Cartilha Seguranca Internet

http://cartilha.cert.
br/
Publicao
ATRIBUIC AO
COMERCIAL USO NAO
DE OBRAS DERIVADAS 3.0 BRASIL VEDADA A CRIAC AO
PODE: VOCE es: copiar, distribuir e transmitir a obra sob as seguintes condic o ATRIBUIC AO: Voc e deve creditar a obra da forma especicada pelo autor ou licenciante (mas n ao de maneira que sugira que estes concedem qualquer aval a voc e ou ao seu uso da obra). COMERCIAL: USO NAO Voc e n ao pode usar esta obra para ns comerciais. DE OBRAS DERIVADAS: VEDADA A CRIAC AO Voc e n ao pode alterar, transformar ou criar em cima desta obra.
e Coordenac do Ponto BR Nucleo de Informac ao ao Centro de Estudos, Resposta e Tratamento de Incidentes de Seguranc a no Brasil
Cartilha de Seguranc a para Internet

4.0 Versao
Gestor da Internet no Brasil Comite Paulo Sao 2012
Comit e Gestor da Internet no Brasil (CGI.br) o e Coordenac o do Ponto BR (NIC.br) N ucleo de Informac a a Centro de Estudos, Resposta e Tratamento de Incidentes de Seguranc a no Brasil (CERT.br)
o: Equipe do CERT.br Textos e Edic a es: H Ilustrac o ector G omez e Osnei
Cartilha de Seguranc a para Internet, vers ao 4.0 / CERT.br S ao Paulo: Comit e Gestor da Internet no Brasil, 2012.
o: 2006 Primeira edic a ISBN: 978-85-60062-05-8 ISBN: 85-60062-05-X o: 2012 Segunda edic a ISBN: 978-85-60062-54-6
uma publicac o independente, produzida pelo Centro de Estudos, Resposta e A Cartilha de Seguranc a para Internet e a o e Coordenac o do Ponto BR Tratamento de Incidentes de Seguranc a no Brasil (CERT.br), do N ucleo de Informac a a o de aliac o, (NIC.br), brac o executivo do Comit e Gestor da Internet no Brasil (CGI.br) e n ao possui qualquer relac a a o de outras instituic es ou empresas citadas em seu conte patroc nio ou aprovac a o udo. Os nomes de empresas e produtos bem como logotipos mencionados nesta obra podem ser marcas registradas ou marcas registradas comerciais, de produtos ou servic os, no Brasil ou em outros pa ses, e s ao utilizados com prop osito de o, sem intenc o de promover, denegrir ou infringir. exemplicac a a es tenham sido tomadas na elaborac o desta obra, autor e editor n o Embora todas as precauc o a ao garantem a correc a es nela contidas e n absoluta ou a completude das informac o ao se responsabilizam por eventuais danos ou perdas que possam advir do seu uso.
Pref acio
um documento com recomendac es e dicas sobre como A Cartilha de Seguranc a para Internet e o o usu ario de Internet deve se comportar para aumentar a sua seguranc a e se proteger de poss veis ameac as. O documento apresenta o signicado de diversos termos e conceitos utilizados na Internet, aborda os riscos de uso desta tecnologia e fornece uma s erie de dicas e cuidados a serem tomados pelos usu arios para se protegerem destas ameac as. o desta Cartilha foi feita pelo Centro de Estudos, Resposta e Tratamento de Incidentes A produc a um dos servic de Seguranc a no Brasil (CERT.br), que e os prestados para a comunidade Internet do o e Coordenac o do Ponto BR (NIC.br), o brac Brasil pelo N ucleo de Informac a a o executivo do Comit e Gestor da Internet no Brasil (CGI.br). N os esperamos que esta Cartilha possa auxili a-lo n ao s o a compreender as ameac as do ambiente Internet, mas tamb em a usufruir dos benef cios de forma consciente e a manter a seguranc a de seus muito importante dados, computadores e dispositivos m oveis. Gostar amos ainda de ressaltar que e poss car sempre atento ao usar a Internet, pois somente aliando medidas t ecnicas a boas pr aticas e vel atingir um n vel de seguranc a que permita o pleno uso deste ambiente. Caso voc e tenha alguma sugest ao para este documento ou encontre algum erro, por favor, entre em contato por meio do enderec o doc@cert.br. Boa leitura! Equipe do CERT.br Junho de 2012
Estrutura da Cartilha
reas relaEste documento conta com quatorze cap tulos, que dividem o conte udo em diferentes a cionadas com a seguranc a da Internet, al em de um gloss ario e um ndice remissivo. o sobre a import De forma geral, o Cap tulo 1 apresenta uma introduc a ancia de uso da Internet, os riscos a que os usu arios est ao sujeitos e os cuidados a serem tomados. Do Cap tulo 2 ao 6 os riscos s ao apresentados de forma mais detalhada, enquanto que do Cap tulo 7 ao 14 o foco principal s ao os cuidados a serem tomados e os mecanismos de seguranc a existentes. o de atividades 1. Seguranc a na Internet: Trata dos benef cios que a Internet pode trazer na realizac a cotidianas e descreve, de forma geral, os riscos relacionados ao seu uso. Procura tamb em esclarecer que a Internet n ao tem nada de virtual e que os cuidados a serem tomados ao us a-la s ao semelhantes aos que se deve ter no dia a dia.
iii
iv
2. Golpes na Internet: Apresenta os principais golpes aplicados na Internet, os riscos que estes golpes representam e os cuidados que devem ser tomados para se proteger deles. 3. Ataques na Internet: Aborda os ataques que costumam ser realizados por meio da Internet, as es que levam os atacantes a praticar atividades deste tipo e as t motivac o ecnicas que costumam ser utilizadas. Ressalta a import ancia de cada um fazer a sua parte para que a seguranc a geral da Internet possa ser melhorada. 4. C odigos maliciosos (Malware): Aborda os diferentes tipos de c odigos maliciosos, as diversas for o e as principais ac es danosas e atividades maliciosas por eles executadas. mas de infecc a o o dos diferentes tipos. Apresenta tamb em um resumo comparativo para facilitar a classicac a 5. Spam: Discute os problemas acarretados pelo spam, principalmente aqueles que possam ter im es de seguranc o. plicac o a, e m etodos de prevenc a o incorporados a grande maioria 6. Outros riscos: Aborda alguns dos servic os e recursos de navegac a dos navegadores Web e leitores de e-mails, os riscos que eles podem representar e os cuidados que devem ser tomados ao utiliz a-los. Trata tamb em dos riscos apresentados e dos cuidados a serem tomados ao compartilhar recursos na Internet. 7. Mecanismos de seguranc a: Apresenta os principais mecanismos de seguranc a existentes e os cui o de ferramentas dados que devem ser tomados ao utiliz a-los. Ressalta a import ancia de utilizac a de seguranc a aliada a uma postura preventiva. o usado na Internet que s 8. Contas e senhas: Aborda o principal mecanismo de autenticac a ao as o, gerenciamento, alterac o e recuperac o, contas e as senhas. Inclui dicas de uso, elaborac a a a entre outras. es de resumo, assinatura 9. Criptograa: Apresenta alguns conceitos de criptograa, como func o digital, certicado digital e as chaves sim etricas e assim etricas. Trata tamb em dos cuidados que devem ser tomados ao utiliz a-la. 10. Uso seguro da Internet: Apresenta, de forma geral, os principais usos que s ao feitos da Internet e os cuidados que devem ser tomados ao utiliz a-los. Aborda quest oes referentes a seguranc a nas conex oes Web especialmente as envolvem o uso de certicados digitais. ` privacidade do usu 11. Privacidade: Discute quest oes relacionadas a ario ao utilizar a Internet e aos cuidados que ele deve ter com seus dados pessoais. Apresenta detalhadamente dicas referentes o de informac es pessoais nas redes sociais. a disponibilizac a o 12. Seguranc a de computadores: Apresenta os principais cuidados que devem ser tomados ao usar computadores, tanto pessoais como de terceiros. Ressalta a import ancia de manter os compu o instalados. tadores atualizados e com mecanismos de protec a 13. Seguranc a de redes: Apresenta os riscos relacionados ao uso das principais tecnologias de aces` Internet, como banda larga (xa e m so a ovel), Wi-Fi e Bluetooth. 14. Seguranc a em dispositivos m oveis: Aborda os riscos relacionados ao uso de dispositivos m oveis e procura demonstrar que eles s ao similares aos computadores e que, por isto, necessitam dos mesmos cuidados de seguranc a.
Licenc a de Uso da Cartilha

disponibilizada sob a licenc A Cartilha de Seguranc a para Internet e a Creative Commons Atribui o-Uso n o de obras derivadas 3.0 Brasil (CC BY-NC-ND 3.0). c a ao-comercial-Vedada a criac a A licenc a completa est a dispon vel em: http://cartilha.cert.br/cc/.
Hist orico da Cartilha

No in cio de 2000, um grupo de estudos que, entre outros, envolveu a Abranet e o CERT.br (que `e poca chamava-se NBSO NIC BR Security Ofce), identicou a necessidade de um guia com a es sobre seguranc informac o a que pudesse ser usado como refer encia pelos diversos setores usu arios ncia, a pedido do Comit de Internet. Como conseq ue e Gestor da Internet no Brasil e sob supervis ao do CERT.br, em julho do mesmo ano foi lanc ada a Cartilha de Seguranc a para Internet Vers ao 1.0. Em 2003 foi vericada a necessidade de uma revis ao geral do documento, que n ao s o inclu sse o de assuntos espec novos t opicos, mas que tamb em facilitasse sua leitura e a localizac a cos. Neste ` vers processo de revis ao a Cartilha foi completamente reescrita, dando origem a ao 2.0. Esta vers ao, a primeira totalmente sob responsabilidade do CERT.br, possu a estrutura dividida em partes, al em de es relativas a contar com o checklist e o gloss ario. Tamb em nesta vers ao foram introduzidas as sec o fraudes na Internet, banda larga, redes sem o, spam e incidentes de seguranc a. ` evoluc o da tecNa vers ao 3.0, de 2005, a Cartilha continuou com sua estrutura, mas, devido a a nologia, novos assuntos foram inclu dos. Foi criada uma parte espec ca sobre c odigos maliciosos, expandida a parte sobre seguranc a de redes sem o e inclu dos t opicos espec cos sobre seguranc a em dispositivos m oveis. Esta vers ao tamb em foi a primeira a disponibilizar um folheto com as dicas o contra as ameac b asicas para protec a as mais comuns. A vers ao 3.1 n ao introduziu partes novas, mas incorporou diversas sugest oes de melhoria recebi o e atendeu a um pedido de muitos leitores: lanc -la em formato das, corrigiu alguns erros de digitac a a de livro, para facilitar a leitura e a impress ao do conte udo completo. Em 2012 foi vericada novamente a necessidade de revis ao geral do documento, o que deu origem ` vers a ao 4.0. Com o uso crescente da Internet e das redes sociais, impulsionado principalmente o dos dispositivos m pela popularizac a oveis e facilidades de conex ao, constatou-se a necessidade de abordar novos conte udos e agrupar os assuntos de maneira diferente. Esta vers ao conta com um livro totalmente com todo o conte udo que, com o objetivo de facilitar a leitura e torn a-la mais agrad avel, e complementado por fasc ilustrado. Este livro, por sua vez, e culos com vers oes resumidas de alguns dos t opicos, de forma a facilitar a difus ao de conte udos espec cos.
Agradecimentos
o deste documento, Agradecemos a todos leitores da Cartilha, que t em contribu do para a elaborac a enviando coment arios, cr ticas, sugest oes ou revis oes. es de Rafael Rodrigues Obelheiro, na vers Agradecemos as contribuic o ao 3.0, e de Nelson Murilo, na Parte V da vers ao 3.1 e no Cap tulo 13 da atual vers ao. Agradecemos a toda equipe do CERT.br, especialmente a Luiz E. R. Cordeiro, pelo texto da o das vers o primeira vers ao; a Marcelo H. P. C. Chaves, pela produc a oes 2.0, 3.0 e 3.1 e pela criac a o nos das guras da atual vers ao; a Lucimara Desider a, pelas pesquisas realizadas, pela contribuic a o das guras da atual vers Cap tulos 9 e 13 e tamb em pela pela criac a ao; e a Miriam von Zuben, pela o da vers produc a ao 4.0 e por ser a principal mantenedora da Cartilha.
vii
Sum ario
Pref acio Agradecimentos Lista de Figuras Lista de Tabelas 1 2 Seguranc a na Internet Golpes na Internet 2.1 2.2 2.3 Furto de identidade (Identity theft) . . . . . . . . . . . . . . . . . . . . . . . . . . . o de recursos (Advance fee fraud) . . . . . . . . . . . . . . . . Fraude de antecipac a Phishing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.3.1 2.4 Pharming . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
iii vii xiii xiii 1 5 6 7 9 11 12 12 13 14 15 16 17 18 18 18 19

ix
Golpes de com ercio eletr onico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.4.1 2.4.2 2.4.3 Golpe do site de com ercio eletr onico fraudulento . . . . . . . . . . . . . . . Golpe envolvendo sites de compras coletivas . . . . . . . . . . . . . . . . . Golpe do site de leil ao e venda de produtos . . . . . . . . . . . . . . . . . .
2.5 2.6 3
Boato (Hoax) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Prevenc a
Ataques na Internet 3.1 3.2 3.3 3.4 o de vulnerabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Explorac a Varredura em redes (Scan) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o de e-mail (E-mail spoong) . . . . . . . . . . . . . . . . . . . . . . . . Falsicac a o de tr Interceptac a afego (Snifng) . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.5 3.6 3.7 3.8 4
Forc a bruta (Brute force) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o de p Desgurac a agina (Defacement) . . . . . . . . . . . . . . . . . . . . . . . . . o de servic Negac a o (DoS e DDoS) . . . . . . . . . . . . . . . . . . . . . . . . . . . o . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Prevenc a
20 21 21 22 23 24 25 26 27 28 28 29 30 30 33 35 39 40 41 42 42 43 43 44 45 47 48 50 51
C odigos maliciosos (Malware) 4.1 4.2 4.3 4.4 4.5 4.6 4.7 4.8 4.9 V rus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Worm . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bot e botnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Spyware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Backdoor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cavalo de troia (Trojan) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Rootkit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Prevenc a Resumo comparativo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Spam 5.1 o . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Prevenc a
Outros riscos 6.1 6.2 6.3 6.4 6.5 6.6 6.7 6.8 Cookies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . C odigos m oveis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Janelas de pop-up . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Plug-ins, complementos e extens oes . . . . . . . . . . . . . . . . . . . . . . . . . . Links patrocinados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Banners de propaganda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o de arquivos (P2P) . . . . . . . . . . . . . . . . . . . . . . Programas de distribuic a Compartilhamento de recursos . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Mecanismos de seguranc a 7.1 7.2 7.3 Pol tica de seguranc a . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o de incidentes e abusos . . . . . . . . . . . . . . . . . . . . . . . . . . . Noticac a Contas e senhas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Sumario
xi
7.4 7.5 7.6 7.7 7.8 7.9
Criptograa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . C opias de seguranc a (Backups) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Registro de eventos (Logs) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ferramentas antimalware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Firewall pessoal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Filtro antispam . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
51 51 53 55 57 58 58 59 60 61 63 63 65 67 68 69 69 70 72 73 75 78 79 82 85 87 93 98 99
7.10 Outros mecanismos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 Contas e senhas 8.1 8.2 8.3 8.4 8.5 9 Uso seguro de contas e senhas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o de senhas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Elaborac a o de senhas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Alterac a Gerenciamento de contas e senhas . . . . . . . . . . . . . . . . . . . . . . . . . . . o de senhas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Recuperac a
Criptograa 9.1 9.2 9.3 9.4 9.5 9.6 Criptograa de chave sim etrica e de chaves assim etricas . . . . . . . . . . . . . . . o de resumo (Hash) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Func a Assinatura digital . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Certicado digital . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Programas de criptograa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cuidados a serem tomados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
10 Uso seguro da Internet 10.1 Seguranc a em conex oes Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10.1.1 Tipos de conex ao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . con 10.1.2 Como vericar se um certicado digital e avel . . . . . . . . . . . . . . 11 Privacidade 11.1 Redes sociais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 Seguranc a de computadores o de contas de usu 12.1 Administrac a arios . . . . . . . . . . . . . . . . . . . . . . . . . . 12.2 O que fazer se seu computador for comprometido . . . . . . . . . . . . . . . . . . .
xii
12.3 Cuidados ao usar computadores de terceiros . . . . . . . . . . . . . . . . . . . . . . 100 13 Seguranc a de redes 101
13.1 Cuidados gerais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 13.2 Wi-Fi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 13.3 Bluetooth . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 13.4 Banda larga xa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 13.5 Banda Larga M ovel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 14 Seguranc a em dispositivos m oveis Gloss ario Indice Remissivo 107 111 123
Lista de Figuras
9.1 9.2 Exemplos de certicados digitais. . . . . . . . . . . . . . . . . . . . . . . . . . . . Cadeia de certicados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 72 79 80 80 81 81 82
10.1 Conex ao n ao segura em diversos navegadores. . . . . . . . . . . . . . . . . . . . . . 10.2 Conex ao segura em diversos navegadores. . . . . . . . . . . . . . . . . . . . . . . . 10.3 Conex ao segura usando EV SSL em diversos navegadores. . . . . . . . . . . . . . . o n 10.4 Conex ao HTTPS com cadeia de certicac a ao reconhecida. . . . . . . . . . . . .
10.5 Uso combinado de conex ao segura e n ao segura. . . . . . . . . . . . . . . . . . . . . 10.6 Alerta de certicado n ao con avel em diversos navegadores. . . . . . . . . . . . . .
Lista de Tabelas
2.1 4.1 9.1 Exemplos de t opicos e temas de mensagens de phishing. . . . . . . . . . . . . . . . Resumo comparativo entre os c odigos maliciosos. . . . . . . . . . . . . . . . . . . . es via Internet. . . . . . . . . . . . Termos empregados em criptograa e comunicac o 10 31 68
xiii
1. Seguranc a na Internet
o e, provavelmente para estas A Internet j a est a presente no cotidiano de grande parte da populac a pessoas, seria muito dif cil imaginar como seria a vida sem poder usufruir das diversas facilidades e oportunidades trazidas por esta tecnologia. Por meio da Internet voc e pode: encontrar antigos amigos, fazer novas amizades, encontrar pessoas que compartilham seus gostos e manter contato com amigos e familiares distantes; ` dist acessar sites de not cias e de esportes, participar de cursos a ancia, pesquisar assuntos de interesse e tirar d uvidas em listas de discuss ao; o de extratos; efetuar servic os banc arios, como transfer encias, pagamentos de contas e vericac a fazer compras em supermercados e em lojas de com ercio eletr onico, pesquisar prec os e vericar a opini ao de outras pessoas sobre os produtos ou servic os ofertados por uma determinada loja; acessar sites dedicados a brincadeiras, passatempos e hist orias em quadrinhos, al em de grande variedade de jogos, para as mais diversas faixas et arias; o de Imposto de Renda, emitir boletim de ocorr enviar a sua declarac a encia, consultar os pontos o e agendar a emiss em sua carteira de habilitac a ao de passaporte;
1
o das salas de cinema, vericar a agenda de espet consultar a programac a aculos teatrais, expo es e shows e adquirir seus ingressos antecipadamente; sic o ` obra de grandes artistas, onde e poss consultar acervos de museus e sites dedicados a vel conhecer a biograa e as t ecnicas empregadas por cada um. Estes s ao apenas alguns exemplos de como voc e pode utilizar a Internet para facilitar e melhorar a sua vida. Aproveitar esses benef cios de forma segura, entretanto, requer que alguns cuidados sejam importante que voc tomados e, para isto, e e esteja informado dos riscos aos quais est a exposto para que possa tomar as medidas preventivas necess arias. Alguns destes riscos s ao: Acesso a conteudos impr oprios ou ofensivos: ao navegar voc e pode se deparar com p aginas que dio e o racismo. contenham pornograa, que atentem contra a honra ou que incitem o o o de Contato com pessoas mal-intencionadas: existem pessoas que se aproveitam da falsa sensac a anonimato da Internet para aplicar golpes, tentar se passar por outras pessoas e cometer crimes como, por exemplo, estelionato, pornograa infantil e sequestro. Furto de identidade: assim como voc e pode ter contato direto com impostores, tamb em pode ocor es em seu nome, levando outras pessoas rer de algu em tentar se passar por voc e e executar ac o a acreditarem que est ao se relacionando com voc e, e colocando em risco a sua imagem ou o. reputac a ` Internet podem ser Furto e perda de dados: os dados presentes em seus equipamentos conectados a o de ladr furtados e apagados, pela ac a oes, atacantes e c odigos maliciosos. o de informac es pessoais pode comprometer a sua privacidade, Invas ao de privacidade: a divulgac a o de seus amigos e familiares e, mesmo que voc e restrinja o acesso, n ao h a como controlar que elas n ao ser ao repassadas. Al em disto, os sites costumam ter pol ticas pr oprias de privacidade e podem alter a-las sem aviso pr evio, tornando p ublico aquilo que antes era privado. o de boatos: as informac es na Internet podem se propagar rapidamente e atingir um Divulgac a o grande n umero de pessoas em curto per odo de tempo. Enquanto isto pode ser desej avel em o de informac es falsas, que podem gerar certos casos, tamb em pode ser usado para a divulgac a o p anico e prejudicar pessoas e empresas. divulgado na Internet nem sempre pode ser totalmente exDiculdade de exclus ao: aquilo que e clu do ou ter o acesso controlado. Uma opini ao dada em um momento de impulso pode car acess vel por tempo indeterminado e pode, de alguma forma, ser usada contra voc e e acessada por diferentes pessoas, desde seus familiares at e seus chefes. Diculdade de detectar e expressar sentimentos: quando voc e se comunica via Internet n ao h a como observar as express oes faciais ou o tom da voz das outras pessoas, assim como elas n ao podem observar voc e (a n ao ser que voc es estejam utilizando webcams e microfones). Isto o do risco, gerar mal-entendido e interpretac o d pode dicultar a percepc a a ubia. poss Diculdade de manter sigilo: no seu dia a dia e vel ter uma conversa condencial com algu em e tomar cuidados para que ningu em mais tenha acesso ao que est a sendo dito. Na Internet, caso es podem trafegar ou car armazenadas n ao sejam tomados os devidos cuidados, as informac o de forma que outras pessoas tenham acesso ao conte udo.
1. Seguranc a na Internet
Uso excessivo: o uso desmedido da Internet, assim como de outras tecnologias, pode colocar em risco a sua sa ude f sica, diminuir a sua produtividade e afetar a sua vida social ou prossional. o de direitos autorais: a c o ou distribuic o n Pl agio e violac a opia, alterac a a ao autorizada de conte udos e materiais protegidos pode contrariar a lei de direitos autorais e resultar em problemas jur dicos e em perdas nanceiras. o de voc Outro grande risco relacionado ao uso da Internet e e achar que n ao corre riscos, pois 1 sup oe que ningu em tem interesse em utilizar o seu computador ou que, entre os diversos computa justamente este tipo de pensamento ` Internet, o seu dicilmente ser dores conectados a a localizado. E explorado pelos atacantes, pois, ao se sentir seguro, voc que e e pode achar que n ao precisa se prevenir. Esta ilus ao, infelizmente, costuma terminar quando os primeiros problemas comec am a acontecer. Muitas vezes os atacantes est ao interessados em conseguir acesso a grandes quantidades de computadores, independente de quais s ao, e para isto, podem efetuar varreduras na rede e localizar grande ` Internet, inclusive o seu. parte dos computadores conectados a Um problema de seguranc a em seu computador pode torn a-lo indispon vel e colocar em risco a condencialidade e a integridade dos dados nele armazenados. Al em disto, ao ser comprometido, seu computador pode ser usado para a pr atica de atividades maliciosas como, por exemplo, servir de reposit orio para dados fraudulentos, lanc ar ataques contra outros computadores (e assim esconder a o do atacante), propagar c real identidade e localizac a odigos maliciosos e disseminar spam. Os principais riscos relacionados ao uso da Internet s ao detalhados nos Cap tulos: Golpes na Internet, Ataques na Internet, C odigos maliciosos (Malware), Spam e Outros riscos. estar ciente de que O primeiro passo para se prevenir dos riscos relacionados ao uso da Internet e realizado por meio da Internet e real: os dados ela n ao tem nada de virtual. Tudo o que ocorre ou e s ao reais e as empresas e pessoas com quem voc e interage s ao as mesmas que est ao fora dela. Desta forma, os riscos aos quais voc e est a exposto ao us a-la s ao os mesmos presentes no seu dia a dia e os ` queles que ocorrem na rua ou por telefone. golpes que s ao aplicados por meio dela s ao similares a preciso, portanto, que voc es E e leve para a Internet os mesmos cuidados e as mesmas preocupac o que voc e tem no seu dia a dia, como por exemplo: visitar apenas lojas con aveis, n ao deixar p ublicos es a dados sens veis, car atento quando for ao banco ou zer compras, n ao passar informac o estranhos, n ao deixar a porta da sua casa aberta, etc. importante que voc Para tentar reduzir os riscos e se proteger e e adote uma postura preventiva e o com a seguranc ` sua rotina, independente de quest que a atenc a a seja um h abito incorporado a oes como local, tecnologia ou meio utilizado. Para ajud a-lo nisto, h a diversos mecanismos de seguranc a que voc e pode usar e que s ao detalhados nos Cap tulos: Mecanismos de seguranc a, Contas e senhas e Criptograa. Outros cuidados, relativos ao uso da Internet, como aqueles que voc e deve tomar para manter a sua privacidade e ao utilizar redes e dispositivos m oveis, s ao detalhados nos demais Cap tulos: Uso seguro da Internet, Privacidade, Seguranc a de computadores, Seguranc a de redes e Seguranc a em dispositivos m oveis.
Cartilha a palavra computador ser a usada para se referir a todos os dispositivos computacionais pass veis de o por c invas ao e/ou de infecc a odigos maliciosos, como computadores e dispositivos m oveis.
1 Nesta
2. Golpes na Internet
uma tarefa simples atacar e fraudar dados em um servidor de uma instituiNormalmente, n ao e o banc o de c a aria ou comercial e, por este motivo, golpistas v em concentrando esforc os na explorac a fragilidades dos usu arios. Utilizando t ecnicas de engenharia social e por diferentes meios e discursos, es sens os golpistas procuram enganar e persuadir as potenciais v timas a fornecerem informac o veis es, como executar c ou a realizarem ac o odigos maliciosos e acessar p aginas falsas. es nanceiras, acessar De posse dos dados das v timas, os golpistas costumam efetuar transac o sites, enviar mensagens eletr onicas, abrir empresas fantasmas e criar contas banc arias ileg timas, entre outras atividades maliciosas. Muitos dos golpes aplicados na Internet podem ser considerados crimes contra o patrim onio, tipicados como estelionato. Dessa forma, o golpista pode ser considerado um estelionat ario. es s Nas pr oximas sec o ao apresentados alguns dos principais golpes aplicados na Internet e alguns cuidados que voc e deve tomar para se proteger deles.
2.1
Furto de identidade (Identity theft)
o ato pelo qual uma pessoa tenta se passar por outra, O furto de identidade, ou identity theft, e atribuindo-se uma falsa identidade, com o objetivo de obter vantagens indevidas. Alguns casos de furto de identidade podem ser considerados como crime contra a f e p ublica, tipicados como falsa identidade. No seu dia a dia, sua identidade pode ser furtada caso, por exemplo, algu em abra uma empresa ou uma conta banc aria usando seu nome e seus documentos. Na Internet isto tamb em pode ocorrer, caso algu em crie um perl em seu nome em uma rede social, acesse sua conta de e-mail e envie mensagens se passando por voc e ou falsique os campos de e-mail, fazendo parecer que ele foi enviado por voc e. es voc Quanto mais informac o e disponibiliza sobre a sua vida e rotina, mais f acil se torna para um golpista furtar a sua identidade, pois mais dados ele tem dispon veis e mais convincente ele pode es sobre ser. Al em disto, o golpista pode usar outros tipos de golpes e ataques para coletar informac o voc e, inclusive suas senhas, como c odigos maliciosos (mais detalhes no Cap tulo C odigos maliciosos o de tr (Malware)), ataques de forc a bruta e interceptac a afego (mais detalhes no Cap tulo Ataques na Internet). Caso a sua identidade seja furtada, voc e poder a arcar com consequ encias como perdas nanceiras, o e falta de cr perda de reputac a edito. Al em disto, pode levar muito tempo e ser bastante desgastante at e que voc e consiga reverter todos os problemas causados pelo impostor. o: Prevenc a evitar que o impostor tenha acesso A melhor forma de impedir que sua identidade seja furtada e ` s suas contas de usu aos seus dados e a ario (mais detalhes no Cap tulo Privacidade). Al em disto, muito importante que voc para evitar que suas senhas sejam obtidas e indevidamente usadas, e e seja cuidadoso, tanto ao us a-las quanto ao elabor a-las (mais detalhes no Cap tulo Contas e senhas). necess E ario tamb em que voc e que atento a alguns ind cios que podem demonstrar que sua identidade est a sendo indevidamente usada por golpistas, tais como:
rg o de cr voc e comec a a ter problemas com o aos de protec a edito; voc e recebe o retorno de e-mails que n ao foram enviados por voc e; es de acesso que a sua conta de e-mail ou seu perl na rede social voc e verica nas noticac o foi acessado em hor arios ou locais em que voc e pr oprio n ao estava acessando; es ao analisar o extrato da sua conta banc aria ou do seu cart ao de cr edito voc e percebe transac o que n ao foram realizadas por voc e; es telef voc e recebe ligac o onicas, correspond encias e e-mails se referindo a assuntos sobre os quais voc e n ao sabe nada a respeito, como uma conta banc aria que n ao lhe pertence e uma compra n ao realizada por voc e.
2.2
o de recursos (Advance fee fraud) Fraude de antecipac a
o de recursos, ou advance fee fraud, e aquela na qual um golpista procura A fraude de antecipac a es condenciais ou a realizar um pagamento adiantado, com induzir uma pessoa a fornecer informac o a promessa de futuramente receber algum tipo de benef cio. Por meio do recebimento de mensagens eletr onicas ou do acesso a sites fraudulentos, a pessoa envolvida em alguma situac o ou hist e a oria mirabolante, que justique a necessidade de envio de es pessoais ou a realizac o de algum pagamento adiantado, para a obtenc o de um benef informac o a a cio futuro. Ap os fornecer os recursos solicitados a pessoa percebe que o tal benef cio prometido n ao existe, constata que foi v tima de um golpe e que seus dados/dinheiro est ao em posse de golpistas. um dos tipos de fraude de antecipac o de recursos O Golpe da Nig eria (Nigerian 4-1-9 Scam1 ) e a aplicado, geralmente, da seguinte forma: mais conhecidos e e o dizendoa. Voc e recebe uma mensagem eletr onica em nome de algu em ou de alguma instituic a solicitado que voc se ser da Nig eria, na qual e e atue como intermedi ario em uma transfer encia internacional de fundos; absurdamente alto e, caso voc o, b. o valor citado na mensagem e e aceite intermediar a transac a recebe a promessa de futuramente ser recompensado com uma porcentagem deste valor; o c. o motivo, descrito na mensagem, pelo qual voc e foi selecionado para participar da transac a a indicac o de algum funcion geralmente e a ario ou amigo que o apontou como sendo uma pessoa honesta, con avel e merecedora do tal benef cio; d. a mensagem deixa claro que se trata de uma transfer encia ilegal e, por isto, solicita sigilo absoluto e urg encia na resposta, caso contr ario, a pessoa procurar a por outro parceiro e voc e perder a a oportunidade; e. ap os responder a mensagem e aceitar a proposta, os golpistas solicitam que voc e pague antecipadamente uma quantia bem elevada (por em bem inferior ao total que lhe foi prometido) para arcar com custos, como advogados e taxas de transfer encia de fundos; informado que necessita reaf. ap os informar os dados e efetivar o pagamento solicitado, voc ee lizar novos pagamentos ou perde o contato com os golpistas; g. nalmente, voc e percebe que, al em de perder todo o dinheiro investido, nunca ver a a quantia prometida como recompensa e que seus dados podem estar sendo indevidamente usados. Apesar deste golpe ter cado conhecido como sendo da Nig eria, j a foram registrados diversos casos semelhantes, originados ou que mencionavam outros pa ses, geralmente de regi oes pobres ou que estejam passando por conitos pol ticos, econ omicos ou raciais. o de recursos possui diversas variac es que, apesar de apresentarem difeA fraude de antecipac a o rentes discursos, assemelham-se pela forma como s ao aplicadas e pelos danos causados. Algumas es s destas variac o ao:
` sec o do C n umero 419 refere-se a a odigo Penal da Nig eria equivalente ao artigo 171 do C odigo Penal Brasileiro, ou seja, estelionato.
1O
Loteria internacional: voc e recebe um e-mail informando que foi sorteado em uma loteria internacional, mas que para receber o pr emio a que tem direito, precisa fornecer seus dados pessoais e es sobre a sua conta banc informac o aria. Cr edito f acil: voc e recebe um e-mail contendo uma oferta de empr estimo ou nanciamento com ` s praticadas no mercado. Ap taxas de juros muito inferiores a os o seu cr edito ser supostamente informado que necessita efetuar um dep aprovado voc ee osito banc ario para o ressarcimento das despesas. o de animais: voc Doac a e deseja adquirir um animal de uma rac a bastante cara e, ao pesquisar por o. Ap poss veis vendedores, descobre que h a sites oferecendo estes animais para doac a os entrar solicitado que voc em contato, e e envie dinheiro para despesas de transporte. Oferta de emprego: voc e recebe uma mensagem em seu celular contendo uma proposta tentadora o, no entanto, e necess de emprego. Para efetivar a contratac a ario que voc e informe detalhes de sua conta banc aria. es sobre um poss Noiva russa: algu em deixa um recado em sua rede social contendo insinuac o vel relacionamento amoroso entre voc es. Esta pessoa mora em outro pa s, geralmente a R ussia, e ap os alguns contatos iniciais sugere que voc es se encontrem pessoalmente, mas, para que ela possa vir at e o seu pa s, necessita ajuda nanceira para as despesas de viagem. o: Prevenc a identicar as mensagens contendo tentativas de golpes. Uma A melhor forma de se prevenir e mensagem deste tipo, geralmente, possui caracter sticas como: oferece quantias astron omicas de dinheiro; es; solicita sigilo nas transac o solicita que voc e a responda rapidamente; apresenta palavras como urgente e condencial no campo de assunto; apresenta erros gramaticais e de ortograa (muitas mensagens s ao escritas por meio do uso de o e de concord programas tradutores e podem apresentar erros de traduc a ancia). Al em disto, adotar uma postura preventiva pode, muitas vezes, evitar que voc e seja v tima de muito importante que voc golpes. Por isto, e e: questione-se por que justamente voc e, entre os in umeros usu arios da Internet, foi escolhido para receber o benef cio proposto na mensagem e como chegaram at e voc e; es onde e necess descone de situac o ario efetuar algum pagamento com a promessa de futuramente receber um valor maior (pense que, em muitos casos, as despesas poderiam ser descontadas do valor total). demais, o santo descona ou Aplicar a sabedoria popular de ditados como Quando a esmola e Tudo que vem f acil, vai f acil, tamb em pode ajud a-lo nesses casos. Vale alertar que mensagens deste tipo nunca devem ser respondidas, pois isto pode servir para v o pode ser usada, por exemplo, para conrmar que o seu enderec o de e-mail e alido. Esta informac a inclu -lo em listas de spam ou de poss veis v timas em outros tipos de golpes.
2.3
Phishing
o tipo de Phishing2 , phishing-scam ou phishing/scam, e fraude por meio da qual um golpista tenta obter dados pessoais o combinada de meios e nanceiros de um usu ario, pela utilizac a t ecnicos e engenharia social. O phishing ocorre por meio do envio de mensagens eletr onicas que: o ocial de uma instituic o conhecida, como um banco, uma tentam se passar pela comunicac a a empresa ou um site popular; o do usu procuram atrair a atenc a ario, seja por curiosidade, por caridade ou pela possibilidade de obter alguma vantagem nanceira; o dos procedimentos descritos pode acarretar s informam que a n ao execuc a erias consequ encias, o em servic o de cr como a inscric a os de protec a edito e o cancelamento de um cadastro, de uma conta banc aria ou de um cart ao de cr edito; tentam induzir o usu ario a fornecer dados pessoais e nanceiros, por meio do acesso a p aginas o; da instalac o de c falsas, que tentam se passar pela p agina ocial da instituic a a odigos malicio es sens sos, projetados para coletar informac o veis; e do preenchimento de formul arios contidos na mensagem ou em p aginas Web. o do usu Para atrair a atenc a ario as mensagens apresentam diferentes t opicos e temas, normalmente explorando campanhas de publicidade, servic os, a imagem de pessoas e assuntos em destaque no es envolvendo phishing s momento, como exemplicado na Tabela 2.13 . Exemplos de situac o ao: P aginas falsas de com ercio eletr onico ou Internet Banking: voc e recebe um e-mail, em nome de o nanceira, que tenta induzi-lo a clicar em um site de com ercio eletr onico ou de uma instituic a direcionado para uma p um link. Ao fazer isto, voc ee agina Web falsa, semelhante ao site que voc e realmente deseja acessar, onde s ao solicitados os seus dados pessoais e nanceiros. P aginas falsas de redes sociais ou de companhias a ereas: voc e recebe uma mensagem contendo um link para o site da rede social ou da companhia a erea que voc e utiliza. Ao clicar, voc e direcionado para uma p solicitado o seu nome de usu e agina Web falsa onde e ario e a sua senha que, ao serem fornecidos, ser ao enviados aos golpistas que passar ao a ter acesso ao site e es em seu nome, como enviar mensagens ou emitir passagens a poder ao efetuar ac o ereas. Mensagens contendo formul arios: voc e recebe uma mensagem eletr onica contendo um formul a o de dados pessoais e nanceiros. A mensagem solicita que rio com campos para a digitac a es. Ao voc e preencha o formul ario e apresenta um bot ao para conrmar o envio das informac o preencher os campos e conrmar o envio, seus dados s ao transmitidos para os golpistas. Mensagens contendo links para c odigos maliciosos: voc e recebe um e-mail que tenta induzi-lo a apresentada uma menclicar em um link, para baixar e abrir/executar um arquivo. Ao clicar, e sagem de erro ou uma janela pedindo que voc e salve o arquivo. Ap os salvo, quando voc e abri-lo/execut a-lo, ser a instalado um c odigo malicioso em seu computador.
palavra phishing, do ingl es shing, vem de uma analogia criada pelos fraudadores, onde iscas (mensagens eletr onicas) s ao usadas para pescar senhas e dados nanceiros de usu arios da Internet. 3 Esta lista n exaustiva e nem se aplica a todos os casos, pois ela pode variar conforme o destaque do momento. ao e
2A
10
o de recadastramento: voc Solicitac a e recebe uma mensagem, supostamente enviada pelo grupo de o de ensino que frequenta ou da empresa em que trabalha, informando que suporte da instituic a o e que e necess o servic o de e-mail est a passando por manutenc a ario o recadastramento. Para preciso que voc isto, e e fornec a seus dados pessoais, como nome de usu ario e senha.
T opico Albuns de fotos e v deos Tema da mensagem pessoa supostamente conhecida, celebridades algum fato noticiado em jornais, revistas ou televis ao o, nudez ou pornograa, servic traic a o de acompanhantes o de vacinas, eliminac o de v Antiv rus atualizac a a rus lanc amento de nova vers ao ou de novas funcionalidades es assistenciais Associac o AACD Teleton, Click Fome, Crianc a Esperanc a Avisos judiciais intimac ao para participac ao em audi encia comunicado de protesto, ordem de despejo o Cart oes de cr edito programa de delidade, promoc a Cart oes virtuais UOL, Voxcards, Yahoo! Cart oes, O Carteiro, Emotioncard o de compra Com ercio eletr onico cobranc a de d ebitos, conrmac a o de cadastro, devoluc o de produtos atualizac a a oferta em site de compras coletivas o, programa de milhagem Companhias a ereas promoc a es o para mes Eleic o t tulo eleitoral cancelado, convocac a ario o de curr Empregos cadastro e atualizac a culos, processo seletivo em aberto o de programa Imposto de renda nova vers ao ou correc a o, problema nos dados da declarac o consulta de restituic a a o de bancos e contas, suspens Internet Banking unicac a ao de acesso o de cadastro e de cart atualizac a ao de senhas o de m lanc amento ou atualizac a odulo de seguranc a comprovante de transfer encia e dep osito, cadastramento de computador es de tr Multas e infrac o ansito aviso de recebimento, recurso, transfer encia de pontos o dedicada por amigos M usicas canc a Not cias e boatos fato amplamente noticiado, ataque terrorista, trag edia natural o nanceira Pr emios loteria, instituic a Programas em geral lanc amento de nova vers ao ou de novas funcionalidades es Promoc o vale-compra, assinatura de jornal e revista o gratuita desconto elevado, prec o muito reduzido, distribuic a Propagandas produto, curso, treinamento, concurso Reality shows Big Brother Brasil, A Fazenda, Idolos o pendente, convite para participac o Redes sociais noticac a a o de foto aviso sobre foto marcada, permiss ao para divulgac a Servic os de Correios recebimento de telegrama online o de banco de dados Servic os de e-mail recadastramento, caixa postal lotada, atualizac a o de cr o de d o ou pend Servic os de protec a edito regularizac a ebitos, restric a encia nanceira Servic os de telefonia recebimento de mensagem, pend encia de d ebito bloqueio de servic os, detalhamento de fatura, cr editos gratuitos Sites com dicas de seguranc a aviso de conta de e-mail sendo usada para envio de spam (Antispam.br) cartilha de seguranc a (CERT.br, FEBRABAN, Abranet, etc.) es o de prec Solicitac o orc amento, documento, relat orio, cotac a os, lista de produtos Tabela 2.1: Exemplos de t opicos e temas de mensagens de phishing.
11
o: Prevenc a o, que tentem induzi-lo a que atento a mensagens, recebidas em nome de alguma instituic a es, instalar/executar programas ou clicar em links; fornecer informac o es com as quais voc questione-se por que instituic o e n ao tem contato est ao lhe enviando men o pr sagens, como se houvesse alguma relac a evia entre voc es (por exemplo, se voc e n ao tem conta em um determinado banco, n ao h a porque recadastrar dados ou atualizar m odulos de seguranc a); o e que, de alguma forma, que atento a mensagens que apelem demasiadamente pela sua atenc a o ameacem caso voc e n ao execute os procedimentos descritos; con n ao considere que uma mensagem e avel com base na conanc a que voc e deposita em seu remetente, pois ela pode ter sido enviada de contas invadidas, de pers falsos ou pode ter sido o 3.3 do Cap forjada (mais detalhes na Sec a tulo Ataques na Internet); seja cuidadoso ao acessar links. Procure digitar o enderec o diretamente no navegador Web; verique o link apresentado na mensagem. Golpistas costumam usar t ecnicas para ofuscar o poss link real para o phishing. Ao posicionar o mouse sobre o link, muitas vezes e vel ver o enderec o real da p agina falsa ou c odigo malicioso; utilize mecanismos de seguranc a, como programas antimalware, rewall pessoal e ltros antiphishing (mais detalhes no Cap tulo Mecanismos de seguranc a); verique se a p agina utiliza conex ao segura. Sites de com ercio eletr onico ou Internet Banking con aveis sempre utilizam conex oes seguras quando dados sens veis s ao solicitados (mais o 10.1.1 do Cap detalhes na Sec a tulo Uso seguro da Internet); es mostradas no certicado. Caso a p verique as informac o agina falsa utilize conex ao segura, um novo certicado ser a apresentado e, possivelmente, o enderec o mostrado no navegador Web o 10.1.2 do ser a diferente do enderec o correspondente ao site verdadeiro (mais detalhes na Sec a Cap tulo Uso seguro da Internet); o que supostamente enviou a mensagem e procure por informac es acesse a p agina da instituic a o (voc e vai observar que n ao faz parte da pol tica da maioria das empresas o envio de mensagens, de forma indiscriminada, para os seus usu arios).
2.3.1
Pharming
um tipo espec o da navegac o do usu Pharming e co de phishing que envolve a redirec a a ario para es no servic sites falsos, por meio de alterac o o de DNS (Domain Name System). Neste caso, quando redirecionado, de forma transparente, para voc e tenta acessar um site leg timo, o seu navegador Web e o pode ocorrer: uma p agina falsa. Esta redirec a por meio do comprometimento do servidor de DNS do provedor que voc e utiliza; o de c pela ac a odigos maliciosos projetados para alterar o comportamento do servic o de DNS do seu computador;
12
o direta de um invasor, que venha a ter acesso a ` s congurac es do servic pela ac a o o de DNS do seu computador ou modem de banda larga. o: Prevenc a descone se, ao digitar uma URL, for redirecionado para outro site, o qual tenta realizar alguma o suspeita, como abrir um arquivo ou tentar instalar um programa; ac a descone imediatamente caso o site de com ercio eletr onico ou Internet Banking que voc e est a acessando n ao utilize conex ao segura. Sites con aveis de com ercio eletr onico e Internet Banking sempre usam conex oes seguras quando dados pessoais e nanceiros s ao solicitados (mais o 10.1.1 do Cap detalhes na Sec a tulo Uso seguro da Internet); observe se o certicado apresentado corresponde ao do site verdadeiro (mais detalhes na Se o 10.1.2 do Cap c a tulo Uso seguro da Internet).
2.4
Golpes de com ercio eletr onico
Golpes de com ercio eletr onico s ao aqueles nos quais golpistas, com o objetivo de obter vantagens o de conanc o nanceiras, exploram a relac a a existente entre as partes envolvidas em uma transac a es. comercial. Alguns destes golpes s ao apresentados nas pr oximas sec o
2.4.1
Golpe do site de com ercio eletr onico fraudulento
Neste golpe, o golpista cria um site fraudulento, com o objetivo espec co de enganar os poss veis clientes que, ap os efetuarem os pagamentos, n ao recebem as mercadorias. Para aumentar as chances de sucesso, o golpista costuma utilizar artif cios como: enviar spam, fazer propaganda via links patrocinados, anunciar descontos em sites de compras coletivas e ofertar produtos muito procurados e com prec os abaixo dos praticados pelo mercado. Al em do comprador, que paga mas n ao recebe a mercadoria, este tipo de golpe pode ter outras v timas, como: uma empresa s eria, cujo nome tenha sido vinculado ao golpe; um site de compras coletivas, caso ele tenha intermediado a compra; o do site ou para abertura de empresas uma pessoa, cuja identidade tenha sido usada para a criac a fantasmas. o: Prevenc a fac a uma pesquisa de mercado, comparando o prec o do produto exposto no site com os valores obtidos na pesquisa e descone caso ele seja muito abaixo dos praticados pelo mercado;
13
pesquise na Internet sobre o site, antes de efetuar a compra, para ver a opini ao de outros clientes; es de consumidores insatisfeitos, para vericar acesse sites especializados em tratar reclamac o es referentes a esta empresa; se h a reclamac o que atento a propagandas recebidas atrav es de spam (mais detalhes no Cap tulo Spam); o 6.5 do Cap seja cuidadoso ao acessar links patrocinados (mais detalhes na Sec a tulo Outros riscos); procure validar os dados de cadastro da empresa no site da Receita Federal4 ; n ao informe dados de pagamento caso o site n ao oferec a conex ao segura ou n ao apresente um o 10.1 do Cap certicado con avel (mais detalhes na Sec a tulo Uso seguro da Internet).
2.4.2
Golpe envolvendo sites de compras coletivas
Sites de compras coletivas t em sido muito usados em golpes de sites de com ercio eletr onico frau o 2.4.1. Al ` s relac es comerciais cotidianas, dulentos, como descrito na Sec a em dos riscos inerentes a o os sites de compras coletivas tamb em apresentam riscos pr oprios, gerados principalmente pela press ao imposta ao consumidor em tomar decis oes r apidas pois, caso contr ario, podem perder a oportunidade de compra. Golpistas criam sites fraudulentos e os utilizam para anunciar produtos nos sites de compras coletivas e, assim, conseguir grande quantidade de v timas em um curto intervalo de tempo. Al em disto, sites de compras coletivas tamb em podem ser usados como tema de mensagens de phishing. Golpistas costumam mandar mensagens como se tivessem sido enviadas pelo site verdadeiro e, desta forma, tentam induzir o usu ario a acessar uma p agina falsa e a fornecer dados pessoais, como n umero de cart ao de cr edito e senhas. o: Prevenc a procure n ao comprar por impulso apenas para garantir o produto ofertado; seja cauteloso e fac a pesquisas pr evias, pois h a casos de produtos anunciados com desconto, mas que na verdade, apresentam valores superiores aos de mercado; pesquise na Internet sobre o site de compras coletivas, antes de efetuar a compra, para ver a opini ao de outros clientes e observar se foi satisfat oria a forma como os poss veis problemas foram resolvidos; o 2.3 para se prevenir de golpes envolvendo phishing; siga as dicas apresentadas na Sec a o 2.4.1 para se prevenir de golpes envolvendo sites de com siga as dicas apresentadas na Sec a ercio eletr onico fraudulento.
4 http://www.receita.fazenda.gov.br/.
14
2.4.3
Golpe do site de leil ao e venda de produtos
aquele, por meio do qual, um comprador ou O golpe do site de leil ao e venda de produtos e es acordadas ou utiliza os dados pessoais e vendedor age de m a-f e e n ao cumpre com as obrigac o o comercial para outros ns. Por exemplo: nanceiros envolvidos na transac a o comprador tenta receber a mercadoria sem realizar o pagamento ou o realiza por meio de transfer encia efetuada de uma conta banc aria ileg tima ou furtada; o vendedor tenta receber o pagamento sem efetuar a entrega da mercadoria ou a entrega danicada, falsicada, com caracter sticas diferentes do anunciado ou adquirida de forma il cita e criminosa (por exemplo, proveniente de contrabando ou de roubo de carga); o comprador ou o vendedor envia e-mails falsos, em nome do sistema de gerenciamento de o do pagamento ou o envio da mercadoria pagamentos, como forma de comprovar a realizac a que, na realidade, n ao foi feito. o: Prevenc a fac a uma pesquisa de mercado, comparando o prec o do produto com os valores obtidos na pesquisa e descone caso ele seja muito abaixo dos praticados pelo mercado; marque encontros em locais p ublicos caso a entrega dos produtos seja feita pessoalmente; es de consumidores insatisfeitos e que os coloca acesse sites especializados em tratar reclamac o em contato com os respons aveis pela venda (voc e pode avaliar se a forma como o problema foi resolvido foi satisfat oria ou n ao); o dos utilize sistemas de gerenciamento de pagamentos pois, al em de dicultarem a aplicac a golpes, impedem que seus dados pessoais e nanceiros sejam enviados aos golpistas; o de um pagamento diretamente em sua conta banc procure conrmar a realizac a aria ou pelo site do sistema de gerenciamento de pagamentos (n ao cone apenas em e-mails recebidos, pois eles podem ser falsos); o do usu o verique a reputac a ario5 (muitos sites possuem sistemas que medem a reputac a de compradores e vendedores, por meio da opini ao de pessoas que j a negociaram com este usu ario); acesse os sites, tanto do sistema de gerenciamento de pagamentos como o respons avel pelas vendas, diretamente do navegador, sem clicar em links recebidos em mensagens; mesmo que o vendedor lhe envie o c odigo de rastreamento fornecido pelos Correios, n ao utilize o para comprovar o envio e liberar o pagamento (at esta informac a e que voc e tenha a mercadoria realmente o que foi solicitado). em m aos n ao h a nenhuma garantia de que o que foi enviado e
es dos sistemas de reputac o, apesar de auxiliarem na selec o de usu informac o a a arios, n ao devem ser usadas como nica medida de prevenc o, pois contas com reputac o alta s u a a ao bastante visadas para golpes de phishing.
5 As
15
2.5
Boato (Hoax)
uma mensagem que Um boato, ou hoax, e possui conte udo alarmante ou falso e que, geralmente, tem como remetente, ou aponta o, empresa imcomo autora, alguma instituic a rg portante ou o ao governamental. Por meio de uma leitura minuciosa de seu conte udo, normalmente, poss es sem sentido e tentativas de golpes, como correntes e pir e vel identicar informac o amides. Boatos podem trazer diversos problemas, tanto para aqueles que os recebem e os distribuem, como para aqueles que s ao citados em seus conte udos. Entre estes diversos problemas, um boato pode: conter c odigos maliciosos; o pela Internet; espalhar desinformac a ocupar, desnecessariamente, espac o nas caixas de e-mails dos usu arios; o de pessoas ou entidades referenciadas na mensagem; comprometer a credibilidade e a reputac a o da pessoa que o repassa pois, ao fazer isto, esta comprometer a credibilidade e a reputac a pessoa estar a supostamente endossando ou concordando com o conte udo da mensagem; aumentar excessivamente a carga de servidores de e-mail e o consumo de banda de rede, necess arios para a transmiss ao e o processamento das mensagens; es a serem realizadas e que, se forem efetivadas, podem indicar, no conte udo da mensagem, ac o resultar em s erios danos, como apagar um arquivo que supostamente cont em um c odigo mali parte importante do sistema operacional instalado no computador. cioso, mas que na verdade e o: Prevenc a Normalmente, os boatos se propagam pela boa vontade e solidariedade de quem os recebe, pois h a uma grande tend encia das pessoas em conar no remetente, n ao vericar a proced encia e n ao o de boatos conferir a veracidade do conte udo da mensagem. Para que voc e possa evitar a distribuic a muito importante conferir a proced e encia dos e-mails e, mesmo que tenham como remetente algu em preciso certicar-se de que a mensagem n um boato. conhecido, e ao e Um boato, geralmente, apresenta pelo menos uma das seguintes caracter sticas6 : arma n ao ser um boato; sugere consequ encias tr agicas caso uma determinada tarefa n ao seja realizada; o de alguma ac o; promete ganhos nanceiros ou pr emios mediante a realizac a a apresenta erros gramaticais e de ortograa; es contradit apresenta informac o orias;
caracter sticas devem ser usadas apenas como guia, pois podem existir boatos que n ao apresentem nenhuma delas, assim como podem haver mensagens leg timas que apresentem algumas.
6 Estas
16
enfatiza que ele deve ser repassado rapidamente para o maior n umero de pessoas; poss j a foi repassado diversas vezes (no corpo da mensagem, normalmente, e vel observar cabec alhos de e-mails repassados por outras pessoas). Al em disto, muitas vezes, uma pesquisa na Internet pelo assunto da mensagem pode ser suciente importante ressaltar que voc para localizar relatos e den uncias j a feitas. E e nunca deve repassar boatos pois, ao fazer isto, estar a endossando ou concordando com o seu conte udo.
2.6
o Prevenc a
Outras dicas gerais para se proteger de golpes aplicados na Internet s ao: importante noticar a instituic o envolvida, Notique: caso identique uma tentativa de golpe, e a o 7.2 do para que ela possa tomar as provid encias que julgar cab veis (mais detalhes na Sec a Cap tulo Mecanismos de seguranc a). muito importante que Mantenha-se informado: novas formas de golpes podem surgir, portanto e o que voc voc e se mantenha informado. Algumas fontes de informac a e pode consultar s ao: es de inform o e de sites de not sec o atica de jornais de grande circulac a cias que, normalmente, trazem mat erias ou avisos sobre os golpes mais recentes; sites de empresas mencionadas nas mensagens (algumas empresas colocam avisos em suas o est p aginas quando percebem que o nome da instituic a a sendo indevidamente usado); sites especializados que divulgam listas contendo os golpes que est ao sendo aplicados e seus respectivos conte udos. Alguns destes sites s ao: Monitor das Fraudes http://www.fraudes.org/ (em portugu es) Quatro Cantos http://www.quatrocantos.com/LENDAS/ (em portugu es) Snopes.com - Urban Legends Reference Pages http://www.snopes.com/ (em ingl es) Symantec Security Response Hoaxes http://www.symantec.com/avcenter/hoax.html (em ingl es) TruthOrFiction.com http://www.truthorfiction.com/ (em ingl es) Urban Legends and Folklore http://urbanlegends.about.com/ (em ingl es)
3. Ataques na Internet
Ataques costumam ocorrer na Internet com diversos objetivos, visando diferentes alvos e usando variadas t ecnicas. Qualquer servic o, computador ou rede que seja acess vel via Internet pode ser alvo ` Internet pode participar de um ataque. de um ataque, assim como qualquer computador com acesso a Os motivos que levam os atacantes a desferir ataques na Internet s ao bastante diversos, variando o de ac es criminosas. Alguns exemplos s da simples divers ao at e a realizac a o ao: o de poder: mostrar a uma empresa que ela pode ser invadida ou ter os servic Demonstrac a os suspensos e, assim, tentar vender servic os ou chantage a-la para que o ataque n ao ocorra novamente. Prest gio: vangloriar-se, perante outros atacantes, por ter conseguido invadir computadores, tornar servic os inacess veis ou desgurar sites considerados visados ou dif ceis de serem atacados; disputar com outros atacantes ou grupos de atacantes para revelar quem consegue realizar o maior n umero de ataques ou ser o primeiro a conseguir atingir um determinado alvo. es nanceiras: coletar e utilizar informac es condenciais de usu Motivac o o arios para aplicar golpes (mais detalhes no Cap tulo Golpes na Internet). es ideol ` opiMotivac o ogicas: tornar inacess vel ou invadir sites que divulguem conte udo contr ario a ni ao do atacante; divulgar mensagens de apoio ou contr arias a uma determinada ideologia.
17
18
es comerciais: tornar inacess Motivac o vel ou invadir sites e computadores de empresas concorren o destas empresas. tes, para tentar impedir o acesso dos clientes ou comprometer a reputac a Para alcanc ar estes objetivos os atacantes costumam usar t ecnicas, como as descritas nas pr oximas es. sec o
3.1
o de vulnerabilidades Explorac a
denida como uma condic o que, quando explorada por um atacante, Uma vulnerabilidade e a o de seguranc pode resultar em uma violac a a. Exemplos de vulnerabilidades s ao falhas no projeto, na o ou na congurac o de programas, servic implementac a a os ou equipamentos de rede. o de vulnerabilidades ocorre quando um atacante, utilizando-se de uma Um ataque de explorac a es maliciosas, como invadir um sistema, acessar informac es convulnerabilidade, tenta executar ac o o denciais, disparar ataques contra outros computadores ou tornar um servic o inacess vel.
3.2
Varredura em redes (Scan)
uma t Varredura em redes, ou scan1 , e ecnica que consiste em efetuar buscas minuciosas em re es sobre eles como, por des, com o objetivo de identicar computadores ativos e coletar informac o es coletadas e exemplo, servic os disponibilizados e programas instalados. Com base nas informac o poss vel associar poss veis vulnerabilidades aos servic os disponibilizados e aos programas instalados nos computadores ativos detectados. o de vulnerabilidades associadas podem ser usadas de forma: A varredura em redes e a explorac a Leg tima: por pessoas devidamente autorizadas, para vericar a seguranc a de computadores e redes e, assim, tomar medidas corretivas e preventivas. Maliciosa: por atacantes, para explorar as vulnerabilidades encontradas nos servic os disponibili o de atividades maliciosas. Os atacantes zados e nos programas instalados para a execuc a tamb em podem utilizar os computadores ativos detectados como potenciais alvos no processo o autom de propagac a atica de c odigos maliciosos e em ataques de forc a bruta (mais detalhes no o 3.5, respectivamente). Cap tulo C odigos maliciosos (Malware) e na Sec a
3.3
o de e-mail (E-mail spoong) Falsicac a
o de e-mail, ou e-mail spoong, e uma t Falsicac a ecnica que consiste em alterar campos do cabec alho de um e-mail, de forma a aparentar que ele foi enviado de uma determinada origem quando, na verdade, foi enviado de outra.
confunda scan com scam. Scams, com m, s ao esquemas para enganar um usu ario, geralmente, com nalidade de obter vantagens nanceiras (mais detalhes no Cap tulo Golpes na Internet).
1 N ao
19
poss Esta t ecnica e vel devido a caracter sticas do protocolo SMTP (Simple Mail Transfer Protocol) que permitem que campos do cabec alho, como From: (enderec o de quem enviou a mensagem), Reply-To (enderec o de resposta da mensagem) e Return-Path (enderec o para onde poss veis erros no envio da mensagem s ao reportados), sejam falsicados. o de c Ataques deste tipo s ao bastante usados para propagac a odigos maliciosos, envio de spam e em golpes de phishing. Atacantes utilizam-se de enderec os de e-mail coletados de computadores infectados para enviar mensagens e tentar fazer com que os seus destinat arios acreditem que elas partiram de pessoas conhecidas. Exemplos de e-mails com campos falsicados s ao aqueles recebidos como sendo: de algu em conhecido, solicitando que voc e clique em um link ou execute um arquivo anexo; do seu banco, solicitando que voc e siga um link fornecido na pr opria mensagem e informe dados da sua conta banc aria; es pessoais e do administrador do servic o de e-mail que voc e utiliza, solicitando informac o ameac ando bloquear a sua conta caso voc e n ao as envie. es onde o seu pr Voc e tamb em pode j a ter observado situac o oprio enderec o de e-mail foi indevidamente utilizado. Alguns ind cios disto s ao: voc e recebe respostas de e-mails que voc e nunca enviou; voc e recebe e-mails aparentemente enviados por voc e mesmo, sem que voc e tenha feito isto; o de e-mails que voc voc e recebe mensagens de devoluc a e nunca enviou, reportando erros como usu ario desconhecido e caixa de entrada lotada (cota excedida).
3.4
o de tr Interceptac a afego (Snifng)
o de tr uma t Interceptac a afego, ou snifng, e ecnica que consiste em inspecionar os dados trafegados em redes de computadores, por meio do uso de programas espec cos chamados de sniffers. Esta t ecnica pode ser utilizada de forma: Leg tima: por administradores de redes, para detectar problemas, analisar desempenho e monitorar atividades maliciosas relativas aos computadores ou redes por eles administrados. es sens Maliciosa: por atacantes, para capturar informac o veis, como senhas, n umeros de cart ao de cr edito e o conte udo de arquivos condenciais que estejam trafegando por meio de conex oes inseguras, ou seja, sem criptograa. es capturadas por esta t Note que as informac o ecnica s ao armazenadas na forma como trafegam, es que trafegam criptografadas apenas ser teis ao atacante se ele conseguir ou seja, informac o ao u decodic a-las (mais detalhes no Cap tulo Criptograa).
20
3.5
Forc a bruta (Brute force)
Um ataque de forc a bruta, ou brute force, consiste em adivinhar, por tentativa e erro, um nome de usu ario e senha e, assim, executar processos e acessar sites, computadores e servic os em nome e com os mesmos privil egios deste usu ario. Qualquer computador, equipamento de rede ou servic o que seja acess vel via Internet, com um nome de usu ario e uma senha, pode ser alvo de um ataque de forc a bruta. Dispositivos m oveis, que estejam protegidos por senha, al em de poderem ser atacados pela rede, tamb em podem ser alvo deste tipo de ataque caso o atacante tenha acesso f sico a eles. es Se um atacante tiver conhecimento do seu nome de usu ario e da sua senha ele pode efetuar ac o maliciosas em seu nome como, por exemplo: trocar a sua senha, dicultando que voc e acesse novamente o site ou computador invadido; ` invadir o servic o de e-mail que voc e utiliza e ter acesso ao conte udo das suas mensagens e a sua lista de contatos, al em de poder enviar mensagens em seu nome; acessar a sua rede social e enviar mensagens aos seus seguidores contendo c odigos maliciosos es de privacidade; ou alterar as suas opc o es, como invadir o seu computador e, de acordo com as permiss oes do seu usu ario, executar ac o es condenciais e instalar c apagar arquivos, obter informac o odigos maliciosos. Mesmo que o atacante n ao consiga descobrir a sua senha, voc e pode ter problemas ao acessar a sua conta caso ela tenha sofrido um ataque de forc a bruta, pois muitos sistemas bloqueiam as contas quando v arias tentativas de acesso sem sucesso s ao realizadas. Apesar dos ataques de forc a bruta poderem ser realizados manualmente, na grande maioria dos casos, eles s ao realizados com o uso de ferramentas automatizadas facilmente obtidas na Internet e que permitem tornar o ataque bem mais efetivo. o costumam ser baseadas em: As tentativas de adivinhac a dicion arios de diferentes idiomas e que podem ser facilmente obtidos na Internet; listas de palavras comumente usadas, como personagens de lmes e nomes de times de futebol; es o bvias de caracteres, como trocar a por @ e o por 0; substituic o sequ encias num ericas e de teclado, como 123456, qwert e 1qaz2wsx; es pessoais, de conhecimento pr informac o evio do atacante ou coletadas na Internet em redes sociais e blogs, como nome, sobrenome, datas e n umeros de documentos. realizado, pode resultar em um ataque de Um ataque de forc a bruta, dependendo de como e o de servic ` sobrecarga produzida pela grande quantidade de tentativas realizadas negac a o, devido a em um pequeno per odo de tempo (mais detalhes no Cap tulo Contas e senhas).
21
3.6
o de p Desgurac a agina (Defacement)
o de p o, e uma t Desgurac a agina, defacement ou pichac a ecnica que consiste em alterar o conte udo da p agina Web de um site. As principais formas que um atacante, neste caso tamb em chamado de defacer, pode utilizar para desgurar uma p agina Web s ao: o Web; explorar erros da aplicac a o Web; explorar vulnerabilidades do servidor de aplicac a o ou dos pacotes utilizados no desenvol explorar vulnerabilidades da linguagem de programac a o Web; vimento da aplicac a o Web est invadir o servidor onde a aplicac a a hospedada e alterar diretamente os arquivos que comp oem o site; ` interface Web usada para administrac o remota. furtar senhas de acesso a a o e atingir maior n Para ganhar mais visibilidade, chamar mais atenc a umero de visitantes, geralmente, os atacantes alteram a p agina principal do site, por em p aginas internas tamb em podem ser alteradas.
3.7
o de servic Negac a o (DoS e DDoS)
o de servic uma t Negac a o, ou DoS (Denial of Service), e ecnica pela qual um atacante utiliza um o um servic ` Internet. computador para tirar de operac a o, um computador ou uma rede conectada a Quando utilizada de forma coordenada e distribu da, ou seja, quando um conjunto de computadores utilizado no ataque, recebe o nome de negac o de servic e a o distribu do, ou DDoS (Distributed Denial of Service). invadir e nem coletar informac es, mas sim exaurir recursos e O objetivo destes ataques n ao e o causar indisponibilidades ao alvo. Quando isto ocorre, todas as pessoas que dependem dos recursos es desejadas. afetados s ao prejudicadas, pois cam impossibilitadas de acessar ou realizar as operac o Nos casos j a registrados de ataques, os alvos caram impedidos de oferecer servic os durante o per odo em que eles ocorreram, mas, ao nal, voltaram a operar normalmente, sem que tivesse havido es ou comprometimento de sistemas ou computadores. vazamento de informac o Uma pessoa pode voluntariamente usar ferramentas e fazer com que seu computador seja utilizado em ataques. A grande maioria dos computadores, por em, participa dos ataques sem o conhe o 4.3 do cimento de seu dono, por estar infectado e fazendo parte de botnets (mais detalhes na Sec a Cap tulo C odigos maliciosos (Malware)). o de servic Ataques de negac a o podem ser realizados por diversos meios, como: es para um servic pelo envio de grande quantidade de requisic o o, consumindo os recursos necess arios ao seu funcionamento (processamento, n umero de conex oes simult aneas, mem oria es dos demais usu e espac o em disco, por exemplo) e impedindo que as requisic o arios sejam atendidas;
22
o de grande tr pela gerac a afego de dados para uma rede, ocupando toda a banda dispon vel e tornando indispon vel qualquer acesso a computadores ou servic os desta rede; o de vulnerabilidades existentes em programas, que podem fazer com que um pela explorac a determinado servic o que inacess vel. es onde h o de recursos, caso um servic Nas situac o a saturac a o n ao tenha sido bem dimensionado, es leg ele pode car inoperante ao tentar atender as pr oprias solicitac o timas. Por exemplo, um site de transmiss ao dos jogos da Copa de Mundo pode n ao suportar uma grande quantidade de usu arios que queiram assistir aos jogos nais e parar de funcionar.
3.8
o Prevenc a
o conjunto de O que dene as chances de um ataque na Internet ser ou n ao bem sucedido e es e administradores dos medidas preventivas tomadas pelos usu arios, desenvolvedores de aplicac o computadores, servic os e equipamentos envolvidos. Se cada um zer a sua parte, muitos dos ataques realizados via Internet podem ser evitados ou, ao menos, minimizados. proteger os seus dados, fazer uso dos mecaA parte que cabe a voc e, como usu ario da Internet, e o dispon nismos de protec a veis e manter o seu computador atualizado e livre de c odigos maliciosos. Ao fazer isto, voc e estar a contribuindo para a seguranc a geral da Internet, pois: quanto menor a quantidade de computadores vulner aveis e infectados, menor ser a a pot encia o de servic o 4.3, das botnets e menos ecazes ser ao os ataques de negac a o (mais detalhes na Sec a do Cap tulo C odigos maliciosos (Malware)); quanto mais consciente dos mecanismos de seguranc a voc e estiver, menores ser ao as chances de sucesso dos atacantes (mais detalhes no Cap tulo Mecanismos de seguranc a); quanto melhores forem as suas senhas, menores ser ao as chances de sucesso de ataques de forc a bruta e, consequentemente, de suas contas serem invadidas (mais detalhes no Cap tulo Contas e senhas); quanto mais os usu arios usarem criptograa para proteger os dados armazenados nos computadores ou aqueles transmitidos pela Internet, menores ser ao as chances de tr afego em texto claro ser interceptado por atacantes (mais detalhes no Cap tulo Criptograa); quanto menor a quantidade de vulnerabilidades existentes em seu computador, menores ser ao as chances de ele ser invadido ou infectado (mais detalhes no Cap tulo Seguranc a de computadores). Fac a sua parte e contribua para a seguranc a da Internet, incluindo a sua pr opria!
4. C odigos maliciosos (Malware)
es C odigos maliciosos (malware) s ao programas especicamente desenvolvidos para executar ac o danosas e atividades maliciosas em um computador. Algumas das diversas formas como os c odigos maliciosos podem infectar ou comprometer um computador s ao: o de vulnerabilidades existentes nos programas instalados; pela explorac a o de m pela auto-execuc a dias remov veis infectadas, como pen-drives; pelo acesso a p aginas Web maliciosas, utilizando navegadores vulner aveis; o direta de atacantes que, ap pela ac a os invadirem o computador, incluem arquivos contendo c odigos maliciosos; o de arquivos previamente infectados, obtidos em anexos de mensagens eletr pela execuc a onicas, via m dias remov veis, em p aginas Web ou diretamente de outros computadores (atrav es do compartilhamento de recursos). Uma vez instalados, os c odigos maliciosos passam a ter acesso aos dados armazenados no com es em nome dos usu putador e podem executar ac o arios, de acordo com as permiss oes de cada usu ario.
23
24
Os principais motivos que levam um atacante a desenvolver e a propagar c odigos maliciosos s ao a o de vantagens nanceiras, a coleta de informac es condenciais, o desejo de autopromoc o obtenc a o a e o vandalismo. Al em disto, os c odigos maliciosos s ao muitas vezes usados como intermedi arios e o de ataques e a disseminac o de spam (mais detalhes nos possibilitam a pr atica de golpes, a realizac a a Cap tulos Golpes na Internet, Ataques na Internet e Spam, respectivamente). es. Os principais tipos de c odigos maliciosos existentes s ao apresentados nas pr oximas sec o
4.1
V rus
um programa ou parte de um programa de computaV rus e dor, normalmente malicioso, que se propaga inserindo c opias de si mesmo e se tornando parte de outros programas e arquivos. o, o v Para que possa se tornar ativo e dar continuidade ao processo de infecc a rus depende da o do programa ou arquivo hospedeiro, ou seja, para que o seu computador seja infectado e execuc a preciso que um programa j a infectado seja executado. o de v O principal meio de propagac a rus costumava ser os disquetes. Com o tempo, por em, estas m dias ca ram em desuso e comec aram a surgir novas maneiras, como o envio de e-mail. Atualmente, o, n as m dias remov veis tornaram-se novamente o principal meio de propagac a ao mais por disquetes, mas, principalmente, pelo uso de pen-drives. H a diferentes tipos de v rus. Alguns procuram permanecer ocultos, infectando arquivos do disco e executando uma s erie de atividades sem o conhecimento do usu ario. H a outros que permanecem inativos durante certos per odos, entrando em atividade apenas em datas espec cas. Alguns dos tipos de v rus mais comuns s ao: V rus propagado por e-mail: recebido como um arquivo anexo a um e-mail cujo conte udo tenta induzir o usu ario a clicar sobre este arquivo, fazendo com que seja executado. Quando entra o, infecta arquivos e programas e envia c em ac a opias de si mesmo para os e-mails encontrados nas listas de contatos gravadas no computador. V rus de script: escrito em linguagem de script, como VBScript e JavaScript, e recebido ao acessar uma p agina Web ou por e-mail, como um arquivo anexo ou como parte do pr oprio e-mail escrito o do em formato HTML. Pode ser automaticamente executado, dependendo da congurac a navegador Web e do programa leitor de e-mails do usu ario. V rus de macro: tipo espec co de v rus de script, escrito em linguagem de macro, que tenta infectar arquivos manipulados por aplicativos que utilizam esta linguagem como, por exemplo, os que comp oe o Microsoft Ofce (Excel, Word e PowerPoint, entre outros). V rus de telefone celular: v rus que se propaga de celular para celular por meio da tecnologia blue o ocorre quando um tooth ou de mensagens MMS (Multimedia Message Service). A infecc a usu ario permite o recebimento de um arquivo infectado e o executa. Ap os infectar o celular, o v rus pode destruir ou sobrescrever arquivos, remover ou transmitir contatos da agenda, efetuar es telef ligac o onicas e drenar a carga da bateria, al em de tentar se propagar para outros celulares.
4. Codigos maliciosos (Malware)
25
4.2
Worm
um programa capaz de se propagar automaticamente pelas redes, Worm e enviando c opias de si mesmo de computador para computador. Diferente do v rus, o worm n ao se propaga por meio da inclus ao de c opias de si mesmo em outros programas ou arquivos, mas sim pela o direta de suas c o autom execuc a opias ou pela explorac a atica de vulnerabilidades existentes em programas instalados em computadores. ` grande quantidade Worms s ao notadamente respons aveis por consumir muitos recursos, devido a de c opias de si mesmo que costumam propagar e, como consequ encia, podem afetar o desempenho o de computadores. de redes e a utilizac a o e infecc o dos worms ocorre da seguinte maneira: O processo de propagac a a o dos computadores alvos: ap a. Identicac a os infectar um computador, o worm tenta se propa o. Para isto, necessita identicar os computadores alvos gar e continuar o processo de infecc a para os quais tentar a se copiar, o que pode ser feito de uma ou mais das seguintes maneiras: efetuar varredura na rede e identicar computadores ativos; aguardar que outros computadores contatem o computador infectado; o dos alvos; utilizar listas, predenidas ou obtidas na Internet, contendo a identicac a es contidas no computador infectado, como arquivos de congurac o e utilizar informac o a listas de enderec os de e-mail. b. Envio das c opias: ap os identicar os alvos, o worm efetua c opias de si mesmo e tenta envi a-las para estes computadores, por uma ou mais das seguintes formas: o de vulnerabilidades existentes em programas instalados no com como parte da explorac a putador alvo; anexadas a e-mails; via canais de IRC (Internet Relay Chat); via programas de troca de mensagens instant aneas; inclu das em pastas compartilhadas em redes locais ou do tipo P2P (Peer to Peer). o das c c. Ativac a opias: ap os realizado o envio da c opia, o worm necessita ser executado para que o ocorra, o que pode acontecer de uma ou mais das seguintes maneiras: a infecc a o de vulnerabilidades em progra imediatamente ap os ter sido transmitido, pela explorac a mas sendo executados no computador alvo no momento do recebimento da c opia; o de uma das c diretamente pelo usu ario, pela execuc a opias enviadas ao seu computador; o de uma ac o espec pela realizac a a ca do usu ario, a qual o worm est a condicionado como, o de uma m por exemplo, a inserc a dia remov vel. o e infecc o recod. Rein cio do processo: ap os o alvo ser infectado, o processo de propagac a a mec a, sendo que, a partir de agora, o computador que antes era o alvo passa a ser tamb em o computador originador dos ataques.
26
4.3
Bot e botnet
um programa que disp Bot e oe de mecanismos de comunica o com o invasor que permitem que ele seja controlado remotac a o e propagac o similar ao do mente. Possui processo de infecc a a capaz de se propagar automaticamente, exploworm, ou seja, e rando vulnerabilidades existentes em programas instalados em computadores. o entre o invasor e o computador infectado pelo bot pode ocorrer via canais de A comunicac a IRC, servidores Web e redes do tipo P2P, entre outros meios. Ao se comunicar, o invasor pode es para que ac es maliciosas sejam executadas, como desferir ataques, furtar dados do enviar instruc o o computador infectado e enviar spam. Um computador infectado por um bot costuma ser chamado de zumbi (zombie computer), pois pode ser controlado remotamente, sem o conhecimento do seu dono. Tamb em pode ser chamado de spam zombie quando o bot instalado o transforma em um servidor de e-mails e o utiliza para o envio de spam. uma rede formada por Botnet e centenas ou milhares de computadores zumbis e que permite potencializar as es danosas executadas pelos bots. ac o Quanto mais zumbis participarem da botnet mais potente ela ser a. O atacante que a controlar, al em de us ala para seus pr oprios ataques, tamb em pode alug a-la para outras pessoas ou o magrupos que desejem que uma ac a liciosa espec ca seja executada. es maliciosas que costumam ser executadas por interm Algumas das ac o edio de botnets s ao: ata o de servic o de c ques de negac a o, propagac a odigos maliciosos (inclusive do pr oprio bot), coleta de es de um grande n informac o umero de computadores, envio de spam e camuagem da identidade do atacante (com o uso de proxies instalados nos zumbis). O esquema simplicado apresentado a seguir exemplica o funcionamento b asico de uma botnet: a. Um atacante propaga um tipo espec co de bot na esperanc a de infectar e conseguir a maior quantidade poss vel de zumbis; ` disposic o do atacante, agora seu controlador, a ` espera dos comandos b. os zumbis cam ent ao a a a serem executados; o seja realizada, ele envia aos zumbis os comandos a c. quando o controlador deseja que uma ac a serem executados, usando, por exemplo, redes do tipo P2P ou servidores centralizados; d. os zumbis executam ent ao os comandos recebidos, durante o per odo predeterminado pelo controlador; o se encerra, os zumbis voltam a car a ` espera dos pr e. quando a ac a oximos comandos a serem executados.
27
4.4
Spyware
um programa projetado para monitorar as atividades Spyware e es coletadas para terceiros. de um sistema e enviar as informac o Pode ser usado tanto de forma leg tima quanto maliciosa, de instalado, das ac es realizadas, do tipo de pendendo de como e o o monitorada e do uso que e feito por quem recebe as informac a es coletadas. Pode ser considerado de uso: informac o Leg timo: quando instalado em um computador pessoal, pelo pr oprio dono ou com consentimento deste, com o objetivo de vericar se outras pessoas o est ao utilizando de modo abusivo ou n ao autorizado. es que podem comprometer a privacidade do usu Malicioso: quando executa ac o ario e a seguranc a es referentes a ` navegac o do usu do computador, como monitorar e capturar informac o a ario ou inseridas em outros programas (por exemplo, conta de usu ario e senha). Alguns tipos espec cos de programas spyware s ao:
Keylogger: capaz de capturar e armazenar as teclas digitadas pelo o, em muitos casos, e usu ario no teclado do computador. Sua ativac a o pr condicionada a uma ac a evia do usu ario, como o acesso a um site espec co de com ercio eletr onico ou de Internet Banking.
o do cursor e Screenlogger: similar ao keylogger, capaz de armazenar a posic a clicado, ou a a tela apresentada no monitor, nos momentos em que o mouse e bastante utilizado por o onde o mouse e clicado. E regi ao que circunda a posic a atacantes para capturar as teclas digitadas pelos usu arios em teclados virtuais, dispon veis principalmente em sites de Internet Banking.
Adware: projetado especicamente para apresentar propagandas. Pode ser usado para ns leg timos, quando incorporado a programas e servic os, como forma de patroc nio ou retorno nanceiro para quem desenvolve programas livres ou presta servic os gratuitos. Tamb em pode ser usado para ns maliciosos, quando as propagandas apresentadas o do usu s ao direcionadas, de acordo com a navegac a ario e sem que este saiba que tal monitoramento est a sendo feito.
28
4.5
Backdoor
um programa que permite o Backdoor e retorno de um invasor a um computador comprometido, por meio da inclus ao de servic os criados ou modicados para este m. o de outros Pode ser inclu do pela ac a c odigos maliciosos, que tenham previamente infectado o computador, ou por atacantes, que exploram vulnerabilidades existentes nos programas instalados no computador para invadi-lo. usado para assegurar o acesso futuro ao computador comprometido, Ap os inclu do, o backdoor e permitindo que ele seja acessado remotamente, sem que haja necessidade de recorrer novamente aos o da invas o e, na maioria dos casos, sem que seja notado. m etodos utilizados na realizac a ao ou infecc a o de um novo servic A forma usual de inclus ao de um backdoor consiste na disponibilizac a o ou o de um determinado servic na substituic a o por uma vers ao alterada, normalmente possuindo recursos o remota, como BackOrice, NetBus, Subque permitem o acesso remoto. Programas de administrac a Seven, VNC e Radmin, se mal congurados ou utilizados sem o consentimento do usu ario, tamb em podem ser classicados como backdoors. o de H a casos de backdoors inclu dos propositalmente por fabricantes de programas, sob alegac a ` seguranc necessidades administrativas. Esses casos constituem uma s eria ameac a a a de um computador que contenha um destes programas instalados pois, al em de comprometerem a privacidade do usu ario, tamb em podem ser usados por invasores para acessarem remotamente o computador.
4.6
Cavalo de troia (Trojan)
um programa que, al Cavalo de troia1 , trojan ou trojan-horse, e em es para as quais foi aparentemente projetado, de executar as func o es, normalmente maliciosas, e sem o cotamb em executa outras func o nhecimento do usu ario. Exemplos de trojans s ao programas que voc e recebe ou obt em de sites na Internet e que parecem lbuns de fotos, jogos e protetores de tela, entre outros. Estes ser apenas cart oes virtuais animados, a nico arquivo e necessitam ser explicitamente executados programas, geralmente, consistem de um u para que sejam instalados no computador. Trojans tamb em podem ser instalados por atacantes que, ap os invadirem um computador, alteram es originais, tamb programas j a existentes para que, al em de continuarem a desempenhar as func o em es maliciosas. executem ac o es maliciosas que costumam H a diferentes tipos de trojans, classicados2 de acordo com as ac o executar ao infectar um computador. Alguns destes tipos s ao:
Cavalo de Troia, segundo a mitologia grega, foi uma grande est atua, utilizada como instrumento de guerra pelos ` cidade de Troia. A est gregos para obter acesso a atua do cavalo foi recheada com soldados que, durante a noite, abriram o de Troia. os port oes da cidade possibilitando a entrada dos gregos e a dominac a 2 Esta classicac o baseia-se em colet a anea feita sobre os nomes mais comumente usados pelos programas antimalware.
1O
29
Trojan Downloader: instala outros c odigos maliciosos, obtidos de sites na Internet. Trojan Dropper: instala outros c odigos maliciosos, embutidos no pr oprio c odigo do trojan. Trojan Backdoor: inclui backdoors, possibilitando o acesso remoto do atacante ao computador. o de servic Trojan DoS: instala ferramentas de negac a o e as utiliza para desferir ataques. Trojan Destrutivo: altera/apaga arquivos e diret orios, formata o disco r gido e pode deixar o com o. putador fora de operac a o do usu Trojan Clicker: redireciona a navegac a ario para sites espec cos, com o objetivo de aumentar a quantidade de acessos a estes sites ou apresentar propagandas. Trojan Proxy: instala um servidor de proxy, possibilitando que o computador seja utilizado para o an navegac a onima e para envio de spam. es sens Trojan Spy: instala programas spyware e os utiliza para coletar informac o veis, como senhas e n umeros de cart ao de cr edito, e envi a-las ao atacante. o de programas Trojan Banker ou Bancos: coleta dados banc arios do usu ario, atrav es da instalac a similar ao Trojan spyware que s ao ativados quando sites de Internet Banking s ao acessados. E Spy por em com objetivos mais espec cos.
4.7
Rootkit
um conjunto de programas e t Rootkit3 e ecnicas que permite esconder e assegurar a presenc a de um invasor ou de outro c odigo malicioso em um computador comprometido. O conjunto de programas e t ecnicas fornecido pelos rootkits pode ser usado para: o 7.6 do Cap remover evid encias em arquivos de logs (mais detalhes na Sec a tulo Mecanismos de seguranc a); instalar outros c odigos maliciosos, como backdoors, para assegurar o acesso futuro ao computador infectado; es, como arquivos, diret esconder atividades e informac o orios, processos, chaves de registro, conex oes de rede, etc; mapear potenciais vulnerabilidades em outros computadores, por meio de varreduras na rede; es da rede onde o computador comprometido est capturar informac o a localizado, pela intercep o de tr tac a afego.
o das palavras root (que corresponde a ` conta de superusu termo rootkit origina-se da junc a ario ou administrador do computador em sistemas Unix) e kit (que corresponde ao conjunto de programas usados para manter os privil egios de acesso desta conta).
3O
30
muito importante ressaltar que o nome rootkit n E ao indica que os programas e as t ecnicas que o comp oe s ao usadas para obter acesso privilegiado a um computador, mas sim para mant e-lo. Rootkits inicialmente eram usados por atacantes que, ap os invadirem um computador, os instalavam para manter o acesso privilegiado, sem precisar recorrer novamente aos m etodos utilizados na invas ao, e para esconder suas atividades do respons avel e/ou dos usu arios do computador. Apesar de ainda serem bastante usados por atacantes, os rootkits atualmente t em sido tamb em utilizados e incorporados por outros c odigos maliciosos para carem ocultos e n ao serem detectados pelo usu ario o. e nem por mecanismos de protec a H a casos de rootkits instalados propositalmente por empresas distribuidoras de CDs de m usica, o de necessidade de protec o aos direitos autorais de suas obras. A instalac o nestes sob a alegac a a a casos costumava ocorrer de forma autom atica, no momento em que um dos CDs distribu dos con importante ressaltar que estes casos constituem tendo o c odigo malicioso era inserido e executado. E ` seguranc uma s eria ameac a a a do computador, pois os rootkits instalados, al em de comprometerem a privacidade do usu ario, tamb em podem ser recongurados e utilizados para esconder a presenc a e os arquivos inseridos por atacantes ou por outros c odigos maliciosos.
4.8
o Prevenc a
o dos c Para manter o seu computador livre da ac a odigos maliciosos existe um conjunto de medidas preventivas que voc e precisa adotar. Essas medidas incluem manter os programas instalados com es dispon as vers oes mais recentes e com todas as atualizac o veis aplicadas e usar mecanismos de seguranc a, como antimalware e rewall pessoal. Al em disso, h a alguns cuidados que voc e e todos que usam o seu computador devem tomar sempre que forem manipular arquivos. Novos c odigos maliciosos podem surgir, a velocidades nem sempre o dos mecanismos de seguranc acompanhadas pela capacidade de atualizac a a. es sobre os principais mecanismos de seguranc Informac o a que voc e deve utilizar s ao apresentados no Cap tulo Mecanismos de seguranc a. Outros cuidados que voc e deve tomar para manter seu computador seguro s ao apresentados no Cap tulo Seguranc a de computadores.
4.9
Resumo comparativo
Cada tipo de c odigo malicioso possui caracter sticas pr oprias que o dene e o diferencia dos o, forma de instalac o, meios usados para propagac o e ac es demais tipos, como forma de obtenc a a a o o e a maliciosas mais comuns executadas nos computadores infectados. Para facilitar a classicac a o, a Tabela 4.1 apresenta um resumo comparativo das caracter conceituac a sticas de cada tipo. importante ressaltar, entretanto, que denir e identicar essas caracter E sticas t em se tornado ` s diferentes classicac es existentes e ao surgimento de varitarefas cada vez mais dif ceis, devido a o antes que mesclam caracter sticas dos demais c odigos. Desta forma, o resumo apresentado na tabela denitivo e baseia-se nas denic es apresentadas nesta Cartilha. n ao e o
31
C odigos Maliciosos Spyware Backdoor Trojan Worm Rootkit
V rus
obtido: Como e Recebido automaticamente pela rede Recebido por e-mail Baixado de sites na Internet Compartilhamento de arquivos Uso de m dias remov veis infectadas Redes sociais Mensagens instant aneas Inserido por um invasor o de outro c Ac a odigo malicioso o: Como ocorre a instalac a o de um arquivo infectado Execuc a o expl Execuc a cita do c odigo malicioso o de outro c Via execuc a odigo malicioso o de vulnerabilidades Explorac a Como se propaga: Insere c opia de si pr oprio em arquivos Envia c opia de si pr oprio automaticamente pela rede Envia c opia de si pr oprio automaticamente por e-mail N ao se propaga es maliciosas mais comuns: Ac o Altera e/ou remove arquivos Consome grande quantidade de recursos es sens Furta informac o veis Instala outros c odigos maliciosos Possibilita o retorno do invasor Envia spam e phishing Desfere ataques na Internet Procura se manter escondido

Bot

Tabela 4.1: Resumo comparativo entre os c odigos maliciosos.
5. Spam
o termo usado para se referir aos e-mails n Spam1 e ao solicitados, que geralmente s ao enviados para um grande n umero de pessoas. Quando este tipo de mensagem possui conte udo exclusivamente referenciado como UCE (Unsolicited Commercial E-mail). comercial tamb em e O spam em alguns pontos se assemelha a outras formas de propaganda, como a carta colocada o telef na caixa de correio, o paneto recebido na esquina e a ligac a onica ofertando produtos. Por em, justamente o que o torna t o que o difere e ao atraente e motivante para quem o envia (spammer): ao passo que nas demais formas o remetente precisa fazer algum tipo de investimento, o spammer necessita investir muito pouco, ou at e mesmo nada, para alcanc ar os mesmos objetivos e em uma escala muito maior. Desde o primeiro spam registrado e batizado como tal, em 1994, essa pr atica tem evolu do, acom es e tecnologias. Atualmente, o envio de panhando o desenvolvimento da Internet e de novas aplicac o uma pr o, tanto pelo aumento desenfreado do volume de mensagens spam e atica que causa preocupac a na rede, como pela natureza e pelos objetivos destas mensagens.
mais detalhes acesse o site Antispam.br, http://www.antispam.br/, mantido pelo Comit e Gestor da Internet no Brasil (CGI.br), que constitui uma fonte de refer encia sobre o spam e tem o compromisso de informar usu arios e es destas mensagens e as formas de protec o e de combate existentes. administradores de redes sobre as implicac o a
1 Para
33
34
` seguranc Spams est ao diretamente associados a ataques a a da Internet e do usu ario, sendo um dos grandes respons aveis pela o de c o de golpes e venda propagac a odigos maliciosos, disseminac a ilegal de produtos. Algumas das formas como voc e pode ser afetado pelos problemas causados pelos spams s ao: Perda de mensagens importantes: devido ao grande volume de spam recebido, voc e corre o risco de n ao ler mensagens importantes, l e-las com atraso ou apag a-las por engano. impr Conteudo oprio ou ofensivo: como grande parte dos spams s ao enviados para conjuntos alea bastante prov t orios de enderec os de e-mail, e avel que voc e receba mensagens cujo conte udo considere impr oprio ou ofensivo. necess Gasto desnecess ario de tempo: para cada spam recebido, e ario que voc e gaste um tempo para l e-lo, identic a-lo e remov e-lo da sua caixa postal, o que pode resultar em gasto desnecess ario de tempo e em perda de produtividade. N ao recebimento de e-mails: caso o n umero de spams recebidos seja grande e voc e utilize um rea de servic o de e-mail que limite o tamanho de caixa postal, voc e corre o risco de lotar a sua a e-mail e, at e que consiga liberar espac o, car a impedido de receber novas mensagens. o errada de mensagens: caso utilize sistemas de ltragem com regras antispam ineciClassicac a entes, voc e corre o risco de ter mensagens leg timas classicadas como spam e que, de acordo es, podem ser apagadas, movidas para quarentena ou redirecionadas com as suas congurac o para outras pastas de e-mail. ` Internet usado, e o destinat Independente do tipo de acesso a ario do spam quem paga pelo envio da mensagem. Os provedores, para tentar minimizar os problemas, provisionam mais recursos computacionais e os custos derivados acabam sendo transferidos e incorporados ao valor mensal que os usu arios pagam. Alguns dos problemas relacionados a spam que provedores e empresas costumam enfrentar s ao: Impacto na banda: o volume de tr afego gerado pelos spams faz com que seja necess ario aumentar a capacidade dos links de conex ao com a Internet. o dos servidores: boa parte dos recursos dos servidores de e-mail, como tempo de proM a utilizac a cessamento e espac o em disco, s ao consumidos no tratamento de mensagens n ao solicitadas. Inclus ao em listas de bloqueio: um provedor que tenha usu arios envolvidos em casos de envio de spam pode ter a rede inclu da em listas de bloqueio, o que pode prejudicar o envio de e-mails por parte dos demais usu arios e resultar em perda de clientes. Investimento extra em recursos: os problemas gerados pelos spams fazem com que seja necess ario o de equipamentos e sistemas de ltragem e para a aumentar os investimentos, para a aquisic a o de mais t o. contratac a ecnicos especializados na sua operac a
5. Spam
35
Os spammers utilizam diversas t ecnicas para coletar enderec os de e-mail, desde a compra de o de suas pr bancos de dados at e a produc a oprias listas, geradas a partir de: Ataques de dicion ario: consistem em formar enderec os de e-mail a partir de listas de nomes de o de caracteres alfanum pessoas, de palavras presentes em dicion arios e/ou da combinac a ericos. C odigos maliciosos: muitos c odigos maliciosos s ao projetados para varrer o computador infectado em busca de enderec os de e-mail que, posteriormente, s ao repassados para os spammers. Harvesting: consiste em coletar enderec os de e-mail por meio de varreduras em p aginas Web e arquivos de listas de discuss ao, entre outros. Para tentar combater esta t ecnica, muitas p aginas Web e listas de discuss ao apresentam os enderec os de forma ofuscada (por exemplo, substituindo o es s @ por (at) e os pontos pela palavra dot). Infelizmente, tais substituic o ao previstas por v arios dos programas que implementam esta t ecnica. Ap os efetuarem a coleta, os spammers procuram conrmar a exist encia dos enderec os de e-mail e, para isto, costumam se utilizar de artif cios, como:
enviar mensagens para os enderec os coletados e, com base nas respostas recebidas dos servidores de e-mail, identicar quais enderec os s ao v alidos e quais n ao s ao; o da lista de e-mails, como um link ou incluir no spam um suposto mecanismo para a remoc a o, na verdade est um enderec o de e-mail (quando o usu ario solicita a remoc a a conrmando para v o spammer que aquele enderec o de e-mail e alido e realmente utilizado); incluir no spam uma imagem do tipo Web bug, projetada para monitorar o acesso a uma p agina acessado e o spammer recebe a Web ou e-mail (quando o usu ario abre o spam, o Web bug e o que aquele enderec v conrmac a o de e-mail e alido).
5.1
o Prevenc a
muito importante que voc E e saiba como identicar os spams, para poder detect a-los mais facilmente e agir adequadamente. As principais caracter sticas2 dos spams s ao: Apresentam cabec alho suspeito: o cabec alho do e-mail aparece incompleto, por exemplo, os campos de remetente e/ou destinat ario aparecem vazios ou com apelidos/nomes gen ericos, como amigo@ e suporte@. Apresentam no campo Assunto (Subject) palavras com graa errada ou suspeita: a maioria dos ltros antispam utiliza o conte udo deste campo para barrar e-mails com assuntos considerados suspeitos. No entanto, os spammers adaptam-se e tentam enganar os ltros colocando neste campo conte udos enganosos, como vi@gra (em vez de viagra).
ressaltar que nem todas essas caracter sticas podem estar presentes ao mesmo tempo, em um mesmo spam. Da ` s propriedades citadas, podendo, eventualmente, ser um novo tipo. mesma forma, podem existir spams que n ao atendam a
2 Vale
36
Apresentam no campo Assunto textos alarmantes ou vagos: na tentativa de confundir os ltros o dos usu antispam e de atrair a atenc a arios, os spammers costumam colocar textos alarmantes, atraentes ou vagos demais, como Sua senha est a inv alida, A informac ao que voc e pediu e Parab ens. o de remoc o da lista de divulgac o: alguns spams tentam justicar o abuso, aleOferecem opc a a a poss o, clicando no enderec gando que e vel sair da lista de divulgac a o anexo ao e-mail. Este artif cio, por em, al em de n ao retirar o seu enderec o de e-mail da lista, tamb em serve para validar lido por algu que ele realmente existe e que e em. necess Prometem que ser ao enviados uma unica vez: ao alegarem isto, sugerem que n ao e ario o para impedir que a mensagem seja novamente enviada. que voc e tome alguma ac a es inexistentes: muitos spams tentam embasar o envio em leis Baseiam-se em leis e regulamentac o es brasileiras referentes a ` pr e regulamentac o atica de spam que, at e o momento de escrita desta Cartilha, n ao existem. Alguns cuidados que voc e deve tomar para tentar reduzir a quantidade de spams recebidos s ao: procure ltrar as mensagens indesejadas, por meio de programas instalados em servidores ou interessante em seu computador e de sistemas integrados a Webmails e leitores de e-mails. E consultar o seu provedor de e-mail, ou o administrador de sua rede, para vericar os recursos existentes e como us a-los; exigido do remetente a con alguns Webmails usam ltros baseados em tira-teima, onde e o do envio (ap inclu rmac a os conrm a-la, ele e do em uma lista de remetentes autorizados e, a partir da , pode enviar e-mails livremente). Ao usar esses sistemas, procure autorizar previamente os remetentes desej aveis, incluindo f oruns e listas de discuss ao, pois nem todos conrmam o envio e, assim, voc e pode deixar de receber mensagens importantes; importante que muitos ltros colocam as mensagens classicadas como spam em quarentena. E voc e, de tempos em tempos, verique esta pasta, pois podem acontecer casos de falsos positivos e mensagens leg timas virem a ser classicadas como spam. Caso voc e, mesmo usando ltros, receba um spam, deve classic a-lo como tal, pois estar a ajudando a treinar o ltro; es onde n seja cuidadoso ao fornecer seu enderec o de e-mail. Existem situac o ao h a motivo para realmente que o seu e-mail seja fornecido. Ao preencher um cadastro, por exemplo, pense se e necess ario fornecer o seu e-mail e se voc e deseja receber mensagens deste local; es pr que atento a opc o e-selecionadas. Em alguns formul arios ou cadastros preenchidos pela es e lanc Internet, existe a pergunta se voc e quer receber e-mails, por exemplo, sobre promoc o amentos de produtos, cuja resposta j a vem marcada como armativa. Fique atento a esta quest ao e desmarque-a, caso n ao deseje receber este tipo de mensagem; es podem n ao siga links recebidos em spams e n ao responda mensagens deste tipo (estas ac o v servir para conrmar que seu e-mail e alido); desabilite a abertura de imagens em e-mails HTML (o fato de uma imagem ser acessada pode servir para conrmar que a mensagem foi lida); crie contas de e-mail secund arias e fornec a-as em locais onde as chances de receber spam s ao grandes, como ao preencher cadastros em lojas e em listas de discuss ao;
5. Spam
37
es de privacidade das redes sociais (algumas redes permitem esconder o seu utilize as opc o enderec o de e-mail ou restringir as pessoas que ter ao acesso a ele); o de Bcc: ao enviar e-mail para respeite o enderec o de e-mail de outras pessoas. Use a opc a grandes quantidades de pessoas. Ao encaminhar mensagens, apague a lista de antigos destinat arios, pois mensagens reencaminhadas podem servir como fonte de coleta para spammers.
6. Outros riscos
` grande quantidade de servic es dos usu Atualmente, devido a os dispon veis, a maioria das ac o arios na Internet s ao executadas pelo acesso a p aginas Web, seja pelo uso de navegadores ou de programas leitores de e-mails com capacidade de processar mensagens em formato HTML. Para atender a grande demanda, incorporar maior funcionalidade e melhorar a apar encia das o foram desenvolvidos e novos servic p aginas Web, novos recursos de navegac a os foram disponibilizados. Estes novos recursos e servic os, infelizmente, n ao passaram despercebidos por pessoas es e aplicar golpes. mal-intencionadas, que viram neles novas possibilidades para coletar informac o Alguns destes recursos e servic os, os riscos que representam e os cuidados que voc e deve tomar ao es 6.1, 6.2, 6.3, 6.4, 6.5 e 6.6. utiliz a-los s ao apresentados nas Sec o ` rede propiciou e facilitou o comAl em disto, a grande quantidade de computadores conectados a partilhamento de recursos entre os usu arios, seja por meio de programas espec cos ou pelo uso de es oferecidas pelos pr opc o oprios sistemas operacionais. Assim como no caso dos recursos e servic os Web, o compartilhamento de recursos tamb em pode representar riscos e necessitar de alguns cuidados es 6.7 e 6.8. especiais, que s ao apresentados nas Sec o
39
40
6.1
Cookies
Cookies s ao pequenos arquivos que s ao gravados em seu computador quando voc e acessa sites na Internet e que s ao reenviados a estes mesmos sites quando novamente visitados. S ao usados para man es sobre voc o. ter informac o e, como carrinho de compras, lista de produtos e prefer encias de navegac a apagado no momento em que o navegaUm cookie pode ser tempor ario (de sess ao), quando e fechado, ou permanente (persistente), quando ca gravado dor Web ou programa leitor de e-mail e no computador at e expirar ou ser apagado. Tamb em pode ser prim ario (rst-party), quando denido pelo dom nio do site visitado, ou de terceiros (third-party), quando pertencente a outro dom nio ` p (geralmente relacionado a an uncios ou imagens incorporados a agina que est a sendo visitada). Alguns dos riscos relacionados ao uso de cookies s ao: es: as informac es coletadas pelos cookies podem ser indevidaCompartilhamento de informac o o incomum, por exemplo, mente compartilhadas com outros sites e afetar a sua privacidade. N ao e acessar pela primeira vez um site de m usica e observar que as ofertas de CDs para o seu g enero musical preferido j a est ao dispon veis, sem que voc e tenha feito qualquer tipo de escolha. o de vulnerabilidades: quando voc Explorac a e acessa uma p agina Web, o seu navegador disponibi es sobre o seu computador, como hardware, sistema operacional e liza uma s erie de informac o programas instalados. Os cookies podem ser utilizados para manter refer encias contendo estas es e us informac o a-las para explorar poss veis vulnerabilidades em seu computador. o autom es como Lembre-se de mim e Continuar conectado nos Autenticac a atica: ao usar opc o es sobre a sua conta de usu sites visitados, informac o ario s ao gravadas em cookies e usadas em es futuras. Esta pr autenticac o atica pode ser arriscada quando usada em computadores infectados ou de terceiros, pois os cookies podem ser coletados e permitirem que outras pessoas se autentiquem como voc e. es pessoais: dados preenchidos por voc Coleta de informac o e em formul arios Web tamb em podem ser gravados em cookies, coletados por atacantes ou c odigos maliciosos e indevidamente acessados, caso n ao estejam criptografados. o: quando voc Coleta de h abitos de navegac a e acessa diferentes sites onde s ao usados cookies de poss terceiros, pertencentes a uma mesma empresa de publicidade, e vel a esta empresa deter o e, assim, comprometer a sua privacidade. minar seus h abitos de navegac a o: Prevenc a indicado bloquear totalmente o recebimento de cookies, pois isto pode impedir o uso adeN ao e quado ou at e mesmo o acesso a determinados sites e servic os. Para se prevenir dos riscos, mas sem o, h comprometer a sua navegac a a algumas dicas que voc e deve seguir, como: ao usar um navegador Web baseado em n veis de permiss ao, como o Internet Explorer, procure n ao selecionar n veis de permiss ao inferiores a m edio; em outros navegadores ou programas leitores de e-mail, congure para que, por padr ao, os sites es, cadastrando sites considerados con n ao possam denir cookies e crie listas de excec o aveis e realmente necess onde o uso de cookies e ario, como Webmails e de Internet Banking e com ercio eletr onico;
6. Outros riscos
41
caso voc e, mesmo ciente dos riscos, decida permitir que por padr ao os sites possam denir es e nela cadastre os sites que deseja bloquear; cookies, procure criar uma lista de excec o congure para que os cookies sejam apagados assim que o navegador for fechado; o n congure para n ao aceitar cookies de terceiros (ao fazer isto, a sua navegac a ao dever a ser prejudicada, pois apenas conte udos relacionados a publicidade ser ao bloqueados); es de navegar anonimamente, quando usar computadores de terceiros (ao fazer isto, utilize opc o es sobre a sua navegac o, incluindo cookies, n informac o a ao ser ao gravadas). o de privacidade ela e aplicada aos novos cookies, Veja que, quando voc e altera uma congurac a importante que voc mas n ao aos que j a est ao gravados em seu computador. Assim, ao fazer isto, e e o seja aplicada a todos. remova os cookies j a gravados para garantir que a nova congurac a
6.2
C odigos m oveis
C odigos m oveis s ao utilizados por desenvolvedores para incorporar maior funcionalidade e me teis, podem representar riscos quando lhorar a apar encia de p aginas Web. Embora sejam bastante u mal-implementados ou usados por pessoas mal-intencionadas. Alguns tipos de c odigos m oveis e os riscos que podem representar s ao: Programas e applets Java: normalmente os navegadores cont em m odulos espec cos para processar programas Java que, apesar de possu rem mecanismos de seguranc a, podem conter falhas de o e permitir que um programa Java hostil viole a seguranc implementac a a do computador. es de seguranc JavaScripts: assim como outros scripts Web, podem ser usados para causar violac o a em computadores. Um exemplo de ataque envolvendo JavaScript consiste em redirecionar usu arios de um site leg timo para um site falso, para que instalem c odigos maliciosos ou es pessoais. fornec am informac o Componentes (ou controles) ActiveX: o navegador Web, pelo esquema de certicados digitais, verica a proced encia de um componente ActiveX antes de receb e-lo. Ao aceitar o certicado, o executado e pode efetuar qualquer tipo de ac o, desde enviar um arquivo pela Incomponente e a ternet at e instalar programas (que podem ter ns maliciosos) em seu computador (mais detalhes o 9.4 do Cap sobre certicados digitais s ao apresentados na Sec a tulo Criptograa). o: Prevenc a indicado bloquear totalmente a execuc o dos c Assim como no caso de cookies, n ao e a odigos m oveis, pois isto pode afetar o acesso a determinados sites e servic os. Para se prevenir dos riscos, o, h mas sem comprometer a sua navegac a a algumas dicas que voc e deve seguir, como: o de programas Java e de JavaScripts mas assegure-se de utilizar comple permita a execuc a mentos, como por exemplo o NoScript (dispon vel para alguns navegadores), para liberar gra o, conforme necess dualmente a execuc a ario e apenas em sites con aveis;
42
permita que componentes ActiveX sejam executados em seu computador apenas quando vierem de sites conhecidos e con aveis; o de componentes n seja cuidadoso ao permitir a instalac a ao assinados (mais detalhes na Se o 9.3 do Cap c a tulo Criptograa).
6.3
Janelas de pop-up
Janelas de pop-up s ao aquelas que aparecem automaticamente e sem permiss ao, sobrepondo a janela do navegador Web, ap os voc e acessar um site. Alguns riscos que podem representar s ao: apresentar mensagens indesejadas, contendo propagandas ou conte udo impr oprio; o para uma p apresentar links, que podem redirecionar a navegac a agina falsa ou induzi-lo a instalar c odigos maliciosos. o: Prevenc a congure seu navegador Web para, por padr ao, bloquear janelas de pop-up; es, contendo apenas sites conhecidos e con crie uma lista de excec o aveis e onde forem realmente necess arias.
6.4
Plug-ins, complementos e extens oes
Plug-ins, complementos e extens oes s ao programas geralmente desenvolvidos por terceiros e que voc e pode instalar em seu navegador Web ou leitor de e-mails para prover funcionalidades extras. Esses programas, na maioria das vezes, s ao disponibilizados em reposit orios, onde podem ser baixados livremente ou comprados. Alguns reposit orios efetuam controle r gido sobre os programas es referentes ao tipo de revis antes de disponibiliz a-los, outros utilizam classicac o ao, enquanto outros n ao efetuam nenhum tipo de controle. Apesar de grande parte destes programas serem con aveis, h a a chance de existir programas o, especicamente criados para executar atividades maliciosas ou que, devido a erros de implementac a es danosas em seu computador. possam executar ac o o: Prevenc a assegure-se de ter mecanismos de seguranc a instalados e atualizados, antes de instalar programas desenvolvidos por terceiros (mais detalhes no Cap tulo Mecanismos de seguranc a); mantenha os programas instalados sempre atualizados (mais detalhes no Cap tulo Seguranc a de computadores);
6. Outros riscos
43
procure obter arquivos apenas de fontes con aveis; utilize programas com grande quantidade de usu arios (considerados populares) e que tenham o, baseado em quansido bem avaliados. Muitos reposit orios possuem sistema de classicac a es recebidas. Selecione aqueles com tidade de estrelas, concedidas de acordo com as avaliac o mais estrelas; veja coment arios de outros usu arios sobre o programa, antes de instal a-lo (muitos sites disponibilizam listas de programas mais usados e mais recomendados); o e execuc o s verique se as permiss oes necess arias para a instalac a a ao coerentes, ou seja, um programa de jogos n ao necessariamente precisa ter acesso aos seus dados pessoais; seja cuidadoso ao instalar programas que ainda estejam em processo de revis ao; denuncie aos respons aveis pelo reposit orio caso identique programas maliciosos.
6.5
Links patrocinados
Um anunciante que queira fazer propaganda de um produto ou site paga para o site de busca apresentar o link em destaque quando palavras espec cas s ao pesquisadas. Quando voc e clica em um link patrocinado, o site de busca recebe do anunciante um valor previamente combinado. O anunciante geralmente possui uma p agina Web - com acesso via conta de usu ario e senha - para es, vericar acessos e fazer pagamentos. Este tipo de interagir com o site de busca, alterar congurac o bastante visado por atacantes, com o intuito de criar redirecionamentos para p conta e aginas de phishing ou contendo c odigos maliciosos e representa o principal risco relacionado a links patrocinados. o: Prevenc a n ao use sites de busca para acessar todo e qualquer tipo de site. Por exemplo: voc e n ao precisa o site do seu banco, j bem conhecido. pesquisar para saber qual e a que geralmente o enderec o e
6.6
Banners de propaganda
A Internet n ao trouxe novas oportunidades de neg ocio apenas para anunciantes e sites de busca. Usu arios, de forma geral, podem obter rendimentos extras alugando espac o em suas p aginas para servic os de publicidade. Caso tenha uma p agina Web, voc e pode disponibilizar um espac o nela para que o servic o de acessada e quanto mais publicidade apresente banners de seus clientes. Quanto mais a sua p agina e cliques s ao feitos nos banners por interm edio dela, mais voc e pode vir a ser remunerado. Infelizmente pessoas mal-intencionadas tamb em viram no uso destes servic os novas oportunidades para aplicar golpes, denominados malvertising1 . Este tipo de golpe consiste em criar an uncios
1 Malvertising
uma palavra em ingl o de malicious (malicioso) e advertsing (propaganda). e es originada da junc a
44
maliciosos e, por meio de servic os de publicidade, apresent a-los em diversas p aginas Web. Geral induzido a acreditar que se trata de um an mente, o servic o de publicidade e uncio leg timo e, ao o e faz com que ele seja mostrado em diversas p aceit a-lo, intermedia a apresentac a aginas. o: Prevenc a seja cuidadoso ao clicar em banners de propaganda (caso o an uncio lhe interesse, procure ir diretamente para a p agina do fabricante); mantenha o seu computador protegido, com as vers oes mais recentes e com todas as atualiza es aplicadas (mais detalhes no Cap c o tulo Seguranc a de computadores); utilize e mantenha atualizados mecanismos de seguranc a, como antimalware e rewall pessoal (mais detalhes no Cap tulo Mecanismos de seguranc a); es de privacidade em seu navegador Web (mais detalhes no seja cuidadoso ao congurar as opc o Cap tulo Privacidade).
6.7
o de arquivos (P2P) Programas de distribuic a
o de arquivos, ou P2P, s Programas de distribuic a ao aqueles que permitem que os usu arios compartilhem arquivos entre si. Alguns exemplos s ao: Kazaa, Gnutella e BitTorrent. Alguns riscos relacionados ao uso destes programas s ao: o Acesso indevido: caso esteja mal congurado ou possua vulnerabilidades o programa de distribuic a de arquivos pode permitir o acesso indevido a diret orios e arquivos (al em dos compartilhados). o de arquivos maliciosos: os arquivos distribu Obtenc a dos podem conter c odigos maliciosos e assim, infectar seu computador ou permitir que ele seja invadido. o de direitos autorais: a distribuic o n Violac a a ao autorizada de arquivos de m usica, lmes, textos ou o desta lei. programas protegidos pela lei de direitos autorais constitui a violac a o: Prevenc a o de arquivos sempre atualizado e bem congurado; mantenha seu programa de distribuic a certique-se de ter um antimalware instalado e atualizado e o utilize para vericar qualquer arquivo obtido (mais detalhes no Cap tulo Mecanismos de seguranc a); mantenha o seu computador protegido, com as vers oes mais recentes e com todas as atualiza es aplicadas (mais detalhes no Cap c o tulo Seguranc a de computadores); certique-se que os arquivos obtidos ou distribu dos s ao livres, ou seja, n ao violam as leis de direitos autorais.
6. Outros riscos
45
6.8
Compartilhamento de recursos
Alguns sistemas operacionais permitem que voc e compartilhe com outros usu arios recursos do seu computador, como diret orios, discos, e impressoras. Ao fazer isto, voc e pode estar permitindo: es sens o acesso n ao autorizado a recursos ou informac o veis; que seus recursos sejam usados por atacantes caso n ao sejam denidas senhas para controle de acesso ou sejam usadas senhas facilmente descobertas. Por outro lado, assim como voc e pode compartilhar recursos do seu computador, voc e tamb em pode acessar recursos que foram compartilhados por outros. Ao usar estes recursos, voc e pode estar se arriscando a abrir arquivos ou a executar programas que contenham c odigos maliciosos. o: Prevenc a estabelec a senhas para os compartilhamentos; estabelec a permiss oes de acesso adequadas, evitando que usu arios do compartilhamento tenham mais acessos que o necess ario; compartilhe seus recursos pelo tempo m nimo necess ario; tenha um antimalware instalado em seu computador, mantenha-o atualizado e utilize-o para vericar qualquer arquivo compartilhado (mais detalhes no Cap tulo Mecanismos de seguranc a); mantenha o seu computador protegido, com as vers oes mais recentes e com todas as atualiza es aplicadas (mais detalhes no Cap c o tulo Seguranc a de computadores).
7. Mecanismos de seguranc a
Agora que voc e j a est a ciente de alguns dos riscos relacionados ao uso de computadores e da poss Internet e que, apesar disso, reconhece que n ao e vel deixar de usar estes recursos, est a no momento de aprender detalhadamente a se proteger. No seu dia a dia, h a cuidados que voc e toma, muitas vezes de forma instintiva, para detectar e o de documentos possibilitam que voc evitar riscos. Por exemplo: o contato pessoal e a apresentac a e conrme a identidade de algu em, a presenc a na ag encia do seu banco garante que h a um relacionamento com ele, os Cart orios podem reconhecer a veracidade da assinatura de algu em, etc. es s E como fazer isto na Internet, onde as ac o ao realizadas sem contato pessoal e por um meio de o que, em princ considerado inseguro? comunicac a pio, e Para permitir que voc e possa aplicar na Internet cuidados similares aos que costuma tomar em seu necess es realizadas por este meio dia a dia, e ario que os servic os disponibilizados e as comunicac o garantam alguns requisitos b asicos de seguranc a, como: o: permitir que uma entidade1 se identique, ou seja, diga quem ela e . Identicac a
1 Uma
entidade pode ser, por exemplo, uma pessoa, uma empresa ou um programa de computador.
47
48
o: vericar se a entidade e realmente quem ela diz ser. Autenticac a o: determinar as ac es que a entidade pode executar. Autorizac a o o contra alterac o n Integridade: proteger a informac a a ao autorizada. o contra acesso n Condencialidade ou sigilo: proteger uma informac a ao autorizado. o. N ao repudio: evitar que uma entidade possa negar que foi ela quem executou uma ac a Disponibilidade: garantir que um recurso esteja dispon vel sempre que necess ario. Para prover e garantir estes requisitos, foram adaptados e desenvolvidos os mecanismos de seguranc a que, quando corretamente congurados e utilizados, podem auxili a-lo a se proteger dos riscos envolvendo o uso da Internet. importante que voc Antes de detalhar estes mecanismos, por em, e e seja advertido sobre a possi usado para designar uma situac o na qual bilidade de ocorr encia de falso positivo. Este termo e a um mecanismo de seguranc a aponta uma atividade como sendo maliciosa ou an omala, quando na verdade trata-se de uma atividade leg tima. Um falso positivo pode ser considerado um falso alarme (ou um alarme falso). classicada como phishing, Um falso positivo ocorre, por exemplo, quando uma p agina leg tima e considerada spam, um arquivo e erroneamente detectado como estando uma mensagem leg tima e ` s solicitac es feitas pelo infectado ou um rewall indica como ataques algumas respostas dadas a o pr oprio usu ario. Apesar de existir esta possibilidade, isto n ao deve ser motivo para que os mecanismos de seguranc a geralmente baixa e, muitas vezes, pode ser resoln ao sejam usados, pois a ocorr encia destes casos e es de congurac o ou nas regras de vericac o. vida com alterac o a a es s Nas pr oximas sec o ao apresentados alguns dos principais mecanismos de seguranc a e os cuidados que voc e deve tomar ao usar cada um deles.
7.1
Pol tica de seguranc a
o a ` seA pol tica de seguranc a dene os direitos e as responsabilidades de cada um em relac a ` s quais est guranc a dos recursos computacionais que utiliza e as penalidades a a sujeito, caso n ao a cumpra. considerada como um importante mecanismo de seguranc es como E a, tanto para as instituic o poss para os usu arios, pois com ela e vel deixar claro o comportamento esperado de cada um. Desta forma, casos de mau comportamento, que estejam previstos na pol tica, podem ser tratados de forma adequada pelas partes envolvidas. A pol tica de seguranc a pode conter outras pol ticas espec cas, como: Pol tica de senhas: dene as regras sobre o uso de senhas nos recursos computacionais, como tama o e periodicidade de troca. nho m nimo e m aximo, regra de formac a o de c Pol tica de backup: dene as regras sobre a realizac a opias de seguranc a, como tipo de m dia o e frequ o. utilizada, per odo de retenc a encia de execuc a
49
es pessoais, sejam elas de clientes, Pol tica de privacidade: dene como s ao tratadas as informac o usu arios ou funcion arios. es institucionais, ou seja, se Pol tica de condencialidade: dene como s ao tratadas as informac o elas podem ser repassadas a terceiros. Pol tica de uso aceit avel (PUA) ou Acceptable Use Policy (AUP): tamb em chamada de Termo de Uso ou Termo de Servic o, dene as regras de uso dos recursos computacionais, os direitos es que s e as responsabilidades de quem os utiliza e as situac o ao consideradas abusivas. A pol tica de uso aceit avel costuma ser disponibilizada na p agina Web e/ou ser apresentada no momento em que a pessoa passa a ter acesso aos recursos. Talvez voc e j a tenha se deparado com estas pol ticas, por exemplo, ao ser admitido em uma empresa, ao contratar um provedor de acesso e ao utilizar servic os disponibilizados por meio da Internet, como redes sociais e Webmail. es que geralmente s Algumas situac o ao consideradas de uso abusivo (n ao aceit avel) s ao: compartilhamento de senhas; o de informac es condenciais; divulgac a o envio de boatos e mensagens contendo spam e c odigos maliciosos; envio de mensagens com objetivo de difamar, caluniar ou ameac ar algu em; o n c opia e distribuic a ao autorizada de material protegido por direitos autorais; ataques a outros computadores; comprometimento de computadores ou redes. ` pol ` pol o pode ser O desrespeito a tica de seguranc a ou a tica de uso aceit avel de uma instituic a considerado como um incidente de seguranc a e, dependendo das circunst ancias, ser motivo para en o de servic cerramento de contrato (de trabalho, de prestac a os, etc.). Cuidados a serem tomados: procure estar ciente da pol tica de seguranc a da empresa onde voc e trabalha e dos servic os que voc e utiliza (como Webmail e redes sociais); ` s mudanc que atento a as que possam ocorrer nas pol ticas de uso e de privacidade dos servic os que voc e utiliza, principalmente aquelas relacionadas ao tratamento de dados pessoais, para n ao es que possam comprometer a sua privacidade; ser surpreendido com alterac o ` pol que atento a tica de condencialidade da empresa onde voc e trabalha e seja cuidadoso ao es prossionais, principalmente em blogs e redes sociais (mais detalhes na divulgar informac o o 11.1 do Cap Sec a tulo Privacidade); notique sempre que se deparar com uma atitude considerada abusiva (mais detalhes na Se o 7.2). c a
50
7.2
o de incidentes e abusos Noticac a
Um incidente de seguranc a pode ser denido como qualquer evento adverso, conrmado ou sob ` seguranc o ou de redes de computadores. suspeita, relacionado a a de sistemas de computac a Alguns exemplos de incidentes de seguranc a s ao: tentativa de uso ou acesso n ao autorizado a o em sistemas (sem o conhesistemas ou dados, tentativa de tornar servic os indispon veis, modicac a ` pol ` pol cimento ou consentimento pr evio dos donos) e o desrespeito a tica de seguranc a ou a tica de o. uso aceit avel de uma instituic a muito importante que voc E e notique sempre que se deparar com uma atitude que considere abusiva ou com um incidente de seguranc a. De modo geral, a lista de pessoas/entidades a serem noticadas inclui: os respons aveis pelo computador que originou a atividade, os respons aveis pela rede que originou o incidente (incluindo o grupo de seguranc a e abusos, se existir um para aquela rede) e o grupo de seguranc a e abusos da rede a qual voc e est a conectado (seja um provedor, empresa, o). universidade ou outro tipo de instituic a Ao noticar um incidente, al em de se proteger e contribuir para a seguranc a global da Internet, tamb em ajudar a outras pessoas a detectarem problemas, como computadores infectados, falhas de o e violac es em pol congurac a o ticas de seguranc a ou de uso aceit avel de recursos. Para encontrar os respons aveis por uma rede voc e deve consultar um servidor de WHOIS, onde s ao mantidas as bases de dados sobre os respons aveis por cada bloco de n umeros IP existentes. Para IPs alocados ao Brasil voc e pode consultar o servidor em http://registro.br/cgi-bin/whois/, para os demais pa ses voc e pode acessar o site http://www.geektools.com/whois.php que aceita consultas referentes a qualquer n umero IP e as redireciona para os servidores apropriados2 . importante que voc es3 , pois isto contribuir E e mantenha o CERT.br na c opia das suas noticac o a para as atividades deste grupo e permitir a que: os dados relativos a v arios incidentes sejam correlacionados, ataques coordenados sejam identicados e novos tipos de ataques sejam descobertos; es corretivas possam ser organizadas em cooperac o com outras instituic es; ac o a o sejam geradas estat sticas que reitam os incidentes ocorridos na Internet brasileira; sejam geradas estat sticas sobre a incid encia e origem de spams no Brasil; es e manuais, direcionados a ` s necessidades dos sejam escritos documentos, como recomendac o usu arios da Internet no Brasil. o deve incluir a maior quantidade de informac es poss A noticac a o vel, tais como: logs completos; data, hor ario e fuso hor ario (time zone) dos logs ou da atividade que est a sendo noticada;
e-mails encontrados nestas consultas n ao s ao necessariamente da pessoa que praticou o ataque, mas sim dos ` qual o computador est respons aveis pela rede a a conectado, ou seja, podem ser os administradores da rede, s ocios da o com a Internet. empresa, ou qualquer outra pessoa que foi designada para cuidar da conex ao da instituic a 3 Os enderec os de e-mail usados pelo CERT.br para o tratamento de incidentes de seguranc a s ao: cert@cert.br (para es gerais) e mail-abuse@cert.br (espec es de spam). noticac o co para reclamac o
2 Os
51
o de spam, trojan, o e-mail completo, incluindo cabec alhos e conte udo (no caso de noticac a phishing ou outras atividades maliciosas recebidas por e-mail); o que tenha sido utilizada para iden dados completos do incidente ou qualquer outra informac a ticar a atividade. es e respostas para as d Outras informac o uvidas mais comuns referentes ao processo de notica o de incidentes podem ser encontradas na lista de quest c a oes mais frequentes (FAQ) mantida pelo CERT.br e dispon vel em http://www.cert.br/docs/faq1.html.
7.3
Contas e senhas
Contas e senhas s ao atualmente o mecanismo de au o mais usado para o controle de acesso a sites e tenticac a servic os oferecidos pela Internet. por meio das suas contas e senhas que os sistemas E e denir as ac es que voc conseguem saber quem voc ee o e pode realizar. o, alterac o e gerenciamento, assim como os cuidados que voc Dicas de elaborac a a e deve ter ao usar suas contas e senhas, s ao apresentados no Cap tulo Contas e senhas.
7.4
Criptograa
Usando criptograa voc e pode proteger seus dados contra acessos indevidos, tanto os que trafegam pela Internet como os j a gravados em seu computador. Detalhes sobre como a criptograa pode contribuir para manter a seguranc a dos seus dados e os conceitos de certicados e assinaturas digitais s ao apresentados no Cap tulo Criptograa. Detalhes sobre como a criptograa pode ser usada para garantir a conex ao segura aos sites na o 10.1 do Cap Internet s ao apresentados na Sec a tulo Uso seguro da Internet.
7.5
C opias de seguranc a (Backups)
Voc e j a imaginou o que aconteceria se, de uma hora para outra, perdesse alguns ou at e mesmo todos os dados armazenados em seu computador? E se fossem todas as suas fotos ou os dados o, voc armazenados em seus dispositivos m oveis? E se, ao enviar seu computador para manutenc a e es acontec o recebesse de volta com o disco r gido formatado? Para evitar que estas situac o am, e necess ario que voc e aja de forma preventiva e realize c opias de seguranc a (backups). tarde demais, Muitas pessoas, infelizmente, s o percebem a import ancia de ter backups quando j ae ou seja, quando os dados j a foram perdidos e n ao se pode fazer mais nada para recuper a-los. Backups s ao extremamente importantes, pois permitem:
52
o de dados: voc es como Protec a e pode preservar seus dados para que sejam recuperados em situac o o mal-sucedida do sistema operacional, exclus o falha de disco r gido, atualizac a ao ou substituic a o de c acidental de arquivos, ac a odigos maliciosos/atacantes e furto/perda de dispositivos. o de vers Recuperac a oes: voc e pode recuperar uma vers ao antiga de um arquivo alterado, como uma parte exclu da de um texto editado ou a imagem original de uma foto manipulada. Arquivamento: voc e pode copiar ou mover dados que deseja ou que precisa guardar, mas que n ao s ao necess arios no seu dia a dia e que raramente s ao alterados. o integradas e tamMuitos sistemas operacionais j a possuem ferramentas de backup e recuperac a o de instalar programas externos. Na maioria dos casos, ao usar estas ferramentas, basta b em h a a opc a que voc e tome algumas decis oes, como: Onde gravar os backups: voc e pode usar m dias (como CD, DVD, pen-drive, disco de Blu-ray e disco r gido interno ou externo) ou armazen a-los remotamente (online ou off-site). A escolha depende do programa de backup que est a sendo usado e de quest oes como capacidade de armazenamento, custo e conabilidade. Um CD, DVD ou Blu-ray pode bastar para pequenas quantidades de dados, um pen-drive pode ser indicado para dados constantemente modicados, ao passo que um disco r gido pode ser usado para grandes volumes que devam perdurar. Quais arquivos copiar: apenas arquivos con aveis4 e que tenham import ancia para voc e devem ser copiados. Arquivos de programas que podem ser reinstalados, geralmente, n ao precisam ser copiados. Fazer c opia de arquivos desnecess arios pode ocupar espac o inutilmente e dicultar o dos demais dados. Muitos programas de backup j a localizac a a possuem listas de arquivos e diret orios recomendados, voc e pode optar por aceit a-las ou criar suas pr oprias listas. Com que periodicidade devo realiz a-los: depende da frequ encia com que voc e cria ou modica arquivos. Arquivos frequentemente modicados podem ser copiados diariamente ao passo que aqueles pouco alterados podem ser copiados semanalmente ou mensalmente. Cuidados a serem tomados: o dos dados; mantenha seus backups atualizados, de acordo com a frequ encia de alterac a mantenha seus backups em locais seguros, bem condicionados (longe de poeira, muito calor ou umidade) e com acesso restrito (apenas de pessoas autorizadas); congure para que seus backups sejam realizados automaticamente e certique-se de que eles estejam realmente sendo feitos (backups manuais est ao mais propensos a erros e esquecimento); es no sis al em dos backups peri odicos, sempre fac a backups antes de efetuar grandes alterac o o de hardware, atualizac o do sistema operacional, etc.) e de enviar o computador tema (adic a a o; para manutenc a armazene dados sens veis em formato criptografado (mais detalhes no Cap tulo Criptograa);
4 Arquivos
que possam conter c odigos maliciosos ou ter sido modicados/substitu dos por invasores n ao devem ser
copiados.
53
mantenha backups redundantes, ou seja, v arias c opias, para evitar perder seus dados em um o, furto ou pelo uso de m inc endio, inundac a dias defeituosas (voc e pode escolher pelo menos duas das seguintes possibilidades: sua casa, seu escrit orio e um reposit orio remoto); cuidado com m dias obsoletas (disquetes j a foram muito usados para backups, por em, atualmente, acess a-los t em-se se tornado cada vez mais complicado pela diculdade em encontrar o natural do material); computadores com leitores deste tipo de m dia e pela degradac a o de testes peri assegure-se de conseguir recuperar seus backups (a realizac a odicos pode evitar a p essima surpresa de descobrir que os dados est ao corrompidos, em formato obsoleto ou que o); voc e n ao possui mais o programa de recuperac a mantenha seus backups organizados e identicados (voc e pode etiquet a-los ou nome a-los com es que facilitem a localizac o, como tipo do dado armazenado e data de gravac o); informac o a a copie dados que voc e considere importantes e evite aqueles que podem ser obtidos de fontes externas con aveis, como os referentes ao sistema operacional ou aos programas instalados; nunca recupere um backup se desconar que ele cont em dados n ao con aveis. Ao utilizar servic os de backup online h a alguns cuidados adicionais que voc e deve tomar, como: es (alta dis observe a disponibilidade do servic o e procure escolher um com poucas interrupc o ponibilidade); o do backup quanto observe o tempo estimado de transmiss ao de dados (tanto para realizac a o dos dados). Dependendo da banda dispon para recuperac a vel e da quantidade de dados a ser copiada (ou recuperada), o backup online pode se tornar impratic avel; seja seletivo ao escolher o servic o. Observe crit erios como suporte, tempo no mercado (h a oferecido), a opini quanto tempo o servic o e ao dos demais usu arios e outras refer encias que voc e possa ter; o o tempo que seus arquivos s leve em considerac a ao mantidos, o espac o de armazenagem e a pol tica de privacidade e de seguranc a; procure aqueles nos quais seus dados trafeguem pela rede de forma criptografada (caso n ao haja esta possibilidade, procure voc e mesmo criptografar os dados antes de envi a-los).
7.6
Registro de eventos (Logs)
o registro de atividade gerado por programas e servic Log5 e os de um computador. Ele pode car armazenado em arquivos, na mem oria do computador ou em bases de dados. A partir da an alise desta o voc informac a e pode ser capaz de:
um termo t e ecnico que se refere ao registro de atividades de diversos tipos como, por exemplo, de conex ao es sobre a conex ` Internet) e de acesso a aplicac es (informac es de acesso de um (informac o ao de um computador a o o o de Internet). Na Cartilha este termo e usado para se referir ao registro das atividades que computador a uma aplicac a ocorrem no computador do usu ario.
5 Log
54
detectar o uso indevido do seu computador, como um usu ario tentando acessar arquivos de outros usu arios, ou alterar arquivos do sistema; o de alguma vulnerabilidade; detectar um ataque, como de forc a bruta ou a explorac a es executadas por um usu rastrear (auditar) as ac o ario no seu computador, como programas utilizados, comandos executados e tempo de uso do sistema; detectar problemas de hardware ou nos programas e servic os instalados no computador. Baseado nisto, voc e pode tomar medidas preventivas para tentar evitar que um problema maior ocorra ou, caso n ao seja poss vel, tentar reduzir os danos. Alguns exemplos s ao: se o disco r gido do seu computador estiver apresentando mensagens de erro, voc e pode se ante o; cipar, fazer backup dos dados nele contidos e no momento oportuno envi a-lo para manutenc a se um atacante estiver tentando explorar uma vulnerabilidade em seu computador, voc e pode vericar se as medidas preventivas j a foram aplicadas e tentar evitar que o ataque ocorra; es executadas pelo se n ao for poss vel evitar um ataque, os logs podem permitir que as ac o es acessadas. atacante sejam rastreadas, como arquivos alterados e as informac o o de incidentes, pois permitem que diversas informac es imLogs s ao essenciais para noticac a o portantes sejam detectadas, como por exemplo: a data e o hor ario em que uma determinada atividade ocorreu, o fuso hor ario do log, o enderec o IP de origem da atividade, as portas envolvidas e o protocolo utilizado no ataque (TCP, UDP, ICMP, etc.), os dados completos que foram enviados para o computador ou rede e o resultado da atividade (se ela ocorreu com sucesso ou n ao). Cuidados a serem tomados: registrado e usado mantenha o seu computador com o hor ario correto (o hor ario em que o log e o de incidentes de seguranc na correlac a a e, por este motivo, deve estar sincronizado6 ); verique o espac o em disco livre em seu computador (logs podem ocupar bastante espac o em es feitas); disco, dependendo das congurac o evite registrar dados desnecess arios, pois isto, al em de poder ocupar espac o excessivo no disco, o de tarefas tamb em pode degradar o desempenho do computador, comprometer a execuc a o de informac es de interesse; b asicas e dicultar a localizac a o que atento e descone caso perceba que os logs do seu computador foram apagados ou que es deixaram de ser gerados por um per odo (muitos atacantes, na tentativa de esconder as ac o executadas, desabilitam os servic os de logs e apagam os registros relacionados ao ataque ou, at e mesmo, os pr oprios arquivos de logs); necess restrinja o acesso aos arquivos de logs. N ao e ario que todos os usu arios tenham acesso ` s informac es contidas nos logs. Por isto, sempre que poss a o vel, permita que apenas o usu ario administrador tenha acesso a estes dados.
6 Informac es o
sobre como manter o hor ario do seu computador sincronizado podem ser obtidas em http://ntp.br/.
55
7.7
Ferramentas antimalware
Ferramentas antimalware s ao aquelas que procuram detectar e, ent ao, anular ou remover os c odigos maliciosos de um computador. Antiv rus, antispyware, antirootkit e antitrojan s ao exemplos de ferramentas deste tipo. Ainda que existam ferramentas espec cas para os diferentes tipos de c odigos maliciosos, muitas dif rea de atuac o de cada uma delas, pois a denic o do tipo de c vezes e cil delimitar a a a a odigo malicioso depende de cada fabricante e muitos c odigos mesclam as caracter sticas dos demais tipos (mais detalhes no Cap tulo C odigos maliciosos (Malware)). Entre as diferentes ferramentas existentes, a que engloba a maior quantidade de funcionalidades o antiv e rus. Apesar de inicialmente eles terem sido criados para atuar especicamente sobre v rus, com o passar do tempo, passaram tamb em a englobar as funcionalidades dos demais programas, fazendo com que alguns deles ca ssem em desuso. H a diversos tipos de programas antimalware que diferem entre si das seguintes formas: o: assinatura (uma lista de assinaturas7 e usada a ` procura de padr M etodo de detecc a oes), heur stica es e caracter (baseia-se nas estruturas, instruc o sticas que o c odigo malicioso possui) e comportamento (baseia-se no comportamento apresentado pelo c odigo malicioso quando executado) s ao alguns dos m etodos mais comuns. o: podem ser gratuitos (quando livremente obtidos na Internet e usados por prazo Forma de obtenc a indeterminado), experimentais (trial, usados livremente por um prazo predeterminado) e pagos (exigem que uma licenc a seja adquirida). Um mesmo fabricante pode disponibilizar mais de um tipo de programa, sendo que a vers ao gratuita costuma possuir funcionalidades b asicas ao passo que a vers ao paga possui funcionalidades extras, al em de poder contar com suporte. o: podem ser localmente instalados no computador ou executados sob demanda por inExecuc a term edio do navegador Web. Tamb em podem ser online, quando enviados para serem executados em servidores remotos, por um ou mais programas. es b Funcionalidades apresentadas: al em das func o asicas (detectar, anular e remover c odigos maliciosos) tamb em podem apresentar outras funcionalidade integradas, como a possibilidade de o de discos de emerg o 7.8). gerac a encia e rewall pessoal (mais detalhes na Sec a Alguns exemplos de antimalware online s ao: Anubis - Analyzing Unknown Binaries http://anubis.iseclab.org/ Norman Sandbox - SandBox Information Center http://www.norman.com/security_center/security_tools/ ThreatExpert - Automated Threat Analysis http://www.threatexpert.com/
assinatura de um c odigo malicioso corresponde a caracter sticas espec cas nele contidas e que permitem que seja identicado unicamente. Um arquivo de assinaturas corresponde ao conjunto de assinaturas denidas pelo fabricante para os c odigos maliciosos j a detectados.
7A
56
VirusTotal - Free Online Virus, Malware and URL Scanner https://www.virustotal.com/ ` sua necessidade e importante levar em conta Para escolher o antimalware que melhor se adapta a o entre o custo o uso que voc e faz e as caracter sticas de cada vers ao. Observe que n ao h a relac a e a eci encia de um programa, pois h a vers oes gratuitas que apresentam mais funcionalidades que vers oes pagas de outros fabricantes. Alguns sites apresentam comparativos entre os programas de diferentes fabricantes que podem gui a-lo na escolha do qual melhor lhe atende, tais como: AV-Comparatives - Independent Tests of Anti-Virus Software http://www.av-comparatives.org/ Virus Bulletin - Independent Malware Advice http://www.virusbtn.com/ Cuidados a serem tomados: tenha um antimalware instalado em seu computador (programas online, apesar de bastante teis, exigem que seu computador esteja conectado a ` Internet para que funcionem corretamente u e podem conter funcionalidades reduzidas); utilize programas online quando suspeitar que o antimalware local esteja desabilitado/comprometido ou quando necessitar de uma segunda opini ao (quiser conrmar o estado de um arquivo que j a foi vericado pelo antimalware local); congure o antimalware para vericar toda e qualquer extens ao de arquivo; congure o antimalware para vericar automaticamente arquivos anexados aos e-mails e obtidos pela Internet; congure o antimalware para vericar automaticamente os discos r gidos e as unidades remov veis (como pen-drives, CDs, DVDs e discos externos); mantenha o arquivo de assinaturas sempre atualizado (congure o antimalware para atualiz a-lo automaticamente pela rede, de prefer encia diariamente); mantenha o antimalware sempre atualizado, com a vers ao mais recente e com todas as atuali es existentes aplicadas; zac o evite executar simultaneamente diferentes programas antimalware (eles podem entrar em con o um do outro); ito, afetar o desempenho do computador e interferir na capacidade de detecc a crie um disco de emerg encia e o utilize-o quando desconar que o antimalware instalado est a desabilitado/comprometido ou que o comportamento do computador est a estranho (mais lento, gravando ou lendo o disco r gido com muita frequ encia, etc.).
57
7.8
Firewall pessoal
um tipo espec utiliFirewall pessoal e co de rewall que e zado para proteger um computador contra acessos n ao autorizados vindos da Internet. Os programas antimalware, apesar da grande quantidade de funcionalidades, n ao s ao capazes de impedir que um atacante tente explorar, via rede, alguma vulnerabilidade existente em seu computador e nem de evitar o acesso n ao autorizado, caso haja algum 8 o do antimalware, e necess backdoor nele instalado . Devido a isto, al em da instalac a ario que voc e utilize um rewall pessoal. Quando bem congurado, o rewall pessoal pode ser capaz de: registrar as tentativas de acesso aos servic os habilitados no seu computador; es coletadas por invasores e c bloquear o envio para terceiros de informac o odigos maliciosos; o de vulnerabilidades do seu computador e bloquear as tentativas de invas ao e de explorac a o das origens destas tentativas; possibilitar a identicac a analisar continuamente o conte udo das conex oes, ltrando diversos tipos de c odigos maliciosos o entre um invasor e um c e barrando a comunicac a odigo malicioso j a instalado; evitar que um c odigo malicioso j a instalado seja capaz de se propagar, impedindo que vulnerabilidades em outros computadores sejam exploradas. Alguns sistemas operacionais possuem rewall pessoal integrado. Caso o sistema instalado em es dispon seu computador n ao possua um ou voc e n ao queira us a-lo, h a diversas opc o veis (pagas ou gratuitas). Voc e tamb em pode optar por um antimalware com funcionalidades de rewall pessoal integradas. Cuidados a serem tomados: antes de obter um rewall pessoal, verique a proced encia e certique-se de que o fabricante e con avel; certique-se de que o rewall instalado esteja ativo (estado: ativado); es poss congure seu rewall para registrar a maior quantidade de informac o veis (desta forma, poss e vel detectar tentativas de invas ao ou rastrear as conex oes de um invasor). es do rewall dependem de cada fabricante. De forma geral, a mais indicada e : As congurac o liberar todo tr afego de sa da do seu computador (ou seja, permitir que seu computador acesse outros computadores e servic os) e; bloquear todo tr afego de entrada ao seu computador (ou seja, impedir que seu computador seja acessado por outros computadores e servic os) e liberar as conex oes conforme necess ario, de acordo com os programas usados.
8 Exceto
aqueles que possuem rewall pessoal integrado.
58
7.9
Filtro antispam
` maioria dos Webmails e proOs ltros antispam j a vem integrado a gramas leitores de e-mails e permite separar os e-mails desejados dos indesejados (spams). A maioria dos ltros passa por um per odo inicial de treinamento, no qual o usu ario seleciona manualmente as mensagens es, o ltro vai aprenconsideradas spam e, com base nas classicac o dendo a distinguir as mensagens. es sobre ltros antispam e cuidados a serem tomados podem ser encontradas em Mais informac o o contra spam s http://antispam.br/. Mais detalhes sobre outras formas de prevenc a ao apresentadas no Cap tulo Spam.
7.10
Outros mecanismos
` maioria dos navegadores Web e serve para alertar os usu Filtro antiphishing: j a vem integrado a arios acessada. O usu quando uma p agina suspeita de ser falsa e ario pode ent ao decidir se quer acess a-la mesmo assim ou navegar para outra p agina. ` maioria dos navegadores Web e permite que voc Filtro de janelas de pop-up: j a vem integrado a e o de janelas de pop-up. Voc controle a exibic a e pode optar por bloquear, liberar totalmente ou permitir apenas para sites espec cos. o de c Filtro de c odigos m oveis: ltros, como o NoScript, permitem que voc e controle a execuc a o o destes c digos Java e JavaScript. Voc e pode decidir quando permitir a execuc a odigos e se eles ser ao executados temporariamente ou permanentemente - http://noscript.net/ Filtro de bloqueio de propagandas: ltros, como o Adblock, permitem o bloqueio de sites conhecidos por apresentarem propagandas - http://adblockplus.org/ o de site: complementos, como o WOT (Web of Trust), permitem determinar a Teste de reputac a o dos sites que voc o reputac a e acessa. Por meio de um esquema de cores, ele indica a reputac a do site, como: verde escuro (excelente), verde claro (boa), amarelo (insatisfat oria), vermelho claro (m a) e vermelho escuro (p essima) - http://www.mywot.com/ o de vulnerabilidades: programas, como o PSI (Secunia Personal SoftPrograma para vericac a ware Inspector), permitem vericar vulnerabilidades nos programas instalados em seu computador e determinar quais devem ser atualizados http://secunia.com/vulnerability_scanning/personal/ Sites e complementos para expans ao de links curtos: complementos ou sites espec cos, como o o link de destino de um link curto. Desta forma, voc LongURL, permitem vericar qual e e pode vericar a URL de destino, sem que para isto necessite acessar o link curto http://longurl.org/ o an Anonymizer: sites para navegac a onima, conhecidos como anonymizers, intermediam o envio e es entre o seu navegador Web e o site que voc recebimento de informac o e deseja visitar. Desta es por ele fornecidas n forma, o seu navegador n ao recebe cookies e as informac o ao s ao repassadas para o site visitado - http://www.anonymizer.com/
8. Contas e senhas
Uma conta de usu ario, tamb em chamada de nome de usu ario, nome de login e username, ` identicac o u nica de um usu corresponde a a ario em um computador ou servic o. Por meio das contas poss de usu ario e vel que um mesmo computador ou servic o seja compartilhado por diversas pessoas, es espec pois permite, por exemplo, identicar unicamente cada usu ario, separar as congurac o cas de cada um e controlar as permiss oes de acesso. de conhecimento geral e e o que permite a sua identicac o. Ela e , muitas A sua conta de usu ario e a vezes, derivada do seu pr oprio nome, mas pode ser qualquer sequ encia de caracteres que permita que voc e seja identicado unicamente, como o seu enderec o de e-mail. Para garantir que ela seja usada que existem os mecanismos de autenticac o. apenas por voc e, e por mais ningu em, e a o, que se utilizam de: aquilo que voc Existem tr es grupos b asicos de mecanismos de autenticac a ee es biom (informac o etricas, como a sua impress ao digital, a palma da sua m ao, a sua voz e o seu olho), aquilo que apenas voc e possui (como seu cart ao de senhas banc arias e um token gerador de senhas) e, nalmente, aquilo que apenas voc e sabe (como perguntas de seguranc a e suas senhas). usada no processo de Uma senha, ou password, serve para autenticar uma conta, ou seja, e o da sua identidade, assegurando que voc realmente quem diz ser e que possui o divericac a ee um dos principais mecanismos de autenticac o usados na reito de acessar o recurso em quest ao. E a Internet devido, principalmente, a simplicidade que possui.
59
60
` sua senha ela poder Se uma outra pessoa souber a sua conta de usu ario e tiver acesso a a us a-las es em seu nome, como: para se passar por voc e na Internet e realizar ac o acessar a sua conta de correio eletr onico e ler seus e-mails, enviar mensagens de spam e/ou contendo phishing e c odigos maliciosos, furtar sua lista de contatos e pedir o reenvio de senhas de outras contas para este enderec o de e-mail (e assim conseguir acesso a elas); es sens acessar o seu computador e obter informac o veis nele armazenadas, como senhas e n umeros de cart oes de cr edito; utilizar o seu computador para esconder a real identidade desta pessoa (o invasor) e, ent ao, desferir ataques contra computadores de terceiros; es feitas por voc es acessar sites e alterar as congurac o e, de forma a tornar p ublicas informac o que deveriam ser privadas; acessar a sua rede social e usar a conanc a que as pessoas da sua rede de relacionamento es sens depositam em voc e para obter informac o veis ou para o envio de boatos, mensagens de spam e/ou c odigos maliciosos.
8.1
Uso seguro de contas e senhas
Algumas das formas como a sua senha pode ser descoberta s ao: ao ser usada em computadores infectados. Muitos c odigos maliciosos, ao infectar um computador, armazenam as teclas digitadas (inclusive senhas), espionam o teclado pela webcam (caso o da tela onde o mouse voc e possua uma e ela esteja apontada para o teclado) e gravam a posic a o 4.4 do Cap foi clicado (mais detalhes na Sec a tulo C odigos maliciosos (Malware)); ao ser usada em sites falsos. Ao digitar a sua senha em um site falso, achando que est a no site verdadeiro, um atacante pode armazen a-la e, posteriormente, us a-la para acessar o site es em seu nome (mais detalhes na Sec o 2.3 do Cap verdadeiro e realizar operac o a tulo Golpes na Internet); o (mais detalhes na Sec o 3.5 do Cap por meio de tentativas de adivinhac a a tulo Ataques na Internet); o 3.4 ao ser capturada enquanto trafega na rede, sem estar criptografada (mais detalhes na Sec a do Cap tulo Ataques na Internet); por meio do acesso ao arquivo onde a senha foi armazenada caso ela n ao tenha sido gravada de forma criptografada (mais detalhes no Cap tulo Criptograa); com o uso de t ecnicas de engenharia social, como forma a persuadi-lo a entreg a-la voluntariamente; o da movimentac o dos seus dedos no teclado ou dos cliques do mouse em pela observac a a teclados virtuais.
8. Contas e senhas
61
Cuidados a serem tomados ao usar suas contas e senhas: certique-se de n ao estar sendo observado ao digitar as suas senhas; n ao fornec a as suas senhas para outra pessoa, em hip otese alguma; o certique-se de fechar a sua sess ao ao acessar sites que requeiram o uso de senhas. Use a opc a es sejam mantidas no navegador; de sair (logout), pois isto evita que suas informac o o 8.2; elabore boas senhas, conforme descrito na Sec a o 8.3; altere as suas senhas sempre que julgar necess ario, conforme descrito na Sec a n ao use a mesma senha para todos os servic os que acessa (dicas de gerenciamento de senhas o 8.4); s ao fornecidas na Sec a o de senhas, evite escolher quest ao usar perguntas de seguranc a para facilitar a recuperac a oes o 8.5); cujas respostas possam ser facilmente adivinhadas (mais detalhes na Sec a certique-se de utilizar servic os criptografados quando o acesso a um site envolver o forneci o 10.1 do Cap mento de senha (mais detalhes na Sec a tulo Uso seguro da Internet); es que possam ser cole procure manter sua privacidade, reduzindo a quantidade de informac o tadas sobre voc e, pois elas podem ser usadas para adivinhar a sua senha, caso voc e n ao tenha sido cuidadoso ao elabor a-la (mais detalhes no Cap tulo Privacidade); mantenha a seguranc a do seu computador (mais detalhes no Cap tulo Seguranc a de computadores); seja cuidadoso ao usar a sua senha em computadores potencialmente infectados ou comprome es de navegac o an tidos. Procure, sempre que poss vel, utilizar opc o a onima (mais detalhes na o 12.3 do Cap Sec a tulo Seguranc a de computadores).
8.2
o de senhas Elaborac a
aquela que e dif Uma senha boa, bem elaborada, e cil de ser descoberta (forte) e f acil de ser lembrada. N ao conv em que voc e crie uma senha forte se, quando for us a-la, n ao conseguir record ala. Tamb em n ao conv em que voc e crie uma senha f acil de ser lembrada se ela puder ser facilmente descoberta por um atacante. o de suas senhas s Alguns elementos que voc e n ao deve usar na elaborac a ao: Qualquer tipo de dado pessoal: evite nomes, sobrenomes, contas de usu ario, n umeros de documen1 tos, placas de carros, n umeros de telefones e datas (estes dados podem ser facilmente obtidos e usados por pessoas que queiram tentar se autenticar como voc e). ` proximidade entre os caracteres no teclado, como Sequ encias de teclado: evite senhas associadas a 1qaz2wsx e QwerTAsdfG, pois s ao bastante conhecidas e podem ser facilmente observadas ao serem digitadas.
1 Qualquer
data que possa estar relacionada a voc e, como a data de seu anivers ario ou de seus familiares.
62
Palavras que fac am parte de listas: evite palavras presentes em listas publicamente conhecidas, como nomes de m usicas, times de futebol, personagens de lmes, dicion arios de diferentes idiomas, etc. Existem programas que tentam descobrir senhas combinando e testando estas pa o 3.5 do Cap lavras e que, portanto, n ao devem ser usadas (mais detalhes na Sec a tulo Ataques na Internet). o de suas senhas s Alguns elementos que voc e deve usar na elaborac a ao: Numeros aleat orios: quanto mais ao acaso forem os n umeros usados melhor, principalmente em sistemas que aceitem exclusivamente caracteres num ericos. Grande quantidade de caracteres: quanto mais longa for a senha mais dif cil ser a descobri-la. Apesar de senhas longas parecerem, a princ pio, dif ceis de serem digitadas, com o uso frequente elas acabam sendo digitadas facilmente. Diferentes tipos de caracteres: quanto mais bagunc ada for a senha mais dif cil ser a descobri-la. o e letras mai Procure misturar caracteres, como n umeros, sinais de pontuac a usculas e min us o pode dicultar bastante que a senha seja descoberta, sem culas. O uso de sinais de pontuac a necessariamente torn a-la dif cil de ser lembrada. o de boas senhas s Algumas dicas2 pr aticas que voc e pode usar na elaborac a ao: Selecione caracteres de uma frase: baseie-se em uma frase e selecione a primeira, a segunda ou a ltima letra de cada palavra. Exemplo: com a frase O Cravo brigou com a Rosa debaixo u o foi colocado de uma sacada voc e pode gerar a senha ?OCbcaRddus (o sinal de interrogac a ` senha). no in cio para acrescentar um s mbolo a Utilize uma frase longa: escolha uma frase longa, que fac a sentido para voc e, que seja f acil de ser es comuns memorizada e que, se poss vel, tenha diferentes tipos de caracteres. Evite citac o ` voc (como ditados populares) e frases que possam ser diretamente ligadas a e (como o refr ao de sua m usica preferida). Exemplo: se quando crianc a voc e sonhava em ser astronauta, pode usar como senha 1 dia ainda verei os aneis de Saturno!!!. es de caracteres: invente um padr o baseado, por exemplo, na seFac a substituic o ao de substituic a melhanc a visual (w e vv) ou de fon etica (ca e k) entre os caracteres. Crie o seu bvias. Exemplo: duplicando as letras s e pr oprio padr ao pois algumas trocas j a s ao bastante o r, substituindo o por 0 (n umero zero) e usando a frase Sol, astro-rei do Sistema Solar voc e pode gerar a senha SS0l, asstrr0-rrei d0 SSisstema SS0larr. Existem servic os que permitem que voc e teste a complexidade de uma senha e que, de acordo com crit erios, podem classic a-la como sendo, por exemplo, muito fraca, fraca, forte importante ter em mente que, mesmo que uma senha ou muito forte. Ao usar estes servic os e tenha sido classicada como muito forte, pode ser que ela n ao seja uma boa senha caso contenha dados pessoais que n ao s ao de conhecimento do servic o, mas que podem ser de conhecimento de um atacante. capaz de denir se a senha elaborada e realmente boa! Apenas voc ee
senhas e os padr oes usados para ilustrar as dicas, tanto nesta como nas vers oes anteriores da Cartilha, n ao devem ser usados pois j a s ao de conhecimento p ublico. Voc e deve adaptar estas dicas e criar suas pr oprias senhas e padr oes.
2 As
8. Contas e senhas
63
8.3
o de senhas Alterac a
Voc e deve alterar a sua senha imediatamente sempre que desconar que ela pode ter sido descoberta ou que o computador no qual voc e a utilizou pode ter sido invadido ou infectado. es onde voc Algumas situac o e deve alterar rapidamente a sua senha s ao: se um computador onde a senha esteja armazenada tenha sido furtado ou perdido; o de senhas e desconar que uma delas tenha sido descoberta. se usar um padr ao para a formac a Neste caso, tanto o padr ao como todas as senhas elaboradas com ele devem ser trocadas pois, com base na senha descoberta, um atacante pode conseguir inferir as demais; se utilizar uma mesma senha em mais de um lugar e desconar que ela tenha sido descoberta usada; em algum deles. Neste caso, esta senha deve ser alterada em todos os lugares nos quais e ao adquirir equipamentos acess veis via rede, como roteadores Wi-Fi, dispositivos bluetooth e modems ADSL (Asymmetric Digital Subscriber Line). Muitos destes equipamentos s ao congurados de f abrica com senha padr ao, facilmente obtida em listas na Internet, e por isto, sempre que poss vel, deve ser alterada (mais detalhes no Cap tulo Seguranc a de redes). importante que a sua senha seja alterada regularmente, como forma de asNos demais casos e segurar a condencialidade. N ao h a como denir, entretanto, um per odo ideal para que a troca seja e de quanto voc feita, pois depende diretamente de qu ao boa ela e e a exp oe (voc e a usa em computadores de terceiros? Voc e a usa para acessar outros sites? Voc e mant em seu computador atualizado?). N ao conv em que voc e troque a senha em per odos muito curtos (menos de um m es, por exemplo) se, para conseguir se recordar, precisar a elaborar uma senha fraca ou anot a-la em um papel e col a-lo no monitor do seu computador. Per odos muito longos (mais de um ano, por exemplo) tamb em n ao s ao desej aveis pois, caso ela tenha sido descoberta, os danos causados podem ser muito grandes.
8.4
Gerenciamento de contas e senhas
Voc e j a pensou em quantas contas e senhas diferentes precisa memorizar e combinar para acessar o? Atualmente, conar apenas na memorizac o todos os servic os que utiliza e que exigem autenticac a a pode ser algo bastante arriscado. Para resolver este problema muitos usu arios acabam usando t ecnicas que podem ser bastante perigosas e que, sempre que poss vel, devem ser evitadas. Algumas destas t ecnicas e os cuidados que voc e deve tomar caso, mesmo ciente dos riscos, opte por us a-las s ao: Reutilizar as senhas: usar a mesma senha para acessar diferentes contas pode ser bastante arriscado, pois basta ao atacante conseguir a senha de uma conta para conseguir acessar as demais contas onde esta mesma senha foi usada. procure n ao usar a mesma senha para assuntos pessoais e prossionais; jamais reutilize senhas que envolvam o acesso a dados sens veis, como as usadas em Internet Banking ou e-mail.
64
es como Lembre-se de mim e Continuar conectado: o uso destas opc es faz com Usar opc o o es da sua conta de usu que informac o ario sejam salvas em cookies que podem ser indevidamente coletados e permitam que outras pessoas se autentiquem como voc e. es somente nos sites nos quais o risco envolvido e bastante baixo; use estas opc o jamais as utilize em computadores de terceiros. bastante arriscada, pois caso as senhas n Salvar as senhas no navegador Web: esta pr atica e ao estejam criptografadas com uma chave mestra, elas podem ser acessadas por c odigos maliciosos, atacantes ou outras pessoas que venham a ter acesso ao computador. assegure-se de congurar uma chave mestra; seja bastante cuidadoso ao elaborar sua chave mestra, pois a seguranc a das demais senhas depende diretamente da seguranc a dela; n ao esquec a sua chave mestra. Para n ao ter que recorrer a estas t ecnicas ou correr o risco de esquecer suas contas/senhas ou, pior ainda, ter que apelar para o uso de senhas fracas, voc e pode buscar o aux lio de algumas das formas de gerenciamento dispon veis. listar suas contas/senhas em um papel e guard Uma forma bastante simples de gerenciamento e alo em um local seguro (como uma gaveta trancada). Neste caso, a seguranc a depende diretamente da diculdade de acesso ao local escolhido para guardar este papel (de nada adianta col a-lo no monitor, prefer deix a-lo embaixo do teclado ou sobre a mesa). Veja que e vel usar este m etodo a optar pelo uso mais f de senhas fracas pois, geralmente, e acil garantir que ningu em ter a acesso f sico ao local onde o papel est a guardado do que evitar que uma senha fraca seja descoberta na Internet. Caso voc e considere este m etodo pouco pr atico, pode optar por outras formas de gerenciamento como as apresentadas a seguir, juntamente com alguns cuidados b asicos que voc e deve ter ao us a-las: nicas e basCriar grupos de senhas, de acordo com o risco envolvido: voc e pode criar senhas u tante fortes e us a-las onde haja recursos valiosos envolvidos (por exemplo, para acesso a In nicas, por ternet Banking ou e-mail). Outras senhas u em um pouco mais simples, para casos nos quais o valor do recurso protegido e inferior (por exemplo, sites de com ercio eletr onico, es de pagamento, como n desde que suas informac o umero de cart ao de cr edito, n ao sejam armazenadas para uso posterior) e outras simples e reutilizadas para acessos sem risco (como o cadastro para baixar um determinado arquivo). bastante baixo. reutilize senhas apenas em casos nos quais o risco envolvido e Usar um programa gerenciador de contas/senhas: programas, como 1Password3 e KeePass4 , per nico arquivo, acess mitem armazenar grandes quantidades de contas/senhas em um u vel por meio de uma chave mestra. seja bastante cuidadoso ao elaborar sua chave mestra, pois a seguranc a das demais senhas depende diretamente da seguranc a dela;
3 1Password 4 KeePass
- https://agilebits.com/onepassword. - http://keepass.info/.
8. Contas e senhas
65
n ao esquec a sua chave mestra (sem ela, n ao h a como voc e acessar os arquivos que foram criptografados, ou seja, todas as suas contas/senhas podem ser perdidas); assegure-se de obter o programa gerenciador de senhas de uma fonte con avel e de sempre mant e-lo atualizado; evite depender do programa gerenciador de senhas para acessar a conta do e-mail de re o (mais detalhes na Sec o 8.5). cuperac a a Gravar em um arquivo criptografado: voc e pode manter um arquivo criptografado em seu computador e utiliz a-lo para cadastrar manualmente todas as suas contas e senhas. assegure-se de manter o arquivo sempre criptografado; assegure-se de manter o arquivo atualizado (sempre que alterar uma senha que esteja cadastrada no arquivo, voc e deve lembrar de atualiz a-lo); fac a backup do arquivo de senhas, para evitar perd e-lo caso haja problemas em seu computador.
8.5
o de senhas Recuperac a
Mesmo que voc e tenha tomado cuidados para elaborar a sua senha e utilizado mecanismos de gerenciamento, podem ocorrer casos, por in umeros motivos, de voc e perd e-la. Para restabelecer o acesso perdido, alguns sistemas disponibilizam recursos como: permitir que voc e responda a uma pergunta de seguranc a previamente determinada por voc e; o previamente denido por voc enviar a senha, atual ou uma nova, para o e-mail de recuperac a e; es cadastrais, como data de anivers conrmar suas informac o ario, pa s de origem, nome da m ae, n umeros de documentos, etc; apresentar uma dica de seguranc a previamente cadastrada por voc e; enviar por mensagem de texto para um n umero de celular previamente cadastrado por voc e. teis, desde que cuidadosamente utilizados, pois assim Todos estes recursos podem ser muito u como podem permitir que voc e recupere um acesso, tamb em podem ser usados por atacantes que queiram se apossar da sua conta. Alguns cuidados que voc e deve tomar ao us a-los s ao: cadastre uma dica de seguranc a que seja vaga o suciente para que ningu em mais consiga descobri-la e clara o bastante para que voc e consiga entend e-la. Exemplo: se sua senha for SS0l, asstrr0-rrei d0 SSisstema SS0larr5 , pode cadastrar a dica Uma das notas musicais, o que o far a se lembrar da palavra Sol e se recordar da senha;
5 Esta
o 8.2. senha foi sugerida na Sec a
66
es que voc seja cuidadoso com as informac o e disponibiliza em blogs e redes sociais, pois podem ser usadas por atacantes para tentar conrmar os seus dados cadastrais, descobrir dicas e responder perguntas de seguranc a (mais detalhes no Cap tulo Privacidade); evite cadastrar perguntas de seguranc a que possam ser facilmente descobertas, como o nome do seu cachorro ou da sua m ae. Procure criar suas pr oprias perguntas e, de prefer encia, com respostas falsas. Exemplo: caso voc e tenha medo de altura, pode criar a pergunta Qual seu esporte favorito? e colocar como resposta paraquedismo ou alpinismo; ao receber senhas por e-mail procure alter a-las o mais r apido poss vel. Muitos sistemas enviam as senhas em texto claro, ou seja, sem nenhum tipo de criptograa e elas podem ser obtidas caso ` sua conta de e-mail ou utilize programas para interceptac o de tr algu em tenha acesso a a afego o 3.4 do Cap (mais detalhes na Sec a tulo Ataques na Internet); o que voc procure cadastrar um e-mail de recuperac a e acesse regularmente, para n ao esquecer a senha desta conta tamb em; procure n ao depender de programas gerenciadores de senhas para acessar o e-mail de recupe o (caso voc rac a e esquec a sua chave mestra ou, por algum outro motivo, n ao tenha mais acesso ` s suas senhas, o acesso ao e-mail de recuperac o pode ser a u nica forma de restabelecer os a a acessos perdidos); o ao cadastrar o e-mail de recuperac o para n preste muita atenc a a ao digitar um enderec o que seja inv alido ou pertencente a outra pessoa. Para evitar isto, muitos sites enviam uma mensagem de o assim que o cadastro e realizado. Tenha certeza de receb conrmac a e-la e de que as eventuais es de vericac o tenham sido executadas. instruc o a
9. Criptograa
A criptograa, considerada como a ci encia e a arte de escrever mensagens em forma cifrada ou um dos principais mecanismos de seguranc em c odigo, e a que voc e pode usar para se proteger dos riscos associados ao uso da Internet. A primeira vista ela at e pode parecer complicada, mas para usufruir dos benef cios que proporciona voc e n ao precisa estud a-la profundamente e nem ser nenhum matem atico experiente. Atualmente, ` grande maioria dos sistemas opea criptograa j a est a integrada ou pode ser facilmente adicionada a o de algumas congurac es ou racionais e aplicativos e para us a-la, muitas vezes, basta a realizac a o cliques de mouse. Por meio do uso da criptograa voc e pode: proteger os dados sigilosos armazenados em seu computador, como o seu arquivo de senhas e o de Imposto de Renda; a sua declarac a rea (partic o) espec es que forem criar uma a a ca no seu computador, na qual todas as informac o l a gravadas ser ao automaticamente criptografadas; reas de proteger seus backups contra acesso indevido, principalmente aqueles enviados para a armazenamento externo de m dias; es realizadas pela Internet, como os e-mails enviados/recebidos e as proteger as comunicac o es banc transac o arias e comerciais realizadas. es s imporNas pr oximas sec o ao apresentados alguns conceitos de criptograa. Antes, por em, e tante que voc e se familiarize com alguns termos geralmente usados e que s ao mostrados na Tabela 9.1.
67
68
Termo Texto claro Texto codicado (cifrado) Codicar (cifrar) Decodicar (decifrar) M etodo criptogr aco Chave o Canal de comunicac a Remetente Destinat ario

Signicado o leg Informac a vel (original) que ser a protegida, ou seja, que ser a codicada o de um texto claro Texto ileg vel, gerado pela codicac a Ato de transformar um texto claro em um texto codicado Ato de transformar um texto codicado em um texto claro es Conjunto de programas respons avel por codicar e decodicar informac o utilizada como elemento secreto pelos m Similar a uma senha, e etodos crip geralmente medido em quantidade de bits togr acos. Seu tamanho e es Meio utilizado para a troca de informac o o Pessoa ou servic o que envia a informac a o Pessoa ou servic o que recebe a informac a
es via Internet. Tabela 9.1: Termos empregados em criptograa e comunicac o
9.1
Criptograa de chave sim etrica e de chaves assim etricas
De acordo com o tipo de chave usada, os m etodos criptogr acos podem ser subdivididos em duas grandes categorias: criptograa de chave sim etrica e criptograa de chaves assim etricas. nica, utiCriptograa de chave sim etrica: tamb em chamada de criptograa de chave secreta ou u es, sendo usada liza uma mesma chave tanto para codicar como para decodicar informac o principalmente para garantir a condencialidade dos dados. o e codicada e decodicada por uma mesma pessoa n Casos nos quais a informac a ao h a ne es envolvem cessidade de compartilhamento da chave secreta. Entretanto, quando estas operac o necess pessoas ou equipamentos diferentes, e ario que a chave secreta seja previamente combi o seguro (para n nada por meio de um canal de comunicac a ao comprometer a condencialidade da chave). Exemplos de m etodos criptogr acos que usam chave sim etrica s ao: AES, Blowsh, RC4, 3DES e IDEA. Criptograa de chaves assim etricas: tamb em conhecida como criptograa de chave p ublica, utiliza duas chaves distintas: uma p ublica, que pode ser livremente divulgada, e uma privada, que deve ser mantida em segredo por seu dono. o e codicada com uma das chaves, somente a outra chave do par pode Quando uma informac a o que se deseja, se condencidecodic a-la. Qual chave usar para codicar depende da protec a o, integridade e n alidade ou autenticac a ao-rep udio. A chave privada pode ser armazenada de diferentes maneiras, como um arquivo no computador, um smartcard ou um token. Exemplos de m etodos criptogr acos que usam chaves assim etricas s ao: RSA, DSA, ECC e Dife-Hellman. a mais A criptograa de chave sim etrica, quando comparada com a de chaves assim etricas, e indicada para garantir a condencialidade de grandes volumes de dados, pois seu processamento e es, se torna complexa e mais r apido. Todavia, quando usada para o compartilhamento de informac o pouco escal avel, em virtude da: o seguro para promover o compartilhamento da chave necessidade de um canal de comunicac a secreta entre as partes (o que na Internet pode ser bastante complicado) e; diculdade de gerenciamento de grandes quantidades de chaves (imagine quantas chaves secretas seriam necess arias para voc e se comunicar com todos os seus amigos).
9. Criptograa
69
A criptograa de chaves assim etricas, apesar de possuir um processamento mais lento que a de chave sim etrica, resolve estes problemas visto que facilita o gerenciamento (pois n ao requer que se mantenha uma chave secreta com cada um que desejar se comunicar) e dispensa a necessidade de um o seguro para o compartilhamento de chaves. canal de comunicac a o uso combinado de ambos, Para aproveitar as vantagens de cada um destes m etodos, o ideal e usada para a codicac o da informac o e a criptograa onde a criptograa de chave sim etrica e a a utilizada para o compartilhamento da chave secreta (neste caso, tamb de chaves assim etricas e em o que e utilizado pelos navegadores Web e chamada de chave de sess ao). Este uso combinado e programas leitores de e-mails. Exemplos de uso deste m etodo combinado s ao: SSL, PGP e S/MIME.
9.2
o de resumo (Hash) Func a
o de resumo e um m o, Uma func a etodo criptogr aco que, quando aplicado sobre uma informac a nico e de tamanho xo, chamado hash1 . independente do tamanho que ela tenha, gera um resultado u Voc e pode utilizar hash para: vericar a integridade de um arquivo armazenado em seu computador ou em seus backups; vericar a integridade de um arquivo obtido da Internet (alguns sites, al em do arquivo em si, tamb em disponibilizam o hash correspondente, para que voc e possa vericar se o arquivo foi corretamente transmitido e gravado); o 9.3. gerar assinaturas digitais, como descrito na Sec a Para vericar a integridade de um arquivo, por exemplo, voc e pode calcular o hash dele e, quando julgar necess ario, gerar novamente este valor. Se os dois hashes forem iguais ent ao voc e pode concluir que o arquivo n ao foi alterado. Caso contr ario, este pode ser um forte ind cio de que o arquivo esteja corrompido ou que foi modicado. Exemplos de m etodos de hash s ao: SHA-1, SHA-256 e MD5.
9.3
Assinatura digital
o, ou A assinatura digital permite comprovar a autenticidade e a integridade de uma informac a seja, que ela foi realmente gerada por quem diz ter feito isto e que ela n ao foi alterada. A assinatura digital baseia-se no fato de que apenas o dono conhece a chave privada e que, se ela o, ent o foi usada para codicar uma informac a ao apenas seu dono poderia ter feito isto. A vericac a feita com o uso da chave p da assinatura e ublica, pois se o texto foi codicado com a chave privada, somente a chave p ublica correspondente pode decodic a-lo. Para contornar a baixa eci encia caracter stica da criptograa de chaves assim etricas, a codicao e feita sobre o hash e n mais r c a ao sobre o conte udo em si, pois e apido codicar o hash (que possui o toda. tamanho xo e reduzido) do que a informac a
gerado de tal forma que n poss o original hash e ao e vel realizar o processamento inverso para se obter a informac a o na informac o original produzir e que qualquer alterac a a a um hash distinto. Apesar de ser teoricamente poss vel que es diferentes gerem hashes iguais, a probabilidade disto ocorrer e bastante baixa. informac o
1O
70
9.4
Certicado digital
Como dito anteriormente, a chave p ubica pode ser livremente divulgada. Entretanto, se n ao houver como comprovar a quem ela pertence, pode ocorrer de voc e se comunicar, de forma cifrada, diretamente com um impostor. Um impostor pode criar uma chave p ublica falsa para um amigo seu e envi a-la para voc e ou dispo o para o seu amigo, voc nibiliz a-la em um reposit orio. Ao us a-la para codicar uma informac a e estar a, na verdade, codicando-a para o impostor, que possui a chave privada correspondente e conseguir a pelo uso de certicados digitais. decodicar. Uma das formas de impedir que isto ocorra e um registro eletr O certicado digital e onico composto por um conjunto de dados que distingue uma entidade e associa a ela uma chave p ublica. Ele pode ser emitido para pessoas, empresas, equipamentos ou servic os na rede (por exemplo, um site Web) e pode ser homologado para diferentes usos, como condencialidade e assinatura digital. Um certicado digital pode ser comparado a um documento de identidade, por exemplo, o seu o de quem o emitiu. No caso do passaporte, no qual constam os seus dados pessoais e a identicac a a Pol passaporte, a entidade respons avel pela emiss ao e pela veracidade dos dados e cia Federal. No uma Autoridade Certicadora (AC). caso do certicado digital esta entidade e tamb es sobre certicados que n Uma AC emissora e em respons avel por publicar informac o ao s ao informada que um certicado n mais con mais con aveis. Sempre que a AC descobre ou e ao e avel, ela o inclui em uma lista negra, chamada de Lista de Certicados Revogados (LCR) para que um arquivo eletr os usu arios possam tomar conhecimento. A LCR e onico publicado periodicamente o. pela AC, contendo o n umero de s erie dos certicados que n ao s ao mais v alidos e a data de revogac a A Figura 9.1 ilustra como os certicados digitais s ao apresentados nos navegadores Web. Note o gr que, embora os campos apresentados sejam padronizados, a representac a aca pode variar entre diferentes navegadores e sistemas operacionais. De forma geral, os dados b asicos que comp oem um certicado digital s ao: vers ao e n umero de s erie do certicado; dados que identicam a AC que emitiu o certicado; dados que identicam o dono do certicado (para quem ele foi emitido); chave p ublica do dono do certicado; v validade do certicado (quando foi emitido e at e quando e alido); o da assinatura. assinatura digital da AC emissora e dados para vericac a emitido, geralmente, por outra AC, estabelecendo uma hierarO certicado digital de uma AC e o, conforme ilustrado na quia conhecida como cadeia de certicados ou caminho de certicac a aa ncora de conanc Figura 9.2. A AC raiz, primeira autoridade da cadeia, e a para toda a hierarquia e, por n ao existir outra AC acima dela, possui um certicado autoassinado (mais detalhes a seguir). Os certicados das ACs ra zes publicamente reconhecidas j a v em inclusos, por padr ao, em grande parte dos sistemas operacionais e navegadores e s ao atualizados juntamente com os pr oprios sistemas. Al es realizadas na base de certicados dos navegadores s guns exemplos de atualizac o ao: inclus ao de o de certicados vencidos e exclus novas ACs, renovac a ao de ACs n ao mais con aveis.
9. Criptograa
71
Figura 9.1: Exemplos de certicados digitais. Alguns tipos especiais de certicado digital que voc e pode encontrar s ao: aquele no qual o dono e o emissor s Certicado autoassinado: e ao a mesma entidade. Costuma ser usado de duas formas: Leg tima: al em das ACs ra zes, certicados autoassinados tamb em costumam ser usados por es de ensino e pequenos grupos que querem prover condencialidade e integriinstituic o nus de adquirir dade nas conex oes, mas que n ao desejam (ou n ao podem) arcar com o o um certicado digital validado por uma AC comercial. Maliciosa: um atacante pode criar um certicado autoassinado e utilizar, por exemplo, mensa o 2.3 do Cap gens de phishing (mais detalhes na Sec a tulo Golpes na Internet), para induzir os usu arios a instal a-lo. A partir do momento em que o certicado for instalado no navegador, passa a ser poss vel estabelecer conex oes cifradas com sites fraudulentos, sem que ` conabilidade do certicado. o navegador emita alertas quanto a
72
Figura 9.2: Cadeia de certicados. Certicado EV SSL (Extended Validation Secure Socket Layer): certicado emitido sob um pro o do solicitante. Inclui a vericac o de que a empresa foi legalcesso mais rigoroso de validac a a mente registrada, encontra-se ativa e que det em o registro do dom nio para o qual o certicado ser a emitido, al em de dados adicionais, como o enderec o f sico. o avanc Dicas sobre como reconhecer certicados autoassinados e com validac a ada s ao apresenta o 10.1 do Cap dos na Sec a tulo Uso seguro da Internet.
9.5
Programas de criptograa
importante usar programas leitores de e-mails Para garantir a seguranc a das suas mensagens e com suporte nativo a criptograa (por exemplo, que implementam S/MIME - Secure/Multipurpose o de outros programas e complementos esInternet Mail Extensions) ou que permitam a integrac a pec cos para este m. Programas de criptograa, como o GnuPG2 , al em de poderem ser integrados aos programas lei o, tores de e-mails, tamb em podem ser usados separadamente para cifrar outros tipos de informac a como os arquivos armazenados em seu computador ou em m dias remov veis. Existem tamb em programas (nativos do sistema operacional ou adquiridos separadamente) que permitem cifrar todo o disco do computador, diret orios de arquivos e dispositivos de armazenamento es em caso de externo (como pen-drives e discos), os quais visam preservar o sigilo das informac o perda ou furto do equipamento.
O GnuPG n ao utiliza o conceito de certicados digitais emitidos por uma hierarquia estabelecida por meio do modelo conhecido como rede de de autoridades certicadoras. A conanc a nas chaves e conanc a, no qual prevalece a conanc a entre cada entidade.
2 http://www.gnupg.org/.
9. Criptograa
73
9.6
Cuidados a serem tomados
Proteja seus dados: utilize criptograa sempre que, ao enviar uma mensagem, quiser assegurar-se que somente o destinat ario possa l e-la; utilize assinaturas digitais sempre que, ao enviar uma mensagem, quiser assegurar ao destinat ario que foi voc e quem a enviou e que o conte udo n ao foi alterado; s o envie dados sens veis ap os certicar-se de que est a usando uma conex ao segura (mais deta o 10.1 do Cap lhes na Sec a tulo Uso seguro da Internet); utilize criptograa para conex ao entre seu leitor de e-mails e os servidores de e-mail do seu provedor; cifre o disco do seu computador e dispositivos remov veis, como disco externo e pen-drive. Desta forma, em caso de perda ou furto do equipamento, seus dados n ao poder ao ser indevidamente acessados; verique o hash, quando poss vel, dos arquivos obtidos pela Internet (isto permite que voc e detecte arquivos corrompidos ou que foram indevidamente alterados durante a transmiss ao). Seja cuidadoso com as suas chaves e certicados: utilize chaves de tamanho adequado. Quanto maior a chave, mais resistente ela ser a a ataques o 3.5 do Cap de forc a bruta (mais detalhes na Sec a tulo Ataques na Internet); bvias (mais detalhes na Sec o 8.2 do Cap n ao utilize chaves secretas o a tulo Contas e senhas); o; certique-se de n ao estar sendo observado ao digitar suas chaves e senhas de protec a o seguros quando compartilhar chaves secretas; utilize canais de comunicac a o, como por exemplo senha, armazene suas chaves privadas com algum mecanismo de protec a para evitar que outra pessoa fac a uso indevido delas; preserve suas chaves. Procure fazer backups e mantenha-os em local seguro (se voc e perder uma chave secreta ou privada, n ao poder a decifrar as mensagens que dependiam de tais chaves); tenha muito cuidado ao armazenar e utilizar suas chaves em computadores potencialmente infectados ou comprometidos, como em LAN houses, cybercafes, stands de eventos, etc; ` sua chave privada (por exemplo, porque perdeu o se suspeitar que outra pessoa teve acesso a dispositivo em que ela estava armazenada ou porque algu em acessou indevidamente o compu o do certicado junto a ` AC tador onde ela estava guardada), solicite imediatamente a revogac a emissora.
74
Seja cuidadoso ao aceitar um certicado digital: mantenha seu sistema operacional e navegadores Web atualizados (al em disto contribuir para a seguranc a geral do seu computador, tamb em serve para manter as cadeias de certicados sempre atualizadas); mantenha seu computador com a data correta. Al em de outros benef cios, isto impede que certicados v alidos sejam considerados n ao con aveis e, de forma contr aria, que certicados n ao con aveis sejam considerados v alidos (mais detalhes no Cap tulo Seguranc a de computadores); o ao acessar um site Web, observe os s mbolos indicativos de conex ao segura e leia com atenc a o 10.1 do Cap eventuais alertas exibidos pelo navegador (mais detalhes na Sec a tulo Uso seguro da Internet); o caso o navegador n ao reconhec a o certicado como con avel, apenas prossiga com a navegac a o e da integridade do certicado, pois, do contr se tiver certeza da idoneidade da instituic a ario, poder a estar aceitando um certicado falso, criado especicamente para cometer fraudes (deta o 10.1.2 do Cap lhes sobre como fazer isto na Sec a tulo Uso seguro da Internet).
10. Uso seguro da Internet
A Internet traz in umeras possibilidades de uso, por em para aproveitar cada uma delas de forma importante que alguns cuidados sejam tomados. Al es segura e em disto, como grande parte das ac o igualmente importante que voc realizadas na Internet ocorrem por interm edio de navegadores Web e e saiba reconhecer os tipos de conex oes existentes e vericar a conabilidade dos certicados digitais o 10.1). antes de aceit a-los (detalhes sobre como fazer isto s ao apresentados na Sec a Alguns dos principais usos e cuidados que voc e deve ter ao utilizar a Internet s ao: Ao usar navegadores Web: es aplicadas; mantenha-o atualizado, com a vers ao mais recente e com todas as atualizac o es, tanto dele pr congure-o para vericar automaticamente atualizac o oprio como de complementos que estejam instalados; o de programas Java e JavaScript, por permita a execuc a em assegure-se de utilizar complementos, como o NoScript (dispon vel para alguns navegadores), para liberar gradualmente a o, conforme necess o 6.2 do execuc a ario, e apenas em sites con aveis (mais detalhes na Sec a Cap tulo Outros riscos);
75
76
permita que programas ActiveX sejam executados apenas quando vierem de sites conhecidos e o 6.2, do Cap con aveis (mais detalhes tamb em na Sec a tulo Outros riscos); o 6.1 do seja cuidadoso ao usar cookies caso deseje ter mais privacidade (mais detalhes na Sec a Cap tulo Outros riscos); caso opte por permitir que o navegador grave as suas senhas, tenha certeza de cadastrar uma o 8.4, do Cap chave mestra e de jamais esquec e-la (mais detalhes na Sec a tulo Contas e senhas); mantenha seu computador seguro (mais detalhes no Cap tulo Seguranc a de computadores). Ao usar programas leitores de e-mails: es aplicadas; mantenha-o atualizado, com a vers ao mais recente e com as todas atualizac o es, tanto dele pr congure-o para vericar automaticamente atualizac o oprio como de complementos que estejam instalados; o no formato HTML); n ao utilize-o como navegador Web (desligue o modo de visualizac a o 6.1 do seja cuidadoso ao usar cookies caso deseje ter mais privacidade (mais detalhes na Sec a Cap tulo Outros riscos); seja cuidadoso ao clicar em links presentes em e-mails (se voc e realmente quiser acessar a p agina do link, digite o enderec o diretamente no seu navegador Web); ` mensagem mesmo que tenham sido enviados por pessoas ou descone de arquivos anexados a es conhecidas (o enderec instituic o o do remetente pode ter sido falsicado e o arquivo anexo pode estar infectado); ` mensagem tenha certeza de que ele n antes de abrir um arquivo anexado a ao apresenta riscos, vericando-o com ferramentas antimalware; verique se seu sistema operacional est a congurado para mostrar a extens ao dos arquivos anexados; es que permitem abrir ou executar automaticamente arquivos ou programas desligue as opc o ` s mensagens; anexados a es de execuc o de JavaScript e de programas Java; desligue as opc o a es para marcar mensagens suspeitas de serem fraude; habilite, se poss vel, opc o use sempre criptograa para conex ao entre seu leitor de e-mails e os servidores de e-mail do seu provedor; mantenha seu computador seguro (mais detalhes no Cap tulo Seguranc a de computadores). Ao acessar Webmails: seja cuidadoso ao acessar a p agina de seu Webmail para n ao ser v tima de phishing. Digite a URL diretamente no navegador e tenha cuidado ao clicar em links recebidos por meio de o 2.3 do Cap mensagens eletr onicas (mais detalhes na Sec a tulo Golpes na Internet);
77
n ao utilize um site de busca para acessar seu Webmail (n ao h a necessidade disto, j a que URLs deste tipo s ao, geralmente, bastante conhecidas); seja cuidadoso ao elaborar sua senha de acesso ao Webmail para evitar que ela seja descoberta o 8.2 do Cap por meio de ataques de forc a bruta (mais detalhes na Sec a tulo Contas e senhas); es de recuperac o de senha, como um enderec congure opc o a o de e-mail alternativo, uma o 8.5 do Cap quest ao de seguranc a e um n umero de telefone celular (mais detalhes na Sec a tulo Contas e senhas); evite acessar seu Webmail em computadores de terceiros e, caso seja realmente necess ario, o an o 12.3 do Cap ative o modo de navegac a onima (mais detalhes na Sec a tulo Seguranc a de computadores); certique-se de utilizar conex oes seguras sempre que acessar seu Webmail, especialmente ao usar redes Wi-Fi p ublicas. Se poss vel congure para que, por padr ao, sempre seja utilizada conex ao via https (mais detalhes na Sec ao 10.1); mantenha seu computador seguro (mais detalhes no Cap tulo Seguranc a de computadores). es banc Ao efetuar transac o arias e acessar sites de Internet Banking: o de conex es certique-se da proced encia do site e da utilizac a oes seguras ao realizar transac o o 10.1); banc arias via Web (mais detalhes na Sec a es banc somente acesse sites de instituic o arias digitando o enderec o diretamente no navegador Web, nunca clicando em um link existente em uma p agina ou em uma mensagem; n ao utilize um site de busca para acessar o site do seu banco (n ao h a necessidade disto, j a que URLs deste tipo s ao, geralmente, bastante conhecidas); o do seu cart ao acessar seu banco, fornec a apenas uma posic a ao de seguranc a (descone caso, o); em um mesmo acesso, seja solicitada mais de uma posic a n ao fornec a senhas ou dados pessoais a terceiros, especialmente por telefone; es banc o, princi desconsidere mensagens de instituic o arias com as quais voc e n ao tenha relac a o de m palmente aquelas que solicitem dados pessoais ou a instalac a odulos de seguranc a; sempre que car em d uvida, entre em contato com a central de relacionamento do seu banco ou diretamente com o seu gerente; es banc n ao realize transac o arias por meio de computadores de terceiros ou redes Wi-Fi p ublicas; verique periodicamente o extrato da sua conta banc aria e do seu cart ao de cr edito e, caso detecte algum lanc amento suspeito, entre em contato imediatamente com o seu banco ou com a operadora do seu cart ao; antes de instalar um m odulo de seguranc a, de qualquer Internet Banking, certique-se de que o realmente a instituic o em quest autor m odulo e a ao; mantenha seu computador seguro (mais detalhes no Cap tulo Seguranc a de computadores).
78
es comerciais e acessar sites de com Ao efetuar transac o ercio eletr onico: o de conex certique-se da proced encia do site e da utilizac a oes seguras ao realizar compras e o 10.1); pagamentos via Web (mais detalhes na Sec a somente acesse sites de com ercio eletr onico digitando o enderec o diretamente no navegador Web, nunca clicando em um link existente em uma p agina ou em uma mensagem; n ao utilize um site de busca para acessar o site de com ercio eletr onico que voc e costuma acessar (n ao h a necessidade disto, j a que URLs deste tipo s ao, geralmente, bastante conhecidas); pesquise na Internet refer encias sobre o site antes de efetuar uma compra; descone de prec os muito abaixo dos praticados no mercado; n ao realize compras ou pagamentos por meio de computadores de terceiros ou redes Wi-Fi p ublicas; sempre que car em d uvida, entre em contato com a central de relacionamento da empresa onde est a fazendo a compra; verique periodicamente o extrato da sua conta banc aria e do seu cart ao de cr edito e, caso detecte algum lanc amento suspeito, entre em contato imediatamente com o seu banco ou com a operadora do seu cart ao de cr edito; ao efetuar o pagamento de uma compra, nunca fornec a dados de cart ao de cr edito em sites sem conex ao segura ou em e-mails n ao criptografados; mantenha seu computador seguro (mais detalhes no Cap tulo Seguranc a de computadores).
10.1
Seguranc a em conex oes Web
muito prov Ao navegar na Internet, e avel que a grande maioria dos acessos que voc e realiza n ao es sigilosas, como quando voc envolva o tr afego de informac o e acessa sites de pesquisa ou de not cias. es trafegam em texto Esses acessos s ao geralmente realizados pelo protocolo HTTP, onde as informac o claro, ou seja, sem o uso de criptograa. O protocolo HTTP, al em de n ao oferecer criptograa, tamb em n ao garante que os dados n ao possam ser interceptados, coletados, modicados ou retransmitidos e nem que voc e esteja se comuni indicado para transmiss cando exatamente com o site desejado. Por estas caracter sticas, ele n ao e oes es sigilosas, como senhas, n que envolvem informac o umeros de cart ao de cr edito e dados banc arios, e deve ser substitu do pelo HTTPS, que oferece conex oes seguras. O protocolo HTTPS utiliza certicados digitais para assegurar a identidade, tanto do site de destino como a sua pr opria, caso voc e possua um. Tamb em utiliza m etodos criptogr acos e outros protocolos, como o SSL (Secure Sockets Layer) e o TLS (Transport Layer Security), para assegurar es. a condencialidade e a integridade das informac o es sigilosas, e importante certicarSempre que um acesso envolver a transmiss ao de informac o se do uso de conex oes seguras. Para isso, voc e deve saber como identicar o tipo de conex ao sendo
79
o, para que realizada pelo seu navegador Web e car atento aos alertas apresentados durante a navegac a possa, se necess ario, tomar decis oes apropriadas. Dicas para ajud a-lo nestas tarefas s ao apresentadas es 10.1.1 e 10.1.2. nas Sec o
10.1.1
Tipos de conex ao
o do tipo de conex Para facilitar a identicac a ao em uso voc e pode buscar aux lio dos mecanismos 1 gr acos dispon veis nos navegadores Web mais usados atualmente. Estes mecanismos, apesar de poderem variar de acordo com o fabricante de cada navegador, do sistema operacional e da vers ao em uso, servem como um forte ind cio do tipo de conex ao sendo usada e podem orient a-lo a tomar decis oes corretas. De maneira geral, voc e vai se deparar com os seguintes tipos de conex oes: a usada na maioria dos acessos realizados. N Conex ao padr ao: e ao prov e requisitos de seguranc a. Alguns indicadores deste tipo de conex ao, ilustrados na Figura 10.1, s ao: o enderec o do site comec a com http://; em alguns navegadores, o tipo de protocolo usado (HTTP), por ser o padr ao das conex oes, pode ser omitido na barra de enderec os; apresentado pr ` barra de enderec um s mbolo do site (logotipo) e oximo a o e, ao passar o poss mouse sobre ele, n ao e vel obter detalhes sobre a identidade do site.
Figura 10.1: Conex ao n ao segura em diversos navegadores. a que deve ser utilizada quando dados sens Conex ao segura: e veis s ao transmitidos, geralmente o, usada para acesso a sites de Internet Banking e de com ercio eletr onico. Prov e autenticac a integridade e condencialidade, como requisitos de seguranc a. Alguns indicadores deste tipo de conex ao, ilustrados na Figura 10.2, s ao: o enderec o do site comec a com https://; mostrado na barra de enderec o desenho de um cadeado fechado e o e, ao clicar sobre ele, detalhes sobre a conex ao e sobre o certicado digital em uso s ao exibidos; mostrado ao lado um recorte colorido (branco ou azul) com o nome do dom nio do site e ` direita) e, ao passar o mouse ou clicar sobre ele, s da barra de enderec o (` a esquerda ou a ao 2 exibidos detalhes sobre conex ao e certicado digital em uso .
80
Figura 10.2: Conex ao segura em diversos navegadores.
Conex ao segura com EV SSL: prov e os mesmos requisitos de seguranc a que a conex ao segura an` identidade do site e de seu dono, pois terior, por em com maior grau de conabilidade quanto a o 9.4 do Cap utiliza certicados EV SSL (mais detalhes na Sec a tulo Criptograa). Al em de apresentar indicadores similares aos apresentados na conex ao segura sem o uso de EV SSL, : tamb em introduz um indicador pr oprio, ilustrado na Figura 10.3, que e colocado a barra de enderec o e/ou o recorte s ao apresentados na cor verde e no recorte e 3 o dona do site . o nome da instituic a
Figura 10.3: Conex ao segura usando EV SSL em diversos navegadores.
o de conex Outro n vel de protec a ao usada na Internet envolve o uso de certicados autoassinados o n e/ou cuja cadeia de certicac a ao foi reconhecida. Este tipo de conex ao n ao pode ser caracterizado como sendo totalmente seguro (e nem totalmente inseguro) pois, apesar de prover integridade e o, j condencialidade, n ao prov e autenticac a a que n ao h a garantias relativas ao certicado em uso. Quando voc e acessa um site utilizando o protocolo HTTPS, mas seu navegador n ao reconhece a o, ele emite avisos como os descritos na Sec o 10.1.2 e ilustrados na Figura 10.6. cadeia de certicac a a Caso voc e, apesar dos riscos, opte por aceitar o certicado, a simbologia mostrada pelo seu navegador ser a a ilustrada na Figura 10.4. Alguns indicadores deste tipo de conex ao s ao: apresentado na barra de enderec um cadeado com um X vermelho e o;
simbologia usada pelos navegadores Web pode ser diferente quando apresentada em dispositivos m oveis. azul e verde indicam que o site usa conex ao segura. Ao passo que as cores amarelo e vermelho indicam que pode haver algum tipo de problema relacionado ao certicado em uso. 3 As cores azul e branco indicam que o site possui um certicado de validac o de dom a nio (a entidade dona do site o estendida det em o direito de uso do nome de dom nio) e a cor verde indica que o site possui um certicado de validac a (a entidade dona do site det em o direito de uso do nome de dom nio em quest ao e encontra-se legalmente registrada).
2 De maneira geral, as cores branco, 1A
81
o do protocolo https e apresentado em vermelho e riscado; a identicac a a barra de enderec o muda de cor, cando totalmente vermelha; apresentado na barra de enderec um indicativo de erro do certicado e o; o (dona do certicado) e um recorte colorido com o nome do dom nio do site ou da instituic a informado que uma mostrado ao lado da barra de enderec o e, ao passar o mouse sobre ele, e o foi adicionada. excec a
o n Figura 10.4: Conex ao HTTPS com cadeia de certicac a ao reconhecida. Certos sites fazem uso combinado, na mesma p agina Web, de conex ao segura e n ao segura. Neste caso, pode ser que o cadeado desaparec a, que seja exibido um cone modicado (por exemplo, um es sobre o site deixe de ser exibido cadeado com tri angulo amarelo), que o recorte contendo informac o ou ainda haja mudanc a de cor na barra de enderec o, como ilustrado na Figura 10.5.
Figura 10.5: Uso combinado de conex ao segura e n ao segura. Mais detalhes sobre como reconhecer o tipo de conex ao em uso podem ser obtidos em: Chrome - Como funcionam os indicadores de seguranc a do website (em portugu es) http://support.google.com/chrome/bin/answer.py?hl=pt-BR&answer=95617 Mozilla Firefox - How do I tell if my connection to a website is secure? (em ingl es) http://support.mozilla.org/en-US/kb/Site Identity Button es online seguras (em portugu Internet Explorer - Dicas para fazer transac o es) http://windows.microsoft.com/pt-BR/windows7/Tips-for-making-secure-onlinetransaction-in-Internet-Explorer-9 Safari - Using encryption and secure connections (em ingl es) http://support.apple.com/kb/HT2573
82
10.1.2
con Como vericar se um certicado digital e avel
con necess Para saber se um certicado e avel, e ario observar alguns requisitos, dentre eles: se o certicado foi emitido por uma AC con avel (pertence a uma cadeia de conanc a reconhecida); se o certicado est a dentro do prazo de validade; se o certicado n ao foi revogado pela AC emissora; se o dono do certicado confere com a entidade com a qual est a se comunicando (por exemplo: o nome do site). Quando voc e tenta acessar um site utilizando conex ao segura, normalmente seu navegador j a es. Caso alguma delas falhe, o navegador emite alertas semelhantes aos realiza todas estas vericac o mostrados na Figura 10.6.
Figura 10.6: Alerta de certicado n ao con avel em diversos navegadores.
83
es como: Em geral, alertas s ao emitidos em situac o o certicado est a fora do prazo de validade; o (dentre as possibilidades, o certicado o navegador n ao identicou a cadeia de certicac a pode pertencer a uma cadeia n ao reconhecida, ser autoassinado ou o navegador pode estar desatualizado e n ao conter certicados mais recentes de ACs); o enderec o do site n ao confere com o descrito no certicado; o certicado foi revogado. Ao receber os alertas do seu navegador voc e pode optar por: o: dependendo do navegador, ao selecionar esta opc o voc Desistir da navegac a a e ser a redirecionado para uma p agina padr ao ou a janela do navegador ser a fechada. o, detalhes t Solicitar detalhes sobre o problema: ao selecionar esta opc a ecnicos ser ao mostrados e o selecionar. voc e pode us a-los para compreender o motivo do alerta e decidir qual opc a o, a p Aceitar os riscos: caso voc e, mesmo ciente dos riscos, selecione esta opc a agina desejada ser a o de visualizar o certicado apresentada e, dependendo do navegador, voc e ainda ter a a opc a o (permanente ou tempor antes de efetivamente aceit a-lo e de adicionar uma excec a aria). o, e importante que, antes de enviar Caso voc e opte por aceitar os riscos e adicionar uma excec a qualquer dado condencial, verique o conte udo do certicado e observe: o apresentado no certicado e realmente da instituic o que voc se o nome da instituic a a e deseja um forte ind acessar. Caso n ao seja, este e cio de certicado falso; es de dono do certicado e da AC emissora s um se as identicac o ao iguais. Caso sejam, este e es nanceiras forte ind cio de que se trata de um certicado autoassinado. Observe que instituic o e de com ercio eletr onico s erias dicilmente usam certicados deste tipo; se o certicado encontra-se dentro do prazo de validade. Caso n ao esteja, provavelmente o certicado est a expirado ou a data do seu computador n ao est a corretamente congurada. De qualquer modo, caso voc e receba um certicado desconhecido ao acessar um site e tenha o para o site antes de entrar em contato alguma d uvida ou desconanc a, n ao envie qualquer informac a com a instituic ao que o mant em para esclarecer o ocorrido.
11. Privacidade
Nada impede que voc e abdique de sua privacidade e, de livre e espont anea vontade, divulgue es sobre voc es em que, mesmo que voc informac o e. Entretanto, h a situac o e queira manter a sua privacidade, ela pode ser exposta independente da sua vontade, por exemplo quando: es sobre voc outras pessoas divulgam informac o e ou imagens onde voc e est a presente, sem a o pr sua autorizac a evia; es que trafegam na rede sem estarem criptografadas, algu em, indevidamente, coleta informac o o 3.4 do como o conte udo dos e-mails enviados e recebidos por voc e (mais detalhes na Sec a Cap tulo Ataques na Internet); um atacante ou um c odigo malicioso obt em acesso aos dados que voc e digita ou que est ao armazenados em seu computador (mais detalhes no Cap tulo C odigos maliciosos (Malware)); es restritas; um atacante invade a sua conta de e-mail ou de sua rede social e acessa informac o um atacante invade um computador no qual seus dados est ao armazenados como, por exemplo, 1 um servidor de e-mails ;
tico entre administradores de redes e provedores de nunca lerem a caixa postal de existe um consenso e um usu ario sem o seu consentimento.
1 Normalmente
85
86
o s seus h abitos e suas prefer encias de navegac a ao coletadas pelos sites que voc e acessa e repas o 6.1 do Cap sadas para terceiros (mais detalhes na Sec a tulo Outros riscos). Para tentar proteger a sua privacidade na Internet h a alguns cuidados que voc e deve tomar, como: Ao acessar e armazenar seus e-mails: congure seu programa leitor de e-mails para n ao abrir imagens que n ao estejam na pr opria mensagem (o fato da imagem ser acessada pode ser usado para conrmar que o e-mail foi lido); utilize programas leitores de e-mails que permitam que as mensagens sejam criptografadas, de modo que apenas possam ser lidas por quem conseguir decodic a-las; armazene e-mails condenciais em formato criptografado para evitar que sejam lidos por ata o de c cantes ou pela ac a odigos maliciosos (voc e pode decodic a-los sempre que desejar l e-los); utilize conex ao segura sempre que estiver acessando seus e-mails por meio de navegadores Web, para evitar que eles sejam interceptados; utilize criptograa para conex ao entre seu leitor de e-mails e os servidores de e-mail do seu provedor; seja cuidadoso ao usar computadores de terceiros ou potencialmente infectados, para evitar que suas senhas sejam obtidas e seus e-mails indevidamente acessados; seja cuidadoso ao acessar seu Webmail, digite a URL diretamente no navegador e tenha cuidado ao clicar em links recebidos por meio de mensagens eletr onicas; mantenha seu computador seguro (mais detalhes no Cap tulo Seguranc a de computadores). Ao navegar na Web: seja cuidadoso ao usar cookies, pois eles podem ser usados para rastrear e manter as suas pre o, as quais podem ser compartilhadas entre diversos sites (mais detalhes fer encias de navegac a o 6.1 do Cap na Sec a tulo Outros riscos); o an es dis utilize, quando dispon vel, navegac a onima, por meio de anonymizers ou de opc o ponibilizadas pelos navegadores Web (chamadas de privativa ou InPrivate). Ao fazer isto, es, como cookies, sites acessados e dados de formul informac o arios, n ao s ao gravadas pelo navegador Web; es que indiquem aos sites que voc utilize, quando dispon vel, opc o e n ao deseja ser rastreado es de privacidade que permitem (Do Not Track). Alguns navegadores oferecem congurac o es que possam afetar sua privacidade que voc e informe aos sites que n ao deseja que informac o sejam coletadas2 ; o contra rastreamento, que permitem que voc utilize, quando dispon vel, listas de protec a e libere ou bloqueie os sites que podem rastre a-lo; mantenha seu computador seguro (mais detalhes no Cap tulo Seguranc a de computadores).
es. Al o momento de escrita desta Cartilha, n ao existe um consenso sobre quais s ao essas informac o em disto, as es de rastreamento servem como um indicativo ao sites Web e n congurac o ao h a nada que os obrigue a respeit a-las.
2 At e
11. Privacidade
87
es na Web: Ao divulgar informac o es divulgadas em sua p esteja atento e avalie com cuidado as informac o agina Web ou blog, pois elas podem n ao s o ser usadas por algu em mal-intencionado, por exemplo, em um golpe de engenharia social, mas tamb em para atentar contra a seguranc a do seu computador, ou mesmo contra a sua seguranc a f sica; es, tanto sobre voc procure divulgar a menor quantidade poss vel de informac o e como sobre seus amigos e familiares, e tente orient a-los a fazer o mesmo; sempre que algu em solicitar dados sobre voc e ou quando preencher algum cadastro, reita se e ` quelas informac es; realmente necess ario que aquela empresa ou pessoa tenha acesso a o ao receber ofertas de emprego pela Internet, que solicitem o seu curr culo, tente limitar a quan es nele disponibilizada e apenas fornec tidade de informac o a mais dados quando estiver seguro de que a empresa e a oferta s ao leg timas; es telef que atento a ligac o onicas e e-mails pelos quais algu em, geralmente falando em nome o, solicita informac es pessoais sobre voc de alguma instituic a o e, inclusive senhas; es em redes sociais, principalmente aquelas envolvendo seja cuidadoso ao divulgar informac o o geogr poss a sua localizac a aca pois, com base nela, e vel descobrir a sua rotina, deduzir es (como h informac o abitos e classe nanceira) e tentar prever os pr oximos passos seus ou de o 11.1). seus familiares (mais detalhes na Sec a
11.1
Redes sociais
As redes sociais permitem que os usu arios criem pers e os utili es e se zem para se conectar a outros usu arios, compartilhar informac o agrupar de acordo com interesses em comum. Alguns exemplos s ao: Facebook, Orkut, Twitter, Linkedin, Google+ e foursquare. As redes sociais, atualmente, j a fazem parte do cotidiano de grande parte do usu arios da Internet, que as utilizam para se informar sobre os assuntos do momento e para saber o que seus amigos e dolos est ao fazendo, o que est ao pensando e onde est ao. Tamb em s ao usadas para outros ns, como o de candidatos para vagas de emprego, pesquisas de opini es sociais. selec a ao e mobilizac o As redes sociais possuem algumas caracter sticas pr oprias que as diferenciam de outros meios o, como a velocidade com que as informac es se propagam, a grande quantidade de de comunicac a o es pessoais que elas disponibilizam. pessoas que elas conseguem atingir e a riqueza de informac o Essas caracter sticas, somadas ao alto grau de conanc a que os usu arios costumam depositar entre si, o, tamb fez com que as redes sociais chamassem a atenc a em, de pessoas mal-intencionadas. Alguns dos principais riscos relacionados ao uso de redes sociais s ao: Contato com pessoas mal-intencionadas: qualquer pessoa pode criar um perl falso, tentando se passar por uma pessoa conhecida e, sem que saiba, voc e pode ter na sua rede (lista) de contatos pessoas com as quais jamais se relacionaria no dia a dia.
88
Furto de identidade: assim como voc e pode ter um impostor na sua lista de contatos, tamb em pode es acontecer de algu em tentar se passar por voc e e criar um perl falso. Quanto mais informac o voc e divulga, mais convincente o seu perl falso poder a ser e maiores ser ao as chances de seus amigos acreditarem que est ao realmente se relacionando com voc e. Invas ao de perl: por meio de ataques de forc a bruta, do acesso a p aginas falsas ou do uso de computadores infectados, voc e pode ter o seu perl invadido. Atacantes costumam fazer isto para, al em de furtar a sua identidade, explorar a conanc a que a sua rede de contatos deposita em voc e e us a-la para o envio de spam e c odigos maliciosos. es: as informac es que voc Uso indevido de informac o o e divulga, al em de poderem ser usadas para o de perl falso, tamb a criac a em podem ser usadas em ataques de forc a bruta, em golpes de o de senhas. engenharia social e para responder quest oes de seguranc a usadas para recuperac a o n Invas ao de privacidade: quanto maior a sua rede de contatos, maior e umero de pessoas que es n possui acesso ao que voc e divulga, e menores s ao as garantias de que suas informac o ao ser ao repassadas. Al em disso, n ao h a como controlar o que os outros divulgam sobre voc e. es: h Vazamento de informac o a diversos casos de empresas que tiveram o conte udo de reuni oes e detalhes t ecnicos de novos produtos divulgados na Internet e que, por isto, foram obrigadas a rever pol ticas e antecipar, adiar ou cancelar decis oes. o de informac es condenciais: em uma troca amig Disponibilizac a o avel de mensagens voc e pode ser persuadido a fornecer seu e-mail, telefone, enderec o, senhas, n umero do cart ao de cr edito, etc. As consequ encias podem ser desde o recebimento de mensagens indesej aveis at e a utiliza o do n c a umero de seu cart ao de cr edito para fazer compras em seu nome. Recebimento de mensagens maliciosas: algu em pode lhe enviar um arquivo contendo c odigos maliciosos ou induzi-lo a clicar em um link que o levar a a uma p agina Web comprometida. Acesso a conteudos impr oprios ou ofensivos: como n ao h a um controle imediato sobre o que as pessoas divulgam, pode ocorrer de voc e se deparar com mensagens ou imagens que contenham dio e o racismo. pornograa, viol encia ou que incitem o o ` imagem e a ` reputac o: cal o podem rapidamente se propagar, jamais serem Danos a a unia e difamac a ` s pessoas envolvidas, colocando em risco a vida prossiexclu das e causarem grandes danos a onal e trazendo problemas familiares, psicol ogicos e de conv vio social. Tamb em podem fazer com que empresas percam clientes e tenham preju zos nanceiros. o podem ser usados por criminosos para descobrir a sua rotina e Sequestro: dados de localizac a planejar o melhor hor ario e local para abord a-lo. Por exemplo: se voc e zer check-in (se registrar no sistema) ao chegar em um cinema, um sequestrador pode deduzir que voc e car a o m por l a cerca de 2 horas (durac a edia de um lme) e ter a este tempo para se deslocar e programar o sequestro. Furto de bens: quando voc e divulga que estar a ausente por um determinado per odo de tempo para o pode ser usada por ladr curtir as suas merecidas f erias, esta informac a oes para saber quando e por quanto tempo a sua resid encia car a vazia. Ao retornar, voc e pode ter a infeliz surpresa de descobrir que seus bens foram furtados.
11. Privacidade
89
A seguir, observe alguns cuidados que voc e deve ter ao usar as redes sociais. Preserve a sua privacidade: considere que voc e est a em um local p ublico, que tudo que voc e divulga pode ser lido ou acessado por qualquer pessoa, tanto agora como futuramente; pense bem antes de divulgar algo, pois n ao h a possibilidade de arrependimento. Uma frase ou imagem fora de contexto pode ser mal-interpretada e causar mal-entendidos. Ap os uma o ou imagem se propagar, dicilmente ela poder informac a a ser totalmente exclu da; es de privacidade oferecidas pelos sites e procure ser o mais restritivo poss use as opc o vel es costumam vir, por padr (algumas opc o ao, conguradas como p ublicas e devem ser alteradas); mantenha seu perl e seus dados privados, permitindo o acesso somente a pessoas ou grupos espec cos; procure restringir quem pode ter acesso ao seu enderec o de e-mail, pois muitos spammers utilizam esses dados para alimentar listas de envio de spam; seja seletivo ao aceitar seus contatos, pois quanto maior for a sua rede, maior ser a o n umero ` s suas informac es. Aceite convites de pessoas que voc de pessoas com acesso a o e realmente es que costuma divulgar; conhec a e para quem contaria as informac o n ao acredite em tudo que voc e l e. Nunca repasse mensagens que possam gerar p anico ou afetar o; outras pessoas, sem antes vericar a veracidade da informac a seja cuidadoso ao se associar a comunidades e grupos, pois por meio deles muitas vezes e es pessoais, como h poss vel deduzir informac o abitos, rotina e classe social. o: Seja cuidadoso ao fornecer a sua localizac a o; observe o fundo de imagens (como fotos e v deos), pois podem indicar a sua localizac a n ao divulgue planos de viagens e nem por quanto tempo car a ausente da sua resid encia; o, procure se registrar (fazer check-in) em locais ao usar redes sociais baseadas em geolocalizac a movimentados e nunca em locais considerados perigosos; o, procure fazer check-in quando sair do local, ao usar redes sociais baseadas em geolocalizac a ao inv es de quando chegar. Respeite a privacidade alheia: o, imagens em que outras pessoas aparec n ao divulgue, sem autorizac a am; n ao divulgue mensagens ou imagens copiadas do perl de pessoas que restrinjam o acesso; es, h seja cuidadoso ao falar sobre as ac o abitos e rotina de outras pessoas; tente imaginar como a outra pessoa se sentiria ao saber que aquilo est a se tornando p ublico.
90
Previna-se contra c odigos maliciosos e phishing: es mantenha o seu computador seguro, com os programas atualizados e com todas as atualizac o aplicadas (mais detalhes no Cap tulo Seguranc a de computadores); o, como antimalware e rewall pessoal utilize e mantenha atualizados mecanismos de protec a (mais detalhes no Cap tulo Mecanismos de seguranc a); descone de mensagens recebidas mesmo que tenham vindo de pessoas conhecidas, pois elas podem ter sido enviadas de pers falsos ou invadidos; seja cuidadoso ao acessar links reduzidos. H a sites e complementos para o seu navegador que o 7.10 do permitem que voc e expanda o link antes de clicar sobre ele (mais detalhes na Sec a Cap tulo Mecanismos de seguranc a). Proteja o seu perl: seja cuidadoso ao usar e ao elaborar as suas senhas (mais detalhes no Cap tulo Contas e senhas); es de login, pois assim ca mais f habilite, quando dispon vel, as noticac o acil perceber se outras pessoas estiverem utilizando indevidamente o seu perl; o de logout para n use sempre a opc a ao esquecer a sess ao aberta; denuncie casos de abusos, como imagens indevidas e pers falsos ou invadidos. Proteja sua vida prossional: o, procure avaliar se, de cuide da sua imagem prossional. Antes de divulgar uma informac a alguma forma, ela pode atrapalhar um processo seletivo que voc e venha a participar (muitas ` procura de informac es sobre os candidatos, antes de empresas consultam as redes sociais a o contrat a-los); verique se sua empresa possui um c odigo de conduta e procure estar ciente dele. Observe o de informac es; principalmente as regras relacionadas ao uso de recursos e divulgac a o evite divulgar detalhes sobre o seu trabalho, pois isto pode beneciar empresas concorrentes e colocar em risco o seu emprego; o, procure avaliar se, de preserve a imagem da sua empresa. Antes de divulgar uma informac a alguma forma, ela pode prejudicar a imagem e os neg ocios da empresa e, indiretamente, voc e mesmo; proteja seu emprego. Sua rede de contatos pode conter pessoas do c rculo prossional que podem n ao gostar de saber que, por exemplo, a causa do seu cansac o ou da sua aus encia e aquela festa que voc e foi e sobre a qual publicou diversas fotos; use redes sociais ou c rculos distintos para ns espec cos. Voc e pode usar, por exemplo, uma rede social para amigos e outra para assuntos prossionais ou separar seus contatos em es de acordo com os diferentes tipos diferentes grupos, de forma a tentar restringir as informac o de pessoas com os quais voc e se relaciona;
11. Privacidade
91
Proteja seus lhos: procure deixar seus lhos conscientes dos riscos envolvidos no uso das redes sociais; ` toa); procure respeitar os limites de idade estipulados pelos sites (eles n ao foram denidos a oriente seus lhos para n ao se relacionarem com estranhos e para nunca fornecerem informa es pessoais, sobre eles pr c o oprios ou sobre outros membros da fam lia; es sobre h o oriente seus lhos a n ao divulgarem informac o abitos familiares e nem de localizac a (atual ou futura); oriente seus lhos para jamais marcarem encontros com pessoas estranhas; oriente seus lhos sobre os riscos de uso da webcam e que eles nunca devem utiliz a-la para se comunicar com estranhos; procure deixar o computador usado pelos seus lhos em um local p ublico da casa (dessa forma, poss mesmo a dist ancia, e vel observar o que eles est ao fazendo e vericar o comportamento deles).
12. Seguranc a de computadores
em seu computador pessoal que a maioria dos seus dados est Muito provavelmente e a gravada e, es banc por meio dele, que voc e acessa e-mails e redes sociais e realiza transac o arias e comerciais. essencial para se proteger dos riscos envolvidos no uso da Internet. Por isto, mant e-lo seguro e Al em disto, ao manter seu computador seguro, voc e diminui as chances dele ser indevidamente o de spam, propagac o de c utilizado para atividades maliciosas, como disseminac a a odigos maliciosos o em ataques realizados via Internet. e participac a ` grande quantidade de comMuitas vezes, os atacantes est ao interessados em conseguir o acesso a es que possuem. Por isto, acreditar que seu putadores, independente de quais s ao e das congurac o computador est a protegido por n ao apresentar atrativos para um atacante pode ser um grande erro. importante que voc Para manter seu computador pessoal seguro, e e: Mantenha os programas instalados com as vers oes mais recentes: Fabricantes costumam lanc ar novas vers oes quando h a recursos a serem adicionados e vulnerabilidades a serem corrigidas. Sempre que uma nova vers ao for lanc ada, ela deve ser prontamente o de atacantes e c instalada, pois isto pode ajudar a proteger seu computador da ac a odigos maliciosos.
93
94
es para vers Al em disto, alguns fabricantes deixam de dar suporte e de desenvolver atualizac o oes antigas, o que signica que vulnerabilidades que possam vir a ser descobertas n ao ser ao corrigidas. remova programas que voc e n ao utiliza mais. Programas n ao usados tendem a ser esquecidos e a car com vers oes antigas (e potencialmente vulner aveis); remova as vers oes antigas. Existem programas que permitem que duas ou mais vers oes estejam instaladas ao mesmo tempo. Nestes casos, voc e deve manter apenas a vers ao mais recente e remover as mais antigas; es disponibilizadas tenha o h abito de vericar a exist encia de novas vers oes, por meio de opc o pelos pr oprios programas ou acessando diretamente os sites dos fabricantes. es aplicadas: Mantenha os programas instalados com todas as atualizac o Quando vulnerabilidades s ao descobertas, certos fabri es espec cantes costumam lanc ar atualizac o cas, chamadas de patches, hot xes ou service packs. Portanto, para manter os programas instalados livres de vulnerabilidades, al em importante que sejam de manter as vers oes mais recentes, e es dispon aplicadas todas as atualizac o veis. congure, quando poss vel, para que os programas sejam atualizados automaticamente; es autom programe as atualizac o aticas para serem baixadas e aplicadas em hor arios em que ` Internet. Alguns programas, por padr seu computador esteja ligado e conectado a ao, s ao con es sejam feitas de madrugada, per gurados para que as atualizac o odo no qual grande parte es que n dos computadores est a desligada (as atualizac o ao foram feitas no hor ario programado podem n ao ser feitas quando ele for novamente ligado); o autom no caso de programas que n ao possuam o recurso de atualizac a atica, ou caso voc e opte importante visitar constantemente os sites dos fabricantes para por n ao utilizar este recurso, e es; vericar a exist encia de novas atualizac o o de vulnerabilidades, como o PSI (mais detalhes na Sec o 7.10 utilize programas para vericac a a do Cap tulo Mecanismos de seguranc a), para vericar se os programas instalados em seu computador est ao atualizados. Use apenas programas originais: O uso de programas n ao originais pode colocar em risco a seguranc a do seu computador j a que o de atualizac es quando detectam vers muitos fabricantes n ao permitem a realizac a o oes n ao licencia o de programas deste tipo, obtidos de m das. Al em disto, a instalac a dias e sites n ao con aveis ou via o de c programas de compartilhamento de arquivos, pode incluir a instalac a odigos maliciosos. ao adquirir computadores com programas pr e-instalados, procure certicar-se de que eles s ao originais solicitando ao revendedor as licenc as de uso; o, n o de programas que n ao enviar seu computador para manutenc a ao permita a instalac a ao sejam originais;
95
caso deseje usar um programa propriet ario, mas n ao tenha recursos para adquirir a licenc a, procure por alternativas gratuitas ou mais baratas e que apresentem funcionalidades semelhantes as desejadas. o: Use mecanismos de protec a o, como programas antimalware O uso de mecanismos de protec a e rewall pessoal, pode contribuir para que seu computador n ao seja infectado/invadido e para que n ao participe de atividades maliciosas. utilize mecanismos de seguranc a, como os descritos no Cap tulo Mecanismos de seguranc a; mantenha seu antimalware atualizado, incluindo o arquivo de assinaturas; assegure-se de ter um rewall pessoal instalado e ativo em seu computador; crie um disco de emerg encia e o utilize quando desconar que o antimalware instalado est a desabilitado/comprometido ou que o comportamento do computador est a estranho (mais lento, gravando ou lendo o disco r gido com muita frequ encia, etc.); verique periodicamente os logs gerados pelo seu rewall pessoal, sistema operacional e antimalware (observe se h a registros que possam indicar algum problema de seguranc a). es de seguranc Use as congurac o a j a dispon veis: es de seguranc Muitos programas disponibilizam opc o a, mas que, por padr ao, v em desabilitadas ou o destas opc es pode contribuir para melhorar em n veis considerados baixos. A correta congurac a o a seguranc a geral do seu computador. es de seguranc observe as congurac o a e privacidade oferecidas pelos programas instalados em seu computador (como programas leitores de e-mails e navegadores Web) e altere-as caso n ao estejam de acordo com as suas necessidades. Seja cuidadoso ao manipular arquivos: Alguns mecanismos, como os programas antimalware, s ao importantes para proteger seu computador contra ameac as j a conhecidas, mas podem n ao servir para aquelas ainda n ao detectadas. Novos c odigos maliciosos podem surgir, a velocidades nem sempre acompanhadas pela capacidade de o dos mecanismos de seguranc t atualizac a a e, por isto, adotar uma postura preventiva e ao importante quanto as outras medidas de seguranc a aplicadas. seja cuidadoso ao clicar em links, independente de como foram recebidos e de quem os enviou; seja cuidadoso ao clicar em links curtos, procure usar complementos que possibilitem que o link de destino seja visualizado; n ao considere que mensagens vindas de conhecidos s ao sempre con aveis, pois o campo de remetente pode ter sido falsicado ou elas podem ter sido enviadas de contas falsas ou invadidas; o de arquivos anexados; desabilite, em seu seu programa leitor de e-mails, a auto-execuc a
96
o de m desabilite a auto-execuc a dias remov veis (se estiverem infectadas, elas podem comprometer o seu computador ao serem executadas); n ao abra ou execute arquivos sem antes veric a-los com seu antimalware; congure seu antimalware para vericar todos os formatos de arquivo pois, apesar de inicial o de c mente algumas extens oes terem sido mais usadas para a disseminac a odigos maliciosos, mais v atualmente isso j a n ao e alido; o padr tenha cuidado com extens oes ocultas. Alguns sistemas possuem como congurac a ao ocultar a extens ao de tipos de arquivos conhecidos. Exemplo: se um atacante renomear o arquivo exemplo.scr para exemplo.txt.scr, ao ser visualizado o nome do arquivo ser a mostrado como exemplo.txt, j a que a extens ao .scr n ao ser a mostrada. Alguns cuidados especiais para manipular arquivos contendo macros s ao: ` execuc o de macros e certique-se de associar um verique o n vel de seguranc a associado a a n vel que, no m nimo, pergunte antes de execut a-las (normalmente associado ao n vel m edio); o de macros apenas quando realmente necess permita a execuc a ario (caso n ao tenha certeza, e o); melhor n ao permitir a execuc a utilize visualizadores. Arquivos gerados, por exemplo, pelo Word, PowerPoint e Excel podem ser visualizados e impressos, sem que as macros sejam executadas, usando visualizadores gratuitos disponibilizados no site do fabricante. Proteja seus dados: , provavelmente, onde a maioria dos seus dados ca gravada. Por este O seu computador pessoal e importante que voc motivo, e e tome medidas preventivas para evitar perd e-los. fac a regularmente backup dos seus dados. Para evitar que eles sejam perdidos em caso de furto o por c ou mal-funcionamento do computador (por exemplo, invas ao, infecc a odigos maliciosos ou problemas de hardware; o 7.5 do Cap siga as dicas relacionadas a backups apresentadas na Sec a tulo Mecanismos de seguranc a. Mantenha seu computador com a data e a hora corretas: o de logs, na correlac o de incidentes de A data e a hora do seu computador s ao usadas na gerac a a o de certicados digitais (para conferir se est muito seguranc a, na vericac a ao v alidos). Portanto, e importante que tome medidas para garantir que estejam sempre corretas. observe as dicas sobre como manter a hora do seu computador sincronizado apresentadas em http://ntp.br/.
97
o de sistema: Crie um disco de recuperac a o s teis em caso de emerg es mal-sucedidas ou desDiscos de recuperac a ao u encia, como atualizac o ligamentos abruptos que tenham corrompido arquivos essenciais ao funcionamento do sistema (causado geralmente por queda de energia). Al em disso, tamb em podem socorrer caso seu computador seja infectado e o c odigo malicioso tenha apagado arquivos essenciais. Podem ser criados por meio es do sistema operacional ou de programas antimalware que oferec de opc o am esta funcionalidade. o do seu sistema e certique-se de t crie um disco de recuperac a e-lo sempre por perto, no caso de emerg encias. Seja cuidadoso ao instalar aplicativos desenvolvidos por terceiros: ao instalar plug-ins, complementos e extens oes, procure ser bastante criterioso e siga as dicas o apresentadas na Sec o 6.4 do Cap de prevenc a a tulo Outros riscos. o: Seja cuidadoso ao enviar seu computador para servic os de manutenc a procure selecionar uma empresa com boas refer encias; ` procura de opini pesquise na Internet sobre a empresa, a ao de clientes sobre ela; o de programas n n ao permita a instalac a ao originais; se poss vel, fac a backups dos seus dados antes de enviar seu computador, para n ao correr o risco o do seu computador; de perd e-los acidentalmente ou como parte do processo de manutenc a o seja feita em sua resid se poss vel, pec a que a manutenc a encia, assim ca mais f acil de acom o do servic panhar a realizac a o. Seja cuidadoso ao utilizar o computador em locais publicos: importante tomar cuidados para evitar que ele seja Quando usar seu computador em p ublico, e furtado ou indevidamente utilizado por outras pessoas. procure manter a seguranc a f sica do seu computador, utilizando travas que dicultem que ele seja aberto, que tenha pec as retiradas ou que seja furtado, como cadeados e cabos de ac o; procure manter seu computador bloqueado, para evitar que seja usado quando voc e n ao estiver por perto (isso pode ser feito utilizando protetores de tela com senha ou com programas que impedem o uso do computador caso um dispositivo espec co n ao esteja conectado); congure seu computador para solicitar senha na tela inicial (isso impede que algu em reinicie seu computador e o acesse diretamente); utilize criptograa de disco para que, em caso de perda ou furto, seus dados n ao sejam indevidamente acessados.
98
12.1
o de contas de usu Administrac a arios
A maioria dos sistemas operacionais possui 3 tipos de conta de usu ario: Administrador (administrator, admin ou root): fornece controle completo sobre o computador, devendo ser usada para atividades como criar/alterar/excluir outras contas, instalar programas de o que afetem os demais usu uso geral e alterar de congurac a arios ou o sistema operacional. Padr ao (standard, limitada ou limited): considerada de uso normal e que cont em os privil egios que a grande maioria dos usu arios necessita para realizar tarefas rotineiras, como alterar con es pessoais, navegar, ler e-mails, redigir documentos, etc. gurac o Convidado (guest): destinada aos usu arios eventuais, n ao possui senha e n ao pode ser acessada remotamente. Permite que o usu ario realize tarefas como navegar na Internet e executar programas j a instalados. Quando o usu ario que utilizou esta conta deixa de usar o sistema, todas as es e arquivos que foram criados referentes a ela s informac o ao apagados. executado, ele herda as permiss Quando um programa e oes da conta do usu ario que o execu es e acessar arquivos de acordo com estas permiss tou e pode realizar operac o oes. Se o usu ario em quest ao estiver utilizando a conta de administrador, ent ao o programa poder a executar qualquer tipo o e acessar todo tipo de arquivo. de operac a es nas quais uma conta A conta de administrador, portanto, deve ser usada apenas em situac o 1 o . E, sobretudo, pelo menor tempo padr ao n ao tenha privil egios sucientes para realizar uma operac a poss vel. Muitas pessoas, entretanto, por quest oes de comodidade ou falta de conhecimento, utilizam esta conta para realizar todo tipo de atividade. um h Utilizar nas atividades cotidianas uma conta com privil egios de administrador e abito que deve ser evitado, pois voc e pode, por exemplo, apagar acidentalmente arquivos essenciais para o funcionamento do sistema operacional ou instalar inadvertidamente um c odigo malicioso, que ter a acesso irrestrito ao seu computador. ` administrac o de contas em computadores pessoais s Alguns cuidados espec cos referentes a a ao: nunca compartilhe a senha de administrador; o de suas tarefas rotineiras; crie uma conta padr ao e a utilize para a realizac a utilize a conta de administrador apenas o m nimo necess ario; o de executar como administrador quando necessitar de privil use a opc a egios administrativos; crie tantas contas padr ao quantas forem as pessoas que utilizem o seu computador; assegure que todas as contas existentes em seu computador tenham senha; mantenha a conta de convidado sempre desabilitada (caso voc e queira utiliz a-la, libere-a pelo tempo necess ario, mas tenha certeza de novamente bloque a-la quando n ao estiver mais em uso);
o baseia-se em um princ recomendac a pio de seguranc a conhecido como privil egio m nimo e visa evitar danos por uso equivocado ou n ao autorizado.
1 Esta
99
assegure que o seu computador esteja congurado para solicitar a conta de usu ario e a senha na tela inicial; o de login (inicio de sess assegure que a opc a ao) autom atico esteja desabilitada; n ao crie e n ao permita o uso de contas compartilhadas, cada conta deve ser acessada apenas por poss es realizadas por cada um e detectar uso indevido); uma pessoa (assim e vel rastrear as ac o crie tantas contas com privil egio de administrador quantas forem as pessoas que usem o seu computador e que necessitem destes privil egios.
12.2
O que fazer se seu computador for comprometido
H a alguns ind cios que, isoladamente ou em conjunto, podem indicar que seu computador foi comprometido. Alguns deles s ao: o computador desliga sozinho e sem motivo aparente; o computador ca mais lento, tanto para ligar e desligar como para executar programas; ` Internet ca mais lento; o acesso a o acesso ao disco se torna muito frequente; janelas de pop-up aparecem de forma inesperada; mensagens de logs s ao geradas em excesso ou deixam de ser geradas; arquivos de logs s ao apagados, sem nenhum motivo aparente; es do sistema operacional ou do antimalware n atualizac o ao podem ser aplicadas. Caso perceba estes ind cios em seu computador e conclua que ele possa estar infectado ou inva importante que voc dido, e e tome medidas para tentar reverter os problemas. Para isto, os seguintes passos devem ser executados por voc e: a. Certique-se de que seu computador esteja atualizado (com a vers ao mais recente e com todas es aplicadas). Caso n as atualizac o ao esteja, atualize-o imediatamente; b. certique-se de que seu antimalware esteja sendo executado e atualizado, incluindo o arquivo de assinaturas; c. execute o antimalware, congurando-o para vericar todos os discos e analisar todas as extens oes de arquivos; d. limpe os arquivos que o antimalware detectar como infectado caso haja algum; e. caso deseje, utilize outro antimalware como, por exemplo, uma vers ao online (neste caso, o do antimalware local). certique-se de temporariamente interromper a execuc a
100
Executar estes passos, na maioria das vezes, consegue resolver grande parte dos problemas rela necess cionados a c odigos maliciosos. E ario, por em, que voc e verique se seu computador n ao foi invadido e, para isto, voc e deve seguir os seguintes passos: a. Certique-se de que seu rewall pessoal esteja ativo; b. verique os logs do seu rewall pessoal. Caso encontre algo fora do padr ao e que o fac a concluir reinstal que seu computador tenha sido invadido, o melhor a ser feito e a-lo, pois dicilmente e es do invasor; poss vel determinar com certeza as ac o c. antes de reinstal a-lo, fac a backups de logs e notique ao CERT.br sobre a ocorr encia (mais o 7.2 do Cap detalhes na Sec a tulo Mecanismos de seguranc a); es, principalmente as de seguranc d. reinstale o sistema operacional e aplique todas as atualizac o a; e. instale e atualize o seu programa antimalware; f. instale ou ative o seu rewall pessoal; g. recupere seus dados pessoais, por meio de um backup con avel. importante alterar rapidamente Independente de seu computador ter sido infectado ou invadido, e todas as senhas dos servic os que voc e costuma acessar por meio dele.
12.3
Cuidados ao usar computadores de terceiros
Ao usar outros computadores, seja de seus amigos, na sua escola, em lanhouse e cyber caf e, e necess ario que os cuidados com seguranc a sejam redobrados. Ao passo que no seu computador e poss vel tomar medidas preventivas para evitar os riscos de uso da Internet, ao usar um outro computador n ao h a como saber, com certeza, se estes mesmos cuidados est ao sendo devidamente tomados e quais as atitudes dos demais usu arios. Alguns cuidados que voc e deve ter s ao: es de navegar anonimamente, caso queria garantir sua privacidade (voc utilize opc o e pode usar es do pr opc o oprio navegador Web ou anonymizers); utilize um antimalware online para vericar se o computador est a infectado; es banc n ao efetue transac o arias ou comerciais; es como Lembre-se de mim e Continuar conectado; n ao utilize opc o n ao permita que suas senhas sejam memorizadas pelo navegador Web; o e cookies (os limpe os dados pessoais salvos pelo navegador, como hist orico de navegac a es que permitem que isto seja facilmente realizado); navegadores disponibilizam opc o assegure-se de sair (logout) de sua conta de usu ario, nos sites que voc e tenha acessado; seja cuidadoso ao conectar m dias remov veis, como pen-drives. Caso voc e use seu pen-drive no computador de outra pessoa, assegure-se de veric a-lo com seu antimalware quando for utiliz a-lo em seu computador; ao retornar ao seu computador, procure alterar as senhas que, por ventura, voc e tenha utilizado.
13. Seguranc a de redes
` Internet eram realizados por meio de conex Inicialmente, grande parte dos acessos a ao discada com velocidades que dicilmente ultrapassavam 56 Kbps. O usu ario, de posse de um modem e de uma linha telef onica, se conectava ao provedor de acesso e mantinha esta conex ao apenas pelo tempo es que dependessem da rede. necess ario para realizar as ac o Desde ent ao, grandes avanc os ocorreram e novas alternativas surgiram, sendo que atualmente ` rede pelo tempo em que estiverem ligados grande parte dos computadores pessoais cam conectados a 1 ` Internet tamb e a velocidades que podem chegar a at e 100 Mbps . Conex ao a em deixou de ser um ` recurso oferecido apenas a computadores, visto a grande quantidade de equipamentos com acesso a udio. rede, como dispositivos m oveis, TVs, eletrodom esticos e sistemas de a ` rede ele pode estar Independente do tipo de tecnologia usada, ao conectar o seu computador a sujeito a ameac as, como:
es pessoais e outros dados podem ser obtidos tanto pela interceptac o de Furto de dados: informac o a o de poss tr afego como pela explorac a veis vulnerabilidades existentes em seu computador.
1 Estes
dados baseiam-se nas tecnologias dispon veis no momento de escrita desta Cartilha.
101
102
` rede e utiUso indevido de recursos: um atacante pode ganhar acesso a um computador conectado a liz a-lo para a pr atica de atividades maliciosas, como obter arquivos, disseminar spam, propagar c odigos maliciosos, desferir ataques e esconder a real identidade do atacante. Varredura: um atacante pode fazer varreduras na rede, a m de descobrir outros computadores e, es maliciosas, como ganhar acesso e explorar vulnerabilidades (mais ent ao, tentar executar ac o o 3.2 do Cap detalhes na Sec a tulo Ataques na Internet). o de tr ` rede, pode tentar interceptar o Interceptac a afego: um atacante, que venha a ter acesso a tr afego e, ent ao, coletar dados que estejam sendo transmitidos sem o uso de criptograa (mais o 3.4 do Cap detalhes na Sec a tulo Ataques na Internet). o de vulnerabilidades: por meio da explorac o de vulnerabilidades, um computador pode Explorac a a ser infectado ou invadido e, sem que o dono saiba, participar de ataques, ter dados indevida o de c mente coletados e ser usado para a propagac a odigos maliciosos. Al em disto, equipamentos de rede (como modems e roteadores) vulner aveis tamb em podem ser invadidos, terem as es alteradas e fazerem com que as conex congurac o oes dos usu arios sejam redirecionadas para sites fraudulentos. o de servic Ataque de negac a o: um atacante pode usar a rede para enviar grande volume de mensagens para um computador, at e torn a-lo inoperante ou incapaz de se comunicar. ` rede e que usem senhas como m Ataque de forc a bruta: computadores conectados a etodo de auten o, est ticac a ao expostos a ataques de forc a bruta. Muitos computadores, infelizmente, utilizam, por padr ao, senhas de tamanho reduzido e/ou de conhecimento geral dos atacantes. o: um atacante pode introduzir ou substituir um dispositivo de rede para Ataque de personicac a induzir outros a se conectarem a este, ao inv es do dispositivo leg timo, permitindo a captura de es que por ele passem a trafegar. senhas de acesso e informac o es s Nas pr oximas sec o ao apresentados os cuidados gerais e independentes de tecnologia que voc e ` Internet, os riscos adicionais que eles podem ter ao usar redes, os tipos mais comuns de acesso a o. representar e algumas dicas de prevenc a
13.1
Cuidados gerais
Alguns cuidados que voc e deve tomar ao usar redes, independentemente da tecnologia, s ao: es mantenha seu computador atualizado, com as vers oes mais recentes e com todas as atualizac o aplicadas (mais detalhes no Cap tulo Seguranc a de computadores); utilize e mantenha atualizados mecanismos de seguranc a, como programa antimalware e rewall pessoal (mais detalhes no Cap tulo Mecanismos de seguranc a); seja cuidadoso ao elaborar e ao usar suas senhas (mais detalhes no Cap tulo Contas e senhas); o envolver dados condenciais (mais detalhes utilize conex ao segura sempre que a comunicac a o 10.1 do Cap na Sec a tulo Uso seguro da Internet); o e somente a caso seu dispositivo permita o compartilhamento de recursos, desative esta func a ative quando necess ario e usando senhas dif ceis de serem descobertas.
103
13.2
Wi-Fi
um tipo de rede local que utiliza sinais de r o. Wi-Fi (Wireless Fidelity) e adio para comunicac a o: Possui dois modos b asicos de operac a Infraestrutura: normalmente o mais encontrado, utiliza um concentrador de acesso (Access Point AP) ou um roteador wireless. Ponto a ponto (ad-hoc): permite que um pequeno grupo de m aquinas se comunique diretamente, sem a necessidade de um AP. o Redes Wi-Fi se tornaram populares pela mobilidade que oferecem e pela facilidade de instalac a e de uso em diferentes tipos de ambientes. Embora sejam bastante convenientes, h a alguns riscos que voc e deve considerar ao us a-las, como: por se comunicarem por meio de sinais de r adio, n ao h a a necessidade de acesso f sico a um ambiente restrito, como ocorre com as redes cabeadas. Devido a isto, os dados transmitidos por clientes leg timos podem ser interceptados por qualquer pessoa pr oxima com um m nimo de equipamento (por exemplo, um notebook ou tablet); o bastante simples, muitas pessoas as instalam em casa (ou mesmo em em por terem instalac a presas, sem o conhecimento dos administradores de rede), sem qualquer cuidado com congu es m rac o nimas de seguranc a, e podem vir a ser abusadas por atacantes, por meio de uso n ao autorizado ou de sequestro2 ; em uma rede Wi-Fi p ublica (como as disponibilizadas em aeroportos, hot eis e confer encias) os dados que n ao estiverem criptografados podem ser indevidamente coletados por atacantes; uma rede Wi-Fi aberta pode ser propositadamente disponibilizada por atacantes para atrair o para usu arios, a m de interceptar o tr afego (e coletar dados pessoais) ou desviar a navegac a sites falsos. Para resolver alguns destes riscos foram desenvolvidos mecanismos de seguranc a, como: considerado WEP (Wired Equivalent Privacy): primeiro mecanismo de seguranc a a ser lanc ado. E fr agil e, por isto, o uso deve ser evitado. WPA (Wi-Fi Protected Access): mecanismo desenvolvido para resolver algumas das fragilidades do o n recomendado. WEP. E vel m nimo de seguranc a que e o mecanismo mais recoWPA-2: similar ao WPA, mas com criptograa considerada mais forte. E mendado. Cuidados a serem tomados: habilite a interface de rede Wi-Fi do seu computador ou dispositivo m ovel somente quando us a-la e desabilite-a ap os o uso;
o em que um terceiro ganha acesso a ` rede e altera congurac es sequestro de rede Wi-Fi entende-se uma situac a o no AP para que somente ele consiga acess a-la.
2 Por
104
desabilite o modo ad-hoc (use-o apenas quando necess ario e desligue-o quando n ao precisar). o caso o Alguns equipamentos permitem inibir conex ao com redes ad-hoc, utilize essa func a dispositivo permita; o e criptograa entre o cliente e o AP use, quando poss vel, redes que oferecem autenticac a (evite conectar-se a redes abertas ou p ublicas, sem criptograa, especialmente as que voc e n ao conhece a origem); es, como por exemplo, PGP para o envio de e-mails, considere o uso de criptograa nas aplicac o SSH para conex oes remotas ou ainda VPNs; evite o acesso a servic os que n ao utilizem conex ao segura (https); evite usar WEP, pois ele apresenta vulnerabilidades que, quando exploradas, permitem que o mecanismo seja facilmente quebrado; use WPA2 sempre que dispon vel (caso seu dispositivo n ao tenha este recurso, utilize no m nimo WPA). Cuidados ao montar uma rede sem o dom estica: o posicione o AP longe de janelas e pr oximo ao centro de sua casa a m de reduzir a propagac a do sinal e controlar a abrang encia (conforme a pot encia da antena do AP e do posicionamento rea muito maior que apenas a da sua resid no recinto, sua rede pode abranger uma a encia e, com isto, ser acessada sem o seu conhecimento ou ter o tr afego capturado por vizinhos ou pessoas que estejam nas proximidades); es padr altere as congurac o ao que acompanham o seu AP. Alguns exemplos s ao: o do AP como de autenticac o de usu altere as senhas originais, tanto de administrac a a arios; assegure-se de utilizar senhas bem elaboradas e dif ceis de serem descobertas (mais detalhes no Cap tulo Contas e senhas); altere o SSID (Server Set IDentier); ao congurar o SSID procure n ao usar dados pessoais e nem nomes associados ao fabri o de caracter cante ou modelo, pois isto facilita a identicac a sticas t ecnicas do equipa es sejam associadas a poss mento e pode permitir que essas informac o veis vulnerabilidades existentes; desabilite a difus ao (broadcast) do SSID, evitando que o nome da rede seja anunciado para outros dispositivos; es desabilite o gerenciamento do AP via rede sem o, de tal forma que, para acessar func o o, seja necess de administrac a ario conectar-se diretamente a ele usando uma rede cabeada. Desta maneira, um poss vel atacante externo (via rede sem o) n ao ser a capaz de acessar o. o AP para promover mudanc as na congurac a n ao ative WEP, pois ele apresenta vulnerabilidades que, quando exploradas, permitem que o mecanismo seja facilmente quebrado; utilize WPA2 ou, no m nimo, WPA;
105
caso seu AP disponibilize WPS (Wi-Fi Protected Setup), desabilite-o a m de evitar acessos indevidos; desligue seu AP quando n ao usar sua rede.
13.3 Bluetooth
um padr o de dados e voz, baseado em radiofreBluetooth e ao para tecnologia de comunicac a ` conex o de redes qu encia e destinado a ao de dispositivos em curtas dist ancias, permitindo a formac a pessoais sem o. Est a dispon vel em uma extensa variedade de equipamentos, como dispositivos udio, aparelhos de GPS e monitores m oveis, videogames, mouses, teclados, impressoras, sistemas de a es tamb vasta, incluindo sincronismo de dados de frequ encia card aca. A quantidade de aplicac o em e o entre computadores e perif entre dispositivos, comunicac a ericos e transfer encia de arquivos. Embora traga muitos benef cios, o uso desta tecnologia traz tamb em riscos, visto que est a sujeita ` s v a arias ameac as que acompanham as redes em geral, como varredura, furto de dados, uso indevido o de servic o de tr de recursos, ataque de negac a o, interceptac a afego e ataque de forc a bruta. o dos atacantes, e que muitos dispositivos v Um agravante, que facilita a ac a em, por padr ao, com o bluetooth ativo. Desta forma, muitos usu arios n ao percebem que possuem este tipo de conex ao ativa e n ao se preocupam em adotar uma postura preventiva. Cuidados a serem tomados: mantenha as interfaces bluetooth inativas e somente as habilite quando zer o uso; o de visibilidade seja Oculto ou Invis congure as interfaces bluetooth para que a opc a vel, evitando que o nome do dispositivo seja anunciado publicamente. O dispositivo s o deve car rastre avel quando for necess ario autenticar-se a um novo dispositivo (pareamento); o do novo nome dados que iden altere o nome padr ao do dispositivo e evite usar na composic a tiquem o propriet ario ou caracter sticas t ecnicas do dispositivo; sempre que poss vel, altere a senha (PIN) padr ao do dispositivo e seja cuidadoso ao elaborar a nova (mais detalhes no Cap tulo Contas e senhas); evite realizar o pareamento em locais p ublicos, reduzindo as chances de ser rastreado ou interceptado por um atacante; o ou PIN (n que atento ao receber mensagens em seu dispositivo solicitando autorizac a ao res` solicitac o se n ponda a a ao tiver certeza que est a se comunicando com o dispositivo correto); es de conanc no caso de perda ou furto de um dispositivo bluetooth, remova todas as relac o a j a estabelecidas com os demais dispositivos que possui, evitando que algu em, de posse do dispositivo roubado/perdido, possa conectar-se aos demais.
106
13.4
Banda larga xa
um tipo de conex ` rede com capacidade acima daquela conseguida, usualBanda larga xa e ao a o de m mente, em conex ao discada via sistema telef onico. N ao h a uma denic a etrica de banda larga comum que conex que seja aceita por todos, mas e oes deste tipo sejam permanentes e n ao comutadas, como as discadas. Usualmente, compreende conex oes com mais de 100 Kbps, por em esse limite e muito vari avel de pa s para pa s e de servic o para servic o3 . Computadores conectados via banda larga xa, geralmente, possuem boa velocidade de conex ao, ` Internet por longos per mudam o enderec o IP com pouca frequ encia e cam conectados a odos. Por estas caracter sticas, s ao visados por atacantes para diversos prop ositos, como reposit orio de dados o de ataques de negac o de servic fraudulentos, para envio de spam e na realizac a a o. O seu equipamento de banda larga (modem ADSL, por exemplo) tamb em pode ser invadido, pela o de vulnerabilidades ou pelo uso de senhas fracas e/ou padr explorac a ao (facilmente encontradas na es, Internet). Caso um atacante tenha acesso ao seu equipamento de rede, ele pode alterar congurac o bloquear o seu acesso ou desviar suas conex oes para sites fraudulentos. Cuidados a serem tomados: altere, se poss vel, a senha padr ao do equipamento de rede (verique no contrato se isto e permitido e, caso seja, guarde a senha original e lembre-se de restaur a-la quando necess ario); desabilite o gerenciamento do equipamento de rede via Internet (WAN), de tal forma que, para es de administrac o (interfaces de congurac o), seja necess acessar func o a a ario conectar-se diretamente a ele usando a rede local (desta maneira, um poss vel atacante externo n ao ser a capaz o). de acess a-lo para promover mudanc as na congurac a
13.5
Banda Larga M ovel
` s tecnologias de acesso sem o, de longa dist A banda larga m ovel refere-se a ancia, por meio da rede de telefonia m ovel, especialmente 3G e 4G4 . Este tipo de tecnologia est a dispon vel em grande quantidade de dispositivos m oveis (como celu uma das respons o destes dispositivos e das lares, smartphones e tablets) e e aveis pela popularizac a redes sociais. Al em disto, tamb em pode ser adicionada a computadores e dispositivos m oveis que ainda n ao tenham esta capacidade, por meio do uso de modems espec cos. Assim como no caso da banda larga xa, dispositivos com suporte a este tipo de tecnologia podem ` Internet por longos per car conectados a odos e permitem que o usu ario esteja online, independente o. Por isto, s de localizac a ao bastante visados por atacantes para a pr atica de atividades maliciosas. Cuidados a serem tomados: o 13.1. aplique os cuidados b asicos de seguranc a, apresentados na Sec a
http://www.cetic.br/. ` terceira e quarta gerac es de padr e 4G correspondem, respectivamente, a o oes de telefonia m ovel denidos pela International Telecommunication Union - ITU .
4 3G 3 Fonte:
14. Seguranc a em dispositivos m oveis
Dispositivos m oveis, como tablets, smartphones, celulares e PDAs, t em se tornado cada vez mais es realizadas em computadores pessoais, como populares e capazes de executar grande parte das ac o o Web, Internet Banking e acesso a e-mails e redes sociais. Infelizmente, as semelhanc navegac a as ` s funcionalidades apresentadas, elas tamb n ao se restringem apenas a em incluem os riscos de uso que podem representar. Assim como seu computador, o seu dispositivo m ovel tamb em pode ser usado para a pr atica de o de c atividades maliciosas, como furto de dados, envio de spam e a propagac a odigos maliciosos, al em de poder fazer parte de botnets e ser usado para disparar ataques na Internet. Somadas a estes riscos, h a caracter sticas pr oprias que os dispositivos m oveis possuem que, quando abusadas, os tornam ainda mais atraentes para atacantes e pessoas mal-intencionadas, como:
es pessoais armazenadas: informac es como conte Grande quantidade de informac o o udo de mensagens SMS, lista de contatos, calend arios, hist orico de chamadas, fotos, v deos, n umeros de cart ao de cr edito e senhas costumam car armazenadas nos dispositivos m oveis.
107
108
Maior possibilidade de perda e furto: em virtude do tamanho reduzido, do alto valor que podem possuir, pelo status que podem representar e por estarem em uso constante, os dispositivos o de assaltantes. m oveis podem ser facilmente esquecidos, perdidos ou atrair a atenc a es desenvolvidas por terceiros: h es Grande quantidade de aplicac o a uma innidade de aplicac o sendo desenvolvidas, para diferentes nalidades, por diversos autores e que podem facilmente es com erros de implementac o, n ser obtidas e instaladas. Entre elas podem existir aplicac o a ao o de atividades maliciosas. con aveis ou especicamente desenvolvidas para execuc a o dos modelos: em virtude da grande quantidade de novos lanc Rapidez de substituic a amentos, do desejo dos usu arios de ter o modelo mais recente e de pacotes promocionais oferecidos pelas operadoras de telefonia, os dispositivos m oveis costumam ser rapidamente substitu dos e descartados, sem que nenhum tipo de cuidado seja tomado com os dados nele gravados. De forma geral, os cuidados que voc e deve tomar para proteger seus dispositivos m oveis s ao os mesmos a serem tomados com seu computador pessoal, como mant e-lo sempre atualizado e utili muito importante que voc zar mecanismos de seguranc a. Por isto e e siga as dicas apresentadas no Cap tulo Seguranc a de computadores. Outros cuidados complementares a serem tomados s ao: Antes de adquirir seu dispositivo m ovel: considere os mecanismos de seguranc a que s ao disponibilizadas pelos diferentes modelos e fabricantes e escolha aquele que considerar mais seguro; es originais, ou de caso opte por adquirir um modelo j a usado, procure restaurar as congurac o f abrica, antes de comec ar a us a-lo; evite adquirir um dispositivo m ovel que tenha sido ilegalmente desbloqueado (jailbreak) ou cujas permiss oes de acesso tenham sido alteradas. Esta pr atica, al em de ser ilegal, pode violar os termos de garantia e comprometer a seguranc a e o funcionamento do aparelho. Ao usar seu dispositivo m ovel: o, se dispon vel, instale um programa antimalware antes de instalar qualquer tipo de aplicac a principalmente aquelas desenvolvidas por terceiros; es instaladas sempre com a vers mantenha o sistema operacional e as aplicac o ao mais recente e es aplicadas; com todas as atualizac o ` s not ` segu que atento a cias veiculadas no site do fabricante, principalmente as relacionadas a ranc a; es desenvolvidas por terceiros, como complementos, ex seja cuidadoso ao instalar aplicac o es de fontes con tens oes e plug-ins. Procure usar aplicac o aveis e que sejam bem avaliadas pelos usu arios. Verique coment arios de outros usu arios e se as permiss oes necess arias o s o da aplicac o (mais detalhes na Sec o 6.4 do para a execuc a ao coerentes com a destinac a a a Cap tulo Outros riscos); seja cuidadoso ao usar aplicativos de redes sociais, principalmente os baseados em geolocaliza o, pois isto pode comprometer a sua privacidade (mais detalhes na Sec o 11.1 do Cap c a a tulo Privacidade).
14. Seguranc a em dispositivos moveis
109
Ao acessar redes1 : seja cuidadoso ao usar redes Wi-Fi p ublicas; o, como bluetooth, infravermelho e Wi-Fi, desabilitadas e mantenha interfaces de comunicac a somente as habilite quando for necess ario; congure a conex ao bluetooth para que seu dispositivo n ao seja identicado (ou descoberto) o aparece como Oculto ou Invis por outros dispositivos (em muitos aparelhos esta opc a vel). Proteja seu dispositivo m ovel e os dados nele armazenados: es sens mantenha as informac o veis sempre em formato criptografado; fac a backups peri odicos dos dados nele gravados; mantenha controle f sico sobre ele, principalmente em locais de risco (procure n ao deix a-lo sobre a mesa e cuidado com bolsos e bolsas quando estiver em ambientes p ublicos); o envolver dados condenciais (mais detalhes na use conex ao segura sempre que a comunicac a o 10.1 do Cap Sec a tulo Uso seguro da Internet); n ao siga links recebidos por meio de mensagens eletr onicas; cadastre uma senha de acesso que seja bem elaborada e, se poss vel, congure-o para aceitar senhas complexas (alfanum ericas); congure-o para que seja localizado e bloqueado remotamente, por meio de servic os de geolo o (isso pode ser bastante u til em casos de perda ou furto); calizac a congure-o, quando poss vel, para que os dados sejam apagados ap os um determinado n umero o com bastante cautela, principalmente de tentativas de desbloqueio sem sucesso (use esta opc a se voc e tiver lhos e eles gostarem de brincar com o seu dispositivo). Ao se desfazer do seu dispositivo m ovel: es nele contidas; apague todas as informac o es de f restaure a opc o abrica. O que fazer em caso de perda ou furto: infome sua operadora e solicite o bloqueio do seu n umero (chip); altere as senhas que possam estar nele armazenadas (por exemplo, as de acesso ao seu e-mail ou rede social); bloqueie cart oes de cr edito cujo n umero esteja armazenado em seu dispositivo m ovel; o remota, voc se tiver congurado a localizac a e pode ativ a-la e, se achar necess ario, apagar remotamente todos os dados nele armazenados.
1 Mais
detalhes sobre estas dicas no Cap tulo Seguranc a de redes.
Gloss ario
802.11 AC ADSL es desenvolvidas pelo IEEE para tecnologias de redes sem Conjunto de especicac o o. Veja Autoridade certicadora. o das Do ingl es Asymmetric Digital Subscriber Line. Sistema que permite a utilizac a linhas telef onicas para transmiss ao de dados em velocidades maiores que as permitidas por um modem convencional.
Advance Fee Fraud o de recursos. Veja Fraude de antecipac a Adware Do ingl es Advertising Software. Tipo espec co de spyware. Programa projetado especicamente para apresentar propagandas. Pode ser usado de forma leg tima, quando incorporado a programas e servic os, como forma de patroc nio ou retorno nanceiro para quem desenvolve programas livres ou presta servic os gratuitos. Tamb em pode ser usado para ns maliciosos quando as propagandas apresentadas s ao o do usu direcionadas, de acordo com a navegac a ario e sem que este saiba que tal monitoramento est a sendo feito. Ferramenta que procura detectar e, ent ao, anular ou remover os c odigos maliciosos de um computador. Os programas antiv rus, antispyware, antirootkit e antitrojan s ao exemplos de ferramentas antimalware. Tipo de ferramenta antimalware desenvolvido para detectar, anular e eliminar de um computador v rus e outros tipos de c odigos maliciosos. Pode incluir tamb em a funcionalidade de rewall pessoal. Do ingl es Access Point. Dispositivo que atua como ponte entre uma rede sem o e uma rede tradicional. o deixada por um invasor em um sistema comprometido, como Qualquer informac a programas, scripts, ferramentas, logs e arquivos.
Antimalware
Antiv rus
AP Artefato
Assinatura digital o, C odigo usado para comprovar a autenticidade e a integridade de uma informac a ou seja, que ela foi realmente gerada por quem diz ter feito isso e que ela n ao foi alterada. Atacante Ataque o de um ataque. Veja tamb Pessoa respons avel pela realizac a em Ataque. Qualquer tentativa, bem ou mal sucedida, de acesso ou uso n ao autorizado de um servic o, computador ou rede.
111
112
AUP
Do ingl es Acceptable Use Policy. Veja Pol tica de uso aceit avel.
Autoridade certicadora Entidade respons avel por emitir e gerenciar certicados digitais. Estes certicados podem ser emitidos para diversos tipos de entidades, tais como: pessoa, computador, o, instituic o, etc. departamento de uma instituic a a Backdoor Tipo de c odigo malicioso. Programa que permite o retorno de um invasor a um computador comprometido, por meio da inclus ao de servic os criados ou modicados colocado de forma a n para esse m. Normalmente esse programa e ao a ser notado.
Banda, Bandwidth Veja Largura de banda. Banda larga ` rede com capacidade acima daquela conseguida, usualmente, em Tipo de conex ao a o de m conex ao discada via sistema telef onico. N ao h a uma denic a etrica de banda comum que conex larga que seja aceita por todos, mas e oes em banda larga sejam permanentes e n ao comutadas, como as conex oes discadas. Usualmente, compreende muito vari conex oes com mais de 100 Kbps, por em esse limite e avel de pa s para pa s e de servic o para servic o (Fonte: http://www.cetic.br/).
Banda larga xa ` InTipo de conex ao banda larga que permite que um computador que conectado a o de enderec ternet por longos per odos e com baixa frequ encia de alterac a o IP. Banda larga m ovel Tipo de conex ao banda larga. Tecnologia de acesso sem o, de longa dist ancia, por meio de rede de telefonia m ovel, especialmente 3G e 4G (respectivamente a o de padr terceira e a quarta gerac a oes de telefonia m ovel denidos pelo International Telecommunication Union - ITU). Banner de propaganda Espac o disponibilizado por um usu ario em sua p agina Web para que servic os de publicidade apresentem propagandas de clientes. Blacklist Lista de e-mails, dom nios ou enderec os IP, reconhecidamente fontes de spam. Recurso utilizado, tanto em servidores como em programas leitores de e-mails, para bloquear as mensagens suspeitas de serem spam. o de dados e voz, baseado em radiofrequ Padr ao para tecnologia de comunicac a encia ` conex o de e destinado a ao de dispositivos em curtas dist ancias, permitindo a formac a redes pessoais sem o. Mensagem que possui conte udo alarmante ou falso e que, geralmente, tem como o, empresa importante ou o rg remetente, ou aponta como autora, alguma instituic a ao governamental. Por meio de uma leitura minuciosa de seu conte udo, normalmente, e es sem sentido e tentativas de golpes, como correntes e poss vel identicar informac o pir amides. Tipo de c odigo malicioso. Programa que, al em de incluir funcionalidades de worms, o com o invasor que permitem que ele seja disp oe de mecanismos de comunicac a o e propagac o do bot e similar ao controlado remotamente. O processo de infecc a a capaz de se propagar automaticamente, explorando vuldo worm, ou seja, o bot e nerabilidades existentes em programas instalados em computadores. Veja tamb em Worm.
Bluetooth
Boato
Bot
Glossario
113
Botnet
Rede formada por centenas ou milhares de computadores infectados com bots. Per es danosas executadas pelos bots e ser usada em ataques de mite potencializar as ac o o de servic negac a o, esquemas de fraude, envio de spam, etc. Veja tamb em Bot. Veja Forc a bruta.
Brute force
Cable modem Modem projetado para operar sobre linhas de TV a cabo. Veja tamb em Modem. Cavalo de troia Tipo de c odigo malicioso. Programa normalmente recebido como um presente lbum de fotos, protetor de tela, jogo, etc.) que, al (por exemplo, cart ao virtual, a em es para as quais foi aparentemente projetado, tamb de executar as func o em executa es, normalmente maliciosas e sem o conhecimento do usu outras func o ario. Certicado digital Registro eletr onico composto por um conjunto de dados que distingue uma entidade e associa a ela uma chave p ublica. Pode ser emitido para pessoas, empresas, equipamentos ou servic os na rede (por exemplo, um site Web) e pode ser homologado para diferentes usos, como condencialidade e assinatura digital. Certicado digital autoassinado Certicado digital no qual o dono e o emissor s ao a mesma entidade. nica usada para proteger (criptografar) outras senhas. Chave mestra Senha u C odigo malicioso es Termo gen erico usado para se referir a programas desenvolvidos para executar ac o danosas e atividades maliciosas em um computador ou dispositivo m ovel. Tipos espec cos de c odigos maliciosos s ao: v rus, worm, bot, spyware, backdoor, cavalo de troia e rootkit. C odigo m ovel Tipo de c odigo utilizado por desenvolvedores Web para incorporar maior funcionalidade e melhorar a apar encia de p aginas Web. Alguns tipos de c odigos m oveis s ao: programas e applets Java, JavaScripts e componentes (ou controles) ActiveX . Com ercio eletr onico o comercial onde as partes interagem eletronicamente. Qualquer forma de transac a Conjunto de t ecnicas e tecnologias computacionais utilizadas para facilitar e executar es comerciais de bens e servic transac o os por meio da Internet. Comprometimento Veja Invas ao. Computador zumbi Nome dado a um computador infectado por bot, pois pode ser controlado remotamente, sem o conhecimento do seu dono. Veja tamb em Bot. Conex ao discada ` Internet, realizada por meio de um modem anal Conex ao comutada a ogico e uma linha da rede de telefonia xa, que requer que o modem disque um n umero telef onico para realizar o acesso (Fonte: http://www.cetic.br/). Conex ao segura Conex ao que utiliza um protocolo de criptograa para a transmiss ao de dados, como por exemplo, HTTPS ou SSH.
114
Conta de usu ario ` identiTamb em chamada de nome de usu ario e nome de login. Corresponde a o u nica de um usu cac a ario em um computador ou servic o. Cookie gravado no computador quando o usu Pequeno arquivo que e ario acessa um site e reenviado a este mesmo site quando novamente acessado. E usado para manter es sobre o usu informac o ario, como carrinho de compras, lista de produtos e pre o. fer encias de navegac a
o de seguranc Correc a a o desenvolvida para eliminar falhas de seguranc Correc a a em um programa ou sistema operacional. Criptograa parte de Ci encia e arte de escrever mensagens em forma cifrada ou em c odigo. E usada, dentre outras es secretas. E um campo de estudos que trata das comunicac o es banc nalidades, para: autenticar a identidade de usu arios; autenticar transac o arias; proteger a integridade de transfer encias eletr onicas de fundos, e proteger o sigilo de es pessoais e comerciais. comunicac o o de servic Do ingl es Distributed Denial of Service. Veja Negac a o distribu do. o de p Veja Desgurac a agina. o de uma p o de Pessoa respons avel pela desgurac a agina. Veja tamb em Desgurac a p agina.
DDoS Defacement Defacer
o de p Desgurac a agina o. T Tamb em chamada de pichac a ecnica que consiste em alterar o conte udo da p agina Web de um site. Dispositivo m ovel Equipamento com recursos computacionais que, por ter tamanho reduzido, oferece grande mobilidade de uso, podendo ser facilmente carregado pelo seu dono. Exemplos: notebooks, netbooks, tablets, PDAs, smartphones e celulares. DNS Do ingl es Domain Name System. O sistema de nomes de dom nios, respons avel o, entre outros tipos, de nome de m pela traduc a aquinas/dom nios para o enderec o IP correspondente e vice-versa. o de servic Do ingl es Denial of Service. Veja Negac a o. Veja Com ercio eletr onico.
DoS E-commerce
E-mail spoong o de e-mail. Veja Falsicac a Enderec o IP ` Internet. No caso Sequ encia de n umeros associada a cada computador conectado a dividido em quatro grupos, separados por . e comde IPv4, o enderec o IP e postos por n umeros entre 0 e 255, por exemplo, 192.0.2.2. No caso de IPv6, dividido em at o enderec o IP e e oito grupos, separados por : e compostos por n umeros hexadecimais (n umeros e letras de A a F) entre 0 e FFFF, por exemplo, 2001:DB8:C001:900D:CA27:116A::1.
Glossario
115
Engenharia social T ecnica por meio da qual uma pessoa procura persuadir outra a executar determina es. No contexto desta Cartilha, e considerada uma pr das ac o atica de m a-f e, usada por golpistas para tentar explorar a gan ancia, a vaidade e a boa-f e ou abusar da ingenuidade e da conanc a de outras pessoas, a m de aplicar golpes, ludibriar ou obter es sigilosas e importantes. O popularmente conhecido conto do vig informac o ario utiliza engenharia social. EV SSL Exploit o Do ingl es Extended Validation Secure Socket Layer. Certicado SSL de Validac a Avanc ada ou Estendida. Veja tamb em SSL. o de vulnerabilidade. Veja Explorac a
o de vulnerabilidade Explorac a Programa ou parte de um programa malicioso projetado para explorar uma vulnerabilidade existente em um programa de computador. Veja tamb em Vulnerabilidade. Falsa identidade Veja Furto de identidade. o de e-mail Falsicac a T ecnica que consiste em alterar campos do cabec alho de um e-mail, de forma a aparentar que ele foi enviado de uma determinada origem quando, na verdade, foi enviado de outra. Filtro antispam Programa que permite separar os e-mails conforme regras pr e-denidas. Utilizado o de e-mails v tanto para o gerenciamento das caixas postais como para a selec a alidos dentre os diversos spams recebidos. Firewall Dispositivo de seguranc a usado para dividir e controlar o acesso entre redes de computadores.
Firewall pessoal Tipo espec co de rewall. Programa usado para proteger um computador contra acessos n ao autorizados vindos da Internet. Forc a bruta Tipo de ataque que consiste em adivinhar, por tentativa e erro, um nome de usu ario e senha e, assim, executar processos e acessar sites, computadores e servic os em nome e com os mesmos privil egios desse usu ario. o que, assim como outras redes do mesmo tipo, Rede social baseada em geolocalizac a utiliza os dados fornecidos pelo GPS do computador ou dispositivo m ovel do usu ario para registrar (fazer check-in) nos lugares por onde ele passa.
Foursquare
o de recursos Fraude de antecipac a Tipo de fraude na qual um golpista procura induzir uma pessoa a fornecer infor es condenciais ou a realizar um pagamento adiantado, com a promessa de mac o futuramente receber algum tipo de benef cio. o de resumo Func a o, independenteM etodo criptogr aco que, quando aplicado sobre uma informac a nico e de tamanho xo, chamado mente do tamanho que ela tenha, gera um resultado u hash.
116
Furto de identidade Ato pelo qual uma pessoa tenta se passar por outra, atribuindo-se uma falsa identidade, com o objetivo de obter vantagens indevidas. Alguns casos de furto de identidade podem ser considerados como crime contra a f e p ublica, tipicados como falsa identidade. GnuPG Conjunto de programas gratuito e de c odigo aberto, que implementa criptograa de chave sim etrica, de chaves assim etricas e assinatura digital.
Golpe de com ercio eletr onico Tipo de fraude na qual um golpista, com o objetivo de obter vantagens nanceiras, o de conanc o explora a relac a a existente entre as partes envolvidas em uma transac a comercial. GPG Greylisting Veja GnuPG. M etodo de ltragem de spams, implantado diretamente no servidor de e-mails, que reenviado. Serrecusa temporariamente um e-mail e o recebe somente quando ele e vidores leg timos de e-mails, que se comportam de maneira correta e de acordo com es dos protocolos, sempre reenviam as mensagens. Este m as especicac o etodo parte do princ pio que spammers raramente utilizam servidores leg timos e, portanto, n ao reenviam suas mensagens. T ecnica utilizada por spammers, que consiste em varrer p aginas Web, arquivos de listas de discuss ao, entre outros, em busca de enderec os de e-mail. o de resumo. Veja Func a Veja Boato. o de seguranc Veja Correc a a. Do ingl es HyperText Markup Language. Linguagem universal utilizada na elabora o de p c a aginas na Internet. Do ingl es HyperText Transfer Protocol. Protocolo usado para transferir p aginas Web entre um servidor e um cliente (por exemplo, o navegador). Do ingl es HyperText Transfer Protocol Secure ou HyperText Transfer Protocol over SSL. Protocolo que combina o uso do HTTP com mecanismos de seguranc a, como o SSL e o TLS, a m de prover conex oes seguras. Veja tamb em HTTP. Veja Furto de identidade. Do ingl es Intrusion Detection System. Programa, ou um conjunto de programas, cuja o e detectar atividades maliciosas ou an func a omalas. o Acr onimo para Institute of Electrical and Electronics Engineers, uma organizac a composta por engenheiros, cientistas e estudantes, que desenvolvem padr oes para a ind ustria de computadores e eletroeletr onicos.
Harvesting Hash Hoax Hot x HTML HTTP HTTPS
Identity theft IDS IEEE
Incidente de seguranc a ` seguranc Qualquer evento adverso, conrmado ou sob suspeita, relacionado a a de o ou de redes de computadores. sistemas de computac a
Glossario
117
o de tr Interceptac a afego T ecnica que consiste em inspecionar os dados trafegados em redes de computadores, por meio do uso de programas espec cos chamados de sniffers. Invas ao Invasor o ou destruic o de informaAtaque bem sucedido que resulte no acesso, manipulac a a es em um computador. c o o de uma invas Pessoa respons avel pela realizac a ao (comprometimento). Veja tamb em Invas ao.
IP, IPv4, IPv6 Veja Enderec o IP. Janela de pop-up Tipo de janela que aparece automaticamente e sem permiss ao, sobrepondo a janela do navegador Web, ap os o usu ario acessar um site. Keylogger Tipo espec co de spyware. Programa capaz de capturar e armazenar as teclas digi o do keylogger tadas pelo usu ario no teclado do computador. Normalmente a ativac a condicionada a uma ac o pr e a evia do usu ario, como o acesso a um site espec co de com ercio eletr onico ou de Internet Banking. Veja tamb em Spyware.
Largura de banda o, em Quantidade de dados que podem ser transmitidos em um canal de comunicac a um determinado intervalo de tempo. Link curto Tipo de link gerado por meio de servic os que transformam um link convencional em automaticamente expandido para o link outro de tamanho reduzido. O link curto e original, quando o usu ario clica nele.
Link patrocinado Tipo de link apresentado em destaque em site de busca quando palavras espec cas s ao pesquisadas pelo usu ario. Quando o usu ario clica em um link patrocinado, o site de busca recebe do anunciante um valor previamente combinado. Log Registro de atividades gerado por programas e servic os de um computador. Termo t ecnico que se refere ao registro de atividades de diversos tipos como, por exemplo, es sobre a conex ` Internet) e de acesso de conex ao (informac o ao de um computador a es (informac es de acesso de um computador a uma aplicac o de Internet). a aplicac o o a Do ingl es Malicious advertsing. Tipo de golpe que consiste em criar an uncios maliciosos e, por meio de servic os de publicidade, apresent a-los em diversas p aginas induzido a acreditar que se trata de um Web. Geralmente, o servic o de publicidade e o e faz com que ele seja an uncio leg timo e, ao aceit a-lo, intermedia a apresentac a mostrado em diversas p aginas. Do ingl es Malicious software. Veja C odigo malicioso.
Malvertising
Malware
Master password Veja Chave mestra. MMS Modem Do ingl es Multimedia Message Service. Tecnologia amplamente utilizada em telefo udio e v nia celular para a transmiss ao de dados, como texto, imagem, a deo. Do ingl es Modulator/Demodulator. Dispositivo respons avel por converter os sinais o do computador em sinais que possam ser transmitidos no meio f sico de comunicac a tica. como, por exemplo, linha telef onica, cabo de TV, ar e bra o
118
o de servic Negac a o Atividade maliciosa pela qual um atacante utiliza um computador ou dispositivo o um servic m ovel para tirar de operac a o, um computador ou uma rede conectada ` Internet. a o de servic Negac a o distribu do Atividade maliciosa, coordenada e distribu da pela qual um conjunto de computa utilizado para tirar de operac o um servic dores e/ou dispositivos m oveis e a o, um ` Internet. computador ou uma rede conectada a Netiqueta NTP Conjunto de normas de conduta para os usu arios da Internet, denido no documento RFC 1855: Netiquette Guidelines. o Do ingl es Network Time Protocol. Tipo de protocolo que permite a sincronizac a es de trabalho, dos rel ogios dos dispositivos de uma rede, como servidores, estac o ` partir de refer roteadores e outros equipamentos, a encias de tempo con aveis (Fonte: http://ntp.br/). Veja Enderec o IP. proibido mandar e-mails comerciRegra de envio de mensagens que dene que e ais/spam, a menos que exista uma concord ancia pr evia por parte do destinat ario. Veja tamb em Soft opt-in. permitido mandar e-mails comerciRegra de envio de mensagens que dene que e ais/spam, mas deve-se prover um mecanismo para que o destinat ario possa parar de receber as mensagens. Acr onimo para peer-to-peer. Arquitetura de rede onde cada computador tem funcionalidades e responsabilidades equivalentes. Difere da arquitetura cliente/servidor, normalem que alguns dispositivos s ao dedicados a servir outros. Este tipo de rede e mente implementada via programas P2P, que permitem conectar o computador de um usu ario ao de outro para compartilhar ou transferir dados, como MP3, jogos, v deos, imagens, etc. Veja Senha. o de seguranc Veja Correc a a. Do ingl es Pretty Good Privacy. Programa que implementa criptograa de chave sim etrica, de chaves assim etricas e assinatura digital. Possui vers oes comerciais e gratuitas. Veja tamb em GnuPG.
Numero IP Opt-in
Opt-out
P2P
Password Patch PGP
Phishing, phishing scam, phishing/scam Tipo de golpe por meio do qual um golpista tenta obter dados pessoais e nanceiros o combinada de meios t de um usu ario, pela utilizac a ecnicos e engenharia social. Plug-in, complemento, extens ao Programa geralmente desenvolvido por terceiros e que pode ser istalado no navegador Web e/ou programa leitor de e-mails para prover funcionalidades extras. Pol tica de seguranc a o a ` Documento que dene os direitos e as responsabilidades de cada um em relac a ` s quais est seguranc a dos recursos computacionais que utiliza e as penalidades a a sujeito, caso n ao a cumpra.
Glossario
119
Pol tica de uso aceit avel Tamb em chamada de Termo de Uso ou Termo de Servic o. Pol tica na qual s ao denidas as regras de uso dos recursos computacionais, os direitos e as responsabili es que s dades de quem os utiliza e as situac o ao consideradas abusivas. Proxy Servidor que atua como intermedi ario entre um cliente e outro servidor. Normal utilizado em empresas para aumentar o desempenho de acesso a determinamente e ` Internet. Quando dos servic os ou permitir que mais de uma m aquina se conecte a mal congurado (proxy aberto) pode ser abusado por atacantes e utilizado para tornar es na Internet, como atacar outras redes ou enviar spam. an onimas algumas ac o Proxy mal congurado que pode ser abusado por atacantes e utilizado como uma es na Internet, como atacar outras redes ou forma de tornar an onimas algumas ac o enviar spam. Veja Pol tica de uso aceit avel. Rede que permite a conex ao entre computadores e outros dispositivos por meio da o de sinais de r transmiss ao e recepc a adio. Tipo de rede de relacionamento que permite que os usu arios criem pers e os uti es e se agrupar de lizem para se conectar a outros usu arios, compartilhar informac o acordo com interesses em comum. Alguns exemplos s ao: Facebook, Orkut, Twitter, Linkedin, Google+ e foursquare. Tipo de c odigo malicioso. Conjunto de programas e t ecnicas que permite esconder e assegurar a presenc a de um invasor ou de outro c odigo malicioso em um computador comprometido. E importante ressaltar que o nome rootkit n ao indica que as ferramentas que o comp oem s ao usadas para obter acesso privilegiado (root ou Administrator) em um computador, mas, sim, para manter o acesso privilegiado em um computador previamente comprometido. es enganosas e/ou fraudulentas. Normalmente, t Esquemas ou ac o em como nalidade obter vantagens nanceiras. Veja Varredura em redes. Programa usado para efetuar varreduras em redes de computadores, com o intuito de identicar quais computadores est ao ativos e quais servic os est ao sendo disponibilizados por eles. Amplamente usado por atacantes para identicar potenciais alvos, pois permite associar poss veis vulnerabilidades aos servic os habilitados em um computador. Tipo espec co de spyware. Programa similar ao keylogger, capaz de armazenar a o do cursor e a tela apresentada no monitor, nos momentos em que o mouse posic a bastante clicado, ou a regi o onde o mouse e clicado. E e ao que circunda a posic a utilizado por atacantes para capturar as teclas digitadas pelos usu arios em teclados virtuais, dispon veis principalmente em sites de Internet Banking. Veja tamb em Spyware. nico do usu Conjunto de caracteres, de conhecimento u ario, utilizado no processo de o de sua identidade, assegurando que ele e realmente quem diz ser e que vericac a possui o direito de acessar o recurso em quest ao.
Proxy aberto
PUA Rede sem o Rede Social
Rootkit
Scam Scan Scanner
Screenlogger
Senha
120
Service Pack Site
o de seguranc Veja Correc a a. Local na Internet identicado por um nome de dom nio, constitu do por uma ou mais es multim p aginas de hipertexto, que podem conter textos, gr acos e informac o dia.
Site de compras coletivas Tipo de site por meio do qual os anunciantes ofertam produtos, normalmente com grandes descontos, por um tempo bastante reduzido e com quantidades limitadas. considerado como intermedi E ario entre as empresas que fazem os an uncios e os clientes que adquirem os produtos. Site de leil ao e venda de produtos Tipo de site que intermedia a compra e a venda de mercadorias entre os usu arios. Alguns sites desse tipo oferecem sistema de gerenciamento por meio do qual o paga liberado ao vendedor quando a conrmamento realizado pelo comprador somente e o de que a mercadoria foi corretamente recebida e enviada. c a S/MIME Do ingl es Secure/Multipurpose Internet Mail Extensions. Padr ao para assinatura e criptograa de e-mails. Do ingl es Short Message Service. Tecnologia utilizada em telefonia celular para a transmiss ao de mensagens de texto curtas. Diferente do MMS, permite apenas dados limitada em 160 caracteres alfanum do tipo texto e cada mensagem e ericos. Do ingl es Simple Mail Transfer Protocol. Protocolo respons avel pelo transporte de mensagens de e-mail na Internet. Dispositivo ou programa de computador utilizado para capturar e armazenar dados trafegando em uma rede de computadores. Pode ser usado por um invasor para cap es sens turar informac o veis (como senhas de usu arios), em casos onde estejam sendo o utilizadas conex oes inseguras, ou seja, sem criptograa. Veja tamb em Interceptac a de tr afego. o de tr Veja Interceptac a afego. o quando j Regra semelhante ao opt-in, mas neste caso prev e uma excec a a existe uma o comercial entre remetente e destinat necess relac a ario. Dessa forma, n ao e aria a permiss ao expl cita por parte do destinat ario para receber e-mails desse remetente. Veja tamb em Opt-in. Termo usado para se referir aos e-mails n ao solicitados, que geralmente s ao enviados para um grande n umero de pessoas. Computador infectado por c odigo malicioso (bot), capaz de transformar o sistema do usu ario em um servidor de e-mail para envio de spam. Em muitos casos, o usu ario do computador infectado demora a perceber que seu computador est a sendo usado por um invasor para esse m. o que oferece diversos servic Instituic a os antispam, sendo o mais conhecido o que permite reclamar automaticamente de spams recebidos. Pessoa que envia spam.
SMS
SMTP
Sniffer
Snifng Soft opt-in
Spam
Spam zombie
Spamcop
Spammer
Glossario
121
Spyware
Tipo espec co de c odigo malicioso. Programa projetado para monitorar as ativi es coletadas para terceiros. Keylogger, dades de um sistema e enviar as informac o screenlogger e adware s ao alguns tipos espec cos de spyware. Do ingl es Secure Shell. Protocolo que utiliza criptograa para acesso a um compu o de comandos, transfer tador remoto, permitindo a execuc a encia de arquivos, entre outros. nico de caracteres que identica uma rede Do ingl es Service Set Identier. Conjunto u sem o. O SSID diferencia uma rede sem o de outra, e um cliente normalmente s o pode conectar em uma rede sem o se puder fornecer o SSID correto. um protocolo que por meio Do ingl es Secure Sockets Layer. Assim como o TLS, e es entre um de criptograa fornece condencialidade e integridade nas comunicac o o. Veja cliente e um servidor, podendo tamb em ser usado para prover autenticac a tamb em HTTPS. Fuso hor ario. um protocolo que por Do ingl es Transport Layer Security. Assim como o SSL, e es entre meio de criptograa fornece condencialidade e integridade nas comunicac o o. Veja um cliente e um servidor, podendo tamb em ser usado para prover autenticac a tamb em HTTPS.
SSH
SSID
SSL
Time zone TLS
Trojan, Trojan horse Veja Cavalo de troia. UBE UCE URL Username Do ingl es Unsolicited Bulk E-mail. Termo usado para se referir aos e-mails n ao solicitados enviados em grande quantidade. Veja tamb em Spam. Do ingl es Unsolicited Commercial E-mail. Termo usado para se referir aos e-mails comerciais n ao solicitados. Veja tamb em Spam. Do ingl es Universal Resource Locator. Sequ encia de caracteres que indica a locali o de um recurso na Internet como por exemplo, http://cartilha.cert.br/. zac a Veja Conta de usu ario.
Varredura em redes T ecnica que consiste em efetuar buscas minuciosas em redes, com o objetivo de es sobre eles como, por exemplo, identicar computadores ativos e coletar informac o servic os disponibilizados e programas instalados. V rus Programa ou parte de um programa de computador, normalmente malicioso, que se propaga inserindo c opias de si mesmo, tornando-se parte de outros programas e o do programa ou arquivo hospedeiro para que arquivos. O v rus depende da execuc a o. possa se tornar ativo e dar continuidade ao processo de infecc a ` construc o de uma Do ingl es Virtual Private Network. Termo usado para se referir a a rede privada utilizando redes p ublicas (por exemplo, a Internet) como infraestrutura. Esses sistemas utilizam criptograa e outros mecanismos de seguranc a para garantir ` rede privada e que nenhum que somente usu arios autorizados possam ter acesso a dado ser a interceptado enquanto estiver passando pela rede p ublica.
VPN
122
Vulnerabilidade o que, quando explorada por um atacante, pode resultar em uma violac o de Condic a a o seguranc a. Exemplos de vulnerabilidades s ao falhas no projeto, na implementac a o de programas, servic ou na congurac a os ou equipamentos de rede. Web bug Imagem, normalmente muito pequena e invis vel, que faz parte de uma p agina Web ou projetada para monitorar quem est de uma mensagem de e-mail, e que e a acessando esaa p agina Web ou mensagem de e-mail. Do ingl es Wired Equivalent Privacy. Protocolo de seguranc a para redes sem o que implementa criptograa para a transmiss ao dos dados. Lista de e-mails, dom nios ou enderec os IP, previamente aprovados e que, normalmente, n ao s ao submetidos aos ltros antispam congurados. Do ingl es Wireless Fidelity. Marca registrada, genericamente usada para se referir a redes sem o que utilizam qualquer um dos padr oes 802.11. Veja Rede sem o. Do ingl es Wireless Local-Area Network. Tipo de rede que utiliza ondas de r adio de o entre os computadores. alta frequ encia, em vez de cabos, para a comunicac a Tipo de c odigo malicioso. Programa capaz de se propagar automaticamente pelas redes, enviando c opias de si mesmo de computador para computador. Diferente do v rus, o worm n ao embute c opias de si mesmo em outros programas ou arquivos e o se d n ao necessita ser explicitamente executado para se propagar. Sua propagac a a o de vulnerabilidades existentes ou falhas na congurac o de por meio da explorac a a programas instalados em computadores.
WEP Whitelist Wi-Fi Wireless WLAN Worm
Zombie-computer Veja Computador zumbi.
Indice Remissivo
A
o advance fee fraud . . veja fraude de antecipac a de recursos adware . . . . . . . . . . . . . . . . . . . . . . . veja spyware o an anonymizer . . . . . . . . . veja navegac a onima antimalware 11, 30, 44, 45, 5557, 76, 9597, 99, 100, 102, 108 cuidados . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 antirootkit . . . . . . . . . . . . . . . . . veja antimalware antispyware . . . . . . . . . . . . . . . veja antimalware antitrojan . . . . . . . . . . . . . . . . . veja antimalware antiv rus . . . . . . . . . . . . . . . . . . veja antimalware assinatura digital . . . . . . . . . . . . . . . . . . . . . 6970 ataques.3, 6, 1723, 25, 26, 29, 33, 41, 4850, 54, 60 de dicion ario . . . . . . . . . . . . . . . . . . . . . . . . 35 de forc a bruta 6, 18, 20, 22, 54, 60, 61, 73, 77, 88, 102, 105 o . . . . . . . . . . . . . . . . . . . . . . . 1718 motivac a o . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 prevenc a t ecnicas usadas . . . . . . . . . . . . . . . . . . . 1822 autoridade certicadora . . . . . . . . . . . 70, 82, 83 certicado digital . . . . . . . . . . . . . . . . . . . . 7072 autoassinado . . . . . . . . . . . . . . 7072, 80, 83 EV SSL . . . . . . . . . . . . . . . . . . . . . . . . . 71, 80 con vericar se e avel . . . . . . . . . . . . 8283 chave sim etrica . . . . . . . . . . . . . . . . . . . . . . 6869 chaves assim etricas . . . . . . . . . . . . . . . . . . . 6869 c odigos maliciosos . . . . . . . . . . . . . . . . . . . 2330 o . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 prevenc a resumo comparativo . . . . . . . . . . . . . . . . . 30 tipos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2430 c odigos m oveis . . . . . . . . . . . . . . . . . . . . . . 4142 com ercio eletr onico . . . . . . 9, 1114, 27, 40, 64 cuidados . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 golpes . . . . . . . . . . . . . . . . . . . . . . . . . . . 1214 compartilhamento de recursos . . . . 23, 45, 102 complementos . . 4143, 58, 72, 75, 76, 95, 97, 108 computador de terceiros . 4042, 60, 61, 63, 64, 77, 78, 86, 100 pessoal . . . . . . . . . . . . . . . . . . . . . . . . . 93100 conex oes Web . . . . . . . . . . . . . . . . . . . . . . . 7883 tipos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7981 condencialidade . 3, 48, 63, 68, 70, 71, 7880 pol tica de . . . . . . . . . . . . . . . . . . . . . . . . . . 49 cookies . . . . . . . . 4041, 58, 64, 76, 85, 86, 100 c opia de seguranc a . . . . . . . . . . . . . . veja backup criptograa . . . . . . . . . . . . . . . . . . . . . . 51, 6774 conceitos . . . . . . . . . . . . . . . . . . . . . . . . 6872 cuidados . . . . . . . . . . . . . . . . . . . . . . . . 7374 programas . . . . . . . . . . . . . . . . . . . . . . . . . . 72 termos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 uso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 cuidados a serem tomados o de contas . . . . . . . . . . . 9899 administrac a ao usar computadores de terceiros . . . . 100 ao usar redes . . . . . . . . . . . . . . . . . . . . . . . 102 backup . . . . . . . . . . . . . . . . . . . . . . . . . . 5253 banda larga xa . . . . . . . . . . . . . . . . . . . . 106
123
B
backdoor . . . . . . . . . . . . . . . . . . . . . . . . 2830, 57 backup . . . . 5153, 67, 69, 73, 96, 97, 100, 109 cuidados . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 pol tica de . . . . . . . . . . . . . . . . . . . . . . . . . . 48 banda larga xa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 m ovel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 banners de propaganda . . . . . . . . . . . . . . . 4344 bluetooth . . . . . . . . . . . . . . . . . . . 24, 63, 105, 109 boato . . . . . . . . . . . . . . . . . . . . . . 2, 1516, 49, 60 bot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26, 30 botnet . . . . . . . . . . . . . . . . . . . . . . . 21, 22, 26, 107 brute force . . . . . . . . veja ataques de forc a bruta
C
cavalo de troia . . . . . . . . . . . . . . . . . . . veja trojan
124
banda larga m ovel . . . . . . . . . . . . . . . . . . 106 bluetooth . . . . . . . . . . . . . . . . . . . . . . . . . . 105 com ercio eletr onico . . . . . . . . . . . . . . . . . . 78 computador pessoal . . . . . . . . . . . . . . 9397 contas e senhas . . . . . . . . . . . . . . . . . . . . . . 61 criptograa . . . . . . . . . . . . . . . . . . . . . . 7374 dispositivos m oveis . . . . . . . . . . . . 108109 ferramentas antimalware . . . . . . . . . . . . . 56 ltro antispam . . . . . . . . . . . . . . . . . . . . . . . 58 rewall pessoal . . . . . . . . . . . . . . . . . . . . . . 57 Internet Banking . . . . . . . . . . . . . . . . . . . . . 77 logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 navegadores Web . . . . . . . . . . . . . . . . . 7576 pol tica de seguranc a . . . . . . . . . . . . . . . . . 49 privacidade . . . . . . . . . . . . . . . . . . . . . . 8687 programas leitores de e-mails . . . . . . . . . 76 redes sociais . . . . . . . . . . . . . . . . . . . . . 8991 Webmails . . . . . . . . . . . . . . . . . . . . . . . . 7677 Wi-Fi . . . . . . . . . . . . . . . . . . . . . . . . . 103104
furto de identidade . . . . . . . . . . . . . . . . . . . . . . . . 6
G
golpes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .516 da Nig eria . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 o . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 prevenc a sites de compras coletivas . . . . . . . . . . . . 13 sites de leil ao e venda de produtos . . . . . 14 sites fraudulentos . . . . . . . . . . . . . . . . . 1213 tipos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 516
H
harvesting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 hash . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69, 73 hoax . . . . . . . . . . . . . . . . . . . . . . . . . . . . veja boato
I
identity theft . . . . . . . . . veja furto de identidade o de tr interceptac a afego . . . 6, 19, 66, 102, 103 Internet ataques . . . . . . . . . . . . . . . . . . . . veja ataques golpes . . . . . . . . . . . . . . . . . . . . . . veja golpes o . . . . . . . . . . . . . . . veja prevenc o prevenc a a riscos . . . . . . . . . . . . . . . . . . . . . . . veja riscos seguranc a . . . . . . . . . . . . . . . . veja seguranc a spam . . . . . . . . . . . . . . . . . . . . . . . . veja spam uso seguro . . . . . . . . . . . . . . . . . . . . . . . 7583 Internet Banking . 9, 11, 12, 27, 29, 40, 63, 64, 107 cuidados . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
D
o de servic DDoS . . . . . . . . . . . . . . . veja negac a o o de p defacement . . . . . . veja desgurac a agina o de p desgurac a agina . . . . . . . . . . . . . . . . . . . 21 dispositivos m oveis cuidados . . . . . . . . . . . . . . . . . . . . . . 108109 riscos . . . . . . . . . . . . . . . . . . . . . . . . . 107108 o de servic DoS . . . . . . . . . . . . . . . . veja negac a o
E
e-commerce . . . . . . . . . veja com ercio eletr onico o de e-mail e-mail spoong . . . . veja falsicac a engenharia social. . . . . . . . . . . . .5, 9, 60, 87, 88 extens oes . . . . . . . . . . . . . . . . . . . . 4243, 97, 108
J
janelas de pop-up . . . . . . . . . . . . . . . . . . . . . . . . 42
K F
falsa identidade . . . . . . veja furto de identidade o de e-mail . . . . . . . . . . . . . . . . . 1819 falsicac a falso positivo . . . . . . . . . . . . . . . . . . . . . . . . 36, 48 ltro antiphishing . . . . . . . . . . . . . . . . . . . . . 11, 58 antispam . . . . . . . . . . . . . . . . . . . . . 34, 35, 58 de bloqueio de propagandas. . . . . . . . . . .58 de c odigos m oveis . . . . . . . . . . . . . . . . . . . 58 de janelas de pop-up . . . . . . . . . . . . . . . . . 58 rewall pessoal . 11, 44, 48, 55, 57, 90, 95, 102 forc a bruta . . . . . . . . veja ataques de forc a bruta o de recursos . . . . . . . . 78 fraude de antecipac a o de resumo . . . . . . . . . . . . . . . . . veja hash func a keylogger . . . . . . . . . . . . . . . . . . . . . veja spyware
L
links curtos . . . . . . . . . . . . . . . . . . . . . . . . . . . 58, 95 patrocinados . . . . . . . . . . . . . . . . . . . . . 12, 43 logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29, 5354
M
malvertising . . . . . veja banners de propaganda malware . . . . . . . . . . . . veja c odigos maliciosos
N
o an navegac a onima . . . . . . . . . . 41, 58, 86, 100
Indice Remissivo
125
navegador Web cuidados . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 o de servic negac a o . . . . . . . . . . . . . . . . . . . 2122 Nigerian 4-1-9 Scam . . . veja golpes da Nig eria o de incidentes e abusos . . . . . . 5051 noticac a
em redes sociais . . . . . . . veja redes sociais pol tica de . . . . . . . . . . . . . . . . . . . . . . . . . . 48 programa o de arquivos. . . . . . . . . . . .44 de distribuic a leitor de e-mails . . . . . . . . . . . . . . . . . . . . . 76 o de vulnerabilidades . . . 58 para vericac a
P
password . . . . . . . . . . . . . . . . . . . . . . . . veja senha pharming . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 phishing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 912 phishing-scam . . . . . . . . . . . . . . . . . veja phishing phishing/scam . . . . . . . . . . . . . . . . . veja phishing plug-ins . . . . . . . . . . . . . . . . . . . . . 4243, 97, 108 pol tica de backup . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 de condencialidade . . . . . . . . . . . . . . . . . 49 de privacidade . . . . . . . . . . . . . . . . . . . . . . . 48 de seguranc a . . . . . . . . . . . . . . . . . . . . . 4849 de senhas . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 de uso aceit avel . . . . . . . . . . . . . . . . . . . . . 49 o prevenc a ataques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 banners de propaganda . . . . . . . . . . . . . . . 44 boatos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 c odigos m oveis . . . . . . . . . . . . . . . . . . 4142 c odigos maliciosos . . . . . . . . . . . . . . . . . . . 30 compartilhamento de recursos . . . . . . . . . 45 complementos . . . . . . . . . . . . . . . . . . . 4243 cookies . . . . . . . . . . . . . . . . . . . . . . . . . . 4041 extens oes . . . . . . . . . . . . . . . . . . . . . . . . 4243 o de recursos . . . . . . 8 fraude de antecipac a furto de identidade . . . . . . . . . . . . . . . . . . . . 6 golpes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 sites de compras coletivas . . . . . . . . . . 13 sites de leil ao e venda de produtos . . . 14 sites fraudulentos . . . . . . . . . . . . . . . 1213 janelas de pop-up . . . . . . . . . . . . . . . . . . . . 42 links patrocinados . . . . . . . . . . . . . . . . . . . 43 pharming . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 phishing . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 plug-ins . . . . . . . . . . . . . . . . . . . . . . . . . 4243 o de arquivos . . 44 programa de distribuic a spam . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3537 privacidade . . . . . . . . . . . . . . . . . . . . . . . . . . 8591 es . . . . . . . . . . 8687 ao divulgar informac o ao navegar na Web . . . . . . . . . . . . . . . . . . . 86 ao usar e-mails . . . . . . . . . . . . . . . . . . . . . . 86 como pode ser exposta . . . . . . . . . . . . 8586 como preservar . . . . . . . . . . . . 8687, 8991
R
redes cuidados . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 riscos . . . . . . . . . . . . . . . . . . . . . . . . . 101102 sem o dom estica . . . . . . . . . . . . . . 104105 tipos de acesso . . . . . . . . . . . . . . . . . 102106 redes sociais 6, 8, 9, 20, 36, 49, 60, 65, 8791, 93, 106109 cuidados . . . . . . . . . . . . . . . . . . . . . . . . 8991 riscos . . . . . . . . . . . . . . . . . . . . . . . . . . . 8788 registro de eventos . . . . . . . . . . . . . . . . . veja logs riscos . . . . . . . . . . . . . . . . . . . . . . . . . . 23, 3945 rootkit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2930
S
scan . . . . . . . . . . . . . . . . veja varredura em redes screenlogger . . . . . . . . . . . . . . . . . . veja spyware seguranc a . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 de computadores . . . . . . . . . . . . . . . . 93100 de redes . . . . . . . . . . . . . . . . . . . . . . . 101106 em conex oes Web . . . . . . . . . . . . . . . . . . . 111 em dispositivos m oveis . . . . . . . . . 107109 mecanismos de . . . . . . . . . . . . . . . . . . . 4758 requisitos b asicos . . . . . . . . . . . . . . . . 4748 senha . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51, 5966 como elaborar . . . . . . . . . . . . . . . . . . . 6162 como gerenciar . . . . . . . . . . . . . . . . . . 6365 como pode ser descoberta . . . . . . . . . 6061 como recuperar . . . . . . . . . . . . . . . . . . 6566 cuidados ao usar . . . . . . . . . . . . . . . . . . . . . 61 pol tica de . . . . . . . . . . . . . . . . . . . . . . . . . . 48 quando alterar . . . . . . . . . . . . . . . . . . . . . . . 63 sigilo . . . . . . . . . . . . . . . . . veja condencialidade o de tr snifng . . . . . . . . . veja interceptac a afego spam . . . 3, 8, 12, 13, 19, 23, 26, 3337, 58, 60, 88, 89, 93, 101, 106, 107 o . . . . . . . . . . . . . . . . . . . . . . . 3537 prevenc a problemas causados . . . . . . . . . . . . . . 3435 spyware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27, 30 adware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 keylogger . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 screenlogger . . . . . . . . . . . . . . . . . . . . . . . . 27
126
T
termo de servic o . . . veja pol tica de uso aceit avel de uso . . . . . . veja pol tica de uso aceit avel o de site . . . . . . . . . . . . . . . . . 58 teste de reputac a trojan . . . . . . . . . . . . . . . . . . . . . . . . 2830, 50, 55 trojan-horse . . . . . . . . . . . . . . . . . . . . . veja trojan
v rus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24, 30 vulnerabilidades . . . . . . . . . . 18, 2123, 25, 26, 28, 29, 40, 44, 54, 57, 58, 93, 94, 101, 102, 104, 106
W
Webmail . . . . . . . . . . . . . . . . . . . . . . 36, 40, 58, 86 cuidados . . . . . . . . . . . . . . . . . . . . . . . . 7677 Wi-Fi . . . . . . . . . . . . . . . . . . 63, 77, 78, 103105 worm . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25, 30
V
varredura em redes . . . . . . . . . 3, 18, 25, 29, 102

Cartilha Seguranca Internet

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Cartilha Seguranca Internet

Enviado por

Direitos autorais:

Formatos disponíveis

http://cartilha.cert.

COMERCIAL USO NAO

DE OBRAS DERIVADAS 3.0 BRASIL VEDADA A CRIAC AO

Cartilha de Seguranc a para Internet

Gestor da Internet no Brasil Comite Paulo Sao 2012

o: Equipe do CERT.br Textos e Edic a es: H Ilustrac o ector G omez e Osnei

Cartilha de Seguranc a para Internet

Licenc a de Uso da Cartilha

Hist orico da Cartilha

iii vii xiii xiii 1 5 6 7 9 11 12 12 13 14 15 16 17 18 18 18 19

Boato (Hoax) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Prevenc a

Cartilha de Seguranc a para Internet

3.5 3.6 3.7 3.8 4

Spam 5.1 o . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Prevenc a

7.4 7.5 7.6 7.7 7.8 7.9

Cartilha de Seguranc a para Internet

12.3 Cuidados ao usar computadores de terceiros . . . . . . . . . . . . . . . . . . . . . . 100 13 Seguranc a de redes 101

Cartilha de Seguranc a para Internet

Cartilha de Seguranc a para Internet

Furto de identidade (Identity theft)

o de recursos (Advance fee fraud) Fraude de antecipac a

Cartilha de Seguranc a para Internet

Cartilha de Seguranc a para Internet

Cartilha de Seguranc a para Internet

Golpes de com ercio eletr onico

Golpe do site de com ercio eletr onico fraudulento

Golpe envolvendo sites de compras coletivas

Cartilha de Seguranc a para Internet

Golpe do site de leil ao e venda de produtos

Cartilha de Seguranc a para Internet

Cartilha de Seguranc a para Internet

Varredura em redes (Scan)

o de e-mail (E-mail spoong) Falsicac a

o de tr Interceptac a afego (Snifng)

Cartilha de Seguranc a para Internet

Forc a bruta (Brute force)

o de p Desgurac a agina (Defacement)

o de servic Negac a o (DoS e DDoS)

Cartilha de Seguranc a para Internet

4. C odigos maliciosos (Malware)

Cartilha de Seguranc a para Internet

4. Codigos maliciosos (Malware)

Cartilha de Seguranc a para Internet

4. Codigos maliciosos (Malware)

Cartilha de Seguranc a para Internet

Cavalo de troia (Trojan)

4. Codigos maliciosos (Malware)

Cartilha de Seguranc a para Internet

4. Codigos maliciosos (Malware)

C odigos Maliciosos Spyware Backdoor              Trojan Worm Rootkit         

Tabela 4.1: Resumo comparativo entre os c odigos maliciosos.

Cartilha de Seguranc a para Internet

Cartilha de Seguranc a para Internet

Cartilha de Seguranc a para Internet

Cartilha de Seguranc a para Internet

Plug-ins, complementos e extens oes

uma palavra em ingl o de malicious (malicioso) e advertsing (propaganda). e es originada da junc a

Cartilha de Seguranc a para Internet

o de arquivos (P2P) Programas de distribuic a

Cartilha de Seguranc a para Internet

Pol tica de seguranc a

Cartilha de Seguranc a para Internet

o de incidentes e abusos Noticac a

C opias de seguranc a (Backups)

C odigos Maliciosos Spyware Backdoor Trojan Worm Rootkit