» Segurança de Computadores

Segurança de Computadores

[#1: Edit Options>MightyAdsense>Adsense Code]

PERGUNTAS

- Por que devo me preocupar com a segurança do meu computador?
- Por que alguém iria querer invadir meu computador?
- Senhas
- O que não se deve usar na elaboração de uma senha?
- O que é uma boa senha?
- Como elaborar uma boa senha?
- Quantas senhas diferentes devo usar?
- Com que freqüência devo mudar minhas senhas?
- Quais os cuidados especiais que devo ter com as senhas?
- Certificado Digital
- O que é Autoridade Certificadora (AC)?
- Que exemplos podem ser citados sobre o uso de certificados?
- Cookies
- Engenharia Social
- Que exemplos podem ser citados sobre este método de ataque?
- Vulnerabilidade

RESPOSTAS

Por que devo me preocupar com a segurança do meu computador? - Computadores domésticos são utilizados para realizar inúmeras tarefas, tais como: transações financeiras, sejam elas bancárias ou mesmo compra de produtos e serviços; comunicação, por exemplo, através de e-mails; armazenamento de dados, sejam eles pessoais ou comerciais, etc.

É importante que você se preocupe com a segurança de seu computador, pois você, provavelmente, não gostaria que:

- Suas senhas e números de cartões de crédito fossem furtados;
- Sua conta de acesso à Internet fosse utilizada por alguém não autorizado;
- Seus dados pessoais, ou até mesmo comerciais, fossem alterados, destruídos ou visualizados por estranhos, etc.

Por que alguém iria querer invadir meu computador? - A resposta para esta pergunta não é simples. Os motivos pelos quais alguém tentaria invadir seu computador são inúmeros. Alguns destes motivos podem ser:

- Utilizar seu computador em alguma atividade ilícita, para esconder sua real identidade e localização;
- Utilizar seu computador para lançar ataques contra outros computadores;
- Utilizar seu disco rígido como repositório de dados;
- Meramente destruir informações (vandalismo);
- Disseminar mensagens alarmantes e falsas;
- Ler e enviar e-mails em seu nome;
- Propagar vírus de computador;
- Furtar números de cartões de crédito e senhas bancárias;
- Furtar a senha da conta de seu provedor, para acessar a Internet se fazendo passar por você;
- Furtar dados do seu computador, como por exemplo informações do seu Imposto de Renda.

Senhas - Uma senha (password) na Internet, ou em qualquer sistema computacional, serve para autenticar o usuário, ou seja, é utilizada no processo de verificação da identidade do usuário, assegurando que este é realmente quem diz ser.

Se você fornece sua senha para uma outra pessoa, esta poderá utilizá-la para se passar por você na Internet. Alguns dos motivos pelos quais uma pessoa poderia utilizar sua senha são:

- Ler e enviar e-mails em seu nome;
- Obter informações sensíveis dos dados armazenados em seu computador, tais como números de cartões de crédito;
- Esconder sua real identidade e então desferir ataques contra computadores de terceiros.

Portanto, a senha merece consideração especial, afinal ela é de sua inteira responsabilidade.

O que não se deve usar na elaboração de uma senha? - O seu sobrenome, números de documentos, placas de carros, números de telefones e datas1 deverão estar fora de sua lista de senhas. Esses dados são muito fáceis de se obter e qualquer pessoa tentaria utilizar este tipo de informação para tentar se autenticar como você.

Existem várias regras de criação de senhas, sendo que uma regra muito importante é jamais utilizar palavras que façam parte de dicionários. Existem softwares que tentam descobrir senhas combinando e testando palavras em diversos idiomas e geralmente possuem listas de palavras (dicionários) e listas de nomes (nomes próprios, músicas, filmes, etc.).

[1] Qualquer data que possa estar relacionada com você, como por exemplo a data de seu aniversário ou de familiares.

O que é uma boa senha? - Uma boa senha deve ter pelo menos oito caracteres (letras, números e símbolos), deve ser simples de digitar e, o mais importante, deve ser fácil de lembrar.

Normalmente os sistemas diferenciam letras maiúsculas das minúsculas, o que já ajuda na composição da senha. Por exemplo, “pAraleLepiPedo” e “paRalElePipEdo” são senhas diferentes. Entretanto, são senhas fáceis de descobrir utilizando softwares para quebra de senhas, pois não possuem números e símbolos e contém muitas repetições de letras.

[2] Existem serviços que permitem utilizar senhas maiores do que oito caracteres. Quanto maior for a senha, mais difícil será descobrí-la, portanto procure utilizar a maior senha possível.

Como elaborar uma boa senha? - Quanto mais “bagunçada” for a senha melhor, pois mais difícil será descobrí-la. Assim, tente misturar letras maiúsculas, minúsculas, números e sinais de pontuação. Uma regra realmente prática e que gera boas senhas difíceis de serem descobertas é utilizar uma frase qualquer e pegar a primeira, segunda ou a última letra de cada palavra.

Por exemplo, usando a frase “batatinha quando nasce se esparrama pelo chão” podemos gerar a senha “!BqnsepC” (o sinal de exclamação foi colocado no início para acrescentar um símbolo à senha). Senhas geradas desta maneira são fáceis de lembrar e são normalmente difíceis de serem descobertas.

Mas lembre-se: a senha “!BqnsepC” deixou de ser uma boa senha, pois faz parte desta Cartilha.

Quantas senhas diferentes devo usar?- Procure identificar o número de locais onde você necessita utilizar uma senha. Este número deve ser equivalente a quantidade de senhas distintas a serem mantidas por você. Utilizar senhas diferentes, uma para cada local, é extremamente importante, pois pode atenuar os prejuízos causados, caso alguém descubra uma de suas senhas.

Para ressaltar a importância do uso de senhas diferentes, imagine que você é responsável por realizar movimentações financeiras em um conjunto de contas bancárias e todas estas contas possuem a mesma senha. Então, procure responder as seguintes perguntas:

- Quais seriam as conseqüências se alguém descobrisse esta senha?
- E se elas fossem diferentes, uma para cada conta, caso alguém descobrisse uma das senhas, um possível prejuízo teria a mesma proporção?

Com que freqüência devo mudar minhas senhas? - Você deve trocar suas senhas regularmente, procurando evitar períodos muito longos. Uma sugestão é que você realize tais trocas a cada dois ou três meses.

Procure identificar se os serviços que você utiliza e que necessitam de senha, quer seja o acesso ao seu provedor, e-mail, conta bancária, ou outro, disponibilizam funcionalidades para alterar senhas e use regularmente tais funcionalidades.

Caso você não possa escolher sua senha na hora em que contratar o serviço, procure trocá-la com a maior urgência possível. Procure utilizar serviços em que você possa escolher a sua senha.

Lembre-se que trocas regulares são muito importantes para assegurar a integridade de suas senhas.

Quais os cuidados especiais que devo ter com as senhas? - De nada adianta elaborar uma senha bastante segura e difícil de ser descoberta, se ao usar a senha alguém puder vê-la. Existem várias maneiras de alguém poder descobrir a sua senha. Dentre elas, alguém poderia:

Observar o processo de digitação da sua senha; utilizar algum método de persuasão, para tentar convencê-lo a entregar sua senha (vide seção 5.1); capturar sua senha enquanto ela trafega pela rede.

Em relação a este último caso, existem técnicas que permitem observar dados, à medida que estes trafegam entre redes. É possível que alguém extraia informações sensíveis desses dados, como por exemplo senhas, caso não estejam criptografados (vide parte III desta Cartilha: Privacidade).

Portanto, alguns dos principais cuidados que você deve ter com suas senhas são:

- Certifique-se de não estar sendo observado ao digitar a sua senha;
- Não forneça sua senha para qualquer pessoa, em hipótese alguma;
- Certifique-se que seu provedor disponibiliza serviços criptografados, principalmente para aqueles que envolvam o fornecimento de uma senha.

Certificado Digital - O certificado digital é um arquivo eletrônico que contém dados de uma pessoa ou instituição, utilizados para comprovar sua identidade.

Exemplos semelhantes a um certificado são o RG, CPF e carteira de habilitação de uma pessoa. Cada um deles contém um conjunto de informações que identificam a pessoa e alguma autoridade (para estes exemplos, órgãos públicos) garantindo sua validade.

Algumas das principais informações encontradas em um certificado digital são:

- Dados que identificam o dono (nome, número de identificação, estado, etc);
- Nome da Autoridade Certificadora (AC) que emitiu o certificado (vide seção 3.1);
- O número de série do certificado;
- O período de validade do certificado;
- A assinatura digital da AC.

O objetivo da assinatura digital no certificado é indicar que uma outra entidade (a Autoridade Certificadora) garante a veracidade das informações nele contidas.

O que é Autoridade Certificadora (AC)? - Autoridade Certificadora (AC) é a entidade responsável por emitir certificados digitais. Estes certificados podem ser emitidos para diversos tipos de entidades, tais como: pessoa, computador, departamento de uma instituição, instituição, etc.

Os certificados digitais possuem uma forma de assinatura eletrônica da AC que o emitiu. Graças à sua idoneidade, a AC é normalmente reconhecida por todos como confiável, fazendo o papel de “Cartório Eletrônico”.

Que exemplos podem ser citados sobre o uso de certificados? - Alguns exemplos típicos do uso de certificados digitais são:

Quando você acessa um site com conexão segura, como por exemplo o acesso à sua conta bancária pela Internet (vide parte IV desta Cartilha: Fraudes na Internet), é possível checar se o site apresentado é realmente da instituição que diz ser, através da verificação de seu certificado digital; quando você consulta seu banco pela Internet, este tem que assegurar-se de sua identidade antes de fornecer informações sobre a conta; quando você envia um e-mail importante, seu aplicativo de e-mail pode utilizar seu certificado para assinar “digitalmente” a mensagem, de modo a assegurar ao destinatário que o e-mail é seu e que não foi adulterado entre o envio e o recebimento.

A parte IV desta Cartilha (Fraudes na Internet) apresenta algumas medidas de segurança relacionadas ao uso de certificados digitais.

Cookies - Cookies são pequenas informações que os sites visitados por você podem armazenar em seu browser. Estes são utilizados pelos sites de diversas formas, tais como:

- Guardar a sua identificação e senha quando você vai de uma página para outra;
- Manter listas de compras ou listas de produtos preferidos em sites de comércio eletrônico;
- Personalizar sites pessoais ou de notícias, quando você escolhe o que quer que seja mostrado nas páginas;
- Manter a lista das páginas vistas em um site, para estatística ou para retirar as páginas que você não tem interesse dos links.

A parte III desta Cartilha (Privacidade) apresenta alguns problemas relacionados aos cookies, bem como algumas sugestões para que se tenha maior controle sobre eles.

Engenharia Social - O termo é utilizado para descrever um método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações.

Que exemplos podem ser citados sobre este método de ataque? - O primeiro exemplo apresenta um ataque realizado por telefone. Os outros dois exemplos apresentam casos onde foram utilizadas mensagens de e-mail.

Exemplo 1: algum desconhecido liga para a sua casa e diz ser do suporte técnico do seu provedor. Nesta ligação ele diz que sua conexão com a Internet está apresentando algum problema e, então, pede sua senha para corrigí-lo. Caso você entregue sua senha, este suposto técnico poderá realizar uma infinidade de atividades maliciosas, utilizando a sua conta de acesso à Internet e, portanto, relacionando tais atividades ao seu nome.

Exemplo 2: você recebe uma mensagem de e-mail, dizendo que seu computador está infectado por um vírus. A mensagem sugere que você instale uma ferramenta disponível em um site da Internet, para eliminar o vírus de seu computador. A real função desta ferramenta não é eliminar um vírus, mas sim permitir que alguém tenha acesso ao seu computador e a todos os dados nele armazenados.

Exemplo 3: você recebe uma mensagem e-mail, onde o remetente é o gerente ou o departamento de suporte do seu banco. Na mensagem ele diz que o serviço de Internet Banking está apresentando algum problema e que tal problema pode ser corrigido se você executar o aplicativo que está anexado à mensagem. A execução deste aplicativo apresenta uma tela análoga àquela que você utiliza para ter acesso a conta bancária, aguardando que você digite sua senha. Na verdade, este aplicativo está preparado para furtar sua senha de acesso à conta bancária e enviá-la para o atacante. Estes casos mostram ataques típicos de engenharia social, pois os discursos apresentados nos exemplos procuram induzir o usuário a realizar alguma tarefa e o sucesso do ataque depende única e exclusivamente da decisão do usuário em fornecer informações sensíveis ou executar programas.

A parte IV desta Cartilha (Fraudes na Internet) apresenta algumas formas de se prevenir contra este tipo de ataque.

Vulnerabilidade - Vulnerabilidade é definida como uma falha no projeto ou implementação de um software ou sistema operacional, que quando explorada por um atacante resulta na violação da segurança de um computador.

Existem casos onde um software ou sistema operacional instalado em um computador pode conter uma vulnerabilidade que permite sua exploração remota, ou seja, através da rede. Portanto, um atacante conectado à Internet, ao explorar tal vulnerabilidade, pode obter acesso não autorizado ao computador vulnerável.

A parte II desta Cartilha (Riscos Envolvidos no Uso da Internet e Métodos de Prevenção) apresenta algumas formas de identificação de vulnerabilidades, bem como maneiras de prevenção e correção.