Cartilha de Segurança - Suporte

17/7/2014 Cartilha de Segurana - Suporte
http://splicenet.com.br/suporte/index.php/Cartilha_de_Seguran%C3%A7a 1/14
Introduo
Sabemos que no mundo real no existem sistemas totalmente seguros e o mundo virtual segue o mesmo
preceito. Por maior que seja a proteo adotada, estaremos sempre sujeitos a invases, roubos e ataques.
Ento importante que conheamos o perigo e saibamos como nos proteger.
Atualmente j nos utilizamos da Internet para realizar diversos servios corriqueiros, como compras, servios
bancrios, investimentos, alm de negcios ou troca de informaes confidenciais via e-mail.
Grande parte dos problemas ocorrem por puro desconhecimento dos procedimentos bsicos de segurana por
parte dos usurios. Saber como agir em caso de problemas, tambm poder ajudar, e muito, nas investigaes
policiais dos crimes virtuais.
Mas, como tudo isso pode ser feito de maneira segura? Para fornecer informaes de como utilizar de maneira
segura os servios da Internet que esta cartilha foi criada.
Senhas
Uma senha ou password na Internet, ou em qualquer sistema computacional, serve para autenticar o usurio, ou
seja, a senha garante que determinado indivduo que utiliza de um servio ele mesmo. Se voc fornece sua
senha para uma outra pessoa, esta poder utilizar a senha para se passar por voc na Internet e, dependendo do
caso, o estrago poder ser grande. Portanto, a senha merece considerao especial, afinal, ela de sua inteira
responsabilidade.
Como escolher uma boa senha?
Uma boa senha deve ter pelo menos oito caracteres (letras, nmeros e smbolos), deve ser simples de digitar e,
o mais importante, deve ser fcil de lembrar.
Normalmente os sistemas diferenciam letras maisculas das minsculas(1) o que j ajuda na composio da
senha.
Claro que o seu sobrenome, nmeros de documentos, placas de carros, nmeros de telefones e datas devero
estar fora de sua lista de senhas. Pois esses dados so muito fceis de se obter e qualquer criminoso tentaria
utilizar este tipo de informaes para se autenticar como voc.
Existem vrias regras de criao de senhas que voc pode utilizar, uma regra de ouro para a escolha de uma boa
senha : jamais utilize como senha palavras que faam parte de dicionrios (portugus ou qualquer outro
idioma(2)).
O que fazer ento? Fcil perceber, quanto mais bagunada a senha melhor, pois mais difcil ser descobr-la.
Assim tente misturar letras maisculas, minsculas, nmeros e sinais de pontuao. Uma regra realmente
prtica e que gera boas senhas difceis de serem descobertas utilizar uma frase qualquer e pegar a primeira,
segunda ou a ltima letra de cada palavra.
Por exemplo: usando a frase batatinha quando nasce se esparrama pelo cho podemos gerar a seguinte senha
BqnsepC. Mas s tem 7 caracteres! Precisamos de pelo menos mais um para completar o mnimo de 8
caracteres. Assim a senha gerada fica: !BqnsepC(3). Note que a senha gerada bem bagunada, tem 8
caracteres com letras minsculas e maisculas e um sinal de pontuao colocado em um lugar pouco
convencional. Senhas geradas desta maneira so fceis de lembrar e so normalmente difceis de serem
descobertas. Usando a ltima letra de cada palavra da frase da senha anterior, por exemplo, no gera uma senha
muito elegante (aoeeaoo) e h repetio de caracteres.
(1) Cuidado, PeDrO e pEdRo so senhas diferentes mas fceis de descobrir.
(2) Existem softwares que tentam descobrir a senha chutando combinaes de palavras e testando. Estes
softwares geralmente possuem listas de palavras (dicionrios) e listas de nomes (nomes prprios, msicas,
filmes, etc.).
(3) Esta senha deixou de ser uma senha boa, pois todos que lero esta cartilha a conhecero.
Com que freqncia devo mudar minha senha?
A regra bsica troc-la pelo menos a cada dois ou trs meses(4). Existem pginas nos provedores que
facilitam a troca da senha, e esto l para serem utilizadas. Trocando-a regularmente voc garante a integridade
da mesma. Caso no encontre o servio de troca de senha no site de seu provedor, entre em contato com o
servio de suporte para obter orientao, ou solicite uma senha provisria para que possa acessar alter-la
posteriormente no site do provedor.
Lembrando: A senha importantssima e mant-la em segredo a sua segurana!
(4) Paranicos e militares costumam troc-la mensalmente ou semanalmente.
Quantas senhas diferentes devo usar?
Vrias, uma para cada site de e-mail gratuito, uma para seu provedor, uma para o banco, etc.. Imagine o estrago
que uma pessoa pode fazer se descobrir uma de suas senhas, e se esta senha que voc usa igual para todo
os sites e servios que voc utiliza, com certeza o estrago vai ser muito maior.
Problemas Usuais de Segurana
Engenharia Social
O termo utilizado para os mtodos de obteno de informaes importantes do usurio, atravs de sua
ingenuidade ou da confiana. Quem est mal intencionado geralmente utiliza telefone, e-mails ou salas de bate-
papo para obter as informaes que necessita.
Por exemplo: Algum desconhecido liga para a sua casa e se diz do suporte tcnico do seu provedor. Nesta
ligao ele te convence de que sua conexo com a Internet est problemtica e pede sua senha para corrigir o
problema.
Como sempre, o bom senso nestes casos tudo. Duvide desse tipo de abordagem e contate o provedor caso
algum tcnico ligue para sua casa pedindo dados confidenciais a seu respeito (senhas, nmeros de cartes,
etc..) avisando-o do ocorrido.
Cavalos de Tria
Conta a mitologia grega, que h muito tempo atrs, houve uma guerra entre as cidades de Atenas e de Tria.
Como Tria era extremamente fortificada, os militares gregos a consideravam inexpugnvel. Para domin-la os
gregos construram uma enorme esttua de madeira na forma de um cavalo e deram de presente para os troianos
que a aceitaram de bom grado. O problema que o cavalo foi recheado com centenas de soldados que, durante
a noite, abriram os portes da cidade possibilitando a entrada dos soldados gregos e a dominao de Tria. Da
surgiram os termos Presente de Grego e Cavalo de Tria.
Em tempos modernos o cavalo virou um programa e a cidade o seu computador. Conhecidos como Cavalos de
Tria ou Trojan Horses estes programas so construdos de tal maneira que, uma vez instalados nos
computadores, abrem portas em seus micros, tornando possvel o roubo de informaes (arquivos, senhas, etc.).
Como meu computador pode ser infectado por um Cavalo de Tria?
Normalmente voc receber o Cavalo de Tria como presente (de grego). Ele pode ser dado a voc de vrias
maneiras, mas na maioria das vezes ele vem anexado a algum e-mail. Estes e-mails vm acompanhados de
mensagens bonitas que prometem mil maravilhas se o arquivo anexado for aberto. No se deixe enganar. A
melhor poltica nunca abrir um arquivo anexado, principalmente se o remetente for desconhecido.
Programas piratas, adquiridos pela rede, podero conter Cavalos de Tria, assim, evite a instalao de programas
de procedncia desconhecida ou duvidosa.
O que um Cavalo de Tria pode fazer em meu computador?
O Cavalo de Tria, na maioria das vezes, vai possibilitar aos hackers o controle total da sua mquina. Ele poder
ver e copiar todos os seus arquivos, descobrir todas as senhas que voc digitar, formatar seu disco rgido, ver a
sua tela e at mesmo ouvir sua voz se o computador tiver um microfone instalado. Este processo chamado de
invaso.
O hacker poder me invadir se o computador no estiver conectado Internet?
No, o Cavalo de Tria somente poder ser utilizado se o computador estiver conectado Internet. Os hackers
somente invadem computadores quando eles esto conectados.
O computador pode ser infectado por um Cavalo de Tria sem que se perceba?
Sim, com certeza! Essa a idia do Cavalo de Tria, entrar em silncio para que voc no perceba e quando
voc descobrir ser tarde demais.
Como posso saber se o computador est infectado?
Os programas anti-vrus normalmente detectam os programas Cavalos de Tria e tratam de elimin-los como se
fossem Vrus. As atualizaes dos Anti-Vrus possibilitam a deteco dos Cavalos de Tria mais recentes.
Como proteger o computador dos Cavalos de Tria?
A maioria dos bons programas de anti-vrus so capazes de detectar e eliminar estes programas. Mesmo assim
a proteo parcial, uma vez que os Cavalos de Tria mais novos podero passar despercebidos. O ideal
nunca abrir documentos anexados aos e-mails.
Existem ainda programas de Firewall pessoal que podem ser utilizados para barrar as conexes dos hackers
com os Cavalos de Tria que possam estar instalados em seu computador. Tais programas no eliminam os
Cavalos de Tria, mas bloqueiam seu funcionamento.
Backdoors
Existe uma confuso entre o que um Backdoor e um Cavalo de Tria, principalmente porque o estrago
provocado por ambos semelhante. Para deixar claro, um Cavalo de Tria um programa que cria
deliberadamente um Backdoor em seu computador. Programas que usam a Internet e que so de uso corriqueiro,
como Browsers, programas de e-mail, ICQ ou IRC podem possuir Backdoors.
Os Backdoors so abertos devido a defeitos de fabricao ou falhas no projeto dos programas, isto pode
acontecer tanto acidentalmente ou ser introduzido ao programa propositalmente. Como exemplo: verses antigas
do ICQ possuem defeito que abre um Backdoor que permite ao hacker derrubar a conexo do programa com o
servidor, fazendo que ele pare de funcionar.
Como se prevenir dos Backdoors?
A maneira mais correta sempre atualizar as verses dos programas instalados em seu computador. de
responsabilidade do fabricante do software avisar aos usurios e prover uma nova verso corrigida do programa
quando descoberto um Backdoor no mesmo.
A dica sempre visitar os sites dos fabricantes de software e verificar a existncia de novas verses do software
ou de pacotes que eliminem os Backdoors (esses pacotes de correo so conhecidos como patches ou service
packs.).
Os programas Anti-Vrus no so capazes de descobrir Backdoors, somente a atualizao dos programas que
podem eliminar em definitivo este problema. Programas de Firewall pessoal, no entanto, podem ser teis para
amenizar (mas no eliminar) este tipo de problema.
Vrus
Vrus de computador so programas capazes de se reproduzir. O ato de se reproduzir, no caso destes Vrus, a
capacidade do mesmo de se copiar de um computador a outro utilizando-se de diversos meios: atravs dos
disquetes, embutindo-se em documentos de texto ou planilhas de clculo e, atualmente, distribuindo-se por e-
mail.
Como o computador infectado por um Vrus?
Seu computador pode ser infectado de diversas maneiras:
- Atravs de um disquete esquecido no drive A: quando o micro ligado;
- Executando um programa desconhecido que esteja em um disquete ou, at mesmo, em um CD-ROM;
- Instalando programas de procedncia duvidosa;
- Abrindo arquivos do Word, Excel, etc.;
- Abrindo arquivos anexados aos e-mails.
claro que novas maneiras do computador ser infectado por um Vrus podem ser criadas. Neste caso sempre
bom manter-se informado atravs de jornais, revistas e dos sites dos fabricantes de Anti-Vrus.
O que os Vrus podem fazer no computador?
Infelizmente os Vrus podem fazer de tudo, desde mostrar uma mensagem de feliz aniversrio at destruir
irremediavelmente os programas e arquivos de seu computador. Praticamente o vrus passa a ter controle total
sobre o computador.
O computador pode ser infectado por um Vrus sem que se perceba?
Sim, sempre. A idia do Vrus permanecer escondido (encubado) reproduzindo-se e infectando outros micros
at um evento qualquer acord-lo. Geralmente os Vrus entram em atividade em alguma data especfica como na
sexta-feira, dia 13.
Como posso saber se o computador est infectado?
Os sistemas operacionais dos computadores (como o Windows ou o MacOS) no detectam Vrus, assim sendo,
a melhor maneira de descobrir se um computador est infectado atravs dos programas Anti-Vrus.
Existe alguma maneira de proteger o computador dos Vrus?
Sim, instalando e mantendo atualizado um bom programa Anti-Vrus(5) e evitando executar programas
desconhecidos. Como medida de preveno, veja a seo#Como o computador infectado por um Vrus?
(5) Alguns fabricantes de Anti-Vrus fornecem verses gratuitas para uso pessoal.
Programas de E-Mail
Medidas preventivas no uso dos programas de E-Mail
Existem no entanto medidas preventivas que minimizam os problemas trazidos com os e-mails:
1. Desligue a opo de auto-execuo dos programas anexados ao e-mail;
2. Desligue a opo de auto-abertura dos arquivos anexados aos e-mails;
3. Desligue as opes de execuo de programas Java e do JavaScript.
Todos estes tens evitam a propagao automtica dos Vrus e Cavalos de Tria. Alguns programas de e-mail
no possuem estas opes, neste caso estas funes no esto implementadas, ou seja, o programa de e-mail
no realizar estas tarefas porque no foi programado para isto.
claro que se o usurio desligar as opes 1 e 2, mas ainda assim abrir os arquivos ou rodar manualmente os
programas que vm anexados aos e-mails, ser infectado pelo Vrus (ou Cavalo de Tria). Portanto, a regra de
ouro : No abra arquivos ou programas anexados aos e-mails enviados por desconhecidos.
Browsers
Browser todo e qualquer programa que busca pginas na Internet e as apresentam na tela. Os navegadores
mais utilizados so o Internet Explorer e o Firefox.
Como um Browser pode ser perigoso?
De vrias maneiras:
- Atravs de programas Java;
- Atravs de programas JavaScript;
- Atravs de programas ou controles ActiveX;
- Atravs de downloads de programas hostis em sites no confiveis.
Nos trs primeiros casos seu browser sai rodando os programas sozinho sem interferncia do usurio, no ltimo
caso voc tem que baixar o programa da Internet em uma pasta e rodar ou instalar o mesmo.
O que Java?
Java um jeito de fazer programas, desenvolvido pela empresa Sun Microsystems de modo que o programa feito
possa ser utilizado em diversos tipos diferentes de computadores e aparelhos(6) . Na verdade quem roda os
programas Java um outro programa chamado Mquina Virtual Java. Praticamente todos os browsers possuem
uma mquina virtual dessas embutida(7) e como no existe diferena entre uma mquina virtual de um browser
para outro, basta fazer uma nica verso do programa em Java.
Estes programas aparecem dentro das pginas da Internet e podem ser desde simples programinhas de efeitos
especiais como pacotes de escritrios completos, com editor de texto, planilha de clculo, etc.. Claro que
quanto mais complexo for o programa em Java, maior seu tamanho e mais tempo leva para baix-lo da rede.
(6) O Java foi criado para ser utilizado em aparelhos eletro-domsticos como TV, vdeo, etc. Em um futuro no
muito distante ser utilizado em relgios de pulso.
(7) S por curiosidade: existem mquinas virtuais independentes, assim os programas Java podem ser rodados
sem a necessidade do browser.
Um programa Java seguro?
Normalmente sim. As mquinas virtuais dos browsers so isoladas do resto do computador, assim um programa
Java no tem como afet-lo diretamente(8). Mas defeitos nestas mquinas virtuais podem fazer com que
determinados programas em Java (s os hostis) possam causar algum estrago no computador.
(8) Chamam isso de Sandbox, ou caixa-de-areia.
Como me protejo de um programa Java hostil?
Normalmente as pginas no tm muitos programas em Java ou estes no comprometem a sua visualizao.
Assim sendo, pode-se desligar o Java no seu browser(9) evitando-se assim maiores dores de cabea. Claro que
se for absolutamente necessrio o Java estar ligado para que as pginas de um site possam ser vistas (no caso
dos sites de Home-Banking, por exemplo), basta lig-lo novamente e entrar no site.
Se voc mantiver seu browser sempre atualizado no ter grandes dores de cabea com o Java e alguns dos
anti-vrus mais atuais possuem a capacidade de detectar os programas Java hostis enquanto o browser est
baixando pela Internet.
(9) Geralmente tem um boto que desliga o Java e o JavaScript na parte de Preferncias, Configuraes ou
Opes de seu browser.
O que JavaScript?
Lembra do Java? Agora imagine que voc quer s colocar um programinha na pgina para mudar a cor de um
desenho quando a setinha do mouse passar por cima dele. Pensando nisso, foi criado o JavaScript(10).
Curiosidade: O JavaScript acompanha a pgina, ou seja, ele est misturado com os cdigos da pgina e pode
ser visto se voc pedir para o browser mostrar os cdigos. Assim, para usar o mesmo programa JavaScript em
outras pginas o profissional que faz as pginas tem que reescrever o programa em cada uma delas (se usasse
Java, neste caso, s teria que escrever uma nica vez).
(10) JavaScript pode ser encarado como a verso diet do Java.
Um programa JavaScript seguro?
Como o JavaScript uma verso bem enxuta do Java ele normalmente no capaz de realizar grandes estragos
em seu computador, mas valem para ele as mesmas dicas do Java.
Como me protejo de um programa JavaScript?
JavaScript muito mais utilizado em pginas do que o Java, assim caso voc desligue esta opo muitas
pginas deixaro de funcionar. Assim, o conselho desligar o JavaScript quando visitar uma pgina
desconhecida e relig-lo depois, caso seja necessrio.
O que ActiveX?
Os programas (ou controles) feitos em ActiveX funcionam de maneira similar aos programas feitos em Java, mas
s podem ser rodados em mquinas com Windows. Basicamente estes programas fazem a mesma coisa que os
programas Java fazem.
O ActiveX seguro?
Diferente dos programas Java, os programas ActiveX podem fazer de tudo em seu computador, desde enviar um
arquivo qualquer pela Internet, at instalar programas em sua mquina.
Antes de baixar um programa ActiveX o seu browser verifica a procedncia do mesmo atravs de um esquema de
certificados digitais(11). Se voc aceitar a certificao o programa ser rodado em sua mquina. Se os
programas vierem de um site idneo e voc aceitar o certificado do site no haver grandes problemas.
(11) Algo parecido com o reconhecimento de firma nos documentos de cartrio.
Como me protejo de um programa ActiveX?
Voc pode no aceit-los quando entra em um site ou somente aceit-los de sites conhecidos e de boa
reputao. Alguns programas de anti-vrus so capazes de identificar e bloquear programas ActiveX maliciosos.
WebChats
WebChats so conhecidos por vrios nomes, voc j deve ter visitado alguns ou pelo menos j ouviu falar deles.
WebChats so as famosas salas de bate-papo, onde as pessoas entram para jogar conversa fora.
H perigo em WebChats?
Alguns WebChats usam Java ou JavaScript nas suas pginas, assim, valem as dicas do Java e do JavaScript.
Normalmente o perigo nas salas de bate-papo so as conversas mesmo. Voc pode passar seu e-mail,
endereo, telefone, etc., numa conversa amigvel e descobrir depois que a pessoa do outro lado um
estelionatrio. Lembre-se que voc no v nem ouve as pessoas que esto nas salas. Portanto, tente no se
arriscar muito nos bate-papos, evitando passar informaes que podem ser utilizadas contra voc.
Programas de Troca Instantnea de Mensagens
So programas que possibilitam descobrir se uma pessoa est ligada na Internet e, ao mesmo tempo, trocar
mensagens, endereos de sites e arquivos com ela. Alguns programas de troca criam salas de bate-papo com
diversos tpicos, ou canais, como normalmente so chamados.
Os mais conhecidos so: MSN, ICQ, IRC, AIM, etc.. Praticamente cada provedor tem o seu prprio programa
para troca de mensagens.
Como funcionam os programas de Troca Instantnea de Mensagens?
Basicamente o programa utiliza a Internet para se conectar a um servidor especfico.
Quando o mesmo se conecta ao servidor ele registra voc no banco de dados e verifica quais dos seus amigos
esto no ar. A partir da este programa estar apto a trocar as mensagens. Caso a outra pessoa esteja fora do
ar, a mensagem ser guardada no servidor e enviada to logo esta pessoa se conecte.
Normalmente a troca de mensagens e arquivos no passa pelo servidor. Toda vez que a conexo feita o
servidor passa a conhecer o endereo na Internet (endereo IP) do seu computador(12). Este IP enviado para
os programas de troca de mensagem de seus amigos, assim, como cada um conhece o endereo do outro, as
trocas de mensagem ou arquivos no mais necessitaro do servidor(13).
(12) Toda e qualquer mquina ligada Internet, por modem, cabo, rdio, fibra-ptica, ou qualquer outro meio,
apresenta um endereo nico chamado de endereo IP. No caso de provedores, cada vez que voc liga para ele,
um IP diferente (de uma lista) fornecido para a sua mquina (IP dinmico). No caso de servidores, o IP fixo.
Funciona como nmeros de telefone.
(13) Seu programa de troca de mensagens mantm normalmente ativa a conexo para o servidor e outra
intermitente para o micro da pessoa para quem voc manda as mensagens ou arquivos.
Os programas de Troca Instantnea de Mensagens so seguros?
Programas de troca de mensagens ficam sempre conectados a um servidor (seno no teriam como saber quem
est no ar) e, como esto conectados, podem ser atacados por hackers. No se esquea que os programas que
utilizam a Internet para prestar algum servio (neste caso troca de mensagens) podem possuir Backdoors e
ficarem sujeitos a ataques externos.
Como me proteger nos programas de Troca Instantnea de Mensagens?
Valem sempre as mesmas regras bsicas. No aceite arquivos de pessoas desconhecidas, principalmente
programas de computadores. Tente evitar fornecer muita informao a pessoas que voc acabou de conhecer,
como nos WebChats e, principalmente, esconda seu endereo da Internet (endereo IP) quando estiver utilizando
este tipo de programa. Os programas de troca de mensagens possuem esta opo em sua configurao e
quando acionada a troca das mensagens passa a ocorrer somente pelo servidor (a troca de arquivos
normalmente deixa de funcionar neste caso).
Os fornecedores destes programas geralmente mantm pginas na Internet com consideraes a respeito de
segurana e o que fazer para se proteger melhor. Vale a pena gastar uns minutinhos de seu tempo para ler estas
pginas ou ler dicas de utilizao nas revistas especializadas em informtica. A cada nova verso destes
programas, mais recursos so introduzidos, mudando os aspectos de segurana, assim, o negcio ficar
sempre de olho nestes sites, nas revistas especializadas e nos cadernos de informtica dos jornais para verificar
se as opes de segurana dos programas foram alteradas, assim como dicas de utilizao.
O caso do IRC mais complicado, como o programa mais complexo, possui um grande nmero de comandos
e tem vrias salas de bate-papo (no IRC so chamados de canais), fica difcil pensar em segurana. Por
exemplo: existe a possibilidade de o usurio do IRC, sem querer, tornar disponvel o acesso ao disco rgido (drive
C:) de seu computador, possibilitando aos outros usurios do IRC roubarem a sua senha do provedor ou outros
dados importantes. O IRC um programa muito utilizado por hackers para troca de informaes e arquivos, por
isso, todo cuidado pouco.
Programas de Distribuio de Arquivos
Arquivos podem ser enviados (upload) ou recebidos (download) por uma infinidade de maneiras diferentes: atravs
do e-mail, atravs dos programas de mensagem instantnea (ICQ, entre outros) e mesmo atravs dos browsers.
Mas, diferente destes, existem os programas construdos com a nica finalidade de facilitar a troca de
determinados tipos de arquivos entre os usurios, como o caso do Napster (que troca arquivos de msica do
tipo MP3), o Gnutella e o Kazaa (que troca todo e qualquer tipo de arquivo).
Como funcionam os programas de Distribuio de Arquivos?
Estes programas funcionam da seguinte maneira: quando o programa conectado ao servidor ele envia uma lista
dos arquivos que esto em uma pasta especfica (j pr-configurada na instalao do programa) de seu
computador e esta lista fica disponvel para os demais usurios do programa no mundo todo.
Quando voc busca por um arquivo (msica por exemplo) o programa pergunta ao servidor quais computadores
possuem aquele arquivo, quando voc escolhe um dos arquivos o programa que est rodando em sua mquina se
conectar ao programa da outra pessoa e baixar o arquivo escolhido para alguma pasta de seu computador (j
pr-configurada e, normalmente, diferente da pasta anterior).
Assim o nico trabalho do servidor manter uma lista de quais computadores esto no ar (conectados internet
e rodando o programa de distribuio de arquivos) e a lista dos arquivos disponveis. O trabalho de baixar os
arquivos e enviar os arquivos para seus amigos (quando eles pedem o arquivo) de seu computador.
Os programas de Distribuio de Arquivos so seguros?
Imagine a seguinte situao, se voc sem querer altera a configurao de um programa desses e coloca como
pasta de distribuio (aquela onde voc coloca os arquivos para distribuio) uma pasta com informaes
confidenciais a seu respeito ou na pasta C:\Windows onde ficam guardadas as suas senhas, com o Napster voc
no iria ter grandes problemas visto que ele s trata de programas de msica, mas no caso do Gnutella e do
Kazaa, automaticamente todos os arquivos estaro disponveis. Dificilmente arquivos de msica, foto ou vdeo
apresentaro problemas, a dificuldade maior ser com os arquivos de programas que podero conter Vrus ou
Cavalo de Tria embutidos. Vale a mesma regra dos casos anteriores, evite baixar da rede programas de
desconhecidos.
Como me proteger usando programas de Distribuio de Arquivos?
Valem sempre as mesmas regras: sempre desconfie de programas ou arquivos de desconhecidos, pois eles
podem conter vrus ou cavalos-de-tria. Tenha um bom anti-vrus em seu computador e mantenha-o atualizado
sempre.
Privacidade
Privacidade nas visitas aos sites
Voc j deve ter percebido que quando entra em determinados sites aparecem na pgina dados de seu
computador que s vezes at assustam. Parecem adivinhar at a cor do papel-de-parede que voc est utilizando
em seu computador. Isto ocorre porque existe um bate-papo entre o seu browser e o site que voc est visitando.
Entre as informaes que seu browser entrega de bandeja para o servidor do site visitado esto:
- O endereo na Internet de seu computador (endereo IP);
- Nome e verso do sistema operacional;
- Nome e verso do browser;
- ltima pgina visitada;
- Resoluo do monitor.
Com estas informaes os sites conseguem fazer as estatsticas de visitao, adequar pgina do site ao
browser do usurio, etc.
Seu browser sempre passar estas informaes aos sites visitados.
O que so Cookies?
Cookies so pequenas informaes, deixadas pelos sites que voc visita, em seu browser. Os Cookies so
utilizados pelos sites de diversas formas, eis algumas:
- Para guardar a sua identificao e senha quando voc pula de uma pgina para outra;
- Para manter uma lista de compras em sites de comrcio eletrnico;
- Personalizao de sites pessoais ou de notcias, quando voc escolhe o que deseja que seja mostrado nas
pginas destes sites;
- Manter alvos de marketing, como quando voc entra em um site de CDs e pede somente CDs de MPB, e
depois de um tempo voc percebe que a promoes que aparecem so sempre de CDs de MPB (as que voc
mais gosta);
- Manter a lista das pginas vistas em um site, para estatstica ou para retirar as pginas que voc no tem
interesse dos links.
O problema com relao aos Cookies que eles so utilizados por empresas que vasculham suas preferncias
de compras e espalham estas informaes para outros sites de comrcio eletrnico. Assim voc sempre ter
pginas de promoes ou publicidade, nos sites de comrcio eletrnico, dos produtos de seu interesse. Na
verdade no se trata de um problema de segurana, mas alguns usurios podem considerar este tipo de atitude
uma invaso de privacidade.
Os browsers possuem opes que desligam totalmente o recebimento de Cookies, limitam o trnsito dos
mesmos entre seu browser e os sites visitados ou opes que fazem com que seu browser pea uma
confirmao ao usurio toda vez que recebe um cookie. Alguns browsers possibilitam ver o contedo dos
Cookies.
Privacidade dos e-mails
Todos os provedores so capazes de ler as correspondncias eletrnicas de seus usurios, sempre. Esta notcia
geralmente cai como uma bomba. Por mais que os provedores possam negar, os e-mails ficam a disposio do
administrador dos servidores. Existe, no entanto, um consenso tico de o provedor nunca olhar o contedo das
caixas-postais dos usurios sem o consentimento dos mesmos.
O sistema de envio e recebimento de e-mails foi criado, na dcada de 70, visando a troca de mensagens simples
e curtas entre duas pessoas. A partir da este servio cresceu assustadoramente, mas manteve a simplicidade
original. O problema desse sistema que foi comparado com o correio terrestre normal (se bem que um carteiro
qualquer poderia ler seus cartes-postais), dando a falsa idia de que os e-mails so confidenciais.
As mensagens que chegam em sua caixa postal ficam armazenadas em um arquivo no servidor at voc se
conectar na Internet e baixar os e-mails atravs do seu programa de e-mails. Portanto, enquanto os e-mails
estiverem no servidor ou em trnsito eles podero ser lidos pelos administradores dos servidores do provedor. Se
a informao que se deseja enviar por e-mail for confidencial a soluo a utilizao de programas de criptografia
que trancam o e-mail atravs de chaves (senhas ou frases) e que so podem ser destrancados por quem
possuir a chave certa para isso. Alguns programas de criptografia j podem estar embutidos nos programas de e-
mails ou podem ser adquiridos separadamente e serem anexados aos programas de e-mails. Prefira no caso os
programas de criptografia que trabalham com pares de chaves, vide seo #Criptografia e Assinatura Eletrnica
de Documentos.
SPAM
Muitos de ns j devem ter recebido pelo menos um SPAM. Estas so as famosas mensagens de e-mails no
solicitadas e que entulham nossas caixas-postais de baboseiras. O SPAM no oficialmente proibido, mas
considera-se, na Internet, uma falta de tica descabida.
Existem organizaes no governamentais que matm listas de domnios neste contexto (domnios so os
nomes que aparecem depois do @ no endereo de e-mail) que sempre so origem de SPAM. Seu provedor pode,
ou no, dependendo da poltica adotada, configurar o sistema de recebimento de e-mails para bloquear os e-
mails vindos dos domnios destas listas.
HOAX
Hoaxes(14) so comuns na Internet e so e-mails que possuem contedos alarmantes ou falsos, geralmente
apontando como remetentes empresas importantes ou rgos governamentais. Em geral se voc ler atentamente
estes e-mails notar que seus contedos so absurdos sem sentido. Essas mensagens podem estar
acompanhadas de vrus.
Dentre os hoaxes tpicos temos as correntes ou pirmides, pessoas ou crianas que esto prestes a morrer de
cncer, etc.. Histrias deste tipo so criadas para espalhar desinformao pela Internet. Este tipo de e-mail foi
inventado para entupir as caixas postais dos grandes provedores. Outro objetivo de quem escreve este tipo de
mensagem verificar o quanto ela se espalha pelo mundo e por quanto tempo ela continua a ser espalhada, mais
ou menos os objetivos de quem programa Vrus. Estas mensagens se propagam tanto pela boa vontade e
solidariedade de quem as recebe e, por isso, praticamente impossvel elimin-las da Internet.
Quem repassa este tipo de mensagem para os amigos ou conhecidos acaba endossando ou avalizando
indiretamente o que est escrito, e as pessoas que recebem os e-mails de voc acabam confiando em sua
pessoa e no verificam a procedncia nem a veracidade da histria.
(14) Boatos.
Seus dados pessoais
Jamais entregue seus dados pessoais (nome, e-mail, endereo, nmeros de documentos e, principalmente,
nmero de carto de crdito) em qualquer site que voc visita. No se esquea que estas informaes so
guardadas em algum banco de dados do site e podem ser vendidas (o que seria anti-tico) para outras empresas.
Seu e-mail pode ser utilizado em alguma lista de distribuio de SPAMs.
Formulrios, Comrcio Eletrnico e Home-Banking
Sempre que utilizar a internet para transaes comerciais envolvendo seu dinheiro, verifique dois tens
importantssimos:
- Se o site visitado pertence a uma instituio de confiana e tem bom nome no mercado;
- Se o site utiliza algum esquema de conexo segura(15).
O primeiro item deve ser bvio ao usurio, sites desconhecidos podem causar mais aborrecimentos do que
solues.
O segundo item o mais importante no caso, pois garante que os dados digitados nos formulrios (ou na
realizao das transaes bancrias, por exemplo) estejam protegidos dos olhares curiosos dos hackers.
Como verificar, ento, se a conexo segura? Existem duas maneiras diferentes, primeiro atravs do endereo
do site que deve comear com https:// (diferente dos http:// das conexes normais), o "s" antes do sinal de dois-
pontos indica que o endereo em questo de um site com conexo segura e, portanto, os dados do formulrio
sero criptografados (vide seo #Criptografia e Assinatura Eletrnica de Documentos) antes de serem enviados.
Outra indicao, e a mais importante, que o seu browser ir indicar se a conexo est segura atravs de algum
sinal. O sinal mais adotado nos browsers o de um desenho de um cadeadinho fechado (se o cadeado estiver
aberto, a conexo no segura). Se voc clicar em cima deste cadeado voc obter informaes sobre o mtodo
de criptografia utilizado para cifrar os dados do formulrio (ou da transao), verifique sempre o tamanho da chave
utilizada, chaves menores que 40bits, que so usadas em browsers mais antigos, so consideradas inseguras, o
ideal utilizar browsers que usem chaves de pelo menos 128bits de tamanho (as verses mais atuais dos
browsers j utilizam chaves deste tamanho).
As transaes comerciais via Internet so to seguras quanto as realizadas no balco, somente verifique se a
conexo est segura antes enviar qualquer dado ao site.
(15) No caso, chamado de SSL (Secure Socket Layer).
Programas para a Proteo do Usurio
Anti-Vrus
Os anti-vrus so programas que detectam, anulam e eliminam os vrus de computador. Atualmente os programas
anti-vrus foram ganhando novas funcionalidades e conseguem eliminar Cavalos de Tria, barram programas Java
e ActiveX hostis e verificam e-mails.
Um bom anti-vrus deve possuir as sequintes funcionalidades:
- Identificar e eliminar uma boa quantidade(16) de vrus;
- Analisar os arquivos que esto sendo baixados pela internet;
- Verificar continuamente os discos rgidos e flexveis (Drives C: e A:) de forma transparente ao usurio;
- Procurar Vrus e Cavalos de Tria em arquivos anexados aos e-mails;
- Criar um disquete de verificao (disquete de boot) que pode ser utilizado caso o vrus seja mais esperto e anule
o anti-vrus que est instalado no computador;
- Atualizar os bancos de dados de vrus pela rede.
Alguns anti-vrus, alm das funcionalidades acima, ainda verificam o funcionamento dos programas de seu
computador, avisando ao usurio; caso algum programa comece a apresentar algum comportamento suspeito(17)
(como por exemplo, o programa de e-mail comear a mandar e-mails sozinho).
As dicas para o uso do anti-vrus so simples: mant-lo sempre atualizado e criar o disquete de verificao para
utiliz-lo de vez em quando ou quando seu computador estiver apresentando um comportamento anormal (mais
lento, gravando ou lendo o disco C: fora de hora, etc.). importante passar manualmente o anti-vrus em todo e
qualquer disquete que esteja no drive A:. Algumas verses de anti-vrus so gratuitas para uso pessoal e podem
ser baixadas pela Internet.
(16) Existem mais de 50.000 tipos de vrus
(17) Isto feito com tcnicas de inteligncia artificial.
Firewalls
Os Firewalls so sistemas ou programas que barram conexes indesejadas na Internet. Assim, se algum hacker
ou programa suspeito tenta fazer uma conexo ao seu computador o firewall ir bloquear. Com um firewall
instalado em seu computador, grande parte dos cavalos de tria sero barrados mesmo se j estiverem
instalados em seu computador.
Alguns programas de firewall chegam ao requinte de analisar continuamente o contedo das conexes, filtrando
os cavalos de tria e os vrus de e-mail antes mesmo que os anti-vrus entrem em ao. Esta anlise do
contedo da conexo serve, ainda, para os usurios barrarem o acesso a sites com contedo ertico ou ofensivo,
por exemplo.
Existem, ainda, pacotes de firewall que funcionam em conjunto com os anti-vrus possibilitando ainda um nvel
maior de segurana nos computadores que so utilizados em conexes com a Internet.
Assim como certos anti-vrus, alguns fabricantes de firewalls oferecem verses gratuitas de seus produtos para
uso pessoal. Existem programas e sistemas de firewall extremamente complexos que fazem uma anlise mais
detalhada das conexes entre os computadores e que so utilizados em redes de maior porte e que so muito
caros para o usurio domstico. A verso domstica deste programa geralmente chamada de firewall pessoal.
Normalmente estes programas de firewall criam arquivos especiais em seu computador denominados de arquivos
de log. Nestes arquivos sero armazenadas as tentativas de invaso que o firewall conseguiu detectar e que so
avisadas ao usurio. Caso necessrio envie este arquivo de log para seu provedor, assim o pessoal do provedor
poder comparar os seus logs com os do provedor, verificando se a invaso ocorreu de fato ou foi um alarme
falso(18).
(18) Os firewalls baseiam-se em regras genricas de verificao e, infelizmente, geram muitos avisos falsos. Por
isso a necessidade de se comparar com os logs do provedor.
Criptografia e Assinatura Eletrnica de Documentos
Criptografia a arte e a cincia de criar mensagens que possuem combinaes das seguintes caractersticas:
ser privada, somente quem enviou e quem recebeu a mensagem poder l-la; ser assinada, a pessoa que recebe
a mensagem pode verificar se o remetente mesmo a pessoa que diz ser e ter a capacidade de repudiar
qualquer mensagem que possa ter sido modificada. Os programas de criptografia disponveis no mercado, para
criptografia de mensagem de e-mails, normalmente possuem todas estas caractersticas.
Um mtodo de criptografia de texto utilizado por Jlio Csar para se comunicar com suas tropas conhecido
atualmente por Rot13(19), que consistia em trocar as letras das palavras por outras (13 letras distantes), assim A
seria trocado por O, B por P e assim por diante (Z seria trocado por M). Para obter o texto original basta
destrocar as letras. claro que atualmente existem receitas(20) de criptografia muito mais complicadas e
poderosas do que esta.
As receitas de criptografia atuais utilizam o que chamamos de chave para cifrar e decifrar uma mensagem.
Esta chave uma seqncia de caracteres, como sua senha, que so convertidos em um nmero(21). Este
nmero utilizado pelos programas de criptografia para cifrar sua mensagem e medido em bits, quanto maior o
tamanho da chave, mais caracteres (letras, nmeros e sinais) devem ser utilizados para cri-la(22).
(19) Qualquer computador atual quebra esse tipo de criptografia num piscar de olhos.
(20) Em informatiqus as receitas so chamadas de algortmos. Um programa de computador , portanto, um
conjunto de algortmos que realizam alguma tarefa.
(21) Para o computador um texto uma lista de nmeros, claro que cada nmero representa uma letra ou
caracter.
(22) Alguns exigem chaves to grandes que normalmente so chamadas de passphrases. Os passwords
tambm podem ser considerados chaves.
Criptografia de Chave nica
Quando um sistema de criptografia utiliza chave nica quer dizer que a mesma chave que cifra a mensagem
serve para decifr-la. Isto quer dizer que para voc e seus amigos poderem trocar mensagens cifradas todos
devero utilizar a mesma chave. claro que se voc se corresponder (trocar e-mails) com um grande nmero de
pessoas a sua chave perder a utilidade pois todos a conhecero, portanto, estes mtodos so mais teis para
cifrar documentos que estejam em seu computador do que para enviar mensagens para amigos. Os mtodos de
criptografia por chave simples so rpidos e difceis de decifrar. As chaves consideradas seguras para este tipo
de mtodo de criptografia devem ter pelo menos 128 bits de comprimento.
Criptografia de Chaves Pblica e Privada e Assinatura Eletrnica de Documentos.
Este tipo de mtodo de criptografia utiliza duas chaves diferentes para cifrar e decifrar suas mensagens. Eis
como funciona: com uma chave voc consegue cifrar e com a outra voc consegue decifrar a mensagem. Qual a
utilidade de se ter duas chaves ento? Ora, se voc distribuir uma delas (a chave pblica) para seus amigos
eles podero cifrar as mensagens com ela, e como somente a sua outra chave (a chave privada) consegue
decifrar, somente voc poder ler a mensagem. Este mtodo funciona ao contrrio tambm, se voc usa a sua
chave privada para cifrar a mensagem, a chave pblica consegue decifr-la. Parece intil mas serve para
implementar um outro tipo de servio em suas mensagens (ou documentos): a Assinatura Eletrnica.
A assinatura eletrnica funciona da seguinte maneira: o texto de sua mensagem verificado e nesta verificao
gerado um nmero(23) (este nmero calculado de tal forma que se apenas uma letra do texto for mudada, pelo
menos 50% dos dgitos do nmero mudam tambm), este nmero ser enviado junto com a sua mensagem mas
ser cifrado com sua chave privada. Quem receber a mensagem e possuir sua chave pblica vai verificar o texto
da mensagem novamente e gerar um outro nmero. Se este nmero for igual ao que acompanha a mensagem,
ento a pessoa que enviou o e-mail ser mesmo quem diz ser.
Ainda, se algum mudar algo na mensagem os nmeros no sero mais iguais mostrando que a mensagem foi
modificada por algum. Lembre-se que suas mensagens de e-mail podero ser somente cifradas, somente
assinadas ou cifradas e assinadas ao mesmo tempo. As duas operaes so independentes. Estes mtodos de
criptografia, no entanto, apresentam dois problemas. So muito mais lentos que os mtodos de chave nica e as
chaves pblica e privadas tm que ser muito maiores. Uma chave segura (difcil de ser descoberta) neste caso
deve medir pelo menos 512 bits(24). O mtodo de chave pblica e privada mais conhecido o PGP(25) (existem
verses gratuitas na Internet) que adiciona estas funcionalidades ao seu programa de e-mail.
S por curiosidade, a Casa Branca utiliza este tipo de programa para a troca de mensagens entre o presidente e
os seus assessores.
(23) So conhecidos por algoritmos de digest o mais simples conhecido somar o valor numrico de cada letra
da sua mensagem e usar este nmero. Por exemplo: aqueles 2 dgitos (dgitos verificadores) que aparecem no
fim do CPF so gerados por um digest.
(24) So usadas chaves de 1024 bits normalmente, militares usam 2048 e paranicos utilizam chaves de 4192
bits.
(25) Pretty Good Privacy.
Quo segura a receita de criptografia?
Sabemos que por mais poderosa que seja a receita de criptografia ainda assim ela pode ser decifrada. O
importante saber em quanto tempo isto pode ocorrer, por exemplo, no caso de mtodos de chave nica, se
utilizarmos chaves de 40 bits em alguns dias a mensagem pode ser decifrada (testando todas as 240 chaves
possveis(26)). Se utilizarmos chaves de 128 bits (2128 de chaves possveis(27)) um supercomputador demoraria
alguns milhes de anos. Este o caso de se testar todas as chaves possveis, claro que podem ter falhas na
receita da criptografia, mas as receitas que esto no mercado foram bem testadas e a complexidade de algumas
delas garantem a segurana do mtodo. Normalmente as quebras das chaves so realizadas por fora-bruta
mesmo, testando uma por uma at descobrir a chave utilizada.
(26) Isto igual a 1.099.511.627.776 de chaves diferentes.
(27) Isto igual a 340.282.366.920.938.463.463.374.607.431.768.211.456 de chaves diferentes.
Fui atacado e agora?
Toda vez que voc se sentir lesado, seja por ataques, seja por e-mail no solicitado, entre em contato com seu
provedor. Todos os bons provedores possuem uma equipe para cuidar da segurana de seus usurios e do
prprio provedor. Segundo normas da internet (RFC2142), todos os provedores (domnios(28)) devem possuir os
seguintes endereos de e-mails:
-abuse@(seu provedor).com.br (Usado para informar a respeito dos SPAMs ou e-mails de contedo abusivo ou
ofensivo);
-noc@(seu provedor).com.br (Utilizado para relatar problemas com a rede);
-security@(seu provedor).com.br (Utilizado para relatar problemas envolvendo segurana, como invases,
ataques, etc.).
(28) Um domnio normalmente o que vem depois do @ no endereo de e-mail

Cartilha de Segurança - Suporte

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Cartilha de Segurança - Suporte

Enviado por

Direitos autorais:

Formatos disponíveis

17/7/2014 Cartilha de Segurana - Suporte

Você também pode gostar