1

Cartilha de Segurana para Internet

1. Segurana de Computadores
Um computador (ou sistema computacional) dito seguro se este atende a trs requisitos bsicos relacionados aos recursos que o compem: confidencialidade, integridade e disponibilidade. A confidencialidade diz que a informao s est disponvel para aqueles devidamente autorizados; a integridade diz que a informao no destruda ou corrompida e o sistema tem um desempenho correto, e a disponibilidade diz que os servios/recursos do sistema esto disponveis sempre que forem necessrios. Alguns exemplos de violaes a cada um desses requisitos so: Confidencialidade: algum obtm acesso no autorizado ao seu computador e l todas as informaes contidas na sua declarao de Imposto de Renda; Integridade: algum obtm acesso no autorizado ao seu computador e altera informaes da sua declarao de Imposto de Renda, momentos antes de voc envi-la Receita Federal; Disponibilidade: o seu provedor sofre uma grande sobrecarga de dados ou um ataque de negao de servio e por este motivo voc fica impossibilitado de enviar sua declarao de Imposto de Renda Receita Federal. 1.1. Por que devo me preocupar com a segurana do meu computador? Computadores domsticos so utilizados para realizar inmeras tarefas, tais como: transaes financeiras, sejam elas bancrias ou mesmo compra de produtos e servios; comunicao, por exemplo, atravs de e-mails; armazenamento de dados, sejam eles pessoais ou comerciais, etc. importante que voc se preocupe com a segurana de seu computador, pois voc, provavelmente, no gostaria que:

suas senhas e nmeros de cartes de crdito fossem furtados e utilizados por terceiros; sua conta de acesso a Internet fosse utilizada por algum no autorizado; seus dados pessoais, ou at mesmo comerciais, fossem alterados, destrudos ou visualizados por terceiros; seu computador deixasse de funcionar, por ter sido comprometido e arquivos essenciais do sistema terem sido apagados, etc.

1.2. Por que algum iria querer invadir meu computador? A resposta para esta pergunta no simples. Os motivos pelos quais algum tentaria invadir seu computador so inmeros. Alguns destes motivos podem ser:

utilizar seu computador em alguma atividade ilcita, para esconder a real identidade e localizao do invasor; utilizar seu computador para lanar ataques contra outros computadores; utilizar seu disco rgido como repositrio de dados; destruir informaes (vandalismo); disseminar mensagens alarmantes e falsas; ler e enviar e-mails em seu nome; propagar vrus de computador; furtar nmeros de cartes de crdito e senhas bancrias; furtar a senha da conta de seu provedor, para acessar a Internet se fazendo passar por voc; furtar dados do seu computador, como por exemplo, informaes do seu Imposto de Renda.

2. Senhas
Uma senha (password) na Internet, ou em qualquer sistema computacional, serve para autenticar o usurio, ou seja, utilizada no processo de verificao da identidade do usurio, assegurando que este realmente quem diz ser. Se uma outra pessoa tem acesso a sua senha, ela poder utiliz-la para se passar por voc na Internet. Alguns dos motivos pelos quais uma pessoa poderia utilizar sua senha so:

ler e enviar e-mails em seu nome; obter informaes sensveis dos dados armazenados em seu computador, tais como nmeros de cartes de crdito; esconder sua real identidade e ento desferir ataques contra computadores de terceiros.

Portanto, a senha merece considerao especial, afinal ela de sua inteira responsabilidade. 2.1. O que no se deve usar na elaborao de uma senha? Nomes, sobrenomes, nmeros de documentos, placas de carros, nmeros de telefones e datas1 devero estar fora de sua lista de senhas. Esses dados podem ser facilmente obtidos e uma pessoa mal intencionada, possivelmente, utilizaria este tipo de informao para tentar se autenticar como voc. Existem vrias regras de criao de senhas, sendo que uma regra muito importante jamais utilizar palavras que faam parte de dicionrios. Existem softwares que tentam descobrir senhas combinando e testando palavras em diversos idiomas e geralmente possuem listas de palavras (dicionrios) e listas de nomes (nomes prprios, msicas, filmes, etc.). 2.2. O que uma boa senha? Uma boa senha deve ter pelo menos oito caracteres2 (letras, nmeros e smbolos), deve ser simples de digitar e, o mais importante, deve ser fcil de lembrar. Normalmente os sistemas diferenciam letras maisculas das minsculas, o que j ajuda na composio da senha. Por exemplo, "pAraleLepiPedo" e "paRalElePipEdo" so senhas diferentes. Entretanto, so senhas fceis de descobrir utilizando softwares para quebra de senhas, pois no possuem nmeros e smbolos, alm de conter muitas repeties de letras. 2.3. Como elaborar uma boa senha?

3 Quanto mais "bagunada" for a senha melhor, pois mais difcil ser descobr-la3. Assim, tente misturar letras maisculas, minsculas, nmeros e sinais de pontuao. Uma regra realmente prtica e que gera boas senhas difceis de serem descobertas utilizar uma frase qualquer e pegar a primeira, segunda ou a ltima letra de cada palavra. Por exemplo, usando a frase "batatinha quando nasce se esparrama pelo cho" podemos gerar a senha "!BqnsepC" (o sinal de exclamao foi colocado no incio para acrescentar um smbolo senha). Senhas geradas desta maneira so fceis de lembrar e so normalmente difceis de serem descobertas. Mas lembre-se: a senha "!BqnsepC" deixou de ser uma boa senha, pois faz parte desta Cartilha. Vale ressaltar que se voc tiver dificuldades para memorizar uma senha forte, prefervel anot-la e guard-la em local seguro, do que optar pelo uso de senhas fracas. 2.4. Quantas senhas diferentes devo usar? Procure identificar o nmero de locais onde voc necessita utilizar uma senha. Este nmero deve ser equivalente a quantidade de senhas distintas a serem mantidas por voc. Utilizar senhas diferentes, uma para cada local, extremamente importante, pois pode atenuar os prejuzos causados, caso algum descubra uma de suas senhas. Para ressaltar a importncia do uso de senhas diferentes, imagine que voc responsvel por realizar movimentaes financeiras em um conjunto de contas bancrias e todas estas contas possuem a mesma senha. Ento, procure responder as seguintes perguntas:

Quais seriam as conseqncias se algum descobrisse esta senha? E se fossem usadas senhas diferentes para cada conta, caso algum descobrisse uma das senhas, um possvel prejuzo teria a mesma proporo?

2.5. Com que freqncia devo mudar minhas senhas? Voc deve trocar suas senhas regularmente, procurando evitar perodos muito longos. Uma sugesto que voc realize tais trocas a cada dois ou trs meses. Procure identificar se os servios que voc utiliza e que necessitam de senha, quer seja o acesso ao seu provedor, e-mail, conta bancria, ou outro, disponibilizam funcionalidades para alterar senhas e use regularmente tais funcionalidades. Caso voc no possa escolher sua senha na hora em que contratar o servio, procure troc-la com a maior urgncia possvel. Procure utilizar servios em que voc possa escolher a sua senha. Lembre-se que trocas regulares so muito importantes para assegurar a confidencialidade de suas senhas. 2.6. Quais os cuidados especiais que devo ter com as senhas? De nada adianta elaborar uma senha bastante segura e difcil de ser descoberta, se ao usar a senha algum puder v-la. Existem vrias maneiras de algum poder descobrir a sua senha. Dentre elas, algum poderia:

observar o processo de digitao da sua senha;

utilizar algum mtodo de persuaso, para tentar convenc-lo a entregar sua senha (vide seo 4.1); capturar sua senha enquanto ela trafega pela rede.

Em relao a este ltimo caso, existem tcnicas que permitem observar dados, medida que estes trafegam entre redes. possvel que algum extraia informaes sensveis desses dados, como por exemplo senhas, caso no estejam criptografados (vide seo 8). Portanto, alguns dos principais cuidados que voc deve ter com suas senhas so:

certifique-se de no estar sendo observado ao digitar a sua senha; no fornea sua senha para qualquer pessoa, em hiptese alguma; no utilize computadores de terceiros (por exemplo, em LAN houses, cybercafes, stands de eventos, etc) em operaes que necessitem utilizar suas senhas; certifique-se que seu provedor disponibiliza servios criptografados, principalmente para aqueles que envolvam o fornecimento de uma senha.

2.7. Que cuidados devo ter com o usurio e senha de Administrator (ou root) em um computador? O usurio Administrator (ou root) de extrema importncia, pois detm todos os privilgios em um computador. Ele deve ser usado em situaes onde um usurio normal no tenha privilgios para realizar uma operao, como por exemplo, em determinadas tarefas administrativas, de manuteno ou na instalao e configurao de determinados tipos de software. Sabe-se que, por uma questo de comodidade e principalmente no ambiente domstico, muitas pessoas utilizam o usurio Administrator (ou root) para realizar todo e qualquer tipo de atividade. Ele usado para se conectar Internet, navegar utilizando o browser, ler e-mails, redigir documentos, etc. Este um procedimento que deve ser sempre evitado, pois voc, como usurio Administrator (ou root), poderia acidentalmente apagar arquivos essenciais para o funcionamento do sistema operacional ou de algum software instalado em seu computador. Ou ainda, poderia instalar inadvertidamente um software malicioso que, como usurio Administrator (ou root), teria todos os privilgios que necessitasse, podendo fazer qualquer coisa. Portanto, alguns dos principais cuidados que voc deve ter so:

elaborar uma boa senha para o usurio Administrator (ou root), como discutido na seo 2.3, e seguir os procedimentos descritos na seo 2.6; utilizar o usurio Administrator (ou root) somente quando for estritamente necessrio; criar tantos usurios com privilgios normais, quantas forem as pessoas que utilizam seu computador, para substituir assim o usurio Administrator (ou root) em tarefas rotineiras, como leitura de e-mails, navegao na Internet, produo de documentos, etc.

3. Cookies
Cookies so pequenas informaes que os sites visitados por voc podem armazenar em seu browser. Estes so utilizados pelos sites de diversas formas, tais como:

guardar a sua identificao e senha quando voc vai de uma pgina para outra; manter listas de compras ou listas de produtos preferidos em sites de comrcio eletrnico;

personalizar sites pessoais ou de notcias, quando voc escolhe o que quer que seja mostrado nas pginas; manter a lista das pginas vistas em um site, para estatstica ou para retirar as pginas que voc no tem interesse dos links.

A Parte III: Privacidade apresenta alguns problemas relacionados aos cookies, bem como algumas sugestes para que se tenha maior controle sobre eles.

4. Engenharia Social
O termo utilizado para descrever um mtodo de ataque, onde algum faz uso da persuaso, muitas vezes abusando da ingenuidade ou confiana do usurio, para obter informaes que podem ser utilizadas para ter acesso no autorizado a computadores ou informaes. 4.1. Que exemplos podem ser citados sobre este mtodo de ataque? Os dois primeiros exemplos apresentam casos onde foram utilizadas mensagens de e-mail. O ltimo exemplo apresenta um ataque realizado por telefone. Exemplo 1: voc recebe uma mensagem e-mail, onde o remetente o gerente ou algum em nome do departamento de suporte do seu banco. Na mensagem ele diz que o servio de Internet Banking est apresentando algum problema e que tal problema pode ser corrigido se voc executar o aplicativo que est anexado mensagem. A execuo deste aplicativo apresenta uma tela anloga quela que voc utiliza para ter acesso a conta bancria, aguardando que voc digite sua senha. Na verdade, este aplicativo est preparado para furtar sua senha de acesso a conta bancria e envi-la para o atacante. Exemplo 2: voc recebe uma mensagem de e-mail, dizendo que seu computador est infectado por um vrus. A mensagem sugere que voc instale uma ferramenta disponvel em um site da Internet, para eliminar o vrus de seu computador. A real funo desta ferramenta no eliminar um vrus, mas sim permitir que algum tenha acesso ao seu computador e a todos os dados nele armazenados. Exemplo 3: algum desconhecido liga para a sua casa e diz ser do suporte tcnico do seu provedor. Nesta ligao ele diz que sua conexo com a Internet est apresentando algum problema e, ento, pede sua senha para corrig-lo. Caso voc entregue sua senha, este suposto tcnico poder realizar uma infinidade de atividades maliciosas, utilizando a sua conta de acesso a Internet e, portanto, relacionando tais atividades ao seu nome. Estes casos mostram ataques tpicos de engenharia social, pois os discursos apresentados nos exemplos procuram induzir o usurio a realizar alguma tarefa e o sucesso do ataque depende nica e exclusivamente da deciso do usurio em fornecer informaes sensveis ou executar programas. A Parte IV: Fraudes na Internet apresenta algumas formas de se prevenir deste tipo de ataque.

5. Vulnerabilidade
Vulnerabilidade definida como uma falha no projeto, implementao ou configurao de um software ou sistema operacional que, quando explorada por um atacante, resulta na violao da segurana de um computador.

6 Existem casos onde um software ou sistema operacional instalado em um computador pode conter uma vulnerabilidade que permite sua explorao remota, ou seja, atravs da rede. Portanto, um atacante conectado Internet, ao explorar tal vulnerabilidade, pode obter acesso no autorizado ao computador vulnervel. A Parte II: Riscos Envolvidos no Uso da Internet e Mtodos de Preveno apresenta algumas formas de identificao de vulnerabilidades, bem como maneiras de preveno e correo.

6. Cdigos Maliciosos (Malware)

Cdigo malicioso ou Malware (Malicious Software) um termo genrico que abrange todos os tipos de programa especificamente desenvolvidos para executar aes maliciosas em um computador. Na literatura de segurana o termo malware tambm conhecido por "software malicioso". Alguns exemplos de malware so:

vrus; worms e bots; backdoors; cavalos de tria; keyloggers e outros programas spyware; rootkits.

A Parte VIII: Cdigos Maliciosos (Malware) apresenta descries detalhadas e formas de identificao e preveno para os diversos tipos de cdigo malicioso.

7. Negao de Servio (Denial of Service)

Nos ataques de negao de servio (DoS -- Denial of Service) o atacante utiliza um computador para tirar de operao um servio ou computador conectado Internet. Exemplos deste tipo de ataque so:

gerar uma grande sobrecarga no processamento de dados de um computador, de modo que o usurio no consiga utiliz-lo; gerar um grande trfego de dados para uma rede, ocupando toda a banda disponvel, de modo que qualquer computador desta rede fique indisponvel; tirar servios importantes de um provedor do ar, impossibilitando o acesso dos usurios a suas caixas de correio no servidor de e-mail ou ao servidor Web.

7.1. O que DDoS? DDoS (Distributed Denial of Service) constitui um ataque de negao de servio distribudo, ou seja, um conjunto de computadores utilizado para tirar de operao um ou mais servios ou computadores conectados Internet. Normalmente estes ataques procuram ocupar toda a banda disponvel para o acesso a um computador ou rede, causando grande lentido ou at mesmo indisponibilizando qualquer comunicao com este computador ou rede. 7.2. Se uma rede ou computador sofrer um DoS, isto significa que houve uma invaso?

7 No. O objetivo de tais ataques indisponibilizar o uso de um ou mais computadores, e no invadlos. importante notar que, principalmente em casos de DDoS, computadores comprometidos podem ser utilizados para desferir os ataques de negao de servio. Um exemplo deste tipo de ataque ocorreu no incio de 2000, onde computadores de vrias partes do mundo foram utilizados para indisponibilizar o acesso aos sites de algumas empresas de comrcio eletrnico. Estas empresas no tiveram seus computadores comprometidos, mas sim ficaram impossibilitadas de vender seus produtos durante um longo perodo.

8. Criptografia
Criptografia a cincia e arte de escrever mensagens em forma cifrada ou em cdigo. parte de um campo de estudos que trata das comunicaes secretas, usadas, dentre outras finalidades, para:

autenticar a identidade de usurios; autenticar e proteger o sigilo de comunicaes pessoais e de transaes comerciais e bancrias; proteger a integridade de transferncias eletrnicas de fundos.

Uma mensagem codificada por um mtodo de criptografia deve ser privada, ou seja, somente aquele que enviou e aquele que recebeu devem ter acesso ao contedo da mensagem. Alm disso, uma mensagem deve poder ser assinada, ou seja, a pessoa que a recebeu deve poder verificar se o remetente mesmo a pessoa que diz ser e ter a capacidade de identificar se uma mensagem pode ter sido modificada. Os mtodos de criptografia atuais so seguros e eficientes e baseiam-se no uso de uma ou mais chaves. A chave uma seqncia de caracteres, que pode conter letras, dgitos e smbolos (como uma senha), e que convertida em um nmero, utilizado pelos mtodos de criptografia para codificar e decodificar mensagens. Atualmente, os mtodos criptogrficos podem ser subdivididos em duas grandes categorias, de acordo com o tipo de chave utilizada: a criptografia de chave nica (vide seo 8.1) e a criptografia de chave pblica e privada (vide seo 8.2). 8.1. O que criptografia de chave nica? A criptografia de chave nica utiliza a mesma chave tanto para codificar quanto para decodificar mensagens. Apesar deste mtodo ser bastante eficiente em relao ao tempo de processamento, ou seja, o tempo gasto para codificar e decodificar mensagens, tem como principal desvantagem a necessidade de utilizao de um meio seguro para que a chave possa ser compartilhada entre pessoas ou entidades que desejem trocar informaes criptografadas. Exemplos de utilizao deste mtodo de criptografia e sugestes para o tamanho mnimo da chave nica podem ser vistos nas sees 8.4 e 8.5, respectivamente. 8.2. O que criptografia de chaves pblica e privada? A criptografia de chaves pblica e privada utiliza duas chaves distintas, uma para codificar e outra para decodificar mensagens. Neste mtodo cada pessoa ou entidade mantm duas chaves: uma pblica, que pode ser divulgada livremente, e outra privada, que deve ser mantida em segredo pelo seu dono. As mensagens codificadas com a chave pblica s podem ser decodificadas com a chave privada correspondente.

8 Seja o exemplo, onde Jos e Maria querem se comunicar de maneira sigilosa. Ento, eles tero que realizar os seguintes procedimentos: 1. Jos codifica uma mensagem utilizando a chave pblica de Maria, que est disponvel para o uso de qualquer pessoa; 2. Depois de criptografada, Jos envia a mensagem para Maria, atravs da Internet; 3. Maria recebe e decodifica a mensagem, utilizando sua chave privada, que apenas de seu conhecimento; 4. Se Maria quiser responder a mensagem, dever realizar o mesmo procedimento, mas utilizando a chave pblica de Jos. Apesar deste mtodo ter o desempenho bem inferior em relao ao tempo de processamento, quando comparado ao mtodo de criptografia de chave nica (seo 8.1), apresenta como principal vantagem a livre distribuio de chaves pblicas, no necessitando de um meio seguro para que chaves sejam combinadas antecipadamente. Alm disso, pode ser utilizado na gerao de assinaturas digitais, como mostra a seo 8.3. Exemplos de utilizao deste mtodo de criptografia e sugestes para o tamanho mnimo das chaves pblica e privada podem ser vistos nas sees 8.4 e 8.5, respectivamente. 8.3. O que assinatura digital? A assinatura digital consiste na criao de um cdigo, atravs da utilizao de uma chave privada, de modo que a pessoa ou entidade que receber uma mensagem contendo este cdigo possa verificar se o remetente mesmo quem diz ser e identificar qualquer mensagem que possa ter sido modificada. Desta forma, utilizado o mtodo de criptografia de chaves pblica e privada, mas em um processo inverso ao apresentado no exemplo da seo 8.2. Se Jos quiser enviar uma mensagem assinada para Maria, ele codificar a mensagem com sua chave privada. Neste processo ser gerada uma assinatura digital, que ser adicionada mensagem enviada para Maria. Ao receber a mensagem, Maria utilizar a chave pblica de Jos para decodificar a mensagem. Neste processo ser gerada uma segunda assinatura digital, que ser comparada primeira. Se as assinaturas forem idnticas, Maria ter certeza que o remetente da mensagem foi o Jos e que a mensagem no foi modificada. importante ressaltar que a segurana do mtodo baseia-se no fato de que a chave privada conhecida apenas pelo seu dono. Tambm importante ressaltar que o fato de assinar uma mensagem no significa gerar uma mensagem sigilosa. Para o exemplo anterior, se Jos quisesse assinar a mensagem e ter certeza de que apenas Maria teria acesso a seu contedo, seria preciso codific-la com a chave pblica de Maria, depois de assin-la. 8.4. Que exemplos podem ser citados sobre o uso de criptografia de chave nica e de chaves pblica e privada? Exemplos que combinam a utilizao dos mtodos de criptografia de chave nica e de chaves pblica e privada so as conexes seguras, estabelecidas entre o browser de um usurio e um site, em transaes comerciais ou bancrias via Web.

9 Estas conexes seguras via Web utilizam o mtodo de criptografia de chave nica, implementado pelo protocolo SSL (Secure Socket Layer). O browser do usurio precisa informar ao site qual ser a chave nica utilizada na conexo segura, antes de iniciar a transmisso de dados sigilosos. Para isto, o browser obtm a chave pblica do certificado4 da instituio que mantm o site. Ento, ele utiliza esta chave pblica para codificar e enviar uma mensagem para o site, contendo a chave nica a ser utilizada na conexo segura. O site utiliza sua chave privada para decodificar a mensagem e identificar a chave nica que ser utilizada. A partir deste ponto, o browser do usurio e o site podem transmitir informaes, de forma sigilosa e segura, atravs da utilizao do mtodo de criptografia de chave nica. A chave nica pode ser trocada em intervalos de tempo determinados, atravs da repetio dos procedimentos descritos anteriormente, aumentando assim o nvel de segurana de todo o processo. 8.5. Que tamanho de chave deve ser utilizado? Os mtodos de criptografia atualmente utilizados, e que apresentam bons nveis de segurana, so publicamente conhecidos e so seguros pela robustez de seus algoritmos e pelo tamanho das chaves que utilizam. Para que um atacante descubra uma chave ele precisa utilizar algum mtodo de fora bruta, ou seja, testar combinaes de chaves at que a correta seja descoberta. Portanto, quanto maior for a chave, maior ser o nmero de combinaes a testar, inviabilizando assim a descoberta de uma chave em tempo hbil. Alm disso, chaves podem ser trocadas regularmente, tornando os mtodos de criptografia ainda mais seguros. Atualmente, para se obter um bom nvel de segurana na utilizao do mtodo de criptografia de chave nica, aconselhvel utilizar chaves de no mnimo 128 bits. E para o mtodo de criptografia de chaves pblica e privada aconselhvel utilizar chaves de 2048 bits, sendo o mnimo aceitvel de 1024 bits. Dependendo dos fins para os quais os mtodos criptogrficos sero utilizados, deve-se considerar a utilizao de chaves maiores: 256 ou 512 bits para chave nica e 4096 ou 8192 bits para chaves pblica e privada.

9. Certificado Digital
O certificado digital um arquivo eletrnico que contm dados de uma pessoa ou instituio, utilizados para comprovar sua identidade. Este arquivo pode estar armazenado em um computador ou em outra mdia, como um token ou smart card. Exemplos semelhantes a um certificado digital so o CNPJ, RG, CPF e carteira de habilitao de uma pessoa. Cada um deles contm um conjunto de informaes que identificam a instituio ou pessoa e a autoridade (para estes exemplos, rgos pblicos) que garante sua validade. Algumas das principais informaes encontradas em um certificado digital so:

dados que identificam o dono (nome, nmero de identificao, estado, etc); nome da Autoridade Certificadora (AC) que emitiu o certificado (vide seo 9.1); o nmero de srie e o perodo de validade do certificado; a assinatura digital da AC.

O objetivo da assinatura digital no certificado indicar que uma outra entidade (a Autoridade Certificadora) garante a veracidade das informaes nele contidas.

10 9.1. O que Autoridade Certificadora (AC)? Autoridade Certificadora (AC) a entidade responsvel por emitir certificados digitais. Estes certificados podem ser emitidos para diversos tipos de entidades, tais como: pessoa, computador, departamento de uma instituio, instituio, etc. Os certificados digitais possuem uma forma de assinatura eletrnica da AC que o emitiu. Graas sua idoneidade, a AC normalmente reconhecida por todos como confivel, fazendo o papel de "Cartrio Eletrnico". 9.2. Que exemplos podem ser citados sobre o uso de certificados? Alguns exemplos tpicos do uso de certificados digitais so:

quando voc acessa um site com conexo segura, como por exemplo o acesso a sua conta bancria pela Internet (vide Parte IV: Fraudes na Internet), possvel checar se o site apresentado realmente da instituio que diz ser, atravs da verificao de seu certificado digital; quando voc consulta seu banco pela Internet, este tem que se assegurar de sua identidade antes de fornecer informaes sobre a conta; quando voc envia um e-mail importante, seu aplicativo de e-mail pode utilizar seu certificado para assinar "digitalmente" a mensagem, de modo a assegurar ao destinatrio que o e-mail seu e que no foi adulterado entre o envio e o recebimento.

A Parte IV: Fraudes na Internet apresenta algumas medidas de segurana relacionadas ao uso de certificados digitais. __________________________________
[1] Qualquer data que possa estar relacionada com voc, como por exemplo a data de seu aniversrio ou de familiares. [2] Existem servios que permitem utilizar senhas maiores do que oito caracteres. Quanto maior for a senha, mais difcil ser descobr-la, portanto procure utilizar a senha de maior tamanho possvel. [3] Observe que a senha "1qaz2wsx" parece ser suficientemente "bagunada", mas no considerada uma boa senha, pois est associada proximidade entre esses caracteres no teclado. [4] Certificados so discutidos na seo 9 e na Parte IV: Fraudes na Internet.

1. Programas Leitores de E-mails

1.1. Quais so os riscos associados ao uso de um programa leitor de e-mails? Grande parte dos problemas de segurana envolvendo e-mails esto relacionados aos contedos das mensagens, que normalmente abusam das tcnicas de engenharia social (vide Parte I: Conceitos de Segurana e Parte IV: Fraudes na Internet) ou de caractersticas de determinados programas leitores de e-mails, que permitem abrir arquivos ou executar programas anexados s mensagens automaticamente. 1.2. possvel configurar um programa leitor de e-mails de forma mais segura?

11 Sim. Algumas dicas de configurao para melhorar a segurana do seu programa leitor de e-mails so: 1. desligar as opes que permitem abrir ou executar automaticamente arquivos ou programas anexados s mensagens; 2. desligar as opes de execuo de JavaScript e de programas Java (vide seo 2.2); 3. desligar, se possvel, o modo de visualizao de e-mails no formato HTML (mais detalhes na Parte IV: Fraudes na Internet e Parte VI: Spam). Estas configuraes podem evitar que o seu programa leitor de e-mails propague automaticamente vrus e cavalos de tria, entre outros. Existem programas leitores de e-mails que no implementam tais funes e, portanto, no possuem estas opes. importante ressaltar que se o usurio seguir as recomendaes dos itens 1 e 2, mas ainda assim abrir os arquivos ou executar manualmente os programas que vm anexados aos e-mails, poder ter algum problema que resulte na violao da segurana do seu computador. 1.3. Que medidas preventivas devo adotar no uso dos programas leitores de e-mails? Algumas medidas preventivas que minimizam os problemas trazidos com os e-mails so:

manter sempre a verso mais atualizada do seu programa leitor de e-mails; no clicar em links que, por ventura, possam aparecer no contedo do e-mail. Se voc realmente quiser acessar a pgina do link, digite o endereo diretamente no seu browser, seguindo as orientaes da seo 2.7; evitar abrir arquivos ou executar programas anexados aos e-mails, sem antes verific-los com um antivrus; desconfiar sempre dos arquivos anexados mensagem, mesmo que tenham sido enviados por pessoas ou instituies conhecidas. O endereo do remetente pode ter sido forjado1 e o arquivo anexo pode ser, por exemplo, um vrus ou um cavalo de tria; fazer o download de programas diretamente do site do fabricante; evitar utilizar o seu programa leitor de e-mails como um browser, desligando o modo de visualizao de e-mails no formato HTML.

Atualmente, usurios da Internet tm sido bombardeados com e-mails indesejveis e, principalmente, com mensagens fraudulentas cuja finalidade a obteno de vantagens financeiras. Alguns exemplos so:

mensagens oferecendo grandes quantias em dinheiro, mediante uma transferncia eletrnica de fundos; mensagens com ofertas de produtos com preos muito abaixo dos preos praticados pelo mercado; mensagens que procuram induzir o usurio a acessar uma determinada pgina na Internet ou a instalar um programa, abrir um lbum de fotos, ver cartes virtuais, etc, mas cujo verdadeiro intuito fazer com que o usurio fornea dados pessoais e sensveis, como contas bancrias, senhas e nmeros de cartes de crdito.

Mais detalhes sobre estes tipos de e-mail, bem como formas de preveno, podem ser vistos na Parte IV: Fraudes na Internet.

12

2. Browsers
2.1. Quais so os riscos associados ao uso de um browser? Existem diversos riscos envolvidos na utilizao de um browser. Dentre eles, podem-se citar:

execuo de JavaScript ou de programas Java hostis; execuo de programas ou controles ActiveX hostis; obteno e execuo de programas hostis em sites no confiveis ou falsos; acesso a sites falsos, se fazendo passar por instituies bancrias ou de comrcio eletrnico; realizao de transaes comerciais ou bancrias via Web, sem qualquer mecanismo de segurana.

Nos dois primeiros casos o browser executa os programas automaticamente, ou seja, sem a interferncia do usurio. 2.2. Quais so os riscos associados execuo de JavaScripts e de programas Java? Normalmente os browsers contm mdulos especficos para processar programas Java. Apesar destes mdulos fornecerem mecanismos de segurana, podem conter falhas de implementao e, neste caso, permitir que um programa Java hostil cause alguma violao de segurana em um computador. JavaScripts, entre outros scripts Web disponveis, so muito utilizados atualmente para incorporar maior funcionalidade e melhorar a aparncia de pginas Web. Apesar de nem sempre apresentarem riscos, vm sendo utilizados por atacantes para causar violaes de segurana em computadores. Um tipo de ataque envolvendo JavaScript consiste em redirecionar usurios de um site legtimo para um site falso, para que o usurio instale programas maliciosos ou fornea informaes pessoais. 2.3. Quais so os riscos associados execuo de programas ActiveX? Antes de receber um programa ActiveX, o seu browser verifica sua procedncia atravs de um esquema de certificados digitais (vide Parte I: Conceitos de Segurana e Parte IV: Fraudes na Internet). Se voc optar por aceitar o certificado, o programa executado em seu computador. Ao serem executados, os programas ActiveX podem fazer de tudo, desde enviar um arquivo qualquer pela Internet, at instalar programas (que podem ter fins maliciosos) em seu computador. 2.4. Quais so os riscos associados ao uso de cookies? Muitos sites utilizam cookies para obter informaes, como por exemplo, as preferncias de um usurio. Estas informaes, muitas vezes, so compartilhadas entre diversas entidades na Internet e podem afetar a privacidade do usurio. Maiores detalhes sobre os riscos envolvidos no uso de cookies, bem como formas de se ter maior controle sobre eles, podem ser vistos na Parte III: Privacidade. 2.5. Quais so os riscos associados s pop-up windows? Pop-up windows so janelas que aparecem automaticamente e sem permisso, sobrepondo a janela do browser, aps o usurio acessar um site. Este recurso tem sido amplamente utilizado para

13 apresentar mensagens com propaganda para usurios da Internet e, por este motivo, tem sido tambm classificado como pop-up spam. Em muitos casos, as mensagens contidas nas pop-up windows apresentam links, que podem redirecionar o usurio para uma pgina fraudulenta ou induz-lo a instalar algum software malicioso para, por exemplo, furtar senhas bancrias ou nmeros de cartes de crdito. Exemplos do uso malicioso de pop-up windows podem ser vistos na Parte IV: Fraudes na Internet. 2.6. Quais so os cuidados necessrios para realizar transaes via Web? Normalmente as transaes, sejam comerciais ou bancrias, envolvem informaes sensveis, como senhas ou nmeros de cartes de crdito. Portanto, muito importante que voc, ao realizar transaes via Web, certifique-se da procedncia dos sites e se estes sites so realmente das instituies que dizem ser. Tambm fundamental que eles forneam mecanismos de segurana para evitar que algum conectado Internet possa obter informaes sensveis de suas transaes, no momento em que estiverem sendo realizadas. Maiores detalhes sobre estes cuidados, bem como formas de preveno na realizao de transaes via Web podem ser vistos na Parte IV: Fraudes na Internet. 2.7. Que medidas preventivas devo adotar no uso de browsers? Algumas medidas preventivas para o uso de browsers so:

manter o seu browser sempre atualizado; desativar a execuo de programas Java na configurao de seu browser2. Se for absolutamente necessrio o Java estar ativado para que as pginas de um site possam ser vistas, basta ativ-lo antes de entrar no site e, ento, desativ-lo ao sair; desativar a execuo de JavaScripts antes de entrar em uma pgina desconhecida e, ento, ativ-la ao sair. Caso voc opte por desativar a execuo de JavaScripts na configurao de seu browser, provvel que muitas pginas Web no possam ser visualizadas; permitir que programas ActiveX sejam executados em seu computador apenas quando vierem de sites conhecidos e confiveis; manter maior controle sobre o uso de cookies, caso voc queira ter maior privacidade ao navegar na Internet (vide Parte III: Privacidade); bloquear pop-up windows e permit-las apenas para sites conhecidos e confiveis, onde forem realmente necessrias; certificar-se da procedncia do site e da utilizao de conexes seguras ao realizar transaes via Web (vide Parte IV: Fraudes na Internet); somente acessar sites de instituies financeiras e de comrcio eletrnico digitando o endereo diretamente no seu browser, nunca clicando em um link existente em uma pgina ou em um e-mail. Assim, voc pode evitar ser redirecionado para uma pgina fraudulenta ou ser induzido a instalar algum software malicioso, que tem como objetivo furtar seus dados pessoais (incluindo senhas e nmeros de cartes de crdito).

2.8. Que caractersticas devo considerar na escolha de um browser? Existem caractersticas muito importantes que voc deve considerar no momento de escolher um browser. Algumas destas caractersticas so:

14

histrico de vulnerabilidades associadas ao browser e o tempo decorrido entre a descoberta da vulnerabilidade e o lanamento da correo; no instalao/execuo automtica de programas; facilidade para identificar se o site usa conexo segura e para visualizar dados do certificado digital; disponibilidade de mecanismos para desabilitar a execuo de programas Java, JavaScript, ActiveX, entre outros; disponibilidade de mecanismos que permitam bloquear (incluindo bloqueio seletivo) cookies e pop-up windows.

3. Antivrus
Os antivrus so programas que procuram detectar e, ento, anular ou remover os vrus de computador. Atualmente, novas funcionalidades tm sido adicionadas aos programas antivrus, de modo que alguns procuram detectar e remover cavalos de tria e outros tipos de cdigo malicioso3, barrar programas hostis e verificar e-mails. 3.1. Que funcionalidades um bom antivrus deve possuir? Um bom antivrus deve:

identificar e eliminar a maior quantidade possvel de vrus e outros tipos de malware; analisar os arquivos que esto sendo obtidos pela Internet; verificar continuamente os discos rgidos (HDs), flexveis (disquetes) e unidades removveis, como CDs, DVDs e pen drives, de forma transparente ao usurio; procurar vrus, cavalos de tria e outros tipos de malware em arquivos anexados aos emails; criar, sempre que possvel, uma mdia de verificao (disquete ou CD de boot) que possa ser utilizado caso um vrus desative o antivrus que est instalado no computador; atualizar as assinaturas de vrus e malwares conhecidos, pela rede, de preferncia diariamente.

Alguns antivrus, alm das funcionalidades acima, permitem verificar e-mails enviados, podendo detectar e barrar a propagao por e-mail de vrus, worms, e outros tipos de malware. 3.2. Como fao bom uso do meu antivrus? As dicas para o bom uso do antivrus so simples:

mantenha o antivrus e suas assinaturas sempre atualizados; configure-o para verificar automaticamente arquivos anexados aos e-mails e arquivos obtidos pela Internet; configure-o para verificar automaticamente mdias removveis (CDs, DVDs, pen drives, disquetes, discos para Zip, etc); configure-o para verificar todo e qualquer formato de arquivo (qualquer tipo de extenso de arquivo); se for possvel, crie o disquete de verificao e utilize-o esporadicamente, ou quando seu computador estiver apresentando um comportamento anormal (mais lento, gravando ou lendo o disco rgido fora de hora, etc);

15 Algumas verses de antivrus so gratuitas para uso pessoal e podem ser obtidas pela Internet. Mas antes de obter um antivrus pela Internet, verifique sua procedncia e certifique-se que o fabricante confivel. 3.3. O que um antivrus no pode fazer? Um antivrus no capaz de impedir que um atacante tente explorar alguma vulnerabilidade (vide seo 5) existente em um computador. Tambm no capaz de evitar o acesso no autorizado a um backdoor4 instalado em um computador. Existem tambm outros mecanismos de defesa, conhecidos como firewalls, que podem prevenir contra tais ameaas (vide seo 4);

4. Firewalls
Os firewalls so dispositivos constitudos pela combinao de software e hardware, utilizados para dividir e controlar o acesso entre redes de computadores. Um tipo especfico o firewall pessoal, que um software ou programa utilizado para proteger um computador contra acessos no autorizados vindos da Internet. 4.1. Como o firewall pessoal funciona? Se algum ou algum programa suspeito tentar se conectar ao seu computador, um firewall bem configurado entra em ao para bloquear tentativas de invaso, podendo barrar tambm o acesso a backdoors, mesmo se j estiverem instalados em seu computador. Alguns programas de firewall permitem analisar continuamente o contedo das conexes, filtrando vrus de e-mail, cavalos de tria e outros tipos de malware, antes mesmo que os antivrus entrem em ao. Tambm existem pacotes de firewall que funcionam em conjunto com os antivrus, provendo um maior nvel de segurana para os computadores onde so utilizados. 4.2. Por que devo instalar um firewall pessoal em meu computador? comum observar relatos de usurios que acreditam ter computadores seguros por utilizarem apenas programas antivrus. O fato que a segurana de um computador no pode basear-se apenas em um mecanismo de defesa. Um antivrus no capaz de impedir o acesso a um backdoor instalado em um computador. J um firewall bem configurado pode bloquear o acesso a ele. Alm disso, um firewall poder bloquear as tentativas de invaso ao seu computador e possibilitar a identificao das origens destas tentativas. Alguns fabricantes de firewalls oferecem verses gratuitas de seus produtos para uso pessoal. Mas antes de obter um firewall, verifique sua procedncia e certifique-se que o fabricante confivel. 4.3. Como posso saber se esto tentando invadir meu computador?

16 Normalmente os firewalls criam arquivos em seu computador, denominados arquivos de registro de eventos (logs). Nestes arquivos so armazenadas as tentativas de acesso no autorizado ao seu computador, para servios que podem ou no estar habilitados. A Parte VII: Incidentes de Segurana e Uso Abusivo da Rede apresenta um guia para que voc no s identifique tais tentativas, mas tambm reporte-as para os responsveis pela rede ou computador de onde a tentativa de invaso se originou.

5. Vulnerabilidades
5.1. Como posso saber se os softwares instalados em meu computador possuem alguma vulnerabilidade? Existem sites na Internet que mantm listas atualizadas de vulnerabilidades em softwares e sistemas operacionais. Alguns destes sites so http://www.cert.org/, http://cve.mitre.org/ e http://www.uscert.gov/cas/alerts/. Alm disso, fabricantes tambm costumam manter pginas na Internet com consideraes a respeito de possveis vulnerabilidades em seus softwares. Portanto, a idia estar sempre atento aos sites especializados em acompanhar vulnerabilidades, aos sites dos fabricantes, s revistas especializadas e aos cadernos de informtica dos jornais, para verificar a existncia de vulnerabilidades no sistema operacional e nos softwares instalados em seu computador. 5.2. Como posso corrigir as vulnerabilidades dos softwares em meu computador? A melhor forma de evitar que o sistema operacional e os softwares instalados em um computador possuam vulnerabilidades mant-los sempre atualizados. Entretanto, fabricantes em muitos casos no disponibilizam novas verses de seus softwares quando descoberta alguma vulnerabilidade, mas sim correes especficas (patches). Estes patches, em alguns casos tambm chamados de hot fixes ou service packs, tm por finalidade corrigir os problemas de segurana referentes s vulnerabilidades descobertas. Portanto, extremamente importante que voc, alm de manter o sistema operacional e os softwares sempre atualizados, instale os patches sempre que forem disponibilizados.

6. Programas de Troca de Mensagens

6.1. Quais so os riscos associados ao uso de salas de bate-papo e de programas como o ICQ ou IRC? Os maiores riscos associados ao uso destes programas esto no contedo dos prprios dilogos. Algum pode utilizar tcnicas de engenharia social (vide Parte I: Conceitos de Segurana e Parte IV: Fraudes na Internet) para obter informaes (muitas vezes sensveis) dos usurios destes programas. Voc pode ser persuadido a fornecer em uma conversa "amigvel" seu e-mail, telefone, endereo, senhas (como a de acesso ao seu provedor), nmero do seu carto de crdito, etc. As conseqncias podem ser desde o recebimento de mensagens com contedo falso/alarmante ou mensagens no solicitadas contendo propagandas, at a utilizao da conta no seu provedor para realizar atividades

17 ilcitas ou a utilizao de seu nmero de carto de crdito para fazer compras em seu nome (vide Parte IV: Fraudes na Internet). Alm disso, estes programas podem fornecer o seu endereo na Internet (endereo IP5). Um atacante pode usar esta informao para, por exemplo, tentar explorar uma possvel vulnerabilidade em seu computador. 6.2. Existem problemas de segurana especficos nos programas de troca instantnea de mensagens? Programas, tais como o ICQ, AOL Instant Messenger, Yahoo! Messenger e MSN Messenger, por se comunicarem constantemente com um servidor (seno no teriam como saber quem est no ar), ficam mais expostos e sujeitos a ataques, caso possuam alguma vulnerabilidade. 6.3. Que medidas preventivas devo adotar no uso de programas de troca de mensagens? Algumas medidas preventivas para o uso de programas de troca de mensagens so:

manter seu programa de troca de mensagens sempre atualizado, para evitar que possua alguma vulnerabilidade (vide seo 5); no aceitar arquivos de pessoas desconhecidas, principalmente programas de computadores; utilizar um bom antivrus, sempre atualizado, para verificar todo e qualquer arquivo ou software obtido atravs do programa de troca de mensagens, mesmo que venha de pessoas conhecidas; evitar fornecer muita informao, principalmente a pessoas que voc acabou de conhecer; no fornecer, em hiptese alguma, informaes sensveis, tais como senhas ou nmeros de cartes de crdito; configurar o programa para ocultar o seu endereo IP.

7. Programas de Distribuio de Arquivos

7.1. Quais so os riscos associados ao uso de programas de distribuio de arquivos? Existem diversos riscos envolvidos na utilizao de programas de distribuio de arquivos, tais como o Kazaa, Morpheus, Edonkey, Gnutella e BitTorrent. Dentre estes riscos, podem-se citar: Acesso no autorizado: o programa de distribuio de arquivos pode permitir o acesso no autorizado ao seu computador, caso esteja mal configurado ou possua alguma vulnerabilidade; Softwares ou arquivos maliciosos: os softwares ou arquivos distribudos podem ter finalidades maliciosas. Podem, por exemplo, conter vrus, ser um bot ou cavalo de tria, ou instalar backdoors em um computador; Violao de direitos autorais (Copyright): a distribuio no autorizada de arquivos de msica, filmes, textos ou programas protegidos pela lei de direitos autorais constitui a violao desta lei. 7.2. Que medidas preventivas devo adotar no uso de programas de distribuio de arquivos? Algumas medidas preventivas para o uso de programas de distribuio de arquivos so:

18

manter seu programa de distribuio de arquivos sempre atualizado e bem configurado; ter um bom antivrus instalado em seu computador, mant-lo atualizado e utiliz-lo para verificar qualquer arquivo obtido, pois eles podem conter vrus, cavalos de tria, entre outros tipos de malware; certificar-se que os arquivos obtidos ou distribudos so livres, ou seja, no violam as leis de direitos autorais.

8. Compartilhamento de Recursos do Windows

8.1. Quais so os riscos associados ao uso do compartilhamento de recursos? Um recurso compartilhado aparece no Explorer do Windows como uma "mozinha" segurando a parte de baixo do cone (pasta, impressora ou disco), como mostra a figura 1.

Figura 1: Exemplos de cones para recursos compartilhados. Alguns dos riscos envolvidos na utilizao de recursos compartilhados por terceiros so:

abrir arquivos ou executar programas que contenham vrus; executar programas que sejam cavalos de tria ou outros tipos de malware.

J alguns dos riscos envolvidos em compartilhar recursos do seu computador so:

permitir o acesso no autorizado a recursos ou informaes sensveis; permitir que um atacante possa utilizar tais recursos, sem quaisquer restries, para fins maliciosos. Isto pode ocorrer se no forem definidas senhas para os compartilhamentos.

8.2. Que medidas preventivas devo adotar no uso do compartilhamento de recursos? Algumas medidas preventivas para o uso do compartilhamento de recursos do Windows so:

ter um bom antivrus instalado em seu computador, mant-lo atualizado e utiliz-lo para verificar qualquer arquivo ou programa compartilhado, pois eles podem conter vrus ou cavalos de tria, entre outros tipos de malware; estabelecer senhas para os compartilhamentos, caso seja estritamente necessrio compartilhar recursos do seu computador. Procure elaborar senhas fceis de lembrar e difceis de serem descobertas (vide Parte I: Conceitos de Segurana).

importante ressaltar que voc deve sempre utilizar senhas para os recursos que deseje compartilhar, principalmente os que esto habilitados para leitura e escrita. E, quando possvel, no compartilhe recursos ou no deixe-os compartilhados por muito tempo.

9. Realizao de Cpias de Segurana (Backups)

9.1. Qual a importncia de fazer cpias de segurana? Cpias de segurana dos dados armazenados em um computador so importantes, no s para se recuperar de eventuais falhas, mas tambm das conseqncias de uma possvel infeco por vrus, ou de uma invaso.

19 9.2. Quais so as formas de realizar cpias de segurana? Cpias de segurana podem ser simples como o armazenamento de arquivos em CDs ou DVDs, ou mais complexas como o espelhamento de um disco rgido inteiro em um outro disco de um computador. Atualmente, uma unidade gravadora de CDs/DVDs e um software que possibilite copiar dados para um CD/DVD so suficientes para que a maior parte dos usurios de computadores realizem suas cpias de segurana. Tambm existem equipamentos e softwares mais sofisticados e especficos que, dentre outras atividades, automatizam todo o processo de realizao de cpias de segurana, praticamente sem interveno do usurio. A utilizao de tais equipamentos e softwares envolve custos mais elevados e depende de necessidades particulares de cada usurio. 9.3. Com que freqncia devo fazer cpias de segurana? A freqncia com que realizada uma cpia de segurana e a quantidade de dados armazenados neste processo depende da periodicidade com que o usurio cria ou modifica arquivos. Cada usurio deve criar sua prpria poltica para a realizao de cpias de segurana. 9.4. Que cuidados devo ter com as cpias de segurana? Os cuidados com cpias de segurana dependem das necessidades do usurio. O usurio deve procurar responder algumas perguntas antes de adotar um ou mais cuidados com suas cpias de segurana:

Que informaes realmente importantes precisam estar armazenadas em minhas cpias de segurana? Quais seriam as conseqncias/prejuzos, caso minhas cpias de segurana fossem destrudas ou danificadas? O que aconteceria se minhas cpias de segurana fossem furtadas?

Baseado nas respostas para as perguntas anteriores, um usurio deve atribuir maior ou menor importncia a cada um dos cuidados discutidos abaixo. Escolha dos dados. Cpias de segurana devem conter apenas arquivos confiveis do usurio, ou seja, que no contenham vrus e nem sejam algum outro tipo de malware. Arquivos do sistema operacional e que faam parte da instalao dos softwares de um computador no devem fazer parte das cpias de segurana. Eles podem ter sido modificados ou substitudos por verses maliciosas, que quando restauradas podem trazer uma srie de problemas de segurana para um computador. O sistema operacional e os softwares de um computador podem ser reinstalados de mdias confiveis, fornecidas por fabricantes confiveis. Mdia utilizada. A escolha da mdia para a realizao da cpia de segurana extremamente importante e depende da importncia e da vida til que a cpia deve ter. A utilizao de alguns disquetes para armazenar um pequeno volume de dados que esto sendo modificados constantemente perfeitamente vivel. Mas um grande volume de dados, de maior importncia, que deve perdurar por longos perodos, deve ser armazenado em mdias mais confiveis, como por exemplo os CDs ou DVDs.

20 Local de armazenamento. Cpias de segurana devem ser guardadas em um local condicionado (longe de muito frio ou muito calor) e restrito, de modo que apenas pessoas autorizadas tenham acesso a este local (segurana fsica). Cpia em outro local. Cpias de segurana podem ser guardadas em locais diferentes. Um exemplo seria manter uma cpia em casa e outra no escritrio. Tambm existem empresas especializadas em manter reas de armazenamento com cpias de segurana de seus clientes. Nestes casos muito importante considerar a segurana fsica de suas cpias, como discutido no item anterior. Criptografia dos dados. Os dados armazenados em uma cpia de segurana podem conter informaes sigilosas. Neste caso, os dados que contenham informaes sigilosas devem ser armazenados em algum formato criptografado. 9.5. Que cuidados devo ter ao enviar um computador para a manuteno? muito importante fazer cpias de segurana dos dados de um computador antes que ele apresente algum problema e seja necessrio envi-lo para manuteno ou assistncia tcnica. Em muitos casos, o computador pode apresentar algum problema que impossibilite a realizao de uma cpia de segurana dos dados antes de envi-lo para a manuteno. Portanto, muito importante que o usurio tenha disponvel cpias de segurana recentes de seus dados. No se pode descartar a possibilidade de, ao receber seu computador, ter a infeliz surpresa que todos os seus dados foram apagados durante o processo de manuteno. Tenha sempre em mente que procurar uma assistncia tcnica de confiana fundamental, principalmente se existirem dados sensveis armazenados em seu computador, como declarao de Imposto de Renda, documentos e outras informaes sigilosas, certificados digitais, entre outros.
___________________________ [1] Existem vrus e outros tipos de software malicioso que utilizam o e-mail como meio para sua propagao e quase sempre forjam o endereo do remetente. [2] Os programas Java no so utilizados na maioria das pginas Web e, quando utilizados, a desativao de sua execuo no costuma comprometer a visualizao da pgina. [3] A definio de cdigo malicioso (malware) pode ser encontrada na Parte I: Conceitos de Segurana. [4] Detalhes sobre backdoors podem ser vistos na Parte VIII: Cdigos Maliciosos (Malware). [5] O significado de endereo IP pode ser encontrado no Glossrio.

1. Privacidade dos E-mails

O servio de e-mails foi projetado para ter como uma de suas principais caractersticas a simplicidade. O problema deste servio que foi comparado com o correio convencional, dando a falsa idia de que os e-mails so cartas fechadas. Mas eles so, na verdade, como cartes postais, cujo contedo pode ser lido por quem tiver acesso a eles.

21 1.1. possvel algum ler e-mails de outro usurio? As mensagens que chegam caixa postal do usurio ficam normalmente armazenadas em um arquivo no servidor de e-mails do provedor, at o usurio se conectar na Internet e obter os e-mails atravs do seu programa leitor de e-mails. Portanto, enquanto os e-mails estiverem no servidor, podero ser lidos por pessoas que tenham acesso a este servidor1. E enquanto estiverem em trnsito, existe a possibilidade de serem lidos por alguma pessoa conectada Internet. 1.2. Como possvel assegurar a privacidade dos e-mails? Se a informao que se deseja enviar por e-mail for confidencial, a soluo utilizar programas que permitam criptografar o e-mail atravs de chaves (senhas ou frases), de modo que ele possa ser lido apenas por quem possuir a chave certa para decodificar a mensagem. Maiores informaes sobre criptografia podem ser encontradas na Parte I: Conceitos de Segurana. Alguns softwares de criptografia podem estar embutidos nos programas leitores de e-mails, outros podem ser adquiridos separadamente e integrados aos programas leitores de e-mails. Devem ser usados, preferencialmente, programas de criptografia que trabalhem com pares de chaves, como o GnuPG, que pode ser obtido no site http://www.gnupg.org/. Estes programas, apesar de serem muito utilizados na criptografia de mensagens de e-mail, tambm podem ser utilizados na criptografia de qualquer tipo de informao, como por exemplo, um arquivo sigiloso a ser armazenado em uma cpia de segurana (vide Parte II: Riscos Envolvidos no Uso da Internet e Mtodos de Preveno). 1.3. A utilizao de programas de criptografia suficiente para assegurar a privacidade dos emails? Os programas de criptografia so utilizados, dentre outras finalidades, para decodificar mensagens criptografadas, recebidas por um usurio, no momento em que este desejar l-las. Ao utilizar um programa de criptografia para decodificar uma mensagem, possvel que o programa leitor de e-mails permita salvar a mensagem no formato decodificado, ou seja, em texto claro. No caso da utilizao de programas leitores de e-mails com esta caracterstica, a privacidade do contedo da mensagem garantida durante a transmisso da mensagem, mas no necessariamente no seu armazenamento. Portanto, extremamente importante o usurio estar atento para este fato, e tambm certificar-se sobre o modo como suas mensagens esto sendo armazenadas. Como uma mensagem pode ser decodificada sempre que o usurio desejar l-la, aconselhvel que ela seja armazenada de forma criptografada e no em texto claro.

2. Privacidade no Acesso e Disponibilizao de Pginas Web

Existem cuidados que devem ser tomados por um usurio ao acessar ou disponibilizar pginas na Internet. Muitas vezes o usurio pode expor informaes pessoais e permitir que seu browser receba ou envie dados sobre suas preferncias e sobre o seu computador. Isto pode afetar a privacidade de um usurio, a segurana de seu computador e at mesmo sua prpria segurana.

22 2.1. Que cuidados devo ter ao acessar pginas Web e ao receber cookies? Cookies so muito utilizados para rastrear e manter as preferncias de um usurio ao navegar pela Internet. Estas preferncias podem ser compartilhadas entre diversos sites na Internet, afetando assim a privacidade de um usurio. No incomum acessar pela primeira vez um site de msica, por exemplo, e observar que todas as ofertas de CDs para o seu gnero musical preferido j esto disponveis, sem que voc tenha feito qualquer tipo de escolha. Alm disso, ao acessar uma pgina na Internet, o seu browser disponibiliza uma srie de informaes, de modo que os cookies podem ser utilizados para manter referncias contendo informaes de seu computador, como o hardware, o sistema operacional, softwares instalados e, em alguns casos, at o seu endereo de e-mail. Estas informaes podem ser utilizadas por algum mal intencionado, por exemplo, para tentar explorar uma possvel vulnerabilidade em seu computador, como visto na Parte I: Conceitos de Segurana e Parte II: Riscos Envolvidos no Uso da Internet e Mtodos de Preveno. Portanto, aconselhvel que voc desabilite o recebimento de cookies, exceto para sites confiveis, onde sejam realmente necessrios. As verses recentes dos browsers normalmente permitem que o usurio desabilite o recebimento, confirme se quer ou no receber e at mesmo visualize o contedo dos cookies. Tambm existem softwares que permitem controlar o recebimento e envio de informaes entre um browser e os sites visitados. Dentre outras funes, estes podem permitir que cookies sejam recebidos apenas de sites especficos2. Uma outra forma de manter sua privacidade ao acessar pginas na Internet utilizar sites que permitem que voc fique annimo. Estes so conhecidos como anonymizers3 e intermediam o envio e recebimento de informaes entre o seu browser e o site que se deseja visitar. Desta forma, o seu browser no receber cookies e as informaes por ele fornecidas no sero repassadas para o site visitado. Neste caso, importante ressaltar que voc deve certificar-se que o anonymizer confivel. Alm disso, voc no deve utilizar este servio para realizar transaes via Web. 2.2. Que cuidados devo ter ao disponibilizar uma pgina na Internet, como por exemplo um blog? Um usurio, ao disponibilizar uma pgina na Internet, precisa ter alguns cuidados, visando proteger os dados contidos em sua pgina. Um tipo especfico de pgina Web que vem sendo muito utilizado por usurios de Internet o blog. Este servio usado para manter um registro freqente de informaes, e tem como principal vantagem permitir que o usurio publique seu contedo sem necessitar de conhecimento tcnico sobre a construo de pginas na Internet. Apesar de terem diversas finalidades, os blogs tm sido muito utilizados como dirios pessoais. Em seu blog, um usurio poderia disponibilizar informaes, tais como:

seus dados pessoais (e-mail, telefone, endereo, etc);

23

informaes sobre seus familiares e amigos (como rvores genealgicas, datas de aniversrio, telefones, etc); dados sobre o seu computador (dizendo, por exemplo, "...comprei um computador da marca X e instalei o sistema operacional Y..."); dados sobre os softwares que utiliza (dizendo, por exemplo, "...instalei o programa Z, que acabei de obter do site W..."); informaes sobre o seu cotidiano (como, por exemplo, hora que saiu e voltou para casa, data de uma viagem programada, horrio que foi ao caixa eletrnico, etc);

extremamente importante estar atento e avaliar com cuidado que informaes sero disponibilizadas em uma pgina Web. Estas informaes podem no s ser utilizadas por algum mal-intencionado, por exemplo, em um ataque de engenharia social (vide Parte I: Conceitos de Segurana), mas tambm para atentar contra a segurana de um computador, ou at mesmo contra a segurana fsica do prprio usurio.

3. Cuidados com seus Dados Pessoais

Procure no fornecer seus dados pessoais (como nome, e-mail, endereo e nmeros de documentos) para terceiros. Tambm nunca fornea informaes sensveis (como senhas e nmeros de carto de crdito), a menos que esteja sendo realizada uma transao (comercial ou financeira) e se tenha certeza da idoneidade da instituio que mantm o site. Estas informaes geralmente so armazenadas em servidores das instituies que mantm os sites. Com isso, corre-se o risco destas informaes serem repassadas sem sua autorizao para outras instituies ou de um atacante comprometer este servidor e obter acesso a todas as informaes. Fique atento aos ataques de engenharia social, vistos na Parte I: Conceitos de Segurana. Ao ter acesso a seus dados pessoais, um atacante poderia, por exemplo, utilizar seu e-mail em alguma lista de distribuio de spams (vide Parte VI: Spam) ou se fazer passar por voc na Internet (atravs do uso de uma de suas senhas). 3.1. Que cuidados devo ter em sites de redes de relacionamentos, como por exemplo o orkut? Os sites de redes de relacionamentos, como o orkut, tiveram uma ampla aceitao e insero de usurios da Internet, por proporcionarem o encontro de pessoas (amigos) e permitirem a criao e participao em comunidades com interesses em comum. Um site de redes de relacionamento normalmente permite que o usurio cadastre informaes pessoais (como nome, endereos residencial e comercial, telefones, endereos de e-mail, data de nascimento, etc), alm de outros dados que iro compor o seu perfil. Se o usurio no limitar o acesso aos seus dados para apenas aqueles de interesse, todas as suas informaes podero ser visualizadas por qualquer um que utilize este site. Alm disso, recomendvel que o usurio evite fornecer muita informao a seu respeito, pois nenhum site est isento do risco de ser invadido e de ter suas informaes furtadas por um invasor. A participao de um usurio em determinados tipos de comunidades tambm pode fornecer muita informao para terceiros. Por exemplo, a comunidade de donos de um determinado veculo, ou dos freqentadores do estabelecimento X, pode dizer qual a classe social de um usurio, que locais ele gosta de freqentar, etc. Desta forma, extremamente importante estar atento e avaliar com cuidado que informaes voc disponibilizar nos sites de redes de relacionamentos, principalmente aquelas que podero ser vistas

24 por todos, e em que comunidades voc participar. Estas informaes podem no s ser utilizadas por algum mal-intencionado, por exemplo, em um ataque de engenharia social (vide Parte I: Conceitos de Segurana), mas tambm para atentar contra a segurana fsica do prprio usurio.

4. Cuidados com os Dados Armazenados em um Disco Rgido

importante ter certos cuidados no armazenamento de dados em um computador. Caso voc mantenha informaes sensveis ou pessoais que voc no deseja que sejam vistas por terceiros (como nmeros de cartes de crdito, declarao de Imposto de Renda, senhas, etc), estas devem ser armazenadas em algum formato criptografado. Estes cuidados so extremamente importantes no caso de notebooks, pois so mais visados e, portanto, mais suscetveis a roubos, furtos, etc. Caso as informaes no estejam criptografadas, se voc necessitar levar o computador a alguma assistncia tcnica, por exemplo, seus dados podero ser lidos ou copiados por uma pessoa no autorizada. Para criptografar estes dados, como visto na seo 1.2, existem programas que, alm de serem utilizados para a criptografia de e-mails, tambm podem ser utilizados para criptografar arquivos. Um exemplo seria utilizar um programa que implemente criptografia de chaves pblica e privada4, como o GnuPG. O arquivo sensvel seria criptografado com a sua chave pblica e, ento, decodificado com a sua chave privada, sempre que fosse necessrio. importante ressaltar que a segurana deste mtodo de criptografia depende do sigilo da chave privada. A idia, ento, manter a chave privada em um CD ou outra mdia (como pen drive, disco rgido removvel ou externo) e que este no acompanhe o computador, caso seja necessrio envilo, por exemplo, para a assistncia tcnica. Tambm deve-se ter um cuidado especial ao trocar ou vender um computador. Apenas apagar ou formatar um disco rgido no suficiente para evitar que informaes antes armazenadas possam ser recuperadas. Portanto, importante sobrescrever todos os dados do disco rgido (vide seo 4.1). 4.1. Como posso sobrescrever todos os dados de um disco rgido? Para assegurar que informaes no possam ser recuperadas de um disco rgido preciso sobrescrev-las com outras informaes. Um exemplo seria gravar o caracter 0 (zero), ou algum caracter escolhido aleatoriamente, em todos os espaos de armazenamento do disco. importante ressaltar que preciso repetir algumas vezes a operao de sobrescrever os dados de um disco rgido, para minimizar a chance de recuperao de informaes anteriormente armazenadas. Existem softwares gratuitos e comerciais que permitem sobrescrever dados de um disco rgido e que podem ser executados em diversos sistemas operacionais, como o Windows (95/98, 2000, XP, etc), Unix (Linux, FreeBSD, etc), Mac OS, entre outros.

25

5. Cuidados com Telefones Celulares, PDAs e Outros Aparelhos com Bluetooth

Telefones celulares deixaram de ser meramente aparelhos utilizados para fazer ligaes telefnicas e passaram a incorporar diversas funcionalidades, tais como: calendrio, despertador, agenda telefnica e de compromissos, cmera fotogrfica, envio e recebimento de texto e imagens, etc. A tecnologia bluetooth tem sido introduzida em diversos tipos de telefones celulares para permitir a transmisso de dados entre eles (por exemplo, contatos da agenda telefnica, agenda de compromissos, texto, imagens, etc), bem como conectar um telefone a outros tipos de dispositivo (por exemplo, fones de ouvido, sistema viva-voz de automveis, etc). Outros exemplos de aparelhos que podem fornecer esta tecnologia so PDAs e notebooks. O fato que a incluso da tecnologia bluetooth em aparelhos como telefones celulares e PDAs, entre outros, trouxe alguns riscos que podem afetar a privacidade de seus usurios. 5.1. Que riscos esto associados ao uso de aparelhos com bluetooth? Muitas vezes, um aparelho que fornece a tecnologia bluetooth vem configurado de fbrica, ou posteriormente configurado, de modo que qualquer outro aparelho possa se conectar a ele, indiscriminadamente. Esta configurao normalmente permite que dados sejam obtidos do aparelho sem qualquer tipo de controle. O problema no reside no fato do aparelho disponibilizar a tecnologia, mas sim na m configurao das opes de bluetooth, que podem permitir que terceiros obtenham diversas informaes de um aparelho. Estas informaes podem incluir: agenda telefnica, agenda de compromissos, arquivos, imagens, entre outras. Pode-se citar como exemplos os casos de algumas celebridades que tiveram todos os contatos telefnicos armazenados em seus aparelhos furtados e disponibilizados na Internet. 5.2. Que cuidados devo ter para evitar a exposio de informaes de um aparelho com bluetooth? preciso tomar alguns cuidados para evitar a exposio de informaes de um aparelho que fornece a tecnologia bluetooth. Alguns dos principais cuidados so:

mantenha o bluetooth do seu aparelho desabilitado e somente habilite-o quando for necessrio. Caso isto no seja possvel, consulte o manual do seu aparelho e configure-o para que no seja identificado (ou "descoberto") por outros aparelhos (em muitos aparelhos esta opo aparece como "Oculto" ou "Invisvel"); fique atento s notcias, principalmente quelas sobre segurana, veiculadas no site do fabricante do seu aparelho; aplique todas as correes de segurana (patches) que forem disponibilizadas pelo fabricante do seu aparelho, para evitar que possua vulnerabilidades; caso voc tenha comprado uma aparelho usado, restaure as opes de fbrica (em muitos aparelhos esta opo aparece como "Restaurar Configurao de Fbrica" ou "Restaurar Configurao Original") e configure-o como no primeiro item, antes de inserir quaisquer dados.

26
_______________________ [1] Normalmente existe um consenso tico entre administradores de redes e provedores de nunca lerem a caixa postal de um usurio sem o seu consentimento. [2] Um exemplo deste tipo de software pode ser encontrado em http://internet.junkbuster.com/. [3] Exemplos desse tipo de site podem ser encontrados em http://anonymouse.org/ (servio gratuito) e http://www.anonymizer.com/ (servio pago). [4] Detalhes sobre criptografia de chaves pblica e privada esto disponveis na Parte I: Conceitos de Segurana [5] A definio deste termo pode ser encontrada no Glossrio.

1. Engenharia Social
Nos ataques de engenharia social, normalmente, o atacante se faz passar por outra pessoa e utiliza meios, como uma ligao telefnica ou e-mail, para persuadir o usurio a fornecer informaes ou realizar determinadas aes. Exemplos destas aes so: executar um programa, acessar uma pgina falsa de comrcio eletrnico ou Internet Banking atravs de um link em um e-mail ou em uma pgina, etc. O conceito de engenharia social, bem como alguns exemplos deste tipo de ataque, podem ser encontrados na Parte I: Conceitos de Segurana. Exemplos especficos destes ataques, envolvendo diversos tipos de fraude, so abordados nas sees 2.1 e 2.2. 1.1. Como me protejo deste tipo de abordagem? Em casos de engenharia social o bom senso essencial. Fique atento para qualquer abordagem, seja via telefone, seja atravs de um e-mail, onde uma pessoa (em muitos casos falando em nome de uma instituio) solicita informaes (principalmente confidenciais) a seu respeito. Procure no fornecer muita informao e no fornea, sob hiptese alguma, informaes sensveis, como senhas ou nmeros de cartes de crdito. Nestes casos e nos casos em que receber mensagens, procurando lhe induzir a executar programas ou clicar em um link contido em um e-mail ou pgina Web, extremamente importante que voc, antes de realizar qualquer ao, procure identificar e entrar em contato com a instituio envolvida, para certificar-se sobre o caso.

2. Fraudes via Internet

Normalmente, no uma tarefa simples atacar e fraudar dados em um servidor de uma instituio bancria ou comercial. Ento, atacantes tm concentrado seus esforos na explorao de fragilidades dos usurios, para realizar fraudes comerciais e bancrias atravs da Internet. Para obter vantagens, os fraudadores tm utilizado amplamente e-mails com discursos que, na maioria dos casos, envolvem engenharia social e que tentam persuadir o usurio a fornecer seus dados pessoais e financeiros. Em muitos casos, o usurio induzido a instalar algum cdigo malicioso ou acessar uma pgina fraudulenta, para que dados pessoais e sensveis, como senhas bancrias e nmeros de cartes de crdito, possam ser furtados. Desta forma, muito importante

27 que usurios de Internet tenham certos cuidados com os e-mails que recebem e ao utilizarem servios de comrcio eletrnico ou Internet Banking. A sees 2.1 e 2.2 ilustram algumas situaes envolvendo estes tipos de fraudes. A seo 2.3 descreve alguns cuidados a serem tomados pelos usurios de Internet, ao acessarem sites de comrcio eletrnico ou Internet Banking. As sees 2.4, 2.5 e 2.6 apresentam alguns procedimentos para verificar a legitimidade de um site. E a seo 2.7 recomenda o que o usurio deve fazer se perceber que seus dados financeiros podem estar sendo usados por terceiros. 2.1. O que scam e que situaes podem ser citadas sobre este tipo de fraude? O scam (ou "golpe") qualquer esquema ou ao enganosa e/ou fraudulenta que, normalmente, tem como finalidade obter vantagens financeiras. As subsees 2.1.1 e 2.1.2 apresentam duas situaes envolvendo este tipo de fraude, sendo que a primeira situao se d atravs de pginas disponibilizadas na Internet e a segunda atravs do recebimento de e-mails. Observe que existem variantes para as situaes apresentadas e outros tipos de scam. Alm disso, novas formas de scam podem surgir, portanto muito importante que voc se mantenha informado sobre os tipos de scam que vm sendo utilizados pelos fraudadores, atravs dos veculos de comunicao, como jornais, revistas e sites especializados. 2.1.1. Sites de leiles e de produtos com preos "muito atrativos" Voc acessa um site de leilo ou de venda de produtos, onde os produtos ofertados tm preos muito abaixo dos praticados pelo mercado. Risco: ao efetivar uma compra, na melhor das hipteses, voc receber um produto que no condiz com o que realmente foi solicitado. Na maioria dos casos, voc no receber nenhum produto, perder o dinheiro e poder ter seus dados pessoais e financeiros furtados, caso a transao tenha envolvido, por exemplo, o nmero do seu carto de crdito. Como identificar: faa uma pesquisa de mercado sobre preo do produto desejado e compare com os preos oferecidos. Ento, voc deve se perguntar por que esto oferecendo um produto com preo to abaixo do praticado pelo mercado. importante ressaltar que existem muitos sites confiveis de leiles e de vendas de produtos, mas nesta situao a inteno ilustrar casos de sites especificamente projetados para realizar atividades ilcitas. 2.1.2. O golpe da Nigria (Nigerian 4-1-9 Scam) Voc recebe um e-mail em nome de uma instituio governamental da Nigria (por exemplo, o Banco Central), onde solicitado que voc atue como intermedirio em uma transferncia internacional de fundos. O valor mencionado na mensagem normalmente corresponde a dezenas ou centenas de milhes de dlares. Como recompensa, voc ter direito de ficar com uma porcentagem (que normalmente alta) do valor mencionado na mensagem. Para completar a transao solicitado que voc pague antecipadamente uma quantia, normalmente bem elevada, para arcar com taxas de transferncia de fundos, custos com advogados, entre outros.

28 Este tipo de golpe tambm conhecido como Advance Fee Fraud, ou "a fraude de antecipao de pagamentos", e j foram registrados casos originados ou que mencionavam a frica do Sul, Angola, Etipia, Libria, Marrocos, Serra Leoa, Tanznia, Zaire, Zimbbue, Holanda, Iugoslvia, Austrlia, Japo, Malsia e Taiwan, entre outros. No nome dado a este tipo de fraude, Nigerian 4-1-9 Scam, o nmero "419" refere-se seo do cdigo penal da Nigria que violada por este golpe. equivalente ao artigo 171 do cdigo penal brasileiro, ou seja, estelionato. Risco: ao responder a este tipo de mensagem e efetivar o pagamento antecipado, voc no s perder o dinheiro investido, mas tambm nunca ver os milhares ou milhes de dlares prometidos como recompensa. Como identificar: normalmente, estas mensagens apresentam quantias astronmicas e abusam da utilizao de palavras capitalizadas (todas as letras maisculas) para chamar a ateno do usurio. Palavras como "URGENT" (urgente) e "CONFIDENTIAL" (confidencial) tambm so comumente usadas no assunto da mensagem para chamar a ateno do usurio. Voc deve se perguntar por que foi escolhido para receber estes "milhares ou milhes" de dlares, entre os inmeros usurios que utilizam a Internet. 2.2. O que phishing e que situaes podem ser citadas sobre este tipo de fraude? Phishing, tambm conhecido como phishing scam ou phishing/scam, foi um termo originalmente criado para descrever o tipo de fraude que se d atravs do envio de mensagem no solicitada, que se passa por comunicao de uma instituio conhecida, como um banco, empresa ou site popular, e que procura induzir o acesso a pginas fraudulentas (falsificadas), projetadas para furtar dados pessoais e financeiros de usurios. A palavra phishing (de "fishing") vem de uma analogia criada pelos fraudadores, onde "iscas" (emails) so usadas para "pescar" senhas e dados financeiros de usurios da Internet. Atualmente, este termo vm sendo utilizado tambm para se referir aos seguintes casos:

mensagem que procura induzir o usurio instalao de cdigos maliciosos, projetados para furtar dados pessoais e financeiros; mensagem que, no prprio contedo, apresenta formulrios para o preenchimento e envio de dados pessoais e financeiros de usurios.

A subsees a seguir apresentam cinco situaes envolvendo phishing, que vm sendo utilizadas por fraudadores na Internet. Observe que existem variantes para as situaes apresentadas. Alm disso, novas formas de phishing podem surgir, portanto muito importante que voc se mantenha informado sobre os tipos de phishing que vm sendo utilizados pelos fraudadores, atravs dos veculos de comunicao, como jornais, revistas e sites especializados. Tambm muito importante que voc, ao identificar um caso de fraude via Internet, notifique a instituio envolvida, para que ela possa tomar as providncias cabveis1. 2.2.1. Mensagens que contm links para programas maliciosos Voc recebe uma mensagem por e-mail ou via servio de troca instantnea de mensagens, onde o texto procura atrair sua ateno, seja por curiosidade, por caridade, pela possibilidade de obter

29 alguma vantagem (normalmente financeira), entre outras. O texto da mensagem tambm pode indicar que a no execuo dos procedimentos descritos acarretaro conseqncias mais srias, como, por exemplo, a incluso do seu nome no SPC/SERASA, o cancelamento de um cadastro, da sua conta bancria ou do seu carto de crdito, etc. A mensagem, ento, procura induz-lo a clicar em um link, para baixar e abrir/executar um arquivo. Alguns exemplos de temas e respectivas descries dos textos encontrados em mensagens deste tipo so apresentados na tabela 1.

Tabela 1: Exemplos de temas de mensagens de phishing. Tema Texto da mensagem UOL, Voxcards, Humor Tadela, O Carteiro, Emotioncard, Criana Esperana, Cartes virtuais AACD/Teleton. SERASA e SPC dbitos, restries ou pendncias financeiras. CPF/CNPJ pendente ou cancelado, Imposto de Renda (nova verso ou Servios de correo para o programa de declarao, consulta da restituio, dados governo eletrnico incorretos ou incompletos na declarao), eleies (ttulo eleitoral cancelado, simulao da urna eletrnica). pessoa supostamente conhecida, celebridades, relacionado a algum fato lbuns de fotos noticiado (em jornais, revistas, televiso), traio, nudez ou pornografia, servio de acompanhantes. Servio de pendncias de dbito, aviso de bloqueio de servios, detalhamento de fatura, telefonia crditos gratuitos para o celular. a melhor opo do mercado, nova verso, atualizao de vacinas, novas Antivrus funcionalidades, eliminao de vrus do seu computador. fatos amplamente noticiados (ataques terroristas, tsunami, terremotos, etc), Notcias/boatos boatos envolvendo pessoas conhecidas (morte, acidentes ou outras situaes chocantes). BigBrother, Casa dos Artistas, etc -- fotos ou vdeos envolvendo cenas de Reality shows nudez ou erticas, discadores. novas verses de softwares, correes para o sistema operacional Windows, Programas ou msicas, vdeos, jogos, acesso gratuito a canais de TV a cabo no computador, arquivos diversos cadastro ou atualizao de currculos, recorra das multas de trnsito. Pedidos oramento, cotao de preos, lista de produtos. Discadores para conexo Internet gratuita, para acessar imagens ou vdeos restritos. Sites de comrcio atualizao de cadastro, devoluo de produtos, cobrana de dbitos, eletrnico confirmao de compra. convites para participao em sites de relacionamento (como o orkut) e outros Convites servios gratuitos. Dinheiro fcil descubra como ganhar dinheiro na Internet. Promoes diversos. Prmios loterias, instituies financeiras. Propaganda produtos, cursos, treinamentos, concursos. FEBRABAN cartilha de segurana, avisos de fraude. IBGE censo.

30 Cabe ressaltar que a lista de temas na tabela 1 no exaustiva, nem tampouco se aplica a todos os casos. Existem outros temas e novos temas podem surgir. Risco: ao clicar no link, ser apresentada uma janela, solicitando que voc salve o arquivo. Depois de salvo, se voc abr-lo ou execut-lo, ser instalado um programa malicioso (malware) em seu computador, por exemplo, um cavalo de tria ou outro tipo de spyware, projetado para furtar seus dados pessoais e financeiros, como senhas bancrias ou nmeros de cartes de crdito2. Caso o seu programa leitor de e-mails esteja configurado para exibir mensagens em HTML, a janela solicitando que voc salve o arquivo poder aparecer automaticamente, sem que voc clique no link. Ainda existe a possibilidade do arquivo/programa malicioso ser baixado e executado no computador automaticamente, ou seja, sem a sua interveno, caso seu programa leitor de e-mails possua vulnerabilidades. Esse tipo de programa malicioso pode utilizar diversas formas para furtar dados de um usurio, dentre elas: capturar teclas digitadas no teclado; capturar a posio do cursor e a tela ou regies da tela, no momento em que o mouse clicado; sobrepor a janela do browser do usurio com uma janela falsa, onde os dados sero inseridos; ou espionar o teclado do usurio atravs da Webcam (caso o usurio a possua e ela esteja apontada para o teclado). Mais detalhes sobre algumas destas tcnicas podem ser vistos na seo de keyloggers, na Parte VIII: Cdigos Maliciosos (Malware). Depois de capturados, seus dados pessoais e financeiros sero enviados para os fraudadores. A partir da, os fraudadores podero realizar diversas operaes, incluindo a venda dos seus dados para terceiros, ou utilizao dos seus dados financeiros para efetuar pagamentos, transferir valores para outras contas, etc. Como identificar: seguem algumas dicas para identificar este tipo de mensagem fraudulenta:

leia atentamente a mensagem. Normalmente, ela conter diversos erros gramaticais e de ortografia; os fraudadores utilizam tcnicas para ofuscar o real link para o arquivo malicioso, apresentando o que parece ser um link relacionado instituio mencionada na mensagem. Ao passar o cursor do mouse sobre o link, ser possvel ver o real endereo do arquivo malicioso na barra de status do programa leitor de e-mails, ou browser, caso esteja atualizado e no possua vulnerabilidades. Normalmente, este link ser diferente do apresentado na mensagem; qualquer extenso pode ser utilizada nos nomes dos arquivos maliciosos, mas fique particularmente atento aos arquivos com extenses ".exe", ".zip" e ".scr", pois estas so as mais utilizadas. Outras extenses freqentemente utilizadas por fraudadores so ".com", ".rar" e ".dll"; fique atento s mensagens que solicitam a instalao/execuo de qualquer tipo de arquivo/programa; acesse a pgina da instituio que supostamente enviou a mensagem, seguindo os cuidados apresentados na seo 2.3, e procure por informaes relacionadas com a mensagem que voc recebeu. Em muitos casos, voc vai observar que no poltica da instituio enviar emails para usurios da Internet, de forma indiscriminada, principalmente contendo arquivos anexados.

Recomendaes:

31

no caso de mensagem recebida por e-mail, o remetente nunca deve ser utilizado como parmetro para atestar a veracidade de uma mensagem, pois pode ser facilmente forjado pelos fraudadores; se voc ainda tiver alguma dvida e acreditar que a mensagem pode ser verdadeira, entre em contato com a instituio para certificar-se sobre o caso, antes de enviar qualquer dado, principalmente informaes sensveis, como senhas e nmeros de cartes de crdito.

2.2.2. Pginas de comrcio eletrnico ou Internet Banking falsificadas Voc recebe uma mensagem por e-mail ou via servio de troca instantnea de mensagens, em nome de um site de comrcio eletrnico ou de uma instituio financeira, por exemplo, um banco. Textos comuns neste tipo de mensagem envolvem o recadastramento ou confirmao dos dados do usurio, a participao em uma nova promoo, etc. A mensagem, ento, tenta persuad-lo a clicar em um link contido no texto, em uma imagem, ou em uma pgina de terceiros. Risco: o link pode direcion-lo para uma pgina Web falsificada, semelhante ao site que voc realmente deseja acessar. Nesta pgina sero solicitados dados pessoais e financeiros, como o nmero, data de expirao e cdigo de segurana do seu carto de crdito, ou os nmeros da sua agncia e conta bancria, senha do carto do banco e senha de acesso ao Internet Banking. Ao preencher os campos disponveis na pgina falsificada e clicar no boto de confirmao (em muitos casos o boto apresentar o texto "Confirm", "OK", "Submit", etc), os dados sero enviados para os fraudadores. A partir da, os fraudadores podero realizar diversas operaes, incluindo a venda dos seus dados para terceiros, ou utilizao dos seus dados financeiros para efetuar pagamentos, transferir valores para outras contas, etc. Como identificar: seguem algumas dicas para identificar este tipo de mensagem fraudulenta:

os fraudadores utilizam tcnicas para ofuscar o real link para a pgina falsificada, apresentando o que parece ser um link relacionado instituio mencionada na mensagem. Ao passar o cursor do mouse sobre o link, ser possvel ver o real endereo da pgina falsificada na barra de status do programa leitor de e-mails, ou browser, caso esteja atualizado e no possua vulnerabilidades. Normalmente, este link ser diferente do apresentado na mensagem; acesse a pgina da instituio que supostamente enviou a mensagem, seguindo os cuidados apresentados na seo 2.3, e procure por informaes relacionadas com a mensagem que voc recebeu; sites de comrcio eletrnico ou Internet Banking confiveis sempre utilizam conexes seguras (vide seo 2.4) quando dados pessoais e financeiros de usurios so solicitados. Caso a pgina no utilize conexo segura, desconfie imediatamente. Caso a pgina falsificada utilize conexo segura, um novo certificado (que no corresponde ao site verdadeiro) ser apresentado e, possivelmente, o endereo mostrado no browser ser diferente do endereo correspondente ao site verdadeiro.

Recomendaes:

no caso de mensagem recebida por e-mail, o remetente nunca deve ser utilizado como parmetro para atestar a veracidade de uma mensagem, pois pode ser facilmente forjado pelos fraudadores;

32

se voc ainda tiver alguma dvida e acreditar que a mensagem pode ser verdadeira, entre em contato com a instituio para certificar-se sobre o caso, antes de enviar qualquer dado, principalmente informaes sensveis, como senhas e nmeros de cartes de crdito.

2.2.3. E-mails contendo formulrios para o fornecimento de informaes sensveis Voc recebe um e-mail em nome de um site de comrcio eletrnico ou de uma instituio bancria. O contedo da mensagem envolve o recadastramento ou confirmao de seus dados, a participao em uma nova promoo, etc. A mensagem apresenta um formulrio, com campos para a digitao de informaes envolvendo dados pessoais e financeiros, como o nmero, data de expirao e cdigo de segurana do seu carto de crdito, ou os nmeros da sua agncia e conta bancria, senha do carto do banco e senha de acesso ao Internet Banking. A mensagem, ento, solicita que voc preencha o formulrio e apresenta um boto para confirmar o envio das informaes preenchidas. Risco: ao preencher os dados e confirmar o envio, suas informaes pessoais e financeiras sero transmitidas para fraudadores, que, a partir da, podero realizar diversas operaes, incluindo a venda dos seus dados para terceiros, ou utilizao dos seus dados financeiros para efetuar pagamentos, transferir valores para outras contas, etc. Como identificar: o servio de e-mail convencional no fornece qualquer mecanismo de criptografia, ou seja, as informaes, ao serem submetidas, trafegaro em claro pela Internet. Qualquer instituio confivel no utilizaria este meio para o envio de informaes pessoais e sensveis de seus usurios. 2.2.4. Comprometimento do servio de resoluo de nomes Ao tentar acessar um site de comrcio eletrnico ou Internet Banking, mesmo digitando o endereo diretamente no seu browser, voc redirecionado para uma pgina falsificada, semelhante ao site verdadeiro. Duas possveis causas para este caso de phishing so:

o atacante comprometeu o servidor de nomes do seu provedor (DNS), de modo que todos os acessos a determinados sites passaram a ser redirecionados para pginas falsificadas; o atacante o induziu a instalar um malware, por exemplo, atravs de uma mensagem recebida por e-mail (como mostrado na seo 2.2.1), e este malware foi especificamente projetado para alterar o comportamento do servio de resoluo de nomes do seu computador, redirecionando os acessos a determinados sites para pginas falsificadas.

Apesar de no ter uma definio consolidada na data de publicao desta Cartilha, os veculos de comunicao tm utilizado o termo pharming para se referir a casos especficos de phishing, que envolvem algum tipo de redireo da vtima para sites fraudulentos, atravs de alteraes nos servios de resoluo de nomes. Risco: ao preencher os campos disponveis na pgina falsificada e confirmar o envio dos dados, suas informaes pessoais e financeiras sero transmitidas para fraudadores, que, a partir da, podero realizar diversas operaes, incluindo a venda dos seus dados para terceiros, ou utilizao dos seus dados financeiros para efetuar pagamentos, transferir valores para outras contas, etc.

33 Como identificar: neste caso, onde fraudadores alteram o comportamento do servio de resoluo de nomes, para redirecionar acessos para pginas falsificadas, no so vlidas dicas como digitar o endereo diretamente no seu browser, ou observar o endereo apresentado na barra de status do browser. Deste modo, a melhor forma de identificar este tipo de fraude estar atento para o fato de que sites de comrcio eletrnico ou Internet Banking confiveis sempre utilizam conexes seguras quando dados pessoais e financeiros de usurios so solicitados. Caso a pgina no utilize conexo segura, desconfie imediatamente. Caso a pgina falsificada utilize conexo segura, um novo certificado, que no corresponde ao site verdadeiro, ser apresentado (mais detalhes sobre verificao de certificados na seo 2.6). Recomendao: se voc ainda tiver alguma dvida e acreditar que a pgina pode ser verdadeira, mesmo no utilizando conexo segura, ou apresentando um certificado no compatvel, entre em contato com a instituio para certificar-se sobre o caso, antes de enviar qualquer dado, principalmente informaes sensveis, como senhas e nmeros de cartes de crdito. 2.2.5. Utilizao de computadores de terceiros Voc utiliza um computador de terceiros, por exemplo, em uma LAN house, cybercafe ou stand de um evento, para acessar um site de comrcio eletrnico ou Internet Banking. Risco: como estes computadores so utilizados por muitas pessoas, voc pode ter todas as suas aes monitoradas (incluindo a digitao de senhas ou nmero de cartes de crdito), atravs de programas especificamente projetados para este fim (como visto na seo 2.2.1) e que podem ter sido instalados previamente. Recomendao: no utilize computadores de terceiros em operaes que necessitem de seus dados pessoais e financeiros, incluindo qualquer uma de suas senhas. 2.3. Quais so os cuidados que devo ter ao acessar sites de comrcio eletrnico ou Internet Banking? Existem diversos cuidados que um usurio deve ter ao acessar sites de comrcio eletrnico ou Internet Banking. Dentre eles, podem-se citar:

realizar transaes somente em sites de instituies que voc considere confiveis; procurar sempre digitar em seu browser o endereo desejado. No utilize links em pginas de terceiros ou recebidos por e-mail; certificar-se de que o endereo apresentado em seu browser corresponde ao site que voc realmente quer acessar, antes de realizar qualquer ao; certificar-se que o site faz uso de conexo segura (ou seja, que os dados transmitidos entre seu browser e o site sero criptografados) e utiliza um tamanho de chave considerado seguro (vide seo 2.4); antes de aceitar um novo certificado, verificar junto instituio que mantm o site sobre sua emisso e quais so os dados nele contidos. Ento, verificar o certificado do site antes de iniciar qualquer transao, para assegurar-se que ele foi emitido para a instituio que se deseja acessar e est dentro do prazo de validade (vide seo 2.6); estar atento e prevenir-se dos ataques de engenharia social (como visto na seo 1.1); no acessar sites de comrcio eletrnico ou Internet Banking atravs de computadores de terceiros;

34

desligar sua Webcam (caso voc possua alguma), ao acessar um site de comrcio eletrnico ou Internet Banking.

Alm dos cuidados apresentados anteriormente muito importante que voc tenha alguns cuidados adicionais, tais como:

manter o seu browser sempre atualizado e com todas as correes (patches) aplicadas; alterar a configurao do seu browser para restringir a execuo de JavaScript e de programas Java ou ActiveX, exceto para casos especficos; configurar seu browser para bloquear pop-up windows e permit-las apenas para sites conhecidos e confiveis, onde forem realmente necessrias; configurar seu programa leitor de e-mails para no abrir arquivos ou executar programas automaticamente; no executar programas obtidos pela Internet, ou recebidos por e-mail.

Com estes cuidados adicionais voc pode evitar que seu browser contenha alguma vulnerabilidade, e que programas maliciosos (como os cavalos de tria e outros tipos de malware) sejam instalados em seu computador para, dentre outras finalidades, furtar dados sensveis e fraudar seus acessos a sites de comrcio eletrnico ou Internet Banking. Maiores detalhes sobre estes cuidados podem ser obtidos na Parte II: Riscos Envolvidos no Uso da Internet e Mtodos de Preveno e Parte VIII: Cdigos Maliciosos (Malware). 2.4. Como verificar se a conexo segura (criptografada)? Existem pelo menos dois itens que podem ser visualizados na janela do seu browser, e que significam que as informaes transmitidas entre o browser e o site visitado esto sendo criptografadas. O primeiro pode ser visualizado no local onde o endereo do site digitado. O endereo deve comear com https:// (diferente do http:// nas conexes normais), onde o s antes do sinal de dois-pontos indica que o endereo em questo de um site com conexo segura e, portanto, os dados sero criptografados antes de serem enviados. A figura 1 apresenta o primeiro item, indicando uma conexo segura, observado nos browsers Firefox e Internet Explorer, respectivamente. Alguns browsers podem incluir outros sinais na barra de digitao do endereo do site, que indicam que a conexo segura. No Firefox, por exemplo, o local onde o endereo do site digitado muda de cor, ficando amarelo, e apresenta um cadeado fechado do lado direito.

Figura 1: https - identificando site com conexo segura. O segundo item a ser visualizado corresponde a algum desenho ou sinal, indicando que a conexo segura. Normalmente, o desenho mais adotado nos browsers recentes de um "cadeado fechado", apresentado na barra de status, na parte inferior da janela do browser (se o cadeado estiver aberto, a conexo no segura).

35 A figura 2 apresenta desenhos dos cadeados fechados, indicando conexes seguras, observados nas barras de status nos browsers Firefox e Internet Explorer, respectivamente.

Figura 2: Cadeado -- identificando site com conexo segura. Ao clicar sobre o cadeado, ser exibida uma tela que permite verificar as informaes referentes ao certificado emitido para a instituio que mantm o site (veja seo 2.6), bem como informaes sobre o tamanho da chave utilizada para criptografar os dados. muito importante que voc verifique se a chave utilizada para criptografar as informaes a serem transmitidas entre seu browser e o site de no mnimo 128 bits. Chaves menores podem comprometer a segurana dos dados a serem transmitidos. Maiores detalhes sobre criptografia e tamanho de chaves podem ser obtidos na Parte I: Conceitos de Segurana. Outro fator muito importante que a verificao das informaes do certificado deve ser feita clicando nica e exclusivamente no cadeado exibido na barra status do browser. Atacantes podem tentar forjar certificados, incluindo o desenho de um cadeado fechado no contedo da pgina. A figura 3 ilustra esta situao no browser Firefox.

Figura 3: Cadeado forjado. Compare as barras de status do browser Firefox nas figuras 2 e 3. Observe que na figura 3 no apresentado um cadeado fechado dentro da barra de status, indicando que a conexo no segura. 2.5. Como posso saber se o site que estou acessando no foi falsificado? Existem alguns cuidados que um usurio deve ter para certificar-se que um site no foi falsificado. O primeiro cuidado checar se o endereo digitado permanece inalterado no momento em que o contedo do site apresentado no browser do usurio. Existem algumas situaes, como visto na seo 2.2, onde o acesso a um site pode ser redirecionado para uma pgina falsificada, mas normalmente nestes casos o endereo apresentado pelo browser diferente daquele que o usurio quer realmente acessar. E um outro cuidado muito importante verificar as informaes contidas no certificado emitido para a instituio que mantm o site. Estas informaes podem dizer se o certificado ou no legtimo e, conseqentemente, se o site ou no falsificado (vide seo 2.6). 2.6. Como posso saber se o certificado emitido para o site legtimo?

36 extremamente importante que o usurio verifique algumas informaes contidas no certificado. Um exemplo de um certificado, emitido para um site de uma instituio mostrado abaixo.
This Certificate belongs to: This Certificate was issued by: www.example.org www.examplesign.com/CPS Incorp.by Ref. Terms of use at LIABILITY LTD.(c)97 ExampleSign www.examplesign.com/dir (c)00 ExampleSign International Server CA UF Tecno Class 3 Example Associados, Inc. ExampleSign, Inc. Cidade, Estado, BR Serial Number: 70:DE:ED:0A:05:20:9C:3D:A0:A2:51:AA:CA:81:95:1A This Certificate is valid from Sat Aug 20, 2005 to Sun Aug 20, 2006 Certificate Fingerprint: 92:48:09:A1:70:7A:AF:E1:30:55:EC:15:A3:0C:09:F0

O usurio deve, ento, verificar se o certificado foi emitido para o site da instituio que ele deseja acessar. As seguintes informaes devem ser checadas:

o endereo do site; o nome da instituio (dona do certificado); o prazo de validade do certificado.

Ao entrar pela primeira vez em um site que usa conexo segura, seu browser apresentar uma janela pedindo para confirmar o recebimento de um novo certificado. Ento, verifique se os dados do certificado correspondem instituio que voc realmente deseja acessar e se seu browser reconheceu a Autoridade Certificadora que emitiu o certificado3. Se ao entrar em um site com conexo segura, que voc utilize com freqncia, seu browser apresentar uma janela pedindo para confirmar o recebimento de um novo certificado, fique atento. Uma situao possvel seria que a validade do certificado do site tenha vencido, ou o certificado tenha sido revogado por outros motivos, e um novo certificado foi emitido para o site. Mas isto tambm pode significar que voc est recebendo um certificado ilegtimo e, portanto, estar acessando um site falsificado. Uma dica para reconhecer esta situao que as informaes contidas no certificado normalmente no correspondero s da instituio que voc realmente deseja acessar. Alm disso, seu browser possivelmente informar que a Autoridade Certificadora que emitiu o certificado para o site no pde ser reconhecida. De qualquer modo, caso voc receba um novo certificado ao acessar um site e tenha alguma dvida ou desconfiana, no envie qualquer informao para o site antes de entrar em contato com a instituio que o mantm, para esclarecer o ocorrido. 2.7. O que devo fazer se perceber que meus dados financeiros esto sendo usados por terceiros? Caso voc acredite que terceiros possam estar usando suas informaes pessoais e financeiras, como o nmero do seu carto de crdito ou seus dados bancrios (senha de acesso ao Internet Banking e senha do carto de banco), entre em contato com a instituio envolvida (por exemplo, seu banco ou operadora do seu carto de crdito), informe-os sobre o caso e siga as orientaes que sero passadas por eles.

37 Monitore regularmente suas movimentaes financeiras, por exemplo, atravs de extratos bancrios e/ou de cartes de crdito, e procure por dbitos, transferncias ou cobranas inesperadas. recomendado que voc procure uma delegacia de polcia, para registrar um boletim de ocorrncia, caso tenha sido vtima de uma fraude via Internet.

3. Boatos
Boatos (hoaxes) so e-mails que possuem contedos alarmantes ou falsos e que, geralmente, tm como remetente ou apontam como autora da mensagem alguma instituio, empresa importante ou rgo governamental. Atravs de uma leitura minuciosa deste tipo de e-mail, normalmente, possvel identificar em seu contedo mensagens absurdas e muitas vezes sem sentido. Dentre os diversos boatos tpicos, que chegam s caixas postais de usurios conectados Internet, podem-se citar as correntes, pirmides, mensagens sobre pessoas que esto prestes a morrer de cncer, entre outras. Histrias deste tipo so criadas no s para espalhar desinformao pela Internet, mas tambm para outros fins maliciosos. 3.1. Quais so os problemas de segurana relacionados aos boatos? Normalmente, o objetivo do criador de um boato verificar o quanto ele se propaga pela Internet e por quanto tempo permanece se propagando. De modo geral, os boatos no so responsveis por grandes problemas de segurana, a no ser ocupar espao nas caixa de e-mails de usurios. Mas podem existir casos com conseqncias mais srias como, por exemplo, um boato que procura induzir usurios de Internet a fornecer informaes importantes (como nmeros de documentos, de contas-corrente em banco ou de cartes de crdito), ou um boato que indica uma srie de aes a serem realizadas pelos usurios e que, se forem realmente efetivadas, podem resultar em danos mais srios (como instrues para apagar um arquivo que supostamente contm um vrus, mas que na verdade parte importante do sistema operacional instalado no computador). Alm disso, e-mails de boatos podem conter vrus, cavalos de tria ou outros tipos de malware anexados. Maiores detalhes podem ser encontrados na Parte VIII: Cdigos Maliciosos (Malware). importante ressaltar que um boato tambm pode comprometer a credibilidade e a reputao tanto da pessoa ou entidade referenciada como suposta criadora do boato, quanto daqueles que o repassam. 3.2. Como evitar a distribuio dos boatos? Normalmente, os boatos se propagam pela boa vontade e solidariedade de quem os recebe. Isto ocorre, muitas vezes, porque aqueles que o recebem:

confiam no remetente da mensagem; no verificam a procedncia da mensagem; no checam a veracidade do contedo da mensagem.

Para que voc possa evitar a distribuio de boatos muito importante checar a procedncia dos emails, e mesmo que tenham como remetente algum conhecido, preciso certificar-se que a mensagem no um boato (veja seo 3.3).

38 importante ressaltar que voc nunca deve repassar este tipo de mensagem, pois estar endossando ou concordando com o seu contedo. 3.3. Como posso saber se um e-mail um boato? Um boato normalmente apresenta pelo menos uma das caractersticas listadas abaixo. Observe que estas caractersticas devem ser usadas apenas como guia. Nem todo boato apresenta uma destas caractersticas e mensagens legtimas podem apresentar algumas delas. Muitas vezes, um boato:

sugere conseqncias trgicas se uma determinada tarefa no for realizada; promete ganhos financeiros ou prmios mediante a realizao de alguma ao; fornece instrues ou arquivos anexados para, supostamente, proteger seu computador de um vrus no detectado por programas antivrus; afirma no ser um boato; apresenta diversos erros gramaticais e de ortografia; apresenta uma mensagem contraditria; contm algum texto enfatizando que voc deve repassar a mensagem para o maior nmero de pessoas possvel; j foi repassado diversas vezes (no corpo da mensagem normalmente possvel observar cabealhos de e-mails repassados por outras pessoas).

Existem sites especializados na Internet onde podem ser encontradas listas contendo os boatos que esto circulando e seus respectivos contedos. Alguns destes sites so:

Hoaxbusters -- http://hoaxbusters.ciac.org/ QuatroCantos -- http://www.quatrocantos.com/LENDAS/ (em portugus) Urban Legends and Folklore -- http://urbanlegends.about.com/ Urban Legends Reference Pages -- http://www.snopes.com/ TruthOrFiction.com -- http://www.truthorfiction.com/ Symantec Security Response Hoaxes -- http://www.symantec.com/avcenter/hoax.html McAfee Security Virus Hoaxes -- http://vil.mcafee.com/hoax.asp

Alm disso, os cadernos de informtica dos jornais de grande circulao, normalmente, trazem matrias ou avisos sobre os boatos mais recentes.
_________________________ [1] Veja detalhes sobre como realizar a notificao na Parte VII: Incidentes de Segurana e Uso Abusivo da Rede. [2] O conceito de malware pode ser encontrado na Parte I: Conceitos de Segurana. Os conceitos de cavalo de tria e spyware esto disponveis na Parte VIII: Cdigos Maliciosos (Malware). [3] Os conceitos de Autoridade Certificadora e certificados digitais, bem como as principais informaes encontradas em um certificado podem ser encontradas na Parte I: Conceitos de Segurana.

39

1. Servios de Banda Larga

Servios de banda larga so aqueles que permitem ao usurio conectar seus computadores Internet com velocidades maiores do que as normalmente usadas em linhas discadas. Exemplos desse tipo de servio so ADSL, cable modem e acesso via satlite. Alm da maior velocidade, outra caracterstica desse tipo de servio a possibilidade do usurio deixar seu computador conectado Internet por longos perodos de tempo, normalmente sem limite de uso ou custos adicionais. 1.1. Por que um atacante teria maior interesse por um computador com banda larga e quais so os riscos associados? Geralmente um computador conectado atravs de banda larga possui boa velocidade de conexo, muda o endereo IP1 com pouca freqncia e fica por longos perodos ligado Internet, mas no possui os mesmos mecanismos de segurana que servidores. Isto os torna alvos mais fceis para os atacantes. Por estas caractersticas, estes computadores podem ser usados pelos atacantes para diversos propsitos, como por exemplo:

realizar ataques de negao de servio, aproveitando-se da maior velocidade disponvel. Diversas mquinas comprometidas podem tambm ser combinadas de modo a criar um ataque de negao de servio distribudo. Maiores informaes sobre ataque de negao de servio podem ser encontradas na Parte I: Conceitos de Segurana; usar a mquina comprometida como ponto de partida para atacar outras redes, dificultando o rastreio da real origem do ataque; furtar informaes, tais como nmeros de cartes de crdito, senhas, etc; usar recursos do computador. Por exemplo, o invasor pode usar o espao disponvel em seu disco rgido para armazenar programas copiados ilegalmente, msica, imagens, etc. O invasor tambm pode usar a CPU disponvel para, por exemplo, quebrar senhas de sistemas comprometidos; enviar spam ou navegar na Internet de maneira annima, a partir de certos programas que podem estar instalados no seu computador, tais como AnalogX e WinGate, e que podem estar mal configurados.

Vale ressaltar que todas essas atividades podem ser realizadas de maneira automatizada, caso o computador seja infectado por um bot. Maiores detalhes sobre bots podem ser encontrados na Parte VIII: Cdigos Maliciosos (Malware). 1.2. O que fazer para proteger um computador conectado por banda larga? Os usurios de servios de banda larga devem tomar os seguintes cuidados com o seu computador:

instalar um firewall pessoal e ficar atento aos registros de eventos (logs) gerados por este programa. Maiores detalhes sobre registros de eventos podem ser encontrados na Parte VII: Incidentes de Segurana e Uso Abusivo da Rede;

40

instalar e manter atualizado um bom programa antivrus; atualizar as assinaturas do antivrus diariamente; manter os seus softwares (sistema operacional, programas que utiliza, etc) sempre atualizados e com as ltimas correes de segurana aplicadas (patches); desligar o compartilhamento de disco, impressora, etc; mudar a senha padro do seu equipamento de banda larga2 (modem ADSL, por exemplo) pois as senhas destes equipamentos podem ser facilmente encontradas na Internet com uma simples busca. Esse fato de conhecimento dos atacantes e bastante abusado. A escolha de uma boa senha discutida na Parte I: Conceitos de Segurana.

A Parte II: Riscos Envolvidos no Uso da Internet e Mtodos de Preveno mostra maiores detalhes sobre os cuidados citados acima. 1.3. O que fazer para proteger uma rede conectada por banda larga? Muitos usurios de banda larga optam por montar uma pequena rede (domstica ou mesmo em pequenas empresas), com vrios computadores usando o mesmo acesso a Internet. Nesses casos, alguns cuidados importantes, alm dos citados anteriormente, so:

instalar um firewall separando a rede interna da Internet; caso seja instalado algum tipo de proxy (como AnalogX, WinGate, WinProxy, etc), configur-lo para que apenas aceite requisies partindo da rede interna; caso seja necessrio compartilhar recursos como disco ou impressora entre mquinas da rede interna, devem-se tomar os devidos cuidados para que o firewall no permita que este compartilhamento seja visvel pela Internet.

muito importante notar que apenas instalar um firewall no suficiente -- todos os computadores da rede devem estar configurados de acordo com as medidas preventivas mencionadas na Parte II: Riscos Envolvidos no Uso da Internet e Mtodos de Preveno. Muitos equipamentos de banda larga, como roteadores ADSL, esto incluindo outras funcionalidades, como por exemplo concentradores de acesso (Access Points) para redes wireless. Nesse caso, alm de seguir as dicas dessa seo tambm pode ser interessante observar as dicas da seo 2.3.

2. Redes Sem Fio (Wireless)

As redes sem fio (wireless), tambm conhecidas como IEEE 802.11, Wi-Fi ou WLANs, so redes que utilizam sinais de rdio para a sua comunicao. Este tipo de rede define duas formas de comunicao: modo infraestrutura: normalmente o mais encontrado, utiliza um concentrador de acesso (Access Point ou AP); modo ponto a ponto (ad-hoc): permite que um pequeno grupo de mquinas se comunique diretamente, sem a necessidade de um AP. Estas redes ganharam grande popularidade pela mobilidade que provem aos seus usurios e pela facilidade de instalao e uso em ambientes domsticos e empresariais, hotis, conferncias, aeroportos, etc.

41 2.1. Quais so os riscos do uso de redes sem fio? Embora esse tipo de rede seja muito conveniente, existem alguns problemas de segurana que devem ser levados em considerao pelos seus usurios:

estas redes utilizam sinais de rdio para a comunicao e qualquer pessoa com um mnimo de equipamento3 poder interceptar os dados transmitidos por um cliente da rede sem fio (como notebooks, PDAs, estaes de trabalho, etc); por serem bastante simples de instalar, muitas pessoas esto utilizando redes desse tipo em casa, sem nenhum cuidado adicional, e at mesmo em empresas, sem o conhecimento dos administradores de rede.

2.2. Que cuidados devo ter com um cliente de uma rede sem fio? Vrios cuidados devem ser observados quando se pretende conectar uma rede sem fio como cliente, seja com notebooks, PDAs, estaes de trabalho, etc. Dentre eles, podem-se citar:

considerar que, ao conectar a uma WLAN, voc estar conectando-se a uma rede pblica e, portanto, seu computador estar exposto a ameaas. muito importante que voc tome os seguintes cuidados com o seu computador: instalar um firewall pessoal; instalar e manter atualizado um bom programa antivrus; atualizar as assinaturas do antivrus diariamente; aplicar as ltimas correes em seus softwares (sistema operacional, programas que utiliza, etc); o desligar compartilhamento de disco, impressora, etc.
o o o o

desabilitar o modo ad-hoc. Utilize esse modo apenas se for absolutamente necessrio e desligue-o assim que no precisar mais; sempre que possvel usar WEP (Wired Equivalent Privacy), que permite criptografar o trfego entre o cliente e o AP. Fale com o seu administrador de rede para verificar se o WEP est habilitado e se a chave diferente daquelas que acompanham a configurao padro do equipamento. O protocolo WEP possui diversas fragilidades e deve ser encarado como uma camada adicional para evitar a escuta no autorizada; verificar com seu provedor de rede sem fio sobre a possibilidade de usar WPA (Wi-Fi Protected Access) em substituio ao WEP, uma vez que este padro pode aumentar significativamente a segurana da rede. Esta tecnologia inclui duas melhorias em relao ao protocolo WEP que envolvem melhor criptografia para transmisso de dados e autenticao de usurio. Mesmo que seu equipamento seja mais antigo, possvel que exista uma atualizao para permitir o uso de WPA; considerar o uso de criptografia nas aplicaes, como por exemplo, o uso de PGP para o envio de e-mails, SSH para conexes remotas ou ainda o uso de VPNs; evitar o acesso a servios que no utilizem conexo segura, ao usar uma rede sem fio em local pblico. Por exemplo, se for necessrio ler e-mails ou acessar a Intranet da sua empresa, d preferncia a servios que usem criptografia; habilitar a rede sem fio somente quando for us-la e desabilit-la aps o uso. Algumas estaes de trabalho e notebooks permitem habilitar e desabilitar o uso de redes sem fio atravs de comandos ou botes especficos. No caso de notebooks com cartes PCMCIA, insira o carto apenas quando for usar a rede e retire-o ao terminar de usar.

2.3. Que cuidados devo ter ao montar uma rede sem fio domstica?

42 Pela convenincia e facilidade de configurao das redes sem fio, muitas pessoas tm instalado estas redes em suas casas. Nestes casos, alm das preocupaes com os clientes da rede, tambm so necessrios alguns cuidados na configurao do AP. Algumas recomendaes so:

ter em mente que, dependendo da potncia da antena de seu AP, sua rede domstica pode abranger uma rea muito maior que apenas a da sua casa. Com isto sua rede pode ser utilizada sem o seu conhecimento ou ter seu trfego capturado por vizinhos ou pessoas que estejam nas proximidades da sua casa; mudar configuraes padro que acompanham o seu AP. Alguns exemplos so: alterar as senhas. Dicas para a escolha de uma boa senha podem ser obtidas na Parte I: Conceitos de Segurana; o alterar o SSID (Server Set ID); o desabilitar o broadcast de SSID; o permitir que um computador se conecte ao AP para alterar as configuraes apenas atravs da rede cabeada, se esta opo estiver disponvel. Desta maneira um possvel atacante externo (via rede sem fio) no poder acessar o AP diretamente para promover mudanas na configurao.Verifique a documentao do seu AP sobre como efetuar estas mudanas, caso estejam disponveis;
o

verificar se seus equipamentos j suportam WPA (Wi-Fi Protected Access) e utiliz-lo sempre que possvel. Esta tecnologia mais recente e inclui melhorias em relao ao protocolo WEP para prover uma segurana adicional contra acesso e escuta de trfego no autorizada. Lembre-se que atualizaes para WPA esto disponveis para a maior parte dos equipamentos mais antigos; caso o WPA no esteja disponvel, usar sempre que possvel WEP (Wired Equivalent Privacy), para criptografar o trfego entre os clientes e o AP. Vale lembrar que o protocolo WEP possui diversas fragilidades e deve ser encarado como uma camada adicional para evitar a escuta no autorizada; se for utilizar WEP, trocar as chaves que acompanham a configurao padro do equipamento. Procure usar o maior tamanho de chave possvel (128 bits); desligar seu AP quando no estiver usando sua rede.

Existem configuraes de segurana mais avanadas para redes sem fio, que requerem conhecimentos de administrao de redes. Estes conhecimentos no so abordados neste documento.
____________________ [1] O conceito de endereo IP pode ser encontrado no Glossrio. [2] Verifique no contrato se permitida a alterao da configurao do equipamento. Caso seja permitida, guarde a senha original e lembre de restaur-la sempre que for necessrio, como por exemplo em caso de manuteno do equipamento. [3] Um PDA ou notebook com uma placa de rede sem fio.

43

1. Spam
Spam o termo usado para se referir aos e-mails no solicitados, que geralmente so enviados para um grande nmero de pessoas. Quando o contedo exclusivamente comercial, este tipo de mensagem tambm referenciada como UCE (do ingls Unsolicited Commercial E-mail). 1.1. Quais so os problemas que o spam pode causar para um usurio da Internet? Os usurios do servio de correio eletrnico podem ser afetados de diversas formas. Alguns exemplos so: No recebimento de e-mails. Boa parte dos provedores de Internet limita o tamanho da caixa postal do usurio no seu servidor. Caso o nmero de spams recebidos seja muito grande o usurio corre o risco de ter sua caixa postal lotada com mensagens no solicitadas. Se isto ocorrer, o usurio no conseguir mais receber e-mails e, at que possa liberar espao em sua caixa postal, todas as mensagens recebidas sero devolvidas ao remetente. O usurio tambm pode deixar de receber e-mails em casos onde estejam sendo utilizadas regras anti-spam ineficientes, por exemplo, classificando como spam mensagens legtimas. Gasto desnecessrio de tempo. Para cada spam recebido, o usurio necessita gastar um determinado tempo para ler, identificar o e-mail como spam e remov-lo da caixa postal. Aumento de custos. Independentemente do tipo de acesso a Internet utilizado, quem paga a conta pelo envio do spam quem o recebe. Por exemplo, para um usurio que utiliza acesso discado a Internet, cada spam representa alguns segundos a mais de ligao que ele estar pagando. Perda de produtividade. Para quem utiliza o e-mail como uma ferramenta de trabalho, o recebimento de spams aumenta o tempo dedicado tarefa de leitura de e-mails, alm de existir a chance de mensagens importantes no serem lidas, serem lidas com atraso ou apagadas por engano. Contedo imprprio ou ofensivo. Como a maior parte dos spams so enviados para conjuntos aleatrios de endereos de e-mail, bem provvel que o usurio receba mensagens com contedo que julgue imprprio ou ofensivo. Prejuzos financeiros causados por fraude. O spam tem sido amplamente utilizado como veculo para disseminar esquemas fraudulentos, que tentam induzir o usurio a acessar pginas clonadas de instituies financeiras ou a instalar programas maliciosos projetados para furtar dados pessoais e financeiros. Este tipo de spam conhecido como phishing/scam (maiores detalhes na Parte IV: Fraudes na Internet). O usurio pode sofrer grandes prejuzos financeiros, caso fornea as informaes ou execute as instrues solicitadas neste tipo de mensagem fraudulenta. 1.2. Quais so os problemas que o spam pode causar para os provedores de acesso, backbones e empresas? Para as empresas e provedores os problemas so inmeros e, muitas vezes, o custo adicional causado pelo spam transferido para a conta a ser paga pelos usurios.

44 Alguns dos problemas sentidos pelos provedores e empresas so: Impacto na banda. Para as empresas e provedores o volume de trfego gerado por causa de spams os obriga a aumentar a capacidade de seus links de conexo com a Internet. Como o custo dos links alto, isto diminui os lucros do provedor e muitas vezes pode refletir no aumento dos custos para o usurio. M utilizao dos servidores. Os servidores de e-mail dedicam boa parte do seu tempo de processamento para tratar das mensagens no solicitadas. Alm disso, o espao em disco ocupado por mensagens no solicitadas enviadas para um grande nmero de usurios considervel. Incluso em listas de bloqueio. O provedor que tenha usurios envolvidos em casos de spam pode ter sua rede includa em listas de bloqueio. Esta incluso pode prejudicar o recebimento de e-mails por parte de seus usurios e ocasionar a perda de clientes. Investimento em pessoal e equipamentos. Para lidar com todos os problemas gerados pelo spam, os provedores necessitam contratar mais tcnicos especializados, comprar equipamentos e acrescentar sistemas de filtragem de spam. Como conseqncia os custos do provedor aumentam. 1.3. Como os spammers conseguem endereos de e-mail? Os spammers utilizam diversas formas para obter endereos de e-mail, desde a compra de bancos de dados com e-mails variados, at a produo de suas prprias listas de e-mails obtidos via programas maliciosos, harvesting e ataques de dicionrio. A obteno atravs de programas maliciosos possvel devido grande ligao entre os spammers e aqueles que desenvolvem estes programas. Um programa malicioso, muitas vezes, projetado tambm para varrer o computador onde foi instalado em busca de endereos de e-mail, por exemplo, na lista de endereos (address book) do usurio. Os endereos de e-mail coletados so, ento, repassados para os spammers. J o harvesting uma tcnica utilizada por spammers que consiste em varrer pginas Web, arquivos de listas de discusso, entre outros, em busca de endereos de e-mail. Muitas vezes, os endereos de e-mail aparecem de forma ofuscada. Exemplos so as pginas Web ou listas de discusso que apresentam os endereos de e-mail com o "@" substitudo por "(at)" e os pontos substitudos pela palavra "dot". Vale lembrar, entretanto, que os programas que implementam as tcnicas de harvesting utilizadas pelos spammers podem prever estas substituies. Nos ataques de dicionrio, por sua vez, o spammer forma endereos de e-mail a partir de listas de nomes de pessoas, de palavras presentes em dicionrios e/ou da combinao de caracteres alfanumricos. 1.4. Como os spammers confirmam que um endereo de e-mail existe? Os spammers utilizam vrios artifcios para confirmar a existncia de endereos de e-mail. Um destes artifcios consiste em enviar mensagens para os endereos formados em ataques de dicionrios e, com base nas respostas enviadas pelo servidores de e-mail que receberam as mensagens, identificar quais endereos so vlidos e quais no so.

45 Outro artifcio largamente utilizado a incluso no spam de um suposto mecanismo para a remoo da lista de e-mails, que pode ser um link ou endereo de e-mail. Ao receberem uma solicitao de remoo, os spammers confirmam que o endereo de e-mail vlido e realmente algum o utiliza. Uma outra forma para verificar endereos o Web bug. Web bug uma imagem, normalmente muito pequena e invisvel, que faz parte de uma pgina Web ou de uma mensagem de e-mail, e que projetada para monitorar quem est acessando esta pgina Web ou mensagem de e-mail. Quando o Web bug visualizado, diversas informaes so armazenadas no servidor onde est hospedado, tais como: o endereo IP do computador que o acessou, a URL completa da imagem que corresponde ao Web bug, o horrio em que foi visualizado, etc. Por exemplo, um spammer poderia utilizar Web bugs para a validao de endereos de e-mail da seguinte forma:

criando a imagem do Web bug com o nome do endereo de e-mail que quer validar; Exemplo: fulano.png hospedando o Web bug em um servidor onde tenha acesso a informaes que sero geradas quando o Web bug for visualizado; criando uma mensagem de e-mail no formato HTML, que tenha em seu contedo a URL completa da imagem correspondente ao Web bug; Exemplo: http://www.dominio-do-spammer.example.org/fulano.png enviando a mensagem criada para o endereo de e-mail a ser validado. Exemplo: fulano@dominio-do-fulano.example.org

Quando o usurio "fulano" abre a mensagem enviada pelo spammer em seu programa leitor de emails, o Web bug acessado e o spammer tem a confirmao de que o endereo de e-mail do "fulano" vlido. Para impedir que este artifcio tenha sucesso e evitar que um endereo de e-mail seja validado por um spammer, possvel desabilitar no programa leitor de e-mails o modo de visualizao no formato HTML. 1.5. Como fazer para filtrar os e-mails de modo a barrar o recebimento de spams? Existem basicamente dois tipos de software que podem ser utilizados para barrar spams: aqueles que so colocados nos servidores, e que filtram os e-mails antes que cheguem at o usurio, e aqueles que so instalados nos computadores dos usurios, que filtram os e-mails com base em regras individuais de cada usurio. Podem ser encontradas referncias para diversas ferramentas de filtragem de e-mails nas pginas abaixo:

Spam e-mail blocking and filtering -- http://spam.abuse.net/userhelp/#filter Anti Spam Yellow Pages -- http://www.antispamyellowpages.com/

Tambm interessante consultar seu provedor de acesso, ou o administrador de sua rede, para verificar se existe algum recurso anti-spam disponvel e como utiliz-lo. 1.6. Para quem devo reclamar quando receber um spam?

46 Deve-se reclamar de spams para os responsveis pela rede de onde partiu a mensagem. Se esta rede possuir uma poltica de uso aceitvel, a pessoa que enviou o spam pode receber as penalidades que nela esto previstas. Muitas vezes, porm, difcil conhecer a real origem do spam. Os spammers costumam enviar suas mensagens atravs de mquinas mal configuradas, que permitem que terceiros as utilizem para enviar os e-mails. Se isto ocorrer, a reclamao para a rede de origem do spam servir para alertar os seus responsveis dos problemas com suas mquinas. Alm de enviar a reclamao para os responsveis pela rede de onde saiu a mensagem, procure manter o e-mail mail-abuse@cert.br na cpia de reclamaes de spam. Deste modo, o CERT.br pode manter dados estatsticos sobre a incidncia e origem de spams no Brasil e, tambm, identificar mquinas mal configuradas que estejam sendo abusadas por spammers. Vale comentar que recomenda-se no responder a um spam ou enviar uma mensagem solicitando a remoo da lista de e-mails. Geralmente, este um dos mtodos que os spammers utilizam para confirmar que um endereo de e-mail vlido e realmente algum o utiliza. Informaes sobre como encontrar os responsveis por uma rede so apresentadas na Parte VII: Incidentes de Segurana e Uso Abusivo da Rede. 1.7. Que informaes devo incluir numa reclamao de spam? Para que os responsveis por uma rede possam identificar a origem de um spam necessrio que seja enviada a mensagem recebida acompanhada do seu cabealho completo (header). no cabealho de uma mensagem que esto as informaes sobre o endereo IP de origem da mensagem, por quais servidores de e-mail a mensagem passou, entre outras. Informaes sobre como obter os cabealhos de mensagens podem ser encontradas em http://www.antispam.org.br/header.html. Informaes sobre como entender os diversos campos normalmente encontrados nos cabealhos de e-mails esto disponveis nas pginas abaixo (em ingls):

Reading Email Headers -- http://www.stopspam.org/email/headers.html Tracking Spam -- http://www.claws-and-paws.com/spam-l/tracking.html

1.8. O que devo fazer ao identificar em um spam um caso de phishing/scam? Ao identificar um spam como sendo um caso de phishing/scam, voc deve enviar uma reclamao para os responsveis pela rede de onde partiu a mensagem e para os responsveis pelo site onde o esquema fraudulento est sendo hospedado1. A reclamao deve conter no s o cabealho (como visto na seo 1.7), mas tambm o contedo completo da mensagem recebida. Dicas sobre como obter o contedo completo de mensagens em diversos programas leitores de emails esto disponveis em http://www.spamcop.net/fom-serve/cache/19.html (em ingls). Alm de enviar a reclamao para os responsveis pela rede de onde saiu a mensagem e pelo site onde o esquema fraudulento est sendo hospedado, procure manter o e-mail cert@cert.br na cpia da reclamao. Deste modo, o CERT.br pode manter dados estatsticos sobre a incidncia e origem

47 de fraudes no Brasil e, tambm, repassar a reclamao para os contatos dos responsveis que, por ventura, no tenham sido identificados. muito importante incluir o contedo completo da mensagem na reclamao, pois s assim ser possvel identificar o site utilizado para hospedar o esquema fraudulento, que pode ser uma pgina clonada de uma instituio financeira, um arquivo malicioso para furtar dados pessoais e financeiros de usurios, entre outros. Mais detalhes sobre phishing/scam e outros tipos de fraude via Internet podem ser encontrados na Parte IV: Fraudes na Internet. 1.9. Onde posso encontrar outras informaes sobre spam? Diversas informaes podem ser encontradas no site http://www.antispam.br/, mantido pelo Comit Gestor da Internet no Brasil (CGI.br), e que constitui uma fonte de referncia sobre o spam. Este site tem o compromisso de informar o usurio e o administrador de redes sobre o spam, suas implicaes e formas de proteo e combate.
_________________________ [1] Informaes sobre como obter contatos dos responsveis de uma rede esto na Parte VII: Incidentes de Segurana e Uso Abusivo da Rede.

1. Incidentes de Segurana e Abusos

1.1. O que incidente de segurana? Um incidente de segurana pode ser definido como qualquer evento adverso, confirmado ou sob suspeita, relacionado segurana de sistemas de computao ou de redes de computadores. So exemplos de incidentes de segurana:

tentativas de ganhar acesso no autorizado a sistemas ou dados; ataques de negao de servio; uso ou acesso no autorizado a um sistema; modificaes em um sistema, sem o conhecimento, instrues ou consentimento prvio do dono do sistema; desrespeito poltica de segurana ou poltica de uso aceitvel de uma empresa ou provedor de acesso.

1.2. O que poltica de segurana? A poltica de segurana atribui direitos e responsabilidades s pessoas que lidam com os recursos computacionais de uma instituio e com as informaes neles armazenados. Ela tambm define as atribuies de cada um em relao segurana dos recursos com os quais trabalham.

48 Uma poltica de segurana tambm deve prever o que pode ser feito na rede da instituio e o que ser considerado inaceitvel. Tudo o que descumprir a poltica de segurana pode ser considerado um incidente de segurana. Na poltica de segurana tambm so definidas as penalidades s quais esto sujeitos aqueles que no cumprirem a poltica. 1.3. O que poltica de uso aceitvel (AUP)? A poltica de uso aceitvel (AUP, de Acceptable Use Policy) um documento que define como os recursos computacionais de uma organizao podem ser utilizados. Tambm ela quem define os direitos e responsabilidades dos usurios. Os provedores de acesso a Internet normalmente deixam suas polticas de uso aceitvel disponveis em suas pginas. Empresas costumam dar conhecimento da poltica de uso aceitvel no momento da contratao ou quando o funcionrio comea a utilizar os recursos computacionais da empresa. 1.4. O que pode ser considerado uso abusivo da rede? No h uma definio exata do que possa ser considerado um uso abusivo da rede. Internamente s empresas e instituies, situaes que caracterizam o uso abusivo da rede esto definidas na poltica de uso aceitvel. Na Internet como um todo, os comportamentos listados abaixo so geralmente considerados como uso abusivo:

envio de spam (mais informaes na Parte VI: Spam); envio de correntes da felicidade e de correntes para ganhar dinheiro rpido (mais informaes na Parte IV: Fraudes na Internet); envio de e-mails de phishing/scam (mais informaes na Parte IV: Fraudes na Internet); cpia e distribuio no autorizada de material protegido por direitos autorais; utilizao da Internet para fazer difamao, calnia e ameaas; ataques a outros computadores; comprometimento de computadores ou redes.

2. Registros de Eventos (logs)

2.1. O que so logs? Os logs so registros de atividades gerados por programas de computador. No caso de logs relativos a incidentes de segurana, eles normalmente so gerados por firewalls1 ou por sistemas de deteco de intruso. 2.2. O que um sistema de deteco de intruso (IDS)? Um sistema de deteco de intruso (IDS -- Intrusion Detection System) um programa, ou um conjunto de programas, cuja funo detectar atividades maliciosas ou anmalas. IDSs podem ser instalados de modo a monitorar as atividades relativas a um computador ou a uma rede. 2.3. Que tipo de atividade pode ocasionar a gerao de um log?

49 Os firewalls, dependendo de como foram configurados, podem gerar logs quando algum tenta acessar um computador e este acesso barrado pelo firewall. Sempre que um firewall gera um log informando que um determinado acesso foi barrado, isto pode ser considerado uma tentativa de invaso, mas tambm pode ser um falso positivo (vide seo 2.4). J os sistemas de deteco de intruso podem gerar logs tanto para casos de tentativa de invaso, quanto para casos em que um ataque teve sucesso. Apenas uma anlise detalhada pode dizer se uma atividade detectada por um IDS foi um ataque com sucesso. Assim como os firewalls, os sistemas de deteco de intruso tambm podem gerar falsos positivos. 2.4. O que um falso positivo? O termo "falso positivo" utilizado para designar uma situao em que um firewall ou IDS aponta uma atividade como sendo um ataque, quando na verdade esta atividade no um ataque. Um exemplo clssico de falso positivo ocorre no caso de usurios que costumam se conectar em servidores de IRC e que possuem um firewall pessoal. Atualmente boa parte dos servidores de IRC possui uma poltica de uso que define que um usurio, para se conectar em determinados servidores, no deve possuir em sua mquina pessoal nenhum software que atue como proxy2. Para verificar se um usurio tem algum software deste tipo, ao receberem uma solicitao de conexo por parte de um cliente, os servidores enviam para a mquina do cliente algumas conexes que checam pela existncia destes programas. Se o usurio possuir um firewall quase certo que estas conexes sero apontadas como um ataque. Outro caso comum de falso positivo ocorre quando o firewall no est devidamente configurado e indica como ataques respostas a solicitaes feitas pelo prprio usurio. 2.5. Que tipo de informao est presente em um log? Os logs relativos a ataques recebidos pela rede, em geral, possuem as seguintes informaes:

Data e horrio em que ocorreu uma determinada atividade; Endereo IP3 de origem da atividade; Portas envolvidas;

Dependendo do grau de refinamento da ferramenta que gerou o log ele tambm pode conter informaes como:

O time zone4 do horrio do log; Protocolo utilizado (TCP, UDP, ICMP, etc). Os dados completos que foram enviados para o computador ou rede.

3. Notificaes de Incidentes e Abusos

3.1. Por que devo notificar incidentes? Quando um ataque lanado contra uma mquina ele normalmente tem uma destas duas origens:

um programa malicioso que est fazendo um ataque de modo automtico, como por exemplo um bot ou um worm5; uma pessoa que pode estar ou no utilizando ferramentas que automatizam ataques.

50 Quando o ataque parte de uma mquina que foi vtima de um bot ou worm, reportar este incidente para os responsveis pela mquina que originou o ataque vai ajud-los a identificar o problema e resolv-lo. Se este no for o caso, a pessoa que atacou o seu computador pode ter violado a poltica de uso aceitvel da rede que utiliza ou, pior ainda, pode ter invadido uma mquina e a utilizado para atacar outros computadores. Neste caso, avisar os responsveis pela mquina de onde partiu o ataque pode alert-los para o mau comportamento de um usurio ou para uma invaso que ainda no havia sido detectada. 3.2. Para quem devo notificar os incidentes? Os incidentes ocorridos devem ser notificados para os responsveis pela mquina que originou a atividade e tambm para os grupos de resposta a incidentes e abusos das redes envolvidas. De modo geral a lista de pessoas/entidades a serem notificadas inclui:

os responsveis pela rede que originou o incidente, incluindo o grupo de segurana e abusos, se existir um para aquela rede; o grupo de segurana e abusos da rede em que voc est conectado (seja um provedor, empresa, universidade ou outro tipo de instituio);

Mantenha o CERT.br (cert@cert.br) na cpia da mensagem, caso algum dos sites envolvidos seja brasileiro. 3.3. Por que devo manter o CERT.br na cpia das notificaes? O Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana no Brasil (CERT.br6), mantido pelo Comit Gestor da Internet no Brasil (CGI.br), responsvel pelo tratamento de incidentes de segurana em computadores envolvendo redes conectadas Internet no Brasil. Dentre as atribuies do CERT.br esto:

ser um ponto central para notificaes de incidentes de segurana no Brasil, de modo a prover a coordenao e o apoio no processo de resposta a incidentes, colocando as partes envolvidas em contato quando necessrio; manter estatsticas sobre os incidentes a ele reportados7; desenvolver documentao8 de apoio para usurios e administradores de redes Internet.

Manter o CERT.br nas cpias das notificaes de incidentes de segurana importante para permitir que:

as estatsticas geradas reflitam os incidentes ocorridos na Internet brasileira; o CERT.br escreva documentos direcionados para as necessidades dos usurios da Internet no Brasil; o CERT.br possa correlacionar dados relativos a vrios incidentes, identificar ataques coordenados, novos tipos de ataques, etc.

3.4. Como encontro os responsveis pela mquina de onde partiu um ataque? Na Internet so mantidas diversas bases de dados com as informaes a respeito dos responsveis por cada bloco de nmeros IP9 existente. Estas bases de dados esto nos chamados "Servidores de Whois".

51 O servidor de Whois para os IPs alocados ao Brasil pode ser consultado em http://registro.br/. Para os demais pases e continentes existem diversos outros servidores. O site http://www.geektools.com/whois.php aceita consultas referentes a qualquer nmero IP e redireciona estas consultas para os servidores de Whois apropriados. Os passos para encontrar os dados dos responsveis incluem:

Acessar o site http://registro.br/ e fazer uma pesquisa pelo nmero IP ou pelo nome de domnio da mquina de onde partiu a atividade; Se o IP da mquina estiver alocado para o Brasil, os dados dos responsveis sero exibidos; Se aparecer a mensagem: "No alocado para o Brasil", significa que o IP est alocado para algum outro pas. Uma consulta no site http://www.geektools.com/whois.php pode retornar os e-mails dos responsveis.

Vale lembrar que os e-mails que so encontrados a partir destas consultas no so necessariamente os e-mails da pessoa que praticou o ataque. Estes e-mails so dos responsveis pela rede onde a mquina est conectada, ou seja, podem ser os administradores da rede, scios da empresa, ou qualquer outra pessoa que foi designada para cuidar da conexo da instituio com a Internet. 3.5. Que informaes devo incluir em uma notificao de incidente? Para que os responsveis pela rede de onde partiu o incidente possam identificar a origem da atividade necessrio que a notificao contenha dados que permitam esta identificao. So dados essenciais a serem includos em uma notificao:

logs completos; data, horrio e time zone (fuso horrio) dos logs ou da ocorrncia da atividade sendo notificada; dados completos do incidente ou qualquer outra informao que tenha sido utilizada para identificar a atividade.

3.6. Como devo proceder para notificar casos de phishing/scam? Um caso de phishing/scam deve ser tratado de forma diferente de outros tipos de incidente, pois no necessariamente haver logs gerados por um firewall ou IDS, por exemplo. O phishing/scam uma mensagem de e-mail que procura induzir o usurio a fornecer dados pessoais e financeiros. Desta forma, uma notificao de incidente deste tipo deve conter o cabealho e contedo completos da mensagem recebida pelo usurio. A notificao deve ser enviada para os responsveis pelas redes envolvidas, mantendo o CERT.br (cert@cert.br) na cpia da mensagem de notificao. As informaes de contato dos responsveis pelas redes envolvidas, ou seja, do servidor de onde partiu o e-mail e do site que est hospedando o esquema fraudulento, devem ser obtidas no cabealho e contedo da mensagem de phishing/scam. Mais detalhes sobre phishing/scam podem ser obtidos na Parte IV: Fraudes na Internet. Informaes sobre como obter cabealhos e contedos completos de mensagens de e-mail podem ser encontradas na Parte VI: Spam. 3.7. Onde posso encontrar outras informaes a respeito de notificaes de incidentes?

52 O CERT.br mantm uma FAQ (Frequently Asked Questions) com respostas para as dvidas mais comuns relativas ao processo de notificao de incidentes. A FAQ pode ser encontrada em: http://www.cert.br/docs/faq1.html.
________________________ [1] Maiores detalhes na seo Firewalls da Parte II: Riscos Envolvidos no Uso da Internet e Mtodos de Preveno. [2] A definio de proxy pode ser encontrada no Glossrio. [3] A definio de endereo IP pode ser encontrada no Glossrio. [4] Fuso horrio. Mais informaes em http://www.cert.br/docs/faq1.html. [5] Mais detalhes sobre bot e worm esto na Parte VIII: Cdigos Maliciosos (Malware). [6] Anteriormente denominado NBSO -- NIC BR Security Office. [7] http://www.cert.br/stats/ [8] http://www.cert.br/docs/ [9] O conceito de nmero IP pode ser encontrado no Glossrio.

1. Vrus
Vrus um programa ou parte de um programa de computador, normalmente malicioso, que se propaga infectando, isto , inserindo cpias de si mesmo e se tornando parte de outros programas e arquivos de um computador. O vrus depende da execuo do programa ou arquivo hospedeiro para que possa se tornar ativo e dar continuidade ao processo de infeco. Nesta seo, entende-se por computador qualquer dispositivo computacional passvel de infeco por vrus. Computadores domsticos, notebooks, telefones celulares e PDAs so exemplos de dispositivos computacionais passveis de infeco. 1.1. Como um vrus pode afetar um computador? Normalmente o vrus tem controle total sobre o computador, podendo fazer de tudo, desde mostrar uma mensagem de "feliz aniversrio", at alterar ou destruir programas e arquivos do disco. 1.2. Como o computador infectado por um vrus? Para que um computador seja infectado por um vrus, preciso que um programa previamente infectado seja executado. Isto pode ocorrer de diversas maneiras, tais como:

abrir arquivos anexados aos e-mails; abrir arquivos do Word, Excel, etc; abrir arquivos armazenados em outros computadores, atravs do compartilhamento de recursos; instalar programas de procedncia duvidosa ou desconhecida, obtidos pela Internet, de disquetes, pen drives, CDs, DVDs, etc; ter alguma mdia removvel (infectada) conectada ou inserida no computador, quando ele ligado.

53 Novas formas de infeco por vrus podem surgir. Portanto, importante manter-se informado atravs de jornais, revistas e dos sites dos fabricantes de antivrus. 1.3. Um computador pode ser infectado por um vrus sem que se perceba? Sim. Existem vrus que procuram permanecer ocultos, infectando arquivos do disco e executando uma srie de atividades sem o conhecimento do usurio. Ainda existem outros tipos que permanecem inativos durante certos perodos, entrando em atividade em datas especficas. 1.4. O que um vrus propagado por e-mail? Um vrus propagado por e-mail (e-mail borne virus) normalmente recebido como um arquivo anexado uma mensagem de correio eletrnico. O contedo dessa mensagem procura induzir o usurio a clicar sobre o arquivo anexado, fazendo com que o vrus seja executado. Quando este tipo de vrus entra em ao, ele infecta arquivos e programas e envia cpias de si mesmo para os contatos encontrados nas listas de endereos de e-mail armazenadas no computador do usurio. importante ressaltar que este tipo especfico de vrus no capaz de se propagar automaticamente. O usurio precisa executar o arquivo anexado que contm o vrus, ou o programa leitor de e-mails precisa estar configurado para auto-executar arquivos anexados. 1.5. O que um vrus de macro? Uma macro um conjunto de comandos que so armazenados em alguns aplicativos e utilizados para automatizar algumas tarefas repetitivas. Um exemplo seria, em um editor de textos, definir uma macro que contenha a seqncia de passos necessrios para imprimir um documento com a orientao de retrato e utilizando a escala de cores em tons de cinza. Um vrus de macro escrito de forma a explorar esta facilidade de automatizao e parte de um arquivo que normalmente manipulado por algum aplicativo que utiliza macros. Para que o vrus possa ser executado, o arquivo que o contm precisa ser aberto e, a partir da, o vrus pode executar uma srie de comandos automaticamente e infectar outros arquivos no computador. Existem alguns aplicativos que possuem arquivos base (modelos) que so abertos sempre que o aplicativo executado. Caso este arquivo base seja infectado pelo vrus de macro, toda vez que o aplicativo for executado, o vrus tambm ser. Arquivos nos formatos gerados por programas da Microsoft, como o Word, Excel, Powerpoint e Access, so os mais suscetveis a este tipo de vrus. Arquivos nos formatos RTF, PDF e PostScript so menos suscetveis, mas isso no significa que no possam conter vrus. 1.6. Como posso saber se um computador est infectado? A melhor maneira de descobrir se um computador est infectado atravs dos programas antivrus1. importante ressaltar que o antivrus e suas assinaturas devem estar sempre atualizados, caso contrrio poder no detectar os vrus mais recentes. 1.7. Existe alguma maneira de proteger um computador de vrus? Sim. Algumas das medidas de preveno contra a infeco por vrus so:

54

instalar e manter atualizados um bom programa antivrus e suas assinaturas; desabilitar no seu programa leitor de e-mails a auto-execuo de arquivos anexados s mensagens; no executar ou abrir arquivos recebidos por e-mail ou por outras fontes, mesmo que venham de pessoas conhecidas. Caso seja necessrio abrir o arquivo, certifique-se que ele foi verificado pelo programa antivrus; procurar utilizar na elaborao de documentos formatos menos suscetveis propagao de vrus, tais como RTF, PDF ou PostScript; procurar no utilizar, no caso de arquivos comprimidos, o formato executvel. Utilize o prprio formato compactado, como por exemplo Zip ou Gzip.

1.8. O que um vrus de telefone celular? Um vrus de celular se propaga de telefone para telefone atravs da tecnologia bluetooth2 ou da tecnologia MMS3 (Multimedia Message Service). A infeco se d da seguinte forma: 1. O usurio recebe uma mensagem que diz que seu telefone est prestes a receber um arquivo. 2. O usurio permite que o arquivo infectado seja recebido, instalado e executado em seu aparelho. 3. O vrus, ento, continua o processo de propagao para outros telefones, atravs de uma das tecnologias mencionadas anteriormente. Os vrus de celular diferem-se dos vrus tradicionais, pois normalmente no inserem cpias de si mesmos em outros arquivos armazenados no telefone celular, mas podem ser especificamente projetados para sobrescrever arquivos de aplicativos ou do sistema operacional instalado no aparelho. Depois de infectar um telefone celular, o vrus pode realizar diversas atividades, tais como: destruir/sobrescrever arquivos, remover contatos da agenda, efetuar ligaes telefnicas, drenar a carga da bateria, alm de tentar se propagar para outros telefones. 1.9. Como posso proteger um telefone celular de vrus? Algumas das medidas de preveno contra a infeco por vrus em telefones celulares so:

mantenha o bluetooth do seu aparelho desabilitado e somente habilite-o quando for necessrio. Caso isto no seja possvel, consulte o manual do seu aparelho e configure-o para que no seja identificado (ou "descoberto") por outros aparelhos (em muitos aparelhos esta opo aparece como "Oculto" ou "Invisvel"); no permita o recebimento de arquivos enviados por terceiros, mesmo que venham de pessoas conhecidas, salvo quando voc estiver esperando o recebimento de um arquivo especfico; fique atento s notcias veiculadas no site do fabricante do seu aparelho, principalmente quelas sobre segurana; aplique todas as correes de segurana (patches) que forem disponibilizadas pelo fabricante do seu aparelho, para evitar que possua vulnerabilidades; caso voc tenha comprado uma aparelho usado, restaure as opes de fbrica (em muitos aparelhos esta opo aparece como "Restaurar Configurao de Fbrica" ou "Restaurar Configurao Original") e configure-o como descrito no primeiro item, antes de inserir quaisquer dados.

55 Os fabricantes de antivrus tm disponibilizado verses para diversos modelos de telefones celulares. Caso voc opte por instalar um antivrus em seu telefone, consulte o fabricante e verifique a viabilidade e disponibilidade de instalao para o modelo do seu aparelho. Lembre-se de manter o antivrus sempre atualizado.

2. Cavalos de Tria
Conta a mitologia grega que o "Cavalo de Tria" foi uma grande esttua, utilizada como instrumento de guerra pelos gregos para obter acesso a cidade de Tria. A esttua do cavalo foi recheada com soldados que, durante a noite, abriram os portes da cidade possibilitando a entrada dos gregos e a dominao de Tria. Da surgiram os termos "Presente de Grego" e "Cavalo de Tria". Na informtica, um cavalo de tria (trojan horse) um programa, normalmente recebido como um "presente" (por exemplo, carto virtual, lbum de fotos, protetor de tela, jogo, etc), que alm de executar funes para as quais foi aparentemente projetado, tambm executa outras funes normalmente maliciosas e sem o conhecimento do usurio. Algumas das funes maliciosas que podem ser executadas por um cavalo de tria so:

instalao de keyloggers ou screenloggers (vide seo 5); furto de senhas e outras informaes sensveis, como nmeros de cartes de crdito; incluso de backdoors, para permitir que um atacante tenha total controle sobre o computador; alterao ou destruio de arquivos.

2.1. Como um cavalo de tria pode ser diferenciado de um vrus ou worm? Por definio, o cavalo de tria distingue-se de um vrus ou de um worm por no infectar outros arquivos, nem propagar cpias de si mesmo automaticamente. Normalmente um cavalo de tria consiste em um nico arquivo que necessita ser explicitamente executado. Podem existir casos onde um cavalo de tria contenha um vrus ou worm. Mas mesmo nestes casos possvel distinguir as aes realizadas como conseqncia da execuo do cavalo de tria propriamente dito, daquelas relacionadas ao comportamento de um vrus ou worm. 2.2. Como um cavalo de tria se instala em um computador? necessrio que o cavalo de tria seja executado para que ele se instale em um computador. Geralmente um cavalo de tria vem anexado a um e-mail ou est disponvel em algum site na Internet. importante ressaltar que existem programas leitores de e-mails que podem estar configurados para executar automaticamente arquivos anexados s mensagens. Neste caso, o simples fato de ler uma mensagem suficiente para que um arquivo anexado seja executado. 2.3. Que exemplos podem ser citados sobre programas contendo cavalos de tria?

56 Exemplos comuns de cavalos de tria so programas que voc recebe ou obtm de algum site e que parecem ser apenas cartes virtuais animados, lbuns de fotos de alguma celebridade, jogos, protetores de tela, entre outros. Enquanto esto sendo executados, estes programas podem ao mesmo tempo enviar dados confidenciais para outro computador, instalar backdoors, alterar informaes, apagar arquivos ou formatar o disco rgido. Existem tambm cavalos de tria, utilizados normalmente em esquemas fraudulentos, que, ao serem instalados com sucesso, apenas exibem uma mensagem de erro. 2.4. O que um cavalo de tria pode fazer em um computador? O cavalo de tria, na maioria das vezes, instalar programas para possibilitar que um invasor tenha controle total sobre um computador. Estes programas podem permitir que o invasor:

tenha acesso e copie todos os arquivos armazenados no computador; descubra todas as senhas digitadas pelo usurio; formate o disco rgido do computador, etc.

2.5. Um cavalo de tria pode instalar programas sem o conhecimento do usurio? Sim. Normalmente o cavalo de tria procura instalar, sem que o usurio perceba, programas que realizam uma srie de atividades maliciosas. 2.6. possvel saber se um cavalo de tria instalou algo em um computador? A utilizao de um bom programa antivrus (desde que seja atualizado freqentemente) normalmente possibilita a deteco de programas instalados pelos cavalos de tria. importante lembrar que nem sempre o antivrus ser capaz de detectar ou remover os programas deixados por um cavalo de tria, principalmente se estes programas forem mais recentes que as assinaturas do seu antivrus. 2.7. Existe alguma maneira de proteger um computador dos cavalos de tria? Sim. As principais medidas preventivas contra a instalao de cavalos de tria so semelhantes s medidas contra a infeco por vrus e esto listadas na seo 1.7. Uma outra medida preventiva utilizar um firewall pessoal. Alguns firewalls podem bloquear o recebimento de cavalos de tria, como descrito na Parte II: Riscos Envolvidos no Uso da Internet e Mtodos de Preveno.

3. Adware e Spyware
Adware (Advertising software) um tipo de software especificamente projetado para apresentar propagandas, seja atravs de um browser, seja atravs de algum outro programa instalado em um computador. Em muitos casos, os adwares tm sido incorporados a softwares e servios, constituindo uma forma legtima de patrocnio ou retorno financeiro para aqueles que desenvolvem software livre ou

57 prestam servios gratuitos. Um exemplo do uso legtimo de adwares pode ser observado no programa de troca instantnea de mensagens MSN Messenger. Spyware, por sua vez, o termo utilizado para se referir a uma grande categoria de software que tem o objetivo de monitorar atividades de um sistema e enviar as informaes coletadas para terceiros. Existem adwares que tambm so considerados um tipo de spyware, pois so projetados para monitorar os hbitos do usurio durante a navegao na Internet, direcionando as propagandas que sero apresentadas. Os spywares, assim como os adwares, podem ser utilizados de forma legtima, mas, na maioria das vezes, so utilizados de forma dissimulada, no autorizada e maliciosa. Seguem algumas funcionalidades implementadas em spywares, que podem ter relao com o uso legtimo ou malicioso:

monitoramento de URLs acessadas enquanto o usurio navega na Internet; alterao da pgina inicial apresentada no browser do usurio; varredura dos arquivos armazenados no disco rgido do computador; monitoramento e captura de informaes inseridas em outros programas, como IRC ou processadores de texto; instalao de outros programas spyware; monitoramento de teclas digitadas pelo usurio ou regies da tela prximas ao clique do mouse (vide seo 5); captura de senhas bancrias e nmeros de cartes de crdito; captura de outras senhas usadas em sites de comrcio eletrnico.

importante ter em mente que estes programas, na maioria das vezes, comprometem a privacidade do usurio e, pior, a segurana do computador do usurio, dependendo das aes realizadas pelo spyware no computador e de quais informaes so monitoradas e enviadas para terceiros. A seo 3.1 apresenta alguns exemplos de spywares usados de modo legtimo e de spywares maliciosos. 3.1. Que exemplos podem ser citados sobre programas spyware? Alguns exemplos de utilizao de programas spyware de modo legtimo so:

uma empresa pode utilizar programas spyware para monitorar os hbitos de seus funcionrios, desde que tal monitoramento esteja previsto em contrato ou nos termos de uso dos recursos computacionais da empresa; um usurio pode instalar um programa spyware para verificar se outras pessoas esto utilizando o seu computador de modo abusivo ou no autorizado.

Na maioria das vezes, programas spyware so utilizados de forma dissimulada e/ou maliciosa. Seguem alguns exemplos:

existem programas cavalo de tria que instalam um spyware, alm de um keylogger ou screenlogger. O spyware instalado monitora todos os acessos a sites enquanto o usurio navega na Internet. Sempre que o usurio acessa determinados sites de bancos ou de

58 comrcio eletrnico, o keylogger ou screenlogger ativado para a captura de senhas bancrias ou nmeros de cartes de crdito; alguns adwares incluem componentes spyware para monitorar o acesso a pginas Web durante a navegao na Internet e, ento, direcionar as propagandas que sero apresentadas para o usurio. Muitas vezes, a licena de instalao do adware no diz claramente ou omite que tal monitoramento ser feito e quais informaes sero enviadas para o autor do adware, caracterizando assim o uso dissimulado ou no autorizado de um componente spyware.

A seo 3.2 apresenta algumas formas de se prevenir a instalao de programas spyware em um computador. 3.2. possvel proteger um computador de programas spyware? Existem ferramentas especficas, conhecidas como "anti-spyware", capazes de detectar e remover uma grande quantidade de programas spyware. Algumas destas ferramentas so gratuitas para uso pessoal e podem ser obtidas pela Internet (antes de obter um programa anti-spyware pela Internet, verifique sua procedncia e certifique-se que o fabricante confivel). Alm da utilizao de uma ferramenta anti-spyware, as medidas preventivas contra a infeco por vrus (vide seo 1.7) so fortemente recomendadas. Uma outra medida preventiva utilizar um firewall pessoal4, pois alguns firewalls podem bloquear o recebimento de programas spyware. Alm disso, se bem configurado, o firewall pode bloquear o envio de informaes coletadas por estes programas para terceiros, de forma a amenizar o impacto da possvel instalao de um programa spyware em um computador.

4. Backdoors
Normalmente um atacante procura garantir uma forma de retornar a um computador comprometido, sem precisar recorrer aos mtodos utilizados na realizao da invaso. Na maioria dos casos, tambm inteno do atacante poder retornar ao computador comprometido sem ser notado. A esses programas que permitem o retorno de um invasor a um computador comprometido, utilizando servios criados ou modificados para este fim, d-se o nome de backdoor. 4.1. Como feita a incluso de um backdoor em um computador? A forma usual de incluso de um backdoor consiste na disponibilizao de um novo servio ou substituio de um determinado servio por uma verso alterada, normalmente possuindo recursos que permitam acesso remoto (atravs da Internet). Pode ser includo por um invasor ou atravs de um cavalo de tria. Uma outra forma a instalao de pacotes de software, tais como o BackOrifice e NetBus, da plataforma Windows, utilizados para administrao remota. Se mal configurados ou utilizados sem o consentimento do usurio, podem ser classificados como backdoors. 4.2. A existncia de um backdoor depende necessariamente de uma invaso? No. Alguns dos casos onde a existncia de um backdoor no est associada a uma invaso so:

instalao atravs de um cavalo de tria (vide seo 2.3).

59

incluso como conseqncia da instalao e m configurao de um programa de administrao remota;

Alguns fabricantes incluem/incluam backdoors em seus produtos (softwares, sistemas operacionais), alegando necessidades administrativas. importante ressaltar que estes casos constituem uma sria ameaa segurana de um computador que contenha um destes produtos instalados, mesmo que backdoors sejam includos por fabricantes conhecidos. 4.3. Backdoors so restritos a um sistema operacional especfico? No. Backdoors podem ser includos em computadores executando diversos sistemas operacionais, tais como Windows (por exemplo, 95/98, NT, 2000, XP), Unix (por exemplo, Linux, Solaris, FreeBSD, OpenBSD, AIX), Mac OS, entre outros. 4.4. Existe alguma maneira de proteger um computador de backdoors? Embora os programas antivrus no sejam capazes de descobrir backdoors em um computador, as medidas preventivas contra a infeco por vrus (seo 1.7) so vlidas para se evitar algumas formas de instalao de backdoors. A idia que voc no execute programas de procedncia duvidosa ou desconhecida, sejam eles recebidos por e-mail, sejam obtidos na Internet. A execuo de tais programas pode resultar na instalao de um backdoor. Caso voc utilize algum programa de administrao remota, certifique-se de que ele esteja bem configurado, de modo a evitar que seja utilizado como um backdoor. Uma outra medida preventiva consiste na utilizao de um firewall pessoal5. Apesar de no eliminarem os backdoors, se bem configurados, podem ser teis para amenizar o problema, pois podem barrar as conexes entre os invasores e os backdoors instalados em um computador. Tambm importante visitar constantemente os sites dos fabricantes de softwares e verificar a existncia de novas verses ou patches para o sistema operacional ou softwares instalados em seu computador. Existem casos onde a disponibilizao de uma nova verso ou de um patch est associada descoberta de uma vulnerabilidade em um software, que permite a um atacante ter acesso remoto a um computador, de maneira similar ao acesso aos backdoors.

5. Keyloggers
Keylogger um programa capaz de capturar e armazenar as teclas digitadas pelo usurio no teclado de um computador. 5.1. Que informaes um keylogger pode obter se for instalado em um computador? Um keylogger pode capturar e armazenar as teclas digitadas pelo usurio. Dentre as informaes capturadas podem estar o texto de um e-mail, dados digitados na declarao de Imposto de Renda e outras informaes sensveis, como senhas bancrias e nmeros de cartes de crdito. Em muitos casos, a ativao do keylogger condicionada a uma ao prvia do usurio, como por exemplo, aps o acesso a um site especfico de comrcio eletrnico ou Internet Banking.

60 Normalmente, o keylogger contm mecanismos que permitem o envio automtico das informaes capturadas para terceiros (por exemplo, atravs de e-mails). 5.2. Diversos sites de instituies financeiras utilizam teclados virtuais. Neste caso eu estou protegido dos keyloggers? As instituies financeiras desenvolveram os teclados virtuais para evitar que os keyloggers pudessem capturar informaes sensveis de usurios. Ento, foram desenvolvidas formas mais avanadas de keyloggers, tambm conhecidas como screenloggers, capazes de:

armazenar a posio do cursor e a tela apresentada no monitor, nos momentos em que o mouse clicado, ou armazenar a regio que circunda a posio onde o mouse clicado.

De posse destas informaes um atacante pode, por exemplo, descobrir a senha de acesso ao banco utilizada por um usurio. 5.3. Como feita a incluso de um keylogger em um computador? Normalmente, o keylogger vem como parte de um programa spyware (veja a seo 3.1) ou cavalo de tria (veja a seo 2.3). Desta forma, necessrio que este programa seja executado para que o keylogger se instale em um computador. Geralmente, tais programas vm anexados a e-mails ou esto disponveis em sites na Internet. Lembre-se que existem programas leitores de e-mails que podem estar configurados para executar automaticamente arquivos anexados s mensagens. Neste caso, o simples fato de ler uma mensagem suficiente para que qualquer arquivo anexado seja executado. 5.4. Como posso proteger um computador dos keyloggers? Para se evitar a instalao de um keylogger, as medidas so similares quelas discutidas nas sees de vrus (1.7), cavalo de tria (2.7), worm (6.3), bots (7.5) e na Parte IV: Fraudes na Internet.

6. Worms
Worm um programa capaz de se propagar automaticamente atravs de redes, enviando cpias de si mesmo de computador para computador. Diferente do vrus, o worm no embute cpias de si mesmo em outros programas ou arquivos e no necessita ser explicitamente executado para se propagar. Sua propagao se d atravs da explorao de vulnerabilidades existentes ou falhas na configurao de softwares instalados em computadores. 6.1. Como um worm pode afetar um computador? Geralmente o worm no tem como conseqncia os mesmos danos gerados por um vrus, como por exemplo a infeco de programas e arquivos ou a destruio de informaes. Isto no quer dizer que no represente uma ameaa segurana de um computador, ou que no cause qualquer tipo de dano. Worms so notadamente responsveis por consumir muitos recursos. Degradam sensivelmente o desempenho de redes e podem lotar o disco rgido de computadores, devido grande quantidade de

61 cpias de si mesmo que costumam propagar. Alm disso, podem gerar grandes transtornos para aqueles que esto recebendo tais cpias. 6.2. Como posso saber se meu computador est sendo utilizado para propagar um worm? Detectar a presena de um worm em um computador no uma tarefa fcil. Muitas vezes os worms realizam uma srie de atividades, incluindo sua propagao, sem que o usurio tenha conhecimento. Embora alguns programas antivrus permitam detectar a presena de worms e at mesmo evitar que eles se propaguem, isto nem sempre possvel. Portanto, o melhor evitar que seu computador seja utilizado para propag-los (vide seo 6.3). 6.3. Como posso proteger um computador de worms? Alm de utilizar um bom antivrus, que permita detectar e at mesmo evitar a propagao de um worm, importante que o sistema operacional e os softwares instalados em seu computador no possuam vulnerabilidades. Normalmente um worm procura explorar alguma vulnerabilidade disponvel em um computador, para que possa se propagar. Portanto, as medidas preventivas mais importantes so aquelas que procuram evitar a existncia de vulnerabilidades, como discutido na Parte II: Riscos Envolvidos no Uso da Internet e Mtodos de Preveno. Uma outra medida preventiva ter instalado em seu computador um firewall pessoal6. Se bem configurado, o firewall pessoal pode evitar que um worm explore uma possvel vulnerabilidade em algum servio disponvel em seu computador ou, em alguns casos, mesmo que o worm j esteja instalado em seu computador, pode evitar que explore vulnerabilidades em outros computadores.

7. Bots e Botnets
De modo similar ao worm (seo 6), o bot um programa capaz se propagar automaticamente, explorando vulnerabilidades existentes ou falhas na configurao de softwares instalados em um computador. Adicionalmente ao worm, dispe de mecanismos de comunicao com o invasor, permitindo que o bot seja controlado remotamente. 7.1. Como o invasor se comunica com o bot? Normalmente, o bot se conecta a um servidor de IRC (Internet Relay Chat) e entra em um canal (sala) determinado. Ento, ele aguarda por instrues do invasor, monitorando as mensagens que esto sendo enviadas para este canal. O invasor, ao se conectar ao mesmo servidor de IRC e entrar no mesmo canal, envia mensagens compostas por seqncias especiais de caracteres, que so interpretadas pelo bot. Estas seqncias de caracteres correspondem a instrues que devem ser executadas pelo bot. 7.2. O que o invasor pode fazer quando estiver no controle de um bot? Um invasor, ao se comunicar com um bot, pode enviar instrues para que ele realize diversas atividades, tais como:

desferir ataques na Internet; executar um ataque de negao de servio (detalhes na Parte I: Conceitos de Segurana);

62

furtar dados do computador onde est sendo executado, como por exemplo nmeros de cartes de crdito; enviar e-mails de phishing (detalhes na Parte IV: Fraudes na Internet); enviar spam.

7.3. O que so botnets? Botnets so redes formadas por computadores infectados com bots. Estas redes podem ser compostas por centenas ou milhares de computadores. Um invasor que tenha controle sobre uma botnet pode utiliz-la para aumentar a potncia de seus ataques, por exemplo, para enviar centenas de milhares de e-mails de phishing ou spam, desferir ataques de negao de servio, etc. 7.4. Como posso saber se um bot foi instalado em um computador? Identificar a presena de um bot em um computador no uma tarefa simples. Normalmente, o bot projetado para realizar as instrues passadas pelo invasor sem que o usurio tenha conhecimento. Embora alguns programas antivrus permitam detectar a presena de bots, isto nem sempre possvel. Portanto, o melhor procurar evitar que um bot seja instalado em seu computador (vide seo 7.5). 7.5. Como posso proteger um computador dos bots? Da mesma forma que o worm, o bot capaz de se propagar automaticamente, atravs da explorao de vulnerabilidades existentes ou falhas na configurao de softwares instalados em um computador. Portanto, a melhor forma de se proteger dos bots manter o sistema operacional e os softwares instalados em seu computador sempre atualizados e com todas as correes de segurana (patches) disponveis aplicadas, para evitar que possuam vulnerabilidades. A utilizao de um bom antivrus, mantendo-o sempre atualizado, tambm importante, pois em muitos casos permite detectar e at mesmo evitar a propagao de um bot. Vale lembrar que o antivrus s ser capaz de detectar bots conhecidos. Outra medida preventiva consiste em utilizar um firewall pessoal7. Normalmente, os firewalls pessoais no eliminam os bots, mas, se bem configurados, podem ser teis para amenizar o problema, pois podem barrar a comunicao entre o invasor e o bot instalado em um computador. Podem existir outras formas de propagao e instalao de bots em um computador, como por exemplo, atravs da execuo de arquivos anexados a e-mails. Portanto, as medidas apresentadas na Parte II: Riscos Envolvidos no Uso da Internet e Mtodos de Preveno tambm so fortemente recomendadas.

8. Rootkits
Um invasor, ao realizar uma invaso, pode utilizar mecanismos para esconder e assegurar a sua presena no computador comprometido. O conjunto de programas que fornece estes mecanismos conhecido como rootkit. muito importante ficar claro que o nome rootkit no indica que as ferramentas que o compem so usadas para obter acesso privilegiado (root ou Administrator) em um computador, mas sim para

63 mant-lo. Isto significa que o invasor, aps instalar o rootkit, ter acesso privilegiado ao computador previamente comprometido, sem precisar recorrer novamente aos mtodos utilizados na realizao da invaso, e suas atividades sero escondidas do responsvel e/ou dos usurios do computador. 8.1. Que funcionalidades um rootkit pode conter? Um rootkit pode fornecer programas com as mais diversas funcionalidades. Dentre eles, podem ser citados:

programas para esconder atividades e informaes deixadas pelo invasor (normalmente presentes em todos os rootkits), tais como arquivos, diretrios, processos, conexes de rede, etc; backdoors (vide seo 4), para assegurar o acesso futuro do invasor ao computador comprometido (presentes na maioria dos rootkits); programas para remoo de evidncias em arquivos de logs; sniffers8, para capturar informaes na rede onde o computador est localizado, como por exemplo senhas que estejam trafegando em claro, ou seja, sem qualquer mtodo de criptografia; scanners9, para mapear potenciais vulnerabilidades em outros computadores; outros tipos de malware, como cavalos de tria, keyloggers, ferramentas de ataque de negao de servio, etc.

8.2. Como posso saber se um rootkit foi instalado em um computador? Existem programas capazes de detectar a presena de um grande nmero de rootkits, mas isto no quer dizer que so capazes de detectar todos os disponveis (principalmente os mais recentes). Alguns destes programas so gratuitos e podem ser obtidos pela Internet (antes de obter um programa para a deteco de rootkits pela Internet, verifique sua procedncia e certifique-se que o fabricante confivel). Como os rootkits so projetados para ficarem ocultos, ou seja, no serem detectados pelo responsvel ou pelos usurios de um computador, sua identificao , na maioria das vezes, uma tarefa bem difcil. Deste modo, o melhor procurar evitar que um rootkit seja instalado em seu computador (vide seo 8.3). 8.3. Como posso proteger um computador dos rootkits? Apesar de existirem programas especficos para a deteco de rootkits, a melhor forma de se proteger manter o sistema operacional e os softwares instalados em seu computador sempre atualizados e com todas as correes de segurana (patches) disponveis aplicadas, para evitar que possuam vulnerabilidades. Desta forma, voc pode evitar que um atacante consiga invadir seu computador, atravs da explorao de alguma vulnerabilidade, e instalar um rootkit aps o comprometimento. ___________________________
[1] Maiores detalhes sobre antivrus podem ser encontrados na Parte II: Riscos Envolvidos no Uso da Internet e Mtodos de Preveno. [2] Mais detalhes sobre a tecnologia bluetooth podem ser encontrados na Parte III: Privacidade. [3] A definio deste termo pode ser encontrada no Glossrio. [4] Mais informaes podem ser obtidas na Parte II: Riscos Envolvidos no Uso da Internet e Mtodos de Preveno.

64
[5] Mais informaes podem ser obtidas na Parte II: Riscos Envolvidos no Uso da Internet e Mtodos de Preveno [6] Mais informaes podem ser obtidas na Parte II: Riscos Envolvidos no Uso da Internet e Mtodos de Preveno. [7] Mais informaes podem ser obtidas na Parte II: Riscos Envolvidos no Uso da Internet e Mtodos de Preveno. [8] A definio de sniffer pode ser encontrada no Glossrio. [9] A definio de scanner pode ser encontrada no Glossrio.

Fonte: TextoextraidodaCartilhadeSegurancaparaInternet,desenvolvidapeloCERT.br, mantidopeloNIC.br,cominteiroteoremhttp://cartilha.cert.br/.