar que sejam lidos por ata-
cantes ou pela ac ao de c odigos maliciosos (voc e pode decodic a-los sempre que desejar l e-los);
utilize conex ao segura sempre que estiver acessando seus e-mails por meio de navegadores Web,
para evitar que eles sejam interceptados;
utilize criptograa para conex ao entre seu leitor de e-mails e os servidores de e-mail do seu
provedor;
seja cuidadoso ao usar computadores de terceiros ou potencialmente infectados, para evitar que
suas senhas sejam obtidas e seus e-mails indevidamente acessados;
seja cuidadoso ao acessar seu Webmail, digite a URL diretamente no navegador e tenha cuidado
ao clicar em links recebidos por meio de mensagens eletr onicas;
Ao navegar na Web:
seja cuidadoso ao usar cookies, pois eles podem ser usados para rastrear e manter as suas pre-
fer encias de navegac ao, as quais podem ser compartilhadas entre diversos sites (mais detalhes
na Sec ao 6.1 do Captulo Outros riscos);
utilize, quando disponvel, navegac ao an onima, por meio de anonymizers ou de opc oes dis-
ponibilizadas pelos navegadores Web (chamadas de privativa ou InPrivate). Ao fazer isto,
informac oes, como cookies, sites acessados e dados de formul arios, n ao s ao gravadas pelo na-
vegador Web;
utilize, quando disponvel, opc oes que indiquem aos sites que voc e n ao deseja ser rastreado
(Do Not Track). Alguns navegadores oferecem congurac oes de privacidade que permitem
que voc e informe aos sites que n ao deseja que informac oes que possam afetar sua privacidade
sejam coletadas
2
;
utilize, quando disponvel, listas de protec ao contra rastreamento, que permitem que voc e libere
ou bloqueie os sites que podem rastre a-lo;
2
At e o momento de escrita desta Cartilha, n ao existe um consenso sobre quais s ao essas informac oes. Al em disto, as
congurac oes de rastreamento servem como um indicativo ao sites Web e n ao h a nada que os obrigue a respeit a-las.
11. Privacidade 87
Ao divulgar informac oes na Web:
esteja atento e avalie com cuidado as informac oes divulgadas em sua p agina Web ou blog, pois
elas podem n ao s o ser usadas por algu em mal-intencionado, por exemplo, em um golpe de
engenharia social, mas tamb em para atentar contra a seguranca do seu computador, ou mesmo
contra a sua seguranca fsica;
procure divulgar a menor quantidade possvel de informac oes, tanto sobre voc e como sobre
seus amigos e familiares, e tente orient a-los a fazer o mesmo;
sempre que algu em solicitar dados sobre voc e ou quando preencher algum cadastro, reita se e
realmente necess ario que aquela empresa ou pessoa tenha acesso ` aquelas informac oes;
ao receber ofertas de emprego pela Internet, que solicitem o seu currculo, tente limitar a quan-
tidade de informac oes nele disponibilizada e apenas forneca mais dados quando estiver seguro
de que a empresa e a oferta s ao legtimas;
que atento a ligac oes telef onicas e e-mails pelos quais algu em, geralmente falando em nome
de alguma instituic ao, solicita informac oes pessoais sobre voc e, inclusive senhas;
seja cuidadoso ao divulgar informac oes em redes sociais, principalmente aquelas envolvendo
a sua localizac ao geogr aca pois, com base nela, e possvel descobrir a sua rotina, deduzir
informac oes (como h abitos e classe nanceira) e tentar prever os pr oximos passos seus ou de
seus familiares (mais detalhes na Sec ao 11.1).
11.1 Redes sociais
As redes sociais permitem que os usu arios criem pers e os utili-
zem para se conectar a outros usu arios, compartilhar informac oes e se
agrupar de acordo com interesses em comum. Alguns exemplos s ao:
Facebook, Orkut, Twitter, Linkedin, Google+ e foursquare.
As redes sociais, atualmente, j a fazem parte do cotidiano de grande parte do usu arios da Internet,
que as utilizam para se informar sobre os assuntos do momento e para saber o que seus amigos e
dolos est ao fazendo, o que est ao pensando e onde est ao. Tamb em s ao usadas para outros ns, como
selec ao de candidatos para vagas de emprego, pesquisas de opini ao e mobilizac oes sociais.
As redes sociais possuem algumas caractersticas pr oprias que as diferenciam de outros meios
de comunicac ao, como a velocidade com que as informac oes se propagam, a grande quantidade de
pessoas que elas conseguem atingir e a riqueza de informac oes pessoais que elas disponibilizam.
Essas caractersticas, somadas ao alto grau de conanca que os usu arios costumam depositar entre si,
fez com que as redes sociais chamassem a atenc ao, tamb em, de pessoas mal-intencionadas.
Alguns dos principais riscos relacionados ao uso de redes sociais s ao:
Contato com pessoas mal-intencionadas: qualquer pessoa pode criar um perl falso, tentando se
passar por uma pessoa conhecida e, sem que saiba, voc e pode ter na sua rede (lista) de contatos
pessoas com as quais jamais se relacionaria no dia a dia.
Furto de identidade: assim como voc e pode ter um impostor na sua lista de contatos, tamb em pode
acontecer de algu em tentar se passar por voc e e criar um perl falso. Quanto mais informac oes
voc e divulga, mais convincente o seu perl falso poder a ser e maiores ser ao as chances de seus
amigos acreditarem que est ao realmente se relacionando com voc e.
Invas ao de perl: por meio de ataques de forca bruta, do acesso a p aginas falsas ou do uso de com-
putadores infectados, voc e pode ter o seu perl invadido. Atacantes costumam fazer isto para,
al em de furtar a sua identidade, explorar a conanca que a sua rede de contatos deposita em
voc e e us a-la para o envio de spam e c odigos maliciosos.
Uso indevido de informac oes: as informac oes que voc e divulga, al em de poderem ser usadas para
a criac ao de perl falso, tamb em podem ser usadas em ataques de forca bruta, em golpes de
engenharia social e para responder quest oes de seguranca usadas para recuperac ao de senhas.
Invas ao de privacidade: quanto maior a sua rede de contatos, maior e o n umero de pessoas que
possui acesso ao que voc e divulga, e menores s ao as garantias de que suas informac oes n ao
ser ao repassadas. Al em disso, n ao h a como controlar o que os outros divulgam sobre voc e.
Vazamento de informac oes: h a diversos casos de empresas que tiveram o conte udo de reuni oes e
detalhes t ecnicos de novos produtos divulgados na Internet e que, por isto, foram obrigadas a
rever polticas e antecipar, adiar ou cancelar decis oes.
Disponibilizac ao de informac oes condenciais: emuma troca amig avel de mensagens voc e pode
ser persuadido a fornecer seu e-mail, telefone, endereco, senhas, n umero do cart ao de cr edito,
etc. As consequ encias podem ser desde o recebimento de mensagens indesej aveis at e a utiliza-
c ao do n umero de seu cart ao de cr edito para fazer compras em seu nome.
Recebimento de mensagens maliciosas: algu em pode lhe enviar um arquivo contendo c odigos ma-
liciosos ou induzi-lo a clicar em um link que o levar a a uma p agina Web comprometida.
Acesso a conte udos impr oprios ou ofensivos: como n ao h a um controle imediato sobre o que as
pessoas divulgam, pode ocorrer de voc e se deparar com mensagens ou imagens que contenham
pornograa, viol encia ou que incitem o odio e o racismo.
Danos ` a imagem e ` a reputac ao: cal unia e difamac ao podem rapidamente se propagar, jamais serem
excludas e causarem grandes danos ` as pessoas envolvidas, colocando em risco a vida prossi-
onal e trazendo problemas familiares, psicol ogicos e de convvio social. Tamb em podem fazer
com que empresas percam clientes e tenham prejuzos nanceiros.
Sequestro: dados de localizac ao podem ser usados por criminosos para descobrir a sua rotina e
planejar o melhor hor ario e local para abord a-lo. Por exemplo: se voc e zer check-in (se
registrar no sistema) ao chegar em um cinema, um sequestrador pode deduzir que voc e car a
por l a cerca de 2 horas (durac ao m edia de um lme) e ter a este tempo para se deslocar e
programar o sequestro.
Furto de bens: quando voc e divulga que estar a ausente por um determinado perodo de tempo para
curtir as suas merecidas f erias, esta informac ao pode ser usada por ladr oes para saber quando e
por quanto tempo a sua resid encia car a vazia. Ao retornar, voc e pode ter a infeliz surpresa de
descobrir que seus bens foram furtados.
11. Privacidade 89
A seguir, observe alguns cuidados que voc e deve ter ao usar as redes sociais.
Preserve a sua privacidade:
considere que voc e est a em um local p ublico, que tudo que voc e divulga pode ser lido ou
acessado por qualquer pessoa, tanto agora como futuramente;
pense bem antes de divulgar algo, pois n ao h a possibilidade de arrependimento. Uma frase
ou imagem fora de contexto pode ser mal-interpretada e causar mal-entendidos. Ap os uma
informac ao ou imagem se propagar, dicilmente ela poder a ser totalmente excluda;
use as opc oes de privacidade oferecidas pelos sites e procure ser o mais restritivo possvel
(algumas opc oes costumam vir, por padr ao, conguradas como p ublicas e devem ser alteradas);
mantenha seu perl e seus dados privados, permitindo o acesso somente a pessoas ou grupos
especcos;
procure restringir quem pode ter acesso ao seu endereco de e-mail, pois muitos spammers
utilizam esses dados para alimentar listas de envio de spam;
seja seletivo ao aceitar seus contatos, pois quanto maior for a sua rede, maior ser a o n umero
de pessoas com acesso ` as suas informac oes. Aceite convites de pessoas que voc e realmente
conheca e para quem contaria as informac oes que costuma divulgar;
n ao acredite em tudo que voc e l e. Nunca repasse mensagens que possam gerar p anico ou afetar
outras pessoas, sem antes vericar a veracidade da informac ao;
seja cuidadoso ao se associar a comunidades e grupos, pois por meio deles muitas vezes e
possvel deduzir informac oes pessoais, como h abitos, rotina e classe social.
Seja cuidadoso ao fornecer a sua localizac ao:
observe o fundo de imagens (como fotos e vdeos), pois podem indicar a sua localizac ao;
n ao divulgue planos de viagens e nem por quanto tempo car a ausente da sua resid encia;
ao usar redes sociais baseadas em geolocalizac ao, procure se registrar (fazer check-in) em locais
movimentados e nunca em locais considerados perigosos;
ao usar redes sociais baseadas em geolocalizac ao, procure fazer check-in quando sair do local,
ao inv es de quando chegar.
Respeite a privacidade alheia:
n ao divulgue, sem autorizac ao, imagens em que outras pessoas aparecam;
n ao divulgue mensagens ou imagens copiadas do perl de pessoas que restrinjam o acesso;
seja cuidadoso ao falar sobre as ac oes, h abitos e rotina de outras pessoas;
tente imaginar como a outra pessoa se sentiria ao saber que aquilo est a se tornando p ublico.
Previna-se contra c odigos maliciosos e phishing:
mantenha o seu computador seguro, com os programas atualizados e com todas as atualizac oes
aplicadas (mais detalhes no Captulo Seguranca de computadores);
utilize e mantenha atualizados mecanismos de protec ao, como antimalware e rewall pessoal
(mais detalhes no Captulo Mecanismos de seguranca);
descone de mensagens recebidas mesmo que tenham vindo de pessoas conhecidas, pois elas
podem ter sido enviadas de pers falsos ou invadidos;
seja cuidadoso ao acessar links reduzidos. H a sites e complementos para o seu navegador que
permitem que voc e expanda o link antes de clicar sobre ele (mais detalhes na Sec ao 7.10 do
Captulo Mecanismos de seguranca).
Proteja o seu perl:
seja cuidadoso ao usar e ao elaborar as suas senhas (mais detalhes no Captulo Contas e senhas);
habilite, quando disponvel, as noticac oes de login, pois assim ca mais f acil perceber se
outras pessoas estiverem utilizando indevidamente o seu perl;
use sempre a opc ao de logout para n ao esquecer a sess ao aberta;
denuncie casos de abusos, como imagens indevidas e pers falsos ou invadidos.
Proteja sua vida prossional:
cuide da sua imagem prossional. Antes de divulgar uma informac ao, procure avaliar se, de
alguma forma, ela pode atrapalhar um processo seletivo que voc e venha a participar (muitas
empresas consultam as redes sociais ` a procura de informac oes sobre os candidatos, antes de
contrat a-los);
verique se sua empresa possui um c odigo de conduta e procure estar ciente dele. Observe
principalmente as regras relacionadas ao uso de recursos e divulgac ao de informac oes;
evite divulgar detalhes sobre o seu trabalho, pois isto pode beneciar empresas concorrentes e
colocar em risco o seu emprego;
preserve a imagem da sua empresa. Antes de divulgar uma informac ao, procure avaliar se, de
alguma forma, ela pode prejudicar a imagem e os neg ocios da empresa e, indiretamente, voc e
mesmo;
proteja seu emprego. Sua rede de contatos pode conter pessoas do crculo prossional que
podem n ao gostar de saber que, por exemplo, a causa do seu cansaco ou da sua aus encia e
aquela festa que voc e foi e sobre a qual publicou diversas fotos;
use redes sociais ou crculos distintos para ns especcos. Voc e pode usar, por exemplo, u-
ma rede social para amigos e outra para assuntos prossionais ou separar seus contatos em
diferentes grupos, de forma a tentar restringir as informac oes de acordo com os diferentes tipos
de pessoas com os quais voc e se relaciona;
11. Privacidade 91
Proteja seus lhos:
procure deixar seus lhos conscientes dos riscos envolvidos no uso das redes sociais;
procure respeitar os limites de idade estipulados pelos sites (eles n ao foram denidos ` a toa);
oriente seus lhos para n ao se relacionarem com estranhos e para nunca fornecerem informa-
c oes pessoais, sobre eles pr oprios ou sobre outros membros da famlia;
oriente seus lhos a n ao divulgarem informac oes sobre h abitos familiares e nem de localizac ao
(atual ou futura);
oriente seus lhos para jamais marcarem encontros com pessoas estranhas;
oriente seus lhos sobre os riscos de uso da webcam e que eles nunca devem utiliz a-la para se
comunicar com estranhos;
procure deixar o computador usado pelos seus lhos em um local p ublico da casa (dessa forma,
mesmo a dist ancia, e possvel observar o que eles est ao fazendo e vericar o comportamento
deles).
12. Seguranca de computadores
Muito provavelmente e em seu computador pessoal que a maioria dos seus dados est a gravada e,
por meio dele, que voc e acessa e-mails e redes sociais e realiza transac oes banc arias e comerciais.
Por isto, mant e-lo seguro e essencial para se proteger dos riscos envolvidos no uso da Internet.
Al em disto, ao manter seu computador seguro, voc e diminui as chances dele ser indevidamente
utilizado para atividades maliciosas, como disseminac ao de spam, propagac ao de c odigos maliciosos
e participac ao em ataques realizados via Internet.
Muitas vezes, os atacantes est ao interessados em conseguir o acesso ` a grande quantidade de com-
putadores, independente de quais s ao e das congurac oes que possuem. Por isto, acreditar que seu
computador est a protegido por n ao apresentar atrativos para um atacante pode ser um grande erro.
Para manter seu computador pessoal seguro, e importante que voc e:
Mantenha os programas instalados com as vers oes mais recentes:
Fabricantes costumam lancar novas vers oes quando h a recursos a serem adicionados e vulnera-
bilidades a serem corrigidas. Sempre que uma nova vers ao for lancada, ela deve ser prontamente
instalada, pois isto pode ajudar a proteger seu computador da ac ao de atacantes e c odigos maliciosos.
93
Al em disto, alguns fabricantes deixam de dar suporte e de desenvolver atualizac oes para vers oes
antigas, o que signica que vulnerabilidades que possam vir a ser descobertas n ao ser ao corrigidas.
remova programas que voc e n ao utiliza mais. Programas n ao usados tendem a ser esquecidos e
a car com vers oes antigas (e potencialmente vulner aveis);
remova as vers oes antigas. Existem programas que permitem que duas ou mais vers oes estejam
instaladas ao mesmo tempo. Nestes casos, voc e deve manter apenas a vers ao mais recente e
remover as mais antigas;
tenha o h abito de vericar a exist encia de novas vers oes, por meio de opc oes disponibilizadas
pelos pr oprios programas ou acessando diretamente os sites dos fabricantes.
Mantenha os programas instalados com todas as atualizac oes aplicadas:
Quando vulnerabilidades s ao descobertas, certos fabri-
cantes costumam lancar atualizac oes especcas, chamadas
de patches, hot xes ou service packs. Portanto, para man-
ter os programas instalados livres de vulnerabilidades, al em
de manter as vers oes mais recentes, e importante que sejam
aplicadas todas as atualizac oes disponveis.
congure, quando possvel, para que os programas sejam atualizados automaticamente;
programe as atualizac oes autom aticas para serem baixadas e aplicadas em hor arios em que
seu computador esteja ligado e conectado ` a Internet. Alguns programas, por padr ao, s ao con-
gurados para que as atualizac oes sejam feitas de madrugada, perodo no qual grande parte
dos computadores est a desligada (as atualizac oes que n ao foram feitas no hor ario programado
podem n ao ser feitas quando ele for novamente ligado);
no caso de programas que n ao possuam o recurso de atualizac ao autom atica, ou caso voc e opte
por n ao utilizar este recurso, e importante visitar constantemente os sites dos fabricantes para
vericar a exist encia de novas atualizac oes;
utilize programas para vericac ao de vulnerabilidades, como o PSI (mais detalhes na Sec ao 7.10
do Captulo Mecanismos de seguranca), para vericar se os programas instalados em seu com-
putador est ao atualizados.
Use apenas programas originais:
O uso de programas n ao originais pode colocar em risco a seguranca do seu computador j a que
muitos fabricantes n ao permitem a realizac ao de atualizac oes quando detectam vers oes n ao licencia-
das. Al em disto, a instalac ao de programas deste tipo, obtidos de mdias e sites n ao con aveis ou via
programas de compartilhamento de arquivos, pode incluir a instalac ao de c odigos maliciosos.
ao adquirir computadores com programas pr e-instalados, procure certicar-se de que eles s ao
originais solicitando ao revendedor as licencas de uso;
ao enviar seu computador para manutenc ao, n ao permita a instalac ao de programas que n ao
sejam originais;
12. Seguranca de computadores 95
caso deseje usar um programa propriet ario, mas n ao tenha recursos para adquirir a licenca, pro-
cure por alternativas gratuitas ou mais baratas e que apresentem funcionalidades semelhantes
as desejadas.
Use mecanismos de protec ao:
O uso de mecanismos de protec ao, como programas antimalware
e rewall pessoal, pode contribuir para que seu computador n ao seja
infectado/invadido e para que n ao participe de atividades maliciosas.
utilize mecanismos de seguranca, como os descritos no Captulo Mecanismos de seguranca;
mantenha seu antimalware atualizado, incluindo o arquivo de assinaturas;
assegure-se de ter um rewall pessoal instalado e ativo em seu computador;
crie um disco de emerg encia e o utilize quando desconar que o antimalware instalado est a
desabilitado/comprometido ou que o comportamento do computador est a estranho (mais lento,
gravando ou lendo o disco rgido com muita frequ encia, etc.);
verique periodicamente os logs gerados pelo seu rewall pessoal, sistema operacional e anti-
malware (observe se h a registros que possam indicar algum problema de seguranca).
Use as congurac oes de seguranca j a disponveis:
Muitos programas disponibilizamopc oes de seguranca, mas que, por padr ao, v emdesabilitadas ou
em nveis considerados baixos. A correta congurac ao destas opc oes pode contribuir para melhorar
a seguranca geral do seu computador.
observe as congurac oes de seguranca e privacidade oferecidas pelos programas instalados em
seu computador (como programas leitores de e-mails e navegadores Web) e altere-as caso n ao
estejam de acordo com as suas necessidades.
Seja cuidadoso ao manipular arquivos:
Alguns mecanismos, como os programas antimalware, s ao importantes para proteger seu compu-
tador contra ameacas j a conhecidas, mas podem n ao servir para aquelas ainda n ao detectadas. No-
vos c odigos maliciosos podem surgir, a velocidades nem sempre acompanhadas pela capacidade de
atualizac ao dos mecanismos de seguranca e, por isto, adotar uma postura preventiva e t ao importante
quanto as outras medidas de seguranca aplicadas.
seja cuidadoso ao clicar em links, independente de como foram recebidos e de quem os enviou;
seja cuidadoso ao clicar em links curtos, procure usar complementos que possibilitem que o
link de destino seja visualizado;
n ao considere que mensagens vindas de conhecidos s ao sempre con aveis, pois o campo de re-
metente pode ter sido falsicado ou elas podem ter sido enviadas de contas falsas ou invadidas;
desabilite, em seu seu programa leitor de e-mails, a auto-execuc ao de arquivos anexados;
desabilite a auto-execuc ao de mdias removveis (se estiverem infectadas, elas podem compro-
meter o seu computador ao serem executadas);
n ao abra ou execute arquivos sem antes veric a-los com seu antimalware;
congure seu antimalware para vericar todos os formatos de arquivo pois, apesar de inicial-
mente algumas extens oes terem sido mais usadas para a disseminac ao de c odigos maliciosos,
atualmente isso j a n ao e mais v alido;
tenha cuidado com extens oes ocultas. Alguns sistemas possuem como congurac ao padr ao
ocultar a extens ao de tipos de arquivos conhecidos. Exemplo: se um atacante renomear o
arquivo exemplo.scr para exemplo.txt.scr, ao ser visualizado o nome do arquivo ser a
mostrado como exemplo.txt, j a que a extens ao .scr n ao ser a mostrada.
Alguns cuidados especiais para manipular arquivos contendo macros s ao:
verique o nvel de seguranca associado ` a execuc ao de macros e certique-se de associar um
nvel que, no mnimo, pergunte antes de execut a-las (normalmente associado ao nvel m edio);
permita a execuc ao de macros apenas quando realmente necess ario (caso n ao tenha certeza, e
melhor n ao permitir a execuc ao);
utilize visualizadores. Arquivos gerados, por exemplo, pelo Word, PowerPoint e Excel po-
dem ser visualizados e impressos, sem que as macros sejam executadas, usando visualizadores
gratuitos disponibilizados no site do fabricante.
Proteja seus dados:
O seu computador pessoal e, provavelmente, onde a maioria dos seus dados ca gravada. Por este
motivo, e importante que voc e tome medidas preventivas para evitar perd e-los.
faca regularmente backup dos seus dados. Para evitar que eles sejam perdidos em caso de furto
ou mal-funcionamento do computador (por exemplo, invas ao, infecc ao por c odigos maliciosos
ou problemas de hardware;
siga as dicas relacionadas a backups apresentadas na Sec ao 7.5 do Captulo Mecanismos de
seguranca.
Mantenha seu computador com a data e a hora corretas:
A data e a hora do seu computador s ao usadas na gerac ao de logs, na correlac ao de incidentes de
seguranca, na vericac ao de certicados digitais (para conferir se est ao v alidos). Portanto, e muito
importante que tome medidas para garantir que estejam sempre corretas.
observe as dicas sobre como manter a hora do seu computador sincronizado apresentadas em
http://ntp.br/.
Crie um disco de recuperac ao de sistema:
Discos de recuperac ao s ao uteis em caso de emerg encia, como atualizac oes mal-sucedidas ou des-
ligamentos abruptos que tenham corrompido arquivos essenciais ao funcionamento do sistema (cau-
sado geralmente por queda de energia). Al em disso, tamb em podem socorrer caso seu computador
seja infectado e o c odigo malicioso tenha apagado arquivos essenciais. Podem ser criados por meio
de opc oes do sistema operacional ou de programas antimalware que oferecam esta funcionalidade.
crie um disco de recuperac ao do seu sistema e certique-se de t e-lo sempre por perto, no caso
de emerg encias.
Seja cuidadoso ao instalar aplicativos desenvolvidos por terceiros:
ao instalar plug-ins, complementos e extens oes, procure ser bastante criterioso e siga as dicas
de prevenc ao apresentadas na Sec ao 6.4 do Captulo Outros riscos.
Seja cuidadoso ao enviar seu computador para servicos de manutenc ao:
procure selecionar uma empresa com boas refer encias;
pesquise na Internet sobre a empresa, ` a procura de opini ao de clientes sobre ela;
n ao permita a instalac ao de programas n ao originais;
se possvel, faca backups dos seus dados antes de enviar seu computador, para n ao correr o risco
de perd e-los acidentalmente ou como parte do processo de manutenc ao do seu computador;
se possvel, peca que a manutenc ao seja feita em sua resid encia, assim ca mais f acil de acom-
panhar a realizac ao do servico.
Seja cuidadoso ao utilizar o computador em locais p ublicos:
Quando usar seu computador em p ublico, e importante tomar cuidados para evitar que ele seja
furtado ou indevidamente utilizado por outras pessoas.
procure manter a seguranca fsica do seu computador, utilizando travas que dicultem que ele
seja aberto, que tenha pecas retiradas ou que seja furtado, como cadeados e cabos de aco;
procure manter seu computador bloqueado, para evitar que seja usado quando voc e n ao estiver
por perto (isso pode ser feito utilizando protetores de tela com senha ou com programas que
impedem o uso do computador caso um dispositivo especco n ao esteja conectado);
congure seu computador para solicitar senha na tela inicial (isso impede que algu em reinicie
seu computador e o acesse diretamente);
utilize criptograa de disco para que, em caso de perda ou furto, seus dados n ao sejam indevi-
damente acessados.
12.1 Administrac ao de contas de usu arios
A maioria dos sistemas operacionais possui 3 tipos de conta de usu ario:
Administrador (administrator, admin ou root): fornece controle completo sobre o computador, de-
vendo ser usada para atividades como criar/alterar/excluir outras contas, instalar programas de
uso geral e alterar de congurac ao que afetem os demais usu arios ou o sistema operacional.
Padr ao (standard, limitada ou limited): considerada de uso normal e que cont em os privil egios
que a grande maioria dos usu arios necessita para realizar tarefas rotineiras, como alterar con-
gurac oes pessoais, navegar, ler e-mails, redigir documentos, etc.
Convidado (guest): destinada aos usu arios eventuais, n ao possui senha e n ao pode ser acessada re-
motamente. Permite que o usu ario realize tarefas como navegar na Internet e executar progra-
mas j a instalados. Quando o usu ario que utilizou esta conta deixa de usar o sistema, todas as
informac oes e arquivos que foram criados referentes a ela s ao apagados.
Quando um programa e executado, ele herda as permiss oes da conta do usu ario que o execu-
tou e pode realizar operac oes e acessar arquivos de acordo com estas permiss oes. Se o usu ario em
quest ao estiver utilizando a conta de administrador, ent ao o programa poder a executar qualquer tipo
de operac ao e acessar todo tipo de arquivo.
A conta de administrador, portanto, deve ser usada apenas em situac oes nas quais uma conta
padr ao n ao tenha privil egios sucientes para realizar uma operac ao
1
. E, sobretudo, pelo menor tempo
possvel. Muitas pessoas, entretanto, por quest oes de comodidade ou falta de conhecimento, utilizam
esta conta para realizar todo tipo de atividade.
Utilizar nas atividades cotidianas uma conta com privil egios de administrador e um h abito que
deve ser evitado, pois voc e pode, por exemplo, apagar acidentalmente arquivos essenciais para o
funcionamento do sistema operacional ou instalar inadvertidamente um c odigo malicioso, que ter a
acesso irrestrito ao seu computador.
Alguns cuidados especcos referentes ` a administrac ao de contas em computadores pessoais s ao:
nunca compartilhe a senha de administrador;
crie uma conta padr ao e a utilize para a realizac ao de suas tarefas rotineiras;
utilize a conta de administrador apenas o mnimo necess ario;
use a opc ao de executar como administrador quando necessitar de privil egios administrativos;
crie tantas contas padr ao quantas forem as pessoas que utilizem o seu computador;
assegure que todas as contas existentes em seu computador tenham senha;
mantenha a conta de convidado sempre desabilitada (caso voc e queira utiliz a-la, libere-a pelo
tempo necess ario, mas tenha certeza de novamente bloque a-la quando n ao estiver mais em uso);
1
Esta recomendac ao baseia-se em um princpio de seguranca conhecido como privil egio mnimo e visa evitar danos
por uso equivocado ou n ao autorizado.
assegure que o seu computador esteja congurado para solicitar a conta de usu ario e a senha na
tela inicial;
assegure que a opc ao de login (inicio de sess ao) autom atico esteja desabilitada;
n ao crie e n ao permita o uso de contas compartilhadas, cada conta deve ser acessada apenas por
uma pessoa (assim e possvel rastrear as ac oes realizadas por cada um e detectar uso indevido);
crie tantas contas com privil egio de administrador quantas forem as pessoas que usem o seu
computador e que necessitem destes privil egios.
12.2 O que fazer se seu computador for comprometido
H a alguns indcios que, isoladamente ou em conjunto, podem indicar que seu computador foi
comprometido. Alguns deles s ao:
o computador desliga sozinho e sem motivo aparente;
o computador ca mais lento, tanto para ligar e desligar como para executar programas;
o acesso ` a Internet ca mais lento;
o acesso ao disco se torna muito frequente;
janelas de pop-up aparecem de forma inesperada;
mensagens de logs s ao geradas em excesso ou deixam de ser geradas;
arquivos de logs s ao apagados, sem nenhum motivo aparente;
atualizac oes do sistema operacional ou do antimalware n ao podem ser aplicadas.
Caso perceba estes indcios em seu computador e conclua que ele possa estar infectado ou inva-
dido, e importante que voc e tome medidas para tentar reverter os problemas. Para isto, os seguintes
passos devem ser executados por voc e:
a. Certique-se de que seu computador esteja atualizado (com a vers ao mais recente e com todas
as atualizac oes aplicadas). Caso n ao esteja, atualize-o imediatamente;
b. certique-se de que seu antimalware esteja sendo executado e atualizado, incluindo o arquivo
de assinaturas;
c. execute o antimalware, congurando-o para vericar todos os discos e analisar todas as ex-
tens oes de arquivos;
d. limpe os arquivos que o antimalware detectar como infectado caso haja algum;
e. caso deseje, utilize outro antimalware como, por exemplo, uma vers ao online (neste caso,
certique-se de temporariamente interromper a execuc ao do antimalware local).
Executar estes passos, na maioria das vezes, consegue resolver grande parte dos problemas rela-
cionados a c odigos maliciosos.

E necess ario, por em, que voc e verique se seu computador n ao foi
invadido e, para isto, voc e deve seguir os seguintes passos:
a. Certique-se de que seu rewall pessoal esteja ativo;
b. verique os logs do seu rewall pessoal. Caso encontre algo fora do padr ao e que o faca concluir
que seu computador tenha sido invadido, o melhor a ser feito e reinstal a-lo, pois dicilmente e
possvel determinar com certeza as ac oes do invasor;
c. antes de reinstal a-lo, faca backups de logs e notique ao CERT.br sobre a ocorr encia (mais
detalhes na Sec ao 7.2 do Captulo Mecanismos de seguranca);
d. reinstale o sistema operacional e aplique todas as atualizac oes, principalmente as de seguranca;
e. instale e atualize o seu programa antimalware;
f. instale ou ative o seu rewall pessoal;
g. recupere seus dados pessoais, por meio de um backup con avel.
Independente de seu computador ter sido infectado ou invadido, e importante alterar rapidamente
todas as senhas dos servicos que voc e costuma acessar por meio dele.
12.3 Cuidados ao usar computadores de terceiros
Ao usar outros computadores, seja de seus amigos, na sua escola, em lanhouse e cyber caf e, e
necess ario que os cuidados com seguranca sejam redobrados. Ao passo que no seu computador e
possvel tomar medidas preventivas para evitar os riscos de uso da Internet, ao usar um outro compu-
tador n ao h a como saber, com certeza, se estes mesmos cuidados est ao sendo devidamente tomados e
quais as atitudes dos demais usu arios. Alguns cuidados que voc e deve ter s ao:
utilize opc oes de navegar anonimamente, caso queria garantir sua privacidade (voc e pode usar
opc oes do pr oprio navegador Web ou anonymizers);
utilize um antimalware online para vericar se o computador est a infectado;
n ao efetue transac oes banc arias ou comerciais;
n ao utilize opc oes como Lembre-se de mim e Continuar conectado;
n ao permita que suas senhas sejam memorizadas pelo navegador Web;
limpe os dados pessoais salvos pelo navegador, como hist orico de navegac ao e cookies (os
navegadores disponibilizam opc oes que permitem que isto seja facilmente realizado);
assegure-se de sair (logout) de sua conta de usu ario, nos sites que voc e tenha acessado;
seja cuidadoso ao conectar mdias removveis, como pen-drives. Caso voc e use seu pen-drive
no computador de outra pessoa, assegure-se de veric a-lo com seu antimalware quando for
utiliz a-lo em seu computador;
ao retornar ao seu computador, procure alterar as senhas que, por ventura, voc e tenha utilizado.
13. Seguranca de redes
Inicialmente, grande parte dos acessos ` a Internet eram realizados por meio de conex ao discada
com velocidades que dicilmente ultrapassavam 56 Kbps. O usu ario, de posse de um modem e de
uma linha telef onica, se conectava ao provedor de acesso e mantinha esta conex ao apenas pelo tempo
necess ario para realizar as ac oes que dependessem da rede.
Desde ent ao, grandes avancos ocorreram e novas alternativas surgiram, sendo que atualmente
grande parte dos computadores pessoais cam conectados ` a rede pelo tempo em que estiverem ligados
e a velocidades que podem chegar a at e 100 Mbps
1
. Conex ao ` a Internet tamb em deixou de ser um
recurso oferecido apenas a computadores, visto a grande quantidade de equipamentos com acesso ` a
rede, como dispositivos m oveis, TVs, eletrodom esticos e sistemas de audio.
Independente do tipo de tecnologia usada, ao conectar o seu computador ` a rede ele pode estar
sujeito a ameacas, como:
Furto de dados: informac oes pessoais e outros dados podem ser obtidos tanto pela interceptac ao de
tr afego como pela explorac ao de possveis vulnerabilidades existentes em seu computador.
1
Estes dados baseiam-se nas tecnologias disponveis no momento de escrita desta Cartilha.
101
Uso indevido de recursos: um atacante pode ganhar acesso a um computador conectado ` a rede e uti-
liz a-lo para a pr atica de atividades maliciosas, como obter arquivos, disseminar spam, propagar
c odigos maliciosos, desferir ataques e esconder a real identidade do atacante.
Varredura: um atacante pode fazer varreduras na rede, a m de descobrir outros computadores e,
ent ao, tentar executar ac oes maliciosas, como ganhar acesso e explorar vulnerabilidades (mais
detalhes na Sec ao 3.2 do Captulo Ataques na Internet).
Interceptac ao de tr afego: um atacante, que venha a ter acesso ` a rede, pode tentar interceptar o
tr afego e, ent ao, coletar dados que estejam sendo transmitidos sem o uso de criptograa (mais
detalhes na Sec ao 3.4 do Captulo Ataques na Internet).
Explorac ao de vulnerabilidades: por meio da explorac ao de vulnerabilidades, umcomputador pode
ser infectado ou invadido e, sem que o dono saiba, participar de ataques, ter dados indevida-
mente coletados e ser usado para a propagac ao de c odigos maliciosos. Al em disto, equipamen-
tos de rede (como modems e roteadores) vulner aveis tamb em podem ser invadidos, terem as
congurac oes alteradas e fazerem com que as conex oes dos usu arios sejam redirecionadas para
sites fraudulentos.
Ataque de negac ao de servico: um atacante pode usar a rede para enviar grande volume de mensa-
gens para um computador, at e torn a-lo inoperante ou incapaz de se comunicar.
Ataque de forca bruta: computadores conectados ` a rede e que usem senhas como m etodo de auten-
ticac ao, est ao expostos a ataques de forca bruta. Muitos computadores, infelizmente, utilizam,
por padr ao, senhas de tamanho reduzido e/ou de conhecimento geral dos atacantes.
Ataque de personicac ao: um atacante pode introduzir ou substituir um dispositivo de rede para
induzir outros a se conectarem a este, ao inv es do dispositivo legtimo, permitindo a captura de
senhas de acesso e informac oes que por ele passem a trafegar.
Nas pr oximas sec oes s ao apresentados os cuidados gerais e independentes de tecnologia que voc e
ter ao usar redes, os tipos mais comuns de acesso ` a Internet, os riscos adicionais que eles podem
representar e algumas dicas de prevenc ao.
13.1 Cuidados gerais
Alguns cuidados que voc e deve tomar ao usar redes, independentemente da tecnologia, s ao:
mantenha seu computador atualizado, com as vers oes mais recentes e com todas as atualizac oes
aplicadas (mais detalhes no Captulo Seguranca de computadores);
utilize e mantenha atualizados mecanismos de seguranca, como programa antimalware e re-
wall pessoal (mais detalhes no Captulo Mecanismos de seguranca);
seja cuidadoso ao elaborar e ao usar suas senhas (mais detalhes no Captulo Contas e senhas);
utilize conex ao segura sempre que a comunicac ao envolver dados condenciais (mais detalhes
na Sec ao 10.1 do Captulo Uso seguro da Internet);
caso seu dispositivo permita o compartilhamento de recursos, desative esta func ao e somente a
ative quando necess ario e usando senhas difceis de serem descobertas.
13. Seguranca de redes 103
13.2 Wi-Fi
Wi-Fi (Wireless Fidelity) e um tipo de rede local que utiliza sinais de r adio para comunicac ao.
Possui dois modos b asicos de operac ao:
Infraestrutura: normalmente o mais encontrado, utiliza um concentrador de acesso (Access Point -
AP) ou um roteador wireless.
Ponto a ponto (ad-hoc): permite que um pequeno grupo de m aquinas se comunique diretamente,
sem a necessidade de um AP.
Redes Wi-Fi se tornaram populares pela mobilidade que oferecem e pela facilidade de instalac ao
e de uso em diferentes tipos de ambientes. Embora sejam bastante convenientes, h a alguns riscos que
voc e deve considerar ao us a-las, como:
por se comunicarem por meio de sinais de r adio, n ao h a a necessidade de acesso fsico a um
ambiente restrito, como ocorre com as redes cabeadas. Devido a isto, os dados transmitidos
por clientes legtimos podem ser interceptados por qualquer pessoa pr oxima com um mnimo
de equipamento (por exemplo, um notebook ou tablet);
por terem instalac ao bastante simples, muitas pessoas as instalam em casa (ou mesmo em em-
presas, sem o conhecimento dos administradores de rede), sem qualquer cuidado com congu-
rac oes mnimas de seguranca, e podem vir a ser abusadas por atacantes, por meio de uso n ao
autorizado ou de sequestro
2
;
em uma rede Wi-Fi p ublica (como as disponibilizadas em aeroportos, hot eis e confer encias) os
dados que n ao estiverem criptografados podem ser indevidamente coletados por atacantes;
uma rede Wi-Fi aberta pode ser propositadamente disponibilizada por atacantes para atrair
usu arios, a m de interceptar o tr afego (e coletar dados pessoais) ou desviar a navegac ao para
sites falsos.
Para resolver alguns destes riscos foram desenvolvidos mecanismos de seguranca, como:
WEP (Wired Equivalent Privacy): primeiro mecanismo de seguranca a ser lancado.

E considerado
fr agil e, por isto, o uso deve ser evitado.
WPA (Wi-Fi Protected Access): mecanismo desenvolvido para resolver algumas das fragilidades do
WEP.

E o nvel mnimo de seguranca que e recomendado.
WPA-2: similar ao WPA, mas com criptograa considerada mais forte.

E o mecanismo mais reco-
mendado.
habilite a interface de rede Wi-Fi do seu computador ou dispositivo m ovel somente quando
us a-la e desabilite-a ap os o uso;
2
Por sequestro de rede Wi-Fi entende-se uma situac ao em que um terceiro ganha acesso ` a rede e altera congurac oes
no AP para que somente ele consiga acess a-la.
desabilite o modo ad-hoc (use-o apenas quando necess ario e desligue-o quando n ao precisar).
Alguns equipamentos permitem inibir conex ao com redes ad-hoc, utilize essa func ao caso o
dispositivo permita;
use, quando possvel, redes que oferecem autenticac ao e criptograa entre o cliente e o AP
(evite conectar-se a redes abertas ou p ublicas, sem criptograa, especialmente as que voc e n ao
conhece a origem);
considere o uso de criptograa nas aplicac oes, como por exemplo, PGP para o envio de e-mails,
SSH para conex oes remotas ou ainda VPNs;
evite o acesso a servicos que n ao utilizem conex ao segura (https);
evite usar WEP, pois ele apresenta vulnerabilidades que, quando exploradas, permitem que o
mecanismo seja facilmente quebrado;
use WPA2 sempre que disponvel (caso seu dispositivo n ao tenha este recurso, utilize no mni-
mo WPA).
Cuidados ao montar uma rede sem o dom estica:
posicione o AP longe de janelas e pr oximo ao centro de sua casa a m de reduzir a propagac ao
do sinal e controlar a abrang encia (conforme a pot encia da antena do AP e do posicionamento
no recinto, sua rede pode abranger uma area muito maior que apenas a da sua resid encia e, com
isto, ser acessada sem o seu conhecimento ou ter o tr afego capturado por vizinhos ou pessoas
que estejam nas proximidades);
altere as congurac oes padr ao que acompanham o seu AP. Alguns exemplos s ao:
altere as senhas originais, tanto de administrac ao do AP como de autenticac ao de usu arios;
assegure-se de utilizar senhas bem elaboradas e difceis de serem descobertas (mais deta-
lhes no Captulo Contas e senhas);
altere o SSID (Server Set IDentier);
ao congurar o SSID procure n ao usar dados pessoais e nem nomes associados ao fabri-
cante ou modelo, pois isto facilita a identicac ao de caractersticas t ecnicas do equipa-
mento e pode permitir que essas informac oes sejam associadas a possveis vulnerabilida-
des existentes;
desabilite a difus ao (broadcast) do SSID, evitando que o nome da rede seja anunciado
para outros dispositivos;
desabilite o gerenciamento do AP via rede sem o, de tal forma que, para acessar func oes
de administrac ao, seja necess ario conectar-se diretamente a ele usando uma rede cabeada.
Desta maneira, um possvel atacante externo (via rede sem o) n ao ser a capaz de acessar
o AP para promover mudancas na congurac ao.
n ao ative WEP, pois ele apresenta vulnerabilidades que, quando exploradas, permitem que o
mecanismo seja facilmente quebrado;
utilize WPA2 ou, no mnimo, WPA;
13. Seguranca de redes 105
caso seu AP disponibilize WPS (Wi-Fi Protected Setup), desabilite-o a m de evitar acessos
indevidos;
desligue seu AP quando n ao usar sua rede.
13.3 Bluetooth
Bluetooth e um padr ao para tecnologia de comunicac ao de dados e voz, baseado em radiofre-
qu encia e destinado ` a conex ao de dispositivos em curtas dist ancias, permitindo a formac ao de redes
pessoais sem o. Est a disponvel em uma extensa variedade de equipamentos, como dispositivos
m oveis, videogames, mouses, teclados, impressoras, sistemas de audio, aparelhos de GPS e monitores
de frequ encia cardaca. A quantidade de aplicac oes tamb em e vasta, incluindo sincronismo de dados
entre dispositivos, comunicac ao entre computadores e perif ericos e transfer encia de arquivos.
Embora traga muitos benefcios, o uso desta tecnologia traz tamb em riscos, visto que est a sujeita
` as v arias ameacas que acompanham as redes em geral, como varredura, furto de dados, uso indevido
de recursos, ataque de negac ao de servico, interceptac ao de tr afego e ataque de forca bruta.
Um agravante, que facilita a ac ao dos atacantes, e que muitos dispositivos v em, por padr ao, com o
bluetooth ativo. Desta forma, muitos usu arios n ao percebem que possuem este tipo de conex ao ativa
e n ao se preocupam em adotar uma postura preventiva.
mantenha as interfaces bluetooth inativas e somente as habilite quando zer o uso;
congure as interfaces bluetooth para que a opc ao de visibilidade seja Oculto ou Invisvel,
evitando que o nome do dispositivo seja anunciado publicamente. O dispositivo s o deve car
rastre avel quando for necess ario autenticar-se a um novo dispositivo (pareamento);
altere o nome padr ao do dispositivo e evite usar na composic ao do novo nome dados que iden-
tiquem o propriet ario ou caractersticas t ecnicas do dispositivo;
sempre que possvel, altere a senha (PIN) padr ao do dispositivo e seja cuidadoso ao elaborar a
nova (mais detalhes no Captulo Contas e senhas);
evite realizar o pareamento em locais p ublicos, reduzindo as chances de ser rastreado ou inter-
ceptado por um atacante;
que atento ao receber mensagens em seu dispositivo solicitando autorizac ao ou PIN (n ao res-
ponda ` a solicitac ao se n ao tiver certeza que est a se comunicando com o dispositivo correto);
no caso de perda ou furto de um dispositivo bluetooth, remova todas as relac oes de conanca
j a estabelecidas com os demais dispositivos que possui, evitando que algu em, de posse do
dispositivo roubado/perdido, possa conectar-se aos demais.
13.4 Banda larga xa
Banda larga xa e um tipo de conex ao ` a rede com capacidade acima daquela conseguida, usual-
mente, em conex ao discada via sistema telef onico. N ao h a uma denic ao de m etrica de banda larga
que seja aceita por todos, mas e comum que conex oes deste tipo sejam permanentes e n ao comutadas,
como as discadas. Usualmente, compreende conex oes com mais de 100 Kbps, por em esse limite e
muito vari avel de pas para pas e de servico para servico
3
.
Computadores conectados via banda larga xa, geralmente, possuem boa velocidade de conex ao,
mudam o endereco IP com pouca frequ encia e cam conectados ` a Internet por longos perodos. Por
estas caractersticas, s ao visados por atacantes para diversos prop ositos, como reposit orio de dados
fraudulentos, para envio de spam e na realizac ao de ataques de negac ao de servico.
O seu equipamento de banda larga (modem ADSL, por exemplo) tamb em pode ser invadido, pela
explorac ao de vulnerabilidades ou pelo uso de senhas fracas e/ou padr ao (facilmente encontradas na
Internet). Caso um atacante tenha acesso ao seu equipamento de rede, ele pode alterar congurac oes,
bloquear o seu acesso ou desviar suas conex oes para sites fraudulentos.
altere, se possvel, a senha padr ao do equipamento de rede (verique no contrato se isto e
permitido e, caso seja, guarde a senha original e lembre-se de restaur a-la quando necess ario);
desabilite o gerenciamento do equipamento de rede via Internet (WAN), de tal forma que, para
acessar func oes de administrac ao (interfaces de congurac ao), seja necess ario conectar-se dire-
tamente a ele usando a rede local (desta maneira, um possvel atacante externo n ao ser a capaz
de acess a-lo para promover mudancas na congurac ao).
13.5 Banda Larga M ovel
A banda larga m ovel refere-se ` as tecnologias de acesso sem o, de longa dist ancia, por meio da
rede de telefonia m ovel, especialmente 3G e 4G
4
.
Este tipo de tecnologia est a disponvel em grande quantidade de dispositivos m oveis (como celu-
lares, smartphones e tablets) e e uma das respons aveis pela popularizac ao destes dispositivos e das
redes sociais. Al em disto, tamb em pode ser adicionada a computadores e dispositivos m oveis que
ainda n ao tenham esta capacidade, por meio do uso de modems especcos.
Assim como no caso da banda larga xa, dispositivos com suporte a este tipo de tecnologia podem
car conectados ` a Internet por longos perodos e permitem que o usu ario esteja online, independente
de localizac ao. Por isto, s ao bastante visados por atacantes para a pr atica de atividades maliciosas.
aplique os cuidados b asicos de seguranca, apresentados na Sec ao 13.1.
3
Fonte: http://www.cetic.br/.
4
3G e 4G correspondem, respectivamente, ` a terceira e quarta gerac oes de padr oes de telefonia m ovel denidos pela
International Telecommunication Union - ITU.
14. Seguranca em dispositivos m oveis
Dispositivos m oveis, como tablets, smartphones, celulares e PDAs, t em se tornado cada vez mais
populares e capazes de executar grande parte das ac oes realizadas em computadores pessoais, como
navegac ao Web, Internet Banking e acesso a e-mails e redes sociais. Infelizmente, as semelhancas
n ao se restringem apenas ` as funcionalidades apresentadas, elas tamb em incluem os riscos de uso que
podem representar.
Assim como seu computador, o seu dispositivo m ovel tamb em pode ser usado para a pr atica de
atividades maliciosas, como furto de dados, envio de spam e a propagac ao de c odigos maliciosos,
al em de poder fazer parte de botnets e ser usado para disparar ataques na Internet.
Somadas a estes riscos, h a caractersticas pr oprias que os dispositivos m oveis possuem que,
quando abusadas, os tornam ainda mais atraentes para atacantes e pessoas mal-intencionadas, como:
Grande quantidade de informac oes pessoais armazenadas: informac oes como conte udo de men-
sagens SMS, lista de contatos, calend arios, hist orico de chamadas, fotos, vdeos, n umeros de
cart ao de cr edito e senhas costumam car armazenadas nos dispositivos m oveis.
107
Maior possibilidade de perda e furto: em virtude do tamanho reduzido, do alto valor que podem
possuir, pelo status que podem representar e por estarem em uso constante, os dispositivos
m oveis podem ser facilmente esquecidos, perdidos ou atrair a atenc ao de assaltantes.
Grande quantidade de aplicac oes desenvolvidas por terceiros: h a uma innidade de aplicac oes
sendo desenvolvidas, para diferentes nalidades, por diversos autores e que podem facilmente
ser obtidas e instaladas. Entre elas podem existir aplicac oes com erros de implementac ao, n ao
con aveis ou especicamente desenvolvidas para execuc ao de atividades maliciosas.
Rapidez de substituic ao dos modelos: em virtude da grande quantidade de novos lancamentos, do
desejo dos usu arios de ter o modelo mais recente e de pacotes promocionais oferecidos pe-
las operadoras de telefonia, os dispositivos m oveis costumam ser rapidamente substitudos e
descartados, sem que nenhum tipo de cuidado seja tomado com os dados nele gravados.
De forma geral, os cuidados que voc e deve tomar para proteger seus dispositivos m oveis s ao os
mesmos a serem tomados com seu computador pessoal, como mant e-lo sempre atualizado e utili-
zar mecanismos de seguranca. Por isto e muito importante que voc e siga as dicas apresentadas no
Captulo Seguranca de computadores. Outros cuidados complementares a serem tomados s ao:
Antes de adquirir seu dispositivo m ovel:
considere os mecanismos de seguranca que s ao disponibilizadas pelos diferentes modelos e
fabricantes e escolha aquele que considerar mais seguro;
caso opte por adquirir um modelo j a usado, procure restaurar as congurac oes originais, ou de
f abrica, antes de comecar a us a-lo;
evite adquirir um dispositivo m ovel que tenha sido ilegalmente desbloqueado (jailbreak) ou
cujas permiss oes de acesso tenham sido alteradas. Esta pr atica, al em de ser ilegal, pode violar
os termos de garantia e comprometer a seguranca e o funcionamento do aparelho.
Ao usar seu dispositivo m ovel:
se disponvel, instale um programa antimalware antes de instalar qualquer tipo de aplicac ao,
principalmente aquelas desenvolvidas por terceiros;
mantenha o sistema operacional e as aplicac oes instaladas sempre com a vers ao mais recente e
com todas as atualizac oes aplicadas;
que atento ` as notcias veiculadas no site do fabricante, principalmente as relacionadas ` a segu-
ranca;
seja cuidadoso ao instalar aplicac oes desenvolvidas por terceiros, como complementos, ex-
tens oes e plug-ins. Procure usar aplicac oes de fontes con aveis e que sejam bem avalia-
das pelos usu arios. Verique coment arios de outros usu arios e se as permiss oes necess arias
para a execuc ao s ao coerentes com a destinac ao da aplicac ao (mais detalhes na Sec ao 6.4 do
seja cuidadoso ao usar aplicativos de redes sociais, principalmente os baseados em geolocaliza-
c ao, pois isto pode comprometer a sua privacidade (mais detalhes na Sec ao 11.1 do Captulo Pri-
vacidade).
14. Seguranca em dispositivos m oveis 109
Ao acessar redes
1
:
seja cuidadoso ao usar redes Wi-Fi p ublicas;
mantenha interfaces de comunicac ao, como bluetooth, infravermelho e Wi-Fi, desabilitadas e
somente as habilite quando for necess ario;
congure a conex ao bluetooth para que seu dispositivo n ao seja identicado (ou descoberto)
por outros dispositivos (em muitos aparelhos esta opc ao aparece como Oculto ou Invisvel).
Proteja seu dispositivo m ovel e os dados nele armazenados:
mantenha as informac oes sensveis sempre em formato criptografado;
faca backups peri odicos dos dados nele gravados;
mantenha controle fsico sobre ele, principalmente em locais de risco (procure n ao deix a-lo
sobre a mesa e cuidado com bolsos e bolsas quando estiver em ambientes p ublicos);
use conex ao segura sempre que a comunicac ao envolver dados condenciais (mais detalhes na
Sec ao 10.1 do Captulo Uso seguro da Internet);
n ao siga links recebidos por meio de mensagens eletr onicas;
cadastre uma senha de acesso que seja bem elaborada e, se possvel, congure-o para aceitar
senhas complexas (alfanum ericas);
congure-o para que seja localizado e bloqueado remotamente, por meio de servicos de geolo-
calizac ao (isso pode ser bastante util em casos de perda ou furto);
congure-o, quando possvel, para que os dados sejam apagados ap os um determinado n umero
de tentativas de desbloqueio sem sucesso (use esta opc ao com bastante cautela, principalmente
se voc e tiver lhos e eles gostarem de brincar com o seu dispositivo).
Ao se desfazer do seu dispositivo m ovel:
apague todas as informac oes nele contidas;
restaure a opc oes de f abrica.
O que fazer em caso de perda ou furto:
infome sua operadora e solicite o bloqueio do seu n umero (chip);
altere as senhas que possam estar nele armazenadas (por exemplo, as de acesso ao seu e-mail
ou rede social);
bloqueie cart oes de cr edito cujo n umero esteja armazenado em seu dispositivo m ovel;
se tiver congurado a localizac ao remota, voc e pode ativ a-la e, se achar necess ario, apagar
remotamente todos os dados nele armazenados.
1
Mais detalhes sobre estas dicas no Captulo Seguranca de redes.
Gloss ario
802.11 Conjunto de especicac oes desenvolvidas pelo IEEE para tecnologias de redes sem
o.
AC Veja Autoridade certicadora.
ADSL Do ingl es Asymmetric Digital Subscriber Line. Sistema que permite a utilizac ao das
linhas telef onicas para transmiss ao de dados em velocidades maiores que as permiti-
das por um modem convencional.
Advance Fee Fraud
Veja Fraude de antecipac ao de recursos.
Adware Do ingl es Advertising Software. Tipo especco de spyware. Programa projetado
especicamente para apresentar propagandas. Pode ser usado de forma legtima,
quando incorporado a programas e servicos, como forma de patrocnio ou retorno
nanceiro para quem desenvolve programas livres ou presta servicos gratuitos. Tam-
b em pode ser usado para ns maliciosos quando as propagandas apresentadas s ao
direcionadas, de acordo com a navegac ao do usu ario e sem que este saiba que tal
monitoramento est a sendo feito.
Antimalware Ferramenta que procura detectar e, ent ao, anular ou remover os c odigos maliciosos
de um computador. Os programas antivrus, antispyware, antirootkit e antitrojan s ao
exemplos de ferramentas antimalware.
Antivrus Tipo de ferramenta antimalware desenvolvido para detectar, anular e eliminar de um
computador vrus e outros tipos de c odigos maliciosos. Pode incluir tamb em a funci-
onalidade de rewall pessoal.
AP Do ingl es Access Point. Dispositivo que atua como ponte entre uma rede sem o e
uma rede tradicional.
Artefato Qualquer informac ao deixada por um invasor em um sistema comprometido, como
programas, scripts, ferramentas, logs e arquivos.
Assinatura digital
C odigo usado para comprovar a autenticidade e a integridade de uma informac ao,
ou seja, que ela foi realmente gerada por quem diz ter feito isso e que ela n ao foi
alterada.
Atacante Pessoa respons avel pela realizac ao de um ataque. Veja tamb em Ataque.
Ataque Qualquer tentativa, bem ou mal sucedida, de acesso ou uso n ao autorizado de um
servico, computador ou rede.
111
AUP Do ingl es Acceptable Use Policy. Veja Poltica de uso aceit avel.
Autoridade certicadora
Entidade respons avel por emitir e gerenciar certicados digitais. Estes certicados
podem ser emitidos para diversos tipos de entidades, tais como: pessoa, computador,
departamento de uma instituic ao, instituic ao, etc.
Backdoor Tipo de c odigo malicioso. Programa que permite o retorno de um invasor a um
computador comprometido, por meio da inclus ao de servicos criados ou modicados
para esse m. Normalmente esse programa e colocado de forma a n ao a ser notado.
Banda, Bandwidth
Veja Largura de banda.
Banda larga Tipo de conex ao ` a rede com capacidade acima daquela conseguida, usualmente, em
conex ao discada via sistema telef onico. N ao h a uma denic ao de m etrica de banda
larga que seja aceita por todos, mas e comum que conex oes em banda larga sejam
permanentes e n ao comutadas, como as conex oes discadas. Usualmente, compreende
conex oes com mais de 100 Kbps, por em esse limite e muito vari avel de pas para pas
e de servico para servico (Fonte: http://www.cetic.br/).
Banda larga xa
Tipo de conex ao banda larga que permite que um computador que conectado ` a In-
ternet por longos perodos e com baixa frequ encia de alterac ao de endereco IP.
Banda larga m ovel
Tipo de conex ao banda larga. Tecnologia de acesso sem o, de longa dist ancia,
por meio de rede de telefonia m ovel, especialmente 3G e 4G (respectivamente a
terceira e a quarta gerac ao de padr oes de telefonia m ovel denidos pelo International
Telecommunication Union - ITU).
Banner de propaganda
Espaco disponibilizado por um usu ario em sua p agina Web para que servicos de pu-
blicidade apresentem propagandas de clientes.
Blacklist Lista de e-mails, domnios ou enderecos IP, reconhecidamente fontes de spam. Re-
curso utilizado, tanto em servidores como em programas leitores de e-mails, para
bloquear as mensagens suspeitas de serem spam.
Bluetooth Padr ao para tecnologia de comunicac ao de dados e voz, baseado em radiofrequ encia
e destinado ` a conex ao de dispositivos em curtas dist ancias, permitindo a formac ao de
redes pessoais sem o.
Boato Mensagem que possui conte udo alarmante ou falso e que, geralmente, tem como
remetente, ou aponta como autora, alguma instituic ao, empresa importante ou org ao
governamental. Por meio de uma leitura minuciosa de seu conte udo, normalmente, e
possvel identicar informac oes sem sentido e tentativas de golpes, como correntes e
pir amides.
Bot Tipo de c odigo malicioso. Programa que, al em de incluir funcionalidades de worms,
disp oe de mecanismos de comunicac ao com o invasor que permitem que ele seja
controlado remotamente. O processo de infecc ao e propagac ao do bot e similar ao
do worm, ou seja, o bot e capaz de se propagar automaticamente, explorando vul-
nerabilidades existentes em programas instalados em computadores. Veja tamb em
Worm.
Gloss ario 113
Botnet Rede formada por centenas ou milhares de computadores infectados com bots. Per-
mite potencializar as ac oes danosas executadas pelos bots e ser usada em ataques de
negac ao de servico, esquemas de fraude, envio de spam, etc. Veja tamb em Bot.
Brute force Veja Forca bruta.
Cable modem Modem projetado para operar sobre linhas de TV a cabo. Veja tamb em Modem.
Cavalo de troia
Tipo de c odigo malicioso. Programa normalmente recebido como um presente
(por exemplo, cart ao virtual, album de fotos, protetor de tela, jogo, etc.) que, al em
de executar as func oes para as quais foi aparentemente projetado, tamb em executa
outras func oes, normalmente maliciosas e sem o conhecimento do usu ario.
Certicado digital
Registro eletr onico composto por um conjunto de dados que distingue uma entidade
e associa a ela uma chave p ublica. Pode ser emitido para pessoas, empresas, equipa-
mentos ou servicos na rede (por exemplo, um site Web) e pode ser homologado para
diferentes usos, como condencialidade e assinatura digital.
Certicado digital autoassinado
Certicado digital no qual o dono e o emissor s ao a mesma entidade.
Chave mestra Senha unica usada para proteger (criptografar) outras senhas.
C odigo malicioso
Termo gen erico usado para se referir a programas desenvolvidos para executar ac oes
danosas e atividades maliciosas em um computador ou dispositivo m ovel. Tipos
especcos de c odigos maliciosos s ao: vrus, worm, bot, spyware, backdoor, cavalo
de troia e rootkit.
C odigo m ovel Tipo de c odigo utilizado por desenvolvedores Web para incorporar maior funciona-
lidade e melhorar a apar encia de p aginas Web. Alguns tipos de c odigos m oveis s ao:
programas e applets Java, JavaScripts e componentes (ou controles) ActiveX.
Com ercio eletr onico
Qualquer forma de transac ao comercial onde as partes interagem eletronicamente.
Conjunto de t ecnicas e tecnologias computacionais utilizadas para facilitar e executar
transac oes comerciais de bens e servicos por meio da Internet.
Comprometimento
Veja Invas ao.
Computador zumbi
Nome dado a um computador infectado por bot, pois pode ser controlado remota-
mente, sem o conhecimento do seu dono. Veja tamb em Bot.
Conex ao discada
Conex ao comutada ` a Internet, realizada por meio de um modem anal ogico e uma
linha da rede de telefonia xa, que requer que o modem disque um n umero telef onico
para realizar o acesso (Fonte: http://www.cetic.br/).
Conex ao segura
Conex ao que utiliza um protocolo de criptograa para a transmiss ao de dados, como
por exemplo, HTTPS ou SSH.
Conta de usu ario
Tamb em chamada de nome de usu ario e nome de login. Corresponde ` a identi-
cac ao unica de um usu ario em um computador ou servico.
Cookie Pequeno arquivo que e gravado no computador quando o usu ario acessa um site
e reenviado a este mesmo site quando novamente acessado.

E usado para manter
informac oes sobre o usu ario, como carrinho de compras, lista de produtos e pre-
fer encias de navegac ao.
Correc ao de seguranca
Correc ao desenvolvida para eliminar falhas de seguranca em um programa ou sistema
operacional.
Criptograa Ci encia e arte de escrever mensagens em forma cifrada ou em c odigo.

E parte de
um campo de estudos que trata das comunicac oes secretas.

E usada, dentre outras
nalidades, para: autenticar a identidade de usu arios; autenticar transac oes banc arias;
proteger a integridade de transfer encias eletr onicas de fundos, e proteger o sigilo de
comunicac oes pessoais e comerciais.
DDoS Do ingl es Distributed Denial of Service. Veja Negac ao de servico distribudo.
Defacement Veja Desgurac ao de p agina.
Defacer Pessoa respons avel pela desgurac ao de uma p agina. Veja tamb em Desgurac ao de
p agina.
Desgurac ao de p agina
Tamb em chamada de pichac ao. T ecnica que consiste em alterar o conte udo da p agina
Web de um site.
Dispositivo m ovel
Equipamento com recursos computacionais que, por ter tamanho reduzido, oferece
grande mobilidade de uso, podendo ser facilmente carregado pelo seu dono. Exem-
plos: notebooks, netbooks, tablets, PDAs, smartphones e celulares.
DNS Do ingl es Domain Name System. O sistema de nomes de domnios, respons avel
pela traduc ao, entre outros tipos, de nome de m aquinas/domnios para o endereco IP
correspondente e vice-versa.
DoS Do ingl es Denial of Service. Veja Negac ao de servico.
E-commerce Veja Com ercio eletr onico.
E-mail spoong
Veja Falsicac ao de e-mail.
Endereco IP Sequ encia de n umeros associada a cada computador conectado ` a Internet. No caso
de IPv4, o endereco IP e dividido em quatro grupos, separados por . e com-
postos por n umeros entre 0 e 255, por exemplo, 192.0.2.2. No caso de IPv6,
o endereco IP e dividido em at e oito grupos, separados por : e compostos por
n umeros hexadecimais (n umeros e letras de A a F) entre 0 e FFFF, por exemplo,
2001:DB8:C001:900D:CA27:116A::1.
Gloss ario 115
Engenharia social
T ecnica por meio da qual uma pessoa procura persuadir outra a executar determina-
das ac oes. No contexto desta Cartilha, e considerada uma pr atica de m a-f e, usada
por golpistas para tentar explorar a gan ancia, a vaidade e a boa-f e ou abusar da inge-
nuidade e da conanca de outras pessoas, a m de aplicar golpes, ludibriar ou obter
informac oes sigilosas e importantes. O popularmente conhecido conto do vig ario
utiliza engenharia social.
EV SSL Do ingl es Extended Validation Secure Socket Layer. Certicado SSL de Validac ao
Avancada ou Estendida. Veja tamb em SSL.
Exploit Veja Explorac ao de vulnerabilidade.
Explorac ao de vulnerabilidade
Programa ou parte de um programa malicioso projetado para explorar uma vulnera-
bilidade existente em um programa de computador. Veja tamb em Vulnerabilidade.
Falsa identidade
Veja Furto de identidade.
Falsicac ao de e-mail
T ecnica que consiste em alterar campos do cabecalho de um e-mail, de forma a apa-
rentar que ele foi enviado de uma determinada origem quando, na verdade, foi envi-
ado de outra.
Filtro antispam
Programa que permite separar os e-mails conforme regras pr e-denidas. Utilizado
tanto para o gerenciamento das caixas postais como para a selec ao de e-mails v alidos
dentre os diversos spams recebidos.
Firewall Dispositivo de seguranca usado para dividir e controlar o acesso entre redes de com-
putadores.
Firewall pessoal
Tipo especco de rewall. Programa usado para proteger um computador contra
acessos n ao autorizados vindos da Internet.
Forca bruta Tipo de ataque que consiste em adivinhar, por tentativa e erro, um nome de usu ario e
senha e, assim, executar processos e acessar sites, computadores e servicos em nome
e com os mesmos privil egios desse usu ario.
Foursquare Rede social baseada em geolocalizac ao que, assim como outras redes do mesmo tipo,
utiliza os dados fornecidos pelo GPS do computador ou dispositivo m ovel do usu ario
para registrar (fazer check-in) nos lugares por onde ele passa.
Fraude de antecipac ao de recursos
Tipo de fraude na qual um golpista procura induzir uma pessoa a fornecer infor-
mac oes condenciais ou a realizar um pagamento adiantado, com a promessa de
futuramente receber algum tipo de benefcio.
Func ao de resumo
M etodo criptogr aco que, quando aplicado sobre uma informac ao, independente-
mente do tamanho que ela tenha, gera umresultado unico e de tamanho xo, chamado
hash.
Furto de identidade
Ato pelo qual uma pessoa tenta se passar por outra, atribuindo-se uma falsa identi-
dade, com o objetivo de obter vantagens indevidas. Alguns casos de furto de identi-
dade podem ser considerados como crime contra a f e p ublica, tipicados como falsa
identidade.
GnuPG Conjunto de programas gratuito e de c odigo aberto, que implementa criptograa de
chave sim etrica, de chaves assim etricas e assinatura digital.
Golpe de com ercio eletr onico
Tipo de fraude na qual um golpista, com o objetivo de obter vantagens nanceiras,
explora a relac ao de conanca existente entre as partes envolvidas em uma transac ao
comercial.
GPG Veja GnuPG.
Greylisting M etodo de ltragem de spams, implantado diretamente no servidor de e-mails, que
recusa temporariamente um e-mail e o recebe somente quando ele e reenviado. Ser-
vidores legtimos de e-mails, que se comportam de maneira correta e de acordo com
as especicac oes dos protocolos, sempre reenviam as mensagens. Este m etodo parte
do princpio que spammers raramente utilizam servidores legtimos e, portanto, n ao
reenviam suas mensagens.
Harvesting T ecnica utilizada por spammers, que consiste em varrer p aginas Web, arquivos de
listas de discuss ao, entre outros, em busca de enderecos de e-mail.
Hash Veja Func ao de resumo.
Hoax Veja Boato.
Hot x Veja Correc ao de seguranca.
HTML Do ingl es HyperText Markup Language. Linguagem universal utilizada na elabora-
c ao de p aginas na Internet.
HTTP Do ingl es HyperText Transfer Protocol. Protocolo usado para transferir p aginas Web
entre um servidor e um cliente (por exemplo, o navegador).
HTTPS Do ingl es HyperText Transfer Protocol Secure ou HyperText Transfer Protocol over
SSL. Protocolo que combina o uso do HTTP com mecanismos de seguranca, como o
SSL e o TLS, a m de prover conex oes seguras. Veja tamb em HTTP.
Identity theft Veja Furto de identidade.
IDS Do ingl es Intrusion Detection System. Programa, ou um conjunto de programas, cuja
func ao e detectar atividades maliciosas ou an omalas.
IEEE Acr onimo para Institute of Electrical and Electronics Engineers, uma organizac ao
composta por engenheiros, cientistas e estudantes, que desenvolvem padr oes para a
ind ustria de computadores e eletroeletr onicos.
Incidente de seguranca
Qualquer evento adverso, conrmado ou sob suspeita, relacionado ` a seguranca de
sistemas de computac ao ou de redes de computadores.
Gloss ario 117
Interceptac ao de tr afego
T ecnica que consiste em inspecionar os dados trafegados em redes de computadores,
por meio do uso de programas especcos chamados de sniffers.
Invas ao Ataque bem sucedido que resulte no acesso, manipulac ao ou destruic ao de informa-
c oes em um computador.
Invasor Pessoa respons avel pela realizac ao de uma invas ao (comprometimento). Veja tam-
b em Invas ao.
IP, IPv4, IPv6 Veja Endereco IP.
Janela de pop-up
Tipo de janela que aparece automaticamente e sem permiss ao, sobrepondo a janela
do navegador Web, ap os o usu ario acessar um site.
Keylogger Tipo especco de spyware. Programa capaz de capturar e armazenar as teclas digi-
tadas pelo usu ario no teclado do computador. Normalmente a ativac ao do keylogger
e condicionada a uma ac ao pr evia do usu ario, como o acesso a um site especco de
com ercio eletr onico ou de Internet Banking. Veja tamb em Spyware.
Largura de banda
Quantidade de dados que podem ser transmitidos em um canal de comunicac ao, em
um determinado intervalo de tempo.
Link curto Tipo de link gerado por meio de servicos que transformam um link convencional em
outro de tamanho reduzido. O link curto e automaticamente expandido para o link
original, quando o usu ario clica nele.
Link patrocinado
Tipo de link apresentado em destaque em site de busca quando palavras especcas
s ao pesquisadas pelo usu ario. Quando o usu ario clica em um link patrocinado, o site
de busca recebe do anunciante um valor previamente combinado.
Log Registro de atividades gerado por programas e servicos de um computador. Termo
t ecnico que se refere ao registro de atividades de diversos tipos como, por exemplo,
de conex ao (informac oes sobre a conex ao de um computador ` a Internet) e de acesso
a aplicac oes (informac oes de acesso de um computador a uma aplicac ao de Internet).
Malvertising Do ingl es Malicious advertsing. Tipo de golpe que consiste em criar an uncios ma-
liciosos e, por meio de servicos de publicidade, apresent a-los em diversas p aginas
Web. Geralmente, o servico de publicidade e induzido a acreditar que se trata de um
an uncio legtimo e, ao aceit a-lo, intermedia a apresentac ao e faz com que ele seja
mostrado em diversas p aginas.
Malware Do ingl es Malicious software. Veja C odigo malicioso.
Master password
Veja Chave mestra.
MMS Do ingl es Multimedia Message Service. Tecnologia amplamente utilizada em telefo-
nia celular para a transmiss ao de dados, como texto, imagem, audio e vdeo.
Modem Do ingl es Modulator/Demodulator. Dispositivo respons avel por converter os sinais
do computador em sinais que possam ser transmitidos no meio fsico de comunicac ao
como, por exemplo, linha telef onica, cabo de TV, ar e bra otica.
Negac ao de servico
Atividade maliciosa pela qual um atacante utiliza um computador ou dispositivo
m ovel para tirar de operac ao um servico, um computador ou uma rede conectada
` a Internet.
Negac ao de servico distribudo
Atividade maliciosa, coordenada e distribuda pela qual um conjunto de computa-
dores e/ou dispositivos m oveis e utilizado para tirar de operac ao um servico, um
computador ou uma rede conectada ` a Internet.
Netiqueta Conjunto de normas de conduta para os usu arios da Internet, denido no documento
RFC 1855: Netiquette Guidelines.
NTP Do ingl es Network Time Protocol. Tipo de protocolo que permite a sincronizac ao
dos rel ogios dos dispositivos de uma rede, como servidores, estac oes de trabalho,
roteadores e outros equipamentos, ` a partir de refer encias de tempo con aveis (Fonte:
http://ntp.br/).
N umero IP Veja Endereco IP.
Opt-in Regra de envio de mensagens que dene que e proibido mandar e-mails comerci-
ais/spam, a menos que exista uma concord ancia pr evia por parte do destinat ario. Veja
tamb em Soft opt-in.
Opt-out Regra de envio de mensagens que dene que e permitido mandar e-mails comerci-
ais/spam, mas deve-se prover um mecanismo para que o destinat ario possa parar de
receber as mensagens.
P2P Acr onimo para peer-to-peer. Arquitetura de rede onde cada computador tem funci-
onalidades e responsabilidades equivalentes. Difere da arquitetura cliente/servidor,
em que alguns dispositivos s ao dedicados a servir outros. Este tipo de rede e normal-
mente implementada via programas P2P, que permitem conectar o computador de um
usu ario ao de outro para compartilhar ou transferir dados, como MP3, jogos, vdeos,
imagens, etc.
Password Veja Senha.
Patch Veja Correc ao de seguranca.
PGP Do ingl es Pretty Good Privacy. Programa que implementa criptograa de chave
sim etrica, de chaves assim etricas e assinatura digital. Possui vers oes comerciais e
gratuitas. Veja tamb em GnuPG.
Phishing, phishing scam, phishing/scam
Tipo de golpe por meio do qual um golpista tenta obter dados pessoais e nanceiros
de um usu ario, pela utilizac ao combinada de meios t ecnicos e engenharia social.
Plug-in, complemento, extens ao
Programa geralmente desenvolvido por terceiros e que pode ser istalado no navegador
Web e/ou programa leitor de e-mails para prover funcionalidades extras.
Poltica de seguranca
Documento que dene os direitos e as responsabilidades de cada um em relac ao ` a
seguranca dos recursos computacionais que utiliza e as penalidades ` as quais est a
sujeito, caso n ao a cumpra.
Gloss ario 119
Poltica de uso aceit avel
Tamb em chamada de Termo de Uso ou Termo de Servico. Poltica na qual s ao
denidas as regras de uso dos recursos computacionais, os direitos e as responsabili-
dades de quem os utiliza e as situac oes que s ao consideradas abusivas.
Proxy Servidor que atua como intermedi ario entre um cliente e outro servidor. Normal-
mente e utilizado em empresas para aumentar o desempenho de acesso a determina-
dos servicos ou permitir que mais de uma m aquina se conecte ` a Internet. Quando
mal congurado (proxy aberto) pode ser abusado por atacantes e utilizado para tornar
an onimas algumas ac oes na Internet, como atacar outras redes ou enviar spam.
Proxy aberto Proxy mal congurado que pode ser abusado por atacantes e utilizado como uma
forma de tornar an onimas algumas ac oes na Internet, como atacar outras redes ou
enviar spam.
PUA Veja Poltica de uso aceit avel.
Rede sem o Rede que permite a conex ao entre computadores e outros dispositivos por meio da
transmiss ao e recepc ao de sinais de r adio.
Rede Social Tipo de rede de relacionamento que permite que os usu arios criem pers e os uti-
lizem para se conectar a outros usu arios, compartilhar informac oes e se agrupar de
acordo com interesses em comum. Alguns exemplos s ao: Facebook, Orkut, Twitter,
Linkedin, Google+ e foursquare.
Rootkit Tipo de c odigo malicioso. Conjunto de programas e t ecnicas que permite esconder e
assegurar a presenca de um invasor ou de outro c odigo malicioso em um computador
comprometido.

E importante ressaltar que o nome rootkit n ao indica que as ferramen-
tas que o comp oem s ao usadas para obter acesso privilegiado (root ou Administrator)
em um computador, mas, sim, para manter o acesso privilegiado em um computador
previamente comprometido.
Scam Esquemas ou ac oes enganosas e/ou fraudulentas. Normalmente, t em como nalidade
obter vantagens nanceiras.
Scan Veja Varredura em redes.
Scanner Programa usado para efetuar varreduras em redes de computadores, com o intuito de
identicar quais computadores est ao ativos e quais servicos est ao sendo disponibi-
lizados por eles. Amplamente usado por atacantes para identicar potenciais alvos,
pois permite associar possveis vulnerabilidades aos servicos habilitados em um com-
putador.
Screenlogger Tipo especco de spyware. Programa similar ao keylogger, capaz de armazenar a
posic ao do cursor e a tela apresentada no monitor, nos momentos em que o mouse
e clicado, ou a regi ao que circunda a posic ao onde o mouse e clicado.

E bastante
utilizado por atacantes para capturar as teclas digitadas pelos usu arios em teclados
virtuais, disponveis principalmente em sites de Internet Banking. Veja tamb em Spy-
ware.
Senha Conjunto de caracteres, de conhecimento unico do usu ario, utilizado no processo de
vericac ao de sua identidade, assegurando que ele e realmente quem diz ser e que
possui o direito de acessar o recurso em quest ao.
Service Pack Veja Correc ao de seguranca.
Site Local na Internet identicado por um nome de domnio, constitudo por uma ou mais
p aginas de hipertexto, que podem conter textos, gr acos e informac oes multimdia.
Site de compras coletivas
Tipo de site por meio do qual os anunciantes ofertam produtos, normalmente com
grandes descontos, por um tempo bastante reduzido e com quantidades limitadas.
E considerado como intermedi ario entre as empresas que fazem os an uncios e os

clientes que adquirem os produtos.
Site de leil ao e venda de produtos
Tipo de site que intermedia a compra e a venda de mercadorias entre os usu arios.
Alguns sites desse tipo oferecem sistema de gerenciamento por meio do qual o paga-
mento realizado pelo comprador somente e liberado ao vendedor quando a conrma-
c ao de que a mercadoria foi corretamente recebida e enviada.
S/MIME Do ingl es Secure/Multipurpose Internet Mail Extensions. Padr ao para assinatura e
criptograa de e-mails.
SMS Do ingl es Short Message Service. Tecnologia utilizada em telefonia celular para a
transmiss ao de mensagens de texto curtas. Diferente do MMS, permite apenas dados
do tipo texto e cada mensagem e limitada em 160 caracteres alfanum ericos.
SMTP Do ingl es Simple Mail Transfer Protocol. Protocolo respons avel pelo transporte de
mensagens de e-mail na Internet.
Sniffer Dispositivo ou programa de computador utilizado para capturar e armazenar dados
trafegando em uma rede de computadores. Pode ser usado por um invasor para cap-
turar informac oes sensveis (como senhas de usu arios), em casos onde estejam sendo
utilizadas conex oes inseguras, ou seja, sem criptograa. Veja tamb em Interceptac ao
de tr afego.
Snifng Veja Interceptac ao de tr afego.
Soft opt-in Regra semelhante ao opt-in, mas neste caso prev e uma excec ao quando j a existe uma
relac ao comercial entre remetente e destinat ario. Dessa forma, n ao e necess aria a
permiss ao explcita por parte do destinat ario para receber e-mails desse remetente.
Veja tamb em Opt-in.
Spam Termo usado para se referir aos e-mails n ao solicitados, que geralmente s ao enviados
para um grande n umero de pessoas.
Spam zombie Computador infectado por c odigo malicioso (bot), capaz de transformar o sistema do
usu ario em um servidor de e-mail para envio de spam. Em muitos casos, o usu ario do
computador infectado demora a perceber que seu computador est a sendo usado por
um invasor para esse m.
Spamcop Instituic ao que oferece diversos servicos antispam, sendo o mais conhecido o que
permite reclamar automaticamente de spams recebidos.
Spammer Pessoa que envia spam.
Gloss ario 121
Spyware Tipo especco de c odigo malicioso. Programa projetado para monitorar as ativi-
dades de um sistema e enviar as informac oes coletadas para terceiros. Keylogger,
screenlogger e adware s ao alguns tipos especcos de spyware.
SSH Do ingl es Secure Shell. Protocolo que utiliza criptograa para acesso a um compu-
tador remoto, permitindo a execuc ao de comandos, transfer encia de arquivos, entre
outros.
SSID Do ingl es Service Set Identier. Conjunto unico de caracteres que identica uma rede
sem o. O SSID diferencia uma rede sem o de outra, e um cliente normalmente s o
pode conectar em uma rede sem o se puder fornecer o SSID correto.
SSL Do ingl es Secure Sockets Layer. Assim como o TLS, e um protocolo que por meio
de criptograa fornece condencialidade e integridade nas comunicac oes entre um
cliente e um servidor, podendo tamb em ser usado para prover autenticac ao. Veja
tamb em HTTPS.
Time zone Fuso hor ario.
TLS Do ingl es Transport Layer Security. Assim como o SSL, e um protocolo que por
meio de criptograa fornece condencialidade e integridade nas comunicac oes entre
um cliente e um servidor, podendo tamb em ser usado para prover autenticac ao. Veja
tamb em HTTPS.
Trojan, Trojan horse
Veja Cavalo de troia.
UBE Do ingl es Unsolicited Bulk E-mail. Termo usado para se referir aos e-mails n ao
solicitados enviados em grande quantidade. Veja tamb em Spam.
UCE Do ingl es Unsolicited Commercial E-mail. Termo usado para se referir aos e-mails
comerciais n ao solicitados. Veja tamb em Spam.
URL Do ingl es Universal Resource Locator. Sequ encia de caracteres que indica a locali-
zac ao de um recurso na Internet como por exemplo, http://cartilha.cert.br/.
Username Veja Conta de usu ario.
Varredura em redes
T ecnica que consiste em efetuar buscas minuciosas em redes, com o objetivo de
identicar computadores ativos e coletar informac oes sobre eles como, por exemplo,
servicos disponibilizados e programas instalados.
Vrus Programa ou parte de um programa de computador, normalmente malicioso, que
se propaga inserindo c opias de si mesmo, tornando-se parte de outros programas e
arquivos. O vrus depende da execuc ao do programa ou arquivo hospedeiro para que
possa se tornar ativo e dar continuidade ao processo de infecc ao.
VPN Do ingl es Virtual Private Network. Termo usado para se referir ` a construc ao de uma
rede privada utilizando redes p ublicas (por exemplo, a Internet) como infraestrutura.
Esses sistemas utilizam criptograa e outros mecanismos de seguranca para garantir
que somente usu arios autorizados possam ter acesso ` a rede privada e que nenhum
dado ser a interceptado enquanto estiver passando pela rede p ublica.
Vulnerabilidade
Condic ao que, quando explorada por um atacante, pode resultar em uma violac ao de
seguranca. Exemplos de vulnerabilidades s ao falhas no projeto, na implementac ao
ou na congurac ao de programas, servicos ou equipamentos de rede.
Web bug Imagem, normalmente muito pequena e invisvel, que faz parte de uma p agina Web ou
de uma mensagem de e-mail, e que e projetada para monitorar quem est a acessando
esaa p agina Web ou mensagem de e-mail.
WEP Do ingl es Wired Equivalent Privacy. Protocolo de seguranca para redes sem o que
implementa criptograa para a transmiss ao dos dados.
Whitelist Lista de e-mails, domnios ou enderecos IP, previamente aprovados e que, normal-
mente, n ao s ao submetidos aos ltros antispam congurados.
Wi-Fi Do ingl es Wireless Fidelity. Marca registrada, genericamente usada para se referir a
redes sem o que utilizam qualquer um dos padr oes 802.11.
Wireless Veja Rede sem o.
WLAN Do ingl es Wireless Local-Area Network. Tipo de rede que utiliza ondas de r adio de
alta frequ encia, em vez de cabos, para a comunicac ao entre os computadores.
Worm Tipo de c odigo malicioso. Programa capaz de se propagar automaticamente pelas
redes, enviando c opias de si mesmo de computador para computador. Diferente do
vrus, o worm n ao embute c opias de si mesmo em outros programas ou arquivos e
n ao necessita ser explicitamente executado para se propagar. Sua propagac ao se d a
por meio da explorac ao de vulnerabilidades existentes ou falhas na congurac ao de
programas instalados em computadores.
Zombie-computer
Veja Computador zumbi.
Indice Remissivo
A
advance fee fraud. . veja fraude de antecipac ao
de recursos
adware . . . . . . . . . . . . . . . . . . . . . . . veja spyware
anonymizer . . . . . . . . . veja navegac ao an onima
antimalware 11, 30, 44, 45, 5557, 76, 9597,
99, 100, 102, 108
cuidados . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
antirootkit . . . . . . . . . . . . . . . . . veja antimalware
antispyware . . . . . . . . . . . . . . . veja antimalware
antitrojan . . . . . . . . . . . . . . . . . veja antimalware
antivrus . . . . . . . . . . . . . . . . . . veja antimalware
assinatura digital . . . . . . . . . . . . . . . . . . . . . 6970
ataques. 3, 6, 1723, 25, 26, 29, 33, 41, 4850,
54, 60
de dicion ario . . . . . . . . . . . . . . . . . . . . . . . . 35
de forca bruta 6, 18, 20, 22, 54, 60, 61, 73,
77, 88, 102, 105
motivac ao . . . . . . . . . . . . . . . . . . . . . . . 1718
prevenc ao. . . . . . . . . . . . . . . . . . . . . . . . . . . 22
t ecnicas usadas. . . . . . . . . . . . . . . . . . . 1822
autoridade certicadora . . . . . . . . . . . 70, 82, 83
B
backdoor . . . . . . . . . . . . . . . . . . . . . . . . 2830, 57
backup. . . . 5153, 67, 69, 73, 96, 97, 100, 109
cuidados . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
poltica de . . . . . . . . . . . . . . . . . . . . . . . . . . 48
banda larga
xa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
m ovel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
banners de propaganda . . . . . . . . . . . . . . . 4344
bluetooth. . . . . . . . . . . . . . . . . . . 24, 63, 105, 109
boato . . . . . . . . . . . . . . . . . . . . . . 2, 1516, 49, 60
bot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26, 30
botnet . . . . . . . . . . . . . . . . . . . . . . . 21, 22, 26, 107
brute force . . . . . . . . veja ataques de forca bruta
C
cavalo de troia . . . . . . . . . . . . . . . . . . . veja trojan
certicado digital . . . . . . . . . . . . . . . . . . . . 7072
autoassinado . . . . . . . . . . . . . . 7072, 80, 83
EV SSL . . . . . . . . . . . . . . . . . . . . . . . . . 71, 80
vericar se e con avel . . . . . . . . . . . . 8283
chave sim etrica . . . . . . . . . . . . . . . . . . . . . . 6869
chaves assim etricas. . . . . . . . . . . . . . . . . . . 6869
c odigos maliciosos . . . . . . . . . . . . . . . . . . . 2330
prevenc ao. . . . . . . . . . . . . . . . . . . . . . . . . . . 30
resumo comparativo . . . . . . . . . . . . . . . . . 30
tipos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2430
c odigos m oveis . . . . . . . . . . . . . . . . . . . . . . 4142
com ercio eletr onico. . . . . . 9, 1114, 27, 40, 64
cuidados . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
golpes. . . . . . . . . . . . . . . . . . . . . . . . . . . 1214
compartilhamento de recursos . . . . 23, 45, 102
complementos . . 4143, 58, 72, 75, 76, 95, 97,
108
computador
de terceiros . 4042, 60, 61, 63, 64, 77, 78,
86, 100
pessoal . . . . . . . . . . . . . . . . . . . . . . . . . 93100
conex oes Web . . . . . . . . . . . . . . . . . . . . . . . 7883
tipos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7981
condencialidade . 3, 48, 63, 68, 70, 71, 7880
poltica de . . . . . . . . . . . . . . . . . . . . . . . . . . 49
cookies . . . . . . . . 4041, 58, 64, 76, 85, 86, 100
c opia de seguranca . . . . . . . . . . . . . . veja backup
criptograa . . . . . . . . . . . . . . . . . . . . . . 51, 6774
conceitos . . . . . . . . . . . . . . . . . . . . . . . . 6872
cuidados . . . . . . . . . . . . . . . . . . . . . . . . 7374
programas . . . . . . . . . . . . . . . . . . . . . . . . . . 72
termos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
uso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
cuidados a serem tomados
administrac ao de contas . . . . . . . . . . . 9899
ao usar computadores de terceiros . . . . 100
ao usar redes . . . . . . . . . . . . . . . . . . . . . . . 102
backup . . . . . . . . . . . . . . . . . . . . . . . . . . 5253
banda larga xa . . . . . . . . . . . . . . . . . . . . 106
123
banda larga m ovel . . . . . . . . . . . . . . . . . . 106
bluetooth . . . . . . . . . . . . . . . . . . . . . . . . . . 105
com ercio eletr onico . . . . . . . . . . . . . . . . . . 78
computador pessoal . . . . . . . . . . . . . . 9397
contas e senhas . . . . . . . . . . . . . . . . . . . . . . 61
criptograa . . . . . . . . . . . . . . . . . . . . . . 7374
dispositivos m oveis . . . . . . . . . . . . 108109
ferramentas antimalware . . . . . . . . . . . . . 56
ltro antispam. . . . . . . . . . . . . . . . . . . . . . . 58
rewall pessoal . . . . . . . . . . . . . . . . . . . . . . 57
Internet Banking. . . . . . . . . . . . . . . . . . . . . 77
logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
navegadores Web . . . . . . . . . . . . . . . . . 7576
poltica de seguranca . . . . . . . . . . . . . . . . . 49
privacidade . . . . . . . . . . . . . . . . . . . . . . 8687
programas leitores de e-mails . . . . . . . . . 76
redes sociais . . . . . . . . . . . . . . . . . . . . . 8991
Webmails . . . . . . . . . . . . . . . . . . . . . . . . 7677
Wi-Fi . . . . . . . . . . . . . . . . . . . . . . . . . 103104
D
DDoS. . . . . . . . . . . . . . . veja negac ao de servico
defacement . . . . . . veja desgurac ao de p agina
desgurac ao de p agina . . . . . . . . . . . . . . . . . . . 21
dispositivos m oveis
cuidados . . . . . . . . . . . . . . . . . . . . . . 108109
riscos . . . . . . . . . . . . . . . . . . . . . . . . . 107108
DoS . . . . . . . . . . . . . . . . veja negac ao de servico
E
e-commerce. . . . . . . . . veja com ercio eletr onico
e-mail spoong . . . . veja falsicac ao de e-mail
engenharia social . . . . . . . . . . . . . 5, 9, 60, 87, 88
extens oes. . . . . . . . . . . . . . . . . . . . 4243, 97, 108
F
falsa identidade . . . . . . veja furto de identidade
falsicac ao de e-mail . . . . . . . . . . . . . . . . . 1819
falso positivo . . . . . . . . . . . . . . . . . . . . . . . . 36, 48
ltro
antiphishing . . . . . . . . . . . . . . . . . . . . . 11, 58
antispam. . . . . . . . . . . . . . . . . . . . . 34, 35, 58
de bloqueio de propagandas. . . . . . . . . . . 58
de c odigos m oveis . . . . . . . . . . . . . . . . . . . 58
de janelas de pop-up . . . . . . . . . . . . . . . . . 58
rewall pessoal . 11, 44, 48, 55, 57, 90, 95, 102
forca bruta . . . . . . . . veja ataques de forca bruta
fraude de antecipac ao de recursos . . . . . . . . 78
func ao de resumo . . . . . . . . . . . . . . . . . veja hash
furto de identidade . . . . . . . . . . . . . . . . . . . . . . . . 6
G
golpes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 516
da Nig eria. . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
prevenc ao. . . . . . . . . . . . . . . . . . . . . . . . . . . 16
sites de compras coletivas . . . . . . . . . . . . 13
sites de leil ao e venda de produtos . . . . . 14
sites fraudulentos. . . . . . . . . . . . . . . . . 1213
tipos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 516
H
harvesting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
hash . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69, 73
hoax . . . . . . . . . . . . . . . . . . . . . . . . . . . . veja boato
I
identity theft . . . . . . . . . veja furto de identidade
interceptac ao de tr afego . . . 6, 19, 66, 102, 103
Internet
ataques . . . . . . . . . . . . . . . . . . . . veja ataques
golpes . . . . . . . . . . . . . . . . . . . . . . veja golpes
prevenc ao . . . . . . . . . . . . . . . veja prevenc ao
riscos . . . . . . . . . . . . . . . . . . . . . . . veja riscos
seguranca . . . . . . . . . . . . . . . . veja seguranca
spam . . . . . . . . . . . . . . . . . . . . . . . . veja spam
uso seguro . . . . . . . . . . . . . . . . . . . . . . . 7583
Internet Banking . 9, 11, 12, 27, 29, 40, 63, 64,
107
cuidados . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
J
janelas de pop-up. . . . . . . . . . . . . . . . . . . . . . . . 42
K
keylogger . . . . . . . . . . . . . . . . . . . . . veja spyware
L
links
curtos . . . . . . . . . . . . . . . . . . . . . . . . . . . 58, 95
patrocinados . . . . . . . . . . . . . . . . . . . . . 12, 43
logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29, 5354
M
malvertising . . . . . veja banners de propaganda
malware . . . . . . . . . . . . veja c odigos maliciosos
N
navegac ao an onima . . . . . . . . . . 41, 58, 86, 100
Indice Remissivo 125

navegador Web
cuidados . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
negac ao de servico . . . . . . . . . . . . . . . . . . . 2122
Nigerian 4-1-9 Scam. . . veja golpes da Nig eria
noticac ao de incidentes e abusos. . . . . . 5051
P
password . . . . . . . . . . . . . . . . . . . . . . . . veja senha
pharming . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
phishing. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 912
phishing-scam. . . . . . . . . . . . . . . . . veja phishing
phishing/scam. . . . . . . . . . . . . . . . . veja phishing
plug-ins . . . . . . . . . . . . . . . . . . . . . 4243, 97, 108
poltica
de backup. . . . . . . . . . . . . . . . . . . . . . . . . . . 48
de condencialidade . . . . . . . . . . . . . . . . . 49
de privacidade . . . . . . . . . . . . . . . . . . . . . . . 48
de seguranca . . . . . . . . . . . . . . . . . . . . . 4849
de senhas . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
de uso aceit avel . . . . . . . . . . . . . . . . . . . . . 49
prevenc ao
ataques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
banners de propaganda . . . . . . . . . . . . . . . 44
boatos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
c odigos m oveis . . . . . . . . . . . . . . . . . . 4142
c odigos maliciosos. . . . . . . . . . . . . . . . . . . 30
compartilhamento de recursos. . . . . . . . . 45
complementos . . . . . . . . . . . . . . . . . . . 4243
cookies . . . . . . . . . . . . . . . . . . . . . . . . . . 4041
extens oes . . . . . . . . . . . . . . . . . . . . . . . . 4243
fraude de antecipac ao de recursos . . . . . . 8
furto de identidade . . . . . . . . . . . . . . . . . . . . 6
golpes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
sites de compras coletivas . . . . . . . . . . 13
sites de leil ao e venda de produtos . . . 14
sites fraudulentos . . . . . . . . . . . . . . . 1213
janelas de pop-up . . . . . . . . . . . . . . . . . . . . 42
links patrocinados . . . . . . . . . . . . . . . . . . . 43
pharming . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
phishing . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
plug-ins . . . . . . . . . . . . . . . . . . . . . . . . . 4243
programa de distribuic ao de arquivos . . 44
spam. . . . . . . . . . . . . . . . . . . . . . . . . . . . 3537
privacidade . . . . . . . . . . . . . . . . . . . . . . . . . . 8591
ao divulgar informac oes . . . . . . . . . . 8687
ao navegar na Web . . . . . . . . . . . . . . . . . . . 86
ao usar e-mails . . . . . . . . . . . . . . . . . . . . . . 86
como pode ser exposta . . . . . . . . . . . . 8586
como preservar . . . . . . . . . . . . 8687, 8991
em redes sociais . . . . . . . veja redes sociais
poltica de . . . . . . . . . . . . . . . . . . . . . . . . . . 48
programa
de distribuic ao de arquivos. . . . . . . . . . . . 44
leitor de e-mails . . . . . . . . . . . . . . . . . . . . . 76
para vericac ao de vulnerabilidades . . . 58
R
redes
cuidados . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
riscos . . . . . . . . . . . . . . . . . . . . . . . . . 101102
sem o dom estica . . . . . . . . . . . . . . 104105
tipos de acesso. . . . . . . . . . . . . . . . . 102106
redes sociais 6, 8, 9, 20, 36, 49, 60, 65, 8791,
93, 106109
cuidados . . . . . . . . . . . . . . . . . . . . . . . . 8991
riscos . . . . . . . . . . . . . . . . . . . . . . . . . . . 8788
registro de eventos . . . . . . . . . . . . . . . . . veja logs
riscos . . . . . . . . . . . . . . . . . . . . . . . . . . 23, 3945
rootkit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2930
S
scan . . . . . . . . . . . . . . . . veja varredura em redes
screenlogger . . . . . . . . . . . . . . . . . . veja spyware
seguranca. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
de computadores . . . . . . . . . . . . . . . . 93100
de redes . . . . . . . . . . . . . . . . . . . . . . . 101106
em conex oes Web. . . . . . . . . . . . . . . . . . . 111
em dispositivos m oveis . . . . . . . . . 107109
mecanismos de. . . . . . . . . . . . . . . . . . . 4758
requisitos b asicos . . . . . . . . . . . . . . . . 4748
senha . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51, 5966
como elaborar . . . . . . . . . . . . . . . . . . . 6162
como gerenciar . . . . . . . . . . . . . . . . . . 6365
como pode ser descoberta . . . . . . . . . 6061
como recuperar . . . . . . . . . . . . . . . . . . 6566
cuidados ao usar . . . . . . . . . . . . . . . . . . . . . 61
poltica de . . . . . . . . . . . . . . . . . . . . . . . . . . 48
quando alterar . . . . . . . . . . . . . . . . . . . . . . . 63
sigilo. . . . . . . . . . . . . . . . . veja condencialidade
snifng . . . . . . . . . veja interceptac ao de tr afego
spam. . . 3, 8, 12, 13, 19, 23, 26, 3337, 58, 60,
88, 89, 93, 101, 106, 107
prevenc ao . . . . . . . . . . . . . . . . . . . . . . . 3537
problemas causados . . . . . . . . . . . . . . 3435
spyware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27, 30
adware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
keylogger . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
screenlogger . . . . . . . . . . . . . . . . . . . . . . . . 27
T
termo
de servico. . . veja poltica de uso aceit avel
de uso . . . . . . veja poltica de uso aceit avel
teste de reputac ao de site . . . . . . . . . . . . . . . . . 58
trojan . . . . . . . . . . . . . . . . . . . . . . . . 2830, 50, 55
trojan-horse . . . . . . . . . . . . . . . . . . . . . veja trojan
V
varredura em redes . . . . . . . . . 3, 18, 25, 29, 102
vrus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24, 30
vulnerabilidades . . . . . . . . . . 18, 2123, 25, 26,
28, 29, 40, 44, 54, 57, 58, 93, 94, 101,
102, 104, 106
W
Webmail . . . . . . . . . . . . . . . . . . . . . . 36, 40, 58, 86
cuidados . . . . . . . . . . . . . . . . . . . . . . . . 7677
Wi-Fi . . . . . . . . . . . . . . . . . . 63, 77, 78, 103105
worm . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25, 30

Cartilha Seguranca Na Internet v2

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Cartilha Seguranca Na Internet v2

Enviado por

Direitos autorais:

Formatos disponíveis

P

AO COMERCIAL VEDADA A CRIAC

Indice Remissivo 123

Albuns de fotos e vdeos pessoa supostamente conhecida, celebridades

E importante ressaltar, entretanto, que denir e identicar essas caractersticas t em se tornado

E muito importante que voc e saiba como identicar os spams,

E por meio das suas contas e senhas que os sistemas

E considerado como intermedi ario entre as empresas que fazem os an uncios e os

Indice Remissivo 125

Você também pode gostar