Lição 3: Derrubando alguns mitos

Mitos da Internet

Na lição anterior falei sobre os 10 passos necessários para alcançar um nível mínimo de cibersegurança. Se não eliminamos todos os problemas de segurança – pois é impossível – ao menos os reduzimos.

Antes que continuemos, precisamos demolir alguns dos mitos mais comuns sobre segurança na Internet.

Provavelmente você nunca tenha ouvido falar de Security Through Obscurity (STO). Explico:

A tradução do termo para o português significa “segurança pela obscuridade”. Trata-se de um conceito cunhado por especialistas em segurança da informação para se referir a uma atitude muito mais ligada à crença do que na ciência.

Basicamente, STO é a ideia que alguma coisa é segura simplesmente pelo fato de ela não ser óbvia, anunciada, interessante ou pública.

Um bom exemplo para ilustrar o conceito seria o caso de um novo website. Suponhamos que você esteja colocando um novo site no ar, mas ainda não o divulgou. Você acredita, então, que pelo fato de ainda não ter sido divulgado para o seu público, algumas medidas de segurança podem ser negligenciadas.

O problema é que algumas ferramentas fazem escaneamentos, diariamente, de novos sites registrados em provedores de hospedagem. Dependendo da sua sorte, será uma questão de dias ou horas até que o seu site seja descoberto.

Não é por que algo é desconhecido que ele não existe.

Manter as coisas obscuras não é necessariamente ruim. Você pode tirar alguma vantagem da obscuridade, mas não confie somente neste fator.

Nesta lição desfarei algumas ideias que só servem para nos dar uma falsa sensação de segurança.

#1. Eu não sou rico e nem importante. Não sou um alvo potencial de cibercriminosos

Na Internet é um ambiente tão vasto, com bilhões de pessoas conectadas, que ninguém tem interesse em me alvejar, pois sou apenas mais um, mas mesmo que alguém tente atacar meu sistema, seria uma perda de tempo: não tenho dados valiosos para serem roubados.

homem-avestruzO usuário que abraça esse tipo de pensamento na maioria dos casos, na verdade, não quer perder tempo e dinheiro confrontando os problemas da cibersegurança. É o que eu chamo de postura do avestruz:

“Não quero ver e nem entender alguns problemas, por isso escondo a cabeça no buraco, declarando que não existe aquilo que não quero confrontar”.

No começo deste treinamento eu disse que muitos dos problemas de segurança estão ligados a questões comportamentais.

Eu não espero que você mude o seu comportamento da noite para o dia. Acredito ser necessário, antes disso, conscientização e desenvolvimento continuo de bons hábitos. Quando você incorporar uma série de hábitos de segurança digital no seu dia a dia, aos poucos eles se transformarão em costumes.

A postura do avestruz só facilita a vida dos cibercriminosos, sempre com muita disposição para explorar vulnerabilidades. Tenha em mente que não se trata de um problema relacionado a “quem você seja’, mas é sobre o nível de proteção do seu sistema.

Invasores de sistemas, ladrões de dados e identidade utilizam ferramentas automatizadas, sem nenhum esforço, para sondar sistemas de computadores e redes com brechas de segurança.

Além disso, não são apenas seus dados e informações pessoais que estão em jogo, seu computador conectado à Internet  é um bem muito valioso, que pode ser usado para ações criminosas.

rede zumbi

Como funciona uma Botnet (Rede Zumbi)

Talvez você não saiba, mas o seu computador pode ser transformado em um bot (ou zumbi) para enviar mensagens de spam, disseminar malwares, atacar outros computadores e servidores, ser utilizado como conexão para outras ações criminosas, sem que você saiba.

De repente, o seu computador faz parte de uma botnet, mas você nem sonha com isso, pois os códigos maliciosos que operam essas redes agem de forma silenciosa, normalmente quando o computador está em repouso para não levantar suspeitas.

E o que dizer dos possíveis problemas legais que podem surgir da utilização de um computador comprometido por terceiros para atividades ilícitas?

Por que correr tanto risco quando há inúmeras soluções de segurança no mercado e até mesmo ferramentas gratuitas?

Eu não tenho dúvidas de que a resposta esteja não só na falta de consciência, mas na falsa sensação de segurança com a qual estamos acostumados.

#2. Instale um software antivírus e tudo estará resolvido

Muitos usuários acreditam que um software antivírus é a panaceia para todos os problemas.

Um usuário que compra um programa antivírus nutre a expectativa de que todo o seu sistema estará protegido, simplesmente por ter instalado um software pago.

Isto é um mito e representa uma falsa imagem do que significa ter ampla segurança de um computador.

Confiar exclusivamente em um software antivírus para proteção das suas atividades online contra malwares, furto de dados, identidade e outros vetores de ataque não tradicionais, significa que você está depositando muita confiança em uma única linha de defesa.

Embora existam alguns fabricantes de produtos antivírus que tentam criar a impressão de que todos os seus problemas serão resolvidos com a instalação do seu produto, isto não significa, necessariamente, que você de fato estará protegido.

Um software antivírus é a primeira linha de defesa, mas não a única. Ele te protegerá contra ameaças clássicas, tais como vírus, worms, trojans e sites de phishing. Mas, ao mesmo tempo, você precisa de um firewall, antispam, ferramenta de controle de pais, sistema de backup, criptografia e de gerenciamento de vulnerabilidades.

E reitero: cibersegurança não é somente um problema da tecnologia. É, também, uma questão comportamental.  Rejeite falsas promessas de proteção total por meio de um único programa de segurança.

Na Lição 7 – Ferramentas de proteção anti-hackers conheceremos algumas ferramentas de proteção contra hackers.

#3. Não preciso de programas de segurança, pois não acesso websites inseguros

Tenho alguns amigos que acreditam, simplesmente, no bom senso e em algumas boas práticas de navegação como sendo medidas suficientes para mantê-los a salvo de malware, spam, phishing, roubo de identidade e dados, invasões na rede etc.

Eu diria que o bom senso e algumas boas práticas de navegação são condições necessárias, mas não suficientes.

Eu não preciso de proteção antivírus, pois sou esperto demais para ser trapaceado.

Um dos maiores equívocos de quem se acha esperto demais é acreditar que nunca cometerá vacilos.

malware-invisivel

Talvez você nem saiba, mas vírus e outros malwares podem estar furtando os seus dados e deixando lento o seu sistema, agora.

Será que o esperto desconhece os ataques de malware que não são facilmente detectados, nem mesmo por muitas ferramentas antimalware?

E as vulnerabilidades dos softwares, amplamente exploradas pelos cibercriminosos?

E o código malicioso escondido em sites legítimos, como o malversiting, o qual falamos um pouco sobre na lição anterior.

Analogamente, a mesma cautela que você tem ao dirigir, deve ter em relação aos computadores. Talvez você não consiga evitar um acidente enquanto dirige seu carro, mas você poderá evitar muitos danos se tomou a precaução de usar o cinto de segurança ou ter um carro com airbags .

Sugestão de leitura: 5 formas ocultas de infeção por malware

#4. Basta eu definir senhas fortes e complexas para as minhas contas e tudo ficará bem

Definir boas senhas é parte de um esquema de segurança muito maior, que inclui um bom softwares antimalware, antispam, firewall etc.

A melhor prática recomenda a definição de senhas fortes: devem conter de 10 a 20 caracteres, incluindo letras, números e outros caracteres que não sejam nem números e letras.

Certamente uma senha longa e complexa cria dificuldades para alguém que tenta quebrá-la. No entanto, senhas fortes representam um grande inconveniente:  são muito difíceis de serem lembradas, principalmente quando temos uma certa quantidade para gerenciar.

Com o tempo, você acaba, anotando-as em um arquivo .txt ou em algum pedaço de papel, o que aumenta o risco de acesso não autorizado à conta. De maneira geral, os usuários têm a tendência de não seguir a recomendação criar senhas fortes, pois percebem que é um processo trabalhoso. Quando seguem, muitas vezes cometem o erro de anotá-las em lugares pouco seguros.

O fato é que a grande maioria dos utilizadores da Internet usam senhas fáceis de serem lembradas, com baixo grau de complexidade, ou usam senhas que sejam fáceis de adivinhar, devido a sua obviedade.

senhas-comuns

Fonte: Kaspersky Lab

De qualquer forma, palavras não são suficientes para mantê-lo seguro. O seu comportamento diligente, este sim, fará alguma diferença.

#5. Softwares de segurança são caros

Se vamos falar de custo, começo com a pergunta: quanto tempo por dia você gasta online?

Eu te ajudo a elencar as atividades:

  • Envio e recebimento de e-mails
  • Envio e recebimento de mensagens pelo smartphone
  • Envio e leitura de mensagens em redes sociais
  • Acesso a portais de notícias e informações
  • Acesso ao Internet Banking
  • Acesso sites de vídeos, música e jogos
  • Leituras de ebooks
  • Compras online
  • Fazer downloads
  • Realizar pesquisas
  • etc

Curiosidade: Em janeiro de 2015, o tempo médio de uso do computador com internet aumentou 7,1% e chegou a 27 horas e 18 minutos por pessoa no Brasil.
FonteMediaView, Nielsen IBOPE

Para você, o acesso à Internet é apenas um passa-tempo ou é uma parte importante da sua vida?

O quão difícil você acha que é para um cibercriminoso ter acesso a sua conta do Facebook, por exemplo, e correlacioná-la com os dados obtidos a partir de um software malicioso instalado em seu computador, a fim de ter uma imagem completa da sua vida, culminando com o furto da sua identidade para ser utilizada para fins ilícitos?

Tenho certeza de que você já ouviu falar sobre casos em que a identidade de alguém foi furtada ou o dinheiro foi retirado da sua conta bancária.

Talvez você não saiba, mas a recuperação de um ataque online leva muito tempo, chegando a anos. E se ocorrer em uma parte distante do Brasil, os autores dificilmente serão investigados ou levados à justiça.

Se ainda não está convencido de que você possa ser atacado por um hacker a partir de outro país, tenha uma ideia, em tempo real, de como os ataques online se espalham pelo mundo: FireEye Cyber Threat Map.

Há muitas opções de ferramentas gratuitas de segurança, desde softwares antivírus a firewalls, mas a partir de minha experiência, recomendo que use um produto de segurança pago e de qualidade comprovada.

Sinceramente, um software de segurança gratuito jamais oferecerá um nível de proteção à altura de um software pago. Uma das ideias do antivírus grátis, por exemplo, é popularizar a marca e o produto. O usuário consciente, com o tempo, acaba optando por levar a opção do produto com mais funcionalidades, pois percebe que a ausência de recursos como os listados logo abaixo fazem muita diferença:

  • Proteção em tempo real
  • Atualizações automáticas
  • Agendamento de tarefas
  • Antispam
  • Firewall
  • Antiphishing
  • Controle de pais
  • Criptografia
  • Backup
  • Gerenciamento de senhas
  • Gerenciamento de aplicativos
  • Gerenciamento de patches

Uma solução paga com todos os recursos listados acima sai em torno de R$ 0,27 por dia. Uma quantia pífia, se comparada com o valor dos seus dados.

Para escolher boas soluções, acesse aos resultados de testes comparativos realizados por institutos de avaliação independentes, tais como AV Comparatives, PC Magazine, AV-TEST ou Virus Bulletin.

#6. Não corro riscos, pois não abro arquivos anexados a mensagens suspeitas

Referência: http://cs.stanford.edu/people/eroberts/cs181/projects/2003-04/security/worms_def.html

Referência da imagem: http://cs.stanford.edu/

Todos os dias recebo e-mails suspeitos. São ofertas mirabolantes, remédios miraculosos, propostas indecentes, revelações surpreendentes, avisos de instituições financeiras etc. Alguns deles vêm de pessoas conhecidas.

Não que meus conhecidos estejam querendo aplicar em mim algum golpe. Acontece que existe um tipo de ameaça que se propaga por e-mail chamada de worms. 

Se você abrir um arquivo anexado a uma mensagem eletrônica, aparentemente inofensivo, mas que contem um código malicioso, o seu e-mail tornar-se-á infectado e começará a enviar o mesmo arquivo para contatos da sua lista de endereços, sem que você desconfie.

A maioria de nós talvez esteja acostumada a receber e-mail-worms e, por isso, não caímos com facilidade nesses truques, mas para um usuário menos experiente esta não é uma boba ameaça.

Talvez você não saiba, mas os riscos que e-mails suspeitos oferecem não estão restritos à abertura de arquivos ou a cliques em links maliciosos. Só pelo fato de a mensagem ser lida, sua máquina pode ser rastreada, revelando o seu IP. E o seu IP, como você deve saber, pode ser usado por invasores.

Com o tempo, você aprenderá a identificar e-mails contendo ameaças, apenas observando a linha de “Assunto”.

Na Lição XXX, ensinarei como usar o e-mail com segurança.

#7. Estou seguro, pois só faço downloads de fontes confiáveis

Talvez este seja o mito mais difícil de ser quebrado, juntamente com o mito 3 (Não preciso de programas de segurança, pois não acesso websites inseguros). A maioria de nós acha que websites seguros e protegidos garantem a nossa segurança.

Não, o "cadeadinho" não é uma garantia infalível!

Não, o “cadeadinho” não é uma garantia infalível!

A realidade é bem diferente. Da mesma forma que na vida lá fora, feita de concreto, não existem estabelecimentos 100% seguros, o mesmo vale para o ciberespaço. Mesmo que você acesse uma site confiável, ainda assim você estará exposto a riscos.

Eu já escrevi um breve artigo sobre isso, aqui, mas não custa reforçar a mensagem.

Sites legítimos, inclusive de empresas conceituadas, podem ser fonte de malware, caso seus sistemas de propaganda (banners) estejam infectados.

Portais como o The New York Times já foram vítimas de malvertising, que é a abreviatura de publicidade maliciosa. Usando técnicas de injeção SQL o invasor obtém logins e senhas de administrador do banco de dados, tendo as credenciais para inserir banners maliciosos.

De acordo com o Internet Security Threat Report da Symantec de 2011, blogs, portais de informação, lojas virtuais, sites de negócios e pessoais são potencialmente mais perigosos para transmissão de malware do que sites de pornografia.

Provavelmente, os proprietários de sites pornográficos investem mais em segurança, já que a internet é a sua fonte de negócios. Manter o site livre de malware é fundamental para sua reputação.

malware-infeccao-websites

Os sites de pornografia aparecem na décima posição entre os mais infectados por malware. Fonte: Symantec

#8. Redes sociais são ambientes seguros de navegação

Redes sociais como Facebook, Twitter e Linkedin conectam bilhões de pessoas ao redor do mundo. Os criminosos estão de olho em tanta gente conectada e desenvolveram métodos e técnicas para furtar identidades e aplicar golpes.

Se os criminosos conseguem colocar conteúdo malicioso como “drive-by download”1 e malvertising2  (propagandas maliciosas) em websites seguros, eles são capazes de fazer o mesmo nas redes sociais.

Sempre desconfie de mensagens nas redes sociais que:

  • Incitam a assistir um “vídeo chocante” de uma publicação.
  • Convidam o usuário a visitar um site que oferece recursos especiais para o Facebook, por exemplo. Recursos como mostrar quem está vendo o seu perfil, mudar a cor do perfil ou que ajudam a remover completamente a sua Linha do tempo, simplesmente não existem.
  • Prometem algo que parece bom demais para ser verdade

Outro perigo existente nas redes sociais se refere aos golpistas que criam perfis fakes para conseguir informações pessoais sobre outros usuários. Criminosos online podem rastrear hábitos e construir um perfil. Tenha muito cuidado com quem você for adicionar.

Detectado pela primeira vez em 2008, a ameaça conhecida como Kobeface tinha como alvo as redes sociais, tendo se espalhado por outras redes, além do Facebook e Twitter. O friendster.com, myspace.com, MyYearbook.com, livejournal.com, bebo.com e o hi5.com foram vítimas.

O Koobface usa técnicas de engenharia social para fazer os usuários clicarem em um link que abrirá um vídeo. Enviando mensagens aos amigos de uma pessoa cujo computador tenha sido infectado, contendo assuntos como “você parece maravilhoso nesse novo filme”, os destinatários são direcionados a um site onde são convidados a baixar uma suposta atualização do Adobe Flash Player, que na verdade é um malware.

Instalado no computador, o Koobface pode furtar informações sensíveis do usuário, baixar outros malwares e abrir um backdoor no sistema afetado.

Koobface facebook

#9. Eu não guardo informações importantes ou dados sensíveis no meu computador. Por que deveria me preocupar?

Você tem certeza que realmente não tem nada valioso armazenado nos seus sistemas?

Então eu te pergunto: o seu navegador armazena seus dados de login, como nome de usuário e senha?

Qual o tamanho do dano que pode ser causado se a sua conta de e-mail ou do Facebook for acessada?

Você pode achar que os seus dados não são importantes para os cibercriminosos, mas você deveria saber que eles  podem coletar informações sobre você e usá-las para “furtar a sua identidade” e usá-la contra você.

E mesmo que você não armazenasse dados importantes para um criminoso online, eles ainda podem usar seu sistema para outros propósitos.

Eles podem usar o seu disco rígido para armazenar conteúdo ilegal, instalar um bot no seu computador para fazer parte de uma rede zumbi, armazenar conteúdo de phishing e compartilhar material criminoso. Ao mesmo tempo podem usar os recursos do seu sistema, como a sua conexão  na internet para acessar websites remotos ou seu endereço de e-mail para enviar spam para sua lista de amigos.

Isso não te assusta nem um pouco?

#10. Se eu me infectar, eu perceberei em tempo.

Não esteja tão certo a esse respeito.

No passado, um computador comprometido por malware ficava lento e janelas pop-ups apareciam por toda a tela, mas hoje os métodos de ataque mudaram e são difíceis de serem identificados.

O software malicioso atual foi desenvolvido para ser indetectável pelos produtos antivírus e para trabalhar em silêncio. Furtar informações privadas sem que você perceba é o comando. Os ransomware, por exemplo, trabalham em silêncio até que os arquivos alvejados sejam criptografados.

Tudo isso é muito assustador. Eu sei. Mas não se desespere. Na lição 17 você aprenderá como bloquear tentativas de invasão e de controle dos seus dispositivos.

Conclusão

Nesta lição tentei cobrir alguns dos principais mitos sobre cibersegurança. É importante sempre lembrar que você não está 100% seguro quando navega pelo ciberespaço. Se nem as grandes companhias, que investem milhões de dólares em tecnologias de segurança, estão, quem dirá, você.

Adotar comportamentos seguros envolve, como você pode observar, questões comportamentais e psicológicas. A falsa sensação de segurança esconde riscos aos quais estamos sujeitos. Adotar uma postura cética e atenta, sempre desconfiando e não acreditando fielmente em tudo que recebemos por e-mail ou vemos em sites e nas redes sociais é fundamental.

Talvez você esteja ansioso para seguir adiante ou não tenha tempo para fazer as leituras complementares. Não tem problema. Você sempre poderá voltar.

  1. Drive-by download é o download de um malware que explora a vulnerabilidade de um navegador Web, de um programa de e-mail ou de um plug-in de navegador, sem qualquer intervenção do usuário. O usuário ao visitar um site comprometido, ler uma mensagem de e-mail ou clicar em uma janela pop-up enganosa pode ocasionar um ataque deste tipo.
  2. Malvertising é a junção da palavra Malicious (maliciosa) com advertsing (propaganda). Este método consiste na criação de anúncios maliciosos e, por meio de serviços de publicidade, apresentá-los em diversas páginas Web. O código malicioso se esconderá numa propaganda online infectará o computador com malware. Geralmente, a plataforma de serviços de publicidade online é induzida a acreditar que se trata de um anúncio legítimo e, ao aceitá-lo, intermedia a apresentação e faz com que ele seja mostrado em diversas páginas.