(G1 – Segurança digital – Altieres Rohr)
-
Upload
andremartinsmesquita -
Category
Documents
-
view
25 -
download
6
Transcript of (G1 – Segurança digital – Altieres Rohr)
![Page 1: (G1 – Segurança digital – Altieres Rohr)](https://reader030.fdocumentos.tips/reader030/viewer/2022020105/557210d3497959fc0b8dbc98/html5/thumbnails/1.jpg)
rss do blog
notícias esportes entretenimento vídeos central globo.com assine já todos os sites
G1 – Segurança digital – Altieres Rohr http://g1.globo.com/platb/seguranca-digital 23/05/2012 17:44
![Page 2: (G1 – Segurança digital – Altieres Rohr)](https://reader030.fdocumentos.tips/reader030/viewer/2022020105/557210d3497959fc0b8dbc98/html5/thumbnails/2.jpg)
qua, 23/05/12 por Altieres Rohr | categoria Coluna
Para tentar evitar que dados sejam recuperados porprocessos sofisticados, é preciso usar um trituradorde arquivos. (Foto: DataRecover/Divulgação)
Pacotão: como eliminar ‘de vez’ dadosdo disco rígido
| tags Pacotão
Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo
de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde
perguntas deixadas por leitores todas as quartas-feiras.
No texto em que esta coluna comentou sobre a dificuldade de apagar dados de um disco rígido ,
alguns leitores deixaram perguntas sobre o assunto. Confira abaixo as respostas.
>>> Eliminação de dados do disco rígido
Vi o item 8 que você falou que nem mesmo
colocar fogo no disco rígido pode impedir
acesso aos dados. Nunca tinha pensado nisto,
mas depois que li este item, fiquei curiosa.
Como a destruição física do disco rígido não
impede o acesso aos dados?
Camila
A questão é “como a destruição física será
feita” e “qual parte será danificada”.
Colocar fogo no disco rígido, se não queimá-lo
completamente, tende a primeiro danificar a
placa lógica. Essa é a placa que controla as operações do disco e são normalmente idênticas para
todos os discos do mesmo modelo. Ou seja, se a sua placa lógica foi danificada, basta trocar por
uma placa lógica de outro disco rígido do mesmo modelo que ainda está funcionando.
Para que os dados sejam mesmo impossíveis de recuperar, é preciso destruir os discos (platters)
que estão dentro do HD.
Para realizar essa tarefa é comum o uso de trituradores para deixar o disco rígido literalmente em
“pedacinhos”. Outros métodos podem ser usados.
A lição importante é que é preciso ter cuidado mesmo na hora de dar o destino ao disco rígido
usado. Não basta simplesmente danificar a placa lógica para que os dados fiquem inacessíveis.
>>> Remoção de arquivos no CCleaner
Eu tinha pesquisado há muito tempo atrás qual seria uma maneira eficaz de apagar arquivos e vi o
Ccleaner v 3.17, que tem opção de remoção de arquivos em até 35 passos para a remoção sem
possibilidade de recuperação. O programa é gratuito, o que você me fala dele? Obrigado
Marcos
Este método do CCleaner, Marcos, é o padrão para apagar dados sensíveis de HDs que não serão
destruídos. Note que 35 passos é bastante, especialmente se a quantidade de arquivos a ser
apagada é muito grande. Vai levar bastante tempo.
Quando você “apaga” um arquivo, aquele arquivo na verdade não é apagado. Existe um índice do
sistema de arquivos que contém uma relação de todos os arquivos no disco. Quando um arquivo é
apagado, ele é removido desse índice e o espaço ocupado por ele é marcado como livre. É por
isso que não importa se você está apagando um arquivo de 5 MB ou um de 10 GB – a “remoção”
de ambos é praticamente instantânea.
Os dados continuam lá, intactos.
As informações só serão perdidas de fato quando outros arquivos forem gravados no disco e
ocuparem o lugar dos dados anteriores.
Esse método de “passos” e de “triturador de arquivos” usado pelo CCleaner e vários outros
programas não remove o arquivo do índice do sistema. Ele tenta colocar uma quantidade igual de
informações aleatórias ou nulas no mesmo lugar em que estava o arquivo anterior, e faz isso várias
vezes para certificar que nenhuma gravação foi deslocada ou fracassou – o que pode acontecer, e
de fato acontece. O TrueCrypt, que esta coluna ensinou a usar , tem um recurso com a mesma
finalidade.
publicidade
busca no blog
ok
PerfilEditor do site de segurança Linha Defensiva,acompanha o mundo dos hackers e códigos queatacam sistemas informatizados, dosupercomputador ao celular.
ColunistasAlysson Muotri
Ana Cássia Maturano
André Trigueiro
Bruno Medina
Cassio Barbosa
Cristiana Lôbo
Dan Stulbach
Geneton Moraes Neto
Gerson Camarotti
Lia Salgado
Luciano Trigo
Paulo Coelho
Ronaldo Prass
Sérgio Nogueira
Thais Herédia
Yvonne Maggie
Zeca Camargo
Outros blogsAmazônia – Blog do ISA
Fantástico – 30 anos atrás
G1 – Blog da Redação
Globo News – Cidades e Soluções
Globo News – Ciência e Tecnologia
Globo News – Estúdio i
Globo News – Milênio
Jornal Hoje – Hoje em Casa
Jornal Nacional – JN Especial
Arquivosmaio 2012
abril 2012
março 2012
fevereiro 2012
janeiro 2012
dezembro 2011
G1 – Segurança digital – Altieres Rohr http://g1.globo.com/platb/seguranca-digital 23/05/2012 17:44
![Page 3: (G1 – Segurança digital – Altieres Rohr)](https://reader030.fdocumentos.tips/reader030/viewer/2022020105/557210d3497959fc0b8dbc98/html5/thumbnails/3.jpg)
seg, 21/05/12 por Altieres Rohr | categoria Coluna
TrueCrypt tem tradução parcial para o português.(Foto: Reprodução)
Só depois desse processo é que o arquivo será removido do índice, e aí os dados certamente já
foram perdidos.
O pacotão desta semana vai ficando por aqui. Tem qualquer dúvida sobre segurança? Escreva na
área logo abaixo, porque toda quarta-feira tem o pacotão. Até a próxima!
2 comentários »
Veja como usar o TrueCrypt paraproteger seus dados com criptografia
| tags Segurança Digital
Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo
de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde
perguntas deixadas por leitores todas as quartas-feiras.
A palavra “criptografia” tem recebido mais atenção do que de costume após o vazamento das fotos
da atriz Carolina Dieckmann. A coluna Segurança Digital de hoje vai mostrar, na prática, como usar
a criptografia por meio do programa gratuito (e de código aberto) TrueCrypt, que serve para
“embaralhar” seus dados e impedir que alguém que tenha acesso ao computador de forma física
consiga lê-los.
O colunista do G1 Ronaldo Prass já mostrou como usar o BitLocker . No entanto, o BitLocker não
está disponível para quem não tem o Windows 7 Ultimate (ou o Enterprise, que só está disponível
para empresas). O TrueCrypt é uma solução para qualquer versão do Windows.
É importante deixar claro que a criptografia é especialmente útil para reduzir os impactos da perda
ou furto de um notebook, por exemplo, mas provavelmente não vai proteger os dados de uma
invasão remota de hackers ao sistema. Dito isso, vamos ao tutorial.
Primeiros passos
Faça o download do TrueCrypt no site
TrueCrypt.org . Você provavelmente vai querer
também a tradução para Português do Brasil,
disponível também no site do TrueCrypt (nesse
endereço ). O arquivo ZIP baixado precisa ser
extraído e o arquivo colocado na pasta do
TrueCrypt (normalmente C:\Arquivos de
Programas\TrueCrypt).
Depois, rode o TrueCrypt. Clique em Settings >
Language e escolha o Português-Brasil. Quando
clicar em OK, a interface imediatamente ficará
em Português.
Criando um “recipiente” criptografado
O TrueCrypt pode ser usado para criptografar
unidades inteiras de disco rígido. No entanto, a maneira mais fácil de usá-lo é criando um
recipiente. Nessa configuração, o TrueCrypt irá criar um arquivo criptografado no disco rígido e
você poderá copiar arquivos para dentro dele.
Clique em Volumes > Criar novo volume. Deixe marcada a primeira opção e clique em “Avançar”.
Novamente, deixe marcada primeira opção (Volume TrueCrypt Padrão) e clique em Avançar. Na
tela seguinte, clique em “Arquivo” e selecione uma pasta onde o arquivo do TrueCrypt será criado.
Dê um nome ao volume, e termine-o com a extensão .tc (o TrueCrypt não a adiciona
automaticamente).
G1 – Segurança digital – Altieres Rohr http://g1.globo.com/platb/seguranca-digital 23/05/2012 17:44
![Page 4: (G1 – Segurança digital – Altieres Rohr)](https://reader030.fdocumentos.tips/reader030/viewer/2022020105/557210d3497959fc0b8dbc98/html5/thumbnails/4.jpg)
Para montar um volume, é preciso fornecer a senhae/ou todos os arquivos-chave configurados. (Foto:Reprodução)
Tela de criação de novo volume do TrueCrypt. (Foto: Reprodução)
Na tela seguinte é possível escolher as configurações de criptografia. AES é uma boa
configuração, mas você pode escolher as que estão mais abaixo na lista se o desempenho não for
um problema.
Em seguida, você deve definir o tamanho do volume, ou seja, a quantidade de dados que você
pretende armazenar no recipiente. Se você quer um volume flexível, coloque um valor alto e atente
para uma configuração numa tela mais adiante para transformá-lo em volume dinâmico.
Avançando, é o momento de definir a senha.
Senhas recomendadas para o TrueCrypt têm
pelo menos 20 caracteres. Mas outra maneira
de aumentar a segurança é utilizando um
“arquivo chave”. Basicamente, o TrueCrypt irá
usar um ou mais arquivos como se fosse uma
senha. Além de usar qualquer arquivo que
você tenha à disposição (incluindo músicas,
fotos e vídeos), o TrueCrypt também pode
gerar um arquivo-chave com finalidade
estritamente criptográfica.
É muito importante que você não perca o arquivo usado e que esse arquivo nunca seja modificado
de qualquer forma, mesmo que minimamente – por exemplo, apenas abrir e salvar um documento
do Word já modifica alguns dados, e mudar as informações de “artista” e “título” de um MP3
também. Se você não tiver todos os arquivos-chave definidos, não será possível abrir os arquivos
criptografados de nenhuma forma!
Se você definir uma senha, ela será usada em conjunto com os arquivos-chave. Se você definir
mais de um arquivo-chave, todos serão necessários para abrir o volume com os dados do
TrueCrypt. Caso não queira definir um arquivo-chave, use uma senha muito forte.
Na próxima tela é preciso definir o sistema de arquivos (escolha NTFS se você precisa armazenar
arquivos grandes ou se o seu volume tem mais de 30 GB). Se você definiu um valor muito grande
para o volume, aqui é o momento de marcá-lo como dinâmico. Nessa configuração, o arquivo do
TrueCrypt vai crescer conforme arquivos forem adicionados; se a caixa “dinâmico” não for
marcada, ele será imediatamente criado com um tamanho idêntico ao máximo configurado.
Fique movimentando seu mouse nesta tela, porque o movimento do mouse será capturado para
ser usado no gerador de arquivos aleatórios do TrueCrypt, aumentando a segurança da chave
criptográfica. Depois de mover seu mouse por alguns segundos, clique em “Formatar”. O TrueCrypt
irá voltar para a tela inicial de criação de volume – clique em Cancelar.
G1 – Segurança digital – Altieres Rohr http://g1.globo.com/platb/seguranca-digital 23/05/2012 17:44
![Page 5: (G1 – Segurança digital – Altieres Rohr)](https://reader030.fdocumentos.tips/reader030/viewer/2022020105/557210d3497959fc0b8dbc98/html5/thumbnails/5.jpg)
A letra da unidade a está na coluna do meio. (Foto:Reprodução)
Mexa seu mouse dentro da janela do TrueCrypt para gerar uma chave mais forte. (Foto: Reprodução)
Montado o volume, clique em “Volumes” > “Selecionar arquivo” ou no botão “Arquivo”. Selecione o
volume que você criou. Na parte inferior do TrueCrypt. Na janela principal do TrueCrypt, escolha
uma letra de unidade – por exemplo, Z:, e clique em “Montar”.
Digite a senha ou configure os arquivos-chave e clique em OK. Se tudo der certo, a unidade Z: (ou
a que você selecionou) vai aparecer. Basta copiar os arquivos para ela e eles estarão sendo
automaticamente criptografados. Quando terminar, você pode ir no TrueCrypt e “desmontar” a
unidade.
Criptografando um drive USB (HD externo ou pen driv e)
Você pode mover o seu arquivo do TrueCrypt
para um pen drive e montá-lo com o
procedimento acima diretamente dele. No
entanto, pode ser que você queira transformar
um pen drive inteiro em um drive criptografado
– e isso é possível com o TrueCrypt.
O procedimento é semelhante. Clique em
Volumes > Criar novo volume. Desta vez,
selecione a segunda opção, “Criptografar uma
partição/unidade não-sistema”. Quando o
TrueCrypt solicitar a localização do volume
(dispositivo), clique em “Dispositivo” e tome
muito cuidado para selecionar a mídia
removível correta. A letra da unidade em que o pen drive ou HD externo está conectado estará na
coluna do meio.
Na tela seguinte o TrueCrypt irá perguntar se você deseja formatar o drive e criar um volume vazio
ou criptografar os arquivos que já estão presentes na mídia. A primeira opção é melhor e, além
disso, a segunda opção não vai funcionar em drives que estiverem em FAT. Ou seja, você quer
criptografar um drive portátil, a melhor coisa é tirar os arquivos que estão nele, formatá-lo pelo
TrueCrypt e depois recolocar os arquivos.
Os passos seguintes são idênticos aos mencionados anteriormente. Agora, para acessar seu pen
drive, você deverá montá-lo pelo TrueCrypt e nunca tentar adicionar arquivos diretamente pela letra
que o Windows atribui ao drive. Se você tentar isso, o Windows vai dizer que precisa formatar o
drive, e ao fazer isso, você irá remover a criptografia do pen drive e também todos os arquivos que
estavam nele.
É claro que você só vai conseguir abrir os pen drive em um computador que tenha o TrueCrypt
instalado. Ou seja, não tente esse procedimento com a memória do seu celular ou com o cartão da
sua câmera fotográfica.
Criptografando o HD do sistema
Você também pode criptografar o HD inteiro do sistema operacional. Nessa configuração, o
Windows exigirá uma senha para ser iniciado. Ao contrário da sua senha de log-in do Windows ou
qualquer outra do gênero, a senha do TrueCrypt garante que os arquivos do HD estejam
G1 – Segurança digital – Altieres Rohr http://g1.globo.com/platb/seguranca-digital 23/05/2012 17:44
![Page 6: (G1 – Segurança digital – Altieres Rohr)](https://reader030.fdocumentos.tips/reader030/viewer/2022020105/557210d3497959fc0b8dbc98/html5/thumbnails/6.jpg)
Se a unidade do sistema for criptografada,TrueCrypt exige senha na inicialização do PC.(Foto: Reprodução)
completamente ilegíveis.
Este procedimento, se feito incorretamente,
pode impedir o Windows de iniciar.
Somente prossiga se você tem
conhecimento ou os recursos necessários
para recuperar o sistema.
Clique em Volumes > Criar novo volume e
selecione a terceira opção, “Criptografar a
partição ou unidade do sistema inteira”. Ele vai questionar se você quer uma unidade “Normal” ou
“Oculto”. Selecione “Normal”. Em seguida, você deve escolher se quer criptografar apenas a
partição do Windows ou o disco rígido inteiro. Não é incomum que o disco rígido tenha uma única
partição (apenas o “C:”) e, nesse caso, as duas opções são a mesma coisa. Normalmente, você vai
querer criptografar a unidade inteira.
Na tela seguinte, o TrueCrypt irá perguntar se você quer criptografar a “Área Protegida”. Se o seu
computador tem ferramentas de diagnóstico fornecidas pelo fabricante, a opção deve ser “Não”. Na
dúvida, deixe em “Não”. Avançando, o TrueCrypt questiona se o disco tem mais de um sistema
operacional – se você não sabe, a resposta é não, então coloque “Boot único”.
Em seguida, você terá de configurar a senha do drive do TrueCrypt e um disco de recuperação – o
TrueCrypt vai exigir que você grave esse disco em um CD ou DVD antes de deixá-lo prosseguir.
Esse disco é importante caso algum problema no processo impeça o Windows de iniciar.
Feito isso, o TrueCrypt perguntará se você deseja realizar algum tipo de limpeza no disco rígido.
Isso é importante se você quer impedir que os dados atualmente armazenados no disco sejam
recuperados. Esse procedimento é bastante lento; o procedimento de 35 ciclos irá levar muito
tempo e normalmente não é necessário.
Escolhida a opção, o TrueCrypt solicitará que o sistema seja reiniciado. Se der tudo certo, o
TrueCrypt irá solicitar a senha que você configurou antes de iniciar o Windows. Mas isso é apenas
um teste que o TrueCrypt realiza para saber se o componente de inicialização foi instalado
corretamente.
Depois que o Windows iniciar, o TrueCrypt vai de fato começar a criptografar os arquivos. Esse
processo pode levar bastante tempo. Tenha cópias dos seus arquivos antes de iniciar esse
procedimento, porque uma falha de hardware, software ou até a interrupção da energia podem
causar perda de dados. Esse procedimento vai levar ainda mais tempo se você selecionou alguma
limpeza para ser feita nos dados existentes.
Este processo poderá levar um bom tempo, dependendo do tamanho do HD, criptografia escolhida edesempenho do computador. (Foto: Reprodução)
Volumes ocultos
Os “volumes ocultos” do TrueCrypt servem para que você consiga criar dois volumes dentro de um
único arquivo ou unidade protegida pelo TrueCrypt.
Funciona da seguinte forma: você tem um volume normal, “A”, e um volume oculto “B”. Você
armazena os arquivos realmente sensíveis em “B”, mas coloca algumas coisas aparentemente
sensíveis em “A”.
Se você for forçado a fornecer a senha do TrueCrypt, você pode fornecer a senha do volume “A”
G1 – Segurança digital – Altieres Rohr http://g1.globo.com/platb/seguranca-digital 23/05/2012 17:44
![Page 7: (G1 – Segurança digital – Altieres Rohr)](https://reader030.fdocumentos.tips/reader030/viewer/2022020105/557210d3497959fc0b8dbc98/html5/thumbnails/7.jpg)
Criptografia do Windows é acessível, mas podeconfundir. (Foto: Reprodução)
sex, 18/05/12 por Altieres Rohr | categoria Notícias
sex, 18/05/12 por Altieres Rohr | categoria Coluna
para fazer com quem pensem que você já forneceu os arquivos que estavam criptografados.
Porém, não será possível saber que havia o volume “B”. Essa é a função de um volume oculto.
Encrypting File System (EFS)
Além do Bitlocker, mencionado no início desta
coluna, o Windows possui outra função para
criptografar arquivos. É o Encrypting File
System (EFS). Utilizá-lo é muito simples: basta
clicar com o botão direito em um arquivo,
selecionar “Propriedades”, clicar no botão
“Avançado” e marcar a opção “Criptografar o
conteúdo para proteger os dados”.
No entanto, é preciso ter bastante cuidado com
o EFS. Em alguns casos, você pode acabar
gravando dados em DVD, compartilhando ou
fazendo backup da informação criptografada.
Esse arquivo será ilegível. Portanto, é importante sempre desmarcar a opção de criptografia.
Com o TrueCrypt, os arquivos são apenas criptografados quando estão em um volume montado
pelo TrueCrypt. Copiar para um volume não-criptografado automaticamente decodifica os dados.
No caso do EFS, isso é mais complexo – os dados só serão decodificados se a unidade for FAT.
Ou seja, pode acontecer de você copiar um arquivo criptografado para um pen drive comum e não
conseguir abrir os dados em outros computadores. Nesse sentido, o comportamento do TrueCrypt
é mais previsível.
Além disso, a criptografia do EFS depende da senha do usuário do Windows e pode ser quebrada
com mais facilidade. De qualquer forma, fica o registro como alternativa.
A coluna Segurança Digital de hoje vai ficando por aqui. Se você tem mais alguma dúvida sobre o
TrueCrypt ou criptografia, pode escrever na seção de comentários, logo abaixo. Até a próxima!
Veja também:
Conheça a história das tecnologias que protegem dados contra roubo
3 comentários »
Notícias da semana: atualização doAvira desabilita recurso
Confira as principais notícias de segurança veiculadas pelo G1 nesta semana. Como o blog não
teve resumo na semana passada, o post de hoje também conta com as notícias da semana
anterior
Leia mais »
sem comentário »
Conheça os principais riscos desegurança existentes no Facebook
| tags Facebook
Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo
de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde
perguntas deixadas por leitores todas as quartas-feiras.
O Facebook, a maior rede social do mundo, começa a negociar suas ações na bolsa de valores
americana nesta sexta-feira , tendo arrecadado cerca de US$ 16 bilhões para seus fundadores e
investidores com a oferta pública inicial (IPO, em inglês). No entanto, criminosos virtuais também
têm tirado proveito da rede social para ganhar dinheiro em golpes, fraudes e roubos, on-line e
G1 – Segurança digital – Altieres Rohr http://g1.globo.com/platb/seguranca-digital 23/05/2012 17:44
![Page 8: (G1 – Segurança digital – Altieres Rohr)](https://reader030.fdocumentos.tips/reader030/viewer/2022020105/557210d3497959fc0b8dbc98/html5/thumbnails/8.jpg)
off-line.
Uma das principais gangues que opera no Facebook é responsável por uma praga digital chamada
“Koobface”. Os suspeitos de criar o vírus seriam russos e foram identificados pelo Facebook em
janeiro deste ano. Os criminosos teriam faturado pelo menos US$ 2 milhões com a operação.
Mas os riscos do Facebook vão além dos vírus e alguns são quase inerentes ao uso da rede social,
enquanto outros são mais comuns no Brasil. Confira a lista:
1- Exposição de dados pessoais
Como rede social, o Facebook encoraja seus usuários a publicarem detalhes sobre si mesmos em
seus perfis e, agora, na “Linha do Tempo”. O internauta, ao fazer isso, pode estar divulgando
informações que serão úteis para criminosos.
Uma possibilidade é o internauta revelar que foi viajar ou tirar férias, sinalizando que a residência
estaria desprotegida. Ou, em outros casos, internautas que postam fotos de eletrônicos ou
produtos caros na rede social também podem ser alvos de criminosos. Isso já está acontecendo,
inclusive no Brasil http://g1.globo.com/brasil/noticia/2011/12/informacoes-em-rede-social-
estimularam-roubo-em-sp.html
Outra possibilidade é o uso de informações presentes na rede social para adivinhar senhas ou as
chamadas “respostas secretas” para recuperar senhas de e-mail. Essas informações também
permitem, facilmente, que uma pessoa se passe por outra, usando os dados presentes no perfil.
2- Spam
Embora o Facebook exerça um controle sobre as mensagens postadas para impedir o chamado
spam – o envio de mensagens indesejadas, em massa, na rede – ainda é possível encontrar
diversas postagens que foram publicadas dessa maneira. Algumas delas fazem propagandas de
produtos, de “fanpages” ou contém links para pragas digitais.
3- Perfis roubados
Perfis do Facebook são interessantes para os criminosos porque amigos confiam uns nos outros.
Roubar um perfil e utilizá-lo para enviar mensagens de spam com qualquer conteúdo, como
explicado no item 2, é mais eficaz do que criar contas completamente falsas na rede social.
Esses perfis roubados podem ainda ser usados para “curtir” determinadas fanpages. Neste caso,
os donos das páginas podem ter pago por um “serviço” para receber essas curtidas.
4- Pragas digitais
Vírus de computador, inclusive os brasileiros, estão roubando as senhas digitadas para entrar no
Facebook e obter os perfis. Mas, além disso, criminosos têm usado o próprio Facebook para
disseminar pragas digitais. Isso tem ocorrido tanto pelo chat da rede social como por meio de
fanpages.
As pragas digitais presentes no Facebook são de vários tipos. Algumas delas são apenas
extensões maliciosas para o navegador, que alteram algumas páginas específicas da web e nem
mesmo roubam as credenciais (senhas) dos usuários. Mas outras, como no caso do Koobface,
geram uma “rede zumbi” com os usuários infectados.
No Brasil, fanpages e mensagens que circulam na rede social tentam disseminar extensões
maliciosas ou pragas digitais que roubam senhas de banco.
5- Apps maliciosos
O Facebook permite que outros desenvolvedores criem “aplicativos” que interagem com a rede
social. Esses aplicativos podem integrar outras redes sociais, permitir jogos dentro do Facebook e
até coisas mais cotidianas, como mostrar o significado do nome, o horóscopo ou notícias.
Uma vez adicionados, os apps podem ter acesso a algumas informações que o internauta coloca
no perfil. Muita gente esquece dos apps depois de adicioná-los, mas eles mesmo assim ficam
ativos e têm a capacidade de interagir com o perfil.
6- Falsa sensação de privacidade
O Facebook permite que usuários configurem quem pode ter acesso a determinadas informações
publicadas na rede social. Embora alguns usuários ignorem essa configuração, outros restringem o
acesso ao perfil apenas “para os amigos”. Porém, acabam adicionando quase qualquer um que
realiza uma solicitação na rede.
Esse ataque também pode ser realizado de duas outras formas para aumentar as chances de
sucesso. A primeira é “clonando” um perfil de um amigo da vítima. Com isso, a vítima pode pensar
que o amigo criou outro perfil ou algo parecido. A outra forma é tentando adicionar em massa todos
os amigos da vítima – algumas pessoas menos seletivas irão adicionar e, quando a vítima receber
G1 – Segurança digital – Altieres Rohr http://g1.globo.com/platb/seguranca-digital 23/05/2012 17:44
![Page 9: (G1 – Segurança digital – Altieres Rohr)](https://reader030.fdocumentos.tips/reader030/viewer/2022020105/557210d3497959fc0b8dbc98/html5/thumbnails/9.jpg)
qua, 16/05/12 por Altieres Rohr | categoria Coluna
o convite, haverá diversos “amigos incomuns” – o que aumenta as chances de uma pessoa aceitar
o convite do “espião”.
3 comentários »
Pacotão: fraudes no iTunes App Storee ataques em redes IRC e P2P
| tags Pacotão
Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo
de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde
perguntas deixadas por leitores todas as quartas-feiras.
>>> Fraudes na App Store
Sou dona de um iPad e ontem estava navegando pela App Store. Na lista de aplicativos mais
rentáveis (grossing) estava um aplicativo de 10 dólares com 41 reviews negativos e nenhum review
positivo. Fiquei intrigada com aquilo e fui conferir. Em todos os reviews do aplicativo
HistoryCalculator os usuários diziam que foram hackeados e que os hackers compraram esse
aplicativo, e algumas vezes também um outro do mesmo desenvolvedor. Alguns usuários nem
tinham aparelhos que suportam aplicativos e estavam com as contas da app store esquecidas até
receberem o e-mail avisando a compra do aplicativo em um aparelho que não havia sido usado
antes. Como um ataque desses é possível? Como se proteger?
Bárbara
Já faz bastante tempo que a leitora Bárbara deixou esta dúvida na coluna – mas melhor responder
tarde do que nunca.
O lado bom é que a coluna pode mencionar uma reportagem do jornal “New York Times” relatando
a existência de fraudes na loja virtual do iTunes . Em veículos especializados, notícias pouco
esclarecedoras sobre esses incidentes circulam há alguns anos.
Mas, mesmo assim, ainda não está totalmente claro qual é a finalidade das fraudes no iTunes,
embora existam algumas hipóteses. Usuários relatam que aplicativos foram comprados pelas suas
contas do iTunes, o que indicaria que existe fraude por parte de alguns “desenvolvedores” que
estão no App Store – ou seja, roubar as contas para realizar compras fraudulentas de aplicativos
fantasmas e ficar com o dinheiro.
No entanto, segundo o “New York Times”, até mesmo alguns desenvolvedores são alvos de fraude,
tendo algumas vendas “retornadas” pela Apple por serem fraudulentas. Eles reclamam que isso
acaba ferindo a imagem do software diante do consumidor, que acredita serem os desenvolvedores
os responsáveis.
Por isso, outra possibilidade é que as contas estão sendo usadas para fazer compras reais, porém
ilegítimas. Ou seja: em vez de comprar um app pela própria conta, um golpista adquire o acesso a
uma conta de terceiros e faz as compras que deseja – pagando muito menos do que o valor total
da compra por uma conta roubada e usando o dinheiro de terceiros.
A Apple não está comentando sobre o caso – uma atitude bastante comum da empresa. No
entanto, as fraudes estão sim ocorrendo, e a Apple diz que usuários devem entrar em contato com
a emissora do cartão e trocar a senha no iTunes se tiverem qualquer problema com cobranças
indevidas.
É bem provável que as senhas são roubadas por meio de phishing ou mesmo de computadores
Windows infectados com vírus. As dicas, portanto, passam são as mesmas de sempre sobre não
confiar em links e mensagens de e-mail e evitar softwares maliciosos no PC atualizando o sistema,
navegador, plug-ins, antivírus.
>>> Ataques em redes IRC e P2P
Fale um pouco sobre segurança nos IRCs e em redes P2P (downloads de arquivos e jogos). Como
se proteger de usuários mal-intencionados (script kiddies, crackers e lammers) que usam
ferramentas de pentest (backtrack, blackbuntu, backbox, etc) para tentar ter acesso ao seu
computador apenas tendo em mãos seu IP e que usam programas como metasploit, armitage, loic,
ettercap, hping3, t50 e alguns scanners de vulnerabilidades, explorando primeiramente seu
roteador e depois seu micro para quem tem conexão roteada, ou explorando seu micro diretamente
G1 – Segurança digital – Altieres Rohr http://g1.globo.com/platb/seguranca-digital 23/05/2012 17:44
![Page 10: (G1 – Segurança digital – Altieres Rohr)](https://reader030.fdocumentos.tips/reader030/viewer/2022020105/557210d3497959fc0b8dbc98/html5/thumbnails/10.jpg)
seg, 14/05/12 por Altieres Rohr | categoria Coluna
para quem tem conexão bridge, em busca de algumas vulnerabilidades para usar ou criar exploits
que explorem aquela falha e depois ter acesso remoto ao seu host. Além disso, há muitas queixas
de usuários que vem sofrendo ataque DoS a todo momento nessas redes!
Black Hat
Mas que sopa de letrinhas, não, caro Black Hat? Vamos primeiro explicar alguns termos que você
usou.
“Pentest” é uma abreviação de “penetration test”, que pode ser simplesmente traduzido como “teste
de invasão”. Existem softwares (como os mencionados) que servem como ferramentas para que
profissionais avaliem a segurança de um sistema tentando invadi-lo. Os programas são capazes de
explorar falhas com alguns poucos cliques, portanto funcionam também como ferramentas para o
ataque. A coluna já comentou sobre eles .
Então, basicamente, o que o leitor Black Hat está perguntando é como se proteger daquelas
pessoas que não sabem tanto de ataques a sistemas – já que precisam usar os softwares “receitas
de bolo” do mercado -, mas que mesmo assim ficam atrapalhando a vida de quem quer utilizar
redes IRC (usado em bate-papo) ou P2P (BitTorrent, Shareaza, etc) que às vezes expõem com
facilidade o endereço IP do computador.
Não há segredo. Basta manter o sistema operacional e os softwares atualizados. Não se pode usar
uma versão antiga de um software de bate-papo para conectar no IRC, nem seguir qualquer link
recebido na rede sem ter uma boa ideia do que se trata. O mesmo vale para o P2P – procurar
sempre utilizar a versão mais recente. As falhas exploradas pelas ferramentas de pentest são
sempre conhecidas publicamente e, portanto, foram corrigidas pelos desenvolvedores dos
softwares.
Outra coisa importante, no caso dessas redes, está nas “amizades”. Muitos dos ataques são
pessoais, feitos sem nenhum intuito além de atrapalhar a vida de outra pessoa. Ficar longe de
quem causa problema é uma boa ideia.
Não existe defesa para um ataque de negação de serviço (“denial of service”, DoS) – o tipo de
ataque que tenta derrubar alguém da internet. Usuários mais avançados podem conectar ao IRC
por meio de proxies ou “shells”, mas em alguns casos isso pode causar mais problemas do que
resolver. O único sintoma de um DoS é que a internet vai ficar lenta ou parar de funcionar.
Uma solução imediata para quem for vítima de um DoS é fazer uma reconexão com a internet,
normalmente desligando o modem e ligando novamente. Esse processo dará ao internauta um
novo endereço IP, enquanto o “desocupado” continuará atacando o IP antigo. Uma boa tática,
nesse caso, é não voltar para o bate-papo, para que o sujeito continue achando que você está fora
do ar e impedido de usar a internet.
O pacotão desta semana vai ficando por aqui. Se você tem dúvidas de segurança, escreva na área
de comentários, logo abaixo. O pacotão é publicado toda quarta-feira. Até a próxima!
1 comentário »
Conheça a relação entre hackers e a‘engenharia social’
| tags Segurança Digital
Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo
de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde
perguntas deixadas por leitores todas as quartas-feiras.
Quando hackers aparecem na ficção, normalmente eles são retratados como conhecedores da
área de informática, que usam apenas falhas em sistemas para conseguir realizar uma invasão, o
roubo de dados ou a destruição de um sistema. O hacker norte-americano Kevin Mitnick, que
chegou a ser condenado por crimes de informática, conseguiu muita coisa manipulando pessoas –
e não bits.
No livro que publicou em 2002, “A Arte de Enganar”, Mitnick revela que boa parte das invasões que
realizou só foi possível porque ele enganava pessoas para que lhe dessem as senhas dos
sistemas. Com as senhas na mão, bastava “entrar pela porta da frente”.
Até hoje, em muitos casos, os roubos de internet não acontecem devido a alguma técnica
sofisticada dos criminosos, mas sim por falha da própria vítima.
G1 – Segurança digital – Altieres Rohr http://g1.globo.com/platb/seguranca-digital 23/05/2012 17:44
![Page 11: (G1 – Segurança digital – Altieres Rohr)](https://reader030.fdocumentos.tips/reader030/viewer/2022020105/557210d3497959fc0b8dbc98/html5/thumbnails/11.jpg)
ter, 08/05/12 por Altieres Rohr | categoria Sem categoria
Um grande exemplo são as fraudes bancárias brasileiras que ocorrem pela internet. Quase todas
começam com uma mensagem de e-mail que convence a vítima de alguma mentira – como uma
investigação policial, uma mensagem especial, uma declaração de amor ou mesmo uma
solicitação falsa do próprio banco. Quando a vítima cai e clica no link oferecido, fazendo
normalmente o download do software, ela estará infectada com um ladrão de senhas bancárias.
Não é necessária, de modo geral, nenhuma técnica avançada de informática. Apenas o envio de
uma mensagem falsa para milhares (ou milhões) de possíveis vítimas para que algumas dessem
voluntariamente – embora sem saber – cedam o controle do computador aos hackers.
É claro que alguns golpes fazem, sim, uso de técnicas mais sofisticadas. Mas muitas fraudes têm
sucesso mesmo explorando apenas o ser humano.
O conjunto de técnicas para manipular o ser humano é chamado de “engenharia social” no campo
de segurança da informação.
Uma reportagem do “Bom Dia São Paulo” do início de abril mostra como um golpe de engenharia
social pode ser aplicado sem envolver computadores. Um grupo de mulheres alterava caixas
eletrônicos para que o cartão da vítima ficasse preso. Uma das envolvidas fornecia panfletos
informativos com o número de telefone do banco falsificado.
Quando o cliente ligava para “o banco”, acabava cedendo todas as informações da conta para
outra pessoa do grupo. Em seguida, os dados eram usados para roubar o dinheiro da conta.
Outro golpe já clássico no Brasil e que mesmo assim continua acontecendo é o do bilhete
premiado. Um golpista alega que tem um bilhete premiado e que não poderá retirar o prêmio,
oferecendo-o à vítima – normalmente idosos. Há variações do golpe, e algumas fontes, segundo o
site Monitor das Fraudes , indica que esse golpe é realizado no Brasil desde 1940.
O golpe do bilhete premiado foi adaptado para o prêmio da falsa promoção, em que a vítima
recebe um SMS ou um e-mail comunicando que ela foi sorteada para receber algo. O golpista
normalmente exige que a vítima pague algum valor adiantado – como o frete – para poder receber
o prêmio. Claro, o prêmio nunca chega.
A fraude do falso sequestro – em que o golpista afirma ter sequestrado alguém da família, fingindo
todo o episódio – é outro exemplo.
Combinadas com a internet, essas fraudes podem ficar ainda mais elaboradas. Por exemplo, se
alguém descobrir o seu nome e perfil no Facebook, a próxima ligação fingindo ser um falso
sequestro poderá ter muitas outras informações para que o golpe pareça mais real.
Em 2009, Dmitry Bestuzhev, especialista da fabricante de antivírus Kaspersky Lab, explicou ao G1
que o criminoso brasileiro compensava as técnicas rudimentares com a lábia , quer dizer, com a
engenharia social. Desde então, os hackers brasileiros melhoraram bastante tecnicamente. Mesmo
assim, as técnicas de engenharia social continuam como pilares do crime virtual brasileiro.
Não existe uma dica para evitar a engenharia social. É preciso pensar como o criminoso: estou
fornecendo alguma informação que pode ser usada contra mim? Estou, talvez, seguindo um link ou
uma instrução que pode me prejudicar? Como ter certeza que a informação é realmente correta –
como no caso do número de telefone nos panfletos falsos do banco?
Não existe solução técnica para engenharia social. É realmente preciso ter noção dos riscos de
cada atitude e tentar confirmar a autenticidade de tudo – seja de um bilhete, de um torpedo
promocional, de um e-mail, de um panfleto ou de uma chamada telefônica. Como será possível
confirmar essa autenticidade dependerá das ferramentas e informações disponíveis. Mas, sabendo
dos riscos de ser enganado, pender para a dúvida e desconfiar pode não ser uma má ideia.
8 comentários »
Pacotão de segurança: aprenda aproteger seus dados pessoais
A atriz Carolina Dieckmann disse ter sido alvo de chantagem por alguém que conseguiu roubar
fotos particulares e, como ela decidiu não pagar a quantia que pediram, as fotos caíram na internet.
O pacotão da coluna Segurança Digital desta semana vai abordar algumas questões que envolvem
dados pessoais para que você saiba quando suas informações estão em risco – e como se
G1 – Segurança digital – Altieres Rohr http://g1.globo.com/platb/seguranca-digital 23/05/2012 17:44
![Page 12: (G1 – Segurança digital – Altieres Rohr)](https://reader030.fdocumentos.tips/reader030/viewer/2022020105/557210d3497959fc0b8dbc98/html5/thumbnails/12.jpg)
proteger.
DICA GERAL : Não armazene arquivos em um lugar onde alguém pode ter acesso fácil, não dê
acesso aos seus arquivos se isso não for necessário e, sempre que possível, use uma proteção
criptográfica, pois ela embaralha os dados e impede o acesso ao conteúdo dos arquivos.
Perdeu dados sensíveis? Saiba como a justiça pode te ajudar
Confira abaixo as respostas detalhadas para vários cenários:
1 – Qual o melhor lugar para guardar fotos íntimas e arquivos pessoais?
Segurança sempre depende de uma análise das ameaças e do risco. De quem você precisa
proteger essas informações? De um hacker da internet? De um ladrão que invadiu sua casa?
Para se proteger de alguém que invadiu seu computador, basta não ter esse conteúdo disponível
no PC. Tenha ele em uma mídia externa e só acesse quando for realmente necessário.
Se você precisa proteger esse conteúdo também de ameaças físicas, terá de coloca-lo em algum
lugar mais protegido e fazer uso de um software de criptografia, como o TrueCrypt .
Observe ainda outro detalhe: se o conteúdo é realmente importante, você terá de ter pelo menos
duas cópias dele. Se não tiver e a mídia apresentar problemas, você pode perder tudo. E aí,
realmente, ninguém terá acesso aos seus dados – nem você.
2 – Como se proteger de invasão que pode roubar arq uivos pessoais no PC doméstico?
As dicas para se proteger de uma invasão capaz de roubar dados pessoais são as mesmas que
valem para evitar qualquer tipo de praga digital. Veja sete dicas para se proteger .
Note que algumas celebridades já foram comprometidas por usarem senhas fracas. O cuidado com
senhas é muito importante. Ainda tem gente que usa senhas como “102030″, “12345″, “a1b2c3d4″
ou outras ainda mais fáceis de adivinhar.
Também é importante conferir se sua “resposta secreta” – normalmente usada para recuperar uma
senha perdida – não pode ser respondida com algo simples que está no seu perfil no Facebook ou
em algum outro lugar público, ou mesmo algo que você responderia casualmente em uma
conversa. Alguns serviços on-line não cooperam e oferecem “perguntas” como “Onde você
nasceu?” e “Qual o nome da escola em que estudou?” – coisas que realmente são colocadas em
um perfil do Facebook.
Nesse caso, a resposta não é “secreta” e alguém pode invadir sua conta de e-mail, por exemplo,
mesmo sem saber sua senha. Minta nas respostas e use recursos adicionais para recuperar
senhas, como um número de telefone.
3 – É possível proteger o acesso via celular ou tab let em uma rede sem fio pública?
Somente é possível proteger os dados em uma rede Wi-Fi pública usando uma tecnologia
chamada de VPN (sigla em inglês para Rede Virtual Privada). Você vai precisar pagar alguma
empresa para ter acesso a uma VPN ou ter bons conhecimentos técnicos – e paciência – para
configurar uma na sua casa. Evite redes públicas. Acesso via redes celulares é mais seguro.
4 – É seguro armazenar os arquivos na “nuvem”?
Vamos entender “nuvem” aqui de forma mais concreta: serviços como Dropbox, Sky Drive, Google
Drive e 4shared. Não, não é seguro armazenar arquivos íntimos ou pessoais na “nuvem”. Qualquer
vulnerabilidade nesses serviços, descuido na hora de configurar as permissões de um arquivo ou
perda de senha podem ter resultados ruins.
Você ainda pode enviar arquivos pessoais para esses serviços, mas trate o serviço como inseguro.
Ou seja, use criptografia ou senhas arquivos empacotados (como de arquivos “.rar” e “.7z” – as
senhas de “.zip” são mais fracas). Assim, mesmo que alguém acesse sua conta, ele não poderá
abrir seus arquivos mais importantes.
5 – Preciso levar o PC para assistência. Como prote ger os arquivos pessoais? E no caso de
o PC nem ligar?
Se há arquivos pessoais no disco, remova-os. Alguns fabricantes de computadores vendem
opções de garantia que deixam você ficar com o disco rígido mesmo que o computador inteiro
venha a ser substituído, justamente para proteger seus dados pessoais.
Se você precisa de algum serviço diretamente no software do PC – e, portanto, no disco rígido –,
há duas opções. A primeira é buscar algum técnico que realize assistência diretamente na sua
G1 – Segurança digital – Altieres Rohr http://g1.globo.com/platb/seguranca-digital 23/05/2012 17:44
![Page 13: (G1 – Segurança digital – Altieres Rohr)](https://reader030.fdocumentos.tips/reader030/viewer/2022020105/557210d3497959fc0b8dbc98/html5/thumbnails/13.jpg)
seg, 07/05/12 por Altieres Rohr | categoria Coluna
casa. A segunda é copiar seus dados pessoais para uma mídia secundária (como um pen drive) e
apague os arquivos que estão no HD. Você pode fazer isso usando um Live CD do Linux, que inicia
o PC sem usar o HD, no caso de o sistema estar completamente inacessível.
Note que arquivos apagados não são removidos de verdade – eles só não aparecem mais. Se
quiser ter certeza de que os arquivos apagados não podem ser recuperados, terá de procurar um
software “triturador de arquivos” (file shredder). Um programa desse tipo está incluso em algumas
suítes de segurança.
É preciso cuidado com assistência técnica à distância – quando o técnico “controla seu mouse” -,
porque nem sempre o técnico possui acesso apenas ao que está aparecendo na tela. Às vezes ele
pode ler arquivos de outras formas, remotamente, por meio de pastas compartilhadas. No fim, a
confiança no profissional é muito importante.
Se o seu acordo de garantia não lhe deixa abrir o gabinete para remover o disco rígido e o
computador não liga mais, você vai ter de escolher entre ter sua garantia ou seus dados pessoais
violados – a não ser que você tenha usado um recurso de criptografia no seu disco rígido, como o
TrueCrypt (já mencionado acima) ou o Bitlocker (que acompanha o Windows 7 Ultimate).
Se você precisar de serviços de recuperação de dados no disco rígido, não tem jeito: terá de
confiar no técnico que irá realizar os serviços.
6 – É seguro armazenar arquivos pessoais em um pen drive ou HD externo?
Se você nunca perdê-los, é sim. Mas, como dito anteriormente, você pode usar criptografia para
proteger os arquivos com senha e embaralhando-os. Mesmo que você venha a perder o
dispositivo, os dados não estarão acessíveis.
7 – Como proteger fotos pessoais no celular/smartph one ou tablet?
Os maiores problemas com celulares e tablets (e também para notebooks) são perdas e furtos. A
maioria dos dispositivos não tem uma boa proteção nos dados armazenados, o que significa que
as informações estarão disponíveis para quem roubá-los.
O ideal é estar preparado para essas ocasiões, tendo ativo no celular um software que dará o
controle remoto sobre o aparelho para você. Assim, no caso de perda, basta acionar o software e
apagar os dados remotamente. A coluna já explicou como fazer isso .
8 – Em caso de doação ou venda do micro, somente fo rmatar a máquina evita acesso a
fotos, por exemplo?
Não. Nem mesmo colocar fogo no disco rígido pode impedir o acesso aos dados . Um
especialista consultado pelo G1 sugeriu o software HDDErase .
Se há muitas informações pessoais e sigilosas, o ideal é doar ou vender o computador sem o disco
rígido, se isso for viável.
Mais alguma dúvida? Escreva na área de comentários, logo abaixo. Até a próxima!
14 comentários »
Conheça algumas dicas falsas e meias-verdades sobre segurança
| tags Antivírus , Segurança Digital , Senhas , Windows
Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo
de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde
perguntas deixadas por leitores todas as quartas-feiras.
Você quer proteger seus dados e, com uma pesquisa, percebe que não é difícil encontrar dicas de
segurança que circulam na internet para proteger seus dados. O problema, infelizmente, é que
algumas dicas não funcionam direito ou são baseadas em meias-verdades, o que não impede que
elas continuem sendo repetidas fora do seu contexto ou desacompanhadas de uma explicação
adequada.
Hoje a coluna Segurança Digital comenta alguma dessas dicas, e explica o que é mentira e o que
é uma meia-verdade em alguns dos conselhos mais “repetidos” da internet.
G1 – Segurança digital – Altieres Rohr http://g1.globo.com/platb/seguranca-digital 23/05/2012 17:44
![Page 14: (G1 – Segurança digital – Altieres Rohr)](https://reader030.fdocumentos.tips/reader030/viewer/2022020105/557210d3497959fc0b8dbc98/html5/thumbnails/14.jpg)
Dicas de senhas ainda são confusas. (Foto:Divulgação)
Teclado virtual do Windows permite que se cliquenas letras em vez de digitar. (Foto: Reprodução)
1) “Digite uma senha errada no site do
banco para ver se está no site verdadeiro”
Alguns guias de segurança sugerem que o
internauta, ao acessar o banco pela internet,
tente antes digitar uma senha incorreta no site.
De acordo com a dica, o erro será notado se o
site for verdadeiro, mas não se o site for falso.
Isso não é bem verdade.
Muitos sites falsos são capazes de redirecionar
os dados digitados ao site verdadeiro. Se o site
verdadeiro aceita-los, o site falso os aceita
também. Se o site verdadeiro rejeitá-los, o site falso os rejeitará também.
Essa é uma técnica bastante simples e um kit “universal” para realizar esse tipo de ataque está
disponível desde 2007. Apesar disso, muita gente ainda repete essa mesma dica, como se ela
fosse atual e garantida.
Para evitar sites falsos, nunca siga links em e-mails. Digite o nome do site no navegador ou, melhor
ainda, deixe-o nos seus favoritos (há sites maliciosos que se aproveitam de erros de digitação).
Verifique se o “cadeado de segurança” está aparecendo e se o endereço do site está mesmo
correto. Se essas condições forem verdadeiras, você não está em um site falso.
2) “Troque suas senhas frequentemente e não anote-a s”
Trocar as senhas frequentemente só tem um propósito: impedir que alguém que já está com a sua
senha continue usando-a. Na maioria dos casos, trocar a senha frequentemente não resolve
problema algum. A verdadeira dica é usar uma senha bastante forte e única (ou seja, não
reutilizá-la). Isso é o mais importante.
Muitas vezes, pensando que é bom trocar de senha frequentemente, um usuário escolhe senhas
parecidas com as anteriores ou, pior, mais fracas. Isso não resolve nada e deixa você menos
seguro.
Não anotar as senhas é também uma má ideia – simplesmente porque são muitas senhas e, se
você não anotá-las, será obrigado (pela memória) a repeti-las, escolher senhas fracas ou
esquecê-las – e tudo isso é muito ruim. Idealmente, seria melhor não anotá-las. Mas, se você tem
qualquer dificuldade de memória para lembrar senhas, anote, mas anote em um local seguro.
Escrever a senha em um papel adesivo e colar no monitor ou no teclado – nem pensar!
3) “Use o teclado virtual do Windows para
digitar senhas de forma mais segura” /
“copie e cole suas senhas”
Isso não funciona. Muitos softwares que
capturam senhas são espertos o suficiente
para detectar eventos de digitação do teclado
virtual e também copiar os dados da área de
transferência (clipboard, onde fica o que você
copia com “CTRL-C”) quando eles forem
copiados para um campo de senhas. Outros
softwares capturam cliques do mouse
(necessários para usar o teclado virtual).
Essa dica só vai proteger a senha de um registrador de digitação por hardware, ou seja, que pega
diretamente o que foi digitado no teclado por meio de um aparelho conectado ou por alteração
física do teclado. Esse tipo de coisa é muito raro e bastante ruim. Você pode até digitar a senha
fora de ordem para confundi-lo. Os softwares de captura são bem mais espertos.
4) “Atualizações do Windows deixam o PC lento”
Atualizações do Windows deixam o PC mais seguro, não lento. A coluna tem conhecimento de que
essa “dica” já foi dita até em “cursos de hardware” frequentados por quem busca ser técnico de
manutenção.
5) “Seu computador não pode ter uma porta aberta”‘
Para que um computador possa se conectar a outro pela internet, os dois precisam definir o que se
chama de uma porta de comunicação e transmitir os dados por ela. Ou seja, é impossível navegar
na internet sem que alguma porta esteja trocando informações. A porta é nada menos que um
número qualquer que identifica uma conexão. Por exemplo, quando você visita um site, as portas
usadas são a 80 ou a 443 no lado do servidor (do site) e uma porta aleatória no seu computador.
G1 – Segurança digital – Altieres Rohr http://g1.globo.com/platb/seguranca-digital 23/05/2012 17:44
![Page 15: (G1 – Segurança digital – Altieres Rohr)](https://reader030.fdocumentos.tips/reader030/viewer/2022020105/557210d3497959fc0b8dbc98/html5/thumbnails/15.jpg)
É preciso ter cuidado com o que aparece na barrade status. (Foto: Reprodução)
por Altieres Rohr | categoria Notícias
O que normalmente se refere a uma “porta aberta” em guias de segurança na web é uma porta em
estado de escuta (“listening”). Uma porta em estado de escuta é aquela que está diretamente
ligada a algum software em execução no computador, “escutando” o que passa por ali para
receber. No entanto, isso ainda não é um problema: para que a porta em escuta viabilize uma
invasão, o software que a abriu precisa ter uma vulnerabilidade.
Muitos softwares funcionam melhor se uma porta puder ser colocada em estado de escuta, como
no caso dos softwares P2P. Alguns outros programas que necessitam de conexão direta, como
alguns games on-line, também podem funcionar melhor com uma porta “aberta” e às vezes só
funcionam assim, quando são softwares mais simples.
O que não se pode ter é um software vulnerável com uma porta aberta para a internet. Detalhe:
basta deixar o firewall do Windows ativo que ele automaticamente “fecha” todas as portas. E o
Windows tem essa configuração de fábrica desde o Service Pack 2 do Windows XP, lançado em
2004.
6) “Use dois antivírus”
Usar dois antivírus não é como usar dois cadeados. Na verdade, é sim, só que os dois cadeados
podem ser abertos com a mesma chave. Trata-se da mesma tecnologia de proteção e, portanto,
eles não acrescentam segurança na mesma proporção que causam o dobro de problemas por
alarmes falsos e incompatibilidades.
Se você precisa de uma segunda opinião de um antivírus, realize eventualmente análises on-line
ou use o Virus Total .
7) “Passe o mouse por cima dos links”
Muitos recomendam que usuários “passem o
mouse por cima dos links” e verifiquem na
barra inferior do software qual será o destino
final do link.
Sim, o destino do link aparece. Mas não se
pode confiar nele.
Os motivos são os seguintes:
muitos links não terminam em “.exe” ou
nenhuma outra extensão claramente
maliciosa;
1.
Os links podem usar domínios (endereços) muito parecidos com os reais ou até envolver a
invasão ao site original (o que já aconteceu);
2.
Em páginas web, é possível mascarar o destino do link;3.
Mesmo um link para um site legítimo pode ter um redirecionamento malicioso.4.
Por exemplo, muitos e-mails maliciosos já tiraram proveito de redirecionamentos abertos no
Google, em sites de notícia e tantos outros problemas do gênero. Tentar observar o link de uma
mensagem maliciosa é como tentar identificar que a água do oceano é salgada observando apenas
uma gota. É mais fácil olhar o conjunto – uma mensagem falsa normalmente faz alguma ameaça
improvável, fala de algum amor inexistente ou alguma oferta simplesmente boa demais.
E, na dúvida, é mais fácil visitar o site da empresa ou da instituição e procurar informações lá.
Observar um link é uma maneira rápida de avaliar uma mensagem, mas só inicialmente e só para
quem está acostumado. É muito fácil cair em um golpe mais sofisticado seguindo essa dica. Na
dúvida, é melhor avaliar a mensagem e não o link.
Tem mais alguma dica que você já viu pela internet e tem dúvidas se funciona ou não? Deixe nos
comentários da coluna. Até a próxima!
7 comentários »
Notícias: fotos da atriz CarolinaDieckmann caem na internet
G1 – Segurança digital – Altieres Rohr http://g1.globo.com/platb/seguranca-digital 23/05/2012 17:44
![Page 16: (G1 – Segurança digital – Altieres Rohr)](https://reader030.fdocumentos.tips/reader030/viewer/2022020105/557210d3497959fc0b8dbc98/html5/thumbnails/16.jpg)
sex, 04/05/12
qua, 02/05/12 por Altieres Rohr | categoria Coluna
Confira as principais notícias sobre segurança veiculadas no G1 esta semana.
Leia mais »
1 comentário »
Pacotão: apagão na internet e acesso asite seguro
| tags Pacotão
Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo
de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde
perguntas deixadas por leitores todas as quartas-feiras.
>>> “Apagão” da internet
Tenho lido na mídia que no próximo 9 de julho de 2012 vai ocorrer um apagão na internet devidos
às medidas defensivas contra o DNSChanger. Gostaria que você comentasse sobre o assunto.
Marcos Davi
Não haverá nenhum “apagão” na internet. Mas é possível que algumas pessoas fiquem, sim, sem
conseguir acessar site algum.
O DNSChanger é uma praga digital do tipo cavalo de troia, ou seja, ela não se espalha para outros
computadores. No entanto, ela foi agressivamente disseminada pelos seus criadores, que o FBI
acredita serem os donos de uma empresa chamada “Rove Digital”. Seis acusados foram presos
na Estônia no final do ano passado e aguardam decisão sobre a extradição.
O que a DNSChanger fazia era mudar a configuração de DNS do sistema infectado (daí seu nome
– DNS Changer é “modificador de DNS”, literalmente). O DNS, como esta coluna já explicou outras
vezes, é a “lista telefônica” da internet e é o protocolo responsável por transformar um “nome”
como “g1.com.br” em um endereço de IP no qual o computador vai se conectar.
Normalmente o DNS usado é fornecido pelo provedor de internet em uma configuração automática.
O DNS Changer mudava isso para obrigar o sistema a usar um DNS específico, controlado pelos
responsáveis. Ele fazia isso para falsificar os números IP de endereços que distribuem anúncios
publicitários. Com isso, os anúncios exibidos eram da Rove Digital e não da agência de publicidade
verdadeira.
Segundo o FBI, o grupo teria faturado US$ 14 milhões (cerca R$ 25 milhões) assim – desviando
anúncios publicitários.
Desde a prisão dos acusados, os servidores fraudulentos foram convertidos em servidores normais
e legítimos, funcionando como servidores de DNS corretos. O problema é que existe um custo para
a manutenção desses servidores e, claro, ninguém quer pagar. Isso significa que eles serão
desligados. E isso deve acontecer no dia 9 de julho.
Quem está infectado com o DNS Changer ficará sem poder acessar site algum e, muitas vezes,
não adianta simplesmente trocar a configuração de DNS porque a praga, instalada na máquina, vai
novamente configurar o DNS da Rove Digital – que já estará fora do ar.
A coluna explicou como verificar as configurações de DNS na semana passada. Os valores de
IP devem ser os fornecidos pelo provedor ou, então, o IP do modem, que é normalmente 10.0.0.1,
192.168.0.1 ou semelhante. No caso do IP configurado ser o do modem, a configuração do modem
também deve ser verificada. Há uma opção para a obtenção automática do DNS – essa opção
sempre faz o modem usar o DNS do provedor.
>>> “Não é possível confirmar a segurança”
Olá Altieres, tenho uma dúvida quanto ao acesso ao internet banking pelo Firefox, pois tentei um
acesso e me apareceu a seguinte mensagem: “Você solicitou que o Firefox conecte-se de forma
segura a internetbanking.xxx.xxx.br. Porém, não foi possível confirmar a segurança da sua
conexão.” Como proceder?
Sueli
O erro provavelmente estava relacionado a uma falha na verificação do certificado SSL do banco –
o certificado que faz aparecer o famoso “cadeado” na página. Você está corretíssima em ter receio
G1 – Segurança digital – Altieres Rohr http://g1.globo.com/platb/seguranca-digital 23/05/2012 17:44
![Page 17: (G1 – Segurança digital – Altieres Rohr)](https://reader030.fdocumentos.tips/reader030/viewer/2022020105/557210d3497959fc0b8dbc98/html5/thumbnails/17.jpg)
A exibição de certificados depende de uma cadeiade confiança. (Foto: Reprodução)
« posts anteriores
de simplesmente aceitar e prosseguir com o
acesso.
Vale citar novamente a coluna da semana
passada , que explicou como verificar as
configurações de rede. Verifique se não há
nada redirecionando o acesso aos sites em
seu computador.
O Firefox ainda não está aceitando os
certificados emitidos pela ICP-Brasil, que é
principalmente usada em sites e instituições do
governo. Especialmente se o seu banco for
estatal, este pode ser o caso. O Internet Explorer e o Chrome já confiam nos certificados da ICP.
Outra boa ideia é usar outro computador, como um notebook, por exemplo, liga-lo à sua conexão
de internet e usar qualquer navegador – Firefox ou não – para tentar realizar o acesso. Se o
problema acontecer novamente, mas somente no Firefox, é possível que o problema seja no
servidor do banco ou no Firefox.
Os cadeados de segurança funcionam por meio de uma “cadeia de confiança”. Ou seja, o
navegador confia em uma certificadora, que assina um certificado específico (o do banco, no caso).
Como o navegador confia naquela assinatura, ele não exibe nenhum aviso.
O problema é que às vezes há mais etapas nessa cadeia, ou seja, uma certificadora que assinou
um segundo certificado, que por sua vez assinou outro e que então assinou o do banco, por
exemplo. Nesse caso, qualquer problema ou erro de configuração nos certificados cadeia pode
gerar um erro, mesmo que o certificado seja válido e real.
Eu tive exatamente o mesmo problema que você com o meu banco e, também, somente no
Firefox. Era uma incompatibilidade específica do certificado com o navegador.
Ou seja, embora seja importante tomar cuidado com esses avisos, o Firefox está realmente sendo
o campeão de incompatibilidades, seja por não confiar na ICP-Brasil ou por algum outro problema
técnico. Tente confirmar que sua conexão está OK com as dicas da semana passada e faça um
teste em outro navegador ou com outro computador. Se tudo correr bem, o problema é mesmo
Firefox. Nesse caso, avise o seu banco.
O pacotão da coluna Segurança Digital de hoje chega ao fim. Toda quarta-feira tem respostas a
dúvidas de leitores, então não esqueça de deixar sua pergunta na área de comentários, logo
abaixo. Até a próxima!
sem comentário »
globo.com | notícias | esportes | entretenimento | vídeos
buscar ok
central globo.com | assine a globo.com | todos os sites | meus dados | anuncie na globo.com
2000-2012 globo.com Todos os direitos reservados. Política de privacidade
G1 – Segurança digital – Altieres Rohr http://g1.globo.com/platb/seguranca-digital 23/05/2012 17:44