Você está na página 1de 90

UM GUIA SIMPLES E DIVERTIDO

DESCOMPLICANDO A
SEGURANÇA DIGITAL
HUGO CARVALHO
© Hugo Carvalho

Dedico este livro aos meus pais que sempre acreditaram no


meu potencial e abriram mão de muitas coisas para que eu
pudesse estudar e me dedicar a ser um profissional de
tecnologia apaixonado por tudo que faço.

Um agradecimento especial ao amigo Arthur Gomes pela


concepção da capa deste livro. Ficou incrível!

Hugo Carvalho

Para quem é este livro?


Este livro foi elaborado por uma pessoa extremamente
técnica que se esforça ao máximo para trazer analogias e
uma linguagem simples e de fácil compreensão mesmo
para os não técnicos. Costuma funcionar! Não vou mentir.
As pessoas da área de engenharia/computação terão muito
mais facilidade. Mas não deixe isso te desestimular! O
assunto tratado neste livro é extremamente relevante (e
interessante), seja para técnicos, seja para não técnicos.
Conhecer os assuntos aqui mencionados é a garantia de um
sono mais tranquilo e também um diferencial em qualquer
carreira que interaja com o mundo digital (praticamente
todas hoje em dia).

Í
Índice
0 - Sobre o Autor

1 - Introdução

2 - O ambiente de ameaças e vulnerabilidades

3 - Conhecendo o inimigo

4 - Ferramentas de defesa e boas práticas

5 - Segurança no dia a dia

6 - Casos Reais e curiosidades

7 - Conclusões

0 - Sobre o Autor
Hugo Carvalho é um profissional apaixonado por tecnologia,
que desde criança é fascinado pelo poder que o mundo
digital agrega as pessoas e facilitam suas vidas. Ele já se
aventurou (e fracassou) pelos mais diversos cenários e
empresas, trabalhando como pesquisador em tecnologia,
desenvolvedor, empreendendo, e ultimamente dirigindo a
área de TI de uma grande empresa brasileira. Em sua
carreira, também já passou por grandes empresas como a
Amazon Web Services, onde foi o responsável técnico por
todas as Startups que utilizam cloud na America Latina nos
mais diversos estágios de maturidade e foi o arquiteto de
soluções responsável pela conta do Nubank, um dos
maiores unicórnios brasileiros.
Já recebeu com uma de suas startups o prêmio de Jovem
Empreendedor do jornal O Globo e da FGV e também teve
uma de suas startups eleita como a melhor startup do Brasil
em 2014 no Desafio Brasil, onde concorreu com mais de
1000 startups de todo o país.

Hugo possui mestrado e graduação Universidade Federal do


Rio de Janeiro na área de computação em nuvem e
engenharia de computação. Tem uma especialização em Big
Data pela Fundação Getúlio Vargas e nas escassas horas
livres, gosta de estudar sobre segurança, computação em
nuvem e desenvolvimento de software. Recentemente, tirou
a certificação da Amazon Web Services de especialista em
segurança, o que ratifica ainda mais a validade e
confiabilidade dos conteúdos desse livro.

1 - Introdução

Ninguém está seguro na Internet. Ninguém nunca


esteve. Ninguém nunca estará seguro na Internet.
Todos sabemos disso. Mas todos nos esquecemos
disso, pois todos nos acomodamos com isso.

- Frase sem autor, encontrada na Internet. Onde não


estamos seguros.

A única certeza que podemos ter no mundo digital é que em


algum momento vamos temer por nossa segurança e
teremos nossos dados comprometidos. A quantidade de
ataques digitais cresce exponencialmente, em uma eterna
briga de gato e rato entre os atacantes e as empresas de
segurança. Não é uma questão de se acontecer. É uma
questão de quando vai acontecer.
Diferente de antigamente, quando os atacantes possuíam
um baixo poder de fogo e precisavam estudar muito a fundo
um alvo que recompensasse o esforço necessário para um
ataque, hoje em dia existem ferramentas automatizadas
(que podem por exemplo serem adquiridas na Dark Web por
alguns Bitcoins) que realizam incessantes varreduras na
Internet em busca de dispositivos vulneráveis. Aquela figura
do hacker do mal nerd, profundo conhecedor de tecnologia,
cheio de espinhas e com péssimo traquejo social, foi
somada aos hackers do mal “ gourmet”, que usam e
abusam da engenharia social e de ferramentas prontas que
fazem todo o trabalho sujo, só restando para esses
atacantes colher os seus lucros. Agora mesmo uma pessoa
com pouco conhecimento técnico, mas com algum dinheiro,
já pode fazer parte deste lucrativo mercado dos crimes
virtuais.

Adicionalmente, o mundo caminha para um cenário ainda


mais conectado. O mundo da década de 1990, quando era
difícil ter uma residência com um computador ainda mais
difícil ter um computador com acesso à Internet (discada
por sinal), deu espaço para um mundo com residências com
Internet rápida (banda larga ligada 24x7) e com dezenas de
dispositivos conectados à rede, desde os celulares,
passando por notebooks, tablets, TVs, roteadores sem-fio,
fechaduras e até geladeiras. Um prato cheio para os
atacantes, que possuem uma superfície de ataque ainda
maior para buscar por vulnerabilidades.

Finalmente, outra mudança fundamental é o uso da


tecnologia para transitar e armazenar informações
sensíveis. Antigamente, vivíamos no mundo off-line, com
fotos impressas em lojas, muitos cadernos e coisas escritas
na máquina de escrever. Hoje em dia, temos tudo em
nossos meios digitais. Fotos, vídeos, acesso ao banco,
acesso ao cartão de crédito, trocas de mensagem,
documentos, etc.

Hoje em dia, o grande desafio para a segurança (minha e


sua) e do usuário geral se resume a se tornar um alvo
menos apetitoso para os ataques existentes. Não podemos
ser aquele personagem frágil que sempre morre primeiro
nos filmes de terror. E não seremos se seguirmos à risca
todo o conteúdo desse livro. Espero que o processo seja
divertido e ao mesmo tempo lhe traga ferramentas e
reflexões que o diferenciem. Para quem não aplicar tudo,
ficarei satisfeito se você pelo menos se conscientizar de
todas ameaças existentes e seja mais cauteloso ao tomar
ações no mundo digital, medindo as possíveis
consequências. Que um atacante te ache um alvo
desinteressante e busque outra pessoa para infernizar a
vida.

O livro começa com algumas definições básicas sobre o que


é a privacidade no mundo de hoje em dia, assim como a
anonimidade e a pseudo-anonimidade. Vamos explicar
sobre o mundo atual e as diversas ameaças existentes,
assim como alguns conceitos básicos da área de segurança
e um modelo conhecido como Modelo de Zero-Confiança.

Vamos te ajudar a não ser mais uma vítima em potencial.


Desenvolver instintos de segurança e proteger melhor seus
ativos. Para que você entenda todo o panorama, vamos
explicar em detalhes e com exemplos do mundo real as
formas de ameaça mais utilizadas por atacantes, assim
como as melhores ferramentas e processos para se
proteger. Por fim, você terá acesso a um material muito rico
sobre como se proteger e ter segurança nas suas diversas
interações com o mundo digital como os notebooks,
desktops, smartphones, redes sem fio, etc.
2 - O ambiente de ameaças e
vulnerabilidades

Se você colocar uma chave embaixo do tapete para a


polícia, um bandido também pode encontrá-la.
Criminosos estão usando todas ferramentas
tecnológicas que estão ao seu alcance para hackear
contas pessoais. Se eles sabem que existe uma
chave escondida em algum lugar, eles não vão parar
até encontrar essa chave.

- Tim Cook

Uma análise sobre você mesmo


Vamos começar com um experimento. Quero que você
pegue um papel (ou mentalmente se você for um ninja. Ou
um bloco de notas no computador) e faça algumas reflexões
e anotações. Não, isso não é um livro de auto-ajuda. Bom,
talvez seja ;).

Inicialmente, quero que você pense em você, em sua


família, na empresa onde você trabalha ou é dono. Se você
é alguém técnico, quero que você também pense nos
sistemas que você desenvolve ou é responsável. Para cada
um deles, defina:

❖ O que é mais confidencial?

❖ O que você não aceita perder?

❖ O que é insubstituível?
❖ O que poderia causar mais dano?

❖ O que poderia impactar a sua reputação?

Alguns exemplos para inspirar:

❖ Fotos e vídeos;

❖ Dados de cartão de crédito;

❖ Contas em banco e corretoras de investimento;

❖ Cópias de documentos pessoais, PF, Identidade,


CNH;

❖ Contas em sites como Linkedin, Facebook,


PagSeguro, Mercado Livre, etc.;

❖ Segredos empresariais;

❖ Contas de email;

❖ Carteira de Bitcoin ou outras criptomoedas;

❖ Senhas;

❖ Dados financeiros;

❖ Aquele Post-it grudado no monitor com a senha do


banco.

Aposto que ao refletir, você percebeu que existem muitas “


coisas” (vamos chamar essas coisas de ativos) que você dá
valor (e quanto valor!).

No contexto de segurança da informação, ativos são


elementos que devem ser avaliados e protegidos, como por
exemplo: dados, informações, equipamentos (hardware),
código (software) e as pessoas que estão envolvidas nos
processos relacionados. Esse é o primeiro passo para a
segurança. Você precisa entender os seus objetivos de
segurança e quais medidas você precisa tomar para
garantir que as coisas que você dá valor (com um alto grau
de importância) tenham os cuidados de segurança
proporcionais a essa importância. Por exemplo, você não
quer ter seus dados de cartão de crédito roubados, senão
alguém pode efetuar uma compra no seu nome e você terá
que pagar injustamente um enorme valor para a operadora
do cartão. Fora toda a dor de cabeça de ter que solicitar um
novo cartão, ter problemas de cobrança em serviços de
assinatura que estavam vinculados com o cartão, dentre
outros.

Você não quer que a inocente foto do seu filho em uma rede
social vá parar em uma rede de crimes de pedofilia ou que
aquela sua foto ou vídeo em um momento íntimo vá parar
em um grupo de Whatsapp. Durante o livro, vamos
entender como podemos fazer um esforço para atribuir
segurança aos ativos que você mais dá valor e que
apresentam os maiores riscos. Dado que o tempo é limitado
e que é impossível ter algo 100% seguro, devemos focar
nossos esforços na segurança dos ativos de maior valor.

Não vale a pena fazer o backup de um artigo que está


amplamente disponibilizado na Internet, assim como não
faz sentido aplicar uma criptografia poderosa para proteger
a foto do seu cachorro brincando com uma bolinha.
Devemos concentrar nossos esforços nos ativos que
realmente precisam de segurança e no grau de segurança
necessário para cada ativo. Após ler cada pedacinho desse
livro, aproveite para rever a sua lista de ativos. Entenda e
anote o que pode ser feito para melhorar a segurança
desses ativos a cada avanço na leitura.
Privacidade, Anonimidade e
Pseudo-Anonimidade
No mundo da segurança, existem alguns conceitos que
muitas vezes se misturam. Vamos defini-los de uma vez por
todas por aqui. O conceito de privacidade é relacionado com
tudo que você quer manter privado, de forma sigilosa ou
secreta. Uma analogia para a privacidade é a sua casa. Se
você morar sozinho, ninguém sabe o que você faz dentro da
sua casa. Isso é privado. No entanto, muita gente sabe que
você mora na sua casa, o endereço, número, etc. Nesse
caso, você tem privacidade em casa, mas não anonimidade.

Anonimidade tem relação com as pessoas não saberem


quem você é, mas ao mesmo tempo essas pessoas podem
saber o que você fez/faz. Anonimidade tem relação com
você separar suas ações e atividades da sua identidade
real. Um exemplo seria um ativista que se conecta através
de uma rede que busca garantir a anonimidade (como a
rede Tor, que explicaremos mais adiante no livro), acessa
um site que permite comentários e comenta sobre algum
tema polêmico ou proibido no país onde esse ativista está
localizado. A mensagem está aberta a todos (não temos
privacidade), mas as pessoas dificilmente descobrirão quem
enviou a mensagem (anonimidade). Na Internet, um
fenômeno comum é o da falsa sensação de anonimato.
Existem diversos casos de pessoas que criam perfis falsos
para disseminar ódio ou conteúdo preconceituoso. Essas
pessoas acham que estão anônimas. Para esses casos,
existem formas de rastrear esse usuário como por exemplo
através do endereço IP e de informações que o próprio
navegador web pode entregar como o modelo do dispositivo
que está sendo usado, seu sistema operacional, etc. Em
alguns cenários, podemos pensar ainda na pseudo-
anonimidade.
A pseudo-anonimidade existe no contexto de você querer
ter uma presença digital (e uma reputação digital), com um
conjunto de ações vinculados com um perfil. Mas ao mesmo
tempo você não quer que as pessoas vinculem esse perfil
com a sua pessoa física. Um exemplo seria uma pessoa que
tem um blog de finanças onde ela coloca informações sobre
investimentos pessoais, como quanto dinheiro essa pessoa
tem no banco e qual a alocação de sua carteira de
investimentos. Para proteger a sua própria segurança, essa
pessoa cria um perfil “ fake" chamado de “ investidor
ousado”. Ela cria uma conta de email para esse perfil, um
blog, etc. E se preocupa sempre em não expor informações
demais para que terceiros não consigam vincular o perfil
virtual com o perfil real da pessoa. Todos na comunidade de
finanças podem conhecer o investidor ousado e suas ações,
mas eles terão dificuldade em identificar a pessoa por trás
desse personagem.

Um famoso exemplo de um pseudo-anônimo reconhecido na


Internet é o Satoshi Nakamoto, o misterioso criador do
Bitcoin. Ele é um pseudônimo usado por alguém (ou um
grupo de pessoas) para divulgar na Internet o design do
Bitcoin e seu guia de implementação. Até hoje, ninguém
sabe quem é o responsável pelo perfil, apesar de que os
conhecimentos e os mecanismos propostos por esse perfil
estão sendo responsáveis por uma das grandes revoluções
na Internet, através das criptomoedas e da tecnologia de
Blockchain.

Segurança, ameaças e
vulnerabilidades
Uma forma bem interessante de se analisar a segurança é o
modelo de segurança em camadas ou modelo em cebola. É
como uma cebola. No nível de ativos, temos todos os ativos
que damos valor, e o tipo de privacidade ou anonimidade
que desejamos. Para garantir a segurança desses ativos,
precisamos nos munir de ferramentas de segurança, como
Firewalls, Criptografia, rede Tor, autenticação em duas
etapas, etc. Esses mecanismos de segurança são utilizados
para nos proteger de ameaças como Vírus, Phishing,
Exploits, Malware, Backdoors, Espionagem(não se preocupe,
vamos explicar cada um deles durante o decorrer do livro).

E por fim, essas


ameaças são feitas por adversários (ou potenciais
adversários), como hackers, crackers, espiões, criminosos,
máfia, regimes opressores, colegas de trabalho invejosos,
ex-parceiros, etc.

O modelo é o seguinte. Para cada ativo, temos que


identificar quais ameaças se encaixam, e quem são os
adversários que poderiam querer violar nossos ativos. Na
sequência, precisamos ter a capacidade de identificar e usar
os mecanismos de segurança que protejam esses ativos dos
adversários potenciais que se utilizarão de formas de
ameaça para nos comprometer. Os atacantes tentarão
explorar falhas (losangos vermelhos-escuro na imagem) na
sua segurança para atingir esse fim. Por exemplo, para
garantir a segurança de uma foto privada (ativo), você
pode utilizar o mecanismo de segurança Criptografia para
se proteger de uma ex-cônjuge (nesse caso um adversário)
que tente te espionar (ameaça) para ter acesso a essa foto.

Dadas essas informações (eu sei, sopa de letrinhas),


podemos definir uma importante variável chamada Risco. O
risco é definido como:

Risco = Vulnerabilidades X Ameaças X Consequências

Para cada ativo, precisamos calcular seu risco e entender


que não existe um modelo único de segurança para todo
mundo. Cada um precisa avaliar os seus riscos pessoais,
para sua família e para a sua empresa. Só os mecanismos
de segurança por si não garantem o controle total do risco.
A segurança não é só uma tecnologia, mas também é o
conjunto de ações que você toma e também os processos
que você segue. Parece difícil, mas aposto com você que
até o final do livro você estará com esse modelo claro, e
estará até discutindo com outras pessoas sobre os riscos,
ameaças e medidas de segurança. Esse é um assunto muito
interessante!

Dica do Autor: Antes de avançar, é hora de rever a sua lista


de ativos e começar a calcular o risco relacionado com cada
ativo.

Nada é 100%
Depois de estudar sobre todo esse ambiente envolto em
ferramentas de segurança, ameaças, adversários e ativos,
você pode estar com uma pergunta na cabeça: “ Consigo
ter algo 100% seguro?”. E a resposta é simples: não. Temos
sempre que aceitar que é impossível fazer um sistema ou
plataforma 100% segura. É impossível pensar em um
ambiente que tem 0% de risco. Se alguém te vender algo
100% seguro, fuja!

Na prática, a segurança é uma grande balança, onde você


precisa ponderar a facilidade de uso com o grau de
segurança. Quanto mais seguro, mais complexo o uso (ou a
manutenção). Imagine que você precisa digitar uma senha
complexa e depois digitar um código SMS enviado para o
seu celular para acessar cada uma das fotos de paisagem
que você tirou nas férias. Não seria nada prático ter esse
processo de segurança para garantir a privacidade dessas
fotos (que em teoria não teriam valor para um atacante e
nem riscos para você caso elas vazassem na Internet). A
usabilidade ultra complicada faria você desistir de ver suas
fotos. Mas se esse mesmo mecanismo de senha complexa +
código SMS for utilizado para acessar a conta do seu banco
via Internet, essa perda de usabilidade parece fazer sentido
visto a sensibilidade do conteúdo protegido. Esse é o
balanço da segurança que sempre devemos levar em
consideração.

Aposto que nesse segundo cenário, toda essa burocracia de


segurança não gera tanto incômodo. Durante o livro, vamos
navegar profundamente na área se segurança para que
você consiga:

❖ Selecionar mecanismos de segurança aderentes aos


riscos e ao grau de importância de seus ativos;

❖ Implementar esses mecanismos;

❖ Verificar se os mecanismos estão funcionando


Monitorar a eficiência do que foi implementado.
Conseguimos ter Segurança,
Privacidade e anonimidade ao
mesmo tempo?
Infelizmente, equilibrar segurança, privacidade e
anonimidade é um grande desafio. Por exemplo, podemos
instalar em nosso computador um software anti-malware
que verifica se os sites que acessamos em nosso
computador são seguros. Esse software é muito importante
para a segurança, pois bloqueia conteúdos perigosos antes
que eles sejam acessados. No entanto, para nos proteger, o
fabricante do anti-malware pode ter acesso ao nosso
histórico de navegação, o que compromete a nossa
privacidade. Portanto, concluímos que você deve avaliar
seus ativos e entender o correto balanço de cada um desses
pontos para cada um de seus ativos. Para celebrar o fim
desta seção, vamos terminar com uma frase do Bruce
Schneier sobre privacidade (tradução em texto livre):

Privacidade não é sobre esconder algo. É sobre ser capaz de


controlar como nós nos apresentamos para o mundo. É
sobre manter uma aparência pública ao mesmo tempo
podendo ter pensamentos e ações privadas. É sobre
dignidade pessoal.

O que os nossos ativos precisam


obter das ferramentas de
segurança?
Os nossos ativos precisam ser protegidos pelos mecanismos
de segurança. Esta segurança pode vir embalada no que
chamamos de atributos de segurança. Os principais
atributos são:

❖ Confidencialidade;

❖ Integridade;

❖ Disponibilidade.

Na área de segurança, esses três componentes são


chamados de tríade CIA ( confidentiality, integrity and
availability ). A confidencialidade regula o acesso à
informação. A integridade é a segurança de que a
informação é confiável e acurada e a disponibilidade é a
garantia que o seu ativo poderá ser acessado pelas pessoas
que tem autorização de acesso.

Confidencialidade
A confidencialidade está relacionada intimamente com o
conceito de privacidade que mencionamos anteriormente.
As medidas tomadas para garantir a confidencialidade são
sempre associadas ao objetivo de prevenir que pessoas
indevidas acessem informações indevidas. E que as pessoas
que podem acessar a informação
consigam acessa-la. Como exemplo de métodos de
confidencialidade, podemos citar:

❖ Criptografia, ou “ codificar" uma informação;

❖ Uso de usuário e senha para restringir o acesso;

❖ Autenticação de dois fatores (como receber um


código SMS pelo celular para confirmar uma ação);

❖ Verificação biométrica como em alguns smartphones


com sensores biométricos;

❖ Reconhecimento facial.

Dependendo do risco envolvido e do grau de importância do


ativo protegido, podem ser necessárias medidas
complementares para garantir um alto nível de
confidencialidade como:

❖ Armazenar a informação em um diretório


criptografado dentro do seu computador;
❖ Armazenar a informação em um dispositivo offline
com segurança de hardware como o DL3FE que é um
HD externo de alta performance com processadores
criptográficos com segurança de hardware, código de
desbloqueio e auto-destruição de dados em caso de
violação física.

Integridade
A integridade está relacionada com a consistência e a
precisão de uma informação. A informação não pode ser
modificada ao ser transferida e/ou ao ser armazenada. E
caso isso ocorra, devemos ter mecanismos para garantir
que essa “ corrupção” de dados seja detectada.

Imagine que você comprou um celular novo em folha em


um site online. A vendedora do produto embala o seu novo
celular em uma caixa com papel bolha e envia pelos
correios. No entanto, quando o pacote chega na sua casa,
você verifica que durante o trajeto, alguém pegou o seu
celular e colocou um tijolo em seu lugar. Incrivelmente, esse
tipo de crime é algo bem comum. Nesses momentos, a
vontade é de usar o tijolo para violar a “ integridade” de
quem furtou seu celular. Nesse caso, claramente a
integridade foi afetada e ficou claro para você que o
conteúdo do pacote foi adulterado. Mas em uma evolução
desse modelo, uma pessoa com más intenções poderia
substituir o aparelho celular por um aparelho idêntico, mas
que, no entanto, possui um software espião instalado, que
pode gravar o seu áudio, gravar sua localização, gravar a
sua câmera e ler suas mensagens. Nesse caso, seria bem
difícil detectar essa violação de integridade. Existem alguns
casos reportados de cônjuges ciumentos que dão de
presente ao seu parceiro um celular modificado para que
possam rastrear ligações, câmera, localização, etc. Todo
cuidado é sempre pouco!

Alguns exemplos de mecanismos para auxiliar na


manutenção da integridade são (nesse caso mais aplicadas
no contexto de engenharia da computação):

❖ Controle de versão, onde quaisquer mudanças em


uma informação são registradas, para se saber quando
a informação foi alterada e quem a alterou;

❖ Checksums, ou assinaturas/validações de
integridade, que permitem detectar se algum pedaço da
informação foi alterado, seja por um humano, seja por
um evento não-humano como um pulso
eletromagnético (filmes de ficção), uma falha em um
servidor ou simplesmente um erro na escrita de um
disco rígido no seu computador. Nesse caso, para
garantir a integridade, podem ser necessárias cópias
adicionais de todos os dados, por exemplo, em um HD
externo ou uma cópia em um provedor de nuvem.

Disponibilidade
Por fim, temos a disponibilidade, que tem relação com
garantir que as pessoas, que podem acessar uma
informação , tenham de fato acesso a informação. Imagina
que você precisa pagar uma conta que vence hoje
utilizando o seu Internet banking, mas ao acessar, o site do
banco está fora do ar. Você tem a sua informação, mas não
consegue acessá-la quando mais precisa. Esse seria um
problema de disponibilidade. Para garantir a disponibilidade,
podemos pensar em alguns mecanismos como:

❖ Sistemas de redundância de discos como RAID, onde


uma informação é automaticamente “ salva” em
diversos discos rígidos;

❖ Planos de recuperação de desastres que garantem,


por exemplo, que se um servidor do banco der
problema, existirá um outro servidor capaz de atender
aos seus clientes;

❖ Cópias de backup espalhados em diferentes regiões


geográficas, para garantir que no caso de um acidente
como um incêndio ou um alagamento os seus dados
não serão perdidos.

Dica do Autor: Curiosidades a parte, conheço algumas


pessoas que possuem backups espalhados em pendrives na
casa de vários parentes. Me pergunto se essas pessoas
criptografaram os dados, pois pendrives são facilmente
furtáveis ou perdidos e podem cair na mão de estranhos.

Aproveite o momento para avaliar o quanto de


confidencialidade, integridade e disponibilidade cada um
dos seus ativos precisa ter!

Proteção em Camadas

Para complementar sua segurança, outro modelo


interessante de proteção é o chamado modelo em camadas.
Nesse modelo, você cria diversas barreiras que precisam ser
vencidas para que se chegue na próxima barreira. O que
uma camada não protege, a camada seguinte protege.
Imagine que você tem um documento muito importante.
Você compra um cofre, coloca o documento dentro e guarda
a chave com você. Isso seria a prevenção. Imagina que você
não carrega a sua chave o tempo todo com você. Você
guarda essa chave em uma gaveta. Se algum ladrão invadir
a sua casa durante a sua ausência e pegar a chave, ele
consegue abrir o cofre. então a prevenção foi rompida. No
entanto, você pode configurar um alarme no seu cofre, que
ao ser aberto emite um som que pode ser ouvido em toda a
vizinhança, além de enviar um email e um SMS para o seu
celular avisando do acesso. Agora você detectou a ameaça.
Mesmo assim, o ladrão pode pegar o documento e sair
correndo. Mas se você tiver uma camada de recuperação
como um sistema que automaticamente chama a polícia e a
segurança do condomínio, você talvez consiga recuperar o
documento das mãos do ladrão. Caso contrário, você ainda
poderia ter uma cópia desse documento em um outro cofre
em um outro apartamento. Isso é pensar em segurança em
camadas no mundo físico. Portanto, ao pensar em
segurança, pense em quais camadas de segurança você
precisa implementar para cada ativo de acordo com o seu
nível de importância.

Modelo de confiança zero


Como mencionado anteriormente, não existe um sistema
100% seguro ou 100% confiável. A nossa segurança
depende das escolhas que fizermos e a análise de custo-
benefício ou risco-retorno (trade-off) deve ser considerada.
Parta do princípio que você não pode confiar em nenhuma
entidade, em nenhum serviço online, em nenhum sistema,
em nenhuma pessoa. Selecione com cautela as pessoas
com as quais você divulga determinadas informações.
Selecione um sistema operacional para seu computador que
atenda aos seus requisitos de segurança, confidencialidade
e privacidade.

Escolha ferramentas de trabalho e mecanismos que


garantam um bom equilíbrio entre o grau de exposição e a
necessidade de proteção dos seus dados. Durante o livro,
vamos indicar algumas ferramentas e sistemas que podem
te ajudar nesta tarefa. Para facilitar o entendimento do
modelo de confiança zero, imagine que você deseja guardar
seus arquivos na nuvem, utilizando por exemplo o Microsoft
OneDrive, Dropbox ou o Google Drive (que são
soluções/serviços de armazenamento de arquivos online).
Ao decidir colocar suas informações nesses sistemas, você
deve assumir:

❖ Não existe garantia que os desenvolvedores do


serviço não vão acessar as informações salvas no
serviço de armazenamento em nuvem;

❖ O serviço pode ser comprometido ou hackeado, e


suas credenciais de acesso podem ser furtadas e
utilizadas por terceiros;

❖ Não há como garantir que o sistema estará sempre


disponível ou que não ocorrerá um problema que tire o
serviço do ar em algum momento. Por exemplo, caso a
empresa venha a falir, ela pode parar de pagar as
contas e você vai perder os seus dados. Avaliando esse
cenário, dependendo do grau de importância e
confidencialidade da informação, você precisa distribuir
essa confiança. Por exemplo, para guardar o meu
número do cartão de crédito no Dropbox, eu posso usar
uma ferramenta offline de criptografia para proteger
esse arquivo de forma que só eu, que tenho a senha,
consigo acessar. Se esse arquivo criptografado estiver
no Dropbox e o serviço for comprometido, eu terei uma
camada extra de segurança contra acessos indevidos.
Para garantir uma maior disponibilidade, eu posso pegar
esse mesmo arquivo criptografado e salvar em outros
provedores como o Amazon Drive, Google, Drive, ou até
mesmo ter uma cópia em um HD Externo em uma
gaveta. Viu? Dessa forma, você tomou uma decisão,
entendeu os riscos, e distribuiu a confiança para
garantir que as suas premissas: integridade,
confidencialidade e disponibilidade sejam razoáveis pelo
nível de segurança que você deseja ter.

3 - Conhecendo o inimigo

Amadores hackeiam sistemas. Profissionais hackeiam


pessoas.

- Bruce Scheier

O complexo da vítima
Depois de ler todas essas informações, você pode estar
pensando: Por qual motivo alguém tentaria invadir o meu
computador. Logo eu, que não sou uma figura pública, sem
muita relevância ou sem informações ultra-secretas. A
grande verdade é que hoje em dia essa atividade não é
mais executada por humanos e sim coordenada por
humanos.

Os ataques são programados por humanos e robôs


automatizados ficam trabalhando 24 horas por dia,
buscando alguma aplicação vulnerável para comprometer a
sua segurança. E o atacante não é mais um programador
profissional com profundos conhecimentos técnicos. O
atacante pode muito bem ser um cidadão comum com os
meios para adquirir esses programas de invasão. Vocês
podem acessar o site da Kaspersky para visualizar a grande
quantidade de ataques que acontecem em tempo real por
todo o mundo. Hoje em dia, vivemos uma grande
democratização dos ataques. Eles não escolhem renda,
tamanho de empresa, relevância, raça ou gênero. Todos são
igualmente alvos em potencial. Além

disso, já passou
o tempo onde um atacante atingia uma vítima por “
brincadeira”, como apagar os dados do disco ou trocar o
papel de parede da vítima. Os atacantes perceberam que o
maior valor é infectar um dispositivo, executar na surdina e
inteligentemente encontrar formas de extorsão.

Um computador ativo na rede sob o controle de um


atacante é muito mais interessante do que um usuário
irritado que vai ter que formatar o seu computador cheio de
vírus. Um atacante que controla milhares ou milhões de
hosts pode fazer coisas como:
❖ Utilizar estas máquinas como zumbis, para
programar um ataque coordenado (negação de serviço
distribuído, ou DDOS) para prejudicar alguma pessoa ou
entidade. Por exemplo, enviar um comando para que
todas máquinas comprometidas fiquem tentando
acessar incessantemente o site de um governo, com o
objetivo de afetar a disponibilidade do serviço do
governo;

❖ Capturar informações que prejudiquem a integridade


e reputação das pessoas, como fotos, vídeos, trocas de
mensagem e utilizar isso como mecanismo de extorsão
e ameaças. Ex. “ Se você não enviar X dinheiro para um
determinado local, vou colocar na Internet essas suas
fotos íntimas”;

❖ Utilizar seu computador para servir conteúdo ilegal,


como pedofilia, pornografia (dependendo do país esse
conteúdo pode ser ilegal), ou para enviar conteúdo
contaminado para outras pessoas como emails falsos e
propagandas;

❖ Aplicar um ramsonware, ou seja, bloquear o acesso a


todos dados de seu computador e cobrar um resgate
para poder reaver os dados. Um exemplo famoso foi o
WannaCry, ramsonware que utilizou uma
vulnerabilidade dos sistemas Windows mais antigos
para criptografar milhares de computadores em todo o
mundo, pedindo um resgate em Bitcoins (moeda virtual
mais difícil de rastrear) para que as pessoas pudessem
voltar a ter seus dados. Esse ataque afetou hospitais,
escolas, e empresas dos mais diversos segmentos,
gerando milhões de dólares em prejuízos no mundo
inteiro;
❖ Espionar sua atividade em computadores como
forma de obter inteligência competitiva, como por
exemplo, espionagem industrial ou roubo, furto de
códigos-fonte de aplicações, chaves de acesso para
sistemas, etc.

No final do dia, o grande objetivo com isso tudo é ganhar


dinheiro. Os atacantes, caso não desejem utilizar
diretamente as suas informações comprometidas,
encontram um mercado amplo para a venda de informações
sigilosas. Existem locais na Internet onde você pode
comprar números de cartões de crédito por alguns dólares,
acesso a contas de redes sociais por alguns centavos,
aluguel de computadores infectados para organizar um
ataque de negação de serviço, contas de email legítimas,
etc. Este último item em particular é um dos mais
perigosos, pois através de uma conta de email, um atacante
consegue saber quase tudo sobre uma vítima e também
consegue usar a recuperação de senha para acessar outros
serviços que a vítima possui. Por exemplo, ao comprometer
a conta de email de um usuário, o atacante pode explorar a
caixa de entrada e ver que o usuário possui uma conta no
Facebook. O atacante não tem a senha do Facebook. Mas
ele pode entrar no Facebook, se passar pelo usuário, e pedir
para gerar uma nova senha e enviar para o email do
usuário.

O que eu acho que estou fazendo


para me proteger?
Vamos voltar um pouco para a auto-análise. Pegue um
papel (ou guarde mentalmente se você for um ninja) e
anote/pense nas 3 principais atividades/processos que você
faz para ficar seguro na Internet. Eu aposto com você que
as suas respostas passaram por alguns desses pontos:
❖ Usar um antivirus;

❖ Acessar somente sites conhecidos;

❖ Mudar de senha frequentemente;

❖ Usar senhas fortes, com maiúsculas, minúsculas,


caracteres especiais e números.

Se você mencionou algum desses pontos, parabéns. São de


fato atitudes importantes para a segurança. Mas agora você
sabe que faz parte do grupo de pessoas normais, não
especialistas, que acham que estão com alguma segurança
online. Brincadeiras a parte, o Google publicou um artigo
muito interessante (
https://ai.google/research/pubs/pub43963 ), comparando as
práticas consideradas seguras tanto por pessoas que são
experts em segurança quanto por pessoas que não são
especialistas. Olha só que interessante:

Comparando o que os usuários normais fazem com o que os


especialistas fazem, vemos uma grande diferença entre os
resultados. O usuário normal, que se preocupa em gerar
senhas fortes, usam o anti-vírus e visitam sites conhecidos,
possuem uma segurança. Mas esse mesmo usuário fica com
preguiça de reiniciar o seu computador para atualizar uma
versão do sistema operacional, pois vai perder uns minutos
sem poder usar o computador. Já os experts colocam como
atividade número um para a segurança a atividade de
atualizar sistemas, sempre que surgir alguma atualização.

Além disso, priorizam o uso de senhas únicas. O que isso


quer dizer? Bom, hoje em dia, precisamos guardar diversas
senhas, dos mais diferentes sites e serviços. Como a nossa
capacidade de memorização é limitada, o que as pessoas
acabam fazendo é repetir senhas ou “ inventar” uma forma
super secreta de memorizar senhas. Geralmente é algo
como: pego o meu nome, troco umas letras por números
(ex, troco E por &, A por 4, etc.), concateno com o nome do
meu cachorro, e depois escrevo o nome do site que estou
acessando. Ou coloco o apelido do meu filho + os dígitos do
ano de nascimento dele. E as senhas ficariam parecidas
com:

❖ Hugo+c4ch0rr0@gmail;

❖ Hugo+c4ch0rr0@facebook;

❖ Hugo+c4ch0rr0@bancodobrasil.

E qual o problema disso? O primeiro deles é que se o


atacante descobrir o padrão, ele consegue invadir todas
suas contas. O segundo, é que se você utilizar uma senha
única para tudo, o serviço do atacante fica ainda mais fácil.
Basta um atacante descobrir uma senha sua e ele descobre
todas. A solução recomendada é utilizar um gerenciados de
senhas (vamos falar dele mais adiante no livro). Por fim, o
quarto ponto é utilizar a autenticação de dois fatores. O que
é isso? A autenticação por dois fatores é uma autenticação
que combina algo que você sabe (ex. sua senha) com algo
que você tem (como um código em um celular, biometria,
voz, íris, etc.). Sempre que você acessar algo sensível, o
sistema com essa autenticação pedirá uma confirmação
adicional de que você é você.

Bugs e vulnerabilidades
Um software é uma combinação de centenas de milhares de
linhas de código, que envolvem um trabalho humano de
converter a vontade de seus clientes em códigos que viram
produtos e serviços. A produção humana de código é
passível de falhas, que são chamadas de bugs ou
vulnerabilidades. Os bugs podem ser inofensivos como um
botão que pode assumir uma cor diferente, ou um
comportamento esquisito. Mas eles também podem permitir
o uso indevido de um sistema, acesso a uma área protegida
por parte de um usuário sem permissão, ou até a leitura de
conteúdo criptografado. Um alarmante caso recente foi o
Heartbleed, que explorava uma falha no algoritmo de
geração de chaves utilizadas na Internet para fazer
conexões seguras que utilizam o https. Para o leitor mais
leigo, o https é um protocolo que garante que os dados
enviados para sites como sites de bancos não possam ser
lidos por outras entidades diferentes de você mesmo e o
banco. O que aconteceu é que uma falha existente nesse
protocolo, utilizado por milhões de sites, permitia que um
atacante tivesse acesso a todo conteúdo trocado como
usuários e senhas, números de cartão de crédito, etc. caso a
versão do protocolo de segurança utilizado pelo site não
estivesse atualizada.

Como os sistemas dependem cada vez mais um dos outros,


e um sistema possui muitas linhas de código e utiliza muitos
sistemas de terceiros para executar tarefas, a possibilidade
de existir uma vulnerabilidade perigosa em um sistema é
extremamente alta. Vale reforçar a importância de sempre
utilizar sistemas atualizados para estar sempre com versões
mais seguras e com correções de falhas detectadas.

Quem são os hackers, crackers e


cibercriminosos
Como mencionado anteriormente, o perfil dos
cibercriminosos se alterou drasticamente. Saímos do
cenário das décadas de 70/80 onde uns poucos indivíduos,
detentores de grande conhecimento técnico e de sistemas,
geravam ferramentas para explorar e detectar
vulnerabilidades. Hoje em dia, esses mesmos indivíduos
encontraram um mercado muito mais lucrativo e menos
arriscado. Ao invés de colocar seus perfis reais em risco, é
muito mais fácil desenvolver ferramentas de ataque e
vendê-las para pessoas que queiram assumir esse risco. E
hoje em dia, qualquer um com um mínimo conhecimento
consegue comprar essas ferramentas e começar a atuar
ilegalmente. Além disso, existem cibercriminosos que nem
ao menos possuem essas ferramentas e conhecimentos
técnicos. Esses criminosos são especialistas no
entendimento do comportamento humano e usam a
psicologia e corrupção para extorquir suas vítimas. Eles se
utilizam de engenharia social para ludibriar, enganar, e
explorar pessoas. Alguns exemplos de engenharia
social/corrupção:

❖ Amigo da empresa que fica amigo da secretária para


descobrir as senhas de diretores presas em “ post-its”
na mesa;

❖ Espião industrial que liga para uma pessoa em um


nível hierárquico mais baixo de uma instituição e se
passa por um diretor ou presidente e exige o acesso à
alguma informação ou alguma credencial/troca de
senha. O funcionário acaba cedendo com medo de
perder o emprego. A famosa carteirada fake;

❖ Bandidos que enviam SMSs falsos ou emails falsos


com a intenção de fazer um usuário clicar em algum link
ou URL para infectar ou comprometer um dispositivo
para futuro uso ou roubar dados. Ex. Você recebe um
email urgente da receita federal ou do seu banco
dizendo que você precisa quitar uma dívida até hoje. Ou
você recebe um SMS supostamente da Netflix indicando
que seu cartão não passou e que você perderá o acesso
a conta, com um link para clicar e renovar o cartão. Ou
você recebe um SMS do banco dizendo que a sua conta
sofreu um ataque e você teve dinheiro furtado, pedindo
para você acessar um site e fazer o login para ver se
está tudo ok;
❖ Bandidos presos em cadeias que arranjam chips pré-
pagos e ligam para inocentes e mentem sobre ter
sequestrado algum familiar, pedindo dinheiro em troca
da vida desse ente familiar;

❖ Bandidos que se infiltram em operadoras de telecom


e “ roubam” acesso temporário de uma linha de um
usuário. Ao fazer isso, redirecionam o número de um
usuário legítimo para um chip pré-pago. Depois,
instalam o WhatsApp nesse aparelho e começam a
pedir dinheiro para quem enviar mensagem para o
número. Por exemplo, dizendo que sofreu um acidente
de carro e precisa transferir dinheiro pra conta do
acidentado antes que “ dê problema”;

❖ Bandidos que se infiltram nos correios, tem acesso


aos cartões de crédito que são enviados via correio e
modificam os envelopes com falsos números de telefone
para ativação. Ao receber o cartão, o usuário
geralmente liga para o número que vem no adesivo
colado ao cartão para ativar o cartão. Mal sabe o
usuário que existe um sistema elaborado de call center
criminoso que recebe a ligação e pede dados de
confirmação enquanto alguém ativa o seu cartão e o
clona.

Dica do Autor: Você pode encontrar neste link uma lista das
dez maiores fraudes reportadas nesse link(
http://www.consumerfraudreporting.org/current_top_10_sca
m_list.php )

Malwares, vírus, rootkits, RATs,


Ramsonware, Keyloggers, etc.
O nome malware vem da junção dos termos “ malicious" e “
software”, ou software maligno. Resumidamente, o malware
é qualquer software que tenha sido desenvolvido para
causar danos a dados, dispositivos ou pessoas. De acordo
com o site av-test, a cada dia, são detectados cerca de 250
mil programas maliciosos. Hoje em dia, estamos expostos a
um volume realmente enorme de programas malignos, e
estamos perdendo a batalha contra eles. Um gráfico recente
estima que no ano de 2018 já existam mais de 800 milhões
de malwares espalhados.

Em 2010, esse número era de menos de 50 milhões. A


forma como o malware gera danos pode ser útil para
categorizar qual o tipo de malware que está trazendo
alguma ameaça para você. Algumas categorias
importantes:

Virus
Programas que se prendem em arquivos limpos com o
objetivo de infectá-los e propagar o programa contaminado.
Eles podem se espalhar através da Internet, em anexos de
e-mails, etc. Normalmente, eles são ativados ao se executar
um arquivo contaminado.

Rootkits
São programas que tem a intenção de permitir um acesso
completo de um sistema por um atacante remoto. Os
rootkits podem ser instalados ao se abrir um conteúdo como
um anexo de e-mail ou um belo arquivo Powerpoint que a
sua tia te enviou. Ao instalar um plugin no seu navegador
de Internet, ou até mesmo uma falha de segurança do seu
sistema operacional. O objetivo do rootkit é se camuflar no
sistema, substituindo por exemplo, processos e aplicações
legítimas por cópias alteradas que podem monitorar e atuar
sobre o que está sendo feito no computador.

Remote Access Trojans (RAT)


São programas que se camuflam nos dispositivos e abrem
uma porta de acesso para um atacante (chamado de
backdoor). Essa porta fica discretamente aberta,
aguardando um chamado do atacante para atuar. Uma vez
que um sistema está infectado com um RAT, o atacante
pode utilizar esse sistema para tentar infectar outros
sistemas ou para coordenar um ataque a outro sistema,
utilizando esta máquina contaminada (que chamamos de
zumbi) como parte de uma botnet (rede de máquinas
contaminadas utilizadas por cibercriminosos para conduzir
ataques distribuídos).

Ramsonware
O ramsonware é um programa que tem o claro objetivo de
extorquir uma vítima. Em inglês, ransom significa resgate. A
ideia do programa é simples. Ele explora alguma
vulnerabilidade de um sistema (seja a abertura de um
anexo estranho, a abertura de um documento com macros,
uma falha em um software desatualizado, etc.) para entrar
em um sistema. De forma sorrateira, ele criptografa todos
os arquivos do sistema, bloqueia o seu acesso e cobra um
valor monetário para liberar o acesso aos dados. Por utilizar
a criptografia para o mal, dificilmente uma pessoa do bem
conseguiria descobrir a senha para descriptografar o
conteúdo e acabam pagando o resgate. A recomendação é
não pagar o resgate, pois além de mostrar para o criminoso
que o crime compensa, ainda existe o risco de você pagar e
continuar sem os seus arquivos. O atacante é uma pessoa
do mal. Ele não tem ética e nem honra. Portanto, nada
garante que ele vá ser bonzinho e devolver os seus dados.
Vamos lembrar do modelo zero de confiança. Para se
proteger, nada como ter uma cópia de arquivos importantes
em diversos provedores de nuvem ou em um hd externo
(depende sempre do valor da informação que você quer
proteger). Vale relembrar que recentemente tivemos o
ataque chamado de WannaCry, que foi um ramsonware que
utilizou uma falha em sistemas Windows para propagar um
malware em escala global. Diversas instituições como
hospitais, escolas, escritórios de advocacia, fabricantes de
carros, foram afetadas e tiveram severas perdas.

Keyloggers, Screenloggers, etc.


Os loggers, como o nome diz, são programas que tem o
objetivo de capturar sua atividade no computador. Seja o
que você digitou no teclado, as telas do que acessou, o
áudio do seu microfone ou até a sua webcam. O atacante
pode utilizar isso para para roubar contas e acessos, ou até
mesmo para extorsão e espionagem. É interessante notar
que existem ataques de engenharia social onde o atacante
nem ao menos conseguiu capturar atividades no seu
computador. Mas ele conduz um processo de ameaça que
faz você acreditar que o atacante possui essas atividades.
Por exemplo, tenho casos de amigos que receberam por
email ameaças que diziam que tinham se infiltrado no
computador desse meu amigo e capturado cenas
constrangedoras dele assistindo pornografia em seu
computador. E que esse meu amigo precisaria enviar
bitcoins para um local específico se não quisesse ter essas
informações divulgadas.

Spyware
Os spywares são parecidos com os loggers, no que tange a
captura de informações do usuário. Só que geralmente a
finalidade aqui é aprender o comportamento do usuário
para depois ofertar um produto direcionado, ou entender se
um cliente usa um produto da concorrência, etc.

Adware, Browser Hijacking


Os adwares são programas que geralmente se disfarçam de
plugins de um navegador, e tem o objetivo de fazer
propagandas e gerar conteúdos não solicitados. Na minha
experiência, os maiores alvos são tias, tios e parentes
próximos. Sempre preciso remover adware dos seus
computadores ao visitá-los. Brincadeiras a parte, os
usuários mais leigos acabam clicando em links e pop-ups
sem saber o que estão fazendo e acabam instalando barras
de procura e outros itens que atrapalham a experiência do
usuário além de poder enviar dados de uso para pessoas
má-intencionadas. O browser hijacking consiste em
comprometer o navegador de um usuário para redirecioná-
lo para sites de propaganda, gerando receita para o
atacante. Ou até, redirecionando o usuário para um site
falso com o objetivo de capturar suas senhas.

Phishing, SMShing, Vishing


Os ***shing tem o objetivo de enganar o usuário. Eles se
passam por produtos ou serviços verdadeiros e tentam
direcionar o usuário a tomar uma ação como clicar em um
link, o que acaba levando o usuário para um local onde
ocorre a infecção do dispositivo do usuário.

O Phishing por exemplo é o envio de emails falsos. Por


exemplo, um belo dia você abre a sua caixa de email e vê
uma mensagem do seu banco, avisando que ocorreu um
ataque na sua conta e que você perdeu dinheiro. Para
acionar o banco e resolver basta clicar em um link do email.
Ou você recebe um email da receita federal dizendo que é
possível adiantar a restituição do imposto, bastando acessar
um site. Todos estes são exemplos reais de emails falsos,
que levam o usuário a um site falso de banco ou da receita
e pede a inserção de dados. Esses dados serão utilizados
contra o usuário.

O SMShing é igual ao Phishing, só que através de


mensagens de celular. Por exemplo, você pode receber um
SMS que diz que você foi sorteado pela operadora para
ganhar um novo aparelho, bastando clicar no link enviado
para pegar o prêmio. Tome cuidado e desconfie de tudo.

O Vishing é o uso de engenharia social através de telefone


para enganar pessoas, se passando por uma pessoa ou
empresa confiável. Por exemplo, uma pessoa pode ligar
para você, se passando pelo seu banco, para pedir algumas
confirmações e dados pessoais. Ou podem te ligar do seu
banco para avisar que o seu cartão foi clonado e que você
precisa informar os 3 dígitos de trás do cartão para que o
atendente possa cancelar.

Tome muito cuidado com ligações iniciadas da empresa


para você. Se for o caso, mantenha a calma, peça o número
do protocolo. Em seguida, ligue para a empresa oficial e
confirme se realmente ocorreu alguma coisa de errada. Um
caso muito comum no Brasil é relacionado com prestação
de serviços de telecom. Um falso atendente te liga para
avisar de algum problema na sua Internet que requer
manutenção. Ou algo parecido. Use a criatividade. Então,
uma elaborada trama permite agendar uma visita técnica.
Um profissional uniformizado com a vestimenta da
prestadora de serviço interfona na hora e dia solicitados. Ele
sobe pro seu apartamento e parabéns. Você foi
sequestrado, roubado, ou ameaçado. Sempre busque canais
oficiais de prestadoras e confirme se de fato eles que
ligaram.

Engenharia Social
A engenharia social é relacionada com a manipulação de
pessoas, de forma a extrair informações confidenciais ou
fazê-las executar ações em benefício dos atacantes. Por
exemplo, um atacante pode fazer uma ligação se passando
por um diretor de uma empresa, e pressionar um
funcionário abaixo na hierarquia a liberar o acesso a um
sistema. Se sentindo coagido, o funcionário acaba
fornecendo o acesso, com medo de represálias. Outro
exemplo seria um funcionário que fica amigo de uma
secretária com a intenção de ter acesso ao seu computador
e roubar informações sigilosas e acessos de altos executivos
de uma empresa. Todos os ataques anteriormente
mencionados também se utilizam da engenharia social. Por
exemplo, um email falso (phishing) sobre uma conta
atrasada usa a psicologia para saber que uma multa faz o
usuário temporariamente se esquecer da segurança e faz o
usuário ficar ansioso para resolver o problema para não
levar prejuízo.

Pirataria de Software e Torrents


Uma péssima prática realizada no Brasil é a de pirataria de
software. A alta carga tributária, somada a desigualdade
social e baixa renda da população leva muitas pessoas a
buscarem alternativas gratuitas ou muito baratas para
adquirir programas importantes para elas. Uma pessoa
precisa por exemplo pagar quase metade de um salário
mínimo só para comprar um Windows 10 legítimo. O grande
risco oculto na pirataria (além da ilegalidade e do prejuízo
para os vendedores e produtores) é justamente as possíveis
falhas de segurança. Se um software legítimo, adquirido de
uma fonte legítima, já é passível de ter falhas de segurança,
imagine um software pirata, feito ou modificado por sabe-se
lá quem. Esse software, além de geralmente não permitir
atualizações, pode estar recheado de todas variantes de
malware e se voltar contra você quando você menos
esperar. Se você pretende armazenar dados importantes em
seu computador, um importante passo é garantir que ele só
execute software legítimo.

4 - Ferramentas de defesa e boas


práticas

Um bom desenvolvedor de software é alguém que


sempre olha para os dois lados antes de atravessar
uma rua de mão única
- Doug Linder

Antivirus e Anti-Malwares
A ferramenta mais conhecida e utilizada para se proteger
são os anti-vírus/anti-malwares. Como o nome diz, os anti-
vírus são ferramentas que varrem o seu computador na
busca de padrões ou assinaturas que se assemelham a
ataques ou exploração de vulnerabilidades. Ao detectar, o
anti-vírus pode colocar esse material em quarentena ou
sugerir a exclusão dos mesmos. Hoje em dia as ferramentas
de anti-vírus estão bem evoluídas e não se limitam a apenas
essa atividade. Em alguma, você consegue submeter um
arquivo baixado para um time de especialistas avaliar, e até
detectar que algum código malicioso está criptografando
arquivos e atuar para bloquear isso (bloqueando por
exemplo um ataque de ramsonware). Sempre tenha um
anti-vírus bem configurado e instalado. Um anti-malware
gratuito excelente (com suporte para Windows, MacOSX e
Android) é o Malwarebytes ( https://br.malwarebytes.com/ ).

Firewall
Os firewalls são programas que atuam como uma barreira
de entrada/saída. Eles funcionam como um
porteiro/segurança de um condomínio, que possui uma lista
com quem pode e não pode entrar. E ele garante que a lista
será obedecida à risca. No caso dos computadores, o
firewall pode definir quais serviços podem enviar e receber
dados, e por quais portas TCP/UDP esses dados serão
enviados. Caso não saiba o que é TCP e UDP, não se
preocupe.

Uma analogia é uma continuação da atividade do porteiro


do condomínio. Imagine agora que além de saber se uma
pessoa pode ou não entrar, ele também pode escoltar a
pessoa e garantir que ela só possa entrar pela porta
principal (porta TCP ou UDP) de um apartamento
(computador), e que só possa sair pela porta da cozinha. No
TCP/UDP, tecnicamente falando, sempre tratamos um
endereço (no caso, um endereço IP, que poderia ser uma
pessoa que quer interagir com um apartamento) e uma
porta (que poderia ser a porta principal do apartamento,
porta da cozinha, porta de serviços, etc.). No firewall,
existem um conjunto de regras que dizem para cada
pessoa, quais apartamentos ela pode acessar e por onde
pode entrar e sair. Se quiser complicar, ainda daria para
definir por exemplo um horário onde a pessoa poderia
entrar, ou quantas vezes a pessoa poderia entrar. Tudo isso
para garantir a segurança do apartamento.

Uma pergunta que fica no ar é: para garantir a segurança


do meu computador, eu preciso saber de todos os
endereços IPs que por ventura eu possa vir a interagir? A
resposta é não. O firewall para computadores de usuários
finais possui interfaces amigáveis que perguntam sempre
que alguém bate em uma porta. Daí você analisa se deseja
permitir temporariamente, ou tornar isso uma regra
permanente. Além disso, uma boa política é a política de
bloquear todos os acessos e só avisar ao porteiro sobre as
pessoas que você de fato quer que entrem (whitelist). Isso
faz muito mais sentido do que permitir tudo e só bloquear
quem você não quer ver em seu apartamento (blacklist).
Seria algo incontrolável. Como exemplos de firewall, temos
o Windows Defender para Windows 10. No MacOSX temos
um firewall nativo do sistema e no Linux, geralmente temos
alguma variante como o IPtables, IPCop, UFW (firewall
padrão na distribuição Ubuntu).

Navegadores Web
Para a maioria dos usuários, os navegadores como o Mozilla
Firefox, Apple Safari ou Google Chrome são a porta de
entrada para a Internet. A recomendação geral é sempre
manter o seu navegador atualizado. É importante notar, no
entanto, que hoje em dia temos navegadores com alto nível
de segurança como o Google Chrome, mas ao mesmo
tempo, existe um desafio de privacidade. Conforme falamos
anteriormente é desafiador encontrar uma solução que
garanta segurança e ao mesmo tempo garanta total
privacidade. No caso do Google Chrome, ele oferece alertas
de ameaças como sites que foram denunciados ou
detectados como maliciosos ou phishing.

Além disso, existem avisos bem chamativos caso um site


utilize um certificado inválido ou vendido. Por fim, o Chrome
possui atualizações automáticas de segurança, que não
dependem do usuário. Conforme falamos antes, não
atualizar aplicações e sistemas é um dos pontos de maior
risco em segurança. Se você busca segurança e também
um pouco de privacidade, uma recomendação é o
navegador Brave. O Brave por padrão possui extensões que
bloqueiam propagandas e ferramentas de rastreio de
usuário. Ao bloquear essas propagandas e ferramentas de
rastreio, você ganha um benefício adicional que é a maior
velocidade nos sites, que carregam menos componentes.
Além disso, se você utilizar uma aba anônima no Brave, ele
utiliza a rede Tor para proteger seu histórico de navegação e
sua localização, de forma criptografada.

Curiosidade: Em novembro de 2020, foi descoberta uma


falha de segurança no Brave, que estava relacionado com o
fato de que alguns acessos na aba anônima não estavam
suficientemente “anonimizadas”. Os desenvolvedores já
liberaram um update com a correção desta falha.
VPN
VPNs, ou Redes Virtuais Privadas, funcionam como uma
camada de segurança adicional para os usuários.

Imagine o seguinte. Você mora em uma casa e se sente


seguro dentro dela. Mas você precisa visitar algum parente
seu, que mora em uma região perigosa, repleta de assaltos
e violência urbana. Agora imagine que você tivesse a
capacidade de construir um túnel por debaixo da terra
conectando a sua casa com a casa do seu parente.
Independente da hora do dia ou da situação urbana, você
poderia ir e vir entre as casas com uma grande segurança,
bastando caminhar por dentro do túnel. Se você quer levar
pacotes ou encomendas, basta entrar no túnel e entregar.
No mundo da tecnologia, a VPN funciona da mesma forma.
a VPN cria um túnel seguro conectando você de uma ponta
a outra. Do seu computador para algum outro serviço.
Vamos evoluir na analogia. Agora imagine que a sua casa
está em uma localização perigosa. Você tem medo de sair
de casa pois pode ter seus bens furtados ou sua integridade
ameaçada. E a casa do seu parente fica em uma região
segura e protegida em um condomínio com segurança 24/7.
Dado que existe um túnel conectando as casas, você não
precisa mais sair na sua rua e se expor ao risco. Basta que
você sempre use a casa do seu parente como porta de
saída. Se você quer ir na padaria, basta entrar pelo túnel,
chegar na casa do seu parente, abrir a porta e ir.

Na VPN é bem parecido com essa segunda analogia. Ao


utilizar uma VPN para se conectar em um sistema ou na
Internet, a sua conexão passa a sair sempre pelo local de
destino da VPN. Na analogia, o seu endereço físico passa a
ser o endereço do seu parente. No mundo da computação, o
seu endereço (endereço IP) passa a ser um dos endereços
disponíveis no servidor onde você se conectou. Um uso
muito comum de VPN é no ambiente empresarial.
Normalmente, os notebooks empresariais só permitem
acesso à Internet através de uma VPN. Essa VPN cria um
túnel seguro conectando o notebook ao ambiente
empresarial. Dessa forma, o tráfego passa pela empresa e a
empresa pode aplicar suas políticas de controle e
segurança. Se alguma pessoa tentar identificar a origem de
um acesso feito via notebook, ele vai chegar no servidor de
VPN da empresa. Se você está em um ambiente público
inseguro como um café, restaurante, ou algum local com
Internet aberta, existe um grande risco de alguém conseguir
espionar o seu acesso. Nesse cenário, uma VPN protegeria o
seu acesso, mesmo ao acessar a Internet em ambientes
inseguros. Pensando em pessoa física, você pode contratar
serviços de VPN para estabelecer uma conexão segura com
um servidor na Internet e utilizar Internet em ambientes
inseguros.

Você só precisa pesquisar bem sobre a reputação do


serviço. Você pode ter um canal seguro até o servidor. Mas
se o servidor for comprometido, seu acesso também será
comprometido. E nesse caso, a privacidade do conteúdo
que você acessa estará na mão desse provedor de VPN. Use
com cautela. Outro caso de uso é: Você deseja acessar um
serviço restrito para um país. Por exemplo, um sistema que
só permite acessos dos Estados Unidos. Uma forma de
contornar isso (assumindo que você será responsável por
violar a política desse sistema) é usar uma VPN com um
servidor nos Estados Unidos. Como o endereço que você vai
receber será um endereço IP americano, você conseguira
acessar o serviço mesmo estando no Brasil.

Rede tor
O nome da rede TOR vem de um projeto chamado de The
Onion Router. Ou o roteador cebola. O nome foi inspirado
em um projeto de um laboratório de pesquisa naval nos
EUA. Resumidamente o TOR é um programa que esconde
sua identidade na Internet e impede que terceiros
visualizem suas atividades on-line. O termo roteamento em
cebola vem da ideia de que existem diversas camadas de
proteção ou embaralhamento para se chegar a um destino,
o que protege a origem de alguns tipos de rastreamento.
Você pode fazer o download do navegador TOR para
Windows, Linux e Mac.

Aqui, a analogia é a seguinte. Imagine que você deseja


enviar um celular usado para um amigo seu que mora em
outro estado. Em um cenário normal, o pacote seria enviado
de um posto de atendimento do correio para uma central, e
de lá seria enviado para um posto de atendimento próximo
a casa do seu amigo. E de lá, um carteiro entregaria o
pacote. Nesse cenário, fica fácil saber o trajeto do pacote.
Se o pacote tiver um número de rastreio, isso fica ainda
mais fácil. Agora imagine que ao invés de seguir esse
caminho padrão, o pacote fosse enviado para uns 40 locais
diferentes, indo e voltando por diferentes rotas, passando
por diferentes carteiros e diferentes sistemas de courier e
entrega. Obviamente ia demorar mais para o pacote chegar.
Mas seria bem complicado rastrear a origem ou por onde
esse pacote passou.

A rede Tor funciona de forma parecida. As requisições


enviadas são criptografias e enviadas por caminhos
tortuosos e complexos, passando por diversos servidores
espalhados pelo mundo. Ao fazer isso, fica mais difícil de
alguém rastrear a origem dos pedidos, a localização
geográfica do pedido, espionagem, etc. A contrapartida é
que esse acesso será proporcionalmente mais lento devido
aos vários locais por onde as requisições precisam passar.
Criptografia
A criptografia tem origens bem remotas. Aparentemente, lá
pra 1900 antes de cristo, um chefe egípcio teve sua tumba
adornada com hieróglifos (símbolos que representavam a
linguagem escrita da época no Egito) “ fora do comum”.
Estima-se que o objetivo era ocultar segredos religiosos ou
aumentar o misticismo sobre o conteúdo ali registrados. A
criptografia vem da ideia de não somente ocultar como
proteger um conteúdo de forma que somente as pessoas
que tenham as “ chaves” de acesso consigam acessar
aquele conteúdo.

Imagine que você precisa guardar uma joia cara em um


cofre na sua casa. A joia é o ativo que você deseja proteger.
E parar protegê-lo, você pode colocar um um cofre que
pede uma senha de 6 dígitos para abrir/fechar a porta do
cofre. Exagerando na analogia, imagina que você precisa
enviar essa joia para alguma pessoa. Uma forma uma tanto
quanto “ não-convencional” de envio seria enviar um cofre
com a joia dentro para a outra pessoa. Assumindo que esse
cofre é inviolável, mesmo que alguém roube o cofre, nunca
conseguirá acessar a joia Mas se ele descobrir a senha de 6
dígitos, ele conseguirá abrir e roubar a joia Senão ele terá
somente um grande peso de papel de aço balístico(o cofre
fechado).

Levando para o mundo online, é mais ou menos assim que


funciona. Para toda informação (jóia) que eu preciso enviar,
eu preciso colocar essa informação em um pacote seguro
(cofre) e enviar para o destino. O destinatário (assumindo
que ele saiba a senha) consegue abrir o pacote e retirar a
informação. Os algoritmos utilizados na Internet são feitos
de forma que os pacotes são muito bem protegidos e as
senhas de acesso são extremamente complexas. De forma
que mesmo que um atacante consiga capturar o pacote em
trânsito, ele não vai conseguir descobrir o seu conteúdo.
Sempre que possível, utilize soluções baseadas em
criptografia na Internet. Seja um navegador Tor, ou o acesso
à um site via HTTPS. Sempre proteja o conteúdo enviado.
Para os leitores mais curiosos ou avançados, vou explicar
nos próximos parágrafos um pouco do funcionamento do
HTTPS, que é um dos protocolos mais utilizados para
comunicação segura na Internet. E para isso, vou
aprofundar um pouco mais sobre os tipos de criptografia
existentes.

Se não estiver a fim de ler essa parte técnica, pode


prosseguir para o próximo texto. O HTTPS basicamente é o
uso do protocolo TLS (segurança na camada de transporte
de dados) em conjunto com o HTTP, que é um protocolo
utilizado para transmissão de sites web por exemplo. Para
entender seu funcionamento, precisamos detalhar um
pouco mais sobre as famílias de algoritmos de criptografia
utilizados hoje em dia. Hoje em dia, existes duas famílias de
algoritmos de criptografia. O primeiro deles é a criptografia
simétrica. Ela é bem parecida com o cofre da analogia
anterior. Na criptografia simétrica, existe uma chave ou
senha única, que é utilizada tanto para criptografar um
conteúdo quanto para descriptografar. É como se fosse a
chave da sua casa ou do seu carro. Você usa a mesma
chave para abrir e fechar a porta. Existe também um outro
tipo de criptografia, chamado de criptografia assimétrica.
Essa criptografia possui uma propriedade interessante. Ela é
a seguinte. Existem sempre duas chaves. Uma delas
chamamos de chave pública. A outra, de chave privada.
Tudo que é criptografado pela chave pública, só pode ser
descriptografado pela chave privada. E tudo que é
criptografado pela chave privada, só pode ser
descriptografado pela chave pública. É como se a gente
tivesse um cofre com duas chaves. E se foi a chave 1 que
fechou, somente a chave 2 abre. E se a chave 2 fechou,
somente a chave 1 abre. Como o nome diz, a chave privada
é só nossa e só a gente tem acesso. A chave pública pode
ser divulgada publicamente. Curiosidades a parte, a
criptografia simétrica, por ser um algoritmo mais simples,
pode ser muitas vezes feita por hardware específico, o que
permite que ela tenha muita performance. Por sua vez, a
criptografia assimétrica é muito custosa em termos de
processamento. Voltando ao cenário da Internet. Vamos
assumir que você abriu um navegador web e digitou
https://www.google.com. Ao fazer isso, você precisa criar
uma conexão segura com algum dos servidores do Google.
Imagina que a gente vai usar a criptografia simétrica (chave
única) para enviar dados protegidos pro Google. Mas daí
vem uma pergunta:

Como eu envio essa chave única para o Google? Como eu


faço para transmitir essa chave de forma segura?

Afinal de contas, se eu enviar essa chave pela Internet,


alguém pode interceptar a chave e passar a espionar o que
eu estou enviando para o Google. Para solucionar isso,
vamos utilizar a criptografia assimétrica. Vai funcionar
assim. O Google quer se comunicar comigo. Para isso, ele
codifica a mensagem com a sua chave privada e me envia.
Eu pego a chave pública do Google, aplico, e faço a
decriptografia da mensagem. Se eu quero mandar algo pro
Google, eu criptografo a mensagem com a chave pública do
Google. Como somente o Google tem a chave privada do
Google, só ele consegue descriptografar. Tudo parece
perfeito né? Só que existe um detalhe. A criptografia
assimétrica é muito custosa computacionalmente. Não dá
para usar o tempo todo. Como o TLS funciona afinal de
contas? Ele usa a criptografia assimétrica para transmitir de
forma segura uma chave de criptografia simétrica. Depois
disso, dá para utilizar uma criptografia simétrica (que teve a
chave transmitida de forma segura através de criptografia
assimétrica), que tem melhor performance para trocar
dados de forma segura. Bem interessante não?

Canary Tokens

Uma ferramenta pouco conhecida e de extremo valor são os


Canary Tokens. O nome do Canary vem de um método
antigo utilizado por mineradores. Para detectar o baixo
oxigênio em uma região da mina de carvão, os mineradores
levavam um canário em uma gaiola. Se o canário
começasse a se agitar ou estressar, era sinal de risco por
exposição a gases tóxicos. E a mina era evacuada.
Antigamente, os canários acabavam morrendo. Mas uma
evolução foi a criação de uma gaiola com ressuscitação que
permitia re-oxigenar o canário e mantê-lo vivo. A sociedade
de proteção aos animais agradece.

Levando para o cenário atual, o Canary Token é um


mecanismo para saber se algo está errado. Vamos pensar
no seguinte cenário. eu possuo meu computador na minha
empresa. Mas tenho medo de quem alguém esteja
acessando alguma informação confidencial armazenada na
minha máquina. Geralmente, um atacante, ao acessar uma
máquina, vai buscar arquivos confidenciais. Se ao entrar na
máquina ele encontrar uma pasta chamada “ senhas do
Internet banking”, ele ficará muito tentado a clicar. Se ele
encontrar nessa pasta um arquivo chamado
senhas_banco_X.docx, ele certamente irá abrir o arquivo. A
curiosidade é uma grande força. A pergunta que fica no ar
é: como você vai saber se alguém acessou a sua máquina?
O Canary Token pode ajudar nesse cenário. Imagine o
seguinte. Eu sei que minha máquina pode ser
comprometida. Em um cenário normal, somente eu
acessaria a máquina. Para capturar um atacante (como um
rato atraído para uma ratoeira), eu posso criar um arquivo
falso chamado senhas_banco_X.docx. Esse arquivo pode até
conter algumas senhas incorretas. Mas ao abrir o arquivo,
esse arquivo falso automaticamente chama um endereço
web e dispara um gatilho que enviar um SMS para o meu
celular avisando que o meu notebook foi comprometido.
Esse é o poder do token. Uma boa prática é espalhar tokens
identificáveis por todos seus ambientes. Então você pode
colocar um arquivo senhas.docx no seu Dropbox, OneDrive
ou GoogleDrive. Ou deixar salvo na sua caixa de email um
email chamado: Senhas atualizadas. Ou uma imagem numa
pasta chamada fotos_íntimas. Se um atacante acessar
quaisquer desses arquivos ou dados, um alarme silencioso
será disparado e você saberá que o seu email, o seu drive
ou o seu computador foram comprometidos e pode tomar
as medidas pertinentes.

Existem alguns sites que permitem facilmente montar seus


tokens. O importante é sempre colocar um descritivo claro
explicitando o que significa a ativação. Algo como: Arquivo
do Microsoft Word colocado no diretório
C:\User\hugo\passwords\password.doc. Caso contrário, você
pode ter disparado um token e vai ficar sem saber o que
ocasionou o disparo. Nesse caso, o Canary Token perde sua
utilidade.

Dica do Autor: Alguns sites que te ajudam a gerar Canary


Tokens: https://canarytokens.org/generate e
https://www.stationx.net/canarytokens/ .

Senhas e autenticação, two factor


Conforme já falamos nesse livro, é normal associar senhas
complicadas com segurança. Isso não está de todo errado.
Com o avanço das técnicas de quebra de senhas, a
recomendação é ter senhas complexas, combinando
caracteres maiúsculos, minúsculos, números, símbolos
especiais ($#%&*). E senhas com pelo menos 12
caracteres, sendo recomendado um número muito maior.
Quanto maior melhor. Algumas dicas importantes:
❖ Senhas com caracteres maiúsculos, minúsculos,
números e símbolos especiais;

❖ Senhas com o número máximo de caracteres


possível (pelo menos 12);

❖ Utilizar uma senha diferente por


aplicativo/site/serviço;

❖ Evitar usar padrões para senhas para ajudar na


memorização como senha@site1, senha@site2, etc.

A grande recomendação é não depender somente de uma


senha forte e combinar pelo menos algum outro fator de
autenticação (autenticação em dois fatores) como um token
enviado por SMS, ou um token gerado em aplicativo, etc.

Mesmo que um atacante consiga a sua senha de email por


exemplo, ele não conseguirá acessar a sua conta sem a
segunda autenticação (a não ser que ele tenha também
roubado/furtado o seu celular e tenha a senha de acesso).
Você vai estar dificultando a vida do atacante. Uma solução
interessante para armazenar esses tokens de autenticação
em dois fatores é o Authy. Do ponto de vista de senhas, a
recomendação é ter um gerenciador de senha. Este tipo de
solução protege suas senhas de forma criptografada. Basta
que você proteja a aplicação com uma senha forte. Algumas
soluções inclusive tem ferramentas de geração de senhas
seguras. Uma recomendação seria utilizar o LastPass ou o
Bitwarden.

Dica do Autor: no início de 2021, o LastPass mudou sua


política para o plano gratuito e restringiu o seu uso para
apenas Desktop ou Mobile (não dá mais para ter o Lastpass
configurado nos dois). Por esse motivo, recomendamos
experimentar o Bitwarden.
5 - Segurança no dia a dia

Senhas são como roupas íntimas: Não deixe as


pessoas verem, troque-as com frequência, e não
compartilhe com estranhos

- Chris Pirillo

HDs Externos e backups


Uma prática bem comum é o uso de HDs externos para
backup. Ou até pendrives. Fique atento que esses tipos de
dispositivos são facilmente furtados ou perdidos. Sempre
criptografe os HDs com senhas fortes. E guarde ativos de
valor em ambientes protegidos. Se precisar de uma
segurança ainda maior, opte por devices com criptografia
por hardware como o DataLocker DL3.

Webcam e Microfone
Infelizmente vivemos em um mundo inseguro. E sabemos
que a qualquer momento, podemos ter informações
preciosas expostas. Com o avanço dos computadores e da
tecnologia, cada vez mais os dispositivos como Desktops e
Notebook são adquiridos de fábrica com microfones e
câmeras. O que muita gente não sabe é que é
relativamente fácil para um atacante comprometer esses
dispositivos e passar a utilizá-los como mecanismos de
espionagem ou até de extorsão. Muitas pessoas por
exemplo possuem um computador em seus quartos. Esses
dispositivos, se comprometidos, podem permitir que um
atacante monitore e grave todos os sons e vídeo do
ambiente, como uma câmera de segurança. Já parou para
pensar que tudo que você faz ou já fez em seu quarto pode
ter sido gravado por uma pessoa com más intenções? Uma
atitude simples que você pode fazer é tampar a webcam
quando não estiver utilizando. Pode ser com um adesivo,
silver tape, fita isolante, o que for.

Ou comprar um pequeno acessório de plástico que permite


tampar e destampar a câmera com facilidade. Nesse
momento, alguns podem perguntar:

A minha webcam, quando ligada, acende uma luz forte azul


ou verde. Se alguém me monitorar, eu saberei pois a luz
estará acesa.

Para um atacante que já comprometeu o seu computador,


apagar o led da câmera é o menor dos problemas. Então
não conte com isso. Para os mais preocupados, é possível
adquirir computadores que possuem interruptores físicos
para controlar o acesso à webcam ou ao microfone. Por
exemplo, temos a linha Librem da Purism
(https://puri.sm/products). A empresa fabrica dispositivos
para os mais preocupados em segurança como o Librem13.
O Librem13, além de ter interruptores para controlar o
hardware de webcam e microfone, ainda possui um
interruptor (chamados de kill switch) para ligar e desligar o
bluetooth ou wifi, de forma que o usuário pode também
controlar os sinais de rádio que saem de seu computador.
Se você realmente quer um grau de segurança elevado, é
importante ter um computador que esteja alinhado com os
seus objetivos.

Notebook
O notebook é um dos maiores alvos dos atacantes. Além de
todos os ataques virtuais, ainda existem os ataques físicos
como furtos e roubos. Mantenha sempre o sistema
operacional atualizado. Além disso, um notebook pode ser
facilmente comprometido, bastando que o atacante tenha
acesso físico ao mesmo por um período de tempo. Um
conhecido tipo de ataque é chamado de Evil Maid Attack, ou
ataque da “ empregada do mal”. Ele consiste em um
atacante, que ao ter acesso físico ao computador (como
uma empregada que faz a limpeza da sua casa teria),
espeta por exemplo um pendrive que instala um keylogger
ou modifica o sistema operacional do computador. Após
isso, a máquina está infectada e pode ter sido atingida por
uma ou mais das categorias de malwares que já
apresentamos. Para diminuir a chance de problemas, os
sistemas operacionais mais atuais como Windows, Linux, e
MacOSX, já possuem mecanismos nativos de criptografia
completa do disco. Esse mecanismo dificulta que um
atacante consiga descobrir o conteúdo armazenado em um
hd de um notebook roubado. No MacOSX, pode-se utilizar o
FileVault, nativo do sistema operacional. No Windows, existe
o BitLocker. Além da criptografia total do disco, é
interessante pensar em se ter uma partição ou pasta
criptografada a parte, para guardar arquivos sigilosos com
mais uma camada de segurança.Para se preparar parar um
eventual furto, deve-se ter anotado em local seguro:

❖ Lista dos aplicativos sensíveis instalados no notebook


❖ Lista de serviços consumidos via notebook, como
sites de reserva, sites de e-commerce, email, Whatsapp,
Telegram, Spotify, Netflix, etc.

❖ Lista de aplicações e chaves de acesso corporativas


como email corporativo, chave de acesso para sistemas
internos, acesso VPN, etc.

❖ Lista de serviços conectados como iCloud, Dropbox,


GoogleDrive

Em caso de furto, deve-se acessar essa lista e trocar


imediatamente todas credenciais de acesso para esses
serviços. Avisar os responsáveis da empresa onde você
trabalha para revogar todos acessos de sistemas
corporativos. E para alguns sistemas, efetuar o apagamento
remoto dos dados contidos no computador. Outra
recomendação geral importante é evitar armazenar
informações importantes em dispositivos com alta
mobilidade. Saiba que a perda de um notebook é algo que
pode acontecer e se prepare para o pior.

Desktop (computadores de mesa)


Para o desktop, as recomendações são as mesmas das
recomendações para o notebook. Além disso, por ser um
dispositivo que fica geralmente imóvel em um local a maior
parte do tempo, a chance de um atacante com acesso físico
poder adulterar sorrateiramente o desktop são maiores se
você está por exemplo em um ambiente corporativo. Evite
deixar o desktop desbloqueado e com acesso a sua conta.
Dependendo da criticidade das informações armazenadas
ou trafegadas no desktop, deve-se ter o cuidado adicional
de monitorar portas USB.
Geralmente, pelo fato do Desktop não ter muita mobilidade,
a parte traseira do mesmo, onde são conectados a maior
parte dos dispositivos USB, pode passar despercebida.
Existem devices chamados de keyloggers físicos. Esses
dispositivos podem possuir memória interna e são
conectados entre o teclado USB e a entrada USB do
computador. De forma imperceptível ele passa a capturar
tudo o que foi digitado. Depois de um período, basta o
atacante retornar ao local e retirar o keylogger USB para ter
acesso a tudo o que foi digitado, como sites acessados,
emails redigidos, senhas digitadas, números de cartão de
crédito, etc.

Sistemas Operacionais
Hoje em dia existem as mais diversas opções de sistemas
operacionais. Temos desde o clássico Windows, passando
pelo MacOSX, centenas de distribuições Linux até o
ChromeOS (modificação baseada em Linux para dispositivos
Google). Para o smartphone, temos o Windows Phone
(projeto abandonado), Android e iOS. A escolha do sistema
operacional vai do gosto do usuário. Mas é importante
atentar para alguns pontos no que tange a segurança. Um
ponto comum para todos eles é: mantenha sempre o
sistema atualizado, com as últimas atualizações de
segurança disponibilizadas pelos fabricantes. Outro ponto a
se considerar é: sistemas fechados como o Windows ou
MacOSX possuem código fonte protegido. Ao proteger o
código, pode-se obter um determinado nível de segurança
por ofuscação (esconder), ou seja, uma vulnerabilidade não
fica exposta explicitamente. Mas isso não significa que o
sistema seja mais ou menos seguro. Em minha visão,
sistemas open-source são inerentemente mais seguros, pois
seus códigos podem ser vistos e auditados por qualquer um
e a segurança desses sistemas está em seu design e
segurança de seus algoritmos e não em esconder coisas
falhas.

Outro ponto importante é que sempre falam que o Windows


é um sistema menos seguro. Na prática, o que acontece é
que não temos como afirmar isso completamente. O fato do
Windows ter mais vulnerabilidades expostas advém
também do fato que ele é o sistema dominante em
marketshare no mercado.

Dessa forma, se um atacante precisa desenvolver um


ataque, ele logicamente optará por desenvolver/explorar
uma brecha que permita a ele comprometer o maior
número possível de máquinas. Recentemente, com o
aumento do uso do MacOSX por parte das classes mais ricas
e por cargos mais altos em empresa, está se tornando mais
evidente o desenvolvimento de ataques exclusivos para
MacOSX, por se tratar de usuários com grande potencial de
exploração por possuírem dados potencialmente mais “
caros” para serem extorquidos.
Permissões de usuário
Um ponto importante e muito comum tem relação com as
permissões de usuário. Por padrão e em geral, os usuários
(exceto os usuários já acostumados com Linux) criam
contas de administrador para o seu uso no dia a dia.

Vamos utilizar uma analogia para entender a criticidade


desta decisão. Imagine que você more em um apartamento.
Dentro deste apartamento, você possui um cofre onde
guarda o seu suado dinheirinho, além de algumas joias de
família. Por algum motivo, você optou por utilizar a mesma
chave que abre o seu apartamento para proteger o seu
cofre. Ou seja, quem tem acesso ao seu apartamento com a
chave passa automaticamente a poder acessar o seu cofre.
Faz muito mais sentido o usuário ter uma chave para o
apartamento e uma chave separada para o cofre, que o
usuário só utiliza quando de fato precisa acessar o conteúdo
do cofre. Nesse caso, alguém que deseja acessar seu cofre
teria um trabalho duplo. Primeiro, teria que arranjar a chave
do seu apartamento. Depois, dentro dele, conseguir de
alguma forma fazer uma cópia da chave do cofre.

No cenário onde o usuário vive o dia a dia com uma conta


de administrador no computador, o problema é o mesmo.
No caso de algum atacante conseguir acesso a sessão do
usuário no computador, o atacante terá instantaneamente
poderes de administrador, podendo acessar seus “ cofres" e
modificar o que não deveria. Se, ao invés disso, o usuário
usar uma conta de menos privilégios, e somente utilizar o
modo administrador quando necessário, teremos uma
barreira adicional para proteção do sistema operacional. Em
segurança, chamamos esse tipo de ataque onde um
atacante consegue acesso de uma conta comum e depois
tenta explorar alguma outra falha para se tornar
administrador de “ ataque de escalação de privilégios”.
Vamos dificultar a vida do atacante? Então que tal passar a
usar uma conta sem privilégios e guardar o acesso admin
somente para quando ele for realmente necessário?

Windows
Os sistemas operacionais da linha Windows são conhecidos
pelas mais diversas falhas de segurança, algumas muito
conhecidas como a explorada pelo Ramsonware Wannacry.
Hoje em dia, o Windows 10 apresenta um bom nível de
segurança, incluindo até ferramentas nativas de criptografia
de disco como o Bitlocker. No entanto, do ponto de vista de
privacidade, o Windows 10 não seria uma escolha indicada.
Artigos como
(https://www.pcworld.com/article/2971725/windows/how-to-
reclaim-your-privacy-in-windows-10-piece-by-piece.html)
demonstram que, para “ entregar" uma experiência mais
imersiva e “ benéfica” para o usuário, a Microsoft precisa
coletar alguns dados do usuário. O Windows mais recente
(Windows 10) é recheado de pontos de coleta de dados que
monitoram o que o usuário faz no computador. Não
necessariamente eles são ruins, mas deve-se buscar um
equilíbrio entre segurança e privacidade. Alguns exemplos
de pontos de coleta do Windows 10:

❖ Utilizar informações de uso para personalizar


propagandas no uso de aplicativos no seu computador;

❖ Capturar informações para ajudar o assistente digital


Cortana. É só lembrar que esse assistente te ajuda com
lembretes, avisos de calendário, envio de emails, etc. E
ele precisa estar sempre ouvindo o microfone do seu
computador, para detectar quando você dá o comando
de voz para ativá-lo;
❖ Wi-Fi Sense. Ferramenta ligada por padrão, que
permite compartilhar as senhas de acesso para redes
sem-fio salvas em seu computador. Por exemplo, caso
um amigo seu visita a sua casa, ele poderia se logar
automaticamente na sua rede sem fio, desde que o
usuário seja um “ amigo digital” seu;

❖ Monitoramento da sua localização, seja para


entregar conteúdo local (previsão do tempo, notícias
locais, etc.) ou para aplicativos baseados em localização
como a aplicação de mapas;

❖ Navegador Edge (que substitui o Internet Explorer)


pode salvar suas senhas, mostrar sugestões enquanto
você faz uma busca (Microsoft poderia ter acesso ao
conteúdo buscado para recomendar buscas), bloquear
sites maliciosos (apesar de bom, isso significa que a
Microsoft pode saber todos os sites que você visita para
poder detectar quais possuem riscos);

❖ SmartScreen Filters, que protegem o seu computador


para que você não instale programas/aplicativos
desktop potencialmente maliciosos. Claramente, para
fazer isso, você precisa compartilhar com a Microsoft
todos arquivos executáveis e programas que você
baixou ou instalou para que a mesma consiga te ajudar
a identificar malwares;

❖ Configurações personalizadas do Windows 10. O


Windows 10 possui uma funcionalidade de sync, que
guarda suas configurações personalizadas como papel
de parede, configurações do navegador web, senhas
salvas, preferências de idioma, etc. Desta forma, basta
que você faça o seu login com sua conta Microsoft em
qualquer computador com Windows 10 para ter o seu
ambiente pronto para uso. Ao fazer isso, ganhamos
comodidade. Mas precisamos lembrar que para ter essa
facilidade, teremos muitos de nossos dados
armazenados em servidores da Microsoft.

Isso é só o começo. Alguns artigos mostram que mesmo


desabilitando tudo isso, alguns dados ainda são enviados
para servidores Microsoft. Você pode encontrar mais
informações em: https://arstechnica.com/information-
technology/2015/08/even-when-told-not-to-windows-10-just-
cant-stop-talking-to-microsoft/. No geral, temos as seguintes
recomendações:

❖ Utilize o Bitlocker para criptografar o disco;

❖ Mantenha seu sistema sempre atualizado;

❖ Tenha um anti-virus instalado e o mantenha


atualizado;

❖ Não utilize software pirada ou de fontes


desconhecidas;

❖ Utilize ferramentas de detecção de malware como o


Malwarebytes.

MacOS X
O MacOSX, de uma forma geral, possui melhores
mecanismos para garantir a segurança. Além disso, já vem
de fábrica com suporte a criptografia de disco, através do
FileVault. No entanto, no que tange a privacidade, temos
algumas preocupações como as verificadas em
https://www.washingtonpost.com/video/business/technology
/how-apples-os-x-yosemite-tracks-
you/2014/10/22/66df4386-59f1-11e4-9d6c-
756a229d8b18_video.html?
noredirect=on&utm_term=.923622fa3b48:

❖ Ao fazer uma busca no Spotlight, o termo buscado e


a localização do computador são enviados para a Apple.

❖ Ao utilizar o Spotlight, o usuário recebe


recomendações/sugestões sobre o que ele está
procurando. Esta atividade também envolve o envio do
que está sendo digitado pelo usuário para a Apple.

❖ Ao utilizar o Siri ou algum aplicativo que traga dados


locais como temperatura ou notícias, estas informações
também são enviadas.

Um ponto importante no uso do MacOSX é que seus


usuários em geral, por acreditarem que o sistema é mais
seguro que o Windows, acabam se descuidando e tomando
menos cuidados com suas ações. É fundamental seguir as
seguintes dicas básicas:

❖ Utilize o FileVault para criptografar todo o disco;

❖ Mantenha o sistema sempre atualizado;

❖ Utilize um anti-vírus como o Avira ou o Sophos, que


possuem versões gratuitas para MacOSX;

❖ Utilize uma ferramenta anti-malware como o


MalwareBytes;

❖ Ao fazer o download de um aplicativo, dê preferência


por fazer o download através da App Store ao invés de
baixar direto da Internet;

❖ Não utilize software pirata em nenhuma hipótese.


Linux
Os sistemas baseados em Linux ou as chamadas distros ou
distribuições Linux são consideradas por muitos como os
sistemas mais seguros. Mas isso nem sempre é verdade. É
importante entender a fundo quem são os responsáveis por
manter esses sistemas e suas atualizações. Em 2016 por
exemplo, uma das distribuições mais famosas, a Linux Mint,
foi infectada com um malware
(https://nakedsecurity.sophos.com/2016/02/22/worlds-
biggest-linux-distro-infected-with-malware/). Para usuários
com fins específicos, pode-se recomendar, sem garantir a
total segurança, as seguintes distribuições:

❖ Debian: Uso geral com bom equilíbrio entre


usabilidade e segurança;

❖ Qubes OS: Segurança máxima, porém extremamente


complexo de configurar;

❖ Tails: Privacidade e anonimato, utilizando a rede Tor


para anonimidade por padrão;

❖ Kali Linux: Fazer testes de segurança e penetração,


exploração de vulnerabilidades.

Caso o usuário opte por alguma distribuição mantida por


alguma comunidade ou governo, muito possivelmente
existem códigos internos que podem estar enviando
informações sem o seu consentimento para algum lugar que
você não gostaria. Como exemplo, a Coréia do Norte possui
sua própria distribuição Linux, a Red Star OS
(https://www.infoworld.com/article/3190558/linux/is-it-safe-
to-install-north-korea-linux.html). Como dicas gerais:

❖ Aplique a criptografia de disco;


❖ Mantenha o sistema sempre atualizado;

❖ Não execute scripts de fontes desconhecidas;

❖ Não utilize software pirata.

Chrome OS
O uso de um notebook Chromebook com ChromeOS pode
ser uma boa escolha para quem busca mais simplicidade e
segurança. Ele é recomendado por experts em segurança
pois ele dificulta a vida do usuário que acaba “ fazendo
besteira” e instalando coisas erradas, clicando em
extensões de navegador, etc. Para tentar melhorar a
segurança, o ChromeOS utiliza um conceito chamado de
sandbox, onde ele cria um ambiente isolado para cada app
que executa dentro dele. Além disso, ele aplica
automaticamente fixes de segurança para garantir que o
sistema esteja sempre atualizado. O ChromeOS ainda não
tem muita penetração no mercado brasileiro. Vamos
acompanhar a sua evolução.

Smartphone
Hoje em dia, um dos dispositivos mais sensíveis e
vulneráveis são os smartphones. Praticamente todas
pessoas possuem um. E todas pessoas estão o tempo todo
com ele e acabam tendo toda a sua vida digital ali dentro.
Mal sabem as pessoas que elas estão trocando comodidade
por um alto risco. Vamos começar listando algumas coisas
(ativos) que as pessoas costumam ter em seus
smartphones:

❖ Fotos de filhos, familiares, amigos, fotos íntimas


(sinceramente não vejo sentido em ter esse tipo de
fotos, mas cada um é cada um);

❖ Fotos ou digitalizações de documentos como


passaporte, identidade, etc.;

❖ Conversas de Whatsapp ou sistemas de mensagem,


tanto pessoais como corporativas;

❖ Acesso de redes sociais como Facebook, Instagram,


TikTok, Snapchat e Twitter;

❖ Acesso à ferramentas de email para emails pessoais


e para emails corporativos;

❖ Agenda com contatos de familiares, telefones de


casa, amigos, etc.;

❖ Acesso a aplicativos de transporte como 99Taxi,


Uber, Cabify;

❖ Acesso ao Internet Banking de todos os bancos que o


usuário possui conta com cadastro inclusive no Pix;

❖ Aplicativos de corretoras como Easynvest, BTG


Digital, Warren, XP, Clear, etc.;

❖ Apps de companhias aéreas;

❖ Apple Pay, Samsung Pay, e afins com cartões de


crédito salvos no aparelho, além de aplicativos que
podem fazer compras em seu nome sem você digitar a
senha do cartão como o próprio Uber;

❖ Aplicativos de compras online como eBay e


Mercadolivre;

❖ Carteira ou acesso a carteira de bitcoin;


❖ Aplicativos de armazenamento em nuvem como
Amazon Prime Photos, GoogleDrive, Dropbox;

❖ Contas do iCloud, Samsung ID, GoogleAccount, que


podem ser usadas para gerar ainda mais transtornos.
Ex. Se um atacante consegue sua conta iCloud e sua
senha, ele consegue não só comprometer o seu
smartphone, como também apagar os seus dados
salvos na nuvem da Apple como fotos, e até apagar
remotamente outros dispositivos Apple que você tenha
vinculado à sua conta como um Macbook.

Só pensando em alguns casos, rapidamente vemos a


quantidade de ativos importantes (para não dizer críticos)
que temos em nossos bolsos, prontos para serem perdidos,
furtados, ou roubados. A única certeza que podemos ter é
que eventualmente podemos perder nossos smartphones e
esses podem cair nas mãos de pessoas mal-intencionadas.
Com acesso a esses dados, pode-se pensar em extorsões,
criação de contas laranjas, roubo de dados sigilosos,
personificação (alguém se passar por você perante seus
conhecidos), roubo de dinheiro, uso indiscriminado de
serviços em seu nome (pedir Uber no seu nome, fazer
compras em seu nome, etc.). O universo de problemas é
enorme. Dito isso, qual a conclusão? Não devo usar
smartphone? Diria que hoje em dia isso é impossível. Mas
podemos tomar alguns cuidados para diminuir essa
superfície de ataques. Do ponto de vista de segurança
básica, seguem algumas recomendações:

❖ Sempre configurar uma senha de bloqueio (se


possível com números e letras);

❖ Se o smartphone permitir, proteja o acesso com


biometria (impressão digital) ou reconhecimento de íris
ou facial 3D (iPhones a partir do iPhone X). Não conte
com reconhecimentos falhos como o reconhecimento
somente por imagem, onde já foi provado que uma
pessoa, de posse de uma foto sua impressa, consegue
passar pelo sistema sem dificuldades;

❖ Configure a política de apagamento por tentativas


inválidas, que automaticamente apaga todo o conteúdo
do aparelho caso sejam feitas mais do que um número
de tentativas de acesso incorretas;

❖ Configure o Find My iPhone ou o equivalente Android


(depende do fabricante), para, caso seja possível,
rastrear a localização do aparelho e executar um
apagamento remoto através do computador;

❖ Se você possui um iPhone, vincule ele em uma conta


do iCloud (não precisa ser a sua conta principal se você
for paranóico). Isso garante que se um atacante tentar
formatar/apagar o seu iPhone para revenda, ele não
conseguirá instalar um sistema novo enquanto não
digitar a senha do iCloud;

❖ Principalmente para Android: não utilize lojas de


aplicativos alternativas ou baixe aplicativos .apk piratas
ou de fontes desconhecidas. Use sempre e somente os
aplicativos presentes na Google Play, de
desenvolvedores idôneos. No iPhone, se fizer Jailbreak
(também chamado de desbloqueio), tenha consciência
dos riscos;

❖ Para fotos, tenha alguma ferramenta que faça o


upload automático de fotos para a nuvem, como o
Amazon Prime Photos, Google Photos, iCloud, etc. Isso
garante que no ato de um defeito no aparelho, furto,
roubo, destruição, etc. as fotos estarão acessíveis de
um outro local.
Outro ponto importante é fazer uma análise dos ativos
presentes e as estratégias de proteção/apagamento para
cada um deles. Pensando nisso, reflita sobre esses pontos:

❖ Faça uma lista de todos aplicativos que possuam


acesso para algum de seus ativos (que você deseja
proteger);

❖ Faça uma lista de todas as contas que você está


“logado” em aplicativos e no navegador móvel. Em caso
de roubo, você saberá quais contas você precisará
trocar a senha. Para ajudar, separe por categorias. Ex.
transporte, email, financeiro, etc.;

❖ Identifique os apps que possuem o seu cartão de


crédito salvo como o Uber, Apple Pay, etc.;

❖ Sempre que possível, utilize cartões virtuais nesses


aplicativos. Falaremos mais desse tipo de cartão na
sessão específica sobre cartão de crédito.

Para as pessoas com dados realmente sensíveis em um


nível “ ultra”, recomendo fazer o seguinte:

❖ Para aplicativos críticos, tenha um smartphone


separado guardado em um local seguro como um cofre
dentro de casa. Ex. Todos aplicativos de bancos e de
corretoras ficam nesse dispositivo. Deixe somente 1
conta de banco disponível no smartphone de uso diário
(de preferência uma conta pré-paga que não seja a sua
principal). Você realmente precisa ter o internet ranking
de 5 bancos no seu celular a todo momento?

❖ Utilize smartphones mais robustos e com


preocupações de segurança como os da linha S20 da
Samsung que possuem uma suíte de segurança muito
relevante chamada de Samsung Knox
(https://www.samsungknox.com/en). O Samsung Knox
permite criar uma pasta secreta dentro do seu
smartphone. Essa pasta fica disfarçada como um ícone
de um aplicativo qualquer no seu Android. Ao clicar
nessa pasta, pede-se uma autenticação (como íris ou
uma senha complexa). Caso o acesso tenha sucesso, o
Knox apresenta um ambiente protegido (como se fosse
um Android dentro do seu Android) onde você pode
instalar todos seus apps críticos. Para empresas, faz
todo sentido colocar o app de email corporativo e os
apps de documentos corporativos dentro do Knox. Para
o usuário pessoal, recomendo colocar todos apps de
banco, corretoras, etc. dentro do Knox. Infelizmente a
Apple não tem uma solução equivalente.

BONUS: Wish list — O que os


Fabricantes deveriam fazer para
nos proteger
Caso alguém que trabalhe na Apple, Samsung, Motorola,
HTC, etc. esteja lendo esse livro, fica aí uma lista de
funcionalidades que deveriam ser implementadas,
pensando principalmente no mercado brasileiro:

❖ Permitir no nível de sistema operacional, proteger


apps individualmente com uma autenticação como
biometria, íris, reconhecimento facial 3d, ou senha. Hoje
em dia, os desenvolvedores de app que precisam
implementar o suporte. Isso deveria ser uma
funcionalidade sob total controle do usuário final e do
sistema operacional;

❖ Ter um chip de segurança embutido dentro do


smartphone. Esse chip contém o IMEI e outros dados
pertinentes. Sempre que o celular for formatado ou
atualizado, o hardware exige conexão à Internet (ou via
4G ou wifi) para validar que o aparelho não foi roubado
ou está numa lista negra de IMEIs. Caso o chip seja
alterado ou retirado, ele será tamper-proof e inutilizará
o aparelho. Em caso de roubo, basta a pessoa que foi
roubada ir até a polícia para colocar o aparelho numa
lista negra. Se isso estiver protegido a nível de
hardware, um atacante não conseguirá mais efetuar a
revenda, desestimulando o mercado de roubo/revenda
de smartphones. A Apple já faz isso de certa forma
exigindo a senha do iCloud. Inclusive existem relatos de
pessoas que tiveram seus celulares destruídos ou
devolvidos quando o atacante percebeu se tratar de um
iPhone e que ele não conseguiria revender.

❖ Proteção contra extorsão. O smartphone deveria


aceitar duas senhas de acesso. Uma correta e uma anti-
extorsão. A senha correta faz tudo funcionar como as
coisas são. Porém, se a senha anti-extorsão for digitada,
além de um alarme poder ser disparado para as
autoridades como local de onde a pessoa está, é exibido
um ambiente separado do ambiente do dia-a-dia. Nesse
ambiente “ fake”, a pessoa pode colocar aplicativos,
fotos, etc. para parecer ser o ambiente correto. E até
programar um apagamento automático de dados da
conta verdadeira. No caso de extorsão onde uma
pessoa é obrigada a fornecer sua senha de acesso, esse
mecanismo ajuda a proteger os ativos sensíveis.

❖ Possibilidade de bloquear a retirada do SIM Card com


trava em hardware. Se for tirado na força bruta, ele
bloqueia o aparelho com uma senha mestra. Isso é
importante pois no caso de roubo, a primeira atitude do
criminoso que deseja revender é apagar os rastros.
Assim que ele retira o chip e desabilita a Internet Wifi, o
aparelho “ some do mapa”, dificultando inclusive as
ferramentas de apagamento remoto.

E-Mail
Muitas pessoas não dão o devido valor aos emails. Os
emails são uma das partes mais sensíveis do ponto de vista
de ativos a serem protegidos. É só parar para lembrar que
praticamente todos os sites e serviços pedem um email
como informação de login. E geralmente, processos como
compras, operações na bolsa, contratação de serviços,
contratos, boletos, etc. são sempre validados com um email
de confirmação. Em posse do seu email, um atacante pode
não só utilizá-lo, como explorar todos seus emails e
descobrir com quem você troca mensagens, mensagens
confidenciais, serviços que você assina, produtos que você
compra, sites que visita, etc. Além disso, processo padrão
de praticamente todos os sites e serviços é, em caso de
esquecimento de senha, o envio de um email para reset de
senha. Se um atacante consegue acessar o seu email,
mesmo que ele não tenha a sua senha do Facebook, ele
consegue clicar em esqueci a minha senha, passando suas
credenciais no Facebook. E pronto, o link para fazer o reset
chegará no seu email. E o atacante tem acesso ao seu
email. Como boa prática, sempre habilite autenticação em
dois fatores em seus serviços de email. Do ponto de vista de
privacidade, uma boa ideia é ter vários endereços de email.
Um email voltado para parte financeira. Outro para compras
online, etc. Nesse caso, se uma conta for comprometida,
isso reduz o raio de alcance do atacante.

Internet em Estabelecimentos,
Hotéis, Cafeterias
A regra de ouro é sempre evitar acessar internet de locais
públicos ou inseguros. Se estiver em uma cafeteria, se
possível, usa o 4G do seu celular em detrimento a Wi-Fi. Se
realmente for necessário conectar, utilize uma VPN. Evite
deixar seu dispositivo longe do seu alcance como deixar em
uma mesa para ir ao banheiro. Carregue seus dispositivos
sempre com você. E em nenhum momento deixe o
computador ou celular desbloqueado em cima da mesa.

Smart TVs e Internet das Coisas


Quando falamos de dispositivos inteligentes em casa, um
ponto fundamental é mantê-los atualizados. Um problema
recorrente são smart TVs de modelos descontinuados que
se conectam na Internet. Elas podem ter vulnerabilidades e
estão sempre conectadas, abrindo um vetor de ataque em
sua residência. Conforme os ataques vão evoluindo, até
dispositivos de interação por voz / assistente de voz como o
Siri, Google Home ou o Amazon Echo são susceptíveis a
ataques elaborados. Recentemente, um ataque chamado de
Ataque Golfinho (dolphin attack) ficou bem conhecido.
Nesses dispositivos que também incluem os celulares, um
comando de voz específico como “ Ok Google”, “ Alexa”, ou
“ Hey siri” ativam o sistema para ouvir comandos. Para
explorar a falha, pesquisadores codificaram comandos de
voz e os deslocaram para uma frequência sonora elevada,
inaudível em um ouvido humano. Como os dispositivos
utilizam um hardware de microfone que processa o som
ambiente e o interpreta como voz humana era possível
enviar comandos como abrir sites específicos ou fazer
ligações em um telefone. Pensando que alguns dispositivos
permitem fazer compras online, esse seria um ataque
elegante para comprar coisas em nome de alguém sem que
a pessoa perceba.
Redes sociais
As redes sociais são um grande vetor de risco. Por padrão,
sempre utilize e habilite a autenticação em dois fatores. Se
pararmos pra pensar, uma rede social comprometida não
pode somente atrapalhar sua privacidade, como pode
prejudicar sua reputação. Imagina que você é um grande
influenciador digital. E um atacante, em posse da sua conta,
publica uma mensagem preconceituosa ou extremamente
politizada em sua rede. Pela manhã, você acordará com
milhares de haters, comentários, xingamentos e ameaças.
Vai ser bem difícil provar para todos que tudo se trata de
um mal entendido e de um ataque. Sempre pense muito
bem em quem você aceita como amigo em redes sociais.
Aceitar desconhecidos ou pessoas com as quais você não
tem tanta intimidade pode expor muito da sua vida
privativa para terceiros. Na medida do possível, evite
ostentar em redes. Carros importados, viagens, etc. Isso só
serve para massagear o seu ego. E inerentemente existe
um risco grande. Existem casos de pessoas que tiveram
suas casas assaltadas. Um atacante que conhecia as
proximidades da vítima, identificou que a vítima estava de
mochilão na Europa por 1 mês. Na maior tranquilidade, foi
até a casa da vítima e calmamente furtou itens preciosos.
Talvez se o atacante não soubesse da certeza de que não
teria ninguém em casa, a história teria sido diferente.

Quando falamos de redes sociais, não podemos pensar


somente na gente. Pessoas próximas podem ter suas vidas
comprometidas por más atitudes nossas em nossas redes
sociais. Imagine o seguinte cenário. Você adora o seu filho
(naturalmente) e posta fotos dele de roupa de banho. Na
primeira aula de natação. Na praia. Abraçado com um
amigo. O que impede um malfeitor de pegar essas fotos e
compartilhar em algum lugar obscuro cheio de pedófilos? E
que tal colocar fotos do seu filho indo para o primeiro dia na
escola? Chegando na aula de judô. Indo para o curso de
inglês. Já parou para pensar que um atacante pode
entender os hábitos do seu filho? Em qual endereço ele
estuda? Onde faz judô? Quais horários ele entra ou sai do
local? Em um pior cenário ele pode usar isso para planejar
um sequestro. Ou ele pode esperar um momento de não
comunicação (como o filho durante a natação) para fazer
uma ligação e simular um sequestro. Tenho certeza que se o
atacante descrever os traços físicos do seu filho, falar que
acompanha ele e sabe que ele estuda na escola X, faz judo
terça e quinta 18h e que faz inglês 9 da manhã nas quartas,
ele vai te convencer que de fato tem o seu filho nas mãos
de bandidos.

Evite também postar fotos com tickets de passagens de


trem ou avião, pois um atacante pode pegar os códigos de
reserva e alterar ou cancelar os seus voos. Não custa
lembrar que você nunca deve postar quaisquer fotos de
cartão de crédito online. Incrivelmente muitas pessoas, ao
receber um cartão novo, postam fotos revelando o número
e até o CVV do cartão. Por fim, evite divulgar opiniões muito
fortes em redes sociais ou participar de discussões online.
Muitas vezes as discussões são públicas e você pode atrair
atenções indesejadas ou gerar incômodo em alguma pessoa
com más intenções.

Relacionamentos Online
O mundo moderno tem soluções modernas para o
relacionamento. Uma grande tendência são os aplicativos
de relacionamento como Tinder, Happn, etc. O grande
perigo nesse tipo de aplicação é que estamos, no final do
dia, falando com completos estranhos. Nada impede de que
um atacante, se passe por uma pessoa diferente, com fotos
falsas, e te convença a marcar um encontro. E ao chegar lá,
surpresa. Você pode ser assaltado ou sequestrado. Se você
tiver a necessidade de utilizar algum tipo de app de
relacionamento, evite colocar informações muito pessoais
ou dados sigilosos. Evite fotos constrangedoras. Se possível,
conhecendo melhor alguma pessoa, faça uma pesquisa de
background. Veja se tem Linkedin. Se tem amigos em
comum. Busque o perfil dessa pessoa em outras redes
sociais e veja se realmente a pessoa aparenta “ existir”.
Esqueça essa ideia de mandar vídeos, nudes, ou seja lá o
que for. Ao enviar isso para um desconhecido, tenha certeza
de que eventualmente esses dados podem cair na Internet.
E uma vez que está lá, por mais que se tente, esse tipo de
conteúdo nunca será totalmente removido. Prejudicando
sua reputação online e offline. Imagine a dificuldade de uma
pessoa que teve vídeos íntimos constrangedores publicados
em grupos de WhatsApp e na Internet em geral. Será que
ela conseguirá um emprego? Será que ela suportará a
zoação e as brincadeiras na rua? Será que ela terá o
respeito das pessoas? Será que ela voltará a ter alguma
vida social? Imagine também que em posse desse tipo de
conteúdo, você pode ser alvo de extorsão. Um perfil virtual
pode te estimular a mandar vídeos ou fotos
comprometedoras. E depois te ameaçar. Se você não for em
um local X ou transferir Y dinheiro, vou divulgar suas fotos
íntimas na Internet. Que situação complicada! Ao marcar
encontros online, opte por locais muito movimentados e
seguros, como shoppings. Locais onde você possa sair
rapidamente em caso de problemas ou buscar ajuda. Evite
parques pouco movimentados, locais desertos, ou locais
próximos de regiões de risco.

Compra e Venda de produtos


Online
As compras online são uma necessidade hoje em dia.
Algumas dicas práticas. Sempre que possível, utilize cartões
virtuais (vamos falar sobre isso muito em breve). Se
possível, escolha a forma de pagamento boleto. Além de
geralmente se ter um desconto, você consegue efetuar a
compra sem expor um dado de cartão de crédito que
poderia ser usado para compras futuras indesejadas. Para
compras online, reputação vence preço. Resista a tentação
de comprar uma Smart TV ultra barata em um site
desconhecido. Opte por sites confiáveis e de reputação de
grandes marcas. Ao escolher um site, verifique no site
ReclameAqui sobre as reclamações e satisfação geral da
marca. Se possível, pergunte para amigos se eles já
compraram com sucesso nesses sites.

Em sites de vendas entre pessoas como Mercado Livre,

procure sempre vendedores


com alto volume de vendas e ótima reputação. Esse
vendedor da figura acima, é um vendedor MercadoLíder
Gold, com 1607 vendas nos últimos 4 meses e com ótima
nota. Parece ser confiável. Além disso, se for um produto
caro ou um ativo importante, filme o processo de
desempacotamento. Tenha uma evidência que você recebeu
o pacote em um estado, desempacotou corretamente e que
o produto chegou em perfeitas condições. No caso de
alguém ter adulterado o pacote e trocado o seu celular por
um tijolo, o vídeo serve como prova de que não foi você que
está mentindo para o vendedor e querendo ganhar dinheiro
de volta ou dois celulares pelo preço de um. No caso de
plataformas de venda como OLX, onde existe a questão de
uma entrega física de um produto (ex. comprar um
notebook de uma outra pessoa), sempre marque encontros
em locais públicos como shoppings. Além disso, converse
bastante e peça fotos ou vídeos específicos. Em muitos
casos, estelionatários pegam fotos de produtos de outros
usuários e as replicam para enganar outras pessoas. Mas se
você pedir pra ele gravar um vídeo mostrando o notebook
enquanto ele escreve o seu nome em um papel e coloca na
frente da tela, dificilmente um atacante conseguirá fazer
isso pois ele nem possui o bem real. Só as fotos. Desconfie
de preços muito fora da realidade. Na hora de pagar,
sempre opte por meios digitais e evite levar dinheiro vivo ou
afins. Além de ser um risco andar com dinheiro vivo,
dinheiro vivo facilita um golpe e roubo. Conheço casos de
uma pessoa que foi comprar um carro em uma plataforma
online. Ao marcar um encontro, o "vendedor" começou a
atuar de forma agressiva e a pedir um recebimento
imediato em dinheiro. Houve conflito e o comprador acabou
se ferindo.

Ao optar por meios digitais, opte por meios onde a


transferência é instantânea e pode ser rapidamente
verificada. Ao vender, evite por exemplo receber via uma
operação de DOC que pode levar 1 dia útil. Em caso de
fraude, você só saberá daqui 1 dia. E até lá, você nunca
mais encontrará a pessoa para quem você vendeu. E nem o
ativo que você vendeu. Opte por transferências entre contas
do mesmo banco (veja se você e o comprador possuem
conta no mesmo banco). Essas transferências costumam ser
as mais rápidas. Caso não seja possível, faça/receba um
TED. Mas fique atento para o horário. TED geralmente só
funciona em horário comercial. E durante os dias úteis da
semana. Hoje em dia, uma outra alternativa é fazer um PIX.
Uma opinião pessoal minha é que sempre vale a pena
vender para amigos ou amigos de amigos. Existe uma
cadeia de confiança implícita. As vezes vale até vender por
um valor abaixo do que você gostaria em troca de um
menor risco de vender/comprar de algum conhecido ou
pessoas próximas do seu círculo social.

Se for anunciar produtos em sites como o Mercado Livre,


também tome cuidado pois um golpe muito comum é um
comprador interessado dizer que fez a compra, enviar um
email falso do Mercado Livre, e dizer que enviou um Uber
buscar o produto. Procure sobre esse tipo de golpe no
Youtube pois existem diversos vídeos de pessoas
“tapeando” os tapeadores e gravando e documentando a
audiência. Acredito ser um material interessante para
despertar o seu senso de perigo.

Ambiente de Trabalho
Sempre que possível, evite deixar ativos pessoais
desprotegidos. Coisas como celulares em cima da mesa, ou
carteiras ou bolsas em cima da mesa. Utilize um armário
com chave ou guarde isso no seu bolso. Em caso de ter uma
mochila, uma mochila com cadeado já ajuda. Em hipótese
nenhuma deixe sua estação de trabalho desbloqueada.
Evite misturar dados pessoais ou usar dispositivos
corporativos para atividades pessoais. Isso pode abrir
vetores de segurança que podem afetar a empresa. Ou
sistemas de monitoramento da empresa podem coletar seus
dados pessoais. Se possível, tenha um celular corporativo e
um celular pessoal. Em um cenário extremo, você poderia
ser demitido e perder acesso ao computador. E se você
tinha algo pessoal na máquina... Bom. Isso agora está na
mão da empresa. Evite comentar sobre finanças ou ativos
que requerem privacidade em um ambiente de trabalho.
Você nunca sabe quem pode estar ouvindo e a intenção de
pessoas que podem estar ouvindo.

Finanças e Sites Críticos


Para ativos de finanças, é crítico ter um processo bem
estabelecido de segurança. O primeiro passo é ter senhas
robustas e habilitar a autenticação de dois fatores. Se
possível, use um ambiente isolado (um computador só para
esse fim) ou um ambiente virtual (como uma máquina
virtual) com um sistema operacional seguro (ex. Debian
Linux) para acessar esses sites. Se o objetivo for anonimato
e não necessariamente privacidade, acesse esses sites via
rede Tor por exemplo.

Relacionamento com Instituições


financeiras
Dado os cenários onde podem usar seus dados para criar
uma conta laranja em seu nome, muitas vezes nos sentimos
perdidos em saber se tem algo sendo feito em nosso nome
e sem o nosso conhecimento. Para ajudar nesta situação,
existe um site do Banco Central do Brasil chamado de
Registrato (
https://www.bcb.gov.br/cidadaniafinanceira/registrato ). Ao
se registrar nesse site e fazer o login é possível saber quais
instituições possuem chaves PIX cadastradas em seu nome,
empréstimos e financiamentos feitos no seu nome, e contas
abertas em instituições financeiras. Recomendo olhar pelo
menos mensalmente os relatórios do registrado para ver se
não surgiu nada inesperado em seu nome.

Cartões de Crédito (cartão


virtual)
Ao utilizar um cartão de crédito na Internet, estamos
sujeitos a fraudes. Essas fraudes podem ocorrer quando
compramos em algum site “ suspeito” que vende um
produto muito mais barato que os outros. Pode acontecer se
algum site legítimo for invadido por atacantes que roubam
todos cartões já utilizados no site. Ou pode acontecer se o
nosso computador estiver comprometido. Em qualquer um
desses cenários, um atacante pode ter acesso ao número
do seu cartão de crédito e começar a usá-lo em seu nome.
Se detectarmos a “ clonagem” de nosso cartão, inicialmente
temos que ligar para a emissora do cartão e pedir para ela
bloquear o cartão e inutilizá-lo. Ao fazer isso, você precisa
aguardar a emissão de um novo cartão até poder utilizá-lo
novamente. Pensando em evitar esse tipo de problema,
alguns bancos como o Itaú, Nubank e Original trouxeram o
conceito de Cartão Virtual.

Inclusive, alguns bancos em 2020 começaram a só aceitar


os seus cartões virtuais para compras online.

O que é o cartão virtual? Ele é um cartão temporário, criado


para ser utilizado em compras online. Você pode inclusive
criar um limite separado para ele. No aplicativo do seu
banco, você pode criar um cartão virtual. Ele terá o seu
nome, cvv, validade, etc. Igual a um cartão físico. E você
deve usá-lo em todas transações online. Caso ocorra
alguma clonagem ou roubo, basta cancelar o cartão virtual
e gerar um novo. Isso é feito no próprio app do banco, sem
custos adicionais. E como falamos, alguns bancos permitem
criar limites separados, de forma que você limita o possível
dano de um cartão virtual vazar. Você mantém o seu cartão
físico funcional e protegido e pode continuar comprando
online. Crie cartões virtuais e os utilize para compras online!
Você ficará muito mais seguro!

PIX
O PIX é um sistema de pagamentos instantâneos
desenvolvido pelo banco central e que está ativo no Brasil
desde o final de 2020. Ele permite transferências
instantâneas para pessoas e empresas. Basta escanear um
QR Code (uma espécie de código de barras). Transferências
PIX não tem custo e funcionam 24h por dia e 7 dias por
semana. Diferentemente do TED que possui restrições de
horário. O grande desafio do PIX é justamente o seu pouco
tempo de maturidade (este livro foi atualizado em fevereiro
de 2021) somado ao fato de funcionar 24h por dia. Em uma
situação de ameaça, um atacante poderia forçar você a
escanear um QR Code e “instantaneamente" ele poderia te
roubar. Se fosse um TED ou DOC, existiriam limites mais
rígidos e horários mais restritos de operação.
Hoje em dia, não existe uma padronização entre as
instituições financeiras que suportam o PIX. Para algumas,
limite de transferência é dinâmico baseado no usuário. No
geral, o usuário não possui poder suficiente para definir
limites de transferência, cadastro obrigatório de destinatário
ou horários/dias da semana em que o seu PIX irá funcionar.
Espero que em breve os bancos implementem
configurações mais seguras para proteger seus usuários dos
riscos do PIX.

Documentos Pessoais, Vários Cartões na


Carteira, etc.
Todos sabemos a grande dor de cabeça que é perder algo
valioso. Muitas vezes, além do valor sentimental, temos
todo um processo burocrático que precisa ser cumprido
para que possamos estar “ de volta nos trilhos”. Imagine a
dor de cabeça de perder um documento como uma cédula
de identidade. Você precisa agendar, fazer um boletim de
ocorrência dependendo do caso, correr de um lado para o
outro, para, por fim, conseguir uma nova cópia. Imagine se
você tiver que fazer isso para 3 ou 4 documentos de
identidade de uma só vez? Não faz muito sentido né?
Infelizmente, muitas pessoas não se preocupam muito com
isso, e acabam carregando em suas carteiras, ao mesmo
tempo, identidade, CPF, carteira de motorista, carteira do
conselho de engenharia (se for engenheiro), etc. No final do
dia, basta ter 1 documento de identidade consigo por vez.
Além de diminuir o risco e a dor de cabeça em caso de
perda, você terá uma carteira mais leve :). Então fica a dica.
Carregue somente 1 documento de identidade para não ter
dor de cabeça.

A mesma analogia vale para cartões de crédito/débito.


Quantas pessoas carregam múltiplos cartões de crédito na
carteira? Qual o sentido disso? Alguns riscos desse
comportamento:

❖ Ao perder a carteira/bolsa, você perderá todos seus


cartões. Imagine a dor de cabeça de bloquear todos e
solicitá-los novamente. Além disso, precisará atualizar
todos seus serviços online que possuíam esses cartões
cadastrados

❖ Ao perder todos esses cartões, até você conseguir


bloquear todos, algum uso indevido poderá ter sido feito
por quem achou/furtou a carteira

❖ Imagina que você carrega consigo o cartão de sua


conta salário, bem no dia de receber o salário. Se você
perder, todo seu dinheiro e seu limite podem ser
utilizados por um atacante. Imagina perder todo seu
suado salário em poucas horas para um atacante?

❖ Em caso de sequestro relâmpago ou similar, você


possivelmente terá que passear com os assaltantes
para tirar todo o dinheiro de cada um desses cartões e
passar para eles.

Hoje em dia, é totalmente desnecessário se arriscar dessa


forma. Existem uma série de cartões de crédito gratuitos e
sem anuidade de bancos digitais que podem muito bem ser
o seu cartão do dia-a-dia. Além de unificar todos gastos em
um único cartão, muitos desses cartões possuem
mecanismos inteligentes e práticos de bloqueio. Você pode
configurar um limite que te deixe confortável e também ter
um maior controle sobre seus gastos, pois geralmente os
aplicativos desses cartões categorizam os gastos
automaticamente.

Como exemplo de cartões sem anuidade e excelentes para


o uso diário, podemos citar o Nubank, Digio, e o Next. Após
adquirir um ou mais, configure um limite adequado com as
suas despesas mensais e passe a ter somente esse cartão
em sua carteira. Em caso de perda/roubo/furto, basta
bloquear o cartão no aplicativo e solicitar outro. E se
precisar de dinheiro ou de cartão, você terá todos os seus
outros cartões para utilizar enquanto o novo cartão não
chega. Para um cenário paranoico, podemos por exemplo
adotar a seguinte estratégia:

❖ Casa/Local Seguro

❖ Cartão vinculado com a conta principal

❖ Limite alto, fica guardado em um local seguro para


uso emergencial

❖ Carteira 1 - Dia a Dia

❖ Cartão de banco digital (ex. Nubank) para uso no dia


a dia

❖ Limite de acordo com seu gasto mensal (ex. R$


3000,00)

❖ Anda com você na sua carteira e é usado para todas


compras

❖ Documento de identidade adequado ao seu uso


diário. Ex. Carteira de motorista

❖ Carteira 2 - Eventos e passeios/hobbies/esportes

❖ Cartão de banco digital (ex. Digio) para uso em


saídas e locais com potencial de risco

❖ Limite de acordo com o gasto nesses locais Anda


com você quando você vai para um show, evento, festa
❖ Anda com você quando você vai fazer uma corrida ao
ar livre, academia, trilha, esporte, etc.

❖ Documento de identidade adequado ao uso. Carteira


de motorista ou alguma carteira de fé pública menos
importante como carteira profissional

Com esta abordagem, conseguimos andar sempre com


algum documento e diminuímos o risco de perdas. Se
ocorrerem perdas, estarão limitadas ao limite de cada
cartão, sem prejudicar a sua conta salário e sem te deixar
em uma situação onde você está trancado e sem acesso ao
seu dinheiro.

Para um cenário de viagem nacional ou internacional, faz


sentido carregar mais de um cartão para se ter uma maior
segurança contra eventuais problemas de
limite/operadora/uso no exterior. Não esqueça de usar a
doleira ou porta-dólar :).

Ter cÓpias autenticadas


Para evitar dor de cabeça, sempre tenha cópias
autenticadas em cartório de todos seus documentos
relevantes, como carteira de motorista, CPF, identidade,
título de eleitor, etc. De preferência, deixa em um local
diferente como a casa de um parente. Em caso de perda,
isso ajuda bastante.

6 - Casos Reais e curiosidades

Leva 20 anos para se construir uma reputação. E alguns


minutos de um incidente virtual para arruiná-la
- Stephane Nappo

Clonagem de whatsapp
Uma fraude bem comum é a clonagem de Whatsapp. Como
funciona? Alguma pessoa má intencionada infiltrada em
uma empresa de telecom aproveita algum período do dia
para redirecionar o seu número de telefone para um chip
pré-pago. Como no Whatsapp, basta confirmar o
recebimento de um código no telefone, o atacante configura
um Whatsapp no chip pré-pago e confirma que é o detentor
do número. A partir disso, ele pode receber suas mensagens
de Whatsapp e começar a tentar golpes de extorsão. Por
exemplo, se passar por você e pedir para parentes e amigos
algum tipo de transferência.

Cara, me ajuda. Bati o meu carro e tá bem tarde. O cara


aqui tá me ameaçando e tá exigindo que eu transfira 200
reais pra conta dele. É Agência XXX Conta YYYYY-Y.
Consegue me ajudar?

Um amigo ou parente, ao assumir que você é o detentor do


seu celular, muitas vezes acaba fazendo ou agendando uma
transferência. Para evitar esse tipo de fraude, o Whatsapp
desenvolveu uma funcionalidade que permite criar um
código extra de validação. Se alguém realizar o golpe, o
Whatsapp vai pedir uma senha de autenticação. Sempre
habilite esta opção.

Cartão Extraviado
Um caso inusitado aconteceu com uma pessoa próxima. O
seu cartão de crédito tinha vencido e ele estava aguardando
um novo cartão. O cartão demorou mais do que o comum,
mas ok. Chegou. Ao chegar em casa, esse meu conhecido
pegou o cartão, olhou o número que fica naquele adesivo
colado no cartão novo. Ligou e começou o processo. Ele caiu
num robô de atendimento.

Olá, bem vindo à central do Banco X. Para desbloqueio


pressione 1. Essa pessoa apertou 1).

E foi atendido por uma atendente. Estava indo tudo bem. A


atendente confirmou alguns dados como CPF, pediu para
confirmar o nome da mãe, etc. Tudo ok. Porém, algo
chamou a atenção do meu conhecido. A moça pediu para
falar a senha de 3 dígitos do caixa eletrônico. E falou:

Então, diga as 3 letras do caixa eletrônico. Por exemplo, A


de abacate, B de bola...

Essa pessoa achou isso bem estranho e acabou desligando


a ligação. Ao ligar para sua gerente, ele confirmou de que
se tratava de um golpe.

O que aconteceu possivelmente? Alguém com acesso ao


sistema dos correios ou o caminhão de entregas pegou o
cartão, clonou ele, e trocou o adesivo original que vem
grudado por um adesivo falso com um número de um call
center falso e especializado na fraude. Ao ligar, a atendente
ia confirmando os dados. Quando na verdade, existia um
bandido em um caixa eletrônico ativando o cartão da vítima
e pedindo os dados de confirmação de segurança.

Vazamento de Dados
Já vi acontecer algumas vezes. No Brasil, no final de 2020 e
início de 2021, tivemos dois grandes vazamentos de dados.
Um expôs mais de 223 milhões de brasileiros. O outro vazou
dados de mais de 102 milhões de brasileiros incluindo
números de telefone. Até o número do presidente apareceu
no vazamento.

Um crime muito comum é a utilização do seu nome e seus


dados como laranja. A ideia é se passar por você para abrir
contas em bancos em seu nome, cartões de crédito, contrair
dívidas, etc. Infelizmente não se tem muito o que fazer
nesse caso. Se quiser limpar a consciência, acesse o site do
https://www.serasa.com.br/ e faça uma consulta grátis no
seu CPF. E se você quiser, assine o serviço Premium do
Serasa. Ele pode te avisar pro mensagem sempre que algo
relacionado com seu nome ou dado surgir. E você pode
atuar antes que seja tarde demais. Além disso, o serviço
Premium monitora se algum dado seu (como passaporte,
cif, e-mail, telefone) foi parar em algum vazamento de
dados ou colocados a venda na Dark Web. Eu recomendo o
uso da versão premium do Serasa.

TIKTOK Copy/Paste
monitoramento
A notícia original pode ser vista nesse link. Com o
lançamento iminente do iOS14, novo sistema operacional
da Apple para seus dispositivos móveis, a Apple incluiu uma
nova função de segurança. Essa função avisava para o
usuário sempre que algum aplicativo capturava o conteúdo
do seu clipboard (uma área de memória que armazena o
que você copia e cola no celular. Por exemplo, copiar um
número de telefone para enviar para alguém). Sempre que
isso acontecia, o Tik tok lia tudo que você copiava. Isso
poderia incluir links, mensagens, senhas, etc.

Imagine o que essa rede social poderia fazer com esses


dados. Talvez somente uma recomendação de conteúdo. Ou
talvez algo muito pior. Geralmente, se você não paga por
um serviço/produto... você é o produto.

Assalto e extorsão
Recentemente, um amigo de um amigo passou por uma
situação bem complicada. Ele foi assaltado e o assaltante
pediu para ele desbloquear o celular. Rapidamente, o
assaltante acessou o email dessa pessoa e trocou a senha,
assim como senha de outros aplicativos. Como ele perdeu o
telefone e o email, ele simplesmente não conseguia fazer
nada. Nem comprovar que ele era ele para acessar os apps
de finanças, etc. Pois todos envios de “recuperar senha”
caiam no email que foi furtado. Como ele tinha diversos
apps de bancos e corretoras no celular, o estrago foi
enorme e a dor de cabeça para obter novamente os
acessos.

Se essa pessoa tivesse seguido a nossa recomendação de


deixar somente os aplicativos essenciais no celular do dia a
dia, essa tragédia poderia ter sido amenizada.

7 - Conclusões
Se você chegou até aqui, parabéns. Posso garantir que você
agora detém um conhecimento bem acima da média sobre
segurança digital aplicada ao dia-a-dia. Você já consegue
identificar seus ativos, as formas de protegê-los, e as
ameaças para cada um deles. Além disso, já sabe como
dificultar o trabalho de um atacante em suas interfaces de
contato com o digital, como computadores, smartphones,
redes abertas, redes sociais, etc. E já sabe como se portar
para ser menos vulnerável, e ser uma vítima mais
preparada para o mundo cheio de truques e trapaças em
que vivemos. E o mais importante: Agora você não será
mais o primeiro personagem a morrer no filme de terror! ;)
Você agora possui um conjunto diferenciado de habilidades
e conhecimentos que te colocam na dianteira da corrida por
segurança. Mas não se sinta confortável e seguro. Como
você bem aprendeu: Nada é 100% seguro! O trabalho por
aqui acabou. Mas a jornada é contínua.

Como líderes de cyber-segurança, nós temos o dever


se criar nossa mensagem de influência pois a
segurança é uma cultura e precisamos que os
negócios se envolvam e sejam parte dessa cultura de
segurança.

- Britney Hommertzheim

Você também pode gostar