Lição 2: O básico do básico

computador protegido

No ciberespaço não existe 100% de segurança. Há riscos por todos os lados. Quem trabalha com cibersegurança sabe que um dos objetivos da sua profissão é o de reduzir os riscos. E riscos sempre existirão. Eles começam desde que você liga o computador e crescem exponencialmente no momento em que a placa de rede começa a funcionar.

Portanto, antes de prosseguirmos, quero aproveitar a oportunidade para dar algumas dicas básicas, muito simples de serem implementadas e muito importantes.

O objetivo, nesta lição, é o de melhorar a segurança do seu computador, tomando algumas medidas que, infelizmente, são negligenciadas por muitos usuários. Se metade delas fossem implementadas, alguns dos problemas de segurança não seriam tão recorrentes.

Você perceberá que muito do que escrevo sobre segurança trata-se de comportamentos (o que fazer e o que não fazer). Talvez você já tenha um comportamento diligente, mas sempre podemos aprender algo novo.

Para tanto, organizei um guia em 10 passos simples e rápidos que você deve seguir para melhorar a sua cibersegurança.

#1 . Use senhas fortes para o seu e-mail e para as contas de redes sociais

senha-seguraLeve muito a sério a criação de senhas para suas contas de serviços online.

Em primeiro lugar, nunca use a mesma senha em mais de uma conta.

Adivinhe por quê? Se uma das suas contas online for invadida, as outras também poderão ser. Na posse de uma senha, o invasor tentará acessar outros serviços usando a mesma. Aliás, não é preciso ser hacker para fazer isso. É uma questão lógica, tendo em vista que apenas 26% dos usuários criam uma senha para cada conta, de acordo com uma recente pesquisa (ver página 23) da Kaspersky Lab.

Usando senhas diferentes, você pode reduzir o potencial de perda sofrido caso ocorra uma violação de privacidade.

Em segundo lugar, use senhas fortes. Uma senha para ser considerada forte deve preencher os seguintes requisitos:

  • Ter pelo menos dez caracteres.
  • Não conter seu nome de usuário, seu nome real ou o nome da empresa.
  • Não conter uma palavra conhecida.
  • Ser bastante diferente das senhas anteriores.
  • Conter caracteres de cada uma destas quatro categorias: letras maiúsculas, letras minúsculas, números, símbolos do teclado (são todos os caracteres do teclado não definidos como letras ou números) e espaços.

Saiba em quanto tempo a sua senha poderia ser quebrada com o Kaspersky Secure Password Check.

Por fim, uma das melhores maneiras de garantir que suas contas online não sejam acessadas por qualquer outra pessoa é utilizar o método de autenticação de dois fatores. Usar este método significa que você terá que inserir, além das suas credenciais, um código enviado para o seu telefone. Muitos serviços de e-mail e redes sociais oferecem esta forma de autenticação.

Na Lição 5: Gerenciando as senhas de segurança, abordarei essa e outras questões mais detalhadamente.

#2. Livre-se de spywares com uma solução de segurança especializada

Muito provavelmente você já se deparou com um spyware. Spyware é um programa malicioso extremamente chato, capaz de se instalar em seu computador sem o seu conhecimento e começar a abrir janelas pop-ups, redirecionar o navegador para sites maliciosos repletos de trojans, monitorar suas sessões de navegação, coletar informações sobre os seus hábitos de navegação e gravar todas as teclas que são digitadas.

Resumindo: spywares degradam a performance do seu computador, afetam a sua privacidade e segurança. (Na lição 4: Alguns termos fundamentais  falaremos mais sobre este malware)

Caso perceba alguns dos sintomas listados abaixo, provavelmente, seu computador tem um spyware hospedado:

  • Computador lento ao abrir programas ou executar alguns aplicativos
  • Janelas pop-up aparecem o tempo todo
  • Uma nova barra de ferramentas pode aparecer em seu navegador da web
  • A página inicial do navegador foi modificada
  • A ferramenta de busca do seu navegador web foi alterada
  • Mensagens de erro começam a aparecer inesperadamente

Para ficar seguro contra spyware, indico três dos mais populares produtos disponíveis online.

Ferramentas Antispyware

Os produtos podem ser usados de forma gratuita para uso não comercial, mas possuem algumas limitações.

As versões pagas têm mais recursos, como a proteção em tempo real, que é o modo como os programas emitem alertas quando programas maliciosos estão tentando se instalar ou ser executados em seu computador. No momento da tentativa, uma notificação aparecerá em tela, bloqueando a ameaça.

O uso combinado dessas ferramentas garantirá uma excelente proteção contra essas pragas. Sugiro que as instale agora!

Além das recomendações acima, siga estas boas práticas:

  • Não clique em qualquer link suspeito ou em janelas pop-ups.
  • Não responda a perguntas inesperadas que aparecem na tela. Nem sim, nem não.
  • Tenha cuidado ao baixar aplicativos gratuitos. Faça o download, preferencialmente, a partir do site do fabricante.

#3. Mantenha atualizados o sistema operacional e aplicativos

Diariamente são divulgadas notícias de segurança sobre vulnerabilidades de software. A maioria de nós não presta muita atenção a elas.

As soluções de segurança, de maneira geral, são criadas para lidar somente com softwares maliciosos, nos dando a falsa sensação de que estamos suficientemente protegidos.

Aproveitar-se das vulnerabilidades existentes nos sistemas operacionais, aplicações e programas populares é um dos principais métodos usado pelos invasores de sistemas.

Por que os softwares apresentam vulnerabilidades?

Vulnerabilidade é um erro no código ou na lógica da operação do Sistema Operacional ou aplicativos. Como os softwares de hoje são muito complexos e contêm muitas funcionalidades, é difícil para a equipe de desenvolvimento de um fabricante criar produtos livres de quaisquer erros.

De acordo com a Secunia, empresa especializada em desenvolvimento de software de rastreamento de vulnerabilidades, em 2014, 3.870 produtos com brechas de segurança foram descobertos e um total de 15.435 vulnerabilidades foram encontradas neles.

Gráfico Secunia Vulnerabilidades

Fonte: Secunia

Caso utilize softwares como Java, Adobe Flash, Adobe Shockwave, Adore Acrobat Reader, Quicktime ou navegadores populares como o Chrome, Mozilla Firefox ou Internet Explorer, certifique-se que você tem os patches mais recentes instalados.

Quando os fabricantes se tornam conscientes das vulnerabilidades em seus produtos, eles lançam patches para corrigir o problema.

Tenha em mente que esses softwares estão na mira dos cibercriminosos. Meu conselho é que você instale uma solução dedicada a gerenciar e verificar as vulnerabilidades do seu sistema, tornando a sua tarefa muito simples.

Indico dois produtos que facilitarão o seu trabalho:

Secunia Secunia Personal Software Inspector (PSI) é uma solução de segurança gratuita para identificar vulnerabilidades em aplicações no seu PC.

Simplificando a tarefa, o PSI verifica os softwares instalados em seu sistema e identifica aqueles que precisam de atualizações de segurança, de forma a manter o seu PC protegido contra cibercriminosos que exploram brechas. Além do mais, não apenas identifica, mas faz as atualizações necessárias.

Secunia PSI 3.0 pode ser utilizado como complemento ao seu software antimalware, caso ele não tenha possua uma ferramenta de gerenciamento e verificação de vulnerabilidades.

Kaspersky escaneia falhas nos softwaresJá as soluções de segurança da Kaspersky Lab, a renomada fabricante russa, por exemplo, trazem em produtos como o Kaspersky Small Office Security 4 e o Kaspersky Internet Security recursos que gerenciam e verificam vulnerabilidades de aplicativos e do Sistema Operacional. Tratam-se, portanto, de soluções muito mais completas, cobrindo mais vetores de ataque, indo além da convencional proteção antimalware.

Usuários dos sistemas operacionais da Microsoft devem configurar o sistema para que o Windows instale automaticamente atualizações importantes ou críticas à medida que forem disponibilizadas. Essas atualizações fornecem benefícios significativos, como aprimoramento da segurança e confiabilidade. Para aprender mais: Noções básicas sobre atualização automática do Windows.

#4. Use uma conta de usuário padrão em seu sistema operacional Windows

Diferentes níveis de direitos e privilégios estão disponíveis para contas de usuários do Windows. Eu recomendo usar uma conta de usuário padrão. Se mais de um usuário utiliza o computador, crie uma conta padrão para cada um deles.

Se você usar uma conta padrão em seu sistema operacional Windows, você limitará a ação de malwares, que não poderão fazer grandes danos ao seu sistema.

Apenas uma conta de administrador pode fazer mudanças significativas em seu sistema, como a exclusão de importantes arquivos do Windows ou instalar software malicioso.

Usando sua conta padrão, toda vez que for feita uma alteração importante no sistema, as credenciais de administrador serão exigidas.

Se você é usuário do sistema operacional Windows e precisa de ajuda sobre como criar uma conta padrão, clique aqui.

#5. Não desabilite o UAC (User Account Control – Controle de Conta de Usuário)

Controle de conta de usuário (UAC) é um recurso do Windows, presente desde o Vista, que ajuda a impedir alterações não autorizadas no seu computador. O recurso faz isso pedindo permissão ou uma senha de administrador antes de executar ações que podem potencialmente afetar o funcionamento do seu computador ou alterar as configurações que afetam outros usuários.

O UAC previne que softwares maliciosos (malware) se instalem ou façam alterações em seu sistema sem permissão.

UAC Windows

Tela do UAC (User Account Control)

Muitos usuários costumam desabilitar o UAC, pois se incomodam com os avisos. Devo admitir que também já fiz isso.

Sugiro que em vez de você desligar completamente o UAC, defina nas configurações quando você deverá ser notificado a respeito de alterações do seu computador. As opções são as seguintes:

  • Sempre notificar
  • Notificar somente quando os aplicativos tentarem fazer alterações no meu computador (padrão)
  • Notificar somente quando os aplicativos tentarem fazer alterações no meu computador (não esmaecer a área de trabalho)
  • Nunca notificar

Para informações sobre como alterar as configurações de Controle de Conta de Usuário, clique aqui.

#6. Navegue com um navegador seguro

Seu navegador web é a principal ferramenta utilizada por você para acessar a Internet, portanto, preste muita atenção para configurá-lo corretamente.

Ao mesmo tempo, leve em conta que as vulnerabilidade dos navegadores são portas abertas para os hackers. Usando essas brechas, criminosos tentam furtar dados privados do seu sistema.

Ao acessar uma página na web, o seu navegador disponibiliza algumas informações sobre o seu computador, como hardware, sistema operacional e softwares instalados. Os cookies (falarei mais sobre eles) podem ser utilizados para manter referências contendo estas informações e usá-las para explorar possíveis vulnerabilidades em seu computador.

Para proteger a sua privacidade online, siga, por enquanto, as recomendações abaixo:

  • Escolha a versão mais atual do seu navegador. Verifique se os patches de segurança mais recentes estão instalados.
  • Configure o navegador para verificar automaticamente atualizações, tanto dele próprio como de complementos instalados.
  • Aumente a privacidade do seu navegador. Se utilizar um navegador baseado em níveis de permissão procure não selecionar níveis de permissão inferiores a “médio”.
  • Use uma sessão de navegação privada quando você acessa um site de confiança duvidosa. Escolher este modo de navegação impedirá que os detalhes de sessão da navegação sejam armazenados.
  • Use sites seguros para operações financeiras confidenciais. Para visitar um site seguro, certifique-se que o endereço da web começa com HTTPS://. O “s” vem de “secure socket layer” e indica que você está conectado a um site onde os dados, que são enviados e recebidos, trafegam de forma criptografadas.

Verificar as configurações de segurança do navegador web para certificar-se de que eles estão em um nível adequado é de suma importância. Se aumentar a sua segurança pode afetar a funcionalidade de alguns sites, por outro, ajuda a impedir que você seja atacado. Na Lição 11 – Segurança de Web Browsers tratarei com mais detalhes sobre este assunto.

#7. Não confie em redes Wi-Fi públicas e gratuitas

Muitos cafés, hotéis, aeroportos, universidades, dentro outros estabelecimentos, oferecem redes sem fio para seus clientes acessarem à Internet com seus computadores, smartphones ou tablets. Apesar de toda conveniência, as conexão nestes ambientes não são seguras. Se você precisa usar uma rede pública, tenha em mente o seguinte:

  • Esteja certo de que o firewall esteja conectado (Se nãos sabe o que é um firewall, não se preocupe, falarei sobre ele mais adiante).
  • Desabilite o compartilhamento de pastas e arquivos do Windows.
  • Use uma conexão segura (HTTPS).
  • Considere usar um serviço de rede VPN (falarei mais adiante, também).

As redes públicas ou gratuitas são muito visadas pelos cibercriminosos. Um dos métodos favoritos usados por eles para ter acesso às suas credenciais (login e senha) é usando ferramentas Wireless Sniffers, técnica conhecida como sniffing, em que um aplicativo captura pacotes da rede e analisa o seu conteúdo. Tais ferramentas podem ser facilmente encontradas em sites de download.

Importante dizer que as ferramentas que fazem sniffing não são usadas apenas por hackers na busca de identidades e senhas de usuários da rede. Elas podem, também, ser utilizadas de forma legítima. Têm utilidade, por exemplo, para os administradores de rede, como uma ferramenta de diagnóstico para solucionar problemas de dispositivos, como um firewall, roteadores, switches e (VLANs). O problema é o mau uso que alguns podem fazer delas. Igualmente perigoso é o fato de sniffers serem de dificil detecção.

Uma forma de manter sua sessão de navegação privada e segura é usar uma VPN (rede privada virtual). Uma rede privada Virtual (VPN) cria um túnel seguro em uma rede pública, como a Internet, onde os dados transmitidos serão criptografados e somente usuários autorizados poderão ter acesso à rede privada, garantindo que nenhum dado seja interceptado enquanto trafegar pela rede pública.

Há muitos serviços disponíveis, sejam pagos ou gratuitos. Indico os seguintes:

HotSpot Shield – http://www.hotspotshield.com/

Private Tunnel – https://www.privatetunnel.com/

Não Lição 12: Protegendo a sua rede sem fio aprenderemos melhor como proteger sua rede wireless e navegar com mais segurança em redes públicas.

#8. Antes de clicar em um link, tenha certeza de que ele é confiável

Muitas das violações de segurança cibernética não resultam simplesmente das vulnerabilidades dos sistemas operacionais e aplicativos.

O uso de técnicas de engenharia social, como phishing, é uma das mais comuns e bem sucedidas formas para obtenção de informações pessoais.

Os cibercriminosos exploram a boa vontade, confiança e ingenuidade das pessoas, enviando e-mails ou SMSs, aparentemente legítimos, induzindo a vítima ao erro, fazendo ela instalar um software ou revelar informações pessoais como nome, CPF, login, senha, dados bancários, de cartão de crédito etc.

Provavelmente você já deve ter recebido uma mensagem eletrônica assim. Espero que você a tenha ignorado. Aliás, casos de phishing devem ser denunciados. O Google aceita denúncias: Denunciar página de phishing.

Já fiz denuncias e em poucas horas o site em questão já estava sendo bloqueado pelo recurso de Navegação Segura do Google Chrome e pelo Filtro SmartScreen da Microsoft, que é um recurso nos navegadores Microsoft que ajuda a detectar sites de phishing.

Denuncias ajudam a tornar a web um lugar um pouco mais seguro e podem ser feitas pelo e-mail. Envie uma cópia da mensagem original e comunique a instituição que está sendo utilizada no golpe:

Eu penso que simples procedimentos e algumas ferramentas ajuda a evitar que você caia nessas armadilhas. Seguem algumas dicas:

  • Certifique-se, antes de tudo, da legitimidade do link do site no qual pretende clicar. Passe o mouse sobre o link para ver se você será direcionado para um local legítimo. Se para acessar ao seu banco, por exemplo, deveria aparecer http://www.hsbc.com.br, mas aparece “hsbc658.net”, não clique no link, jamais!
  • Desconfie de qualquer e-mail com pedidos urgentes de informação financeira pessoal. Phishers tendem a usar linguagem emocional, com táticas de intimidação ou solicitações que apelam à urgência.
  • Evite o preenchimento de formulários em mensagens de correio eletrônico que solicitam informações financeiras pessoais. Pedidos de informações confidenciais via e-mail ou SMS tendem a não ser legítimas.
  • Ameaças de phishing geralmente são feitas por meio de mensagens de emails aparentemente provenientes de instituições financeiras ou bancárias. Estas tentativas de “pescar” informações privadas de um usuário fornecem links na mensagem que conduzem a vítima para um website falso, controlado pelo fraudador. Na dúvida, entre em contato com a instituição e confirme a veracidade do e-mail. Nunca responda ao e-mail.

Algumas ferramentas podem ajudá-lo a dirimir suas dúvidas:

  • Redirect Detective: esta ferramenta gratuita permitirá que você visualize o caminho completo de um link. Sem clicar, é impossível saber exatamente onde o link nos levará. Em alguns casos, o link pode nos direcionar a sites de phishing ou que podem instalar malwares em nossos dispositivos. O serviço permite que vejamos qual o site para o qual o link nos direciona.
Tela do Redirect Detective

Neste exemplo, o Detective Direct nos indicou o caminho da URL encurtada pelo serviço migre.me

  • VirusTotal: serviço gratuito que analisa arquivos e URLS suspeita, além de verificar arquivos a fim de detectar de vírus, worms, cavalos de tróia e todos os tipos de arquivos maliciosos.
Virustotal

Neste exemplo, o Virustotal analisou e classificou o site como malicioso e contendo phishing. O link direciona o usuário a um falso site da Caixa Econômica Federal o qual solicita o recadastramento das senhas.

Curiosidade: em março de 2011, a RSA Security (divisão da EMC Corporation) foi invadida por um hacker que enviou e-mails de phishing contendo um arquivo de planilha do Microsoft Excel para vários de seus funcipnários. O arquivo continha um malware que explorou uma vulnerabilidade zeroday no Adobe Flash, o qual instalou um backdoor, comandando e controlando o sistema para o roubo de senhas e dados confidenciais.

#9. Encerre a sessão do seu navegador. Não basta fechá-lo, simplesmente clicando no X

Nunca se esqueça de sair (sign out) da conta do serviço online acessado (e-mails, redes sociais, internet banking etc). Não basta apenas clicar no X do canto superior direito do navegador. Desta forma, a sua sessão de navegação não será efetivamente encerrada.

Mutos websites, a fim de facilitar a vida do usuário, utilizam-se dos cookies (falaremos sobre ele mais adiante), poupando o tempo do usuário, já que estes não precisarão redigitar o login e senha.

Se o navegador estiver com os cookies habilitados e você não deu log off no serviço, a próxima pessoa que abrir a página do Facebook, por exemplo, terá acesso à sua conta, principalmente se você estiver em um local público.

Se estiver em um local público e, na pressa, para encerrar o uso do serviço online simplesmente clicou no X, reabra o navegador e saia do serviço usando a opção SAIR do site.

Eu recomendo o uso do recurso de navegação privada ou anônima em locais públicos (hotéis, cibercafés, aeroportos, universidades, bibliotecas etc). Este recurso evita que as credenciais de autenticação (ou cookies) sejam armazenados.

Caso não proteja sua navegação, suas sessões podem ser roubada por um método muito perigoso conhecido como session hijacking, em que o hackers ou malwares detectam e roubam os cookies do seu computador ou dos computadores que estão na mesma rede, tendo acesso as suas contas do Facebook, Twitter, Google, Hotmail etc, sem precisarem ter conhecimento de sua senha.

navegacao anonima chrome

Para mais informações sobre navegação anônima no Google Chrome (modo de navegação anônima), clique aqui.

navegacao-inprivate

Para mais informações sobre navegação privada no Microsoft Internet Explorer ou Microsoft Edge, clique aqui.

Outros navegadores como Firefox, Opera e Safari também tem o recurso de navegação anônima.

#10. Muito cuidado ao baixar conteúdo, como filmes, músicas e arquivos PDFs de locais desconhecidos

O mandamento é claro: evite baixar conteúdo de locais desconhecidos ou controversos. Somente utilize sites de boa reputação.

Você pode seguir este mandamento à risca, mas não será uma garantia de que o seu sistema estará livre de malwares. Cibercriminosos exploram vulnerabilidades de sites legítimos e injetam código malicioso, infectando os visitantes.

Sites de empresas como AOL, Yahoo!, EBay, Wheater.com e Reuters já foram vítimas de uma ameaça conhecida como SSL Malvertising. Armadilhas ocultas em propagandas desses sites podiam ser ativadas por um ataque de hackers sem o conhecimento do usuário e sem que fosse preciso alguma ação, infectando os computadores com adwares e, depois, os bloqueavam com ransomware.

Malvertising: “malicious advertising” é o uso propaganda online para espalhar malwares.

Uma vez que até os sites legítimos estão no alvo dos hackers, não garantindo a nossa segurança, use ferramentas de proteção, como antimalwares, antispywares e firewalls. Conheço muitos que dizem não precisar destas ferramentas, pois dizem que só navegam em sites seguros.

Evite soluções gratuitas. Elas, geralmente, carecem de proteção em tempo real, sendo incapazes de bloquear a ameaça antes da sua ação. Opte por elas apenas se os recursos financeiros estiverem escassos. Mas não se preocupe, pois na lição XX indicarei ferramentas, que apesar de serem gratuitas, dão conta do recado melhor do que algumas pagas.

Pode parecer uma medida extrema, mas você pode instalar um plugin no seu navegador para bloquear todas as propagandas. O lado ruim disso é que talvez você perca alguma propaganda útil.

disconnect-malvertising
Um plugin muito bom e gratuito para navegadores para bloquear malvertising é o Disconnect.

 

wot-pluginO plugin gratuito WOT analisa a reputação de um site baseado na classificação e depoimento de usuários. Sites que disseminam malwares ou de phishing são catalogados como de baixa reputação, devendo ser evitados.

Conclusão

Acredito que essa lição tenha cumprido o seu objetivo: cobrir em 10 passos o básico do básico, as medidas que devem ser tomadas para garantir o mínimo de segurança para o seu sistema.

Dedique alguns minutos para colocar em prática esses conselhos. Lembre-se que segurança é uma questão de comportamento. A sua atitude deve ser pró-ativa. Não dê a desculpa da falta de tempo.

Ao longo do curso você perceberá mais claramente que muitos problemas de cibersegurança não resultam de falhas técnicas, mas de erros humanos que procuraremos apontar para que sejam corrigidos.

 

Aula Anterior                                               Próxima Aula